ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Βρυξέλλες, 24.1.2018

COM(2018) 43 final

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

FMT:BoldΙσχυρότερη προστασία, νέες ευκαιρίες - Κατευθυντήριες γραμμές της Επιτροπής σχετικά με την άμεση εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων από την 25η Μαΐου 2018/FMT

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο

Ισχυρότερη προστασία, νέες ευκαιρίες - Κατευθυντήριες γραμμές της Επιτροπής σχετικά με την άμεση εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων από την 25η Μαΐου 2018

Εισαγωγή

Στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε μια σημαντική μεταρρύθμιση του πλαισίου προστασίας δεδομένων της, εγκρίνοντας τη δέσμη μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, που περιλαμβάνει τον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) 1 , ο οποίος αντικατέστησε την από εικοσαετίας ισχύουσα οδηγία 95/46/ΕΚ 2 («Οδηγία για την προστασία των δεδομένων»), και την οδηγία για την αστυνομία 3 . Το νέο μέσο για την προστασία των δεδομένων σε όλη την ΕΕ, ο γενικός κανονισμός για την προστασία δεδομένων («ο κανονισμός»), θα τεθεί σε άμεση εφαρμογή την 25η Μαΐου 2018, δύο έτη μετά την έκδοση και τη θέση του σε ισχύ 4 .

Ο νέος κανονισμός θα ενισχύσει την προστασία των φυσικών προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, αντικατοπτρίζοντας τη φύση της προστασίας των δεδομένων ως θεμελιώδους δικαιώματος για την Ευρωπαϊκή Ένωση 5 .

Ο κανονισμός, που προβλέπει ένα ενιαίο σύνολο κανόνων το οποίο θα ισχύει άμεσα στην έννομη τάξη των κρατών μελών, θα διασφαλίζει την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών της ΕΕ και θα ενισχύει την εμπιστοσύνη και την ασφάλεια των καταναλωτών, δύο απαραίτητα στοιχεία για μια πραγματική ψηφιακή ενιαία αγορά. Με τον τρόπο αυτό ο κανονισμός θα δημιουργήσει νέες ευκαιρίες για τους επιχειρηματικούς φορείς και τις εταιρείες, ιδίως τις μικρότερες, καθώς μεταξύ άλλων προβλέπει σαφέστερους κανόνες για τις διεθνείς διαβιβάσεις δεδομένων.

Μολονότι το νέο πλαίσιο προστασίας των δεδομένων θεμελιώνεται στην ισχύουσα νομοθεσία, θα έχει εκτεταμένο αντίκτυπο και θα απαιτήσει σημαντικές προσαρμογές σε ορισμένα θέματα. Για τον λόγο αυτό, ο κανονισμός προέβλεψε μεταβατική περίοδο 2 ετών —έως τις 25 Μαΐου 2018— με σκοπό να δοθεί χρόνος στα κράτη μέλη και στους ενδιαφερόμενους φορείς ώστε να προετοιμαστούν πλήρως για το νέο νομικό πλαίσιο.

Κατά τη διάρκεια των δύο τελευταίων ετών όλοι οι ενδιαφερόμενοι φορείς, από τις εθνικές διοικήσεις και τις εθνικές αρχές προστασίας δεδομένων έως τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, έχουν συμμετάσχει σε σειρά δραστηριοτήτων με σκοπό να εξασφαλιστεί ότι όλοι κατανοούν σαφώς τη σημασία και την κλίμακα των αλλαγών που επιφέρει η νέα νομοθεσία για την προστασία δεδομένων και ότι όλοι οι συντελεστές είναι έτοιμοι να την εφαρμόσουν. Καθώς πλησιάζει η προθεσμία της 25ης Μαΐου, η Επιτροπή θεωρεί ότι είναι αναγκαίο να προβεί σε απολογισμό των εργασιών αυτών και να εξετάσει τυχόν περαιτέρω μέτρα που μπορούν να είναι χρήσιμα για να διασφαλιστεί ότι έχει ολοκληρωθεί η προετοιμασία για την επιτυχημένη θέση του νέου πλαισίου σε εφαρμογή 6 .

Η παρούσα ανακοίνωση:

·ανακεφαλαιώνει τις κύριες καινοτομίες και τις ευκαιρίες που διανοίγονται από τη νέα νομοθεσία της ΕΕ για την προστασία των δεδομένων·

·καταγράφει τις προπαρασκευαστικές εργασίες που έχουν πραγματοποιηθεί μέχρι στιγμής σε επίπεδο ΕΕ·

·περιγράφει τι θα πρέπει ακόμη να κάνουν η Ευρωπαϊκή Επιτροπή, οι εθνικές αρχές προστασίας δεδομένων και οι εθνικές διοικήσεις, ώστε η προετοιμασία να ολοκληρωθεί επιτυχώς·

·παραθέτει τα μέτρα που σκοπεύει να λάβει η Επιτροπή κατά τους προσεχείς μήνες.

Επιπλέον, παράλληλα με την έκδοση της παρούσας ανακοίνωσης, η Επιτροπή εγκαινιάζει διαδικτυακή εργαλειοθήκη που θα βοηθήσει τους ενδιαφερόμενους φορείς να προετοιμαστούν για την εφαρμογή του κανονισμού, καθώς και ενημερωτική εκστρατεία σε όλα τα κράτη μέλη, με την υποστήριξη των γραφείων αντιπροσωπείας.

1.ΤΟ ΝΕΟ ΕΝΩΣΙΑΚΟ ΠΛΑΙΣΙΟ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ — ΙΣΧΥΡΟΤΕΡΗ ΠΡΟΣΤΑΣΙΑ και ΝΕΕΣ ΕΥΚΑΙΡΙΕΣ

Ο κανονισμός συνεχίζει να ακολουθεί την προσέγγιση της οδηγίας για την προστασία των δεδομένων, αλλά, με βάση την εικοσαετή νομοθεσία της ΕΕ για την προστασία των δεδομένων και τη σχετική νομολογία, αποσαφηνίζει και εκσυγχρονίζει τους κανόνες προστασίας των δεδομένων· εισάγει ορισμένα καινοφανή στοιχεία που ενισχύουν την προστασία των ατομικών δικαιωμάτων και δημιουργούν ευκαιρίες για τις εταιρείες και τους επιχειρηματικούς φορείς· συγκεκριμένα:

·Εναρμονισμένο νομικό πλαίσιο που οδηγεί στην ενιαία εφαρμογή των κανόνων προς όφελος της ψηφιακής ενιαίας αγοράς της ΕΕ. Αυτό συνεπάγεται ένα ενιαίο σύνολο κανόνων για τους πολίτες και τις επιχειρήσεις. Έτσι θα αντιμετωπιστεί η σημερινή κατάσταση όπου τα κράτη μέλη της ΕΕ έχουν εφαρμόσει τις διατάξεις της οδηγίας με διαφορετικό τρόπο. Για να διασφαλιστεί η ενιαία και συνεπής εφαρμογή σε όλα τα κράτη μέλη, θεσπίζεται μηχανισμός υπηρεσίας μιας στάσης.

·Ισότιμοι όροι ανταγωνισμού για όλες τις εταιρείες που δραστηριοποιούνται στην αγορά της ΕΕ. Ο κανονισμός ορίζει ότι οι εταιρείες με έδρα εκτός ΕΕ οφείλουν να εφαρμόζουν τους ίδιους κανόνες με τις εταιρείες με έδρα στην ΕΕ, εφόσον προσφέρουν αγαθά και υπηρεσίες που σχετίζονται με δεδομένα προσωπικού χαρακτήρα ή παρακολουθούν τη συμπεριφορά φυσικών προσώπων στην Ένωση. Οι εταιρείες που λειτουργούν από χώρες εκτός ΕΕ και δραστηριοποιούνται στην ενιαία αγορά πρέπει, υπό ορισμένες περιστάσεις, να διορίζουν αντιπρόσωπο στην ΕΕ, στον οποίο θα μπορούν να απευθύνονται οι πολίτες και οι αρχές, επιπλέον ή αντί της εταιρείας που εδρεύει στο εξωτερικό.

·Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού δημιουργούν κίνητρα για καινοτόμες λύσεις, ώστε τα ζητήματα προστασίας δεδομένων να ρυθμίζονται ευθύς εξαρχής.

·Ενίσχυση των ατομικών δικαιωμάτων: Ο κανονισμός εισάγει νέες απαιτήσεις διαφάνειας· ενισχυμένα δικαιώματα ενημέρωσης, πρόσβασης και διαγραφής («δικαίωμα στη λήθη»)· η σιωπή ή η αδράνεια δεν θα θεωρούνται πλέον ως έγκυρη συγκατάθεση, διότι απαιτείται σαφής θετική ενέργεια για να εκδηλωθεί η συγκατάθεση· προστασία των παιδιών στο διαδίκτυο.

·Μεγαλύτερος έλεγχος επί των δεδομένων προσωπικού χαρακτήρα για τα φυσικά πρόσωπα. Ο κανονισμός εισάγει νέο δικαίωμα φορητότητας των δεδομένων, το οποίο θα επιτρέπει στους πολίτες να ζητούν από μια εταιρεία ή έναν οργανισμό να τους επιστρέψει τα δεδομένα προσωπικού χαρακτήρα που είχαν παράσχει στην εν λόγω εταιρεία ή στον εν λόγω οργανισμό με συγκατάθεση ή σύμβαση· θα επιτρέπει επίσης την άμεση διαβίβαση των εν λόγω δεδομένων προσωπικού χαρακτήρα σε άλλη εταιρεία ή άλλο οργανισμό, όταν αυτό είναι τεχνικά εφικτό. Δεδομένου ότι το δικαίωμα αυτό επιτρέπει την απευθείας διαβίβαση δεδομένων προσωπικού χαρακτήρα από μια εταιρεία ή έναν οργανισμό σε άλλον, θα στηρίζει ταυτόχρονα την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα στην ΕΕ και την αποφυγή του «κλειδώματος» των δεδομένων προσωπικού χαρακτήρα, ενώ θα ενθαρρύνει τον ανταγωνισμό μεταξύ των επιχειρήσεων. Η διευκόλυνση των πολιτών να επιλέγουν μεταξύ διαφόρων παρόχων υπηρεσιών θα ενθαρρύνει την ανάπτυξη νέων υπηρεσιών στο πλαίσιο της στρατηγικής για την ψηφιακή ενιαία αγορά.

·Ισχυρότερη προστασία έναντι των παραβιάσεων δεδομένων. Ο κανονισμός προβλέπει μια ολοκληρωμένη δέσμη κανόνων σχετικά με την παραβίαση των δεδομένων προσωπικού χαρακτήρα. Ορίζει ρητά τι συνιστά «παραβίαση δεδομένων προσωπικού χαρακτήρα» και καθιερώνει υποχρέωση γνωστοποίησης στην εποπτική αρχή το αργότερο εντός 72 ωρών όταν η παραβίαση των δεδομένων είναι πιθανό να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Σε ορισμένες περιπτώσεις επιβάλλει υποχρέωση ενημέρωσης του προσώπου του οποίου τα δεδομένα θίγονται από την παραβίαση. Με τον τρόπο αυτό ενισχύει σε μεγάλο βαθμό την προστασία σε σύγκριση με την τρέχουσα κατάσταση στην ΕΕ, όπου μόνο οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών, οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών υποχρεούνται να κοινοποιούν τις παραβιάσεις δεδομένων βάσει της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες («οδηγία ePrivacy») 7 και της οδηγίας σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ) 8 , αντίστοιχα.

·Ο κανονισμός παρέχει σε όλες τις αρχές προστασίας δεδομένων την αρμοδιότητα να επιβάλλουν πρόστιμα στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία. Επί του παρόντος δεν έχουν όλες οι αρχές αυτή την αρμοδιότητα. Αυτό θα επιτρέψει την καλύτερη εφαρμογή των κανόνων. Τα πρόστιμα μπορούν να φθάνουν μέχρι τα 20 εκατ. EUR ή, στην περίπτωση εταιρείας, μέχρι το 4 % του ετήσιου παγκόσμιου κύκλου εργασιών.

·Περισσότερη ευελιξία για τους υπευθύνους επεξεργασίας και τους εκτελούντες επεξεργασία δεδομένων προσωπικού χαρακτήρα χάρη σε σαφείς διατάξεις όσον αφορά την ευθύνη (αρχή της λογοδοσίας). Ο κανονισμός απομακρύνεται από το σύστημα της κοινοποίησης και προσεγγίζει την αρχή της λογοδοσίας. Η εν λόγω αρχή εφαρμόζεται μέσω κλιμακούμενων υποχρεώσεων ανάλογα με τον κίνδυνο (π.χ. παρουσία υπευθύνου προστασίας δεδομένων ή υποχρέωση διενέργειας εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων). Θεσπίζεται ένα νέο εργαλείο που θα συμβάλλει στην εκτίμηση του κινδύνου πριν ξεκινήσει η επεξεργασία: η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εκτίμηση αυτή απαιτείται κάθε φορά που η επεξεργασία ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ο κανονισμός αναφέρει ρητά τρεις τέτοιες περιπτώσεις: όταν μια εταιρεία πραγματοποιεί συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου (συμπεριλαμβανομένης της κατάρτισης προφίλ), όταν επεξεργάζεται ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή όταν παρακολουθεί συστηματικά δημόσια προσπελάσιμους χώρους σε μεγάλη κλίμακα. Οι εθνικές αρχές προστασίας δεδομένων θα πρέπει να δημοσιοποιούν τους καταλόγους με τα είδη των πράξεων επεξεργασίας για τα οποία απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων 9 .

·Μεγαλύτερη σαφήνεια όσον αφορά τις υποχρεώσεις των εκτελούντων την επεξεργασία και την ευθύνη των υπευθύνων επεξεργασίας κατά την επιλογή εκτελούντος την επεξεργασία.

·Ένα σύγχρονο σύστημα διακυβέρνησης προκειμένου να διασφαλιστεί η συνεπέστερη και αυστηρότερη επιβολή των κανόνων. Σ’ αυτό περιλαμβάνονται εναρμονισμένες εξουσίες για τις αρχές προστασίας των δεδομένων, συμπεριλαμβανομένης της επιβολής προστίμων, καθώς και νέοι μηχανισμοί ώστε οι εν λόγω αρχές να συνεργάζονται σε δίκτυο.

·Η προστασία των δεδομένων προσωπικού χαρακτήρα που εγγυάται ο κανονισμός συνοδεύει τη διεθνή διαβίβασή τους εκτός ΕΕ με αποτέλεσμα να διασφαλίζεται υψηλό επίπεδο προστασίας 10 . Ενώ η αρχιτεκτονική των κανόνων για τις διεθνείς διαβιβάσεις που προβλέπει ο κανονισμός παραμένει ουσιαστικά η ίδια με αυτήν της οδηγίας του 1995, με τη μεταρρύθμιση αποσαφηνίζεται και απλουστεύεται η χρήση των κανόνων, ενώ εισάγονται νέα εργαλεία για τις διαβιβάσεις δεδομένων. Όσον αφορά τις αποφάσεις επάρκειας, ο κανονισμός εισάγει ακριβή και λεπτομερή κατάλογο των στοιχείων που πρέπει να συνεκτιμά η Επιτροπή, όταν αξιολογεί το κατά πόσον ένα ξένο σύστημα προστατεύει επαρκώς τα δεδομένα προσωπικού χαρακτήρα. Επίσης, ο κανονισμός τυποποιεί και επεκτείνει τον αριθμό των εναλλακτικών μέσων διαβίβασης, όπως οι τυποποιημένες συμβατικές ρήτρες και οι δεσμευτικοί εταιρικοί κανόνες.

Όταν εγκριθούν ο αναθεωρημένος κανονισμός για τα όργανα και τους οργανισμούς της Ένωσης 11 και ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες («κανονισμός ePrivacy») 12 , οι οποίοι βρίσκονται επί του παρόντος σε στάδιο διαπραγμάτευσης, θα διασφαλίσουν ότι η ΕΕ διαθέτει ισχυρή και ολοκληρωμένη δέσμη κανόνων για την προστασία των δεδομένων 13 .

2.Προπαρασκευαστικές εργασίες που έχουν διεξαχθεί μέχρι στιγμής σε επίπεδο ΕΕ

Για την επιτυχή εφαρμογή του κανονισμού απαιτείται συνεργασία μεταξύ όλων των εμπλεκομένων σε θέματα προστασίας δεδομένων: κράτη μέλη, συμπεριλαμβανομένων των δημόσιων διοικήσεων, εθνικές αρχές προστασίας δεδομένων (ΑΠΔ), επιχειρήσεις, οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, φυσικά πρόσωπα, καθώς και η Επιτροπή.

2.1 Δράσεις της Ευρωπαϊκής Επιτροπής

Λίγο μετά τη θέση σε ισχύ του κανονισμού, στα μέσα του 2016, η Επιτροπή ξεκίνησε συνεργασία με τις αρχές των κρατών μελών, τις αρχές προστασίας δεδομένων και τους ενδιαφερόμενους φορείς, προκειμένου να προετοιμάσει το έδαφος για την εφαρμογή του κανονισμού και να παράσχει στήριξη και συμβουλές.

α) Στήριξη των κρατών μελών και των αρχών τους

Η Επιτροπή συνεργάζεται στενά με τα κράτη μέλη για να στηρίξει το έργο τους κατά τη διάρκεια της μεταβατικής περιόδου με σκοπό να εξασφαλιστεί το υψηλότερο δυνατό επίπεδο συνέπειας. Για τον σκοπό αυτό η Επιτροπή έχει συστήσει ομάδα εμπειρογνωμόνων που πλαισιώνει τα κράτη μέλη στις προσπάθειές τους να προετοιμαστούν για τον κανονισμό. Η ομάδα, η οποία έχει ήδη πραγματοποιήσει 13 συνεδριάσεις, λειτουργεί ως φόρουμ όπου τα κράτη μέλη μπορούν να ανταλλάσσουν εμπειρίες και τεχνογνωσία 14 . Η Επιτροπή συμμετείχε επίσης σε διμερείς συνεδριάσεις με τις αρχές των κρατών μελών για να συζητηθούν θέματα που προκύπτουν σε εθνικό επίπεδο.

β) Στήριξη των επιμέρους αρχών προστασίας δεδομένων και ίδρυση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

Η Επιτροπή υποστηρίζει ενεργά το έργο της ομάδας εργασίας του άρθρου 29 με στόχο, μεταξύ άλλων, να διασφαλιστεί η ομαλή μετάβαση στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων 15 .

γ) Διεθνής προβολή

Ο κανονισμός θα ενισχύσει περαιτέρω την ικανότητα της ΕΕ να προωθεί ενεργά τις αρχές της στο ζήτημα της προστασίας δεδομένων και θα διευκολύνει τις διασυνοριακές ροές δεδομένων με την ενθάρρυνση της σύγκλισης μεταξύ των νομικών συστημάτων σε παγκόσμιο επίπεδο 16 . Σε διεθνές επίπεδο, αναγνωρίζεται όλο και περισσότερο ότι οι κανόνες της ΕΕ για την προστασία των δεδομένων θέτουν ορισμένα από τα υψηλότερα πρότυπα προστασίας των δεδομένων στον κόσμο. Επικαιροποιείται, επίσης, η σύμβαση 108 του Συμβουλίου της Ευρώπης, η μόνη νομικά δεσμευτική πολυμερής πράξη στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα. Η Επιτροπή καταβάλλει προσπάθειες με σκοπό η εν λόγω σύμβαση να αντανακλά τις ίδιες αρχές με εκείνες που κατοχυρώνονται στους νέους κανόνες προστασίας δεδομένων της ΕΕ και, με τον τρόπο αυτό, να συμβάλει στην εδραίωση μιας ενιαίας δέσμης υψηλών προτύπων προστασίας των δεδομένων. Η Επιτροπή θα προωθήσει ενεργά την ταχεία έγκριση του επικαιροποιημένου κειμένου της σύμβασης με σκοπό την προσχώρηση της ΕΕ ως συμβαλλόμενου μέρους της 17 . Η Επιτροπή ενθαρρύνει τις τρίτες χώρες να κυρώσουν τη σύμβαση 108 του Συμβουλίου της Ευρώπης και το πρόσθετο πρωτόκολλό της.

Περαιτέρω, διάφορες χώρες και περιφερειακοί οργανισμοί εκτός ΕΕ, από τις περιοχές άμεσης γειτονίας έως την Ασία, τη Λατινική Αμερική και την Αφρική, θεσπίζουν νέα νομοθεσία προστασίας των δεδομένων ή επικαιροποιούν την ισχύουσα, με στόχο την αξιοποίηση των ευκαιριών που προσφέρει η παγκόσμια ψηφιακή οικονομία και την ανταπόκριση στην αυξανόμενη ζήτηση για ισχυρότερη προστασία της ασφάλειας των δεδομένων και της ιδιωτικής ζωής. Παρόλο που η προσέγγιση και το επίπεδο ανάπτυξης της νομοθεσίας διαφέρουν μεταξύ των χωρών, υπάρχουν ενδείξεις ότι ο κανονισμός χρησιμεύει όλο και περισσότερο ως σημείο αναφοράς και πηγή έμπνευσης 18 .

Στο πλαίσιο αυτό, η Επιτροπή συνεχίζει τη διεθνή της προβολή σύμφωνα με την ανακοίνωση που εξέδωσε τον Ιανουάριο του 2017 19 , συνεργαζόμενη δραστήρια με βασικούς εμπορικούς εταίρους, ιδίως στην Ανατολική και Νοτιοανατολική Ασία και στη Λατινική Αμερική, για να διερευνήσει τις πιθανότητες έκδοσης αποφάσεων επάρκειας 20 .

Ιδίως, η Επιτροπή συνεργάζεται με την Ιαπωνία με σκοπό να εκδοθούν ταυτόχρονα αποφάσεις που θα διαπιστώνουν αμοιβαία επαρκές επίπεδο προστασίας έως τις αρχές του 2018, σύμφωνα με την κοινή δήλωση του προέδρου Juncker και του πρωθυπουργού Abe της 6ης Ιουλίου 2017 21 . Έχουν επίσης δρομολογηθεί συζητήσεις με τη Νότια Κορέα σχετικά με πιθανή απόφαση επάρκειας. Η έκδοση απόφασης επάρκειας θα διασφαλίσει την ελεύθερη ροή των δεδομένων με τις ενδιαφερόμενες τρίτες χώρες, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την ΕΕ προς τις χώρες αυτές.

Παράλληλα, η Επιτροπή συνεργάζεται με τους ενδιαφερόμενους φορείς με στόχο την εκμετάλλευση του πλήρους δυναμικού της εργαλειοθήκης του κανονισμού για τις διεθνείς διαβιβάσεις, αναπτύσσοντας εναλλακτικούς μηχανισμούς διαβίβασης που θα είναι προσαρμοσμένοι στις ιδιαίτερες ανάγκες συγκεκριμένων κλάδων και/ή επιχειρηματικών φορέων 22 .

δ) Συνεργασία με τους ενδιαφερόμενους φορείς

Η Επιτροπή έχει διοργανώσει σειρά εκδηλώσεων για να προσεγγίσει τους ενδιαφερόμενους φορείς 23 . Το πρώτο τρίμηνο του 2018 προγραμματίζεται νέο εργαστήριο με στόχο τους καταναλωτές. Έχουν επίσης διεξαχθεί ειδικές τομεακές συζητήσεις σε τομείς όπως η έρευνα και οι χρηματοπιστωτικές υπηρεσίες.

Επίσης, η Επιτροπή έχει συστήσει ομάδα πολλαπλών ενδιαφερόμενων φορέων σχετικά με τον κανονισμό, η οποία αποτελείται από εκπροσώπους της κοινωνίας των πολιτών και των επιχειρήσεων, πανεπιστημιακούς και επαγγελματίες. Η ομάδα αυτή θα συμβουλεύει την Επιτροπή κατά κύριο λόγο όσον αφορά τον τρόπο επίτευξης κατάλληλου επιπέδου ευαισθητοποίησης των ενδιαφερόμενων φορέων σχετικά με τον κανονισμό 24 .

Τέλος, η Ευρωπαϊκή Επιτροπή, μέσω του προγράμματος-πλαισίου της για την έρευνα και την καινοτομία «Ορίζων 2020» 25 , έχει χρηματοδοτήσει δράσεις για την ανάπτυξη εργαλείων στήριξης της αποτελεσματικής εφαρμογής των κανόνων στο πλαίσιο του κανονισμού, σε σχέση με τη συγκατάθεση και τις μεθόδους ανάλυσης δεδομένων με διαφύλαξη της ιδιωτικής ζωής, όπως ο πολυσυμμετοχικός υπολογισμός και η ομομορφική κρυπτογράφηση.

2.2 Δράσεις της ομάδας εργασίας του άρθρου 29 / του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

Η ομάδα εργασίας του άρθρου 29, στην οποία συμμετέχουν όλες οι εθνικές αρχές προστασίας δεδομένων, περιλαμβανομένου του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, διαδραματίζει καίριο ρόλο για την προετοιμασία της εφαρμογής του κανονισμού, εκδίδοντας κατευθυντήριες γραμμές για τις επιχειρήσεις και άλλους ενδιαφερόμενους φορείς. Ως φορείς επιβολής του κανονισμού και σημεία άμεσης επικοινωνίας με τους ενδιαφερόμενους φορείς, οι εθνικές αρχές προστασίας δεδομένων είναι οι καταλληλότερες για να παρέχουν πρόσθετη ασφάλεια δικαίου ως προς την ερμηνεία του κανονισμού.

Κατευθυντήριες γραμμές/έγγραφα εργασίας της ομάδας εργασίας του άρθρου 29 πριν από την έναρξη εφαρμογής του κανονισμού 26
Δικαίωμα στη φορητότητα των δεδομένων	Εγκρίθηκε στις 4-5 Απριλίου 2017
Υπεύθυνοι προστασίας δεδομένων
Καθορισμός της επικεφαλής εποπτικής αρχής
Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων	Εγκρίθηκε στις 3-4 Οκτωβρίου 2017
Διοικητικά πρόστιμα	Εγκρίθηκε στις 3-4 Οκτωβρίου 2017
Κατάρτιση προφίλ	Εργασίες σε εξέλιξη
Παραβιάσεις δεδομένων	Εργασίες σε εξέλιξη
Συγκατάθεση	Εργασίες σε εξέλιξη
Διαφάνεια	Εργασίες σε εξέλιξη
Πιστοποίηση και διαπίστευση	Εργασίες σε εξέλιξη
Σημεία αναφοράς για την επάρκεια	Εργασίες σε εξέλιξη
Δεσμευτικοί εταιρικοί κανόνες για τους υπευθύνους επεξεργασίας δεδομένων	Εργασίες σε εξέλιξη
Δεσμευτικοί εταιρικοί κανόνες για τους εκτελούντες επεξεργασία δεδομένων	Εργασίες σε εξέλιξη

Η ομάδα εργασίας του άρθρου 29 εργάζεται για την επικαιροποίηση των υπαρχουσών γνωμοδοτήσεων, μεταξύ άλλων σχετικά με τα εργαλεία διαβίβασης δεδομένων σε τρίτες χώρες.

Δεδομένου ότι είναι σημαντικό οι επιχειρηματίες να διαθέτουν μια συνεκτική και ενιαία δέσμη κατευθυντήριων γραμμών, οι ισχύουσες κατευθυντήριες γραμμές σε εθνικό επίπεδο πρέπει είτε να καταργηθούν είτε να εναρμονιστούν με εκείνες που εξέδωσε η ομάδα εργασίας του άρθρου 29/το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σχετικά με το ίδιο θέμα.

Η Επιτροπή αποδίδει ιδιαίτερη σημασία στο γεγονός ότι οι εν λόγω κατευθυντήριες γραμμές υπόκεινται σε δημόσια διαβούλευση πριν από την οριστικοποίησή τους. Είναι σημαντικό κατά τη διαδικασία αυτή οι απόψεις των ενδιαφερόμενων φορέων να είναι όσο δυνατόν πιο ακριβείς και συγκεκριμένες, καθώς αυτό θα συμβάλει στον εντοπισμό των βέλτιστων πρακτικών και θα επιστήσει την προσοχή της ομάδας εργασίας του άρθρου 29 στα ιδιαίτερα χαρακτηριστικά των επιμέρους κλάδων και τομέων. Η ομάδα εργασίας του άρθρου 29 και το μελλοντικό Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξακολουθούν να έχουν την τελική ευθύνη για τις εν λόγω κατευθυντήριες γραμμές και οι αρχές προστασίας δεδομένων θα ανατρέχουν σε αυτές κατά την επιβολή του κανονισμού.

Θα πρέπει να είναι δυνατή η τροποποίηση των κατευθυντήριων γραμμών υπό το πρίσμα των εξελίξεων και των πρακτικών. Για τον σκοπό αυτό, είναι αναγκαίο οι αρχές προστασίας δεδομένων να προωθήσουν μια κουλτούρα διαλόγου με όλους τους ενδιαφερόμενους φορείς, συμπεριλαμβανομένων των επιχειρήσεων.

Είναι σημαντικό να υπενθυμιστεί ότι, όταν προκύπτουν ερωτήματα σχετικά με την ερμηνεία και την εφαρμογή του κανονισμού, θα εναπόκειται στα δικαστήρια σε εθνικό και ενωσιακό επίπεδο να παρέχουν την οριστική ερμηνεία του κανονισμού.

3.Εναπομείναντα βήματα για την επιτυχή προετοιμασία

3.1 Τα κράτη μέλη πρέπει να οριστικοποιήσουν τη θέσπιση του νομικού πλαισίου σε εθνικό επίπεδο

Ο κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη μέλη 27 . Αυτό σημαίνει ότι τίθεται σε ισχύ και εφαρμόζεται ανεξάρτητα από οποιεσδήποτε διατάξεις εθνικού δικαίου: οι πολίτες, οι επιχειρήσεις, οι δημόσιες διοικήσεις και οι άλλοι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μπορούν, κατά κανόνα, να στηριχθούν απευθείας στις διατάξεις του κανονισμού. Ωστόσο, σύμφωνα με τον κανονισμό, τα κράτη μέλη πρέπει να λάβουν τα αναγκαία μέτρα για να προσαρμόσουν τη νομοθεσία τους, με κατάργηση και τροποποίηση υφιστάμενων πράξεων, τη σύσταση εθνικών αρχών προστασίας των δεδομένων 28 , την επιλογή φορέα πιστοποίησης 29 και τη θέσπιση κανόνων για τον συμβιβασμό της ελευθερίας έκφρασης και της προστασίας των δεδομένων 30 .

Επίσης, ο κανονισμός παρέχει στα κράτη μέλη τη δυνατότητα να καθορίζουν πιο ειδικές διατάξεις για την εφαρμογή των κανόνων για την προστασία των δεδομένων σε συγκεκριμένους τομείς: δημόσιος τομέας 31 , απασχόληση και κοινωνική ασφάλιση 32 , προληπτική και επαγγελματική ιατρική, δημόσια υγεία 33 , αρχειοθέτηση προς το δημόσιο συμφέρον, σκοποί επιστημονικής ή ιστορικής έρευνας ή στατιστικοί σκοποί 34 , εθνικός αριθμός ταυτότητας 35 , πρόσβαση του κοινού στα επίσημα έγγραφα 36 και υποχρεώσεις τήρησης του απορρήτου 37 . Επιπλέον, όσον αφορά τα γενετικά δεδομένα, τα βιομετρικά δεδομένα και τα δεδομένα σχετικά με την υγεία, ο κανονισμός εξουσιοδοτεί τα κράτη μέλη να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς 38 .

Οι σχετικές δράσεις των κρατών μελών πλαισιώνονται από δύο στοιχεία:

1.το άρθρο 8 του Χάρτη, υπό την έννοια ότι οι τυχόν εθνικές πιο ειδικές διατάξεις πρέπει να πληρούν τις απαιτήσεις του άρθρου 8 του Χάρτη (και του κανονισμού, που βασίζεται στο άρθρο 8 του Χάρτη), και

2.το άρθρο 16 παράγραφος 2 της ΣΛΕΕ, δυνάμει του οποίου η εθνική νομοθεσία δεν μπορεί να θίγει την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ.

Ο κανονισμός αποτελεί ευκαιρία να απλουστευτεί το νομικό περιβάλλον και, ως εκ τούτου, να υπάρχουν λιγότεροι εθνικοί κανόνες και μεγαλύτερη σαφήνεια για τους επιχειρηματικούς φορείς.

Όταν τα κράτη μέλη προσαρμόζουν την εθνική τους νομοθεσία, πρέπει να λαμβάνουν υπόψη το γεγονός ότι κάθε εθνικό μέτρο το οποίο θα είχε ως αποτέλεσμα τη δημιουργία εμποδίου στην άμεση εφαρμογή του κανονισμού και την υπονόμευση της ταυτόχρονης και ομοιόμορφης εφαρμογής του στο σύνολο της ΕΕ είναι αντίθετο προς τις Συνθήκες 39 .

Aπαγορεύεται επίσης η επανάληψη του κειμένου των κανονισμών στην εθνική νομοθεσία (π.χ. η επανάληψη ορισμών ή των δικαιωμάτων των φυσικών προσώπων), εκτός αν οι εν λόγω επαναλήψεις είναι απολύτως απαραίτητες για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται 40 . Η κατά λέξη αναπαραγωγή του κειμένου του κανονισμού σε εθνικές πιο ειδικές διατάξεις θα πρέπει να γίνεται μόνο σε εξαιρετικές και αιτιολογημένες περιπτώσεις και δεν μπορεί να χρησιμοποιηθεί για να προστεθούν πρόσθετες προϋποθέσεις ή ερμηνείες στο κείμενο του κανονισμού.

Η ερμηνεία του κανονισμού επαφίεται στα ευρωπαϊκά δικαστήρια (εθνικά δικαστήρια και, σε τελευταίο βαθμό, το Ευρωπαϊκό Δικαστήριο) και όχι στους νομοθέτες των κρατών μελών. Ο εθνικός νομοθέτης δεν μπορεί, συνεπώς, να αντιγράψει το κείμενο του κανονισμού όταν δεν είναι αναγκαίο υπό το φως των κριτηρίων που παρέχει η νομολογία, ούτε να το ερμηνεύσει ή να προσθέσει συμπληρωματικές προϋποθέσεις στους κανόνες που εφαρμόζονται άμεσα δυνάμει του κανονισμού. Εάν συνέβαινε αυτό, οι επιχειρηματικοί φορείς σε όλη την Ένωση θα αντιμετώπιζαν ξανά κατακερματισμό και δεν θα γνώριζαν ποιους κανόνες πρέπει να τηρούν.

Στο παρόν στάδιο, μόνο δύο κράτη μέλη έχουν θεσπίσει ήδη τη σχετική εθνική νομοθεσία 41 · τα λοιπά κράτη μέλη βρίσκονται σε διάφορα στάδια της νομοθετικής τους διαδικασίας 42 και διαθέτουν χρονοδιαγράμματα θέσπισης της νομοθεσίας έως την 25η Μαΐου 2018. Είναι σημαντικό να δοθεί επαρκής χρόνος στους επιχειρηματικούς φορείς ώστε να προετοιμαστούν για όλες τις διατάξεις προς τις οποίες οφείλουν να συμμορφωθούν.

Σε περίπτωση που κράτος μέλος δεν λάβει τα αναγκαία μέτρα που απαιτούνται βάσει του κανονισμού, καθυστερήσει να λάβει μέτρα ή χρησιμοποιήσει τις δυνατότητες θέσπισης πιο ειδικών διατάξεων που προβλέπονται στον κανονισμό κατά τρόπο αντίθετο προς τον κανονισμό, η Επιτροπή θα χρησιμοποιήσει όλα τα μέσα που έχει στη διάθεσή της, συμπεριλαμβανομένης της κίνησης διαδικασίας επί παραβάσει.

3.2 Οι αρχές προστασίας δεδομένων πρέπει να διασφαλίσουν ότι το νέο ανεξάρτητο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα είναι πλήρως επιχειρησιακό

Είναι σημαντικό το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων 43 , ο νέος φορέας που ιδρύεται με τον κανονισμό και αντικαθιστά την ομάδα εργασίας του άρθρου 29, να είναι πλήρως επιχειρησιακό από την 25η Μαΐου 2018.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων —η αρχή προστασίας δεδομένων που είναι αρμόδια για την εποπτεία των θεσμικών και λοιπών οργάνων και οργανισμών της ΕΕ— θα παρέχει υπηρεσίες γραμματείας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων προκειμένου να ενισχυθούν οι συνέργειες και η αποτελεσματικότητα. Κατά τους τελευταίους μήνες, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει αρχίσει την αναγκαία προετοιμασία για τον σκοπό αυτό.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα βρίσκεται στο επίκεντρο της προστασίας δεδομένων στην Ευρώπη. Θα συμβάλλει στη συνεκτική εφαρμογή της νομοθεσίας για την προστασία δεδομένων και θα παρέχει μια ισχυρή βάση για συνεργασία μεταξύ των αρχών προστασίας δεδομένων, συμπεριλαμβανομένου του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δεν θα εκδίδει μόνο κατευθυντήριες γραμμές σχετικά με τον τρόπο ερμηνείας βασικών εννοιών του κανονισμού, αλλά επίσης θα καλείται να εκδίδει δεσμευτικές αποφάσεις σχετικά με διαφορές ως προς τη διασυνοριακή επεξεργασία. Με τον τρόπο αυτό θα εξασφαλίζεται η ομοιόμορφη εφαρμογή των κανόνων της ΕΕ και θα αποφεύγεται η αντιμετώπιση της ίδιας περίπτωσης με διαφορετικό τρόπο στα διάφορα κράτη μέλη.

Κατά συνέπεια, η ομαλή και αποτελεσματική λειτουργία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αποτελεί προϋπόθεση για την εύρυθμη λειτουργία του συστήματος συνολικά. Σήμερα, περισσότερο από ποτέ, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να διαμορφώσει μια κοινή νοοτροπία προστασίας των δεδομένων μεταξύ όλων των εθνικών αρχών προστασίας δεδομένων ώστε να διασφαλίζεται η συνεκτική ερμηνεία των κανόνων του κανονισμού. Ο κανονισμός ενισχύει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων, παρέχοντάς τους τα εργαλεία για να συνεργάζονται αποτελεσματικά και αποδοτικά: ιδίως, θα είναι σε θέση να διεξάγουν κοινές επιχειρήσεις, να εκδίδουν αποφάσεις με κοινή συμφωνία και να επιλύουν τις ενδεχόμενες διαφωνίες ως προς την ερμηνεία του κανονισμού στο πλαίσιο του Συμβουλίου Προστασίας Δεδομένων, μέσω γνωμοδοτήσεων και δεσμευτικών αποφάσεων. Η Επιτροπή ενθαρρύνει τις αρχές προστασίας δεδομένων να ενστερνιστούν αυτές τις αλλαγές και να προσαρμόσουν τη λειτουργία τους, τη χρηματοδότηση και την εργασιακή τους νοοτροπία, ώστε να είναι σε θέση να ανταποκριθούν στα νέα δικαιώματα και υποχρεώσεις.

3.3 Τα κράτη μέλη θα πρέπει να παρέχουν στις εθνικές αρχές προστασίας δεδομένων τους απαραίτητους οικονομικούς και ανθρώπινους πόρους

Η σύσταση πλήρως ανεξάρτητων εποπτικών αρχών σε κάθε κράτος μέλος είναι ουσιώδης για τη διασφάλιση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα στην ΕΕ 44 . Οι εποπτικές αρχές μπορούν να διαφυλάξουν αποτελεσματικά τα ατομικά δικαιώματα και τις ελευθερίες, μόνο αν ενεργούν με πλήρη ανεξαρτησία. Αν δεν κατοχυρωθούν η ανεξαρτησία τους και η αποτελεσματική άσκηση των εξουσιών τους, θα υπάρξουν σημαντικές αρνητικές επιπτώσεις από την άποψη της τήρησης της νομοθεσίας για την προστασία δεδομένων 45 .

Ο κανονισμός κωδικοποιεί την απαίτηση κάθε αρχή προστασίας δεδομένων να ενεργεί με πλήρη ανεξαρτησία 46 . Ενισχύει την ανεξαρτησία των εθνικών αρχών προστασίας δεδομένων και τους παρέχει ενιαίες εξουσίες σε όλη την ΕΕ, ώστε να είναι κατάλληλα εξοπλισμένες για να αντιμετωπίζουν αποτελεσματικά τις καταγγελίες, να διενεργούν αποτελεσματικές έρευνες, να λαμβάνουν δεσμευτικές αποφάσεις και να επιβάλλουν αποτελεσματικές και αποτρεπτικές κυρώσεις. Επίσης, τους παρέχει την εξουσία να επιβάλλουν διοικητικά πρόστιμα στους υπευθύνους επεξεργασίας ή στους εκτελούντες την επεξεργασία έως 20 εκατ. EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Οι αρχές προστασίας δεδομένων είναι οι φυσικοί συνομιλητές και το πρώτο σημείο επαφής για τους πολίτες, τις επιχειρήσεις και τις δημόσιες διοικήσεις για ζητήματα σχετικά με τον κανονισμό. Ο ρόλος των αρχών προστασίας δεδομένων περιλαμβάνει την ενημέρωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, καθώς και την αύξηση της ευαισθητοποίησης του κοινού και της κατανόησης των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων σε σχέση με την επεξεργασία των δεδομένων. Αυτό δεν σημαίνει, ωστόσο, ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να αναμένουν από τις αρχές προστασίας δεδομένων να τους παρέχουν το είδος των ειδικά προσαρμοσμένων, εξατομικευμένων νομικών συμβουλών που μόνο ένας δικηγόρος ή ένας υπεύθυνος προστασίας δεδομένων μπορεί να προσφέρει.

Επομένως, οι εθνικές αρχές προστασίας δεδομένων διαδραματίζουν μεν κεντρικό ρόλο, αλλά η σχετική ανισορροπία μεταξύ των ανθρώπινων και των οικονομικών πόρων που έχουν στη διάθεσή τους στα διάφορα κράτη μέλη μπορεί να υπονομεύσει την αποτελεσματικότητά τους και, τελικά, την πλήρη ανεξαρτησία που απαιτείται βάσει του κανονισμού. Η ανισορροπία αυτή μπορεί επίσης να επηρεάσει αρνητικά τον τρόπο με τον οποίο οι αρχές προστασίας δεδομένων είναι σε θέση να ασκούν εξουσίες, όπως οι εξουσίες έρευνας. Τα κράτη μέλη ενθαρρύνονται να τηρούν τη νομική υποχρέωσή τους να παρέχουν στην αρχή προστασίας δεδομένων της χώρας τους τους ανθρώπινους, τεχνικούς και οικονομικούς πόρους, τις εγκαταστάσεις και τις υποδομές που απαιτούνται για την αποτελεσματική εκτέλεση των καθηκόντων και την άσκηση των εξουσιών τους 47 .

3.4 Οι επιχειρήσεις, οι δημόσιες διοικήσεις και οι άλλοι οργανισμοί που επεξεργάζονται δεδομένα πρέπει να προετοιμαστούν για την εφαρμογή των νέων κανόνων

Ο κανονισμός δεν επέφερε ουσιαστικές αλλαγές στις βασικές έννοιες και αρχές της νομοθεσίας για την προστασία των δεδομένων που είχαν θεσπιστεί το 1995. Αυτό σημαίνει ότι η μεγάλη πλειονότητα των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, εφόσον συμμορφώνονται ήδη με την ισχύουσα ενωσιακή νομοθεσία για την προστασία δεδομένων, δεν θα χρειαστεί να πραγματοποιήσουν μεγάλες αλλαγές στις δραστηριότητές τους επεξεργασίας δεδομένων ώστε να συμμορφωθούν με τον κανονισμό.

Ο κανονισμός έχει σοβαρότερες επιπτώσεις στους επιχειρηματικούς φορείς των οποίων η βασική δραστηριότητα είναι η επεξεργασία δεδομένων και/ή ο χειρισμός ευαίσθητων δεδομένων. Έχει επίσης επιπτώσεις σε όσους παρακολουθούν τακτικά και συστηματικά φυσικά πρόσωπα σε μεγάλη κλίμακα. Οι εν λόγω φορείς θα χρειαστεί κατά πάσα πιθανότητα να διορίσουν υπεύθυνο προστασίας δεδομένων, να διενεργήσουν εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και να γνωστοποιούν τις παραβιάσεις δεδομένων αν υπάρχει κίνδυνος για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Αντιθέτως, οι επιχειρηματικοί φορείς, ιδίως οι ΜΜΕ, των οποίων η βασική δραστηριότητα δεν αφορά επεξεργασία υψηλού κινδύνου, κατά κανόνα, δεν θα υπόκεινται στις ειδικές αυτές υποχρεώσεις του κανονισμού.

Είναι σημαντικό οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία να προβούν σε διεξοδική επανεξέταση του κύκλου πολιτικής τους όσον αφορά τα δεδομένα, ώστε να προσδιορίσουν με σαφήνεια ποια στοιχεία συλλέγουν, για ποιον σκοπό και επί ποιας νομικής βάσης (π.χ. περιβάλλον υπολογιστικού νέφους· επιχειρηματικοί φορείς του χρηματοπιστωτικού τομέα). Πρέπει επίσης να αξιολογήσουν τις ισχύουσες συμβάσεις, ιδίως εκείνες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, τις οδούς για τις διεθνείς διαβιβάσεις δεδομένων και τη γενική διακυβέρνηση (τι μέτρα ΤΠ και τι οργανωτικά μέτρα πρέπει να διαθέτουν), συμπεριλαμβανομένου του διορισμού υπευθύνου προστασίας δεδομένων. Σημαντικό στοιχείο στη διαδικασία αυτή είναι να εξασφαλιστεί ότι το ανώτατο επίπεδο διοίκησης συμμετέχει στις εν λόγω επανεξετάσεις, συνεισφέρει σ’ αυτές, ενημερώνεται τακτικά και ζητείται η γνώμη του σχετικά με τις αλλαγές στην πολιτική δεδομένων της επιχείρησης.

Για τον σκοπό αυτό, ορισμένοι επιχειρηματικοί φορείς χρησιμοποιούν καταλόγους ελέγχου συμμόρφωσης (εσωτερικά ή εξωτερικά), ζητούν συμβουλές από γραφεία συμβούλων και δικηγορικά γραφεία και αναζητούν προϊόντα που ανταποκρίνονται στις απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Κάθε τομέας πρέπει να επεξεργαστεί ρυθμίσεις που είναι ενδεδειγμένες για τις ιδιαιτερότητές του και προσαρμοσμένες στο επιχειρηματικό του μοντέλο.

Οι επιχειρήσεις και οι άλλοι οργανισμοί που επεξεργάζονται δεδομένα θα είναι επίσης σε θέση να εκμεταλλευτούν τα νέα εργαλεία που προβλέπει ο κανονισμός ως στοιχείο απόδειξης της συμμόρφωσης, π.χ. τους κώδικες δεοντολογίας και τους μηχανισμούς πιστοποίησης. Τα στοιχεία αυτά αποτελούν προσεγγίσεις από τη βάση προς την κορυφή που προέρχονται από την επιχειρηματική κοινότητα, ενώσεις ή άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία και αντικατοπτρίζουν τη βέλτιστη πρακτική, τις σημαντικές εξελίξεις σε έναν δεδομένο τομέα ή μπορούν να ενημερώνουν σχετικά με το επίπεδο της προστασίας δεδομένων που απαιτείται για ορισμένα προϊόντα και υπηρεσίες. Ο κανονισμός προβλέπει ένα εξορθολογισμένο σύνολο κανόνων για τους μηχανισμούς αυτούς, λαμβάνοντας υπόψη την πραγματικότητα της αγοράς (π.χ. πιστοποίηση από φορέα πιστοποίησης ή από αρχή προστασίας δεδομένων).

Ωστόσο, τη στιγμή που μεγάλες εταιρείες προετοιμάζονται δραστήρια για την εφαρμογή των νέων κανόνων, πολλές ΜΜΕ δεν έχουν ακόμη πλήρη επίγνωση των επικείμενων κανόνων για την προστασία δεδομένων.

Εν ολίγοις, οι επιχειρήσεις θα πρέπει να προετοιμαστούν και να προσαρμοστούν στους νέους κανόνες και να θεωρήσουν τον κανονισμό:

·ως ευκαιρία να τακτοποιήσουν τα του οίκου τους σε ό,τι αφορά τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται και τον τρόπο διαχείρισής τους·

·ως υποχρέωση να αναπτύξουν προϊόντα που ευνοούν την προστασία της ιδιωτικής ζωής και την προστασία των δεδομένων και να οικοδομήσουν μια νέα σχέση με τους πελάτες τους με βάση τη διαφάνεια και την εμπιστοσύνη· και

·ως ευκαιρία να επαναπροσδιορίσουν τις σχέσεις τους με τις αρχές προστασίας δεδομένων μέσω της λογοδοσίας και της προορατικής συμμόρφωσης.

3.5 Πρέπει να ενημερωθούν οι ενδιαφερόμενοι φορείς, ιδίως οι πολίτες και οι μικρές και μεσαίες επιχειρήσεις

Η επιτυχία του κανονισμού στηρίζεται στη δέουσα ευαισθητοποίηση όλων όσοι επηρεάζονται από τους νέους κανόνες (επιχειρηματική κοινότητα και άλλοι οργανισμοί που επεξεργάζονται δεδομένα, δημόσιος τομέας και πολίτες). Σε εθνικό επίπεδο, οι αρχές προστασίας δεδομένων είναι πρωτίστως αρμόδιες για την ευαισθητοποίηση και αποτελούν το πρώτο σημείο επαφής για τους υπευθύνους επεξεργασίας, τους εκτελούντες την επεξεργασία και τους πολίτες. Οι αρχές προστασίας δεδομένων, ως φορείς επιβολής των κανόνων προστασίας των δεδομένων στην επικράτειά τους, είναι επίσης οι καταλληλότερες για να εξηγήσουν τις αλλαγές που εισήγαγε ο κανονισμός στις εταιρείες και στον δημόσιο τομέα, και για να βοηθήσουν στην εξοικείωση των πολιτών με τα δικαιώματά τους.

Οι αρχές προστασίας δεδομένων έχουν αρχίσει την ενημέρωση των ενδιαφερόμενων φορέων σύμφωνα με την ειδική εθνική προσέγγιση. Ορισμένες διοργανώνουν σεμινάρια με τις δημόσιες διοικήσεις, μεταξύ άλλων σε περιφερειακό και τοπικό επίπεδο, και εργαστήρια για διάφορους επιχειρηματικούς τομείς, προκειμένου να τους ευαισθητοποιήσουν σχετικά με τις κύριες διατάξεις του κανονισμού. Ορισμένες εφαρμόζουν ειδικά προγράμματα κατάρτισης για τους υπευθύνους προστασίας δεδομένων. Οι περισσότερες παρέχουν ενημερωτικό υλικό σε διαφορετικούς μορφοτύπους μέσω των ιστοτόπων τους (κατάλογοι ελέγχου, βίντεο κ.λπ.).

Ωστόσο, η ευαισθητοποίηση των πολιτών όσον αφορά τις αλλαγές και τα ενισχυμένα δικαιώματα που θα επιφέρουν οι νέοι κανόνες για την προστασία δεδομένων δεν είναι ακόμη επαρκώς ευρεία. Η πρωτοβουλία κατάρτισης και ευαισθητοποίησης που δρομολογήθηκε από τις αρχές προστασίας δεδομένων θα πρέπει να συνεχιστεί και να ενταθεί, με ιδιαίτερη εστίαση στις ΜΜΕ. Επιπροσθέτως, οι εθνικές τομεακές διοικητικές υπηρεσίες μπορούν να στηρίξουν τις δραστηριότητες των αρχών προστασίας δεδομένων και, με βάση τις εισηγήσεις τους, να διεξαγάγουν δικές τους δραστηριότητες προβολής μεταξύ των διαφόρων ενδιαφερόμενων φορέων.

4.Επόμενα βήματα

Κατά τους προσεχείς μήνες η Επιτροπή θα συνεχίσει να παρέχει ενεργό υποστήριξη σε όλους τους συντελεστές στο πλαίσιο της προετοιμασίας για την εφαρμογή του κανονισμού.

α) Συνεργασία με τα κράτη μέλη

Η Επιτροπή θα εξακολουθήσει να συνεργάζεται με τα κράτη μέλη κατά το διάστημα μέχρι τον Μάιο του 2018. Από τον Μάιο του 2018 και μετά θα παρακολουθεί τον τρόπο εφαρμογής των νέων κανόνων από τα κράτη μέλη και θα λαμβάνει τα κατάλληλα μέτρα, κατά περίπτωση.

β) Νέα διαδικτυακή καθοδήγηση σε όλες τις γλώσσες της ΕΕ και δραστηριότητες ευαισθητοποίησης

Η Επιτροπή δημοσιοποιεί υλικό πρακτικής καθοδήγησης 48 για να βοηθήσει τις επιχειρήσεις, ιδίως τις ΜΜΕ, τις δημόσιες αρχές και το κοινό να συμμορφωθούν και να επωφεληθούν από τους νέους κανόνες προστασίας δεδομένων.

Η καθοδήγηση λαμβάνει τη μορφή ενός πρακτικού διαδικτυακού εργαλείου που διατίθεται σε όλες τις γλώσσες της ΕΕ. Το διαδικτυακό εργαλείο, που θα ενημερώνεται τακτικά, προορίζεται να εξυπηρετεί τρεις κύριες στοχευόμενες ομάδες κοινού: τους πολίτες, τις επιχειρήσεις (ιδίως τις ΜΜΕ) και τους άλλους οργανισμούς, και τις δημόσιες διοικήσεις. Το εργαλείο περιλαμβάνει ερωτήσεις και απαντήσεις που επιλέγονται με βάση την ανάδραση από τους ενδιαφερομένους, με πρακτικά παραδείγματα και συνδέσμους που παραπέμπουν σε διάφορες πηγές πληροφοριών (π.χ. άρθρα του κανονισμού· κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29/του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων· και υλικό που έχει αναπτυχθεί σε εθνικό επίπεδο).

Η Επιτροπή θα επικαιροποιεί τακτικά το εργαλείο, προσθέτοντας ερωτήσεις και ενημερώνοντας τις απαντήσεις, με βάση την ανάδραση που θα λαμβάνει και υπό το πρίσμα τυχόν νέων ζητημάτων που θα προκύπτουν από την εφαρμογή.

Η καθοδήγηση θα προωθείται μέσω μιας εκστρατείας ενημέρωσης και δραστηριοτήτων διάδοσης σε όλα τα κράτη μέλη, που θα απευθύνονται στις επιχειρήσεις και στο κοινό.

Δεδομένου ότι ο κανονισμός προβλέπει την ενίσχυση των ατομικών δικαιωμάτων, η Επιτροπή θα διεξαγάγει δραστηριότητες ευαισθητοποίησης και θα συμμετάσχει σε εκδηλώσεις στα κράτη μέλη με σκοπό την ενημέρωση των πολιτών για τα οφέλη και τις επιπτώσεις του κανονισμού.

γ) Οικονομική στήριξη για εθνικές εκστρατείες ενημέρωσης και ευαισθητοποίηση

Η Επιτροπή υποστηρίζει τις προσπάθειες για ευαισθητοποίηση και συμμόρφωση που αναλαμβάνονται σε εθνικό επίπεδο, μέσω επιχορηγήσεων που μπορούν να χρησιμοποιηθούν για την παροχή κατάρτισης στις αρχές προστασίας δεδομένων, στη δημόσια διοίκηση, στα νομικά επαγγέλματα και στους υπευθύνους προστασίας δεδομένων 49 καθώς και για την εξοικείωσή τους με τον κανονισμό.

Θα διατεθεί ποσό περίπου 1,7 εκατ. EUR σε έξι δικαιούχους που καλύπτουν περισσότερα από τα μισά κράτη μέλη της ΕΕ. Η χρηματοδότηση θα προορίζεται για τοπικές δημόσιες αρχές, συμπεριλαμβανομένων των υπευθύνων προστασίας δεδομένων των τοπικών δημόσιων αρχών, των κεντρικών δημόσιων αρχών και του ιδιωτικού τομέα, δικαστών και δικηγόρων. Οι επιχορηγήσεις θα χρησιμοποιηθούν για την ανάπτυξη εκπαιδευτικού υλικού για τις αρχές προστασίας δεδομένων, τους υπευθύνους προστασίας δεδομένων και άλλους επαγγελματίες, καθώς και για προγράμματα κατάρτισης εκπαιδευτών.

Η Επιτροπή δημοσίευσε επίσης πρόσκληση υποβολής προτάσεων που στοχεύει ειδικά στις αρχές προστασίας δεδομένων. Με συνολικό προϋπολογισμό μέχρι 2 εκατ. EUR, θα τους παράσχει βοήθεια για την προσέγγιση των ενδιαφερόμενων φορέων 50 . Ο στόχος είναι να συγχρηματοδοτηθούν κατά 80 % τα μέτρα που θα λάβουν οι αρχές προστασίας δεδομένων κατά την περίοδο 2018-2019 για την ευαισθητοποίηση των επιχειρήσεων, ιδίως των ΜΜΕ, και για ανταπόκριση στις ερωτήσεις τους. Η χρηματοδότηση αυτή μπορεί επίσης να χρησιμοποιηθεί για την ευαισθητοποίηση του ευρέος κοινού.

δ) Εκτίμηση της ανάγκης χρησιμοποίησης των εξουσιοδοτήσεων της Επιτροπής

Ο κανονισμός 51 παρέχει στην Επιτροπή τη δυνατότητα να εκδώσει εκτελεστικές ή κατ’ εξουσιοδότηση πράξεις για περαιτέρω στήριξη της εφαρμογής των νέων κανόνων. Η Επιτροπή θα χρησιμοποιήσει τις εν λόγω εξουσιοδοτήσεις μόνο όπου υπάρχει σαφώς αποδεδειγμένη προστιθέμενη αξία και βάσει των παρατηρήσεων από τις διαβουλεύσεις με τους ενδιαφερόμενους φορείς. Η Επιτροπή θα διερευνήσει ιδίως το ζήτημα της πιστοποίησης με βάση μια μελέτη που ανατέθηκε σε εξωτερικούς εμπειρογνώμονες, καθώς και τη συμβολή και παροχή συμβουλών για το συγκεκριμένο θέμα από την ομάδα πολλαπλών ενδιαφερόμενων φορέων σχετικά με τον κανονισμό, η οποία συστάθηκε στα τέλη του 2017. Στο πλαίσιο αυτό, θα είναι επίσης χρήσιμο το έργο που έχει επιτελέσει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) στον τομέα της κυβερνοασφάλειας.

ε) Ενσωμάτωση του κανονισμού στη συμφωνία ΕΟΧ

Η Επιτροπή θα συνεχίσει τη συνεργασία της με τις τρεις χώρες της ΕΖΕΣ (Ισλανδία, Λιχτενστάιν και Νορβηγία) στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) για την ενσωμάτωση του κανονισμού στη συμφωνία ΕΟΧ 52 . Μόνο μετά την έναρξη ισχύος της ενσωμάτωσης του κανονισμού στη συμφωνία ΕΟΧ θα γίνει δυνατό να κυκλοφορούν ελεύθερα τα δεδομένα προσωπικού χαρακτήρα μεταξύ της ΕΕ και των χωρών του ΕΟΧ, κατά τον ίδιο τρόπο όπως και μεταξύ των κρατών μελών της ΕΕ.

στ) Αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ

Στο πλαίσιο των διαπραγματεύσεων για τη σύναψη συμφωνίας αποχώρησης μεταξύ της ΕΕ και του Ηνωμένου Βασιλείου βάσει του άρθρου 50 της Συνθήκης για την Ευρωπαϊκή Ένωση, η Επιτροπή θα επιδιώξει να διασφαλίσει ότι οι διατάξεις του δικαίου της Ένωσης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που θα εφαρμόζονται την ημέρα πριν από την ημερομηνία αποχώρησης θα εξακολουθήσουν να εφαρμόζονται στα δεδομένα προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο που υπέστησαν επεξεργασία πριν από την ημερομηνία αποχώρησης 53 . Για παράδειγμα, τα ενδιαφερόμενα πρόσωπα θα πρέπει να εξακολουθήσουν να έχουν το δικαίωμα ενημέρωσης, το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα φορητότητας των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία και να μην υπόκεινται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, δυνάμει των σχετικών διατάξεων της ενωσιακής νομοθεσίας που ίσχυαν κατά την ημερομηνία αποχώρησης. Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται ανωτέρω δεν θα πρέπει να αποθηκεύονται για χρονικό διάστημα μεγαλύτερο από το απαραίτητο για τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία.

Από την ημερομηνία αποχώρησης και με την επιφύλαξη τυχόν μεταβατικών ρυθμίσεων που ενδέχεται να περιέχονται σε μια πιθανή συμφωνία αποχώρησης, οι κανόνες του κανονισμού για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες θα ισχύουν για το Ηνωμένο Βασίλειο 54 .

ζ) Απολογισμός τον Μάιο του 2019

Μετά την 25η Μαΐου 2018 η Επιτροπή θα παρακολουθεί στενά την εφαρμογή των νέων κανόνων και θα είναι έτοιμη να αναλάβει δράση σε περίπτωση που παρουσιαστούν σημαντικά προβλήματα. Ένα έτος μετά την έναρξη της εφαρμογής του κανονισμού (2019) η Επιτροπή θα οργανώσει εκδήλωση προκειμένου να προβεί σε καταγραφή της εμπειρίας των διαφόρων ενδιαφερόμενων φορέων από την εφαρμογή του κανονισμού. Η καταγραφή αυτή θα συμβάλει επίσης στην έκθεση την οποία καλείται η Επιτροπή να εκπονήσει έως τον Μάιο του 2020 σχετικά με την αξιολόγηση και την επανεξέταση του κανονισμού. Η έκθεση αυτή θα εστιάζεται ιδίως στις διεθνείς διαβιβάσεις και στις διατάξεις περί συνεργασίας και συνεκτικότητας που σχετίζονται με το έργο των αρχών προστασίας δεδομένων.

Συμπέρασμα

Στις 25 Μαΐου ένα νέο ενιαίο σύνολο κανόνων για την προστασία των δεδομένων θα τεθεί σε εφαρμογή σε ολόκληρη την ΕΕ. Το νέο πλαίσιο θα έχει σημαντικά οφέλη για τους ιδιώτες, τις επιχειρήσεις, τις δημόσιες διοικήσεις και άλλους οργανισμούς. Αποτελεί επίσης μια ευκαιρία για να καταστεί η ΕΕ παγκόσμιος ηγέτης στην προστασία των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, η μεταρρύθμιση θα έχει επιτυχία μόνο αν όλα τα εμπλεκόμενα μέρη ενστερνιστούν τις υποχρεώσεις τους και τα δικαιώματά τους.

Μετά την έγκριση του κανονισμού τον Μάιο του 2016, η Επιτροπή έχει προσεγγίσει ενεργά όλους τους εμπλεκόμενους συντελεστές —κυβερνήσεις, εθνικές αρχές, επιχειρήσεις, κοινωνία των πολιτών— ενόψει της εφαρμογής των νέων κανόνων. Σημαντικό μέρος των εργασιών έχει αφιερωθεί στη διασφάλιση ευρείας ευαισθητοποίησης και πλήρους προετοιμασίας, αλλά οι εργασίες δεν έχουν ολοκληρωθεί. Οι προετοιμασίες εξελίσσονται με διαφορετικούς ρυθμούς στα κράτη μέλη και μεταξύ των διαφόρων συντελεστών. Επιπλέον, οι γνώσεις σχετικά με τα οφέλη και τις ευκαιρίες που προσφέρουν οι νέοι κανόνες δεν είναι ομοιόμορφα διαδεδομένες. Υπάρχει ιδίως ανάγκη ενίσχυσης της ευαισθητοποίησης και πλαισίωσης των προσπαθειών συμμόρφωσης για τις ΜΜΕ.

Κατά συνέπεια, η Επιτροπή καλεί όλους τους ενδιαφερόμενους φορείς να εντείνουν τις εν εξελίξει εργασίες τους ώστε να εξασφαλιστεί η συνεκτική εφαρμογή και ερμηνεία των νέων κανόνων σε ολόκληρη την ΕΕ και να ευαισθητοποιηθούν εξίσου οι επιχειρήσεις και οι πολίτες. Η Επιτροπή θα υποστηρίξει τις προσπάθειες αυτές με χρηματοδότηση και διοικητική υποστήριξη και θα συμβάλει στην αύξηση της γενικής ευαισθητοποίησης, κυρίως με τη δρομολόγηση της διαδικτυακής εργαλειοθήκης καθοδήγησης.

Τα δεδομένα εξελίσσονται σε ιδιαίτερα πολύτιμο στοιχείο για τη σημερινή οικονομία και έχουν ουσιαστική σημασία για την καθημερινότητα των πολιτών. Οι νέοι κανόνες προσφέρουν μια μοναδική ευκαιρία τόσο για τις επιχειρήσεις όσο και το κοινό. Οι επιχειρήσεις, ιδίως οι μικρότερες, θα μπορούν να επωφεληθούν από τη φιλική προς την καινοτομία ενιαία δέσμη κανόνων και να τακτοποιήσουν τα του οίκου τους όσον αφορά τα προσωπικά δεδομένα, για να ανακτήσουν την εμπιστοσύνη των καταναλωτών και να τη χρησιμοποιήσουν ως ανταγωνιστικό πλεονέκτημα σε ολόκληρη την ΕΕ. Οι πολίτες θα μπορούν να επωφεληθούν από την ισχυρότερη προστασία των δεδομένων προσωπικού χαρακτήρα και να αποκτήσουν καλύτερο έλεγχο του τρόπου με τον οποίο οι εταιρείες επεξεργάζονται τα δεδομένα.

Στον σύγχρονο κόσμο με την ακμάζουσα ψηφιακή οικονομία, η Ευρωπαϊκή Ένωση, οι πολίτες και οι επιχειρήσεις της πρέπει να έχουν όλα τα εφόδια προκειμένου να δρέψουν τα οφέλη και να κατανοήσουν τις συνέπειες της οικονομίας δεδομένων. Ο νέος κανονισμός παρέχει τα εργαλεία που είναι αναγκαία για να ανταποκριθεί η Ευρώπη στις προκλήσεις του 21ου αιώνα.

Η Επιτροπή θα προβεί στις ακόλουθες ενέργειες:

Για τα κράτη μέλη

·Η Επιτροπή θα εξακολουθήσει να συνεργάζεται με τα κράτη μέλη για την προώθηση της συνεκτικότητας και τον περιορισμό του κατακερματισμού στην εφαρμογή του κανονισμού, συνεκτιμώντας τα περιθώρια ειδικότερων διατάξεων που διαθέτουν τα κράτη μέλη σύμφωνα με τη νέα νομοθεσία.

·Μετά τον Μάιο του 2018 η Επιτροπή θα παρακολουθεί εκ του σύνεγγυς την εφαρμογή του κανονισμού στα κράτη μέλη και θα προβαίνει στις κατάλληλες ενέργειες, αν είναι αναγκαίο, μεταξύ άλλων με προσφυγή σε διαδικασίες επί παραβάσει.

Για τις αρχές προστασίας δεδομένων

·Έως τον Μάιο του 2018 η Επιτροπή θα υποστηρίζει το έργο των αρχών προστασίας δεδομένων στο πλαίσιο της ομάδας εργασίας του άρθρου 29 και κατά τη μετάβαση προς το μελλοντικό Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων· μετά τον Μάιο του 2018 η Επιτροπή θα συμβάλλει στις εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

·Κατά την περίοδο 2018-2019 η Επιτροπή θα συγχρηματοδοτήσει (με συνολικό προϋπολογισμό έως 2 εκατ. EUR) δράσεις ευαισθητοποίησης που θα αναληφθούν από τις αρχές προστασίας δεδομένων σε εθνικό επίπεδο (σχέδια που θα εφαρμοστούν από τα μέσα του 2018 και μετά).

Για τους ενδιαφερόμενους φορείς

·Η Επιτροπή θα εγκαινιάσει διαδικτυακό πρακτικό εργαλείο καθοδήγησης το οποίο θα περιλαμβάνει ερωτήσεις και απαντήσεις και θα απευθύνεται στους πολίτες, στις επιχειρήσεις και στις δημόσιες διοικήσεις. Η Επιτροπή σκοπεύει να προωθήσει την εν λόγω καθοδήγηση στις στοχευόμενες ομάδες κοινού μέσω ενημερωτικής εκστρατείας για τις επιχειρήσεις και τους πολίτες κατά την περίοδο πριν και μετά τον Μάιο του 2018.

·Από το 2018 και μετά η Επιτροπή θα εξακολουθήσει να συμπράττει δραστήρια με τους ενδιαφερόμενους φορείς, ιδίως μέσω της ομάδας πολλαπλών ενδιαφερόμενων φορέων σχετικά με την εφαρμογή του κανονισμού και το επίπεδο ευαισθητοποίησης σχετικά με τους νέους κανόνες.

Για όλους τους συντελεστές

·Κατά την περίοδο 2018-2019 η Επιτροπή θα αξιολογήσει την ανάγκη να κάνει χρήση της εξουσίας της για την έκδοση κατ’ εξουσιοδότηση ή εκτελεστικών πράξεων.

·Τον Μάιο του 2019 η Επιτροπή θα προβεί σε ανασκόπηση της εφαρμογής του κανονισμού, ενώ το 2020 θα καταρτίσει έκθεση για την εφαρμογή των νέων κανόνων.

(1) Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ΕΕ L 119 της 4.5.2016.

(2) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281 της 23.11.95.

(3) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016.

(4) Ο κανονισμός τέθηκε σε ισχύ την 24η Μαΐου 2016 και θα αρχίσει να εφαρμόζεται από την 25η Μαΐου 2018.

(5) Άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ και άρθρο 16 της ΣΛΕΕ.

(6) https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_el.pdf .

(7) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.7.2002, σ. 37-47. Σύμφωνα με το άρθρο 95 του κανονισμού, ο κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ. Αυτό σημαίνει, για παράδειγμα, ότι οι οντότητες που καλύπτονται από την οδηγία ePrivacy υπόκεινται στην υποχρέωση της εν λόγω οδηγίας να κοινοποιούν τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα, εφόσον η παραβίαση αφορά υπηρεσία η οποία εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής της οδηγίας ePrivacy. Ο κανονισμός δεν τους επιβάλλει καμία πρόσθετη υποχρέωση ως προς το σημείο αυτό.

(8) Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση, ΕΕ L 194 της 19.7.2016, σ. 1-30. Οι φορείς που περιλαμβάνονται στο πεδίο εφαρμογής της οδηγίας ΑΔΠ θα πρέπει να κοινοποιούν τα περιστατικά που έχουν σημαντικό ή ουσιαστικό αντίκτυπο στην παροχή ορισμένων υπηρεσιών τους. Η κοινοποίηση περιστατικών στο πλαίσιο της οδηγίας ΑΔΠ δεν περιορίζει την υποχρέωση γνωστοποίησης παραβιάσεων στο πλαίσιο του κανονισμού.

(9) Άρθρο 35 του κανονισμού.

(10) Ανακοίνωση της Επιτροπής «Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο», COM(2017) 7 final.

(11) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ, COM(2017) 8 final.

(12) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), COM(2017) 10 final.

(13) Μέχρι την έκδοση και τη θέση σε εφαρμογή του κανονισμού ePrivacy, εφαρμόζεται η οδηγία 2002/58/ΕΚ ως ειδικός νόμος (lex specialis) σε σχέση με τον κανονισμό.

(14) Για πλήρη κατάλογο με τις συνεδριάσεις, τις ημερήσιες διατάξεις, τη σύνοψη των συζητήσεων και την επισκόπηση της κατάστασης της νομοθεσίας στα διάφορα κράτη μέλη, βλέπε: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461.

(15) Για παράδειγμα, η Επιτροπή θα δώσει στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τη δυνατότητα να χρησιμοποιεί το σύστημα πληροφόρησης για την εσωτερική αγορά (IMI) για την επικοινωνία μεταξύ των μελών του.

(16) Έγγραφο προβληματισμού για την τιθάσευση της παγκοσμιοποίησης, COM(2017) 240.

(17) Σύμβαση του Συμβουλίου της Ευρώπης, της 28ης Ιανουαρίου 1981, για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα [σειρά ευρωπαϊκών συνθηκών του Συμβουλίου της Ευρώπης (ETS) αριθ. 108] και Πρόσθετο Πρωτόκολλο στη Σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα, όσον αφορά τις εποπτικές αρχές και τη διαμεθοριακή ροή δεδομένων, του 2001 (ETS αριθ. 181). Η σύμβαση είναι ανοικτή για τα μη μέλη του Συμβουλίου της Ευρώπης και έχει ήδη κυρωθεί από 51 χώρες (μεταξύ άλλων, την Ουρουγουάη, τον Μαυρίκιο, τη Σενεγάλη και την Τυνησία).

(18) Βλέπε π.χ. Data Protection Standards of the Ibero-American States (πρότυπα προστασίας δεδομένων των ιβηροαμερικανικών κρατών), http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf

(19) C(2017) 7.

(20) Στο ίδιο COM(2017) 7, σ. 10-11.

(21) http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) Στο ίδιο COM(2017) 7, σ. 10-11.

(23)

Δύο εργαστήρια με τον κλάδο τον Ιούλιο του 2016 και τον Απρίλιο του 2017, δύο συζητήσεις στρογγυλής τραπέζης για τις επιχειρήσεις τον Δεκέμβριο του 2016 και τον Μάιο του 2017, ένα εργαστήριο για τα δεδομένα υγείας τον Οκτώβριο του 2017, και ένα εργαστήριο με εκπροσώπους των ΜΜΕ τον Νοέμβριο του 2017.

(24) http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections

(26) Όλες οι κατευθυντήριες γραμμές που έχουν εκδοθεί δημοσιεύονται στη διεύθυνση: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Άρθρο 288 της ΣΛΕΕ.

(28) Άρθρο 54 παράγραφος 1 του κανονισμού.

(29) Το άρθρο 43 παράγραφος 1 του κανονισμού ορίζει ότι τα κράτη μέλη προσφέρουν δύο δυνατές μεθόδους διαπίστευσης για τους φορείς πιστοποίησης, δηλαδή από την εθνική εποπτική αρχή προστασίας των δεδομένων η οποία συγκροτείται σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων και/ή από τον εθνικό οργανισμό διαπίστευσης που συγκροτείται βάσει του κανονισμού (ΕΚ) αριθ. 765/2008 για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς. Η Ευρωπαϊκή Συνεργασία για τη Διαπίστευση («ΕΣΔ», που αναγνωρίζεται από τον κανονισμό 765/2008), στην οποία συμμετέχουν οι εθνικοί οργανισμοί διαπίστευσης, και οι εποπτικές αρχές του κανονισμού θα πρέπει να συνεργάζονται στενά προς τον σκοπό αυτό.

(30) Άρθρο 85 παράγραφος 1 του κανονισμού.

(31) Άρθρο 6 παράγραφος 2 του κανονισμού.

(32) Άρθρο 88 και άρθρο 9 παράγραφος 2 στοιχείο β) του κανονισμού. Στον Ευρωπαϊκό Πυλώνα Κοινωνικών Δικαιωμάτων αναφέρεται επίσης ότι «Οι εργαζόμενοι έχουν δικαίωμα σε προστασία των προσωπικών τους δεδομένων στο πλαίσιο της απασχόλησης». (2017/C 428/09, ΕΕ C 428 της 13.12.2017, σ. 10–15).

(33) Άρθρο 9 παράγραφος 2 στοιχεία η) και θ) του κανονισμού.

(34) Άρθρο 9 παράγραφος 2 στοιχείο ι) του κανονισμού.

(35) Άρθρο 87 του κανονισμού.

(36) Άρθρο 86 του κανονισμού.

(37) Άρθρο 90 του κανονισμού.

(38) Άρθρο 9 παράγραφος 4 του κανονισμού.

(39) Υπόθεση 94/77, Fratelli Zerbone Snc κατά Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 και 101.

(40) Αιτιολογική σκέψη 8 του κανονισμού.

(41) Aυστρία ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf )·
Γερμανία ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Για την επισκόπηση της κατάστασης προόδου της νομοθετικής διαδικασίας στα διάφορα κράτη μέλη, βλέπε: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461

(43) Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα είναι ενωσιακός οργανισμός με νομική προσωπικότητα, υπεύθυνος για τη διασφάλιση της συνεκτικής εφαρμογής του κανονισμού. Θα απαρτίζεται από τον προϊστάμενο μίας εποπτικής αρχής κάθε κράτους μέλους και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους.

(44) Αιτιολογική σκέψη 117· το στοιχείο αυτό αναφερόταν ήδη στην αιτιολογική σκέψη 62 της οδηγίας 95/46.

(45) Ανακοίνωση της Επιτροπής στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο για την παρακολούθηση του Προγράμματος Εργασιών για καλύτερη εφαρμογή της Οδηγίας για την Προστασία Δεδομένων, COM(2007) 87 τελικό, 7 Mαρτίου 2007.

(46) Άρθρο 52 του κανονισμού.

(47) Άρθρο 52 παράγραφος 4 του κανονισμού.

(48) Η καθοδήγηση θα συμβάλει στην καλύτερη κατανόηση των κανόνων της ΕΕ για την προστασία των δεδομένων, αλλά μόνο το κείμενο του κανονισμού έχει νομική ισχύ. Κατά συνέπεια, μόνον ο κανονισμός είναι ικανός να δημιουργεί δικαιώματα και υποχρεώσεις για τα φυσικά πρόσωπα.

(49) Επιχορηγήσεις παρέχονται στο πλαίσιο του προγράμματος «Θεμελιώδη δικαιώματα και ιθαγένεια» 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Κατ’ εξουσιοδότηση πράξη για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων (άρθρο 12 παράγραφος 8 του κανονισμού)· κατ’ εξουσιοδότηση πράξη με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων (άρθρο 43 παράγραφος 8 του κανονισμού)· εκτελεστική πράξη σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων (άρθρο 43 παράγραφος 9 του κανονισμού)· εκτελεστική πράξη για τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες (άρθρο 47 παράγραφος 3 του κανονισμού)· εκτελεστικές πράξεις για τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή και για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών (άρθρο 61 παράγραφος 9 και άρθρο 67 του κανονισμού).

(52) Για πληροφορίες σχετικά με την τρέχουσα κατάσταση, βλ. http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_el

(54) Βλέπε ανακοίνωση της Επιτροπής προς τους ενδιαφερομένους: αποχώρηση του Ηνωμένου Βασιλείου και κανόνες της ΕΕ στον τομέα της προστασίας των δεδομένων (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).