ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ

1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ

Η παρούσα αιτιολογική έκθεση αναλύει περαιτέρω την προσέγγιση για το νέο νομικό πλαίσιο σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, όπως παρουσιάσθηκε στην ανακοίνωση COM (2012)9 τελικό. Το νομικό πλαίσιο αποτελείται από δύο νομοθετικές προτάσεις:

– πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων), και

– πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Η παρούσα αιτιολογική έκθεση αφορά τη δεύτερη νομοθετική πρόταση.

Η βασική πράξη της ισχύουσας νομοθεσίας της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα, δηλαδή η οδηγία 95/46/ΕΚ[1], εκδόθηκε το 1995 με γνώμονα δύο στόχους: την προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και τη διασφάλιση της ελεύθερης ροής των δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών. Συμπληρώθηκε από διάφορες πράξεις, οι οποίες προέβλεπαν ειδικούς κανόνες προστασίας των δεδομένων στους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις[2] (πρώην τρίτος πυλώνας), συμπεριλαμβανομένης της απόφασης πλαισίου 2008/977/ΔΕΥ[3].

Το Ευρωπαϊκό Συμβούλιο κάλεσε την Επιτροπή να αξιολογήσει τη λειτουργία των πράξεων της ΕΕ σχετικά με την προστασία και να υποβάλει, εφόσον απαιτείται, περαιτέρω νομοθετικές και μη νομοθετικές πρωτοβουλίες[4]. Στο ψήφισμά του σχετικά με το Πρόγραμμα της Στοκχόλμης, το Ευρωπαϊκό Κοινοβούλιο[5] εξέφραζε την ικανοποίησή του για τη θέσπιση ολοκληρωμένου καθεστώτος για την προστασία δεδομένων στην ΕΕ και ζητούσε, μεταξύ άλλων, την αναθεώρηση της απόφασης πλαισίου. Η Επιτροπή τόνισε στο σχέδιο δράσης της για την εφαρμογή του Προγράμματος της Στοκχόλμης[6] την αναγκαιότητα να διασφαλίζεται ότι το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται με συνεκτικότητα στο πλαίσιο όλων των πολιτικών της ΕΕ. Στο σχέδιο δράσης υπογραμμίζεται ότι «σε μια παγκόσμια κοινωνία η οποία χαρακτηρίζεται από ραγδαίες τεχνολογικές μεταβολές και όπου δεν υφίστανται σύνορα στην ανταλλαγή των πληροφοριών, ο σεβασμός της ιδιωτικής ζωής είναι ιδιαίτερα σημαντικός. Η Ένωση πρέπει να διασφαλίσει τη συστηματική εφαρμογή του θεμελιώδους δικαιώματος προστασίας των δεδομένων. Πρέπει να καταστήσουμε αυστηρότερη τη θέση της ΕΕ στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο όλων των πολιτικών της ΕΕ, περιλαμβανομένων των τομέων της επιβολής του νόμου και της πρόληψης της εγκληματικότητας, καθώς και του τομέα των διακρατικών μας σχέσεων».

Στην ανακοίνωσή της με τίτλο «Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση»[7], η Επιτροπή κατέληξε στο συμπέρασμα ότι η ΕΕ χρειάζεται μια συνολικότερη και συνεκτικότερη πολιτική σχετικά με το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.

Η απόφαση πλαίσιο 2008/977/ΔΕΥ έχει περιορισμένο πεδίο εφαρμογής, καθώς εφαρμόζεται μόνον στη διασυνοριακή επεξεργασία δεδομένων και όχι σε δραστηριότητες επεξεργασίας των αστυνομικών και δικαστικών αρχών σε αμιγώς εθνικό επίπεδο. Αυτό μπορεί να δημιουργήσει δυσκολίες για την αστυνομία και τις άλλες αρμόδιες αρχές στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, διότι οι εν λόγω αρχές δεν είναι πάντοτε σε θέση να διακρίνουν εύκολα μεταξύ αμιγώς εγχώριας και διασυνοριακής επεξεργασίας ούτε να προβλέψουν κατά πόσον ορισμένα δεδομένα προσωπικού χαρακτήρα ενδέχεται να αποτελέσουν αντικείμενο διασυνοριακής ανταλλαγής σε μεταγενέστερο στάδιο. (βλ. κατωτέρω τμήμα 2). Επιπλέον, λόγω της φύσης και του περιεχομένου της, η απόφαση πλαίσιο αφήνει μεγάλο περιθώριο ελιγμών στο εθνικό δίκαιο των κρατών μελών όσον αφορά την εφαρμογή των διατάξεών της. Επιπροσθέτως, δεν περιέχει κανέναν μηχανισμό ούτε προβλέπει κάποια συμβουλευτική ομάδα ανάλογη της ομάδας εργασίας του άρθρου 29, η οποία να στηρίζει την κοινή ερμηνεία των διατάξεών της, και δεν προβλέπει οποιεσδήποτε εκτελεστικές εξουσίες για την Επιτροπή ώστε να διασφαλίζεται κοινή προσέγγιση κατά την εφαρμογή της.

Το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) καθιερώνει την αρχή ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον, με το άρθρο 16 παράγραφος 2 ΣΛΕΕ, η Συνθήκη της Λισαβόνας θεσμοθετεί ειδική νομική βάση για τη θέσπιση κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται επίσης στη δικαστική συνεργασία σε ποινικές υποθέσεις και στην αστυνομική συνεργασία. Το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ κατοχυρώνει την προστασία των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα. Το άρθρο 16 ΣΛΕΕ απαιτεί από τον νομοθέτη να θεσπίσει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα επίσης στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, οι οποίοι να καλύπτουν τόσο τη διασυνοριακή όσο και την εγχώρια επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτό θα επιτρέψει την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως δε του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, διασφαλίζοντας ταυτόχρονα την ανταλλαγή δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων. Τούτο θα συμβάλει στη διευκόλυνση της συνεργασίας για την καταπολέμηση της εγκληματικότητας στην Ευρώπη.

Λόγω της ιδιαίτερης φύσης του τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, στη δήλωση αριθ. 21[8] αναγνωρίζεται ότι ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας βάσει του άρθρου 16 ΣΛΕΕ.

2. ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΕΚΤΙΜΗΣΕΙΣ ΕΠΙΠΤΩΣΕΩΝ

Η παρούσα πρωτοβουλία είναι αποτέλεσμα εκτενών διαβουλεύσεων με όλους τους σημαντικούς ενδιαφερόμενους φορείς σχετικά με την αναθεώρηση του υφιστάμενου νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες συμπεριέλαβαν δύο φάσεις δημόσιας διαβούλευσης:

– Από τις 9 Ιουλίου έως την 31η Δεκεμβρίου 2009, διαβούλευση σχετικά με το νομικό πλαίσιο για το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Η Επιτροπή έλαβε 168 απαντήσεις, 127 από φυσικά πρόσωπα, επιχειρηματικές οργανώσεις και ενώσεις και 12 από δημόσιες αρχές. Οι μη εμπιστευτικές απαντήσεις είναι διαθέσιμες στον δικτυακό τόπο της Επιτροπής[9].

– Από τις 4 Νοεμβρίου 2010 έως τις 15 Ιανουαρίου 2011, διαβούλευση για τη συνολική προσέγγιση της Επιτροπής όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση. Η Επιτροπή έλαβε 305 απαντήσεις, εκ των οποίων 54 από πολίτες, 31 από δημόσιες αρχές και 220 από ιδιωτικές οργανώσεις, και ειδικότερα επιχειρηματικές ενώσεις και μη κυβερνητικές οργανώσεις. Οι μη εμπιστευτικές απαντήσεις είναι διαθέσιμες στον δικτυακό τόπο της Επιτροπής[10].

Καίτοι οι ως άνω διαβουλεύσεις επικεντρώθηκαν σε μεγάλο βαθμό στην επανεξέταση της οδηγίας 95/46/ΕΚ, πραγματοποιήθηκαν στοχευμένες διαβουλεύσεις με ενδιαφερόμενα μέρη του τομέα της επιβολής του νόμου. Ειδικότερα, στις 29 Ιουνίου 2010, διοργανώθηκε σύνοδος εργασίας με αρχές κρατών μελών σχετικά με την εφαρμογή των κανόνων για την προστασία των δεδομένων σε δημόσιες αρχές, μεταξύ άλλων στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις. Επιπλέον, στις 2 Φεβρουαρίου 2011, η Επιτροπή συγκάλεσε σύνοδο εργασίας με αρχές των κρατών μελών για να συζητήσουν την εφαρμογή της απόφασης πλαισίου 2008/977/ΔΕΥ και, γενικότερα, ζητήματα προστασίας δεδομένων στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις.

Ζητήθηκε η γνώμη των πολιτών της ΕΕ μέσω έρευνας του Ευρωβαρομέτρου, η οποία πραγματοποιήθηκε τον Νοέμβριο-Δεκέμβριο του 2010[11]. Δρομολογήθηκαν επίσης ορισμένες μελέτες[12]. Η ομάδα εργασίας του άρθρου 29[13] εξέδωσε αρκετές γνώμες και παρέσχε χρήσιμες πληροφορίες στην Επιτροπή[14]. Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσε επίσης συνολική γνωμοδότηση σχετικά με τα ζητήματα που εγείρονται στην ανακοίνωση της Επιτροπής του Νοεμβρίου 2010[15].

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε με ψήφισμά του της 6ης Ιουλίου 2011 έκθεση η οποία τασσόταν υπέρ της προσέγγισης της Επιτροπής για τη μεταρρύθμιση του πλαισίου της προστασίας δεδομένων[16]. Το Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε συμπεράσματα, στις 24 Φεβρουαρίου 2011, με τα οποία επικροτεί σε γενικές γραμμές την πρόθεση της Επιτροπής να μεταρρυθμίσει το πλαίσιο για την προστασία δεδομένων και συμφωνεί με πολλά στοιχεία της προσέγγισης της Επιτροπής. Ομοίως, η Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή στήριξε τη γενική βούληση της Επιτροπής να διασφαλίσει τη συνεκτικότερη εφαρμογή των κανόνων της ΕΕ για την προστασία των δεδομένων σε όλα τα κράτη μέλη και την προσφυή αναθεώρηση της οδηγίας 95/46/ΕΚ[17].

Σύμφωνα με την πολιτική για τη «βελτίωση της νομοθεσίας», η Επιτροπή διενήργησε εκτίμηση των επιπτώσεων των εναλλακτικών επιλογών πολιτικής[18]. Η εκτίμηση επιπτώσεων βασίσθηκε στους τρεις στόχους πολιτικής, δηλαδή βελτίωση της διάστασης της εσωτερικής αγοράς στο θέμα της προστασίας των δεδομένων, βελτίωση της αποτελεσματικότητας της άσκησης των δικαιωμάτων προστασίας των δεδομένων από τα φυσικά πρόσωπα, και δημιουργία ενός συνολικού και συνεκτικού πλαισίου το οποίο θα καλύπτει όλους τους τομείς αρμοδιότητας της Ένωσης, συμπεριλαμβανομένης της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις. Όσον αφορά ειδικότερα τον τελευταίο αυτό στόχο, αξιολογήθηκαν δύο επιλογές πολιτικής: η πρώτη επεκτείνει, κατά βάση, το πεδίο εφαρμογής των κανόνων για την προστασία δεδομένων στον συγκεκριμένο τομέα και αντιμετωπίζει τα κενά και τα άλλα ζητήματα που εγείρει η απόφαση πλαίσιο, ενώ η δεύτερη έχει πολύ μεγαλύτερη εμβέλεια και πολύ επιτακτικούς και αυστηρούς κανόνες, οι οποίοι θα συνεπάγονταν επίσης την άμεση τροποποίηση όλων των λοιπών πράξεων του «πρώην τρίτου πυλώνα». Μια τρίτη «μινιμαλιστική» επιλογή, βασισμένη σε μεγάλο βαθμό σε ερμηνευτικές ανακοινώνεις και μέτρα στήριξης πολιτικής, όπως προγράμματα χρηματοδότησης και τεχνικά εργαλεία, με ελάχιστη νομοθετική παρέμβαση, δεν θεωρήθηκε ενδεδειγμένη για την αντιμετώπιση των ζητημάτων που έχουν καταγραφεί στον συγκεκριμένο τομέα σε σχέση με την προστασία των δεδομένων.

Σύμφωνα με την πάγια μεθοδολογία της Επιτροπής, κάθε επιλογή πολιτικής αξιολογήθηκε, με τη βοήθεια διυπηρεσιακής συντονιστικής ομάδας, ως προς την αποτελεσματικότητά της για την επίτευξη των στόχων πολιτικής, τον οικονομικό της αντίκτυπο για τα ενδιαφερόμενα μέρη (συμπεριλαμβανομένου του προϋπολογισμού των θεσμικών οργάνων της ΕΕ), τον κοινωνικό της αντίκτυπο και τις συνέπειές της στα θεμελιώδη δικαιώματα. Δεν παρατηρήθηκαν περιβαλλοντικές επιπτώσεις.

Αποτέλεσμα της ανάλυσης του συνολικού αντικτύπου ήταν η επεξεργασία της προτιμώμενης επιλογής πολιτικής, η οποία ενσωματώνεται στην παρούσα πρόταση. Σύμφωνα με την αξιολόγηση, η εφαρμογή της θα έχει ως αποτέλεσμα την περαιτέρω ενίσχυση της προστασίας δεδομένων στον συγκεκριμένο τομέα πολιτικής, ιδίως χάρη στο ότι θα συμπεριληφθεί η εγχώρια επεξεργασία δεδομένων, πράγμα που θα βελτιώσει επίσης την ασφάλεια δικαίου για τις αρμόδιες αρχές στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

Η επιτροπή εκτίμησης των επιπτώσεων (ΕΕΕ) εξέδωσε γνώμη σχετικά με το σχέδιο εκτίμησης των επιπτώσεων στις 9 Σεπτεμβρίου 2011. Σε συνέχεια της γνώμης της ΕΕΕ, επήλθαν οι ακόλουθες αλλαγές στην εκτίμηση των επιπτώσεων:

– αποσαφηνίσθηκαν οι στόχοι του ισχύοντος νομικού πλαισίου (σε ποιον βαθμό επιτεύχθηκαν και σε ποιον βαθμό δεν επιτεύχθηκαν), καθώς και οι στόχοι της σχεδιαζόμενης μεταρρύθμισης·

– προστέθηκαν περισσότερα στοιχεία τεκμηρίωσης καθώς και πρόσθετες εξηγήσεις/διευκρινίσεις στην ενότητα περί του ορισμού των προβλημάτων.

Η Επιτροπή εκπόνησε επίσης έκθεση εφαρμογής όσον αφορά την απόφαση πλαίσιο 2008/977/ΔΕΥ, βάσει του άρθρου 29 παράγραφος 2 αυτής, η οποία πρόκειται να εγκριθεί στο πλαίσιο της παρούσας δέσμης μέτρων για την προστασία δεδομένων[19]. Τα πορίσματα της έκθεσης, βασισμένα σε πληροφορίες από τα κράτη μέλη, αξιοποιήθηκαν επίσης για την εκπόνηση της εκτίμησης επιπτώσεων.

3. ΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ ΤΗΣ ΠΡΟΤΑΣΗΣ 3.1. Νομική βάση

Η πρόταση βασίζεται στο άρθρο 16 παράγραφος 2 ΣΛΕΕ, η οποία είναι μια νέα, ειδική νομική βάση που καθιερώθηκε με τη Συνθήκη της Λισαβόνας για τη θέσπιση κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, καθώς και από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης, και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Στόχος της πρότασης είναι να διασφαλίσει συνεκτική και υψηλού επιπέδου προστασία των δεδομένων στον συγκεκριμένο τομέα, βελτιώνοντας με τον τρόπο αυτό την αμοιβαία εμπιστοσύνη μεταξύ αστυνομικών και δικαστικών αρχών των διαφόρων κρατών μελών και διευκολύνοντας την ελεύθερη ροή δεδομένων και τη συνεργασία μεταξύ αστυνομικών και δικαστικών αρχών.

3.2. Επικουρικότητα και αναλογικότητα

Σύμφωνα με την αρχή της επικουρικότητας (άρθρο 5 παράγραφος 3 ΣΕΕ), μέτρα στο επίπεδο της Ένωσης λαμβάνονται μόνον εφόσον και κατά τον βαθμό που οι προβλεπόμενοι στόχοι δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα από την Ένωση. Λαμβανομένων υπόψη των προβλημάτων που περιγράφονται ανωτέρω, η ανάλυση της επικουρικότητας υποδεικνύει την αναγκαιότητα λήψης μέτρων σε επίπεδο ΕΕ στους τομείς της αστυνομίας και της ποινικής δικαιοσύνης για τους ακόλουθους λόγους:

– Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων και στο άρθρο 16 παράγραφος 1 ΣΛΕΕ, απαιτεί το ίδιο επίπεδο προστασίας των δεδομένων σε ολόκληρη την Ένωση. Απαιτεί το ίδιο επίπεδο προστασίας για τα δεδομένα που ανταλλάσσονται και για τα δεδομένα που υποβάλλονται σε επεξεργασία εντός της εκάστοτε χώρας.

– Αυξάνεται η ανάγκη των αρχών επιβολής του νόμου των κρατών μελών να επεξεργάζονται και να ανταλλάσσουν δεδομένα με ρυθμούς που αυξάνονται ταχέως, με σκοπό την πρόληψη και την καταπολέμηση του διεθνικού εγκλήματος και της τρομοκρατίας. Στο πλαίσιο αυτό, οι σαφείς και συνεκτικοί κανόνες σχετικά με την προστασία δεδομένων σε επίπεδο ΕΕ θα συμβάλουν στην ενίσχυση της συνεργασίας μεταξύ των εν λόγω αρχών.

– Επιπλέον, η επιβολή της νομοθεσίας για την προστασία δεδομένων συνεπάγεται πρακτικές δυσκολίες, και απαιτείται συνεργασία μεταξύ των κρατών μελών και των αρχών τους, η οποία πρέπει να οργανωθεί σε επίπεδο ΕΕ προκειμένου να διασφαλίζεται ενιαία εφαρμογή του δικαίου της Ένωσης. Σε ορισμένες περιπτώσεις, η ΕΕ είναι σε καλύτερη θέση ώστε να διασφαλίζει με αποτελεσματικό και συνεκτικό τρόπο το ίδιο επίπεδο προστασίας των φυσικών προσώπων όταν δεδομένα προσωπικού χαρακτήρα που τα αφορούν διαβιβάζονται σε τρίτες χώρες.

– Τα κράτη μέλη δεν μπορούν να περιορίσουν από μόνα τους τα προβλήματα της παρούσας κατάστασης, και ιδίως εκείνα που οφείλονται στον κατακερματισμό των εθνικών νομοθεσιών. Επομένως, υπάρχει συγκεκριμένη ανάγκη θέσπισης ενός εναρμονισμένου και συνεκτικού πλαισίου, το οποίο θα επιτρέπει την απρόσκοπτη διασυνοριακή διαβίβαση των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ, διασφαλίζοντας παράλληλα αποτελεσματική προστασία για όλα τα φυσικά πρόσωπα σε ολόκληρη την ΕΕ.

– Η προτεινόμενη νομοθετική δράση της ΕΕ θα είναι κατά πάσα πιθανότητα πιο αποτελεσματική από παρόμοιες δράσεις σε επίπεδο κρατών μελών, λόγω της φύσης και της κλίμακας των προβλημάτων, τα οποία δεν περιορίζονται στο επίπεδο ενός ή μερικών κρατών μελών.

Η αρχή της αναλογικότητας απαιτεί κάθε παρέμβαση να είναι στοχοθετημένη και να μην υπερβαίνει το μέτρο που είναι αναγκαίο για την επίτευξη των στόχων. Η αρχή αυτή ελήφθη υπόψη για την εκπόνηση της παρούσας πρότασης, από τον προσδιορισμό και την αξιολόγηση των εναλλακτικών επιλογών πολιτικής έως την κατάρτιση της νομοθετικής πρότασης.

Επομένως, η οδηγία είναι η βέλτιστη πράξη προκειμένου να διασφαλισθεί εναρμόνιση σε επίπεδο ΕΕ στον συγκεκριμένο τομέα, αφήνοντας ταυτόχρονα την αναγκαία ευελιξία στα κράτη μέλη κατά την εφαρμογή των αρχών, των κανόνων και των εξαιρέσεών τους σε εθνικό επίπεδο. Λόγω της πολυπλοκότητας των ισχυόντων εθνικών κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις και του στόχου της συνολικής εναρμόνισης των εν λόγω κανόνων μέσω της παρούσας οδηγίας, η Επιτροπή πρέπει να ζητήσει από τα κράτη μέλη να παράσχουν επεξηγηματικά έγγραφα σχετικά με τη σχέση μεταξύ των συστατικών στοιχείων της οδηγίας και των αντίστοιχων μερών των πράξεων μεταφοράς της οδηγίας στο εκάστοτε εθνικό δίκαιο, ούτως ώστε να μπορέσει να εκτελέσει το καθήκον της επίβλεψης της μεταφοράς της παρούσας οδηγίας στο δίκαιο των κρατών μελών.

3.3. Σύνοψη ζητημάτων θεμελιωδών δικαιωμάτων

Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και στο άρθρο 16 ΣΛΕΕ καθώς και στο άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Δικαιώματα του Ανθρώπου (ΕΣΔΑ). Όπως υπογράμμισε το Δικαστήριο της ΕΕ[20], το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να λαμβάνεται υπόψη σε σχέση με τον ρόλο που επιτελεί στην κοινωνία [21]. Η προστασία των δεδομένων συνδέεται στενά με τον σεβασμό της ιδιωτικής και της οικογενειακής ζωής, που προστατεύεται από το άρθρο 7 του Χάρτη. Αυτό αντικατοπτρίζεται στο άρθρο 1 παράγραφος 1 της οδηγίας 95/46/ΕΚ, το οποίο ορίζει ότι τα κράτη μέλη εξασφαλίζουν την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άλλα δυνητικά επηρεαζόμενα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στον Χάρτη είναι η απαγόρευση κάθε διάκρισης, μεταξύ άλλων λόγω φυλής, εθνοτικής καταγωγής, γενετικών χαρακτηριστικών, θρησκείας ή πεποιθήσεων, πολιτικών φρονημάτων ή κάθε άλλης γνώμης, αναπηρίας ή γενετήσιου προσανατολισμού (άρθρο 21)· τα δικαιώματα του παιδιού (άρθρο 24)· και το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου (άρθρο 47).

3.4. Λεπτομερής επεξήγηση της πρότασης 3.4.1. ΚΕΦΑΛΑΙΟ I – ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 1 ορίζει το αντικείμενο της οδηγίας, δηλαδή κανόνες που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και καθορίζει τον διττό στόχο της οδηγίας, δηλαδή, αφενός, την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, διασφαλίζοντας παράλληλα υψηλό επίπεδο δημόσιας ασφάλειας, και, αφετέρου, τη διασφάλιση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ αρμόδιων αρχών στην Ένωση.

Το άρθρο 2 καθορίζει το πεδίο εφαρμογής της οδηγίας. Το πεδίο εφαρμογής της οδηγίας δεν περιορίζεται στη διασυνοριακή επεξεργασία δεδομένων, αλλά περιλαμβάνει όλες τις δραστηριότητες επεξεργασίας που εκτελούνται από «αρμόδιες αρχές» (όπως ορίζονται στο άρθρο 3 παράγραφος 14) για τους σκοπούς της οδηγίας. Η οδηγία δεν εφαρμόζεται στην επεξεργασία κατά την άσκηση δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης ούτε στην επεξεργασία από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, η οποία αποτελεί αντικείμενο του κανονισμού (ΕΚ) αριθ. 45/2001 και άλλης ειδικής νομοθεσίας.

Το άρθρο 3 περιέχει ορισμούς όρων που χρησιμοποιούνται στην οδηγία. Ενώ μερικοί ορισμοί προέρχονται από την οδηγία 95/46/ΕΚ και την απόφαση πλαίσιο 2008/977/ΔΕΥ, άλλοι τροποποιούνται και συμπληρώνονται με πρόσθετα ή νέα στοιχεία. Οι νέοι ορισμοί αφορούν την «παραβίαση δεδομένων προσωπικού χαρακτήρα», τα «γενετικά δεδομένα» και τα «βιομετρικά δεδομένα», τις «αρμόδιες αρχές» (βάσει του άρθρου 87 ΣΛΕΕ και του άρθρου 2 στοιχείο η) της απόφασης πλαισίου 2008/977/ΔΕΥ) και το «παιδί», βάσει της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα του παιδιού[22].

3.4.2. ΚΕΦΑΛΑΙΟ II – ΑΡΧΕΣ

Το άρθρο 4 ορίζει τις αρχές που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αντικατοπτρίζοντας το άρθρο 6 της οδηγίας 95/46/ΕΚ και το άρθρο 3 της απόφασης πλαισίου 2008/977/ΔΕΥ, προσαρμόζοντάς τες όμως στα ιδιαίτερα δεδομένα της παρούσας οδηγίας.

Το άρθρο 5 απαιτεί τη διάκριση, στον βαθμό του εφικτού, μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα, αποτελεί δε νέα διάταξη η οποία δεν περιλαμβάνεται ούτε στην οδηγία 95/46/ΕΚ ούτε στην απόφαση πλαίσιο 2008/977/ΔΕΥ, αλλά είχε προταθεί από την Επιτροπή στην αρχική πρότασή της για την απόφαση πλαίσιο[23]. Είναι εμπνευσμένο από τη σύσταση αριθ. R (87)15 του Συμβουλίου της Ευρώπης. Παρόμοιοι κανόνες ισχύουν ήδη για την Ευρωπόλ[24] και τη Eurojust[25].

Το άρθρο 6 για τους διαφορετικούς βαθμούς ακρίβειας και αξιοπιστίας αντικατοπτρίζει την αρχή 3.2 της σύστασης αριθ. R (87)15 του Συμβουλίου της Ευρώπης. Παρόμοιοι κανόνες, με εκείνους που περιέχονται επίσης στην πρόταση της Επιτροπής για την απόφαση πλαίσιο, υπάρχουν για την Ευρωπόλ[26].

Το άρθρο 7 καθορίζει τους λόγους της σύννομης επεξεργασίας, όταν αυτή είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από αρμόδια αρχή βάσει εθνικού δικαίου, για τη συμμόρφωση προς υποχρέωση την οποία υπέχει εκ του νόμου ο υπεύθυνος επεξεργασίας, για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου ή για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας. Οι άλλοι λόγοι σύννομης επεξεργασίας που αναφέρονται στο άρθρο 7 της οδηγίας 95/46/ΕΚ δεν ενδείκνυνται για την επεξεργασία στους τομείς της αστυνομίας και της ποινικής δικαιοσύνης.

Το άρθρο 8 προβλέπει γενική απαγόρευση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και τις εξαιρέσεις από τον γενικό αυτό κανόνα, βάσει του άρθρου 8 της οδηγίας 95/46/ΕΚ, και προσθέτοντας τα γενετικά δεδομένα, σύμφωνα με τη νομολογία του ΕΔΑΔ[27].

Το άρθρο 9 θεσπίζει την απαγόρευση μέτρων που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν αυτή δεν επιτρέπεται από νόμο ο οποίος προβλέπει κατάλληλες εγγυήσεις, σε συμμόρφωση με το άρθρο 7 της απόφασης πλαισίου 2008/977/ΔΕΥ.

3.4.3. ΚΕΦΑΛΑΙΟ III – ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ

Το άρθρο 10 θεσπίζει την υποχρέωση των κρατών μελών να διασφαλίζουν εύκολα προσπελάσιμη και κατανοητή ενημέρωση, εμπνεόμενο ειδικότερα από την αρχή αριθ. 10 του ψηφίσματος της Μαδρίτης σχετικά με τα διεθνή πρότυπα για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής[28], και να απαιτούν από τους υπευθύνους επεξεργασίας να προβλέπουν διαδικασίες και μηχανισμούς για τη διευκόλυνση της άσκησης των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα. Αυτό περιλαμβάνει την υποχρέωση εξασφάλισης της άσκησης των δικαιωμάτων καταρχήν χωρίς επιβάρυνση.

Το άρθρο 11 προσδιορίζει την υποχρέωση των κρατών μελών να διασφαλίζουν την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Οι υποχρεώσεις αυτές βασίζονται στα άρθρα 10 και 11 της οδηγίας 95/46/ΕΚ, χωρίς χωριστά άρθρα που εισάγουν διακρίσεις ανάλογα με το εάν οι πληροφορίες προέρχονται ή όχι από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και με διεύρυνση των πληροφοριών που πρέπει να παρέχονται. Το άρθρο θεσπίζει εξαιρέσεις από την υποχρέωση ενημέρωσης όταν οι εν λόγω εξαιρέσεις είναι αναλογικές και αναγκαίες σε μια δημοκρατική κοινωνία για την άσκηση των καθηκόντων αρμόδιων αρχών (με πρότυπο το άρθρο 13 της οδηγίας 95/46/ΕΚ και το άρθρο 17 της απόφασης πλαισίου 2008/977/ΔΕΥ).

Το άρθρο 12 προβλέπει την υποχρέωση των κρατών μελών να διασφαλίζουν το δικαίωμα πρόσβασης των προσώπων στα οποία αναφέρονται τα δεδομένα στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν. Βασίζεται στο άρθρο 12 στοιχείο α) της οδηγίας 95/46/ΕΚ, προσθέτοντας νέα στοιχεία για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα (σε σχέση με το χρονικό διάστημα αποθήκευσης, τα δικαιώματα διόρθωσης, διαγραφής ή περιορισμού και υποβολής καταγγελίας).

Το άρθρο 13 προβλέπει ότι τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν το δικαίωμα πρόσβασης, εφόσον τούτο απαιτείται λόγω της ειδικής φύσης της επεξεργασίας δεδομένων στους τομείς της αστυνομίας και της ποινικής δικαιοσύνης, καθώς και σχετικά με την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον περιορισμό της πρόσβασης, βάσει του άρθρου 17 παράγραφοι 2 και 3 της απόφασης πλαισίου 2008/977/ΔΕΥ.

Το άρθρο 14 θεσπίζει τον κανόνα ότι, στις περιπτώσεις στις οποίες η άμεση πρόσβαση περιορίζεται, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να ενημερώνεται για τη δυνατότητα έμμεσης πρόσβασης μέσω της αρχής ελέγχου, η οποία πρέπει να ασκεί το δικαίωμα για λογαριασμό του και οφείλει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την έκβαση των ελέγχων της.

Το άρθρο 15 σχετικά με το δικαίωμα διόρθωσης βασίζεται στο άρθρο 12 στοιχείο β) της οδηγίας 95/46/ΕΚ και, όσον αφορά τις υποχρεώσεις σε περίπτωση άρνησης, στο άρθρο 18 παράγραφος 1 της απόφασης πλαισίου 2008/977/ΔΕΥ.

Το άρθρο 16 σχετικά με το δικαίωμα διαγραφής βασίζεται στο άρθρο 12 στοιχείο β) της οδηγίας 95/46/ΕΚ, και, όσον αφορά τις υποχρεώσεις σε περίπτωση άρνησης, στο άρθρο 18 παράγραφος 1 της απόφασης πλαισίου 2008/977/ΔΕΥ. Περιλαμβάνει επίσης το δικαίωμα επισήμανσης της επεξεργασίας σε ορισμένες περιπτώσεις, αντικαθιστώντας τον ασαφή όρο «κλείδωμα», ο οποίος χρησιμοποιείται στο άρθρο 12 στοιχείο β) της οδηγίας 95/46/ΕΚ και στο άρθρο 18 παράγραφος 1 της απόφασης πλαισίου 2008/977/ΔΕΥ.

Το άρθρο 17 σχετικά με τη διόρθωση, τη διαγραφή και τον περιορισμό της επεξεργασίας σε δικαστικές διαδικασίες παρέχει διευκρινίσεις βάσει του άρθρου 4 παράγραφος 4 της απόφασης πλαισίου 2008/977/ΔΕΥ.

3.4.4. ΚΕΦΑΛΑΙΟ IV – ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ 3.4.4.1. ΤΜΗΜΑ 1 ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Το άρθρο 18 περιγράφει την ευθύνη του υπευθύνου επεξεργασίας να συμμορφώνεται προς την παρούσα οδηγία και να διασφαλίζει τη συμμόρφωση, συμπεριλαμβανομένης της θέσπισης πολιτικών και μηχανισμών για τη διασφάλιση της συμμόρφωσης.

Το άρθρο 19 προβλέπει ότι τα κράτη μέλη πρέπει να διασφαλίζουν τη συμμόρφωση του υπευθύνου επεξεργασίας προς τις υποχρεώσεις που απορρέουν από τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Το άρθρο 20 για τους από κοινού υπευθύνους επεξεργασίας αποσαφηνίζει το καθεστώς των από κοινού υπευθύνων επεξεργασίας όσον αφορά την εσωτερική σχέση τους.

Το άρθρο 21 αποσαφηνίζει τη θέση και τις υποχρεώσεις των εκτελούντων την επεξεργασία, εν μέρει βάσει του άρθρου 17 παράγραφος 2 της οδηγίας 95/46/ΕΚ, και προσθέτοντας νέα στοιχεία, όπως ότι, εάν ένας εκτελών την επεξεργασία επεξεργάζεται δεδομένα πέραν των εντολών του υπευθύνου επεξεργασίας, πρέπει να θεωρείται συνυπεύθυνος επεξεργασίας.

Το άρθρο 22 σχετικά με την επεξεργασία υπό τις εντολές του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία βασίζεται στο άρθρο 16 της οδηγίας 95/46/ΕΚ.

Το άρθρο 23 θεσπίζει την υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία να διατηρούν τεκμηρίωση όλων των συστημάτων και διαδικασιών επεξεργασίας που τελούν υπό την ευθύνη τους.

Το άρθρο 24 αφορά την τήρηση αρχείων, σύμφωνα με άρθρο 10 παράγραφος 1 της απόφασης πλαισίου 2008/977, παρέχοντας παράλληλα περαιτέρω διευκρινίσεις.

Το άρθρο 25 αποσαφηνίζει τις υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία όσον αφορά τη συνεργασία με την αρχή ελέγχου.

Το άρθρο 26 αφορά τις περιπτώσεις στις οποίες η διαβούλευση με την αρχή ελέγχου είναι υποχρεωτική πριν από την επεξεργασία, βάσει του άρθρου 23 της απόφασης πλαισίου 2008/977/ΔΕΥ.

3.4.4.2. ΤΜΗΜΑ 2 ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Το άρθρο 27 σχετικά με την ασφάλεια της επεξεργασίας βασίζεται στο ισχύον άρθρο 17 παράγραφος 1 της οδηγίας 95/46/ΕΚ για την ασφάλεια της επεξεργασίας και στο άρθρο 22 της απόφασης πλαισίου 2008/977/ΔΕΥ, επεκτείνοντας τις σχετικές υποχρεώσεις στους εκτελούντες την επεξεργασία, ανεξάρτητα από τη σύμβασή τους με τον υπεύθυνο επεξεργασίας.

Τα άρθρα 28 και 29 θεσπίζουν υποχρέωση γνωστοποίησης παραβιάσεων των δεδομένων προσωπικού χαρακτήρα, κατά το πρότυπο της γνωστοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα που προβλέπεται στο άρθρο 4 παράγραφος 3 της οδηγίας 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, αποσαφηνίζοντας και διαχωρίζοντας την υποχρέωση γνωστοποίησης στην αρχή ελέγχου (άρθρο 28) και την υποχρέωση γνωστοποίησης, σε ειδικές περιπτώσεις, στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα (άρθρο 29). Το άρθρο 29 προβλέπει επίσης εξαιρέσεις διά παραπομπής στο άρθρο 11 παράγραφος 4.

3.4.4.3. ΤΜΗΜΑ 3 ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Το άρθρο 30 θεσπίζει την υποχρέωση του υπευθύνου επεξεργασίας να διορίζει υπεύθυνο προστασίας δεδομένων υπό την εποπτεία, ο οποίος είναι επιφορτισμένος με τα καθήκοντα που απαριθμούνται στο άρθρο 32. Εάν περισσότερες αρμόδιες αρχές ενεργούν υπό την εποπτεία μιας κεντρικής αρχής η οποία ενεργεί ως υπεύθυνος επεξεργασίας, τουλάχιστον η εν λόγω κεντρική αρχή πρέπει να ορίσει έναν τέτοιο υπεύθυνο προστασίας δεδομένων. Το άρθρο 18 παράγραφος 2 της οδηγίας 95/46/ΕΚ προέβλεπε τη δυνατότητα των κρατών μελών να θεσπίζουν την απαίτηση αυτή αντί της γενικής υποχρέωσης γνωστοποίησης που προέβλεπε η εν λόγω οδηγία.

Το άρθρο 31 καθορίζει τη θέση του υπευθύνου προστασίας δεδομένων.

Το άρθρο 32 προβλέπει τα καθήκοντα του υπευθύνου προστασίας δεδομένων.

3.4.5. ΚΕΦΑΛΑΙΟ V – ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Το άρθρο 33 καθορίζει τις γενικές αρχές για τις διαβιβάσεις δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις, συμπεριλαμβανομένων των περαιτέρω διαβιβάσεων. Διευκρινίζει ότι διαβιβάσεις προς τρίτες χώρες επιτρέπεται να πραγματοποιηθούν μόνον εάν η διαβίβαση είναι απαραίτητη για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων.

Το άρθρο 34 προβλέπει ότι μπορούν να πραγματοποιηθούν διαβιβάσεις προς τρίτη χώρα για την οποία η Επιτροπή έχει εκδώσει απόφαση περί επάρκειας βάσει του κανονισμού …./../201X ή απόφαση ειδικά στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις ή, ελλείψει τέτοιας απόφασης, εάν υπάρχουν κατάλληλες εγγυήσεις. Εφόσον δεν υπάρχει απόφαση περί επάρκειας, η οδηγία διασφαλίζει ότι οι διαβιβάσεις παραμένουν δυνατές βάσει κατάλληλων εγγυήσεων και παρεκκλίσεων. Επιπλέον, καθορίζει τα κριτήρια για την αξιολόγηση από την Επιτροπή του επαρκούς ή μη επαρκούς επιπέδου προστασίας και περιλαμβάνει ρητώς το κράτος δικαίου, το δικαίωμα προσφυγής στη δικαιοσύνη και τον ανεξάρτητο έλεγχο. Το άρθρο προβλέπει επίσης τη δυνατότητα της Επιτροπής να αξιολογεί το επίπεδο προστασίας που παρέχει ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα. Προβλέπει ότι μια γενική απόφαση περί επάρκειας η οποία εκδίδεται βάσει των διαδικασιών που προβλέπονται στο άρθρο 38 του γενικού κανονισμού για την προστασία δεδομένων εφαρμόζεται εντός του πεδίου εφαρμογής της παρούσας οδηγίας. Εναλλακτικά, απόφαση περί επάρκειας μπορεί να εκδοθεί από την Επιτροπή αποκλειστικά για τους σκοπούς της παρούσας οδηγίας.

Το άρθρο 35 καθορίζει τις κατάλληλες εγγυήσεις οι οποίες απαιτούνται πριν από την πραγματοποίηση διεθνών διαβιβάσεων, ελλείψει απόφασης περί επάρκειας της Επιτροπής. Οι εν λόγω εγγυήσεις μπορούν να παρέχονται μέσω νομικά δεσμευτικής πράξης, π.χ. διεθνούς συμφωνίας. Εναλλακτικά, ο υπεύθυνος επεξεργασίας μπορεί, βάσει αξιολόγησης των συνθηκών που περιβάλλουν τη διαβίβαση, να καταλήξει στο συμπέρασμα ότι υπάρχουν τέτοιες εγγυήσεις.

Το άρθρο 36 προσδιορίζει τις παρεκκλίσεις στη διαβίβαση δεδομένων βάσει του άρθρου 26 της οδηγίας 95/46/ΕΚ και του άρθρου 13 της απόφασης πλαισίου 2008/977/ΔΕΥ.

Το άρθρο 37 υποχρεώνει τα κράτη μέλη να προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τυχόν περιορισμούς της επεξεργασίας και λαμβάνει κάθε εύλογο μέτρο ώστε να διασφαλίζει ότι οι περιορισμοί αυτοί γίνονται σεβαστοί από τους αποδέκτες δεδομένων προσωπικού χαρακτήρα στην εκάστοτε τρίτη χώρα ή στον διεθνή οργανισμό.

Το άρθρο 38 προβλέπει ρητώς μηχανισμούς διεθνούς συνεργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα μεταξύ της Επιτροπής και των αρχών ελέγχου τρίτων χωρών, ιδίως εκείνων που θεωρείται ότι παρέχουν επαρκές επίπεδο προστασίας, λαμβάνοντας υπόψη τη σύσταση του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) για τη διασυνοριακή συνεργασία στον τομέα της επιβολής της νομοθεσίας για την προστασία της ιδιωτικής ζωής, της 12ης Ιουνίου 2007.

ΚΕΦΑΛΑΙΟ VI – ΕΘΝΙΚΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ

3.4.5.1. ΤΜΗΜΑ 1 ΑΝΕΞΑΡΤΗΤΟ ΚΑΘΕΣΤΩΣ

Το άρθρο 39 υποχρεώνει τα κράτη μέλη να συστήσουν αρχές ελέγχου, βάσει του άρθρου 28 παράγραφος 1 της οδηγίας 95/46/ΕΚ και του άρθρου 25 της απόφασης πλαισίου 2008/977/ΔΕΥ, διευρύνοντας την αποστολή των εν λόγω αρχών ώστε να συμβάλλουν στη συνεκτική εφαρμογή της οδηγίας σε ολόκληρη την Ένωση. Η εν λόγω αρχή μπορεί να είναι η αρχή ελέγχου που συστήνεται βάσει του γενικού κανονισμού για την προστασία των δεδομένων.

Το άρθρο 40 αποσαφηνίζει τις προϋποθέσεις της ανεξαρτησίας των αρχών ελέγχου, εφαρμόζοντας τη νομολογία του Δικαστηρίου της ΕΕ [29], εμπνεόμενο επίσης από το άρθρο 44 του κανονισμού (ΕΚ) αριθ. 45/2001[30].

Το άρθρο 41 προβλέπει γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου, εφαρμόζοντας τη σχετική νομολογία[31] και εμπνεόμενο επίσης από το άρθρο 42 παράγραφοι 2 έως 6 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 42 θεσπίζει τους κανόνες για την ίδρυση της αρχής ελέγχου, καθώς και τις προϋποθέσεις για τα μέλη της, οι οποίοι θα προβλεφθούν από τα κράτη μέλη διά νόμου.

Το άρθρο 43 προβλέπει το επαγγελματικό απόρρητο για τα μέλη και τους υπαλλήλους της αρχής ελέγχου και βασίζεται στο άρθρο 28 παράγραφος 7 της οδηγίας 95/46/ΕΚ και στο άρθρο 25 παράγραφος 4 της απόφασης πλαισίου 2008/977/ΔΕΥ.

3.4.5.2. ΤΜΗΜΑ 2 ΚΑΘΗΚΟΝΤΑ ΚΑΙ ΕΞΟΥΣΙΕΣ

Το άρθρο 44 καθορίζει την αρμοδιότητα των αρχών ελέγχου, βάσει του άρθρου 28 παράγραφος 6 της οδηγίας 95/46/ΕΚ και του άρθρου 25 παράγραφος 1 της απόφασης πλαισίου 2008/977/ΔΕΥ. Τα δικαστήρια, όταν ενεργούν υπό τη δικαιοδοτική τους εξουσία, εξαιρούνται της παρακολούθησης από την αρχή ελέγχου, αλλά δεν απαλλάσσονται από την εφαρμογή των ουσιαστικών κανόνων για την προστασία των δεδομένων.

Το άρθρο 45 ορίζει ότι τα κράτη μέλη έχουν την υποχρέωση να προβλέπουν τα καθήκοντα της αρχής ελέγχου, τα οποία περιλαμβάνουν την εξέταση και τη διερεύνηση καταγγελιών και την προώθηση της ενημέρωσης του κοινού σχετικά με τον κίνδυνο, τους κανόνες, τις εγγυήσεις και τα δικαιώματα. Ένα ιδιαίτερο καθήκον των αρχών ελέγχου στο πλαίσιο της παρούσας οδηγίας είναι, σε περίπτωση άρνησης ή περιορισμού της άμεσης πρόσβασης, η άσκηση του δικαιώματος πρόσβασης για λογαριασμό των προσώπων στα οποία αναφέρονται τα δεδομένα και ο έλεγχος της νομιμότητας της επεξεργασίας των δεδομένων.

Το άρθρο 46 προβλέπει τις εξουσίες της αρχής ελέγχου, με βάση το άρθρο 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ και το άρθρο 25 παράγραφοι 2 και 3 της απόφασης πλαισίου 2008/977/ΔΕΥ. Το άρθρο 47 υποχρεώνει τις αρχές ελέγχου να εκπονούν ετήσιες εκθέσεις δραστηριοτήτων, βάσει του άρθρου 28 παράγραφος 5 της οδηγίας 95/46/ΕΚ.

3.4.6. ΚΕΦΑΛΑΙΟ VII – ΣΥΝΕΡΓΑΣΙΑ

Το άρθρο 48 θεσπίζει κανόνες για την υποχρεωτική αμοιβαία συνδρομή, ενώ το άρθρο 28 παράγραφος 6 δεύτερο εδάφιο της οδηγίας 95/46/ΕΚ προέβλεπε απλώς γενική υποχρέωση συνεργασίας, χωρίς να την προσδιορίζει περαιτέρω.

Το άρθρο 49 προβλέπει ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η οποία συστήνεται από τον γενικό κανονισμό για την προστασία των δεδομένων, ασκεί τα καθήκοντά της επίσης σε σχέση με τις δραστηριότητες επεξεργασίας που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Για την παροχή συμπληρωματικής στήριξης, η Επιτροπή θα ζητεί τις συμβουλές εκπροσώπων αρχών αρμόδιων για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων στα κράτη μέλη, καθώς και εκπροσώπων της Ευρωπόλ και της Eurojust, μέσω ομάδας εμπειρογνωμόνων όσον αφορά τις πτυχές της προστασίας δεδομένων που σχετίζονται με την επιβολή του νόμου.

3.4.7. ΚΕΦΑΛΑΙΟ VIII – ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Το άρθρο 50 προβλέπει το δικαίωμα κάθε προσώπου στο οποίο αναφέρονται τα δεδομένα να υποβάλει καταγγελία σε αρχή ελέγχου, βάσει του άρθρου 28 παράγραφος 4 της οδηγίας 95/46/ΕΚ, και αφορά κάθε παράβαση της οδηγίας σε σχέση με τον καταγγέλλοντα. Προσδιορίζει επίσης τους φορείς, τους οργανισμούς ή τις οργανώσεις που μπορούν να υποβάλουν καταγγελία για λογαριασμό του προσώπου στο οποίο αναφέρονται τα δεδομένα καθώς και σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα.

Το άρθρο 51 αφορά το δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου. Βασίζεται στη γενική διάταξη του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ και προβλέπει ρητώς ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει δικαστική προσφυγή προκειμένου μια αρχή ελέγχου να υποχρεωθεί να ασχοληθεί με μια καταγγελία.

Το άρθρο 52 αφορά το δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, βάσει του άρθρου 22 της οδηγίας 95/46/ΕΚ και του άρθρου 20 της απόφασης πλαισίου 2008/977/ΔΕΥ.

Το άρθρο 53 θεσπίζει κοινούς κανόνες για τη δικαστική διαδικασία, συμπεριλαμβανομένων των δικαιωμάτων φορέων, οργανισμών και οργανώσεων να εκπροσωπούν πρόσωπα στα οποία αναφέρονται δεδομένα ενώπιον των δικαστηρίων και του δικαιώματος των αρχών ελέγχου να μετέχουν σε νομικές διαδικασίες. Η υποχρέωση των κρατών μελών να διασφαλίζουν την ταχύτητα των δικαστικών προσφυγών εμπνέεται από το άρθρο 18 παράγραφος 1 της οδηγίας 2000/31/ΕΚ για το ηλεκτρονικό εμπόριο[32].

Το άρθρο 54 υποχρεώνει τα κράτη μέλη να προβλέπουν δικαίωμα αποζημίωσης. Βασίζεται στο άρθρο 23 της οδηγίας 95/46/ΕΚ και στο άρθρο 19 παράγραφος 1 της απόφασης πλαισίου 2008/977/ΔΕΥ, επεκτείνει το δικαίωμα αυτό σε ζημίες που προκαλούνται από εκτελούντες την επεξεργασία και αποσαφηνίζει την ευθύνη των από κοινού υπευθύνων επεξεργασίας και των από κοινού εκτελούντων την επεξεργασία.

Το άρθρο 55 υποχρεώνει τα κράτη μέλη να θεσπίζουν κανόνες σχετικά με τις κυρώσεις, για τον κολασμό παραβάσεων της οδηγίας, και να διασφαλίζουν την εφαρμογή τους.

3.4.8. ΚΕΦΑΛΑΙΟ IX – ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Το άρθρο 56 περιέχει τυποποιημένες διατάξεις για την άσκηση αναθέσεων σύμφωνα με το άρθρο 290 ΣΛΕΕ. Αυτό επιτρέπει στον νομοθέτη να αναθέτει στην Επιτροπή την εξουσία έκδοσης μη νομοθετικών πράξεων γενικής εφαρμογής που συμπληρώνουν ή τροποποιούν ορισμένα μη ουσιώδη στοιχεία μιας νομοθετικής πράξης (οιονεί νομοθετικές πράξεις).

Το άρθρο 57 περιέχει τη διάταξη για τη διαδικασία επιτροπής που απαιτείται για την ανάθεση εκτελεστικών εξουσιών στην Επιτροπή στις περιπτώσεις στις οποίες, σύμφωνα με το άρθρο 291 ΣΛΕΕ, απαιτούνται ενιαίες προϋποθέσεις για την εκτέλεση νομικά δεσμευτικών πράξεων της Ένωσης. Εφαρμόζεται η διαδικασία εξέτασης.

3.4.9. ΚΕΦΑΛΑΙΟ X – ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 58 καταργεί την απόφαση πλαίσιο 2008/977/ΔΕΥ.

Το άρθρο 59 ορίζει ότι δεν θίγεται η ισχύς ειδικών διατάξεων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για σκοπούς πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων σε πράξεις της Ένωσης οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή την πρόσβαση σε συστήματα πληροφοριών εντός του πεδίου εφαρμογής της οδηγίας και οι οποίες εκδόθηκαν πριν από την έκδοση της παρούσας οδηγίας.

Το άρθρο 60 αποσαφηνίζει τη σχέση της παρούσας οδηγίας με διεθνείς συμφωνίες που συνάφθηκαν προηγουμένως από τα κράτη μέλη στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

Το άρθρο 61 προβλέπει την υποχρέωση της Επιτροπής να αξιολογεί και να υποβάλλει έκθεση σχετικά με την εφαρμογή της οδηγίας, προκειμένου να εκτιμηθεί η αναγκαιότητα ευθυγράμμισης με την παρούσα οδηγία των ήδη θεσπισθεισών ειδικών διατάξεων που αναφέρονται στο άρθρο 59.

Το άρθρο 62 ορίζει την υποχρέωση των κρατών μελών να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο και να κοινοποιήσουν στην Επιτροπή τις διατάξεις που θεσπίζουν δυνάμει της οδηγίας.

Το άρθρο 63 καθορίζει την ημερομηνία έναρξης ισχύος της οδηγίας.

Το άρθρο 64 ορίζει τους αποδέκτες της παρούσας οδηγίας.

4.         ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ

Το νομοθετικό δημοσιονομικό δελτίο που συνοδεύει την πρόταση του γενικού κανονισμού για την προστασία των δεδομένων καλύπτει τον δημοσιονομικό αντίκτυπο του κανονισμού και της παρούσας οδηγίας.

2012/0010 (COD)

Πρόταση

ΟΔΗΓΙΑ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Ύστερα από διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων [33],

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία,

Εκτιμώντας τα ακόλουθα:

(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

(2) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα προορίζεται να εξυπηρετεί τον άνθρωπο· οι αρχές και οι κανόνες που διέπουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των φυσικών προσώπων, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως δε το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Η επεξεργασία πρέπει να συμβάλλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης.

(3) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων αυξήθηκε εντυπωσιακά. Η τεχνολογία επιτρέπει σε αρμόδιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτόγνωρη κλίμακα για την επιδίωξη των δραστηριοτήτων τους.

(4) Αυτό απαιτεί τη διευκόλυνση της ελεύθερης ροής δεδομένων μεταξύ αρμόδιων αρχών εντός της Ένωσης και της διαβίβασης δεδομένων προς τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι εξελίξεις αυτές απαιτούν την οικοδόμηση ενός ισχυρού και πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενου από ισχυρή επιβολή της νομοθεσίας.

(5) Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών[34] εφαρμόζεται σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Ωστόσο, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα «κατά την άσκηση δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης», π.χ. δραστηριοτήτων στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(6)             Η απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις[35] εφαρμόζεται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Το πεδίο εφαρμογής της εν λόγω απόφασης πλαισίου περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή καθίστανται διαθέσιμα μεταξύ κρατών μελών.

(7) Η διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων και η διευκόλυνση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών των κρατών μελών είναι καθοριστικής σημασίας προκειμένου να διασφαλίζεται αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και αστυνομική συνεργασία. Για τον σκοπό αυτό, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα και των υποχρεώσεων εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, αλλά και αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες που διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

(8) Το άρθρο 16 παράγραφος 2 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ορίζει ότι το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο πρέπει να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

(9) Στη βάση αυτή, ο κανονισμός (ΕΕ) …../2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία των δεδομένων) θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

(10) Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην Τελική Πράξη της Διακυβερνητικής Διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η Διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των τομέων αυτών, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας βάσει του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

(11) Επομένως, μια ειδική οδηγία πρέπει να καλύπτει τα ειδικά χαρακτηριστικά των εν λόγω τομέων και να θεσπίσει τους κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

(12)             Για τη διασφάλιση του ίδιου επιπέδου προστασίας για τα φυσικά πρόσωπα μέσω νομικώς εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και την αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμόδιων αρχών, η οδηγία πρέπει να προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(13) Η παρούσα οδηγία επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού σε επίσημα έγγραφα κατά την εφαρμογή των διατάξεών της.

(14) Η προστασία που παρέχει η παρούσα οδηγία πρέπει να αφορά τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(15) Η προστασία των φυσικών προσώπων πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές· διαφορετικά, δημιουργείται σοβαρός κίνδυνος καταστρατήγησης. Η προστασία των φυσικών προσώπων πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη χειροκίνητη επεξεργασία, εφόσον τα δεδομένα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα αρχεία ή τα σύνολα αρχείων καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας. Η παρούσα οδηγία δεν πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια, ή σε δεδομένα που τυγχάνουν επεξεργασίας από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, όπως η Ευρωπόλ ή η Eurojust.

(16) Οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για να διαπιστωθεί κατά πόσον η ταυτότητα ενός φυσικού προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την εξακρίβωση της ταυτότητας του φυσικού προσώπου. Οι αρχές της προστασίας των δεδομένων δεν πρέπει να εφαρμόζονται σε δεδομένα που ανωνυμοποιήθηκαν κατά τέτοιο τρόπο ώστε η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην μπορεί πλέον να εξακριβωθεί.

(17) Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να περιλαμβάνουν, ειδικότερα, όλα τα δεδομένα που σχετίζονται με την κατάσταση της υγείας του προσώπου στο οποίο αναφέρονται τα δεδομένα· πληροφορίες σχετικά με την εγγραφή του φυσικού προσώπου για την παροχή υπηρεσιών υγείας· πληροφορίες σχετικά με πληρωμές ή με την επιλεξιμότητα του συγκεκριμένου φυσικού προσώπου για υπηρεσίες ιατροφαρμακευτικής περίθαλψης· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας το οποίο αποδίδεται σε ένα φυσικό πρόσωπο με σκοπό τη μοναδική ταυτοποίησή του για σκοπούς υγείας· κάθε σχετική με το φυσικό πρόσωπο πληροφορία που συλλέχθηκε κατά την παροχή υπηρεσιών υγείας στο φυσικό πρόσωπο· πληροφορίες οι οποίες προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, συμπεριλαμβανομένων βιολογικών δειγμάτων· την ταυτοποίηση ενός προσώπου ως παρόχου υπηρεσιών ιατροφαρμακευτικής περίθαλψης στο φυσικό πρόσωπο· ή κάθε πληροφορία π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή την πραγματική βιολογική ή βιοϊατρική κατάσταση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ανεξαρτήτως πηγής, όπως π.χ. από ιατρό ή άλλον επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

(18) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι θεμιτή και σύννομη σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά. Ειδικότερα, οι συγκεκριμένοι σκοποί για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία πρέπει να είναι σαφείς.

(19) Για την πρόληψη, τη διερεύνηση και τη δίωξη ποινικών αδικημάτων, οι αρμόδιες αρχές πρέπει να διατηρούν και να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, τα οποία συλλέγονται στο πλαίσιο της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης συγκεκριμένων ποινικών αδικημάτων, πέραν του πλαισίου αυτού με στόχο την καλύτερη κατανόηση των εγκληματικών φαινομένων και τάσεων, τη συγκέντρωση απόρρητων πληροφοριών για δίκτυα οργανωμένης εγκληματικότητας και τη διαπίστωση συσχετισμών μεταξύ διαφορετικών αδικημάτων που ανιχνεύονται.

(20) Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τον σκοπό της συλλογής τους. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να μην είναι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ορθά διορθώνονται ή διαγράφονται.

(21)             Η αρχή της ακρίβειας των δεδομένων πρέπει να εφαρμόζεται με γνώμονα τη φύση και τον σκοπό της εκάστοτε επεξεργασίας. Σε δικαστικές διαδικασίες, ειδικότερα, δηλώσεις οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα βασίζονται στην υποκειμενική αντίληψη φυσικών προσώπων και, σε μερικές περιπτώσεις, δεν είναι πάντοτε επαληθεύσιμες. Ως εκ τούτου, η απαίτηση της ακρίβειας δεν πρέπει να αφορά την ορθότητα της δήλωσης, αλλά απλώς το γεγονός ότι πραγματοποιήθηκε μια συγκεκριμένη δήλωση.

(22) Κατά την ερμηνεία και την εφαρμογή των γενικών αρχών που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, πρέπει να λαμβάνονται υπόψη οι ιδιαιτερότητες του τομέα, συμπεριλαμβανομένων των συγκεκριμένων στόχων που επιδιώκονται.

(23) Αναπόσπαστο στοιχείο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν διαφορετικές κατηγορίες προσώπων στα οποία αναφέρονται τα δεδομένα. Επομένως, στον βαθμό του εφικτού, πρέπει να γίνεται σαφής διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα, όπως ύποπτοι, πρόσωπα που έχουν καταδικασθεί για ποινικό αδίκημα, θύματα και τρίτοι, π.χ. μάρτυρες, πρόσωπα που κατέχουν σχετικές πληροφορίες ή πρόσωπα επικοινωνίας και συνεργούς υπόπτων και καταδικασθέντων εγκληματιών.

(24)             Στον βαθμό του εφικτού, τα δεδομένα προσωπικού χαρακτήρα πρέπει να διακρίνονται ανάλογα με τον βαθμό ακρίβειας και αξιοπιστίας τους. Τα πραγματικά περιστατικά πρέπει να διακρίνονται από τις προσωπικές εκτιμήσεις προκειμένου να διασφαλίζεται τόσο η προστασία των φυσικών προσώπων όσο και η ποιότητα και η αξιοπιστία των πληροφοριών που επεξεργάζονται οι αρμόδιες αρχές.

(25) Για να είναι σύννομη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι απαραίτητη για τη συμμόρφωση προς υποχρέωση την οποία υπέχει εκ του νόμου ο υπεύθυνος επεξεργασίας, για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον από αρμόδια αρχή βάσει του νόμου ή για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, ή για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας.

(26)             Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα ή με την ιδιωτική ζωή, συμπεριλαμβανομένων των γενετικών δεδομένων, χρήζουν ειδικής προστασίας. Τέτοια δεδομένα δεν πρέπει να υποβάλλονται σε επεξεργασία παρά μόνον εάν η επεξεργασία επιτρέπεται ρητώς βάσει νόμου ο οποίος προβλέπει κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή εάν η επεξεργασία είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, ή εάν η επεξεργασία αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται.

(27)             Κάθε φυσικό πρόσωπο πρέπει να έχει το δικαίωμα να μην υπάγεται σε μέτρο το οποίο βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, εάν το μέτρο παράγει δυσμενείς έννομες συνέπειες για το εν λόγω πρόσωπο, εκτός εάν αυτές επιτρέπονται διά νόμου και με την επιφύλαξη κατάλληλων μέτρων για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(28) Για να είναι δυνατή η άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, κάθε ενημέρωση που του παρέχεται πρέπει να είναι εύκολα προσπελάσιμη και ευνόητη, μεταξύ άλλων, μέσω της χρήσης σαφούς και απλής διατύπωσης.

(29) Πρέπει να προβλέπονται ρυθμίσεις για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του βάσει της παρούσας οδηγίας, συμπεριλαμβανομένων μηχανισμών υποβολής αιτημάτων, χωρίς οικονομική επιβάρυνση, για πρόσβαση σε δεδομένα, διόρθωση και διαγραφή τους. Ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να απαντά αμελλητί σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα .

(30)             Η αρχή της θεμιτής επεξεργασίας απαιτεί να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, για τη διάρκεια αποθήκευσης των δεδομένων, για την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Εάν τα δεδομένα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες σε περίπτωση μη παροχής των εν λόγω δεδομένων.

(31) Η ενημέρωση σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να του παρέχεται κατά τη συλλογή ή, εάν τα δεδομένα δεν παρέχονται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα υποβάλλονται σε επεξεργασία.

(32) Κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και πρέπει να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, το χρονικό διάστημα της επεξεργασίας και τους αποδέκτες που λαμβάνουν τα δεδομένα, μεταξύ άλλων σε τρίτες χώρες. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να δικαιούνται να λάβουν αντίγραφο των δεδομένων προσωπικού χαρακτήρα που τα αφορούν τα οποία υποβάλλονται σε επεξεργασία.

(33)             Τα κράτη μέλη πρέπει να έχουν το δικαίωμα θέσπισης νομοθετικών μέτρων τα οποία καθυστερούν, περιορίζουν ή παραλείπουν την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα ή την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που τα αφορούν, στον βαθμό που και εφόσον ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβάνοντας δεόντως υπόψη τα έννομα συμφέροντα του ενδιαφερομένου, για την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, την αποφυγή παρεμπόδισης της πρόληψης, ανίχνευσης, διερεύνησης και δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, την προστασία της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή την προστασία του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων.

(34) Κάθε άρνηση ή περιορισμός πρόσβασης πρέπει να γνωστοποιείται εγγράφως στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένων των πραγματικών ή νομικών λόγων στους οποίους βασίζεται η απόφαση.

(35)             Εάν τα κράτη μέλη θεσπίσουν νομοθετικά μέτρα τα οποία περιορίζουν εν όλω ή εν μέρει το δικαίωμα πρόσβασης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να ζητήσει από την αρμόδια εθνική αρχή ελέγχου να ελέγξει τη νομιμότητα της επεξεργασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να ενημερώνεται για το δικαίωμα αυτό. Όταν το δικαίωμα πρόσβασης ασκείται από την αρχή ελέγχου για λογαριασμό του προσώπου στο οποίο αναφέρονται τα δεδομένα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να ενημερώνεται από την αρχή ελέγχου οπωσδήποτε για την πραγματοποίηση όλων των αναγκαίων επαληθεύσεων από την αρχή ελέγχου και για το αποτέλεσμα όσον αφορά τη νομιμότητα της σχετικής επεξεργασίας.

(36)             Κάθε πρόσωπο πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και το δικαίωμα να ζητεί τη διαγραφή δεδομένων, εάν η επεξεργασία των εν λόγω δεδομένων δεν είναι σύμφωνη προς τις βασικές αρχές που προβλέπονται στην παρούσα οδηγία. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας, η διόρθωση, τα δικαιώματα ενημέρωσης, πρόσβασης, διαγραφής και περιορισμού της επεξεργασίας μπορούν να εκτελούνται σύμφωνα με τους εθνικούς κανόνες για τις δικαστικές διαδικασίες.

(37) Πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης από τον υπεύθυνο επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται είτε από τον υπεύθυνο επεξεργασίας είτε για λογαριασμό του. Ειδικότερα, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει τη συμμόρφωση των πράξεων επεξεργασίας προς τους κανόνες που θεσπίζονται δυνάμει της παρούσας οδηγίας.

(38) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις της οδηγίας. Για να διασφαλίζεται η συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίζει πολιτικές και να εφαρμόζει κατάλληλα μέτρα τα οποία να ικανοποιούν ειδικότερα τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού.

(39) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία απαιτούν σαφή ανάθεση των αρμοδιοτήτων που απορρέουν από την παρούσα οδηγία, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

(40)             Οι δραστηριότητες επεξεργασίας πρέπει να τεκμηριώνονται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία προκειμένου να παρακολουθείται η συμμόρφωση προς την παρούσα οδηγία. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε αυτή να μπορεί να χρησιμεύσει για την παρακολούθηση των πράξεων επεξεργασίας.

(41)             Για τη διασφάλιση της ουσιαστικής προστασίας των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα μέσω προληπτικών ενεργειών, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να διαβουλεύεται με την αρχή ελέγχου σε ορισμένες περιπτώσεις πριν από την επεξεργασία.

(42) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα βλάβη, συμπεριλαμβανομένης ζημίας στη φήμη του ενδιαφερόμενου φυσικού προσώπου. Επομένως, μόλις ο υπεύθυνος της επεξεργασίας αντιληφθεί μια τέτοια παραβίαση, οφείλει να γνωστοποιήσει την παραβίαση στην αρμόδια εθνική αρχή. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα ή η ιδιωτική ζωή μπορεί να επηρεασθούν αρνητικά από την παραβίαση πρέπει να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Μια παραβίαση πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή ενός φυσικού προσώπου όταν μπορεί να έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(43) Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, πρέπει να λαμβάνονται δεόντως υπόψη οι περιστάσεις της παραβίασης, συμπεριλαμβανομένου του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και οι διαδικασίες πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρμόδιων αρχών σε περιπτώσεις στις οποίες η πρόωρη γνωστοποίηση μπορεί να εμποδίσει αδικαιολόγητα τη διερεύνηση των περιστάσεων μιας παραβίασης.

(44) Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να ορίσει ένα πρόσωπο το οποίο θα συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της συμμόρφωσης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας. Περισσότερες οντότητες της αρμόδιας αρχής μπορούν να διορίσουν από κοινού έναν υπεύθυνο προστασίας δεδομένων. Οι υπεύθυνοι προστασίας δεδομένων πρέπει να είναι σε θέση να εκτελούν τις αρμοδιότητες και τα καθήκοντά τους ανεξάρτητα και αποτελεσματικά.

(45) Τα κράτη μέλη πρέπει να διασφαλίζουν ότι μια διαβίβαση προς τρίτη χώρα πραγματοποιείται μόνον εάν είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, ο δε υπεύθυνος επεξεργασίας στην τρίτη χώρα ή στον διεθνή οργανισμό είναι αρμόδια αρχή κατά την έννοια της παρούσας οδηγίας. Διαβίβαση μπορεί να πραγματοποιηθεί στις περιπτώσεις στις οποίες η Επιτροπή έχει αποφανθεί ότι η εκάστοτε τρίτη χώρα ή ο διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας ή εάν παρέχονται κατάλληλες εγγυήσεις.

(46) Η Επιτροπή μπορεί να αποφασίζει με ισχύ για ολόκληρη την Ένωση ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας εντός τρίτης χώρας, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που γίνεται δεκτό ότι παρέχουν ένα τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τις εν λόγω χώρες μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να εξασφαλισθεί καμία περαιτέρω έγκριση.

(47) Σύμφωνα με τις θεμελιώδεις αρχές στις οποίες βασίζεται η Ένωση, και ειδικότερα την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή οφείλει να λαμβάνει υπόψη με ποιον τρόπο μια δεδομένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα.

(48) Η Επιτροπή πρέπει επίσης να μπορεί να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας εντός τρίτης χώρας, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τη συγκεκριμένη τρίτη χώρα πρέπει να απαγορεύεται εκτός εάν βασίζεται σε διεθνή συμφωνία, σε κατάλληλες εγγυήσεις ή σε παρέκκλιση. Πρέπει να προβλέπονται διαδικασίες για διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Ωστόσο, μια τέτοια απόφαση της Επιτροπής δεν θίγει τη δυνατότητα πραγματοποίησης διαβιβάσεων βάσει κατάλληλων εγγυήσεων ή βάσει παρέκκλισης η οποία προβλέπεται στην οδηγία.

(49) Διαβιβάσεις που δεν βασίζονται σε τέτοια απόφαση περί επάρκειας πρέπει να επιτρέπονται μόνον εφόσον έχουν παρασχεθεί κατάλληλες εγγυήσεις με νομικά δεσμευτική πράξη, οι οποίες διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ή εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησε όλες τις περιστάσεις που περιβάλλουν την πράξη διαβίβασης δεδομένων ή τη σειρά πράξεων διαβίβασης δεδομένων και, βάσει της εν λόγω αξιολόγησης, θεωρεί ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Σε περιπτώσεις στις οποίες δεν υπάρχουν λόγοι που να επιτρέπουν μια διαβίβαση, παρεκκλίσεις πρέπει να επιτρέπονται εάν είναι αναγκαίες για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου ή για τη διασφάλιση έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα εάν το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα προβλέπει κάτι τέτοιο, ή εάν είναι απαραίτητες για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας, ή σε μεμονωμένες περιπτώσεις για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, ή σε μεμονωμένες περιπτώσεις για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων.

(50) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα μπορεί να επαυξάνει τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης τέτοιων δεδομένων. Ταυτόχρονα, οι αρχές ελέγχου μπορεί να διαπιστώσουν ότι δεν μπορούν να δώσουν συνέχεια σε καταγγελίες ούτε να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή κατασταλτικές εξουσίες ή μη συνεκτικά νομικά καθεστώτα. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ αρχών ελέγχου της προστασίας δεδομένων, ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες με τους διεθνείς ομολόγους τους.

(51) Η ίδρυση αρχών ελέγχου στα κράτη μέλη, οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία, αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Οι αρχές ελέγχου πρέπει να παρακολουθούν την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Για τον σκοπό αυτό, οι αρχές ελέγχου πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή.

(52) Τα κράτη μέλη μπορούν να αναθέτουν σε αρχή ελέγχου που έχει ήδη συσταθεί στα κράτη μέλη βάσει του κανονισμού (ΕΕ)…./2012 την ευθύνη για τα καθήκοντα τα οποία πρέπει να ασκούνται από τις εθνικές αρχές ελέγχου που πρέπει να συσταθούν βάσει της παρούσας οδηγίας.

(53) Τα κράτη μέλη πρέπει να μπορούν να συστήσουν περισσότερες της μίας αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Κάθε αρχή ελέγχου πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, εγκαταστάσεις και υποδομές, ούτως ώστε να είναι σε θέση να ασκήσει αποτελεσματικά τα καθήκοντά της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση.

(54) Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται είτε από το κοινοβούλιο είτε από την κυβέρνηση του κράτους μέλους, και να περιλαμβάνουν κανόνες για τα ατομικά προσόντα των μελών και τη θέση τους.

(55) Παρότι η παρούσα οδηγία εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων, η αρμοδιότητα των αρχών ελέγχου δεν πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτά ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Ωστόσο, η εξαίρεση αυτή πρέπει να περιορίζεται σε πραγματικές δικαιοδοτικές δραστηριότητες σε δικαστικές υποθέσεις και να μην εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν δικαστές σύμφωνα με το εθνικό δίκαιο.

(56) Για τη διασφάλιση της συνεκτικής παρακολούθησης και επιβολής της παρούσας οδηγίας σε ολόκληρη την Ένωση, οι αρχές ελέγχου πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, συμπεριλαμβανομένων εξουσιών διερεύνησης, νομικά δεσμευτικής παρέμβασης, λήψης αποφάσεων και επιβολής κυρώσεων, ιδίως σε περιπτώσεις καταγγελιών από φυσικά πρόσωπα, και συμμετοχής σε νομικές διαδικασίες.

(57) Κάθε αρχή ελέγχου πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται δεδομένα και πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στη συγκεκριμένη περίπτωση. Η αρχή ελέγχου πρέπει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(58) Οι αρχές ελέγχου πρέπει να συνδράμουν η μια την άλλη στην άσκηση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας.

(59) Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο συστήνεται με τον κανονισμό (ΕΕ)…./2012, πρέπει να συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση, μεταξύ άλλων συμβουλεύοντας την Επιτροπή και προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση.

(60) Κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα πρέπει να έχει δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης δικαστικής προσφυγής, εάν θεωρεί ότι παραβιάζονται τα δικαιώματά του που απορρέουν από την παρούσα οδηγία ή εάν η αρχή ελέγχου δεν δίδει συνέχεια σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(61) Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων προσώπων στα οποία αναφέρονται δεδομένα, σε σχέση με την προστασία των δεδομένων τους, και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους πρέπει να δικαιούται να υποβάλλει καταγγελία ή να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό προσώπων στα οποία αναφέρονται δεδομένα, εφόσον εξουσιοδοτηθεί δεόντως από αυτά, ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από τυχόν καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα.

(62) Κάθε φυσικό ή νομικό πρόσωπο πρέπει να έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που το αφορά. Η διαδικασία κατά αρχής ελέγχου πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

(63) Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, προκειμένου να είναι ουσιαστικές, επιτρέπουν την ταχεία λήψη μέτρων για την επανόρθωση ή την αποφυγή παράβασης της παρούσας οδηγίας.

(64) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας.

(65) Πρέπει να επιβάλλονται κυρώσεις σε κάθε φυσικό ή νομικό πρόσωπο, ιδιωτικού ή δημόσιου δικαίου, το οποίο δεν συμμορφώνεται προς την παρούσα οδηγία. Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και πρέπει να λαμβάνουν κάθε αναγκαίο μέτρο για την εφαρμογή τους.

(66) Για την εκπλήρωση των στόχων της παρούσας οδηγίας, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, πρέπει να εκδοθούν κατ’ εξουσιοδότηση πράξεις σε σχέση με γνωστοποιήσεις παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου. Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιεί κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων. Κατά την επεξεργασία και την κατάρτιση κατ’ εξουσιοδότηση πράξεων, η Επιτροπή πρέπει να εξασφαλίζει ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(67) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής της παρούσας οδηγίας όσον αφορά την τεκμηρίωση από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία, την ασφάλεια της επεξεργασίας, ιδίως σε σχέση με τα πρότυπα κρυπτογράφησης, τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα σε αρχή ελέγχου, και το επαρκές επίπεδο προστασίας που παρέχουν μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες. Οι αρμοδιότητες αυτές πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή[36].

(68) Η διαδικασία εξέτασης πρέπει να χρησιμοποιείται για τη θέσπιση μέτρων όσον αφορά την τεκμηρίωση από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία, την ασφάλεια της επεξεργασίας, τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα σε αρχή ελέγχου και το επαρκές επίπεδο προστασίας που παρέχουν μια τρίτη χώρα ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής.

(69) Η Επιτροπή πρέπει να εκδίδει αμέσως εφαρμοστέες εκτελεστικές πράξεις όταν, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, ή έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή διεθνή οργανισμό που δεν διασφαλίζουν επαρκές επίπεδο προστασίας, το απαιτούν επιτακτικοί λόγοι επείγοντος.

(70) Δεδομένου ότι οι στόχοι της παρούσας οδηγίας, και ειδικότερα η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, όπως και η διασφάλιση της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, η οποία προβλέπεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, η παρούσα οδηγία δεν υπερβαίνει το μέτρο που είναι αναγκαίο των ανωτέρω στόχων.

(71) Η απόφαση πλαίσιο 2008/977/ΔΕΥ πρέπει να καταργηθεί με την παρούσα οδηγία.

(72) Δεν πρέπει να θιγεί η ισχύς των ειδικών διατάξεων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων που περιέχονται σε πράξεις της Ένωσης οι οποίες εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών. Η Επιτροπή πρέπει να αξιολογήσει την κατάσταση όσον αφορά τη σχέση μεταξύ της παρούσας οδηγίας και των πράξεων που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, προκειμένου να εκτιμηθεί η αναγκαιότητα εναρμόνισης των εν λόγω ειδικών διατάξεων με την παρούσα οδηγία.

(73) Για τη διασφάλιση της συνολικής και συνεκτικής προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, διεθνείς συμφωνίες συναφθείσες από τα κράτη μέλη πριν από την έναρξη ισχύος της παρούσας οδηγίας πρέπει να τροποποιηθούν σύμφωνα με την παρούσα οδηγία.

(74) Η παρούσα οδηγία δεν θίγει τους κανόνες για την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας, οι οποίοι προβλέπονται στην οδηγία 2011/92/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Δεκεμβρίου 2011[37].

(75) Σύμφωνα με το άρθρο 6α του πρωτοκόλλου για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά τον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες που θεσπίζονται στην παρούσα οδηγία, εφόσον το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες οι οποίοι διέπουν μορφές δικαστικής συνεργασίας σε ποινικές υποθέσεις ή αστυνομικής συνεργασίας στο πλαίσιο των οποίων πρέπει να τηρούνται οι διατάξεις οι οποίες θεσπίζονται βάσει του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

(76) Σύμφωνα με τα άρθρα 2 και 2α του πρωτοκόλλου σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, η Δανία δεν δεσμεύεται από την παρούσα οδηγία ούτε υπόκειται στην εφαρμογή της. Δεδομένου ότι η παρούσα οδηγία αναπτύσσει το κεκτημένο του Σένγκεν, βάσει του τρίτου μέρους του τίτλου V της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, η Δανία αποφασίζει, σύμφωνα με το άρθρο 4 του πρωτοκόλλου, εντός εξαμήνου μετά την έκδοση της παρούσας οδηγίας, εάν θα την εφαρμόσει στο εθνικό της δίκαιο.

(77) Όσον αφορά την Ισλανδία και τη Νορβηγία, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία που συνάφθηκε μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, αφενός, και της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας, αφετέρου, σχετικά με τη σύνδεση των εν λόγω δύο χωρών προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν[38].

(78) Όσον αφορά την Ελβετία, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν[39].

(79) Όσον αφορά το Λιχτενστάιν, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στο πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετική Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεντημένου του Σένγκεν[40].

(80) Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως κατοχυρώνονται στη Συνθήκη, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου. Οι περιορισμοί που τίθενται στα ως άνω δικαιώματα είναι σύμφωνοι προς το άρθρο 52 παράγραφος 1 του Χάρτη, καθώς είναι αναγκαίοι για την εκπλήρωση σκοπών γενικού συμφέροντος που αναγνωρίζει η Ένωση ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

(81) Σύμφωνα με την κοινή πολιτική δήλωση των κρατών μελών και της Επιτροπής σχετικά με τα επεξηγηματικά έγγραφα της 28ης Σεπτεμβρίου 2011, τα κράτη μέλη ανέλαβαν να συνοδεύσουν, σε αιτιολογημένες περιπτώσεις, την κοινοποίηση των μέτρων μεταφοράς στο εθνικό δίκαιο με ένα ή περισσότερα έγγραφα στα οποία θα επεξηγείται η σχέση ανάμεσα στα συστατικά στοιχεία μιας οδηγίας και στα αντίστοιχα μέρη των νομικών πράξεων μεταφοράς στο εθνικό δίκαιο. Όσον αφορά την παρούσα οδηγία, ο νομοθέτης θεωρεί ότι δικαιολογείται η διαβίβαση τέτοιων εγγράφων.

(82) Η παρούσα οδηγία δεν πρέπει να εμποδίζει τα κράτη μέλη να εφαρμόζουν τις διατάξεις για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με την ενημέρωση, την πρόσβαση, τη διόρθωση, τη διαγραφή και τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν τα οποία υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής διαδικασίας, και τους ενδεχόμενους περιορισμούς στα εν λόγω δικαιώματα, σε εθνικούς κανόνες ποινικής δικονομίας.

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1 Αντικείμενο και στόχοι

1.           Η παρούσα οδηγία θεσπίζει τους κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

2.           Σύμφωνα με την παρούσα οδηγία, τα κράτη μέλη:

α)      προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα· και

β)      διασφαλίζουν την απουσία περιορισμού ή απαγόρευσης της ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές εντός της Ένωσης για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άρθρο 2 Πεδίο εφαρμογής

1.           Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1.

2.           Η παρούσα οδηγία εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

3.           Η παρούσα οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)      στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια·

β)      από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης.

Άρθρο 3 Ορισμοί

Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:

(1) «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, με μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή από οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, ιδίως βάσει αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ή βάσει ενός ή περισσοτέρων παραμέτρων που χαρακτηρίζουν την υπόσταση του συγκεκριμένου προσώπου από σωματική, βιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική άποψη·

(2) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο·

(3) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·

(4) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·

(5) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

(6) «υπεύθυνος επεξεργασίας»: η αρμόδια δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς, τις προϋποθέσεις και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί, οι προϋποθέσεις και ο τρόπος της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

(7) «εκτελών την επεξεργασία»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

(8) «αποδέκτης»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

(9) «παραβίαση προσωπικών δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

(10) «γενετικά δεδομένα»: όλα τα δεδομένα, οποιουδήποτε τύπου, τα οποία αφορούν τα χαρακτηριστικά φυσικού προσώπου που κληρονομούνται ή αποκτώνται κατά την αρχική προγεννητική ανάπτυξη·

(11) «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα σχετίζονται με σωματικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

(12) «δεδομένα που αφορούν την υγεία»: κάθε πληροφορία που σχετίζεται με τη σωματική ή ψυχική υγεία ενός ατόμου ή με την παροχή υπηρεσιών υγείας σε αυτό·

(13) «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

(14) «αρμόδιες αρχές»: κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων·

(15) «αρχή ελέγχου»: δημόσια αρχή την οποία συγκροτεί ένα κράτος μέλος σύμφωνα με το άρθρο 39.

ΚΕΦΑΛΑΙΟ II

ΑΡΧΕΣ

Άρθρο 4 Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α)      να υποβάλλονται σε θεμιτή και σύννομη επεξεργασία·

β)      να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς·

γ)      να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·

δ)      να είναι ακριβή και, όταν απαιτείται, να επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση·

ε)      να διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία·

στ)    να υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει τη συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.

Άρθρο 5 Διάκριση μεταξύ διαφορετικών κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα

1.           Τα κράτη μέλη προβλέπουν ότι, στον βαθμό του εφικτού, ο υπεύθυνος επεξεργασίας διακρίνει σαφώς μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών υποκειμένων, π.χ.:

α)      προσώπων σε σχέση με τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα·

β)      προσώπων τα οποία καταδικάσθηκαν για ποινικό αδίκημα·

γ)      θυμάτων ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να πέσουν θύματα ποινικού αδικήματος·

δ)      τρίτων ως προς ποινικό αδίκημα, όπως προσώπων που ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικά αδικήματα ή σε επακόλουθη ποινική διαδικασία ή προσώπων που μπορούν να παράσχουν πληροφορίες σχετικά με ποινικά αδικήματα, ή προσώπων επικοινωνίας ή συνεργών των προσώπων που αναφέρονται στα στοιχεία α) και β)· και

ε)      προσώπων που δεν υπάγονται σε καμία από τις ως άνω αναφερόμενες κατηγορίες.

Άρθρο 6 Διαφορετικοί βαθμοί ακρίβειας και αξιοπιστίας δεδομένων προσωπικού χαρακτήρα

1.           Τα κράτη μέλη διασφαλίζουν ότι, στον βαθμό του εφικτού, οι διαφορετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία διακρίνονται ανάλογα με τον βαθμό ακρίβειας και αξιοπιστίας τους.

2.           Τα κράτη μέλη διασφαλίζουν, στον βαθμό του εφικτού, ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά περιστατικά διακρίνονται από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις.

Άρθρο 7 Νομιμότητα επεξεργασίας

Τα κράτη μέλη προβλέπουν ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν και στο μέτρο που είναι απαραίτητη:

α)           για την εκτέλεση καθήκοντος που ασκείται από αρμόδια αρχή βάσει νόμου για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1· ή

β)           για τη συμμόρφωση προς υποχρέωση την οποία ο υπεύθυνος επεξεργασίας υπέχει εκ του νόμου· ή

γ)           για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

δ)           για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας.

Άρθρο 8 Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1.           Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλή ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή.

2.           Η παράγραφος 1 δεν εφαρμόζεται εάν:

α)      η επεξεργασία επιτρέπεται από νόμο, ο οποίος προβλέπει κατάλληλες εγγυήσεις· ή

β)      η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

γ)      η επεξεργασία αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται.

Άρθρο 9 Μέτρα βασισμένα σε κατάρτιση προφίλ και αυτοματοποιημένη επεξεργασία

1.           Τα κράτη μέλη προβλέπουν την απαγόρευση μέτρων που παράγουν δυσμενείς έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή θίγουν σε μεγάλο βαθμό το εν λόγω πρόσωπο, τα οποία μέτρα βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται, εκτός εάν επιτρέπονται από νόμο ο οποίος θεσπίζει επίσης μέτρα για την κατοχύρωση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.           Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν μπορεί να βασίζεται αποκλειστικά στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 8.

ΚΕΦΑΛΑΙΟ III

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ

Άρθρο 10 Τρόπος άσκησης των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο ώστε να διαθέτει διαφανείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

2.           Τα κράτη μέλη προβλέπουν ότι κάθε ενημέρωση και κάθε κοινοποίηση σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παρέχεται από τον υπεύθυνο επεξεργασίας στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα σε κατανοητή μορφή, με τη χρήση σαφούς και απλής διατύπωσης.

3.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο ώστε να θεσπίζει διαδικασίες για την παροχή των πληροφοριών που αναφέρονται στο άρθρο 11 και για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα που προβλέπονται στα άρθρα 12 έως 17.

4.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τη συνέχεια που δίδεται στο αίτημά του αμελλητί.

5.           Τα κράτη μέλη προβλέπουν ότι η ενημέρωση και οι ενέργειες που εκτελούνται από τον υπεύθυνο επεξεργασίας σε συνέχεια των αιτημάτων που αναφέρονται στις παραγράφους 3 και 4 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι κακόβουλα, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους ή του μεγέθους ή του όγκου του αιτήματος, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου τέλους για την παροχή της ενημέρωσης ή την εκτέλεση της ζητούμενης ενέργειας, ή ο υπεύθυνος επεξεργασίας μπορεί να μην εκτελέσει τη ζητούμενη ενέργεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του κακόβουλου χαρακτήρα του αιτήματος.

Άρθρο 11 Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν συγκεκριμένο υποκείμενο, τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα απαραίτητα μέτρα για να παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα οπωσδήποτε τις ακόλουθες πληροφορίες:

α)      την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

β)      τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·

γ)      το χρονικό διάστημα για το οποίο θα αποθηκευθούν τα δεδομένα προσωπικού χαρακτήρα·

δ)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο·

ε)      το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου που αναφέρεται στο άρθρο 39 και τα στοιχεία επικοινωνίας της εν λόγω αρχής·

στ)    τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς·

ζ)      κάθε περαιτέρω πληροφορία η οποία είναι απαραίτητη για τη διασφάλιση της θεμιτής επεξεργασίας έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα.

2.           Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, επιπλέον των πληροφοριών της παραγράφου 1, σχετικά με το κατά πόσον η παροχή δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή εθελοντική, καθώς και για τις ενδεχόμενες συνέπειες της μη παροχής τέτοιων δεδομένων.

3.           Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στην παράγραφο 1:

α)      κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται· ή

β)      εάν τα δεδομένα προσωπικού χαρακτήρα δεν παρέχονται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα υποβάλλονται σε επεξεργασία.

4.           Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία καθυστερούν, περιορίζουν ή παραλείπουν την παροχή των πληροφοριών στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα στον βαθμό που και εφόσον ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου προσώπου, με σκοπό:

α)      την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·

β)      την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·

γ)      την προστασία της δημόσιας ασφάλειας·

δ)      την προστασία της εθνικής ασφάλειας·

ε)      την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

5.           Τα κράτη μέλη μπορούν να καθορίζουν κατηγορίες επεξεργασίας δεδομένων οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στις εξαιρέσεις που προβλέπονται στην παράγραφο 4.

Άρθρο 12 Δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται όντως σε επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις ακόλουθες πληροφορίες:

α)      τους σκοπούς της επεξεργασίας·

β)      τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

γ)      τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες·

δ)      το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

ε)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση, τη διαγραφή ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο·

στ)    το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας της εν λόγω αρχής·

ζ)      κοινοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους.

2.           Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να λαμβάνει από τον υπεύθυνο επεξεργασίας αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.

Άρθρο 13 Περιορισμοί του δικαιώματος πρόσβασης

1. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα στον βαθμό που ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου προσώπου, με σκοπό:

α)      την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·

β)      την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·

γ)      την προστασία της δημόσιας ασφάλειας·

δ)      την προστασία της εθνικής ασφάλειας·

ε)      την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

2. Τα κράτη μέλη μπορούν να καθορίζουν διά νόμου κατηγορίες επεξεργασίας δεδομένων οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στις εξαιρέσεις που προβλέπονται στην παράγραφο 1.

3. Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 και 2, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για κάθε άρνηση ή περιορισμό πρόσβασης, για τους λόγους της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής. Οι πληροφορίες σχετικά με τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφαση μπορεί να παραλείπονται εάν η παροχή τέτοιων πληροφοριών υπονομεύει έναν από τους σκοπούς που αναφέρονται στην παράγραφο 1.

4. Τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει τους λόγους για τους οποίους παραλείπεται η κοινοποίηση των πραγματικών ή νομικών λόγων επί των οποίων βασίζεται η απόφαση.

Άρθρο 14 Τρόπος άσκησης του δικαιώματος πρόσβασης

1.           Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να ζητεί, ειδικότερα στις περιπτώσεις που αναφέρονται στο άρθρο 13, από την αρχή ελέγχου να ελέγξει τη νομιμότητα της επεξεργασίας.

2.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για το δικαίωμα να ζητήσει την παρέμβαση της αρχής ελέγχου δυνάμει της παραγράφου 1.

3.           Όταν ασκείται το δικαίωμα που αναφέρεται στην παράγραφο 1, η αρχή ελέγχου ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα οπωσδήποτε για το ότι η αρχή ελέγχου διενήργησε όλες τις αναγκαίες επαληθεύσεις, καθώς και σχετικά με το αποτέλεσμα του ελέγχου της νομιμότητας της σχετικής επεξεργασίας.

Άρθρο 15 Δικαίωμα διόρθωσης

1.           Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διόρθωση δεδομένων προσωπικού χαρακτήρα που το αφορούν και τα οποία είναι ανακριβή. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων υπό τη μορφή διορθωτικής δήλωσης.

2.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για κάθε άρνηση διόρθωσης, για τους λόγους της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής.

Άρθρο 16 Δικαίωμα διαγραφής

1. Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν εάν η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις που θεσπίζονται δυνάμει του άρθρου 4 στοιχεία α) έως ε), του άρθρου 7 και του άρθρου 8 της παρούσας οδηγίας.

2. Ο υπεύθυνος επεξεργασίας προβαίνει στη διαγραφή αμελλητί.

3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας επισημαίνει τα δεδομένα προσωπικού χαρακτήρα, εάν:

α)      η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

β)      τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς·

γ)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους.

4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εγγράφως για κάθε άρνηση διαγραφής ή επισήμανσης της επεξεργασίας, για τους λόγους της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής.

Άρθρο 17 Δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε ποινικές έρευνες και διαδικασίες

Τα κράτη μέλη μπορούν να προβλέπουν ότι τα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας, τα οποία αναφέρονται στα άρθρα 11 έως 16, ασκούνται σύμφωνα με τους εθνικούς κανόνες περί δικαστικής διαδικασίας εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο το οποίο υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας ή διαδικασίας.

ΚΕΦΑΛΑΙΟ IV ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1 ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Άρθρο 18 Ευθύνη του υπευθύνου επεξεργασίας

1.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας θεσπίζει πολιτικές και εφαρμόζει κατάλληλα μέτρα ώστε να διασφαλίζει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.

2.           Τα μέτρα που προβλέπονται στην παράγραφο 1 περιλαμβάνουν, ειδικότερα, τα ακόλουθα:

α)      τήρηση της τεκμηρίωσης δυνάμει του άρθρου 23·

β)      συμμόρφωση προς τις απαιτήσεις προηγούμενης διαβούλευσης δυνάμει του άρθρου 26·

γ)      εφαρμογή των απαιτήσεων για την ασφάλεια των δεδομένων οι οποίες προβλέπονται στο άρθρο 27·

δ)      διορισμό υπευθύνου επεξεργασίας δεδομένων δυνάμει του άρθρου 30.

3.           Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς οι οποίοι διασφαλίζουν τον έλεγχο της αποτελεσματικότητας των μέτρων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου. Ο εν λόγω έλεγχος διενεργείται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές, εφόσον κάτι τέτοιο συνιστά αναλογικό μέτρο.

Άρθρο 19 Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.           Τα κράτη μέλη προβλέπουν ότι, έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος εφαρμογής, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπον ώστε η επεξεργασία να πληροί τις απαιτήσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.           Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για τους σκοπούς της επεξεργασίας.

Άρθρο 20 Από κοινού υπεύθυνοι επεξεργασίας

Τα κράτη μέλη προβλέπουν ότι, εάν ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από κοινού με άλλους, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς άσκησης των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω μεταξύ τους συμφωνίας.

Άρθρο 21 Εκτελών την επεξεργασία

1. Τα κράτη μέλη προβλέπουν ότι, εάν μια πράξη επεξεργασίας πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπον ώστε η επεξεργασία να πληροί τις απαιτήσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2. Τα κράτη μέλη προβλέπουν ότι η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία διέπεται υποχρεωτικά από δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία ενεργεί μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, ιδίως εάν η διαβίβαση των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται απαγορεύεται.

3. Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των εντολών του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας οι οποίοι προβλέπονται στο άρθρο 20.

Άρθρο 22 Επεξεργασία υπό την εποπτεία του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία

Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας ή εφόσον υπέχει τέτοια υποχρέωση με βάση το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Άρθρο 23 Τεκμηρίωση

1.           Τα κράτη μέλη προβλέπουν ότι κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία διατηρεί τεκμηρίωση όλων των συστημάτων και διαδικασιών επεξεργασίας που τελούν υπό την ευθύνη του.

2.           Η τεκμηρίωση περιέχει οπωσδήποτε τις ακόλουθες πληροφορίες:

α)      το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία·

β)      τους σκοπούς της επεξεργασίας·

γ)      τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

δ)      τις διαβιβάσεις δεδομένων προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένου προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού.

3.           Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθιστούν την τεκμηρίωση διαθέσιμη, κατόπιν αιτήματος, στην αρχή ελέγχου.

Άρθρο 24 Τήρηση αρχείων

1.           Τα κράτη μέλη διασφαλίζουν ότι τηρούνται αρχεία τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας: συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, συνδυασμός ή διαγραφή. Τα αρχεία αναζήτησης πληροφοριών και κοινολόγησης καταδεικνύουν ειδικότερα τον σκοπό, την ημερομηνία και την ώρα των εν λόγω πράξεων και, στον βαθμό του εφικτού, την ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα.

2            Τα αρχεία χρησιμοποιούνται μόνον για σκοπούς επαλήθευσης της νομιμότητας της επεξεργασίας δεδομένων, αυτοπαρακολούθησης και διασφάλισης της ακεραιότητας και της ασφάλειας των δεδομένων.

Άρθρο 25 Συνεργασία με την αρχή ελέγχου

1.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου για την άσκηση των καθηκόντων της, ιδίως παρέχοντας όλες τις πληροφορίες που είναι απαραίτητες για την άσκηση των καθηκόντων της αρχής ελέγχου.

2.           Ως απόκριση στην άσκηση των εξουσιών της αρχής ελέγχου βάσει του άρθρου 46 στοιχεία α) και β), ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία απαντούν στην αρχή ελέγχου εντός εύλογης προθεσμίας. Η απάντηση περιλαμβάνει περιγραφή των ληφθέντων μέτρων και των επιτευχθέντων αποτελεσμάτων, ως απόκριση στις παρατηρήσεις της αρχής ελέγχου.

Άρθρο 26 Προηγούμενη διαβούλευση με την αρχή ελέγχου

1. Τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με την αρχή ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:

α)      πρόκειται να υποβληθούν σε επεξεργασία ειδικές κατηγορίες δεδομένων οι οποίες αναφέρονται στο άρθρο 8·

β)      ο τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει άλλους ειδικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες, ιδίως για την προστασία των δεδομένων προσωπικού χαρακτήρα, προσώπων στα οποία αναφέρονται τα δεδομένα.

2. Τα κράτη μέλη δύνανται να προβλέπουν ότι η αρχή ελέγχου καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 1.

ΤΜΗΜΑ 2

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Άρθρο 27 Ασφάλεια επεξεργασίας

1.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία και τη φύση των δεδομένων που πρέπει να προστατευθούν, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους.

2.           Σε σχέση με την αυτοματοποιημένη επεξεργασία δεδομένων, κάθε κράτος μέλος προβλέπει ότι ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν αξιολόγησης των κινδύνων, μέτρα με σκοπό:

α)      την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας δεδομένων που χρησιμοποιείται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (έλεγχος πρόσβασης σε εξοπλισμό)·

β)      την αποφυγή της μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων)·

γ)      την αποφυγή της μη επιτρεπόμενης εισαγωγής δεδομένων και του μη επιτρεπόμενου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·

δ)      την αποφυγή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας δεδομένων από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·

ε)      την εξασφάλιση ότι πρόσωπα εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας δεδομένων έχουν πρόσβαση μόνον σε δεδομένα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα)·

στ)    την εξασφάλιση ότι είναι δυνατό να επαληθευθεί και να εξακριβωθεί σε ποιους φορείς διαβιβάσθηκαν ή διατέθηκαν ή ενδέχεται να διαβιβασθούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·

ζ)      την εξασφάλιση ότι μπορεί να επαληθευθεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας δεδομένων, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα (έλεγχος εισαγωγής)·

η)      την αποφυγή μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς)·

θ)      την εξασφάλιση ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση)·

ι)       την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα).

3.           Η Επιτροπή μπορεί να εκδίδει, εάν απαιτείται, εκτελεστικές πράξεις για την εξειδίκευση των απαιτήσεων που προβλέπονται στις παραγράφους 1 και 2 σε διάφορες καταστάσεις, ιδίως σε σχέση με τα πρότυπα κρυπτογράφησης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2.

Άρθρο 28 Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

1.           Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, ει δυνατόν, το αργότερο εντός 24 ωρών από τη στιγμή που την αντελήφθη. Ο υπεύθυνος επεξεργασίας παρέχει, κατόπιν αιτήματος, στην αρχή ελέγχου εμπεριστατωμένη αιτιολόγηση στις περιπτώσεις στις οποίες η γνωστοποίηση δεν πραγματοποιείται εντός 24 ωρών.

2.           Ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

3.           Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

α)      να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, και των κατηγοριών και του αριθμού των σχετικών αρχείων δεδομένων·

β)      να διευκρινίζει την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων που αναφέρεται στο άρθρο 30 ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

γ)      να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ)      να περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

ε)      να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα.

4.           Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης. Η εν λόγω τεκμηρίωση πρέπει να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη διαπίστωση της παραβίασης δεδομένων που αναφέρεται στις παραγράφους 1 και 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να γνωστοποιούν την παραβίαση δεδομένων προσωπικού χαρακτήρα.

6.           Η Επιτροπή μπορεί να θεσπίσει τυποποιημένο μορφότυπο για την εν λόγω γνωστοποίηση στην αρχή ελέγχου, τις εφαρμοστέες διαδικασίες στην απαίτηση γνωστοποίησης, καθώς και τη μορφή και τον τρόπο της τεκμηρίωσης που αναφέρεται στην παράγραφο 4, συμπεριλαμβανομένων των προθεσμιών που ισχύουν για τη διαγραφή των πληροφοριών που περιέχονται σε αυτήν. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2.

Άρθρο 29 Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1.           Τα κράτη μέλη προβλέπουν ότι, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί, μετά τη γνωστοποίηση που αναφέρεται στο άρθρο 28, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2.           Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα η οποία αναφέρεται στην παράγραφο 1 περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχει οπωσδήποτε τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 28 παράγραφος 3 στοιχεία β) και γ).

3.           Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο που πείθει την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα προσωπικού χαρακτήρα τα οποία αφορά η συγκεκριμένη παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας πρέπει να καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

4.           Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να καθυστερήσει, να περιορισθεί ή να παραλειφθεί για τους λόγους που αναφέρονται στο άρθρο 11 παράγραφος 4.

ΤΜΗΜΑ 3 ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 30 Διορισμός του υπευθύνου προστασίας δεδομένων

1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διορίζει υπεύθυνο προστασίας δεδομένων.

2. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα άσκησης των καθηκόντων που αναφέρονται στο άρθρο 32.

3. Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί για περισσότερες οντότητες, λαμβανομένης υπόψη της οργανωτικής δομής της αρμόδιας αρχής.

Άρθρο 31 Θέση του υπευθύνου προστασίας δεδομένων

1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων διαθέτει τα μέσα για να εκτελεί τις αρμοδιότητες και τα καθήκοντα που αναφέρονται στο άρθρο 32 αποτελεσματικά και ανεξάρτητα, και ότι δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του.

Άρθρο 32 Καθήκοντα του υπευθύνου προστασίας δεδομένων

Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτει στον υπεύθυνο προστασίας δεδομένων οπωσδήποτε τα ακόλουθα καθήκοντα:

α)           να ενημερώνει και να διαφωτίζει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους οι οποίες απορρέουν από τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

β)           να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης ευθυνών, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

γ)           να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας·

δ)           να διασφαλίζει ότι τηρείται η τεκμηρίωση που αναφέρεται στο άρθρο 23·

ε)           να παρακολουθεί την τεκμηρίωση, τη γνωστοποίηση και την κοινοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 28 και 29·

στ)         να παρακολουθεί την αίτηση περί προηγούμενης διαβούλευσης προς την αρχή ελέγχου, εφόσον απαιτείται δυνάμει του άρθρου 26·

ζ)           να παρακολουθεί την απάντηση σε αιτήματα της αρχής ελέγχου και, στο πλαίσιο των αρμοδιοτήτων του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με δική του πρωτοβουλία·

η)      να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε σχέση με ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με πρωτοβουλία του υπευθύνου προστασίας δεδομένων.

ΚΕΦΑΛΑΙΟ V ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Άρθρο 33 Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα

Τα κράτη μέλη προβλέπουν ότι κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της περαιτέρω διαβίβασης προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί μόνον εφόσον:

α)      η διαβίβαση είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων· και

β)      οι προϋποθέσεις που καθορίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία.

Άρθρο 34 Διαβιβάσεις με απόφαση περί επάρκειας

1.           Τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό επιτρέπεται να πραγματοποιηθεί εάν η Επιτροπή έχει αποφανθεί, σύμφωνα με το άρθρο 41 του κανονισμού (ΕΕ) …./2012 ή σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, ότι η τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ο διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί καμία περαιτέρω έγκριση.

2.           Εάν δεν υπάρχει απόφαση εκδοθείσα σύμφωνα με το άρθρο 41 του κανονισμού (ΕΕ) …./2012, η Επιτροπή αξιολογεί την επάρκεια του επιπέδου προστασίας, εξετάζοντας τα ακόλουθα στοιχεία:

α)      το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, καθώς και τα μέτρα ασφαλείας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, καθώς και τα ουσιαστικά και εκτελεστά δικαιώματα, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση και των οποίων δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

β)      την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, υπεύθυνων για τη διασφάλιση της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

γ)      τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός.

3.           Η Επιτροπή μπορεί να αποφασίσει, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2.

4.           Η εκτελεστική πράξη προσδιορίζει τη γεωγραφική και τομεακή εφαρμογή της και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

5.           Η Επιτροπή μπορεί να αποφασίσει, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά και εκτελεστά δικαιώματα, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως δε για εκείνα τα πρόσωπα των οποίων δεδομένα προσωπικού χαρακτήρα διαβιβάζονται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2 ή, σε εξαιρετικά επείγουσες περιπτώσεις όσον αφορά το δικαίωμα των φυσικών προσώπων στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 57 παράγραφος 3.

6.           Τα κράτη μέλη διασφαλίζουν ότι, εάν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5 σύμφωνα με την οποία απαγορεύεται κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την εν λόγω τρίτη χώρα, ή προς έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή προς τον διεθνή οργανισμό, η εν λόγω απόφαση δεν θίγει τις διαβιβάσεις που προβλέπονται στο άρθρο 35 παράγραφος 1 ή πραγματοποιούνται σύμφωνα με το άρθρο 36. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

7.           Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και των διεθνών οργανισμών για τα οποία έχει αποφανθεί ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

8.           Η Επιτροπή παρακολουθεί την εφαρμογή των εκτελεστικών πράξεων που αναφέρονται στις παραγράφους 3 και 5.

Άρθρο 35 Διαβιβάσεις βάσει κατάλληλων εγγυήσεων

1.           Εάν η Επιτροπή δεν έχει λάβει απόφαση δυνάμει του άρθρου 34, τα κράτη μέλη προβλέπουν ότι διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:

α)      παρασχέθηκαν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή

β)      ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και συνεπέρανε ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα..

1.           Η απόφαση για διαβιβάσεις σύμφωνα με την παράγραφο 1 στοιχείο β) πρέπει να λαμβάνεται από δεόντως εξουσιοδοτημένους υπαλλήλους. Οι εν λόγω διαβιβάσεις πρέπει να τεκμηριώνονται, η δε τεκμηρίωση πρέπει να διατίθεται στην αρχή ελέγχου, κατόπιν αιτήματος.

Άρθρο 36 Παρεκκλίσεις

Κατά παρέκκλιση από τα άρθρα 34 και 35, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό επιτρέπεται να πραγματοποιηθεί μόνον εφόσον:

α)       η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

β)       η διαβίβαση είναι απαραίτητη για την προστασία έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, εφόσον το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα προβλέπει κάτι τέτοιο· ή

γ)       η διαβίβαση των δεδομένων είναι απαραίτητη για την πρόληψη άμεσης και σοβαρής απειλής στη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας· ή

δ)       η διαβίβαση είναι απαραίτητη σε μεμονωμένες περιπτώσεις για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· ή

ε)       η διαβίβαση είναι απαραίτητη σε μεμονωμένες περιπτώσεις για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων οι οποίες σχετίζονται με την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη συγκεκριμένου ποινικού αδικήματος ή την εκτέλεση συγκεκριμένης ποινικής κύρωσης.

Άρθρο 37 Ειδικές προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα

Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα για τυχόν περιορισμούς της επεξεργασίας και λαμβάνει κάθε εύλογο μέτρο ώστε να διασφαλίζει ότι οι εν λόγω περιορισμοί γίνονται σεβαστοί.

Άρθρο 38 Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

1.           Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και τα κράτη μέλη λαμβάνουν κατάλληλα μέτρα με σκοπό:

α)      την ανάπτυξη αποτελεσματικών μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της επιβολής της νομοθεσίας που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα·

β)      την παροχή διεθνούς αμοιβαίας συνδρομής στον τομέα της επιβολής της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω κοινοποίησης, παραπομπής καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών·

γ)      τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα·

δ)      την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2.           Για τους σκοπούς της παραγράφου 1, η Επιτροπή λαμβάνει κατάλληλα μέτρα ώστε να προαγάγει τη σχέση με τρίτες χώρες και διεθνείς οργανισμούς, και ιδίως με τις αρχές ελέγχου τους, εφόσον η Επιτροπή έχει αποφανθεί ότι παρέχουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 34 παράγραφος 3.

ΚΕΦΑΛΑΙΟ VI ΑΝΕΞΑΡΤΗΤΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ

ΤΜΗΜΑ 1 ΑΝΕΞΑΡΤΗΤΟ ΚΑΘΕΣΤΩΣ

Άρθρο 39 Αρχή ελέγχου

1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και τη διευκόλυνση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για τον σκοπό αυτό, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή.

2. Τα κράτη μέλη δύνανται να προβλέπουν ότι η αρχή ελέγχου που ιδρύεται στα κράτη μέλη δυνάμει του κανονισμού (ΕΕ)…./2012 αναλαμβάνει την ευθύνη για τα καθήκοντα της αρχής ελέγχου που ιδρύεται δυνάμει της παραγράφου 1 του παρόντος άρθρου.

3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας αρχές ελέγχου, το εν λόγω κράτος μέλος ορίζει την αρχή ελέγχου η οποία ενεργεί ως ενιαίο σημείο επικοινωνίας για την αποτελεσματική συμμετοχή των εν λόγω αρχών στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 40 Ανεξαρτησία

1.           Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται με πλήρη ανεξαρτησία.

2.           Κάθε κράτος μέλος προβλέπει ότι τα μέλη της αρχής ελέγχου, κατά την άσκηση των καθηκόντων τους, δεν ζητούν ούτε λαμβάνουν εντολές από οποιονδήποτε.

3.           Τα μέλη της αρχής ελέγχου απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4.           Τα μέλη της αρχής ελέγχου συμπεριφέρονται, μετά το πέρας της θητείας τους, με ακεραιότητα και διακριτικότητα όσον αφορά την αποδοχή διορισμών και παροχών.

5.           Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική άσκηση των καθηκόντων και των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της ενεργού συμμετοχής στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

6.           Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει δικούς της υπαλλήλους οι οποίοι διορίζονται και διοικούνται από τον προϊστάμενο της αρχής ελέγχου.

7.           Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της. Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου διαθέτει χωριστούς ετήσιους προϋπολογισμούς. Οι προϋπολογισμοί δημοσιοποιούνται.

Άρθρο 41 Γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου

1.           Τα κράτη μέλη προβλέπουν ότι τα μέλη της αρχής ελέγχου πρέπει να διορίζονται από το κοινοβούλιο ή από την κυβέρνηση του οικείου κράτους μέλους.

2.           Τα μέλη επιλέγονται μεταξύ προσώπων των οποίων η ανεξαρτησία είναι πέραν πάσης αμφιβολίας και των οποίων η πείρα και οι δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων τους είναι αποδεδειγμένες.

3.           Τα καθήκοντα κάθε μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με την παράγραφο 5.

4.           Ένα μέλος μπορεί να αποπεμφθεί ή να στερηθεί το δικαίωμα σε σύνταξη ή σε άλλες υποκατάστατες παροχές με απόφαση του αρμόδιου εθνικού δικαστηρίου, εάν το μέλος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή κριθεί ένοχο για σοβαρό παράπτωμα.

5.           Σε περίπτωση λήξης της θητείας ή παραίτησης μέλους, το μέλος εξακολουθεί να ασκεί τα καθήκοντά του έως τον διορισμό νέου μέλους.

Άρθρο 42 Κανόνες σχετικά με την ίδρυση της αρχής ελέγχου

Κάθε κράτος μέλος προβλέπει διά νόμου:

α)           την ίδρυση και το καθεστώς της αρχής ελέγχου σύμφωνα με τα άρθρα 39 και 40·

β)           τα προσόντα, την πείρα και τις δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων των μελών της αρχής ελέγχου·

γ)           τους κανόνες και τις διαδικασίες για τον διορισμό των μελών της αρχής ελέγχου, καθώς και τους κανόνες σχετικά με πράξεις ή επαγγέλματα που δεν συμβιβάζονται με τα καθήκοντα της θέσης·

δ)           τη διάρκεια της θητείας των μελών της αρχής ελέγχου, η οποία δεν μπορεί να είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά την έναρξη ισχύος της παρούσας οδηγίας, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα·

ε)           κατά πόσον τα μέρη της αρχής ελέγχου είναι επιλέξιμα για επαναδιορισμό·

στ)         τους κανονισμούς και τις κοινές προϋποθέσεις που διέπουν τα καθήκοντα των μελών και των υπαλλήλων της αρχής ελέγχου·

ζ)           τους κανόνες και τις διαδικασίες για την παύση των καθηκόντων των μελών της αρχής ελέγχου, μεταξύ άλλων, όταν τα μέλη δεν πληρούν πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων τους ή έχουν κριθεί ένοχα για σοβαρό παράπτωμα.

Άρθρο 43 Επαγγελματικό απόρρητο

Τα κράτη μέλη προβλέπουν ότι τα μέλη και οι υπάλληλοι της αρχής ελέγχου δεσμεύονται, τόσο κατά τη διάρκεια όσο και μετά τη λήξη της θητείας τους, από το επαγγελματικό απόρρητο όσον αφορά τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την άσκηση των επίσημων καθηκόντων τους.

ΤΜΗΜΑ 2 ΚΑΘΗΚΟΝΤΑ ΚΑΙ ΕΞΟΥΣΙΕΣ

Άρθρο 44 Αρμοδιότητα

1.           Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου ασκεί, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, τις εξουσίες που της απονέμονται σύμφωνα με την παρούσα οδηγία.

2.           Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας δικαστηρίων τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους ιδιότητας.

Άρθρο 45 Καθήκοντα

1.           Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου:

α)      παρακολουθεί και διασφαλίζει την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και των εκτελεστικών μέτρων της·

β)      εξετάζει τις καταγγελίες που υποβάλλονται από κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα, ή από ένωση που εκπροσωπεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα η οποία έχει εξουσιοδοτηθεί δεόντως από αυτό σύμφωνα με το άρθρο 50, ερευνά, στο μέτρο που ενδείκνυται, την υπόθεση και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την ένωση για την πρόοδο και για την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη αρχή ελέγχου·

γ)      ελέγχει τη νομιμότητα της επεξεργασίας δεδομένων δυνάμει του άρθρου 14, και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εντός εύλογου χρονικού διαστήματος για την έκβαση του ελέγχου ή για τους λόγους για τους οποίους ο έλεγχος δεν διενεργήθηκε·

δ)      παρέχει αμοιβαία συνδρομή σε άλλες αρχές ελέγχου και διασφαλίζει τη συνεκτικότητα της εφαρμογής και της επιβολής των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας·

ε)      διενεργεί έρευνες ιδία πρωτοβουλία ή βάσει καταγγελίας ή κατόπιν αιτήματος άλλης αρχής ελέγχου και ενημερώνει το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εφόσον το εν λόγω πρόσωπο έχει υποβάλει καταγγελία, για την έκβαση των ερευνών εντός εύλογου χρονικού διαστήματος·

στ)    παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και επικοινωνιών·

ζ)      παρέχει τη γνώμη της, κατόπιν αιτήματος οργάνων και φορέων των κρατών μελών, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

η)      παρέχει τη γνώμη της σχετικά με τις πράξεις επεξεργασίας που αναφέρονται στο άρθρο 26·

θ)      συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

2.           Κάθε αρχή ελέγχου προωθεί την ενημέρωση του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ειδική προσοχή αποδίδεται σε δραστηριότητες που αφορούν ειδικά παιδιά.

3.           Κατόπιν αιτήματος, η αρχή ελέγχου συμβουλεύει κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα κατά την άσκηση των δικαιωμάτων που προβλέπονται σε διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας και, εφόσον συντρέχει περίπτωση, συνεργάζεται με τις αρχές ελέγχου άλλων κρατών μελών για τον σκοπό αυτό.

4.           Για τις καταγγελίες που αναφέρονται στην παράγραφο 1 στοιχείο β), η αρχή ελέγχου παρέχει ένα έντυπο υποβολής καταγγελίας, το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

5.           Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

6.           Εάν τα αιτήματα είναι κακόβουλα, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η αρχή ελέγχου μπορεί να επιβάλει ένα τέλος ή να μην προβεί στην ενέργεια που ζητεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Η αρχή ελέγχου φέρει το βάρος απόδειξης του κακόβουλου χαρακτήρα του αιτήματος.

Άρθρο 46 Εξουσίες

Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου πρέπει να διαθέτει ειδικότερα:

α)      εξουσίες έρευνας, π.χ. εξουσίες πρόσβασης σε δεδομένα τα οποία αποτελούν αντικείμενο πράξεων επεξεργασίας και εξουσίες συλλογής όλων των πληροφοριών που απαιτούνται για την άσκηση των ελεγκτικών της καθηκόντων·

β)      ουσιαστικές εξουσίες παρέμβασης, π.χ. έκδοση γνωμών πριν από τη διενέργεια επεξεργασίας και διασφάλιση της κατάλληλης δημοσίευσης των εν λόγω γνωμών, έκδοση εντολής περιορισμού, διαγραφής ή καταστροφής δεδομένων, επιβολή προσωρινής ή οριστικής απαγόρευσης της επεξεργασίας, παροχή προειδοποίησης ή επίπληξης προς τον υπεύθυνο επεξεργασίας ή παραπομπή του θέματος στα εθνικά κοινοβούλια ή άλλους πολιτικούς θεσμούς·

γ)      την εξουσία κίνησης νομικής διαδικασίας εάν παραβιάσθηκαν οι διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή γνωστοποίησης της παραβίασης στις δικαστικές αρχές.

Άρθρο 47 Έκθεση δραστηριοτήτων

Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου εκπονεί ετήσια έκθεση για τις δραστηριότητές της. Η έκθεση υποβάλλεται στην Επιτροπή και στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

ΚΕΦΑΛΑΙΟ VII ΣΥΝΕΡΓΑΣΙΑ

Άρθρο 48 Αμοιβαία συνδρομή

1.           Τα κράτη μέλη προβλέπουν ότι οι αρχές ελέγχου παρέχουν η μια στην άλλη αμοιβαία συνδρομή για τη θέση σε ισχύ και την εφαρμογή με συνεκτικό τρόπο των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, π.χ. αιτήματα περί προηγούμενης διαβούλευσης, ελέγχου και έρευνας.

2.           Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει στο αίτημα άλλης αρχής ελέγχου.

3.           Η αρχή ελέγχου στην οποία υποβλήθηκε το αίτημα ενημερώνει την αρχή ελέγχου που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο ή για τα μέτρα που λήφθηκαν προς ικανοποίηση του αιτήματος της αρχής που υπέβαλε το αίτημα.

Άρθρο 49 Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο ιδρύεται με τον κανονισμό (ΕΕ)…./2012, ασκεί, στο πλαίσιο του πεδίου εφαρμογής της παρούσας οδηγίας, τα ακόλουθα καθήκοντα σε σχέση με την επεξεργασία:

α)      συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης της παρούσας οδηγίας·

β)      εξετάζει, κατόπιν αιτήματος της Επιτροπής ή με ίδια πρωτοβουλία ή με πρωτοβουλία ενός εκ των μελών της, κάθε ζήτημα το οποίο αφορά την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και εκδίδει κατευθυντήρες γραμμές, συστάσεις και βέλτιστες πρακτικές οι οποίες απευθύνονται στις αρχές ελέγχου, με σκοπό να παροτρύνει τη συνεκτική εφαρμογή των εν λόγω διατάξεων·

γ)      εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο στοιχείο β) και υποβάλλει τακτικά έκθεση στην Επιτροπή επ’ αυτών·

δ)      γνωμοδοτεί στην Επιτροπή σχετικά με το επίπεδο προστασίας σε τρίτες χώρες ή διεθνείς οργανισμούς·

ε)      προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και πρακτικών μεταξύ των αρχών ελέγχου·

στ)    προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές προσωπικού μεταξύ αρχών ελέγχου, καθώς και, κατά περίπτωση, με τις αρχές ελέγχου τρίτων χωρών ή διεθνών οργανισμών·

ζ)      προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης με τις αρχές ελέγχου της προστασίας δεδομένων ανά τον κόσμο, μεταξύ άλλων όσον αφορά τη νομοθεσία και την πρακτική στον τομέα της προστασίας των δεδομένων.

2.       Σε περίπτωση που η Επιτροπή ζητεί τη συμβουλή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, μπορεί να τάξει προθεσμία εντός της οποίας αυτό το τελευταίο πρέπει να παράσχει την εν λόγω συμβουλή, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήρες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή που αναφέρεται στο άρθρο 57 παράγραφος 1, και τις δημοσιοποιεί.

4.           Η Επιτροπή ενημερώνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για τα μέτρα που λαμβάνει σε συνέχεια των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

ΚΕΦΑΛΑΙΟ VIII ΜΕΣΑ ΠΑΡΟΧΗΣ ΕΝΝΟΜΗΣ ΠΡΟΣΤΑΣΙΑΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 50 Δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου

1.           Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών μέσων παροχής έννομης προστασίας, τα κράτη μέλη προβλέπουν το δικαίωμα κάθε προσώπου στο οποίο αναφέρονται δεδομένα να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.

2.           Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους για λογαριασμό ενός ή περισσότερων προσώπων στα οποία αναφέρονται δεδομένα, εάν θεωρεί ότι τα βάσει της παρούσας οδηγίας δικαιώματα προσώπου στο οποίο αναφέρονται τα δεδομένα παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο οργανισμός ή η οργάνωση πρέπει να εξουσιοδοτούνται δεόντως από το πρόσωπο ή τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

3.           Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που αναφέρεται στην παράγραφο 2 να υποβάλει, ανεξάρτητα από τυχόν καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι έχει σημειωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

Άρθρο 51 Δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου

1.           Τα κράτη μέλη προβλέπουν το δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου.

2.           Κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα έχει δικαίωμα δικαστικής προσφυγής με αίτημα να υποχρεωθεί η αρχή ελέγχου να ενεργήσει επί καταγγελίας, ελλείψει απόφασης απαραίτητης για την προστασία των δικαιωμάτων του ή εάν η αρχή ελέγχου δεν ενημερώσει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας δυνάμει του άρθρου 45 παράγραφος 1 στοιχείο β).

3.           Τα κράτη μέλη προβλέπουν ότι η διαδικασία κατά αρχής ελέγχου κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

Άρθρο 52 Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

Με την επιφύλαξη τυχόν διαθέσιμης διοικητικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε αρχή ελέγχου, τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φυσικού προσώπου να ασκήσει δικαστική προσφυγή εάν θεωρεί ότι τα δικαιώματά του τα οποία προβλέπονται σε διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας παραβιάσθηκαν συνεπεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν κατά παράβαση των εν λόγω διατάξεων.

Άρθρο 53 Κοινοί κανόνες για δικαστικές διαδικασίες

1.           Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που αναφέρεται στο άρθρο 50 παράγραφος 2 να ασκεί τα δικαιώματα που αναφέρονται στα άρθρα 51 και 52 για λογαριασμό ενός ή περισσότερων προσώπων στα οποία αναφέρονται δεδομένα.

2.           Κάθε αρχή ελέγχου έχει δικαίωμα να κινεί νομική διαδικασία και να ασκεί προσφυγή ενώπιον δικαστηρίου προκειμένου να επιβάλλει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή να διασφαλίζει τη συνεκτικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

3.           Τα κράτη μέλη διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων οι οποίες είναι διαθέσιμες βάσει του εθνικού δικαίου επιτρέπουν την ταχεία λήψη μέτρων, συμπεριλαμβανομένων των ασφαλιστικών μέτρων, με σκοπό την παύση κάθε εικαζόμενης παραβίασης και την αποφυγή περαιτέρω βλάβης των σχετικών συμφερόντων.

Άρθρο 54 Ευθύνη και δικαίωμα αποζημίωσης

1.           Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο το οποίο υπέστη ζημία ως αποτέλεσμα παράνομης πράξης επεξεργασίας ή πράξης ασυμβίβαστης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.           Εάν στην επεξεργασία εμπλέκονται περισσότεροι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται από κοινού και εις ολόκληρον για ολόκληρο το ποσό της ζημίας.

3.           Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απαλλαγεί από την ευθύνη αυτή, εν όλω ή εν μέρει, εάν αποδείξει ότι δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας.

Άρθρο 55 Κυρώσεις

Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις κυρώσεις που εφαρμόζονται στις παραβάσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και λαμβάνουν κάθε απαραίτητο μέτρο προκειμένου να διασφαλίζεται η εφαρμογή τους. Οι προβλεπόμενες κυρώσεις πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

ΚΕΦΑΛΑΙΟ IX

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Άρθρο 56 Άσκηση της εξουσιοδότησης

1.           Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που καθορίζονται στο παρόν άρθρο.

2.           Η εξουσιοδότηση που αναφέρεται στο άρθρο 28 παράγραφος 5 ανατίθεται στην Επιτροπή για αόριστη χρονική περίοδο από την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας.

3.           Η εξουσιοδότηση που αναφέρεται στο άρθρο 28 παράγραφος 5 μπορεί να ανακληθεί οποτεδήποτε από το Ευρωπαϊκό Κοινοβούλιο ή από το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευση της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει το κύρος των ήδη εν ισχύι κατ’ εξουσιοδότηση πράξεων.

4.           Μόλις εκδώσει κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5.           Κάθε κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 28 παράγραφος 5 τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο εντός δύο μηνών από την κοινοποίηση της πράξης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Άρθρο 57 Διαδικασία επιτροπής

1. Η Ευρωπαϊκή Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2. Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3. Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5.

ΚΕΦΑΛΑΙΟ X

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 58 Καταργήσεις

1.           Η απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου καταργείται.

2.           Οι παραπομπές στην καταργούμενη απόφαση πλαίσιο που αναφέρεται στην παράγραφο 1 λογίζονται ως παραπομπές στην παρούσα οδηγία.

Άρθρο 59 Σχέση με προηγουμένως εκδοθείσες πράξεις της Ένωσης για τη δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία

Δεν θίγονται οι ειδικές διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, οι οποίες περιέχονται σε πράξεις της Ένωσης που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών και την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών θεσπισθέντα δυνάμει των Συνθηκών εντός του πεδίου εφαρμογής της παρούσας οδηγίας.

Άρθρο 60 Σχέση με προηγουμένως συναφθείσες διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας

Διεθνείς συμφωνίες οι οποίες συνήφθησαν από τα κράτη μέλη της πριν από την έναρξη ισχύος της παρούσας οδηγίας τροποποιούνται, όπου απαιτείται, εντός πέντε ετών από την έναρξη ισχύος της παρούσας οδηγίας.

Άρθρο 61 Αξιολόγηση

1.           Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας οδηγίας.

2.           Η Επιτροπή επανεξετάζει εντός τριών ετών από την έναρξη ισχύος της παρούσας οδηγίας άλλες πράξεις που εκδίδονται από την Ευρωπαϊκή Ένωση οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και ιδίως τις πράξεις που εκδίδονται από την Ένωση και αναφέρονται στο άρθρο 59, προκειμένου να αξιολογήσει την αναγκαιότητα ευθυγράμμισής τους με την παρούσα οδηγία και διατυπώνει, εφόσον απαιτείται, τις αναγκαίες προτάσεις για την τροποποίηση των εν λόγω πράξεων ώστε να διασφαλίζεται συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας.

3.           Η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την επανεξέταση της παρούσας οδηγίας δυνάμει της παραγράφου 1 στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο σε τακτά χρονικά διαστήματα. Οι πρώτες εκθέσεις υποβάλλονται το αργότερο τέσσερα έτη μετά την έναρξη ισχύος της παρούσας οδηγίας. Οι επακόλουθες εκθέσεις υποβάλλονται στη συνέχεια κάθε τέσσερα έτη. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση της παρούσας οδηγίας και την εναρμόνιση άλλων νομικών πράξεων. Οι εκθέσεις δημοσιοποιούνται.

Άρθρο 62 Μεταφορά στο εθνικό δίκαιο

1.           Τα κράτη μέλη θεσπίζουν και δημοσιεύουν, το αργότερο έως την [ημερομηνία/ δύο έτη μετά την έναρξη ισχύος], τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν προς την παρούσα οδηγία. Ανακοινώνουν αμέσως στην Επιτροπή το κείμενο των εν λόγω διατάξεων.

Τα κράτη μέλη εφαρμόζουν τις διατάξεις αυτές από την xx.xx.201x [ημερομηνία/ δύο έτη μετά την έναρξη ισχύος].

Όταν τα κράτη μέλη θεσπίζουν τις εν λόγω διατάξεις, αυτές περιέχουν αναφορά στην παρούσα οδηγία ή συνοδεύονται από την αναφορά αυτή κατά την επίσημη δημοσίευσή τους. Ο τρόπος της αναφοράς αποφασίζεται από τα κράτη μέλη.

2.           Τα κράτη μέλη ανακοινώνουν στην Επιτροπή το κείμενο των βασικών διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που καλύπτει η παρούσα οδηγία.

Άρθρο 63 Έναρξη ισχύος

Η παρούσα οδηγία αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Άρθρο 64 Αποδέκτες

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 25.1.2012

Για το Ευρωπαϊκό Κοινοβούλιο                     Για το Συμβούλιο

Ο Πρόεδρος                                                   Ο Πρόεδρος

[1]               Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281/95, σ. 31.

[2]               Βλ. τον πλήρη κατάλογο στο παράρτημα 3 της εκτίμησης επιπτώσεων (SEC(2012)72).

[3]               Απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, ΕΕ L 350 της 30.12.2008, σ. 60.

[4]               Στο Πρόγραμμα της Στοκχόλμης. ΕΕ C 115 της 4.5.2010, σ. 1.

[5]               Βλ. το ψήφισμα του Ευρωπαϊκού Κοινοβουλίου σχετικά με το Πρόγραμμα της Στοκχόλμης, το οποίο εγκρίθηκε στις 25 Νοεμβρίου 2009.

[6]               COM(2010)171 τελικό.

[7]               Ανακοίνωση ης Ευρωπαϊκής Επιτροπής με τίτλο «Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση», COM(2010)609 τελικό, 4 Νοεμβρίου 2010.

[8]               Δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας (προσαρτημένη στην Τελική Πράξη της Διακυβερνητικής Διάσκεψης η οποία υιοθέτησε τη συνθήκη της Λισαβόνας, της 13.12.2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Ειδικό Ευρωβαρόμετρο (EB) 359, Προστασία δεδομένων και ηλεκτρονική ταυτότητα στην ΕΕ (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Βλ. «Study on the economic benefits of privacy enhancing technologies» (Μελέτη για τα οικονομικά οφέλη των τεχνολογιών βελτίωσης της προστασίας της ιδιωτικής ζωής)               και «Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments» (Συγκριτική μελέτη διαφορετικών προσεγγίσεων των νέων προκλήσεων για την ιδιωτική ζωή, ιδίως ενόψει των τεχνολογικών εξελίξεων), Ιανουάριος 2010. (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Η ομάδα εργασίας συστάθηκε το 1996 (βάσει του άρθρου 29 της οδηγίας) με συμβουλευτικό καθεστώς και απαρτίζεται από εκπροσώπους των εθνικών αρχών ελέγχου προστασίας δεδομένων, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) και την Επιτροπή. Για περισσότερες πληροφορίες σχετικά με τις δραστηριότητές της, βλ. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Βλ., ειδικότερα, τις ακόλουθες γνώμες: σχετικά με το μέλλον της προστασίας της ιδιωτικής ζωής (2009, WP 168)·σχετικά με τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία» (1/2010, WP 169) σχετικά με την επιγραμμική συμπεριφορική διαφήμιση (2/2010, WP 171)·σχετικά με την αρχή της λογοδοσίας (3/2010, WP 173)· σχετικά με το εφαρμοστέο δίκαιο (8/2010, WP 179) και σχετικά με τον ορισμό της συγκατάθεσης (15/2011, WP 187). Κατόπιν αιτήματος της Επιτροπής, η ομάδα εργασίας εξέδωσε επίσης τα τρία ακόλουθα συμβουλευτικά έγγραφα: για τις γνωστοποιήσεις, για τα ευαίσθητα δεδομένα και για την πρακτική εφαρμογή του άρθρου 28 παράγραφος 6 της οδηγίας 95/46/ΕΚ. Όλα τα εν λόγω έγγραφα είναι διαθέσιμα στη διεύθυνση:http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Διατίθεται στον δικτυακό τόπο του ΕΕΠΔ: http://www.edps.europa.eu/EDPSWEB/.

[16]             Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου, της 6ης Ιουλίου 2011, σχετικά με τη συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EL&ring=A7-2011-0244 (εισηγητής: Axel Voss, βουλευτής ΕΚ (EPP/DE)).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012)12.

[20]             Δικαστήριο της ΕΕ, απόφαση της 9.11.2010 στις συνεκδικασθείσες υποθέσεις C-92/09 και C-93/09 Volker und Markus Schecke και Eifert, [2010] Συλλογή I-0000.

[21]             Σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη, επιτρέπεται η επιβολή περιορισμών στην άσκηση του δικαιώματος προστασίας των δεδομένων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, σέβονται το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ελευθεριών και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος που αναγνωρίζει η Ευρωπαϊκή Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.

[22]             Αναφέρεται επίσης στο άρθρο 2 στοιχείο α) της οδηγίας 2011/92/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 2011, σχετικά με την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας και την αντικατάσταση της απόφασης πλαισίου 2004/68/ΔΕΥ του Συμβουλίου, ΕΕ L 335 της 17.12.2011, σ. 1.

[23]             COM(2005) 475 τελικό.

[24]             Άρθρο 14 απόφασης Ευρωπόλ 2009/371/ΔΕΥ.

[25]             Άρθρο 15 απόφασης Eurojust 2009/426/ΔΕΥ.

[26]             Άρθρο 14 απόφασης Ευρωπόλ 2009/371/ΔΕΥ.

[27]             ΕΔΑΔ, απόφαση της 4.12.2008, S. and Marper κατά Ηνωμένου Βασιλείου (αιτήσεις αριθ. 30562/04 και 30566/04).

[28]             Εγκρίθηκε από τη Διεθνή Διάσκεψη επιτρόπων για την προστασία των δεδομένων και την ιδιωτική ζωή στις 5.11.2009.

[29]             Δικαστήριο της ΕΕ, απόφαση της 9.3.2010, Επιτροπή κατά Γερμανίας (C-518/07, Συλλογή 2010, σ. I-1885)

[30]             Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 008 της 12.01.2001, σ. 1.

[31]             Ό.π, υποσημείωση 27.

[32]             Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»), ΕΕ L 178 της 17.7.2000, σ. 1.

[33]             ΕΕ C .., σ. .

[34]             ΕΕ L 281 της 23.11.1995, σ. 31.

[35]             ΕΕ L 350 της 30.12.2008, σ. 60.

[36]             ΕΕ L 55, 28.2.2011, σ. 13.

[37]             ΕΕ L 335 της 17.12.2011, σ. 1.

[38]             ΕΕ L 176 της 10.7.1999, σ. 36.

[39]             ΕΕ L 53 της 27.2.2008, σ. 52.

[40]             ΕΕ L 160 της 18.6.2011, σ. 19.