«ΠΑΡΑΡΤΗΜΑ II

ΚΟΙΝΗ ΕΥΘΥΝΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΤΑΧΕΙΑΣ ΑΝΤΑΛΛΑΓΗΣ ΠΛΗΡΟΦΟΡΙΩΝ “RAPEX” ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ ΠΟΥ ΘΕΣΠΙΣΤΗΚΕ ΒΑΣΕΙ ΤΟΥ ΑΡΘΡΟΥ 12 ΤΗΣ ΟΔΗΓΙΑΣ 2001/95/ΕΚ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ (1) (ΟΔΗΓΙΑ ΓΙΑ ΤΗ ΓΕΝΙΚΗ ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΡΟΪΟΝΤΩΝ)

1.    Αντικείμενο και περιγραφή της επεξεργασίας

Η εφαρμογή Safety Gate/RAPEX είναι ένα σύστημα κοινοποίησης που προορίζεται για την ταχεία ανταλλαγή πληροφοριών μεταξύ των εθνικών αρχών των κρατών μελών, των 3 κρατών του Ευρωπαϊκού Οικονομικού Χώρου/της Ευρωπαϊκής Ζώνης Ελεύθερων Συναλλαγών (ΕΟΧ/ΕΖΕΣ) (Ισλανδία, Λιχτενστάιν και Νορβηγία) και της Επιτροπής για τα μέτρα που λαμβάνονται κατά των επικίνδυνων προϊόντων που εντοπίζονται στην αγορά της Ένωσης και/ή του ΕΟΧ/της ΕΖΕΣ. Σκοπός του εν λόγω συστήματος κοινοποίησης είναι:

—	να αποτρέπεται η προσφορά επικίνδυνων προϊόντων στους καταναλωτές της εσωτερικής αγοράς,

—	να λαμβάνονται διορθωτικά μέτρα, όπως η απόσυρση ή η ανάκληση των εν λόγω προϊόντων από την αγορά, όταν αυτό κρίνεται αναγκαίο.

Η ανταλλαγή πληροφοριών αφορά προληπτικά και περιοριστικά μέτρα που λαμβάνονται, καθώς και δράσεις που αναλαμβάνονται, σε σχέση με επικίνδυνα καταναλωτικά και επαγγελματικά προϊόντα, εκτός από τρόφιμα, ζωοτροφές, φαρμακευτικά είδη και ιατροτεχνολογικά προϊόντα. Το σύστημα Safety Gate/RAPEX καλύπτει τόσο μέτρα που διατάσσονται από τις εθνικές αρχές όσο και μέτρα που λαμβάνονται οικειοθελώς από τους οικονομικούς φορείς.

2.    Πεδίο εφαρμογής της κοινής ευθύνης επεξεργασίας

Η Επιτροπή και οι εθνικές αρχές ενεργούν ως από κοινού υπεύθυνοι επεξεργασίας για την επεξεργασία δεδομένων στο σύστημα Safety Gate/RAPEX. «Εθνικές αρχές» είναι όλες οι αρχές των κρατών μελών και οι αρχές των χωρών ΕΖΕΣ/ΕΟΧ που δραστηριοποιούνται στην ασφάλεια των προϊόντων και που συμμετέχουν στο δίκτυο Safety Gate/RAPEX, συμπεριλαμβανομένων των αρχών εποπτείας της αγοράς που είναι αρμόδιες για τον έλεγχο της συμμόρφωσης των προϊόντων με τις απαιτήσεις ασφάλειας και των αρχών που είναι υπεύθυνες για τη διενέργεια ελέγχων στα εξωτερικά σύνορα.

Για τους σκοπούς του άρθρου 26 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2) και του άρθρου 28 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), οι ακόλουθες δραστηριότητες επεξεργασίας εμπίπτουν στην αρμοδιότητα της Επιτροπής ως από κοινού υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα:

1)	Η Επιτροπή μπορεί να επεξεργάζεται πληροφορίες οι οποίες αφορούν τα μέτρα που λαμβάνονται σε σχέση με προϊόντα που παρουσιάζουν σοβαρούς κινδύνους και εισάγονται ή εξάγονται από την Ένωση και τον Ευρωπαϊκό Οικονομικό Χώρο, προκειμένου να τις διαβιβάζει στα σημεία επαφής RAPEX.

2)

Η Επιτροπή μπορεί να επεξεργάζεται πληροφορίες που λαμβάνει από τρίτες χώρες, διεθνείς οργανισμούς, επιχειρήσεις ή άλλα συστήματα ταχείας προειδοποίησης σχετικά με τα προϊόντα από χώρα καταγωγής εντός ΕΕ και εκτός ΕΕ που εγκυμονούν κίνδυνο, προκειμένου να διαβιβάζει τις πληροφορίες αυτές στις εθνικές αρχές.

Αποτελεί ευθύνη της Επιτροπής να διασφαλίζει τη συμμόρφωση με τις υποχρεώσεις και τους όρους του κανονισμού (ΕΕ) 2018/1725 όσον αφορά τις εν λόγω δραστηριότητες.

Οι ακόλουθες δραστηριότητες επεξεργασίας εμπίπτουν στην αρμοδιότητα των εθνικών αρχών, ως από κοινού υπευθύνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα:

1)

οι εθνικές αρχές μπορούν να επεξεργάζονται πληροφορίες σύμφωνα με τα άρθρα 11 και 12 της οδηγίας 2001/95/ΕΚ και το άρθρο 20 του κανονισμού (ΕΕ) 2019/1020 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), προκειμένου να κοινοποιούν τις εν λόγω πληροφορίες στην Επιτροπή, στα άλλα κράτη μέλη και στις χώρες ΕΖΕΣ/ΕΟΧ·

2)	Οι εθνικές αρχές μπορούν να επεξεργάζονται πληροφορίες που προκύπτουν μετά τις δραστηριότητες παρακολούθησης σε σχέση με τις κοινοποιήσεις Safety Gate/RAPEX, προκειμένου να κοινοποιούν τις εν λόγω πληροφορίες στην Επιτροπή, στα άλλα κράτη μέλη και στις χώρες ΕΖΕΣ/ΕΟΧ.

Αποτελεί ευθύνη των εθνικών αρχών να διασφαλίζουν τη συμμόρφωση με τις υποχρεώσεις και τους όρους του κανονισμού (ΕΕ) 2016/679 όσον αφορά τις εν λόγω δραστηριότητες.

3.    Αρμοδιότητες, ρόλοι και σχέση των από κοινού υπευθύνων επεξεργασίας με τα υποκείμενα των δεδομένων

3.1.   Κατηγορίες υποκειμένων των δεδομένων και δεδομένα προσωπικού χαρακτήρα

Οι από κοινού υπεύθυνοι επεξεργασίας επεξεργάζονται από κοινού τις ακόλουθες κατηγορίες δεδομένων προσωπικού χαρακτήρα:

α)

Στοιχεία επικοινωνίας των χρηστών του Safety Gate/RAPEX. Είναι δυνατή η επεξεργασία των ακόλουθων δεδομένων: — ονόματα των χρηστών του Safety Gate/RAPEX, — επώνυμα των χρηστών του Safety Gate/RAPEX, — διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών του Safety Gate/RAPEX, — χώρες των χρηστών του Safety Gate/RAPEX, — προτιμώμενη γλώσσα των χρηστών του Safety Gate/RAPEX.

β)

Στοιχεία επικοινωνίας των συντακτών και των υπευθύνων επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX. Στους εν λόγω συντάκτες και υπευθύνους επικύρωσης περιλαμβάνονται: — τα εθνικά σημεία επαφής Safety Gate/RAPEX και οι επιθεωρητές από τις αρχές εποπτείας της αγοράς των κρατών μελών και των χωρών ΕΖΕΣ/ΕΟΧ ή από τις εθνικές αρχές που είναι αρμόδιες για τους ελέγχους στα εξωτερικά σύνορα, που συμμετέχουν στη διαδικασία κοινοποίησης — το προσωπικό της Επιτροπής, όπως μόνιμοι υπάλληλοι, έκτακτοι υπάλληλοι, συμβασιούχοι υπάλληλοι, ασκούμενοι και εξωτερικοί πάροχοι υπηρεσιών. Είναι δυνατή η επεξεργασία των ακόλουθων δεδομένων: — ονόματα των συντακτών και των υπευθύνων επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX, — επώνυμα των συντακτών και των υπευθύνων επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX, — ονομασία της αρχής έγκρισης ή επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX, — διεύθυνση της αρχής έγκρισης ή επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX, — διευθύνσεις ηλεκτρονικού ταχυδρομείου των συντακτών και των υπευθύνων επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX, — τηλεφωνικοί αριθμοί των συντακτών και των υπευθύνων επικύρωσης των κοινοποιήσεων και των αντιδράσεων που υποβάλλονται μέσω του συστήματος Safety Gate/RAPEX.

γ)

Επιπλέον, στο σύστημα μπορούν να συμπεριλαμβάνονται παρεμπιπτόντως δύο είδη δεδομένων προσωπικού χαρακτήρα: i) Τα στοιχεία επικοινωνίας των οικονομικών φορέων (κατασκευαστές, εξαγωγείς, εισαγωγείς, διανομείς ή έμποροι λιανικής πώλησης) ενδέχεται να περιέχουν δεδομένα προσωπικού χαρακτήρα που θα συμπεριληφθούν στο σύστημα, όταν αυτό είναι αναγκαίο για τον εντοπισμό επικίνδυνων προϊόντων, όπως ορίζονται στο άρθρο 2 στοιχείο γ) της οδηγίας 2001/95/ΕΚ. Τα εν λόγω δεδομένα εισάγονται στο σύστημα Safety Gate/RAPEX μόνο από τις εθνικές αρχές, με βάση τις πληροφορίες που συλλέγονται κατά τη διάρκεια της έρευνάς τους. Είναι δυνατή η επεξεργασία των ακόλουθων δεδομένων: — ονομασία των οικονομικών φορέων, — διεύθυνση των οικονομικών φορέων, — πόλη των οικονομικών φορέων, — χώρα των οικονομικών φορέων, — στοιχεία επικοινωνίας των οικονομικών φορέων: το πεδίο αυτό μπορεί να αναφέρεται στο φυσικό πρόσωπο που εκπροσωπεί τους κατασκευαστές ή τους εξουσιοδοτημένους αντιπροσώπους. Ωστόσο, ζητείται από τα κράτη μέλη να αποφεύγουν την εισαγωγή δεδομένων προσωπικού χαρακτήρα και να προτιμούν μη προσωπικά στοιχεία επικοινωνίας, όπως γενικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, — διεύθυνση επικοινωνίας των οικονομικών φορέων. ii) Ονοματεπώνυμα των προσώπων που έχουν εκτελέσει τις δοκιμές σε επικίνδυνα προϊόντα και/ή έχουν επικυρώσει τις εκθέσεις δοκιμών, όταν τα εν λόγω ονοματεπώνυμα έχουν συμπεριληφθεί παρεμπιπτόντως σε άλλα έγγραφα, όπως είναι οι εκθέσεις δοκιμών. Τα ονόματα αυτά περιλαμβάνονται σε συνημμένα αρχεία και δεν είναι δυνατή η αναζήτηση τους. Ζητείται από τα κράτη μέλη να διαγράφουν τα εν λόγω δεδομένα πριν από την υποβολή τους, εάν δεν θεωρούνται αναγκαία για τους σκοπούς του συστήματος.

3.2.   Παροχή πληροφοριών σε υποκείμενα των δεδομένων

Η Επιτροπή παρέχει τις πληροφορίες που αναφέρονται στα άρθρα 15 και 16 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 17 έως 24 και του άρθρου 35 του κανονισμού (ΕΕ) 2018/1725 σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Η Επιτροπή λαμβάνει επίσης τα κατάλληλα μέτρα για την παροχή βοήθειας στις εθνικές αρχές ώστε να παρέχουν κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 19 έως 26 και του άρθρου 37 του κανονισμού (ΕΕ) 2016/679 σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, όσον αφορά τα ακόλουθα δεδομένα:

—	δεδομένα σχετικά με τους χρήστες του Safety Gate/RAPEX,

—	δεδομένα σχετικά με τους συντάκτες και τους υπευθύνους επικύρωσης των κοινοποιήσεων και των αντιδράσεων.

Οι χρήστες του συστήματος Safety Gate/RAPEX ενημερώνονται σχετικά με τα δικαιώματά τους μέσω της δήλωσης περί ιδιωτικότητας που είναι διαθέσιμη στο Safety Gate/RAPEX.

Οι εθνικές αρχές λαμβάνουν τα κατάλληλα μέτρα για να παρέχουν κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 19 έως 26 και του άρθρου 37 του κανονισμού (ΕΕ) 2016/679 σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, όσον αφορά τα ακόλουθα δεδομένα:

—	πληροφορίες σχετικά με νομικά πρόσωπα οι οποίες ταυτοποιούν ένα φυσικό πρόσωπο,

—	ονοματεπώνυμα και άλλα δεδομένα των προσώπων που διενήργησαν τις δοκιμές σε επικίνδυνα προϊόντα και/ή επικύρωσαν τις εκθέσεις δοκιμών.

Οι πληροφορίες παρέχονται γραπτώς, μεταξύ άλλων και σε ηλεκτρονική μορφή.

Οι εθνικές αρχές, κατά τη συμμόρφωση με τις υποχρεώσεις που υπέχουν όσον αφορά τα υποκείμενα των δεδομένων, χρησιμοποιούν το υπόδειγμα δήλωσης περί ιδιωτικότητας που παρέχει η Επιτροπή.

3.3.   Διεκπεραίωση των αιτημάτων των υποκειμένων των δεδομένων

Τα υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματά τους βάσει του κανονισμού (ΕΕ) 2018/1725 και του κανονισμού (ΕΕ) 2016/679, αντίστοιχα, έναντι και κατά καθενός από τους από κοινού υπευθύνους.

Οι από κοινού υπεύθυνοι επεξεργασίας διεκπεραιώνουν τα αιτήματα των υποκειμένων των δεδομένων σύμφωνα με τη διαδικασία που θεσπίζουν οι από κοινού υπεύθυνοι επεξεργασίας για το σκοπό αυτό. Η λεπτομερής διαδικασία για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων επεξηγείται στη δήλωση περί ιδιωτικότητας.

Οι από κοινού υπεύθυνοι επεξεργασίας συνεργάζονται και, όταν τους ζητηθεί, παρέχουν αμοιβαία, ταχεία και αποτελεσματική συνδρομή στη διεκπεραίωση κάθε αιτήματος των υποκειμένων των δεδομένων.

Σε περίπτωση που ένας από κοινού υπεύθυνος επεξεργασίας λάβει αίτημα από υποκείμενο των δεδομένων, το οποίο δεν εμπίπτει στην αρμοδιότητά του, ο εν λόγω από κοινού υπεύθυνος επεξεργασίας διαβιβάζει το αίτημα αμέσως, και το αργότερο εντός επτά ημερολογιακών ημερών από την παραλαβή του, στον από κοινού υπεύθυνο επεξεργασίας που είναι πράγματι αρμόδιος για το εν λόγω αίτημα. Ο αρμόδιος από κοινού υπεύθυνος επεξεργασίας αποστέλλει απόδειξη παραλαβής στο υποκείμενο των δεδομένων εντός τριών επιπλέον ημερολογιακών ημερών, ενώ ταυτόχρονα ενημερώνει σχετικά τον από κοινού υπεύθυνο επεξεργασίας ο οποίος έλαβε αρχικά το αίτημα.

Ο από κοινού υπεύθυνος επεξεργασίας, ανταποκρινόμενος σε αίτημα υποκειμένου των δεδομένων, δεν δημοσιοποιεί ούτε καθιστά διαθέσιμα με άλλον τρόπο δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε από κοινού επεξεργασία, χωρίς προηγούμενη διαβούλευση με τον άλλο αρμόδιο από κοινού υπεύθυνο επεξεργασίας.

4.    Άλλες αρμοδιότητες και ρόλοι των από κοινού υπευθύνων επεξεργασίας

4.1.   Ασφάλεια της επεξεργασίας

Κάθε από κοινού υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, με σκοπό:

α)

να διασφαλίζει και να προστατεύει την ασφάλεια, την ακεραιότητα και την εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε από κοινού επεξεργασία, σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46 (5) της Επιτροπής και τη σχετική νομική πράξη του κράτους μέλους της ΕΕ/της χώρας ΕΖΕΣ/ΕΟΧ, αντίστοιχα·

β)	να παρέχει προστασία από κάθε μη εξουσιοδοτημένη ή παράνομη επεξεργασία, απώλεια, χρήση, δημοσιοποίηση ή απόκτηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που έχει στην κατοχή του·

γ)	να μη δημοσιοποιεί ούτε να επιτρέπει την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα σε κανέναν, εκτός από τους αποδέκτες ή τους εκτελούντες την επεξεργασία που έχουν συμφωνηθεί εκ των προτέρων.

Κάθε από κοινού υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει την ασφάλεια της επεξεργασίας σύμφωνα με το άρθρο 33 του κανονισμού (ΕΕ) 2018/1725 και το άρθρο 32 του κανονισμού (ΕΕ) 2016/679, αντίστοιχα.

Οι από κοινού υπεύθυνοι επεξεργασίας παρέχουν αμοιβαία ταχεία και αποτελεσματική συνδρομή σε περίπτωση περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα.

4.2.   Διαχείριση περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα

Οι από κοινού υπεύθυνοι επεξεργασίας διαχειρίζονται περιστατικά ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις εσωτερικές διαδικασίες τους και την ισχύουσα νομοθεσία.

Οι από κοινού υπεύθυνοι επεξεργασίας παρέχουν ειδικότερα αμοιβαία ταχεία και αποτελεσματική συνδρομή, όπως απαιτείται, ώστε να διευκολύνεται ο εντοπισμός και η διαχείριση τυχόν περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα, τα οποία συνδέονται με την από κοινού επεξεργασία.

Οι από κοινού υπεύθυνοι επεξεργασίας κοινοποιούν αμοιβαία τα ακόλουθα:

α)	τυχόν πιθανούς ή πραγματικούς κινδύνους για τη διαθεσιμότητα, την εμπιστευτικότητα και/ή την ακεραιότητα των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε από κοινού επεξεργασία·

β)	τυχόν περιστατικά ασφάλειας τα οποία συνδέονται με την πράξη από κοινού επεξεργασίας·

γ)

κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα (δηλαδή κάθε παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια ή μεταβολή, άνευ άδειας δημοσιοποίηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε από κοινού επεξεργασία), τις πιθανές συνέπειες της παραβίασης δεδομένων προσωπικού χαρακτήρα, την εκτίμηση του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, καθώς και κάθε μέτρο που λαμβάνεται για την αντιμετώπιση της παραβίασης δεδομένων προσωπικού χαρακτήρα και τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

δ)	κάθε παραβίαση των τεχνικών και/ή οργανωτικών εγγυήσεων της πράξης από κοινού επεξεργασίας.

Κάθε από κοινού υπεύθυνος επεξεργασίας είναι υπεύθυνος για όλα τα περιστατικά ασφάλειας, συμπεριλαμβανομένων των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, τα οποία προκύπτουν ως αποτέλεσμα παραβίασης των υποχρεώσεων που υπέχει ο εν λόγω από κοινού υπεύθυνος επεξεργασίας βάσει της παρούσας απόφασης, του κανονισμού (ΕΕ) 2018/1725 και του κανονισμού (ΕΕ) 2016/679, αντίστοιχα.

Οι από κοινού υπεύθυνοι επεξεργασίας τεκμηριώνουν τα περιστατικά ασφάλειας (συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα) και τα κοινοποιούν αμοιβαία χωρίς αδικαιολόγητη καθυστέρηση, και το αργότερο εντός 48 ωρών από τη χρονική στιγμή που αντελήφθησαν το περιστατικό ασφάλειας (συμπεριλαμβανομένης παραβίασης δεδομένων προσωπικού χαρακτήρα).

Ο από κοινού υπεύθυνος επεξεργασίας που είναι υπεύθυνος για την παραβίαση δεδομένων προσωπικού χαρακτήρα τεκμηριώνει την εν λόγω παραβίαση δεδομένων προσωπικού χαρακτήρα και την κοινοποιεί στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή στην αρμόδια εθνική εποπτική αρχή. Η κοινοποίηση αυτή πραγματοποιείται χωρίς αδικαιολόγητη καθυστέρηση και, εάν είναι δυνατόν, το αργότερο εντός 72 ωρών από τη χρονική στιγμή που γίνεται αντιληπτή η παραβίαση δεδομένων προσωπικού χαρακτήρα, εκτός εάν πιθανολογείται ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν θα προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Ο από κοινού υπεύθυνος επεξεργασίας ενημερώνει τους άλλους από κοινού υπευθύνους επεξεργασίας σχετικά με την εν λόγω κοινοποίηση.

Ο από κοινού υπεύθυνος επεξεργασίας που είναι υπεύθυνος για την παραβίαση δεδομένων προσωπικού χαρακτήρα ανακοινώνει την εν λόγω παραβίαση δεδομένων προσωπικού χαρακτήρα στα ενδιαφερόμενα υποκείμενα των δεδομένων, εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ο από κοινού υπεύθυνος επεξεργασίας ενημερώνει τους άλλους από κοινού υπευθύνους επεξεργασίας σχετικά με την εν λόγω ανακοίνωση.

4.3.   Τοπικοποίηση των δεδομένων προσωπικού χαρακτήρα

Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για τους σκοπούς της διαδικασίας κοινοποίησης μέσω του συστήματος Safety Gate/RAPEX αποθηκεύονται και συλλέγονται στην εφαρμογή Safety Gate/RAPEX την οποία διαχειρίζεται η Επιτροπή, προκειμένου να διασφαλίζεται ότι η πρόσβαση στην εφαρμογή περιορίζεται μόνο σε σαφώς ταυτοποιημένα πρόσωπα και, κατ’ επέκταση, ότι τα δεδομένα που αποθηκεύονται στην εφαρμογή προστατεύονται δεόντως.

Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για σκοπούς επεξεργασίας υποβάλλονται σε επεξεργασία μόνο εντός της επικράτειας της ΕΕ/του ΕΟΧ και δεν εγκαταλείπουν την εν λόγω επικράτεια, εκτός εάν πληρούν τις διατάξεις του άρθρου 45, 46 ή 49 του κανονισμού (ΕΕ) 2016/679 ή του άρθρου 47, 48 ή 50 του κανονισμού (ΕΕ) 2018/1725.

Σύμφωνα με το άρθρο 12 παράγραφος 4 της οδηγίας 2001/95/ΕΚ, η πρόσβαση στο Safety Gate/RAPEX είναι ανοικτή στις υποψήφιες χώρες, τις τρίτες χώρες ή τους διεθνείς οργανισμούς, στο πλαίσιο συμφωνιών μεταξύ της ΕΕ και των εν λόγω χωρών ή διεθνών οργανισμών, σύμφωνα με τις λεπτομέρειες που καθορίζονται στις συμφωνίες αυτές. Είναι δυνατή η ανταλλαγή επιλεγμένων πληροφοριών από το σύστημα Safety Gate/RAPEX. Οι εν λόγω πληροφορίες δεν περιέχουν δεδομένα προσωπικού χαρακτήρα.

4.4.   Αποδέκτες

Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα επιτρέπεται μόνο στο εξουσιοδοτημένο προσωπικό και τους εργολήπτες της Επιτροπής, καθώς και στις εθνικές αρχές, για τους σκοπούς της διαχείρισης και της λειτουργίας του συστήματος Safety Gate/RAPEX, το οποίο διευκολύνει την επεξεργασία. Η πρόσβαση αυτή υπόκειται σε απαιτήσεις αναγνωριστικού κωδικού και κωδικού πρόσβασης ως εξής:

—	το Safety Gate/RAPEX είναι ανοικτό μόνο στην Επιτροπή και στους χρήστες που ορίζονται ειδικά από τις αρχές των κρατών μελών της ΕΕ και από τις χώρες ΕΖΕΣ/ΕΟΧ, καθώς και από τις αρχές του Ηνωμένου Βασιλείου όσον αφορά τους χρήστες της Βόρειας Ιρλανδίας,

—

πρόσβαση στα συλλεγόμενα δεδομένα προσωπικού χαρακτήρα στο Safety Gate/RAPEX χορηγείται μόνο στους καθορισμένους και εξουσιοδοτημένους χρήστες της εφαρμογής που διαθέτουν αναγνωριστικό χρήστη/κωδικό πρόσβασης. Η πρόσβαση στην εφαρμογή και η χορήγηση κωδικού πρόσβασης είναι δυνατή μόνο εάν αυτό ζητηθεί από την αρμόδια εθνική αρχή υπό τη γενική εποπτεία της ομάδας Safety Gate/RAPEX της Επιτροπής.

—

Πρόσβαση στα συλλεγόμενα δεδομένα προσωπικού χαρακτήρα παρέχεται στο προσωπικό της Επιτροπής που είναι αρμόδιο για την εκτέλεση της εν λόγω πράξης επεξεργασίας, καθώς και στα εξουσιοδοτημένα πρόσωπα σύμφωνα με την αρχή της «ανάγκης γνώσης». Το εν λόγω προσωπικό δεσμεύεται από τις εκ του νόμου προβλεπόμενες υποχρεώσεις και, εφόσον απαιτείται, από πρόσθετες συμφωνίες εμπιστευτικότητας.

Τα πρόσωπα που έχουν πρόσβαση στα συλλεγόμενα δεδομένα προσωπικού χαρακτήρα είναι τα εξής:

α)	το προσωπικό και οι εργολήπτες της Επιτροπής·

β)	τα ταυτοποιημένα σημεία επαφής και επιθεωρητές από τις αρχές εποπτείας της αγοράς των κρατών μελών της ΕΕ και των χωρών ΕΖΕΣ/ΕΟΧ, καθώς και από τις αρχές του Ηνωμένου Βασιλείου όσον αφορά τους χρήστες της Βόρειας Ιρλανδίας·

γ)	οι ταυτοποιημένοι επιθεωρητές των αρχών των κρατών μελών που είναι αρμόδιες για τους ελέγχους στα εξωτερικά σύνορα της ΕΕ και των χωρών ΕΖΕΣ/ΕΟΧ.

Τα πρόσωπα που έχουν πρόσβαση σε όλα τα συλλεγόμενα δεδομένα προσωπικού χαρακτήρα και τα οποία έχουν τη δυνατότητα να τα τροποποιούν κατόπιν αιτήματος είναι τα εξής:

α)	μέλη της ομάδας του Safety Gate/RAPEX της Επιτροπής·

β)	μέλη του γραφείου υποστήριξης του Safety Gate/RAPEX της Επιτροπής.

Κατάλογος όλων των σημείων επαφής Safety Gate/RAPEX (χρήστες που ορίζονται από τις εθνικές αρχές στις χώρες της ΕΕ/του ΕΟΧ), ο οποίος περιλαμβάνει τα στοιχεία επικοινωνίας τους (επώνυμο, όνομα, ονομασία της αρχής, διεύθυνση της αρχής, τηλέφωνο, φαξ, διεύθυνση ηλεκτρονικού ταχυδρομείου), είναι διαθέσιμος στον δημόσιο ιστότοπο Safety Gate του Europa (6). Η διαχείριση των χρηστών σε εθνικό επίπεδο ελέγχεται από τα εθνικά σημεία επαφής του Safety Gate/RAPEX, μέσω της εφαρμογής Safety Gate/RAPEX.

Όλοι οι χρήστες έχουν πρόσβαση στο περιεχόμενο των κοινοποιήσεων οι οποίες βρίσκονται σε κατάσταση “επικυρωμένη από την Ευρωπαϊκή Επιτροπή”. Μόνο οι εθνικοί χρήστες του Safety Gate/RAPEX έχουν πρόσβαση στο σχέδιο των κοινοποιήσεών τους (πριν από την υποβολή τους στην Ευρωπαϊκή Επιτροπή). Το προσωπικό της Επιτροπής και τα εξουσιοδοτημένα πρόσωπα έχουν πρόσβαση σε κοινοποιήσεις που βρίσκονται σε κατάσταση “υποβληθείσα στην Ευρωπαϊκή Επιτροπή”.

Κάθε από κοινού υπεύθυνος επεξεργασίας ενημερώνει όλους τους άλλους από κοινού υπευθύνους επεξεργασίας σχετικά με τυχόν διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς.

5.    Ειδικές αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας:

Η Επιτροπή μεριμνά και έχει την ευθύνη:

α)	να αποφασίζει σχετικά με τα μέσα, τις απαιτήσεις και τους σκοπούς της επεξεργασίας·

β)	να καταχωρίζει την πράξη επεξεργασίας·

γ)	να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων·

δ)	να διεκπεραιώνει τα αιτήματα των υποκειμένων των δεδομένων·

ε)	να αποφασίζει τον περιορισμό της εφαρμογής των δικαιωμάτων του υποκειμένου των δεδομένων ή την παρέκκλιση από αυτά, όταν αυτό είναι αναγκαίο και αναλογικό·

στ)	να διασφαλίζει την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό και εξ ορισμού·

ζ)	να προσδιορίζει και να αξιολογεί τη νομιμότητα, την αναγκαιότητα και την αναλογικότητα των διαβιβάσεων και των μεταφορών δεδομένων προσωπικού χαρακτήρα·

η)	να προβαίνει σε προηγούμενη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, όταν απαιτείται·

θ)	να διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·

ι)	να συνεργάζεται, κατόπιν αιτήματος, με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για την άσκηση των καθηκόντων του.

Οι εθνικές αρχές μεριμνούν και έχουν την ευθύνη:

α)	να καταχωρίζουν την πράξη επεξεργασίας·

β)	να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία είναι κατάλληλα, ακριβή, συναφή και περιορίζονται σε ό,τι είναι αναγκαίο για τον σκοπό αυτό·

γ)	να διασφαλίζουν τη διαφάνεια στην ενημέρωση και την ανακοίνωση των δικαιωμάτων των υποκειμένων των δεδομένων στα υποκείμενα των δεδομένων·

δ)	να διευκολύνουν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων·

ε)

να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων·

στ)	να διασφαλίζουν ότι η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους σύμφωνα με το άρθρο 28 του κανονισμού (ΕΕ) 2016/679·

ζ)	να προβαίνουν σε προηγούμενη διαβούλευση με την εθνική εποπτική αρχή, όταν απαιτείται·

η)	να διασφαλίζουν ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·

θ)	να συνεργάζονται, κατόπιν αιτήματος, με τις εθνικές εποπτικές αρχές για την άσκηση των καθηκόντων τους.

6.    Διάρκεια της επεξεργασίας

Οι από κοινού υπεύθυνοι επεξεργασίας δεν διατηρούν ούτε επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για χρονικό διάστημα μεγαλύτερο από αυτό που είναι αναγκαίο για την εκπλήρωση των σκοπών και των υποχρεώσεων που έχουν συμφωνηθεί κατά τα οριζόμενα στην παρούσα απόφαση, δηλαδή για το χρονικό διάστημα που είναι αναγκαίο για την επίτευξη του σκοπού της συλλογής ή της περαιτέρω επεξεργασίας. Ειδικότερα:

α)	Τα στοιχεία επικοινωνίας των χρηστών της εφαρμογής Safety Gate/RAPEX διατηρούνται στο σύστημα για όσο χρονικό διάστημα είναι χρήστες. Τα στοιχεία επικοινωνίας διαγράφονται από την εφαρμογή αμέσως μετά τη λήψη της πληροφορίας ότι το συγκεκριμένο πρόσωπο δεν είναι πλέον χρήστης του συστήματος.

β)

Τα στοιχεία επικοινωνίας των επιθεωρητών των αρχών εποπτείας της αγοράς των κρατών μελών και των χωρών ΕΖΕΣ/ΕΟΧ, καθώς και των επιθεωρητών των αρχών των κρατών μελών που είναι αρμόδιες για τους ελέγχους στα εξωτερικά σύνορα, τα οποία παρέχονται στις κοινοποιήσεις και τις αντιδράσεις διατηρούνται στο σύστημα για περίοδο πέντε ετών από την επικύρωση της κοινοποίησης ή της αντίδρασης.

γ)

Τα δεδομένα προσωπικού χαρακτήρα άλλων φυσικών προσώπων που περιλαμβάνονται ενδεχομένως στο σύστημα διατηρούνται σε μορφή που επιτρέπει την ταυτοποίηση για 30 έτη από τη στιγμή της εισαγωγής των πληροφοριών στο Safety Gate/RAPEX, χρονικό διάστημα που αντιστοιχεί στον εκτιμώμενο μέγιστο κύκλο ζωής κατηγοριών προϊόντων όπως οι ηλεκτρικές συσκευές ή τα μηχανοκίνητα οχήματα.

Τα νόμιμα αιτήματα των υποκειμένων των δεδομένων για τη δέσμευση, την προσαρμογή ή τη διαγραφή των δεδομένων τους ικανοποιούνται από την Επιτροπή εντός ενός μηνός από την παραλαβή του αιτήματος.

7.    Ευθύνη σε περίπτωση μη συμμόρφωσης

Η Επιτροπή είναι υπεύθυνη σε περίπτωση μη συμμόρφωσης σύμφωνα με το κεφάλαιο VIII του κανονισμού (ΕΕ) 2018/1725.

Οι αρχές των κρατών μελών είναι υπεύθυνες σε περίπτωση μη συμμόρφωσης σύμφωνα με το κεφάλαιο VIII του κανονισμού (ΕΕ) 2016/679.

8.    Συνεργασία μεταξύ των από κοινού υπευθύνων επεξεργασίας

Κάθε από κοινού υπεύθυνος επεξεργασίας παρέχει στους άλλους από κοινού υπευθύνους επεξεργασίας, όταν του ζητείται, ταχεία και αποτελεσματική συνδρομή για την εκτέλεση της παρούσας απόφασης, τηρώντας παράλληλα όλες τις ισχύουσες απαιτήσεις του κανονισμού (ΕΕ) 2018/1725 και του κανονισμού (ΕΕ) 2016/679, αντίστοιχα, καθώς και άλλους ισχύοντες κανόνες για την προστασία των δεδομένων.

9.    Επίλυση διαφορών

Οι από κοινού υπεύθυνοι επεξεργασίας προσπαθούν να επιλύσουν φιλικά οποιαδήποτε διαφορά που μπορεί να προκύψει ή να σχετίζεται με την ερμηνεία ή την εφαρμογή της παρούσας απόφασης.

Εάν προκύψει ανά πάσα στιγμή ερώτηση, διαφορά ή διαφωνία μεταξύ των από κοινού υπευθύνων επεξεργασίας, σε σχέση με την παρούσα απόφαση, οι από κοινού υπεύθυνοι επεξεργασίας καταβάλλουν κάθε δυνατή προσπάθεια για την επίλυσή της μέσω διαδικασίας διαβούλευσης.

Κατά προτίμηση, συνιστάται να διευθετούνται όλες οι διαφορές σε επιχειρησιακό επίπεδο, όπως προκύπτουν, και να επιλύονται από τα σημεία επαφής που αναφέρονται στο σημείο 10 του παρόντος παραρτήματος και παρατίθενται στη δημόσια Safety Gate του ιστότοπου Europa.

Σκοπός της διαβούλευσης είναι να επανεξεταστούν και να συμφωνηθούν, στο μέτρο που αυτό είναι πρακτικά εφικτό, τα μέτρα που έχουν ληφθεί για την επίλυση του προβλήματος, και οι από κοινού υπεύθυνοι επεξεργασίας διαπραγματεύονται μεταξύ τους καλή την πίστει για τον σκοπό αυτό. Κάθε από κοινού υπεύθυνος επεξεργασίας ανταποκρίνεται σε αίτημα φιλικού διακανονισμού εντός 7 εργάσιμων ημερών από την υποβολή του εν λόγω αιτήματος. Η προθεσμία για την επίτευξη φιλικού διακανονισμού είναι 30 εργάσιμες ημέρες από την ημερομηνία υποβολής του αιτήματος.

Εάν η διαφορά δεν μπορεί να επιλυθεί με φιλικό διακανονισμό, κάθε από κοινού υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για διαμεσολάβηση και/ή δικαστική διαδικασία με τον ακόλουθο τρόπο:

α)	σε περίπτωση διαμεσολάβησης, οι από κοινού υπεύθυνοι επεξεργασίας ορίζουν από κοινού διαμεσολαβητή, ο οποίος είναι αποδεκτός από καθέναν από αυτούς, και ο οποίος θα είναι υπεύθυνος για τη διευκόλυνση της επίλυσης της διαφοράς εντός δύο μηνών από την παραπομπή της διαφοράς σε αυτόν/-ήν·

β)	σε περίπτωση δικαστικής διαδικασίας, το ζήτημα παραπέμπεται στο Δικαστήριο της Ευρωπαϊκής Ένωσης σύμφωνα με το άρθρο 272 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

10.    Σημεία επαφής για τη συνεργασία μεταξύ των από κοινού υπευθύνων επεξεργασίας

Κάθε από κοινού υπεύθυνος επεξεργασίας ορίζει ένα ενιαίο σημείο επαφής, με το οποίο έρχονται σε επαφή οι άλλοι από κοινού υπεύθυνοι επεξεργασίας όσον αφορά ερωτήματα, καταγγελίες και παροχή πληροφοριών εντός του πεδίου εφαρμογής της παρούσας απόφασης.

Αναλυτικός κατάλογος όλων των σημείων επαφής που ορίζονται από την Επιτροπή και από τις εθνικές αρχές στις χώρες της ΕΕ/του ΕΟΧ), ο οποίος περιλαμβάνει τα στοιχεία επικοινωνίας τους (επώνυμο, όνομα, ονομασία της αρχής, διεύθυνση της αρχής, τηλέφωνο, φαξ, διεύθυνση ηλεκτρονικού ταχυδρομείου), είναι διαθέσιμος στον δημόσιο ιστότοπο Safety Gate του Europa.