6.12.2005   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 308/1


Διατάξεις εφαρμογής όσον αφορά τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών

Απόφαση του προεδρείου της 22ας Ιουνίου 2005

(2005/C 308/01)

ΤΟ ΠΡΟΕΔΡΕΙΟ,

έχοντας υπόψη την Συνθήκη περί ιδρύσεως της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο της 286,

έχοντας υπόψη τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 18ης Δεκεμβρίου 2000 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, και ιδίως το άρθρο του 24, παράγραφος 8,

έχοντας υπόψη το άρθρο 22, παράγραφος 2, του κανονισμού του Ευρωπαϊκού Κοινοβουλίου,

εκτιμώντας τα ακόλουθα:

(1)

Ο κανονισμός (ΕΚ) αριθ. 45/2001, (αποκαλούμενος κατωτέρω ο «κανονισμός»), καθορίζει τις αρχές και τους κανόνες που εφαρμόζονται σε όλα τα όργανα και τους οργανισμούς της Κοινότητας και προβλέπει το διορισμό, από κάθε όργανο και οργανισμό της Κοινότητας, ενός υπευθύνου προστασίας δεδομένων.

(2)

Το άρθρο 24, παράγραφος 8, του κανονισμού προβλέπει σύμφωνα με τις διατάξεις που περιλαμβάνονται στο παράρτημα ότι κάθε όργανο ή οργανισμός της Κοινότητας θεσπίζει συμπληρωματικές διατάξεις εφαρμογής. Αυτές οι συμπληρωματικές διατάξεις αφορούν, ειδικότερα, τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπευθύνου προστασίας δεδομένων.

(3)

Οι διατάξεις εφαρμογής αποβλέπουν στον προσδιορισμό των διαδικασιών που επιτρέπουν στα υποκείμενα δεδομένων να ασκούν τα δικαιώματά τους και σε όλα τα πρόσωπα τα οποία, στους κόλπους των οργάνων ή οργανισμών της Κοινότητας, παρεμβαίνουν στον τομέα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να εκπληρώνουν τις υποχρεώσεις τους.

ΑΠΟΦΑΣΙΖΕΙ:

Άρθρο 1

Αντικείμενο

1.   Η παρούσα απόφαση θεσπίζει τις γενικές διατάξεις εφαρμογής του κανονισμού, όσον αφορά το Ευρωπαϊκό Κοινοβούλιο. Ειδικότερα, συμπληρώνει τις διατάξεις του κανονισμού όσον αφορά τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του ή των υπευθύνων προστασίας δεδομένων του Ευρωπαϊκού Κοινοβουλίου.

2.   Εξάλλου, καθορίζονται οι όροι άσκησης των δικαιωμάτων του υποκείμενου δεδομένων καθώς και η διαδικασία κοινοποίησης της επεξεργασίας και η διαδικασία πρόσβασης στο μητρώο επεξεργασιών που τηρείται από τον υπεύθυνο προστασίας δεδομένων.

Άρθρο 2

Διορισμός, καθεστώς και ανεξαρτησία

1.   Ο Γενικός Γραμματέας διορίζει τον υπεύθυνο προστασίας δεδομένων, που επιλέγεται μεταξύ των υπαλλήλων των οργάνων και οργανισμών της Κοινότητας, σε συνάρτηση με τα προσωπικά και επαγγελματικά του προσόντα και, ιδίως, των ειδικών γνώσεών του στον τομέα της προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων προσωπικού χαρακτήρα διορίζεται σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 29 του Κανονισμού Υπηρεσιακής Κατάστασης των Υπαλλήλων.

2.   Ο Γενικός Γραμματέας γνωστοποιεί στον Ευρωπαίο Επόπτη προστασίας δεδομένων το όνομα του υπευθύνου προστασίας δεδομένων.

3.   Για την άσκηση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων απαλλάσσεται από άλλα καθήκοντα στους κόλπους του Ευρωπαϊκού Κοινοβουλίου. Μπορεί να ασκεί άλλα καθήκοντα εφόσον αυτά δεν συνιστούν σύγκρουση συμφερόντων με τα καθήκοντα του υπευθύνου, ειδικότερα, στο πλαίσιο της εφαρμογής των διατάξεων του κανονισμού.

4.   Ο υπεύθυνος προστασίας δεδομένων διορίζεται για περίοδο πέντε ετών που ανανεώνεται μια μόνο φορά. Είναι δυνατόν να απαλλάσσεται από τα καθήκοντά του μόνον με τη συγκατάθεση του Ευρωπαίου Επόπτη προστασίας δεδομένων, και τούτο μόνον εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του. Η διαβούλευση με τον Επόπτη πραγματοποιείται εγγράφως, με αντίγραφο κοινοποιούμενο στον υπεύθυνο.

5.   Ο υπεύθυνος προστασίας δεδομένων είναι ανεξάρτητος στην άσκηση των καθηκόντων του. Δεν λαμβάνει συναφώς κανενός είδους εντολές, ιδίως εκ μέρους της αρμόδιας για τους διορισμούς αρχής (AΔΑ), του Γενικού Γραμματέα ή κάθε άλλης προέλευσης όσον αφορά την εσωτερική εφαρμογή των διατάξεων του κανονισμού ή τη συνεργασία του με τον Ευρωπαίο Επόπτη προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων απέχει από οποιαδήποτε πράξη η οποία δεν συμβιβάζεται με τον χαρακτήρα των καθηκόντων του.

6.   Ο υπεύθυνος προστασίας δεδομένων επισημαίνει στις αρμόδιες αρχές του Ευρωπαϊκού Κοινοβουλίου τον αναγκαίο αριθμό προσωπικού και πόρων για την εκτέλεση της αποστολής του. Εξάλλου, μπορεί να προσφύγει σε εξωτερικό ειδικευμένο προσωπικό για να τον συνδράμει κατά την εκπλήρωση των καθηκόντων του.

7.   Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό του υπόκεινται ανά πάσα στιγμή στους κανονισμούς και διατάξεις του Κανονισμού Υπηρεσιακής Κατάστασης των Υπαλλήλων και του καθεστώτος που εφαρμόζεται στους λοιπούς υπαλλήλους.

8.   Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό του, στους οποίους εφαρμόζεται το άρθρο 287 της Συνθήκης υπόκεινται, ακόμη και μετά την παύση των καθηκόντων τους, στο επαγγελματικό απόρρητο όσον αφορά όλα τα εμπιστευτικά έγγραφα ή τις πληροφορίες που περιέρχονται εις γνώσιν ή στην κατοχή τους κατά την άσκηση των καθηκόντων τους.

Άρθρο 2α

Αναπληρωτές υπεύθυνοι

1.   Ο Γενικός Γραμματέας μπορεί να διορίσει αναπληρωτές υπευθύνους προστασίας δεδομένων. Το άρθρο 2, παράγραφοι 4, 5, 7 και 8 εφαρμόζεται επίσης στους αναπληρωτές υπευθύνους.

2.   Ο υπεύθυνος, οι αναπληρωτές υπεύθυνοι και το προσωπικό υποστήριξης αποτελούν αναπόσπαστο τμήμα της υπηρεσίας «Προστασία δεδομένων προσωπικού χαρακτήρα». Η υπηρεσία αυτή διευθύνεται από τον υπεύθυνο.

3.   Ο υπεύθυνος μπορεί να επικουρείται στο σύνολο των καθηκόντων του ή να αναπληρώνεται, σε περίπτωση απουσίας ή κωλύματος, από έναν αναπληρωτή.

Άρθρο 3

Καθήκοντα

1.   Ο υπεύθυνος προστασίας δεδομένων μεριμνά, στους κόλπους του Ευρωπαϊκού Κοινοβουλίου, για την εφαρμογή των διατάξεων του κανονισμού. Εκτελεί τα καθήκοντά του σε συνεργασία με τον Ευρωπαίο Επόπτη προστασίας δεδομένων.

2.   Κάθε πρόσωπο, και ιδίως τα υποκείμενα των δεδομένων, μπορεί ανά πάσα στιγμή να ζητήσει τη γνώμη του υπευθύνου για κάθε ζήτημα που έχει σχέση με την εφαρμογή του κανονισμού. Ειδικότερα, ο υπεύθυνος υποχρεούται να παρέχει συμβουλές στην υπηρεσία Μητρώου προκειμένου να τηρούνται οι διατάξεις της απόφασης του Προεδρείου της 28ης Νοεμβρίου 2001 σχετικά με την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου.

3.   Ο υπεύθυνος προστασίας δεδομένων εκπροσωπεί τη Γενική Γραμματεία του Κοινοβουλίου όσον αφορά όλα τα θέματα που συνδέονται με την προστασία δεδομένων· μπορεί ιδίως να συμμετάσχει σε συνεδριάσεις επιτροπών ή σχετικών φορέων σε διεθνές επίπεδο.

Άρθρο 4

Αρμοδιότητες

Οι αρμοδιότητες του υπευθύνου προστασίας δεδομένων είναι οι ακόλουθες:

Ενημέρωση: ο υπεύθυνος ενημερώνει τους υπευθύνους επεξεργασίας του Ευρωπαϊκού Κοινοβουλίου και τα υποκείμενα των δεδομένων όσον αφορά τα δικαιώματα και τις υποχρεώσεις τους στο πλαίσιο του παρόντος κανονισμού. Για το σκοπό αυτό παρέχει τις αναγκαίες πληροφορίες όσον αφορά την ισχύουσα νομοθεσία, τις τρέχουσες διαδικασίες, τα υφιστάμενα κοινοποιηθέντα αρχεία και διευκολύνει την άσκηση των δικαιωμάτων και υποχρεώσεων.

Αιτήσεις του Ευρωπαίου Επόπτη: ο υπεύθυνος ανταποκρίνεται στα αιτήματα του Ευρωπαίου Επόπτη προστασίας δεδομένων.

Συνεργασία με τον Ευρωπαίο Επόπτη: ο υπεύθυνος συνεργάζεται με τον Ευρωπαίο Επόπτη, στον τομέα της αρμοδιότητάς του, είτε κατόπιν αιτήματος του τελευταίου είτε με δική του πρωτοβουλία, ιδίως κατά την εξέταση των καταγγελιών και την άσκηση των καθηκόντων επιθεώρησης.

Ενημέρωση του Ευρωπαίου Επόπτη: ο υπεύθυνος ενημερώνει τον Ευρωπαίο Επόπτη όσον αφορά τα νέα περιστατικά που σημειώθηκαν στο Ευρωπαϊκό Κοινοβούλιο τα οποία παρουσιάζουν ενδιαφέρον για την προστασία δεδομένων προσωπικού χαρακτήρα.

Μητρώο επεξεργασιών: ο υπεύθυνος τηρεί μητρώο με τις επεξεργασίες που διενεργούν οι υπεύθυνοι της επεξεργασίας σύμφωνα με το άρθρο 26 του κανονισμού και διευκολύνει κάθε πρόσωπο να συμβουλεύεται αυτό το μητρώο.

Κοινοποίηση των επεξεργασιών οι οποίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους: ο υπεύθυνος κοινοποιεί στον Ευρωπαίο Επόπτη προστασίας δεδομένων κάθε πράξη επεξεργασίας που ενδέχεται να παρουσιάσει ιδιαίτερους κινδύνους σύμφωνα με το άρθρο 27 του κανονισμού. Σε περίπτωση αμφιβολιών όσον αφορά την ανάγκη προηγουμένου ελέγχου, ο υπεύθυνος προστασίας δεδομένων ζητεί τη γνώμη του Ευρωπαίου Επόπτη προστασίας δεδομένων.

Διασφάλιση των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων: ο υπεύθυνος προστασίας δεδομένων μεριμνά ώστε η επεξεργασία να μην μπορεί να θίξει τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και διασφαλίζει ότι κανένα πρόσωπο δεν θα υποστεί βλάβη για το λόγο ότι επεσήμανε στον υπεύθυνο προστασίας δεδομένων ένα περιστατικό για το οποίο ισχυρίζεται ότι συνιστά παράβαση των διατάξεων του κανονισμού.

Άρθρο 5

Εξουσίες

1.   Για την εκπλήρωση των καθηκόντων του και σύμφωνα με τους όρους που προβλέπονται στον κανονισμό, ο υπεύθυνος προστασίας δεδομένων μπορεί:

να προβεί κατόπιν ιδίας πρωτοβουλίας σε συστάσεις στους υπευθύνους επεξεργασίας ή στο Γενικό Γραμματέα σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων περί της προστασίας δεδομένων ή που περιλαμβάνονται στις παρούσες διατάξεις εφαρμογής·

να διερευνήσει ζητήματα και περιστατικά είτε με δική του πρωτοβουλία είτε κατόπιν αιτήσεως του υπευθύνου της επεξεργασίας, της Επιτροπής Προσωπικού του Ευρωπαϊκού Κοινοβουλίου ή κάθε φυσικού προσώπου, τα οποία σχετίζονται ευθέως με τα καθήκοντά του του και τα οποία περιήλθαν στη γνώση του. Η εξέταση αυτή πρέπει να σέβεται την αρχή της αμεροληψίας και τα δικαιώματα του ενεχομένου προσώπου. Ο υπεύθυνος προστασίας δεδομένων διαβιβάζει το αποτέλεσμα της εξέτασής του στο πρόσωπο το οποίο το ζήτησε και στον υπεύθυνο της επεξεργασίας·

να γνωστοποιεί στο Γενικό Γραμματέα κάθε παράβαση των διατάξεων του κανονισμού·

να συμμετέχει τακτικά σε συνεδριάσεις με τον Ευρωπαίο Επόπτη επεξεργασίας δεδομένων και/ή τους υπευθύνους προστασίας δεδομένων των άλλων θεσμικών οργάνων και οργανισμών, προκειμένου να προβαίνει σε αμοιβαία ανταλλαγή πληροφοριών, να διασφαλίζει διοργανική συνεργασία και να εναρμονίζει την εφαρμογή των ισχυουσών διατάξεων.

να εκπονεί ετήσια έκθεση δραστηριότητας προς το Γενικό Γραμματέα και τον Ευρωπαίο Επόπτη προστασίας δεδομένων σχετικά με τις δραστηριότητες στον τομέα της προστασίας δεδομένων του Ευρωπαϊκού Κοινοβουλίου, στην οποία έχει πρόσβαση το προσωπικό του Ευρωπαϊκού Κοινοβουλίου.

να εκδίδει γνωμοδότηση όσον αφορά το σύννομο των, υφιστάμενων ή σχεδιαζόμενων, πράξεων επεξεργασίας όσον αφορά τα απαιτούμενα μέτρα για τη διασφάλιση του συννόμου των τελευταίων, ή όσον αφορά τον πρόσφορο ή μη πρόσφορο χαρακτήρα των δεδομένων ή των μέτρων ασφαλείας. Η γνωμοδότηση μπορεί, ειδικότερα, να αφορά κάθε θέμα που συνδέεται με την κοινοποίηση των πράξεων επεξεργασίας δεδομένων.

2.   Ο υπεύθυνος προστασίας δεδομένων έχει πρόσβαση, ανά πάσα στιγμή, στα δεδομένα που αποτελούν αντικείμενο των εργασιών επεξεργασίας, σε όλους τους χώρους, όλες τις εγκαταστάσεις επεξεργασίας δεδομένων και σε όλα τα υποθέματα πληροφοριών.

Άρθρο 6

Διαδικασία κοινοποίησης των επεξεργασιών

1.   Πριν αναλάβει επεξεργασία δεδομένων, και αρκετά έγκαιρα προκειμένου να επιτραπεί η διενέργεια ενδεχομένου προηγουμένου ελέγχου σύμφωνα με την έννοια του άρθρου 27, παράγραφος 3, του κανονισμού, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά τον υπεύθυνο προστασίας δεδομένων. Για το σκοπό αυτό, μπορεί να χρησιμοποιήσει το έντυπο κοινοποίησης που διατίθεται στον τίτλο intranet του Ευρωπαϊκού Κοινοβουλίου. Εν πάση περιπτώσει, η κοινοποίηση πρέπει να τηρεί τις διατάξεις της παραγράφου 3. Η κοινοποίηση πρέπει να έχει υπογραφεί από τον υπεύθυνο επεξεργασίας και διαβιβαστεί στην υπηρεσία «Προστασία Δεδομένων Προσωπικού Χαρακτήρα» με εσωτερικό ταχυδρομείο, με ηλεκτρονικό ταχυδρομείο ή με τηλεομοιοτυπία. Στις δύο τελευταίες περιπτώσεις, το πρωτότυπο υπογεγραμμένο σε υπόθεμα χάρτου πρέπει να περιέρχεται στην υπηρεσία «Προστασία Δεδομένων» εντός προθεσμίας 10 ημερολογιακών ημερών μετά τη διαβίβαση.

2.   Για τις επεξεργασίες που εκκρεμούν ήδη κατά την ημερομηνία θέσεως σε ισχύ του κανονισμού, δηλαδή την 1η Φεβρουαρίου 2002, ο υπεύθυνος επεξεργασίας κοινοποιεί αμέσως τις υφιστάμενες επεξεργασίες σύμφωνα με τη διαδικασία κοινοποίησης που περιγράφεται στην παράγραφο 1.

3.   Τα παρεχόμενα πληροφοριακά στοιχεία περιλαμβάνουν:

α)

το όνομα και τη διεύθυνση του υπευθύνου της επεξεργασίας καθώς και μνεία των υπηρεσιών του Ευρωπαϊκού Κοινοβουλίου που είναι επιφορτισμένες με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για έναν συγκεκριμένο σκοπό·

β)

τον σκοπό ή τους σκοπούς της επεξεργασίας·

γ)

περιγραφή της κατηγορίας ή των κατηγοριών των υποκειμένων των δεδομένων και των δεδομένων ή κατηγοριών δεδομένων στα οποία αναφέρονται·

δ)

τη νομική βάση της επεξεργασίας για την οποία προορίζονται τα δεδομένα·

ε)

τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ενδέχεται να ανακοινωθούν τα δεδομένα·

στ)

γενική ένδειξη των καταληκτικών ημερομηνιών για το κλείδωμα και τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

ζ)

τις προτεινόμενες διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς, καθώς και προς αποδέκτες που υπόκεινται στην εθνική νομοθεσία κράτους μέλους·

η)

γενική περιγραφή που να επιτρέπει την προκαταρκτική αξιολόγηση σχετικά με την καταλληλότητα των μέτρων που λαμβάνονται κατ' εφαρμογή του άρθρου 22 με σκοπό την κατοχύρωση της ασφάλειας της επεξεργασίας .

4.   Οποιαδήποτε μεταβολή η οποία επηρεάζει τα αναφερόμενα στην παράγραφο 3 πληροφοριακά στοιχεία γνωστοποιείται ταχέως στον υπεύθυνο προστασίας δεδομένων.

Άρθρο 7

Μητρώο επεξεργασιών

1.   Ο υπεύθυνος προστασίας δεδομένων τηρεί μητρώο των επεξεργασιών που του κοινοποιούνται δυνάμει του άρθρου 6. Το μητρώο αυτό αναφέρει λεπτομερώς όλες τις επεξεργασίες που κοινοποιούνται που πραγματοποιήθηκαν στο Ευρωπαϊκό Κοινοβούλιο και αναφέρει, ιδίως, την υπηρεσία που είναι υπεύθυνη της επεξεργασίας, τα δεδομένα τα οποία έτυχαν επεξεργασίας και τον επιδιωκόμενο σκοπό.

Το μητρώο αυτό προορίζεται για την ενημέρωση κάθε προσώπου και, εξάλλου, διευκολύνει την άσκηση των δικαιωμάτων που αναγνωρίζονται στο υποκείμενο δεδομένων τα οποία αναφέρονται στα άρθρα 13 έως 19 του κανονισμού.

2.   Το μητρώο περιλαμβάνει τις πληροφορίες που προβλέπονται στο άρθρο 6, παράγραφος 3, σημεία α) έως ζ) της παρούσας απόφασης .

3.   Ο υπεύθυνος μπορεί να λαμβάνει πρωτοβουλίες οι οποίες στοχεύουν στη διόρθωση των δεδομένων που περιλαμβάνονται στο μητρώο εφόσον το κρίνει αναγκαίο, προκειμένου να διασφαλίσει την ακρίβεια αυτών.

Άρθρο 8

Γενικές διατάξεις σχετικά με την άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων

1.   Τα δικαιώματα πρόσβασης, διόρθωσης, κλειδώματος, διαγραφής και αντίταξης μπορούν να ασκούνται μόνον από το υποκείμενο δεδομένων είτε από τον εκπρόσωπό του δεόντως εξουσιοδοτημένο.

2.   Η αίτηση άσκησης ενός εξ αυτών των δικαιωμάτων πρέπει να απευθύνεται στον υπεύθυνο επεξεργασίας. Το έντυπο είναι διαθέσιμο σε ηλεκτρονική μορφή στον τίτλo intranet του Ευρωπαϊκού Κοινοβουλίου. Η αίτηση πρέπει να περιλαμβάνει:

επώνυμο, όνομα και στοιχεία του υποκείμενου των δεδομένων,

αναφορά του ασκούμενου δικαιώματος,

ενδεχομένως, έγγραφα πιστοποιούντα την αίτησή του,

την (τις) κατηγορία(-ες) των ενεχομένων δεδομένων,

την υπογραφή του και την ημερομηνία της αίτησης.

Η αίτηση είναι δυνατόν να διαβιβαστεί με εσωτερικό ή εξωτερικό ταχυδρομείο, με ηλεκτρονικό ταχυδρομείο ή με τηλεομοιοτυπία που επιτρέπει να πιστοποιηθεί η διαβίβαση και η παραλαβή της αίτησης. Σε περίπτωση λαθών ή παραλείψεων στην αίτηση, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει συμπληρωματικές πληροφορίες. Ο υπεύθυνος επεξεργασίας υποχρεούται να επαληθεύσει τη νομιμοποίηση του αιτούντος.

3.   Ο υπεύθυνος επεξεργασίας υποχρεούται να απαντήσει στην αίτηση άσκησης των δικαιωμάτων, ακόμα και εν απουσία των προσωπικών δεδομένων που έτυχαν επεξεργασίας στο αρχείο. Απόδειξη παραλαβής αποστέλλεται στον αιτούντα εντός προθεσμίας 5 εργασίμων ημερών από της παραλαβής της αιτήσεως. Ωστόσο, ο υπεύθυνος δεν υποχρεούται να αποστείλει απόδειξη παραλαβής σε περίπτωση απάντησης επί της ουσίας στην αίτηση εντός της ιδίας προθεσμίας των 5 εργασίμων ημερών. Η απάντηση διαβιβάζεται δια του ιδίου μέσου που χρησιμοποίησε το υποκείμενο των δεδομένων.

4.   Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει στο υποκείμενο δεδομένων το δικαίωμά του να υποβάλει ένσταση στον Ευρωπαίο Επόπτη προστασίας δεδομένων εφόσον αυτό κρίνει ότι παραβιάστηκαν τα δικαιώματα τα οποία του αναγνωρίζονται στο άρθρο 286 της Συνθήκης κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

5.   Η άσκηση όλων αυτών των δικαιωμάτων γίνεται ατελώς για το υποκείμενο δεδομένων.

6.   Είναι δυνατόν να απορριφθεί η αίτηση άσκησης δικαιώματος στις περιπτώσεις που προβλέπονται στο άρθρο 20 του κανονισμού, υπό την επιφύλαξη της εφαρμογής του άρθρου 17 της παρούσας απόφασης.

Άρθρο 9

Δικαίωμα πρόσβασης

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει ανεμπόδιστα ανά πάσα στιγμή, εντός προθεσμίας τριών μηνών από την παραλαβή της αίτησης παροχής πληροφοριών και ατελώς, από τον υπεύθυνο της επεξεργασίας:

επιβεβαίωση για το κατά πόσον διενεργείται ή όχι επεξεργασία δεδομένων που το αφορούν·

πληροφορίες τουλάχιστον σχετικά με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων που αφορά και τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνονται τα δεδομένα·

ανακοίνωση, με εύληπτο τρόπο, των υπό επεξεργασία δεδομένων καθώς και κάθε διαθέσιμης πληροφορίας σχετικά με την προέλευσή τους·

ενημέρωση σχετικά με τη λογική στην οποία στηρίζεται η αυτοματοποιημένη επεξεργασία δεδομένων που το αφορούν.

2.   Το υποκείμενο των δεδομένων έχει πρόσβαση σε προσωπικά δεδομένα με:

επί τόπου πρόσβαση σε αυτά·

χορήγηση επικυρωμένου αντιγράφου που καταρτίζεται από τον υπεύθυνο επεξεργασίας·

χορήγηση ηλεκτρονικού αντιγράφου·

άλλα μέσα που διαθέτει ο υπεύθυνος επεξεργασίας και είναι προσαρμοσμένα στη μορφή του αρχείου.

Άρθρο 10

Δικαίωμα διόρθωσης

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, από τον υπεύθυνο της επεξεργασίας, αμελλητί τη διόρθωση δεδομένων προσωπικού χαρακτήρα που είναι ανακριβή ή ελλιπή.

2.   Η αίτηση διόρθωσης πρέπει να προσδιορίζει τα δεδομένα που πρέπει να διορθωθούν και τη διόρθωση που πρέπει να γίνει. Ενδεχομένως, η αίτηση είναι δυνατόν να συνοδεύεται από δικαιολογητικά.

3.   Εάν η αίτηση διόρθωσης γίνει δεκτή, πρέπει να εκτελεστεί αμελλητί και το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Στην περίπτωση απόρριψης μιας αίτησης διόρθωσης, ο υπεύθυνος επεξεργασίας διαθέτει προθεσμία 15 εργασίμων ημερών προκειμένου να ενημερώσει το υποκείμενο των δεδομένων με αιτιολογημένη επιστολή.

Άρθρο 11

Δικαίωμα κλειδώματος

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας το κλείδωμα των δεδομένων, όταν:

α)

η ακρίβειά τους αμφισβητείται από το υποκείμενο των δεδομένων, κατά τη διάρκεια προθεσμίας που επιτρέπει στον υπεύθυνο της επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων, συμπεριλαμβανομένης της πληρότητας αυτών, ή

β)

ο υπεύθυνος της επεξεργασίας δεν τα χρειάζεται πλέον για την εκτέλεση των καθηκόντων του, αλλά τα δεδομένα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ή

γ)

η επεξεργασία των δεδομένων είναι παράνομη, και το υποκείμενο των δεδομένων αντιτίθεται στη διαγραφή τους και ζητά αντ' αυτής το κλείδωμά τους.

2.   Η αίτηση κλειδώματος πρέπει να προσδιορίζει τα δεδομένα που θα κλειδωθούν. Το υποκείμενο των δεδομένων που ζήτησε και εξασφάλισε το κλείδωμα ενημερώνεται σχετικά από τον υπεύθυνο επεξεργασίας. Ενημερώνεται επίσης για την άρση του κλειδώματος, τουλάχιστον 15 εργάσιμες ημέρες πριν αυτή πραγματοποιηθεί.

3.   Ο υπεύθυνος επεξεργασίας πρέπει να αποφανθεί εντός προθεσμίας 15 εργασίμων ημερών από της παραλαβής της αιτήσεως κλειδώματος. Εάν η αίτηση γίνει δεκτή, πρέπει να εκτελεστεί εντός προθεσμίας 30 εργασίμων ημερών και το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Σε περίπτωση απορρίψεως της αιτήσεως κλειδώματος, ο υπεύθυνος της επεξεργασίας υποχρεούται να ενημερώσει σχετικά το υποκείμενο των δεδομένων με αιτιολογημένη επιστολή εντός προθεσμίας 15 εργασίμων ημερών.

4.   Στην περίπτωση των αυτοματοποιημένων αρχείων, το κλείδωμα πραγματοποιείται με τεχνικές μεθόδους. Το γεγονός ότι τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα έχουν κλειδωθεί αναγράφεται στο σύστημα κατά τρόπον ώστε να καθίσταται σαφές ότι τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν.

5.   Η επεξεργασία κλειδωμένων κατ' εφαρμογή του παρόντος άρθρου δεδομένων προσωπικού χαρακτήρα, με εξαίρεση την αποθήκευσή τους, επιτρέπεται μόνο για αποδεικτικούς σκοπούς ή με τη συναίνεση του υποκειμένου των δεδομένων ή για την προστασία δικαιωμάτων τρίτων.

Άρθρο 12

Δικαίωμα διαγραφής

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, από τον υπεύθυνο της επεξεργασίας, τη διαγραφή δεδομένων εάν η επεξεργασία τους είναι παράνομη.

2.   Η αίτηση διαγραφής πρέπει να προσδιορίζει τα προς διαγραφή δεδομένα. Εάν αμφισβητείται ο παράνομος χαρακτήρας της επεξεργασίας από τον υπεύθυνο επεξεργασίας, αυτός υποχρεούται να αποδείξει το σύννομο χαρακτήρα της επεξεργασίας.

3.   Ο υπεύθυνος επεξεργασίας πρέπει να απαντήσει εντός προθεσμίας 15 εργασίμων ημερών από της παραλαβής της αίτησης διαγραφής. Εάν η αίτηση γίνει δεκτή, πρέπει να εκτελεστεί αμελλητί. Εάν ο υπεύθυνος επεξεργασίας θεωρεί ότι η αίτηση δεν είναι δικαιολογημένη, διαθέτει την προθεσμία των 15 εργασίμων ημερών προκειμένου να ενημερώσει σχετικά το υποκείμενο των δεδομένων με αιτιολογημένη επιστολή.

4.   Η διαγραφή προϋποθέτει την φυσική εξάλειψη των δεδομένων χωρίς να απαιτείται η αντικατάστασή τους από κώδικα ή τη δημιουργία άλλου εναλλακτικού αρχείου με διαγεγραμμένα δεδομένα. Εάν η διαγραφή αποδεικνύεται αδύνατη για τεχνικούς λόγους, ο υπεύθυνος επεξεργασίας θα προβεί στο άμεσο κλείδωμά τους. Το υποκείμενο των δεδομένων ενημερώνεται δεόντως σχετικά με αυτή τη διαδικασία.

Άρθρο 12 α

Κοινοποίηση σε τρίτους

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο της επεξεργασίας την κοινοποίηση στους τρίτους, στους οποίους έχουν γνωστοποιηθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή κλειδώματός τους, σύμφωνα με τα άρθρα 10 έως 12, εκτός αν τούτο αποδεικνύεται αδύνατο ή προϋποθέτει δυσανάλογη προσπάθεια. Στην περίπτωση άρνησης κοινοποίησης σε τρίτους για λόγους αδυναμίας ή δυσανάλογης προσπάθειας, ο υπεύθυνος της επεξεργασίας διαθέτει την προθεσμία των 15 εργασίμων ημερών προκειμένου να ενημερώσει το υποκείμενο δεδομένων με αιτιολογημένη επιστολή.

Άρθρο 13

Δικαίωμα αντίταξης

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιτάσσεται ανά πάσα στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του κατάσταση, στην επεξεργασία δεδομένων που το αφορούν, με εξαίρεση τις περιπτώσεις που εμπίπτουν στο άρθρο 5, στοιχεία β), γ) και δ) του κανονισμού.

2.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται πριν διαβιβαστούν για πρώτη φορά δεδομένα προσωπικού χαρακτήρα σε τρίτους ή πριν γίνει χρήση για λογαριασμό τρίτων, για σκοπούς προώθησης προϊόντων, και να του παρέχεται ρητώς το δικαίωμα να αντιτάσσεται ατελώς στην ανακοίνωση ή τη χρησιμοποίηση αυτή.

3.   Η αίτηση αντίταξης πρέπει να προσδιορίζει το (τα) σχετικό(-ά) δεδομένο(-α).

4.   Ο υπεύθυνος της επεξεργασίας πρέπει να απαντά σε κάθε υποκείμενο δεδομένων εντός της προθεσμίας των 15 εργασίμων ημερών από της παραλαβής της αίτησης αντίταξης. Εάν ο υπεύθυνος επεξεργασίας θεωρεί ότι η αίτηση δεν είναι δικαιολογημένη, ενημερώνει σχετικά το υποκείμενο δεδομένων με αιτιολογημένη επιστολή.

5.   Σε περίπτωση δικαιολογημένης αντίταξης, η εν λόγω επεξεργασία που περιλαμβάνεται στην παράγραφο 1 δεν μπορεί πλέον να αναφέρεται σε αυτά τα δεδομένα.

Άρθρο 14

Διαδικασία ελέγχου

1.   Κάθε υπεύθυνος της σχετικής επεξεργασίας υποχρεούται να παρέχει βοήθεια στον υπεύθυνο προστασίας δεδομένων κατά την εκτέλεση των καθηκόντων του και να του παρέχει τις πληροφορίες τις οποίες ζητεί εντός προθεσμίας 20 εργασίμων ημερών. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων έχει πρόσβαση, ανά πάσα στιγμή, στα δεδομένα που αποτελούν αντικείμενο των πράξεων επεξεργασίας, σε όλους τους χώρους, εγκαταστάσεις επεξεργασίας δεδομένων και υποθέματα πληροφοριών.

2.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να αποφασίσει να πραγματοποιήσει οποιοδήποτε άλλο έλεγχο ανά πάσα στιγμή προκειμένου να διασφαλίσει την καλή εφαρμογή του κανονισμού από το Ευρωπαϊκό Κοινοβούλιο.

Άρθρο 15

Ένδικα μέσα

1.   Κάθε πρόσωπο το οποίο απασχολείται από το Ευρωπαϊκό Κοινοβούλιο δύναται να υποβάλει ένσταση στον Ευρωπαίο Επόπτη προστασίας δεδομένων σύμφωνα με το άρθρο 33 του κανονισμού .Η άσκηση μιας τέτοιας ένστασης δεν αναστέλλει τις προθεσμίες για την άσκηση προσφυγής σύμφωνα με το άρθρο 90 του Κανονισμού Υπηρεσιακής Κατάστασης.

2.   Ανεξαρτήτως του δικαιώματος που προβλέπεται στην παράγραφο 1, κάθε πρόσωπο το οποίο απασχολείται από το Ευρωπαϊκό Κοινοβούλιο δύναται να ασκήσει προσφυγή σύμφωνα με το άρθρο 90 του Κανονισμού Υπηρεσιακής Κατάστασης σχετικά με θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα ενώπιον της ΑΔΑ. Στην περίπτωση αυτή, ο υπεύθυνος προστασίας δεδομένων καλείται από τις αρμόδιες υπηρεσίες να γνωμοδοτήσει.

Άρθρο 16

Περιορισμοί

1.   Ο υπεύθυνος επεξεργασίας μπορεί να περιορίσει τα δικαιώματα που προβλέπονται στα άρθρα 9 έως 13 της παρούσας απόφασης για λόγους που προβλέπονται στο άρθρο 20, πρώτη παράγραφος, του κανονισμού. Ο υπεύθυνος επεξεργασίας ζητεί προηγουμένως τη γνώμη του υπευθύνου προστασίας δεδομένων.

2.   Όταν επιβάλλεται περιορισμός, ο υπεύθυνος ενημερώνει σχετικά το υποκείμενο των δεδομένων σύμφωνα με το κοινοτικό δίκαιο, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό, καθώς και για το δικαίωμά του να προσφύγει στον Ευρωπαίο Επόπτη προστασίας δεδομένων καθώς και στο Δικαστήριο.

3.   Ο υπεύθυνος της επεξεργασίας απαντά αμελλητί στις αιτήσεις τις σχετικές με την εφαρμογή περιορισμών στην άσκηση των δικαιωμάτων και αιτιολογεί τη σχετική απόφαση .

Άρθρο 17

Υπεύθυνοι επεξεργασίας

1.   Ο Γενικός Γραμματέας μπορεί, με ειδική απόφαση, να ορίσει αρχή εξαρτώμενη από αυτόν ως υπεύθυνη της επεξεργασίας σύμφωνα με το άρθρο 2 δ) του κανονισμού.

2.   Ο υπεύθυνος της επεξεργασίας είναι επιφορτισμένος να μεριμνά ώστε οι επεξεργασίες που πραγματοποιήθηκαν υπό τον έλεγχό του είναι σύμφωνες με τον κανονισμό και, ιδιαίτερα, είναι επιφορτισμένος να:

υποβοηθεί τον υπεύθυνο προστασίας δεδομένων καθώς και τον Ευρωπαίο Επόπτη προστασίας δεδομένων κατά την άσκηση των αντιστοίχων καθηκόντων τους, ιδίως κοινοποιώντας σε αυτούς πληροφορίες σε απάντηση των αιτήσεών τους εντός μέγιστης προθεσμίας 20 εργασίμων ημερών·

λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα και δίδει στο προσωπικό του Ευρωπαϊκού Κοινοβουλίου, ή σε άλλα υφιστάμενα σε αυτό πρόσωπα, κατάλληλες οδηγίες προκειμένου να διασφαλίζουν συγχρόνως την εμπιστευτικότητα της επεξεργασίας και κατάλληλο επίπεδο ασφαλείας όσον αφορά τους κινδύνους που ενέχει η επεξεργασία·

κοινοποιεί στον υπεύθυνο προστασίας δεδομένων κάθε επεξεργασία δεδομένων πριν την αναλάβει, σύμφωνα με το άρθρο 6 της παρούσας απόφασης.

Άρθρο 17 α

Πρόσβαση στα έγγραφα

1.   Το μητρώο επεξεργασιών είναι δημόσιο και υπάρχει δυνατότητα πρόσβασης σε αυτό με ηλεκτρονική μορφή. Κάθε πρόσωπο μπορεί να συμβουλεύεται άμεσα το μητρώο και να ζητεί επικυρωμένο αντίγραφο της εγγραφής ειδικής επεξεργασίας από τον υπεύθυνο της προστασίας δεδομένων του Ευρωπαϊκού Κοινοβουλίου. Έμμεση πρόσβαση είναι επίσης δυνατή μέσω του Ευρωπαίου Επόπτη προστασίας δεδομένων.

2.   Τα έγγραφα του υπευθύνου προστασίας δεδομένων και των υπηρεσιών του υπόκεινται στην εφαρμογή του κανονισμού (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 30ής Μαΐου 2001 για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής.

Άρθρο 18

Έναρξη ισχύος

Η παρούσα απόφαση αρχίζει να ισχύει την επόμενη ημέρα της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.