51999PC0337

Πρόταση ΚΑΝΟΝΙΣΜΟΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (υποβληθείσα από την Επιτροπή)

ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ

Τα όργανα και οι οργανισμοί της Κοινότητας, και ειδικότερα η Επιτροπή, επεξεργάζονται συχνά δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της δραστηριότητάς τους. Η Επιτροπή ανταλλάσσει δεδομένα προσωπικού χαρακτήρα με τα κράτη μέλη στο πλαίσιο της άσκησης της κοινής γεωργικής πολιτικής, για τις ανάγκες διαχείρισης της τελωνειακής ένωσης και των διαρθρωτικών ταμείων, καθώς και στο πλαίσιο διαφόρων άλλων κοινοτικών πολιτικών. Προκειμένου να διασφαλισθεί η προστασία των δεδομένων, η Επιτροπή δήλωσε, όταν πρότεινε την οδηγία 95/46/ΕΚ το 1990, ότι οι αρχές της θα γίνονταν σεβαστές και από την ίδια την Επιτροπή.

Κατά τον χρόνο έκδοσης της οδηγίας, η Επιτροπή και το Συμβούλιο ανέλαβαν τη δέσμευση, με δημόσια δήλωσή τους, να τηρούν την οδηγία και κάλεσαν και τα υπόλοιπα όργανα και οργανισμούς της Κοινότητας να ακολουθήσουν το παράδειγμά τους.

Κατά τη διακυβερνητική διάσκεψη για την αναθεώρηση των συνθηκών, το ζήτημα της εφαρμογής των κανόνων προστασίας των δεδομένων στο πλαίσιο της λειτουργίας των κοινοτικών θεσμικών οργάνων ετέθη από τις κυβερνήσεις των Κάτω Χωρών και της Ελλάδας. Η συνθήκη που υπεγράφη στο ’μστερνταμ κατά το πέρας των διαπραγματεύσεων προβλέπει την προσθήκη στη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας ειδικής διάταξης για το συγκεκριμένο θέμα. Με βάση την οριστική αρίθμηση των άρθρων, πρόκειται για το άρθρο 286, το οποίο ορίζει τα εξής:

1. Από την 1η Ιανουαρίου 1999, οι κοινοτικές πράξεις για την προστασία του ατόμου όσον αφορά την επεξεργασία και την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εφαρμόζονται στα όργανα και οργανισμούς που έχουν ιδρυθεί από την παρούσα συνθήκη ή βάσει αυτής.

2. Πριν από την ημερομηνία που αναφέρεται στην παράγραφο 1, το Συμβούλιο, αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251, συνιστά ένα ανεξάρτητο εποπτικό όργανο υπεύθυνο για την παρακολούθηση της εφαρμογής αυτών των κοινοτικών πράξεων στα όργανα και οργανισμούς της Κοινότητας και θεσπίζει όποιες άλλες κατάλληλες σχετικές διατάξεις.

Το άρθρο 286 προβλέπει επομένως ότι από 1ης Ιανουαρίου 1999 τα όργανα και οι οργανισμοί της Κοινότητας θα πρέπει να εφαρμόζουν τους κοινοτικούς κανόνες που ισχύουν για την προστασία των δεδομένων προσωπικού χαρακτήρα και οι οποίοι καθορίζονται, κατά το μεγαλύτερο μέρος, στην οδηγία 95/46/ΕΚ. Επίσης προβλέπει ότι η εφαρμογή των κανόνων αυτών θα πρέπει να τελεί υπό την εποπτεία ανεξάρτητου ελεγκτικού οργάνου. Η παρούσα πρόταση κανονισμού αποσκοπεί στην επίτευξη του διττού αυτού στόχου.

Πρόταση ΚΑΝΟΝΙΣΜΟΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και για την ελεύθερη κυκλοφορία των δεδομένων αυτών

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 286,

την πρόταση της Επιτροπής [1],

[1] ΕΕ C

τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής [2],

[2] ΕΕ C

Αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251 της συνθήκης [3],

[3] ΕΕ C

Εκτιμώντας τα εξής:

1. Σύμφωνα με το άρθρο 286 της συνθήκης, το οποίο προστέθηκε η λειτουργία των οργάνων και οργανισμών της Κοινότητας υπόκειται στις κοινοτικές νομοθετικές διατάξεις για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών*

2. Ένα πλήρες σύστημα προστασίας των δεδομένων προσωπικού χαρακτήρα απαιτεί όχι μόνο να καθοριστούν τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και οι υποχρεώσεις των φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, αλλά πρέπει επίσης να προβλέπει κατάλληλες κυρώσεις για τους παραβάτες και την παρακολούθηση από έναν ανεξάρτητο εποπτικό φορέα*

3. Το άρθρο 286 παράγραφος 2 της συνθήκης επιτάσσει τη συγκρότηση ανεξάρτητου εποπτικού φορέα, υπεύθυνου για την παρακολούθηση της εφαρμογής των εν λόγω κοινοτικών νομοθετικών διατάξεων έναντι των κοινοτικών οργάνων και οργανισμών*

4. Το άρθρο 286 παράγραφος 2 της συνθήκης επιτάσσει τη θέσπιση κάθε άλλης απαραίτητης διάταξης για τον σκοπό αυτό*

5. Η θέσπιση κανονισμού είναι εν προκειμένω αναγκαία προκειμένου να θεσμοθετηθούν ατομικά δικαιώματα υποχρεωτικής νομικής ισχύος, να καθορισθούν οι σχετικές με την επεξεργασία υποχρεώσεις των υπεύθυνων επεξεργασίας στο πλαίσιο των κοινοτικών οργάνων και οργανισμών, καθώς επίσης για να πραγματοποιηθεί η σύσταση ανεξάρτητου εποπτικού φορέα, υπεύθυνου για την εξωτερική παρακολούθηση των κοινοτικών πράξεων επεξεργασίας*

6. Οι αρχές της προστασίας των δεδομένων πρέπει να ισχύουν για όλες τις πληροφορίες που αφορούν πρόσωπα των οποίων η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί* ότι, για να κριθεί κατά πόσον είναι δυνατή η εξακρίβωση της ταυτότητας ενός προσώπου, είναι σκόπιμο να λαμβάνονται υπόψη όλα τα μέσα που είναι ευλόγως δυνατό να χρησιμοποιήσει για τον σκοπό αυτό ο υπεύθυνος της επεξεργασίας ή οποιοδήποτε άλλο πρόσωπο* ότι οι αρχές της προστασίας δεν ισχύουν προκειμένου για τα δεδομένα στα οποία έχει προσδοθεί ανώνυμος χαρακτήρας κατά τρόπον ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του προσώπου στο οποίο αυτά αναφέρονται*

7. Βάσει της οδηγίας 95/46/ΕΚ ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [4] τα κράτη μέλη οφείλουν να προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, συμπεριλαμβανομένου του ιδιωτικού τους βίου, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ούτως ώστε να κατοχυρωθεί η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Κοινότητα*

[4] ΕΕ L 281, 23.11.1995, σ. 31.

8. Η οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 15ης Δεκεμβρίου 1997 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα [5] αποσαφηνίζει και συμπληρώνει την οδηγία 95/46/ΕΚ σε ό,τι αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των τηλεπικοινωνιών*

[5] ΕΕ L 24, 30.1.1998, σ. 1.

9. Έχουν επιπλέον θεσπισθεί και άλλες, ποικίλες, κοινοτικές ρυθμίσεις, παραδείγματος χάρη στον τομέα της αμοιβαίας συνδρομής μεταξύ των εθνικών αρχών και της Επιτροπής, που αποβλέπουν ομοίως στην αποσαφήνιση και συμπλήρωση της οδηγίας 95/46/ΕΚ στους οικείους τομείς*

10. Είναι απαραίτητο να διασφαλίζεται στο σύνολο της Κοινότητας η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων που διέπουν την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα*

11. Το ζητούμενο εν προκειμένω είναι να διασφαλισθεί τόσο η ουσιαστική τήρηση των κανόνων προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των ατόμων, όσο και η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών και κοινοτικών οργάνων και οργανισμών, καθώς και μεταξύ κοινοτικών οργάνων και οργανισμών, στο πλαίσιο της άσκησης των αρμοδιοτήτων εκάστου εξ αυτών*

12. Η επίτευξη του ανωτέρω στόχου μπορεί να εξασφαλισθεί καλύτερα με τη θέσπιση διατάξεων που να έχουν αναγκαστική ισχύ για τα όργανα και τους οργανισμούς της Κοινότητας* ότι οι εν λόγω διατάξεις θα πρέπει να είναι εφαρμοστέες για κάθε είδους επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία τα όργανα και οι οργανισμοί της Κοινότητας διενεργούν στο πλαίσιο της άσκησης των αρμοδιοτήτων που τους έχουν ανατεθεί με τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων και με τη συνθήκη για την Ευρωπαϊκή Ένωση*

13. Οι ρηθείσες διατάξεις πρέπει να είναι όμοιες με εκείνες οι οποίες διέπουν την εναρμόνιση των εθνικών νομοθεσιών ή την εφαρμογή άλλων κοινοτικών πολιτικών, παραδείγματος χάρη στον τομέα της αμοιβαίας συνδρομής* ότι, παρόλα αυτά, δεν αποκλείεται να απαιτηθούν αποσαφηνίσεις και συμπληρώσεις με στόχο την πραγμάτωση της προστασίας έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εκ μέρους των κοινοτικών οργάνων και οργανισμών*

14. Η ανωτέρω παρατήρηση ισχύει εξίσου για τα δικαιώματα των ατόμων στα οποία αναφέρονται τα υπό επεξεργασία δεδομένα, για τις υποχρεώσεις των κοινοτικών οργάνων και οργανισμών που διενεργούν την εκάστοτε επεξεργασία, αλλά και για τις εξουσίες που θα ανατεθούν στον ανεξάρτητο εποπτικό φορέα ο οποίος θα οφείλει να μεριμνά για την προσήκουσα εφαρμογή του παρόντος κανονισμού*

15. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση των καθηκόντων που ασκούν προς το δημόσιο συμφέρον τα όργανα και οι οργανισμοί της Κοινότητας περιλαμβάνει την επεξεργασία προσωπικών δεδομένων που είναι αναγκαία για τη διαχείριση των εν λόγω οργάνων και οργανισμών*

16. Ενδέχεται να χρειαστεί η παρακολούθηση των δικτύων υπολογιστών που λειτουργούν υπό τον έλεγχο των οργάνων και οργανισμών της Κοινότητας, προκειμένου να αποτραπεί τυχόν μη επιτρεπόμενη χρήση τους* ότι ο ευρωπαίος επόπτης προστασίας δεδομένων καθορίζει το αν και υπό ποιους όρους αυτό είναι δυνατόν*

17. Σύμφωνα με το άρθρο 21 του κανονισμού 322/97 της 17ης Φεβρουαρίου 1997 του Συμβουλίου περί κοινοτικών στατιστικών [6], οι διατάξεις του εν λόγω κανονισμού ισχύουν με την επιφύλαξη της οδηγίας 95/46/ΕΚ*

[6] ΕΕ L 52, 22.2.1997, σ. 1.

18. Για λόγους διαφάνειας είναι απαραίτητη η δημοσιοποίηση περισσότερων στοιχείων σχετικά με την εφαρμογή του παρόντος κανονισμού, συμπεριλαμβανομένου ενός καταλόγου με τα όργανα και τους οργανισμούς της Κοινότητας που υπόκεινται σε αυτόν,

19. Η ομάδα εργασίας για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία έχει συσταθεί δυνάμει του άρθρου 29 της οδηγίας 95/46/, προέβη στην προβλεπόμενη γνωμοδότηση*

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

’ρθρο 1

Αντικείμενο της οδηγίας

1. Δυνάμει του παρόντος κανονισμού, τα όργανα και οι οργανισμοί που συστήνονται κατ' εφαρμογή ή δυνάμει των συνθηκών για την ίδρυση των Ευρωπαϊκών Κοινοτήτων (στο εξής: «όργανα και οργανισμοί της Κοινότητας») προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, και ιδίως το δικαίωμα των φυσικών προσώπων στον ιδιωτικό βίο, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

2. Ο ανεξάρτητος εποπτικός φορέας που θεσπίζεται με τον παρόντα κανονισμό, και ο οποίος θα καλείται στο εξής «ευρωπαίος επόπτης προστασίας δεδομένων», παρακολουθεί την εφαρμογή των διατάξεων του παρόντος κανονισμού σε όλες τις πράξεις επεξεργασίας που εκτελούνται από όργανο ή οργανισμό της Κοινότητας.

’ρθρο 2

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού νοούνται, ως:

(α) «δεδομένα προσωπικού χαρακτήρα», κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (στο εξής: «το πρόσωπο στο οποίο αναφέρονται τα δεδομένα»)* ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από σωματική άποψη, από άποψη φυσιολογίας ή από διανοητική, οικονομική, πολιτιστική ή κοινωνική άποψη*

(β) «επεξεργασία δεδομένων προσωπικού χαρακτήρα» (στο εξής: «επεξεργασία»), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων διαδικασιών και εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η γνωστοποίηση με διαβίβαση, η διάδοση και κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή*

(γ) «αρχείο δεδομένων προσωπικού χαρακτήρα» (στο εξής: «αρχείο»), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσιτά υπό συγκεκριμένες προϋποθέσεις, χωρίς να έχει σημασία αν το σύνολο αυτό είναι συγκεντρωμένο, αποκεντρωμένο ή κατανεμημένο σε λειτουργική ή γεωγραφική βάση*

(δ) «υπεύθυνος της επεξεργασίας», το όργανο ή ο οργανισμός της Κοινότητας, η Γενική Διεύθυνση, η μονάδα και κάθε άλλη οργανική οντότητα που, αυτοτελώς ή από κοινού με άλλους, αποφασίζει για τους σκοπούς και τις μεθόδους της επεξεργασίας δεδομένων προσωπικού χαρακτήρα* σε περίπτωση που οι σκοποί και οι μέθοδοι της επεξεργασίας καθορίζονται σε συγκεκριμένη κανονιστική πράξη της Κοινότητας, η ίδια κανονιστική πράξη είναι δυνατό να προσδιορίζει τον υπεύθυνο της επεξεργασίας ή τις ειδικές προϋποθέσεις που ισχύουν για τον διορισμό του*

(ε) «εκτελών την επεξεργασία», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου της επεξεργασίας*

(στ) «τρίτοι», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, με εξαίρεση το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, τον υπεύθυνο της επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, νομιμοποιούνται να επεξεργάζονται τα δεδομένα*

(ζ) «αποδέκτης», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο γνωστοποιούνται τα δεδομένα, είτε πρόκειται για κάποιον τρίτο, είτε όχι* ωστόσο, οι αρχές στις οποίες ενδεχομένως περιέρχονται δεδομένα στο πλαίσιο συγκεκριμένης έρευνας δεν θεωρούνται αποδέκτες*

(η) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα», κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και με πλήρη επίγνωση, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατανεύει στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν.

’ρθρο 3

Πεδίο εφαρμογής

1. Οι διατάξεις του παρόντος κανονισμού ισχύουν για την επεξεργασία δεδομένων προσωπικού χαρακτήρα εκ μέρους όλων των οργάνων και οργανισμών της Κοινότητας.

2. Οι διατάξεις του παρόντος κανονισμού εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

ΚΕΦΑΛΑΙΟ II

ΓΕΝΙΚΟΙ ΚΑΝΟΝΕΣ ΠΕΡΙ ΤΗΣ ΝΟΜΙΜΟΤΗΤΑΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΤΜΗΜΑ 1

Αρχές αναφερόμενες στην ποιότητα των δεδομένων

’ρθρο 4

1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

(α) να υφίστανται θεμιτή και σύννομη επεξεργασία*

(β) να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, και η περαιτέρω επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θεωρείται ασυμβίβαστη, υπό την προϋπόθεση ότι ο υπεύθυνος της επεξεργασίας παρέχει τις κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της διασφάλισης ότι η επεξεργασία των δεδομένων εξυπηρετεί αποκλειστικά και μόνο τέτοιους σκοπούς*

(γ) να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή/και υφίστανται περαιτέρω επεξεργασία*

(δ) να είναι ακριβή και, εφόσον χρειάζεται, να ενημερώνονται* πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε δεδομένα ανακριβή ή ελλιπή σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται περαιτέρω επεξεργασία, να διαγράφονται ή να αποκαθίστανται*

(ε) να διατηρούνται υπό μορφή που να μην επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή υφίστανται περαιτέρω επεξεργασία. Το οικείο όργανο ή ο οργανισμός της Κοινότητας θεσπίζει τα κατάλληλα μέτρα διασφάλισης για τα δεδομένα προσωπικού χαρακτήρα που αποθηκεύονται επί μεγαλύτερα χρονικά διαστήματα για σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς, ούτως ώστε, ιδίως, να τους προσδίδεται ανώνυμος χαρακτήρας.

2. Η διασφάλιση της τήρησης της παραγράφου 1 αποτελεί καθήκον του υπεύθυνου της επεξεργασίας.

ΤΜΗΜΑ 2

Προϋποθέσεις της νόμιμης επεξεργασίας δεδομένων

’ρθρο 5

Νομιμότητα επεξεργασίας

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εφόσον:

(α) είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς χάριν του δημόσιου συμφέροντος βάσει νόμου ή στο πλαίσιο θεμιτής άσκησης δημόσιας εξουσίας που έχει ανατεθεί στο εκάστοτε όργανο ή στον εκάστοτε οργανισμό της Κοινότητας ή σε τρίτον στον οποίον γνωστοποιούνται τα δεδομένα* ή

(β) είναι απαραίτητη για την εκπλήρωση εκ του νόμου υποχρέωσης την οποία υπέχει ο υπεύθυνος της επεξεργασίας* ή

(γ) είναι απαραίτητη για την εκτέλεση σύμβασης που έχει συνάψει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή για ενέργειες που πραγματοποιούνται με αίτηση του προσώπου αυτού πριν από τη σύναψη συμβάσεως* ή

(δ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει την αδιαμφισβήτητη συγκατάθεσή του* ή

(ε) είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα.

’ρθρο 6

Περαιτέρω επεξεργασία για σύννομους σκοπούς

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς διαφορετικούς από εκείνους για τους οποίους συνελέγησαν επιτρέπεται μόνο εφόσον η μεταβολή σκοπού προβλέπεται ρητώς από τους εσωτερικούς κανόνες λειτουργίας του οικείου οργάνου ή οργανισμού.

2. Τα δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί για άλλους σκοπούς επιτρέπεται να υποβάλλονται σε επεξεργασία με σκοπό την εξασφάλιση της συμμόρφωσης με χρηματοδοτικούς και δημοσιονομικούς κανόνες.

3. Τα δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί με αποκλειστικό σκοπό την κατοχύρωση της ασφάλειας ή του ελέγχου των συστημάτων ή των πράξεων επεξεργασίας δεν επιτρέπεται να χρησιμοποιούνται για κανέναν άλλο σκοπό, με εξαίρεση τους σκοπούς που αναφέρονται στο άρθρο 18 παράγραφος 1 στοιχείο α).

’ρθρο 7

Διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ή μεταξύ οργάνων ή οργανισμών της Κοινότητας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό οργάνων ή οργανισμών της Κοινότητας ή προς άλλα τέτοια όργανα και οργανισμούς επιτρέπεται μόνον εφόσον τα δεδομένα είναι αναγκαία για τη σύννομη εκτέλεση καθηκόντων που εμπίπτουν στην αρμοδιότητα του αποδέκτη.

2. Υπεύθυνοι για τον σύννομο χαρακτήρα της διαβίβασης είναι ο υπεύθυνος της επεξεργασίας και ο αποδέκτης.

Ο υπεύθυνος της επεξεργασίας ελέγχει απλώς την αρμοδιότητα του αποδέκτη και το βάσιμο της αίτησης. Ωστόσο, εάν προκύψουν αμφιβολίες ως προς το βάσιμο της αίτησης, ο υπεύθυνος της επεξεργασίας εξακριβώνει επιπλέον την αναγκαιότητα της διαβίβασης.

Ο αποδέκτης φροντίζει να είναι εξακριβώσιμη μελλοντικώς η αναγκαιότητα της διαβίβασης.

’ρθρο 8

Διαβίβαση προς άλλα πρόσωπα και φορείς, πλην των οργάνων και οργανισμών της Κοινότητας, που βρίσκονται στα κράτη μέλη

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε πρόσωπα και φορείς που βρίσκονται στα κράτη μέλη επιτρέπεται μόνον εάν ο αποδέκτης έχει αποδείξει την αναγκαιότητα της γνωστοποίησης των δεδομένων και δεν υφίστανται λόγοι που να υποδηλώνουν ότι υπάρχει κίνδυνος να θιγούν τα νόμιμα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2. Ο αποδέκτης δύναται να επεξεργασθεί τα δεδομένα προσωπικού χαρακτήρα μόνο για τους σκοπούς για τους οποίους αυτά διαβιβάστηκαν.

’ρθρο 9

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς άλλα πρόσωπα και φορείς, πλην των οργάνων και οργανισμών της Κοινότητας, που δεν υπόκεινται στην οδηγία 95/46/ΕΚ

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς πρόσωπα και φορείς, πλην των οργάνων και οργανισμών της Κοινότητας, που δεν υπόκεινται στην εθνική νομοθεσία περί της προστασίας των δεδομένων κατ' εφαρμογή του άρθρου 4 της οδηγίας 95/46/ΕΚ επιτρέπεται μόνον εφόσον διασφαλίζεται ικανοποιητικός βαθμός προστασίας στη χώρα του αποδέκτη ή στο πλαίσιο του διεθνούς οργανισμού που λαμβάνει τα δεδομένα και επιπλέον η διαβίβαση πραγματοποιείται αυστηρά εντός του πλαισίου των καθηκόντων που εμπίπτουν στην αρμοδιότητα του υπεύθυνου της επεξεργασίας και πληρούνται οι προϋποθέσεις του άρθρου 4 παράγραφος 1 στοιχείο β) του παρόντος κανονισμού.

2. Η επάρκεια του βαθμού προστασίας που παρέχει η εκάστοτε χώρα ή ο διεθνής οργανισμός αξιολογείται με γνώμονα το σύνολο των περιστάσεων που περιβάλλουν την πράξη διαβίβασης δεδομένων ή σειρά πράξεων διαβίβασης δεδομένων. Ιδιαίτερη βαρύτητα αποδίδεται: στο είδος των δεδομένων* στον σκοπό και τη διάρκεια της προτεινόμενης πράξης ή των πράξεων επεξεργασίας* στο ποια είναι η χώρα ή ο διεθνής οργανισμός που αποτελεί τον τελικό προορισμό* στους κανόνες δικαίου, τόσο γενικούς όσο και ειδικούς, οι οποίοι ισχύουν στην οικεία χώρα ή στο πλαίσιο του οικείου διεθνούς οργανισμού* και στους κανόνες δεοντολογίας και τα μέτρα ασφαλείας που τηρούνται στη συγκεκριμένη χώρα ή στο πλαίσιο του συγκεκριμένου διεθνούς οργανισμού.

3. Τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν την Επιτροπή και τον ευρωπαίο επόπτη προστασίας δεδομένων σε περίπτωση που κρίνουν ότι η εκάστοτε χώρα ή ο διεθνής οργανισμός δεν διασφαλίζει ικανοποιητικό βαθμό προστασίας κατά την έννοια της παραγράφου 2.

4. Εάν η Επιτροπή διαπιστώσει, επικουρούμενη από την επιτροπή του άρθρου 31, παράγραφος 1 της οδηγίας 95/46/ΕΚ, ότι μία χώρα ή ένας διεθνής οργανισμός διασφαλίζει ή δεν διασφαλίζει ικανοποιητικό βαθμό προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν τα μέτρα που είναι απαραίτητα για την εκτέλεση της απόφασης της Επιτροπής.

Η απόφαση αυτή εκδίδεται σύμφωνα με τη διαδικασία της διαχειριστικής επιτροπής που θεσπίζεται με το άρθρο 4 της απόφασης 1999/468/ΕΚ [7] του Συμβουλίου και με την επιφύλαξη του άρθρου 8 της ίδιας απόφασης.

[7] ΕΕ L 184, 17.7.1999, σ. 23.

Η προθεσμία που προβλέπεται από το άρθρο 4, παράγραφος 3 της απόφασης 1999/468/ΕΚ ορίζεται στους τρεις μήνες.

5. Κατά παρέκκλιση από τα προβλεπόμενα στην παράγραφο 1, το εκάστοτε όργανο ή ο οργανισμός της Κοινότητας δύναται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα υπό την προϋπόθεση ότι:

(α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει παράσχει την αδιαμφισβήτητη έγκρισή του για την προτεινόμενη μεταφορά* ή

(β) η μεταφορά είναι αναγκαία για την εκτέλεση συμβάσεως που έχει συναφθεί μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπεύθυνου της επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων που έχουν αποφασισθεί κατόπιν αιτήσεως του προσώπου στο οποίο αναφέρονται τα δεδομένα* ή

(γ) η μεταφορά είναι αναγκαία για τη σύναψη ή την εκτέλεση συμβάσεως μεταξύ του υπεύθυνου της επεξεργασίας και τρίτου, η σύναψη της οποίας εξυπηρετεί τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα* ή

(δ) η μεταφορά είναι αναγκαία ή επιβαλλόμενη εκ του νόμου ένεκα σοβαρών λόγων δημόσιου συμφέροντος ή για την απόδειξη, άσκηση ή υπεράσπιση νομικών αξιώσεων* ή

(ε) η μεταφορά είναι αναγκαία για την προστασία ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα* ή

(στ) η μεταφορά έχει ως πηγή αρχείο το οποίο, με βάση την κοινοτική νομοθεσία, χρησιμεύει για την ενημέρωση του κοινού και το οποίο μπορεί να συμβουλευθεί το κοινό εν γένει ή κάθε πρόσωπο που αποδεικνύει ότι έχει σχετικό έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι όροι που σύμφωνα με την κοινοτική νομοθεσία διέπουν την απόκτηση πρόσβασης στο αρχείο.

6. Τα όργανα και οι οργανισμοί της Κοινότητας γνωστοποιούν στον ευρωπαίο επόπτη προστασίας δεδομένων τις περιπτώσεις ή κατηγορίες περιπτώσεων εφαρμογής εκ μέρους τους της παραγράφου 5.

ΤΜΗΜΑ 3

Επεξεργασία ειδικών κατηγοριών δεδομένων

’ρθρο 10

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις και τη συμμετοχή σε συνδικαλιστικές οργανώσεις. Επίσης απαγορεύεται η επεξεργασία δεδομένων που αναφέρονται στην υγεία και τη σεξουαλική ζωή.

2. Η παράγραφος 1 δεν εφαρμόζεται εφόσον:

(α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει ρητά τη συγκατάθεσή του για την επεξεργασία τους, εκτός εάν οι κανόνες εσωτερικής λειτουργίας του οικείου οργάνου ή οργανισμού της Κοινότητας ορίζουν ότι η απαγόρευση της παραγράφου 1 ισχύει ακόμη και όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέχει τη συγκατάθεσή του για την επεξεργασία τους* ή

(β) η επεξεργασία είναι απαραίτητη προκειμένου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπεύθυνου της επεξεργασίας στον τομέα της απασχόλησης, υπό την προϋπόθεση ότι τούτο επιτρέπεται σύμφωνα με την κοινοτική νομοθεσία ή με βάση κανόνες εφαρμογής της κοινοτικής νομοθεσίας ή ότι έχει συμφωνήσει ο ευρωπαίος επόπτης προστασίας δεδομένων και εφόσον προβλέπονται, παράλληλα, και επαρκή μέτρα διασφάλισης* ή

(γ) η επεξεργασία είναι απαραίτητη για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του* ή

(δ) η επεξεργασία αφορά δεδομένα τα οποία προδήλως δημοσιοποιούνται από το πρόσωπο στο οποίο αναφέρονται ή είναι αναγκαία για την απόδειξη, άσκηση ή υπεράσπιση νομικών αξιώσεων* ή

(ε) η επεξεργασία εκτελείται, στο πλαίσιο των νόμιμων δραστηριοτήτων του και με επαρκείς εγγυήσεις, από μη κερδοσκοπικό φορέα, ο οποίος συνιστά οντότητα ενσωματωμένη σε κοινοτικό όργανο ή οργανισμό, δεν υπόκειται σε εθνικό νόμο περί προστασίας των δεδομένων δυνάμει του άρθρου 4 της οδηγίας 95/46/ΕΚ και επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, υπό τον όρο ότι η επεξεργασία αφορά μόνον τα μέλη του ή πρόσωπα με τα οποία ο φορέας διατηρεί, ως εκ του σκοπού του, τακτικές επαφές, και τα δεδομένα ανακοινώνονται σε τρίτους μόνον με τη συγκατάθεση των προσώπων στα οποία αναφέρονται.

3. Η παράγραφος 1 δεν εφαρμόζεται εφόσον η επεξεργασία των δεδομένων είναι αναγκαία για λόγους προληπτικής ιατρικής ή ιατρικής διάγνωσης, για την αξιολόγηση, από πλευράς υγείας, της καταλληλότητας για πρόσληψη, για την παροχή ιατροφαρμακευτικής φροντίδας ή θεραπείας ή για τη διαχείριση ιατροφαρμακευτικών υπηρεσιών, η δε επεξεργασία των δεδομένων αυτών εκτελείται από κατ' επάγγελμα υγειονομικό, υποκείμενο στην υποχρέωση τήρησης του επαγγελματικού απορρήτου ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση εχεμύθειας.

4. Εφόσον παρέχονται οι δέουσες εγγυήσεις, ο ευρωπαίος επόπτης προστασίας δεδομένων δύναται, για λόγους σοβαρού δημοσίου συμφέροντος, να θεσπίζει με απόφασή του και άλλες παρεκκλίσεις εκτός από τις προβλεπόμενες στην παράγραφο 2.

5. Η επεξεργασία δεδομένων σχετικών με παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας επιτρέπεται μόνον εάν προβλέπεται ρητώς από διατάξεις της κοινοτικής νομοθεσίας ή άλλες νομικές πράξεις εκδοθείσες δυνάμει της συνθήκης ΕΕ οι οποίες συγχρόνως περιλαμβάνουν ειδικά και κατάλληλα μέτρα διασφάλισης ή με την έγκριση του ευρωπαίου επόπτη προστασίας δεδομένων.

6. Ο ευρωπαίος επόπτης προστασίας δεδομένων θεσπίζει τις προϋποθέσεις υπό τις οποίες επιτρέπεται η επεξεργασία κωδικών αριθμών που αντιστοιχούν σε πολίτες ή άλλων στοιχείων γενικής εφαρμογής που χρησιμεύουν για την αναγνώριση της ταυτότητας στο πλαίσιο κοινοτικού οργάνου ή οργανισμού.

ΤΜΗΜΑ 4

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

’ρθρο 11

Ενημέρωση σε περίπτωση συλλογής δεδομένων από το πρόσωπο στο οποίο αναφέρονται

1. Ο υπεύθυνος της επεξεργασίας οφείλει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν αυτές του είναι ήδη γνωστές:

(α) την ταυτότητα του υπεύθυνου της επεξεργασίας*

(β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα*

(γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων*

(δ) το κατά πόσον η απάντηση των ερωτήσεων που του υποβάλλονται είναι υποχρεωτική ή προαιρετική, καθώς και τις ενδεχόμενες συνέπειες της μη παροχής απάντησης*

(ε) την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που αφορούν το εν λόγω πρόσωπο και δικαιώματος αποκατάστασής τους*

(στ) οποιαδήποτε συμπληρωματική πληροφορία, όπως:

- τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα*

- τον προβλεπόμενο χρόνο αποθήκευσης των δεδομένων*

- το δικαίωμα προσφυγής ανά πάσα στιγμή στην εποπτεύουσα αρχή*

εφόσον αυτές οι συμπληρωματικές πληροφορίες είναι αναγκαίες, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, για τη διασφάλιση της θεμιτής επεξεργασίας έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2. Κατά παρέκκλιση από την παράγραφο 1, η παροχή πληροφοριών ή μέρους αυτών δύναται να μετατίθεται χρονικά για όσον καιρό αυτό είναι αναγκαίο για την επίτευξη του θεμιτού στόχου της στατιστικής μελέτης με βάση το αντικείμενο ή τη φύση της. Οι πληροφορίες πρέπει να παρέχονται αφ? ης στιγμής εκλείψει ο λόγος που υπαγόρευε την παρακράτησή τους, εκτός αν κάτι τέτοιο είναι προδήλως μη εύλογο ή πρακτικώς αδύνατο. Σε τέτοιες περιπτώσεις, οι πληροφορίες πρέπει να παρέχονται μεταγενέστερα, μόλις εκλείψουν οι παραπάνω περιστάσεις.

’ρθρο 12

Ενημέρωση σε περίπτωση που τα δεδομένα δεν έχουν προέλθειαπό το πρόσωπο στο οποίο αναφέρονται

1. Όταν τα δεδομένα δεν έχουν προέλθει από το πρόσωπο το οποίο αφορούν, ο υπεύθυνος της επεξεργασίας οφείλει, κατά τον χρόνο έναρξης της καταχώρησης δεδομένων προσωπικού χαρακτήρα ή της επικείμενης γνωστοποίησής τους σε τρίτον, και πάντως όχι μετά την πρώτη γνωστοποίησή τους, να παράσχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τις εξής πληροφορίες τουλάχιστον, εκτός εάν το πρόσωπο αυτό τις γνωρίζει ήδη:

(α) την ταυτότητα του υπευθύνου της επεξεργασίας*

(β) τους σκοπούς της επεξεργασίας*

(γ) τις κατηγορίες των εκάστοτε δεδομένων*

(δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών*

(ε) την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που αφορούν το εν λόγω πρόσωπο και δικαιώματος αποκατάστασής τους*

(στ) οποιαδήποτε συμπληρωματική πληροφορία, όπως:

- τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα*

- τον προβλεπόμενο χρόνο αποθήκευσης των δεδομένων*

- το δικαίωμα προσφυγής ανά πάσα στιγμή στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων*

- την προέλευση των δεδομένων, εκτός εάν ο υπεύθυνος της επεξεργασίας δεν δύναται να αποκαλύψει το στοιχείο αυτό για λόγους επαγγελματικού απορρήτου,

εφόσον αυτές οι συμπληρωματικές πληροφορίες είναι αναγκαίες, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες γίνεται η επεξεργασία των δεδομένων, για τη διασφάλιση της θεμιτής επεξεργασίας έναντι του προσώπου στο οποίο αναφέρονται.

2. Οι διατάξεις της παραγράφου 1 δεν εφαρμόζονται όταν, ιδίως στην περίπτωση της επεξεργασίας για σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας, η παροχή των υπόψη πληροφοριών αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογο κόπο ή εάν η καταχώρηση ή η γνωστοποίηση προβλέπεται ρητώς από διάταξη της κοινοτικής νομοθεσίας. Στις περιπτώσεις αυτές, το όργανο ή ο οργανισμός της Κοινότητας φροντίζει να λαμβάνονται τα ενδεδειγμένα μέτρα διασφάλισης.

ΤΜΗΜΑ 5

Δικαίωμα πρόσβασης στα δεδομένα του προσώπου στο οποίο αυτά αναφέρονται

’ρθρο 13

Δικαίωμα πρόσβασης

Κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα έχει το δικαίωμα να ζητήσει ανά πάσα στιγμή από τον υπεύθυνο της επεξεργασίας να του γνωστοποιήσει, χωρίς υπέρμετρη καθυστέρηση και δωρεάν, τα ακόλουθα:

(α) κατά πόσον βρίσκονται ή όχι υπό επεξεργασία δεδομένα που το αφορούν*

(β) πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων υπό επεξεργασία και τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιούνται τα δεδομένα*

(γ) γνωστοποίηση, με εύληπτο τρόπο, των δεδομένων υπό επεξεργασία καθώς και των τυχόν διαθέσιμων πληροφοριών σχετικά με την προέλευσή τους*

(δ) γνωστοποίηση της λογικής που διέπει την τυχόν αυτοματοποιημένη διαδικασία λήψης αποφάσεων σε σχέση με το πρόσωπο αυτό.

’ρθρο 14

Αποκατάσταση

Ο υπεύθυνος της επεξεργασίας προβαίνει αμελλητί, κατόπιν αιτήσεως του προσώπου στο οποίο αναφέρονται τα εκάστοτε δεδομένα προσωπικού χαρακτήρα, σε αποκατάσταση των τυχόν ανακριβειών ή ελλείψεων των δεδομένων αυτών.

’ρθρο 15

Κλείδωμα των δεδομένων

1. Το μέτρο του κλειδώματος δεδομένων προσωπικού χαρακτήρα εφαρμόζεται όταν:

(α) η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται, και δεν είναι δυνατή η εξακρίβωση ούτε της ακρίβειας, ούτε της ανακρίβειάς τους*

(β) ο υπεύθυνος της επεξεργασίας δεν τα χρειάζεται πλέον για την εκτέλεση των καθηκόντων του, αλλά τα δεδομένα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς*

(γ) η επεξεργασία των δεδομένων ήταν παράνομη, και το πρόσωπο στο οποίο αυτά αναφέρονται αντιτάσσεται στη διαγραφή τους και ζητά αντ' αυτής το κλείδωμά τους.

2. Στην περίπτωση των αυτοματοποιημένων αρχείων, το κλείδωμα πραγματοποιείται καταρχήν με τεχνικές μεθόδους. Το γεγονός ότι τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα έχουν κλειδωθεί πρέπει να αναγράφεται στο σύστημα κατά τρόπον ώστε να καθίσταται σαφές ότι η χρήση τους απαγορεύεται.

3. Η επεξεργασία κλειδωμένων δεδομένων προσωπικού χαρακτήρα, με εξαίρεση την αποθήκευσή τους, επιτρέπεται τότε μόνο, όταν τα δεδομένα είναι απαραίτητα για την απόδειξη των ισχυρισμών του μέρους που φέρει το βάρος της απόδειξης, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει παράσχει τη συγκατάθεσή του, ή για λόγους υπαγορευόμενους από το έννομο συμφέρον κάποιου τρίτου.

’ρθρο 16

Διαγραφή

1. Τα δεδομένα προσωπικού χαρακτήρα διαγράφονται εάν η επεξεργασία τους ήταν παράνομη, παραδείγματος χάρη εάν έγινε κατά παράβαση των διατάξεων των τμημάτων 1, 2 και 3 του κεφαλαίου ΙΙ.

2. Τα δεδομένα προσωπικού χαρακτήρα διαγράφονται εφόσον ο υπεύθυνος της επεξεργασίας δεν τα χρειάζεται πλέον για την εκτέλεση των καθηκόντων του και δεν υπάρχουν λόγοι από τους οποίους να προκύπτει ότι η διαγραφή είναι πιθανό να θίξει τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

’ρθρο 17

Κοινοποίηση σε τρίτους

Ο υπεύθυνος της επεξεργασίας ειδοποιεί τους τρίτους στους οποίους έχουν γνωστοποιηθεί δεδομένα για την τυχόν αποκατάσταση, τη διαγραφή ή το κλείδωμά τους, εκτός αν αυτό αποδειχθεί αδύνατο ή προϋποθέτει δυσανάλογη προσπάθεια.

ΤΜΗΜΑ 6

Εξαιρέσεις και περιορισμοί

’ρθρο 18

1. Τα όργανα και οι οργανισμοί της Κοινότητας δύνανται να θέτουν περιορισμούς στην εφαρμογή των άρθρων 4 (παράγραφος 1), 11, 12 (παράγραφος 1), 13, 33 και 34 (παράγραφος 1) εφόσον ο εκάστοτε περιορισμός αποτελεί αναγκαίο μέτρο για τη διασφάλιση:

(α) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης ποινικών παραβάσεων*

(β) κάποιου σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων*

(γ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων*

(δ) ενός ελέγχου, μιας επιθεώρησης ή άλλης κανονιστικής λειτουργίας που συνδέεται, έστω και περιστασιακά, με την άσκηση δημόσιας εξουσίας σε περιπτώσεις οι οποίες εμπίπτουν στα στοιχεία (α) και (β).

2. Τα άρθρα 13 έως 16 δεν εφαρμόζονται οσάκις η επεξεργασία των δεδομένων γίνεται με αποκλειστικό σκοπό την επιστημονική έρευνα ή τα δεδομένα διατηρούνται υπό προσωπική μορφή για χρονικό διάστημα που δεν υπερβαίνει αυτό που είναι απαραίτητο για την απλή κατάρτιση στατιστικών, υπό την προϋπόθεση ότι είναι σαφές πως δεν υπάρχει κίνδυνος για την παραβίαση του ιδιωτικού βίου του προσώπου στο οποίο αναφέρονται τα δεδομένα και ότι ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς νομικές εγγυήσεις, ιδίως για το ότι τα δεδομένα δεν χρησιμοποιούνται για τη λήψη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο άτομο.

3. Οσάκις εφαρμόζεται ένας περιορισμός που έχει επιβληθεί βάσει της παραγράφου 1, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να ενημερώνεται για τους βασικούς λόγους στους οποίους στηρίζεται η εφαρμογή του, καθώς και για το δικαίωμά του να προσφύγει στον ευρωπαίο επόπτη προστασίας δεδομένων.

4. Αφ'ης στιγμής παύσει να υφίσταται ο λόγος για τον οποίον εφαρμόστηκε ένας περιορισμός κατά τα προβλεπόμενα στην παράγραφο 1, οι διατάξεις που μνημονεύονται στην ίδια παράγραφο καθίστανται και πάλι πλήρως εφαρμοστέες.

ΤΜΗΜΑ 7

Ένσταση και προσφυγή

’ρθρο 19

Δικαίωμα ένστασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Το πρόσωπο στο οποίο αναφέρονται τα εκάστοτε δεδομένα έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων που το αφορούν, για επιτακτικούς και σύννομους λόγους σχετικούς με την προσωπική του κατάσταση, με εξαίρεση τις περιπτώσεις που εμπίπτουν στο άρθρο 5 στοιχεία (β) έως (δ). Σε περίπτωση βάσιμης ένστασης, η επεξεργασία που έχει αρχίσει με ενέργειες του υπεύθυνου αυτής δεν επιτρέπεται πλέον να αφορά τα συγκεκριμένα δεδομένα.

’ρθρο 20

Δικαίωμα προσφυγής του προσώπου στο οποίο αναφέρονται τα δεδομένα

Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει το δικαίωμα να προσφύγει ανά πάσα στιγμή στον ευρωπαίο επόπτη προστασίας δεδομένων.

’ρθρο 21

Αυτοματοποιημένες ατομικές αποφάσεις

Κανένα πρόσωπο δεν είναι υποχρεωμένο να συμμορφωθεί με απόφαση η οποία παράγει έννομες συνέπειες και το αφορά ή επηρεάζει σε σημαντικό βαθμό την κατάστασή του και η οποία βασίζεται αποκλειστικά και μόνο στην αυτοματοποιημένη επεξεργασία δεδομένων με σκοπό την αξιολόγηση ορισμένων πτυχών της ατομικότητάς του, όπως είναι η απόδοσή του στην εργασία, η αξιοπιστία ή η διαγωγή του, εκτός αν η έκδοση της απόφασης προβλέπεται ρητά από διάταξη νόμου η οποία περιλαμβάνει επίσης ρυθμίσεις για τη διασφάλιση των εννόμων συμφερόντων του προσώπου στο οποίο αναφέρονται τα εκάστοτε δεδομένα.

ΤΜΗΜΑ 8

Απόρρητο και ασφάλεια της επεξεργασίας

’ρθρο 22

Απόρρητο της επεξεργασίας

Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, περιλαμβανομένου του ιδίου του εκτελούντος την επεξεργασία, και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, δεν μπορεί να τα επεξεργασθεί παρά μόνο κατ? εντολή του υπευθύνου της επεξεργασίας, εκτός αν υποχρεούται να το κάνει βάσει του εθνικού δικαίου.

’ρθρο 23

Ασφάλεια της επεξεργασίας

1. Λαμβάνοντας υπόψη την πρόοδο της επιστήμης και το σχετικό κόστος εφαρμογής, ο υπεύθυνος της επεξεργασίας οφείλει να λαμβάνει τα τεχνικά και οργανωτικά μέτρα που είναι αναγκαία για την κατοχύρωση βαθμού ασφάλειας ο οποίος να κρίνεται ικανοποιητικός σε σχέση με τους κινδύνους που συνεπάγεται η επεξεργασία και με τον χαρακτήρα των προστατευτέων δεδομένων προσωπικού χαρακτήρα.

2. Όταν η επεξεργασία γίνεται δια χειρός, λαμβάνονται τα ενδεδειγμένα μέτρα για την αποτροπή, ιδίως, οποιασδήποτε αυθαίρετης προσπέλασης ή γνωστοποίησης, αλλοίωσης, καταστροφής ή τυχαίας απώλειας.

3. Όταν η επεξεργασία γίνεται με αυτοματοποιημένα μέσα, λαμβάνονται μέτρα με τα οποία να εξασφαλίζονται, ενδεικτικά, τα εξής:

(α) ότι κανένα μη εξουσιοδοτημένο προς τούτο πρόσωπο δεν αποκτά πρόσβαση σε συστήματα πληροφορικής που χρησιμοποιούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα*

(β) η αποτροπή κάθε αυθαίρετης ανάγνωσης, αναπαραγωγής, αλλοίωσης ή απομάκρυνσης μέσων αποθήκευσης*

(γ) η αποτροπή κάθε αυθαίρετης εισαγωγής δεδομένων, καθώς και κάθε αυθαίρετης γνωστοποίησης, αλλοίωσης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα*

(δ) η αποτροπή της χρήσης συστημάτων επεξεργασίας δεδομένων από μη εξουσιοδοτημένα προς τούτο πρόσωπα με τη μέθοδο της διαβίβασης δεδομένων*

(ε) ότι οι εξουσιοδοτημένοι χρήστες συστήματος επεξεργασίας δεδομένων δεν διαθέτουν πρόσβαση σε άλλα δεδομένα προσωπικού χαρακτήρα πλην εκείνων που καλύπτονται από το δικαίωμα πρόσβασης που τους αναγνωρίζεται*

(στ) η καταγραφή στοιχείων για το ποια δεδομένα προσωπικού χαρακτήρα έχουν κοινοποιηθεί, πότε και σε ποιον*

(ζ) η δυνατότητα μεταγενέστερου ελέγχου και εξακρίβωσης του πότε και από ποιον πραγματοποιήθηκε επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιων ακριβώς*

(η) ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό τρίτων υφίστανται πράγματι μόνο την επεξεργασία που έχει παραγγείλει ο αναθέτων οργανισμός ή φορέας*

(θ) ότι κατά την κοινοποίηση δεδομένων προσωπικού χαρακτήρα και κατά τη μεταφορά μέσων αποθήκευσης δεν είναι δυνατή η ανάγνωση, αντιγραφή ή διαγραφή των δεδομένων χωρίς άδεια*

(ι) η σχεδίαση της οργανωτικής δομής του εκάστοτε οργάνου ή οργανισμού κατά τέτοιον τρόπο, ώστε αυτή να πληροί τις ειδικές απαιτήσεις που ισχύουν για την προστασία των δεδομένων.

’ρθρο 24

Επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου αυτής

1. Όταν η επεξεργασία πρόκειται να εκτελεσθεί μέσω άλλου προσώπου, ο υπεύθυνος της επεξεργασίας οφείλει να επιλέξει για τον σκοπό αυτό ένα πρόσωπο το οποίο να παρέχει τα κατάλληλα εχέγγυα από την άποψη των μέτρων τεχνικής ασφάλειας και των οργανωτικών μέτρων που πρέπει να λαμβάνονται σύμφωνα με το άρθρο 23, καθώς επίσης να μεριμνά για την τήρηση των μέτρων αυτών.

2. Η εκτέλεση επεξεργασίας μέσω άλλου προσώπου πρέπει να διέπεται από σύμβαση ή δικαιοπραξία η οποία να προβλέπει ορισμένες υποχρεώσεις του εκτελούντος της επεξεργασία έναντι του υπεύθυνου αυτής και στην οποία να ορίζονται οπωσδήποτε τα εξής:

α) ότι ο εκτελών την επεξεργασία ενεργεί μόνον κατ' εντολή του υπεύθυνου της επεξεργασίας*

β) ότι οι υποχρεώσεις που προβλέπονται στο άρθρο 23 βαρύνουν και τον εκτελούντα την επεξεργασία.

3. Για αποδεικτικούς λόγους, τα τμήματα της σύμβασης ή δικαιοπραξίας που αφορούν την προστασία των δεδομένων και τις απαιτήσεις τις σχετικές με τα μέτρα που προβλέπονται στο άρθρο 23 καταρτίζονται εγγράφως ή υπό άλλη αντίστοιχη μορφή.

ΤΜΗΜΑ 9

Υπεύθυνος προστασίας δεδομένων

’ρθρο 25

Διορισμός και καθήκοντα του υπεύθυνου προστασίας δεδομένων

1. Κάθε όργανο και κάθε οργανισμός της Κοινότητας διορίζει ένα τουλάχιστον πρόσωπο (άνδρα ή γυναίκα), από την προσήκουσα ιεραρχική βαθμίδα, το οποίο θα ενεργεί ως υπεύθυνος για την προστασία των δεδομένων προσωπικού χαρακτήρα. Τα καθήκοντα του εν λόγω προσώπου θα είναι τα εξής:

α) να διασφαλίζει ότι οι υπεύθυνοι της επεξεργασίας και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα γνωρίζουν τα δικαιώματα και τις υποχρεώσεις τους*

β) να συνεργάζεται με τον ευρωπαίο επόπτη προστασίας δεδομένων, είτε κατόπιν αιτήματος του τελευταίου, είτε αυτεπαγγέλτως*

γ) να μεριμνά υπό καθεστώς ανεξαρτησίας για την εσωτερική εφαρμογή των διατάξεων του παρόντος κανονισμού, καθώς και όλων των άλλων διατάξεων που θεσπίζονται προς εφαρμογή των συναφών κανόνων*

δ) να τηρεί μητρώο με τις πράξεις επεξεργασίας που διενεργεί ο υπεύθυνος της επεξεργασίας, περιλαμβανομένων των πληροφοριακών στοιχείων που μνημονεύονται στο άρθρο 26 παράγραφος 2*

ε) να κοινοποιεί στον ευρωπαίο επόπτη προστασίας δεδομένων τις πράξεις επεξεργασίας οι οποίες ενδέχεται να εγκυμονούν ιδιαίτερους κινδύνους κατά την έννοια του άρθρου 28.

Με τον τρόπο αυτό, ο υπεύθυνος προστασίας δεδομένων διασφαλίζει ότι οι πράξεις επεξεργασίας δεν είναι πιθανό να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.

2. Στον υπεύθυνο προστασίας δεδομένων θα δοθεί το προσωπικό και οι πόροι που απαιτούνται για την εκτέλεση των καθηκόντων του.

3. Κάθε όργανο ή οργανισμός της Κοινότητας θα θεσπίσει, βάσει των κατευθυντήριων γραμμών που καθορίζονται στο παράρτημα 1, περαιτέρω κανόνες εφαρμογής σχετικά με τον υπεύθυνο προστασίας δεδομένων. Οι κανόνες εφαρμογής θα αφορούν, ειδικότερα, τα προσόντα, το διορισμό, την αποπομπή, την ανεξαρτησία, τα καθήκοντα και τις εξουσίες του υπεύθυνου προστασίας δεδομένων.

’ρθρο 26

Κοινοποίηση στον υπεύθυνο προστασίας δεδομένων

1. Ο υπεύθυνος της επεξεργασίας ενημερώνει υποχρεωτικά τον υπεύθυνο προστασίας δεδομένων, πριν από τη διενέργεια οιασδήποτε πράξης επεξεργασίας ή σειράς τέτοιων πράξεων με στόχο την επίτευξη ενός και μοναδικού σκοπού ή περισσοτέρων συναφών σκοπών.

2. Η κοινοποίηση πρέπει να περιλαμβάνει τουλάχιστον τα πληροφοριακά στοιχεία που αναφέρονται στο παράρτημα 2.

Οποιαδήποτε μεταβολή η οποία επηρεάζει τα εν λόγω πληροφοριακά στοιχεία πρέπει να γνωστοποιείται πάραυτα στον υπεύθυνο προστασίας δεδομένων.

’ρθρο 27

Μητρώο

Κάθε υπεύθυνος προστασίας δεδομένων τηρεί μητρώο των πράξεων επεξεργασίας που του κοινοποιούνται δυνάμει του άρθρου 26.

Τα μητρώα περιέχουν οπωσδήποτε τις πληροφορίες που αναφέρονται στο άρθρο 26, παράγραφος 2.

Οποιοσδήποτε μπορεί να συμβουλεύεται τα μητρώα.

ΤΜΗΜΑ 10

Εκ των προτέρων έλεγχος εκ μέρους του ευρωπαίου επόπτη προστασίας δεδομένων

’ρθρο 28

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων προσδιορίζει τις πράξεις επεξεργασίας οι οποίες ενδέχεται να εγκυμονούν ιδιαίτερους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης τους, της εμβέλειάς τους ή των σκοπών τους (ένας τέτοιος κίνδυνος είναι, παραδείγματος χάρη, ο αποκλεισμός ενός ατόμου από κάποιο δικαίωμα, ευεργέτημα ή σύμβαση) ή λόγω της ειδικής χρήσης νέων τεχνολογιών.

Στις εν λόγω πράξεις επεξεργασίας περιλαμβάνονται, ενδεικτικά, οι εξής:

- ορισμένες μορφές επεξεργασίας που αφορούν συγκεκριμένες κατηγορίες δεδομένων, οι οποίες μνημονεύονται στο άρθρο 10*

- κάθε επεξεργασία που αποσκοπεί στην αξιολόγηση της προσωπικότητας των οικείων προσώπων, παραδείγματος χάρη των ικανοτήτων τους, της απόδοσής τους ή της διαγωγής τους.

Οι ανωτέρω πράξεις επεξεργασίας υπόκεινται σε εκ των προτέρων ελέγχους.

2. Τους εκ των προτέρων ελέγχους διενεργεί ο ευρωπαίος επόπτης προστασίας δεδομένων έπειτα από κοινοποίηση την οποία έχει λάβει από τον υπεύθυνο προστασίας δεδομένων. Ο τελευταίος, σε περίπτωση αμφιβολίας, οφείλει να συμβουλεύεται τον ευρωπαίο επόπτη προστασίας δεδομένων.

3. Ο ευρωπαίος επόπτης προστασίας δεδομένων γνωμοδοτεί εντός δύο μηνών από τη λήψη της κοινοποίησης. Εάν οι δύο μήνες παρέλθουν και δεν έχει υπάρξει γνωμοδότηση, τότε η γνώμη του ευρωπαίου επόπτη προστασίας δεδομένων τεκμαίρεται θετική.

4. Ο ευρωπαίος επόπτης προστασίας δεδομένων τηρεί μητρώο με τις πράξεις επεξεργασίας που του κοινοποιούνται κατ' εφαρμογή της παραγράφου 2. Το μητρώο περιλαμβάνει τις πληροφορίες που αναφέρονται στο άρθρο 26, παράγραφος 2. Οποιοσδήποτε δύναται να ελέγξει το μητρώο.

5. Η καθιέρωση αυτοματοποιημένων μεθόδων επικοινωνίας μεταξύ των κοινοτικών οργάνων και οργανισμών, όπως είναι η σε απευθείας σύνδεση πρόσβαση σε βάσεις δεδομένων ή η διασύνδεση, επιτρέπεται μόνο έπειτα από εξέταση του θέματος από τον ευρωπαίο επόπτη προστασίας δεδομένων.

Στο πλαίσιο της εξέτασης, ο ευρωπαίος επόπτης προστασίας δεδομένων εξακριβώνει κατά πόσον δεδομένη αυτοματοποιημένη επικοινωνία συμβιβάζεται με τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και είναι αναγκαία με γνώμονα τα καθήκοντα των εκάστοτε οργάνων ή οργανισμών.

ΚΕΦΑΛΑΙΟ III

ΕΝΔΙΚΑ ΜΕΣΑ ΚΑΙ ΚΥΡΩΣΕΙΣ

’ρθρο 29

Δικαίωμα ένστασης

1. Με την επιφύλαξη των τυχόν ένδικων μέσων που του αναγνωρίζονται, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να υποβάλει ένσταση στον ευρωπαίο επόπτη προστασίας δεδομένων εφόσον θεωρεί ότι τα δικαιώματά του έχουν θιγεί εξαιτίας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν εκ μέρους ενός κοινοτικού οργάνου ή οργανισμού.

2. Το Πρωτοδικείο των Ε.Κ. και το Δικαστήριο των Ε.Κ. είναι αρμόδια για την εκδίκαση όλων των διαφορών που σχετίζονται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αιτήσεων αποζημίωσης.

’ρθρο 30

Κυρώσεις

Κάθε παράλειψη συμμόρφωσης με τις υποχρεώσεις που προβλέπονται στον παρόντα κανονισμό, είτε εκ προθέσεως, είτε εξ αμέλειας, επισύρει πειθαρχικές κυρώσεις κατά του υπαλλήλου ή άλλου εργαζόμενου των Ευρωπαϊκών Κοινοτήτων που ευθύνεται γι' αυτήν, με βάση τους κανόνες και τις διαδικασίες που προβλέπονται στον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων ή με βάση τους όρους της σχετικής σύμβασης εργασίας.

ΚΕΦΑΛΑΙΟ IV

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΤΟΥ ΙΔΙΩΤΙΚΟΥ ΒΙΟΥ ΣΤΟ ΠΛΑΙΣΙΟ ΔΙΚΤΥΩΝ ΕΣΩΤΕΡΙΚΩΝ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

’ρθρο 31

Πεδίο εφαρμογής

Επιπροσθέτως προς τις άλλες διατάξεις του παρόντος κανονισμού, στις διατάξεις του παρόντος κεφαλαίου υπόκειται η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται σε συνδυασμό με τη χρήση τηλεπικοινωνιακών δικτύων που λειτουργούν υπό τον έλεγχο κάποιου κοινοτικού οργάνου ή οργανισμού.

Για τους σκοπούς του παρόντος κεφαλαίου, με τον όρο «χρήστης» νοείται κάθε φυσικό πρόσωπο που χρησιμοποιεί ένα τηλεπικοινωνιακό δίκτυο το οποίο λειτουργεί υπό τον έλεγχο κάποιου κοινοτικού οργάνου ή οργανισμού.

’ρθρο 32

Ασφάλεια

1. Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα με σκοπό την κατοχύρωση της ασφαλούς χρήσης των τηλεπικοινωνιακών δικτύων και του τερματικού εξοπλισμού, εν ανάγκη σε συνεννόηση με τους φορείς παροχής κοινόχρηστων τηλεπικοινωνιακών υπηρεσιών ή/και τους φορείς παροχής δημόσιων τηλεπικοινωνιακών δικτύων. Τα εν λόγω μέτρα πρέπει να κατοχυρώνουν ικανοποιητικό βαθμό ασφάλειας σε σχέση με το μέγεθος του κινδύνου, λαμβανομένης υπόψη της επιστημονικής προόδου και του κόστους εφαρμογής τους.

2. Οσάκις συντρέχει ιδιαίτερος κίνδυνος παραβίασης της ασφάλειας του δικτύου και του τερματικού εξοπλισμού, το οικείο όργανο ή ο οργανισμός της Κοινότητας ενημερώνει τους χρήστες του δικτύου για τους κινδύνους, καθώς και για τα τυχόν κατασταλτικά μέτρα ή εναλλακτικά μέσα επικοινωνίας.

’ρθρο 33

Απόρρητο των επικοινωνιών

1. Τα όργανα και οι οργανισμοί της Κοινότητας διασφαλίζουν το απόρρητο των επικοινωνιών μέσω τηλεπικοινωνιακών δικτύων και τερματικού εξοπλισμού.

Απαγορεύεται η ακρόαση, λαθραία λήψη, αποθήκευση και κάθε άλλη μορφή παρεμβολής ή παρακολούθησης επικοινωνιών από άλλα πρόσωπα πλην των χρηστών και χωρίς τη συγκατάθεση των εκάστοτε χρηστών.

2. Η παράγραφος 1 δεν θίγει την καταγραφή επικοινωνιών που επιτρέπεται από τους εσωτερικούς κανόνες λειτουργίας των οργάνων ή οργανισμών της Κοινότητας προς το σκοπό της απόδειξης νόμιμων ενεργειών ή διοικητικών πράξεων σχετικών με τα επίσημα καθήκοντα των εν λόγω οργάνων ή οργανισμών της Κοινότητας, με την προϋπόθεση ότι έχει εκφράσει τη συμφωνία του ο ευρωπαίος επόπτης προστασίας δεδομένων.

’ρθρο 34

Δεδομένα φόρτου και χρέωσης

1. Με την επιφύλαξη των διατάξεων των παραγράφων 2, 3 και 4, τα αναφερόμενα στους χρήστες δεδομένα για τον φόρτο τα οποία υποβάλλονται σε επεξεργασία και αποθηκεύονται με σκοπό την καταγραφή των κλήσεων και λοιπών συνδέσεων μέσω του εκάστοτε τηλεπικοινωνιακού δικτύου πρέπει να διαγράφονται ή να καθίστανται ανώνυμα κατά το πέρας της κλήσης ή άλλης σύνδεσης.

2. Για τις ανάγκες της οικονομικής διαχείρισης των τηλεπικοινωνιακών δικτύων και της διαχείρισης του φόρτου, περιλαμβανομένου του ελέγχου της επιτρεπόμενης χρήσης του τηλεπικοινωνιακού συστήματος, επιτρέπεται η επεξεργασία των σχετικών με τον φόρτο δεδομένων που προσδιορίζονται σε κατάλογο που θα συμφωνηθεί με τον ευρωπαίο επόπτη προστασίας δεδομένων.

3. Η επεξεργασία των δεδομένων φόρτου και χρέωσης πρέπει να περιορίζεται σε ό,τι είναι αναγκαίο για τις εργασίες που αναφέρονται στη παράγραφο 2 και επιτρέπεται να γίνεται μόνο από πρόσωπα που ασχολούνται με τη χρέωση, τη διαχείριση του φόρτου ή την οικονομική διαχείριση.

4. Οι χρήστες τηλεπικοινωνιακών δικτύων έχουν το δικαίωμα να λαμβάνουν μη αναλυτικούς λογαριασμούς.

’ρθρο 35

Κατάλογοι χρηστών

1. Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε έντυπους ή ηλεκτρονικούς καταλόγους χρηστών πρέπει να περιορίζονται σε ό,τι είναι αναγκαίο για τους ειδικούς σκοπούς του εκάστοτε καταλόγου.

2. Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε τέτοιους καταλόγους να μη χρησιμοποιούνται για άμεσο μάρκετινγκ, χωρίς να έχει σημασία αν τα δεδομένα αυτά είναι ή όχι προσιτά στο κοινό.

’ρθρο 36

Ένδειξη της ταυτότητας και περιορισμός αναγνώρισης καλούσας και συνδεδεμένης γραμμής

1. Όταν παρέχεται ένδειξη της ταυτότητας καλούσας γραμμής, ο καλών χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να απαλείφει την ένδειξη της ταυτότητας της καλούσας γραμμής.

2. Όταν παρέχεται ένδειξη της ταυτότητας καλούσας γραμμής, ο καλούμενος χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να εμποδίζει την ένδειξη της ταυτότητας της καλούσας γραμμής για τις εισερχόμενες κλήσεις.

3. Όταν παρέχεται ένδειξη της ταυτότητας της συνδεδεμένης γραμμής, ο καλούμενος χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να απαλείψει την ένδειξη της ταυτότητας της συνδεδεμένης γραμμής στον καλούντα χρήστη.

4. Όταν παρέχεται ένδειξη της ταυτότητας καλούσας ή/και συνδεδεμένης γραμμής, τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν τους χρήστες για το γεγονός αυτό, καθώς και για τις δυνατότητες που προβλέπονται στις παραγράφους 1, 2, 3.

’ρθρο 37

Εξαιρέσεις

Τα όργανα και οι οργανισμοί της Κοινότητας διασφαλίζουν ότι υπάρχουν διαφανείς διαδικασίες που να διέπουν τον τρόπο με τον οποίο μπορούν να αντιτάσσονται στην απάλειψη της ένδειξης της ταυτότητας καλούσας γραμμής, ως εξής:

(α) προσωρινώς, κατόπιν αιτήσεως του χρήστη που ζητά τον εντοπισμό των κακόβουλων ή ενοχλητικών κλήσεων*

(β) για κάθε γραμμή χωριστά, προκειμένου για τους φορείς κρατικής οργάνωσης που ασχολούνται με τις κλήσεις άμεσης επέμβασης, ώστε να δίδεται απάντηση σε τέτοιου είδους κλήσεις.

ΚΕΦΑΛΑΙΟ V

ΕΠΟΠΤΕΥΟΥΣΑ ΑΡΧΗ: ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

’ρθρο 38

Εποπτεύουσα αρχή: Ευρωπαίος επόπτης προστασίας δεδομένων

1. Ιδρύεται εποπτεύουσα αρχή, καλούμενη στο εξής «ο ευρωπαίος επόπτης προστασίας δεδομένων».

2. Καθήκον της εποπτεύουσας αρχής είναι o έλεγχος της εφαρμογής των διατάξεων του παρόντος κανονισμού και κάθε άλλης κοινοτικής νομοθετικής πράξης στον τομέα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εκ μέρους οργάνων και οργανισμών της Κοινότητας.

’ρθρο 39

Διορισμός

1. Κατόπιν προτάσεως της Επιτροπής, το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και η Επιτροπή, διορίζουν με κοινή συμφωνία τον ευρωπαίο επόπτη προστασίας δεδομένων για τέσσερα έτη.

2. Ο ευρωπαίος επόπτης προστασίας δεδομένων επιλέγεται μεταξύ προσώπων τα οποία υπηρετούν ή έχουν υπηρετήσει κατά το παρελθόν στην εκάστοτε χώρα καταγωγής στο πλαίσιο των ανεξάρτητων αρχών που εποπτεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή τα οποία διαθέτουν ιδιαίτερα προσόντα για την κατοχή του συγκεκριμένου αξιώματος.

3. Η θητεία του ευρωπαίου επόπτη προστασίας δεδομένων δύναται να ανανεωθεί.

4. Ο ευρωπαίος επόπτης προστασίας δεδομένων εκτελεί τα καθήκοντά του μέχρι την αντικατάστασή του.

5. Πέραν της κανονικής αντικατάστασής του ή της περίπτωσης του θανάτου, η θητεία του ευρωπαίου επόπτη προστασίας δεδομένων λήγει εάν αυτός παραιτηθεί ή συνταξιοδοτηθεί αναγκαστικά κατά τα προβλεπόμενα στην παράγραφο 6.

6. Το Δικαστήριο δύναται να απαλλάξει από τα καθήκοντά του τον ευρωπαίο επόπτη προστασίας δεδομένων κατόπιν αιτήσεως του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής εάν το πρόσωπο που κατέχει το αξίωμα αυτό παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή εάν διαπράξει βαρύ παράπτωμα.

7. Με την επιφύλαξη των διατάξεων του παρόντος κεφαλαίου, οι διατάξεις του πρωτοκόλλου σχετικά με τα προνόμια και τις ασυλίες των Ευρωπαϊκών Κοινοτήτων οι οποίες ισχύουν για τους δικαστές του Δικαστηρίου ισχύουν επίσης για τον ευρωπαίο επόπτη προστασίας δεδομένων.

’ρθρο 40

Όροι απασχόλησης

1. Το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και η Επιτροπή καθορίζουν με κοινή συμφωνία τους όρους απασχόλησης του ευρωπαίου επόπτη προστασίας δεδομένων, αποφασίζοντας ειδικότερα για τον μισθό, τα επιδόματα και οποιαδήποτε άλλη παροχή προς αυτόν αντί αποδοχών.

2. Το Ευρωπαϊκό Κοινοβούλιο φροντίζει για τη διάθεση στον ευρωπαίο επόπτη προστασίας δεδομένων του προσωπικού και της υλικοτεχνικής υποδομής που χρειάζονται για την εκτέλεση των καθηκόντων του.

3. Το προσωπικό και η υλικοτεχνική υποδομή που τίθενται στη διάθεση του ευρωπαίου επόπτη προστασίας δεδομένων περιγράφονται αναλυτικά σε χωριστό κεφάλαιο του προϋπολογισμού του Ευρωπαϊκού Κοινοβουλίου.

4. Τα μέλη του προσωπικού διορίζονται από τον ευρωπαίο επόπτη προστασίας δεδομένων, ο οποίος και προΐσταται αυτών. Τα μέλη του προσωπικού τελούν αποκλειστικά υπό τις εντολές του ευρωπαίου επόπτη για την προστασία δεδομένων.

5. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού υπόκεινται στους κανονισμούς και τις ρυθμίσεις που εφαρμόζονται στους υπαλλήλους και το λοιπό προσωπικό των Ευρωπαϊκών Κοινοτήτων.

6. Για τα θέματα που σχετίζονται με το υπ' αυτόν προσωπικό, ο ευρωπαίος επόπτης προστασίας δεδομένων εξομοιούται από πλευράς καθεστώτος με τα θεσμικά όργανα κατά την έννοια του άρθρου 1 του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων.

’ρθρο 41

Ανεξαρτησία

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων απολαύει πλήρους ανεξαρτησίας κατά την εκτέλεση των καθηκόντων του.

2. Κατά την εκτέλεση των καθηκόντων του, ο ευρωπαίος επόπτης προστασίας δεδομένων δεν αναζητά ούτε δέχεται εντολές από κανέναν.

3. Ο ευρωπαίος επόπτης προστασίας δεδομένων απέχει από οποιαδήποτε πράξη η οποία δεν συμβιβάζεται με τα καθήκοντά του και δεν ασκεί κατά τη διάρκεια της θητείας του καμία άλλη δραστηριότητα, αμειβόμενη ή μη.

4. Μετά τη λήξη της θητείας του, ο ευρωπαίος επόπτης προστασίας δεδομένων συμπεριφέρεται με ακεραιότητα και διακριτικότητα σε σχέση με την αποδοχή θέσεων και ευεργετημάτων.

’ρθρο 42

Επαγγελματικό απόρρητο

Ο ευρωπαίος επόπτης προστασίας δεδομένων και το προσωπικό του οποίου προΐσταται οφείλουν, τόσο κατά τη διάρκεια της θητείας τους, όσο και μετά τη λήξη της, να τηρούν το επαγγελματικό απόρρητο όσον αφορά τα τυχόν εμπιστευτικά ζητήματα που έχουν περιέλθει σε γνώση τους κατά την εκτέλεση των επίσημων καθηκόντων τους.

’ρθρο 43

Καθήκοντα

Ο ευρωπαίος επόπτης προστασίας δεδομένων έχει τα εξής καθήκοντα:

(α) λαμβάνει και διερευνά καταγγελίες*

(β) εποπτεύει όλες τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα εκ μέρους οποιουδήποτε κοινοτικού οργάνου ή οργανισμού, με εξαίρεση το Δικαστήριο και το Πρωτοδικείο όταν αυτά ενεργούν ως δικαιοδοτικά όργανα*

(γ) συμβουλεύει το σύνολο των κοινοτικών οργάνων και οργανισμών επί όλων των θεμάτων που άπτονται της χρήσης δεδομένων προσωπικού χαρακτήρα, ιδίως πριν από τη θέσπιση εσωτερικών κανόνων σχετικά με την προστασία των ατομικών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα*

(δ) παρακολουθεί τις τεχνολογικές εξελίξεις στους τομείς της πληροφορικής και των επικοινωνιών στο μέτρο που αυτές έχουν συνέπειες για την προστασία των δεδομένων προσωπικού χαρακτήρα*

(ε) συνεργάζεται με τις εποπτεύουσες αρχές των κρατών μελών στον βαθμό που τούτο είναι αναγκαίο για την εκτέλεση των καθηκόντων του, παραδείγματος χάρη ανταλλάσσοντας κάθε χρήσιμη πληροφορία ή καλώντας τις αρχές των διαφόρων κρατών μελών να ασκήσουν τις εξουσίες που τους έχουν ανατεθεί*

(στ) συμμετέχει στις εργασίες της «ομάδας προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα», η σύσταση της οποίας προβλέπεται στο άρθρο 29 της οδηγίας για την προστασία των δεδομένων*

(ζ) τηρεί μητρώο με τις πράξεις επεξεργασίας που του κοινοποιούνται*

(η) διενεργεί εκ των προτέρων έλεγχο επί των πράξεων επεξεργασίας που του κοινοποιούνται.

’ρθρο 44

Διαβουλεύσεις

1. Τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν τον ευρωπαίο επόπτη προστασίας δεδομένων οσάκις καταρτίζουν σχέδια μέτρων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα εκ μέρους κάποιου κοινοτικού οργάνου ή οργανισμού, είτε αυτοτελώς, είτε σε συνεργασία με άλλους φορείς.

2. Ο ευρωπαίος επόπτης προστασίας δεδομένων ενημερώνεται από την Επιτροπή σχετικά με το σύνολο των σχεδίων προτάσεων για τη θέσπιση κοινοτικών νομοθετικών διατάξεων οι οποίες συνεπάγονται την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

3. Κάθε όργανο και οργανισμός της Κοινότητας δύναται να συμβουλεύεται τον ευρωπαίο επόπτη προστασίας δεδομένων σχετικά με οποιαδήποτε ενέργεια η οποία σχετίζεται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

’ρθρο 45

Δικαίωμα προσφυγής

1. Κάθε πρόσωπο το οποίο εργάζεται για κάποιο όργανο ή κάποιον οργανισμό της Κοινότητας δύναται να προσφύγει στον ευρωπαίο επόπτη προστασίας δεδομένων σχετικά με οποιοδήποτε θέμα που επηρεάζει την εκτέλεση των καθηκόντων του, χωρίς να είναι αναγκασμένο να ακολουθήσει την επίσημη οδό.

2. Κανείς δεν επιτρέπεται να υποστεί βλάβη εξαιτίας προσφυγής ή καταγγελίας προς τον ευρωπαίο επόπτη προστασίας δεδομένων από την οποία προκύπτει ότι έχουν παραβιασθεί οι διατάξεις που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

’ρθρο 46

Εξουσίες

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων:

(α) διεξάγει έρευνες είτε αυτεπαγγέλτως, είτε με βάση κάποια καταγγελία ή προσφυγή*

(β) λαμβάνει αμελλητί όλα τα πληροφοριακά στοιχεία που σχετίζονται με τις έρευνες τις οποίες διεξάγει*

(γ) έχει δικαίωμα πρόσβασης σε οποιονδήποτε επίσημο χώρο ανά πάσα στιγμή.

Κάθε υπεύθυνος επεξεργασίας βοηθά τον ευρωπαϊκό επόπτη προστασίας δεδομένων να εκτελέσει τα καθήκοντά του.

2. Ο ευρωπαίος επόπτης προστασίας δεδομένων έχει τις ακόλουθες εξουσίες:

(α) να διατάσσει την αποκατάσταση, το κλείδωμα, τη διαγραφή ή την καταστροφή οποιουδήποτε δεδομένου το οποίο έχει υποβληθεί σε επεξεργασία κατά παράβαση των διατάξεων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα*

(β) να επιβάλλει προσωρινή ή οριστική απαγόρευση της επεξεργασίας*

(γ) να απευθύνει προειδοποίηση ή επίπληξη στον εκάστοτε υπεύθυνο της επεξεργασίας*

(δ) να παραπέμπει το θέμα στο θιγόμενο όργανο ή οργανισμό και, εν ανάγκη, στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή*

(ε) να παρεμβαίνει στις υποθέσεις που άγονται ενώπιον του Δικαστηρίου ή του Πρωτοδικείου*

(στ) να παρέχει συμβουλές στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και, εάν του ζητηθεί, να τα συνδράμει ως εμπειρογνώμονας κατά τις δίκες ενώπιον του Πρωτοδικείου.

3. Όταν ο ευρωπαίος επόπτης προστασίας δεδομένων διαπιστώσει κάποια παράβαση των διατάξεων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή οποιαδήποτε άλλη παρατυπία κατά την επεξεργασία, παραπέμπει το ζήτημα στο οικείο όργανο ή τον οργανισμό της Κοινότητας και, ενδεχομένως, διατυπώνει προτάσεις για την αποκατάσταση των παρατυπιών και για τη βελτίωση της προστασίας των προσώπων στα οποία αναφέρονται τα δεδομένα.

4. Το εκάστοτε όργανο ή ο οργανισμός γνωστοποιεί τις απόψεις του στον ευρωπαίο επόπτη προστασίας δεδομένων εντός προθεσμίας που έχει τάξει αυτός ο τελευταίος. Η σχετική απάντηση περιλαμβάνει επίσης περιγραφή των μέτρων που έχουν ληφθεί με βάση τις παρατηρήσεις του ευρωπαίου επόπτη προστασίας δεδομένων.

5. Σε περιπτώσεις υποβολής καταγγελίας ή προσφυγής, ο ευρωπαίος επόπτης προστασίας δεδομένων ενημερώνει τα ενδιαφερόμενα πρόσωπα για τα πορίσματα των ερευνών του.

6. Σε περίπτωση που δεν έχει παραχωρηθεί η ζητηθείσα πρόσβαση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο ευρωπαίος επόπτης προστασίας δεδομένων ενημερώνει απλώς το πρόσωπο αυτό για το κατά πόσον η επεξεργασία των δεδομένων έγινε με τον προσήκοντα τρόπο και, εάν όχι, για το κατά πόσον ελήφθησαν τα αναγκαία μέτρα επανόρθωσης.

Αν ο ευρωπαίος επόπτης προστασίας δεδομένων θεωρεί ότι η εφαρμογή του περιορισμού του δικαιώματος επιβεβαίωσης που προβλέπεται στο άρθρο 13 στοιχείο α) παύει να έχει νόημα σε περίπτωση παροχής των σχετικών πληροφοριών, τότε δεν ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τα πορίσματα των ερευνών του.

7. Οι αποφάσεις του ευρωπαίου επόπτη προστασίας δύναται να προσβληθούν ενώπιον του Δικαστηρίου ή του Πρωτοδικείου των Ε.Κ..

’ρθρο 47

Έκθεση πεπραγμένων

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων υποβάλει κάθε χρόνο στο Ευρωπαϊκό Κοινοβούλιο έκθεση περί των πεπραγμένων του και ταυτόχρονα τη δημοσιοποιεί.

2. Η έκθεση διαβιβάζεται στα υπόλοιπα όργανα και τους οργανισμούς της Ευρωπαϊκής Ένωσης και αποτελεί αντικείμενο συζήτησης εκ μέρους του Ευρωπαϊκού Κοινοβουλίου σε συνδυασμό με τις παρατηρήσεις των υπολοίπων οργάνων και οργανισμών.

ΚΕΦΑΛΑΙΟ VI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

’ρθρο 48

Μεταβατική περίοδος

Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν μέτρα προκειμένου όλες οι πράξεις επεξεργασίας που έχουν ήδη αρχίσει κατά την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού να ευθυγραμμισθούν με τις διατάξεις του εντός έτους από την εν λόγω ημερομηνία.

’ρθρο 49

Έναρξη ισχύος

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες,

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

Για το Συμβούλιο

Ο Πρόεδρος

ΠΑΡΑΡΤΗΜΑ I

1. Η επιλογή του υπεύθυνου προστασίας δεδομένων γίνεται με κριτήριο την αυθεντία του, τις ειδικές του γνώσεις στον τομέα της προστασίας δεδομένων, καθώς και την προσωπική του αξιοπιστία.

2. Ο διορισμός του υπεύθυνου προστασίας δεδομένων δεν πρέπει να συνεπάγεται σύγκρουση συμφερόντων σε σχέση με άλλα επίσημα καθήκοντα, και ειδικότερα σε σχέση με την εφαρμογή των διατάξεων του παρόντος κανονισμού.

3. Η θητεία του υπεύθυνου προστασίας δεδομένων είναι τουλάχιστον διετής και μπορεί να ανανεώνεται. Ο υπεύθυνος προστασίας δεδομένων είναι δυνατό να απαλλαγεί από τα καθήκοντά του μόνο με την έγκριση του ευρωπαίου επόπτη προστασίας δεδομένων, εάν έχει παύσει να πληροί τις προϋποθέσεις άσκησης των καθηκόντων του.

4. Ο υπεύθυνος προστασίας δεδομένων δεν είναι δυνατό να λαμβάνει εντολές σχετικές με την εκτέλεση των καθηκόντων του.

5. Το όργανο, ο οργανισμός (ή το πρόσωπο) που προβαίνει στο διορισμό του υπεύθυνου προστασίας δεδομένων γνωστοποιεί εν συνεχεία το διορισμό στον ευρωπαίο επόπτη προστασίας δεδομένων.

6. Ο υπεύθυνος προστασίας δεδομένων δύναται να διατυπώνει συστάσεις για τη βελτίωση της προστασίας δεδομένων από πρακτική άποψη, καθώς επίσης να συμβουλεύει το κοινοτικό όργανο ή τον κοινοτικό οργανισμό που τον διόρισε και τον υπεύθυνο της εκάστοτε επεξεργασίας σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων περί της προστασίας δεδομένων. Πέραν αυτού, προβαίνει, είτε αυτεπαγγέλτως, είτε κατόπιν αιτήσεως του κοινοτικού οργάνου ή οργανισμού που τον διόρισε, του υπεύθυνου της επεξεργασίας, της οικείας επιτροπής προσωπικού ή του προσώπου στο οποίο αναφέρονται τα δεδομένα, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και υποπίπτουν στην αντίληψή του.

7. Στον υπεύθυνο προστασίας δεδομένων δύνανται να απευθύνονται το κοινοτικό όργανο ή ο κοινοτικός οργανισμός που τον διόρισε, ο υπεύθυνος της εκάστοτε επεξεργασίας, η οικεία επιτροπή προσωπικού, καθώς και κάθε φυσικό πρόσωπο, ακόμη και δια της ανεπίσημης οδού, σχετικά με οποιοδήποτε θέμα που άπτεται της ερμηνείας ή της εφαρμογής του παρόντος κανονισμού.

8. Ουδείς επιτρέπεται να υποστεί βλάβη εξαιτίας κάποιου ζητήματος το οποίο καθίσταται γνωστό στον υπεύθυνο προστασίας δεδομένων και το οποίο υποδηλώνει παράβαση των διατάξεων του παρόντος κανονισμού.

9. Κάθε υπεύθυνος επεξεργασίας υποχρεούται να βοηθά τον υπεύθυνο προστασίας δεδομένων για την εκπλήρωση των καθηκόντων του και να απαντά στα ερωτήματα που του υποβάλλονται, παρέχοντας τις σχετικές πληροφορίες. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων έχει την εξουσία να αποκτά γνώση, ανά πάσα στιγμή, των δεδομένων που αποτελούν αντικείμενο της εκάστοτε πράξεως επεξεργασίας. Επίσης έχει την εξουσία να ερευνά το σύνολο των γραφείων, των εγκαταστάσεων επεξεργασίας δεδομένων και των μέσων μεταφοράς δεδομένων και να συλλέγει τα απαραίτητα πληροφοριακά στοιχεία.

10. Ο υπεύθυνος προστασίας δεδομένων απαλλάσσεται από άλλα καθήκοντα που του έχουν ανατεθεί, στον βαθμό που τούτο είναι αναγκαίο. Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό του οποίου προΐσταται υπόκεινται στη διάταξη του άρθρου 287 της συνθήκης και οφείλουν να μην κοινολογούν πληροφορίες ή έγγραφα τα οποία περιέρχονται στην κατοχή τους στο πλαίσιο της άσκησης των καθηκόντων τους.

ΠΑΡΑΡΤΗΜΑ II

1. Το όνομα και τη διεύθυνση του υπεύθυνου της επεξεργασίας.

2. Τα ονόματα των προσώπων ή/και τις ονομασίες των οργανικών τμημάτων του οικείου οργάνου ή οργανισμού στα οποία έχει ανατεθεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα για έναν συγκεκριμένο σκοπό.

3. Το σκοπό ή τους σκοπούς της επεξεργασίας.

4. Περιγραφή της κατηγορίας ή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των ίδιων των δεδομένων ή των κατηγοριών δεδομένων που τα αφορούν.

5. Τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα.

6. Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ενδέχεται να καταστούν γνωστά τα δεδομένα.

7. Τις προθεσμίες που ισχύουν για το κλείδωμα και τη διαγραφή των διαφόρων κατηγοριών δεδομένων.

8. Τις προτεινόμενες διαβιβάσεις δεδομένων προς τρίτες χώρες.

9. Γενική περιγραφή που να επιτρέπει την εξαγωγή προκαταρκτικού συμπεράσματος σχετικά με την καταλληλότητα των μέτρων που λαμβάνονται κατ' εφαρμογή του άρθρου 23 με σκοπό την κατοχύρωση της ασφάλειας της επεξεργασίας.

ΣΧΟΛΙΑΣΜΟΣ ΤΩΝ ΑΡΘΡΩΝ

Σύμφωνα με το νέο άρθρο 286 της συνθήκης ΕΚ, τα όργανα και οι οργανισμοί της Κοινότητας οφείλουν να εφαρμόζουν τις κοινοτικές νομοθετικές διατάξεις σχετικά με την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και με την ελεύθερη κυκλοφορία των δεδομένων αυτών. Η υποχρέωση αυτή περιορίζει ουσιαστικά την ελευθερία επιλογής της Επιτροπής όσον αφορά το περιεχόμενο και το πεδίο εφαρμογής των ουσιαστικών κανόνων που σύμφωνα με τον παρόντα κανονισμό διέπουν την προστασία των δεδομένων. Με άλλα λόγια, το άρθρο 286 της συνθήκης ΕΚ υποχρεώνει την Επιτροπή να σέβεται τα όρια τα οποία θέτει η οδηγία 95/46/ΕΚ. Αυτός είναι και ο βασικός λόγος για τον οποίον ο παρών κανονισμός ακολουθεί στενά τη διατύπωση και τη λογική της οδηγίας 95/46/ΕΚ. Ο άλλος λόγος είναι η ανάγκη ισότιμης ερμηνείας της οδηγίας και του κανονισμού.

Παρόλα αυτά, η διατύπωση του κανονισμού δεν συμπίπτει απολύτως με εκείνη της οδηγίας. Η οδηγία προβλέπει ένα πλαίσιο κανόνων το οποίο χρήζει περαιτέρω εφαρμογής, είτε στο πλαίσιο των εθνικών νομοθεσιών προκειμένου για τα κράτη μέλη, είτε στο πλαίσιο του παρόντος κανονισμού προκειμένου για τα όργανα και τους οργανισμούς της Κοινότητας. Κατά συνέπεια, οι κανόνες που προβλέπει ο παρών κανονισμός είναι πιο εξειδικευμένοι και λεπτομερείς σε σύγκριση με τους κανόνες της οδηγίας. Αναφορικά με ορισμένα ζητήματα, η οδηγία παρέχει τη δυνατότητα επιλογής μεταξύ περισσοτέρων εναλλακτικών λύσεων. Είναι και αυτός ένας λόγος για τον οποίον η διατύπωση του κανονισμού διαφέρει από τη διατύπωση της οδηγίας. Επιπλέον, ο κανονισμός προβλέπει τη σύσταση της ανεξάρτητης εποπτεύουσας αρχής για την οποία γίνεται λόγος στο άρθρο 286 της συνθήκης ΕΚ, πράγμα το οποίο προϋποθέτει λεπτομερέστερες διατάξεις σε σχέση με τις διατάξεις της οδηγίας, η οποία εμπιστεύεται την εφαρμογή της στην εθνική νομοθεσία των διαφόρων κρατών μελών.

Ο σχολιασμός που ακολουθεί εστιάζεται σε εκείνες από τις διατάξεις του κανονισμού οι οποίες δεν είναι πανομοιότυπες με τις αντίστοιχες διατάξεις της οδηγίας.

Κεφάλαιο Ι: Γενικές διατάξεις

’ρθρο 1: Αντικείμενο του κανονισμού

Το άρθρο 1 αναφέρεται στο αντικείμενο του κανονισμού. Η παρεχόμενη προστασία δεν καλύπτει μονάχα την επεξεργασία δεδομένων που αφορούν τους υπαλλήλους των οργάνων και γενικότερα τα πρόσωπα που εργάζονται για λογαριασμό τους, αλλά και την επεξεργασία δεδομένων τα οποία αφορούν κάθε φυσικό πρόσωπο εκτός των οργάνων, όπως είναι π.χ. οι προμηθευτές τους και οι αποδέκτες κοινοτικών πόρων. Ειδικότερα, βάσει του παρόντος κανονισμού προστατεύονται οι πληροφορίες προσωπικού χαρακτήρα που τα κράτη μέλη διαβιβάζουν στην Επιτροπή για τις ανάγκες της διαχείρισης και του ελέγχου της καταβολής κοινοτικών επιχορηγήσεων.

Πρέπει να υπογραμμισθεί ότι το αντικείμενο του παρόντος κανονισμού διαφέρει από εκείνο της οδηγίας.

Η οδηγία έχει ως νομική βάση του άρθρο 100Α της συνθήκης ΕΚ και αποσκοπεί στον συγκερασμό των επιταγών της υλοποίησης της ενιαίας αγοράς με τις απαιτήσεις της προστασίας των ατόμων. Ο συγκερασμός αυτός εκφράζεται από τις δύο παραγράφους του πρώτου άρθρου: βάσει της πρώτης, τα κράτη μέλη οφείλουν να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών των ατόμων σύμφωνα με τις διατάξεις της οδηγίας, ενώ η δεύτερη εξειδικεύει την υποχρέωση αυτή σε συνάρτηση με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της ενιαίας αγοράς. Με άλλα λόγια, η πρώτη παράγραφος αναφέρεται στο επιστρατευόμενο μέσο, που είναι η εναρμόνιση των εθνικών νομοθεσιών, ενώ η δεύτερη αφορά τον επιδιωκόμενο στόχο, ο οποίος είναι η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

Το άρθρο 1 του παρόντος κανονισμού δεν είναι απαραίτητο να στηριχθεί στην ίδια αυτή συλλογιστική.

Σκοπός του παρόντος κανονισμού είναι η εκπλήρωση της υποχρέωσης των οργάνων και των οργανισμών της Κοινότητας να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες των προσώπων, και ειδικότερα το δικαίωμά τους στον ιδιωτικό βίο, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

Είναι επομένως προφανές ότι ο παρών κανονισμός κατατείνει στο να διασφαλισθεί ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται στα όργανα και τους οργανισμούς της Κοινότητας στο πλαίσιο της εκτέλεσης των καθηκόντων τους υποβάλλονται σε επεξεργασία υπό όρους διασφαλίζοντες τον σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των οικείων προσώπων. Σημειωτέον ότι οι όροι αυτοί εναρμονίζονται με τους όρους που προβλέπει η οδηγία.

Παρόλα αυτά, δεν κρίνεται απαραίτητο να επαναληφθεί στον παρόντα κανονισμό διάταξη παρόμοια με εκείνη του άρθρου 1 παράγραφος 2 της οδηγίας, δεδομένου ότι η κυκλοφορία των πληροφοριών, συμπεριλαμβανομένων των πληροφοριών προσωπικού χαρακτήρα, μεταξύ των κρατών μελών και των κοινοτικών οργάνων και οργανισμών ή ακόμη και μεταξύ των ίδιων των οργάνων και οργανισμών διέπεται από τις συναφείς διατάξεις των συνθηκών (π.χ. του άρθρου 213 της συνθήκης ΕΚ) και του παράγωγου κοινοτικού δικαίου.

Εξάλλου, είναι αυτονόητο ότι ο παρών κανονισμός δεν θίγει τα δικαιώματα που ενδεχομένως κατοχυρώνονται με άλλες διατάξεις της κοινοτικής νομοθεσίας ή των εθνικών νομοθεσιών. Τούτο ισχύει, ειδικότερα, για τους κανόνες που προβλέπει ο κανονισμός υπηρεσιακής κατάστασης των Ευρωπαϊκών Κοινοτήτων.

’ρθρο 2: Ορισμοί

Στο άρθρο αυτό επαναλαμβάνονται οι ορισμοί του άρθρου 2 της οδηγίας.

Ωστόσο, ο ορισμός που αναφέρεται στον «υπεύθυνο της επεξεργασίας» έχει προσαρμοσθεί στα ιδιαίτερα κοινοτικά δεδομένα. Πρόκειται εν προκειμένω για διευκρινίσεις με καθαρά αντικειμενικό χαρακτήρα με τις οποίες υπογραμμίζεται ότι, ανάλογα με την περίπτωση, ο υπεύθυνος μπορεί να είναι ένα θεσμικό όργανο ή ένας οργανισμός ή μία διοικητική μονάδα, παραδείγματος χάρη μία γενική διεύθυνση. Πάντως, τα κριτήρια που επιτρέπουν την εξαγωγή συμπεράσματος για το ποιος πρέπει να θεωρείται ως υπεύθυνος δεδομένης πράξεως επεξεργασίας δεδομένων με βάση τις εκάστοτε περιστάσεις έχουν αντληθεί από την οδηγία. Πρόκειται για την οντότητα που αποφασίζει για τον σκοπό και για τα μέσα της επεξεργασίας.

’ρθρο 3: Πεδίο εφαρμογής

Παράγραφος 1: όργανα και οργανισμοί που υπόκεινται στις διατάξεις του κανονισμού

Ο κανονισμός είναι εφαρμοστέος στην επεξεργασία δεδομένων προσωπικού χαρακτήρα εκ μέρους όλων των οργάνων και οργανισμών της Κοινότητας. Συνεπώς, στο πεδίο εφαρμογής του κανονισμού εμπίπτουν οι πράξεις επεξεργασίας τις οποίες διενεργούν:

- τα όργανα που απαριθμούνται στο άρθρο 7 της συνθήκης EK, όπως τροποποιήθηκε με τη συνθήκη για την Ευρωπαϊκή Ένωση, δηλαδή το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, η Επιτροπή, το Δικαστήριο και το Ελεγκτικό Συνέδριο*

- οι οργανισμοί που έχουν συσταθεί βάσει των συνθηκών για την ίδρυση της Ευρωπαϊκής Κοινότητας, της Ευρωπαϊκής Κοινότητας ’νθρακα και Χάλυβα και της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, δηλαδή η Ευρωπαϊκή Κεντρική Τράπεζα, η Ευρωπαϊκή Τράπεζα Επενδύσεων, ο Διαμεσολαβητής, η Οικονομική και Κοινωνική Επιτροπή και η Επιτροπή των Περιφερειών*

- οι οργανισμοί που έχουν συσταθεί κατ? εφαρμογή διατάξεων του παράγωγου κοινοτικού δικαίου επί τη βάσει π.χ. του άρθρου 308 ΕΚ, όπως το Ευρωπαϊκό κέντρο για την ανάπτυξη της επαγγελματικής κατάρτισης, το Ευρωπαϊκό ίδρυμα για τη βελτίωση των συνθηκών διαβίωσης και εργασίας, ο Ευρωπαϊκός οργανισμός περιβάλλοντος, το Ευρωπαϊκό ίδρυμα επαγγελματικής εκπαίδευσης, το Ευρωπαϊκό κέντρο παρακολούθησης ναρκωτικών και τοξικομανίας, ο Ευρωπαϊκός οργανισμός αξιολόγησης των φαρμακευτικών προϊόντων, η Υπηρεσία εναρμόνισης στην εσωτερική αγορά (εμπορικά σήματα και σχέδια), ο Ευρωπαϊκός οργανισμός για την υγεία και την ασφάλεια στην εργασία, το Κοινοτικό γραφείο φυτικών ποικιλιών και το Μεταφραστικό κέντρο των οργάνων της Ένωσης.

Στον κανονισμό υπάγονται χωρίς διάκριση οι πράξεις επεξεργασίας που διενεργούνται στο πλαίσιο της άσκησης του συνόλου των καθηκόντων που έχουν ανατεθεί στα όργανα και τους οργανισμούς της Κοινότητας. Δεν προβλέπεται καμία διαφοροποίηση με κριτήριο το είδος των σχετικών δραστηριοτήτων. Επομένως, είναι δυνατό να πρόκειται για δραστηριότητες που αναπτύσσονται δυνάμει των συνθηκών ΕΚ, ΕΚΑΧ και ΕΚΑΕ ή ακόμη, ενδεχομένως, και για δραστηριότητες κατ? εφαρμογή του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση.

Αντιθέτως, στο πεδίο εφαρμογής του παρόντος κανονισμού δεν εμπίπτουν οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα εκ μέρους των οργανισμών που δημιουργούνται δυνάμει του τίτλου VI της συνθήκης ΕΕ, όπως είναι η Ευροπόλ.

Παράγραφος 2: πράξεις επεξεργασίας που υπάγονται στον κανονισμό

Η παράγραφος αυτή έχει ως πρότυπο το άρθρο 3 παράγραφος 1 της οδηγίας. Πιο συγκεκριμένα, στον κανονισμό υπάγεται η αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία, καθώς και η μη αυτοματοποιημένη επεξεργασία δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

Κεφάλαιο II: Γενικοί κανόνες περί της νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Τμήμα Ι: Αρχές αναφερόμενες στην ποιότητα των δεδομένων

’ρθρο 4

Το άρθρο αυτό έχει ως πρότυπο τις διατάξεις του άρθρου 6 της οδηγίας.

Ειδικότερα, περιέχει υπό τα στοιχεία β) και γ) τις εξαιρέσεις που προβλέπονται και στην οδηγία αναφορικά με τη δυνατότητα μεταγενέστερης χρησιμοποίησης δεδομένων για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς. Πάντως, οι εξαιρέσεις αυτές πρέπει να συνοδεύονται από τα ενδεδειγμένα μέτρα διασφάλισης.

Η διάταξη προβλέπει ότι τα ενδεδειγμένα μέτρα διασφάλισης πρέπει να παρέχονται από το όργανο ή τον οργανισμό που επιδιώκει τον εκάστοτε ιστορικό, στατιστικό ή επιστημονικό σκοπό.

Η περαιτέρω επεξεργασία για σκοπούς άλλους από εκείνους για τους οποίους έχουν αρχικά συλλεχθεί τα δεδομένα δύναται να επιτρέπεται ρητά από νομικές διατάξεις, όπως το άρθρο 16 του κανονισμού του Συμβουλίου (ΕΚ) αριθ. 322/97 της 17ης Φεβρουαρίου 1997 περί κοινοτικών στατιστικών, που προβλέπει τη χρήση διοικητικών δεδομένων προκειμένου να μειωθεί η επιβάρυνση των απαντώντων.

Τμήμα II: Προϋποθέσεις της σύννομης επεξεργασίας δεδομένων

’ρθρο 5

Το άρθρο αυτό περιέχει, όπως και το άρθρο 7 της οδηγίας, εξαντλητική απαρίθμηση των προϋποθέσεων που διέπουν τη σύννομη επεξεργασία δεδομένων.

Εντούτοις, επέρχονται τρεις τροποποιήσεις:

- η διάταξη της απαρίθμησης είναι διαφορετική*

- η απαρίθμηση είναι πιο περιοριστική*

- εξειδικεύεται η διατύπωση μίας εκ των προϋποθέσεων.

- Η διάταξη της απαρίθμησης είναι διαφορετική: Οι προϋποθέσεις έχουν ιεραρχηθεί ανάλογα με το βαθμό πρακτικής σημασίας που αναμένεται ευλόγως ότι θα παρουσιάζουν για τις δημόσιες αρχές, π.χ. για τα όργανα και τους οργανισμούς της Κοινότητας. Πιο συγκεκριμένα, φαίνεται λογικό να προταχθεί ως πρώτη προϋπόθεση του σύννομου χαρακτήρα η εκτέλεση των καθηκόντων που έχουν ανατεθεί στο εκάστοτε όργανο ή τον οργανισμό. Εξάλλου, η συγκατάθεση των προσώπων στα οποία αναφέρονται τα εκάστοτε δεδομένα ή η ύπαρξη ζωτικού συμφέροντος των προσώπων αυτών, αν και αναγκαίες για την αντιμετώπιση ορισμένων δραστηριοτήτων των οργάνων και οργανισμών (π.χ. διαχείριση των ιατρικών υπηρεσιών τους), δεν αναμένεται να αποτελέσουν τις συχνότερα εφαρμοζόμενες στην πράξη προϋποθέσεις του σύννομου χαρακτήρα δεδομένης επεξεργασίας.

- Η απαρίθμηση είναι πιο περιοριστική: Το στοιχείο (στ) του άρθρου 7 της οδηγίας δεν έχει περιληφθεί στον παρόντα κανονισμό. Το στοιχείο αυτό εξαρτά τον σύννομο χαρακτήρα της επεξεργασίας από την ύπαρξη νόμιμου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου, υπό την προϋπόθεση ότι δεν προέχει το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα. Ωστόσο, η εφαρμογή του δεν χωρεί στο πλαίσιο των δραστηριοτήτων του δημόσιου τομέα. Το ευρύ πεδίο εφαρμογής του θα έπρεπε, απεναντίας, να καλύπτει μόνο τις δραστηριότητες του ιδιωτικού τομέα.

- Αλλάζει η διατύπωση του στοιχείου α): Το στοιχείο αυτό έχει ως πρότυπο το στοιχείο ε) του άρθρου 7 της οδηγίας, προσαρμόζοντάς το ωστόσο στα κοινοτικά δεδομένα. Γίνεται λόγος για τα όργανα και τους οργανισμούς της Κοινότητας στα οποία ανατίθεται η άσκηση δημόσιας εξουσίας με βάση την οποία επιτρέπεται, ενδεχομένως, η επεξεργασία των εκάστοτε δεδομένων. Το στοιχείο (α) περιλαμβάνει επίσης την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την καθημερινή διαχείριση των οργάνων και οργανισμών, π.χ. την επεξεργασία δεδομένων προσωπικού χαρακτήρα των υπαλλήλων.

’ρθρο 6: Περαιτέρω επεξεργασία για σύννομους σκοπούς

Το συγκεκριμένο άρθρο αναφέρεται στην περίπτωση της επεξεργασίας δεδομένων για σκοπό διαφορετικό αλλά συμβατό σε σχέση με αυτόν για τον οποίον τα δεδομένα συνελέγησαν.

Η παράγραφος 1 ορίζει ότι η περαιτέρω επεξεργασία για συμβατούς σκοπούς πρέπει να είναι σύννομη με βάση τους εσωτερικούς κανόνες λειτουργίας του οικείου οργάνου ή οργανισμού.

Οι παράγραφοι 2 και 3 προβλέπουν ρυθμίσεις για δύο ειδικές περιπτώσεις περαιτέρω επεξεργασίας. Σύμφωνα με την παράγραφο 2, επιτρέπεται η περαιτέρω επεξεργασία με σκοπό τη διασφάλιση της τήρησης των χρηματοδοτικών και δημοσιονομικών κανονισμών. Η παράγραφος 3 ορίζει ότι απαγορεύεται η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα που έχουν συλλεγεί ένεκα της ασφάλειας ή του ελέγχου των συστημάτων και των πράξεων επεξεργασίας.

Το άρθρο 6 είναι εφαρμοστέο με την επιφύλαξη του άρθρου 18, το οποίο προβλέπει τις προϋποθέσεις υπό τις οποίες είναι δυνατό να θεωρηθεί επιτρεπτή η περαιτέρω επεξεργασία για μη συμβατούς σκοπούς.

’ρθρα 7, 8 και 9: Διαβίβαση δεδομένων προσωπικού χαρακτήρα

Τα άρθρα 7, 8 και 9 διακρίνουν μεταξύ τριών διαφορετικών περιπτώσεων.

Το άρθρο 7 αναφέρεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ οργάνων ή οργανισμών της Κοινότητας, καθώς και στο εσωτερικό τέτοιων οργάνων ή οργανισμών. Στην περίπτωση αυτή, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς έναν αποδέκτη ο οποίος υπόκειται επίσης στον παρόντα κανονισμό.

Το άρθρο 8 αναφέρεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από κάποιο όργανο ή οργανισμό της Κοινότητας προς έναν αποδέκτη ο οποίος υπόκειται στις διατάξεις της οδηγίας 95/46/ΕΚ.

Τα άρθρα 7 και 8 εφαρμόζονται με την επιφύλαξη των άρθρων 4, 5 και 6. Περιλαμβάνουν πρόσθετες ρυθμίσεις διασφάλισης, ενώ το άρθρο 7 εξειδικεύει την ευθύνη του υπεύθυνου της επεξεργασίας και του αποδέκτη.

’ρθρο 9: Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες που δεν υπόκεινται σε ικανοποιητικό βαθμό προστασίας

Το άρθρο 9 αντιστοιχεί στα άρθρα 25 και 26 της οδηγίας και αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς κάποιον αποδέκτη ο οποίος δεν υπόκειται ούτε στον παρόντα κανονισμό, ούτε στην οδηγία 95/46/ΕΚ. Τέτοιες περιπτώσεις αφορούν στην πλειονότητά τους τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες. Οι διαδικαστικές διατάξεις του άρθρου 9 έχουν καταρτισθεί στο μέτρο του δυνατού με πρότυπο τις αντίστοιχες διατάξεις της οδηγίας.

Τμήμα III Ειδικές κατηγορίες επεξεργασίας

’ρθρο 10: Επεξεργασία ειδικών κατηγοριών δεδομένων

Η διάρθρωση του υπόψη άρθρου είναι ίδια με εκείνη του άρθρου 8 της οδηγίας, που περιλαμβάνει:

- αφενός, στην παράγραφο 1, απαγόρευση της επεξεργασίας «ευαίσθητων» δεδομένων, με την υπόμνηση ότι ως ευαίσθητες θεωρούνται οι ακόλουθες κατηγορίες δεδομένων: δεδομένα που αναφέρονται στη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, την υγεία και τη σεξουαλική ζωή*

- αφετέρου, σειρά εξαιρέσεων οι οποίες υπαγορεύονται από ειδικές ανάγκες και πλαισιώνονται από τις απαραίτητες εγγυήσεις.

Σημειώνεται ότι ο κανονισμός υπηρεσιακής κατάστασης που ισχύει για τους υπαλλήλους και το λοιπό προσωπικό των Ευρωπαϊκών Κοινοτήτων περιέχει ήδη διατάξεις με τις οποίες απαγορεύεται η καταχώρηση ορισμένων ευαίσθητων δεδομένων στους φακέλους των υπαλλήλων. Στο άρθρο 26 του κανονισμού υπηρεσιακής κατάστασης μνημονεύονται οι πολιτικές, φιλοσοφικές και θρησκευτικές πεποιθήσεις του υπαλλήλου. Οι υπόλοιπες κατηγορίες δεδομένων τις οποίες η οδηγία χαρακτηρίζει ευαίσθητες δεν αναφέρονται στον κανονισμό υπηρεσιακής κατάστασης, ο οποίος, για τον λόγο αυτό, θα πρέπει εν ευθέτω χρόνω να ευθυγραμμισθεί με τις διατάξεις του παρόντος κανονισμού.

Η παρέκκλιση που ισχύει για την επεξεργασία δεδομένων σχετικών με ποινικές καταδίκες, βάσει του άρθρου 8 παράγραφος 5 της οδηγίας, μόνον εν μέρει είναι δυνατό να ισχύσει στην περίπτωση των κοινοτικών οργάνων και οργανισμών.

Σύμφωνα με τις διατάξεις 4 έως 6, η κοινοτική εποπτεύουσα αρχή έχει την εξουσία να λαμβάνει αποφάσεις και για πρόσθετες παρεκκλίσεις (παράγραφος 4), να επιτρέπει την επεξεργασία δεδομένων που αναφέρονται σε ποινικές καταδίκες ή μέτρα ασφάλειας (παράγραφος 5) και να καθορίζει τις προϋποθέσεις υπό τις οποίες επιτρέπεται η επεξεργασία κωδικών αριθμών που αντιστοιχούν σε πολίτες ή άλλων στοιχείων που χρησιμεύουν για την αναγνώριση της ταυτότητας, στο πλαίσιο της λειτουργίας κοινοτικού οργάνου ή οργανισμού (παράγραφος 6).

Παράδειγμα επεξεργασίας δεδομένων προσωπικού χαρακτήρα την οποία μπορεί να επιτρέψει ο ευρωπαίος επόπτης προστασίας δεδομένων είναι η επεξεργασία που αποσκοπεί στην αποτροπή της μη επιτρεπόμενης χρήσης δικτύων υπολογιστών, π.χ. επειδή τα εν λόγω δίκτυα χρησιμοποιούνται για τη διανομή ρατσιστικού πολιτικού περιεχομένου ή πορνογραφικού περιεχομένου.

Η διακριτική ευχέρεια που παραχωρείται στον ευρωπαίο επόπτη προστασίας δεδομένων από τις διατάξεις 4 έως 6 δεν μπορεί να χρησιμοποιηθεί κατά τρόπο αντίθετο προς τις εξαιρέσεις που προβλέπονται από την κοινοτική νομοθεσία ή άλλες νομοθετικές πράξεις.

Τέλος, προτείνεται να μη γίνει χρήση στον παρόντα κανονισμό της ευχέρειας που παραχωρείται στα κράτη μέλη με την οδηγία, και συγκεκριμένα με το άρθρο 8 παράγραφος 5 δεύτερο εδάφιο, που προβλέπει ότι το καθεστώς που ισχύει για τις ποινικές καταδίκες επεκτείνεται στις διοικητικές κυρώσεις και στις αποφάσεις των πολιτικών δικαστηρίων.

Τμήμα IV: Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

’ρθρο 11: Ενημέρωση σε περίπτωση συλλογής δεδομένων από το πρόσωπο στο οποίο αναφέρονται

Το άρθρο 11 (1) εμπνέεται σε μεγάλο βαθμό από το άρθρο 10 της οδηγίας.

Ωστόσο, είναι σκόπιμο να διατυπωθούν οι εξής δύο παρατηρήσεις:

- Σε σχέση με το ποιος οφείλει να προβεί στην ενημέρωση: το άρθρο 10 της οδηγίας κάνει λόγο για τον αντιπρόσωπο του υπεύθυνου της επεξεργασίας* πρόκειται για την περίπτωση κατά την οποία αυτός ο τελευταίος δεν εδρεύει στο έδαφος της Κοινότητας, αλλά σε τρίτη χώρα. Πλην όμως, μία τέτοια μνεία στερείται νοήματος στην περίπτωση των κοινοτικών οργάνων και οργανισμών και συνεπώς δεν έχει περιληφθεί στον παρόντα κανονισμό.

- Σε σχέση με τον κατάλογο των πληροφοριών που πρέπει να δίνονται στα ενδιαφερόμενα πρόσωπα: όπως ακριβώς και το άρθρο 10 της οδηγίας, το άρθρο 11 του παρόντος κανονισμού προβλέπει κατάλογο τέτοιων πληροφοριών. Προτείνεται η διεύρυνση του προβλεπόμενου στην οδηγία καταλόγου με τα ελάχιστα πληροφοριακά στοιχεία.

Το άρθρο 10 της οδηγίας δεν προσδιορίζει ρητά τη χρονική στιγμή κατά την οποία πρέπει να ενημερώνεται το άτομο το οποίο αφορούν τα δεδομένα. Γενικά, αυτό πρέπει να γίνεται τη στιγμή κατά την οποία συλλέγονται τα δεδομένα. Το άρθρο 11 (2) επιτρέπει την παροχή των πληροφοριών σε μεταγενέστερο χρόνο, αν αυτό είναι απαραίτητο για τον ειδικό σκοπό που αναφέρεται στη διάταξη αυτή.

’ρθρο 12: Ενημέρωση σε περίπτωση που τα δεδομένα δεν έχουν προέλθει από το πρόσωπο στο οποίο αναφέρονται

Οι παρατηρήσεις που διατυπώθηκαν σε σχέση με το άρθρο 11 ισχύουν ομοίως για το άρθρο 12. Έχουν υιοθετηθεί οι προβλεπόμενες στο άρθρο 11 της οδηγίας εξαιρέσεις στην υποχρέωση ενημέρωσης, με τη διευκρίνιση ότι ο νόμος που μπορεί να αποτελέσει τη νομική βάση για μια τέτοια παρέκκλιση πρέπει να στηρίζεται στην κοινοτική νομοθεσία.

Τμήμα V: Δικαίωμα πρόσβασης στα δεδομένα του προσώπου στο οποίο αυτά αναφέρονται

Για λόγους μεγαλύτερης σαφήνειας, οι διατάξεις του άρθρου 12 της οδηγίας έχουν κατατμηθεί και συμπεριληφθεί στα άρθρα 13 έως 17.

Πέραν αυτού, έχουν επέλθει ορισμένες αποσαφηνίσεις στη διατύπωση.

’ρθρο 13: Δικαίωμα πρόσβασης

Το υπόψη άρθρο αντιστοιχεί στο άρθρο 12 στοιχείο α) της οδηγίας.

Καθιερώνεται μία τροποποίηση σε σχέση με την πρόβλεψη ότι το πρόσωπο που ασκεί το δικαίωμα πρόσβασης ενδέχεται να κληθεί να καταβάλει τα σχετικά έξοδα. Το άρθρο 12 ορίζει ότι τα έξοδα αυτά δεν πρέπει να είναι υπέρμετρα. Αντιθέτως, εδώ προτείνεται να προβλεφθεί η πλήρης ατέλεια.

Ακόμη, προτείνεται να μη γίνεται χρήση της προβλεπόμενης στην οδηγία ευχέρειας περιστολής της υποχρέωσης του υπεύθυνου να ενημερώνει τα πρόσωπα σχετικά με τη λογική που διέπει την εκάστοτε αυτοματοποιημένη επεξεργασία, κατά τρόπον ώστε η υποχρέωση αυτή να καλύπτει μόνο τις αυτοματοποιημένες αποφάσεις.

’ρθρο 14: Αποκατάσταση

Το άρθρο αυτό, όπως ακριβώς και τα άρθρα 15 και 16, αναφέρεται στο ένα από τα τρία μέτρα στα οποία οφείλει να προβεί ο υπεύθυνος της επεξεργασίας σε περίπτωση που αποδειχθεί πως η επεξεργασία δεδομένων αντιβαίνει στις διατάξεις του κανονισμού. Τα υπόψη τρία άρθρα του παρόντος κανονισμού στηρίζονται στο άρθρο 12 στοιχείο β) της οδηγίας, με την προσθήκη ωστόσο ορισμένων διευκρινίσεων.

’ρθρο 15: Κλείδωμα

Το άρθρο αυτό επιφέρει ορισμένες διευκρινίσεις σχετικά, π.χ., με τις περιπτώσεις στις οποίες:

- είναι ανάγκη να εφαρμόζεται το τεχνικό αυτό μέτρο: αμφισβήτηση της καταλληλότητας των υπό επεξεργασία δεδομένων σε σχέση με τον επιδιωκόμενο σκοπό* διατήρηση των δεδομένων για αποδεικτικούς λόγους* σχετική αίτηση του ενδιαφερόμενου προσώπου αντί της διαγραφής*

- τα δεδομένα που έχουν κλειδωθεί μπορούν να χρησιμοποιηθούν εκ νέου.

’ρθρο 16: Διαγραφή

Σύμφωνα με την παράγραφο 1, επιβάλλεται η διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, παραδείγματος χάρη εάν έχουν παραβιασθεί οι διατάξεις που αναφέρονται στην ποιότητα των δεδομένων, στη νομιμότητα της επεξεργασίας και στα δεδομένα με ευαίσθητο χαρακτήρα.

Στην παράγραφο 2 επαναλαμβάνεται η αρχή σύμφωνα με την οποία τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να διατηρούνται μόνο για όσον χρόνο είναι αναγκαίος για την επίτευξη του σκοπού για τον οποίον συνελέγησαν.

’ρθρο 17: Κοινοποίηση σε τρίτους

Το άρθρο αυτό έχει ως πρότυπο το άρθρο 12 στοιχείο γ) της οδηγίας.

Τμήμα VI: Εξαιρέσεις και περιορισμοί

’ρθρο 18: Εξαιρέσεις και περιορισμοί

Το υπόψη άρθρο αντιστοιχεί εν μέρει στο άρθρο 13 της οδηγίας, με το οποίο παραχωρούνται ορισμένες δυνατότητες στα κράτη μέλη, που μπορούν ωστόσο να χρησιμοποιηθούν μόνο εφόσον πληρούνται ορισμένες προϋποθέσεις:

- Όσον αφορά τα δικαιώματα των προσώπων και τις υποχρεώσεις του υπεύθυνου των οποίων η έκταση είναι δυνατό να περιορίζεται: σε αντίθεση με το άρθρο 13 της οδηγίας, ο παρών κανονισμός προβλέπει εξαίρεση σε σχέση με την ενημέρωση των προσώπων (άρθρα 11 και 12) και με το δικαίωμα πρόσβασης των προσώπων (άρθρο 13). Οι προϋποθέσεις υπό τις οποίες μπορεί να γίνεται εξαίρεση όσον αφορά το ποιόν των δεδομένων, στον βαθμό που ο σκοπός είναι σύννομος, προσδιορίζονται ήδη στο άρθρο 6 του παρόντος κανονισμού, που αναφέρεται στη μεταβολή σκοπού. Εξάλλου, το άρθρο 18 του παρόντος κανονισμού δεν είναι σκόπιμο να παραπέμπει στα άρθρα 14 έως 16. Η άσκηση των προβλεπόμενων στα εν λόγω άρθρα δικαιωμάτων προϋποθέτει την παραχώρηση του δικαιώματος πρόσβασης* αν δεν υπάρχει πρόσβαση, η άσκησή τους είναι αδύνατη* αν πάλι έχει παραχωρηθεί πρόσβαση, δεν δικαιολογείται πλέον καμιά παρέκκλιση από τα δικαιώματα αυτά.

- Όσον αφορά τους λόγους για τους οποίους επιτρέπεται να περιορίζονται τα δικαιώματα των προσώπων: οι λόγοι που σχετίζονται με την κρατική ασφάλεια, την άμυνα και τη δημόσια τάξη και απαριθμούνται στα στοιχεία α), β) και γ) του άρθρου 13 παράγραφος 1 δεν έχουν συμπεριληφθεί, διότι η επίκλησή τους δεν χωρεί στην περίπτωση των κοινοτικών οργάνων και οργανισμών.

- Όσον αφορά τις θεσπιστέες εγγυήσεις: το άρθρο 13 της οδηγίας δεν προβλέπει κάποια παρέκκλιση γενικής ισχύος, αλλά την εφαρμογή απλών εξαιρέσεων και περιορισμών σε ορισμένες ειδικές περιπτώσεις. Αυτός είναι και ο λόγος για τον οποίον οι παράγραφοι 3 και 4 του παρόντος άρθρου αποσκοπούν στην πρόβλεψη διαφόρων εγγυήσεων προκειμένου να προστατεύονται τα πρόσωπα στα οποία δεν αναγνωρίζεται το δικαίωμα πρόσβασης σε μια ειδική περίπτωση. Πιο συγκεκριμένα, τα πρόσωπα αυτά έχουν το δικαίωμα να ενημερώνονται για τους βασικούς λόγους της μη παραχώρησης πρόσβασης και για την τυχόν δυνατότητά τους να προσφύγουν στην εποπτεύουσα αρχή, καθώς επίσης το δικαίωμα να ενημερώνονται εκ των υστέρων.

Τμήμα VII: Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα

’ρθρο 19: Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Το υπόψη άρθρο αντιστοιχεί στο άρθρο 14 στοιχείο α) της οδηγίας, το οποίο παραχωρεί μία κάποια διακριτική ευχέρεια στα κράτη μέλη όσον αφορά την έκταση του συγκεκριμένου δικαιώματος. Συνεπώς, είναι αναγκαίες ορισμένες διευκρινίσεις στο πλαίσιο του παρόντος κανονισμού.

Σημειώνεται, εξάλλου, ότι το στοιχείο β) του άρθρου 14, περί του δικαιώματος αντίταξης στον τομέα της προώθησης προϊόντων, δεν αφορά τη δραστηριότητα των οργάνων και οργανισμών της Κοινότητας.

Αντιστοίχως, αναφορικά με το προσδιοριζόμενο στο άρθρο 14 στοιχείο α) πεδίο εφαρμογής του δικαιώματος αντίταξης, πρέπει να επισημανθεί ότι η αναφορά στις επεξεργασίες που πραγματοποιούνται βάσει του άρθρου 7 στοιχείο στ) της οδηγίας (στην οποία παραπέμπει το άρθρο 14 στοιχείο α) της οδηγίας) δεν έχει νόημα στην περίπτωση των κοινοτικών οργάνων και οργανισμών, και τούτο επειδή, όπως έχει ήδη υπογραμμισθεί, το ίδιο το άρθρο 7 στοιχείο στ) δεν είναι δυνατό να εφαρμοσθεί με βάση τις συγκεκριμένες ιδιάζουσες κοινοτικές παραμέτρους.

’ρθρο 20: Δικαίωμα προσφυγής του προσώπου στο οποίο αναφέρονται τα δεδομένα

Το δικαίωμα προσφυγής αποτελεί εύλογο αντιστάθμισμα της εξουσίας του ευρωπαίου επόπτη προστασίας δεδομένων να επιλαμβάνεται καταγγελιών σύμφωνα με το άρθρο 28 παράγραφος 4 της οδηγίας.

’ρθρο 21: Αυτοματοποιημένες ατομικές αποφάσεις

Το άρθρο αυτό αντιστοιχεί στο άρθρο 15 της οδηγίας.

Είναι προφανές ότι μερικά από τα παραδείγματα που απαριθμούνται στο άρθρο 15 παράγραφος 1 της οδηγίας αναφορικά με την αξιολόγηση ορισμένων πτυχών της προσωπικότητας (π.χ. φερεγγυότητα του προσώπου) δεν έχουν νόημα στο πλαίσιο του παρόντος κανονισμού και συνεπώς δεν έχουν συμπεριληφθεί.

Τμήμα VIII: Απόρρητο και ασφάλεια της επεξεργασίας

’ρθρο 22: Απόρρητο της επεξεργασίας

Το άρθρο αυτό αντιστοιχεί στο άρθρο 16 της οδηγίας.

Δεν κρίθηκε σκόπιμη η εκ νέου πρόβλεψη της δυνατότητας παρέκκλισης την οποία προβλέπει η οδηγία για τις εκ του νόμου υποχρεώσεις. Μία τέτοια αποσαφήνιση θα ήταν πλεονάζουσα σε σχέση με το άρθρο 6 περί μεταβολής σκοπού.

’ρθρο 23: Ασφάλεια της επεξεργασίας

Το άρθρο αυτό έχει ως πρότυπο αλλά και εξειδικεύει το άρθρο 17 παράγραφος 1 της οδηγίας.

Η παράγραφος 1 του παρόντος άρθρου στηρίζεται στο δεύτερο εδάφιο του άρθρου 17 παράγραφος 1.

Η παράγραφος 2 αφορά τα μέτρα διασφάλισης που πρέπει να λαμβάνονται όταν η επεξεργασία των δεδομένων γίνεται δια χειρός.

Η παράγραφος 3 εξειδικεύει το πρώτο εδάφιο της παραγράφου 1 του άρθρου 17, του οποίου η διατύπωση είναι πολύ γενικόλογη. Εμπνέεται εν προκειμένω από πλήθος συστάσεων που εξέδωσε πρόσφατα το Συμβούλιο της Ευρώπης στον τομέα της προστασίας των δεδομένων, καθώς και από το κείμενο της Σύμβασης για την εφαρμογή της συμφωνίας του Σενγκέν (άρθρο 118).

Στην πράξη, είναι σαφές ότι τα μέτρα διασφάλισης που θα λαμβάνονται θα εντάσσονται στο πλαίσιο μέτρων ευρύτερου χαρακτήρα που τα όργανα και οι οργανισμοί έχουν ήδη θεσπίσει για την ασφάλεια των συστημάτων πληροφορικής (βλέπε, επί παραδείγματι, την απόφαση της Επιτροπής της 23ης Νοεμβρίου 1995 για την προστασία της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των συστημάτων πληροφορικής).

’ρθρο 24: Επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου αυτής

Το άρθρο αυτό στηρίζεται στις παραγράφους 2 έως 4 του άρθρου 17 της οδηγίας.

Τμήμα ΙΧ: Υπεύθυνος προστασίας δεδομένων

’ρθρο 25: Υπεύθυνος προστασίας δεδομένων

Το άρθρο αυτό προβλέπει ότι κάθε όργανο ή οργανισμός πρέπει να διορίσει έναν υπεύθυνο για την προστασία των δεδομένων, ο οποίος θα χαίρει ανεξαρτησίας και θα μεριμνά για την προστασία των δεδομένων στο πλαίσιο του εκάστοτε οργάνου ή οργανισμού.

Ο διορισμός υπευθύνων προστασίας δεδομένων προβλέπεται στο άρθρο 18 παράγραφος 2 της οδηγίας, αν και είναι προαιρετικός για τα κράτη μέλη. Σύμφωνα με το άρθρο αυτό, ένας τέτοιος διορισμός καθιστά δυνατές απλουστεύσεις ή ακόμη και παρεκκλίσεις από την υποχρέωση κοινοποίησης των πράξεων επεξεργασίας στην εποπτεύουσα αρχή.

Η οδηγία εμπνέεται εν προκειμένω από πάγια πρακτική η οποία εφαρμόζεται σε ορισμένα κράτη μέλη και επιτρέπει τη διασφάλιση της αποτελεσματικής προστασίας των προσώπων.

Θα μπορούσαν να διατυπωθούν μερικές παρατηρήσεις αναφορικά με τον διορισμό του υπεύθυνου, τα καθήκοντα που πρέπει να του ανατίθενται, τα αναγκαία για την άσκηση των καθηκόντων του εχέγγυα και τις σχέσεις του με την εποπτεύουσα αρχή.

- Διορισμός του υπεύθυνου προστασίας δεδομένων: Κάθε όργανο ή οργανισμός θα διορίσει υποχρεωτικά έναν τουλάχιστον υπεύθυνο. Ορισμένα όργανα, όπως π.χ. η Επιτροπή, θα αναγκασθούν κατά πάσα πιθανότητα να διορίσουν περισσότερους υπεύθυνους ανάλογα με την έκταση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργείται στο πλαίσιο της λειτουργίας τους.

- Καθήκοντα του υπεύθυνου: Το κύριο μέλημα του υπεύθυνου καθορίζεται στην παράγραφο 1 του άρθρου. Η συγκεκριμένη διάταξη ακολουθεί στενά το κείμενο της οδηγίας: ο υπεύθυνος οφείλει να μεριμνά για την εσωτερική εφαρμογή των κανόνων προστασίας των δεδομένων και να τηρεί μητρώο για όλες τις πράξεις επεξεργασίας που διενεργούνται από το εκάστοτε όργανο ή τον οργανισμό. Το άρθρο δίδει έμφαση στον ρόλο του υπεύθυνου για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα καθώς και των υπεύθυνων της επεξεργασίας αναφορικά με τα δικαιώματα και τις υποχρεώσεις τους στον τομέα της προστασίας των δεδομένων. Η ενημέρωση αυτή αποτελεί την πρώτη απαραίτητη προϋπόθεση προκειμένου να παρέχεται ικανοποιητικά η προστασία που προβλέπει η οδηγία. Αυτός είναι και ο λόγος για τον οποίον το πρώτο εδάφιο της παραγράφου 1 δίδει έμφαση στο στοιχείο αυτό, μολονότι, από πλευράς ουσίας, δεν προσθέτει κάτι στο πιο γενικόλογο κείμενο της οδηγίας. Ακόμη, στον υπεύθυνο ανατίθενται και διάφορα άλλα, πιο εξειδικευμένα καθήκοντα τα οποία είναι αναγκαία για την εκπλήρωση της αποστολής του: μπορεί να υποβάλλει προτάσεις για τη βελτίωση της προστασίας των δεδομένων στο πλαίσιο του οικείου οργάνου ή οργανισμού, ενώ παράλληλα έχουν τη δυνατότητα να τον συμβουλεύονται η αρχή που τον διόρισε, οι υπεύθυνοι της επεξεργασίας και η επιτροπή προσωπικού. Επιπλέον, ο υπεύθυνος προστασίας δεδομένων οφείλει να συνεργάζεται με τον ευρωπαίο επόπτη προστασίας δεδομένων (δεύτερο εδάφιο). Η υποχρέωση που θεσπίζεται στο πέμπτο εδάφιο έχει ως σκοπό να διευκολύνει τον εντοπισμό πράξεων επεξεργασίας που παρουσιάζουν ειδικούς κινδύνους, μέσω του εκ των προτέρων ελέγχου από τον ευρωπαίο επόπτη προστασίας δεδομένων.

- Εχέγγυα απαραίτητα για την άσκηση των καθηκόντων του υπεύθυνου: Τα προβλεπόμενα εχέγγυα αποσκοπούν στο σύνολό τους στο να αποσαφηνίσουν στο μέτρο του δυνατού τη βασική προϋπόθεση η οποία σύμφωνα με την οδηγία πρέπει να διέπει το καθεστώς δράσης του υπεύθυνου, δηλαδή την ανεξαρτησία του.

’ρθρα 26 και 27: Κοινοποίηση στον υπεύθυνο προστασίας δεδομένων

Για λόγους διαφάνειας, το άρθρο 27 προβλέπει, κατά το πρότυπο της διατύπωσης της οδηγίας, ότι ο υπεύθυνος οφείλει να τηρεί μητρώο των πράξεων επεξεργασίας που διενεργούνται στο πλαίσιο της λειτουργίας του οικείου οργάνου ή οργανισμού.

Για να διευκολύνουν το έργο του αυτό, οι υπεύθυνοι της επεξεργασίας μπορούν να κοινοποιούν στον υπεύθυνο προστασίας δεδομένων τις πράξεις επεξεργασίας πριν από τη διενέργειά τους.

Η απαρίθμηση των πληροφοριών που πρέπει να παρέχονται στον υπεύθυνο προέρχεται από το άρθρο 19 παράγραφος 1 της οδηγίας, όπου παραπέμπει το άρθρο 21 παράγραφος 2 της οδηγίας.

Η απαρίθμηση που υπάρχει στην οδηγία περιλαμβάνει τα πληροφοριακά στοιχεία που πρέπει οπωσδήποτε να παρέχονται. Για λόγους μεγαλύτερης διαφάνειας όσον αφορά τις πράξεις επεξεργασίας που διενεργούν τα όργανα και οι οργανισμοί, προτείνεται να προστεθούν στην απαρίθμηση αυτή και πληροφορίες σχετικά με τη νομική βάση της εκάστοτε επεξεργασίας (π.χ. για τις διατάξεις της κοινοτικής νομοθεσίας που την επιβάλλουν), καθώς και σχετικά με τον χρόνο για τον οποίον πρόκειται να διατηρηθούν τα δεδομένα. Πρέπει να σημειωθεί για άλλη μια φορά ότι η προβλεπόμενη στο άρθρο 19 (1)(α) αντιπροσώπευση του υπεύθυνου της επεξεργασίας δεν είναι δυνατή στην περίπτωση των κοινοτικών οργάνων και οργανισμών.

Τμήμα Χ: Εκ των προτέρων έλεγχος εκ μέρους του ευρωπαίου επόπτη προστασίας δεδομένων

’ρθρο 28: Εκ των προτέρων έλεγχος εκ μέρους του ευρωπαίου επόπτη προστασίας δεδομένων

Το άρθρο αυτό αντιστοιχεί στο άρθρο 20 της οδηγίας.

Η οδηγία προβλέπει τον επιλεκτικό έλεγχο της νομιμότητας των πράξεων επεξεργασίας, με κριτήριο τους κινδύνους που ενδεχομένως παρουσιάζουν για τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα:

- η κοινοποίηση των πράξεων επεξεργασίας στην εποπτεύουσα αρχή μπορεί κατά κανόνα να απλουστεύεται ή ακόμη και να μην είναι υποχρεωτική υπό ορισμένες προϋποθέσεις, παραδείγματος χάρη εάν έχει ορισθεί ένας υπεύθυνος προστασίας δεδομένων*

- η κοινοποίηση εξακολουθεί να είναι υποχρεωτική και πρέπει μάλιστα να προσλαμβάνει τον αυστηρότερο χαρακτήρα του εκ των προτέρων ελέγχου όταν πρόκειται για πράξεις επεξεργασίας που παρουσιάζουν ιδιαίτερους κινδύνους.

Ο παρών κανονισμός λαμβάνει καταλλήλως υπόψη τον διορισμό υπεύθυνου προστασίας δεδομένων στο πλαίσιο των κοινοτικών οργάνων και οργανισμών με το να προβλέπει ότι η υποχρέωση ενημέρωσης της κοινοτικής εποπτεύουσας αρχής ισχύει μόνο για τις πράξεις επεξεργασίας που εγκυμονούν ιδιαίτερους κινδύνους.

Γίνεται χρήση της ευχέρειας που προβλέπεται στο άρθρο 20 παράγραφος 2 της οδηγίας και ορίζεται ότι ο υπεύθυνος προστασίας δεδομένων εκάστου οργάνου ή οργανισμού οφείλει να κοινοποιεί στην εποπτεύουσα αρχή τις πράξεις επεξεργασίας που ενέχουν κάποιον κίνδυνο.

Το άρθρο 20 παράγραφος 1 της οδηγίας προβλέπει ότι τα κράτη μέλη είναι αυτά που αποφασίζουν ποιες πράξεις επεξεργασίας είναι πιθανό να παρουσιάζουν ιδιαίτερους κινδύνους. Στην 53η αιτιολογική σκέψη αναφέρεται ότι οι κίνδυνοι αυτοί μπορούν να προσδιορίζονται από την εθνική νομοθεσία, εφόσον το επιθυμεί το οικείο κράτος μέλος, ενώ συγχρόνως παραχωρείται στις εποπτεύουσες αρχές η ευχέρεια να διαμορφώνουν ιδίαν άποψη για το περιεχόμενο της έννοιας της πράξης επεξεργασίας που παρουσιάζει ιδιαίτερους κινδύνους. Το παρόν άρθρο προκρίνει τη δεύτερη από τις παραπάνω εναλλακτικές δυνατότητες και αναθέτει στην εποπτεύουσα αρχή να καθορίζει αυτή τις πράξεις επεξεργασίας που παρουσιάζουν ιδιαίτερους κινδύνους. Ωστόσο, στο ίδιο το άρθρο μνημονεύονται αρκετά παραδείγματα, τα οποία στηρίζονται στην 53η αιτιολογική σκέψη.

Με βάση την 54η αιτιολογική σκέψη, η παράγραφος 3 του παρόντος άρθρου προβλέπει ότι όταν η εποπτεύουσα αρχή λαμβάνει την κοινοποίηση μιας πράξης επεξεργασίας που παρουσιάζει ιδιαίτερους κινδύνους, οφείλει να γνωμοδοτεί σχετικά με τη νομιμότητα της σχεδιαζόμενης πράξης επεξεργασίας. Στη συνέχεια, εναπόκειται στο όργανο ή τον οργανισμό που προέβη στην κοινοποίηση να εξαγάγει τα αναγκαία πρακτικά συμπεράσματα από τη γνώμη της εποπτεύουσας αρχής.

Κεφάλαιο ΙΙΙ: Ένδικα μέσα και κυρώσεις

’ρθρα 29 και 30

Τα άρθρα αυτά έχουν ως πρότυπο τα άρθρα 22, 23 και 24 της οδηγίας. Στο πλαίσιο μίας Κοινότητας η οποία διέπεται από το κράτος δικαίου, πρέπει να παρέχεται η δυνατότητα άσκησης των δικαιωμάτων που αναγνωρίζονται στα άτομα ακόμη και όταν τα δικαιώματα αυτά παραβιάζονται από ένα όργανο ή έναν οργανισμό της Κοινότητας. Με βάση τις διατάξεις της συνθήκης περί εξωσυμβατικής ευθύνης, η Κοινότητα είναι υποχρεωμένη να επανορθώνει τις βλάβες που προκαλούν τα όργανα ή το προσωπικό της κατά την εκτέλεση των καθηκόντων τους, ενώ το Δικαστήριο είναι αρμόδιο να εκδικάζει τις διαφορές με αντικείμενο την αποζημίωση για τέτοιου είδους βλάβες.

Κεφάλαιο IV: Προστασία των δεδομένων προσωπικού χαρακτήρα και του ιδιωτικού βίου στο πλαίσιο δικτύων εσωτερικών τηλεπικοινωνιών

Το τμήμα αυτό περιλαμβάνει τις διατάξεις της οδηγίας 97/66/ΕΚ σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την προστασία του ιδιωτικού βίου στον τομέα των τηλεπικοινωνιών στον βαθμό που είναι εφαρμόσιμες στην περίπτωση των κοινοτικών οργάνων και οργανισμών. Οι περισσότερες από τις διατάξεις αυτές χρειάστηκε να προσαρμοσθούν στα ιδιαίτερα δεδομένα των κοινοτικών οργάνων και οργανισμών.

’ρθρο 31: Πεδίο εφαρμογής

Το κεφάλαιο αυτό καλύπτει αποκλειστικά τα τηλεπικοινωνιακά δίκτυα που λειτουργούν υπό τον έλεγχο των κοινοτικών οργάνων και οργανισμών. Ως εκ τούτου, τα άρθρα 31 έως 37 εφαρμόζονται μόνο εφόσον τα όργανα και οι οργανισμοί της Κοινότητας είναι πράγματι σε θέση να αποφασίζουν για τους όρους λειτουργίας των οικείων τηλεπικοινωνιακών δικτύων.

’ρθρο 32: Ασφάλεια

Η διάταξη αυτή αντιστοιχεί στο άρθρο 4 της οδηγίας 97/66/ΕΚ.

Εάν ένα τηλεπικοινωνιακό δίκτυο ή γραμμή συνδέεται με δίκτυο το οποίο είναι προσιτό στο κοινό, το οικείο όργανο ή ο οργανισμός της Κοινότητας ενδέχεται να πρέπει να συνεργασθεί με τον φορέα παροχής του δικτύου ή της υπηρεσίας προκειμένου να κατοχυρωθεί ικανοποιητικός βαθμός ασφάλειας. Το ίδιο ισχύει εάν ένα τέτοιο δίκτυο ή γραμμή μισθώνεται από τον φορέα παροχής δικτύου που είναι προσιτό στο κοινό ή λειτουργεί σε συνεργασία με αυτόν.

’ρθρο 33: Απόρρητο

Η διάταξη αυτή αντιστοιχεί στο άρθρο 5 της οδηγίας 97/66/ΕΚ.

Ένεκα των σκοπών που μνημονεύονται στο άρθρο 34, ενδέχεται να απαιτηθεί σε συγκεκριμένες περιπτώσεις ο έλεγχος της χρήσης δεδομένου τηλεπικοινωνιακού δικτύου. Τούτο ισχύει, επί παραδείγματι, στην περίπτωση της αποθήκευσης ορισμένων δεδομένων ενόψει της χρέωσης τηλεφωνικών κλήσεων ή της επιτήρησης της χρήσης συστημάτων διαδικτύου που τίθενται στη διάθεση των υπαλλήλων των κοινοτικών οργάνων και οργανισμών. Σύμφωνα με τις γενικές αρχές που διέπουν τον παρόντα κανονισμό, η έκταση αυτής της παρακολούθησης ή επιτήρησης θα πρέπει να περιορίζεται στο ελάχιστο αναγκαίο.

’ρθρο 34: Δεδομένα φόρτου και χρέωσης

Η διάταξη αυτή αντιστοιχεί στο άρθρο 6 της οδηγίας 97/66/ΕΚ.

Στο άρθρο 34 καθορίζονται τα όρια που τίθενται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για λόγους χρέωσης, δημοσιονομικούς ή διαχείρισης του φόρτου.

’ρθρο 35: Κατάλογοι χρηστών

Η διάταξη αυτή αντιστοιχεί στο άρθρο 11 της οδηγίας 97/66/ΕΚ.

Προκειμένου να μη διαταράσσεται η ομαλή λειτουργία των κοινοτικών οργάνων και οργανισμών, δεν έχει αναγνωρισθεί στους χρήστες, οι οποίοι συνήθως είναι υπάλληλοι, το δικαίωμα να απαιτούν τη μη αναφορά του ονόματός τους σε καταλόγους. Παρόλα αυτά, τα δεδομένα που αναφέρονται στο πρόσωπό τους και περιέχονται σε τέτοιους καταλόγους πρέπει να περιορίζονται σε ό,τι είναι αναγκαίο για τους ειδικούς σκοπούς του καταλόγου. Αυτό σημαίνει ότι, όσον αφορά συγκεκριμένα στοιχεία, ο υπάλληλος θα μπορεί να επιλέξει αν επιθυμεί ή όχι να συμπεριληφθούν στον κατάλογο αυτά τα στοιχεία. Σχετικό παράδειγμα είναι το δικαίωμα του υπαλλήλου να ζητήσει να μην περιληφθούν στον κατάλογο όλα τα ονόματα που έλαβε κατά τη γέννηση, αλλά μόνο το όνομα με το οποίο είναι γνωστός στους συναδέλφους του, με την προϋπόθεση βεβαίως ότι το όνομα αυτό δεν είναι ψευδώνυμο.

’ρθρο 36: Ένδειξη της ταυτότητας καλούσας και συνδεδεμένης γραμμής

Η διάταξη αυτή αντιστοιχεί στο άρθρο 8 της οδηγίας 97/66/ΕΚ. 3. Ωστόσο, το άρθρο 8(3) της οδηγίας δεν επαναλαμβάνεται εδώ, διότι θεωρείται ότι η απόρριψη εισερχόμενων κλήσεων από συναδέλφους δεν είναι κατάλληλο μέσο στο πλαίσιο των οργάνων και οργανισμών της Κοινότητας.

’ρθρο 37: Εξαιρέσεις

Η διάταξη αυτή αντιστοιχεί στο άρθρο 9 της οδηγίας 97/66/ΕΚ.

Κεφάλαιο V: Εποπτεύουσα αρχή: Ευρωπαίος επόπτης προστασίας δεδομένων

’ρθρα 38 έως 47

Η εποπτεύουσα αρχή έχει ως πρότυπο, τηρουμένων των αναλογιών, το άρθρο 28 της οδηγίας, το οποίο παρέχει σαφείς οδηγίες σε σχέση με την ανεξαρτησία των εποπτευουσών αρχών που συγκροτούνται σε εθνικό επίπεδο και με τις εξουσίες που αυτές επιτρέπεται να ασκούν. Στον βαθμό που η ανωτέρω διάταξη δημιουργεί υποχρεώσεις για τα κράτη μέλη, το άρθρο 286 της συνθήκης ορίζει ότι οι ίδιες υποχρεώσεις θα πρέπει να θεσπισθούν κατ? αναλογία και για τα όργανα και τους οργανισμούς της Κοινότητας.

’ρθρο 39: Διορισμός του ευρωπαίου επόπτη προστασίας δεδομένων

Σε ό,τι αφορά τη διαδικασία διορισμού της εποπτεύουσας αρχής, η προκριθείσα λύση βασίζεται στις διατάξεις περί του ευρωπαίου διαμεσολαβητή (άρθρο 195 της συνθήκης). Σύμφωνα με τη γνώμη της συμβουλευτικής ομάδας για την προστασία των δεδομένων, η σύσταση της οποίας προβλέπεται στο άρθρο 29 της οδηγίας, η εποπτεύουσα αρχή ενδείκνυται να διορίζεται από το Ευρωπαϊκό Κοινοβούλιο. Ωστόσο, σε αντίθεση με το διορισμό του ευρωπαίου διαμεσολαβητή, το Ευρωπαϊκό Κοινοβούλιο είναι εν προκειμένω υποχρεωμένο να διαβουλευθεί με την Επιτροπή και το Συμβούλιο.

’ρθρο 46: Εξουσίες του ευρωπαίου επόπτη προστασίας δεδομένων

Η εξουσία παρέμβασης στις διαδικασίες ενώπιον του Δικαστηρίου και του Πρωτοδικείου, όπως ορίζεται στο άρθρο 46(2) απηχεί το άρθρο 28(3), τρίτο εδάφιο της οδηγίας.

Το άρθρο 46(7) αντιστοιχεί στην τελευταία παράγραφο του άρθρου 28(1) της οδηγίας. Θα χρειαστεί τροποποίηση του Κανονισμού Διαδικασίας του Δικαστηρίου και του Πρωτοδικείου, ώστε να τους δοθεί η δυνατότητα να επιλαμβάνονται προσφυγών που ασκούνται κατά του ΕΕΠΔ.

Κεφάλαιο VI: Τελικές διατάξεις

’ρθρο 48

Η διάταξη αυτή αντιστοιχεί στο άρθρο 32 παράγραφος 2 της οδηγίας και προβλέπει μεταβατική περίοδο για τη συμμόρφωση με τον κανονισμό προκειμένου για τις πράξεις επεξεργασίας που έχουν ήδη ξεκινήσει. Αντί της τριετίας, προτείνεται η περίοδος αυτή να είναι δωδεκάμηνη.

ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ

1. Τίτλος της ενέργειας

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ευρωπαϊκής Κοινότητας και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

2. Σχετικό κονδύλιο του προϋπολογισμού

Νέο κεφάλαιο 39 (προς δημιουργία) του τμήματος 1 (ΕΚ), τίτλος 3 του γενικού προϋπολογισμού.

3. Νομική βάση

’ρθρο 286 της συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας (το οποίο προστέθηκε από τη συνθήκη του ’μστερνταμ).

’ρθρο 286

1. Από την 1η Ιανουαρίου 1999, οι κοινοτικές πράξεις για την προστασία του ατόμου όσον αφορά την επεξεργασία και την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εφαρμόζονται στα όργανα και οργανισμούς που έχουν ιδρυθεί από την παρούσα συνθήκη ή βάσει αυτής.

2. Πριν από την ημερομηνία που αναφέρεται στην παράγραφο 1, το Συμβούλιο, αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251, συνιστά ένα ανεξάρτητο εποπτικό όργανο υπεύθυνο για την παρακολούθηση της εφαρμογής αυτών των κοινοτικών πράξεων στα όργανα και οργανισμούς της Κοινότητας και θεσπίζει όποιες άλλες κατάλληλες σχετικές διατάξεις.

4. Περιγραφή της ενέργειας

4.1 Γενικός στόχος

1. Η σύσταση ενός ανεξάρτητου εποπτικού οργάνου, όπως απαιτείται από το νέο άρθρο 286 παράγραφος 2 της συνθήκης ΕΚ (ο ευρωπαίος επόπτης προστασίας δεδομένων, ΕΕΠΔ, βλέπε Παράρτημα 1), το οποίο θα είναι υπεύθυνο για την παρακολούθηση της εφαρμογής των κανόνων και των αρχών προστασίας των δεδομένων στα όργανα και τους οργανισμούς της Κοινότητας.

2. Ο διορισμός ενός ή περισσότερων υπεύθυνων προστασίας δεδομένων (ΥΠΔ) σε κάθε όργανο και οργανισμό της Κοινότητας (βλέπε Παραρτήματα 2α και 2β).

4.2 Καλυπτόμενη περίοδος και ρυθμίσεις για την ανανέωση της ενέργειας

Οι δομές αυτές θα είναι μόνιμες.

5. Κατάταξη των δαπανών/εσόδων

5.1 Μη υποχρεωτικές δαπάνες

5.2 Μη διαχωριζόμενες πιστώσεις

5.3 Είδος των εσόδων

Δεν εφαρμόζεται

6. Είδος των δαπανών/εσόδων

Διοικητικές δαπάνες.

7. Δημοσιονομικές επιπτώσεις

Βλέπε σημείο 10.

8. Μέτρα καταπολέμησης της απάτης

Διασφαλίζεται αυστηρή συμμόρφωση με τους κανόνες και τις διαδικασίες που διέπουν τις συμβάσεις προμήθειας αγαθών και υπηρεσιών προς τις Κοινότητες, σύμφωνα με τον δημοσιονομικό κανονισμό που εφαρμόζεται για τον γενικό προϋπολογισμό των Ευρωπαϊκών Κοινοτήτων, τον κανονισμό σχετικά με τις ρυθμίσεις εφαρμογής του δημοσιονομικού κανονισμού και τους εσωτερικούς κανόνες της Επιτροπής.

Όλες οι συμφωνίες και οι συμβάσεις οι οποίες συνάπτονται μεταξύ του ευρωπαίου επόπτη προστασίας δεδομένων ή άλλων κοινοτικών οργάνων ή οργανισμών και των αναδόχων συμβάσεων περιλαμβάνουν ενδεικνυόμενες προστατευτικές διατάξεις.

Σε όλες τις συμβάσεις και τις συμφωνίες περιλαμβάνονται συστηματικά μέτρα ελέγχου, όπως η υποβολή περιοδικών εκθέσεων και η αξιολόγηση προκαθορισμένων προϊόντων σε προκαθορισμένες συμβατικές ημερομηνίες. Διενεργείται επαλήθευση των πραγματικών επιδόσεων προτού εγκριθούν οποιεσδήποτε πληρωμές.

9. Στοιχεία ανάλυσης κόστους-αποτελεσματικότητας

9.1 Ειδικοί και ποσοτικοί στόχοι* πληθυσμός στόχος

- Ειδικοί στόχοι:

Να διασφαλιστεί η καθιέρωση, η εφαρμογή και η παρακολούθηση κανόνων προστασίας των δεδομένων στα όργανα και τους οργανισμούς της Κοινότητας (υποχρέωση δυνάμει του νέου άρθρου 286 της συνθήκης ΕΚ).

- Πληθυσμός στόχος:

Όλα τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα επεξεργάζονται όργανα και οργανισμοί της Κοινότητας. Οι κανόνες που προβλέπονται από τον κανονισμό θα ωφελούν την Κοινότητα εν γένει, τους υπαλλήλους των κοινοτικών οργάνων και οργανισμών, τους πολίτες και τους αναδόχους συμβάσεων με την Κοινότητα, τους οποίους ενδέχεται να επηρεάζει το επίπεδο προστασίας των δεδομένων στα όργανα και τους οργανισμούς της Κοινότητας.

9.2 Αιτιολόγηση της ενέργειας

Καθώς το όργανο αυτό συγκροτείται βάσει του νέου άρθρου 286 της συνθήκης ΕΚ, ο ΕΕΠΔ αποτελεί κοινοτικό φορέα και, ως εκ τούτου, χρηματοδοτείται από τον προϋπολογισμό της Κοινότητας.

- Επιλογή των τρόπων παρέμβασης

* πλεονεκτήματα σε σχέση με εναλλακτικά μέτρα:

ΕΕΠΔ

Το νέο άρθρο 286 της συνθήκης ΕΚ επιτάσσει τη συγκρότηση του ΕΕΠΔ, ο οποίος δεν θα αποτελεί τμήμα της Επιτροπής, αλλά συνιστά νέο ανεξάρτητο όργανο της Κοινότητας, που θα εκτελεί τα καθήκοντά του σε διοργανικό επίπεδο, πράγμα που σημαίνει ότι θα ελέγχει το σύνολο των άλλων κοινοτικών οργάνων και οργανισμών. Η Επιτροπή υπολόγισε τόσο τον αριθμό των υπαλλήλων που πρέπει να απασχοληθούν (βλέπε 10.1) όσο και τις δημοσιονομικές επιπτώσεις (βλέπε 10.2). Το μοναδικό σημείο αναφοράς της Επιτροπής κατά τον καθορισμό των αριθμητικών στοιχείων υπήρξαν οι εθνικές αρχές προστασίας των δεδομένων. Εντούτοις, οι εν λόγω αρχές δεν είναι απόλυτα συγκρίσιμες με τον ΕΕΠΔ. Σε αντίθεση προς τον τελευταίο, οι εθνικές αρχές προστασίας των δεδομένων εποπτεύουν γενικά τόσο τον δημόσιο όσο και τον ιδιωτικό τομέα. Πέραν τούτου, υπάρχουν πολύ περισσότερες εθνικές δημόσιες αρχές απ' ότι όργανα και οργανισμοί της Κοινότητας. Από τη σύγκριση αυτή προκύπτει σαφώς ότι υπάρχουν βάσιμα επιχειρήματα για να απασχολούνται λιγότεροι υπάλληλοι στην υπηρεσία του ΕΕΠΔ απ' ότι στις εθνικές αρχές. Απεναντίας, ο φόρτος εργασίας που συνεπάγονται ορισμένα από τα καθήκοντα του ΕΕΠΔ δεν εξαρτάται από το μέγεθος των εκάστοτε οργάνων ή οργανισμών ή από τον αριθμό των πράξεων επεξεργασίας που διενεργούν.

ΥΠΔ

Η πρόταση κανονισμού προβλέπει ότι το κάθε όργανο και ο κάθε οργανισμός της Κοινότητας διορίζει έναν τουλάχιστον ΥΠΔ.

Σε ό,τι αφορά τα άλλα, πλην της Επιτροπής, όργανα και οργανισμούς, ζητήθηκε η γνώμη τους και οι εκτιμήσεις τους περιελήφθησαν στο δημοσιονομικό δελτίο. Η Γενική Γραμματεία του ΕΚ διευκρίνισε ότι εναπόκειται σε κάθε οργανισμό και όργανο να προβεί σε εκτίμηση των αναγκών του και ότι δεν πρόκειται να διατυπώσει γνώμη για τις εκτιμήσεις.

Όσον αφορά τις υπηρεσίες της Επιτροπής, αναμένεται να διοριστεί ένας ΥΠΔ μερικής απασχόλησης από τους υφιστάμενους πόρους για κάθε υπηρεσία της Επιτροπής, αντί να διοριστούν ένας ή περισσότεροι ΥΠΔ πλήρους απασχόλησης για το σύνολο της Επιτροπής. Τα αριθμητικά στοιχεία του παρόντος δημοσιονομικού δελτίου βασίζονται στην υπόθεση αυτή.

Υπάρχουν διάφοροι λόγοι για να οριστεί ένας ΥΠΔ ανά υπηρεσία της Επιτροπής. Οι υπηρεσίες της Επιτροπής αποτελούν χωριστές οργανωτικές οντότητες. Η φύση των πράξεων επεξεργασίας δεδομένων μπορεί να ποικίλλει σημαντικά από τη μία υπηρεσία της Επιτροπής στην άλλη. Ο ΥΠΔ χρειάζεται να έχει εμπεριστατωμένη γνώση των συμβάντων στον τομέα της προστασίας δεδομένων με τον οποίον ασχολείται η υπηρεσία που εμπίπτει στην αρμοδιότητά του. Μία από τις υπηρεσίες της Επιτροπής (ΓΔ XV) διεξήγαγε ένα επιτυχές πειραματικό σχέδιο στον τομέα αυτό. Μετά την έναρξη ισχύος του κανονισμού, η πείρα θα δείξει ίσως ότι ορισμένες υπηρεσίες χρειάζονται να αφιερώσουν περισσότερο χρόνο στην προστασία των δεδομένων από κάποιες άλλες.

Οι υπηρεσίες θα διορίσουν ως ΥΠΔ μέλη του υφιστάμενου προσωπικού τους, τα οποία θα πρέπει να αφιερώνουν ελάχιστο μέρος μόνο του χρόνου εργασίας τους (εκτιμάται στο 5% κατά μέσο όρο) στα καθήκοντά τους ως ΥΠΔ. Επιπλέον, προβλέπεται να ανατεθεί στον ΥΠΔ της Γενικής Γραμματείας η ευθύνη του συντονισμού της εργασίας όλων των ΥΠΔ της Επιτροπής. Λαμβανομένων υπόψη αυτών των πρόσθετων συντονιστικών καθηκόντων, ο "κεντρικός" ΥΠΔ θα πρέπει να αφιερώνει παραπάνω από το 5% του χρόνου εργασίας του στα ανατεθειμένα καθήκοντα, ενδεχομένως έως το 25%. Επιπροσθέτως, μερικές άλλες υπηρεσίες κατέστησαν σαφές ότι θα χρειαστούν ελαφρώς πάνω από το 5% (εκτιμήσαμε τις ανάγκες αυτών των υπηρεσιών σε 10% αντί του 5%).

Εξωτερικοί εμπειρογνώμονες σε θέματα προστασίας δεδομένων

Η Επιτροπή συνιστά επίσης την παροχή, κατά την αρχική φάση τουλάχιστον, υποστήριξης και συμβουλών στους ΥΠΔ από εξωτερικούς εμπειρογνώμονες σε θέματα προστασίας δεδομένων. Αντίθετα από το υπόδειγμα που χρησιμοποίησε η ΓΔ XV, όπου ο ΥΠΔ επικουρείται από τον "δικό" του εξωτερικό εμπειρογνώμονα, το παρόν δημοσιονομικό δελτίο βασίζεται στην πρόσληψη τριών εξωτερικών συμβούλων πλήρους απασχόλησης για το σύνολο της Επιτροπής.

* ανάλυση ενδεχομένων παρομοίων ενεργειών σε κοινοτικό ή εθνικό επίπεδο

Η ιδέα της παροχής υποστήριξης υποδομής προς τον ΕΕΠΔ εκ μέρους των υπηρεσιών του Ευρωπαϊκού Κοινοβουλίου βασίζεται στο υπόδειγμα του Ευρωπαίου Διαμεσολαβητή.

Όσον αφορά τους ΥΠΔ, η πείρα της ΓΔ XV καθώς και η εθνική πρακτική χρησίμευσαν ως παράδειγμα.

* αναμενόμενα παράγωγα και πολλαπλασιαστικά αποτελέσματα

Ουδέν. Το θέμα αυτό συζητήθηκε με τη Διεύθυνση Πληροφορικής. Τα λογισμικά και η τεχνογνωσία υφίστανται ήδη σήμερα και, ως εκ τούτου, δεν αναμένονται επιπλέον έξοδα.

- Κύριοι αστάθμητοι παράγοντες που θα μπορούσαν να επηρεάσουν τα ειδικά αποτελέσματα της ενέργειας.

Το δημοσιονομικό δελτίο βασίζεται στην υπόθεση ότι το Ευρωπαϊκό Κοινοβούλιο θα παράσχει την αναγκαία υποστήριξη υποδομής για τον ΕΕΠΔ (βλέπε Παράρτημα 1).

9.3 Παρακολούθηση και αξιολόγηση της ενέργειας

- Επιλεγμένοι δείκτες επιδόσεων

* δείκτες απόδοσης (μέτρηση των καταβαλλόμενων δραστηριοτήτων)

Ο ΕΕΠΔ συντάσσει ετήσια έκθεση. Το επίπεδο δραστηριότητας του ΕΕΠΔ θα προκύπτει, μεταξύ άλλων (βλέπε άρθρο 47 της πρότασης κανονισμού), από 1) τον αριθμό των καταγγελιών που έχει λάβει ή των διερευνήσεων που έχει αναλάβει με δική του πρωτοβουλία, 2) τον αριθμό των αποφάσεων που έχουν ληφθεί, 3) τον αριθμό των ελέγχων που διενεργήθηκαν.

Όσον αφορά τον ΥΠΔ: Εκθέσεις πεπραγμένων.

* δείκτες επιπτώσεων (μέτρηση των επιδόσεων σε σχέση με τους επιδιωκόμενους στόχους)

1. Καταγγελίες που κατατέθηκαν κατά των κοινοτικών οργάνων και οργανισμών.

2. Το επίπεδο συμμόρφωσης προς τους κανόνες, το οποίο υπολογίζεται με βάση τους διενεργηθέντες ελέγχους.

- Τρόποι και περιοδικότητα της προβλεπόμενης αξιολόγησης

Οι αξιολογήσεις θα πρέπει να βασίζονται στις ετήσιες εκθέσεις. Ο "κεντρικός" ΥΠΔ συντονίζει τις εργασίες των ΥΠΔ και, επιπλέον, ο ΕΕΠΔ παρακολουθεί το έργο τους και παρέχει συμβουλές σχετικά με την ορθή εφαρμογή των κανόνων.

10. Διοικητικές δαπάνες (Τμήμα III, Μέρος A του προϋπολογισμού)

Η κινητοποίηση των απαραίτητων διοικητικών πόρων θα εξαρτάται από τις ετήσιες αποφάσεις που θα λαμβάνουν τα εκάστοτε όργανα και οργανισμοί σχετικά με τη διάθεση των πόρων, λαμβανομένου υπόψη του αριθμού των μελών του προσωπικού και των ποσών που θα εγκρίνει η αρμόδια επί του προϋπολογισμού αρχή.

Σε ό,τι αφορά τις εκτιμήσεις της Επιτροπής για τα αποτελέσματα που θα έχει η θέσπιση του ΕΕΠΔ, αυτές έχουν ενδεικτικό και προκαταρκτικό χαρακτήρα. Δεν προδικάζουν το κόστος, το οποίο μπορεί να εκτιμήσει το Ευρωπαϊκό Κοινοβούλιο, λαμβάνοντας υπόψη το γεγονός ότι η Γενική Γραμματεία του Ευρωπαϊκού Κοινοβουλίου ενημέρωσε τις υπηρεσίες της Επιτροπής ότι απόκειται σε κάθε όργανο να εκτιμήσει το ίδιο τις ανάγκες του και ότι αυτή δεν επιθυμεί να διατυπώσει γνώμη σχετικά με τις εκτιμήσεις της Επιτροπής.

10.1 Επιπτώσεις στον αριθμό θέσεων απασχόλησης

>ΘΕΣΗ ΠIΝΑΚΑ>

ΕΕΠΔ (βλέπε Παράρτημα 1)

>ΘΕΣΗ ΠIΝΑΚΑ>

ΥΠΔ της Επιτροπής (βλέπε Παράρτημα 2β)

>ΘΕΣΗ ΠIΝΑΚΑ>

ΥΠΔ των άλλων οργάνων και οργανισμών (βλέπε Παράρτημα 2γ)

>ΘΕΣΗ ΠIΝΑΚΑ>

ΓΕΝΙΚΟ ΣΥΝΟΛΟ

>ΘΕΣΗ ΠIΝΑΚΑ>

10.2 Συνολικές δημοσιονομικές επιπτώσεις των πρόσθετων ανθρώπινων πόρων

Η εκτίμηση των δημοσιονομικών επιπτώσεων γίνεται με βάση το μέσο κόστος ενός υπαλλήλου της Επιτροπής στις Βρυξέλλες (βαθμός Α-1, Α-2, Α-4, Α-5 και Α-7).

ΕΕΠΔ

>ΘΕΣΗ ΠIΝΑΚΑ>

ΥΠΔ της Επιτροπής

>ΘΕΣΗ ΠIΝΑΚΑ>

ΥΠΔ των άλλων οργάνων και οργανισμών

>ΘΕΣΗ ΠIΝΑΚΑ>

ΓΕΝΙΚΟ ΣΥΝΟΛΟ

>ΘΕΣΗ ΠIΝΑΚΑ>

10.3 Αύξηση άλλων διοικητικών δαπανών τις οποίες συνεπάγεται η ενέργεια

Οι επιπτώσεις άλλου δυνητικού κόστους για τον ΕΕΠΔ εξαρτώνται από το βαθμό στον οποίο ο ΕΕΠΔ δύναται να ενσωματωθεί στην υφιστάμενη υποδομή του Ευρωπαϊκού Κοινοβουλίου (βλέπε Παράρτημα 1). Η εκτίμηση των δημοσιονομικών επιπτώσεων για το Ευρωπαϊκό Κοινοβούλιο (ΕΚ) της πρότασης να ενταχθεί διοικητικώς η υπηρεσία του ΕΕΠΔ στην οργάνωση του ΕΚ πρέπει ακόμη να επιβεβαιωθεί από το ίδιο το ΕΚ.

ΠΑΡΑΡΤΗΜΑ 1

Υπηρεσία του ευρωπαίου επόπτη προστασίας δεδομένων

Τα αριθμητικά στοιχεία σχετικά με την υπηρεσία του ΕΕΠΔ βασίζονται στην υπόθεση ότι οι ακόλουθες υπηρεσίες θα μπορέσουν να παρασχεθούν ενσωματώνοντας την υπηρεσία του ΕΕΠΔ στην υφιστάμενη υποδομή του Ευρωπαϊκού Κοινοβουλίου με τρόπο παρόμοιο με εκείνο του Ευρωπαίου Διαμεσολαβητή.

- Μετάφραση

- Διερμηνεία

- Διοικητικά καθήκοντα όπως: διαχείριση των αποστολών, επαγγελματική κατάρτιση, προσωπικό (πρόσληψη, ιατρικές εξετάσεις, μισθοί, κοινωνικά ζητήματα, επαγγελματική σταδιοδρομία κ.λπ.), θέματα ακινήτων, μηχανοργάνωση, εξοπλισμός και πληροφορική, ταχυδρομικές υπηρεσίες, επικοινωνίες, μεταφορές, επίπλωση, φωτοτυπικά μηχανήματα, είδη γραφείου, υπηρεσίες κλητήρα, οδηγοί, εκτελεστές μετακομίσεων, αίθουσες συνεδριάσεων.

- Επικοινωνίες: τηλέφωνα και τηλεομοιοτυπικά, συστήματα μεταφοράς ηλεκτρονικής τεκμηρίωσης. Ηλεκτρονικοί υπολογιστές και εκτυπωτές, πρόσβαση σε βάσεις δεδομένων.

- Ασφάλεια.

- Εξωτερικά γραφεία.

- Τύπος και δημόσιες σχέσεις.

- Εκδόσεις: ετήσια έκθεση, διανομή εγγράφων τεκμηρίωσης, εκτύπωση.

- Αγορά εκδόσεων και συνδρομή σε περιοδικά.

Συνολικά, ο αριθμός του προσωπικού θα ανέρχεται μάλλον σε:

Βαθμού A: 6

Βαθμού B: 2

Βαθμού Γ: 2

Σύνολο: 10

ΠΑΡΑΡΤΗΜΑ 2α

Υπεύθυνος προστασίας δεδομένων

Οι υπάλληλοι που θα διοριστούν ως ΥΠΔ θα αφιερώνουν μέρος μόνο του χρόνου εργασίας τους στη διεξαγωγή των καθηκόντων τους ως ΥΠΔ (εκτιμάται μεταξύ 5% και 10% κατά μέσο όρο, βλέπε 9.2.). Δύνανται να ζητήσουν τη συνδρομή εξωτερικών εμπειρογνωμόνων σε θέματα προστασίας δεδομένων, οι οποίοι μπορούν να τους παράσχουν υποστήριξη και συμβουλές.

Τα καθήκοντα και οι ευθύνες που ανατίθενται στον ΥΠΔ απαριθμούνται παρακάτω. Ο ΥΠΔ μπορεί να ζητήσει συμβουλές από τους εξωτερικούς εμπειρογνώμονες σε θέματα προστασίας δεδομένων όσον αφορά οποιοδήποτε από τα θέματα αυτά.

Οι ευθύνες των υπεύθυνων προστασίας των δεδομένων αφορούν:

- Τη διασφάλιση ότι οι υπεύθυνοι της επεξεργασίας και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα γνωρίζουν τα δικαιώματα και τις υποχρεώσεις τους.

- Τη συνεργασία με τον ευρωπαίο επόπτη προστασίας δεδομένων κατόπιν αιτήματος αυτού του τελευταίου ή με δική του πρωτοβουλία.

- Τη μέριμνα υπό καθεστώς ανεξαρτησίας για την εσωτερική εφαρμογή των διατάξεων του παρόντος κανονισμού καθώς και όλων των άλλων διατάξεων που θεσπίζονται προς εφαρμογή των συναφών κανόνων.

- Την τήρηση του μητρώου με τις πράξεις επεξεργασίας που διενεργεί ο υπεύθυνος της επεξεργασίας.

- Τη διατύπωση συστάσεων για τη βελτίωση από πρακτικής άποψης της προστασίας των δεδομένων.

- Την παροχή συμβουλών στο κοινοτικό όργανο ή οργανισμό, που διόρισε τον ίδιο και τον υπεύθυνο της επεξεργασίας, σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων περί της προστασίας δεδομένων.

- Τη διερεύνηση, είτε με δική του πρωτοβουλία, είτε κατόπιν αίτησης του κοινοτικού οργάνου ή οργανισμού που τον διόρισε, του υπεύθυνου της επεξεργασίας, της οικείας επιτροπής προσωπικού ή του προσώπου στο οποίο αναφέρονται τα δεδομένα, ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και υποπίπτουν στην αντίληψή του.

- Την παροχή συμβουλών προς το κοινοτικό όργανο ή τον κοινοτικό οργανισμό που τον διόρισε, τον υπεύθυνο της εκάστοτε επεξεργασίας, την οικεία επιτροπή προσωπικού και κάθε φυσικό πρόσωπο, δια της ανεπίσημης οδού, σχετικά με οποιοδήποτε θέμα που άπτεται της ερμηνείας ή της εφαρμογής του παρόντος κανονισμού.

Ο υπεύθυνος προστασίας δεδομένων πρέπει - αρχικά τουλάχιστον - να έχει τη δυνατότητα να ζητήσει ανεξάρτητες συμβουλές από εξωτερικούς εμπειρογνώμονες σε θέματα προστασίας δεδομένων. Αυτοί οι εξωτερικοί εμπειρογνώμονες θα παρέχουν συμβουλές, εφόσον και όταν ζητηθεί από τον ΥΠΔ, σχετικά με τις νομικές, οργανωτικές και τεχνικές πτυχές της προστασίας των δεδομένων προσωπικού χαρακτήρα, κατά τρόπο ώστε να συνδράμουν τον ΥΠΔ σε όλα τα καθήκοντά του.

Ειδικότερα, οι εξωτερικοί εμπειρογνώμονες θα μπορούσαν να παράσχουν συμβουλές όσον αφορά:

- Την τήρηση μητρώου με τις πράξεις επεξεργασίας οι οποίες περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα*

- Την εκτίμηση των κινδύνων που παρουσιάζουν αυτές οι πράξεις επεξεργασίας για την ιδιωτική ζωή των ενδιαφερόμενων προσώπων, και

- Τη ματαίωση των κινδύνων αυτών, λαμβανομένης υπόψη της ανάγκης να αναπτυχθούν σαφείς κατευθυντήριες γραμμές βέλτιστης πρακτικής, οι οποίες θα μπορούν με τον καιρό να εφαρμοστούν σε άλλες υπηρεσίες της Επιτροπής

Οι κύριοι τομείς στους οποίους ενδέχεται να φανούν χρήσιμες οι συμβουλές και η πείρα του εμπειρογνώμονα είναι οι εξής:

(α) απαιτούμενη ποιότητα των δεδομένων*

(β) άσκηση των δικαιωμάτων τους από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα*

(γ) νέα συστήματα πληροφόρησης*

(δ) εξωτερικές υπηρεσίες επεξεργασίας και υπεργολαβία

(ε) εξοικείωση και κατάρτιση του προσωπικού*

(στ) προετοιμασία κατευθυντήριων γραμμών*

(ζ) εμπιστευτικότητα και μέτρα ασφάλειας*

(η) έκθεση πεπραγμένων.

ΠΑΡΑΡΤΗΜΑ 2β

Υπεύθυνοι προστασίας δεδομένων στις υπηρεσίες της Επιτροπής

- Γενική Γραμματεία

- Task Force «Δικαιοσύνη και Εσωτερικές Υποθέσεις»

- Υπηρεσία καταπολέμησης της απάτης (ΟLAF)

- Γενική Επιθεώρηση Υπηρεσιών

- Νομική Υπηρεσία

- Υπηρεσία Εκπροσώπου Τύπου

- Κοινή Υπηρεσία Διερμηνείας Συνεδριάσεων

- Στατιστική Υπηρεσία

- Μεταφραστική Υπηρεσία

- Διεύθυνση Πληροφορικής

- ΓΔ I Εξωτερικές σχέσεις: Εμπορική πολιτική και σχέσεις με τη Βόρεια Αμερική, την ’πω Ανατολή, την Αυστραλία και τη Νέα Ζηλανδία

- ΓΔ IA Εξωτερικές σχέσεις: Ευρώπη και Νέα Ανεξάρτητα Κράτη, κοινή εξωτερική πολιτική και πολιτική ασφάλειας, εξωτερική υπηρεσία

- ΓΔ IB Εξωτερικές σχέσεις: Νότια Μεσόγειος, Μέση και Εγγύς Ανατολή, Λατινική Αμερική, Νότια και Νοτιοανατολική Ασία και συνεργασία Βορρά-Νότου

- ΓΔ II Οικονομικές και χρηματοδοτικές υποθέσεις

- ΓΔ III Βιομηχανία

- ΓΔ IV Ανταγωνισμός

- ΓΔ V Απασχόληση, εργασιακές σχέσεις και κοινωνικές υποθέσεις

- ΓΔ VI Γεωργία

- ΓΔ VII Μεταφορές

- ΓΔ VIII Ανάπτυξη

- ΓΔ IX Προσωπικό και διοίκηση

- ΓΔ X Πληροφόρηση, επικοινωνία, πολιτιστικά θέματα, οπτικοακουστικά μέσα

- ΓΔ XI Περιβάλλον, πυρηνική ασφάλεια και προστασία των πολιτών

- ΓΔ XII Επιστήμη, έρευνα και ανάπτυξη, Κοινό Κέντρο Ερευνών

- ΓΔ XIII Τηλεπικοινωνίες, αγορά των πληροφορικών και αξιοποίηση της έρευνας

- ΓΔ XIV Αλιεία

- ΓΔ XV Εσωτερική αγορά και χρηματοπιστωτικές υπηρεσίες

- ΓΔ XVI Περιφερειακή πολιτική και συνοχή

- ΓΔ XVII Ενέργεια

- ΓΔ XIX Προϋπολογισμός

- ΓΔ XX Δημοσιονομικός έλεγχος

- ΓΔ XXI Φορολογία και τελωνειακή ένωση

- ΓΔ XXII Εκπαίδευση, κατάρτιση και νεότητα

- ΓΔ XXIII Πολιτική για τις επιχειρήσεις, εμπόριο, τουρισμός και κοινωνική οικονομία

- ΓΔ XXIV Πολιτική για τους καταναλωτές και προστασία της υγείας τους

- Υπηρεσία Ανθρωπιστικής Βοήθειας της Ευρωπαϊκής Κοινότητας (ECHO)

- Task Force «Διαπραγματεύσεις προσχώρησης» (TFAN)

- Οργανισμός Εφοδιασμού Ευρατόμ

- Υπηρεσία Επισήμων Εκδόσεων των Ευρωπαϊκών Κοινοτήτων

- Κοινή Υπηρεσία Relex

Συνολικός αριθμός = 40.

Όπως εξηγείται στο σημείο 9.2., προβλέπεται ότι η κάθε υπηρεσία της Επιτροπής θα ορίσει τον δικό της ΥΠΔ από το υφιστάμενο προσωπικό, αντί να οριστούν ένας ή περισσότεροι ΥΠΔ για το σύνολο της Επιτροπής. Τα αριθμητικά στοιχεία του παρόντος δημοσιονομικού δελτίου βασίζονται στην υπόθεση αυτή. Κατά μέσο όρο, θεωρείται αναγκαίο να αφιερωθεί το 5% του χρόνου εργασίας ενός υπαλλήλου πλήρους απασχόλησης για κάθε υπηρεσία. Μερικές υπηρεσίες θα χρειαστούν περισσότερο, άλλες λιγότερο. Ορισμένες υπηρεσίες έχουν ήδη επισημάνει ότι χρειάζονται περισσότερο από 5% και οι ανάγκες τους εκτιμήθηκαν σε 10%. Αυτά τα αριθμητικά στοιχεία δίνουν άθροισμα 2,40 υπαλλήλων πλήρους απασχόλησης για το σύνολο της Επιτροπής. Προβλέπεται επιπλέον να ανατεθεί στον ΥΠΔ της Γενικής Γραμματείας η ευθύνη του συντονισμού της εργασίας όλων των ΥΠΔ της Επιτροπής. Λαμβανομένων υπόψη αυτών των πρόσθετων καθηκόντων, το άτομο αυτό θα αφιερώνει πάνω από το 5% του χρόνου εργασίας του στα ανατεθειμένα καθήκοντα, ενδεχομένως έως το 25%. Το γεγονός αυτό έχει ήδη ληφθεί υπόψη κατά τον υπολογισμό των 2,40 υπαλλήλων.

Επιπλέον προβλέπεται, τουλάχιστον κατά την αρχική φάση, να συναφθούν συμβάσεις με εξωτερικούς εμπειρογνώμονες (3 σύμβουλοι πλήρους απασχόλησης για το σύνολο της Επιτροπής).

ΠΑΡΑΡΤΗΜΑ 2γ

Υπεύθυνοι προστασίας δεδομένων στα όργανα και τους οργανισμούς εκτός Επιτροπής

Ευρωπαϊκό Κοινοβούλιο 2,0

Ευρωπαίος Διαμεσολαβητής 1,0

Συμβούλιο της Ευρωπαϊκής Ένωσης 2,0

Δικαστήριο 1,0

Ελεγκτικό Συνέδριο 1,0

Ευρωπαϊκή Τράπεζα Επενδύσεων 1,0

Ευρωπαϊκή και Κοινωνική Επιτροπή 1,0

Επιτροπή των Περιφερειών 1,0

Ευρωπαϊκή Κεντρική Τράπεζα 1,0

CEDEFOP - Ευρωπαϊκό Κέντρο για την Ανάπτυξη της Επαγγελματικής Κατάρτισης 0,5

Ευρωπαϊκό Ίδρυμα για τη Βελτίωση των Συνθηκών Διαβίωσης και Εργασίας 0,5

Ευρωπαϊκός Οργανισμός Περιβάλλοντος 0,5

Ευρωπαϊκό Ίδρυμα Κατάρτισης 0,5

Ευρωπαϊκό Κέντρο Παρακολούθησης Ναρκωτικών και Τοξικομανίας 0,5

Ευρωπαϊκός Οργανισμός Αξιολόγησης Φαρμακευτικών Προϊόντων 0,5

Γραφείο Εναρμόνισης στην Εσωτερική Αγορά (εμπορικά σήματα και σχέδια) 0,5

Ευρωπαϊκός Οργανισμός για την Ασφάλεια και την Υγεία στο Χώρο Εργασίας 0,5

Κοινοτικό Γραφείο Φυτικών Ποικιλιών 0,5

Κέντρο Μετάφρασης των οργάνων της Ευρωπαϊκής Ένωσης 1,0

Ευρωπαϊκό Παρατηρητήριο για το Ρατσισμό και την Ξενοφοβία 0,5

Συνολικός αριθμός = 17 (υπάλληλοι πλήρους απασχόλησης x 108.000EUR).

Εκτός από το διορισμό ΥΠΔ στα παραπάνω όργανα και οργανισμούς, ενδέχεται επίσης να συναφθούν συμβάσεις με εξωτερικούς εμπειρογνώμονες σε θέματα προστασίας δεδομένων. Ο μέσος όρος έχει υπολογιστεί σε 22 εργάσιμες ημέρες ετησίως ανά όργανο ή οργανισμό. Ο αριθμός αυτός είναι συγκρίσιμος με τον αριθμό των διαθέσιμων ημερών ανά υπηρεσία της Επιτροπής. Το ανά υπηρεσία μέσο κόστος των συμβάσεων αυτών υπολογίζεται σε 13.750 EUR ετησίως.