32001R0045

Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών

Επίσημη Εφημερίδα αριθ. L 008 της 12/01/2001 σ. 0001 - 0022


Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

της 18ης Δεκεμβρίου 2000

σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 286,

την πρόταση της Επιτροπής(1),

τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής(2),

Αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251 της συνθήκης(3),

Εκτιμώντας τα ακόλουθα:

(1) Το άρθρο 286 της συνθήκης ορίζει ότι, οι κοινοτικές πράξεις για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία αυτών, εφαρμόζονται στα όργανα και τους οργανισμούς της Κοινότητας.

(2) Ένα πλήρες σύστημα προστασίας των δεδομένων προσωπικού χαρακτήρα απαιτεί όχι μόνο την παροχή δικαιωμάτων στα υποκείμενα των δεδομένων και την επιβολή υποχρεώσεων στους φορείς που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, αλλά και την πρόβλεψη κατάλληλων κυρώσεων για τους παραβάτες καθώς και μιας ανεξάρτητης εποπτικής αρχής.

(3) Το άρθρο 286, παράγραφος 2 της συνθήκης προβλέπει τη σύσταση ανεξάρτητου εποπτικού οργάνου, επιφορτισμένου με την παρακολούθηση της εφαρμογής των εν λόγω κοινοτικών πράξεων στα όργανα και τους οργανισμούς της Κοινότητας.

(4) Το άρθρο 286 παράγραφος 2 της συνθήκης προβλέπει, εξάλλου, τη θέσπιση κάθε άλλης χρήσιμης διάταξης, ανάλογα με την περίπτωση.

(5) Εν προκειμένω, απαιτείται ένας κανονισμός προκειμένου να δοθούν στα πρόσωπα νομικώς προστατευόμενα δικαιώματα, να καθορισθούν οι υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων στο πλαίσιο των οργάνων και οργανισμών της Κοινότητας, και να συσταθεί μια ανεξάρτητη εποπτική αρχή, υπεύθυνη για την εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας.

(6) Ζητήθηκε η γνώμη της ομάδας προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία έχει συσταθεί δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(4).

(7) Τα πρόσωπα που μπορούν να προστατεύονται είναι εκείνα των οποίων δεδομένα προσωπικού χαρακτήρα επεξεργάζονται τα όργανα ή οι οργανισμοί της Κοινότητας σε οιοδήποτε πλαίσιο, παραδείγματος χάριν, διότι τα πρόσωπα αυτά απασχολούνται από αυτά τα όργανα ή τους οργανισμούς.

(8) Οι αρχές της προστασίας των δεδομένων θα πρέπει να ισχύουν για όλες τις πληροφορίες που αφορούν ένα πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί για να κριθεί κατά πόσον είναι δυνατή η εξακρίβωση της ταυτότητας ενός προσώπου, είναι σκόπιμο να λαμβάνονται υπόψη όλα τα μέσα που είναι δυνατό να χρησιμοποιήσει ευλόγως ο υπεύθυνος της επεξεργασίας ή οποιοδήποτε άλλο πρόσωπο για να εξακριβώσει την ταυτότητα του εν λόγω προσώπου οι αρχές της προστασίας δεν θα πρέπει να ισχύουν για τα δεδομένα τα οποία έχουν καταστεί επαρκώς ανώνυμα ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του υποκείμενου των δεδομένων.

(9) Η οδηγία 95/46/ΕΚ επιβάλλει στα κράτη μέλη να εξασφαλίζουν την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ούτως ώστε να εξασφαλίζεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Κοινότητα.

(10) Η οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Δεκεμβρίου 1997, περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα(5), διευκρινίζει και συμπληρώνει την οδηγία 95/46/ΕΚ σε ό,τι αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των τηλεπικοινωνιών.

(11) Διάφορες άλλες κοινοτικές διατάξεις, ιδίως στον τομέα της αμοιβαίας συνδρομής μεταξύ των εθνικών διοικήσεων και της Επιτροπής, αποβλέπουν ομοίως στη διευκρίνιση και τη συμπλήρωση της οδηγίας 95/46/ΕΚ στους οικείους τομείς.

(12) Είναι απαραίτητο να διασφαλιστεί στο σύνολο της Κοινότητας η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

(13) Σκοπός είναι να διασφαλισθεί τόσο η ουσιαστική τήρηση των κανόνων προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, όσο και η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών και των οργάνων και οργανισμών της Κοινότητας, ή μεταξύ των οργάνων και οργανισμών της Κοινότητας, στο πλαίσιο της άσκησης των αντίστοιχων αρμοδιοτήτων τους.

(14) Θα πρέπει, για το σκοπό αυτό, να θεσπισθούν αναγκαστικές διατάξεις όσον αφορά τα όργανα και τους οργανισμούς της Κοινότητας οι εν λόγω διατάξεις θα πρέπει να ισχύουν για κάθε είδους επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία διενεργούν όλα τα όργανα και όλοι οι οργανισμοί της Κοινότητας, στο μέτρο που η επεξεργασία αυτή εκτελείται για την άσκηση δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του κοινοτικού δικαίου.

(15) Όταν η επεξεργασία αυτή διενεργείται από τα όργανα και τους οργανισμούς της Κοινότητας για την άσκηση δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, ιδίως εκείνων που προβλέπονται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση, η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών εξασφαλίζεται, τηρουμένου του άρθρου 6 της συνθήκης για την Ευρωπαϊκή Ένωση. Η πρόσβαση στα έγγραφα, συμπεριλαμβανομένων των όρων πρόσβασης στα έγγραφα που περιέχουν δεδομένα προσωπικού χαρακτήρα, διέπεται από τις ρυθμίσεις που έχουν θεσπιστεί δυνάμει του άρθρου 255 της συνθήκης ΕΚ το πεδίο εφαρμογής του οποίου εκτείνεται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση.

(16) Οι διατάξεις αυτές δεν εφαρμόζονται σε φορείς που έχουν συσταθεί εκτός του κοινοτικού πλαισίου και ο ευρωπαίος επόπτης προστασίας δεδομένων δεν είναι αρμόδιος να παρακολουθεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους φορείς αυτούς.

(17) Η αποτελεσματικότητα της προστασίας των προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσα στην Ένωση, προϋποθέτει τη συνεκτικότητα των κανόνων και των διαδικασιών που εφαρμόζονται ως προς το θέμα αυτό στις δραστηριότητες που υπάγονται σε διαφορετικά νομικά πλαίσια. Η εκπόνηση θεμελιωδών αρχών που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα της δικαστικής συνεργασίας επί ποινικών υποθέσεων και της αστυνομικής και τελωνειακής συνεργασίας και η σύσταση μιας γραμματείας για τις κοινές εποπτικές αρχές, τις οποίες εισάγουν η σύμβαση Ευρωπόλ, η σύμβαση για τη χρήση της πληροφορικής στον τομέα των τελωνείων και η σύμβαση Σένγκεν, αποτελούν, προς τούτο, το πρώτο στάδιο.

(18) Ο παρών κανονισμός δεν θα πρέπει να θίγει τα δικαιώματα και τις υποχρεώσεις των κρατών μελών βάσει των οδηγιών 95/46/ΕΚ και 97/66/ΕΚ και δεν αποσκοπεί στην τροποποίηση των πρακτικών και διαδικασιών οι οποίες έχουν καθιερωθεί νομίμως από τα κράτη μέλη στον τομέα της εθνικής ασφάλειας, της προάσπισης της τάξης καθώς και της πρόληψης, ανίχνευσης, έρευνας και δίωξης των αξιόποινων πράξεων, τηρουμένων των διατάξεων του πρωτοκόλλου περί προνομίων και ασυλιών των Ευρωπαϊκών Κοινοτήτων και του διεθνούς δικαίου.

(19) Τα όργανα και οι οργανισμοί της Κοινότητας απευθύνονται στις αρμόδιες αρχές των κρατών μελών, όταν κρίνουν ότι πρέπει να πραγματοποιηθούν παρακολουθήσεις επικοινωνιών στα δίκτυα τηλεπικοινωνιών τους, σύμφωνα με τις ισχύουσες εθνικές διατάξεις.

(20) Οι διατάξεις που εφαρμόζονται στα όργανα και τους οργανισμούς της Κοινότητας θα πρέπει να αντιστοιχούν προς εκείνες οι οποίες διέπουν την εναρμόνιση των εθνικών νομοθεσιών ή την εφαρμογή άλλων κοινοτικών πολιτικών, ιδίως στον τομέα της αμοιβαίας συνδρομής. Παρόλα αυτά, είναι δυνατόν να απαιτούνται διευκρινίσεις και συμπληρωματικές διατάξεις για την πραγμάτωση της προστασίας στην περίπτωση των επεξεργασιών δεδομένων προσωπικού χαρακτήρα που πραγματοποιούν τα όργανα και οι οργανισμοί της Κοινότητας.

(21) Αυτό ισχύει εξίσου για τα δικαιώματα των προσώπων τα δεδομένα των οποίων υφίστανται επεξεργασία, για τις υποχρεώσεις των οργάνων και οργανισμών της Κοινότητας που είναι υπεύθυνα για την επεξεργασία, και για τις εξουσίες που ανατίθενται στην ανεξάρτητη εποπτική αρχή η οποία είναι επιφορτισμένη να μεριμνά για την προσήκουσα εφαρμογή του παρόντος κανονισμού.

(22) Τα δικαιώματα που παρέχονται στο υποκείμενο των δεδομένων και η άσκηση των δικαιωμάτων αυτών δεν θα πρέπει να θίγουν τις υποχρεώσεις που επιβάλλονται στον υπεύθυνο της επεξεργασίας.

(23) Η ανεξάρτητη εποπτική αρχή ασκεί τα εποπτικά της καθήκοντα σύμφωνα με τη συνθήκη και σεβόμενη τα ανθρώπινα δικαιώματα και τις θεμελιώδεις ελευθερίες. Διενεργεί τις έρευνές της τηρουμένου του πρωτοκόλλου περί προνομίων και ασυλιών και του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό των Κοινοτήτων αυτών.

(24) Θα πρέπει να ληφθούν τα τεχνικά μέτρα που απαιτούνται για να καταστεί δυνατή η πρόσβαση στα μητρώα επεξεργασίας που τηρούν οι υπεύθυνοι προστασίας δεδομένων μέσω της ανεξάρτητης εποπτικής αρχής.

(25) Οι αποφάσεις της ανεξάρτητης εποπτικής αρχής σχετικά με τις εξαιρέσεις, τις εγγυήσεις, τις άδειες και τους όρους που αφορούν τις επεξεργασίες δεδομένων, όπως ορίζονται στον παρόντα κανονισμό, θα πρέπει να δημοσιεύονται στην έκθεση πεπραγμένων. Ανεξάρτητα από την ετήσια δημοσίευση της έκθεσης πεπραγμένων, η ανεξάρτητη εποπτική αρχή μπορεί να δημοσιεύει εκθέσεις για ειδικά θέματα.

(26) Ορισμένες επεξεργασίες που ενδέχεται να παρουσιάζουν ιδιαίτερο κίνδυνο όσον αφορά τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, υπόκεινται στον προκαταρκτικό έλεγχο της ανεξάρτητης εποπτικής αρχής. Η γνώμη που διατυπώνεται στα πλαίσια του προκαταρκτικού αυτού ελέγχου, συμπεριλαμβανομένης της γνώμης που προκύπτει από την έλλειψη απάντησης εντός της προβλεπομένης προθεσμίας, θα πρέπει να μην προδικάσει τη μεταγενέστερη άσκηση των εξουσιών της ανεξάρτητης εποπτικής αρχής σε σχέση με την εν λόγω επεξεργασία.

(27) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση καθήκοντος που ασκούν χάριν του δημόσιου συμφέροντος τα όργανα και οι οργανισμοί της Κοινότητας, περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που είναι αναγκαία για τη διαχείριση και τη λειτουργία των εν λόγω οργάνων και οργανισμών.

(28) Σε ορισμένες περιπτώσεις, ενδείκνυται να προβλεφθεί ότι η επεξεργασία δεδομένων θα πρέπει να επιτρέπεται βάσει κοινοτικών διατάξεων ή πράξεων μεταφοράς κοινοτικών διατάξεων. Ωστόσο, όταν τέτοιες διατάξεις δεν υφίστανται και εν αναμονή της θεσπίσεώς τους, ο ευρωπαίος επόπτης προστασίας των δεδομένων μπορεί, μεταβατικά, να επιτρέπει την επεξεργασία τέτοιων δεδομένων με την υιοθέτηση καταλλήλων εγγυήσεων. Εν προκειμένω, λαμβάνει ιδίως υπ' όψη τις διατάξεις που έχουν θεσπίσει τα κράτη μέλη για τη ρύθμιση ανάλογων περιπτώσεων.

(29) Οι περιπτώσεις αυτές αφορούν την επεξεργασία δεδομένων τα οποία δηλώνουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία δεδομένων σχετικά με την υγεία ή τη σεξουαλική ζωή και τα οποία είναι αναγκαία προκειμένου να γίνονται σεβαστές οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας σε θέματα εργατικού δικαίου ή για σημαντικό λόγο δημοσίου συμφέροντος. Πρόκειται επίσης για την επεξεργασία δεδομένων σχετικά με αδικήματα, ποινικές καταδίκες ή μέτρα ασφαλείας ή ακόμα για την άδεια να υπαχθεί ένα υποκείμενο δεδομένων σε απόφαση η οποία παράγει νομικά αποτελέσματα έναντι αυτού ή το θίγει σε σημαντικό βαθμό, και έχει ληφθεί μόνο βάσει μιας αυτοματοποιημένης επεξεργασίας δεδομένων, η οποία έχει σκοπό να αξιολογήσει ορισμένες πτυχές της προσωπικότητάς του.

(30) Ενδέχεται να χρειάζεται ο έλεγχος των δικτύων υπολογιστών που λειτουργούν υπό την ευθύνη των οργάνων και των οργανισμών της Κοινότητας, προκειμένου να αποτρέπεται η τυχόν μη επιτρεπόμενη χρήση τους ο ευρωπαίος επόπτης προστασίας δεδομένων καθορίζει το αν και υπό ποιους όρους αυτό είναι δυνατόν.

(31) Η ευθύνη για την παραβίαση του παρόντος κανονισμού διέπεται από το άρθρο 288 δεύτερο εδάφιο της συνθήκης.

(32) Ένας ή πλείονες υπεύθυνοι για την προστασία των δεδομένων μεριμνούν, στο πλαίσιο κάθε οργάνου ή οργανισμού της Κοινότητας, για την εφαρμογή των διατάξεων του παρόντος κανονισμού και συμβουλεύουν τους υπευθύνους της επεξεργασίας κατά την εκτέλεση των υποχρεώσεών τους.

(33) Σύμφωνα με το οικείο άρθρο 21, ο κανονισμός (ΕΚ) αριθ. 322/97 του Συμβουλίου, της 17ης Φεβρουαρίου 1997, περί κοινοτικών στατιστικών(6), εφαρμόζεται υπό την επιφύλαξη της οδηγίας 95/46/ΕΚ.

(34) Σύμφωνα με το οικείο άρθρο 8 παράγραφος 8, ο κανονισμός (ΕΚ) αριθ. 2533/98 του Συμβουλίου, της 23ης Νοεμβρίου 1998, όσον αφορά τη συλλογή στατιστικών πληροφοριών από την Ευρωπαϊκή Κεντρική Τράπεζα(7), εφαρμόζεται υπό την επιφύλαξη της οδηγίας 95/46/ΕΚ.

(35) Σύμφωνα με το οικείο άρθρο 1 παράγραφος 2, ο κανονισμός (ΕΟΚ, Ευρατόμ) αριθ. 1588/90 του Συμβουλίου, της 11ης Ιουνίου 1990, σχετικά με τη διαβίβαση στη στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο(8), δεν παρεκκλίνει από τις ειδικές κοινοτικές ή εθνικές διατάξεις που άπτονται της διαφύλαξης άλλων απορρήτων εκτός του στατιστικού.

(36) Ο παρών κανονισμός δεν αποβλέπει να περιορίσει τη διακριτική ευχέρεια των κρατών μελών κατά την κατάρτιση της εθνικής τους νομοθεσίας στον τομέα της προστασίας δεδομένων, που θεσπίζεται δυνάμει του άρθρου 32 της οδηγίας 95/46/ΕΚ, σύμφωνα με το άρθρο 249 της συνθήκης,

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ Ι

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο του κανονισμού

1. Τα όργανα και οι οργανισμοί που συνιστώνται από τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ή βάσει αυτών, στο εξής αποκαλούμενα: "όργανα και οργανισμοί της Κοινότητας", εξασφαλίζουν, σύμφωνα με τον παρόντα κανονισμό, την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, και δεν περιορίζουν ούτε απαγορεύουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα μεταξύ τους ή προς αποδέκτες οι οποίοι υπόκεινται στην εθνική νομοθεσία των κρατών μελών που εφαρμόζουν την οδηγία 95/46/ΕΚ.

2. Η ανεξάρτητη εποπτική αρχή, η οποία συνιστάται με τον παρόντα κανονισμό, εφεξής αποκαλούμενη "ευρωπαίος επόπτης προστασίας δεδομένων", ελέγχει την εφαρμογή των διατάξεων του παρόντος κανονισμού σε κάθε επεξεργασία δεδομένων που πραγματοποιείται από όργανο ή οργανισμό της Κοινότητας.

Άρθρο 2

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, νοούνται ως:

α) "δεδομένα προσωπικού χαρακτήρα": κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (στο εξής αποκαλούμενο "υποκείμενο των δεδομένων")· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική ή κοινωνική,

β) "επεξεργασία δεδομένων προσωπικού χαρακτήρα" (στο εξής αποκαλούμενη "επεξεργασία"): κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση και κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή,

γ) "αρχείο δεδομένων προσωπικού χαρακτήρα" (στο εξής αποκαλούμενο "αρχείο"): κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

δ) "υπεύθυνος της επεξεργασίας": το όργανο ή ο οργανισμός της Κοινότητας, η Γενική Διεύθυνση, η μονάδα ή κάθε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται σε ειδική κοινοτική πράξη, η ίδια κοινοτική πράξη είναι δυνατό να ορίζει τον υπεύθυνο της επεξεργασίας ή τα ειδικά κριτήρια που ισχύουν για το διορισμό του,

ε) "εκτελών την επεξεργασία": το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος οργανισμός που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

στ) "τρίτος": το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο της επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα,

ζ) "αποδέκτης": το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος οργανισμός στον οποίο ανακοινώνονται τα δεδομένα, είτε πρόκειται για τρίτο, είτε όχι. Ωστόσο, οι αρχές στις οποίες ενδεχομένως ανακοινώνονται δεδομένα, στα πλαίσια ειδικής ερευνητικής αποστολής, δεν θεωρούνται ως αποδέκτες,

η) "συγκατάθεση του υποκειμένου των δεδομένων": κάθε ελεύθερη, ρητή και εν πλήρη επιγνώσει δήλωση βουλήσεως, με την οποία το υποκείμενο των δεδομένων δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

Άρθρο 3

Πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα όργανα και τους οργανισμούς της Κοινότητας, εφ' όσον η επεξεργασία αυτή πραγματοποιείται στα πλαίσια της άσκησης δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του κοινοτικού δικαίου.

2. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

ΚΕΦΑΛΑΙΟ ΙΙ

ΓΕΝΙΚΟΙ ΚΑΝΟΝΕΣ ΠΕΡΙ ΤΟΥ ΘΕΜΙΤΟΥ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΤΜΗΜΑ 1

ΑΡΧΕΣ ΑΝΑΦΕΡΟΜΕΝΕΣ ΣΤΗΝ ΠΟΙΟΤΗΤΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Άρθρο 4

Ποιότητα των δεδομένων

1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α) να υφίστανται θεμιτή και νόμιμη επεξεργασία,

β) να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς, και η περαιτέρω επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία, για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς, δεν θεωρείται ασυμβίβαστη, υπό την προϋπόθεση ότι ο υπεύθυνος της επεξεργασίας προβλέπει κατάλληλες εγγυήσεις, προκειμένου να διασφαλίζεται ιδίως ότι η επεξεργασία των δεδομένων δεν πραγματοποιείται για άλλους σκοπούς και ότι τα δεδομένα δεν θα χρησιμοποιηθούν προς υποστήριξη μέτρων ή αποφάσεων που αφορούν ένα συγκεκριμένο πρόσωπο,

γ) να είναι πρόσφορα, συναφή προς το θέμα και όχι υπέρμετρα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται περαιτέρω επεξεργασία,

δ) να είναι ακριβή και, εφόσον χρειάζεται, να ενημερώνονται· λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα ανακριβή ή ελλιπή, σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται περαιτέρω επεξεργασία, να διαγράφονται ή να διορθώνονται,

ε) να διατηρούνται υπό μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που είναι αναγκαία για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή υφίστανται περαιτέρω επεξεργασία. Το όργανο ή ο οργανισμός της Κοινότητας προβλέπει, για τα δεδομένα προσωπικού χαρακτήρα που πρέπει να αποθηκευθούν πέραν της περιόδου αυτής, για σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς, είτε να διατηρούνται μόνον υπό μορφήν η οποία τα καθιστά ανώνυμα, είτε, εάν αυτό είναι αδύνατο, να αποθηκεύονται μόνον υπό τον όρο ότι η ταυτότητα του υποκειμένου τους τελεί υπό κρυπτογραφική μορφή. Τα δεδομένα δεν πρέπει πάντως να χρησιμοποιούνται για άλλους σκοπούς εκτός από σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς.

2. Ο υπεύθυνος της επεξεργασίας διασφαλίζει την τήρηση της παραγράφου 1.

ΤΜΗΜΑ 2

ΑΡΧΕΣ ΣΧΕΤΙΚΕΣ ΜΕ ΤΗ ΝΟΜΙΜΟΠΟΙΗΣΗ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 5

Θεμιτό της επεξεργασίας

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται μόνον εφόσον:

α) είναι απαραίτητη για την εκπλήρωση καθήκοντος προς χάριν του δημόσιου συμφέροντος βάσει των συνθηκών για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ή άλλων νομοθετικών πράξεων που έχουν θεσπισθεί βάσει των συνθηκών αυτών ή για την εκπλήρωση καθήκοντος που ανάγεται στη νόμιμη άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο όργανο ή στον οργανισμό της Κοινότητας ή σε τρίτον στον οποίον ανακοινώνονται τα δεδομένα, ή

β) είναι απαραίτητη για την εκπλήρωση νόμιμης υποχρέωσης την οποία υπέχει ο υπεύθυνος της επεξεργασίας, ή

γ) είναι απαραίτητη για την εκτέλεση συμβάσεως στην οποία συμμετέχει το υποκείμενο των δεδομένων ή για την εφαρμογή προσυμβατικών μέτρων που λαμβάνονται κατόπιν αιτήσεώς του, ή

δ) το υποκείμενο των δεδομένων έχει παράσχει την αναμφισβήτητη συγκατάθεσή του, ή

ε) είναι απαραίτητη για τη διασφάλιση ζωτικών συμφερόντων του υποκειμένου των δεδομένων.

Άρθρο 6

Μεταβολή σκοπού

Με την επιφύλαξη των άρθρων 4, 5 και 10:

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους εκτός από εκείνους για τους οποίους έχουν συλλεγεί, γίνεται μόνον εφόσον η μεταβολή του σκοπού επιτρέπεται ρητώς από τον εσωτερικό κανονισμό του οργάνου ή του οργανισμού της Κοινότητας.

2. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται με αποκλειστικό σκοπό την κατοχύρωση της ασφάλειας ή του ελέγχου των συστημάτων ή των εργασιών επεξεργασίας, δεν επιτρέπεται να χρησιμοποιούνται για κανέναν άλλο σκοπό, με εξαίρεση την πρόληψη, τη διερεύνηση, τη διακρίβωση και τη δίωξη σοβαρών αξιόποινων πράξεων.

Άρθρο 7

Διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ή μεταξύ οργάνων ή οργανισμών της Κοινότητας

Με την επιφύλαξη των άρθρων 4, 5, 6 και 10:

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ή μεταξύ οργάνων ή οργανισμών της Κοινότητας, επιτρέπεται μόνον εφόσον τα δεδομένα είναι αναγκαία για τη νόμιμη εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του αποδέκτη.

2. Όταν τα δεδομένα διαβιβάζονται κατόπιν αιτήσεως του αποδέκτη, υπεύθυνοι για το σύννομο χαρακτήρα της διαβίβασης είναι τόσο ο υπεύθυνος της επεξεργασίας όσο και ο αποδέκτης.

Ο υπεύθυνος της επεξεργασίας υποχρεούται να ελέγχει την αρμοδιότητα του αποδέκτη και να αξιολογεί προσωρινά την αναγκαιότητα διαβίβασης των δεδομένων. Εάν ανακύπτουν αμφιβολίες ως προς την αναγκαιότητα της διαβίβασης αυτής, ο υπεύθυνος της επεξεργασίας ζητά περαιτέρω διευκρινίσεις από τον αποδέκτη.

Ο αποδέκτης μεριμνά ώστε η αναγκαιότητα της διαβίβασης των δεδομένων να μπορεί να επαληθεύεται μεταγενέστερα.

3. Ο αποδέκτης επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνον για τους σκοπούς οι οποίοι αιτιολογούν τη διαβίβασή τους.

Άρθρο 8

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες άλλους, εκτός από τα όργανα και τους οργανισμούς της Κοινότητας, οι οποίοι υπάγονται στην οδηγία 95/46/ΕΚ

Με την επιφύλαξη των άρθρων 4, 5, 6 και 10, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε αποδέκτες οι οποίοι εμπίπτουν στην εθνική νομοθεσία που θεσπίζεται κατ' εφαρμογή της οδηγίας 95/46/ΕΚ, μόνον εάν:

α) Ο αποδέκτης αποδεικνύει την αναγκαιότητα των δεδομένων για την εκπλήρωση καθήκοντος προς χάριν του δημόσιου συμφέροντος ή την εκπλήρωση καθήκοντος που ανάγεται στην άσκηση δημόσιας εξουσίας, ή

β) εάν ο αποδέκτης αποδεικνύει την αναγκαιότητα της διαβίβασης των δεδομένων και δεν υφίστανται λόγοι να υποτεθεί ότι η διαβίβαση αυτή μπορεί να θίξει τα νόμιμα συμφέροντα του υποκειμένου των δεδομένων.

Άρθρο 9

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες άλλους, εκτός από τα όργανα και τους οργανισμούς της Κοινότητας, οι οποίοι δεν υπόκεινται στην οδηγία 95/46/ΕΚ

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες άλλους, εκτός από τα όργανα και τους οργανισμούς της Κοινότητας, οι οποίοι δεν υπόκεινται στην εθνική νομοθεσία που θεσπίζεται κατ' εφαρμογή της οδηγίας 95/46/ΕΚ, επιτρέπεται μόνον εφόσον διασφαλίζεται επαρκής βαθμός προστασίας στη χώρα του αποδέκτη ή στο πλαίσιο του αποδέκτη διεθνούς οργανισμού και εφόσον η διαβίβαση αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου της επεξεργασίας.

2. Η επάρκεια του βαθμού προστασίας που παρέχει η εκάστοτε τρίτη χώρα ή ο συγκεκριμένος διεθνής οργανισμός αξιολογείται με γνώμονα το σύνολο των περιστάσεων που περιβάλλουν την εργασία ή το σύνολο εργασιών της διαβίβασης δεδομένων. Ιδιαιτέρως, λαμβάνεται υπόψη το είδος των δεδομένων, ο σκοπός και η διάρκεια της προτεινόμενης επεξεργασίας ή των προτεινόμενων επεξεργασιών η τρίτη χώρα ή ο αποδέκτης διεθνής οργανισμός, η νομοθεσία, τόσο γενική όσο και ειδική, η οποία ισχύει στη συγκεκριμένη τρίτη χώρα ή εφαρμόζεται έναντι του συγκεκριμένου διεθνούς οργανισμού καθώς και οι κανόνες δεοντολογίας και τα μέτρα ασφαλείας που εφαρμόζονται στη συγκεκριμένη τρίτη χώρα ή στο πλαίσιο του συγκεκριμένου διεθνούς οργανισμού.

3. Τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν την Επιτροπή και τον ευρωπαίο επόπτη προστασίας δεδομένων σε περίπτωση που κρίνουν ότι η τρίτη χώρα ή ο συγκεκριμένος διεθνής οργανισμός δεν διασφαλίζουν επαρκή βαθμό προστασίας κατά την έννοια της παραγράφου 2.

4. Η Επιτροπή ενημερώνει τα κράτη μέλη για τις περιπτώσεις που αναφέρονται στην παράγραφο 3.

5. Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν τα μέτρα που είναι απαραίτητα για να συμμορφωθούν με τις αποφάσεις που λαμβάνει η Επιτροπή όταν διαπιστώνει, κατ' εφαρμογήν του άρθρου 25, παράγραφοι 4 και 6 της οδηγίας 95/46/ΕΚ, ότι τρίτη χώρα ή διεθνής οργανισμός διασφαλίζει ή όχι επαρκή βαθμό προστασίας.

6. Κατά παρέκκλιση από τις παραγράφους 1 και 2, το όργανο ή ο οργανισμός της Κοινότητας δύναται να διαβιβάζει δεδομένα προσωπικού χαρακτήρα εάν:

α) το υποκείμενο των δεδομένων έχει παράσχει την αναμφισβήτητη συγκατάθεσή του για την προτεινόμενη διαβίβαση, ή

β) η διαβίβαση είναι αναγκαία για την εκτέλεση συμβάσεως μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου της επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων που λαμβάνονται κατόπιν αιτήσεως του υποκειμένου των δεδομένων, ή

γ) η διαβίβαση είναι αναγκαία για τη σύναψη ή την εκτέλεση συμβάσεως προς το συμφέρον του υποκειμένου των δεδομένων, μεταξύ του υπευθύνου της επεξεργασίας και τρίτου, ή

δ) η διαβίβαση είναι αναγκαία ή επιβάλλεται εκ του νόμου για σημαντικούς λόγους δημόσιου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου, ή

ε) η διαβίβαση είναι αναγκαία για τη διασφάλιση ζωτικών συμφερόντων του υποκείμενου των δεδομένων, ή

στ) η διαβίβαση πραγματοποιείται από αρχείο το οποίο, κατά το κοινοτικό δίκαιο, χρησιμεύει για την ενημέρωση του κοινού και το οποίο μπορεί να συμβουλευθεί το κοινό εν γένει ή κάθε πρόσωπο που αποδεικνύει ότι έχει έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι προϋποθέσεις του κοινοτικού δικαίου που διέπουν την αναζήτηση πληροφοριών.

7. Με την επιφύλαξη της παραγράφου 6, ο ευρωπαίος επόπτης προστασίας δεδομένων μπορεί να επιτρέπει διαβίβαση ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς μια τρίτη χώρα ή ένα διεθνή οργανισμό που δεν παρέχει ικανοποιητικό επίπεδο προστασίας κατά την έννοια των παραγράφων 1 και 2, όταν ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και όσον αφορά την άσκηση των αντιστοίχων δικαιωμάτων οι εγγυήσεις αυτές μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.

8. Τα όργανα και οι οργανισμοί της Κοινότητας γνωστοποιούν στον ευρωπαίο επόπτη προστασίας δεδομένων κατηγορίες περιπτώσεων στις οποίες εφήρμοσαν τις παραγράφους 6 και 7.

ΤΜΗΜΑ 3

ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Άρθρο 10

Επεξεργασία ειδικών κατηγοριών δεδομένων

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που δηλώνουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις και τη συμμετοχή σε συνδικαλιστικές οργανώσεις καθώς και η επεξεργασία δεδομένων που αναφέρονται στην υγεία και τη σεξουαλική ζωή.

2. Η παράγραφος 1 δεν εφαρμόζεται εφόσον:

α) το υποκείμενο των δεδομένων έχει δώσει ρητά τη συγκατάθεσή του για την επεξεργασία τους, εκτός εάν ο εσωτερικός κανονισμός του οικείου οργάνου ή οργανισμού της Κοινότητας ορίζει ότι η απαγόρευση της παραγράφου 1 δεν μπορεί να αρθεί με την παροχή της συγκατάθεσης του υποκειμένου των δεδομένων, ή

β) η επεξεργασία είναι απαραίτητη προκειμένου να γίνουν σεβαστές οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας σε θέματα εργατικού δικαίου, εφόσον αυτό επιτρέπεται από τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ή άλλες νομοθετικές πράξεις θεσπιζόμενες βάσει των συνθηκών αυτών ή, εάν αυτό παρίσταται αναγκαίο, εφόσον η επεξεργασία έχει γίνει δεκτή από τον ευρωπαίο επόπτη προστασίας δεδομένων, μέσω επαρκών εγγυήσεων, ή

γ) η επεξεργασία είναι απαραίτητη για τη διασφάλιση ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου, εφόσον το υποκείμενο των δεδομένων τελεί σε φυσική ή νομική αδυναμία να δηλώσει τη συγκατάθεσή του, ή

δ) η επεξεργασία αφορά δεδομένα τα οποία προδήλως έχει δημοσιοποιήσει το υποκείμενο των δεδομένων ή είναι αναγκαία για την αναγνώριση, την άσκηση ή την υπεράσπιση δικαιώματος ενώπιον δικαστηρίου, ή

ε) η επεξεργασία εκτελείται, στο πλαίσιο των νόμιμων δραστηριοτήτων του και με επαρκείς εγγυήσεις, από φορέα ο οποίος δεν έχει κερδοσκοπικό σκοπό, συνιστά μονάδα ενσωματωμένη σε όργανο ή οργανισμό της Κοινότητας, δεν υπόκειται στην εθνική νομοθεσία περί προστασίας των δεδομένων η οποία εφαρμόζεται δυνάμει του άρθρου 4 της οδηγίας 95/46/ΕΚ και επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, υπό τον όρο ότι η εν λόγω επεξεργασία αφορά μόνον τα μέλη του ή τα πρόσωπα με τα οποία ο φορέας διατηρεί, ως εκ του σκοπού του, τακτικές επαφές, και τα δεδομένα κοινολογούνται σε τρίτους μόνον με τη συγκατάθεση των υποκειμένων των δεδομένων.

3. Η παράγραφος 1 δεν εφαρμόζεται όταν η επεξεργασία των δεδομένων είναι αναγκαία για λόγους προληπτικής ιατρικής, ιατρικής διάγνωσης, για την παροχή ιατροφαρμακευτικής νοσηλείας ή θεραπείας ή για τη διαχείριση υπηρεσιών υγείας, η δε επεξεργασία των δεδομένων αυτών εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με τη θεραπεία της υγείας, υποκείμενο στην υποχρέωση τήρησης του επαγγελματικού απορρήτου ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση τήρησης απορρήτου.

4. Εφόσον παρέχονται οι δέουσες εγγυήσεις, και για λόγους σοβαρού δημοσίου συμφέροντος, μπορούν να θεσπίζονται και άλλες παρεκκλίσεις, εκτός από τις προβλεπόμενες στην παράγραφο 2, από τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ή άλλες νομοθετικές πράξεις θεσπιζόμενες βάσει των συνθηκών αυτών, ή, εφόσον αυτό παρίσταται αναγκαίο, με απόφαση του ευρωπαίου επόπτη προστασίας δεδομένων.

5. Η επεξεργασία δεδομένων σχετικών με αδικήματα, ποινικές καταδίκες ή μέτρα ασφαλείας μπορεί να πραγματοποιείται μόνον εάν επιτρέπεται από τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ή άλλες νομοθετικές πράξεις θεσπιζόμενες βάσει των συνθηκών αυτών ή, εφόσον αυτό παρίσταται αναγκαίο, από τον ευρωπαίο επόπτη προστασίας των δεδομένων, υπό την επιφύλαξη ειδικών και κατάλληλων εγγυήσεων.

6. Ο ευρωπαίος επόπτης προστασίας δεδομένων καθορίζει τις προϋποθέσεις υπό τις οποίες επιτρέπεται η επεξεργασία, από όργανο ή οργανισμό της Κοινότητας, προσωπικού κωδικού αριθμού ή κάθε άλλου αναγνωριστικού στοιχείου το οποίο τυγχάνει γενικής εφαρμογής.

ΤΜΗΜΑ 4

ΕΝΗΜΕΡΩΣΗ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Άρθρο 11

Ενημέρωση σε περίπτωση που τα δεδομένα συλλέγονται παρά τω υποκειμένω των δεδομένων

1. Ο υπεύθυνος της επεξεργασίας παρέχει στο πρόσωπο παρά τω οποίω συλλέγονται δεδομένα που το αφορούν, τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν το υποκείμενο έχει ήδη ενημερωθεί:

α) την ταυτότητα του υπευθύνου της επεξεργασίας,

β) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα,

γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,

δ) ένδειξη εάν η απάντηση των ερωτήσεων είναι υποχρεωτική ή προαιρετική, καθώς και τις ενδεχόμενες συνέπειες παράλειψης απάντησης,

ε) την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που το αφορούν και δικαιώματος διόρθωσης των δεδομένων αυτών,

στ) οποιαδήποτε συμπληρωματική πληροφορία, όπως:

i) τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα,

ii) τις προθεσμίες διατήρησης των δεδομένων,

iii) το δικαίωμα προσφυγής, ανά πάσα στιγμή, στον ευρωπαίο επόπτη προστασίας δεδομένων,

στο μέτρο που, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, αυτές οι συμπληρωματικές πληροφορίες είναι αναγκαίες, για τη διασφάλιση της θεμιτής επεξεργασίας των δεδομένων έναντι του υποκειμένου των δεδομένων.

2. Κατά παρέκκλιση από την παράγραφο 1, η παροχή πληροφοριών ή μέρους αυτών, εκτός των πληροφοριών που αναφέρονται στην παράγραφο 1, σημεία α), β) και δ), μπορεί να αναβάλλεται για όσον χρόνο αυτό είναι αναγκαίο για στατιστικούς σκοπούς. Οι πληροφορίες πρέπει να παρέχονται μόλις εκλείψει ο λόγος για τον οποίο δεν παρασχέθηκαν.

Άρθρο 12

Ενημέρωση σε περίπτωση που τα δεδομένα δεν έχουν συλλεγεί παρά τω υποκειμένω των δεδομένων

1. Όταν τα δεδομένα δεν έχουν συλλεγεί παρά τω υποκειμένω των δεδομένων, ο υπεύθυνος της επεξεργασίας οφείλει, κατά την καταχώρηση των δεδομένων ή σε περίπτωση που προβλέπεται η ανακοίνωση των δεδομένων σε τρίτον, και το αργότερο κατά την πρώτη ανακοίνωσή τους, να παρέχει στο υποκείμενο των δεδομένων τουλάχιστον τις κατωτέρω απαριθμούμενες πληροφορίες, εκτός εάν το υποκείμενο έχει ήδη ενημερωθεί:

α) την ταυτότητα του υπευθύνου της επεξεργασίας,

β) τους σκοπούς της επεξεργασίας,

γ) τις κατηγορίες των σχετικών δεδομένων,

δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,

ε) την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που το αφορούν και δικαιώματος διόρθωσης αυτών των δεδομένων,

στ) οποιαδήποτε συμπληρωματική πληροφορία, όπως:

i) τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα,

ii) τις προθεσμίες διατήρησης των δεδομένων,

iii) το δικαίωμα προσφυγής, ανά πάσα στιγμή, στον ευρωπαίο επόπτη προστασίας δεδομένων,

iv) την προέλευση των δεδομένων, εκτός εάν ο υπεύθυνος της επεξεργασίας δεν δύναται να αποκαλύψει το στοιχείο αυτό για λόγους επαγγελματικού απορρήτου,

στο μέτρο που, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, αυτές οι συμπληρωματικές πληροφορίες είναι αναγκαίες, για τη διασφάλιση της θεμιτής επεξεργασίας των δεδομένων έναντι του υποκειμένου των δεδομένων.

2. Η παράγραφος 1 δεν εφαρμόζεται όταν, ιδίως στην περίπτωση της επεξεργασίας για σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας, η ενημέρωση του υποκειμένου των δεδομένων αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογες προσπάθειες ή εάν η καταχώρηση ή η ανακοίνωση των δεδομένων προβλέπεται ρητώς από την κοινοτική νομοθεσία. Στις περιπτώσεις αυτές, το όργανο ή ο οργανισμός της Κοινότητας προβλέπει τις κατάλληλες εγγυήσεις αφού ζητήσει τη γνώμη του ευρωπαίου επόπτη προστασίας δεδομένων.

ΤΜΗΜΑ 5

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Άρθρο 13

Δικαίωμα πρόσβασης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει ανεμπόδιστα, ανά πάσα στιγμή εντός προθεσμίας τριών μηνών από την παραλαβή της αίτησης παροχής πληροφοριών και ατελώς από τον υπεύθυνο της επεξεργασίας:

α) επιβεβαίωση για το κατά πόσον διενεργείται ή όχι επεξεργασία δεδομένων που το αφορούν,

β) πληροφορίες τουλάχιστον σχετικά με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων που αφορά και τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνονται τα δεδομένα,

γ) ανακοίνωση, με εύληπτο τρόπο, των υπό επεξεργασία δεδομένων καθώς και κάθε διαθέσιμης πληροφορίας σχετικά με την προέλευσή τους,

δ) ενημέρωση σχετικά με τη λογική στην οποία στηρίζεται η αυτοματοποιημένη επεξεργασία των δεδομένων που το αφορούν.

Άρθρο 14

Διόρθωση

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, από τον υπεύθυνο της επεξεργασίας, αμελλητί τη διόρθωση δεδομένων προσωπικού χαρακτήρα που είναι ανακριβή ή ελλιπή.

Άρθρο 15

Κλείδωμα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, από τον υπεύθυνο της επεξεργασίας, το κλείδωμα των δεδομένων, όταν:

α) η ακρίβειά τους αμφισβητείται από το υποκείμενο των δεδομένων, κατά τη διάρκεια προθεσμίας που επιτρέπει στον υπεύθυνο της επεξεργασίας να εξακριβώσει το ακριβές των δεδομένων, συμπεριλαμβανομένης της πληρότητας αυτών, ή

β) ο υπεύθυνος της επεξεργασίας δεν τα χρειάζεται πλέον για την εκτέλεση των καθηκόντων του, αλλά τα δεδομένα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ή

γ) η επεξεργασία των δεδομένων είναι παράνομη, και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή τους και ζητά αντ' αυτής το κλείδωμά τους.

2. Στην περίπτωση των αυτοματοποιημένων αρχείων, το κλείδωμα πραγματοποιείται κατ' αρχήν με τεχνικές μεθόδους. Το γεγονός ότι τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα έχουν κλειδωθεί αναγράφεται στο σύστημα κατά τρόπον ώστε να καθίσταται σαφές ότι τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν.

3. Η επεξεργασία κλειδωμένων κατ' εφαρμογήν του παρόντος άρθρου δεδομένων προσωπικού χαρακτήρα, με εξαίρεση την αποθήκευσή τους, επιτρέπεται μόνον για αποδεικτικούς σκοπούς, ή με τη συγκατάθεση του υποκείμενου των δεδομένων, ή για την προστασία δικαιωμάτων τρίτων.

4. Ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, το οποίο ζήτησε και εξασφάλισε το κλείδωμα των δεδομένων που το αφορούν, πριν από την άρση του κλειδώματος.

Άρθρο 16

Διαγραφή

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, από τον υπεύθυνο της επεξεργασίας, τη διαγραφή δεδομένων εάν η επεξεργασία τους είναι παράνομη, ιδίως όταν παραβιάζονται οι διατάξεις των τμημάτων 1, 2 και 3 του κεφαλαίου ΙΙ.

Άρθρο 17

Κοινοποίηση σε τρίτους

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο της επεξεργασίας, την ανακοίνωση στους τρίτους, στους οποίους έχουν γνωστοποιηθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής, ή κλειδώματός τους, σύμφωνα με τα άρθρα 13 έως 16, εκτός αν αυτό αποδεικνύεται αδύνατο ή προϋποθέτει δυσανάλογη προσπάθεια.

Άρθρο 18

Δικαίωμα αντίταξης του υποκειμένου των δεδομένων

Το υποκείμενο των δεδομένων έχει το δικαίωμα:

α) να αντιτάσσεται ανά πάσα στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του κατάσταση, στην επεξεργασία δεδομένων που το αφορούν, με εξαίρεση τις περιπτώσεις που εμπίπτουν στο άρθρο 5, στοιχεία β), γ) και δ). Σε περίπτωση αιτιολογημένης αντίταξης, η εν λόγω επεξεργασία δεν επιτρέπεται πλέον να αφορά τα εν λόγω δεδομένα,

β) να ενημερώνεται πριν διαβιβαστούν για πρώτη φορά δεδομένα προσωπικού χαρακτήρα σε τρίτους ή γίνει χρήση για λογαριασμό τρίτων, για σκοπούς προώθησης προϊόντων, και να του παρέχεται ρητά το δικαίωμα να αντιτάσσεται ατελώς στην ανακοίνωση ή τη χρησιμοποίηση αυτή.

Άρθρο 19

Αυτοματοποιημένες ατομικές αποφάσεις

Το υποκείμενο των δεδομένων έχει το δικαίωμα να μη συμμορφώνεται με απόφαση η οποία παράγει έναντι αυτού νομικά αποτελέσματα ή το θίγει σε σημαντικό βαθμό, και η οποία βασίζεται αποκλειστικά και μόνο στην αυτοματοποιημένη επεξεργασία δεδομένων με σκοπό την αξιολόγηση ορισμένων πτυχών της προσωπικότητάς του, όπως είναι η απόδοσή του στην εργασία, η αξιοπιστία ή η διαγωγή του, εκτός αν η απόφαση αυτή επιτρέπεται ρητά από το εθνικό ή κοινοτικό δίκαιο ή από τον ευρωπαίο επόπτη προστασίας δεδομένων, αν αυτό αποδεικνύεται αναγκαίο. Και στις δύο περιπτώσεις, πρέπει να λαμβάνονται μέτρα που να εξασφαλίζουν τη διαφύλαξη των εννόμων συμφερόντων του υποκειμένου των δεδομένων, όπως τα μέτρα που του επιτρέπουν να διατυπώνει την άποψή του.

ΤΜΗΜΑ 6

ΕΞΑΙΡΕΣΕΙΣ ΚΑΙ ΠΕΡΙΟΡΙΣΜΟΙ

Άρθρο 20

Εξαιρέσεις και περιορισμοί

1. Τα όργανα και οι οργανισμοί της Κοινότητας δύνανται να θέτουν περιορισμούς στην εφαρμογή του άρθρου 4 παράγραφος 1, του άρθρου 11, του άρθρου 12 παράγραφος 1, των άρθρων 13 έως 17 και του άρθρου 37 παράγραφος 1, εφόσον ο εκάστοτε περιορισμός αποτελεί αναγκαίο μέτρο για:

α) τη διασφάλιση της πρόληψης, διερεύνησης, διακρίβωσης και δίωξης αξιόποινων πράξεων,

β) τη διασφάλιση σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος ενός κράτους μέλους ή των Ευρωπαϊκών Κοινοτήτων, μεταξύ άλλων στο νομισματικό, δημοσιονομικό και φορολογικό τομέα,

γ) την εξασφάλιση της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και ελευθεριών άλλων προσώπων,

δ) τη διασφάλιση της εθνικής ασφάλειας, της δημόσιας ασφάλειας και της άμυνας των κρατών μελών,

ε) την εξασφάλιση ελέγχου, επιθεώρησης ή κανονιστικής λειτουργίας που συνδέεται, έστω και περιστασιακά, με την άσκηση δημόσιας εξουσίας, στις περιπτώσεις που αναφέρονται στα στοιχεία α) και β).

2. Τα άρθρα 13 έως 16 δεν εφαρμόζονται οσάκις η επεξεργασία των δεδομένων γίνεται με αποκλειστικό σκοπό την επιστημονική έρευνα ή τα δεδομένα αποθηκεύονται υπό μορφήν δεδομένων προσωπικού χαρακτήρα για χρονικό διάστημα που δεν υπερβαίνει αυτό που είναι απαραίτητο για την απλή κατάρτιση στατιστικών, υπό την επιφύλαξη ότι είναι σαφές πως δεν υπάρχει κίνδυνος για παραβίαση της ιδιωτικής ζωής του υποκειμένου των δεδομένων και ότι ο υπεύθυνος της επεξεργασίας παρέχει κατάλληλες νομικές εγγυήσεις, οι οποίες αποκλείουν ιδίως τη δυνατότητα χρησιμοποίησης των δεδομένων για τη λήψη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο πρόσωπο.

3. Όταν επιβάλλεται περιορισμός που προβλέπεται στην παράγραφο 1, το υποκείμενο των δεδομένων ενημερώνεται, σύμφωνα με το κοινοτικό δίκαιο, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό, καθώς και για το δικαίωμά του να προσφύγει στον ευρωπαίο επόπτη προστασίας δεδομένων.

4. Όταν γίνεται επίκληση περιορισμού προβλεπομένου στην παράγραφο 1 για να απαγορευθεί η πρόσβαση στο υποκείμενο των δεδομένων, ο ευρωπαίος επόπτης προστασίας δεδομένων του γνωστοποιεί απλώς, όταν εξετάζει την ένσταση, εάν η επεξεργασία των δεδομένων έγινε με τον προσήκοντα τρόπο και, εάν όχι, για το κατά πόσον πραγματοποιήθησαν όλες οι αναγκαίες διορθώσεις.

5. Η ενημέρωση η οποία προβλέπεται στις παραγράφους 3 και 4 μπορεί να αναβάλλεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει της παραγράφου 1 την ισχύ του.

ΤΜΗΜΑ 7

ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Άρθρο 21

Εμπιστευτικότητα της επεξεργασίας

Το πρόσωπο που απασχολείται από όργανο ή οργανισμό της Κοινότητας, καθώς και τα όργανα ή οργανισμοί της Κοινότητας που ενεργούν αυτά καθ' εαυτά ως εκτελούντα την επεξεργασία και έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μπορούν να τα επεξεργάζονται μόνον κατ' εντολήν του υπεύθυνου της επεξεργασίας, εκτός εάν τούτο απαιτείται από το εθνικό ή το κοινοτικό δίκαιο.

Άρθρο 22

Ασφάλεια της επεξεργασίας

1. Λαμβάνοντας υπόψη την πρόοδο της επιστήμης και το σχετικό κόστος εφαρμογής, ο υπεύθυνος της επεξεργασίας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την κατοχύρωση κατάλληλου βαθμού ασφάλειας ενόψει των κινδύνων της επεξεργασίας και της φύσης των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν.

Τα μέτρα αυτά λαμβάνονται ιδίως για να αποτρέπεται οποιαδήποτε μη επιτρεπόμενη διαβίβαση ή πρόσβαση, τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια ή αλλοίωση, καθώς και οιαδήποτε άλλη μορφή παράνομης επεξεργασίας.

2. Όταν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο αυτοματοποιημένης επεξεργασίας, λαμβάνονται μέτρα, εφόσον απαιτούνται, ανάλογα με τον κίνδυνο, ιδίως με σκοπό:

α) να μην αποκτά μη εξουσιοδοτημένο προς τούτο πρόσωπο πρόσβαση σε συστήματα πληροφορικής που χρησιμοποιούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα,

β) να αποτρέπεται κάθε ανάγνωση, αντιγραφή, αλλοίωση ή απομάκρυνση υποθεμάτων αποθήκευσης, χωρίς εξουσιοδότηση,

γ) να αποτρέπεται κάθε εισαγωγή δεδομένων στη μνήμη, χωρίς εξουσιοδότηση, καθώς και κάθε γνωστοποίηση, αλλοίωση ή διαγραφή αποθηκευμένων δεδομένων προσωπικού χαρακτήρα, χωρίς εξουσιοδότηση,

δ) να αποτρέπεται η χρήση συστημάτων επεξεργασίας δεδομένων από μη εξουσιοδοτημένα προς τούτο πρόσωπα μέσω εγκαταστάσεων διαβίβασης δεδομένων,

ε) να εξασφαλίζεται ότι οι εξουσιοδοτημένοι χρήστες συστήματος επεξεργασίας δεδομένων δεν διαθέτουν πρόσβαση σε άλλα δεδομένα προσωπικού χαρακτήρα πλην εκείνων που καλύπτονται από το δικαίωμα πρόσβασης που τους παρέχεται,

στ) να καταγράφονται ίχνη των δεδομένων προσωπικού χαρακτήρα τα οποία έχουν ανακοινωθεί, της χρονικής στιγμής της ανακοίνωσής τους και του αποδέκτη τους,

ζ) να διασφαλίζεται ότι θα μπορεί να εξακριβώνεται εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα έχουν υποστεί επεξεργασία, ποια χρονική στιγμή και από ποια πρόσωπα,

η) να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό τρίτων υφίστανται μόνο την επεξεργασία η οποία προβλέπεται από το αναθέτον όργανο ή οργανισμό,

θ) να εξασφαλίζεται ότι, κατά την ανακοίνωση δεδομένων προσωπικού χαρακτήρα και κατά τη διαβίβαση των υποθεμάτων της αποθήκευσης, δεν είναι δυνατή η ανάγνωση, αντιγραφή ή διαγραφή των δεδομένων, χωρίς εξουσιοδότηση,

ι) η εσωτερική οργανωτική δομή ενός οργάνου ή οργανισμού να σχεδιάζεται κατά τρόπο ώστε να πληρούνται οι ειδικές προϋποθέσεις που ισχύουν για την προστασία των δεδομένων.

Άρθρο 23

Επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας

1. Ο υπεύθυνος της επεξεργασίας οφείλει, σε περίπτωση που η επεξεργασία πραγματοποιείται για λογαριασμό του, να επιλέγει ως εκτελούντα την επεξεργασία ένα πρόσωπο το οποίο να παρέχει επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφάλειας που προβλέπονται από το άρθρο 22 και να μεριμνά για την τήρηση των μέτρων αυτών.

2. Η εκτέλεση επεξεργασιών μέσω ανάθεσης της εκτέλεσης της επεξεργασίας πρέπει να διέπεται από σύμβαση ή νομική πράξη η οποία να συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο της επεξεργασίας και να προβλέπει ιδίως:

α) ότι ο εκτελών την επεξεργασία ενεργεί μόνον κατ' εντολή του υπευθύνου της επεξεργασίας,

β) ότι οι υποχρεώσεις που προβλέπονται στα άρθρα 21 και 22 βαρύνουν και τον εκτελούντα την επεξεργασία, εκτός εάν, δυνάμει του άρθρου 16 ή του άρθρου 17 παράγραφος 3, δεύτερη περίπτωση της οδηγίας 95/46/ΕΚ, ο εκτελών την επεξεργασία υπόκειται ήδη σε υποχρεώσεις περί εμπιστευτικότητας και ασφαλείας που προβλέπονται από την εθνική νομοθεσία ενός κράτους μέλους.

3. Για τους σκοπούς της διατήρησης των αποδείξεων, τα τμήματα της σύμβασης ή της νομικής πράξης που αφορούν την προστασία των δεδομένων και τις προϋποθέσεις σχετικά με τα μέτρα που προβλέπονται στο άρθρο 22, καταρτίζονται εγγράφως ή υπό άλλη ισοδύναμη μορφή.

ΤΜΗΜΑ 8

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 24

Διορισμός και καθήκοντα του υπευθύνου προστασίας δεδομένων

1. Κάθε όργανο και κάθε οργανισμός της Κοινότητας διορίζει ένα τουλάχιστον πρόσωπο, ως υπεύθυνο για την προστασία των δεδομένων προσωπικού χαρακτήρα. Τα καθήκοντα του εν λόγω υπεύθυνου είναι τα εξής:

α) φροντίζει ώστε ότι οι υπεύθυνοι της επεξεργασίας και τα υποκείμενα των δεδομένων να ενημερώνονται όσον αφορά τα δικαιώματα και τις υποχρεώσεις τους, δυνάμει του παρόντος κανονισμού,

β) ανταποκρίνεται στα αιτήματα του ευρωπαίου επόπτη προστασίας δεδομένων και, στα πλαίσια της αρμοδιότητάς του, συνεργάζεται με τον ευρωπαίο επόπτη προστασίας δεδομένων, είτε κατόπιν αιτήματος του τελευταίου, είτε με δική του πρωτοβουλία,

γ) διασφαλίζει, κατά τρόπο ανεξάρτητο, την εσωτερική εφαρμογή των διατάξεων του παρόντος κανονισμού,

δ) τηρεί μητρώο με τις επεξεργασίες που διενεργεί ο υπεύθυνος της επεξεργασίας, περιλαμβανομένων των πληροφοριακών στοιχείων που μνημονεύονται στο άρθρο 25 παράγραφος 2,

ε) κοινοποιεί στον ευρωπαίο επόπτη προστασίας δεδομένων τις εργασίες επεξεργασίας οι οποίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους κατά την έννοια του άρθρου 27.

Με τον τρόπο αυτό, ο εν λόγω υπεύθυνος φροντίζει ώστε η επεξεργασία να μην μπορεί να θίξει τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

2. Η επιλογή του υπεύθυνου προστασίας δεδομένων γίνεται με κριτήριο τα προσωπικά και επαγγελματικά του προσόντα και, ιδίως, τις ειδικές του γνώσεις στον τομέα της προστασίας δεδομένων.

3. Η επιλογή του υπευθύνου προστασίας δεδομένων δεν πρέπει να μπορεί να έχει ως συνέπεια σύγκρουση συμφερόντων μεταξύ της ιδιότητάς του ως υπευθύνου και άλλων επισήμων καθηκόντων που μπορεί ενδεχομένως να ασκεί, ειδικότερα στα πλαίσια της εφαρμογής των διατάξεων του παρόντος κανονισμού.

4. Η διάρκεια της θητείας του υπευθύνου προστασίας δεδομένων είναι από 2 ως 5 έτη. Η θητεία του μπορεί να ανανεώνεται, χωρίς όμως η συνολική διάρκεια της θητείας να μπορεί να υπερβαίνει τα δέκα έτη. Ο υπεύθυνος προστασίας δεδομένων είναι δυνατό να απαλλάσσεται από τα καθήκοντά του ως υπευθύνου προστασίας δεδομένων από το όργανο ή οργανισμό της Κοινότητας που τον διόρισε μόνο με τη συγκατάθεση του ευρωπαίου επόπτη προστασίας δεδομένων, εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

5. Το όργανο ή ο οργανισμός που διορίζει τον υπεύθυνο προστασίας δεδομένων, γνωστοποιεί εν συνεχεία το όνομα αυτού στον ευρωπαίο επόπτη προστασίας δεδομένων.

6. Το όργανο ή ο οργανισμός της Κοινότητας που διορίζει τον υπεύθυνο προστασίας δεδομένων, του παρέχει το αναγκαίο προσωπικό και πόρους για την εκτέλεση της αποστολής του.

7. Ο υπεύθυνος προστασίας δεδομένων δεν είναι δυνατό να λαμβάνει εντολές κατά την εκτέλεση των καθηκόντων του.

8. Κάθε όργανο ή οργανισμός της Κοινότητας θεσπίζει, σύμφωνα με τις διατάξεις που περιλαμβάνονται στο παράρτημα, συμπληρωματικές διατάξεις εφαρμογής. Αυτές οι συμπληρωματικές διατάξεις αφορούν, ειδικότερα, τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπευθύνου προστασίας δεδομένων.

Άρθρο 25

Κοινοποίηση στον υπεύθυνο προστασίας δεδομένων

1. Ο υπεύθυνος της επεξεργασίας ενημερώνει σχετικά τον υπεύθυνο προστασίας δεδομένων, πριν από τη διενέργεια οιασδήποτε επεξεργασίας ή σειράς επεξεργασιών, οι οποίες επιδιώκουν τον ίδιο σκοπό ή συναφείς σκοπούς.

2. Τα παρεχόμενα πληροφοριακά στοιχεία περιλαμβάνουν:

α) το όνομα και τη διεύθυνση του υπευθύνου της επεξεργασίας καθώς και μνεία των υπηρεσιών ενός οργάνου ή οργανισμού που είναι επιφορτισμένο με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για έναν συγκεκριμένο σκοπό,

β) τον σκοπό ή τους σκοπούς της επεξεργασίας,

γ) περιγραφή της κατηγορίας ή των κατηγοριών των υποκειμένων των δεδομένων και των δεδομένων ή κατηγοριών δεδομένων στα οποία αναφέρονται,

δ) τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα,

ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ενδέχεται να ανακοινωθούν τα δεδομένα,

στ) μια γενική ένδειξη των καταληκτικών ημερομηνιών για το κλείδωμα και τη διαγραφή των διαφόρων κατηγοριών δεδομένων,

ζ) τις προτεινόμενες διαβιβάσεις δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς,

η) γενική περιγραφή που να επιτρέπει την προκαταρκτική αξιολόγηση σχετικά με την καταλληλότητα των μέτρων που λαμβάνονται κατ' εφαρμογή του άρθρου 22 με σκοπό την κατοχύρωση της ασφάλειας της επεξεργασίας.

3. Οποιαδήποτε μεταβολή η οποία επηρεάζει τα αναφερόμενα στην παράγραφο 2 πληροφοριακά στοιχεία, γνωστοποιείται ταχέως στον υπεύθυνο προστασίας δεδομένων.

Άρθρο 26

Μητρώο

Κάθε υπεύθυνος προστασίας δεδομένων τηρεί μητρώο των επεξεργασιών που του κοινοποιούνται δυνάμει του άρθρου 25.

Τα μητρώα περιέχουν τουλάχιστον τις πληροφορίες που αναφέρονται στο άρθρο 25 παράγραφος 2 σημεία α) έως ζ). Οποιοσδήποτε μπορεί να συμβουλεύεται τα μητρώα με άμεσο ή έμμεσο τρόπο, μέσω του ευρωπαίου επόπτη προστασίας δεδομένων.

ΤΜΗΜΑ 9

ΠΡΟΚΑΤΑΡΚΤΙΚΟΣ ΕΛΕΓΧΟΣ ΕΚ ΜΕΡΟΥΣ ΤΟΥ ΕΥΡΩΠΑΙΟΥ ΕΠΟΠΤΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΥΠΟΧΡΕΩΣΗ ΣΥΝΕΡΓΑΣΙΑΣ

Άρθρο 27

Προκαταρκτικοί έλεγχοι

1. Οι επεξεργασίες, οι οποίες ενδέχεται να παρουσιάσουν ιδιαίτερους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων λόγω της φύσης, της εμβέλειας ή των σκοπών τους, υποβάλλονται σε προκαταρκτικό έλεγχο εκ μέρους του ευρωπαίου επόπτη προστασίας δεδομένων.

2. Οι επεξεργασίες που ενδέχεται να παρουσιάσουν τέτοιους κινδύνους είναι οι ακόλουθες:

α) οι επεξεργασίες δεδομένων σχετικά με την υγεία και οι επεξεργασίες δεδομένων σχετικά με υποψία τέλεσης αδικήματος, αδίκημα, ποινική καταδίκη ή μέτρα ασφαλείας,

β) οι επεξεργασίες που αποσκοπούν στην αξιολόγηση της προσωπικότητας των υποκειμένων των δεδομένων, όπως οι ικανότητές τους, η απόδοσή τους ή η συμπεριφορά τους,

γ) οι επεξεργασίες που επιτρέπουν διασυνδέσεις μεταξύ δεδομένων που αποτελούν αντικείμενο επεξεργασίας για διαφορετικούς σκοπούς και οι οποίες δεν προβλέπονται από το εθνικό ή το κοινοτικό δίκαιο,

δ) οι επεξεργασίες που έχουν ως σκοπό τον αποκλεισμό ενός ατόμου από κάποιο δικαίωμα, παροχή ή σύμβαση.

3. Οι προκαταρκτικοί έλεγχοι διενεργούνται από τον ευρωπαίο επόπτη προστασίας δεδομένων μετά τη λήψη της κοινοποίησης από τον υπεύθυνο προστασίας δεδομένων, ο οποίος, σε περίπτωση αμφιβολίας όσον αφορά την ανάγκη προκαταρκτικού ελέγχου, συμβουλεύεται τον ευρωπαίο επόπτη προστασίας δεδομένων.

4. Ο ευρωπαίος επόπτης προστασίας δεδομένων γνωμοδοτεί εντός δύο μηνών από τη λήψη της κοινοποίησης. Η προθεσμία αυτή μπορεί να αναστέλλεται έως ότου λάβει τις ζητηθείσες συμπληρωματικές πληροφορίες ο ευρωπαίος επόπτης προστασίας δεδομένων. Εφ' όσον το απαιτεί η πολυπλοκότητα του φακέλου, η προθεσμία αυτή μπορεί επίσης να παραταθεί για νέα περίοδο δύο μηνών κατόπιν απόφασης του ευρωπαίου επόπτη προστασίας των δεδομένων. Η εν λόγω απόφαση κοινοποιείται στον υπεύθυνο επεξεργασίας πριν από τη λήξη της αρχικής περιόδου των δύο μηνών.

Εάν, στο πέρας της δίμηνης προθεσμίας, η οποία ενδεχομένως παρατείνεται, δεν υπάρχει γνωμοδότηση, τότε η γνώμη τεκμαίρεται θετική.

Εάν ο ευρωπαίος επόπτης προστασίας δεδομένων γνωμοδοτήσει ότι, η κοινοποιηθείσα επεξεργασία ενδέχεται να συνιστά παράβαση κάποιας διάταξης του παρόντος κανονισμού, τότε ο ευρωπαίος επόπτης υποβάλλει, ανάλογα με την περίπτωση, προτάσεις για να αποφευχθεί μια τέτοια παράβαση. Εάν ο υπεύθυνος της επεξεργασίας δεν μεταβάλει αναλόγως την επεξεργασία, τότε ο ευρωπαίος επόπτης προστασίας δεδομένων μπορεί να ασκήσει τις εξουσίες που του απονέμονται από το άρθρο 47 παράγραφος 1.

5. Ο ευρωπαίος επόπτης προστασίας δεδομένων τηρεί μητρώο με όλες τις επεξεργασίες που του κοινοποιούνται δυνάμει της παραγράφου 2. Το μητρώο περιλαμβάνει τις πληροφορίες που αναφέρονται στο άρθρο 25. Οποιοσδήποτε μπορεί να συμβουλευθεί το μητρώο.

Άρθρο 28

Διαβούλευση

1. Τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν τον ευρωπαίο επόπτη προστασίας δεδομένων οσάκις εκπονούν διοικητικά μέτρα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία μετέχει όργανο ή οργανισμός της Κοινότητας, είτε αυτοτελώς, είτε από κοινού με άλλους.

2. Η Επιτροπή, οσάκις εγκρίνει νομοθετική πρόταση σχετικά με την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, συμβουλεύεται τον ευρωπαίο επόπτη προστασίας δεδομένων.

Άρθρο 29

Υποχρέωση ενημέρωσης

Τα όργανα και οι οργανισμοί της Κοινότητας γνωστοποιούν στον ευρωπαίο επόπτη προστασίας δεδομένων τα μέτρα που λαμβάνουν κατόπιν αποφάσεως ή αδείας του τελευταίου που προβλέπεται στο άρθρο 46 σημείο η).

Άρθρο 30

Υποχρέωση συνεργασίας

Κατόπιν αιτήσεώς του, οι υπεύθυνοι της επεξεργασίας επικουρούν τον ευρωπαίο επόπτη προστασίας δεδομένων κατά την εκτέλεση των καθηκόντων του, ιδίως παρέχοντάς του τις πληροφορίες που αναφέρονται στο άρθρο 47 παράγραφος 2 σημείο α) και δίδοντάς του την πρόσβαση, η οποία προβλέπεται στο άρθρο 47 παράγραφος 2 σημείο β).

Άρθρο 31

Υποχρέωση απάντησης σε καταγγελίες παραβάσεων

Σε απάντηση της άσκησης των αρμοδιοτήτων του ευρωπαίου επόπτη προστασίας δεδομένων δυνάμει του άρθρου 47 παράγραφος 1 σημείο β), ο υπεύθυνος της συγκεκριμένης επεξεργασίας τον ενημερώνει για την άποψή του, εντός ευλόγου προθεσμίας την οποία τάσσει ο ευρωπαίος επόπτης προστασίας δεδομένων. Η γνώμη αυτή περιλαμβάνει επίσης περιγραφή των μέτρων που έχουν ενδεχομένως ληφθεί, σε απάντηση των παρατηρήσεων του ευρωπαίου επόπτη προστασίας δεδομένων.

ΚΕΦΑΛΑΙΟ ΙΙΙ

ΕΝΔΙΚΑ ΜΕΣΑ

Άρθρο 32

Προσφυγή

1. Το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων είναι αρμόδιo για την εκδίκαση κάθε διαφοράς που σχετίζεται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αιτήσεων αποζημίωσης.

2. Με την επιφύλαξη δικαστικής προσφυγής, κάθε υποκείμενο δεδομένων μπορεί να καταθέτει ένσταση στον ευρωπαίο επόπτη προστασίας δεδομένων εφόσον θεωρεί ότι τα δικαιώματα που του παρέχει το άρθρο 286 της συνθήκης παραβιάστηκαν εξαιτίας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκ μέρους ενός οργάνου ή οργανισμού της Κοινότητας.

Η έλλειψη απάντησης του ευρωπαίου επόπτη προστασίας δεδομένων εντός προθεσμίας έξι μηνών, ισοδυναμεί με απόφαση απόρριψης της ένστασης.

3. Οι αποφάσεις του ευρωπαίου επόπτη προστασίας δεδομένων, δύνανται να προσβάλλονται ενώπιον του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων.

4. Κάθε πρόσωπο που έχει υποστεί ζημία λόγω παράνομης επεξεργασίας ή λόγω οιασδήποτε ενέργειας ασυμβίβαστης με τον παρόντα κανονισμό, έχει το δικαίωμα να απαιτήσει την επανόρθωση της ζημίας που υπέστη σύμφωνα με το άρθρο 288 της συνθήκης.

Άρθρο 33

Ενστάσεις του προσωπικού των Κοινοτήτων

Κάθε πρόσωπο το οποίο απασχολείται από όργανο ή οργανισμό της Κοινότητας δύναται να υποβάλλει ένσταση στον ευρωπαίο επόπτη προστασίας δεδομένων επικαλούμενο παράβαση των διατάξεων του παρόντος κανονισμού που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, χωρίς να ακολουθηθεί η επίσημη οδός. Κανείς δεν επιτρέπεται να υποστεί ζημία διότι έχει υποβάλλει ένσταση προς τον ευρωπαίο επόπτη προστασίας δεδομένων, με την οποία επικαλείται παραβίαση των διατάξεων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

ΚΕΦΑΛΑΙΟ IV

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΣΤΟ ΠΛΑΙΣΙΟ ΕΣΩΤΕΡΙΚΩΝ ΔΙΚΤΥΩΝ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Άρθρο 34

Πεδίο εφαρμογής

Υπό την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, το παρόν κεφάλαιο διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία σχετίζεται με τη χρήση τηλεπικοινωνιακών δικτύων ή τερματικών εξοπλισμών που λειτουργούν υπό τον έλεγχο οργάνου ή οργανισμού της Κοινότητας.

Για τους σκοπούς του παρόντος κεφαλαίου, ως "χρήστης" νοείται κάθε φυσικό πρόσωπο που χρησιμοποιεί ένα τηλεπικοινωνιακό δίκτυο ή έναν τερματικό εξοπλισμό που λειτουργούν υπό τον έλεγχο οργάνου ή οργανισμού της Κοινότητας.

Άρθρο 35

Ασφάλεια

1. Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα με σκοπό την κατοχύρωση της ασφαλούς χρήσης των τηλεπικοινωνιακών δικτύων και του τερματικού εξοπλισμού, ενδεχομένως σε συνεννόηση με τους φορείς παροχής κοινόχρηστων τηλεπικοινωνιακών υπηρεσιών ή τους φορείς παροχής δημόσιων τηλεπικοινωνιακών δικτύων. Τα εν λόγω μέτρα είναι ικανά να κατοχυρώνουν ένα βαθμό ασφάλειας ανάλογο με το μέγεθος του κινδύνου, λαμβανομένης υπόψη της πλέον πρόσφατης επιστημονικής προόδου και του κόστους της εφαρμογής των εν λόγω μέτρων.

2. Όταν συντρέχει ιδιαίτερος κίνδυνος παραβίασης της ασφάλειας του δικτύου και του τερματικού εξοπλισμού, το οικείο όργανο ή οργανισμός της Κοινότητας ενημερώνει τους χρήστες του δικτύου για τον κίνδυνο αυτό, καθώς και για τα μέτρα που είναι δυνατόν να άρουν τον κίνδυνο και τα εναλλακτικά μέσα επικοινωνίας που μπορούν να χρησιμοποιηθούν.

Άρθρο 36

Εμπιστευτικός χαρακτήρας των επικοινωνιών

Τα όργανα και οι οργανισμοί της Κοινότητας διασφαλίζουν τον εμπιστευτικό χαρακτήρα των επικοινωνιών μέσω τηλεπικοινωνιακών δικτύων και τερματικού εξοπλισμού, τηρουμένων των γενικών αρχών του κοινοτικού δικαίου.

Άρθρο 37

Δεδομένα κίνησης και χρέωσης

1. Με την επιφύλαξη των παραγράφων 2, 3 και 4, τα αναφερόμενα στους χρήστες δεδομένα κινήσεως τα οποία υποβάλλονται σε επεξεργασία και εισάγονται στη μνήμη με σκοπό την καταγραφή των κλήσεων ή των λοιπών συνδέσεων μέσω του εκάστοτε τηλεπικοινωνιακού δικτύου, διαγράφονται ή καθίστανται ανώνυμα κατά το πέρας της συγκεκριμένης κλήσης ή άλλης σύνδεσης.

2. Εάν απαιτείται, για τους σκοπούς της διαχείρισης του προϋπολογισμού των τηλεπικοινωνιακών δικτύων και της διαχείρισης της κίνησης, συμπεριλαμβανομένου του ελέγχου της επιτρεπόμενης χρήσης του τηλεπικοινωνιακού συστήματος, επιτρέπεται η επεξεργασία των σχετικών με την κίνηση δεδομένων, όπως ορίζονται σε κατάλογο ο οποίος εγκρίνεται από τον ευρωπαίο επόπτη προστασίας δεδομένων. Αυτά τα δεδομένα διαγράφονται ή καθίστανται ανώνυμα το συντομότερο δυνατό, το αργότερο σε έξι μήνες μετά τη συλλογή τους, εκτός εάν η μεταγενέστερη διατήρησή τους είναι απαραίτητη για την αναγνώριση, την άσκηση ή την υπεράσπιση δικαιώματος στο πλαίσιο αγωγής υπό εκδίκαση ενώπιον δικαστηρίου.

3. Η επεξεργασία των δεδομένων κίνησης και χρέωσης γίνεται μόνον από πρόσωπα που είναι υπεύθυνα για τη διαχείριση της χρέωσης, της κίνησης ή του προϋπολογισμού.

4. Οι χρήστες τηλεπικοινωνιακών δικτύων έχουν το δικαίωμα να λαμβάνουν τιμολόγια ή μη αναλυτικούς λογαριασμούς των κλήσεων που πραγματοποιήθηκαν.

Άρθρο 38

Κατάλογοι χρηστών

1. Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε έντυπους ή ηλεκτρονικούς καταλόγους χρηστών και η πρόσβαση στους καταλόγους αυτούς, περιορίζονται σε ό,τι είναι απολύτως αναγκαίο για τους ειδικούς σκοπούς του καταλόγου.

2. Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στους καταλόγους, να μην χρησιμοποιούνται για άμεση προώθηση προϊόντων, ανεξάρτητα από το εάν τα δεδομένα αυτά είναι ή όχι προσιτά στο κοινό.

Άρθρο 39

Ένδειξη και περιορισμός της αναγνώρισης καλούσας και καλούμενης γραμμής

1. Όταν παρέχεται ένδειξη της αναγνώρισης της καλούσας γραμμής, ο καλών χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να απαλείφει την ένδειξη της αναγνώρισης της καλούσας γραμμής.

2. Όταν παρέχεται ένδειξη της αναγνώρισης της καλούσας γραμμής, ο καλούμενος χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να εμποδίζει την ένδειξη της αναγνώρισης της καλούσας γραμμής για τις εισερχόμενες κλήσεις.

3. Όταν παρέχεται ένδειξη της αναγνώρισης της καλουμένης γραμμής, ο καλούμενος χρήστης πρέπει να έχει τη δυνατότητα, με απλά μέσα και ατελώς, να απαλείφει την ένδειξη της αναγνώρισης της καλουμένης γραμμής στον καλούντα χρήστη.

4. Όταν παρέχεται ένδειξη της αναγνώρισης της καλούσας ή καλουμένης γραμμής, τα όργανα και οι οργανισμοί της Κοινότητας ενημερώνουν τους χρήστες για το γεγονός αυτό, καθώς και για τις δυνατότητες που προβλέπονται στις παραγράφους 1, 2 και 3.

Άρθρο 40

Παρεκκλίσεις

Τα όργανα και οι οργανισμοί της Κοινότητας διασφαλίζουν ότι υπάρχουν διαφανείς διαδικασίες οι οποίες διέπουν τον τρόπο με τον οποίο μπορούν να αντιτάσσονται στην απάλειψη της ένδειξης της αναγνώρισης της καλούσας γραμμής, ως εξής:

α) προσωρινώς, κατόπιν αιτήσεως του χρήστη που ζητά τον εντοπισμό των κακόβουλων ή ενοχλητικών κλήσεων,

β) για κάθε γραμμή χωριστά, προκειμένου για τους οργανισμούς που ασχολούνται με τις κλήσεις άμεσης επέμβασης, ώστε να δίδεται απάντηση σε τέτοιου είδους κλήσεις.

ΚΕΦΑΛΑΙΟ V

ΑΝΕΞΑΡΤΗΤΗ ΕΠΟΠΤΙΚΗ ΑΡΧΗ: ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Άρθρο 41

Ευρωπαίος επόπτης προστασίας των δεδομένων

1. Συνιστάται ανεξάρτητη εποπτική αρχή, καλούμενη στο εξής "ευρωπαίος επόπτης προστασίας δεδομένων".

2. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο ευρωπαίος επόπτης προστασίας δεδομένων είναι επιφορτισμένος να εξασφαλίζει ότι τα όργανα και οι οργανισμοί της Κοινότητας σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ιδίως την ιδιωτική τους ζωή.

Ο ευρωπαίος επόπτης προστασίας δεδομένων είναι επιφορτισμένος με την παρακολούθηση και την εξασφάλιση της εφαρμογής των διατάξεων του παρόντος κανονισμού και κάθε άλλης κοινοτικής πράξης στον τομέα της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από ένα όργανο ή έναν οργανισμό της Κοινότητας, και για την παροχή συμβουλών προς τα όργανα και τους οργανισμούς της Κοινότητας και προς τα υποκείμενα των δεδομένων για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Προς το σκοπό αυτό, ο ευρωπαίος επόπτης προστασίας δεδομένων εκτελεί τα καθήκοντα που προβλέπονται στο άρθρο 46 και ασκεί τις αρμοδιότητες που του παρέχονται από το άρθρο 47.

Άρθρο 42

Διορισμός

1. Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο διορίζουν, με κοινή συμφωνία, τον ευρωπαίο επόπτη προστασίας δεδομένων για πέντε έτη, βάσει καταλόγου που συντάσσει η Επιτροπή κατόπιν δημόσιας πρόσκλησης για υποβολή υποψηφιοτήτων.

Διορίζεται αναπληρωτής επόπτης σύμφωνα με την ίδια διαδικασία και για την ίδια χρονική διάρκεια. Επικουρεί τον επόπτη στο σύνολο των καθηκόντων του και τον αναπληρώνει σε περίπτωση απουσίας ή κωλύματος.

2. Ο ευρωπαίος επόπτης προστασίας δεδομένων επιλέγεται μεταξύ προσώπων τα οποία παρέχουν εχέγγυα ανεξαρτησίας και διαθέτουν αξιόλογη εμπειρία και ικανότητες για την εκπλήρωση των καθηκόντων του ευρωπαίου επόπτη προστασίας δεδομένων, πχ. διότι συμμετέχουν ή είχαν συμμετάσχει στις αρχές ελέγχου που αναφέρονται στο άρθρο 28 της οδηγίας 95/46/ΕΚ.

3. Η θητεία του ευρωπαίου επόπτη προστασίας δεδομένων δύναται να ανανεωθεί.

4. Εκτός από την κανονική ανανέωση και τον θάνατο, η θητεία του ευρωπαίου επόπτη προστασίας δεδομένων λήγει σε περίπτωση παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με την παράγραφο 5.

5. Το Δικαστήριο δύναται να απαλλάξει τον ευρωπαίο επόπτη προστασίας δεδομένων από τα καθήκοντά του ή να τον κηρύξει έκπτωτο από το δικαίωμα παροχής συντάξεως ή άλλων ευεργετημάτων που εξομοιούνται με σύνταξη, κατόπιν αιτήσεως του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής, εάν παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή εάν διαπράξει βαρύ παράπτωμα.

6. Στις περιπτώσεις κανονικής ανανέωσης και εκούσιας παραίτησης, ο ευρωπαίος επόπτης προστασίας δεδομένων παραμένει ωστόσο εν υπηρεσία μέχρι την αντικατάστασή του.

7. Τα άρθρα 12 έως και 15 και 18 του πρωτοκόλλου περί των προνομίων και ασυλιών των Ευρωπαϊκών Κοινοτήτων, ισχύουν και για τον ευρωπαίο επόπτη προστασίας δεδομένων.

8. Οι παράγραφοι 2 έως 7 ισχύουν και για τον αναπληρωτή επόπτη.

Άρθρο 43

Καθεστώς και γενικοί όροι άσκησης των καθηκόντων του ευρωπαίου επόπτη προστασίας δεδομένων, ανθρώπινο δυναμικό και οικονομικοί πόροι

1. Το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και η Επιτροπή καθορίζουν, με κοινή συμφωνία, το καθεστώς και τους γενικούς όρους άσκησης των καθηκόντων του ευρωπαίου επόπτη προστασίας δεδομένων, και ιδίως το μισθό, τα επιδόματα και οποιαδήποτε άλλη παροχή εξομοιουμένη με αποδοχές.

2. Η αρμόδια επί του προϋπολογισμού αρχή φροντίζει ώστε ο ευρωπαίος επόπτης προστασίας δεδομένων να διαθέτει το ανθρώπινο δυναμικό και τους οικονομικούς πόρους που χρειάζονται για την εκτέλεση των καθηκόντων του.

3. Ο προϋπολογισμός του ευρωπαίου επόπτη προστασίας δεδομένων περιλαμβάνεται σε ειδική γραμμή του τμήματος VIII του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης.

4. Ο ευρωπαίος επόπτης προστασίας δεδομένων επικουρείται από γραμματεία. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας διορίζονται από τον ευρωπαίο επόπτη προστασίας δεδομένων, των οποίων είναι ο ιεραρχικά προϊστάμενος και στον οποίο υπάγονται αποκλειστικά. Ο αριθμός τους καθορίζεται κάθε χρόνο στα πλαίσια της διαδικασίας του προϋπολογισμού.

5. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας του ευρωπαίου επόπτη προστασίας δεδομένων, υπόκεινται στους κανονισμούς και τις ρυθμίσεις που εφαρμόζονται στους υπαλλήλους και το λοιπό προσωπικό των Ευρωπαϊκών Κοινοτήτων.

6. Για τα θέματα που αφορούν το προσωπικό του, ο ευρωπαίος επόπτης προστασίας δεδομένων εξομοιούται με τα όργανα κατά την έννοια του άρθρου 1 του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων.

Άρθρο 44

Ανεξαρτησία

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων απολαύει πλήρους ανεξαρτησίας κατά την εκτέλεση των καθηκόντων του.

2. Κατά την εκτέλεση των καθηκόντων του, ο ευρωπαίος επόπτης προστασίας δεδομένων δεν ζητά ούτε δέχεται εντολές από οιονδήποτε.

3. Ο ευρωπαίος επόπτης προστασίας δεδομένων απέχει από οποιαδήποτε πράξη η οποία δεν συμβιβάζεται με τα καθήκοντά του και δεν ασκεί, κατά τη διάρκεια της θητείας του, καμία άλλη επαγγελματική δραστηριότητα, αμειβόμενη ή μη.

4. Μετά τη λήξη της θητείας του, ο ευρωπαίος επόπτης προστασίας δεδομένων υποχρεούται να συμπεριφέρεται με ακεραιότητα και διακριτικότητα σε σχέση με την αποδοχή ορισμένων θέσεων και ευεργετημάτων.

Άρθρο 45

Επαγγελματικό απόρρητο

Ο ευρωπαίος επόπτης προστασίας δεδομένων και το προσωπικό του υποχρεούνται, τόσο κατά τη διάρκεια της θητείας τους όσο και μετά τη λήξη της, να τηρούν το επαγγελματικό απόρρητο όσον αφορά οιεσδήποτε εμπιστευτικές πληροφορίες που έχουν περιέλθει σε γνώση τους κατά την εκτέλεση των καθηκόντων τους.

Άρθρο 46

Καθήκοντα

Ο ευρωπαίος επόπτης προστασίας δεδομένων:

α) ακούει και εξετάζει τις ενστάσεις και ενημερώνει το υποκείμενο των δεδομένων για τα αποτελέσματα της έρευνάς του εντός ευλόγου προθεσμίας,

β) διενεργεί έρευνες είτε με δική του πρωτοβουλία είτε βάσει ένστασης, και ενημερώνει τα υποκείμενα των δεδομένων για τα αποτελέσματα της έρευνάς του εντός εύλογου προθεσμίας,

γ) ελέγχει και διασφαλίζει την εφαρμογή του παρόντος κανονισμού και κάθε άλλης κοινοτικής πράξης που αφορά την προστασία φυσικών προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα από όργανο ή οργανισμό της Κοινότητας, με εξαίρεση το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων, στα πλαίσια της άσκησης των δικαιοδοτικών του καθηκόντων,

δ) συμβουλεύει το σύνολο των οργάνων και οργανισμών της Κοινότητας, είτε με δική του πρωτοβουλία είτε αφού ζητηθεί η γνώμη του επί όλων των θεμάτων που άπτονται της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ιδίως πριν από τη θέσπιση εσωτερικών κανόνων σχετικά με την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα εν λόγω όργανα και οργανισμούς,

ε) παρακολουθεί τις εξελίξεις που παρουσιάζουν ενδιαφέρον, στο μέτρο που έχουν επιπτώσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως τις εξελίξεις της τεχνολογίας της πληροφορίας και των επικοινωνιών,

στ) i) συνεργάζεται με τις εθνικές εποπτεύουσες αρχές, που αναφέρονται στο άρθρο 28 της οδηγίας 95/46/ΕΚ, των χωρών στις οποίες εφαρμόζεται η εν λόγω οδηγία, στο βαθμό που τούτο είναι αναγκαίο για την εκτέλεση των αντιστοίχων καθηκόντων τους, ιδίως ανταλλάσσοντας κάθε χρήσιμη πληροφορία, καλώντας τις αρχές ή τους φορείς αυτούς να ασκήσουν τις εξουσίες τους ή ανταποκρινόμενος σε αιτήματα των αρχών ή φορέων αυτών,

ii) συνεργάζεται επίσης με τους εποπτικούς φορείς προστασίας δεδομένων που συνιστώνται δυνάμει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση, ιδίως προκειμένου να βελτιωθεί η συνοχή στην εφαρμογή των κανόνων και διαδικασιών των οποίων την τήρηση έχουν αντιστοίχως αναλάβει να εξασφαλίζουν.

ζ) συμμετέχει στις εργασίες της ομάδας προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία έχει συσταθεί δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ,

η) καθορίζει, αιτιολογεί και δημοσιοποιεί τις εξαιρέσεις, τις εγγυήσεις, τις άδειες και τις προϋποθέσεις που αναφέρονται στο άρθρο 10 παράγραφος 2 στοιχείο β), παράγραφοι 4, 5 και 6, στο άρθρο 12 παράγραφος 2, στο άρθρο 19 και στο άρθρο 37 παράγραφος 2,

θ) τηρεί μητρώο με τις επεξεργασίες οι οποίες του κοινοποιούνται δυνάμει του άρθρου 27 παράγραφος 2 και οι οποίες καταγράφονται σύμφωνα με το άρθρο 27 παράγραφος 5, και παρέχει τα μέσα πρόσβασης στα μητρώα που τηρούν οι υπεύθυνοι προστασίας δεδομένων κατ' εφαρμογήν του άρθρου 26,

ι) διενεργεί προκαταρκτικό έλεγχο επί των επεξεργασιών που του κοινοποιούνται,

ια) θεσπίζει τον εσωτερικό του κανονισμό.

Άρθρο 47

Αρμοδιότητες

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων μπορεί:

α) να παρέχει συμβουλές στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους,

β) να εντέλλεται τον υπεύθυνο της επεξεργασίας δεδομένων να επιληφθεί σε περίπτωση προβαλλόμενης παραβίασης των διατάξεων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, ενδεχομένως, να διατυπώνει προτάσεις για την επανόρθωση αυτής της παραβίασης και τη βελτίωση της προστασίας των υποκειμένων των δεδομένων,

γ) να εντέλλεται την ικανοποίηση των αιτημάτων για την άσκηση ορισμένων δικαιωμάτων όσον αφορά τα δεδομένα εάν τα εν λόγω αιτήματα έχουν απορριφθεί κατά παράβαση των άρθρων 13 έως 19,

δ) να προειδοποιεί ή να επιπλήττει τον εκάστοτε υπεύθυνο της επεξεργασίας,

ε) να εντέλλεται τη διόρθωση, το κλείδωμα, τη διαγραφή ή την καταστροφή οιουδήποτε δεδομένου που έχει τύχει επεξεργασίας κατά παράβαση των διατάξεων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και την κοινοποίηση των μέτρων αυτών στους τρίτους στους οποίους έχουν κοινολογηθεί τα δεδομένα,

στ) να επιβάλλει προσωρινή ή οριστική απαγόρευση της επεξεργασίας,

ζ) να προσφεύγει στο οικείο όργανο ή οργανισμό και, εάν παρίσταται αναγκαίο, στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή,

η) να προσφεύγει στο Δικαστήριο των Ευρωπαϊκών Κοινοτήτων υπό τους όρους που προβλέπει η συνθήκη,

θ) να παρεμβαίνει στις υποθέσεις που φέρονται ενώπιον του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων.

2. Ο επόπτης της προστασίας δεδομένων είναι εξουσιοδοτημένος:

α) να απαιτεί από έναν υπεύθυνο της επεξεργασίας ή από ένα όργανο ή οργανισμό της Κοινότητας, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλες τις πληροφορίες που απαιτούνται για τις έρευνές του,

β) να απαιτεί πρόσβαση σε όλους τους χώρους στους οποίους ασκεί τις δραστηριότητές του ένας υπεύθυνος επεξεργασίας ή ένα όργανο ή οργανισμός της Κοινότητας, εφόσον ευλόγως εικάζεται ότι ασκείται δραστηριότητα διεπόμενη από τον παρόντα κανονισμό.

Άρθρο 48

Έκθεση πεπραγμένων

1. Ο ευρωπαίος επόπτης προστασίας δεδομένων υποβάλλει κάθε χρόνο στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή έκθεση πεπραγμένων και ταυτόχρονα τη δημοσιεύει.

2. Ο ευρωπαίος επόπτης διαβιβάζει την έκθεση πεπραγμένων στα άλλα όργανα και τους οργανισμούς της Κοινότητας, τα οποία μπορούν να υποβάλλουν σχόλια ενόψει της ενδεχόμενης εξέτασης της έκθεσης στο Ευρωπαϊκό Κοινοβούλιο, ιδίως σε σχέση με την περιγραφή των μέτρων που λαμβάνονται σε απάντηση των παρατηρήσεων του ευρωπαίου επόπτη προστασίας δεδομένων δυνάμει του άρθρου 31.

ΚΕΦΑΛΑΙΟ VI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 49

Κυρώσεις

Κάθε παράλειψη των υποχρεώσεων τις οποίες υπέχει υπάλληλος ή άλλο μέλος του προσωπικού των Ευρωπαϊκών Κοινοτήτων δυνάμει του παρόντος κανονισμού, η οποία διαπράττεται εκ προθέσεως ή εξ αμελείας, επισύρει πειθαρχική κύρωση, σύμφωνα με τις διατάξεις του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων ή του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό.

Άρθρο 50

Μεταβατική περίοδος

Τα όργανα και οι οργανισμοί της Κοινότητας λαμβάνουν τα αναγκαία μέτρα προκειμένου όλες οι εργασίες επεξεργασίας που έχουν ήδη αρχίσει κατά την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού, να συμμορφούνται με τις διατάξεις του, εντός προθεσμίας ενός έτους από την εν λόγω ημερομηνία.

Άρθρο 51

Έναρξη ισχύος

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 18 Δεκεμβρίου 2000.

Για το Ευρωπαϊκό Κοινοβούλιο

Η Πρόεδρος

N. Fontaine

Για το Συμβούλιο

Ο Πρόεδρος

D. Voynet

(1) ΕΕ C 376 Ε της 28.12.1999, σ. 24.

(2) ΕΕ C 51 της 23.2.2000, σ. 48.

(3) Γνώμη του Ευρωπαϊκού Κοινοβουλίου της 14ης Νοεμβρίου 2000 και απόφαση του Συμβουλίου της 30ής Νοεμβρίου 2000.

(4) ΕΕ L 281 της 23.11.1995, σ. 31.

(5) ΕΕ L 24 της 30.1.1998, σ. 1.

(6) ΕΕ L 52 της 22.2.1997, σ. 1.

(7) ΕΕ L 318 της 27.11.1998, σ. 8.

(8) ΕΕ L 151, 15.6.1990, σ. 1· κανονισμός όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 322/97 (ΕΕ L 52 της 22.2.1997, σ. 1).

ΠΑΡΑΡΤΗΜΑ

1. Ο υπεύθυνος προστασίας δεδομένων δύναται να διατυπώνει συστάσεις, για τη βελτίωση της προστασίας δεδομένων από πρακτική άποψη, προς το όργανο ή τον οργανισμό της Κοινότητας που τον διόρισε και να τα συμβουλεύει, καθώς και τον υπεύθυνο της εκάστοτε επεξεργασίας, σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων περί της προστασίας δεδομένων. Πέραν αυτού, μπορεί να προβαίνει, είτε με δική του πρωτοβουλία, είτε κατόπιν αιτήσεως του οργάνου ή του οργανισμού της Κοινότητας που τον διόρισε, του υπευθύνου της επεξεργασίας, της οικείας επιτροπής προσωπικού ή κάθε φυσικού προσώπου, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και που υποπίπτουν στην αντίληψή του και να αναφέρει στο πρόσωπο το οποίο ζήτησε την έρευνα ή στον υπεύθυνο της επεξεργασίας.

2. Είναι δυνατόν να ζητείται άμεσα η γνώμη του υπεύθυνου προστασίας δεδομένων, χωρίς να ακολουθηθεί η επίσημη οδός, σχετικά με οποιοδήποτε θέμα άπτεται της ερμηνείας ή της εφαρμογής του παρόντος κανονισμού, από το όργανο ή τον οργανισμό της Κοινότητας που τον διόρισε, τον υπεύθυνο της επεξεργασίας ή την οικεία επιτροπή προσωπικού ή ακόμα από κάθε φυσικό πρόσωπο.

3. Ουδείς επιτρέπεται να υποστεί ζημία διότι φέρει εις γνώσιν του υπευθύνου προστασίας δεδομένων που είναι αρμόδιος, γεγονός το οποίο ισχυρίζεται ότι συνιστά παραβίαση των διατάξεων του παρόντος κανονισμού.

4. Κάθε αφορώμενος υπεύθυνος επεξεργασίας υποχρεούται να επικουρεί τον υπεύθυνο προστασίας δεδομένων στην εκπλήρωση των καθηκόντων του και να του παρέχει τις πληροφορίες που ζητάει. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων έχει πρόσβαση, ανά πάσα στιγμή, στα δεδομένα που αποτελούν αντικείμενο των εργασιών επεξεργασίας, σε όλους τους χώρους, εγκαταστάσεις επεξεργασίας δεδομένων και υποθέματα πληροφοριών.

5. Ο υπεύθυνος προστασίας δεδομένων απαλλάσσεται από άλλα καθήκοντα στο βαθμό που τούτο είναι αναγκαίο. Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό του, στους οποίους εφαρμόζεται το άρθρο 287 της συνθήκης, υποχρεούνται να μην κοινολογούν πληροφορίες ή έγγραφα τα οποία περιέρχονται εις γνώσιν ή στην κατοχή τους στο πλαίσιο της άσκησης των καθηκόντων τους.