Επίσημη Εφημερίδα
της Ευρωπαϊκής Ένωσης
EL
Σειρά L
|
|
Επίσημη Εφημερίδα |
EL Σειρά L |
|
2025/628 |
1.4.2025 |
ΑΠΟΦΑΣΗ (ΕΕ) 2025/628 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 31ης Μαρτίου 2025
για τη θέσπιση εσωτερικών κανόνων σχετικά με την παροχή πληροφοριών στα υποκείμενα των δεδομένων και τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Επιτροπή για τους σκοπούς της επίβλεψης, της έρευνας, της επιβολής και της παρακολούθησης δυνάμει του κανονισμού (ΕΕ) 2022/2065
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), και ιδίως το άρθρο 25,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Η Επιτροπή διεξάγει έρευνες με σκοπό την επιβολή των κανόνων που ορίζονται στον κανονισμό (ΕΕ) 2022/2065 (2) όσον αφορά τους παρόχους πολύ μεγάλων επιγραμμικών πλατφορμών και πολύ μεγάλων επιγραμμικών μηχανών αναζήτησης. Για τον σκοπό αυτό, ασκεί εξουσίες επίβλεψης, έρευνας, επιβολής και παρακολούθησης που έχουν ανατεθεί στην Επιτροπή με τον κανονισμό (ΕΕ) 2022/2065. |
|
(2) |
Τα καθήκοντα της Επιτροπής δυνάμει του κανονισμού (ΕΕ) 2022/2065 εκτελούνται από τη Γενική Διεύθυνση Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογιών της Επιτροπής. |
|
(3) |
Στο πλαίσιο της άσκησης των εν λόγω καθηκόντων επίβλεψης, έρευνας, επιβολής και παρακολούθησης σύμφωνα με τον κανονισμό (ΕΕ) 2022/2065, η Επιτροπή επεξεργάζεται πληροφορίες. Οι πληροφορίες αυτές μπορεί να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων, όπως μεμονωμένων μελών του προσωπικού της επιχείρησης (για παράδειγμα, του προϊσταμένου της υπηρεσίας συμμόρφωσης, του ενιαίου σημείου επαφής), υπόπτων, θυμάτων, πληροφοριοδοτών δημοσίου συμφέροντος, πληροφοριοδοτών και μαρτύρων, καθώς και άλλων φυσικών προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε έγγραφα που λαμβάνονται στο πλαίσιο της άσκησης των καθηκόντων επίβλεψης, έρευνας, επιβολής και παρακολούθησης από την Επιτροπή σύμφωνα με τον κανονισμό (ΕΕ) 2022/2065. |
|
(4) |
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 3 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, η οποία διεξάγεται στο πλαίσιο δραστηριοτήτων έρευνας και επιβολής δυνάμει του κανονισμού (ΕΕ) 2022/2065, μπορεί να πραγματοποιείται ακόμα και πριν από την επίσημη κίνηση διαδικασίας από την Επιτροπή σύμφωνα με το άρθρο 66 του κανονισμού (ΕΕ) 2022/2065, να συνεχίζεται καθ’ όλη τη διάρκεια διεξαγωγής της έρευνας και, ενδεχομένως, ακόμα και μετά την επίσημη περάτωση της έρευνας (π.χ. για δραστηριότητες παρακολούθησης της συμμόρφωσης ή ελέγχου, εκτίμησης της ανάγκης κίνησης νέων δραστηριοτήτων έρευνας ή νομικών διαδικασιών). |
|
(5) |
Για την εκπλήρωση των καθηκόντων της δυνάμει του κανονισμού (ΕΕ) 2022/2065, η Επιτροπή επεξεργάζεται διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, στοιχεία για την εμπλοκή σε υποθέσεις, δεδομένα που σχετίζονται με την υπόθεση και κάθε άλλη πληροφορία που κρίνεται αναγκαία. Αν και δεν είναι ιδιαίτερα πιθανό, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία ενδέχεται επίσης να περιλαμβάνουν ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως αναφέρονται στο άρθρο 10 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, εάν ισχύει κάποιος από τους λόγους που απαριθμούνται στο άρθρο 10 παράγραφοι 2 ή 3 του εν λόγω κανονισμού, καθώς και δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, όπως αναφέρονται στο άρθρο 11 του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή, κατά την άσκηση των καθηκόντων της δυνάμει του κανονισμού (ΕΕ) 2022/2065, οφείλει να σέβεται τα δικαιώματα των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα οποία αναγνωρίζονται από το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, καθώς και τα δικαιώματα που προβλέπονται από τον κανονισμό (ΕΕ) 2018/1725. Ταυτόχρονα, η Επιτροπή, στο πλαίσιο των δραστηριοτήτων της δυνάμει του κανονισμού (ΕΕ) 2022/2065, υποχρεούται να συμμορφώνεται με τους αυστηρούς κανόνες εμπιστευτικότητας και επαγγελματικού απορρήτου που αναφέρονται στο άρθρο 84 του εν λόγω κανονισμού. |
|
(6) |
Σε ορισμένες περιπτώσεις, είναι αναγκαίο να συμβιβάζονται τα δικαιώματα των υποκειμένων των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2018/1725 με την αποτελεσματική εκτέλεση των καθηκόντων επίβλεψης, έρευνας, επιβολής και παρακολούθησης της Επιτροπής δυνάμει του κανονισμού (ΕΕ) 2022/2065, με παράλληλη διασφάλιση του πλήρους σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 παρέχει, υπό ορισμένες προϋποθέσεις, στην Επιτροπή τη δυνατότητα περιορισμού της εφαρμογής των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 22 του κανονισμού (ΕΕ) 2018/1725. |
|
(7) |
Σε ορισμένες περιπτώσεις, είναι αναγκαίο να συμβιβάζονται τα δικαιώματα των υποκειμένων των δεδομένων με την ανάγκη διασφάλισης των στόχων της επίβλεψης, της έρευνας, της επιβολής και της παρακολούθησης που διενεργούνται δυνάμει του κανονισμού (ΕΕ) 2022/2065, καθώς αυτό αποτελεί σημαντικό στόχο γενικού δημόσιου συμφέροντος της Ένωσης σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή μπορεί να εφαρμόζει περιορισμούς όταν, για παράδειγμα, η άσκηση των εν λόγω δικαιωμάτων θα έθιγε σοβαρά την ικανότητά της να διεξάγει αποτελεσματικά έρευνα, υπονομεύοντας έτσι τον σκοπό της. Σε τέτοιες περιπτώσεις, υπάρχει κίνδυνος καταστροφής αποδεικτικών στοιχείων ή παρέμβασης σε βασικούς παράγοντες (για παράδειγμα σε μάρτυρες) κατά τη διάρκεια μιας έρευνας. |
|
(8) |
Σε ορισμένες περιπτώσεις, είναι αναγκαίο να σταθμίζονται τα δικαιώματα των υποκειμένων των δεδομένων με τα θεμελιώδη δικαιώματα και τις ελευθερίες άλλων ενδιαφερόμενων προσώπων, όπως των θυμάτων ή των μαρτύρων. Σε τέτοιες περιπτώσεις, η Επιτροπή μπορεί να αποφασίσει να περιορίσει την πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα των εν λόγω προσώπων, προκειμένου να προστατεύσει τα δικαιώματα και τις ελευθερίες τους σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή μπορεί να αποφασίσει να το κάνει αυτό, ιδίως για να προστατεύσει τα εν λόγω πρόσωπα από πιθανά αντίποινα. |
|
(9) |
Είναι αναγκαίο να προστατεύονται οι εμπιστευτικές πληροφορίες που αφορούν πληροφοριοδότη, πληροφοριοδότη δημοσίου συμφέροντος ή οποιοδήποτε άλλο φυσικό πρόσωπο το οποίο έχει υποβάλει πληροφορίες στην Επιτροπή στο πλαίσιο της άσκησης των καθηκόντων επίβλεψης, έρευνας, επιβολής και παρακολούθησης σύμφωνα με τον κανονισμό (ΕΕ) 2022/2065. Η Επιτροπή θα πρέπει να περιορίζει την πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα των εν λόγω προσώπων, προκειμένου να προστατεύσει τα δικαιώματα και τις ελευθερίες όλων των ενδιαφερόμενων μερών σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή μπορεί να αποκαλύψει την ταυτότητα του αναφέροντος μόνο εφόσον το εν λόγω πρόσωπο το επιτρέψει. Εφόσον απαιτείται από τον νόμο ή από δικαστική αρχή, η Επιτροπή θα πρέπει να αποκαλύπτει την ταυτότητά του εν λόγω προσώπου. Στις περιπτώσεις που τα υποκείμενα των δεδομένων υποβάλλουν αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, θα πρέπει να τους παρέχεται πρόσβαση στα εν λόγω δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων εκείνων που παρέχονται από αναφέροντα. Για την προστασία του εμπιστευτικού χαρακτήρα των δεδομένων προσωπικού χαρακτήρα του αναφέροντος, η Επιτροπή δεν θα πρέπει να παρέχει στο υποκείμενο των δεδομένων το όνομά του, ούτε οποιαδήποτε άλλη πληροφορία που θα καθιστούσε δυνατή την άμεση ή έμμεση ταυτοποίησή του. |
|
(10) |
Επιπλέον, προκειμένου να διασφαλιστεί η αποτελεσματική εφαρμογή του κανονισμού (ΕΕ) 2022/2065, ιδίως όσον αφορά τη συνεργασία μεταξύ της Επιτροπής και των κρατών μελών, η Επιτροπή μπορεί να περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων και, συνεπώς, να διασφαλίζει έναν σημαντικό στόχο γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, όπως αναφέρεται στο άρθρο 25 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή θα μπορούσε να το πράξει αυτό σε περίπτωση που ο σκοπός ενός τέτοιου περιορισμού από αρχή κράτους μέλους θα διακυβευόταν εάν η Επιτροπή δεν εφάρμοζε ισοδύναμο περιορισμό για τα ίδια δεδομένα προσωπικού χαρακτήρα. Επιπροσθέτως, προκειμένου να διασφαλιστεί η αποτελεσματική εφαρμογή του κανονισμού (ΕΕ) 2022/2065, η Επιτροπή μπορεί να εφαρμόζει περιορισμούς για τη διασφάλιση της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2018/1725. Κατά την εφαρμογή των περιορισμών βάσει του άρθρου 25 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή θα πρέπει να διαβουλεύεται για τους σχετικούς πιθανούς λόγους επιβολής περιορισμών και την αναγκαιότητα και αναλογικότητα των εν λόγω περιορισμών με το κράτος μέλος που διασφαλίζει τον εν λόγω σημαντικό στόχο γενικού δημόσιου συμφέροντος, εκτός εάν αυτό θα έθετε σε κίνδυνο τις δραστηριότητες της Επιτροπής. Σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο ζ) του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή μπορεί να αποφασίσει να περιορίσει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων για να διασφαλίσει την παρακολούθηση, την επιθεώρηση ή την κανονιστική λειτουργία που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις προαναφερθείσες περιπτώσεις και όπως αναφέρεται στο άρθρο 25 παράγραφος 1 στοιχεία β) και γ) του κανονισμού (ΕΕ) 2018/1725. |
|
(11) |
Η Επιτροπή θα πρέπει να εφαρμόζει περιορισμούς μόνον όταν αυτοί σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες που ορίζονται στον Χάρτη, και είναι απολύτως αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία. Η Επιτροπή θα πρέπει να αιτιολογεί τους εν λόγω περιορισμούς. |
|
(12) |
Το άρθρο 25 παράγραφος 6 του κανονισμού (ΕΕ) 2018/1725 απαιτεί από τον υπεύθυνο επεξεργασίας να ενημερώνει τα υποκείμενα των δεδομένων για τους ουσιώδεις λόγους που αιτιολογούν την επιβολή του περιορισμού, καθώς και για το δικαίωμά τους να υποβάλουν καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. |
|
(13) |
Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή μπορεί να αναβάλλει, να παραλείπει ή να απορρίπτει την παροχή πληροφοριών στο υποκείμενο των δεδομένων για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό, εάν η εν λόγω ενημέρωση ακυρώνει την επίπτωση που μπορεί να έχει ο περιορισμός. Η Επιτροπή θα πρέπει να αξιολογεί κατά περίπτωση το κατά πόσον η ανακοίνωση του περιορισμού ενδέχεται να ακυρώσει την επίπτωσή του. |
|
(14) |
Η Επιτροπή θα πρέπει να αίρει τον περιορισμό μόλις οι συνθήκες που τον δικαιολογούν παύσουν να υφίστανται, και να αξιολογεί σε τακτική βάση τις εν λόγω συνθήκες. |
|
(15) |
Προκειμένου η Επιτροπή να συμμορφώνεται με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725, θα πρέπει να ενημερώνει, με διαφανή και συνεκτικό τρόπο, όλα τα υποκείμενα των δεδομένων σχετικά με τις δραστηριότητές της που περιλαμβάνουν επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και σχετικά με τα δικαιώματά τους υπό τη μορφή δήλωσης περί προστασίας των δεδομένων που δημοσιεύεται στον ιστότοπο της Επιτροπής. Η Επιτροπή θα πρέπει να ενημερώνει ατομικά, με τα κατάλληλα μέσα, τους πληροφοριοδότες δημοσίου συμφέροντος, τους πληροφοριοδότες, τους μάρτυρες και, κατά περίπτωση, μεμονωμένα μέλη του προσωπικού της επιχείρησης (για παράδειγμα, τον προϊστάμενο της υπηρεσίας συμμόρφωσης, το ενιαίο σημείο επαφής), σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. |
|
(16) |
Το άρθρο 16 παράγραφος 5 του κανονισμού (ΕΕ) 2018/1725 προβλέπει εξαιρέσεις από το δικαίωμα ενημέρωσης που έχουν τα υποκείμενα των δεδομένων. Εάν ισχύουν οι εν λόγω εξαιρέσεις, η Επιτροπή δεν χρειάζεται να εφαρμόσει περιορισμό του δικαιώματος ενημέρωσης δυνάμει της παρούσας απόφασης. Οι εξαιρέσεις βάσει του άρθρου 16 παράγραφος 5 στοιχείο β) του κανονισμού (ΕΕ) 2018/1725 εφαρμόζονται όταν η παροχή των πληροφοριών που αναφέρονται στο άρθρο 16 παράγραφοι 1 έως 4 του εν λόγω κανονισμού θα ήταν αδύνατη, θα συνεπαγόταν δυσανάλογη προσπάθεια ή θα καθιστούσε αδύνατη ή θα έβλαπτε σοβαρά την επίτευξη των στόχων της εν λόγω επεξεργασίας. Σε περιπτώσεις υποκειμένων των δεδομένων που δεν σχετίζονται με την έρευνα και των οποίων τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε έγγραφα που συλλέγονται στο πλαίσιο της επίβλεψης, της έρευνας, της επιβολής και της παρακολούθησης σύμφωνα με τον κανονισμό (ΕΕ) 2022/2065, εκτός από τα υποκείμενα των δεδομένων που ενημερώνονται ατομικά, η παροχή των εν λόγω πληροφοριών θα μπορούσε να αποδειχθεί αδύνατη ή να συνεπάγεται δυσανάλογη προσπάθεια. Αυτό μπορεί να συμβαίνει όταν η Επιτροπή λαμβάνει δεδομένα προσωπικού χαρακτήρα στο πλαίσιο καταγγελίας πληροφοριοδοτών δημοσίου συμφέροντος ή κατά τη διάρκεια των δράσεων παρακολούθησης, για να διασφαλιστεί η αποτελεσματική εφαρμογή του κανονισμού (ΕΕ) 2022/2065 και η συμμόρφωση με αυτόν. Οι εξαιρέσεις βάσει του άρθρου 16 παράγραφος 5 στοιχείο β) του κανονισμού (ΕΕ) 2018/1725 μπορούν επίσης να εφαρμόζονται όταν η παροχή των εν λόγω πληροφοριών σε υπόπτους και θύματα που σχετίζονται με μια υπόθεση ενδέχεται να καταστήσει αδύνατη ή να παρεμποδίσει σοβαρά την επίτευξη των στόχων της εν λόγω επεξεργασίας. |
|
(17) |
Κατ’ εφαρμογή των αρχών της διαφάνειας, της δίκαιης μεταχείρισης και της λογοδοσίας, η Επιτροπή θα πρέπει να χειρίζεται όλες τις εξαιρέσεις και όλους τους περιορισμούς με διαφανή τρόπο και να τηρεί αρχείο της εφαρμογής από μέρους της εξαιρέσεων και περιορισμών. |
|
(18) |
Για να διασφαλιστεί η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων και σύμφωνα με το άρθρο 44 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή θα πρέπει να εξασφαλίζει τη συμμετοχή του συντονιστή προστασίας δεδομένων της Γενικής Διεύθυνσης Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογιών και του υπευθύνου προστασίας δεδομένων της Επιτροπής καθ’ όλη τη διάρκεια της διαδικασίας εφαρμογής περιορισμών, και να τεκμηριώνει την εν λόγω διαβούλευση. Ειδικότερα, θα πρέπει να ζητείται η γνώμη του σχετικού συντονιστή προστασίας δεδομένων σε εύθετο χρόνο σχετικά με τυχόν περιορισμούς που ενδέχεται να εφαρμοστούν και να επαληθεύεται η συμμόρφωσή τους με την παρούσα απόφαση. |
|
(19) |
Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής θα πρέπει να διενεργεί ανεξάρτητο έλεγχο της εφαρμογής περιορισμών προκειμένου να διασφαλίζεται η συμμόρφωση με την παρούσα απόφαση. |
|
(20) |
Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 22 Οκτωβρίου 2024, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο
1. Η παρούσα απόφαση θεσπίζει τους κανόνες που πρέπει να τηρεί η Επιτροπή για να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725, όταν εκτελεί τα καθήκοντα επίβλεψης, έρευνας, επιβολής και παρακολούθησης δυνάμει του κανονισμού (ΕΕ) 2022/2065.
2. Η παρούσα απόφαση καθορίζει επίσης τις προϋποθέσεις υπό τις οποίες η Επιτροπή μπορεί να περιορίζει την εφαρμογή των άρθρων 4, 14 έως 20 και 35 του κανονισμού (ΕΕ) 2018/1725, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), γ), ζ) και η) του εν λόγω κανονισμού.
Άρθρο 2
Πεδίο εφαρμογής
1. Η παρούσα απόφαση εφαρμόζεται στην εκ μέρους της Επιτροπής επεξεργασία των δεδομένων προσωπικού χαρακτήρα των ακόλουθων κατηγοριών υποκειμένων των δεδομένων:
|
α) |
ύποπτοι· |
|
β) |
θύματα· |
|
γ) |
πληροφοριοδότες δημοσίου συμφέροντος· |
|
δ) |
πληροφοριοδότες· |
|
ε) |
μάρτυρες· |
|
στ) |
το προσωπικό μιας επιχείρησης· |
|
ζ) |
φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε έγγραφα ή άλλα μέσα και συλλέγονται στο πλαίσιο της επίβλεψης, της έρευνας, της επιβολής και της παρακολούθησης δυνάμει του κανονισμού (ΕΕ) 2022/2065. |
2. Η παρούσα απόφαση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα των ακόλουθων κατηγοριών δεδομένων προσωπικού χαρακτήρα:
|
α) |
δεδομένα ταυτοποίησης· |
|
β) |
στοιχεία επικοινωνίας· |
|
γ) |
δεδομένα σχετικά με την εμπλοκή σε υποθέσεις· |
|
δ) |
δεδομένα που σχετίζονται με μια υπόθεση· |
|
ε) |
κάθε άλλη πληροφορία που κρίνεται αναγκαία για την εκπλήρωση των απαιτήσεων του κανονισμού (ΕΕ) 2022/2065, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 παράγραφος 1 και στο άρθρο 11 του κανονισμού (ΕΕ) 2018/1725. |
Άρθρο 3
Περιορισμοί
1. Με την επιφύλαξη των άρθρων 3 έως 8 της παρούσας απόφασης, η Επιτροπή μπορεί να περιορίζει την εφαρμογή των άρθρων 14 έως 20 και 35 του κανονισμού (ΕΕ) 2018/1725, καθώς και την αρχή της διαφάνειας που καθορίζεται στο άρθρο 4 παράγραφος 1 στοιχείο α) του εν λόγω κανονισμού, στον βαθμό που οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20 του κανονισμού (ΕΕ) 2018/1725, όταν:
|
α) |
η άσκηση των εν λόγω δικαιωμάτων θα έθετε σε κίνδυνο την επίτευξη του σκοπού των δραστηριοτήτων επίβλεψης, έρευνας, επιβολής και παρακολούθησης της Επιτροπής δυνάμει του κανονισμού (ΕΕ) 2022/2065, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ) και ζ) του κανονισμού (ΕΕ) 2018/1725· |
|
β) |
η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα επηρέαζε δυσμενώς την προστασία των υποκειμένων των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725· |
|
γ) |
η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα έθετε σε κίνδυνο τη συνεργασία της Επιτροπής με τα κράτη μέλη με σκοπό τη διασφάλιση της αποτελεσματικής εφαρμογής του κανονισμού (ΕΕ) 2022/2065, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β) και ζ) του κανονισμού (ΕΕ) 2018/1725. |
2. Πριν από την εφαρμογή περιορισμών στις περιπτώσεις που αναφέρονται στην παράγραφο 1 στοιχείο γ), η Επιτροπή διαβουλεύεται με τα οικεία κράτη μέλη σχετικά με πιθανούς λόγους επιβολής περιορισμών και σχετικά με την αναγκαιότητα και την αναλογικότητα των εν λόγω περιορισμών, εκτός εάν αυτό θα έθετε σε κίνδυνο τις δραστηριότητες της Επιτροπής.
3. Οι παράγραφοι 1 και 2 του παρόντος άρθρου δεν θίγουν την εφαρμογή άλλων αποφάσεων της Επιτροπής για τη θέσπιση εσωτερικών κανόνων που διέπουν την παροχή πληροφοριών στα υποκείμενα των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων δυνάμει του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725.
4. Πριν από την εφαρμογή των περιορισμών που αναφέρονται στην παράγραφο 1, η Επιτροπή αξιολογεί και τεκμηριώνει κατά περίπτωση την αναγκαιότητα και την αναλογικότητά τους. Οι περιορισμοί αυτοί δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο για την επίτευξη του στόχου τους.
Άρθρο 4
Παροχή πληροφοριών στα υποκείμενα των δεδομένων
1. Η Επιτροπή δημοσιεύει στον ιστότοπό της δήλωση περί προστασίας των δεδομένων, με την οποία ενημερώνει όλα τα υποκείμενα των δεδομένων για τις δραστηριότητές της που περιλαμβάνουν επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν με σκοπό την εκτέλεση των καθηκόντων επίβλεψης, έρευνας, επιβολής και παρακολούθησης δυνάμει του κανονισμού (ΕΕ) 2022/2065. Η δήλωση περί προστασίας των δεδομένων παρέχει πληροφορίες σχετικά με τον πιθανό περιορισμό των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 3. Οι πληροφορίες καλύπτουν τα δικαιώματα επί των οποίων μπορεί να επιβληθούν περιορισμοί, τους λόγους για τους οποίους μπορεί να εφαρμοστούν περιορισμοί και την πιθανή διάρκειά τους.
2. Η Επιτροπή ενημερώνει ατομικά, με τα κατάλληλα μέσα, τους πληροφοριοδότες δημοσίου συμφέροντος, τους πληροφοριοδότες, τους μάρτυρες και, κατά περίπτωση, μεμονωμένα μέλη του προσωπικού της επιχείρησης, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.
3. Όταν η Επιτροπή περιορίζει, σύμφωνα με το άρθρο 3, εν όλω ή εν μέρει, την παροχή των πληροφοριών που αναφέρονται στην παράγραφο 1, καταγράφει και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 7 της παρούσας απόφασης. Επιπλέον, η Επιτροπή ενημερώνει τα υποκείμενα των δεδομένων για το δικαίωμά τους να υποβάλουν καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
Άρθρο 5
Δικαίωμα πρόσβασης των υποκειμένων των δεδομένων, δικαίωμα διόρθωσης, δικαίωμα διαγραφής και δικαίωμα περιορισμού της επεξεργασίας
1. Όταν η Επιτροπή περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων σε δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής ή το δικαίωμα περιορισμού της επεξεργασίας, όπως προβλέπονται αντίστοιχα στα άρθρα 17 έως 20 του κανονισμού (ΕΕ) 2018/1725, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων στην απάντησή της στο αίτημα πρόσβασης, διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας σχετικά με τα ακόλουθα:
|
α) |
τον εφαρμοζόμενο περιορισμό και τους ουσιώδεις λόγους αυτού του περιορισμού· |
|
β) |
τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. |
2. Η Επιτροπή μπορεί να αναβάλλει, να παραλείπει ή να αρνείται την παροχή πληροφοριών σχετικά με τους λόγους ενός περιορισμού και το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, για όσο χρόνο η εν λόγω παροχή θα ακύρωνε την επίπτωση του περιορισμού. Η Επιτροπή αξιολογεί κατά περίπτωση κατά πόσον αυτό δικαιολογείται. Η Επιτροπή παρέχει τις πληροφορίες στο υποκείμενο των δεδομένων μόλις η εν λόγω παροχή πληροφοριών δεν ακυρώνει πλέον την επίπτωση του περιορισμού.
Άρθρο 6
Ανακοίνωση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων
1. Όταν η Επιτροπή υποχρεούται να ανακοινώσει παραβίαση δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 35 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, μπορεί, σε εξαιρετικές περιπτώσεις, να περιορίσει εν όλω ή εν μέρει την εν λόγω ανακοίνωση. Η Επιτροπή καταγράφει και καταχωρίζει τους λόγους του περιορισμού, τη νομική βάση για την επιβολή του σύμφωνα με το άρθρο 3, καθώς και μια αξιολόγηση της αναγκαιότητας και της αναλογικότητάς του. Το αρχείο καταγραφής κοινοποιείται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά τη στιγμή της γνωστοποίησης της παραβίασης των δεδομένων προσωπικού χαρακτήρα.
2. Όταν οι λόγοι για την επιβολή του περιορισμού παύσουν να ισχύουν, η Επιτροπή ανακοινώνει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο ενδιαφερόμενο υποκείμενο των δεδομένων και το ενημερώνει για τους ουσιώδεις λόγους του περιορισμού και για το δικαίωμά του να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
3. Όταν η Επιτροπή γνωστοποιεί την παραβίαση δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 34 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, περιλαμβάνει το αρχείο καταγραφής που τηρεί σύμφωνα με το άρθρο 7 της παρούσας απόφασης.
Άρθρο 7
Καταγραφή και καταχώριση περιορισμών
1. Η Επιτροπή καταγράφει τους λόγους οποιουδήποτε περιορισμού που εφαρμόζεται σύμφωνα με την παρούσα απόφαση, τη νομική του βάση, μια εκτίμηση των κινδύνων που συνεπάγεται η επιβολή περιορισμού για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και μια εκτίμηση της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων που προβλέπονται στο άρθρο 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.
2. Στο αρχείο καταγραφής αναφέρεται ο τρόπος με τον οποίο η άσκηση του δικαιώματος από το σχετικό υποκείμενο των δεδομένων υπονομεύει έναν ή περισσότερους από τους εφαρμοστέους λόγους που παρατίθενται στο άρθρο 25 παράγραφος 1 στοιχεία β), γ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725.
3. Το αρχείο καταγραφής και, κατά περίπτωση, τα έγγραφα που περιέχουν τα υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
4. Η Επιτροπή εκπονεί περιοδικές εκθέσεις σχετικά με την εφαρμογή των περιορισμών του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725 δυνάμει της παρούσας απόφασης.
Άρθρο 8
Διάρκεια των περιορισμών
1. Οι περιορισμοί που αναφέρονται στα άρθρα 4, 5 και 6 εξακολουθούν να ισχύουν για όσο διάστημα εξακολουθούν να ισχύουν οι λόγοι που τους δικαιολογούν και αίρονται μόλις παύσουν να ισχύουν οι λόγοι αυτοί.
2. Όταν δεν συντρέχουν πλέον οι λόγοι ενός περιορισμού, η Επιτροπή αίρει τον περιορισμό.
3. Επιπλέον, κοινοποιεί τους λόγους εφαρμογής του περιορισμού στο υποκείμενο των δεδομένων και το ενημερώνει σχετικά με τη δυνατότητά του να υποβάλει ανά πάσα στιγμή καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
4. Η Επιτροπή επανεξετάζει την εφαρμογή των περιορισμών των άρθρων 4, 5 και 6 κάθε έξι μήνες και κατά το κλείσιμο του φακέλου. Η επανεξέταση περιλαμβάνει εκτίμηση της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων που απαριθμούνται στο άρθρο 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.
Άρθρο 9
Εγγυήσεις και διατήρηση
1. Η Επιτροπή εφαρμόζει εγγυήσεις για την πρόληψη της κατάχρησης και της παράνομης διαβίβασης δεδομένων προσωπικού χαρακτήρα ή της παράνομης πρόσβασης σε αυτά, ως προς τους περιορισμούς ή τις εξαιρέσεις που εφαρμόζονται ή θα μπορούσαν να εφαρμοστούν. Οι εγγυήσεις αυτές περιλαμβάνουν τεχνικά και οργανωτικά μέτρα, όπως:
|
α) |
σαφή καθορισμό των ρόλων, των αρμοδιοτήτων, των διαδικαστικών σταδίων και των δικαιωμάτων πρόσβασης· |
|
β) |
ένα ασφαλές ηλεκτρονικό περιβάλλον που αποτρέπει την παράνομη ή τυχαία πρόσβαση σε ηλεκτρονικά δεδομένα ή τη διαβίβαση των δεδομένων αυτών σε μη εξουσιοδοτημένα άτομα· |
|
γ) |
ασφαλή αποθήκευση και επεξεργασία έντυπων εγγράφων που περιορίζονται στα απολύτως αναγκαία για την επίτευξη του σκοπού της επεξεργασίας· |
|
δ) |
δέουσα παρακολούθηση των περιορισμών και περιοδική επανεξέταση της εφαρμογής τους. Η επανεξέταση διενεργείται τουλάχιστον κάθε έξι μήνες και κατά το κλείσιμο του φακέλου. |
2. Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται βάσει των εφαρμοστέων κανόνων διατήρησης της Επιτροπής, οι οποίοι ορίζονται στα αρχεία καταγραφής της επεξεργασίας που τηρούνται δυνάμει του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725. Μετά το πέρας της περιόδου διατήρησης, τα δεδομένα προσωπικού χαρακτήρα διαγράφονται, ανωνυμοποιούνται ή μεταφέρονται σε αρχεία σύμφωνα με το άρθρο 13 του κανονισμού (ΕΕ) 2018/1725.
Άρθρο 10
Συμμετοχή του συντονιστή προστασίας δεδομένων και του υπευθύνου προστασίας δεδομένων της Επιτροπής
1. Πριν από την εφαρμογή τυχόν περιορισμών ζητείται η γνώμη του συντονιστή προστασίας δεδομένων της Γενικής Διεύθυνσης Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογιών, και επαληθεύεται η συμμόρφωσή τους με την παρούσα απόφαση.
2. Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση κάθε φορά που περιορίζονται τα δικαιώματα υποκειμένου των δεδομένων σύμφωνα με την παρούσα απόφαση. Κατόπιν αιτήματος, παρέχεται στον υπεύθυνο προστασίας δεδομένων της Επιτροπής πρόσβαση στο αρχείο καταγραφής και σε οποιαδήποτε έγγραφα που περιλαμβάνουν τα υποκείμενα πραγματικά και νομικά στοιχεία.
3. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ζητήσει επανεξέταση της εφαρμογής ενός περιορισμού και ενημερώνεται γραπτώς για το αποτέλεσμα της εν λόγω επανεξέτασης.
4. Η Επιτροπή τεκμηριώνει τη συμμετοχή του υπευθύνου προστασίας δεδομένων της Επιτροπής και του συντονιστή προστασίας δεδομένων, συμπεριλαμβανομένων των πληροφοριών που τους κοινοποιούνται, σε κάθε περίπτωση περιορισμού των δικαιωμάτων και των υποχρεώσεων του άρθρου 3 παράγραφος 1.
Άρθρο 11
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 31 Μαρτίου 2025.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 295 της 21.11.2018, σ. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) Κανονισμός (ΕΕ) 2022/2065 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 19ης Οκτωβρίου 2022, σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών και την τροποποίηση της οδηγίας 2000/31/ΕΚ (ΕΕ L 277 της 27.10.2022, σ. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).
ELI: http://data.europa.eu/eli/dec/2025/628/oj
ISSN 1977-0669 (electronic edition)