1.   Η παρούσα απόφαση καθορίζει κανόνες και διαδικασίες για την εφαρμογή του κανονισμού (ΕΕ) 2018/1725 από το Συμβούλιο και τη Γενική Γραμματεία του Συμβουλίου (ΓΓΣ) και προβλέπει περαιτέρω διατάξεις εφαρμογής όσον αφορά τον υπεύθυνο προστασίας δεδομένων του Συμβουλίου (ΥΠΔ).

2.   Η παρούσα απόφαση καθορίζει τους κανόνες που πρέπει να τηρεί το Συμβούλιο και η ΓΓΣ όσον αφορά τα καθήκοντα παρακολούθησης, έρευνας, ελέγχου ή διαβούλευσης του ΥΠΔ, κατά την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν σύμφωνα με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725.

3.   Η παρούσα απόφαση καθορίζει τις προϋποθέσεις υπό τις οποίες το Συμβούλιο και η ΓΓΣ μπορούν να περιορίζουν, όσον αφορά τις δραστηριότητες παρακολούθησης, έρευνας, ελέγχου ή διαβούλευσης του ΥΠΔ, την εφαρμογή των άρθρων 4, 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του εν λόγω κανονισμού.

4.   Η παρούσα απόφαση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Συμβούλιο και τη ΓΓΣ για τους σκοπούς ή στο πλαίσιο των καθηκόντων του ΥΠΔ που αναφέρονται στο άρθρο 45 του κανονισμού (ΕΕ) 2018/1725.

1.   Ο γενικός γραμματέας του Συμβουλίου διορίζει τον ΥΠΔ μεταξύ των μελών του προσωπικού της ΓΓΣ και γνωστοποιεί το όνομά του στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων («ΕΕΠΔ»), σύμφωνα με το άρθρο 43 του κανονισμού (ΕΕ) 2018/1725.

2.   Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 45 του κανονισμού (ΕΕ) 2018/1725. Ο ΥΠΔ έχει επίσης άρτια γνώση της ΓΓΣ, της δομής της και των διοικητικών κανόνων και διαδικασιών της. Για τους σκοπούς της εκτέλεσης των καθηκόντων του, ο ΥΠΔ απαλλάσσεται από κάθε άλλο καθήκον εντός της ΓΓΣ.

3.   Ο ΥΠΔ ορίζεται για πενταετή θητεία με δυνατότητα ανανέωσης.

4.   Ο ΥΠΔ και το προσωπικό του υπάγονται απευθείας στον Γενικό Γραμματέα του Συμβουλίου και λογοδοτούν απευθείας σε αυτόν.

5.   Κατά την εκτέλεση των καθηκόντων του, ο ΥΠΔ ενεργεί με ανεξάρτητο τρόπο και δεν λαμβάνει οδηγίες από τον Γενικό Γραμματέα του Συμβουλίου, τους εξουσιοδοτημένους υπεύθυνους επεξεργασίας ή τους επιχειρησιακούς υπεύθυνους επεξεργασίας ή από οποιονδήποτε άλλον όσον αφορά την εσωτερική εφαρμογή των διατάξεων του κανονισμού (ΕΕ) 2018/1725 ή τη συνεργασία του με τον ΕΕΠΔ.

6.   Το Συμβούλιο και η ΓΓΣ στηρίζουν τον ΥΠΔ στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 45 του κανονισμού (ΕΕ) 2018/1725, παρέχοντας τους απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και παρέχοντας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και για τη διατήρηση της εμπειρογνωσίας του.

7.   Ο ΥΠΔ δεν απαλλάσσεται από τα καθήκοντά του ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του. Ο ΥΠΔ μπορεί να απαλλαχθεί από τα καθήκοντά του μόνο σύμφωνα με το άρθρο 44 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725. Προκειμένου να εξασφαλιστεί η συγκατάθεση του ΕΕΠΔ για την εν λόγω απαλλαγή σύμφωνα με το εν λόγω άρθρο, ζητείται γραπτώς η γνώμη του ΕΕΠΔ. Αντίγραφο της συγκατάθεσης αυτής αποστέλλεται στον ΥΠΔ.

8.   Η ΓΓΣ, ιδίως οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας και οι επιχειρησιακοί υπεύθυνοι επεξεργασίας, διασφαλίζουν ότι ο ΥΠΔ συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα που άπτονται της προστασίας δεδομένων προσωπικού χαρακτήρα.

1.   Ο ΥΠΔ ασκεί όλα τα καθήκοντα που προβλέπονται στο άρθρο 45 του κανονισμού (ΕΕ) 2018/1725, ιδίως:

Ο γενικός γραμματέας του Συμβουλίου, οι αρμόδιοι υπεύθυνοι επεξεργασίας, η Επιτροπή Προσωπικού και οποιοδήποτε πρόσωπο μπορούν να συμβουλεύονται τον ΥΠΔ, χωρίς να ακολουθούν την επίσημη οδό, για κάθε θέμα που αφορά τη θέση σε ισχύ ή την εφαρμογή του κανονισμού (ΕΕ) 2018/1725.

2.   Ο ΥΠΔ τηρεί μητρώο με τα αρχεία καταγραφής των δραστηριοτήτων επεξεργασίας και το καθιστά διαθέσιμο στο κοινό, σύμφωνα με το άρθρο 12.

3.   Ο ΥΠΔ τηρεί εσωτερικό μητρώο παραβιάσεων δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 3 σημείο 16 του κανονισμού (ΕΕ) 2018/1725.

4.   Ο ΥΠΔ συμβουλεύει τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας, εφόσον του ζητηθεί, σχετικά με την εφαρμογή περιορισμού της εφαρμογής των άρθρων 14 έως 22, 35 και 36, καθώς και του άρθρου 4 του κανονισμού (ΕΕ) 2018/1725.

5.   Ο ΥΠΔ αναλαμβάνει τη διοργάνωση και την προεδρία των τακτικών συνεδριάσεων των συντονιστών προστασίας δεδομένων.

6.   Ο ΥΠΔ υποβάλλει στον Γενικό Γραμματέα του Συμβουλίου ετήσια έκθεση δραστηριοτήτων, την οποία καθιστά διαθέσιμη στο προσωπικό της ΓΓΣ.

7.   Ο ΥΠΔ συνεργάζεται με τους υπεύθυνους προστασίας δεδομένων που ορίζονται από τα άλλα θεσμικά όργανα και οργανισμούς της Ένωσης και παρίσταται τακτικά στις συνεδριάσεις που συγκαλεί ο ΕΕΠΔ ή οι υπεύθυνοι προστασίας δεδομένων των άλλων θεσμικών οργάνων και οργανισμών της Ένωσης με σκοπό τη διευκόλυνση της καλής συνεργασίας, ιδίως με την ανταλλαγή εμπειριών και βέλτιστων πρακτικών.

8.   Ο ΥΠΔ θεωρείται ο εξουσιοδοτημένος υπεύθυνος επεξεργασίας για τις πράξεις επεξεργασίας που εκτελούνται κατά την άσκηση των καθηκόντων του.

1.   Οι υπεύθυνοι επεξεργασίας μεριμνούν για τη συμμετοχή του ΥΠΔ κατά τον σχεδιασμό και τη συζήτηση μιας δραστηριότητας που περιλαμβάνει επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ ενημερώνεται για κάθε πράξη επεξεργασίας καθώς και για κάθε ουσιαστική μεταβολή υφιστάμενης πράξης επεξεργασίας.

2.   Ο ΥΠΔ ενημερώνεται σχετικά με τα σχέδια εσωτερικών σημειωμάτων και αποφάσεων της ΓΓΣ που αφορούν άμεσα την εσωτερική εφαρμογή του κανονισμού (ΕΕ) 2018/1725.

3.   Ο ΥΠΔ ενημερώνεται για όλες τις επαφές με εξωτερικούς φορείς σχετικά με την εσωτερική εφαρμογή του κανονισμού (ΕΕ) 2018/1725 και για κάθε αλληλεπίδραση με τον ΕΕΠΔ, ιδίως όταν πραγματοποιείται διαβούλευση με τον ΕΕΠΔ ή όταν ενημερώνεται ο ΕΕΠΔ σύμφωνα με τα άρθρα 40 και 41 του εν λόγω κανονισμού.

4.   Ζητείται η γνώμη του ΥΠΔ σχετικά με σχέδια ρυθμίσεων μεταξύ από κοινού υπεύθυνων επεξεργασίας και σχετικά με σχέδια συμβατικών ρητρών προστασίας δεδομένων ή άλλων νομικών πράξεων όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από εκτελούντα την επεξεργασία.

1.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας μεριμνούν ώστε όλες οι πράξεις επεξεργασίας υπό τον έλεγχό τους να είναι σύμφωνες με τον κανονισμό (ΕΕ) 2018/1725.

2.   Ειδικότερα, οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας:

3.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας διασφαλίζουν την έγκαιρη συμμετοχή του ΥΠΔ σε όλα τα ζητήματα που σχετίζονται με τα δεδομένα προσωπικού χαρακτήρα και θεσπίζουν κατάλληλες ρυθμίσεις, προκειμένου να διασφαλίζεται ότι ο συντονιστής προστασίας δεδομένων συμμετέχει δεόντως σε όλα τα ζητήματα που σχετίζονται με την προστασία των δεδομένων στην οικεία Γενική Διεύθυνση ή άλλη υπηρεσία της ΓΓΣ.

4.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας διασφαλίζουν ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για να αποδεικνύεται ότι οι δραστηριότητες επεξεργασίας συμμορφώνονται με τον κανονισμό (ΕΕ) 2018/1725 και παρέχουν επαρκείς οδηγίες στο προσωπικό της ΓΓΣ, ώστε να εξασφαλίζεται τόσο ο εμπιστευτικός χαρακτήρας της επεξεργασίας όσο και ένα επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που ενέχει η επεξεργασία. Μπορούν να συμβουλεύονται τον ΥΠΔ για την επιλογή των μέτρων αυτών.

5.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας υποβάλλουν αναφορά στον ΥΠΔ σχετικά με τον χειρισμό κάθε αιτήματος που έλαβαν από υποκείμενο των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων του και επικουρούν τον ΥΠΔ και τον ΕΕΠΔ κατά την εκτέλεση των αντίστοιχων καθηκόντων τους, ιδίως παρέχοντας πληροφορίες σε συνέχεια των αιτημάτων τους εντός 30 ημερών.

6.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας είναι αρμόδιοι για την εφαρμογή περιορισμού της εφαρμογής των άρθρων 14 έως 22, 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καθώς και του άρθρου 4 του εν λόγω κανονισμού, σύμφωνα με τους σχετικούς εσωτερικούς κανόνες. Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας ενημερώνουν τον ΥΠΔ καθ’ όλη τη διάρκεια της διαδικασίας όταν εφαρμόζουν τον εν λόγω περιορισμού.

7.   Οι εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας μεριμνούν για τη θέσπιση εσωτερικών ρυθμίσεων με άλλες Γενικές Διευθύνσεις ή υπηρεσίες της ΓΓΣ, όταν ο εξουσιοδοτημένος υπεύθυνος επεξεργασίας εκτελεί πράξεις επεξεργασίας από κοινού με τις εν λόγω Γενικές Διευθύνσεις ή υπηρεσίες της ΓΓΣ ή όταν οι εν λόγω Γενικές Διευθύνσεις ή υπηρεσίες εκτελούν μέρος της πράξης επεξεργασίας του εξουσιοδοτημένου υπεύθυνου επεξεργασίας.

Οι ρυθμίσεις που αναφέρονται στο πρώτο εδάφιο καθορίζουν τις αντίστοιχες αρμοδιότητες των εξουσιοδοτημένων υπεύθυνων επεξεργασίας και των άλλων Γενικών Διευθύνσεων ή υπηρεσιών της ΓΓΣ για τη συμμόρφωση με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων. Ειδικότερα, στις εν λόγω ρυθμίσεις περιλαμβάνεται ο προσδιορισμός του εξουσιοδοτημένου υπεύθυνου επεξεργασίας που καθορίζει τα μέσα και τους σκοπούς της πράξης επεξεργασίας, καθώς και του επιχειρησιακού υπεύθυνου επεξεργασίας για την πράξη επεξεργασίας και, κατά περίπτωση, των προσώπων ή φορέων που επικουρούν τον επιχειρησιακό υπεύθυνο επεξεργασίας, μεταξύ άλλων, με την παροχή πληροφοριών σε περίπτωση παραβιάσεων δεδομένων ή για την κάλυψη των δικαιωμάτων των υποκειμένων των δεδομένων.

1.   Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας επικουρούν τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης με τον κανονισμό (ΕΕ) 2018/1725 όσον αφορά τις πράξεις επεξεργασίας για τις οποίες είναι αρμόδιος, και λειτουργούν ως το πρωταρχικό σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2.   Ειδικότερα, οι επιχειρησιακοί υπεύθυνοι επεξεργασίας:

3.   Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας ενημερώνουν αμελλητί τον ΥΠΔ σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα και του παρέχουν όλες τις απαραίτητες πληροφορίες ώστε να έχει τη δυνατότητα να διασφαλίζει ότι το Συμβούλιο συμμορφώνεται με τις υποχρεώσεις που αφορούν παραβιάσεις δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 34 και 35 του κανονισμού (ΕΕ) 2018/1725.

4.   Σε συντονισμό με τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας και τον ΥΠΔ, οι επιχειρησιακοί υπεύθυνοι επεξεργασίας γνωστοποιούν τυχόν παραβιάσεις δεδομένων προσωπικού χαρακτήρα στον ΕΕΠΔ. Ενημερώνουν επίσης τα υποκείμενα των δεδομένων, κατά περίπτωση.

5.   Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας διασφαλίζουν ότι ο συντονιστής προστασίας δεδομένων ενημερώνεται για όλα τα θέματα που αφορούν την προστασία των δεδομένων.

6.   Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας αξιολογούν τον κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων που σχετίζονται με τις πράξεις επεξεργασίας για τις οποίες είναι αρμόδιοι και, κατά περίπτωση, διενεργούν εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας ζητούν τη συμβουλή του ΥΠΔ κατά τη διενέργεια των εν λόγω εκτιμήσεων αντικτύπου και σχετικά με την ανάγκη προηγούμενης διαβούλευσης σύμφωνα με τα άρθρα 39 και 40 του κανονισμού (ΕΕ) 2018/1725.

7.   Οι επιχειρησιακοί υπεύθυνοι επεξεργασίας εκτελούν οποιοδήποτε άλλο καθήκον το οποίο εμπίπτει στο πεδίο εφαρμογής της παρούσας απόφασης κατόπιν αιτήματος του εξουσιοδοτημένου υπεύθυνου επεξεργασίας.

1.   Κάθε Γενική Διεύθυνση ή άλλη υπηρεσία της ΓΓΣ διορίζει, κατόπιν διαβούλευσης με τον ΥΠΔ, έναν ή περισσότερους συντονιστές προστασίας δεδομένων, οι οποίοι επικουρούν τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας και τους επιχειρησιακούς υπεύθυνους επεξεργασίας στην οικεία Γενική Διεύθυνση ή άλλη υπηρεσία της ΓΓΣ σε όλα τα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα.

2.   Οι συντονιστές προστασίας δεδομένων επιλέγονται με βάση τις γνώσεις και την πείρα τους όσον αφορά τη λειτουργία της αντίστοιχης Γενικής Διεύθυνσης ή άλλης υπηρεσίας της ΓΓΣ, την καταλληλότητά τους για την άσκηση των καθηκόντων, τις ικανότητες που σχετίζονται με την προστασία των δεδομένων, τη γνώση των αρχών των συστημάτων πληροφοριών και τις επικοινωνιακές τους δεξιότητες. Εντός έξι μηνών από τον διορισμό τους, οι νεοδιορισθέντες συντονιστές προστασίας δεδομένων ολοκληρώνουν σχετική κατάρτιση για την απόκτηση των απαιτούμενων ικανοτήτων στο πλαίσιο του ρόλου τους. Ο συντονιστής προστασίας δεδομένων που είχε προηγουμένως εργαστεί ως σημείο επικοινωνίας σε άλλη Γενική Διεύθυνση ή υπηρεσία της ΓΓΣ εντός των δύο ετών που προηγούνται του διορισμού του απαλλάσσεται από την εν λόγω απαίτηση κατάρτισης.

3.   Τα καθήκοντα του συντονιστή προστασίας δεδομένων περιλαμβάνονται στην περιγραφή της θέσης κάθε μέλους του προσωπικού της ΓΓΣ που διορίζεται ως σημείο επικοινωνίας. Στην ετήσια έκθεση αξιολόγησης γίνεται ειδική αναφορά στις αρμοδιότητες και στα επιτεύγματά τους.

4.   Οι συντονιστές προστασίας δεδομένων συμμετέχουν δεόντως και εγκαίρως σε όλα τα ζητήματα που σχετίζονται με την προστασία των δεδομένων στην οικεία Γενική Διεύθυνση ή άλλη υπηρεσία της ΓΓΣ και ασκούν τις αρμοδιότητές τους σε στενή συνεργασία με τον ΥΠΔ.

5.   Οι συντονιστές προστασίας δεδομένων δικαιούνται να λαμβάνουν από τους υπεύθυνους επεξεργασίας και από το προσωπικό τα κατάλληλα και αναγκαία πληροφοριακά στοιχεία για την εκτέλεση των καθηκόντων τους στο πλαίσιο της οικείας Γενικής Διεύθυνσης ή άλλης υπηρεσίας της ΓΓΣ. Αυτό δεν περιλαμβάνει την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία υπό την αρμοδιότητα του εξουσιοδοτημένου υπεύθυνου επεξεργασίας. Οι συντονιστές προστασίας δεδομένων έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μόνο εφόσον απαιτείται για την εκτέλεση των καθηκόντων τους.

6.   Οι συντονιστές προστασίας δεδομένων ενισχύουν την ευαισθητοποίηση σε θέματα προστασίας δεδομένων και βοηθούν τους εξουσιοδοτημένους υπεύθυνους επεξεργασίας εντός της οικείας Γενικής Διεύθυνσης ή άλλης υπηρεσίας της ΓΓΣ να τηρούν τις υποχρεώσεις τους, ιδίως όσον αφορά:

7.   Οι συντονιστές προστασίας δεδομένων βοηθούν τους επιχειρησιακούς υπεύθυνους επεξεργασίας εντός της οικείας Γενικής Διεύθυνσης ή άλλης υπηρεσίας της ΓΓΣ να τηρούν τις υποχρεώσεις τους, ιδίως όσον αφορά:

1.   Ο ΥΠΔ τηρεί μητρώο των πράξεων επεξεργασίας και διασφαλίζει ότι είναι προσβάσιμο μέσω του δικτυακού τόπου του ΥΠΔ στο εσωτερικό δίκτυο (intranet) της ΓΓΣ και μέσω του δικτυακού τόπου του Συμβουλίου.

2.   Ο επιχειρησιακός υπεύθυνος επεξεργασίας γνωστοποιεί στον ΥΠΔ κάθε πράξη επεξεργασίας και υποβάλλει τα αρχεία καταγραφής των δραστηριοτήτων επεξεργασίας και τη συναφή δήλωση περί απορρήτου βάσει εντύπου που διατίθεται στο εσωτερικό δίκτυο (intranet) της ΓΓΣ (υπό την ένδειξη «Data Protection»). Η γνωστοποίηση διαβιβάζεται ηλεκτρονικά στον ΥΠΔ. Μετά από διαβούλευση με τον ΥΠΔ, ο εξουσιοδοτημένος υπεύθυνος επεξεργασίας επιβεβαιώνει το αρχείο καταγραφής και τη σχετική δήλωση περί απορρήτου και ο ΥΠΔ τα δημοσιεύει στο μητρώο.

3.   Το αρχείο καταγραφής περιλαμβάνει όλες τις πληροφορίες που προβλέπονται στο άρθρο 31 του κανονισμού (ΕΕ) αριθ. 2018/1725. Ωστόσο, τα πληροφοριακά στοιχεία που εισάγονται στο μητρώο από τον ΥΠΔ μπορούν, κατ’ εξαίρεση, να περιορίζονται σε ό,τι είναι απαραίτητο προκειμένου να προστατευθεί η ασφάλεια συγκεκριμένης πράξης επεξεργασίας. Οποιαδήποτε μεταβολή που επηρεάζει τις εν λόγω πληροφορίες κοινοποιείται αμέσως από τον επιχειρησιακό υπεύθυνο επεξεργασίας στον ΥΠΔ.

1.   Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο εξουσιοδοτημένος ή ο επιχειρησιακός υπεύθυνος επεξεργασίας ζητεί τη συνδρομή του συντονιστή προστασίας δεδομένων και ενημερώνει τον ΥΠΔ σχετικά με το συμβάν χωρίς αδικαιολόγητη καθυστέρηση και του παρέχει όλες τις απαραίτητες πληροφορίες ώστε να διασφαλίζει ότι το Συμβούλιο συμμορφώνεται με την υποχρέωση γνωστοποίησης και ανακοίνωσης παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 34 και 35 του κανονισμού (ΕΕ) 2018/1725.

2.   Ο ΥΠΔ καταρτίζει και τηρεί εσωτερικό μητρώο παραβιάσεων δεδομένων προσωπικού χαρακτήρα. Οι εξουσιοδοτημένοι και οι επιχειρησιακοί υπεύθυνοι επεξεργασίας παρέχουν τις απαραίτητες πληροφορίες προς καταχώριση στο μητρώο.

3.   Οι εξουσιοδοτημένοι και οι επιχειρησιακοί υπεύθυνοι επεξεργασίας καταρτίζουν τη γνωστοποίηση προς τον ΕΕΠΔ σε διαβούλευση με τον ΥΠΔ, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανό να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

1.   Ο ΥΠΔ μπορεί να προβαίνει, είτε με δική του πρωτοβουλία είτε κατόπιν αιτήματος του εξουσιοδοτημένου υπεύθυνου επεξεργασίας, του επιχειρησιακού υπεύθυνου επεξεργασίας, του εκτελούντος την επεξεργασία, της Επιτροπής Προσωπικού ή οποιουδήποτε φυσικού προσώπου, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται με τα καθήκοντά του και να ενημερώνει το πρόσωπο το οποίο ζήτησε την έρευνα ή τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας ή τον επιχειρησιακό υπεύθυνο επεξεργασίας.

2.   Τα αιτήματα για τη διενέργεια έρευνας υποβάλλονται γραπτώς στον ΥΠΔ. Στην περίπτωση εμφανούς κατάχρησης του δικαιώματος υποβολής αιτήματος διενέργειας έρευνας, παραδείγματος χάριν όταν το ίδιο φυσικό πρόσωπο υπέβαλε ταυτόσημο αίτημα πρόσφατα, ο ΥΠΔ δεν υποχρεούται να απαντήσει στον αιτούντα.

3.   Εντός 15 ημερών από την παραλαβή αιτήματος για τη διενέργεια έρευνας, ο ΥΠΔ αποστέλλει απόδειξη παραλαβής στον αιτούντα και εξακριβώνει κατά πόσον το αίτημα πρέπει να αντιμετωπισθεί ως εμπιστευτικό.

4.   Ο ΥΠΔ ζητεί την υποβολή αναφοράς σχετικά με το θέμα από τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας ο οποίος είναι αρμόδιος για την επεξεργασία δεδομένων που συνιστά το αντικείμενο του αιτήματος για τη διενέργεια έρευνας. Ο εξουσιοδοτημένος υπεύθυνος επεξεργασίας απαντά στον ΥΠΔ εντός 15 ημερών. Ο ΥΠΔ δύναται να ζητήσει συμπληρωματικές πληροφορίες από τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας, τον επιχειρησιακό υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία ή άλλες αρμόδιες υπηρεσίες της ΓΓΣ. Εφόσον απαιτείται, μπορεί να ζητήσει σχετική γνωμοδότηση από τη Νομική Υπηρεσία του Συμβουλίου. Οι αιτηθείσες πληροφορίες ή η αιτηθείσα γνωμοδότηση παρέχονται στον ΥΠΔ εντός 30 ημερών.

5.   Ο ΥΠΔ υποβάλλει αναφορά στο πρόσωπο το οποίο υπέβαλε το αίτημα για τη διενέργεια έρευνας το αργότερο εντός τριών μηνών από την παραλαβή του αιτήματος. Η προθεσμία αυτή αναστέλλεται έως ότου ο ΥΠΔ λάβει όλες τις απαραίτητες πληροφορίες τις οποίες ενδεχομένως ζήτησε.

6.   Ουδείς επιτρέπεται να υποστεί ζημία για ζήτημα που τίθεται υπ’ όψιν του ΥΠΔ σχετικά με ισχυρισμό για παράβαση του κανονισμού (ΕΕ) 2018/1725.

1.   Τα δικαιώματα των υποκειμένων των δεδομένων, όπως καθορίζονται στα άρθρα 14 έως 24 του κανονισμού (ΕΕ) 2018/1725, μπορούν να ασκούνται μόνο από το υποκείμενο των δεδομένων ή από τον δεόντως εξουσιοδοτημένο αντιπρόσωπό του.

2.   Το υποκείμενο των δεδομένων απευθύνει γραπτά αιτήματα στον επιχειρησιακό υπεύθυνο επεξεργασίας αποστέλλοντας αντίγραφο στον ΥΠΔ. Εφόσον απαιτείται, ο ΥΠΔ επικουρεί το υποκείμενο των δεδομένων στον προσδιορισμό του επιχειρησιακού υπεύθυνου επεξεργασίας. Το αίτημα μπορεί να υποβάλλεται σε ηλεκτρονική μορφή και περιέχει:

3.   Ο επιχειρησιακός υπεύθυνος επεξεργασίας αποστέλλει στο υποκείμενο των δεδομένων απόδειξη παραλαβής εντός πέντε εργάσιμων ημερών από την καταχώριση του αιτήματος. Εάν το αίτημα είναι ασαφές ή ελλιπές, ο επιχειρησιακός υπεύθυνος επεξεργασίας ζητεί τις αναγκαίες διευκρινίσεις. Η ισχύουσες προθεσμίες βάσει του άρθρου 14 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725 δεν αρχίζουν να υπολογίζονται έως ότου παρασχεθούν όλες οι αναγκαίες διευκρινίσεις.

4.   Ο επιχειρησιακός υπεύθυνος επεξεργασίας επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 14 παράγραφος 6 του κανονισμού (ΕΕ) 2018/1725. Κατά την επαλήθευση της ταυτότητας, δεν αρχίζουν να υπολογίζονται οι ισχύουσες προθεσμίες βάσει του άρθρου 14 παράγραφοι 3 και 4 του εν λόγω κανονισμού.

5.   Ο επιχειρησιακός υπεύθυνος επεξεργασίας είτε ικανοποιεί το αίτημα του υποκειμένου των δεδομένων είτε αναφέρει γραπτώς τους λόγους της ολικής ή μερικής άρνησης, εντός των προθεσμιών του άρθρου 14 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725.

6.   Σε περίπτωση εξαιρετικά περίπλοκου αιτήματος, παρατυπιών ή πρόδηλης κατάχρησης από το υποκείμενο των δεδομένων κατά την άσκηση των δικαιωμάτων του, όταν η επεξεργασία ενός αιτήματος είναι πιθανόν να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων ή εάν η επεξεργασία θεωρείται παράνομη από το υποκείμενο των δεδομένων, ο επιχειρησιακός υπεύθυνος επεξεργασίας συμβουλεύεται τον ΥΠΔ.

1.   Όταν το Συμβούλιο ή η ΓΓΣ ασκεί τις οικείες αρμοδιότητες όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725, εξετάζει αν εφαρμόζεται οποιαδήποτε από τις εξαιρέσεις που προβλέπονται στον εν λόγω κανονισμό.

2.   Με την επιφύλαξη των άρθρων 18 έως 22 της παρούσας απόφασης, το Συμβούλιο ή η ΓΓΣ μπορεί να περιορίζει βάσει του άρθρου 25 παράγραφος 1, σημεία γ), ζ) και η), του κανονισμού (ΕΕ) 2018/1725 την εφαρμογή των άρθρων 14 έως 17, 19, 20 και 35 του εν λόγω κανονισμού, καθώς και της αρχής της διαφάνειας, όπως καθορίζεται στο άρθρο 4 παράγραφος 1 στοιχείο α) του εν λόγω κανονισμού, στον βαθμό που οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 17, 19 και 20 του εν λόγω κανονισμού, στις περιπτώσεις που η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα έθετε σε κίνδυνο την άσκηση των καθηκόντων του ΥΠΔ, μεταξύ άλλων αποκαλύπτοντας τα εργαλεία και τις μεθόδους έρευνας και ελέγχου που χρησιμοποιεί, ή θα έθιγε τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων.

3.   Με την επιφύλαξη των άρθρων 18 έως 22 της παρούσας απόφασης, το Συμβούλιο ή η ΓΓΣ μπορεί να περιορίζει τα δικαιώματα και τις υποχρεώσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει ο ΥΠΔ από Γενικές Διευθύνσεις ή υπηρεσίες της ΓΓΣ ή άλλα θεσμικά όργανα ή οργανισμούς της Ένωσης. Το Συμβούλιο ή η ΓΓΣ δύναται να το πράττει αυτό όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να περιοριστεί από τις εν λόγω Γενικές Διευθύνσεις ή υπηρεσίες της ΓΓΣ ή άλλα θεσμικά όργανα ή οργανισμούς βάσει άλλων πράξεων που προβλέπονται στο άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 ή σύμφωνα με το κεφάλαιο IX του εν λόγω κανονισμού ή σύμφωνα με τον κανονισμό (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) ή τον κανονισμό (ΕΕ) 2017/1939 του Συμβουλίου (11).

Πριν από την εφαρμογή περιορισμών στις περιπτώσεις που αναφέρονται στο πρώτο εδάφιο, το Συμβούλιο ή η ΓΓΣ διαβουλεύεται με το σχετικό θεσμικό όργανο ή οργανισμό της Ένωσης, εκτός εάν είναι σαφές ότι η εφαρμογή περιορισμού προβλέπεται σε μία από τις πράξεις που αναφέρονται στο εν λόγω εδάφιο.

4.   Κάθε περιορισμός των δικαιωμάτων και των υποχρεώσεων που αναφέρονται στην παράγραφο 2 είναι αναγκαίος και αναλογικός, λαμβανομένων υπόψη των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

1.   Η ΓΓΣ δημοσιεύει στον δικτυακό τόπο του Συμβουλίου δηλώσεις προστασίας δεδομένων με τις οποίες ενημερώνει τα υποκείμενα των δεδομένων σχετικά με τα καθήκοντα του ΥΠΔ που περιλαμβάνουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

2.   Η ΓΓΣ ενημερώνει ατομικά, υπό την κατάλληλη μορφή, κάθε φυσικό πρόσωπο το οποίο θεωρεί ότι αφορούν τα καθήκοντα του ΥΠΔ.

3.   Όταν η ΓΓΣ περιορίζει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου, καταγράφει και καταχωρίζει τους λόγους για τον περιορισμό, σύμφωνα με το άρθρο 21.

1.   Όταν η το Συμβούλιο ή η ΓΓΣ περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, το δικαίωμα διαγραφής ή το δικαίωμα περιορισμού της επεξεργασίας που αναφέρονται στα άρθρα 17, 19 και 20 αντίστοιχα του κανονισμού (ΕΕ) 2018/1725, ενημερώνει το σχετικό υποκείμενο των δεδομένων, στην απάντηση σε αίτημα πρόσβασης, διαγραφής ή περιορισμού της επεξεργασίας, για τον εφαρμοζόμενο περιορισμό και τους ουσιώδεις λόγους αυτού, καθώς και για τη δυνατότητά του να υποβάλει καταγγελία στον ΕΕΠΔ ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

2.   Η παροχή πληροφοριών σχετικά με τους λόγους του περιορισμού που αναφέρεται στην παράγραφο 1 μπορεί να αναβληθεί, να παραλειφθεί ή να απορριφθεί για όσο χρονικό διάστημα θα υπονόμευε τον σκοπό του περιορισμού. Το Συμβούλιο παρέχει τις πληροφορίες στο υποκείμενο των δεδομένων μόλις διαπιστωθεί ότι οι εν λόγω πληροφορίες δεν υπονομεύουν τον σκοπό αυτό.

3.   Η ΓΓΣ καταγράφει και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 21.

1.   Η ΓΓΣ καταγράφει τους λόγους κάθε περιορισμού που εφαρμόζεται σύμφωνα με την παρούσα απόφαση, συμπεριλαμβανομένης της κατά περίπτωση αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων του άρθρου 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.

Για τον σκοπό αυτόν, στο αρχείο καταγραφής αναφέρεται ο τρόπος με τον οποίο η άσκηση δικαιωμάτων αναφερομένων στα άρθρα 14 έως 17, 19, 20 και 35 του εν λόγω κανονισμού, ή της αρχής της διαφάνειας του άρθρου 4 παράγραφος 1, στοιχείο α) αυτού, θα έθετε σε κίνδυνο τις δραστηριότητες του ΥΠΔ δυνάμει της παρούσας απόφασης, ή τους περιορισμούς που εφαρμόζονται σύμφωνα με το άρθρο 17 παράγραφος 2 ή 3 της παρούσας απόφασης, ή θα έθιγε τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων.

2.   Το αρχείο καταγραφής και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Όλα αυτά τίθενται, κατόπιν αιτήματος, στη διάθεση του ΕΕΠΔ.

1.   Οι περιορισμοί που αναφέρονται στα άρθρα 18, 19 και 20 εξακολουθούν να εφαρμόζονται για όσο χρονικό διάστημα εξακολουθούν να συντρέχουν οι λόγοι που τους αιτιολογούν.

2.   Όταν δεν συντρέχουν πλέον οι λόγοι περιορισμού που αναφέρονται στα άρθρα 18 και 20, η ΓΓΣ αίρει τον περιορισμό και γνωστοποιεί τους λόγους του περιορισμού στο υποκείμενο των δεδομένων. Παράλληλα, η ΓΓΣ ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη δυνατότητά του να υποβάλει ανά πάσα στιγμή καταγγελία στον ΕΕΠΔ ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

3.   Η ΓΓΣ επανεξετάζει την εφαρμογή των περιορισμών που αναφέρονται στα άρθρα 18 και 20 κάθε έξι μήνες μετά την έγκρισή τους και, σε κάθε περίπτωση, κατά την περάτωση του σχετικού καθήκοντος του ΥΠΔ. Μετά την περάτωση, η ΓΓΣ παρακολουθεί την ανάγκη διατήρησης οποιουδήποτε περιορισμού ή αναβολής σε ετήσια βάση.

1.   Όταν άλλες Γενικές Διευθύνσεις ή υπηρεσίες της ΓΓΣ καταλήγουν στο συμπέρασμα ότι τα δικαιώματα του υποκειμένου των δεδομένων θα πρέπει να περιοριστούν σύμφωνα με την παρούσα απόφαση, ενημερώνουν σχετικά τον ΥΠΔ. Επίσης, παρέχουν στον ΥΠΔ πρόσβαση στο αρχείο καταγραφής και σε οποιαδήποτε έγγραφα που περιλαμβάνουν υποκείμενα πραγματικά και νομικά στοιχεία. Η συμμετοχή του ΥΠΔ στην εφαρμογή των περιορισμών τεκμηριώνεται λεπτομερώς.

2.   Ο ΥΠΔ μπορεί να ζητήσει από τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας να επανεξετάσει την εφαρμογή των περιορισμών. Ο εξουσιοδοτημένος υπεύθυνος επεξεργασίας ενημερώνει εγγράφως τον ΥΠΔ σχετικά με το αποτέλεσμα της ζητηθείσας επανεξέτασης.