Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52017PC0008

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ

COM/2017/08 final - 2017/02 (COD)

No longer in force, Date of end of validity: 23/10/2018

Βρυξέλλες, 10.1.2017

COM(2017) 8 final

2017/0002(COD)

Πρόταση

ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ


ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ

1.ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ

Αιτιολόγηση και στόχοι της πρότασης

Το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), όπως θεσπίσθηκε από τη Συνθήκη της Λισαβόνας, καθιερώνει την αρχή ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον, με το άρθρο 16 παράγραφος 2 ΣΛΕΕ, η Συνθήκη της Λισαβόνας δημιούργησε ειδική νομική βάση για τη θέσπιση κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης κατοχυρώνει την προστασία των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα.

Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ. Ο κανονισμός (ΕΚ) αριθ. 45/2001 1 , η βασική υφιστάμενη ενωσιακή νομοθετική πράξη για την προστασία των δεδομένων προσωπικού χαρακτήρα στα όργανα και τους οργανισμούς της Ένωσης, θεσπίστηκε το 2001 με δύο στόχους: την προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και τη διασφάλιση της ελεύθερης ροής των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Συμπληρώθηκε δε με την απόφαση αριθ. 1247/2002/ΕΚ 2 .

Στις 27 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν τον Γενικό Κανονισμό για την Προστασία Δεδομένων [κανονισμός (ΕΕ) 2016/679], ο οποίος θα τεθεί σε εφαρμογή στις 25 Μαΐου 2018. Ο εν λόγω κανονισμός καλεί σε προσαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 στις αρχές και τους κανόνες του κανονισμού (ΕΕ) 2016/679 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η ταυτόχρονη εφαρμογή αμφότερων των νομικών πράξεων 3 .

Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζουν τα κράτη μέλη προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Οσάκις οι διατάξεις της πρότασης στηρίζονται στην ίδια αντίληψη με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις των δύο αυτών πράξεων θα πρέπει να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία της πρότασης θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/679 4 .

Στο πλαίσιο της αναθεώρησης του κανονισμού (ΕΚ) αριθ. 45/2001 λαμβάνονται επιπλέον υπόψη τα αποτελέσματα ερευνών και διαβουλεύσεων με τους ενδιαφερόμενους φορείς, καθώς και η μελέτη αξιολόγησης για την εφαρμογή του κατά την τελευταία 15ετία.

Η παρούσα πρωτοβουλία δεν εντάσσεται στο πλαίσιο του προγράμματος βελτίωσης της καταλληλότητας του κανονιστικού πλαισίου (REFIT).

Συνοχή με ισχύουσες διατάξεις στον τομέα πολιτικής

Σκοπός της πρότασης είναι η ευθυγράμμιση των διατάξεων του κανονισμού (ΕΚ) αριθ. 45/2001 με τις αρχές και τους κανόνες του κανονισμού (ΕΕ) 2016/679 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση. Η πρόταση ενσωματώνει επίσης τους συναφείς κανόνες του κανονισμού (ΕΕ) XXXX/XX [κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες] σχετικά με την προστασία του εξοπλισμού τερματικών των τελικών χρηστών.

Συνοχή με άλλες πολιτικές της Ένωσης

Άνευ αντικειμένου

2.ΝΟΜΙΚΗ ΒΑΣΗ, ΕΠΙΚΟΥΡΙΚΟΤΗΤΑ ΚΑΙ ΑΝΑΛΟΓΙΚΟΤΗΤΑ

Νομική βάση

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν είναι θεμελιώδες δικαίωμα που κατοχυρώνεται στο άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Η παρούσα πρόταση βασίζεται στο άρθρο 16 ΣΛΕΕ, το οποίο αποτελεί τη νομική βάση για τη θέσπιση κανόνων σχετικά με την προστασία των δεδομένων. Το άρθρο αυτό επιτρέπει τη θέσπιση κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Επιτρέπει επίσης τη θέσπιση κανόνων σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τα ως άνω θεσμικά και λοιπά όργανα και οργανισμούς.

Επικουρικότητα (σε περίπτωση μη αποκλειστικής αρμοδιότητας)

Το αντικείμενο του παρόντος κανονισμού εμπίπτει στο πεδίο της αποκλειστικής αρμοδιότητας της Ένωσης, καθώς μόνο η Ένωση μπορεί να θεσπίσει κανόνες που να διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα της Ένωσης.

Αναλογικότητα

Σύμφωνα με την αρχή της αναλογικότητας, για την επίτευξη των βασικών στόχων της διασφάλισης ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, είναι αναγκαίο και πρόσφορο να θεσπιστούν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. Ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη των επιδιωκομένων στόχων, σύμφωνα με τις διατάξεις του άρθρου 5 παράγραφος 4 της Συνθήκης για την Ευρωπαϊκή Ένωση.

Επιλογή του νομικού μέσου

Ο κανονισμός θεωρείται η κατάλληλη νομική πράξη για τον καθορισμό του πλαισίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Παρέχει στα φυσικά πρόσωπα νομικά εκτελεστά δικαιώματα και καθορίζει τις υποχρεώσεις των υπεύθυνων της επεξεργασίας δεδομένων των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης. Προβλέπει ακόμη ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, με αρμοδιότητα την παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης.

3.ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΚ ΤΩΝ ΥΣΤΕΡΩΝ ΑΞΙΟΛΟΓΗΣΕΩΝ, ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΤΩΝ ΕΚΤΙΜΗΣΕΩΝ ΕΠΙΠΤΩΣΕΩΝ

Κατά την περίοδο 2010-2011, η Επιτροπή προέβη σε διαβουλεύσεις με τα ενδιαφερόμενα μέρη και στην εκπόνηση εκτίμησης των επιπτώσεων, στο πλαίσιο της προετοιμασίας της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, τα αποτελέσματα των οποίων λαμβάνονται υπόψη στις αλλαγές που προτείνονται στον κανονισμό (ΕΚ) αριθ. 45/2001. Στο πλαίσιο αυτό, η Επιτροπή εκπόνησε επίσης έρευνα μεταξύ των συντονιστών της προστασίας δεδομένων της Επιτροπής 5 .

Όσον αφορά την πρακτική εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, συλλέχθηκαν πληροφορίες από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), άλλα όργανα και οργανισμούς της Ένωσης, άλλες Γενικές Διευθύνσεις της Επιτροπής και από εξωτερικό ανάδοχο. Στάλθηκε επίσης ερωτηματολόγιο στο δίκτυο υπευθύνων προστασίας δεδομένων (ΥΠΔ) 6 .

Οι υπεύθυνοι προστασίας δεδομένων διαφόρων οργάνων και οργανισμών της Ένωσης οργάνωσαν εργαστήρια με θέμα τη μεταρρύθμιση του κανονισμού 45/2001 στις 9 Ιουλίου 2015, στις 22 Οκτωβρίου 2015, στις 19 Ιανουαρίου 2016 και στις 15 Μαρτίου 2016.

Το 2013 η Επιτροπή αποφάσισε να προβεί στην εκπόνηση μελέτης αξιολόγησης για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001, την οποία ανέθεσε σε εξωτερικό ανάδοχο. Τα τελικά παραδοτέα της μελέτης αξιολόγησης (τελική έκθεση, πέντε περιπτωσιολογικές μελέτες και ανάλυση ανά άρθρο) υποβλήθηκαν στην Επιτροπή στις 8 Ιουνίου 2015 7 .

Από την αξιολόγηση προέκυψε ότι το σύστημα διακυβέρνησης που έχει διαρθρωθεί γύρω από τους υπεύθυνους προστασίας δεδομένων και τον ΕΕΠΔ είναι αποτελεσματικό. Διαπιστώθηκε ακόμη ότι η κατανομή των αρμοδιοτήτων μεταξύ των υπευθύνων προστασίας δεδομένων και του ΕΕΠΔ είναι σαφής και καλά ισορροπημένη, και ότι αμφότεροι διαθέτουν κατάλληλο εύρος αρμοδιοτήτων. Δυσκολίες είναι πιθανό να προκύψουν, ωστόσο, από την έλλειψη εξουσίας λόγω της ανεπαρκούς στήριξης που λαμβάνουν οι υπεύθυνοι προστασίας δεδομένων από τους προϊσταμένους τους.

Από τη μελέτη αξιολόγησης προέκυψε ότι η εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 θα μπορούσε να βελτιωθεί μέσω της επιβολής κυρώσεων από τον ΕΕΠΔ. Η αυξημένη χρήση των εποπτικών εξουσιών του θα μπορούσε να συμβάλει στην καλύτερη εφαρμογή των κανόνων προστασίας δεδομένων. Περαιτέρω συμπέρασμα ήταν ότι οι υπεύθυνοι της επεξεργασίας δεδομένων θα πρέπει να υιοθετήσουν μια προσέγγιση διαχείρισης των κινδύνων και να εκπονούν εκτιμήσεις των κινδύνων πριν από την εκτέλεση πράξεων επεξεργασίας, με γνώμονα την καλύτερη εφαρμογή των απαιτήσεων διατήρησης και ασφάλειας των δεδομένων.

Η μελέτη κατέδειξε ακόμη ότι οι ισχύουσες διατάξεις του κεφαλαίου IV του κανονισμού (ΕΚ) αριθ. 45/2001 για τον τομέα των τηλεπικοινωνιών είναι παρωχημένες και ότι υπάρχει ανάγκη να ευθυγραμμιστεί το κεφάλαιο αυτό με την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Σύμφωνα με τη μελέτη αξιολόγησης, υπάρχει επιπλέον ανάγκη να αποσαφηνιστούν ορισμένοι βασικοί ορισμοί του κανονισμού (ΕΚ) αριθ. 45/2001, όπως, μεταξύ άλλων, ο προσδιορισμός των υπευθύνων της επεξεργασίας δεδομένων στα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, ο ορισμός των αποδεκτών και η επέκταση της υποχρέωσης τήρησης του απορρήτου στους εξωτερικούς εκτελούντες την επεξεργασία.

Η μελέτη αξιολόγησης κατέδειξε ακόμη την ανάγκη απλούστευσης του καθεστώτος των κοινοποιήσεων και των προκαταρκτικών ελέγχων ώστε να αυξηθεί η αποδοτικότητα και να μειωθεί ο διοικητικός φόρτος.

Ο αξιολογητής πραγματοποίησε διαδικτυακή έρευνα σε 64 όργανα και οργανισμούς της Ένωσης. Στις ερωτήσεις της έρευνας απάντησαν 422 αρμόδιοι υπάλληλοι υπευθύνων της επεξεργασίας δεδομένων, 73 υπεύθυνοι προστασίας δεδομένων, 118 συντονιστές της προστασίας δεδομένων και 109 υπεύθυνοι πληροφορικής. Ο αξιολογητής πραγματοποίησε ακόμη μια σειρά συνεντεύξεων με ενδιαφερόμενους. Στις 26 Μαρτίου 2015, ο αξιολογητής και η Επιτροπή οργάνωσαν ένα τελευταίο εργαστήριο, στο οποίο συμμετείχαν αρκετοί υπεύθυνοι της επεξεργασίας δεδομένων, υπεύθυνοι προστασίας δεδομένων, συντονιστές της προστασίας δεδομένων, υπεύθυνοι πληροφορικής και εκπρόσωποι του ΕΕΠΔ. 

Συλλογή και χρήση εμπειρογνωσίας

Βλ. αναφορά στη μελέτη αξιολόγησης στην προηγούμενη ενότητα.

Εκτίμηση επιπτώσεων

Οι επιπτώσεις της παρούσας πρότασης αφορούν κατά κύριο λόγο τα όργανα και τους οργανισμούς της Ένωσης. Αυτό επιβεβαιώνεται από τις πληροφορίες που συλλέχθηκαν από τον ΕΕΠΔ, άλλα όργανα και οργανισμούς της Ένωσης, Γενικές Διευθύνσεις της Επιτροπής και από τον εξωτερικό ανάδοχο. Επιπλέον, οι επιπτώσεις των νέων υποχρεώσεων που απορρέουν από τον κανονισμό (ΕΕ) 2016/679, με τον οποίο πρόκειται να ευθυγραμμιστεί ο παρών κανονισμός, αξιολογήθηκαν στο πλαίσιο των προπαρασκευαστικών εργασιών για τον τελευταίο, γεγονός που καθιστά περιττή την εκπόνηση ειδικής εκτίμησης επιπτώσεων για τον παρόντα κανονισμό.

Καταλληλότητα του κανονιστικού πλαισίου και απλούστευση

Άνευ αντικειμένου

Θεμελιώδη δικαιώματα

Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης»), το άρθρο 16 της ΣΛΕΕ και το άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων. Όπως υπογράμμισε το Δικαστήριο της Ευρωπαϊκής Ένωσης 8 , το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να λαμβάνεται υπόψη σε σχέση με τον ρόλο που επιτελεί στην κοινωνία 9 . Η προστασία των δεδομένων συνδέεται επίσης στενά με τον σεβασμό της ιδιωτικής και της οικογενειακής ζωής που προστατεύεται από το άρθρο 7 του Χάρτη.

Η παρούσα πρόταση θεσπίζει κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Άλλα δυνητικά επηρεαζόμενα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στον Χάρτη είναι τα ακόλουθα: η ελευθερία έκφρασης (άρθρο 11)· το δικαίωμα ιδιοκτησίας και ιδίως η προστασία της διανοητικής ιδιοκτησίας (άρθρο 17 παράγραφος 2)· η απαγόρευση κάθε διάκρισης λόγω φυλής, εθνοτικής καταγωγής, γενετικών χαρακτηριστικών, θρησκείας ή πεποιθήσεων, πολιτικών φρονημάτων ή κάθε άλλης γνώμης, αναπηρίας ή γενετήσιου προσανατολισμού (άρθρο 21)· τα δικαιώματα του παιδιού (άρθρο 24)· το δικαίωμα υψηλού επιπέδου προστασίας της υγείας του ανθρώπου (άρθρο 35)· το δικαίωμα πρόσβασης στα έγγραφα (άρθρο 42)· και το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου (άρθρο 47).

4.ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ

Βλ. δημοσιονομικό δελτίο στο παράρτημα.

5.ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ

Σχέδια εφαρμογής και ρυθμίσεις παρακολούθησης, αξιολόγησης και υποβολής εκθέσεων

Άνευ αντικειμένου

Επεξηγηματικά έγγραφα (για οδηγίες)

Άνευ αντικειμένου

ΚΕΦΑΛΑΙΟ I – ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 1 ορίζει το αντικείμενο του κανονισμού και, όπως στο άρθρο 1 του κανονισμού (ΕΚ) αριθ. 45/2001, καθορίζει τους δύο στόχους του κανονισμού: προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Προβλέπει επίσης τα βασικά καθήκοντα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

Το άρθρο 2 καθορίζει το πεδίο εφαρμογής του κανονισμού: εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, με αυτοματοποιημένα ή άλλα μέσα, από όλα τα όργανα και τους οργανισμούς της Ένωσης, εφόσον η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της άσκησης δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του ενωσιακού δικαίου. Το ουσιαστικό πεδίο εφαρμογής του παρόντος κανονισμού είναι τεχνολογικά ουδέτερο. Η προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης.

Το άρθρο 3 περιέχει ορισμούς όρων που χρησιμοποιούνται στον κανονισμό. Εκτός από τους ορισμούς των «οργάνων και οργανισμών της Ένωσης», του «υπεύθυνου της επεξεργασίας», του «χρήστη» και του «καταλόγου», που αφορούν ειδικά τον παρόντα κανονισμό, οι όροι που χρησιμοποιούνται στον παρόντα κανονισμό έχουν την έννοια που τους αποδίδεται στον κανονισμό (ΕΕ) 2016/679, στον κανονισμό (ΕΕ) 0000/00 [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], στην οδηγία 00/0000/ΕΕ [οδηγία για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών] και στην οδηγία 2008/63/ΕΚ της Επιτροπής.

ΚΕΦΑΛΑΙΟ II - ΑΡΧΕΣ

Το άρθρο 4 ορίζει τις αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες αντιστοιχούν σε εκείνες του άρθρου 5 του κανονισμού (ΕΕ) 2016/679. Σε σύγκριση με τον κανονισμό (ΕΚ) αριθ. 45/2001, προστίθενται, ως νέα στοιχεία, οι αρχές της διαφάνειας, της ακεραιότητας και της εμπιστευτικότητας.

Το άρθρο 5 βασίζεται στο άρθρο 6 του κανονισμού (ΕΕ) 2016/679 και θεσπίζει τα κριτήρια για τη νομιμότητα της επεξεργασίας, με μόνη εξαίρεση το κριτήριο του έννομου συμφέροντος του υπεύθυνου της επεξεργασίας, το οποίο δεν εφαρμόζεται στον δημόσιο τομέα και δεν θα πρέπει, ως εκ τούτου, να εφαρμόζεται στα όργανα και τους οργανισμούς της Ένωσης. Το άρθρο 5 διατηρεί τα κριτήρια που έχουν ήδη θεσπιστεί με το άρθρο 5 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 6 αποσαφηνίζει τις προϋποθέσεις επεξεργασίας για άλλον συμβατό σκοπό σύμφωνα με το άρθρο 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679. Σε σύγκριση με το άρθρο 6 του κανονισμού (ΕΚ) αριθ. 45/2001, η νέα αυτή διάταξη παρέχει μεγαλύτερη ευελιξία και ασφάλεια δικαίου όσον αφορά την περαιτέρω επεξεργασία για συμβατούς σκοπούς.

Το άρθρο 7 αποσαφηνίζει, σύμφωνα με το άρθρο 7 του κανονισμού (ΕΕ) 2016/679, τις προϋποθέσεις που πρέπει να συντρέχουν ώστε η συγκατάθεση να είναι έγκυρη ως νόμιμος λόγος για σύννομη επεξεργασία.

Το άρθρο 8 θέτει, σύμφωνα με το άρθρο 8 του κανονισμού (ΕΕ) 2016/679, περαιτέρω προϋποθέσεις για τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα παιδιών σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας που προσφέρονται απευθείας σε αυτά και ορίζει ως ελάχιστη ηλικία για την έγκυρη παροχή συγκατάθεσης τα 13 έτη.

Το άρθρο 9 θεσπίζει, σύμφωνα με το άρθρο 8 του κανονισμού (ΕΚ) αριθ. 45/2001, κανόνες που προβλέπουν ειδικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτες άλλους, εκτός των οργάνων και οργανισμών της Ένωσης, που είναι εγκατεστημένοι στην Ένωση και υπόκεινται στον κανονισμό (ΕΕ) 2016/679 ή στην οδηγία (ΕΕ) 2016/680. Διευκρινίζει ότι, όταν η διαβίβαση πραγματοποιείται με πρωτοβουλία του υπεύθυνου της επεξεργασίας, θα πρέπει να αποδεικνύεται η αναγκαιότητα και η αναλογικότητά της.

Το άρθρο 10 καθορίζει τη γενική απαγόρευση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και τις εξαιρέσεις από τον γενικό αυτό κανόνα, βάσει του άρθρου 9 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 10 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 11 καθορίζει, σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 10 παράγραφος 5 του κανονισμού (ΕΚ) αριθ. 45/2001, τις προϋποθέσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Το άρθρο 12 αποσαφηνίζει τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων, σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2016/679, ορίζοντας ότι αν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται υπεύθυνος επεξεργασίας δεν του επιτρέπουν να ταυτοποιήσει φυσικό πρόσωπο, ο υπεύθυνος της επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτήσει συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο προς τον σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος της επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του.

Το άρθρο 13 θεσπίζει, βάσει του άρθρου 89 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, τους κανόνες που διέπουν τις εγγυήσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς.

ΚΕΦΑΛΑΙΟ III – ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Τμήμα 1 – Διαφάνεια και ρυθμίσεις για την άσκηση των δικαιωμάτων

Το άρθρο 14 θεσπίζει, βάσει του άρθρου 12 του κανονισμού (ΕΕ) 2016/679, την υποχρέωση των υπεύθυνων επεξεργασίας να παρέχουν διαφανείς, εύκολα προσβάσιμες και κατανοητές πληροφορίες και διαδικασίες, καθώς και μηχανισμό, για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, συμπεριλαμβανομένων, όπου ενδείκνυται, μέσων υποβολής ηλεκτρονικών αιτημάτων, με υποχρέωση απάντησης στο αίτημα του υποκειμένου των δεδομένων εντός καθορισμένης προθεσμίας και με αιτιολόγηση των αρνήσεων. Καθώς τα όργανα και οι οργανισμοί της Ένωσης δεν αναμένεται να προβαίνουν, σε καμία περίπτωση, στην επιβολή τελών για την κάλυψη του διοικητικού κόστους της παροχής των πληροφοριών, η σχετική δυνατότητα που προβλέπεται στον κανονισμό (ΕΕ) 2016/679 δεν επαναλήφθηκε στον παρόντα κανονισμό.

Τμήμα 2 – Ενημέρωση και πρόσβαση στα δεδομένα

Το άρθρο 15 καθορίζει τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων, βάσει του άρθρου 13 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 11 του κανονισμού (ΕΚ) αριθ. 45/2001, αναφέροντας τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων, συμπεριλαμβανομένων πληροφοριών σχετικά με την περίοδο αποθήκευσης, το δικαίωμα υποβολής καταγγελίας και τις διεθνείς διαβιβάσεις.

Το άρθρο 16 προσδιορίζει περαιτέρω, βάσει του άρθρου 14 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 12 του κανονισμού (ΕΚ) αριθ. 45/2001, τις υποχρεώσεις παροχής πληροφοριών του υπεύθυνου της επεξεργασίας προς το υποκείμενο των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, επιβάλλει δε την παροχή πληροφοριών σχετικά με την πηγή από την οποία προέρχονται τα δεδομένα. Εξάλλου, διατηρεί τις πιθανές παρεκκλίσεις που προβλέπει ο κανονισμός (ΕΕ) 2016/679, π.χ. η υποχρέωση παροχής πληροφοριών δεν ισχύει εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες, εάν η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια για τον υπεύθυνο της επεξεργασίας, εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή εάν η καταχώριση ή η κοινολόγηση προβλέπεται ρητώς από τον νόμο. Αυτό θα μπορούσε να ισχύει, για παράδειγμα, στο πλαίσιο διαδικασιών που κινούνται από υπηρεσίες αρμόδιες για θέματα κοινωνικής ασφάλισης ή υγείας.

Το άρθρο 17 περιλαμβάνει ρυθμίσεις, σύμφωνα με το άρθρο 15 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 13 του κανονισμού (ΕΚ) αριθ. 45/2001, σχετικά με το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, προσθέτει δε νέα στοιχεία, όπως την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων για την περίοδο αποθήκευσης, και για τα δικαιώματα διόρθωσης και διαγραφής, καθώς και υποβολής καταγγελίας.

Τμήμα 3 – Διόρθωση και διαγραφή

Το άρθρο 18 καθορίζει το δικαίωμα διόρθωσης του υποκειμένου των δεδομένων, βάσει του άρθρου 16 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 14 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 19 θεσπίζει, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 16 του κανονισμού (ΕΚ) αριθ. 45/2001, το δικαίωμα του υποκειμένου των δεδομένων στη λήθη και το δικαίωμα διαγραφής. Προβλέπει τις προϋποθέσεις του δικαιώματος του υποκειμένου των δεδομένων «στη λήθη», συμπεριλαμβανομένης της υποχρέωσης του υπεύθυνου επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να ενημερώνει τους τρίτους για το αίτημα του υποκειμένου των δεδομένων για διαγραφή τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

Το άρθρο 20 εισάγει το δικαίωμα περιορισμού της επεξεργασίας σε ορισμένες περιπτώσεις, αποφεύγοντας τον αμφίσημο όρο «κλείδωμα» που χρησιμοποιείται στον κανονισμό (ΕΚ) αριθ. 45/2001 και διασφαλίζοντας τη συνοχή με τη νέα ορολογία που χρησιμοποιείται στο άρθρο 18 του κανονισμού (ΕΕ) 2016/679.

Το άρθρο 21 προβλέπει, σύμφωνα με το άρθρο 19 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 17 του κανονισμού (ΕΚ) αριθ. 45/2001, υποχρέωση του υπεύθυνου της επεξεργασίας να γνωστοποιεί στους αποδέκτες στους οποίους κοινοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα κάθε τυχόν διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος της επεξεργασίας ενημερώνει επίσης το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον το ζητήσει το υποκείμενο των δεδομένων.

Το άρθρο 22 εισάγει, σύμφωνα με το άρθρο 20 του κανονισμού (ΕΕ) 2016/679, το δικαίωμα του υποκειμένου των δεδομένων στη φορητότητα των δεδομένων, ήτοι το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας ή να ζητά την απευθείας διαβίβαση των εν λόγω δεδομένων προσωπικού χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας, σε περίπτωση που αυτό είναι τεχνικά εφικτό. Ως προϋπόθεση και για την περαιτέρω βελτίωση της πρόσβασης των φυσικών προσώπων στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, προβλέπει το δικαίωμα λήψης των εν λόγω δεδομένων από τον υπεύθυνο της επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. Το εν λόγω δικαίωμα ισχύει μόνο όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή σε σύμβαση που έχει συναφθεί από αυτό.

Τμήμα 4 – Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Το άρθρο 23 προβλέπει δικαίωμα εναντίωσης του υποκειμένου των δεδομένων, βάσει του άρθρου 21 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 18 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 24 αφορά το δικαίωμα του υποκειμένου των δεδομένων να μην υπόκειται σε μέτρο που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το άρθρο 22 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 19 του κανονισμού (ΕΚ) αριθ. 45/2001.

Τμήμα 5 – Περιορισμοί

Το άρθρο 25 επιτρέπει περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων που προβλέπονται στα άρθρα 14 ως 22 και στα άρθρα 34 και 38, καθώς και στις αρχές που θεσπίζονται στο άρθρο 4 (εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 ως 22). Οι εν λόγω περιορισμοί θα πρέπει να προβλέπονται σε νομικές πράξεις που έχουν θεσπιστεί βάσει των Συνθηκών ή των εσωτερικών κανονισμών των οργάνων και οργανισμών της Ένωσης. Σε περίπτωση που δεν προβλέπεται δυνατότητα τέτοιου περιορισμού στις νομικές πράξεις που έχουν θεσπιστεί βάσει των Συνθηκών ή των εσωτερικών κανονισμών των οργάνων και οργανισμών της Ένωσης, τα τελευταία μπορούν να επιβάλουν κατά περίπτωση περιορισμό, εφόσον αυτός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών, σε σχέση με συγκεκριμένη πράξη επεξεργασίας, και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός ή περισσοτέρων από τους στόχους που επιτρέπουν την επιβολή περιορισμών στα δικαιώματα του υποκειμένου των δεδομένων. Η προσέγγιση αυτή συνάδει με το άρθρο 23 του κανονισμού (ΕΕ) 2016/679. Εντούτοις, σε αντίθεση με το άρθρο 23 του κανονισμού (ΕΕ) 2016/679 και σύμφωνα με το άρθρο 20 του κανονισμού (ΕΚ) αριθ. 45/2001, η διάταξη δεν προβλέπει τη δυνατότητα περιορισμού του δικαιώματος εναντίωσης και του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Οι απαιτήσεις σχετικά με τους περιορισμούς συνάδουν με τον Χάρτη των Θεμελιωδών Δικαιωμάτων και την Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων, όπως ερμηνεύονται από το Δικαστήριο της Ευρωπαϊκής Ένωσης και το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου, αντίστοιχα.

ΚΕΦΑΛΑΙΟ IV – ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Τμήμα 1 – Γενικές υποχρεώσεις

Το άρθρο 26 βασίζεται στο άρθρο 24 του κανονισμού (ΕΕ) 2016/679 και εισάγει την «αρχή της λογοδοσίας» περιγράφοντας την υποχρέωση ευθύνης του υπεύθυνου της επεξεργασίας να συμμορφώνεται με τον παρόντα κανονισμό και να επιδεικνύει τη συμμόρφωσή του, μεταξύ άλλων, μέσω της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων και, όπου ενδείκνυται, εσωτερικών πολιτικών και μηχανισμών διασφάλισης της εν λόγω συμμόρφωσης. Το άρθρο 24 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 δεν επαναλήφθηκε στην παρούσα διάταξη, καθώς τα όργανα και οι οργανισμοί της Ένωσης δεν θα πρέπει να τηρούν κώδικες δεοντολογίας ή μηχανισμούς πιστοποίησης.

Το άρθρο 27 καθορίζει, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2016/679, τις υποχρεώσεις του υπεύθυνου της επεξεργασίας οι οποίες απορρέουν από τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Το άρθρο 28, που αφορά τους από κοινού υπευθύνους επεξεργασίας, βασίζεται στο άρθρο 26 του κανονισμού (ΕΕ) 2016/679 και αποσαφηνίζει τις αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας –είτε πρόκειται για όργανα και οργανισμούς της Ένωσης είτε όχι– όσον αφορά τόσο τη μεταξύ τους σχέση όσο και τη σχέση τους με το υποκείμενο των δεδομένων. Η εν λόγω διάταξη αφορά τις περιπτώσεις κατά τις οποίες όλοι οι από κοινού υπεύθυνοι επεξεργασίας καλύπτονται από το ίδιο νομικό καθεστώς (τον παρόντα κανονισμό) και τις περιπτώσεις κατά τις οποίες ορισμένοι εξ αυτών καλύπτονται από τον παρόντα κανονισμό ενώ οι υπόλοιποι καλύπτονται από άλλη νομική πράξη [τον κανονισμό (ΕΕ) 2016/679, την οδηγία (ΕΕ) 2016/680, την οδηγία (ΕΕ) 2016/681 και άλλα ειδικά καθεστώτα προστασίας των δεδομένων που αφορούν τα όργανα και τους οργανισμούς της Ένωσης].

Το άρθρο 29 βασίζεται στο άρθρο 28 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσει περαιτέρω το άρθρο 23 του κανονισμού (ΕΚ) αριθ. 45/2001, αποσαφηνίζοντας τη θέση και τις υποχρεώσεις των εκτελούντων την επεξεργασία και ορίζοντας, μεταξύ άλλων, ότι εκτελών την επεξεργασία που καθορίζει, κατά παράβαση του παρόντος κανονισμού, τους σκοπούς και τα μέσα της επεξεργασίας θεωρείται υπεύθυνος της επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Το άρθρο 30, που αφορά την επεξεργασία υπό την εποπτεία του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, βασίζεται στο άρθρο 29 του κανονισμού (ΕΕ) 2016/679 και απαγορεύει στον εκτελούντα την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, να επεξεργάζεται τα εν λόγω δεδομένα, παρ’ εκτός κατ’ εντολή του υπεύθυνου της επεξεργασίας, πλην εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

Το άρθρο 31 βασίζεται στο άρθρο 30 του κανονισμού (ΕΕ) 2016/679 και θεσπίζει υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία να διατηρούν τεκμηρίωση των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνοι, αντί της προηγούμενης κοινοποίησης στον ΕΕΠΔ που προβλέπει το άρθρο 25 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο μητρώο υπευθύνων προστασίας δεδομένων. Σε αντίθεση με τον κανονισμό (ΕΕ) 2016/679, η εν λόγω διάταξη δεν κάνει αναφορά σε εκπροσώπους, καθώς τα όργανα της Ένωσης δεν θα έχουν εκπροσώπους αλλά θα έχουν πάντοτε υπεύθυνους προστασίας δεδομένων. Δεν διατηρήθηκαν οι αναφορές σε διαβιβάσεις βάσει παρεκκλίσεων για ειδικές καταστάσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679, καθώς οι εν λόγω τύποι διαβιβάσεων δεν προβλέπονται στον παρόντα κανονισμό. Η υποχρέωση τήρησης αρχείου των δραστηριοτήτων επεξεργασίας είναι δυνατό να τηρείται σε επίπεδο οργάνου ή οργανισμού της Ένωσης. Σε αυτή την περίπτωση, τα όργανα και οι οργανισμοί της Ένωσης έχουν τη δυνατότητα να τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους με τη μορφή δημόσια προσβάσιμου μητρώου.

Το άρθρο 32 αποσαφηνίζει, βάσει του άρθρου 31 του κανονισμού (ΕΕ) 2016/679, τις υποχρεώσεις συνεργασίας των οργάνων και των οργανισμών της Ένωσης με τον ΕΕΠΔ.

Τμήμα 2 – Ασφάλεια των δεδομένων προσωπικού χαρακτήρα και απόρρητο των ηλεκτρονικών επικοινωνιών

Το άρθρο 33 υποχρεώνει, σύμφωνα με το άρθρο 32 του κανονισμού (ΕΕ) 2016/679 και αναπτύσσοντας περαιτέρω το άρθρο 22 του κανονισμού (ΕΚ) αριθ. 45/2001, τον υπεύθυνο της επεξεργασίας να εφαρμόζει κατάλληλα μέτρα για την ασφάλεια της επεξεργασίας, επεκτείνοντας την εν λόγω υποχρέωση στους εκτελούντες την επεξεργασία, ανεξαρτήτως της σύμβασης με τον υπεύθυνο της επεξεργασίας.

Το άρθρο 34 βασίζεται στο άρθρο 36 του κανονισμού (ΕΚ) αριθ. 45/2001 και διασφαλίζει το απόρρητο των ηλεκτρονικών επικοινωνιών εντός των οργάνων και οργανισμών της Ένωσης.

Το άρθρο 35 βασίζεται στην ισχύουσα πρακτική των οργάνων και οργανισμών της Ένωσης και προστατεύει τις πληροφορίες που σχετίζονται με τον εξοπλισμό τερματικών των τελικών χρηστών οι οποίοι επισκέπτονται δημόσια διαθέσιμους δικτυακούς τόπους και εφαρμογές για φορητές συσκευές που παρέχονται από τα όργανα και τους οργανισμούς της ΕΕ, σύμφωνα με τον κανονισμό (ΕΕ) XXXX/XX [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], και ιδίως το άρθρο 8.

Το άρθρο 36 βασίζεται στο άρθρο 38 του κανονισμού (ΕΚ) αριθ. 45/2001 και προστατεύει τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε δημόσιους και ιδιωτικούς καταλόγους των οργάνων και οργανισμών της Ένωσης.

Τα άρθρα 37 και 38 εισάγουν υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679.

Τμήμα 3 – Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και προηγούμενη διαβούλευση

Το άρθρο 39 βασίζεται στο άρθρο 35 του κανονισμού (ΕΕ) 2016/679 και εισάγει υποχρέωση των υπευθύνων της επεξεργασίας και των εκτελούντων την επεξεργασία να διενεργούν εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων πριν από την εκτέλεση πράξεων επεξεργασίας οι οποίες ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η υποχρέωση αυτή θα ισχύει ιδίως στην περίπτωση συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων ή συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Το άρθρο 40 βασίζεται στο άρθρο 36 του κανονισμού (ΕΕ) 2016/679 και αφορά τις περιπτώσεις στις οποίες απαιτείται άδεια από, και διαβούλευση με, τον ΕΕΠΔ πριν από την επεξεργασία. Η πρώτη παράγραφος του άρθρου 40 αναπαράγει, πάντως, την αιτιολογική σκέψη 94 του κανονισμού (ΕΕ) 2016/679 και αποσκοπεί στην αποσαφήνιση του πεδίου εφαρμογής της υποχρέωσης διαβούλευσης.

Τμήμα 4 – Ενημέρωση και νομοθετική διαβούλευση

Το άρθρο 41 προβλέπει υποχρέωση των οργάνων και των οργανισμών της Ένωσης να ενημερώνουν τον ΕΕΠΔ οσάκις εκπονούν διοικητικά μέτρα και εσωτερικούς κανονισμούς που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Το άρθρο 42 θεσπίζει υποχρέωση της Επιτροπής διαβούλευσης με τον ΕΕΠΔ μετά την έγκριση προτάσεων νομοθετικών πράξεων και συστάσεων ή προτάσεων προς το Συμβούλιο βάσει του άρθρου 218 ΣΛΕΕ, καθώς και κατά την κατάρτιση κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων που έχουν αντίκτυπο στην προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι πράξεις αυτές είναι ιδιαίτερα σημαντικές για την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή δύναται επίσης να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, οι δύο οντότητες θα πρέπει να συντονίζουν τις εργασίες τους με γνώμονα την έκδοση κοινής γνωμοδότησης. Ορίζεται προθεσμία 8 εβδομάδων για την έκδοση της συμβουλευτικής γνωμοδότησης στις προαναφερθείσες περιπτώσεις, με πιθανές εξαιρέσεις σε επείγουσες περιπτώσεις ή εφόσον κρίνεται σκόπιμο για άλλους λόγους, για παράδειγμα όταν η Επιτροπή καταρτίζει κατ’ εξουσιοδότηση και εκτελεστικές πράξεις.

Τμήμα 5 – Υποχρέωση απάντησης σε καταγγελίες παραβάσεων

Το άρθρο 43 θεσπίζει υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία να απαντούν σε καταγγελίες παραβάσεων σε περίπτωση που ο ΕΕΠΔ αποφάσισε να τους παραπέμψει κάποιο θέμα.

Τμήμα 6 – Υπεύθυνος προστασίας δεδομένων

Το άρθρο 44 βασίζεται στο άρθρο 37 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει τον υποχρεωτικό ορισμό υπευθύνου προστασίας δεδομένων στα όργανα και τους οργανισμούς της Ένωσης.

Το άρθρο 45 βασίζεται στο άρθρο 38 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, και καθορίζει τη θέση του υπευθύνου προστασίας δεδομένων.

Το άρθρο 46 βασίζεται στο άρθρο 39 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 24 του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς και στις παραγράφους 2 και 3 του παραρτήματος του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει τα βασικά καθήκοντα του υπεύθυνου προστασίας δεδομένων.

ΚΕΦΑΛΑΙΟ V – ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΣΕ ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Το άρθρο 47 βασίζεται και αναπτύσσει περαιτέρω το άρθρο 9 του κανονισμού (ΕΚ) αριθ. 45/2001, προσδιορίζοντας με ακρίβεια τη γενική αρχή, σύμφωνα με το άρθρο 44 του κανονισμού (ΕΕ) 2016/679, ότι η συμμόρφωση με τις λοιπές διατάξεις του παρόντος κανονισμού και με τις προϋποθέσεις που θεσπίζονται στο κεφάλαιο V είναι υποχρεωτική για κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό.

Το άρθρο 48 ορίζει ότι διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει, σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό, και εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου της επεξεργασίας. Το άρθρο 48 αναπαράγει τις παραγράφους 2 και 3 του άρθρου 9 του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς συνιστούν χρήσιμα στοιχεία για την παρακολούθηση του επιπέδου προστασίας σε τρίτες χώρες και διεθνείς οργανισμούς.

Το άρθρο 49 βασίζεται στο άρθρο 46 του κανονισμού (ΕΕ) 2016/679 και απαιτεί για τις διαβιβάσεις προς τρίτες χώρες, εφόσον δεν έχει ληφθεί απόφαση περί επάρκειας από την Επιτροπή, την προσθήκη κατάλληλων εγγυήσεων, και ιδίως τυποποιημένων ρητρών προστασίας των δεδομένων και συμβατικών ρητρών. Δεσμευτικοί εταιρικοί κανόνες, κώδικες δεοντολογίας και μηχανισμοί πιστοποίησης μπορούν ενδεχομένως να χρησιμοποιηθούν, σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, από εκτελούντες επεξεργασία άλλους, εκτός των οργάνων και οργανισμών της Ένωσης. Η τέταρτη παράγραφος του εν λόγω άρθρου σχετικά με την υποχρέωση των οργάνων και οργανισμών της Ένωσης να γνωστοποιούν στον ΕΕΠΔ τις κατηγορίες περιπτώσεων στις οποίες εφάρμοσαν το εν λόγω άρθρο αντιστοιχεί στο άρθρο 9 παράγραφος 8 του κανονισμού (ΕΚ) αριθ. 45/2001 και διατηρήθηκε λόγω της ειδικότητάς της. Η πέμπτη παράγραφος αφορά τη διατήρηση των υφιστάμενων αδειών που προβλέπονται στο άρθρο 46 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679.

Το άρθρο 50 διευκρινίζει, σύμφωνα με το άρθρο 48 του κανονισμού (ΕΕ) 2016/679, ότι οι αποφάσεις δικαστηρίων ή οι αποφάσεις διοικητικών αρχών τρίτων χωρών που απαιτούν διαβίβαση ή κοινοποίηση δεδομένων προσωπικού χαρακτήρα μπορούν να αναγνωριστούν ή να είναι εκτελεστές κατ’ οποιονδήποτε τρόπο μόνο εάν βασίζονται σε διεθνή συμφωνία, όπως σε σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.

Το άρθρο 51 βασίζεται στο άρθρο 49 του κανονισμού (ΕΕ) 2016/679 και προσδιορίζει και αποσαφηνίζει τις παρεκκλίσεις όσον αφορά τη διαβίβαση δεδομένων. Αυτό ισχύει ιδίως για τις αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών ή μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή για τη διαχείριση της αλιείας. Η πέμπτη παράγραφος σχετικά με την υποχρέωση γνωστοποίησης στον ΕΕΠΔ των κατηγοριών περιπτώσεων στις οποίες εφάρμοσαν παρεκκλίσεις για τη διαβίβαση δεδομένων αντιστοιχεί στο ισχύον άρθρο 9 παράγραφος 8 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 52 βασίζεται στο άρθρο 50 του κανονισμού (ΕΕ) 2016/679 και προβλέπει ρητά μηχανισμούς διεθνούς συνεργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα μεταξύ του ΕΕΠΔ, σε συνεργασία με την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, και των εποπτικών αρχών τρίτων χωρών.

ΚΕΦΑΛΑΙΟ VI - Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Το άρθρο 53 βασίζεται στο άρθρο 41 του κανονισμού (ΕΚ) αριθ. 45/2001 και αφορά τη σύσταση του ΕΕΠΔ.

Το άρθρο 54 βασίζεται στο άρθρο 42 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο άρθρο 3 της απόφασης 1247/2002/ΕΚ, και θεσπίζει τους κανόνες που διέπουν τον διορισμό του ΕΕΠΔ από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Καθορίζει επίσης τη διάρκεια της θητείας του: πέντε έτη.

Το άρθρο 55 βασίζεται στο άρθρο 43 του κανονισμού (ΕΚ) αριθ. 45/2001 και στο άρθρο 1 της απόφασης 1247/2002/ΕΚ, και προβλέπει το καθεστώς και τους γενικούς όρους που διέπουν την άσκηση των καθηκόντων του ΕΕΠΔ και του προσωπικού του, καθώς και τους οικονομικούς πόρους.

Το άρθρο 56 βασίζεται στο άρθρο 52 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 44 του κανονισμού (ΕΚ) αριθ. 45/2001, και αποσαφηνίζει τους όρους της ανεξαρτησίας του ΕΕΠΔ, λαμβανομένης υπόψη της νομολογίας του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Το άρθρο 57 ορίζει, με βάση το άρθρο 45 του κανονισμού (ΕΚ) αριθ. 45/2001, τα καθήκοντα του ΕΕΠΔ τήρησης του απορρήτου, τόσο κατά τη διάρκεια της θητείας του όσο και μετά τη λήξη της, όσον αφορά οποιεσδήποτε εμπιστευτικές πληροφορίες που έχουν περιέλθει σε γνώση του κατά την εκτέλεση των καθηκόντων του.

Το άρθρο 58 βασίζεται στο άρθρο 57 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 46 του κανονισμού (ΕΚ) αριθ. 45/2001, και ορίζει τα καθήκοντα του ΕΕΠΔ, περιλαμβανομένων της ακρόασης και της εξέτασης καταγγελιών και της προώθησης της ευαισθητοποίησης του κοινού για τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα.

Το άρθρο 59 βασίζεται στο άρθρο 58 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 47 του κανονισμού (ΕΚ) αριθ. 45/2001, και καθορίζει τις εξουσίες του ΕΕΠΔ.

Το άρθρο 60 βασίζεται στο άρθρο 59 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 48 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει υποχρέωση του ΕΕΠΔ να καταρτίζει ετήσια έκθεση δραστηριοτήτων.

ΚΕΦΑΛΑΙΟ VII – ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ

Το άρθρο 61 βασίζεται στο άρθρο 61 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 46 στοιχείο στ) του κανονισμού (ΕΚ) αριθ. 45/2001, και θεσπίζει ρητούς κανόνες για τη συνεργασία του ΕΕΠΔ με τις εθνικές εποπτικές αρχές.

Το άρθρο 62 προβλέπει τις υποχρεώσεις του ΕΕΠΔ όταν άλλες ενωσιακές πράξεις παραπέμπουν στο εν λόγω άρθρο στο πλαίσιο της συντονισμένης εποπτείας με τις εθνικές εποπτικές αρχές. Επιδιώκει δε να εφαρμόσει ένα ενιαίο πρότυπο συντονισμένης εποπτείας, το οποίο θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για τη συντονισμένη εποπτεία συστημάτων ΤΠ μεγάλης κλίμακας, όπως το Eurodac, το Σύστημα Πληροφοριών Schengen II, το Σύστημα Πληροφοριών για τις Θεωρήσεις, το Τελωνειακό Σύστημα Πληροφοριών ή το Σύστημα Πληροφόρησης για την Εσωτερική Αγορά, αλλά επίσης και για την εποπτεία ορισμένων οργανισμών της Ένωσης στους οποίους εφαρμόζεται ειδικό πρότυπο συνεργασίας μεταξύ του ΕΕΠΔ και των εθνικών αρχών, όπως στην Ευρωπόλ. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να λειτουργήσει ως ενιαίο φόρουμ για τη διασφάλιση της αποτελεσματικότητας της συντονισμένης εποπτείας γενικότερα.

ΚΕΦΑΛΑΙΟ VIII – ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Το άρθρο 63 βασίζεται στο άρθρο 77 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 32 του κανονισμού (ΕΚ) αριθ. 45/2001, και προβλέπει το δικαίωμα κάθε υποκειμένου δεδομένων να υποβάλει καταγγελία στον ΕΕΠΔ. Θεσπίζει ακόμη υποχρέωση του ΕΕΠΔ να χειρίζεται τις καταγγελίες και να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός προθεσμίας τριών μηνών, μετά την άπρακτη πάροδο της οποίας η καταγγελία θα θεωρείται ως απορριφθείσα.

Το άρθρο 64 διατηρεί το άρθρο 32 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 45/2001, προβλέποντας αρμοδιότητα του Δικαστηρίου της Ευρωπαϊκής Ένωσης να εκδικάζει κάθε διαφορά που σχετίζεται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αιτήσεων αποζημίωσης.

Το άρθρο 65 καθορίζει το δικαίωμα αποζημίωσης, τόσο για υλική όσο και μη υλική ζημία, με την επιφύλαξη των προϋποθέσεων, συμπεριλαμβανομένων αυτών της ευθύνης, που προβλέπονται στις Συνθήκες.

Το άρθρο 66 βασίζεται στο άρθρο 83 του κανονισμού (ΕΕ) 2016/679 και παρέχει στον ΕΕΠΔ την εξουσία να επιβάλλει διοικητικά πρόστιμα στα όργανα και τους οργανισμούς της Ένωσης, ως κύρωση έσχατης ανάγκης και μόνο όταν τα όργανα και οι οργανισμοί της Ένωσης δεν συμμορφώθηκαν με εντολή του ΕΕΠΔ προβλεπόμενη στο άρθρο 59 παράγραφος 2 στοιχεία α) ως η) και στοιχείο ι). Το εν λόγω άρθρο καθορίζει επίσης τα κριτήρια προσδιορισμού του ύψους του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, ενώ ο καθορισμός των ανώτατων ετήσιων ορίων έχει βασιστεί στο ύψος των προστίμων που επιβάλλονται σε ορισμένα κράτη μέλη.

Το άρθρο 67 επιτρέπει, σύμφωνα με το άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, σε ορισμένους φορείς, οργανώσεις ή ενώσεις να υποβάλουν καταγγελία για λογαριασμό του υποκειμένου των δεδομένων.

Το άρθρο 68 προβλέπει, σύμφωνα με το άρθρο 33 του κανονισμού (ΕΚ) αριθ. 45/2001, ειδικούς κανόνες για την προστασία του προσωπικού της Ένωσης, το οποίο δύναται να υποβάλει καταγγελία στον ΕΕΠΔ επικαλούμενο παράβαση των διατάξεων του παρόντος κανονισμού, χωρίς να ακολουθηθεί η επίσημη οδός.

Το άρθρο 69 βασίζεται στο άρθρο 49 του κανονισμού (ΕΚ) αριθ. 45/2001 και προβλέπει κυρώσεις για κάθε παράλειψη συμμόρφωσης προς τις υποχρεώσεις τις οποίες υπέχει υπάλληλος ή άλλο μέλος του προσωπικού της Ευρωπαϊκής Ένωσης δυνάμει του παρόντος κανονισμού.

ΚΕΦΑΛΑΙΟ IX – ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Το άρθρο 70 περιέχει τη διάταξη για τη διαδικασία επιτροπής που απαιτείται για την ανάθεση εκτελεστικών εξουσιών στην Επιτροπή στις περιπτώσεις στις οποίες, σύμφωνα με το άρθρο 291 ΣΛΕΕ, απαιτούνται ενιαίες προϋποθέσεις για την εκτέλεση των νομικά δεσμευτικών πράξεων της Ένωσης. Εφαρμόζεται η διαδικασία εξέτασης.

ΚΕΦΑΛΑΙΟ X – ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 71 καταργεί τον κανονισμό (ΕΚ) αριθ. 45/2001 και την απόφαση αριθ. 1247/2002/ΕΚ, και ορίζει ότι οι παραπομπές στις δύο καταργηθείσες πράξεις νοούνται ως παραπομπές στον παρόντα κανονισμό.

Το άρθρο 72 διευκρινίζει ότι οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν επηρεάζονται από τον παρόντα κανονισμό, και ότι το άρθρο 54 παράγραφοι 4, 5 και 7, και τα άρθρα 56 και 57 του κανονισμού εφαρμόζονται στον νυν αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του, ήτοι ως τις 5 Δεκεμβρίου 2019.

Το άρθρο 73 ορίζει ως ημερομηνία έναρξης της εφαρμογής του παρόντος κανονισμού την 25η Μαΐου 2018, με γνώμονα τη διασφάλιση συνεκτικότητας με την ημερομηνία έναρξης της εφαρμογής του κανονισμού (ΕΕ) 2016/679.



2017/0002 (COD)

Πρόταση

ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής 10 ,

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία,

Εκτιμώντας τα ακόλουθα:

(1)Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (ο «Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

(2)Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 11 παρέχει νομικά εκτελεστά δικαιώματα στα φυσικά πρόσωπα, καθορίζει τις υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων εντός των οργάνων και οργανισμών της Ένωσης, και συστήνει ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, με αρμοδιότητα την παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Δεν εφαρμόζεται, ωστόσο, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριότητας οργάνων και οργανισμών της Ένωσης η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.

(3)Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 12 και η οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 13 εγκρίθηκαν στις 27 Απριλίου 2016. Ο κανονισμός θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, ενώ η οδηγία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(4)Ο κανονισμός (ΕΕ) 2016/679 τονίζει την ανάγκη να γίνουν οι αναγκαίες προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η εφαρμογή του ταυτόχρονα με τον κανονισμό (ΕΕ) 2016/679.

(5)Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζει ο δημόσιος τομέας των κρατών μελών προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, καθώς και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης. Οσάκις οι διατάξεις του παρόντος κανονισμού στηρίζονται στην ίδια αντίληψη με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις των εν λόγω δύο πράξεων θα πρέπει να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία του παρόντος κανονισμού θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/679.

(6)Θα πρέπει να προστατεύονται τα πρόσωπα των οποίων δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από όργανα και οργανισμούς της Ένωσης σε οποιοδήποτε πλαίσιο, παραδείγματος χάριν, διότι τα πρόσωπα αυτά απασχολούνται από αυτά τα όργανα ή τους οργανισμούς. Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.

(7)Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα αρχεία ή τα σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.

(8)Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην τελική πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ. Ο παρών κανονισμός θα πρέπει επομένως να εφαρμόζεται στους οργανισμούς της Ένωσης που δραστηριοποιούνται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας μόνο στον βαθμό που το δίκαιο της Ένωσης που εφαρμόζεται στους εν λόγω οργανισμούς δεν περιέχει ειδικούς κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

(9)Η οδηγία (ΕΕ) 2016/680 προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Για να διασφαλιστεί το ίδιο επίπεδο προστασίας των φυσικών προσώπων μέσω νομικά εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ των οργανισμών της Ένωσης που δραστηριοποιούνται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας και των αρμόδιων αρχών των κρατών μελών, οι κανόνες που διέπουν την προστασία και την ελεύθερη κυκλοφορία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία από τους εν λόγω οργανισμούς της Ένωσης θα πρέπει να στηρίζονται στις αρχές του παρόντος κανονισμού και να συνάδουν με την οδηγία (ΕΕ) 2016/680.

(10)Όταν η ιδρυτική πράξη οργανισμού της Ένωσης ο οποίος εκτελεί δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής των κεφαλαίων 4 και 5 του τίτλου V της Συνθήκης προβλέπει αυτοτελές καθεστώς προστασίας των δεδομένων για την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, το εν λόγω καθεστώς δεν θα πρέπει να θίγεται από τον παρόντα κανονισμό. Η Επιτροπή θα πρέπει, πάντως, σύμφωνα με το άρθρο 62 της οδηγίας (ΕΕ) 2016/680, να επανεξετάσει έως τις 6 Μαΐου 2019 τις πράξεις της Ένωσης που ρυθμίζουν την επεξεργασία από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, και να διατυπώσει, εφόσον απαιτείται, τις αναγκαίες προτάσεις για την τροποποίηση των εν λόγω πράξεων ώστε να διασφαλίζεται συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(11)Οι αρχές της προστασίας των δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να συσχετισθούν με φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο της επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας των δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.

(12)Η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπεύθυνους επεξεργασίας και τους εκτελούντες επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων. Η ρητή εισαγωγή της «ψευδωνυμοποίησης» στον παρόντα κανονισμό δεν προορίζεται να αποκλείσει οποιοδήποτε άλλο μέτρο προστασίας των δεδομένων.

(13)Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.

(14)Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.

(15)Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπεύθυνου της επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό απαιτεί ιδίως να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος της επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού.

(16)Σύμφωνα με την αρχή της λογοδοσίας, όταν τα όργανα και οι οργανισμοί της Ένωσης προβαίνουν σε διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό τους ή προς άλλα όργανα ή οργανισμούς της Ένωσης, θα πρέπει να ελέγχουν εάν τα δεδομένα αυτά είναι αναγκαία για τη νόμιμη εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του αποδέκτη όταν ο τελευταίος δεν υπάγεται στον υπεύθυνο της επεξεργασίας. Ιδίως, αφού λάβει αίτημα διαβίβασης δεδομένων προσωπικού χαρακτήρα από αποδέκτη, ο υπεύθυνος της επεξεργασίας θα πρέπει να επαληθεύει ότι υφίσταται πράγματι λόγος για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα, να ελέγχει την αρμοδιότητα του αποδέκτη και να αξιολογεί προσωρινά την αναγκαιότητα διαβίβασης των δεδομένων. Εάν ανακύπτουν αμφιβολίες ως προς την αναγκαιότητα της διαβίβασης αυτής, ο υπεύθυνος της επεξεργασίας θα πρέπει να ζητά περαιτέρω διευκρινίσεις από τον αποδέκτη. Ο αποδέκτης θα πρέπει να μεριμνά ώστε η αναγκαιότητα της διαβίβασης των δεδομένων να μπορεί να επαληθεύεται μεταγενέστερα.

(17)Για να είναι σύννομη η επεξεργασία, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση την αναγκαιότητα εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον από τα όργανα και τους οργανισμούς της Ένωσης ή κατά την άσκηση της δημόσιας εξουσίας τους, με βάση την ανάγκη συμμόρφωσης με την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος της επεξεργασίας ή με άλλη βάση, προβλεπόμενη από τον νόμο, κατά τα οριζόμενα στον παρόντα κανονισμό, περιλαμβανομένης της συγκατάθεσης του ενδιαφερόμενου υποκειμένου των δεδομένων ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση καθήκοντος που ασκούν προς το δημόσιο συμφέρον τα όργανα και οι οργανισμοί της Ένωσης περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για τη διαχείριση και τη λειτουργία των εν λόγω οργάνων και οργανισμών. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ’ αρχήν να διενεργείται μόνο εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.

(18)Το δίκαιο της Ένωσης, περιλαμβανομένων των εσωτερικών κανονισμών που αναφέρονται στον παρόντα κανονισμό, θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.

(19)Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, το δίκαιο της Ένωσης μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος της επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο της επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

(20)Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος της επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιον βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου 14 , θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο της επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπεύθυνου της επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.

(21)Τα παιδιά απαιτούν ειδική προστασία όσον αφορά τα δεδομένα τους προσωπικού χαρακτήρα, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων, συνεπειών και εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτή η ειδική προστασία θα πρέπει να ισχύει ιδίως στη δημιουργία προφίλ προσωπικότητας και στη συλλογή δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται απευθείας σε παιδιά σε δικτυακούς τόπους οργάνων και οργανισμών της Ένωσης, όπως υπηρεσιών διαπροσωπικής επικοινωνίας ή διαδικτυακής πώλησης εισιτηρίων, και όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται σε συγκατάθεση.

(22)Όταν αποδέκτες εγκατεστημένοι στην Ένωση οι οποίοι υπόκεινται στον κανονισμό (ΕΕ) 2016/679 ή την οδηγία (ΕΕ) 2016/680 επιθυμούν να τους διαβιβαστούν δεδομένα προσωπικού χαρακτήρα από όργανα και οργανισμούς της Ένωσης, οι εν λόγω αποδέκτες θα πρέπει να αποδεικνύουν ότι η διαβίβαση είναι αναγκαία για την επίτευξη του στόχου τους, είναι αναλογική και δεν υπερβαίνει τα απαιτούμενα για την επίτευξη του εν λόγω στόχου. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να αποδεικνύουν την εν λόγω αναγκαιότητα όταν η διαβίβαση γίνεται με δική τους πρωτοβουλία, σε συμμόρφωση προς την αρχή της διαφάνειας.

(23)Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η επεξεργασία ευαίσθητων δεδομένων, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.

(24)Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συναίνεση του υποκειμένου των δεδομένων. Η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 15 , δηλαδή ως το σύνολο των στοιχείων που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, περιλαμβανομένων της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται για την υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν, καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους.

(25)Εάν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται υπεύθυνος επεξεργασίας δεν του επιτρέπουν να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτά συμπληρωματικές πληροφορίες, προκειμένου να ταυτοποιήσει το υποκείμενο των δεδομένων με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση του υποκειμένου των δεδομένων, λόγου χάρη μέσω μηχανισμού επαλήθευσης της ταυτότητας, όπως είναι τα ίδια διακριτικά στοιχεία τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων κατά την είσοδο (log-in) στην επιγραμμική υπηρεσία που προσφέρεται από τον υπεύθυνο επεξεργασίας.

(26)Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, ιδίως, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος της επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (όπως, για παράδειγμα, η ψευδωνυμοποίηση των δεδομένων). Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να προβλέπουν κατάλληλες εγγυήσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, το οποίο μπορεί να περιλαμβάνει και εσωτερικούς κανονισμούς.

(27)Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα εναντίωσης. Ο υπεύθυνος της επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος της επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα.

(28)Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος της επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.

(29)Οι πληροφορίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το υποκείμενο των δεδομένων θα πρέπει να του παρέχονται κατά τη συλλογή από το υποκείμενο των δεδομένων ή, εάν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από άλλη πηγή, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται όταν τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται για πρώτη φορά στον αποδέκτη. Όταν ο υπεύθυνος της επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, ο υπεύθυνος της επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες αναγκαίες πληροφορίες. Όταν η προέλευση των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να γνωστοποιηθεί στο υποκείμενο των δεδομένων διότι έχουν χρησιμοποιηθεί διάφορες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες.

(30)Ένα υποκείμενο δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Επομένως, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ιδίως, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων. Όταν ο υπεύθυνος της επεξεργασίας επεξεργάζεται μεγάλες ποσότητες πληροφοριών σχετικά με το υποκείμενο των δεδομένων, ο υπεύθυνος της επεξεργασίας θα πρέπει να δύναται να ζητεί από το υποκείμενο, πριν δοθούν οι πληροφορίες, να προσδιορίζει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας που σχετίζονται με το αίτημα.

(31)Ένα υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης στο οποίο υπόκειται ο υπεύθυνος της επεξεργασίας. Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, εάν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του για την επεξεργασία ή εάν αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό κατ’ άλλο τρόπο. Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκήσει το εν λόγω δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, για τη συμμόρφωση με νομική υποχρέωση, για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

(32)Για να ενισχυθεί το δικαίωμα στη λήθη στο επιγραμμικό περιβάλλον, το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού χαρακτήρα ώστε να διαγράψουν οποιουσδήποτε συνδέσμους ή αντίγραφα ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Όταν το πράττει, ο εν λόγω υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει εύλογα μέτρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και τα μέσα που έχει στη διάθεσή του ο υπεύθυνος επεξεργασίας, μεταξύ άλλων και τεχνικά μέτρα, ώστε να ενημερωθούν οι υπεύθυνοι επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σχετικά με το αίτημα του υποκειμένου των δεδομένων.

(33)Μέθοδοι με τις οποίες περιορίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την αφαίρεση της προσβασιμότητας των επιλεγμένων δεδομένων προσωπικού χαρακτήρα από τους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ’ αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα.

(34)Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων του προσωπικού χαρακτήρα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης τη δυνατότητα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και που έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Το εν λόγω δικαίωμα θα πρέπει να εφαρμόζεται σε περίπτωση που το υποκείμενο των δεδομένων παρέσχε τα δεδομένα προσωπικού χαρακτήρα με τη συγκατάθεσή του ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης. Δεν θα πρέπει συνεπώς να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος της επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση των υπευθύνων της επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη. Όταν, σε συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, θίγονται περισσότερα του ενός υποκείμενα δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ούτε τους περιορισμούς του εν λόγω δικαιώματος, όπως προβλέπονται στον παρόντα κανονισμό και ιδίως δεν θα πρέπει να συνεπάγεται διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και τα οποία έχουν παρασχεθεί από αυτό για την εκτέλεση σύμβασης, στον βαθμό και εφόσον τα δεδομένα αυτά είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Όταν είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να εξασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον.

(35)Όταν δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, κάθε υποκείμενο των δεδομένων θα πρέπει να δικαιούται παρ’ όλα αυτά να εναντιωθεί στην επεξεργασία τυχόν δεδομένων προσωπικού χαρακτήρα που αφορούν την ιδιαίτερη κατάστασή του. Θα πρέπει να εναπόκειται στον υπεύθυνο της επεξεργασίας να αποδείξει ότι τα επιτακτικά έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

(36)Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει κάποιο μέτρο, με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο, όπως σε πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Η επεξεργασία αυτή περιλαμβάνει την «κατάρτιση προφίλ» που αποτελείται από οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο, ιδίως την ανάλυση ή την πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή κινήσεις του υποκειμένου των δεδομένων, στον βαθμό που παράγει νομικά αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατ’ ανάλογο τρόπο. Ωστόσο, η λήψη απόφασης που βασίζεται σε αυτήν την επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, θα πρέπει να επιτρέπεται όταν προβλέπεται ρητά από το δίκαιο της Ένωσης. Σε κάθε περίπτωση, η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψης του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που λήφθηκε στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης. Το εν λόγω μέτρο θα πρέπει να μην αφορά παιδί. Προκειμένου να διασφαλισθεί δίκαιη και διαφανής επεξεργασία σε σχέση με το υποκείμενο των δεδομένων, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος της επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, να καθιστά ασφαλή τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και κατά τρόπο που να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή μέτρων ισοδύναμου αποτελέσματος. Η αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ που βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνο υπό ειδικές προϋποθέσεις.

(37)Νομικές πράξεις που θεσπίζονται βάσει των Συνθηκών ή των εσωτερικών κανονισμών των οργάνων και οργανισμών της Ένωσης μπορούν να επιβάλλουν περιορισμούς σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο απόρρητο των ηλεκτρονικών επικοινωνιών, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας, την πρόληψη, διερεύνηση και δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, περιλαμβανομένων της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της εσωτερικής ασφάλειας των οργάνων και οργανισμών της Ένωσης, άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, της τήρησης δημόσιων αρχείων για λόγους γενικού δημόσιου συμφέροντος ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών.

Όταν δεν προβλέπεται περιορισμός σε νομικές πράξεις που έχουν θεσπιστεί βάσει των Συνθηκών ή των εσωτερικών κανονισμών τους, τα όργανα και οι οργανισμοί της Ένωσης μπορούν, σε συγκεκριμένη περίπτωση, να επιβάλλουν κατά περίπτωση περιορισμό σε συγκεκριμένες αρχές και στα δικαιώματα του υποκειμένου των δεδομένων, εφόσον ο περιορισμός αυτός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και, σε σχέση με συγκεκριμένη πράξη επεξεργασίας, συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός ή περισσοτέρων από τους στόχους που αναφέρονται στην παράγραφο 1. Ο περιορισμός θα πρέπει να κοινοποιείται στον υπεύθυνο προστασίας δεδομένων. Όλοι οι περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

(38)Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου της επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο της επεξεργασίας ή για λογαριασμό του υπευθύνου της επεξεργασίας. Ιδίως, ο υπεύθυνος της επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων. Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο.

(39)Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος της επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος της επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.

(40)Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, απαιτούν σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπεύθυνους επεξεργασίας ή κατά την οποία πράξη επεξεργασίας εκτελείται για λογαριασμό υπευθύνου επεξεργασίας.

(41)Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπεύθυνου της επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος της επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς εγγυήσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση άλλων εκτελούντων επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωση του με τις υποχρεώσεις του υπευθύνου της επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο της επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος της επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας για λογαριασμό του υπευθύνου της επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπεύθυνου της επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει αυτά τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία.

(42)Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς τον παρόντα κανονισμό, οι υπεύθυνοι επεξεργασίας θα πρέπει να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους και οι εκτελούντες επεξεργασία θα πρέπει να τηρούν αρχεία των κατηγοριών δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να υποχρεούνται να συνεργάζονται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και να θέτουν στη διάθεσή του, κατόπιν αιτήματός του, τα αρχεία τους, ώστε να μπορούν να χρησιμοποιούνται για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να μπορούν να συστήσουν κεντρικό μητρώο στο οποίο θα τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους. Για λόγους διαφάνειας, θα πρέπει επίσης να μπορούν να επιτρέπουν την πρόσβαση του κοινού στο εν λόγω μητρώο.

(43)Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβανομένων υπόψη των τελευταίων εξελίξεων και του κόστους της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.

(44)Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, σύμφωνα με τα προβλεπόμενα στο άρθρο 7 του Χάρτη. Ιδίως, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους, την προστασία των πληροφοριών που σχετίζονται με τον εξοπλισμό τερματικών των τελικών χρηστών που έχουν πρόσβαση στους δημόσια διαθέσιμους δικτυακούς τόπους τους και σε εφαρμογές για φορητές συσκευές σύμφωνα με τον κανονισμό (ΕΕ) XXXX/XX [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], και την προστασία των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε καταλόγους χρηστών.

(45) Παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί ενδεχομένως, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος της επεξεργασίας λάβει γνώση παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν o υπεύθυνος της επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, θα πρέπει να συνοδεύεται από αιτιολογία η οποία να αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση. Όταν η καθυστέρηση είναι δικαιολογημένη, θα πρέπει να διαβιβάζονται το ταχύτερο δυνατό λιγότερο ευαίσθητες ή λιγότερο συγκεκριμένες πληροφορίες σχετικά με την παραβίαση, αντί να επιχειρείται πλήρης διαλεύκανση του περιστατικού πριν από την κοινοποίηση.

(46)Ο υπεύθυνος της επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του παρασχεθεί η δυνατότητα να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοινώσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και με τήρηση των οδηγιών που θα έχουν παρασχεθεί από αυτόν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου.

(47)Ο κανονισμός (ΕΚ) αριθ. 45/2001 θεσπίζει γενική υποχρέωση του υπευθύνου της επεξεργασίας να κοινοποιεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον υπεύθυνο προστασίας δεδομένων, ο οποίος με τη σειρά του τηρεί μητρώο των επεξεργασιών που του κοινοποιούνται. Παρότι η υποχρέωση αυτή συνεπάγεται διοικητικό και οικονομικό φόρτο, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, γενικές υποχρεώσεις κοινοποίησης τέτοιου είδους, χωρίς διαφοροποιήσεις, θα πρέπει να καταργηθούν και να αντικατασταθούν με αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας που ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών τους. Αυτά τα είδη πράξεων επεξεργασίας ενδέχεται να είναι εκείνα που, ιδίως, περιλαμβάνουν τη χρήση νέων τεχνολογιών ή που είναι νέου τύπου και όταν δεν έχει διενεργηθεί προηγουμένως εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο της επεξεργασίας ή όταν καθίστανται αναγκαία λόγω του χρόνου που έχει παρέλθει από την αρχική επεξεργασία. Σε αυτές τις περιπτώσεις, ο υπεύθυνος της επεξεργασίας, πριν από την επεξεργασία, θα πρέπει να διενεργεί εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων, ώστε να εκτιμήσει την ιδιαίτερη πιθανότητα και τη σοβαρότητα του υψηλού κινδύνου, λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου. Η εν λόγω εκτίμηση του αντικτύπου θα πρέπει να περιλαμβάνει, ιδίως, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό.

(48)Εάν εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος της επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να διενεργείται διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Ο εν λόγω υψηλός κίνδυνος είναι πιθανόν να προκύψει από ορισμένες μορφές επεξεργασίας και ορισμένο βαθμό και συχνότητα επεξεργασίας, με πιθανό αποτέλεσμα ακόμη και ζημία ή επέμβαση στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ανταποκρίνεται στο αίτημα για διαβούλευση σε ορισμένο χρονικό διάστημα. Ωστόσο, η απουσία αντίδρασης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων εντός της εν λόγω προθεσμίας δεν θα πρέπει να θίγει την όποια παρέμβαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με τα καθήκοντα και τις εξουσίες του που ορίζονται στον παρόντα κανονισμό, περιλαμβανομένης της εξουσίας απαγόρευσης πράξεων επεξεργασίας. Στο πλαίσιο της εν λόγω διαδικασίας διαβούλευσης, θα πρέπει να μπορεί να υποβάλλεται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων το αποτέλεσμα εκτίμησης του αντικτύπου όσον αφορά την προστασία των δεδομένων που τυχόν έχει εκπονηθεί σε σχέση με την επίμαχη επεξεργασία, ιδίως δε τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(49)Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνεται για τα διοικητικά μέτρα και τους εσωτερικούς κανονισμούς των οργάνων και οργανισμών της Ένωσης που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θεσπίζουν προϋποθέσεις για περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων ή προβλέπουν κατάλληλες εγγυήσεις για τα δικαιώματα των υποκειμένων των δεδομένων, ώστε να διασφαλίζει τη συμμόρφωση της σκοπούμενης επεξεργασίας με τον παρόντα κανονισμό και ιδίως να περιορίζει τον κίνδυνο για το υποκείμενο των δεδομένων.

(50)Με τον κανονισμό (ΕΕ) 2016/679 συστάθηκε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ως ανεξάρτητο όργανο της Ένωσης με νομική προσωπικότητα. Το Συμβούλιο Προστασίας Δεδομένων συμβάλλει στη συνεκτική εφαρμογή του κανονισμού (ΕΕ) 2016/679 και της οδηγίας 2016/680 σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή. Ταυτόχρονα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεχίσει να ασκεί τα εποπτικά και συμβουλευτικά καθήκοντα που έχει έναντι όλων των οργάνων και οργανισμών της Ένωσης, μεταξύ άλλων, με δική του πρωτοβουλία ή κατόπιν αιτήματος. Για να διασφαλιστεί η συνεκτικότητα των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, θα πρέπει να είναι υποχρεωτική η διεξαγωγή από την Επιτροπή διαβούλευσης μετά την έγκριση νομοθετικών πράξεων ή κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων και εκτελεστικών πράξεων, σύμφωνα με τα προβλεπόμενα στα άρθρα 289, 290 και 291 ΣΛΕΕ, και μετά την έγκριση συστάσεων και προτάσεων για συμφωνίες με τρίτες χώρες και διεθνείς οργανισμούς, σύμφωνα με τα προβλεπόμενα στο άρθρο 218 ΣΛΕΕ, οι οποίες έχουν αντίκτυπο στο δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Στις περιπτώσεις αυτές, η Επιτροπή θα πρέπει να διαβουλεύεται υποχρεωτικά με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν ο κανονισμός (ΕΕ) 2016/679 προβλέπει υποχρεωτική διαβούλευση με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, για παράδειγμα όσον αφορά αποφάσεις περί επάρκειας ή κατ’ εξουσιοδότηση πράξεις για τυποποιημένα εικονίδια και απαιτήσεις για μηχανισμούς πιστοποίησης. Όταν η επίμαχη πράξη είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να έχει επίσης τη δυνατότητα να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, να συντονίζει τις εργασίες του με το τελευταίο με σκοπό την έκδοση κοινής γνωμοδότησης. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και, όπου συντρέχει σχετική περίπτωση, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να παρέχουν γραπτώς τις συμβουλές τους εντός οκτώ εβδομάδων. Η εν λόγω προθεσμία θα πρέπει να είναι συντομότερη σε επείγουσες περιπτώσεις ή εάν αυτό κρίνεται σκόπιμο για άλλους λόγους, για παράδειγμα όταν η Επιτροπή επεξεργάζεται κατ’ εξουσιοδότηση και εκτελεστικές πράξεις.

(51)Στο πλαίσιο κάθε οργάνου ή οργανισμού της Ένωσης, ένας υπεύθυνος προστασίας δεδομένων θα πρέπει να μεριμνά για την τήρηση των διατάξεων του παρόντος κανονισμού και να συμβουλεύει τους υπευθύνους επεξεργασίας και τους εκτελούντες επεξεργασία ως προς την εκπλήρωση των υποχρεώσεών τους. Ο εν λόγω υπεύθυνος προστασίας δεδομένων θα πρέπει να διαθέτει εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων, η οποία θα πρέπει να καθορίζεται ειδικότερα ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων θα πρέπει να είναι σε θέση να εκτελούν τις αρμοδιότητες και τα καθήκοντά τους με ανεξάρτητο τρόπο.

(52)Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από όργανα και οργανισμούς της Ένωσης σε υπευθύνους επεξεργασίας, εκτελούντες επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός, μεταξύ άλλων και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας ή εκτελούντες επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή διεθνή οργανισμό. Σε κάθε περίπτωση, διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.

(53)Η Επιτροπή μπορεί να αποφασίζει, βάσει του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας τρίτης χώρας ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας των δεδομένων. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό από όργανο ή οργανισμό της Ένωσης μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια.

(54)Ελλείψει απόφασης περί επάρκειας, ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή συμβατικών ρητρών που εγκρίνονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, οι εν λόγω κατάλληλες εγγυήσεις μπορούν επίσης να συνίστανται σε δεσμευτικούς εταιρικούς κανόνες, κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης που χρησιμοποιούνται για διεθνείς διαβιβάσεις βάσει του κανονισμού (ΕΕ) 2016/679. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών μέσων έννομης προστασίας, συμπεριλαμβανομένου δικαιώματος άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Διαβιβάσεις μπορούν να διενεργούνται επίσης από όργανα και οργανισμούς της Ένωσης προς δημόσιες αρχές ή φορείς σε τρίτες χώρες ή προς διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.

(55)Η δυνατότητα του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή τους εκτελούντες επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος επεξεργασία, ή να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία θα πρέπει να ενθαρρύνονται να παρέχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά προς τις τυποποιημένες ρήτρες προστασίας δεδομένων.

(56)Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που επιδιώκουν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας οργάνων και οργανισμών της Ένωσης. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία να διαβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης.

(57)Σε ειδικές καταστάσεις, θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις, όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του, εφόσον η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή με νομική αξίωση, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία, μεταξύ άλλων σε διαδικασίες ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα διαβιβάσεων, εφόσον σημαντικοί λόγοι δημόσιου συμφέροντος προβλεπόμενοι από το δίκαιο της Ένωσης απαιτούν κάτι τέτοιο ή εφόσον η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή από πρόσωπα που έχουν έννομο συμφέρον. Στην τελευταία περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο, εκτός εάν αυτό επιτρέπεται από το δίκαιο της Ένωσης, και, όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο κατόπιν αιτήσεως των εν λόγω προσώπων ή, εάν πρόκειται να είναι αυτά οι αποδέκτες της διαβίβασης, λαμβανομένων πλήρως υπόψη των συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων.

(58)Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ οργάνων και οργανισμών της Ένωσης και αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας και υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου προσώπου, μεταξύ άλλων για τη σωματική ακεραιότητα ή τη ζωή, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Ελλείψει απόφασης περί επάρκειας, το δίκαιο της Ένωσης μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα υποκειμένου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, η οποία γίνεται με σκοπό να εκπληρωθεί καθήκον σύμφωνα με τις συμβάσεις της Γενεύης ή με σκοπό τη συμμόρφωση προς το διεθνές ανθρωπιστικό δίκαιο σε ένοπλες συγκρούσεις, θα μπορούσε να θεωρηθεί αναγκαία για σοβαρό λόγο δημοσίου συμφέροντος ή επειδή αποσκοπεί σε ζωτικό συμφέρον του υποκειμένου των δεδομένων.

(59)Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων.

(60)Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων, ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές της Ένωσης, περιλαμβανομένου του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, μπορεί να μην είναι σε θέση να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός της δικαιοδοσίας τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Θα πρέπει, επομένως, να προωθηθεί η στενότερη συνεργασία ανάμεσα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και άλλες εποπτικές αρχές προστασίας των δεδομένων, ώστε να διευκολύνεται η ανταλλαγή πληροφοριών με τους διεθνείς ομολόγους τους.

(61)Η σύσταση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων με τον κανονισμό (ΕΚ) αριθ. 45/2001, εξουσιοδοτημένου να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία, είναι ουσιώδης συνιστώσα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Ο παρών κανονισμός θα πρέπει να ενισχύει και να αποσαφηνίζει περαιτέρω τον ρόλο και την ανεξαρτησία του.

(62)Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει τα ίδια καθήκοντα και τις ίδιες αποτελεσματικές εξουσίες με τις εποπτικές αρχές των κρατών μελών, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και εξουσίες επιβολής κυρώσεων, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και την εξουσία να παραπέμπει παραβάσεις των διατάξεων του παρόντος κανονισμού στο Δικαστήριο της Ευρωπαϊκής Ένωσης και να παίρνει μέρος σε νομικές διαδικασίες σύμφωνα με το πρωτογενές δίκαιο. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Για να αποφεύγονται περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα που μπορεί ενδεχομένως να επηρεαστούν δυσμενώς, κάθε μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό ώστε να διασφαλίζει συμμόρφωση προς τον παρόντα κανονισμό, θα πρέπει να λαμβάνει υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης και να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί ατομικό μέτρο εις βάρος του. Κάθε νομικά δεσμευτικό μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να εκδίδεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την ημερομηνία έκδοσής του, να φέρει την υπογραφή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, και να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής.

(63)Οι αποφάσεις του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με εξαιρέσεις, εγγυήσεις, άδειες και όρους που αφορούν πράξεις επεξεργασίας δεδομένων, όπως ορίζονται στον παρόντα κανονισμό, θα πρέπει να δημοσιεύονται στην έκθεση δραστηριοτήτων. Ανεξάρτητα από την ετήσια δημοσίευση έκθεσης δραστηριοτήτων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να δημοσιεύει εκθέσεις για ειδικά θέματα.

(64)Οι εθνικές εποπτικές αρχές παρακολουθούν την εφαρμογή του κανονισμού (ΕΕ) 2016/679 και συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για να ενισχυθεί η συνεκτικότητα της εφαρμογής των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα κράτη μέλη και των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεργάζεται αποτελεσματικά με τις εθνικές εποπτικές αρχές.

(65)Σε ορισμένες περιπτώσεις, το δίκαιο της Ένωσης προβλέπει ένα πρότυπο συντονισμένης εποπτείας την οποία ασκούν από κοινού ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και οι εθνικές εποπτικές αρχές. Επιπλέον, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι η εποπτική αρχή της Ευρωπόλ και εφαρμόζεται ήδη συγκεκριμένο πρότυπο συνεργασίας με τις εθνικές εποπτικές αρχές μέσω συμβουλίου συνεργασίας που έχει συμβουλευτικά καθήκοντα. Για να βελτιωθεί η αποτελεσματικότητα της εποπτείας και της επιβολής ουσιαστικών κανόνων προστασίας των δεδομένων, θα πρέπει να θεσπιστεί ένα ενιαίο, συνεκτικό πρότυπο συντονισμένης εποπτείας σε επίπεδο Ένωσης. Η Επιτροπή θα πρέπει επομένως, όπου ενδείκνυται, να υποβάλει νομοθετικές προτάσεις για την τροποποίηση νομικών πράξεων της Ένωσης που θεσπίζουν πρότυπο συντονισμένης εποπτείας, με γνώμονα την ευθυγράμμισή τους με το πρότυπο συντονισμένης εποπτείας του παρόντος κανονισμού. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να λειτουργήσει ως ενιαίο φόρουμ για τη διασφάλιση της αποτελεσματικότητας της συντονισμένης εποπτείας γενικότερα.

(66)Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και το δικαίωμα πραγματικής δικαστικής προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης σύμφωνα με τις Συνθήκες, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν δίνει συνέχεια σε καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στην εκάστοτε περίπτωση. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνει το υποκείμενο των δεδομένων σχετικά με την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω συντονισμό με εθνική εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

(67)Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού θα πρέπει να δικαιούται αποζημίωση από τον υπεύθυνο της επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στη Συνθήκη.

(68)Για να ενισχυθεί ο εποπτικός ρόλος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και η αποτελεσματική επιβολή του παρόντος κανονισμού, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως κύρωση έσχατης ανάγκης, να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Τα πρόστιμα θα πρέπει να αποσκοπούν στην επιβολή κυρώσεων στο όργανο ή τον οργανισμό –και όχι σε φυσικά πρόσωπα– για μη συμμόρφωση με τον παρόντα κανονισμό, με γνώμονα την αποτροπή μελλοντικών παραβιάσεων του παρόντος κανονισμού και την καλλιέργεια νοοτροπίας προστασίας των δεδομένων προσωπικού χαρακτήρα εντός των οργάνων και των οργανισμών της Ένωσης. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις, καθώς και τα ανώτατα όρια και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να καθορίζει το ύψος των προστίμων σε κάθε μεμονωμένη περίπτωση, λαμβάνοντας υπόψη όλες τις συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, καθώς και στις συνέπειές της και τα μέτρα που λήφθηκαν για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Κατά την επιβολή διοικητικού προστίμου σε οργανισμό της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να εξετάζει την αναλογικότητα του ύψους του προστίμου. Η διοικητική διαδικασία για την επιβολή προστίμων σε όργανα και οργανισμούς της Ένωσης θα πρέπει να σέβεται τις γενικές αρχές του δικαίου της Ένωσης, όπως ερμηνεύονται από το Δικαστήριο της Ευρωπαϊκής Ένωσης.

(69)Όταν υποκείμενο δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Ο εν λόγω φορέας, οργανισμός ή οργάνωση θα πρέπει επίσης να είναι σε θέση να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή το δικαίωμα να λαμβάνει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων.

(70)Υπάλληλος ή άλλο μέλος του προσωπικού της Ένωσης που δεν συμμορφώνεται με τις υποχρεώσεις τις οποίες υπέχει βάσει του παρόντος κανονισμού θα πρέπει να υπόκειται σε πειθαρχική ή άλλη κύρωση, σύμφωνα με τις διατάξεις και τις διαδικασίες του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης ή του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης.

(71)Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όπου αυτό προβλέπεται από τον παρόντα κανονισμό. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκηθούν σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 16 . Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση τυποποιημένων συμβατικών ρητρών μεταξύ υπευθύνων επεξεργασίας και εκτελούντων επεξεργασία, καθώς και μεταξύ εκτελούντων επεξεργασία, για την έγκριση καταλόγου πράξεων επεξεργασίας για τις οποίες απαιτείται προηγούμενη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων των υπευθύνων επεξεργασίας που προβαίνουν στην επεξεργασία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, και για την έγκριση τυποποιημένων συμβατικών ρητρών που παρέχουν κατάλληλες εγγυήσεις για διεθνείς διαβιβάσεις.

(72)Θα πρέπει να προστατεύονται οι εμπιστευτικές πληροφορίες που συλλέγουν οι ενωσιακές και εθνικές στατιστικές υπηρεσίες για την κατάρτιση επίσημων ευρωπαϊκών και εθνικών στατιστικών. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να εκπονούνται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές που θεσπίζονται στο άρθρο 338 παράγραφος 2 ΣΛΕΕ. Ο κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 17 παρέχει περαιτέρω διευκρινίσεις περί του στατιστικού απορρήτου για τις ευρωπαϊκές στατιστικές.

(73)Ο κανονισμός (ΕΚ) αριθ. 45/2001 και η απόφαση αριθ. 1247/2002/ΕΚ θα πρέπει να καταργηθούν. Οι παραπομπές στον καταργηθέντα κανονισμό και στην καταργηθείσα απόφαση θα πρέπει να νοούνται ως παραπομπές στον παρόντα κανονισμό.

(74)Για να διαφυλαχθεί η πλήρης ανεξαρτησία των μελών της ανεξάρτητης εποπτικής αρχής, οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν θα πρέπει να επηρεαστούν από τον παρόντα κανονισμό. Ο νυν αναπληρωτής Επόπτης θα πρέπει να παραμείνει στη θέση του μέχρι τη λήξη της θητείας του, εκτός εάν συντρέξει κάποια από τις προϋποθέσεις πρόωρης λήξης της θητείας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που προβλέπονται στον παρόντα κανονισμό. Οι συναφείς διατάξεις του παρόντος κανονισμού θα πρέπει να ισχύουν για τον αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του.

(75)Σύμφωνα με την αρχή της αναλογικότητας, είναι αναγκαίο και πρόσφορο για την επίτευξη του βασικού στόχου της διασφάλισης ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση να θεσπιστούν κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη των επιδιωκόμενων στόχων, σύμφωνα με το άρθρο 5 παράγραφος 4 της Συνθήκης για την Ευρωπαϊκή Ένωση.

(76)Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων κλήθηκε να γνωμοδοτήσει σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 και εξέδωσε γνώμη στις XX/XX/XXXX.

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και στόχοι

1.Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των εν λόγω θεσμικών και λοιπών οργάνων και οργανισμών ή προς αποδέκτες εγκατεστημένους στην Ένωση οι οποίοι υπόκεινται στον κανονισμό (ΕΕ) 2016/679 18 ή στις διατάξεις εθνικού δικαίου που έχουν θεσπιστεί βάσει της οδηγίας (ΕΕ) 2016/680 19 .

2.Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων («ΕΕΠΔ») ελέγχει την εφαρμογή των διατάξεων του παρόντος κανονισμού σε κάθε πράξη επεξεργασίας δεδομένων που πραγματοποιείται από όργανο ή οργανισμό της Ένωσης.

Άρθρο 2

Πεδίο εφαρμογής

1.Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα όργανα και τους οργανισμούς της Ένωσης, εφόσον η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της άσκησης δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του ενωσιακού δικαίου.

2.Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

Άρθρο 3

Ορισμοί

1.Για τους σκοπούς του παρόντος κανονισμού εφαρμόζονται οι ακόλουθοι ορισμοί:

α)οι ορισμοί του κανονισμού (ΕΕ) 2016/679, με εξαίρεση τον ορισμό του «υπεύθυνου επεξεργασίας» του άρθρου 4 σημείο 7) του εν λόγω κανονισμού·

β) ο ορισμός της «ηλεκτρονικής επικοινωνίας» του άρθρου 4 παράγραφος 2 στοιχείο α) του κανονισμού (ΕΕ) XX/XXXX [κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες]·

γ) οι ορισμοί του «δικτύου ηλεκτρονικών επικοινωνιών» και του «τελικού χρήστη» του άρθρου 2 σημεία 1) και 14) της οδηγίας 00/0000/ΕΕ [οδηγία για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών] αντίστοιχα·

δ) ο ορισμός του «εξοπλισμού τερματικών» του άρθρου 1 σημείο 1) της οδηγίας 2008/63/ΕΚ της Επιτροπής 20 .

2.Επιπλέον, για τους σκοπούς του παρόντος κανονισμού εφαρμόζονται οι ακόλουθοι ορισμοί:

α)«όργανα και οργανισμοί της Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί δυνάμει ή επί τη βάσει της Συνθήκης για την Ευρωπαϊκή Ένωση, της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ή της Συνθήκης Ευρατόμ·

β)«υπεύθυνος της επεξεργασίας»: το όργανο ή ο οργανισμός της Ένωσης, η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης·

γ)«χρήστης»: κάθε φυσικό πρόσωπο που χρησιμοποιεί δίκτυο ή εξοπλισμό τερματικών που λειτουργεί υπό τον έλεγχο οργάνου ή οργανισμού της Ένωσης·

δ)«κατάλογος»: διαθέσιμος στο κοινό κατάλογος χρηστών ή εσωτερικός κατάλογος χρηστών διαθέσιμος εντός οργάνου ή οργανισμού της Ένωσης ή χρησιμοποιούμενος από κοινού από όργανα ή οργανισμούς της Ένωσης, σε έντυπη ή ηλεκτρονική μορφή.

ΚΕΦΑΛΑΙΟ II

ΑΡΧΕΣ

Άρθρο 4

Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1.Τα δεδομένα προσωπικού χαρακτήρα:

α)υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·

β)συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 13 («περιορισμός του σκοπού»)·

γ)είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)·

δ)είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή ή ελλιπή, σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται περαιτέρω επεξεργασία («ακρίβεια»)·

ε)διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 13 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»)·

στ)υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

2.Ο υπεύθυνος της επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Άρθρο 5

Νομιμότητα της επεξεργασίας

1.Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο όργανο ή τον οργανισμό της Ένωσης·

β)η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου της επεξεργασίας·

γ)η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης·

δ)το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς·

ε)η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

2.Τα καθήκοντα που αναφέρονται στην παράγραφο 1 στοιχείο α) ορίζονται στο δίκαιο της Ένωσης.

Άρθρο 6

Επεξεργασία για άλλο συμβατό σκοπό

Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 25 παράγραφος 1, ο υπεύθυνος της επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

α)τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

β)το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπεύθυνου της επεξεργασίας,

γ)τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 11,

δ)τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

ε)την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

Άρθρο 7

Προϋποθέσεις για συγκατάθεση

1.Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος της επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

2.Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3.Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν από την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

4.Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.

Άρθρο 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιών σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

1.Όταν εφαρμόζεται το άρθρο 5 παράγραφος 1 στοιχείο δ), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 13 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 13 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

2.Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3.Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

Άρθρο 9

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες άλλους, εκτός των οργάνων και οργανισμών της Ένωσης, οι οποίοι είναι εγκατεστημένοι στην Ένωση και υπόκεινται στον κανονισμό (ΕΕ) 2016/679 ή την οδηγία (ΕΕ) 2016/680

1.Με την επιφύλαξη των άρθρων 4, 5, 6 και 10, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε αποδέκτες εγκατεστημένους στην Ένωση οι οποίοι υπόκεινται στον κανονισμό (ΕΕ) 2016/679 ή στην εθνική νομοθεσία που θεσπίζεται κατ’ εφαρμογή της οδηγίας (ΕΕ) 2016/680, μόνο εάν ο αποδέκτης αποδεικνύει:

α)την αναγκαιότητα των δεδομένων για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, ή

β)την αναγκαιότητα της διαβίβασης των δεδομένων, την αναλογικότητά της για τους σκοπούς της διαβίβασης και ότι δεν υφίστανται λόγοι να υποτεθεί ότι η διαβίβαση αυτή μπορεί να θίξει τα δικαιώματα, τις ελευθερίες και τα έννομα συμφέροντα του υποκειμένου των δεδομένων.

2.Όταν η διαβίβαση που λαμβάνει χώρα βάσει του παρόντος άρθρου πραγματοποιείται με πρωτοβουλία του υπεύθυνου της επεξεργασίας, αυτός αποδεικνύει ότι η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία και αναλογική για τους σκοπούς της διαβίβασης, εφαρμόζοντας τα κριτήρια που προβλέπονται στην παράγραφο 1 στοιχείο α) ή β).

Άρθρο 10

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1.Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2.Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

α)το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, ή

β)η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπεύθυνου της επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων, ή

γ)η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

δ)η επεξεργασία εκτελείται, στο πλαίσιο των νόμιμων δραστηριοτήτων του και με κατάλληλες εγγυήσεις, από μη κερδοσκοπικό φορέα ο οποίος συνιστά μονάδα ενσωματωμένη σε όργανο ή οργανισμό της Ένωσης και επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του εν λόγω φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του, και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,

ε)η επεξεργασία αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

στ)η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν το Δικαστήριο της Ευρωπαϊκής Ένωσης ενεργεί υπό τη δικαιοδοτική του ιδιότητα, ή

ζ)η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης, το οποίο είναι αναλογικό προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

η)η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του δικαίου της Ένωσης ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,

θ)η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου,

ι)η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, οι οποίοι είναι αναλογικοί προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

3.Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης.

Άρθρο 11

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας βάσει του άρθρου 5 παράγραφος 1 διενεργείται μόνο εάν επιτρέπεται από το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί, με την παροχή κατάλληλων ειδικών εγγυήσεων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Άρθρο 12

Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

1.Εάν οι σκοποί για τους οποίους ο υπεύθυνος της επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο της επεξεργασίας, ο υπεύθυνος της επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για τον σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.

2.Όταν, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος της επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος της επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. Στις περιπτώσεις αυτές, τα άρθρα 17 ως 22 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.

Άρθρο 13

Εγγυήσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς

Η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.

ΚΕΦΑΛΑΙΟ III

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

ΤΜΗΜΑ 1

ΔΙΑΦΑΝΕΙΑ ΚΑΙ ΡΥΘΜΙΣΕΙΣ

Άρθρο 14

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1.Ο υπεύθυνος της επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 15 και 16 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 17 έως 24 και του άρθρου 38 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

2.Ο υπεύθυνος της επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 17 έως 24. Στις περιπτώσεις που προβλέπονται στο άρθρο 12 παράγραφος 2, ο υπεύθυνος της επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 17 έως 24, εκτός αν ο υπεύθυνος της επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3.Ο υπεύθυνος της επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 17 έως 24 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4.Εάν ο υπεύθυνος της επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και άσκησης δικαστικής προσφυγής.

5.Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 15 και 16 και κάθε ανακοίνωση, καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 17 έως 24 και το άρθρο 38 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος της επεξεργασίας μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα.

Ο υπεύθυνος της επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6.Με την επιφύλαξη του άρθρου 12, όταν ο υπεύθυνος της επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 17 έως 23, ο υπεύθυνος της επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7.Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 15 και 16 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.

8.Σε περίπτωση που η Επιτροπή εκδώσει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 12 παράγραφος 8 του κανονισμού (ΕΕ) 2016/679 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων, τα όργανα και οι οργανισμοί της Ένωσης παρέχουν, όπου ενδείκνυται, τις πληροφορίες που προβλέπονται στα άρθρα 15 και 16 σε συνδυασμό με τα εν λόγω τυποποιημένα εικονίδια.

ΤΜΗΜΑ 2

ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΠΡΟΣΒΑΣΗ ΣΕ ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 15

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1.Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος της επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

α)την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου της επεξεργασίας,

β)τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

δ)τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

ε)κατά περίπτωση, την πρόθεση του υπεύθυνου της επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 49, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2.Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος της επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας:

α)το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,

β)την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο της επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,

γ)όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

δ)το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ε)κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,

στ)την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3.Όταν ο υπεύθυνος της επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος της επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

4.Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες.

Άρθρο 16

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

1.Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος της επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

α)την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου της επεξεργασίας,

β)τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

δ)τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

ε)τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

στ)κατά περίπτωση, την πρόθεση του υπεύθυνου της επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 49, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2.Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος της επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

α)το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,

β)την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο της επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,

γ)όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

δ)το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ε)την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

στ)την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3.Ο υπεύθυνος της επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:

α)εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,

β)εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή

γ)εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4.Όταν ο υπεύθυνος της επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος της επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5.Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:

α)το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,

β)η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας,

γ)η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης, ή

δ)εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης.

Άρθρο 17

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1.Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο της επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

α)τους σκοπούς της επεξεργασίας,

β)τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,

δ)εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

ε)την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο της επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος εναντίωσης στην εν λόγω επεξεργασία,

στ)το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ζ)όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,

η)την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2.Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 49 σχετικά με τη διαβίβαση.

3.Ο υπεύθυνος της επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4.Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

ΤΜΗΜΑ 3

ΔΙΟΡΘΩΣΗ ΚΑΙ ΔΙΑΓΡΑΦΗ

Άρθρο 18

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο της επεξεργασίας τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Άρθρο 19

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1.Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο της επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος της επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α)τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

β)το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ)το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία,

δ)τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε)τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ)τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

2.Όταν ο υπεύθυνος της επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος της επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3.Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

α)για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

β)για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος της επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,

γ)για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 10 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 10 παράγραφος 3,

δ)για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή

ε)για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Άρθρο 20

Δικαίωμα περιορισμού της επεξεργασίας

1.Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο της επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α)η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο της επεξεργασίας να επαληθεύσει την ακρίβεια, συμπεριλαμβανομένης της πληρότητας, των δεδομένων προσωπικού χαρακτήρα,

β)η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,

γ)ο υπεύθυνος της επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

δ)το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου της επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2.Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

3.Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο της επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

4.Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, ο περιορισμός της επεξεργασίας εξασφαλίζεται καταρχήν με τεχνικά μέσα. Το γεγονός ότι τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε περιορισμό επεξεργασίας αναγράφεται στο σύστημα κατά τρόπο ώστε να καθίσταται σαφές ότι τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν.

Άρθρο 21

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος της επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 18, το άρθρο 19 παράγραφος 1 και το άρθρο 20 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων. 

Άρθρο 22

Δικαίωμα στη φορητότητα των δεδομένων

1.Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

α)η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο γ), και

β)η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2.Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3.Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 19. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας.

4.Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

ΤΜΗΜΑ 4

ΔΙΚΑΙΩΜΑ ΕΝΑΝΤΙΩΣΗΣ ΚΑΙ ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΑΤΟΜΙΚΗ ΛΗΨΗ ΑΠΟΦΑΣΕΩΝ

Άρθρο 23

Δικαίωμα εναντίωσης

1.Το υποκείμενο των δεδομένων δικαιούται να εναντιώνεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν η οποία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο α), περιλαμβανομένης της κατάρτισης προφίλ βάσει της εν λόγω διάταξης. Ο υπεύθυνος της επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος της επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

2.Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στην παράγραφο 1 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

3.Με την επιφύλαξη των άρθρων 34 και 35, στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του εναντίωσης με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

4.Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων δικαιούται να εναντιωθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για λόγους δημόσιου συμφέροντος.

Άρθρο 24

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1.Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2.Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

α)είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου της επεξεργασίας,

β)επιτρέπεται από το δίκαιο της Ένωσης, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, ή

γ)βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3.Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος της επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπεύθυνου της επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4.Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 παράγραφος 1, εκτός αν ισχύει το άρθρο 10 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

ΤΜΗΜΑ 5

ΠΕΡΙΟΡΙΣΜΟΙ

Άρθρο 25

Περιορισμοί

1.Νομικές πράξεις που θεσπίζονται βάσει των Συνθηκών ή, σε θέματα που άπτονται της λειτουργίας των οργάνων και οργανισμών της Ένωσης, βάσει των εσωτερικών κανονισμών των τελευταίων μπορεί να περιορίζουν την εφαρμογή των άρθρων 14 έως 22, 34 και 38, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)της εθνικής ασφάλειας, της δημόσιας ασφάλειας ή της άμυνας των κρατών μελών,

β)της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

γ)άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

δ)της εσωτερικής ασφάλειας των οργάνων και οργανισμών της Ένωσης, συμπεριλαμβανομένων των δικτύων ηλεκτρονικών επικοινωνιών τους,

ε)της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

στ)της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

ζ)της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως γ),

η)της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

θ)της εκτέλεσης αστικών αξιώσεων.

2.Όταν δεν προβλέπεται περιορισμός σε νομική πράξη που έχει θεσπιστεί βάσει των Συνθηκών ή εσωτερικού κανονισμού σύμφωνα με την παράγραφο 1, τα όργανα και οι οργανισμοί της Ένωσης μπορούν να περιορίζουν την εφαρμογή των άρθρων 14 έως 22, 34 και 38, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 22, αν ο περιορισμός αυτός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών, σε σχέση με συγκεκριμένη πράξη επεξεργασίας, και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός ή περισσοτέρων από τους στόχους που αναφέρονται στην παράγραφο 1. Ο περιορισμός κοινοποιείται στον αρμόδιο υπεύθυνο προστασίας δεδομένων.

3.Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

4.Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20, 21, 22 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

5.Οι εσωτερικοί κανονισμοί που αναφέρονται στις παραγράφους 1, 3 και 4 διατυπώνονται με επαρκή σαφήνεια και ακρίβεια και αποτελούν αντικείμενο κατάλληλης δημοσίευσης.

6.Όταν επιβάλλεται περιορισμός σύμφωνα με τις παραγράφους 1 ή 2, το υποκείμενο των δεδομένων ενημερώνεται, σύμφωνα με το δίκαιο της Ένωσης, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό, καθώς και για το δικαίωμά του να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

7.Όταν γίνεται επίκληση περιορισμού που έχει επιβληθεί σύμφωνα με τις παραγράφους 1 ή 2 για να απαγορευθεί η πρόσβαση στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων του γνωστοποιεί απλώς, όταν εξετάζει την καταγγελία, εάν η επεξεργασία των δεδομένων έγινε με τον προσήκοντα τρόπο και, εάν όχι, για το κατά πόσον πραγματοποιήθηκαν όλες οι αναγκαίες διορθώσεις.

8.Η ενημέρωση που προβλέπεται στις παραγράφους 6 και 7 και στο άρθρο 46 παράγραφος 2 μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει της παραγράφου 1 ή 2 την ισχύ του.

ΚΕΦΑΛΑΙΟ IV

ΥΠΕΥΘΥΝΟΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1

ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Άρθρο 26

Ευθύνη του υπεύθυνου της επεξεργασίας

1.Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος της επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο της επεξεργασίας.

Άρθρο 27

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος της επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2.Ο υπεύθυνος της επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

Άρθρο 28

Από κοινού υπεύθυνοι επεξεργασίας

1.Σε περίπτωση που όργανο ή οργανισμός της Ένωσης μαζί με έναν ή περισσότερους υπευθύνους επεξεργασίας, οι οποίοι μπορεί να είναι όργανα ή οργανισμοί της Ένωσης ή όχι, καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπεύθυνους της επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που υπέχουν στον τομέα της προστασίας των δεδομένων, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους όσον αφορά την παροχή των πληροφοριών που αναφέρονται στα άρθρα 15 και 16, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι της επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2.Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων της επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3.Το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά ενός ή περισσοτέρων από τους από κοινού υπεύθυνους της επεξεργασίας, λαμβάνοντας υπόψη τους ρόλους τους όπως καθορίζονται στους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1.

Άρθρο 29

Εκτελών την επεξεργασία

1.Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπεύθυνου επεξεργασίας, ο υπεύθυνος της επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2.Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπεύθυνου της επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο της επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο της επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3.Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο της επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου της επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α)επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπεύθυνου της επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο της επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β)διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ)λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 33,

δ)τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος επεξεργασία,

ε)λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο της επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπεύθυνου της επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ)συνδράμει τον υπεύθυνο της επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 33 έως 40, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ)κατ’ επιλογή του υπεύθυνου της επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο της επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η)θέτει στη διάθεση του υπεύθυνου του επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο της επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο της επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο της επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4.Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπεύθυνου της επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπεύθυνου της επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος επεξεργασία.

5.Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, η τήρηση εκ μέρους του εγκεκριμένου κώδικα δεοντολογίας κατά τα προβλεπόμενα στο άρθρο 40 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 ή εγκεκριμένου μηχανισμού πιστοποίησης κατά τα προβλεπόμενα στο άρθρο 42 του κανονισμού (ΕΕ) 2016/679 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς εγγυήσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6.Με την επιφύλαξη τυχόν ατομικής σύμβασης μεταξύ του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον εκτελούντα την επεξεργασία ο οποίος δεν είναι όργανο ή οργανισμός της Ένωσης σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679.

7.Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 70 παράγραφος 2.

8.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4.

9.Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 είναι έγγραφη, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

10.Με την επιφύλαξη των άρθρων 65 και 66, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Άρθρο 30

Επεξεργασία υπό την εποπτεία του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπεύθυνου της επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους.

Άρθρο 31

Αρχεία των δραστηριοτήτων επεξεργασίας

1.Κάθε υπεύθυνος επεξεργασίας τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

α)το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου της επεξεργασίας, του υπεύθυνου προστασίας δεδομένων και, κατά περίπτωση, του εκτελούντος της επεξεργασία και του από κοινού υπεύθυνου της επεξεργασίας,

β)τους σκοπούς της επεξεργασίας,

γ)περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

δ)τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε κράτη μέλη, τρίτες χώρες ή διεθνείς οργανισμούς,

ε)όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων,

στ)όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διαφόρων κατηγοριών δεδομένων,

ζ)όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33.

2.Κάθε εκτελών επεξεργασία τηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπεύθυνου της επεξεργασίας, το οποίο περιλαμβάνει τα εξής:

α)το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και κάθε υπεύθυνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών, καθώς και του υπεύθυνου προστασίας δεδομένων,

β)τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπεύθυνου επεξεργασίας,

γ)όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων,

δ)όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33.

3.Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 τηρούνται γραπτώς, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

4.Τα όργανα και οι οργανισμοί της Ένωσης θέτουν το αρχείο στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.

5.Τα όργανα και οι οργανισμοί της Ένωσης μπορούν να αποφασίσουν να τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους σε κεντρικό μητρώο. Στην περίπτωση αυτή, μπορούν επίσης να αποφασίσουν να καταστήσουν το μητρώο δημόσια προσβάσιμο.

Άρθρο 32

Συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

Τα όργανα και οι οργανισμοί της Ένωσης συνεργάζονται, κατόπιν αιτήματος, με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά την άσκηση των καθηκόντων του.

ΤΜΗΜΑ 2

ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΑΠΟΡΡΗΤΟ ΤΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Άρθρο 33

Ασφάλεια της επεξεργασίας

1.Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος της επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

α)της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

β)της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

γ)της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

δ)διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2.Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

3.Ο υπεύθυνος της επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπεύθυνου της επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης.

Άρθρο 34

Απόρρητο των ηλεκτρονικών επικοινωνιών

Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, ιδίως μεριμνώντας για την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους.

Άρθρο 35

Προστασία πληροφοριών που σχετίζονται με τον εξοπλισμό τερματικών των τελικών χρηστών

Τα όργανα και οι οργανισμοί της Ένωσης προστατεύουν τις πληροφορίες που σχετίζονται με τον εξοπλισμό τερματικών των τελικών χρηστών οι οποίοι επισκέπτονται τους δημόσια διαθέσιμους δικτυακούς τόπους τους και εφαρμογές για φορητές συσκευές σύμφωνα με τον κανονισμό (ΕΕ) XX/XXXX [νέος κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], και ιδίως το άρθρο 8.

Άρθρο 36

Κατάλογοι χρηστών

1.Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε καταλόγους χρηστών και η πρόσβαση στους καταλόγους αυτούς περιορίζονται σε ό,τι είναι απολύτως αναγκαίο για τους ειδικούς σκοπούς του καταλόγου.

2.Τα όργανα και οι οργανισμοί της Ένωσης λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στους καταλόγους να μην χρησιμοποιούνται για άμεση προώθηση προϊόντων, ανεξάρτητα από το εάν τα δεδομένα αυτά είναι ή όχι προσιτά στο κοινό.

Άρθρο 37

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

1.Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος της επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Όταν η γνωστοποίηση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2.Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο της επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

3.Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο:

α)περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β)ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ)περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο της επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

4.Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

5.Ο υπεύθυνος της επεξεργασίας ενημερώνει τον υπεύθυνο προστασίας δεδομένων για την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

6.Ο υπεύθυνος της επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, τεκμηρίωση που περιλαμβάνει τα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Άρθρο 38

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1.Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος της επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

2.Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 37 παράγραφος 3 στοιχεία β), γ) και δ).

3.Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

α)ο υπεύθυνος της επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,

β)ο υπεύθυνος της επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

γ)προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή λαμβάνεται παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4.Εάν ο υπεύθυνος της επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

ΤΜΗΜΑ 3

ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΗΓΟΥΜΕΝΗ ΔΙΑΒΟΥΛΕΥΣΗ

Άρθρο 39

Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων

1.Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος της επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2.Ο υπεύθυνος της επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.

3.Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων απαιτείται ιδίως στην περίπτωση:

α)συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,

β)μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 10 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 11, ή

γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1.

5.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων.

6.Η εκτίμηση περιέχει τουλάχιστον:

α)συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας,

β)εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

γ)εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1, και

δ)τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

7.Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 του κανονισμού (ΕΕ) 2016/679 από τους σχετικούς εκτελούντες την επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.

8.Όπου ενδείκνυται, ο υπεύθυνος της επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

9.Όταν η επεξεργασία βάσει του άρθρου 5 παράγραφος 1 στοιχείο α) ή β) έχει νομική βάση σε νομική πράξη που έχει θεσπιστεί βάσει των Συνθηκών, η εν λόγω πράξη ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου πριν από την έγκριση της εν λόγω νομικής πράξης, οι παράγραφοι 1 έως 6 δεν εφαρμόζονται, εκτός εάν προβλέπεται διαφορετικά στο δίκαιο της Ένωσης.

10.Όπου απαιτείται, ο υπεύθυνος της επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

Άρθρο 40

Προηγούμενη διαβούλευση

1.Ο υπεύθυνος της επεξεργασίας διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την επεξεργασία όταν η δυνάμει του άρθρου 39 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων και ο υπεύθυνος της επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής. Ο υπεύθυνος της επεξεργασίας ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων σχετικά με την ανάγκη προηγούμενης διαβούλευσης.

2.Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος της επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παρέχει γραπτώς συμβουλές στον υπεύθυνο της επεξεργασίας και, όπου απαιτείται, στον εκτελούντα την επεξεργασία εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες του που αναφέρονται στο άρθρο 59. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει τον υπεύθυνο της επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3.Κατά τη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δυνάμει της παραγράφου 1, ο υπεύθυνος της επεξεργασίας παρέχει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων:

α)κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπεύθυνου της επεξεργασίας, των από κοινού υπευθύνων της επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στην επεξεργασία,

β)τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,

γ)τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

δ)τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

ε)την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 39, και

στ)κάθε άλλη πληροφορία που ζητεί ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

4.Η Επιτροπή μπορεί, μέσω εκτελεστικής πράξης, να καταρτίσει κατάλογο με τις περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας διαβουλεύονται με, και λαμβάνουν προηγούμενη άδεια από, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε σχέση με επεξεργασία που διενεργείται για την εκπλήρωση από τον υπεύθυνο της επεξεργασίας καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας δεδομένων σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

ΤΜΗΜΑ 4

ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΝΟΜΟΘΕΤΙΚΗ ΔΙΑΒΟΥΛΕΥΣΗ

Άρθρο 41

Ενημέρωση

Τα όργανα και οι οργανισμοί της Ένωσης ενημερώνουν τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων οσάκις εκπονούν διοικητικά μέτρα και εσωτερικούς κανονισμούς που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία μετέχει όργανο ή οργανισμός της Ένωσης, είτε αυτοτελώς είτε από κοινού με άλλους.

Άρθρο 42

Νομοθετική διαβούλευση

1.Μετά την έγκριση προτάσεων νομοθετικών πράξεων και συστάσεων ή προτάσεων προς το Συμβούλιο δυνάμει του άρθρου 218 ΣΛΕΕ και κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων που έχουν αντίκτυπο στην προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

2.Όταν πράξη που αναφέρεται στην παράγραφο 1 είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή δύναται επίσης να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συντονίζουν τις εργασίες τους με σκοπό την έκδοση κοινής γνωμοδότησης.

3.Οι συμβουλές που αναφέρονται στις παραγράφους 1 και 2 παρέχονται γραπτώς εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης που αναφέρεται στις παραγράφους 1 και 2. Σε επείγουσες περιπτώσεις ή εάν αυτό κρίνεται σκόπιμο για άλλους λόγους, η Επιτροπή μπορεί να ορίζει συντομότερη προθεσμία.

4.Το παρόν άρθρο δεν εφαρμόζεται όταν η Επιτροπή υποχρεούται, δυνάμει του κανονισμού (ΕΕ) 2016/679, να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

ΤΜΗΜΑ 5

ΥΠΟΧΡΕΩΣΗ ΑΠΑΝΤΗΣΗΣ ΣΕ ΚΑΤΑΓΓΕΛΙΕΣ ΠΑΡΑΒΑΣΕΩΝ

Άρθρο 43

Υποχρέωση απάντησης σε καταγγελίες παραβάσεων

Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 59 παράγραφος 2 στοιχεία α), β) και γ), ο οικείος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ενημερώνει τον Ευρωπαίο Επόπτης Προστασίας Δεδομένων για την άποψή του, εντός εύλογης προθεσμίας την οποία τάσσει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, λαμβάνοντας υπόψη τις περιστάσεις κάθε περίπτωσης. Η γνώμη αυτή περιλαμβάνει επίσης περιγραφή των μέτρων που έχουν ενδεχομένως ληφθεί, σε απάντηση των παρατηρήσεων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

ΤΜΗΜΑ 6

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 44

Ορισμός του υπεύθυνου προστασίας δεδομένων

1.Κάθε όργανο ή οργανισμός της Ένωσης ορίζει υπεύθυνο προστασίας δεδομένων.

2.Τα όργανα και οι οργανισμοί της Ένωσης μπορούν να ορίζουν έναν μόνο υπεύθυνο προστασίας δεδομένων για περισσότερα του ενός όργανα ή οργανισμούς, ανάλογα με την οργανωτική δομή και το μέγεθός τους.

3.Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 46.

4.Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του οργάνου ή οργανισμού της Ένωσης ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

5.Τα όργανα και οι οργανισμοί της Ένωσης δημοσιεύουν τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων και τα ανακοινώνουν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Άρθρο 45

Θέση του υπεύθυνου προστασίας δεδομένων

1.Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2.Τα όργανα και οι οργανισμοί της Ένωσης στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 46 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

3.Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο της επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία.

4.Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5.Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό που υπάγεται σε αυτόν δεσμεύονται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων τους, σύμφωνα με το δίκαιο της Ένωσης.

6.Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

7.Ο υπεύθυνος της επεξεργασίας, ο εκτελών την επεξεργασία, η οικεία επιτροπή προσωπικού και κάθε φυσικό πρόσωπο μπορούν να συμβουλεύονται τον υπεύθυνο προστασίας δεδομένων, χωρίς να ακολουθήσουν την επίσημη οδό, ως προς κάθε θέμα που άπτεται της ερμηνείας ή της εφαρμογής του παρόντος κανονισμού. Ουδείς επιτρέπεται να υποστεί ζημία διότι φέρει σε γνώση του υπεύθυνου προστασίας δεδομένων που είναι αρμόδιος, γεγονός το οποίο ισχυρίζεται ότι συνιστά παραβίαση των διατάξεων του παρόντος κανονισμού.

8.Ο υπεύθυνος προστασίας δεδομένων διορίζεται για θητεία διάρκειας τριών έως πέντε ετών με δυνατότητα ανανέωσης. Ο υπεύθυνος προστασίας δεδομένων είναι δυνατό να απαλλάσσεται από τα καθήκοντά του από το όργανο ή τον οργανισμό της Ένωσης που τον διόρισε μόνο με τη συγκατάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του

9.Το όργανο ή ο οργανισμός της Ένωσης που διορίζει τον υπεύθυνο προστασίας δεδομένων γνωστοποιεί εν συνεχεία το όνομα αυτού στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Άρθρο 46

Καθήκοντα του υπεύθυνου προστασίας δεδομένων

1.Ο υπεύθυνος προστασίας δεδομένων έχει τα ακόλουθα καθήκοντα:

α)ενημερώνει και συμβουλεύει τον υπεύθυνο της επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης σχετικά με την προστασία των δεδομένων,

β)διασφαλίζει με ανεξάρτητο τρόπο την εσωτερική εφαρμογή του παρόντος κανονισμού και παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες ισχύουσες νομοθετικές πράξεις του ενωσιακού δικαίου που περιέχουν διατάξεις για την προστασία των δεδομένων και με τις πολιτικές του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ενίσχυσης της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

γ)διασφαλίζει ότι τα υποκείμενα των δεδομένων ενημερώνονται για τα δικαιώματα και τις υποχρεώσεις τους βάσει του παρόντος κανονισμού,

δ)παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την αναγκαιότητα γνωστοποίησης ή ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα βάσει των άρθρων 37 και 38,

ε)παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 39, και διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση αμφιβολίας όσον αφορά την ανάγκη διενέργειας εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων,

στ)παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την ανάγκη προηγούμενης διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 40 και διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση αμφιβολίας όσον αφορά την ανάγκη προηγούμενης διαβούλευσης,

ζ)ανταποκρίνεται στα αιτήματα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και, στο πλαίσιο της αρμοδιότητάς του, συνεργάζεται και διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, είτε κατόπιν αιτήματος του τελευταίου είτε με δική του πρωτοβουλία.

2.Ο υπεύθυνος προστασίας δεδομένων δύναται να διατυπώνει συστάσεις προς τον υπεύθυνο της επεξεργασίας και τον εκτελούντα την επεξεργασία για τη βελτίωση στην πράξη της προστασίας των δεδομένων και να τους συμβουλεύει σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων για την προστασία των δεδομένων. Περαιτέρω, μπορεί να προβαίνει, είτε με δική του πρωτοβουλία είτε κατόπιν αιτήματος του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, της οικείας επιτροπής προσωπικού ή οποιουδήποτε φυσικού προσώπου, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και που υποπίπτουν στην αντίληψή του και να αναφέρει στο πρόσωπο το οποίο ζήτησε την έρευνα ή στον υπεύθυνο της επεξεργασίας ή στον εκτελούντα την επεξεργασία.

3.Κάθε όργανο ή οργανισμός της Ένωσης θεσπίζει συμπληρωματικές διατάξεις εφαρμογής σχετικά με τον υπεύθυνο προστασίας δεδομένων. Οι διατάξεις εφαρμογής αφορούν, ιδίως, τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπεύθυνου προστασίας δεδομένων.

ΚΕΦΑΛΑΙΟ V

Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Άρθρο 47

Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο της επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Άρθρο 48

Διαβιβάσεις βάσει απόφασης περί επάρκειας

1.Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει, βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό, και εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου της επεξεργασίας.

2.Τα όργανα και οι οργανισμοί της Ένωσης ενημερώνουν την Επιτροπή και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση που κρίνουν ότι η τρίτη χώρα ή ο συγκεκριμένος διεθνής οργανισμός δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 1.

3.Τα όργανα και οι οργανισμοί της Ένωσης λαμβάνουν τα μέτρα που είναι απαραίτητα για να συμμορφωθούν με τις αποφάσεις που λαμβάνει η Επιτροπή όταν διαπιστώνει, κατ’ εφαρμογή του άρθρου 45 παράγραφοι 3 και 5 του κανονισμού (ΕΕ) 2016/679, ότι τρίτη χώρα ή διεθνής οργανισμός διασφαλίζει ή δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας.

Άρθρο 49

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

1.Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2.Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, μέσω:

α)νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,

β)τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 70 παράγραφος 2,

γ)τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 70 παράγραφος 2,

δ)δεσμευτικών εταιρικών κανόνων, κωδίκων δεοντολογίας και μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχεία β), ε) και στ) του κανονισμού (ΕΕ) 2016/679, όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης.

3.Με την επιφύλαξη της άδειας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

α)συμβατικών ρητρών μεταξύ του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπεύθυνου της επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό, ή

β)διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4.Τα όργανα και οι οργανισμοί της Ένωσης γνωστοποιούν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατηγορίες περιπτώσεων στις οποίες εφαρμόστηκε το παρόν άρθρο.

5.Οι άδειες από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων βάσει του άρθρου 9 παράγραφος 7 του κανονισμού (ΕΚ) αριθ. 45/2001 παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Άρθρο 50

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή κατ’ οποιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.

Άρθρο 51

Παρεκκλίσεις για ειδικές καταστάσεις

1.Σε περίπτωση απουσίας απόφασης περί επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 49, διαβίβαση ή σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

α)το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων,

β)η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου της επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,

γ)η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπεύθυνου της επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,

δ)η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,

ε)η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, ή

στ)η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, ή

ζ)η διαβίβαση πραγματοποιείται από μητρώο το οποίο, σύμφωνα με το δίκαιο της Ένωσης, προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης για την αναζήτηση πληροφοριών.

2.Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο, εκτός εάν αυτό επιτρέπεται από το δίκαιο της Ένωσης. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

3.Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης.

4.Ελλείψει απόφασης περί επάρκειας, το δίκαιο της Ένωσης μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό.

5.Τα όργανα και οι οργανισμοί της Ένωσης γνωστοποιούν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατηγορίες περιπτώσεων στις οποίες εφαρμόστηκε το παρόν άρθρο.

Άρθρο 52

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, σε συνεργασία με την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, λαμβάνει κατάλληλα μέτρα με σκοπό:

α)την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

β)την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,

γ)τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

δ)την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

ΚΕΦΑΛΑΙΟ VI

Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 53

Ευρωπαίος Επόπτης Προστασίας Δεδομένων

1.Συστήνεται Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

2.Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επιφορτισμένος να εξασφαλίζει ότι τα όργανα και οι οργανισμοί της Ένωσης σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ιδίως δε το δικαίωμά τους στην προστασία των δεδομένων.

3.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επιφορτισμένος με την παρακολούθηση και την εξασφάλιση της εφαρμογής των διατάξεων του παρόντος κανονισμού και κάθε άλλης ενωσιακής πράξης στον τομέα της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από όργανο ή οργανισμό της Ένωσης, και για την παροχή συμβουλών προς τα όργανα και τους οργανισμούς της Ένωσης και προς τα υποκείμενα των δεδομένων για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Προς τον σκοπό αυτό, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντα που προβλέπονται στο άρθρο 58 και ασκεί τις αρμοδιότητες που του ανατίθενται δυνάμει του άρθρου 59.

Άρθρο 54

Διορισμός του Ευρωπαίου Επόπτη Προστασίας Δεδομένων

1.Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο διορίζουν, με κοινή συμφωνία, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για πέντε έτη, βάσει καταλόγου που συντάσσει η Επιτροπή έπειτα από δημόσια πρόσκληση υποβολής υποψηφιοτήτων. Η εν λόγω πρόσκληση υποβολής υποψηφιοτήτων επιτρέπει σε όλους τους ενδιαφερομένους στο σύνολο της Ένωσης να υποβάλουν την υποψηφιότητά τους. Ο κατάλογος υποψηφίων που συντάσσει η Επιτροπή είναι δημόσιος. Η αρμόδια επιτροπή του Ευρωπαϊκού Κοινοβουλίου μπορεί, με βάση τον κατάλογο που συντάσσει η Επιτροπή, να αποφασίσει να διοργανώσει ακρόαση προκειμένου να μπορέσει να διαμορφώσει γνώμη.

2.Ο κατάλογος που συντάσσει η Επιτροπή από τον οποίον επιλέγεται ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων περιλαμβάνει πρόσωπα τα οποία παρέχουν εχέγγυα ανεξαρτησίας και διαθέτουν αξιόλογη εμπειρία και ικανότητες για την εκπλήρωση των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, παραδείγματος χάριν, διότι συμμετέχουν ή είχαν συμμετάσχει στις εποπτικές αρχές που αναφέρονται στο άρθρο 41 του κανονισμού (ΕΕ) 2016/679.

3.Η θητεία του Ευρωπαίου Επόπτη Προστασίας Δεδομένων είναι ανανεώσιμη άπαξ.

4.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παύει να ασκεί τα καθήκοντά του στις ακόλουθες περιπτώσεις:

α)αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων αντικατασταθεί,

β) αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παραιτηθεί,

γ)αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων απαλλαχθεί από τα καθήκοντά του ή εξαναγκαστεί σε υποχρεωτική συνταξιοδότηση.

5.Το Δικαστήριο της Ευρωπαϊκής Ένωσης δύναται να απαλλάξει τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων από τα καθήκοντά του ή να τον κηρύξει έκπτωτο από το δικαίωμα παροχής σύνταξης ή άλλων ευεργετημάτων που εξομοιούνται με σύνταξη, κατόπιν αίτησης του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής, εάν παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή εάν διαπράξει βαρύ παράπτωμα.

6.Στις περιπτώσεις κανονικής αντικατάστασης και εκούσιας παραίτησης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παραμένει ωστόσο εν υπηρεσία μέχρι την αντικατάστασή του.

7.Τα άρθρα 11 έως και 14 και 17 του πρωτοκόλλου περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης ισχύουν και για τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Άρθρο 55

Καθεστώς και γενικοί όροι άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ανθρώπινο δυναμικό και οικονομικοί πόροι

1.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξομοιώνεται με δικαστή του Δικαστηρίου της Ευρωπαϊκής Ένωσης όσον αφορά τον καθορισμό του μισθού του, των επιδομάτων του, της σύνταξης αρχαιότητας, καθώς και κάθε άλλης παροχής που εξομοιώνεται με αποδοχές.

2.Η αρμόδια επί του προϋπολογισμού αρχή φροντίζει ώστε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων να διαθέτει το ανθρώπινο δυναμικό και τους οικονομικούς πόρους που χρειάζονται για την εκτέλεση των καθηκόντων του.

3.Ο προϋπολογισμός του Ευρωπαίου Επόπτη Προστασίας Δεδομένων περιλαμβάνεται σε ειδική γραμμή του τμήματος IX του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης.

4.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων επικουρείται από γραμματεία. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας διορίζονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, των οποίων είναι ο ιεραρχικά προϊστάμενος και στον οποίο υπάγονται αποκλειστικά. Ο αριθμός τους καθορίζεται κάθε χρόνο στο πλαίσιο της διαδικασίας του προϋπολογισμού.

5.Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων υπόκεινται στους κανονισμούς και τις ρυθμίσεις που εφαρμόζονται στους υπαλλήλους και το λοιπό προσωπικό της Ευρωπαϊκής Ένωσης.

6.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει την έδρα του στις Βρυξέλλες.

Άρθρο 56

Ανεξαρτησία

1.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντά του και ασκεί τις εξουσίες του σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντά του και ασκεί τις εξουσίες του σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητεί ούτε λαμβάνει οδηγίες από κανέναν.

3.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, δεν ασκεί καμία άλλη επαγγελματική δραστηριότητα, αμειβόμενη ή μη.

4.Μετά τη λήξη της θητείας του, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων υποχρεούται να συμπεριφέρεται με ακεραιότητα και διακριτικότητα σε σχέση με την αποδοχή ορισμένων θέσεων και ευεργετημάτων.

Άρθρο 57

Επαγγελματικό απόρρητο

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και το προσωπικό του υποχρεούνται, τόσο κατά τη διάρκεια της θητείας τους όσο και μετά τη λήξη της, να τηρούν το επαγγελματικό απόρρητο όσον αφορά οποιεσδήποτε εμπιστευτικές πληροφορίες που έχουν περιέλθει σε γνώση τους κατά την εκτέλεση των καθηκόντων τους.

Άρθρο 58

Καθήκοντα

1.Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων:

α)παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού και των λοιπών ενωσιακών πράξεων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από όργανο ή οργανισμό της Ένωσης, με εξαίρεση την επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο της άσκησης των δικαιοδοτικών του καθηκόντων,

β)προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά,

γ)προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

δ)κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, ενδεχομένως, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε κράτη μέλη,

ε)χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 67 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,

στ)διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,

ζ)παρέχει συμβουλές σε όλα τα όργανα και τους οργανισμούς της Ένωσης για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,

η)παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών,

θ)θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 29 παράγραφος 8 και του άρθρου 49 παράγραφος 2 στοιχείο γ),

ι)καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 39 παράγραφος 4,

ια)συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, το οποίο έχει συσταθεί δυνάμει του άρθρου 68 του κανονισμού (ΕΕ) 2016/679,

ιβ)παρέχει τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, σύμφωνα με το άρθρο 75 του κανονισμού (ΕΕ) 2016/679,

ιγ)παρέχει συμβουλές σχετικά με την επεξεργασία που αναφέρεται στο άρθρο 40 παράγραφος 2,

ιδ)επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 49 παράγραφος 3,

ιε)τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 59 παράγραφος 2,

ιστ)εκπληρώνει κάθε άλλο καθήκον σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα, και

ιζ)θεσπίζει τον εσωτερικό του κανονισμό.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο ε) με έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

3.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ασκεί τα καθήκοντά του χωρίς επιβάρυνση για το υποκείμενο των δεδομένων.

4.Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

Άρθρο 59

Εξουσίες

1.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες εξουσίες έρευνας:

α)να δίνει εντολή στον υπεύθυνο της επεξεργασίας και στον εκτελούντα την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων του,

β)να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,

γ)να ειδοποιεί τον υπεύθυνο της επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,

δ)να αποκτά, από τον υπεύθυνο της επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων του,

ε)να έχει πρόσβαση στις εγκαταστάσεις του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες διορθωτικές εξουσίες:

α)να απευθύνει προειδοποιήσεις στον υπεύθυνο της επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β)να απευθύνει επιπλήξεις στον υπεύθυνο της επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ)να παραπέμπει το θέμα στον αρμόδιο υπεύθυνο της επεξεργασίας ή εκτελούντα την επεξεργασία και, εάν παρίσταται αναγκαίο, να προσφεύγει στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή,

δ)να δίνει εντολή στον υπεύθυνο της επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

ε)να δίνει εντολή στον υπεύθυνο της επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστά τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

στ)να δίνει εντολή στον υπεύθυνο της επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,

ζ)να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

η)να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 18, 19 και 20 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 19 παράγραφος 2 και του άρθρου 21,

θ)να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 66, σε περίπτωση μη συμμόρφωσης του οργάνου ή οργανισμού της Ένωσης με κάποιο από τα μέτρα που αναφέρονται στην παρούσα παράγραφο και ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι)να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε κράτος μέλος, τρίτη χώρα ή σε διεθνή οργανισμό.

3.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

α)να παρέχει συμβουλές στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους,

β)να παρέχει συμβουλές στον υπεύθυνο της επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 40,

γ)να εκδίδει, με δική του πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς τα όργανα και τους οργανισμούς της Ένωσης, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

δ)να εγκρίνει τυποποιημένες ρήτρες προστασίας των δεδομένων του άρθρου 29 παράγραφος 8 και του άρθρου 49 παράγραφος 2 στοιχείο γ),

ε)να επιτρέπει συμβατικές ρήτρες του άρθρου 49 παράγραφος 3 στοιχείο α),

στ)να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 49 παράγραφος 3 στοιχείο β).

4.Η άσκηση εκ μέρους του Ευρωπαίου Επόπτη Προστασίας Δεδομένων των εξουσιών του δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης.

5.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει την εξουσία να προσφεύγει στο Δικαστήριο της Ευρωπαϊκής Ένωσης υπό τους όρους που προβλέπει η Συνθήκη και να παρεμβαίνει σε υποθέσεις που φέρονται ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Άρθρο 60

Έκθεση δραστηριοτήτων

1.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων υποβάλλει κάθε χρόνο στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή έκθεση δραστηριοτήτων και ταυτόχρονα τη δημοσιεύει.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαβιβάζει την έκθεση δραστηριοτήτων στα άλλα όργανα και τους οργανισμούς της Ένωσης, τα οποία μπορούν να υποβάλλουν παρατηρήσεις ενόψει της ενδεχόμενης εξέτασης της έκθεσης στο Ευρωπαϊκό Κοινοβούλιο.

ΚΕΦΑΛΑΙΟ VII

ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ

Άρθρο 61

Συνεργασία με τις εθνικές εποπτικές αρχές

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων συνεργάζεται με τις εποπτικές αρχές που συγκροτούνται βάσει του άρθρου 41 του κανονισμού (ΕΕ) 2016/679 και του άρθρου 51 της οδηγίας (ΕΕ) 2016/680 (εφεξής «εθνικές εποπτικές αρχές») και με την κοινή εποπτική αρχή που συστήνεται δυνάμει του άρθρου 25 της απόφασης 2009/917/ΔΕΥ του Συμβουλίου 21 στον βαθμό που τούτο είναι αναγκαίο για την εκτέλεση των αντιστοίχων καθηκόντων τους, ιδίως ανταλλάσσοντας συναφείς πληροφορίες, καλώντας τις εθνικές εποπτικές αρχές να ασκήσουν τις εξουσίες τους ή ανταποκρινόμενος σε αιτήματα των εν λόγω αρχών.

Άρθρο 62

Συντονισμένη εποπτεία από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές

1.Όταν ενωσιακή πράξη παραπέμπει στο παρόν άρθρο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων συνεργάζεται στενά με τις εθνικές εποπτικές αρχές, προκειμένου να διασφαλίζεται η αποτελεσματική εποπτεία συστημάτων ΤΠ μεγάλης κλίμακας ή οργανισμών της Ένωσης.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, στο πεδίο των αντίστοιχων αρμοδιοτήτων του και στο πλαίσιο των καθηκόντων του, ανταλλάσσει σχετικές πληροφορίες, συνδράμει στη διενέργεια ελέγχων και επιθεωρήσεων, εξετάζει τυχόν δυσκολίες όσον αφορά την ερμηνεία ή την εφαρμογή του παρόντος κανονισμού και των λοιπών ισχυουσών ενωσιακών πράξεων, διερευνά προβλήματα που μπορεί να ανακύψουν κατά την άσκηση ανεξάρτητης εποπτείας ή κατά την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, συντάσσει εναρμονισμένες προτάσεις ώστε να εξευρεθούν κοινές λύσεις σε τυχόν προβλήματα και προάγει κατά τον δέοντα τρόπο την ευαισθητοποίηση όσον αφορά τα δικαιώματα περί προστασίας των δεδομένων, από κοινού με τις εθνικές εποπτικές αρχές.

3.Για τους σκοπούς της παραγράφου 2, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων συνεδριάζει από κοινού με τις εθνικές εποπτικές αρχές τουλάχιστον δύο φορές τον χρόνο στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αναλαμβάνει τη διοργάνωση και τα έξοδα των συνεδριάσεων αυτών. Κατά την πρώτη συνεδρίαση θεσπίζονται οι διαδικαστικοί κανόνες. Αναλόγως των αναγκών, μπορούν να αναπτύσσονται από κοινού πρόσθετες μέθοδοι εργασίας.

4.Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων υποβάλλει κάθε δύο χρόνια κοινή έκθεση δραστηριοτήτων σχετικά με τη συντονισμένη εποπτεία στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή.

ΚΕΦΑΛΑΙΟ VIII

ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 63

Δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

1.Με την επιφύλαξη τυχόν δικαστικής, διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο δεδομένων δικαιούται να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εάν θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβαίνει τον παρόντα κανονισμό.

2.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας, περιλαμβανομένης της δυνατότητας άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 64.

3.Αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας, η καταγγελία θεωρείται ως απορριφθείσα.

Άρθρο 64

Δικαίωμα πραγματικής δικαστικής προσφυγής

Το Δικαστήριο της Ευρωπαϊκής Ένωσης είναι αρμόδιο για την εκδίκαση κάθε διαφοράς που σχετίζεται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αξιώσεων αποζημίωσης.

Άρθρο 65

Δικαίωμα αποζημίωσης

Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο της επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη, υπό τις προϋποθέσεις που προβλέπονται στις Συνθήκες.

Άρθρο 66

Διοικητικά πρόστιμα

1.Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δύναται να επιβάλλει διοικητικά πρόστιμα σε όργανα και οργανισμούς της Ένωσης, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, όταν το όργανο ή ο οργανισμός της Ένωσης δεν συμμορφώνεται με εντολή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 59 παράγραφος 2 στοιχεία δ) ως η) και ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α)η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή τον σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων δεδομένων που έθιξε η παράβαση και τον βαθμό ζημίας που υπέστησαν,

β)οποιεσδήποτε ενέργειες στις οποίες προέβη το όργανο ή ο οργανισμός της Ένωσης για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,

γ)ο βαθμός ευθύνης του οργάνου ή του οργανισμού της Ένωσης, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 27 και 33,

δ)τυχόν παρόμοιες προηγούμενες παραβάσεις του οργάνου ή του οργανισμού της Ένωσης,

ε)ο βαθμός συνεργασίας με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

στ)οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

ζ)ο τρόπος με τον οποίο ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο το όργανο ή ο οργανισμός της Ένωσης κοινοποίησε την παράβαση,

η)σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 59 κατά του εμπλεκόμενου οργάνου ή οργανισμού της Ένωσης σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα.

Οι διαδικασίες που καταλήγουν στην επιβολή των εν λόγω προστίμων θα πρέπει να εκτελούνται εντός εύλογου χρονικού διαστήματος σύμφωνα με τις περιστάσεις της εκάστοτε περίπτωσης και λαμβάνοντας υπόψη τις σχετικές κυρώσεις και διαδικασίες του άρθρου 69.

2.Παραβάσεις των υποχρεώσεων που υπέχει το όργανο ή ο οργανισμός της Ένωσης δυνάμει των άρθρων 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 και 46 επισύρουν, σύμφωνα με την παράγραφο 1, την επιβολή διοικητικών προστίμων ύψους έως 25 000 EUR ανά παράβαση και έως 250 000 EUR συνολικά ετησίως.

3.Παραβάσεις των ακόλουθων διατάξεων από όργανο ή οργανισμό της Ένωσης επισύρουν, σύμφωνα με την παράγραφο 1, την επιβολή διοικητικών προστίμων ύψους ως 50 000 EUR ανά παράβαση και έως 500 000 EUR συνολικά ετησίως:

α)των βασικών αρχών για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για τη συγκατάθεση, σύμφωνα με τα άρθρα 4, 5, 7 και 10,

β)των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 14 έως 24,

γ)των διατάξεων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 47 έως 51.

4.Σε περίπτωση που όργανο ή οργανισμός της Ένωσης, για τις ίδιες ή για συνδεδεμένες ή για συνεχόμενες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του παρόντος κανονισμού ή την ίδια διάταξη του παρόντος κανονισμού επανειλημμένως, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

5.Προτού λάβει αποφάσεις σύμφωνα με το παρόν άρθρο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παρέχει στο όργανο ή τον οργανισμό της Ένωσης που υπόκειται στη διαδικασία την οποία διεξάγει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων την ευκαιρία να διατυπώσει την άποψή του επί των θεμάτων στα οποία ενίσταται ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων στηρίζει τις αποφάσεις του μόνο σε ενστάσεις ως προς τις οποίες έχει παρασχεθεί στα ενδιαφερόμενα μέρη η δυνατότητα υποβολής των παρατηρήσεών τους. Οι καταγγέλλοντες μετέχουν στενά στη διαδικασία.

6.Κατά τη διεξαγωγή της διαδικασίας διασφαλίζονται πλήρως τα δικαιώματα υπεράσπισης των ενδιαφερομένων μερών. Δικαιούνται δε να έχουν πρόσβαση στον φάκελο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, με την επιφύλαξη των έννομων συμφερόντων προσώπων ή επιχειρήσεων στην προστασία των προσωπικών τους δεδομένων ή επαγγελματικών απορρήτων.

7.Τα ποσά που συγκεντρώνονται από την επιβολή προστίμων βάσει του παρόντος άρθρου συνιστούν έσοδο του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης.

Άρθρο 67

Εκπροσώπηση υποκειμένων των δεδομένων

Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει για λογαριασμό του την καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, να ασκήσει για λογαριασμό του τα δικαιώματα που αναφέρονται στο άρθρο 63 και να ασκήσει εξ ονόματός του το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 65.

Άρθρο 68

Ενστάσεις του προσωπικού της Ένωσης

Κάθε πρόσωπο το οποίο απασχολείται από όργανο ή οργανισμό της Ένωσης δύναται να υποβάλει ένσταση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων επικαλούμενο παράβαση των διατάξεων του παρόντος κανονισμού, χωρίς να ακολουθηθεί η επίσημη οδός. Ουδείς επιτρέπεται να υποστεί ζημία διότι υποβάλλει ένσταση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων με την οποία επικαλείται συναφή παράβαση.

Άρθρο 69

Κυρώσεις

Κάθε παράλειψη συμμόρφωσης προς υποχρεώσεις τις οποίες υπέχει υπάλληλος ή άλλο μέλος του προσωπικού της Ευρωπαϊκής Ένωσης βάσει του παρόντος κανονισμού, η οποία διαπράττεται εκ προθέσεως ή εξ αμελείας, επισύρει πειθαρχική ή άλλη κύρωση, σύμφωνα με τις διατάξεις και τις διαδικασίες του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης ή του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης.

ΚΕΦΑΛΑΙΟ IX

ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Άρθρο 70

Διαδικασία επιτροπής

1.Η Επιτροπή επικουρείται από την επιτροπή που συστάθηκε βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.Όπου γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

ΚΕΦΑΛΑΙΟ X

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 71

Κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ

Ο κανονισμός (ΕΚ) αριθ. 45/2001 22 και η απόφαση αριθ. 1247/2002/ΕΚ 23 καταργούνται από τις 25 Μαΐου 2018. Οι παραπομπές στον καταργούμενο κανονισμό και στην καταργούμενη απόφαση θεωρούνται παραπομπές στον παρόντα κανονισμό.

Άρθρο 72

Μεταβατικά μέτρα

1.Η απόφαση 2014/886/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 24 και οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν επηρεάζονται από τον παρόντα κανονισμό.

2.Ο αναπληρωτής Επόπτης εξομοιώνεται με τον γραμματέα του Δικαστηρίου της Ευρωπαϊκής Ένωσης όσον αφορά τον καθορισμό του μισθού του, των επιδομάτων του, της σύνταξης αρχαιότητας, καθώς και κάθε άλλης παροχής που εξομοιώνεται με αποδοχές.

3.Το άρθρο 54 παράγραφοι 4, 5 και 7 και τα άρθρα 56 και 57 του παρόντος κανονισμού εφαρμόζονται στον νυν αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του στις 5 Δεκεμβρίου 2019.

4.Ο αναπληρωτής Επόπτης επικουρεί τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων στο σύνολο των καθηκόντων του και αναπληρώνει τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση απουσίας ή κωλύματος μέχρι τη λήξη της θητείας του αναπληρωτή Επόπτη στις 5 Δεκεμβρίου 2019.

Άρθρο 73

Έναρξη ισχύος και εφαρμογή

1.Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.Εφαρμόζεται από τις 25 Μαΐου 2018.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες,

Για το Ευρωπαϊκό Κοινοβούλιο    Για το Συμβούλιο

O Πρόεδρος    O Πρόεδρος

ΝΟΜΟΘΕΤΙΚΟ ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ

1.ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

1.1.Τίτλος της πρότασης/πρωτοβουλίας

1.2.Σχετικοί τομείς πολιτικής στη δομή ΔΒΔ/ΠΒΔ

1.3.Χαρακτήρας της πρότασης/πρωτοβουλίας

1.4.Στόχος(-οι)

1.5.Αιτιολόγηση της πρότασης/πρωτοβουλίας

1.6.Διάρκεια και δημοσιονομικές επιπτώσεις

1.7.Προβλεπόμενος(-οι) τρόπος(-οι) διαχείρισης

2.ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ

2.1.Διατάξεις στον τομέα της παρακολούθησης και της υποβολής εκθέσεων

2.2.Σύστημα διαχείρισης και ελέγχου

2.3.Μέτρα για την πρόληψη περιπτώσεων απάτης και παρατυπίας

3.ΕΚΤΙΜΩΜΕΝΕΣ ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

3.1.Τομέας(-είς) του πολυετούς δημοσιονομικού πλαισίου και γραμμή(-ές) δαπανών του προϋπολογισμού που επηρεάζονται

3.2.Εκτιμώμενες επιπτώσεις στις δαπάνες 

3.2.1.Συνοπτική παρουσίαση των εκτιμώμενων επιπτώσεων στις δαπάνες

3.2.2.Εκτιμώμενες επιπτώσεις στις επιχειρησιακές πιστώσεις

3.2.3.Εκτιμώμενες επιπτώσεις στις πιστώσεις διοικητικού χαρακτήρα

3.2.4.Συμβατότητα με το ισχύον πολυετές δημοσιονομικό πλαίσιο

3.2.5.Συμμετοχή τρίτων μερών στη χρηματοδότηση

3.3.Εκτιμώμενες επιπτώσεις στα έσοδα

ΝΟΜΟΘΕΤΙΚΟ ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ

1.ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

1.1.Τίτλος της πρότασης/πρωτοβουλίας

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ.

1.2.Σχετικοί τομείς πολιτικής στη δομή ΔΒΔ/ΠΒΔ 25  

Δικαιοσύνη – Προστασία δεδομένων προσωπικού χαρακτήρα

1.3.Χαρακτήρας της πρότασης/πρωτοβουλίας

 Η πρόταση/πρωτοβουλία αφορά νέα δράση 

 Η πρόταση/πρωτοβουλία αφορά νέα δράση έπειτα από πιλοτικό έργο/προπαρασκευαστική δράση 26  

Η πρόταση/πρωτοβουλία αφορά την παράταση υφιστάμενης δράσης 

 Η πρόταση/πρωτοβουλία αφορά δράση προσανατολισμένη σε νέα δράση 

1.4.Στόχος(-οι)

1.4.1.Ο (Οι) πολυετής(-είς) στρατηγικός(-οί) στόχος(-οι) της Επιτροπής τον (τους) οποίο(-ους) αφορά η πρόταση/πρωτοβουλία

Η έναρξη ισχύος της Συνθήκης της Λισαβόνας –και ιδίως η θέσπιση νέας νομικής βάσης (άρθρο 16 ΣΛΕΕ)– παρέχει τη δυνατότητα θέσπισης ενός ολοκληρωμένου πλαισίου προστασίας των δεδομένων που θα καλύπτει όλους τους τομείς.

Στις 27 Απριλίου 2016, η Ένωση θέσπισε τον κανονισμό (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ), ΕΕ L 119 της 4.5.2016, σ. 1–88.

Την ίδια ημέρα, η Ένωση θέσπισε την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016, σ. 89–131.

Σκοπός της παρούσας πρότασης είναι η περάτωση της θέσπισης ενός ολοκληρωμένου πλαισίου προστασίας των δεδομένων στην Ένωση, μέσω της ευθυγράμμισης των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης με τους κανόνες προστασίας των δεδομένων του κανονισμού (ΕΕ) 2016/679. Για λόγους συνεκτικότητας και συνοχής, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να εφαρμόζουν παρεμφερή δέσμη κανόνων προστασίας των δεδομένων με τον δημόσιο τομέα των κρατών μελών.

1.4.2.Ειδικός(-οί) στόχος(-οι) και δραστηριότητα(-ες) ΔΒΔ/ΠΒΔ

Ειδικός στόχος αριθ. 1:

Διασφάλιση συνεκτικής εφαρμογής των κανόνων για την προστασία των δεδομένων σε ολόκληρη την Ένωση.

Ειδικός στόχος αριθ. 2:

Εξορθολογισμός του προτύπου διακυβέρνησης που εφαρμόζουν επί του παρόντος τα όργανα και οι οργανισμοί της Ένωσης στον τομέα της προστασίας των δεδομένων.

Ειδικός στόχος αριθ. 3:

Ενίσχυση της συμμόρφωσης των οργάνων και οργανισμών της Ένωσης με τους κανόνες προστασίας των δεδομένων, καθώς και ενίσχυση της επιβολής τους εντός των εν λόγω οργάνων και οργανισμών.

1.4.3.Αναμενόμενο(-α) αποτέλεσμα(-τα) και επιπτώσεις

Να προσδιοριστούν τα αποτελέσματα που θα πρέπει να έχει η πρόταση/πρωτοβουλία όσον αφορά τους (τις) στοχοθετημένους(-ες) δικαιούχους/ομάδες.

Όσον αφορά τα όργανα και τους οργανισμούς της Ένωσης ως υπεύθυνους επεξεργασίας, θα πρέπει να ωφεληθούν από τη μετατόπιση από τις τρέχουσες διοικητικές διαδικασίες σχετικά με την προστασία των δεδομένων (εκ των προτέρων προσέγγιση) προς την αποτελεσματική συμμόρφωση με τους ουσιαστικούς κανόνες προστασίας των δεδομένων και με τις νέες αρχές και έννοιες προστασίας των δεδομένων που θεσπίζονται με τον κανονισμό (ΕΕ) 2016/679 (εκ των υστέρων προσέγγιση), καθώς και προς την ενίσχυση της επιβολής των εν λόγω κανόνων, αρχών και εννοιών, που θα εφαρμόζονται σε ολόκληρη την Ένωση.

Τα φυσικά πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία από όργανα και οργανισμούς της Ένωσης θα απολαμβάνουν καλύτερο έλεγχο των προσωπικών τους δεδομένων και περισσότερη εμπιστοσύνη στο ψηφιακό περιβάλλον. Θα ενισχυθεί επίσης η λογοδοσία των οργάνων και οργανισμών της Ένωσης.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα μπορεί να εστιάζει περισσότερο στον εποπτικό του ρόλο. Το ζήτημα του καταμερισμού του καθήκοντος της παροχής συμβουλών στην Επιτροπή μεταξύ του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων που θεσπίστηκε με τον κανονισμό (ΕΕ) 2016/679 και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα αποσαφηνιστεί και θα αποφευχθούν οι αλληλοεπικαλύψεις.

1.4.4.Δείκτες αποτελεσμάτων και επιπτώσεων

Να προσδιοριστούν οι δείκτες για την παρακολούθηση της υλοποίησης της πρότασης/πρωτοβουλίας.

Οι δείκτες περιλαμβάνουν τα ακόλουθα στοιχεία:

τον αριθμό των γνωμοδοτήσεων που εκδίδονται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

αναλυτική κατανομή των δραστηριοτήτων των υπευθύνων προστασίας δεδομένων,

την πραγματοποιηθείσα χρήση εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων,

τον αριθμό καταγγελιών που υποβάλλονται από υποκείμενα δεδομένων,

τα επιβληθέντα πρόστιμα σε υπεύθυνους επεξεργασίας δεδομένων που κρίθηκαν ένοχοι για παραβιάσεις της προστασίας των δεδομένων.

1.5.Αιτιολόγηση της πρότασης/πρωτοβουλίας

1.5.1.Βραχυπρόθεσμη ή μακροπρόθεσμη κάλυψη αναγκών

Στον κανονισμό (ΕΕ) 2016/679 (άρθρο 2 παράγραφος 3, άρθρο 98, αιτιολογική σκέψη 17) οι συννομοθέτες της Ένωσης κάλεσαν στην προσαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 στις αρχές και τους κανόνες που θεσπίζονται στον κανονισμό (ΕΕ) 2016/679, ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η εφαρμογή αμφότερων των νομικών πράξεων ταυτόχρονα, ήτοι στις 25 Μαΐου 2018.

1.5.2.Προστιθέμενη αξία παρέμβασης της ΕΕ

Οι κανόνες προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης μπορούν να θεσπιστούν μόνο με πράξη της ΕΕ.

1.5.3.Διδάγματα που αποκομίστηκαν από ανάλογες εμπειρίες του παρελθόντος

Η παρούσα πρόταση βασίζεται στην εμπειρία από την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς και στην αξιολόγηση της εφαρμογής του, η οποία διενεργήθηκε με μελέτη αξιολόγησης (που εκπονήθηκε από εξωτερικό ανάδοχο την περίοδο από τον Σεπτέμβριο του 2014 έως τον Ιούνιο του 2015) 27 .

1.5.4.Συμβατότητα και ενδεχόμενη συνέργεια με άλλα κατάλληλα μέσα

Με την παρούσα πρόταση, η οποία βασίζεται στον κανονισμό (ΕΕ) 2016/679, ολοκληρώνεται η θέσπιση ενός ισχυρού, συνεκτικού και σύγχρονου πλαισίου προστασίας των δεδομένων στην Ένωση – τεχνολογικά ουδέτερου και ανθεκτικού στο πέρασμα του χρόνου.

1.6.Διάρκεια και δημοσιονομικές επιπτώσεις

 Πρόταση/πρωτοβουλία περιορισμένης διάρκειας

   Πρόταση/Πρωτοβουλία με ισχύ από την [ΗΗ/MM]ΕΕΕΕ μέχρι την [ΗΗ/MM]ΕΕΕΕ

   Δημοσιονομικές επιπτώσεις από το ΕΕΕΕ μέχρι το ΕΕΕΕ

Πρόταση/πρωτοβουλία απεριόριστης διάρκειας

Υλοποίηση με περίοδο έναρξης από το [2017] έως τις 25 Μαΐου 2018 και, στη συνέχεια, πλήρης εφαρμογή.

1.7.Προβλεπόμενος(-οι) τρόπος(-οι) διαχείρισης 28  

Άμεση διαχείριση από την Επιτροπή

◻ από τις υπηρεσίες της, συμπεριλαμβανομένου του προσωπικού της στις αντιπροσωπείες της Ένωσης·

   από τους εκτελεστικούς οργανισμούς

 Επιμερισμένη διαχείριση με τα κράτη μέλη

 Έμμεση διαχείριση με ανάθεση εκτελεστικών καθηκόντων σε:

◻ τρίτες χώρες ή οργανισμούς που αυτές έχουν ορίσει·

◻ διεθνείς οργανισμούς και τις οργανώσεις τους (να προσδιοριστούν)·

◻ την ΕΤΕπ και το Ευρωπαϊκό Ταμείο Επενδύσεων·

◻ τους οργανισμούς που αναφέρονται στα άρθρα 208 και 209 του δημοσιονομικού κανονισμού·

◻ οργανισμούς δημοσίου δικαίου·

◻ οργανισμούς που διέπονται από ιδιωτικό δίκαιο με αποστολή δημόσιας υπηρεσίας στον βαθμό που προσφέρουν επαρκείς οικονομικές εγγυήσεις·

◻ οργανισμούς που διέπονται από το ιδιωτικό δίκαιο κράτους μέλους στους οποίους έχει ανατεθεί η εκτέλεση σύμπραξης δημόσιου και ιδιωτικού τομέα και που προσφέρουν επαρκείς οικονομικές εγγυήσεις·

◻ πρόσωπα επιφορτισμένα με την εκτέλεση συγκεκριμένων δράσεων στην ΚΕΠΠΑ δυνάμει του τίτλου V της ΣΕΕ και προσδιορίζονται στην αντίστοιχη βασική πράξη.

Αν αναφέρονται περισσότεροι του ενός τρόποι διαχείρισης, παρακαλείσθε να τους διευκρινίσετε στο τμήμα «Παρατηρήσεις».

Παρατηρήσεις

Η παρούσα πρόταση αφορά και επηρεάζει μόνο τα όργανα και τους οργανισμούς της Ένωσης.

2.ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ

2.1.Διατάξεις στον τομέα της παρακολούθησης και της υποβολής εκθέσεων

Να προσδιοριστούν η συχνότητα και οι όροι των διατάξεων αυτών

Η παρούσα πρόταση αφορά μόνο την εφαρμογή κανόνων προστασίας των δεδομένων από τα όργανα και τους οργανισμούς της Ένωσης. Η εποπτεία και η επιβολή των εν λόγω κανόνων είναι καθήκον του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος είναι κατά συνέπεια υπεύθυνος για την παρακολούθηση και την υποβολή εκθέσεων. Συγκεκριμένα, βάσει του άρθρου 60 της παρούσας πρότασης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει την υποχρέωση να υποβάλλει κάθε χρόνο στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή έκθεση για τις δραστηριότητες που εμπίπτουν στην αρμοδιότητά του και ταυτόχρονα να τη δημοσιεύει.

2.2.Σύστημα διαχείρισης και ελέγχου

2.2.1.Κίνδυνος(-οι) που έχει(-ουν) εντοπιστεί

Εκπονήθηκε μελέτη αξιολόγησης για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 από εξωτερικό ανάδοχο κατά την περίοδο από τον Σεπτέμβριο του 2014 έως τον Ιούνιο του 2015, η οποία εξετάζει επιπλέον τον αντίκτυπο της υιοθέτησης των βασικών εννοιών και αρχών του κανονισμού (ΕΕ) 2016/679 από τα όργανα και τους οργανισμούς της Ένωσης.

Το νέο πρότυπο προστασίας των δεδομένων θα εστιάζει στην αποτελεσματική συμμόρφωση με τους κανόνες προστασίας των δεδομένων και στην αποτελεσματική εποπτεία και επιβολή των εν λόγω κανόνων. Θα επιβάλλει μια αλλαγή νοοτροπίας στα όργανα και τους οργανισμούς της Ένωσης στον τομέα της προστασίας των δεδομένων, από τη διοικητική εκ των προτέρων προσέγγιση προς την αποτελεσματική εκ των υστέρων προσέγγιση.

2.2.2.Πληροφορίες σχετικά με το σύστημα εσωτερικού ελέγχου που έχει καθοριστεί

Υφιστάμενες μέθοδοι ελέγχου που εφαρμόζονται από τα όργανα και τους οργανισμούς της Ένωσης.

2.2.3.Εκτιμώμενο κόστος και όφελος των ελέγχων και αξιολόγηση του εκτιμώμενου επιπέδου κινδύνου σφάλματος

Υφιστάμενες μέθοδοι ελέγχου που εφαρμόζονται από τα όργανα και τους οργανισμούς της Ένωσης.

2.3.Μέτρα για την πρόληψη περιπτώσεων απάτης και παρατυπίας

Να προσδιοριστούν τα ισχύοντα ή τα προβλεπόμενα μέτρα πρόληψης και προστασίας

Υφιστάμενες μέθοδοι πρόληψης της απάτης που εφαρμόζονται από τα όργανα και τους οργανισμούς της Ένωσης.

3.ΕΚΤΙΜΩΜΕΝΕΣ ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

3.1.Τομέας(-είς) του πολυετούς δημοσιονομικού πλαισίου και γραμμή(-ές) δαπανών του προϋπολογισμού που επηρεάζονται

Υφιστάμενες γραμμές του προϋπολογισμού

Σύμφωνα με τη σειρά των τομέων του πολυετούς δημοσιονομικού πλαισίου και των γραμμών του προϋπολογισμού.

Τομέας του πολυετούς δημοσιονομικού πλαισίου

Γραμμή προϋπολογισμού

Είδος της
δαπάνης

Συμμετοχή

Αριθμός
[Τομέας ………………………...……………]

ΔΠ/ΜΔΠ 29 .

χωρών ΕΖΕΣ 30

υποψηφίων για ένταξη χωρών 31

τρίτων χωρών

κατά την έννοια του άρθρου 21 παράγραφος 2 στοιχείο β) του δημοσιονομικού κανονισμού

[XX.ΕΕ.ΕΕ.ΕΕ]

ΔΠ/ΜΔΠ

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

Νέες γραμμές του προϋπολογισμού, των οποίων έχει ζητηθεί η δημιουργία

Σύμφωνα με τη σειρά των τομέων του πολυετούς δημοσιονομικού πλαισίου και των γραμμών του προϋπολογισμού.

Τομέας του πολυετούς δημοσιονομικού πλαισίου

Γραμμή προϋπολογισμού

Είδος της
δαπάνης

Συμμετοχή

Αριθμός
[Τομέας ………………………...……………]

ΔΠ/ΜΔΠ

χωρών ΕΖΕΣ

υποψηφίων για ένταξη χωρών

τρίτων χωρών

κατά την έννοια του άρθρου 21 παράγραφος 2 στοιχείο β) του δημοσιονομικού κανονισμού

[XX.ΕΕ.ΕΕ.ΕΕ]

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

ΝΑΙ/ΟΧΙ

3.2.Εκτιμώμενες επιπτώσεις στις δαπάνες

Η παρούσα πρόταση έχει επιπτώσεις μόνο στις δαπάνες των οργάνων και οργανισμών της Ένωσης. Από την εκτίμηση των δαπανών που σχετίζονται με την παρούσα πρόταση προκύπτει, πάντως, ότι η πρόταση δεν δημιουργεί σημαντικές πρόσθετες δαπάνες για τα όργανα και τους οργανισμούς της Ένωσης.

Όσον αφορά τους υπεύθυνους επεξεργασίας δεδομένων στα όργανα και τους οργανισμούς της Ένωσης, από τη μελέτη αξιολόγησης σχετικά με τον κανονισμό (ΕΚ) αριθ. 45/2001 προκύπτει ότι οι δραστηριότητές τους σχετικά με την προστασία των δεδομένων αντιστοιχούν σε περίπου 70 μονάδες ισοδύναμων πλήρους απασχόλησης (ΙΠΑ), ήτοι περίπου 9,3 εκατ. EUR ετησίως. Περίπου το 20 % των δραστηριοτήτων τους σχετικά με την προστασία των δεδομένων αφορά επί του παρόντος κοινοποιήσεις επεξεργασίας δεδομένων. Η δραστηριότητα αυτή καταργείται με τον παρόντα κανονισμό, με αποτέλεσμα την εξοικονόμηση 1,922 εκατ. EUR ετησίως για τους υπεύθυνους επεξεργασίας δεδομένων στα όργανα και τους οργανισμούς της Ένωσης. Το ποσό αυτό αναμένεται να αντισταθμιστεί από την αυξημένη ενασχόληση των υπευθύνων επεξεργασίας με την εφαρμογή των νέων αρχών και εννοιών που θεσπίζονται με τον παρόντα κανονισμό.

Πιο συγκεκριμένα, η έρευνα που εκπονήθηκε στο πλαίσιο της μελέτης αξιολόγησης κατέδειξε ότι η εισαγωγή:

α) της αρχής της ελαχιστοποίησης των δεδομένων αναμένεται να έχει ελάχιστο ή μηδενικό αντίκτυπο στα όργανα και τους οργανισμούς της Ένωσης,

β) της αρχής της διαφάνειας δεν αναμένεται να έχει σημαντικό αντίκτυπο στα όργανα και τους οργανισμούς της Ένωσης,

γ) των αυξημένων υποχρεώσεων παροχής πληροφοριών αναμένεται να αυξήσει τον φόρτο εργασίας των υπευθύνων επεξεργασίας δεδομένων και των υπευθύνων προστασίας δεδομένων,

δ) του δικαιώματος στη λήθη δεν αναμένεται να έχει σημαντικό αντίκτυπο στα όργανα και τους οργανισμούς της Ένωσης,

ε) του δικαιώματος στη φορητότητα των δεδομένων αναμένεται να έχει ελάχιστο ή μηδενικό αντίκτυπο στα όργανα και τους οργανισμούς της Ένωσης,

στ) των εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων αναμένεται να έχει μετρίως σημαντικό αντίκτυπο στον φόρτο εργασίας των υπευθύνων επεξεργασίας δεδομένων και των υπευθύνων προστασίας δεδομένων, καθώς ορισμένα όργανα και οργανισμοί της Ένωσης εκπονούν ήδη εκτιμήσεις αντικτύπου σχετικά με την προστασία των δεδομένων και οι περιπτώσεις στις οποίες θα πρέπει να εκπονούνται τέτοιες εκτιμήσεις αντικτύπου είναι περιορισμένες,

ζ) των κοινοποιήσεων παραβιάσεων δεδομένων προσωπικού χαρακτήρα αναμένεται να αυξήσει τον φόρτο εργασίας των υπευθύνων επεξεργασίας δεδομένων, όμως οι παραβιάσεις αυτές δεν είναι συχνό φαινόμενο,

η) της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού είναι μέτρα που εφαρμόζονται ήδη από αρκετά όργανα και οργανισμούς της Ένωσης.

Επιπλέον, η εκτίμηση επιπτώσεων που εκπονήθηκε πριν από την έγκριση της πρότασης σχετικά με δέσμη μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων κατέληξε στο συμπέρασμα ότι «δεν θα υπάρξουν αυξημένες διοικητικές επιβαρύνσεις για τις δημόσιες αρχές ή τους υπεύθυνους επεξεργασίας δεδομένων από την εισαγωγή της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό.» 32

Όσον αφορά τους υπεύθυνους προστασίας δεδομένων, η μελέτη αξιολόγησης υπολόγισε το κόστος του δικτύου υπευθύνων προστασίας δεδομένων και συντονιστών προστασίας δεδομένων που υφίσταται επί του παρόντος στα όργανα και τους οργανισμούς της Ένωσης σε 82,9 ΙΠΑ ή 10,9 εκατ. EUR ετησίως, καθώς αυτοί δαπανούν το 26 % του χρόνου που αφιερώνουν συνολικά σε δραστηριότητες σχετικές με την προστασία των δεδομένων σε δραστηριότητες που καταργούνται με τον παρόντα κανονισμό, ήτοι στη σύνταξη κοινοποιήσεων (αντί των υπευθύνων επεξεργασίας), στην αξιολόγηση των ληφθεισών κοινοποιήσεων, και στην τήρηση των αρχείων τους στο μητρώο και τη διενέργεια προκαταρκτικών ελέγχων. Επιτυγχάνεται έτσι περαιτέρω εξοικονόμηση 2,834 εκατ. EUR ετησίως για τα όργανα και τους οργανισμούς της Ένωσης. Επιπλέον, ο παρών κανονισμός δημιουργεί περιθώρια για πιθανή πρόσθετη εξοικονόμηση πόρων, καθώς επιτρέπει στα όργανα και τους οργανισμούς της Ένωσης να αναθέτουν δραστηριότητες των υπευθύνων προστασίας δεδομένων σε εξωτερικούς αναδόχους, αντί να χρησιμοποιούν δικό τους προσωπικό.

Η εξοικονόμηση πόρων σε σχέση με τις δραστηριότητες των υπευθύνων προστασίας δεδομένων θα αντισταθμιστεί από τη συμμετοχή τους σε αυξημένες υποχρεώσεις παροχής πληροφοριών, εκτιμήσεις αντικτύπου σχετικά με την προστασία των δεδομένων (στις περιορισμένες περιπτώσεις που θα απαιτούνται) και προηγούμενες διαβουλεύσεις με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (η έκταση των οποίων θα είναι πολύ πιο περιορισμένη σε σχέση με την ισχύουσα επί του παρόντος υποχρέωση προκαταρκτικού ελέγχου).

Όσον αφορά τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, ο ετήσιος προϋπολογισμός του διατηρείται σε γενικές γραμμές σταθερός από το 2011, στο ποσό των 8 εκατ. EUR περίπου. Επί του παρόντος, η μονάδα Εποπτείας και Επιβολής και η μονάδα Πολιτικής και Διαβούλευσης του ΕΕΠΔ έχουν παρεμφερή αριθμό υπαλλήλων, σταθερό από το 2008. Η αυξημένη εστίαση του παρόντος κανονισμού στον εποπτικό ρόλο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα αντισταθμιστεί από τη μεγαλύτερη στοχοθέτηση του συμβουλευτικού του ρόλου και την άρση αλληλεπικαλύψεων μεταξύ των καθηκόντων του και αυτών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Μπορεί επομένως να γίνει εσωτερική ανακατανομή του προσωπικού του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

Η παρούσα πρόταση παρέχει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων τη δυνατότητα να επιβάλλει διοικητικά πρόστιμα στα όργανα και τους οργανισμούς της Ένωσης. Σε κάθε όργανο ή οργανισμό της Ένωσης είναι δυνατόν να επιβάλλεται πρόστιμο ύψους έως 250 000 EUR ετησίως (25 000 EUR ανά παράβαση) ή έως 500 000 EUR ετησίως (50 000 EUR ανά παράβαση) για τις σοβαρότερες παραβάσεις του παρόντος κανονισμού. Τέτοια πρόστιμα αναμένεται να επιβάλλονται μόνο στις σοβαρότερες περιπτώσεις και εφόσον το όργανο ή ο οργανισμός της Ένωσης δεν έχει συμμορφωθεί με μέτρα ληφθέντα κατά την άσκηση άλλων διορθωτικών εξουσιών του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Κατά συνέπεια, οι οικονομικές επιπτώσεις των εν λόγω προστίμων αναμένεται να είναι περιορισμένες.

3.2.1.Συνοπτική παρουσίαση των εκτιμώμενων επιπτώσεων στις δαπάνες

Σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Τομέας του πολυετούς δημοσιονομικού
πλαισίου

Αριθμός

[Τομέας ……………...……………………………………………………………….]

ΓΔ: <…….>

Έτος
N 33

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

ΣΥΝΟΛΟ

• Επιχειρησιακές πιστώσεις

Αριθμός γραμμής του προϋπολογισμού

Αναλήψεις υποχρεώσεων

(1)

Πληρωμές

(2)

Αριθμός γραμμής του προϋπολογισμού

Αναλήψεις υποχρεώσεων

(1α)

Πληρωμές

(2α)

Πιστώσεις διοικητικού χαρακτήρα χρηματοδοτούμενες από το κονδύλιο ειδικών προγραμμάτων 34  

Αριθμός γραμμής του προϋπολογισμού

(3)

ΣΥΝΟΛΟ πιστώσεων
για τη ΓΔ <…….>

Αναλήψεις υποχρεώσεων

=1+1α +3

Πληρωμές

=2+2α

+3






ΣΥΝΟΛΟ επιχειρησιακών πιστώσεων

Αναλήψεις υποχρεώσεων

(4)

Πληρωμές

(5)

• ΣΥΝΟΛΟ πιστώσεων διοικητικού χαρακτήρα χρηματοδοτούμενων από το κονδύλιο ειδικών προγραμμάτων

(6)

ΣΥΝΟΛΟ πιστώσεων 
του ΤΟΜΕΑ <….>
του πολυετούς δημοσιονομικού πλαισίου

Αναλήψεις υποχρεώσεων

=4+ 6

Πληρωμές

=5+ 6

Αν η πρόταση/πρωτοβουλία επηρεάζει περισσότερους του ενός τομείς:

• ΣΥΝΟΛΟ επιχειρησιακών πιστώσεων

Αναλήψεις υποχρεώσεων

(4)

Πληρωμές

(5)

• ΣΥΝΟΛΟ πιστώσεων διοικητικού χαρακτήρα χρηματοδοτούμενων από το κονδύλιο ειδικών προγραμμάτων

(6)

ΣΥΝΟΛΟ πιστώσεων 
των ΤΟΜΕΩΝ 1 έως 4
του πολυετούς δημοσιονομικού πλαισίου

(Ποσό αναφοράς)

Αναλήψεις υποχρεώσεων

=4+ 6

Πληρωμές

=5+ 6



Τομέας του πολυετούς δημοσιονομικού  
πλαισίου

5

«Διοικητικές δαπάνες»

Σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Έτος
N

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

ΣΥΝΟΛΟ

ΓΔ: <…….>

• Ανθρώπινοι πόροι

• Άλλες διοικητικές δαπάνες

ΣΥΝΟΛΟ ΓΔ <…….>

Πιστώσεις

ΣΥΝΟΛΟ πιστώσεων 
του ΤΟΜΕΑ 5
του πολυετούς δημοσιονομικού πλαισίου
 

(Σύνολο πιστώσεων ανάληψης υποχρεώσεων = Σύνολο πληρωμών)

Σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Έτος
N 35

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

ΣΥΝΟΛΟ

ΣΥΝΟΛΟ πιστώσεων 
των ΤΟΜΕΩΝ 1 έως 5
του πολυετούς δημοσιονομικού πλαισίου
 

Αναλήψεις υποχρεώσεων

Πληρωμές

3.2.2.Εκτιμώμενες επιπτώσεις στις επιχειρησιακές πιστώσεις

Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση επιχειρησιακών πιστώσεων

   Η πρόταση/πρωτοβουλία συνεπάγεται τη χρησιμοποίηση επιχειρησιακών πιστώσεων, όπως εξηγείται κατωτέρω:

Πιστώσεις ανάληψης υποχρεώσεων σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Να προσδιοριστούν οι στόχοι και τα αποτελέσματα

Έτος
N

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

ΣΥΝΟΛΟ

ΑΠΟΤΕΛΕΣΜΑΤΑ

Είδος 36

Μέσο κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Αριθμός

Κόστος

Συνολικός αριθμός

Συνολικό κόστος

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 1 37 ...

- Αποτέλεσμα

- Αποτέλεσμα

- Αποτέλεσμα

Μερικό σύνολο για τον ειδικό στόχο αριθ. 1

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 2 ...

- Αποτέλεσμα

Μερικό σύνολο για τον ειδικό στόχο αριθ. 2

ΣΥΝΟΛΙΚΟ ΚΟΣΤΟΣ

3.2.3.Εκτιμώμενες επιπτώσεις στις πιστώσεις διοικητικού χαρακτήρα

3.2.3.1.Συνοπτική παρουσίαση

Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση πιστώσεων διοικητικού χαρακτήρα.

   Η πρόταση/πρωτοβουλία συνεπάγεται τη χρησιμοποίηση πιστώσεων διοικητικού χαρακτήρα, όπως εξηγείται κατωτέρω:

Σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Έτος
N 38

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

ΣΥΝΟΛΟ

ΤΟΜΕΑΣ 5
του πολυετούς δημοσιονομικού πλαισίου

Ανθρώπινοι πόροι

Άλλες διοικητικές δαπάνες

Μερικό σύνολο του ΤΟΜΕΑ 5
του πολυετούς δημοσιονομικού πλαισίου

Εκτός του ΤΟΜΕΑ 5 39
του πολυετούς δημοσιονομικού πλαισίου

Ανθρώπινοι πόροι

Άλλες δαπάνες
διοικητικού χαρακτήρα

Μερικό σύνολο
εκτός του ΤΟΜΕΑ 5
του πολυετούς δημοσιονομικού πλαισίου

ΣΥΝΟΛΟ

Οι απαιτούμενες πιστώσεις για ανθρώπινους πόρους και άλλες δαπάνες διοικητικού χαρακτήρα θα καλυφθούν από τις πιστώσεις της ΓΔ που έχουν ήδη διατεθεί για τη διαχείριση της δράσης και/ή έχουν ανακατανεμηθεί στο εσωτερικό της ΓΔ και οι οποίες θα συμπληρωθούν, κατά περίπτωση, με πρόσθετα κονδύλια που ενδέχεται να χορηγηθούν στην αρμόδια για τη διαχείριση ΓΔ στο πλαίσιο της ετήσιας διαδικασίας κατανομής και λαμβανομένων υπόψη των υφιστάμενων δημοσιονομικών περιορισμών.

3.2.3.2.Εκτιμώμενες ανάγκες σε ανθρώπινους πόρους

Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση ανθρώπινων πόρων.

   Η πρόταση/πρωτοβουλία συνεπάγεται τη χρησιμοποίηση ανθρώπινων πόρων, όπως εξηγείται κατωτέρω:

Εκτίμηση η οποία πρέπει να εκφράζεται σε μονάδες ισοδυνάμων πλήρους απασχόλησης

Έτος
N

Έτος
N+1

Έτος N+2

Έτος N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

•Θέσεις απασχόλησης του πίνακα προσωπικού (θέσεις μόνιμων και έκτακτων υπαλλήλων)

ΧΧ 01 01 01 (έδρα και γραφεία αντιπροσωπείας της Επιτροπής)

XX 01 01 02 (σε αντιπροσωπεία)

XX 01 05 01 (έμμεση έρευνα)

10 01 05 01 (άμεση έρευνα)

Εξωτερικό προσωπικό (σε μονάδα ισοδυνάμου πλήρους απασχόλησης - ΙΠΑ) 40

XX 01 02 01 (AC, END, INT από το συνολικό κονδύλιο)

XX 01 02 02 (AC, AL, END, INT και JED στις αντιπροσωπείες)

XX 01 04 εε  41

- στην έδρα

- σε αντιπροσωπείες

XX 01 05 02 (AC, END, INT - έμμεση έρευνα)

10 01 05 02 (AC, END, INT - άμεση έρευνα)

Άλλες γραμμές του προϋπολογισμού (να προσδιοριστούν)

ΣΥΝΟΛΟ

XX είναι ο σχετικός τομέας πολιτικής ή ο σχετικός τίτλος του προϋπολογισμού.

Οι ανάγκες σε ανθρώπινους πόρους θα καλυφθούν από το προσωπικό της ΓΔ που έχει ήδη διατεθεί για τη διαχείριση της δράσης και/ή έχει ανακατανεμηθεί στο εσωτερικό της ΓΔ και το οποίο θα συμπληρωθεί, εάν χρειαστεί, από πρόσθετους πόρους που μπορεί να διατεθούν στην αρμόδια για τη διαχείριση ΓΔ στο πλαίσιο της ετήσιας διαδικασίας κατανομής και λαμβανομένων υπόψη των υφιστάμενων δημοσιονομικών περιορισμών.

Περιγραφή των προς εκτέλεση καθηκόντων:

Μόνιμοι και έκτακτοι υπάλληλοι

Εξωτερικό προσωπικό

3.2.4.Συμβατότητα με το ισχύον πολυετές δημοσιονομικό πλαίσιο

Η πρόταση/πρωτοβουλία είναι συμβατή με τον ισχύον πολυετές δημοσιονομικό πλαίσιο.

   Η πρόταση/πρωτοβουλία απαιτεί αναπρογραμματισμό του σχετικού τομέα του πολυετούς δημοσιονομικού πλαισίου.

Να εξηγηθεί ο απαιτούμενος αναπρογραμματισμός, με προσδιορισμό των σχετικών γραμμών του προϋπολογισμού και των αντίστοιχων ποσών.

   Η πρόταση/πρωτοβουλία απαιτεί τη χρησιμοποίηση του μέσου ευελιξίας ή την αναθεώρηση του πολυετούς δημοσιονομικού πλαισίου.

Να εξηγηθεί η ανάγκη, με προσδιορισμό των σχετικών τομέων και γραμμών του προϋπολογισμού, καθώς και των αντίστοιχων ποσών.

3.2.5.Συμμετοχή τρίτων μερών στη χρηματοδότηση

Η πρόταση/πρωτοβουλία δεν προβλέπει συγχρηματοδότηση από τρίτα μέρη.

Η πρόταση/πρωτοβουλία προβλέπει τη συγχρηματοδότηση που εκτιμάται παρακάτω:

Πιστώσεις σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Έτος
N

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

Σύνολο

Να προσδιοριστεί ο φορέας συγχρηματοδότησης 

ΣΥΝΟΛΟ συγχρηματοδοτούμενων πιστώσεων



3.3.Εκτιμώμενες επιπτώσεις στα έσοδα

Η πρόταση/πρωτοβουλία δεν έχει δημοσιονομικές επιπτώσεις στα έσοδα.

   Η πρόταση/πρωτοβουλία έχει τις δημοσιονομικές επιπτώσεις που περιγράφονται κατωτέρω:

   στους ιδίους πόρους

   στα διάφορα έσοδα

Σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Γραμμή εσόδων του προϋπολογισμού:

Διαθέσιμες πιστώσεις για το τρέχον οικονομικό έτος

Επιπτώσεις της πρότασης/πρωτοβουλίας 42

Έτος
N

Έτος
N+1

Έτος
N+2

Έτος
N+3

Να εγγραφούν όσα έτη απαιτούνται, ώστε να εμφαίνεται η διάρκεια των επιπτώσεων (βλ. σημείο 1.6)

Άρθρο ………….

Για τα διάφορα έσοδα «για ειδικό προορισμό», να προσδιοριστεί(-ούν) η (οι) γραμμή(-ές) δαπανών του προϋπολογισμού που επηρεάζονται.

Να προσδιοριστεί η μέθοδος υπολογισμού των επιπτώσεων στα έσοδα.

(1) Κανονισμός (EΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 8 της 12.1.2001.
(2) Απόφαση αριθ. 1247/2002/ΕΚ, της 1ης Ιουλίου 2002, περί του καθεστώτος και των γενικών όρων άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ΕΕ L 183 της 12.07.2002, σ. 1.
(3) Βλ. κανονισμό (ΕΕ) 2016/679, άρθρο 98 και αιτιολογική σκέψη 17.
(4) Βλ. απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης της 9ης Μαρτίου 2010, Επιτροπή κατά Γερμανίας, υπόθεση C-518/07, ECLI:EU:C:2010:125, σκέψεις 26 και 28.
(5) Βλ. τον δικτυακό τόπο http://ec.europa.eu/justice/data-protection/reform/index_en.htm
(6) Βλ. γενική έκθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων με θέμα «Εκτίμηση της συμμόρφωσης των οργάνων της ΕΕ με τον κανονισμό (ΕΚ) 45/2001 (“Έρευνα 2013”)» και «Γνωμοδότηση 3/2015 “Η μεγάλη ευκαιρία της Ευρώπης: Συστάσεις του ΕΕΠΔ σχετικά με τις επιλογές της ΕΕ για τη μεταρρύθμιση της προστασίας δεδομένων”».
(7) JUST/2013/FRAC/FW/0157/A4 στο πλαίσιο της πολλαπλής σύμβασης-πλαισίου JUST/2011/EVAL/01 (RS 2013/05) – Μελέτη αξιολόγησης σχετικά με τον κανονισμό (ΕΚ) 45/2001, από την εταιρεία Ernst and Young, διαθέσιμη στον δικτυακό τόπο http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087
(8) Δικαστήριο της Ευρωπαϊκής Ένωσης, απόφαση της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, συνεκδικασθείσες υποθέσεις C-92/09 και C-93/09, ECLI:EU:C:2009:284, σκέψη 48.
(9) Σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη, επιτρέπεται η επιβολή περιορισμών στην άσκηση του δικαιώματος προστασίας των δεδομένων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, σέβονται το βασικό περιεχόμενο των σχετικών δικαιωμάτων και ελευθεριών και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε στόχους γενικού ενδιαφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.
(10) ΕΕ C της , σ. .
(11) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
(12) Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ), ΕΕ L 119 της 4.5.2016, σ. 1–88.
(13) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016, σ. 89–131.
(14) Οδηγία 93/13/ΕΟΚ του Συμβουλίου, της 5ης Απριλίου 1993, σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95 της 21.4.1993, σ. 29).
(15) Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία ( ΕΕ L 354 της 31.12.2008, σ. 70 ).
(16) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).
(17) Κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2009, σχετικά με τις ευρωπαϊκές στατιστικές και την κατάργηση του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1101/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη διαβίβαση στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο, του κανονισμού (ΕΚ) αριθ. 322/97 του Συμβουλίου σχετικά με τις κοινοτικές στατιστικές και της απόφασης 89/382/ΕΟΚ, Ευρατόμ του Συμβουλίου για τη σύσταση επιτροπής του στατιστικού προγράμματος των Ευρωπαϊκών Κοινοτήτων ( ΕΕ L 87 της 31.3.2009, σ. 164 ).
(18) Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ), ΕΕ L 119 της 4.5.2016, σ. 1–88.
(19) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016, σ. 89–131.
(20) Οδηγία 2008/63/ΕΚ της Επιτροπής, της 20ής Ιουνίου 2008, σχετικά με τον ανταγωνισμό στις αγορές εξοπλισμού τηλεπικοινωνιακών τερματικών (ΕΕ L 162 της 21.06.2008, σ. 20).
(21) Απόφαση 2009/917/ΔΕΥ του Συμβουλίου, της 30ής Νοεμβρίου 2009, για τη χρήση της πληροφορικής για τελωνειακούς σκοπούς, ΕΕ L 323 της 10.12.2009, σ. 20–30.
(22) Κανονισμός (EΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 8 της 12.1.2001.
(23) Απόφαση αριθ. 1247/2002/ΕΚ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής, της 1ης Ιουλίου 2002, περί του καθεστώτος και των γενικών όρων άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ΕΕ L 183 της 12.07.2002, σ. 1.
(24) Απόφαση 2014/886/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Δεκεμβρίου 2014, για τον διορισμό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του αναπληρωτή Επόπτη, ΕΕ L 351 της 09.12.2014, σ. 9.
(25) ΔΒΔ: Διαχείριση βάσει δραστηριοτήτων – ΠΒΔ: Προϋπολογισμός βάσει δραστηριοτήτων.
(26) Αναφερόμενα στο άρθρο 54 παράγραφος 2 στοιχείο α) ή β) του δημοσιονομικού κανονισμού.
(27) JUST/2013/FRAC/FW/0157/A4 στο πλαίσιο της πολλαπλής σύμβασης-πλαισίου JUST/2011/EVAL/01 (RS 2013/05) – Μελέτη αξιολόγησης σχετικά με τον κανονισμό (ΕΚ) 45/2001, από την εταιρεία Ernst and Young
(28) Οι λεπτομέρειες σχετικά με τους τρόπους διαχείρισης, καθώς και οι παραπομπές στον δημοσιονομικό κανονισμό είναι διαθέσιμες στον δικτυακό τόπο BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html
(29) ΔΠ = Διαχωριζόμενες πιστώσεις/ΜΔΠ = Μη διαχωριζόμενες πιστώσεις.
(30) ΕΖΕΣ: Ευρωπαϊκή Ζώνη Ελεύθερων Συναλλαγών.
(31) Υποψήφιες χώρες και, εφόσον ισχύει, δυνάμει υποψήφιες για ένταξη χώρες των Δυτικών Βαλκανίων.
(32) Έγγραφο εργασίας των υπηρεσιών της Επιτροπής, Εκτίμηση επιπτώσεων, SEC (2012) 72 final, σελίδα 110.
(33) Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.
(34) Τεχνική και/ή διοικητική βοήθεια και δαπάνες στήριξης της εφαρμογής προγραμμάτων και/ή δράσεων της ΕΕ (πρώην γραμμές «BA»), έμμεση έρευνα, άμεση έρευνα.
(35) Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.
(36) Αποτελέσματα θα είναι τα προϊόντα και οι υπηρεσίες που θα παρασχεθούν (παράδειγμα: αριθμός ανταλλαγών σπουδαστών που θα χρηματοδοτηθούν, αριθμός χλμ οδών που θα κατασκευαστούν κ.λπ.)
(37) Όπως περιγράφεται στο σημείο 1.4.2. «Ειδικός(-οί) στόχος(-οι)…».
(38) Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.
(39) Τεχνική και/ή διοικητική βοήθεια και δαπάνες στήριξης της εφαρμογής προγραμμάτων και/ή δράσεων της ΕΕ (πρώην γραμμές «BA»), έμμεση έρευνα, άμεση έρευνα.
(40) AC = Συμβασιούχος υπάλληλος· AL = Τοπικός υπάλληλος· END = Αποσπασμένος εθνικός εμπειρογνώμονας· INT = Προσωρινό προσωπικό οργανισμού· JED = Νέος εμπειρογνώμονας σε αντιπροσωπεία.
(41) Επιμέρους ανώτατο όριο εξωτερικού προσωπικού που καλύπτεται από επιχειρησιακές πιστώσεις (πρώην γραμμές «BA»)
(42) Όσον αφορά τους παραδοσιακούς ιδίους πόρους (δασμούς, εισφορές ζάχαρης), τα αναγραφόμενα ποσά πρέπει να είναι καθαρά ποσά, δηλ. τα ακαθάριστα ποσά μετά την αφαίρεση του 25 % για έξοδα είσπραξης.
Top