ISSN 1977-0669

Επίσημη Εφημερίδα

της Ευρωπαϊκής Ένωσης

L 295

European flag  

Έκδοση στην ελληνική γλώσσα

Νομοθεσία

61ό έτος
21 Νοεμβρίου 2018


Περιεχόμενα

 

I   Νομοθετικές πράξεις

Σελίδα

 

 

ΚΑΝΟΝΙΣΜΟΙ

 

*

Κανονισμός (ΕΕ) 2018/1724 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 2ας Οκτωβρίου 2018, για τη δημιουργία ενιαίας ψηφιακής θύρας με σκοπό την παροχή πρόσβασης σε πληροφορίες, σε διαδικασίες και σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων και για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012 ( 1 )

1

 

*

Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ ( 1 )

39

 

*

Κανονισμός (EE) 2018/1726 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη λειτουργική διαχείριση συστημάτων ΤΠ μεγάλης κλίμακας στον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης (eu-LISA), και την τροποποίηση του κανονισμού (ΕΚ) αριθ. 1987/2006 και της απόφασης 2007/533/ΔΕΥ του Συμβουλίου και την κατάργηση του κανονισμού (ΕΕ) αριθ. 1077/2011

99

 

*

Κανονισμός (ΕΕ) 2018/1727του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με τον οργανισμό της Ευρωπαϊκής Ένωσης για τη συνεργασία στον τομέα της ποινικής δικαιοσύνης (Eurojust) και την αντικατάσταση και την κατάργηση της απόφασης 2002/187/ΔΕΥ του Συμβουλίου

138

 


 

(1)   Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ.

EL

Οι πράξεις των οποίων οι τίτλοι έχουν τυπωθεί με λευκά στοιχεία αποτελούν πράξεις τρεχούσης διαχειρίσεως που έχουν θεσπισθεί στο πλαίσιο της γεωργικής πολιτικής και είναι γενικά περιορισμένης χρονικής ισχύος.

Οι τίτλοι όλων των υπολοίπων πράξεων έχουν τυπωθεί με μαύρα στοιχεία και επισημαίνονται με αστερίσκο.


I Νομοθετικές πράξεις

ΚΑΝΟΝΙΣΜΟΙ

21.11.2018   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 295/1


ΚΑΝΟΝΙΣΜΌΣ (ΕΕ) 2018/1724 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ

της 2ας Οκτωβρίου 2018

για τη δημιουργία ενιαίας ψηφιακής θύρας με σκοπό την παροχή πρόσβασης σε πληροφορίες, σε διαδικασίες και σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων και για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 21 παράγραφος 2 και το άρθρο 114 παράγραφος 1,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),

Εκτιμώντας τα ακόλουθα:

(1)

Η εσωτερική αγορά είναι ένα από τα πλέον απτά επιτεύγματα της Ένωσης. Επιτρέποντας την ελεύθερη κυκλοφορία των προσώπων, των εμπορευμάτων, των υπηρεσιών και των κεφαλαίων, προσφέρει νέες ευκαιρίες στους πολίτες και στις επιχειρήσεις. Ο παρών κανονισμός συνιστά βασικό στοιχείο της στρατηγικής για την ενιαία αγορά που θεσπίστηκε από την ανακοίνωση της Επιτροπής της 28ης Οκτωβρίου 2015 με τίτλο «Αναβάθμιση της ενιαίας αγοράς: περισσότερες ευκαιρίες για τους πολίτες και τις επιχειρήσεις». Η εν λόγω στρατηγική έχει στόχο την αποδέσμευση όλων των δυνατοτήτων της εσωτερικής αγοράς, διευκολύνοντας τους πολίτες και τις επιχειρήσεις να μετακινούνται στο εσωτερικό της Ένωσης και να πραγματοποιούν συναλλαγές, να εγκαθίστανται και να επεκτείνουν την επιχειρηματική τους δραστηριότητα διασυνοριακά.

(2)

Η ανακοίνωση της Επιτροπής της 6ης Μαΐου 2015 με τίτλο «Στρατηγική για την ψηφιακή ενιαία αγορά της Ευρώπης» αναγνώρισε τον ρόλο του διαδικτύου και των ψηφιακών τεχνολογιών στην αλλαγή της ζωής μας και του τρόπου με τον οποίο οι πολίτες και οι επιχειρήσεις έχουν πρόσβαση στις πληροφορίες, αποκτούν γνώση, αγοράζουν αγαθά και υπηρεσίες, συμμετέχουν στην αγορά και εργάζονται, προσφέροντας τεράστιες ευκαιρίες για καινοτομία, ανάπτυξη και απασχόληση. Η εν λόγω ανακοίνωση, καθώς και διάφορα ψηφίσματα που έχουν εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο, αναγνώρισαν ότι οι ανάγκες των πολιτών και των επιχειρήσεων στη δική τους χώρα και σε διασυνοριακό επίπεδο θα μπορούσαν να ικανοποιηθούν καλύτερα με την επέκταση και την ενοποίηση των υφιστάμενων πυλών, διαδικτυακών τόπων, δικτύων, υπηρεσιών και συστημάτων σε Ευρωπαϊκό επίπεδο και με τη διασύνδεσή τους με διάφορες εθνικές λύσεις, δημιουργώντας έτσι μια ενιαία ψηφιακή θύρα που θα χρησιμεύσει ως ένα ευρωπαϊκό ενιαίο σημείο εισόδου («θύρα»). Η ανακοίνωση της Επιτροπής της 19ης Απριλίου 2016 με τίτλο «Σχέδιο δράσης της ΕΕ για την ηλεκτρονική διακυβέρνηση 2016-2020 — Επιτάχυνση του ψηφιακού μετασχηματισμού της διακυβέρνησης» ανέφερε τη δημιουργία της θύρας ως μία από τις δράσεις του για το 2017. Η έκθεση της Επιτροπής της 24ης Ιανουαρίου 2017 με τίτλο «Ενίσχυση των Δικαιωμάτων των Πολιτών σε μια Ένωση δημοκρατικής αλλαγής — Έκθεση 2017 για την ιθαγένεια της ΕΕ» θεώρησε ότι η θύρα αποτελεί προτεραιότητα για τα δικαιώματα των πολιτών της Ένωσης.

(3)

Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έχουν ζητήσει επανειλημμένως πιο ολοκληρωμένη και φιλική προς τον χρήστη δέσμη πληροφοριών και υποστήριξη, ώστε να διευκολύνεται η δραστηριοποίηση των πολιτών και των επιχειρήσεων στην εσωτερική αγορά και να ενισχύονται και να εξορθολογίζονται τα εργαλεία της εσωτερική αγοράς, προκειμένου να ανταποκρίνονται καλύτερα στις ανάγκες των πολιτών και των επιχειρήσεων στις διασυνοριακές τους δραστηριότητες.

(4)

Ο παρών κανονισμός ανταποκρίνεται στα εν λόγω αιτήματα παρέχοντας στους πολίτες και στις επιχειρήσεις εύκολη πρόσβαση στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που χρειάζονται για την άσκηση των δικαιωμάτων τους στην εσωτερική αγορά. Η θύρα θα μπορούσε να συμβάλει στη μεγαλύτερη διαφάνεια των κανόνων και διατάξεων που αφορούν τις διάφορες επιχειρήσεις και δραστηριότητες της ζωής, σε τομείς όπως τα ταξίδια, η συνταξιοδότηση, η εκπαίδευση, η απασχόληση, η υγειονομική περίθαλψη, τα δικαιώματα των καταναλωτών και τα οικογενειακά δικαιώματα. Επιπλέον, θα μπορούσε να συμβάλει στη βελτίωση της εμπιστοσύνης των καταναλωτών, στην αντιμετώπιση της έλλειψης γνώσης όσον αφορά τους κανόνες για την προστασία των καταναλωτών και την εσωτερική αγορά και στη μείωση του κόστους συμμόρφωσης για τις επιχειρήσεις. Ο παρών κανονισμός θεσπίζει μια φιλική προς τον χρήστη, διαδραστική θύρα, η οποία, με βάση τις ανάγκες των χρηστών, θα πρέπει να τους καθοδηγεί στις πλέον κατάλληλες υπηρεσίες. Στο πλαίσιο αυτό, η Επιτροπή και τα κράτη μέλη θα πρέπει να διαδραματίσουν σημαντικό ρόλο για την επίτευξη αυτών των στόχων.

(5)

Η θύρα θα πρέπει να διευκολύνει τις αλληλεπιδράσεις μεταξύ των πολιτών και των επιχειρήσεων, αφενός, και των αρμοδίων αρχών, αφετέρου, παρέχοντας πρόσβαση σε επιγραμμικές λύσεις, διευκολύνοντας τις καθημερινές δραστηριότητες των πολιτών και των επιχειρήσεων και ελαχιστοποιώντας τα εμπόδια που υφίστανται στην εσωτερική αγορά. Η ύπαρξη μιας ενιαίας ψηφιακής θύρας που παρέχει επιγραμμική πρόσβαση σε ακριβείς και επικαιροποιημένες πληροφορίες, σε διαδικασίες και σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων, θα μπορούσε να συμβάλει στην καλύτερη ενημέρωση των χρηστών για τις διάφορες υφιστάμενες επιγραμμικές υπηρεσίες και θα μπορούσε να τους εξοικονομήσει χρόνο και κόστος.

(6)

Ο παρών κανονισμός έχει τρεις στόχους, δηλαδή τη μείωση τυχόν πρόσθετης διοικητικής επιβάρυνσης για τους πολίτες και τις επιχειρήσεις που ασκούν ή επιθυμούν να ασκήσουν τα δικαιώματά τους που απορρέουν από την εσωτερική αγορά, συμπεριλαμβανομένης της ελεύθερης κυκλοφορίας των πολιτών, σε πλήρη συμμόρφωση με τους εθνικούς κανόνες και διαδικασίες, την εξάλειψη των διακρίσεων και τη διασφάλιση της λειτουργίας της εσωτερικής αγοράς ως προς την παροχή πληροφοριών, διαδικασιών και υπηρεσιών υποστήριξης και επίλυσης προβλημάτων. Δεδομένου ότι αφορά την ελεύθερη κυκλοφορία των πολιτών, στοιχείο που δεν μπορεί να θεωρηθεί απλώς παρεμπίπτον, ο παρών κανονισμός θα πρέπει να βασίζεται στο άρθρο 21 παράγραφος 2 και στο άρθρο 114 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ).

(7)

Για να μπορούν οι πολίτες και οι επιχειρήσεις της Ένωσης να ασκούν το δικαίωμά τους να κυκλοφορούν ελεύθερα στην εσωτερική αγορά, η Ένωση θα πρέπει να θεσπίσει ειδικά, μη γενεσιουργά διακρίσεων μέτρα που να επιτρέπουν στους πολίτες και στις επιχειρήσεις να έχουν ευχερή πρόσβαση σε επαρκώς σφαιρικές και αξιόπιστες πληροφορίες σχετικά με τα δικαιώματά τους δυνάμει του ενωσιακού δικαίου και σε πληροφορίες σχετικά με τους εφαρμοστέους εθνικούς κανόνες και διαδικασίες με τους οποίους οφείλουν να συμμορφώνονται όταν μεταβαίνουν, διαμένουν ή σπουδάζουν ή όταν εγκαθίστανται ή ασκούν επιχειρηματική δραστηριότητα σε άλλο κράτος μέλος από το δικό τους. Οι πληροφορίες θα πρέπει να θεωρούνται επαρκώς περιεκτικές εάν συμπεριλαμβάνουν όλες τις πληροφορίες που είναι απαραίτητες για τους χρήστες, προκειμένου αυτοί να κατανοήσουν ποια είναι τα δικαιώματα και οι υποχρεώσεις τους, και εάν προσδιορίζουν τους κανόνες που ισχύουν σε αυτούς σε σχέση με τις δραστηριότητες που επιθυμούν να αναλάβουν ως διασυνοριακοί χρήστες. Οι πληροφορίες θα πρέπει να διατυπώνονται με σαφή, περιεκτικό και κατανοητό τρόπο και να είναι λειτουργικές και καλά προσαρμοσμένες στη στοχευμένη ομάδα χρηστών. Οι πληροφορίες σχετικά με τις διαδικασίες θα πρέπει να καλύπτουν όλες τις πιθανές διαδικαστικές ενέργειες που είναι σημαντικές για τον χρήστη. Είναι σημαντικό για τους πολίτες και τις επιχειρήσεις που αντιμετωπίζουν πολύπλοκα ρυθμιστικά περιβάλλοντα, όπως οι δραστηριοποιούμενοι στο ηλεκτρονικό εμπόριο και τη συνεργατική οικονομία, να μπορούν εύκολα να βρουν τους ισχύοντες κανόνες και τον τρόπο με τον οποίο εφαρμόζονται στις δραστηριότητές τους. Ως εύκολη και φιλική προς τον χρήστη πρόσβαση σε πληροφορίες νοείται η παροχή δυνατότητας στους χρήστες να βρίσκουν εύκολα τις πληροφορίες, να εντοπίζουν εύκολα ποιες πληροφορίες είναι συναφείς για τη συγκεκριμένη περίπτωση και να κατανοούν εύκολα τις σχετικές πληροφορίες. Οι πληροφορίες που πρέπει να παρέχονται σε εθνικό επίπεδο δεν θα πρέπει να αφορούν μόνο τους εθνικούς κανόνες κατ’ εφαρμογή του ενωσιακού δικαίου, αλλά και όλους τους άλλους εθνικούς κανόνες που εφαρμόζονται τόσο σε μη διασυνοριακούς όσο και σε διασυνοριακούς χρήστες.

(8)

Οι κανόνες για την παροχή πληροφοριών στον παρόντα κανονισμό δεν θα πρέπει να εφαρμόζονται στα εθνικά συστήματα απονομής δικαιοσύνης, δεδομένου ότι οι πληροφορίες στον τομέα αυτόν που αφορούν διασυνοριακούς χρήστες ήδη περιλαμβάνονται στην πύλη της ευρωπαϊκής ηλεκτρονικής δικαιοσύνης (e-Justice portal). Σε ορισμένες περιπτώσεις που καλύπτει ο παρών κανονισμός, τα δικαστήρια θα πρέπει να θεωρούνται αρμόδιες αρχές, για παράδειγμα σε περιπτώσεις όπου δικαστήρια διαχειρίζονται μητρώα επιχειρήσεων. Επιπλέον, η αρχή της απαγόρευσης των διακρίσεων θα πρέπει να ισχύει επίσης στις επιγραμμικές διαδικασίες που παρέχουν πρόσβαση σε δικαστικές διαδικασίες.

(9)

Είναι σαφές ότι οι πολίτες και οι επιχειρήσεις από άλλα κράτη μέλη μπορεί να βρίσκονται σε μειονεκτική θέση, επειδή δεν είναι εξοικειωμένοι με τους εθνικούς κανόνες και τα εθνικά διοικητικά συστήματα, επειδή οι χρησιμοποιούμενες γλώσσες διαφέρουν και, τέλος, επειδή δεν υπάρχει γεωγραφική εγγύτητα με τις αρμόδιες αρχές σε κράτος μέλος άλλο από το οικείο. Ο πιο αποτελεσματικός τρόπος για να μειωθούν τα συνεπαγόμενα εμπόδια στην εσωτερική αγορά είναι, αφενός, να δίνεται η δυνατότητα στους διασυνοριακούς και μη διασυνοριακούς χρήστες να έχουν επιγραμμική πρόσβαση σε πληροφορίες, σε γλώσσα που να μπορούν να κατανοήσουν, ώστε να είναι σε θέση να διεκπεραιώνουν τις διαδικασίες για τη συμμόρφωσή τους με τους εθνικούς κανόνες εξολοκλήρου επιγραμμικά και, αφετέρου, να τους παρέχεται υποστήριξη όταν οι κανόνες και οι διαδικασίες δεν είναι αρκετά σαφείς ή όταν αντιμετωπίζουν εμπόδια στην άσκηση των δικαιωμάτων τους.

(10)

Στόχος ορισμένων ενωσιακών πράξεων ήταν η εξεύρεση λύσεων με τη δημιουργία τομεακών υπηρεσιών μίας στάσης, συμπεριλαμβανομένων των ενιαίων κέντρων εξυπηρέτησης που θεσπίστηκαν με την οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), που παρέχουν επιγραμμικές πληροφορίες, υπηρεσίες υποστήριξης και πρόσβαση σε διαδικασίες σχετικές με την παροχή υπηρεσιών· των σημείων επαφής για τα προϊόντα που θεσπίστηκαν με τον κανονισμό (ΕΚ) αριθ. 764/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), και των σημείων επαφής για τα δομικά προϊόντα, που θεσπίστηκαν με τον κανονισμό (ΕΕ) αριθ. 305/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5), που παρέχουν πρόσβαση σε ειδικούς ανά προϊόν τεχνικούς κανόνες, και των εθνικών κέντρων υποστήριξης για τα επαγγελματικά προσόντα, που θεσπίστηκαν με την οδηγία 2005/36/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6), που υποστηρίζουν τους επαγγελματίες που μετακινούνται διασυνοριακά. Επιπλέον, έχουν δημιουργηθεί δίκτυα, όπως τα Ευρωπαϊκά Κέντρα Καταναλωτών, προκειμένου να προαχθεί η κατανόηση των δικαιωμάτων των ενωσιακών καταναλωτών, καθώς και να υποστηριχθεί η επίλυση των καταγγελιών σχετικά με αγορές που πραγματοποιούνται σε άλλα κράτη μέλη εντός του δικτύου, όταν οι καταναλωτές ταξιδεύουν ή πραγματοποιούν αγορές επιγραμμικά. Ακόμη, στόχος του SOLVIT που αναφέρεται στη σύσταση 2013/461/ΕΕ της Επιτροπής (7) είναι να προσφέρει άμεσες, αποτελεσματικές και άτυπες λύσεις για τα άτομα και τις επιχειρήσεις, όταν τα δικαιώματά τους σχετικά με την εσωτερική αγορά δεν αναγνωρίζονται από τις δημόσιες αρχές. Τέλος, πολλές πύλες πληροφοριών, όπως «Η Ευρώπη σου», όσον αφορά την εσωτερική αγορά, και η πύλη της ευρωπαϊκής ηλεκτρονικής δικαιοσύνης, όσον αφορά τον τομέα της δικαιοσύνης, δημιουργήθηκαν για να ενημερώνουν τους χρήστες σχετικά με τους ενωσιακούς και τους εθνικούς κανόνες.

(11)

Ως αποτέλεσμα του τομεακού χαρακτήρα των εν λόγω ενωσιακών πράξεων, η τρέχουσα διαθεσιμότητα επιγραμμικής πληροφόρησης και υπηρεσιών υποστήριξης και επίλυσης προβλημάτων, καθώς και επιγραμμικών διαδικασιών για τους πολίτες και τις επιχειρήσεις παραμένει ιδιαίτερα κατακερματισμένη. Διαπιστώνονται αποκλίσεις όσον αφορά τη διαθεσιμότητα επιγραμμικών πληροφοριών και διαδικασιών, έλλειψη ποιότητας όσον αφορά τις υπηρεσίες και έλλειψη ενημέρωσης όσον αφορά τις εν λόγω πληροφορίες και τις εν λόγω υπηρεσίες υποστήριξης και επίλυσης προβλημάτων. Οι διασυνοριακοί χρήστες αντιμετωπίζουν επίσης προβλήματα όσον αφορά την ευρεσιμότητα και την προσβασιμότητα των εν λόγω υπηρεσιών.

(12)

Ο παρών κανονισμός θα πρέπει να θεσπίσει ενιαία ηλεκτρονική θύρα ως το ενιαίο σημείο εισόδου, μέσω του οποίου οι πολίτες και οι επιχειρήσεις είναι σε θέση να έχουν πρόσβαση σε πληροφορίες σχετικά με τους κανόνες και τις απαιτήσεις προς τις οποίες οφείλουν να συμμορφώνονται, δυνάμει του ενωσιακού ή εθνικού δικαίου. Η θύρα θα πρέπει να απλουστεύσει την πρόσβαση των πολιτών και των επιχειρήσεων στις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που έχουν θεσπιστεί σε ενωσιακό ή εθνικό επίπεδο και να κάνει αποτελεσματικότερη την εν λόγω πρόσβαση. Η θύρα θα πρέπει επίσης να διευκολύνει την πρόσβαση στις επιγραμμικές διαδικασίες και τη διεκπεραίωσή τους. Ο παρών κανονισμός δεν θα πρέπει να επηρεάζει κατ’ ουδένα τρόπο τα ισχύοντα δικαιώματα και υποχρεώσεις με βάση το ενωσιακό ή το εθνικό δίκαιο στους εν λόγω τομείς πολιτικής. Σε σχέση με τις διαδικασίες που παρατίθενται στο παράρτημα II του παρόντος κανονισμού και τις διαδικασίες που προβλέπονται στις οδηγίες 2005/36/ΕΚ και 2006/123/ΕΚ, και στις οδηγίες 2014/24/ΕΕ (8) και 2014/25/ΕΕ (9) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ο παρών κανονισμός θα πρέπει να υποστηρίζει τη χρήση της αρχής «μόνον άπαξ» και θα πρέπει να σέβεται πλήρως το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, για τον σκοπό της ανταλλαγής δικαιολογητικών μεταξύ των αρμόδιων αρχών στα διάφορα κράτη μέλη.

(13)

Η θύρα και το περιεχόμενό της θα πρέπει να είναι χρηστοκεντρικά και εύχρηστα. Η θύρα θα πρέπει να στοχεύει στην αποφυγή επικαλύψεων και θα πρέπει να παρέχει συνδέσμους σε υπάρχουσες υπηρεσίες. Θα πρέπει να δίνει τη δυνατότητα στους πολίτες και στις επιχειρήσεις να επικοινωνούν με τις δημόσιες αρχές σε εθνικό και ενωσιακό επίπεδο, παρέχοντάς τους τη δυνατότητα να παρέχουν ανατροφοδότηση τόσο σχετικά με τις υπηρεσίες που προσφέρονται μέσω της θύρας όσο και σχετικά με τη λειτουργία της εσωτερικής αγοράς όπως τη βιώνουν. Το εργαλείο ανατροφοδότησης θα πρέπει να δίνει στους χρήστες τη δυνατότητα να επισημαίνουν, κατά τρόπο που να επιτρέπει στον χρήστη να παραμείνει ανώνυμος, τα προβλήματα, τις ελλείψεις και τις ανάγκες τους, ώστε να ενθαρρύνεται η συνεχής βελτίωση της ποιότητας των υπηρεσιών.

(14)

Η επιτυχία της θύρας θα εξαρτηθεί από την κοινή προσπάθεια της Επιτροπής και των κρατών μελών. Η θύρα θα πρέπει να περιλαμβάνει μια κοινή διεπαφή χρήστη, η οποία θα αποτελεί αντικείμενο διαχείρισης από την Επιτροπή και θα είναι ενσωματωμένη στην υφιστάμενη πύλη «Η Ευρώπη σου». Η κοινή διεπαφή χρήστη θα πρέπει να παρέχει συνδέσμους προς πληροφορίες, διαδικασίες και υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που διατίθενται σε πύλες τις οποίες διαχειρίζονται οι αρμόδιες αρχές των κρατών μελών και η Επιτροπή. Για να διευκολυνθεί η χρήση της θύρας, η κοινή διεπαφή χρήστη θα πρέπει να είναι διαθέσιμη σε όλες τις επίσημες γλώσσες των θεσμικών οργάνων της Ένωσης («επίσημες γλώσσες της Ένωσης»). Η υφιστάμενη πύλη «Η Ευρώπη σου» και η κύρια ιστοσελίδα πρόσβασης σε αυτή, προσαρμοσμένη στις απαιτήσεις της θύρας, θα πρέπει να διατηρούν αυτήν την πολυγλωσσική παρουσίαση των παρεχόμενων πληροφοριών. Η λειτουργία της θύρας θα πρέπει να υποστηρίζεται από τεχνικά εργαλεία που να έχουν αναπτυχθεί από την Επιτροπή σε στενή συνεργασία με τα κράτη μέλη.

(15)

Στον χάρτη για τα ηλεκτρονικά ενιαία κέντρα εξυπηρέτησης στο πλαίσιο της οδηγίας 2006/123/ΕΚ, ο οποίος εγκρίθηκε από το Συμβούλιο το 2013, τα κράτη μέλη ανέλαβαν οικειοθελώς τη δέσμευση να ακολουθήσουν χρηστοκεντρική προσέγγιση όσον αφορά την παροχή πληροφοριών μέσω των ενιαίων κέντρων εξυπηρέτησης, ώστε να καλύπτουν τους τομείς που έχουν ιδιαίτερη σημασία για τις επιχειρήσεις, όπως τον ΦΠΑ, τους φόρους εισοδήματος, τις εισφορές κοινωνικής ασφάλισης και τις διατάξεις του εργατικού δικαίου. Με βάση τον χάρτη και δεδομένης της εμπειρίας από την πύλη «Η Ευρώπη σου», οι πληροφορίες θα πρέπει επίσης να περιλαμβάνουν περιγραφή των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων. Οι πολίτες και οι επιχειρήσεις θα πρέπει να έχουν τη δυνατότητα να χρησιμοποιούν αυτές τις υπηρεσίες όταν αντιμετωπίζουν προβλήματα όσον αφορά την κατανόηση των πληροφοριών, την εφαρμογή των πληροφοριών στην κατάστασή τους ή την ολοκλήρωση των διαδικασιών.

(16)

Ο παρών κανονισμός θα πρέπει να παραθέτει τους τομείς πληροφοριών που είναι σημαντικοί για τους πολίτες και τις επιχειρήσεις κατά την άσκηση των δικαιωμάτων τους και την τήρηση των υποχρεώσεών τους στην εσωτερική αγορά. Για τους τομείς αυτούς, θα πρέπει να παρέχονται επαρκώς σφαιρικές πληροφορίες σε εθνικό επίπεδο, περιλαμβανομένων του περιφερειακού και τοπικού επιπέδου, και σε ενωσιακό επίπεδο, οι οποίες να εξηγούν τους εφαρμοστέους κανόνες και υποχρεώσεις και τις διαδικασίες που πρέπει να διεκπεραιώνουν οι πολίτες και οι επιχειρήσεις προκειμένου να συμμορφώνονται με τους εν λόγω κανόνες και υποχρεώσεις. Προκειμένου να εξασφαλιστεί η ποιότητα των παρεχόμενων υπηρεσιών, οι πληροφορίες που παρέχονται μέσω της θύρας θα πρέπει να είναι σαφείς, ακριβείς και επικαιροποιημένες, η χρήση περίπλοκης ορολογίας θα πρέπει να ελαχιστοποιηθεί και η χρήση ακρωνυμίων θα πρέπει να περιορίζεται σε όσα αντιστοιχούν σε απλοποιημένους και εύκολα κατανοητούς όρους που δεν απαιτούν προϋπάρχουσα γνώση του θέματος ή του τομέα δικαίου. Οι εν λόγω πληροφορίες θα πρέπει να παρέχονται κατά τρόπον ώστε οι χρήστες να μπορούν να κατανοούν εύκολα τους βασικούς κανόνες και απαιτήσεις που ισχύουν στην περίπτωσή τους στους τομείς αυτούς. Επίσης θα πρέπει να ενημερώνονται οι χρήστες σχετικά με την απουσία, σε ορισμένα κράτη μέλη, εθνικών κανόνων στους τομείς πληροφοριών που παρατίθενται στο παράρτημα I, ιδίως όταν οι εν λόγω τομείς υπόκεινται σε εθνικούς κανόνες σε άλλα κράτη μέλη. Οι πληροφορίες αυτές σχετικά με την απουσία εθνικών κανόνων θα μπορούσαν να συμπεριληφθούν στην πύλη «Η Ευρώπη σου».

(17)

Όποτε είναι δυνατόν, πληροφορίες που έχει ήδη συλλέξει η Επιτροπή από τα κράτη μέλη βάσει του ισχύοντος ενωσιακού δικαίου ή εθελοντικών ρυθμίσεων — όπως πληροφορίες που έχει συλλεγεί για την πύλη EURES, που θεσπίστηκε με τον κανονισμό (ΕΕ) 2016/589 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), την πύλη της ευρωπαϊκής ηλεκτρονικής δικαιοσύνης, που θεσπίστηκε με την απόφαση 2001/470/ΕΚ του Συμβουλίου (11), ή τη βάση δεδομένων για τα νομοθετικώς κατοχυρωμένα επαγγέλματα, που θεσπίστηκε με την οδηγία 2005/36/ΕΚ — θα πρέπει να χρησιμοποιούνται για να καλύπτεται τμήμα των πληροφοριών που πρέπει να καθίστανται διαθέσιμες σε πολίτες και επιχειρήσεις σε ενωσιακό και εθνικό επίπεδο σύμφωνα με τον παρόντα κανονισμό. Τα κράτη μέλη δεν θα πρέπει να υποχρεούνται να παρέχουν στους εθνικούς δικτυακούς τους τόπους πληροφορίες που είναι ήδη διαθέσιμες στις σχετικές βάσεις δεδομένων που διαχειρίζεται η Επιτροπή. Σε περίπτωση που τα κράτη μέλη έχουν ήδη την υποχρέωση παροχής επιγραμμικών πληροφοριών σύμφωνα με άλλες πράξεις της Ένωσης, όπως η οδηγία 2014/67/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12), θα πρέπει να αρκεί η παροχή, από τα κράτη μέλη, συνδέσμων προς τις υφιστάμενες επιγραμμικές πληροφορίες. Εφόσον ορισμένοι τομείς πολιτικής έχουν ήδη εναρμονισθεί πλήρως μέσω του ενωσιακού δικαίου, λόγου χάριν τα δικαιώματα του καταναλωτή, οι πληροφορίες που παρέχονται σε ενωσιακό επίπεδο θα πρέπει κατά κανόνα να αρκούν για να μπορούν οι χρήστες να κατανοήσουν τα σχετικά δικαιώματα ή υποχρεώσεις τους. Σε τέτοιες περιπτώσεις, τα κράτη μέλη θα πρέπει να υποχρεούνται μόνον να παρέχουν πρόσθετες πληροφορίες σχετικά με τις εθνικές διοικητικές τους διαδικασίες και υπηρεσίες υποστήριξης ή οποιουσδήποτε άλλους εθνικούς διοικητικούς κανόνες, εάν είναι σημαντικοί για τους χρήστες. Οι πληροφορίες σχετικά με τα δικαιώματα των καταναλωτών, επί παραδείγματι, δεν θα πρέπει να επηρεάζουν το δίκαιο περί συμβάσεων, αλλά θα πρέπει μάλλον να ενημερώνουν τους χρήστες σχετικά με τα δικαιώματά τους δυνάμει του ενωσιακού και του εθνικού δικαίου στο πλαίσιο των εμπορικών συναλλαγών.

(18)

Ο παρών κανονισμός θα πρέπει να ενισχύει τη διάσταση της εσωτερικής αγοράς στις επιγραμμικές διαδικασίες και να συμβάλλει έτσι στην ψηφιοποίηση της εσωτερικής αγοράς, διαφυλάσσοντας τη γενική αρχή της απαγόρευσης των διακρίσεων μεταξύ άλλων σε σχέση με την πρόσβαση των πολιτών ή των επιχειρήσεων σε επιγραμμικές διαδικασίες που έχουν ήδη καθιερωθεί σε εθνικό επίπεδο βάσει του ενωσιακού ή του εθνικού δικαίου και σε όσες θα πρέπει να καταστούν διαθέσιμες πλήρως ηλεκτρονικά σύμφωνα με τον παρόντα κανονισμό. Όταν χρήστης, σε κατάσταση που περιορίζεται αποκλειστικά σε ένα μόνο κράτος μέλος, μπορεί να έχει πρόσβαση και να διεκπεραιώνει μια διαδικασία επιγραμμικά στο εν λόγω κράτος μέλος σε τομέα που καλύπτεται από τον παρόντα κανονισμό, τότε ο διασυνοριακός χρήστης θα πρέπει επίσης να μπορεί να έχει πρόσβαση και να διεκπεραιώνει την εν λόγω διαδικασία επιγραμμικά, είτε χρησιμοποιώντας την ίδια τεχνική λύση είτε εναλλακτική, τεχνικά ανεξάρτητη λύση, που οδηγεί στο ίδιο αποτέλεσμα, χωρίς εμπόδια που δημιουργούν διακρίσεις. Τα εν λόγω εμπόδια ενδέχεται να προέρχονται από εθνικά σχεδιασμένες λύσεις, όπως η χρήση πεδίων που απαιτούν εθνικό αριθμό τηλεφώνου, εθνικά προθέματα για τους τηλεφωνικούς αριθμούς ή εθνικό ταχυδρομικό κώδικα· η καταβολή των τελών που μπορεί να πραγματοποιηθεί μόνο μέσω συστημάτων που δεν καθιστούν εφικτές τις διασυνοριακές πληρωμές· η έλλειψη λεπτομερών επεξηγήσεων σε μια γλώσσα κατανοητή από τους διασυνοριακούς χρήστες· η απουσία δυνατότητας υποβολής δικαιολογητικών ηλεκτρονικά από αρχές που βρίσκονται σε άλλο κράτος μέλος· και, τέλος, η μη αποδοχή ηλεκτρονικών μέσων ταυτοποίησης που έχουν εκδοθεί από άλλα κράτη μέλη. Τα κράτη μέλη θα πρέπει να παρέχουν λύσεις για τα εν λόγω εμπόδια.

(19)

Όταν οι χρήστες διεκπεραιώνουν επιγραμμικές διαδικασίες διασυνοριακά, θα πρέπει να μπορούν να λαμβάνουν όλες τις σχετικές εξηγήσεις σε επίσημη γλώσσα της Ένωσης που είναι ευρέως κατανοητή από τον μεγαλύτερο αριθμό διασυνοριακών χρηστών. Αυτό δεν σημαίνει ότι απαιτείται από τα κράτη μέλη να μεταφράζουν τα διοικητικά έντυπά τους που σχετίζονται με τη διαδικασία ή το αποτέλεσμα της εν λόγω διαδικασίας στην εν λόγω γλώσσα. Ωστόσο, τα κράτη μέλη παροτρύνονται να χρησιμοποιούν τεχνικές λύσεις που θα επιτρέπουν στους χρήστες να διεκπεραιώνουν τις διαδικασίες, στις περισσότερες δυνατόν περιπτώσεις, στην εν λόγω γλώσσα, με παράλληλο σεβασμό των κανόνων των κρατών μελών αναφορικά με τη χρήση των γλωσσών.

(20)

Ο καθορισμός των εθνικών επιγραμμικών διαδικασιών που είναι σημαντικές καθώς δίνουν τη δυνατότητα στους διασυνοριακούς χρήστες να ασκούν τα δικαιώματά τους στην εσωτερική αγορά εξαρτάται από το εάν διαμένουν ή είναι εγκατεστημένοι στο εν λόγω κράτος μέλος ή θέλουν να έχουν πρόσβαση σε διαδικασίες του εν λόγω κράτους μέλους ενώ διαμένουν ή είναι εγκατεστημένοι σε άλλο κράτος μέλος. Ο παρών κανονισμός δεν θα πρέπει να αποτρέπει τα κράτη μέλη από την απαίτηση οι διασυνοριακοί χρήστες που διαμένουν ή είναι εγκατεστημένοι στην επικράτειά τους να αποκτούν εθνικό αριθμό ταυτότητας προκειμένου να έχουν πρόσβαση στις επιγραμμικές εθνικές διαδικασίες, υπό την προϋπόθεση ότι αυτό δεν συνεπάγεται αδικαιολόγητη επιπρόσθετη επιβάρυνση ή δαπάνες για τους χρήστες αυτούς. Για διασυνοριακούς χρήστες που δεν διαμένουν ή δεν είναι εγκατεστημένοι στο ενδιαφερόμενο κράτος μέλος, οι επιγραμμικές εθνικές διαδικασίες που δεν είναι σημαντικές για την άσκηση των δικαιωμάτων τους στην εσωτερική αγορά, όπως είναι η εγγραφή σε καταλόγους ώστε να δικαιούνται τη χρήση τοπικών υπηρεσιών, όπως η αποκομιδή απορριμμάτων και οι άδειες στάθμευσης, δεν χρειάζεται να καθίστανται πλήρως προσβάσιμες επιγραμμικά.

(21)

Ο παρών κανονισμός θα πρέπει να βασίζεται στον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13), που καθορίζει τους όρους υπό τους οποίους τα κράτη μέλη αναγνωρίζουν ορισμένα μέσα ηλεκτρονικής ταυτοποίησης φυσικών και νομικών προσώπων που εμπίπτουν σε κοινοποιημένο σύστημα ηλεκτρονικής ταυτοποίησης άλλου κράτους μέλους. Ο κανονισμός (ΕΕ) αριθ. 910/2014 καθορίζει τους όρους βάσει των οποίων επιτρέπεται στους χρήστες να χρησιμοποιούν μέσα ηλεκτρονικής ταυτοποίησης και εξακρίβωσης, ώστε να έχουν επιγραμμική πρόσβαση σε ηλεκτρονικές δημόσιες υπηρεσίες σε διασυνοριακές καταστάσεις. Τα θεσμικά και λοιπά όργανα, οργανισμοί και υπηρεσίες της Ένωσης ενθαρρύνονται να αποδέχονται τα μέσα ηλεκτρονικής ταυτοποίησης και εξακρίβωσης για τις διαδικασίες για τις οποίες είναι υπεύθυνα.

(22)

Μια σειρά τομεακών ενωσιακών πράξεων, όπως οι οδηγίες 2005/36/ΕΚ, 2006/123/ΕΚ, 2014/24/ΕΕ και 2014/25/ΕΕ απαιτούν να είναι πλήρως διαθέσιμες επιγραμμικά ορισμένες διαδικασίες. Ο παρών κανονισμός θα πρέπει να απαιτεί ορισμένες άλλες διαδικασίες που έχουν καθοριστική σημασία για την πλειονότητα των πολιτών και των επιχειρήσεων που ασκούν τα δικαιώματα και εκπληρώνουν τις υποχρεώσεις τους διασυνοριακά να είναι πλήρως διαθέσιμες επιγραμμικά.

(23)

Για να μπορούν οι πολίτες και οι επιχειρήσεις να απολαμβάνουν άμεσα τα οφέλη της εσωτερικής αγοράς χωρίς να υφίστανται περιττή πρόσθετη διοικητική επιβάρυνση, ο παρών κανονισμός θα πρέπει να απαιτεί την πλήρη ψηφιοποίηση της διεπαφής χρήστη για ορισμένες βασικές διαδικασίες όσον αφορά τους διασυνοριακούς χρήστες, οι οποίες παρατίθενται στο παράρτημα II του παρόντος κανονισμού. Ο παρών κανονισμός θα πρέπει επίσης να καθορίζει τα κριτήρια βάσει των οποίων οι εν λόγω διαδικασίες θα χαρακτηρίζονται πλήρως επιγραμμικές. Η υποχρέωση να καταστεί η διαδικασία αυτή πλήρως διαθέσιμη επιγραμμικά θα πρέπει να ισχύει μόνον εφόσον η διαδικασία έχει θεσπιστεί στο οικείο κράτος μέλος. Ο παρών κανονισμός δεν θα πρέπει να καλύπτει την αρχική καταχώριση επιχειρηματικής δραστηριότητας, τις διαδικασίες που οδηγούν στη σύσταση επιχειρήσεων ή εταιρειών ως νομικών οντοτήτων ή οποιαδήποτε μεταγενέστερη υποβολή στοιχείων από τις εν λόγω επιχειρήσεις ή εταιρείες, αφού οι εν λόγω διαδικασίες απαιτούν σφαιρική προσέγγιση που να αποσκοπεί στη διευκόλυνση των ψηφιακών λύσεων καθ’ όλη τη διάρκεια ζωής μιας επιχείρησης. Όταν οι επιχειρήσεις εγκαθίστανται σε άλλο κράτος μέλος, είναι υποχρεωμένες να εγγράφονται σε σύστημα κοινωνικής ασφάλισης και σε ασφαλιστικό σύστημα, ώστε να δηλώνουν τους εργαζομένους τους και να καταβάλλουν εισφορές σε αμφότερα τα συστήματα. Ενδέχεται να απαιτηθεί η κοινοποίηση των επιχειρηματικών δραστηριοτήτων τους, η λήψη αδειών ή η καταχώριση μεταβολών της επιχειρηματικής τους δραστηριότητας. Οι διαδικασίες αυτές είναι κοινές για τις επιχειρήσεις που δραστηριοποιούνται σε πολλούς τομείς της οικονομίας και, ως εκ τούτου, είναι σκόπιμο να απαιτείται η δυνατότητα διεκπεραίωσης των εν λόγω δύο διαδικασιών επιγραμμικά.

(24)

Ο παρών κανονισμός θα πρέπει να αποσαφηνίζει τι συνεπάγεται η πλήρης διάθεση μιας διαδικασίας επιγραμμικά. Μια διαδικασία θα πρέπει να θεωρηθεί πλήρως επιγραμμική εάν ο χρήστης μπορεί να ακολουθήσει όλα τα βήματα από την πρόσβαση έως την ολοκλήρωση, επικοινωνώντας με την αρμόδια αρχή, τον «φορέα εξυπηρέτησης των χρηστών», ηλεκτρονικά, εξ αποστάσεως και μέσω επιγραμμικής υπηρεσίας. Αυτή η επιγραμμική υπηρεσία θα πρέπει να καθοδηγεί τον χρήστη μέσω καταλόγου όλων των απαιτήσεων που θα πρέπει να πληρούνται και όλων των δικαιολογητικών που θα πρέπει να παρέχονται, θα πρέπει να δίνει τη δυνατότητα στον χρήστη να παρέχει τις πληροφορίες και τις αποδείξεις συμμόρφωσης προς όλες αυτές τις απαιτήσεις και θα πρέπει να παρέχει στον χρήστη αυτόματη απόδειξη παραλαβής, εκτός αν το αποτέλεσμα της διαδικασίας παραδίδεται αμέσως. Αυτό δεν θα πρέπει να εμποδίζει τις αρμόδιες αρχές από το να επικοινωνούν με τους χρήστες απευθείας, όταν χρειάζεται να λάβουν περαιτέρω διευκρινίσεις που απαιτούνται για τη διαδικασία. Το αποτέλεσμα της διαδικασίας, όπως ορίζεται στον παρόντα κανονισμό, θα πρέπει επίσης να παρέχεται από τις αρμόδιες αρχές προς τον χρήστη ηλεκτρονικά, ει δυνατόν, βάσει της εφαρμοστέας ενωσιακής και εθνικής νομοθεσίας.

(25)

Ο παρών κανονισμός δεν θα πρέπει να επηρεάζει την ουσία των διαδικασιών που απαριθμούνται στο παράρτημα II, οι οποίες καθορίζονται σε εθνικό, περιφερειακό ή τοπικό επίπεδο, και δεν θεσπίζει ουσιώδεις ή διαδικαστικούς κανόνες στους τομείς που καλύπτονται από το παράρτημα II, συμπεριλαμβανομένου του τομέα της φορολογίας. Ο σκοπός του παρόντος κανονισμού είναι να καθοριστούν οι τεχνικές απαιτήσεις προκειμένου να εξασφαλιστεί ότι οι διαδικασίες αυτές, εφόσον έχουν θεσπιστεί στο οικείο κράτος μέλος, διατίθενται πλήρως επιγραμμικά.

(26)

Ο παρών κανονισμός δεν θα πρέπει να θίγει τις αρμοδιότητες των εθνικών αρχών σε οποιαδήποτε διαδικασία, περιλαμβανομένου του ελέγχου της ακρίβειας και της εγκυρότητας των υποβαλλόμενων πληροφοριών ή δικαιολογητικών και του ελέγχου εξακρίβωσης σε περίπτωση που τα δικαιολογητικά έχουν υποβληθεί με μέσο άλλο από το τεχνικό σύστημα που βασίζεται στην αρχή «μόνον άπαξ». Ο παρών κανονισμός δεν θα πρέπει επίσης να επηρεάζει τις ροές των διαδικασιών εντός και μεταξύ των αρμόδιων αρχών, του «φορέα υποστήριξης», είτε αυτές είναι ψηφιοποιημένες είτε όχι. Εφόσον είναι αναγκαίο, στο πλαίσιο ορισμένων διαδικασιών για την καταχώριση των μεταβολών των επιχειρηματικών δραστηριοτήτων, τα κράτη μέλη θα πρέπει να συνεχίσουν να έχουν τη δυνατότητα να απαιτούν τη συμμετοχή συμβολαιογράφων ή δικηγόρων, οι οποίοι μπορεί να επιθυμούν να χρησιμοποιούν μέσα ελέγχου, συμπεριλαμβανομένης της βιντεοδιάσκεψης ή άλλων επιγραμμικών μέσων που παρέχουν οπτικοακουστική σύνδεση σε πραγματικό χρόνο. Ωστόσο, η συμμετοχή αυτή δεν θα πρέπει να εμποδίζει την ολοκλήρωση των διαδικασιών επιγραμμικής καταχώρισης των εν λόγω μεταβολών στο σύνολό τους.

(27)

Σε ορισμένες περιπτώσεις, μπορεί να απαιτηθεί από τους χρήστες να υποβάλουν δικαιολογητικά για να αποδείξουν γεγονότα που δεν μπορούν να στοιχειοθετηθούν με επιγραμμικά μέσα. Στα δικαιολογητικά αυτά θα μπορούσαν να περιλαμβάνονται ιατρικές βεβαιώσεις, έγγραφα που πιστοποιούν ότι ένα πρόσωπο βρίσκεται εν ζωή και πιστοποιητικά τεχνικού ελέγχου μηχανοκίνητων οχημάτων ή επιβεβαίωσης του αριθμού πλαισίου τους. Εφόσον τα δικαιολογητικά αυτά μπορούν να υποβληθούν σε ηλεκτρονική μορφή, αυτό δεν θα πρέπει να αποτελεί εξαίρεση στην αρχή ότι μια διαδικασία θα πρέπει να παρέχεται πλήρως επιγραμμικά. Σε άλλες περιπτώσεις, ενδέχεται να εξακολουθεί να είναι αναγκαίο για τους χρήστες μιας διαδικασίας να εμφανίζονται αυτοπροσώπως ενώπιον της αρμόδιας αρχής στο πλαίσιο επιγραμμικής διαδικασίας. Οποιεσδήποτε τέτοιες εξαιρέσεις, πλην όσων απορρέουν από το ενωσιακό δίκαιο, θα πρέπει να περιορίζονται στις περιπτώσεις που δικαιολογούνται από επιτακτικό λόγο δημόσιου συμφέροντος στους τομείς της δημόσιας ασφάλειας, της δημόσιας υγείας ή της καταπολέμησης της απάτης. Προκειμένου να διασφαλιστεί η διαφάνεια, τα κράτη μέλη θα πρέπει να μοιράζονται με την Επιτροπή και τα άλλα κράτη μέλη πληροφορίες σχετικά με τέτοιου είδους εξαιρέσεις και τους όρους και τις συνθήκες υπό τις οποίες οι εν λόγω εξαιρέσεις μπορούν να εφαρμοστούν. Τα κράτη μέλη δεν θα πρέπει να υποχρεούνται να αναφέρουν κάθε μεμονωμένη περίπτωση στην οποία, κατ’ εξαίρεση, απαιτήθηκε φυσική παρουσία, αλλά θα πρέπει να κοινοποιούν τις εθνικές διατάξεις που προνοούν για τέτοιες περιπτώσεις. Οι βέλτιστες πρακτικές σε εθνικό επίπεδο και οι τεχνικές εξελίξεις που επιτρέπουν περαιτέρω ψηφιοποίηση στο πλαίσιο αυτό θα πρέπει να συζητούνται τακτικά στο πλαίσιο συντονιστικής ομάδας της θύρας.

(28)

Σε διασυνοριακές καταστάσεις, η διαδικασία για την καταχώριση αλλαγής διεύθυνσης ενδέχεται να συνίσταται σε δύο ξεχωριστές διαδικασίες, μία στο κράτος μέλος προέλευσης για να ζητηθεί διαγραφή της παλιάς διεύθυνσης από τα μητρώα και μια άλλη στο κράτος μέλος προορισμού για να ζητηθεί καταγραφή της νέας διεύθυνσης. Ο παρών κανονισμός θα πρέπει να καλύπτει αμφότερες τις διαδικασίες.

(29)

Δεδομένου ότι η ψηφιοποίηση των απαιτήσεων, των διαδικασιών και των διατυπώσεων που σχετίζονται με την αναγνώριση των επαγγελματικών προσόντων ήδη καλύπτεται από την οδηγία 2005/36/ΕΚ, ο παρών κανονισμός θα πρέπει να καλύπτει μόνο την ψηφιοποίηση της διαδικασίας αίτησης ακαδημαϊκής αναγνώρισης διπλωμάτων, πιστοποιητικών ή άλλων αποδεικτικών ολοκληρωμένης παρακολούθησης μαθημάτων για πρόσωπο που επιθυμεί να ξεκινήσει ή να συνεχίσει τις σπουδές του ή να χρησιμοποιήσει έναν ακαδημαϊκό τίτλο, εκτός των διατυπώσεων που σχετίζονται με την αναγνώριση των επαγγελματικών προσόντων.

(30)

Ο παρών κανονισμός δεν θα πρέπει να θίγει τους κανόνες για τον συντονισμό των συστημάτων κοινωνικής ασφάλισης οι οποίοι καθορίζονται στους κανονισμούς (ΕΚ) αριθ. 883/2004 (14) και (ΕΚ) αριθ. 987/2009 (15) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, στους οποίους καθορίζονται τα δικαιώματα και οι υποχρεώσεις των ασφαλισμένων και των ιδρυμάτων κοινωνικής ασφάλισης, καθώς και οι διαδικασίες που εφαρμόζονται στον τομέα του συντονισμού των συστημάτων κοινωνικής ασφάλισης.

(31)

Σε ενωσιακό και εθνικό επίπεδο έχει δημιουργηθεί σειρά δικτύων και υπηρεσιών, με σκοπό να βοηθούνται οι πολίτες και οι επιχειρήσεις στις διασυνοριακές τους δραστηριότητες. Είναι σημαντικό οι εν λόγω υπηρεσίες, συμπεριλαμβανομένων των υφιστάμενων υπηρεσιών βοήθειας ή επίλυσης προβλημάτων που υπάρχουν σε ενωσιακό επίπεδο, όπως τα ευρωπαϊκά κέντρα καταναλωτών, «Η Ευρώπη σου — Συμβουλές», το SOLVIT, το γραφείο υποστήριξης για τα δικαιώματα διανοητικής ιδιοκτησίας, το Europe Direct και το «Enterprise Europe Network», να εντάσσονται στη θύρα, ώστε να εξασφαλίζεται ότι όλοι οι δυνητικοί χρήστες των υπηρεσιών αυτών θα μπορούν να τις βρίσκουν. Οι υπηρεσίες που παρατίθενται στο παράρτημα III δημιουργήθηκαν με δεσμευτικές ενωσιακές πράξεις, ενώ άλλες υπηρεσίες λειτουργούν σε εθελοντική βάση. Οι υπηρεσίες που θεσπίζονται με δεσμευτικές ενωσιακές πράξεις θα πρέπει να πληρούν τις απαιτήσεις ποιότητας που καθορίζονται στον παρόντα κανονισμό. Οι υπηρεσίες που λειτουργούν σε εθελοντική βάση θα πρέπει να συμμορφώνονται με τις εν λόγω απαιτήσεις ποιότητας, εάν ο σκοπός είναι να καταστούν προσβάσιμες μέσω της θύρας. Το πεδίο και ο χαρακτήρας αυτών των υπηρεσιών, οι ρυθμίσεις διαχείρισής τους, οι ισχύουσες προθεσμίες και η προαιρετική, συμβατική ή άλλη βάση επί της οποίας λειτουργούν δεν θα πρέπει να τροποποιηθούν από τον παρόντα κανονισμό. Παραδείγματος χάριν, εάν η βοήθεια που παρέχουν έχει άτυπο χαρακτήρα, ο παρών κανονισμός δεν θα πρέπει να έχει ως αποτέλεσμα τη μεταβολή της εν λόγω βοήθειας σε νομικές συμβουλές δεσμευτικού χαρακτήρα.

(32)

Επιπλέον, τα κράτη μέλη και η Επιτροπή θα πρέπει να μπορούν να προσθέσουν στη θύρα άλλες εθνικές υπηρεσίες υποστήριξης και επίλυσης προβλημάτων, οι οποίες θα παρέχονται από τις αρμόδιες αρχές ή από ιδιωτικούς ή ημι-ιδιωτικούς φορείς, ή δημόσιους φορείς, όπως εμπορικά επιμελητήρια ή μη κυβερνητικές υπηρεσίες υποστήριξης των πολιτών, υπό τους όρους που καθορίζονται στον παρόντα κανονισμό. Κατ’ αρχήν, οι αρμόδιες αρχές θα πρέπει να έχουν την ευθύνη να βοηθούν τους πολίτες και τις επιχειρήσεις σε οποιαδήποτε ερώτηση έχουν σχετικά με τους ισχύοντες κανόνες και διαδικασίες η οποία δεν μπορεί να απαντηθεί πλήρως μέσω των επιγραμμικών υπηρεσιών. Ωστόσο, σε πολύ εξειδικευμένους τομείς και σε περίπτωση που η υπηρεσία που παρέχεται από ιδιωτικούς ή ημι-ιδιωτικούς φορείς ανταποκρίνεται στις ανάγκες των χρηστών, τα κράτη μέλη μπορούν να προτείνουν στην Επιτροπή να συμπεριλάβει τις υπηρεσίες αυτές στη θύρα, υπό την προϋπόθεση ότι οι εν λόγω υπηρεσίες πληρούν όλες τις προϋποθέσεις που ορίζονται στον παρόντα κανονισμό και δεν επικαλύπτουν τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων οι οποίες περιλαμβάνονται ήδη.

(33)

Για να βοηθήσει τους χρήστες να βρίσκουν την κατάλληλη υπηρεσία, ο παρών κανονισμός θα πρέπει να προβλέπει μηχανισμό εντοπισμού υπηρεσιών υποστήριξης που θα παραπέμπει τους χρήστες αυτομάτως στην κατάλληλη υπηρεσία.

(34)

Η συμμόρφωση με ελάχιστη δέσμη απαιτήσεων ποιότητας είναι ουσιώδης για την επιτυχία της θύρας, προκειμένου να διασφαλίζεται ότι η παροχή πληροφοριών ή υπηρεσιών είναι εγγυημένη, αφού, σε αντίθετη περίπτωση, θα έθιγε σοβαρά την αξιοπιστία της θύρας στο σύνολό της. Πρωταρχικός στόχος της συμμόρφωσης είναι να διασφαλίζεται ότι οι πληροφορίες ή η υπηρεσία παρουσιάζονται με τρόπο σαφή και εύχρηστο. Εναπόκειται στα κράτη μέλη να καθορίζουν τον τρόπο με τον οποίο παρουσιάζονται οι πληροφορίες κατά τη διάρκεια της πορείας του χρήστη προς επίτευξη του συγκεκριμένου στόχου. Για παράδειγμα, ενώ είναι χρήσιμο για τους χρήστες να ενημερώνονται, πριν από την έναρξη μιας διαδικασίας, για τα γενικώς διαθέσιμα μέσα έννομης προστασίας σε περίπτωση αρνητικής έκβασης μιας διαδικασίας, είναι πολύ πιο φιλικό προς τον χρήστη να παρέχονται όλες οι συγκεκριμένες πληροφορίες σχετικά με τα ποια βήματα μπορούν να γίνουν στην περίπτωση αυτή κατά το πέρας της διαδικασίας.

(35)

Η προσβασιμότητα των πληροφοριών από διασυνοριακούς χρήστες μπορεί να βελτιωθεί σημαντικά, εάν οι πληροφορίες αυτές είναι διαθέσιμες σε επίσημη γλώσσα της Ένωσης που είναι ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών. Η γλώσσα αυτή θα πρέπει να είναι στις περισσότερες περιπτώσεις η ξένη γλώσσα που μαθαίνουν οι περισσότεροι από τους χρήστες σε όλη την Ένωση, αλλά σε ορισμένες συγκεκριμένες περιπτώσεις, ειδικότερα στην περίπτωση πληροφοριών που πρέπει να παρέχονται σε τοπικό επίπεδο από μικρούς δήμους που βρίσκονται κοντά στα σύνορα ενός κράτους μέλους, η πλέον κατάλληλη γλώσσα μπορεί να είναι αυτή που χρησιμοποιείται ως πρώτη γλώσσα από τους διασυνοριακούς χρήστες στο γειτονικό κράτος μέλος. Η μετάφραση από την επίσημη γλώσσα ή γλώσσες του εν λόγω κράτους μέλους σε αυτήν την άλλη επίσημη γλώσσα της Ένωσης θα πρέπει να αντικατοπτρίζει με ακρίβεια το περιεχόμενο των πληροφοριών που παρέχονται στην πρωτότυπη γλώσσα ή γλώσσες. Η μετάφραση είναι δυνατόν να περιορίζεται στις πληροφορίες που χρειάζονται οι χρήστες προκειμένου να κατανοήσουν τους βασικούς κανόνες και απαιτήσεις που ισχύουν στην περίπτωσή τους. Ενώ τα κράτη μέλη θα πρέπει να ενθαρρύνονται να μεταφράζουν όσο τον δυνατόν περισσότερες πληροφορίες σε μια επίσημη γλώσσα της Ένωσης που είναι ευρέως κατανοητή από το μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, ο όγκος των προς μετάφραση πληροφοριών, σύμφωνα με τον παρόντα κανονισμό, θα εξαρτάται από τους διαθέσιμους δημοσιονομικούς πόρους για τον σκοπό αυτόν, ειδικότερα εκείνους από τον προϋπολογισμό της Ένωσης. Η Επιτροπή θα πρέπει να λάβει όλα τα ενδεδειγμένα μέτρα για να διασφαλίσει ευδόκιμη παροχή μεταφράσεων στα κράτη μέλη κατόπιν αιτήματός τους. Η συντονιστική ομάδα της θύρας θα πρέπει να συζητά και να παρέχει κατευθύνσεις όσον αφορά την επίσημη γλώσσα ή γλώσσες της Ένωσης στην οποία ή στις οποίες θα πρέπει να μεταφράζονται οι πληροφορίες αυτές.

(36)

Σύμφωνα με την οδηγία (ΕΕ) 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16), τα κράτη μέλη έχουν την υποχρέωση να διασφαλίζουν ότι οι ιστότοποι των δημόσιων φορέων τους είναι προσβάσιμοι σύμφωνα με τις αρχές της αντιληπτικότητας, της λειτουργικότητας, της κατανοησιμότητας και της στιβαρότητας και ότι συμμορφώνονται προς τις απαιτήσεις που ορίζονται στην εν λόγω οδηγία. Η Επιτροπή και τα κράτη μέλη θα πρέπει να εξασφαλίζουν τη συμμόρφωση με τη σύμβαση των Ηνωμένων Εθνών για τα δικαιώματα των ατόμων με αναπηρία, ιδίως των άρθρων 9 και 21, και, προκειμένου να προωθηθεί η πρόσβαση σε πληροφορίες για τα άτομα με διανοητική αναπηρία, θα πρέπει να παρέχονται, στον μεγαλύτερο δυνατό βαθμό σύμφωνα με την αρχή της αναλογικότητας, εναλλακτικές λύσεις σε εύληπτη γλώσσα. Τα κράτη μέλη, με την κύρωση, και η Ένωση, με τη σύναψη (17) της σύμβασης, έχουν δεσμευθεί να λάβουν κατάλληλα μέτρα ώστε να εξασφαλίζεται η πρόσβαση των ατόμων με αναπηρίες, σε ισότιμη βάση με τα άλλα άτομα, στις νέες τεχνολογίες και συστήματα πληροφοριών και επικοινωνιών, συμπεριλαμβανομένου του διαδικτύου, με την ενίσχυση της πρόσβασης στην πληροφόρηση για άτομα με διανοητική αναπηρία, παρέχοντας εναλλακτικές λύσεις σε εύληπτη γλώσσα στον μεγαλύτερο δυνατό βαθμό και αναλογικά.

(37)

Η οδηγία (ΕΕ) 2016/2102 δεν εφαρμόζεται σε ιστότοπους και σε εφαρμογές για φορητές συσκευές των ενωσιακών θεσμικών και λοιπών οργάνων, υπηρεσιών και οργανισμών, αλλά η Επιτροπή θα πρέπει να διασφαλίζει ότι η κοινή διεπαφή χρήστη και οι ιστοσελίδες που είναι υπό την ευθύνη της, οι οποίες πρέπει να περιλαμβάνονται στη θύρα, είναι προσβάσιμες σε άτομα με αναπηρίες, υπό την έννοια ότι είναι αντιληπτές, λειτουργικές, κατανοητές και στιβαρές. Αντιληπτικότητα σημαίνει ότι οι πληροφορίες και τα συστατικά στοιχεία κοινής διεπαφής χρήστη πρέπει να μπορούν να παρουσιασθούν στους χρήστες με τρόπους που αυτοί να μπορούν να αντιληφθούν· λειτουργικότητα σημαίνει ότι τα συστατικά στοιχεία κοινής διεπαφής χρήστη και η πλοήγηση θα πρέπει να είναι λειτουργική· κατανοησιμότητα σημαίνει ότι οι πληροφορίες και η λειτουργία της κοινής διεπαφής χρήστη θα πρέπει να είναι κατανοητές· και στιβαρότητα σημαίνει ότι το περιεχόμενο θα πρέπει να είναι αρκετά στιβαρό ώστε να μπορεί να ερμηνευθεί αξιόπιστα από ευρύ φάσμα πρακτόρων χρηστών, περιλαμβανομένων και υποβοηθητικών τεχνολογιών. Για σκοπούς αντιληπτικότητας, λειτουργικότητας, κατανοησιμότητας και στιβαρότητας, η Επιτροπή ενθαρρύνεται να συμμορφωθεί με τα σχετικά εναρμονισμένα πρότυπα.

(38)

Προκειμένου να διευκολυνθεί η καταβολή τελών που απαιτούνται στο πλαίσιο επιγραμμικών διαδικασιών ή για την παροχή υπηρεσιών υποστήριξης ή επίλυσης προβλημάτων, οι διασυνοριακοί χρήστες θα πρέπει να είναι σε θέση να χρησιμοποιούν μεταφορές πίστωσης ή άμεσες χρεώσεις όπως ορίζει ο κανονισμός (ΕΕ) αριθ. 260/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18) ή άλλο μέσο διασυνοριακής πληρωμής γενικής χρήσης, μεταξύ άλλων χρεωστικές ή πιστωτικές κάρτες.

(39)

Είναι χρήσιμο οι χρήστες να ενημερώνονται για τον χρόνο που αναμένεται να διαρκέσει μια διαδικασία. Ως εκ τούτου, οι χρήστες θα πρέπει να ενημερώνονται για τις ισχύουσες προθεσμίες ή τις ρυθμίσεις σιωπηρής έγκρισης ή διοικητικής σιωπής ή, εάν δεν συντρέχει τέτοια περίπτωση, τουλάχιστον για τον αναμενόμενο ή ενδεικτικό χρόνο που απαιτεί συνήθως η εν λόγω διαδικασία. Αυτές οι εκτιμήσεις ή ενδείξεις θα πρέπει να βοηθούν απλώς τους χρήστες κατά τον προγραμματισμό των δραστηριοτήτων τους ή τυχόν επόμενων διοικητικών ενεργειών και δεν θα πρέπει να έχουν νομικές συνέπειες.

(40)

Ο παρών κανονισμός θα πρέπει επίσης να καθιστά εφικτή την επαλήθευση των δικαιολογητικών που παρέχονται σε ηλεκτρονική μορφή από τους χρήστες, όταν αυτά υποβάλλονται χωρίς ηλεκτρονική σφραγίδα ή πιστοποίηση από την αρμόδια αρχή έκδοσης ή όταν το τεχνικό εργαλείο που θεσπίζεται από τον παρόντα κανονισμό ή άλλο σύστημα που επιτρέπει την άμεση ανταλλαγή ή επαλήθευση δικαιολογητικών μεταξύ των αρμόδιων αρχών των διάφορων κρατών μελών δεν είναι διαθέσιμο. Για τέτοιες περιπτώσεις, ο παρών κανονισμός θα πρέπει να προβλέπει έναν αποτελεσματικό μηχανισμό διοικητικής συνεργασίας μεταξύ των αρμοδίων αρχών των κρατών μελών, ο οποίος να βασίζεται στο σύστημα πληροφόρησης για την εσωτερική αγορά («IMI»), που συστάθηκε με τον κανονισμό (ΕΕ) αριθ. 1024/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19). Σε παρόμοιες περιπτώσεις, η απόφαση της αρμόδιας αρχής να χρησιμοποιήσει το ΙΜΙ θα πρέπει να είναι προαιρετική, όμως, μόλις η αρχή υποβάλει την αίτηση πληροφόρησης ή συνεργασίας μέσω του ΙΜΙ, η αρμόδια αρχή προς την οποία απευθύνεται το αίτημα θα πρέπει να δεσμεύεται να συνεργαστεί και να απαντήσει. Το αίτημα μπορεί να σταλεί μέσω του ΙΜΙ είτε προς την αρμόδια αρχή που εκδίδει τα δικαιολογητικά είτε στην κεντρική αρχή που πρόκειται να καθορισθεί από τα κράτη μέλη σύμφωνα με τους οικείους τους διοικητικούς κανόνες.Προς αποφυγή περιττών επικαλύψεων και δεδομένου ότι ο κανονισμός (ΕΕ) 2016/1191 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20) καλύπτει μέρος των δικαιολογητικών που αφορούν τις διαδικασίες που καλύπτονται από τον παρόντα κανονισμό, οι ρυθμίσεις συνεργασίας για το ΙΜΙ που ορίζονται στον κανονισμό (ΕΕ) 2016/1191 μπορούν επίσης να χρησιμοποιούνται για άλλα δικαιολογητικά που απαιτούνται σε διαδικασίες που καλύπτει ο παρών κανονισμός. Για να μπορέσουν τα όργανα, οι οργανισμοί ή οι υπηρεσίες της Ένωσης να συμμετάσχουν ενεργά στο πλαίσιο του ΙΜΙ, θα πρέπει να τροποποιηθεί ο κανονισμός (ΕΕ) αριθ. 1024/2012.

(41)

Οι επιγραμμικές υπηρεσίες που παρέχονται από τις αρμόδιες αρχές έχουν καθοριστική σημασία για τη βελτίωση της ποιότητας και της ασφάλειας των υπηρεσιών που παρέχονται στους πολίτες και τις επιχειρήσεις. Οι δημόσιες διοικήσεις στα κράτη μέλη όλο και συχνότερα επιδιώκουν την επαναχρησιμοποίηση στοιχείων, χωρίς να επιβάλλουν στους πολίτες και στις επιχειρήσεις την υποβολή των ίδιων πληροφοριών περισσότερες φορές. Η επαναχρησιμοποίηση στοιχείων θα πρέπει να διευκολυνθεί για τους διασυνοριακούς χρήστες ώστε να μειωθεί η επιπλέον επιβάρυνση.

(42)

Προκειμένου να καταστεί δυνατή η νόμιμη διασυνοριακή ανταλλαγή δικαιολογητικών και πληροφοριών μέσω της εφαρμογής της αρχής «μόνον άπαξ» σε όλη την Ένωση, η εφαρμογή του παρόντος κανονισμού και της αρχής «μόνον άπαξ» θα πρέπει να συμμορφώνεται με όλους τους ισχύοντες κανόνες για την προστασία των δεδομένων, συμπεριλαμβανομένων των αρχών της ελαχιστοποίησης των δεδομένων, της ακρίβειας, του περιορισμού της αποθήκευσης, της ακεραιότητας και της εμπιστευτικότητας, της αναγκαιότητας, της αναλογικότητας και του περιορισμού του σκοπού. Η εφαρμογή του θα πρέπει επίσης να συμμορφώνεται πλήρως με τις αρχές της ασφάλειας ήδη από τον σχεδιασμό και της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό και θα πρέπει επίσης να σέβεται τα θεμελιώδη δικαιώματα των ατόμων, συμπεριλαμβανομένων όσων αφορούν τη δικαιοσύνη και τη διαφάνεια.

(43)

Τα κράτη μέλη θα πρέπει να διασφαλίσουν ότι παρέχονται στους χρήστες διαδικασιών σαφείς πληροφορίες σχετικά με τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τους αφορούν, σύμφωνα με τα άρθρα 13 και 14 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (21) και τα άρθρα 15 και 16 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (22).

(44)

Προκειμένου να διευκολυνθεί περαιτέρω η χρήση των επιγραμμικών διαδικασιών, ο παρών κανονισμός θα πρέπει, σύμφωνα με την αρχή «μόνον άπαξ», να παρέχει τη βάση για τη δημιουργία και χρήση ενός πλήρως λειτουργικού και ασφαλούς τεχνικού συστήματος για την αυτοματοποιημένη διασυνοριακή ανταλλαγή δικαιολογητικών μεταξύ όσων εμπλέκονται στη διαδικασία, όταν αυτό ζητείται ρητά από τους πολίτες και τις επιχειρήσεις. Όταν η ανταλλαγή δικαιολογητικών περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, το αίτημα θα πρέπει να θεωρείται ρητό, εάν περιέχει ελεύθερη, συγκεκριμένη, εν πλήρη επιγνώσει και αναντίρρητη επιθυμία του ατόμου για ανταλλαγή των σχετικών δεδομένων προσωπικού χαρακτήρα, είτε μέσω δήλωσης είτε μέσω θετικής δράσης. Εάν ο χρήστης δεν είναι το πρόσωπο που αφορούν τα δεδομένα, η επιγραμμική διαδικασία δεν θα πρέπει να θίγει τα δικαιώματά του δυνάμει του κανονισμού (ΕΕ) 2016/679. Η διασυνοριακή εφαρμογή της αρχής «μόνον άπαξ» θα πρέπει να έχει ως αποτέλεσμα ότι οι πολίτες και οι επιχειρήσεις δεν θα πρέπει να υποχρεώνονται να παρέχουν τα ίδια στοιχεία περισσότερο από μία φορά στις δημόσιες αρχές και ότι θα πρέπει επίσης να είναι δυνατή η χρησιμοποίηση των στοιχείων αυτών κατόπιν αιτήματος του χρήστη με σκοπό την περάτωση διασυνοριακών επιγραμμικών διαδικασιών στις οποίες εμπλέκονται διασυνοριακοί χρήστες. Για την αρμόδια αρχή έκδοσης, η υποχρέωση να χρησιμοποιεί το τεχνικό σύστημα για την αυτοματοποιημένη ανταλλαγή δικαιολογητικών μεταξύ των διαφόρων κρατών μελών θα πρέπει να ισχύει μόνο σε περίπτωση που οι αρχές εκδίδουν νομίμως, στο δικό τους κράτος μέλος, δικαιολογητικά σε ηλεκτρονική μορφή, η οποία καθιστά δυνατή μια τέτοια αυτοματοποιημένη ανταλλαγή.

(45)

Κάθε διασυνοριακή ανταλλαγή δικαιολογητικών θα πρέπει να έχει κατάλληλη νομική βάση, όπως τις οδηγίες 2005/36/ΕΚ, 2006/123/ΕΚ, 2014/24/ΕΕ ή 2014/25/ΕΕ ή, για τις διαδικασίες που παρατίθενται στο παράρτημα II, άλλη ισχύουσα ενωσιακή ή εθνική νομοθεσία.

(46)

Είναι αρμόζον ο παρών κανονισμός να ορίζει, ως γενικό κανόνα, ότι η διασυνοριακή αυτοματοποιημένη ανταλλαγή δικαιολογητικών πραγματοποιείται κατόπιν ρητού αιτήματος του χρήστη. Ωστόσο, η εν λόγω απαίτηση δεν ισχύει όταν η σχετική ενωσιακή ή εθνική νομοθεσία επιτρέπει την αυτοματοποιημένη διασυνοριακή ανταλλαγή δεδομένων άνευ ρητού αιτήματος του χρήστη.

(47)

Η χρήση του τεχνικού συστήματος που θεσπίζεται με τον παρόντα κανονισμό θα πρέπει να παραμείνει προαιρετική και ο χρήστης θα πρέπει να παραμείνει ελεύθερος να υποβάλλει δικαιολογητικά με άλλα μέσα εκτός του τεχνικού συστήματος. Ο χρήστης θα πρέπει να έχει τη δυνατότητα προεπισκόπησης των δικαιολογητικών και το δικαίωμα να επιλέξει να μην προχωρήσει στην ανταλλαγή δικαιολογητικών σε περιπτώσεις στις οποίες ο χρήστης, κατόπιν προεπισκόπησης των προς ανταλλαγή δικαιολογητικών, ανακαλύπτει ότι οι πληροφορίες είναι ανακριβείς, παρωχημένες ή υπερβαίνουν τα αναγκαία όρια για τη συγκεκριμένη διαδικασία. Τα στοιχεία που περιλαμβάνονται στην προεπισκόπηση δεν θα πρέπει να αποθηκεύονται για περισσότερο χρονικό διάστημα από ό,τι είναι απολύτως απαραίτητο από τεχνική άποψη.

(48)

Το ασφαλές τεχνικό σύστημα που θα πρέπει να εφαρμοστεί ώστε να καταστήσει εφικτή την ανταλλαγή δικαιολογητικών δυνάμει του παρόντος κανονισμού θα πρέπει, επίσης, να παρέχει στις αιτούσες αρμόδιες αρχές τη βεβαιότητα ότι τα δικαιολογητικά έχουν παρασχεθεί από τη σωστή αρχή έκδοσης. Πριν αποδεχθεί τις πληροφορίες που παρέχει χρήστης στο πλαίσιο διαδικασίας, η αρμόδια αρχή θα πρέπει να είναι σε θέση να επαληθεύει τα πληροφοριακά στοιχεία σε περίπτωση αμφιβολιών και να καταλήγει στο συμπέρασμα ότι είναι ακριβή.

(49)

Υπάρχουν ορισμένα δομικά στοιχεία που παρέχουν βασικές ικανότητες και που μπορούν να χρησιμοποιηθούν για τη δημιουργία του τεχνικού συστήματος, όπως η διευκόλυνση «Συνδέοντας την Ευρώπη», που συστάθηκε με τον κανονισμό (ΕΕ) αριθ. 1316/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (23) και τα δομικά στοιχεία της ηλεκτρονικής παράδοσης (eDelivery) και της ηλεκτρονικής ταυτότητας (eID) που αποτελούν μέρος της εν λόγω διευκόλυνσης. Τα εν λόγω δομικά στοιχεία συνίστανται σε τεχνικές προδιαγραφές, ενδεικτικό λογισμικό και υποστηρικτικές υπηρεσίες και στόχος τους είναι να διασφαλίσουν τη διαλειτουργικότητα μεταξύ των υφιστάμενων συστημάτων τεχνολογίας των πληροφοριών και των επικοινωνιών (ΤΠΕ) των διάφορων κρατών μελών, ούτως ώστε πολίτες, επιχειρήσεις και διοικήσεις, όπου και αν βρίσκονται στην Ένωση, να μπορούν να ωφελούνται απρόσκοπτα από ψηφιακές δημόσιες υπηρεσίες.

(50)

Το τεχνικό σύστημα που θεσπίζεται με τον παρόντα κανονισμό θα πρέπει να παρέχεται επιπλέον των άλλων συστημάτων που διαθέτουν μηχανισμούς για τη συνεργασία μεταξύ των αρχών, όπως το IMI, και θα πρέπει να μην επηρεάζουν άλλα συστήματα, όπως το σύστημα που προβλέπεται στον κανονισμό (ΕΚ) αριθ. 987/2009, το Ευρωπαϊκό Ενιαίο Έγγραφο Προμήθειας που προβλέπεται στην οδηγία 2014/24/ΕΕ, την ηλεκτρονική ανταλλαγή πληροφοριών για την κοινωνική ασφάλιση που προβλέπεται στον κανονισμό (ΕΚ) αριθ. 987/2009, την ευρωπαϊκή επαγγελματική ταυτότητα που προβλέπεται στην οδηγία 2005/36/ΕΚ, τη διασύνδεση των εθνικών μητρώων και τη διασύνδεση των κεντρικών μητρώων, των εμπορικών μητρώων και των μητρώων εταιρειών, σύμφωνα με την οδηγία (ΕΕ) 2017/1132 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (24), καθώς και τη διασύνδεση των μητρώων αφερεγγυότητας σύμφωνα με τον κανονισμό (ΕΕ) 2015/848 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (25).

(51)

Προκειμένου να εξασφαλιστούν ενιαίες προϋποθέσεις για την εκτέλεση του τεχνικού συστήματος που θα καθιστά εφικτή την αυτόματη ανταλλαγή δικαιολογητικών, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες για τον καθορισμό ιδίως των τεχνικών και λειτουργικών προδιαγραφών ενός συστήματος επεξεργασίας του αιτήματος που υποβάλλεται από τον χρήστη για την ανταλλαγή δικαιολογητικών και τη διαβίβαση αυτών των στοιχείων, καθώς και τον καθορισμό των κανόνων που είναι αναγκαίοι για τη διασφάλιση της ακεραιότητας και της εμπιστευτικότητας της διαβίβασης. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (26).

(52)

Προκειμένου να διασφαλισθεί ότι το τεχνικό σύστημα παρέχει υψηλό επίπεδο ασφάλειας για τη διασυνοριακή εφαρμογή της αρχής «μόνον άπαξ», η Επιτροπή θα πρέπει, κατά την έγκριση εκτελεστικών πράξεων όπου ορίζονται οι προδιαγραφές για το εν λόγω τεχνικό σύστημα, να λαμβάνει δεόντως υπόψη τα πρότυπα και τις τεχνικές προδιαγραφές που καταρτίζουν ευρωπαϊκοί και διεθνείς οργανισμοί και φορείς τυποποίησης, ειδικότερα η Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN), το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI), ο Διεθνής Οργανισμός Τυποποίησης (ISO) και η Διεθνής Ένωση Τηλεπικοινωνιών (ITU), καθώς και τα πρότυπα ασφάλειας που αναφέρονται στο άρθρο 32 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 22 του κανονισμού (ΕΕ) 2018/1725.

(53)

Όπου είναι αναγκαίο, προκειμένου να διασφαλιστούν η ανάπτυξη, η διαθεσιμότητα, η συντήρηση, η εποπτεία, η παρακολούθηση και η διαχείριση της ασφάλειας των τμημάτων του τεχνικού συστήματος για τα οποία είναι αρμόδια η Επιτροπή, η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

(54)

Οι αρμόδιες αρχές των κρατών μελών και της Επιτροπής θα πρέπει να διασφαλίζουν ότι οι πληροφορίες, οι διαδικασίες και οι υπηρεσίες που εμπίπτουν στην αρμοδιότητά τους συμμορφώνονται με τα κριτήρια ποιότητας. Οι εθνικοί συντονιστές που διορίζονται δυνάμει του παρόντος κανονισμού και η Επιτροπή θα πρέπει, σε τακτά χρονικά διαστήματα, να επιβλέπουν τη συμμόρφωση με τα κριτήρια ποιότητας και ασφάλειας σε εθνικό και ενωσιακό επίπεδο, αντίστοιχα, και να επιλύουν τα τυχόν προβλήματα που ανακύπτουν. Οι εθνικοί συντονιστές θα πρέπει να επίσης να βοηθούν την Επιτροπή στην παρακολούθηση της λειτουργίας του τεχνικού συστήματος που επιτρέπει τη διασυνοριακή ανταλλαγή δικαιολογητικών. Ο παρών κανονισμός θα πρέπει να παρέχει στην Επιτροπή φάσμα μέσων, ώστε να αποκαθιστά οποιαδήποτε υποβάθμιση της ποιότητας των υπηρεσιών που παρέχονται μέσω της θύρας, ανάλογα με τη σοβαρότητα και τη διάρκεια της εν λόγω υποβάθμισης, τα οποία να περιλαμβάνουν, κατά περίπτωση, τη συμμετοχή συντονιστικής ομάδας της θύρας. Αυτό δεν θα πρέπει να θίγει τη γενική ευθύνη της Επιτροπής όσον αφορά την παρακολούθηση της συμμόρφωσης με τον παρόντα κανονισμό.

(55)

Ο παρών κανονισμός θα πρέπει να προσδιορίζει τις κύριες λειτουργίες των τεχνικών εργαλείων που στηρίζουν τη λειτουργία της θύρας, ιδίως την κοινή διεπαφή χρήστη, το αποθετήριο των συνδέσμων και τον κοινό μηχανισμό εντοπισμού υπηρεσιών υποστήριξης. Η κοινή διεπαφή χρήστη θα πρέπει να διασφαλίζει ότι οι χρήστες μπορούν εύκολα να βρουν πληροφορίες, διαδικασίες και υπηρεσίες υποστήριξης και επίλυσης προβλημάτων σε εθνικούς και ενωσιακούς δικτυακούς τόπους. Στόχος των κρατών μελών και της Επιτροπής θα πρέπει να είναι να παρέχουν συνδέσμους προς μια κοινή πηγή των πληροφοριών που απαιτούνται για τη θύρα, ώστε να αποφεύγεται η σύγχυση των χρηστών, σύγχυση που προκαλούν διαφορετικές, πλήρως ή εν μέρει αλληλεπικαλυπτόμενες πηγές των ίδιων πληροφοριών. Αυτό δεν θα πρέπει να αποκλείει τη δυνατότητα παροχής συνδέσμων προς τις ίδιες πληροφορίες που παρέχονται από τοπικές ή περιφερειακές αρμόδιες αρχές αναφορικά με διαφορετικές γεωγραφικές περιοχές. Εξάλλου, δεν θα πρέπει να αποτρέπει την ως ένα βαθμό επικάλυψη πληροφοριών όπου αυτό είναι αναπόφευκτο ή επιθυμητό, για παράδειγμα όταν ορισμένα ενωσιακά δικαιώματα, υποχρεώσεις και κανόνες επαναλαμβάνονται ή περιγράφονται σε εθνικούς δικτυακούς τόπους ώστε να βελτιωθεί η ευχέρεια χρήσης. Προκειμένου να ελαχιστοποιηθεί η ανθρώπινη παρέμβαση για την ενημέρωση των συνδέσμων που θα χρησιμοποιεί η κοινή διεπαφή χρήστη, θα πρέπει να συσταθεί μια απευθείας σύνδεση μεταξύ των σχετικών τεχνικών συστημάτων των κρατών μελών και του αποθετηρίου συνδέσμων, όπου αυτό είναι τεχνικά εφικτό. Τα κοινά εργαλεία υποστήριξης ΤΠΕ ενδέχεται να χρησιμοποιούν το Γλωσσάριο των βασικών δημόσιων υπηρεσιών για τη διευκόλυνση της διαλειτουργικότητας με τους καταλόγους εθνικών υπηρεσιών και τη σημασιολογία. Τα κράτη μέλη θα πρέπει να παροτρύνονται να χρησιμοποιούν το Γλωσσάριο αυτό, αλλά μπορούν να αποφασίσουν να χρησιμοποιήσουν εθνικές λύσεις. Οι πληροφορίες που περιέχει το αποθετήριο για συνδέσμους θα πρέπει να διατίθενται στο κοινό σε ανοικτό, κοινά χρησιμοποιούμενο και μηχανικώς αναγνώσιμο μορφότυπο, λόγου χάριν μέσω διεπαφών προγραμματισμού εφαρμογών (API), ώστε να επιτρέπεται η επαναχρησιμοποίησή τους.

(56)

Η λειτουργία αναζήτησης της κοινής διεπαφής χρήστη θα πρέπει να οδηγεί τους χρήστες στις πληροφορίες που χρειάζονται, είτε αυτές βρίσκονται σε ενωσιακές είτε σε εθνικές ιστοσελίδες. Επιπλέον, ως εναλλακτικός τρόπος για την καθοδήγηση των χρηστών σε χρήσιμες πληροφορίες, θα εξακολουθήσει να είναι χρήσιμη η δημιουργία συνδέσμων μεταξύ των υφιστάμενων και συμπληρωματικών ιστότοπων ή ιστοσελίδων, εξορθολογίζοντας και ομαδοποιώντας τα όσο το δυνατόν περισσότερο, και τη δημιουργία συνδέσμων μεταξύ ιστοσελίδων ή ιστότοπων σε ενωσιακό και εθνικό επίπεδο για την παροχή πρόσβασης σε επιγραμμικές υπηρεσίες και πληροφορίες.

(57)

Ο παρών κανονισμός θα πρέπει επίσης να ορίζει απαιτήσεις ποιότητας για την κοινή διεπαφή χρήστη. Η Επιτροπή θα πρέπει να διασφαλίζει ότι η κοινή διεπαφή χρήστη συμμορφώνεται με τις εν λόγω απαιτήσεις και ιδίως ότι η διεπαφή θα πρέπει να είναι διαθέσιμη και προσβάσιμη επιγραμμικά μέσω διαφόρων διαύλων, καθώς και εύκολη στη χρήση της.

(58)

Προκειμένου να εξασφαλιστούν ενιαίες προϋποθέσεις για την εκτέλεση των τεχνικών λύσεων που στηρίζουν τη θύρα, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή για να καθορίζει, όπου είναι απαραίτητο, τα εφαρμοστέα πρότυπα και τις απαιτήσεις διαλειτουργικότητας, ώστε να διευκολύνεται ο εντοπισμός των πληροφοριών που αφορούν κανόνες και υποχρεώσεις, διαδικασίες και υπηρεσίες υποστήριξης και επίλυσης προβλημάτων στο πλαίσιο των αρμοδιοτήτων των κρατών μελών και της Επιτροπής. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011.

(59)

Ο παρών κανονισμός θα πρέπει επίσης να κατανέμει σαφώς ανάμεσα στην Επιτροπή και τα κράτη μέλη την ευθύνη για την ανάπτυξη, τη διαθεσιμότητα, τη συντήρηση και την ασφάλεια των εφαρμογών ΤΠΕ που υποστηρίζουν τη θύρα. Στο πλαίσιο των καθηκόντων συντήρησης, η Επιτροπή και τα κράτη μέλη θα πρέπει να παρακολουθούν τακτικά την ορθή λειτουργία των εφαρμογών ΤΠΕ.

(60)

Για να αναπτυχθεί το πλήρες δυναμικό που παρουσιάζουν οι διάφοροι τομείς των πληροφοριών, οι διαδικασίες και οι υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που θα πρέπει να περιλαμβάνονται στη θύρα, θα πρέπει να βελτιωθεί σημαντικά η γνώση που έχει το κοινό-στόχος όσον αφορά την ύπαρξη και λειτουργία τους. Η συμπερίληψή τους στη θύρα θα πρέπει να διευκολύνει κατά πολύ τους χρήστες στην εξεύρεση των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που χρειάζονται, ακόμη και όταν δεν είναι εξοικειωμένοι με καμία από αυτές. Επιπλέον, θα είναι αναγκαίες συντονισμένες δραστηριότητες προώθησης για να διασφαλιστεί ότι οι πολίτες και οι επιχειρήσεις σε ολόκληρη την Ένωση θα ενημερωθούν για την ύπαρξη της θύρας και τα πλεονεκτήματα που προσφέρει. Σε αυτές τις δραστηριότητες προώθησης θα πρέπει να περιλαμβάνονται η βελτιστοποίηση των μηχανών αναζήτησης και άλλες επιγραμμικές δράσεις ευαισθητοποίησης, καθώς είναι οι πιο αποδοτικές οικονομικά και έχουν τη δυνατότητα προσέγγισης του ευρύτερου δυνατού κοινού. Για τη μέγιστη δυνατή αποτελεσματικότητα, οι εν λόγω δραστηριότητες προώθησης θα πρέπει να συντονίζονται στο πλαίσιο της συντονιστικής ομάδας της θύρας, και τα κράτη μέλη θα πρέπει να προσαρμόζουν τις αντίστοιχες προσπάθειές τους ώστε να υπάρχει ένα κοινό σήμα αναφοράς σε όλα τα συναφή πλαίσια, με δυνατότητα παράλληλης χρήσης του σήματος της θύρας σε εθνικές πρωτοβουλίες.

(61)

Όλα τα θεσμικά και λοιπά όργανα, οργανισμοί και υπηρεσίες της Ένωσης θα πρέπει να ενθαρρύνονται να προωθήσουν τη θύρα περιλαμβάνοντας τον λογότυπό της και συνδέσμους προς αυτήν σε όλες τις σχετικές ιστοσελίδες για τις οποίες είναι αρμόδια.

(62)

Η ονομασία με την οποία η θύρα θα είναι γνωστή και θα προβάλλεται στο ευρύ κοινό θα πρέπει να είναι «Your Europe». Η κοινή διεπαφή χρήστη θα πρέπει να είναι ευδιάκριτη και να βρίσκεται εύκολα, ιδίως στις σχετικές ενωσιακές και εθνικές ιστοσελίδες. Ο λογότυπος της θύρας θα πρέπει να προβάλλεται στις σχετικές ενωσιακές και εθνικές ιστοσελίδες.

(63)

Προκειμένου να συγκεντρωθούν επαρκή στοιχεία για τη μέτρηση και τη βελτίωση των επιδόσεων της θύρας, ο παρών κανονισμός θα πρέπει να απαιτεί από τις αρμόδιες αρχές και από την Επιτροπή να συλλέγουν και να αναλύουν τα στοιχεία που αφορούν τη χρήση των διαφόρων τομέων πληροφοριών, των διαδικασιών και των υπηρεσιών που παρέχονται μέσω της θύρας. Η συλλογή στατιστικών στοιχείων των χρηστών, όπως είναι τα δεδομένα σχετικά με τον αριθμό επισκέψεων σε συγκεκριμένες ιστοσελίδες, τον αριθμό των χρηστών εντός ενός κράτους μέλους σε σύγκριση με τον αριθμό των χρηστών από άλλα κράτη μέλη, τους όρους αναζήτησης που χρησιμοποιούνται, τις ιστοσελίδες με τις περισσότερες επισκέψεις, τις ιστοσελίδες αναφοράς ή τον αριθμό, την προέλευση και το αντικείμενο των αιτημάτων υποστήριξης, θα πρέπει να βελτιώνει τη λειτουργία της θύρας βοηθώντας στον προσδιορισμό του κοινού, στην ανάπτυξη δραστηριοτήτων προώθησης και στη βελτίωση της ποιότητας των προσφερόμενων υπηρεσιών. Η συλλογή παρόμοιων στοιχείων θα πρέπει να λαμβάνει υπόψη την ετήσια συγκριτική αξιολόγηση ηλεκτρονικής διακυβέρνησης από την Επιτροπή προκειμένου να αποφεύγονται ενδεχόμενες επικαλύψεις.

(64)

Προκειμένου να διασφαλιστούν ενιαίες προϋποθέσεις για την εκτέλεση του παρόντος κανονισμού, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες για τη θέσπιση ενιαίων κανόνων σχετικά με τη μέθοδο συλλογής και ανταλλαγής στατιστικών στοιχείων των χρηστών. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011.

(65)

Η ποιότητα της θύρας εξαρτάται από την ποιότητα των ενωσιακών και εθνικών υπηρεσιών που παρέχονται μέσω της θύρας. Επομένως, η ποιότητα των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που είναι διαθέσιμες μέσω της θύρας θα πρέπει επίσης να παρακολουθείται τακτικά μέσω ενός εργαλείου ανατροφοδότησης των χρηστών το οποίο ζητά από τους χρήστες να αξιολογούν και να παρέχουν ανατροφοδότηση για την κάλυψη και την ποιότητα των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που έχουν χρησιμοποιήσει. Η εν λόγω ανατροφοδότηση θα πρέπει να συλλέγεται σε ένα κοινό εργαλείο, στο οποίο η Επιτροπή, οι αρμόδιες αρχές και οι εθνικοί συντονιστές θα πρέπει να έχουν πρόσβαση. Προκειμένου να εξασφαλιστούν ενιαίες προϋποθέσεις για την εκτέλεση του παρόντος κανονισμού σε σχέση με τις κοινές λειτουργίες των εργαλείων ανατροφοδότησης των χρηστών και τις πρακτικές λεπτομέρειες σχετικά με τη συλλογή και την ανταλλαγή της ανατροφοδότησης των χρηστών, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011. Η Επιτροπή θα πρέπει να δημοσιεύει σε ανώνυμη μορφή επιγραμμικές συνοπτικές επισκοπήσεις των προβλημάτων που ανακύπτουν από τις πληροφορίες, τα βασικά στατιστικά στοιχεία των χρηστών και την ανατροφοδότηση από τους χρήστες που συλλέγονται σύμφωνα με τον παρόντα κανονισμό.

(66)

Επιπλέον, η θύρα θα πρέπει να περιλαμβάνει ένα εργαλείο ανατροφοδότησης που να παρέχει τη δυνατότητα στους χρήστες να επισημαίνουν, οικειοθελώς και ανώνυμα, τυχόν προβλήματα και δυσκολίες που συναντούν κατά την άσκηση των δικαιωμάτων τους στην εσωτερική αγορά. Το εργαλείο αυτό θα πρέπει να θεωρείται μόνο ως συμπληρωματικό του μηχανισμού διεκπεραίωσης καταγγελιών, δεδομένου ότι δεν μπορεί να προσφέρει εξατομικευμένη απάντηση στους χρήστες. Οι παρατηρήσεις που θα λαμβάνονται θα πρέπει να συνδυάζονται με τις συγκεντρωτικές πληροφορίες που προέρχονται από τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων σχετικά με τις υποθέσεις τις οποίες διεκπεραίωσαν, ώστε να προκύπτει επισκόπηση της εσωτερικής αγοράς, όπως αυτή γίνεται αντιληπτή από τους χρήστες της, και να επισημαίνονται οι προβληματικοί τομείς με σκοπό την ανάληψη πιθανής δράσης στο μέλλον, προκειμένου να βελτιωθεί η λειτουργία της εσωτερικής αγοράς. Η επισκόπηση αυτή θα πρέπει να συνδέεται με υφιστάμενα εργαλεία υποβολής εκθέσεων όπως είναι ο πίνακας επιδόσεων της ενιαίας αγοράς.

(67)

Ο παρών κανονισμός δεν θα πρέπει να θίγει το δικαίωμα των κρατών μελών να αποφασίζουν ποιος θα ασκεί τον ρόλο του εθνικού συντονιστή. Τα κράτη μέλη θα πρέπει να μπορούν να προσαρμόζουν τις λειτουργίες και τις ευθύνες των εθνικών συντονιστών τους σε σχέση με τη θύρα προς τις εσωτερικές διοικητικές δομές τους. Τα κράτη μέλη θα πρέπει να μπορούν να διορίζουν επιπρόσθετους εθνικούς συντονιστές που θα εκτελούν τα καθήκοντα που προβλέπει ο παρών κανονισμός σε ατομικό ή σε συλλογικό επίπεδο, με αρμοδιότητα για υπηρεσία της δημόσιας διοίκησης ή γεωγραφική περιφέρεια, ή βάσει άλλων κριτηρίων. Τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή αναφορικά με την ταυτότητα του ενιαίου εθνικού συντονιστή που έχουν διορίσει υπεύθυνο για επαφές με την Επιτροπή.

(68)

Θα πρέπει να δημιουργηθεί η συντονιστική ομάδα της θύρας, η οποία θα απαρτίζεται από τους εθνικούς συντονιστές και θα προεδρεύεται από την Επιτροπή, με σκοπό να διευκολυνθεί η εφαρμογή του παρόντος κανονισμού, ιδίως με την ανταλλαγή βέλτιστων πρακτικών και τη συνεργασία για τη συνεκτικότερη παρουσίαση των πληροφοριών που απαιτούνται από τον παρόντα κανονισμό. Οι εργασίες της συντονιστικής ομάδας της θύρας θα πρέπει να λαμβάνουν υπόψη τους στόχους που καθορίζονται στο ετήσιο πρόγραμμα εργασίας, το οποίο η Επιτροπή θα πρέπει να της υποβάλλει προς εξέταση. Το ετήσιο πρόγραμμα εργασίας θα πρέπει να λαμβάνει τη μορφή κατευθυντήριων γραμμών ή συστάσεων χωρίς δεσμευτική ισχύ επί των κρατών μελών. Η Επιτροπή, έπειτα από αίτημα του Ευρωπαϊκού Κοινοβουλίου, μπορεί να αποφασίσει να καλέσει το Κοινοβούλιο να αποστείλει εμπειρογνώμονες για να παραστούν στις συνεδριάσεις της συντονιστικής ομάδας της θύρας.

(69)

Ο παρών κανονισμός θα πρέπει να διευκρινίζει ποια μέρη της θύρας θα χρηματοδοτούνται μέσω του ενωσιακού προϋπολογισμού και ποια τελούν υπό την ευθύνη των κρατών μελών. Η Επιτροπή θα πρέπει να επικουρεί τα κράτη μέλη ώστε να εντοπίζουν δομικά στοιχεία ΤΠΕ που μπορούν να επαναχρησιμοποιηθούν καθώς και διαθέσιμη χρηματοδότηση μέσω διαφόρων κονδυλίων και προγραμμάτων σε επίπεδο Ένωσης τα οποία μπορούν να συμβάλλουν ώστε να καλύπτεται το κόστος προσαρμογών και εξελίξεων στον τομέα ΤΠΕ απαραίτητων σε εθνικό επίπεδο για τη συμμόρφωση με τον παρόντα κανονισμό. Ο προϋπολογισμός που απαιτείται για την εφαρμογή του παρόντος κανονισμού θα πρέπει να είναι συμβατός με το ισχύον πολυετές δημοσιονομικό πλαίσιο.

(70)

Τα κράτη μέλη παροτρύνονται να ενισχύσουν τον συντονισμό, τις ανταλλαγές και τη συνεργασία μεταξύ τους ώστε να αυξηθούν επακολούθως οι στρατηγικές, επιχειρησιακές, ερευνητικές και αναπτυξιακές ικανότητές τους στον τομέα της ασφάλειας στον κυβερνοχώρο, ιδίως μέσω της εφαρμογής της ασφάλειας δικτύων και πληροφοριών, που αναφέρεται στην οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (27) με στόχο την ενίσχυση της ασφάλειας και της ανθεκτικότητάς της δημόσιας διοίκησης και των δημόσιων υπηρεσιών τους. Τα κράτη μέλη παροτρύνονται να αυξήσουν την ασφάλεια των συναλλαγών και να εξασφαλίσουν επαρκή βαθμό εμπιστοσύνης στα ηλεκτρονικά μέσα χρησιμοποιώντας το πλαίσιο eIDAS που καθορίζεται στον κανονισμό (ΕΕ) αριθ. 910/2014 και ιδίως επαρκή επίπεδα διασφάλισης. Τα κράτη μέλη μπορούν να λαμβάνουν μέτρα σύμφωνα με το ενωσιακό δίκαιο για την προστασία της κυβερνοασφάλειας και την πρόληψη της υποκλοπής ταυτότητας ή άλλων μορφών απάτης.

(71)

Στην περίπτωση που η εφαρμογή του παρόντος κανονισμού συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα πρέπει αυτή να διεξάγεται σύμφωνα με την ενωσιακή νομοθεσία σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, και ιδίως τον κανονισμό (ΕΕ) 2016/679 και τον κανονισμό (ΕΕ) 2018/1725. Η οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (28) θα πρέπει να εφαρμόζεται επίσης στο πλαίσιο του παρόντος κανονισμού. Όπως προβλέπεται από τον κανονισμό (ΕΕ) 2016/679, τα κράτη μέλη έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία δεδομένων που αφορούν την υγεία, μπορούν δε να θεσπίζουν πιο ειδικούς κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης.

(72)

Ο παρών κανονισμός θα πρέπει να προωθεί και να διευκολύνει τον εξορθολογισμό των ρυθμίσεων διακυβέρνησης για τις υπηρεσίες που καλύπτει η θύρα. Για τον σκοπό αυτόν, η Επιτροπή θα πρέπει, σε στενή συνεργασία με τα κράτη μέλη, να επανεξετάζει τις ισχύουσες ρυθμίσεις διακυβέρνησης και να τις προσαρμόζει όπου χρειάζεται, ώστε να αποφεύγεται η επικάλυψη ενεργειών και η αναποτελεσματικότητα.

(73)

Ο στόχος του παρόντος κανονισμού είναι να εξασφαλιστεί ότι οι χρήστες που δραστηριοποιούνται σε άλλα κράτη μέλη έχουν επιγραμμική πρόσβαση σε πλήρεις, αξιόπιστες, προσβάσιμες και κατανοητές ενωσιακές και εθνικές πληροφορίες σχετικά με τα δικαιώματα, τους κανόνες και τις υποχρεώσεις, σε επιγραμμικές διαδικασίες που είναι πλήρως λειτουργικές σε διασυνοριακό επίπεδο, καθώς και σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων. Δεδομένου ότι αυτός ο στόχος δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας και των αποτελεσμάτων του παρόντος κανονισμού, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, όπως ορίζεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας όπως διατυπώνεται στο ίδιο άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του στόχου αυτού.

(74)

Προκειμένου τα κράτη μέλη και η Επιτροπή να αναπτύξουν και να εφαρμόσουν τα αναγκαία εργαλεία για την εκτέλεση του παρόντος κανονισμού, ορισμένες από τις διατάξεις του θα πρέπει να εφαρμόζονται δύο έτη από την ημερομηνία έναρξης της ισχύος του. Στις δημοτικές αρχές θα πρέπει να δοθούν έως και τέσσερα έτη μετά την έναρξη ισχύος του παρόντος κανονισμού για να εφαρμοστεί η απαίτηση για την παροχή πληροφοριών σχετικά με τους κανόνες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων στο πλαίσιο των αρμοδιοτήτων τους. Οι διατάξεις του παρόντος κανονισμού σχετικά με τις διαδικασίες που πρέπει να προσφέρονται πλήρως επιγραμμικά, τη διασυνοριακή πρόσβαση σε επιγραμμικές διαδικασίες και το τεχνικό σύστημα για τη διασυνοριακή αυτοματοποιημένη ανταλλαγή δικαιολογητικών σύμφωνα με την αρχή «μόνον άπαξ» θα πρέπει να τεθούν σε εφαρμογή το αργότερο έως πέντε έτη μετά την έναρξη ισχύος του παρόντος κανονισμού.

(75)

Ο παρών κανονισμός σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται ειδικότερα από τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, και θα πρέπει να εφαρμόζεται σύμφωνα με τα εν λόγω δικαιώματα και αρχές.

(76)

Ζητήθηκε, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (29), η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε την 1η Αυγούστου 2017 (30),

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο

1.   Ο παρών κανονισμός θεσπίζει κανόνες για:

α)

τη δημιουργία και τη λειτουργία ενιαίας ψηφιακής θύρας που παρέχει στους πολίτες και στις επιχειρήσεις εύκολη πρόσβαση σε υψηλής ποιότητας πληροφόρηση, σε επαρκείς διαδικασίες και σε αποτελεσματικές υπηρεσίες υποστήριξης και επίλυσης προβλημάτων, καθώς και σε αποδοτικές διαδικασίες όσον αφορά τους ενωσιακούς και τους εθνικούς κανόνες που ισχύουν για τους πολίτες και τις επιχειρήσεις που ασκούν ή προτίθενται να ασκήσουν τα δικαιώματά τους που απορρέουν από το ενωσιακό δίκαιο στον τομέα της εσωτερικής αγοράς, κατά την έννοια του άρθρου 26 παράγραφος 2 ΣΛΕΕ,

β)

τη χρήση διαδικασιών από διασυνοριακούς χρήστες και την εφαρμογή της αρχής «μόνον άπαξ» σε σχέση με τις διαδικασίες που παρατίθενται στο παράρτημα II του παρόντος κανονισμού και τις διαδικασίες που προβλέπονται στις οδηγίες 2005/36/ΕΚ, 2006/123/ΕΚ, 2014/24/ΕΕ και 2014/25/ΕΕ,

γ)

την υποβολή εκθέσεων σχετικά με τα εμπόδια στην εσωτερική αγορά με βάση την ανατροφοδότηση από τους χρήστες και τη συλλογή στατιστικών στοιχείων από τις υπηρεσίες που περιλαμβάνονται στη θύρα.

2.   Όταν ο παρών κανονισμός έρχεται σε σύγκρουση με διάταξη άλλης ενωσιακής πράξης που διέπει ειδικές πτυχές του αντικειμένου που καλύπτεται από τον παρόντα κανονισμό, υπερισχύει η διάταξη της άλλης ενωσιακής πράξης.

3.   Ο παρών κανονισμός δεν θίγει την ουσία ούτε τα δικαιώματα που παρέχονται με κάθε διαδικασία που καθιερώνεται σε ενωσιακό ή εθνικό επίπεδο σε οποιονδήποτε τομέα καλύπτεται από τον παρόντα κανονισμό. Επιπλέον, ο παρών κανονισμός δεν θίγει τα μέτρα που λαμβάνονται σύμφωνα με το ενωσιακό δίκαιο για την προστασία της ασφάλειας στον κυβερνοχώρο και την πρόληψη της απάτης.

Άρθρο 2

Θέσπιση της ενιαίας ψηφιακής θύρας

1.   Σύμφωνα με τον παρόντα κανονισμό, θεσπίζεται ενιαία ψηφιακή θύρα («θύρα») από την Επιτροπή και τα κράτη μέλη. Η θύρα αποτελείται από κοινή διεπαφή χρήστη υπό τη διαχείριση της Επιτροπής («κοινή διεπαφή χρήστη») η οποία είναι ενσωματωμένη στην πύλη «Η Ευρώπη σου» και παρέχει πρόσβαση σε σχετικές ενωσιακές και εθνικές ιστοσελίδες.

2.   Η θύρα παρέχει πρόσβαση σε:

α)

πληροφορίες σχετικά με τα δικαιώματα, τις υποχρεώσεις και τους κανόνες που προβλέπονται από το ενωσιακό και το εθνικό δίκαιο και ισχύουν για τους χρήστες που ασκούν ή προτίθενται να ασκήσουν τα δικαιώματά τους που απορρέουν από το ενωσιακό δίκαιο όσον αφορά την εσωτερική αγορά στους τομείς που αναφέρονται στο παράρτημα I,

β)

πληροφορίες για επιγραμμικές και μη διαδικασίες και συνδέσμους για επιγραμμικές διαδικασίες, συμπεριλαμβανομένων των διαδικασιών που καλύπτει το παράρτημα II, που θεσπίζονται σε ενωσιακό ή εθνικό επίπεδο ώστε να δίνεται η δυνατότητα στους χρήστες να ασκούν τα δικαιώματα και να συμμορφώνονται με τις υποχρεώσεις τους και τους κανόνες στο πεδίο της εσωτερικής αγοράς σε τομείς που παρατίθενται στο παράρτημα I,

γ)

πληροφορίες και συνδέσμους για υπηρεσίες υποστήριξης και επίλυσης προβλημάτων οι οποίες απαριθμούνται στο παράρτημα III ή αναφέρονται στο άρθρο 7 και τις οποίες οι πολίτες και οι επιχειρήσεις θα μπορούν να χρησιμοποιούν σε περίπτωση ερωτήσεων ή προβλημάτων σχετικά με τα δικαιώματα, τις υποχρεώσεις, τους κανόνες ή τις διαδικασίες που αναφέρονται στα στοιχεία α) και β) της παρούσας παραγράφου.

3.   Η κοινή διεπαφή χρήστη είναι προσβάσιμη σε όλες τις επίσημες γλώσσες της Ένωσης.

Άρθρο 3

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού ισχύουν οι ακόλουθοι ορισμοί:

1)

«χρήστης»: είτε πολίτης της Ένωσης, φυσικό πρόσωπο που διαμένει σε κράτος μέλος ή νομικό πρόσωπο που έχει την καταστατική του έδρα σε κράτος μέλος, και το οποίο πρόσωπο χρησιμοποιεί τις πληροφορίες, τις διαδικασίες ή τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων, που αναφέρονται στο άρθρο 2 παράγραφος 2, μέσω της θύρας,

2)

«διασυνοριακός χρήστης»: χρήστης ευρισκόμενος σε μια κατάσταση που δεν περιορίζεται από κάθε άποψη εντός ενός και μόνο κράτους μέλους,

3)

«διαδικασία»: σειρά ενεργειών στις οποίες πρέπει να προβαίνουν οι χρήστες για να ανταποκριθούν στις απαιτήσεις ή να λάβουν απόφαση από αρμόδια αρχή, προκειμένου να είναι σε θέση να ασκήσουν τα δικαιώματά τους που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο α),

4)

«αρμόδια αρχή»: κάθε αρχή ή όργανο κράτους μέλους που έχει συσταθεί σε εθνικό, περιφερειακό ή τοπικό επίπεδο και έχει ειδικές αρμοδιότητες σε σχέση με τις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που καλύπτονται από τον παρόντα κανονισμό,

5)

«δικαιολογητικά»: κάθε έγγραφο ή στοιχείο, συμπεριλαμβανομένων κειμένου και ηχητικής, οπτικής ή οπτικοακουστικής εγγραφής, ανεξάρτητα από το χρησιμοποιούμενο μέσο, που απαιτείται από αρμόδια αρχή με στόχο να αποδειχθεί η αλήθεια των πραγματικών περιστατικών ή η συμμόρφωση με τις απαιτήσεις για τις διαδικασίες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β).

ΚΕΦΑΛΑΙΟ II

ΥΠΗΡΕΣΙΕΣ ΤΗΣ ΘΥΡΑΣ

Άρθρο 4

Πρόσβαση στις πληροφορίες

1.   Τα κράτη μέλη διασφαλίζουν ότι οι χρήστες έχουν εύκολη, επιγραμμική πρόσβαση στις εθνικές τους ιστοσελίδες στα ακόλουθα:

α)

πληροφορίες σχετικά με εκείνα τα δικαιώματα, τις υποχρεώσεις και τους κανόνες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο α) και που προκύπτουν από το εθνικό δίκαιο·

β)

πληροφορίες σχετικά με εκείνες τις διαδικασίες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β) και που καθιερώνονται σε εθνικό επίπεδο·

γ)

πληροφορίες σχετικά με εκείνες τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο γ) και που παρέχονται σε εθνικό επίπεδο.

2.   Η Επιτροπή μεριμνά ώστε η πύλη «Η Ευρώπη σου» να παρέχει στους χρήστες εύκολη, επιγραμμική πρόσβαση στα ακόλουθα:

α)

πληροφορίες σχετικά με εκείνα τα δικαιώματα, τις υποχρεώσεις και τους κανόνες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο α) που και προκύπτουν από το ενωσιακό δίκαιο·

β)

πληροφορίες σχετικά με εκείνες τις διαδικασίες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β) που και οι οποίες καθιερώνονται σε ενωσιακό επίπεδο·

γ)

πληροφορίες σχετικά με εκείνες τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο γ) που και οι οποίες παρέχονται σε ενωσιακό επίπεδο.

Άρθρο 5

Πρόσβαση στις πληροφορίες που δεν περιλαμβάνονται στο παράρτημα I

1.   Τα κράτη μέλη και η Επιτροπή μπορούν να παρέχουν συνδέσμους σε πληροφορίες σε τομείς που δεν απαριθμούνται στο παράρτημα I, οι οποίες παρέχονται από τις αρμόδιες αρχές, την Επιτροπή ή τα όργανα, τους οργανισμούς και τις υπηρεσίες της Ένωσης, υπό τον όρο ότι οι πληροφορίες αυτές εντάσσονται στο πεδίο της θύρας, όπως ορίζεται στο άρθρο 1 παράγραφος 1, και πληρούν τις απαιτήσεις ποιότητας που ορίζονται στο άρθρο 9.

2.   Οι σύνδεσμοι στις πληροφορίες που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου παρέχονται σύμφωνα με το άρθρο 19 παράγραφοι 2 και 3.

3.   Πριν την ενεργοποίηση οποιωνδήποτε συνδέσμων, η Επιτροπή εξακριβώνει κατά πόσον πληρούνται οι όροι της παραγράφου 1 και διαβουλεύεται με τη συντονιστική ομάδα της θύρας.

Άρθρο 6

Διαδικασίες που πρέπει να προσφέρονται πλήρως επιγραμμικά

1.   Κάθε κράτος μέλος μεριμνά ώστε οι χρήστες να μπορούν να έχουν πρόσβαση και να διεκπεραιώνουν τις διαδικασίες που παρατίθενται στο παράρτημα II πλήρως επιγραμμικά, εφόσον οι διαδικασίες αυτές έχουν θεσπιστεί στο εκάστοτε κράτος μέλος.

2.   Οι διαδικασίες που αναφέρονται στην παράγραφο 1 θεωρούνται πλήρως επιγραμμικές όταν:

α)

η ταυτοποίηση των χρηστών, η παροχή πληροφοριών και δικαιολογητικών, η υπογραφή και η τελική υποβολή μπορούν να γίνουν ηλεκτρονικά εξ αποστάσεως, μέσω διαύλου εξυπηρέτησης που επιτρέπει στους χρήστες να ανταποκριθούν σε όλες τις απαιτήσεις σχετικά με τη διαδικασία με εύχρηστο και δομημένο τρόπο,

β)

διασφαλίζεται η παροχή αυτόματης βεβαίωσης παραλαβής στους χρήστες, εκτός αν το αποτέλεσμα της διαδικασίας παραδίδεται αμέσως,

γ)

το αποτέλεσμα της διαδικασίας παραδίδεται ηλεκτρονικά ή, όταν αυτό απαιτείται από την ισχύον ενωσιακό ή εθνικό δίκαιο, παραδίδεται με φυσικά μέσα και

δ)

οι χρήστες ειδοποιούνται μέσω ηλεκτρονικής γνωστοποίησης για την ολοκλήρωση της διαδικασίας.

3.   Όταν, σε αιτιολογημένες εξαιρετικές περιπτώσεις επιτακτικών λόγων δημοσίου συμφέροντος στους τομείς της δημόσιας ασφάλειας, της δημόσιας υγείας ή της καταπολέμησης της απάτης, ο σκοπός που επιδιώκεται δεν μπορεί να επιτευχθεί πλήρως επιγραμμικά, τα κράτη μέλη μπορούν να απαιτήσουν από τον χρήστη να παρουσιαστεί αυτοπροσώπως ενώπιον της αρμόδιας αρχής ως διαδικαστικό βήμα. Στις εξαιρετικές αυτές περιπτώσεις, τα κράτη μέλη περιορίζουν την εν λόγω φυσική παρουσία στον απολύτως αναγκαίο και αντικειμενικά δικαιολογημένο βαθμό και διασφαλίζουν ότι άλλα στάδια της διαδικασίας μπορούν να διεκπεραιωθούν πλήρως επιγραμμικά. Τα κράτη μέλη διασφαλίζουν επίσης ότι οι απαιτήσεις φυσικής παρουσίας δεν συνεπάγονται διακρίσεις εις βάρος των διασυνοριακών χρηστών.

4.   Τα κράτη μέλη γνωστοποιούν και εξηγούν, μέσω κοινού αποθετηρίου προσβάσιμου από την Επιτροπή και τα άλλα κράτη μέλη, τους λόγους και τις περιστάσεις κατά τα οποία μπορεί να απαιτηθεί η φυσική παρουσία για τα διαδικαστικά βήματα που αναφέρονται στην παράγραφο 3 και τους λόγους και τις περιστάσεις κατά τα οποία είναι αναγκαία η φυσική παράδοση που αναφέρεται στην παράγραφο 2 στοιχείο γ).

5.   Το παρόν άρθρο δεν εμποδίζει τα κράτη μέλη από το να προσφέρουν στους χρήστες την πρόσθετη δυνατότητα της πρόσβασης και της διεκπεραίωσης των διαδικασιών που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β) με άλλον τρόπο εκτός του επιγραμμικού διαύλου, ούτε από το να έλθουν σε απευθείας επαφή με τους χρήστες.

Άρθρο 7

Πρόσβαση σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων

1.   Τα κράτη μέλη και η Επιτροπή μεριμνούν ώστε οι χρήστες, συμπεριλαμβανομένων των διασυνοριακών χρηστών, να έχουν εύκολη, επιγραμμική πρόσβαση μέσω διαφόρων διαύλων στις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο γ).

2.   Οι εθνικοί συντονιστές που αναφέρονται στο άρθρο 28 και η Επιτροπή μπορούν να παρέχουν συνδέσμους προς τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που παρέχονται από τις αρμόδιες αρχές, την Επιτροπή ή τα όργανα, τους οργανισμούς ή τις υπηρεσίες της Ένωσης, εκτός από αυτές που παρατίθενται στο παράρτημα III, σύμφωνα με το άρθρο 19 παράγραφοι 2 και 3, υπό την προϋπόθεση ότι οι εν λόγω υπηρεσίες πληρούν τις απαιτήσεις ποιότητας που καθορίζονται στα άρθρα 11 και 16.

3.   Όταν είναι αναγκαίο για την κάλυψη των αναγκών των χρηστών, ο εθνικός συντονιστής μπορεί να προτείνει στην Επιτροπή να συμπεριληφθούν στη θύρα σύνδεσμοι προς τις υπηρεσίες υποστήριξης και επίλυση προβλημάτων τις οποίες παρέχουν ιδιωτικοί ή ημι-ιδιωτικοί φορείς, όταν οι υπηρεσίες αυτές πληρούν τις ακόλουθες προϋποθέσεις:

α)

παρέχουν πληροφορίες ή υποστήριξη στο πλαίσιο των τομέων και για τους σκοπούς που καλύπτονται από τον παρόντα κανονισμό και είναι συμπληρωματικές προς τις υπηρεσίες που ήδη περιλαμβάνονται στη θύρα,

β)

παρέχονται δωρεάν ή σε τιμή που να είναι προσιτή για τις πολύ μικρές ή τις μικρές επιχειρήσεις, τους μη κερδοσκοπικούς οργανισμούς και τους πολίτες και

γ)

συμμορφώνονται με τις απαιτήσεις που καθορίζονται στα άρθρα 8, 11 και 16.

4.   Όταν ο εθνικός συντονιστής έχει προτείνει την προσθήκη συνδέσμου σύμφωνα με την παράγραφο 3 και παρέχει τον εν λόγω σύνδεσμο σύμφωνα με το άρθρο 19 παράγραφος 3, η Επιτροπή αξιολογεί κατά πόσον η υπηρεσία που προτείνεται να περιληφθεί μέσω του συνδέσμου πληροί τις προϋποθέσεις της παραγράφου 3 του παρόντος άρθρου και, αν ναι, ενεργοποιεί τον σύνδεσμο.

Εάν η Επιτροπή κρίνει ότι η υπηρεσία που προτείνεται να περιληφθεί δεν πληροί τις προϋποθέσεις της παραγράφου 3, ενημερώνει τον εθνικό συντονιστή σχετικά με τους λόγους για τους οποίους δεν ενεργοποίησε τον σύνδεσμο.

Άρθρο 8

Απαιτήσεις ποιότητας σχετικά με την προσβασιμότητα στο διαδίκτυο

Η Επιτροπή καθιστά πιο προσβάσιμους εκείνους τους ιστότοπους και τις ιστοσελίδες της μέσω των οποίων παρέχει πρόσβαση στις πληροφορίες που αναφέρονται στο άρθρο 4 παράγραφος 2 και στις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 7, προσδίδοντάς τους αντιληπτικότητα, λειτουργικότητα, κατανοησιμότητα και ευρωστία.

ΚΕΦΑΛΑΙΟ III

ΑΠΑΙΤΗΣΕΙΣ ΠΟΙΟΤΗΤΑΣ

ΤΜΗΜΑ 1

Απαιτήσεις ποιότητας για τις πληροφορίες σχετικά με τα δικαιώματα, τις υποχρεώσεις και τους κανόνες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων

Άρθρο 9

Ποιότητα των πληροφοριών σχετικά με τα δικαιώματα, τις υποχρεώσεις και τους κανόνες

1.   Όταν τα κράτη μέλη και η Επιτροπή έχουν την ευθύνη, σύμφωνα με το άρθρο 4, για τη διασφάλιση πρόσβασης στις πληροφορίες που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο α), εξασφαλίζουν ότι οι σχετικές πληροφορίες συμμορφώνονται με τις ακόλουθες απαιτήσεις:

α)

είναι εύχρηστες, παρέχοντας τη δυνατότητα στους χρήστες να βρίσκουν εύκολα και να κατανοούν τις πληροφορίες, καθώς και να εντοπίζουν εύκολα ποια τμήματα των πληροφοριών είναι συναφή με τη δική τους συγκεκριμένη περίπτωση,

β)

είναι ακριβείς και επαρκώς ολοκληρωμένες ώστε να καλύπτουν τις πληροφορίες που οι χρήστες πρέπει να γνωρίζουν για να ασκήσουν τα δικαιώματά τους σε πλήρη συμμόρφωση με τους ισχύοντες κανόνες και τις ισχύουσες υποχρεώσεις,

γ)

περιλαμβάνουν παραπομπές και/ή συνδέσμους στις νομικές πράξεις, τεχνικές προδιαγραφές και κατευθυντήριες γραμμές, κατά περίπτωση,

δ)

περιλαμβάνουν το όνομα της αρμόδιας αρχής ή του φορέα που είναι υπεύθυνοι για το περιεχόμενο των πληροφοριών,

ε)

περιλαμβάνουν τα στοιχεία επικοινωνίας κάθε σχετικής υπηρεσίας υποστήριξης και επίλυσης προβλημάτων, όπως αριθμό τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου, επιγραμμικό δελτίο υποβολής ερωτήσεων ή οποιοδήποτε άλλο συνήθως χρησιμοποιούμενο μέσο ηλεκτρονικής επικοινωνίας που είναι το πιο κατάλληλο για τον τύπο της προσφερόμενης υπηρεσίας και για το στοχευόμενο κοινό της υπηρεσίας αυτής,

στ)

περιλαμβάνουν την ημερομηνία της τελευταίας επικαιροποίησης των πληροφοριών, εάν συντρέχει λόγος, ή, εφόσον οι πληροφορίες δεν έχουν επικαιροποιηθεί, την ημερομηνία δημοσίευσης των πληροφοριών,

ζ)

είναι άρτια διαρθρωμένες και ευπαρουσίαστες, έτσι ώστε οι χρήστες να μπορούν να βρίσκουν γρήγορα αυτό που χρειάζονται,

η)

είναι επικαιροποιημένες και

θ)

έχουν σαφή και κατανοητή διατύπωση, προσαρμοσμένη στις ανάγκες των στοχευόμενων χρηστών.

2.   Τα κράτη μέλη καθιστούν τις πληροφορίες που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου προσβάσιμες σε επίσημη γλώσσα της Ένωσης ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, σύμφωνα με το άρθρο 12.

Άρθρο 10

Ποιότητα των πληροφοριών σχετικά με τις διαδικασίες

1.   Τα κράτη μέλη και η Επιτροπή, για τους σκοπούς της συμμόρφωσης με το άρθρο 4, μεριμνούν ώστε, προτού οι χρήστες χρειαστεί να ταυτοποιηθούν πριν από την εκκίνηση της διαδικασίας, να έχουν πρόσβαση σε επαρκώς ολοκληρωμένες, σαφείς και εύληπτες επεξηγήσεις όσον αφορά τα ακόλουθα στοιχεία, κατά περίπτωση, των διαδικασιών που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β):

α)

τα σχετικά στάδια της διαδικασίας τα οποία πρέπει να ακολουθήσει ο χρήστης, συμπεριλαμβανομένης κάθε εξαίρεσης, σύμφωνα με το άρθρο 6 παράγραφος 3, στην υποχρέωση των κρατών μελών να προσφέρουν τη διαδικασία πλήρως επιγραμμικά,

β)

το όνομα της αρμόδιας αρχής που είναι υπεύθυνη για τη διαδικασία, συμπεριλαμβανομένων των στοιχείων επικοινωνίας,

γ)

τα αποδεκτά μέσα εξακρίβωσης της ταυτότητας, ταυτοποίησης και υπογραφής για τη διαδικασία,

δ)

το είδος και τον μορφότυπο των δικαιολογητικών που πρέπει να υποβάλλονται,

ε)

τα έννομα μέσα προστασίας ή έφεσης που είναι γενικώς διαθέσιμα σε περίπτωση διαφοράς με τις αρμόδιες αρχές,

στ)

τα εφαρμοστέα τέλη και τον επιγραμμικό τρόπο πληρωμής,

ζ)

τυχόν προθεσμίες που πρέπει να τηρούνται από τον χρήστη ή από την αρμόδια αρχή και, εάν δεν υπάρχουν προθεσμίες, το μέσο, εκτιμώμενο ή ενδεικτικό χρονικό διάστημα που χρειάζεται η αρμόδια αρχή για να ολοκληρώσει τη διαδικασία,

η)

τυχόν κανόνες για την έλλειψη απάντησης από την αρμόδια αρχή και τις νομικές συνέπειες αυτής για τους χρήστες, συμπεριλαμβανομένης της σιωπηρής έγκρισης ή σιωπηρών διοικητικών διευθετήσεων,

θ)

κάθε επιπλέον γλώσσα στην οποία μπορεί να διεξαχθεί η διαδικασία.

2.   Εάν δεν υφίστανται σιωπηρή έγκριση, διοικητική σιωπή ή παρόμοιες ρυθμίσεις, οι αρμόδιες αρχές ενημερώνουν, κατά περίπτωση, τους χρήστες για τυχόν καθυστερήσεις και για κάθε παράταση των προθεσμιών ή τυχόν συνέπειές τους.

3.   Όταν οι επεξηγήσεις που αναφέρονται στην παράγραφο 1 είναι ήδη διαθέσιμες για τους μη διασυνοριακούς χρήστες, μπορούν να χρησιμοποιηθούν ή να επαναχρησιμοποιηθούν για τους σκοπούς του παρόντος κανονισμού, υπό τον όρο ότι καλύπτουν επίσης την κατάσταση των διασυνοριακών χρηστών, κατά περίπτωση.

4.   Οι αρμόδιες αρχές καθιστούν τις επεξηγήσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου προσβάσιμες σε επίσημη γλώσσα της Ένωσης ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, σύμφωνα με το άρθρο 12.

Άρθρο 11

Ποιότητα των πληροφοριών σχετικά με τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων

1.   Τα κράτη μέλη και η Επιτροπή, για τους σκοπούς της συμμόρφωσης με το άρθρο 4, μεριμνούν ώστε οι χρήστες, προτού υποβάλουν αίτημα για υπηρεσία που αναφέρεται στο άρθρο 2 παράγραφος 2 στοιχείο γ), να έχουν πρόσβαση σε σαφείς και εύληπτες επεξηγήσεις όσον αφορά τα ακόλουθα στοιχεία:

α)

το είδος, τον σκοπό και τα αναμενόμενα αποτελέσματα της παρεχόμενης υπηρεσίας,

β)

τα στοιχεία επικοινωνίας των φορέων που είναι υπεύθυνοι για την παροχή της υπηρεσίας όπως αριθμό τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου, επιγραμμικό δελτίο υποβολής ερωτήσεων ή οποιοδήποτε άλλο συνήθως χρησιμοποιούμενο μέσο ηλεκτρονικής επικοινωνίας που είναι το πιο κατάλληλο για τον τύπο της προσφερόμενης υπηρεσίας και για το στοχευόμενο κοινό της υπηρεσίας αυτής,

γ)

κατά περίπτωση, τα εφαρμοστέα τέλη και τον επιγραμμικό τρόπο πληρωμής,

δ)

τυχόν ισχύουσες προθεσμίες που πρέπει να τηρούνται και, εφόσον δεν υπάρχουν προθεσμίες, τον μέσο ή εκτιμώμενο χρόνο που απαιτείται για την παροχή της υπηρεσίας,

ε)

τυχόν επιπλέον γλώσσες στις οποίες μπορεί να υποβληθεί η αίτηση και οι οποίες μπορούν να χρησιμοποιηθούν σε μεταγενέστερη επικοινωνία.

2.   Τα κράτη μέλη καθιστούν τις επεξηγήσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου προσβάσιμες σε επίσημη γλώσσα της Ένωσης ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, σύμφωνα με το άρθρο 12.

Άρθρο 12

Μετάφραση πληροφοριών

1.   Σε περίπτωση που κράτος μέλος δεν παρέχει τις πληροφορίες, τις επεξηγήσεις και τις οδηγίες που ορίζονται στα άρθρα 9, 10 και 11, και στο άρθρο 13 παράγραφος 2 στοιχείο α) σε επίσημη γλώσσα της Ένωσης ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, το κράτος μέλος αυτό ζητεί από την Επιτροπή μεταφράσεις στη γλώσσα αυτή, εντός των ορίων του διαθέσιμου προϋπολογισμού της Ένωσης σύμφωνα με το άρθρο 32 παράγραφος 1 στοιχείο γ).

2.   Τα κράτη μέλη μεριμνούν ώστε τα κείμενα που υποβλήθηκαν για μετάφραση σύμφωνα με την παράγραφο 1 του παρόντος άρθρου να καλύπτουν τουλάχιστον τις βασικές πληροφορίες σε όλους τους τομείς που περιλαμβάνει το παράρτημα I και, εφόσον επαρκεί ο προϋπολογισμός της Ένωσης, να καλύπτουν ενδεχόμενες περαιτέρω πληροφορίες, επεξηγήσεις και οδηγίες που αναφέρονται στα άρθρα 9, 10 και 11 και στο άρθρο 13 παράγραφος 2 στοιχείο α), λαμβάνοντας υπόψη τις σημαντικότερες ανάγκες των διασυνοριακών χρηστών. Τα κράτη μέλη προσφέρουν στο αποθετήριο συνδέσμων του άρθρου 19 τους συνδέσμους προς τις εκάστοτε μεταφρασμένες πληροφορίες.

3.   Η γλώσσα που αναφέρεται στην παράγραφο 1 είναι η επίσημη γλώσσα της Ένωσης που μαθαίνεται σε ευρύτερη κλίμακα ως ξένη γλώσσα από τους χρήστες σε όλη την Ένωση. Κατ’ εξαίρεση, αν οι πληροφορίες, επεξηγήσεις ή οδηγίες που πρέπει να μεταφραστούν αναμένεται να είναι προεξέχοντος ενδιαφέροντος για τους διασυνοριακούς χρήστες που προέρχονται από ένα μόνο άλλο κράτος μέλος, η γλώσσα που αναφέρεται στην παράγραφο 1 μπορεί να είναι η επίσημη γλώσσα της Ένωσης που χρησιμοποιείται ως η πρώτη γλώσσα από τους εν λόγω διασυνοριακούς χρήστες.

4.   Όταν ένα κράτος μέλος ζητά μετάφραση σε επίσημη γλώσσα της Ένωσης που δεν είναι η γλώσσα που μαθαίνουν περισσότερο οι χρήστες ως ξένη γλώσσα σε όλη την Ένωση, αιτιολογεί δεόντως το αίτημά του. Εφόσον η Επιτροπή διαπιστώσει ότι δεν πληρούνται οι προϋποθέσεις που ορίζονται στην παράγραφο 3 για την επιλογή της εν λόγω άλλης γλώσσας, μπορεί να απορρίψει το αίτημα και ενημερώνει σχετικά το κράτος μέλος.

ΤΜΗΜΑ 2

Απαιτήσεις σχετικά με τις επιγραμμικεσ διαδικασίες

Άρθρο 13

Διασυνοριακή πρόσβαση σε επιγραμμικές διαδικασίες

1.   Τα κράτη μέλη διασφαλίζουν ότι, όταν μια διαδικασία που αναφέρεται στο άρθρο 2 παράγραφος 2 στοιχείο β) και καθιερώνεται σε εθνικό επίπεδο μπορεί να είναι προσβάσιμη και να διεκπεραιωθεί επιγραμμικά από τους μη διασυνοριακούς χρήστες, μπορεί επίσης να είναι προσβάσιμη και να διεκπεραιώνεται επιγραμμικά από τους διασυνοριακούς χρήστες μέσω της ίδιας ή εναλλακτικής τεχνικής λύσης κατά τρόπο που να μη δημιουργεί διακρίσεις.

2.   Τα κράτη μέλη εξασφαλίζουν ότι για τις διαδικασίες που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, πληρούνται τουλάχιστον οι ακόλουθες προϋποθέσεις:

α)

οι χρήστες έχουν τη δυνατότητα να έχουν πρόσβαση στις οδηγίες για την ολοκλήρωση της διαδικασίας σε μια επίσημη γλώσσα της Ένωσης που είναι ευρέως κατανοητή από τον μεγαλύτερο δυνατό αριθμό διασυνοριακών χρηστών, σύμφωνα με το άρθρο 12,

β)

οι διασυνοριακοί χρήστες είναι σε θέση να υποβάλλουν τις απαιτούμενες πληροφορίες, ακόμη και όταν η διάρθρωση των πληροφοριών αυτών διαφέρει από παρόμοιες πληροφορίες στο ενδιαφερόμενο κράτος μέλος,

γ)

οι διασυνοριακοί χρήστες είναι σε θέση να ταυτοποιούνται και να επαληθεύουν την ταυτότητά τους, να υπογράφουν ή να σφραγίζουν έγγραφα ηλεκτρονικά, όπως προβλέπεται στον κανονισμό (ΕΕ) αριθ. 910/2014, σε όλες τις περιπτώσεις όπου αυτό είναι δυνατόν και για τους μη διασυνοριακούς χρήστες,

δ)

οι διασυνοριακοί χρήστες έχουν τη δυνατότητα να υποβάλλουν δικαιολογητικά που να αποδεικνύουν τη συμμόρφωσή τους με τις ισχύουσες απαιτήσεις και να λαμβάνουν το αποτέλεσμα των διαδικασιών σε ηλεκτρονική μορφή σε όλες τις περιπτώσεις στις οποίες αυτό είναι επίσης δυνατόν για τους μη διασυνοριακούς χρήστες,

ε)

όταν απαιτείται πληρωμή για την ολοκλήρωση μιας διαδικασίας, οι διασυνοριακοί χρήστες έχουν τη δυνατότητα να καταβάλλουν τα αντίστοιχα τέλη επιγραμμικά μέσω ευρέως διαθέσιμων διασυνοριακών υπηρεσιών πληρωμών, χωρίς διάκριση με βάση τον τόπο εγκατάστασης του παρόχου της υπηρεσίας πληρωμών, τον τόπο έκδοσης του μέσου πληρωμών ή την τοποθεσία του λογαριασμού πληρωμών εντός της Ένωσης.

3.   Όταν η διαδικασία δεν απαιτεί ηλεκτρονική ταυτοποίηση ή εξακρίβωση ταυτότητας κατά την παράγραφο 2 στοιχείο γ) και όταν οι αρμόδιες αρχές μπορούν δυνάμει του ισχύοντος νόμου ή διοικητικών πρακτικών να κάνουν δεκτά ψηφιοποιημένα αντίγραφα μη ηλεκτρονικών αποδεικτικών στοιχείων ταυτότητας –όπως δελτίων ταυτότητας ή διαβατηρίων– όσον αφορά τους μη διασυνοριακούς χρήστες, οι εν λόγω αρχές επίσης κάνουν δεκτά τα αντίστοιχα ψηφιοποιημένα αντίγραφα όσον αφορά τους διασυνοριακούς χρήστες.

Άρθρο 14

Τεχνικό σύστημα για τη διασυνοριακή αυτοματοποιημένη ανταλλαγή δικαιολογητικών και εφαρμογή της αρχής «μόνον άπαξ»

1.   Για τον σκοπό της ανταλλαγής δικαιολογητικών στο πλαίσιο των επιγραμμικών διαδικασιών που παρατίθενται στο παράρτημα II του παρόντος κανονισμού και των διαδικασιών που προβλέπονται στις οδηγίες 2005/36/ΕΚ, 2006/123/ΕΚ, 2014/24/ΕΕ και 2014/25/ΕΕ, καθιερώνεται από την Επιτροπή σε συνεργασία με τα κράτη μέλη τεχνικό σύστημα για την αυτοματοποιημένη ανταλλαγή δικαιολογητικών μεταξύ των αρμόδιων αρχών στα διάφορα κράτη μέλη («τεχνικό σύστημα»).

2.   Όταν οι αρμόδιες αρχές εκδίδουν νομίμως, στο δικό τους κράτος μέλος και σε ηλεκτρονικό μορφότυπο που επιτρέπει την αυτοματοποιημένη ανταλλαγή, δικαιολογητικά τα οποία χρειάζονται για τις επιγραμμικές διαδικασίες που αναφέρονται στην παράγραφο 1, τότε καθιστούν τα εν λόγω δικαιολογητικά διαθέσιμα και στις αιτούσες αρμόδιες αρχές άλλων κρατών μελών σε ηλεκτρονικό μορφότυπο που επιτρέπει την αυτοματοποιημένη ανταλλαγή.

3.   Το τεχνικό σύστημα, κατά κύριο λόγο:

α)

καθιστά εφικτή τη διεκπεραίωση των αιτήσεων για δικαιολογητικά κατόπιν ρητού αιτήματος του χρήστη,

β)

καθιστά εφικτή τη διεκπεραίωση των αιτήσεων για την πρόσβαση σε δικαιολογητικά ή την ανταλλαγή δικαιολογητικών,

γ)

επιτρέπει τη διαβίβαση δικαιολογητικών μεταξύ των αρμόδιων αρχών,

δ)

επιτρέπει την επεξεργασία των δικαιολογητικών από την αιτούσα αρμόδια αρχή,

ε)

εγγυάται τον εμπιστευτικό χαρακτήρα και την ακεραιότητα των δικαιολογητικών,

στ)

παρέχει τη δυνατότητα προεπισκόπησης από τον χρήστη των δικαιολογητικών που πρόκειται να χρησιμοποιηθούν από την αιτούσα αρμόδια αρχή, καθώς και την επιλογή εάν θα προχωρήσει ή όχι στην ανταλλαγή των δικαιολογητικών,

ζ)

διασφαλίζει κατάλληλο επίπεδο διαλειτουργικότητας με άλλα συναφή συστήματα,

η)

διασφαλίζει υψηλό επίπεδο ασφάλειας για τη διαβίβαση και την επεξεργασία των δικαιολογητικών,

θ)

δεν επεξεργάζεται δικαιολογητικά πέραν του βαθμού που είναι τεχνικώς αναγκαίος για την ανταλλαγή των δικαιολογητικών, και τότε μόνο για το διάστημα που απαιτείται για τον σκοπό αυτό.

4.   Η χρήση του τεχνικού συστήματος δεν είναι υποχρεωτική για τους χρήστες και επιτρέπεται μόνο κατόπιν ρητού αιτήματός τους, εκτός εάν προβλέπεται κάτι διαφορετικό δυνάμει του ενωσιακού ή εθνικού δικαίου. Οι χρήστες έχουν τη δυνατότητα να υποβάλλουν δικαιολογητικά με άλλα μέσα εκτός του τεχνικού συστήματος και απευθείας στην αιτούσα αρμόδια αρχή.

5.   Η δυνατότητα προεπισκόπησης των δικαιολογητικών που αναφέρεται στο στοιχείο στ) της παραγράφου 3 του παρόντος άρθρου δεν απαιτείται για διαδικασίες στις οποίες η αυτοματοποιημένη διασυνοριακή ανταλλαγή δεδομένων χωρίς την προεπισκόπηση επιτρέπεται δυνάμει της εφαρμοστέας ενωσιακής ή εθνικής νομοθεσίας. Η εν λόγω δυνατότητα προεπισκόπησης των δικαιολογητικών δεν θίγει την υποχρέωση παροχής των πληροφοριών που απαιτούνται δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

6.   Τα κράτη μέλη εντάσσουν το πλήρως λειτουργικό τεχνικό σύστημα στις διαδικασίες που αναφέρονται στην παράγραφο 1.

7.   Οι αρμόδιες αρχές που είναι υπεύθυνες για τις επιγραμμικές διαδικασίες της παραγράφου 1 ζητούν, κατόπιν ρητού, ελεύθερα υποβαλλόμενου, συγκεκριμένου, εμπεριστατωμένου και αναντίρρητου αιτήματος του ενδιαφερόμενου χρήστη, δικαιολογητικά κατευθείαν από τις αρμόδιες αρχές έκδοσης δικαιολογητικών σε άλλα κράτη μέλη μέσω του τεχνικού συστήματος. Οι αρμόδιες αρχές έκδοσης που αναφέρονται στην παράγραφο 2 καθιστούν τα εν λόγω δικαιολογητικά διαθέσιμα μέσω του ίδιου συστήματος, σύμφωνα με την παράγραφο 3 στοιχείο ε).

8.   Τα δικαιολογητικά που διατίθενται στην αιτούσα αρμόδια αρχή περιορίζονται στις πληροφορίες που ζητήθηκαν και χρησιμοποιούνται μόνο από την εν λόγω αρχή για τους σκοπούς της διαδικασίας για την οποία ανταλλάχθηκαν τα εν λόγω δικαιολογητικά. Τα δικαιολογητικά που ανταλλάσσονται μέσω του τεχνικού συστήματος θεωρούνται, για τους σκοπούς της αιτούσας αρμόδιας αρχής, επιβεβαιωμένα.

9.   Έως τις 12 Ιουνίου 2021, η Επιτροπή εκδίδει εκτελεστικές πράξεις για τον καθορισμό των τεχνικών και λειτουργικών προδιαγραφών του τεχνικού συστήματος που είναι αναγκαίες για την εφαρμογή του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 37 παράγραφος 2.

10.   Οι παράγραφοι 1 έως 8 δεν εφαρμόζονται στις διαδικασίες που θεσπίζονται σε ενωσιακό επίπεδο και οι οποίες προβλέπουν διαφορετικούς μηχανισμούς για την ανταλλαγή δικαιολογητικών, εκτός εάν το τεχνικό σύστημα που είναι αναγκαίο για την εφαρμογή του παρόντος άρθρου έχει ενσωματωθεί στις εν λόγω διαδικασίες σύμφωνα με τους κανόνες των ενωσιακών πράξεων που τις θεσπίζουν.

11.   Η Επιτροπή και καθένα από τα κράτη μέλη έχουν την ευθύνη για τη διαχείριση της ανάπτυξης, της διαθεσιμότητας, της συντήρησης, της επίβλεψης, της παρακολούθησης και της ασφάλειας των αντίστοιχων τμημάτων του τεχνικού συστήματος.

Άρθρο 15

Επαλήθευση των δικαιολογητικών μεταξύ των κρατών μελών

Όταν το τεχνικό σύστημα ή άλλα συστήματα για την ανταλλαγή ή επαλήθευση των δικαιολογητικών μεταξύ των κρατών μελών δεν είναι διαθέσιμα ή δεν είναι εφαρμόσιμα ή όταν ο χρήστης δεν ζητεί τη χρήση του τεχνικού συστήματος, οι αρμόδιες αρχές συνεργάζονται μέσω του συστήματος πληροφόρησης για την εσωτερική αγορά (IMI), όταν είναι αναγκαίο για να επαληθευτεί η γνησιότητα των δικαιολογητικών που υποβλήθηκαν σε κάποια εξ αυτών σε ηλεκτρονική μορφή από τον χρήστη για τους σκοπούς της επιγραμμικής διαδικασίας.

ΤΜΗΜΑ 3

Απαιτήσεις ποιότητας για τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων

Άρθρο 16

Απαιτήσεις ποιότητας για τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων

Οι αρμόδιες αρχές και η Επιτροπή μεριμνούν, στο πλαίσιο των αντίστοιχων αρμοδιοτήτων τους, ώστε οι υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που παρατίθενται στο παράρτημα III και οι εν λόγω υπηρεσίες που έχουν συμπεριληφθεί στη θύρα σύμφωνα με το άρθρο 7 παράγραφοι 2, 3 και 4 να ανταποκρίνονται στις ακόλουθες απαιτήσεις ποιότητας:

α)

παρέχονται εντός εύλογης προθεσμίας λαμβανομένης υπόψη της περιπλοκότητας του αιτήματος,

β)

όταν παρατείνονται οι προθεσμίες, οι χρήστες ενημερώνονται εκ των προτέρων σχετικά με τους λόγους της παράτασης και για τη νέα προθεσμία που ορίζεται,

γ)

όταν απαιτείται πληρωμή για την παροχή μιας υπηρεσίας, οι χρήστες έχουν τη δυνατότητα να καταβάλλουν τα αντίστοιχα τέλη επιγραμμικά μέσω ευρέως διαθέσιμων διασυνοριακών υπηρεσιών πληρωμών, χωρίς διάκριση με βάση τον τόπο εγκατάστασης του παρόχου της υπηρεσίας πληρωμών, τον τόπο έκδοσης του μέσου πληρωμών ή την τοποθεσία του λογαριασμού πληρωμών εντός της Ένωσης.

ΤΜΗΜΑ 4

Παρακολούθηση της ποιότητας

Άρθρο 17

Παρακολούθηση της ποιότητας

1.   Οι εθνικοί συντονιστές που αναφέρονται στο άρθρο 28 και η Επιτροπή, εντός των αντίστοιχων αρμοδιοτήτων τους, παρακολουθούν τακτικά τη συμμόρφωση των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που διατίθενται μέσω της θύρας, με τις ποιοτικές απαιτήσεις που προβλέπονται στα άρθρα 8 έως 13 και στο άρθρο 16. Η παρακολούθηση διενεργείται με βάση τα στοιχεία που συλλέγονται σύμφωνα με τα άρθρα 24 και 25.

2.   Σε περίπτωση υποβάθμισης της ποιότητας των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στην παράγραφο 1 και οι οποίες παρέχονται από τις αρμόδιες αρχές, η Επιτροπή, συνυπολογίζοντας τη σοβαρότητα και τη διάρκεια της υποβάθμισης, μπορεί να λαμβάνει ένα ή περισσότερα από τα ακόλουθα μέτρα:

α)

να ενημερώνει τον οικείο εθνικό συντονιστή και να ζητεί τη λήψη μέτρων αποκατάστασης·

β)

να υποβάλλει προς συζήτηση στη συντονιστική ομάδα της θύρας συνιστώμενες ενέργειες για τη βελτίωση της συμμόρφωσης προς τις απαιτήσεις ποιότητας·

γ)

να αποστέλλει επιστολή με συστάσεις προς το οικείο κράτος μέλος·

δ)

να αποσυνδέει προσωρινά την πληροφορία, τη διαδικασία ή την υπηρεσία υποστήριξης και επίλυσης προβλημάτων από τη θύρα.

3.   Όταν η υπηρεσία υποστήριξης και επίλυσης προβλημάτων προς την οποία παρέχονται σύνδεσμοι σύμφωνα με το άρθρο 7 παράγραφος 3 συστηματικά δεν συμμορφώνεται με τις απαιτήσεις που καθορίζονται στα άρθρα 11 και 16, ή δεν καλύπτει πλέον τις ανάγκες των χρηστών, όπως υποδεικνύεται από τα στοιχεία που συλλέγονται σύμφωνα με τα άρθρα 24 και 25, η Επιτροπή μπορεί, κατόπιν διαβούλευσης με τον οικείο εθνικό συντονιστή και, κατά περίπτωση, με τη συντονιστική ομάδα της θύρας, να αποσυνδέει την εν λόγω υπηρεσία από τη θύρα.

ΚΕΦΑΛΑΙΟ IV

ΤΕΧΝΙΚΕΣ ΛΥΣΕΙΣ

Άρθρο 18

Κοινή διεπαφή χρήστη

1.   Η Επιτροπή, σε στενή συνεργασία με τα κράτη μέλη, παρέχει κοινή διεπαφή χρήστη, ενσωματωμένη στην πύλη «Η Ευρώπη σου», για να εξασφαλίζεται η ορθή λειτουργία της θύρας.

2.   Η κοινή διεπαφή χρήστη παρέχει πρόσβαση στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων μέσω συνδέσμων προς τους σχετικούς ενωσιακούς και εθνικούς δικτυακούς τόπους ή ιστοσελίδες που περιλαμβάνονται στο αποθετήριο συνδέσμων που αναφέρεται στο άρθρο 19.

3.   Τα κράτη μέλη και η Επιτροπή, ενεργώντας σύμφωνα με τους αντίστοιχους ρόλους και τις αρμοδιότητές τους, όπως προβλέπεται στο άρθρο 4, εξασφαλίζουν ότι οι πληροφορίες σχετικά με τους κανόνες και τις υποχρεώσεις, με τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων έχουν οργανωθεί και σημανθεί κατά τρόπο που βελτιώνει την ανεύρεσή τους μέσω της κοινής διεπαφής χρήστη.

4.   Η Επιτροπή διασφαλίζει ότι η κοινή διεπαφή χρήστη πληροί τις ακόλουθες απαιτήσεις ποιότητας:

α)

είναι εύχρηστη,

β)

είναι προσβάσιμη επιγραμμικά μέσω διαφόρων ηλεκτρονικών συσκευών,

γ)

αναπτύσσεται και βελτιστοποιείται για διάφορα προγράμματα περιήγησης στο διαδίκτυο (web browsers),

δ)

πληροί τις ακόλουθες απαιτήσεις προσβασιμότητας στο διαδίκτυο: αντιληπτικότητα, λειτουργικότητα, κατανοησιμότητα και ευρωστία.

5.   Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις με τις οποίες προσδιορίζονται οι απαιτήσεις διαλειτουργικότητας με σκοπό τη βελτίωση της ανεύρεσης των πληροφοριών σχετικά με τους κανόνες και τις υποχρεώσεις, με τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων μέσω της κοινής διεπαφής χρήστη. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 37 παράγραφος 2.

Άρθρο 19

Αποθετήριο συνδέσμων

1.   Η Επιτροπή, σε στενή συνεργασία με τα κράτη μέλη, εγκαθιδρύει και διατηρεί ηλεκτρονικό αποθετήριο για συνδέσμους στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 2 παράγραφος 2, αποθετήριο το οποίο καθιστά εφικτή τη σύνδεση μεταξύ των εν λόγω υπηρεσιών και της κοινής διεπαφής χρήστη.

2.   Η Επιτροπή παρέχει το αποθετήριο συνδέσμων με τους συνδέσμους στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων στις οποίες η πρόσβαση είναι εφικτή μέσω των ιστοσελίδων των οποίων η διαχείριση επιτυγχάνεται σε ενωσιακό επίπεδο, και μεριμνά για την ακρίβεια και την επικαιροποίηση των συνδέσμων αυτών.

3.   Οι εθνικοί συντονιστές παρέχουν το αποθετήριο συνδέσμων με τους συνδέσμους στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων στις οποίες η πρόσβαση είναι εφικτή μέσω των ιστοσελίδων τις οποίες διαχειρίζονται οι αρμόδιες αρχές ή οι ιδιωτικοί ή ημι-ιδιωτικοί φορείς που αναφέρονται στο άρθρο 7 παράγραφος 3, και μεριμνούν για την ακρίβεια και την επικαιροποίηση των συνδέσμων αυτών.

4.   Όταν είναι τεχνικά δυνατόν, η παροχή, που αναφέρεται στην παράγραφο 3, των συνδέσμων μπορεί να διεξάγεται αυτόματα μεταξύ των σχετικών συστημάτων των κρατών μελών και του αποθετηρίου συνδέσμων.

5.   Η Επιτροπή μεριμνά ώστε οι πληροφορίες που περιλαμβάνονται στο αποθετήριο συνδέσμων να δημοσιοποιούνται σε ανοικτό και μηχαναγνώσιμο μορφότυπο.

6.   Η Επιτροπή και οι εθνικοί συντονιστές διασφαλίζουν ότι οι σύνδεσμοι στις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που διατίθενται μέσω της θύρας δεν παρέχουν περιττές, πλήρεις ή μερικές, επικαλύψεις και επαναλήψεις ικανές να προκαλέσουν σύγχυση στους χρήστες.

7.   Όταν η δημοσιοποίηση των πληροφοριών που αναφέρονται στο άρθρο 4 προβλέπεται σε άλλες διατάξεις του ενωσιακού δικαίου, η Επιτροπή και οι εθνικοί συντονιστές μπορούν να παρέχουν συνδέσμους στις πληροφορίες αυτές για λόγους συμμόρφωσης με τις απαιτήσεις του εν λόγω άρθρου.

Άρθρο 20

Κοινός μηχανισμός εντοπισμού υπηρεσιών υποστήριξης

1.   Για να διευκολύνουν την πρόσβαση στις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που παρατίθενται στο παράρτημα III ή αναφέρονται στο άρθρο 7 παράγραφοι 2 και 3, οι αρμόδιες αρχές και η Επιτροπή μεριμνούν ώστε οι χρήστες να μπορούν να έχουν πρόσβαση στις εν λόγω υπηρεσίες μέσω κοινού μηχανισμού εντοπισμού των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων («κοινός μηχανισμός εντοπισμού υπηρεσιών υποστήριξης») ο οποίος είναι διαθέσιμος μέσω της θύρας.

2.   Η Επιτροπή δημιουργεί και διαχειρίζεται τον κοινό μηχανισμό εντοπισμού υπηρεσιών υποστήριξης και αποφασίζει για τη διάρθρωση και τη μορφή με την οποία πρέπει να υποβάλλονται οι περιγραφές και τα στοιχεία επικοινωνίας των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων, ώστε να καθίσταται εφικτή η εύρυθμη λειτουργία του κοινού μηχανισμού εντοπισμού υπηρεσιών υποστήριξης.

3.   Οι εθνικοί συντονιστές παρέχουν στην Επιτροπή τις περιγραφές και τα στοιχεία επικοινωνίας που αναφέρονται στην παράγραφο 2.

Άρθρο 21

Αρμοδιότητες ως προς τις εφαρμογές ΤΠΕ που υποστηρίζουν τη θύρα

1.   Η Επιτροπή είναι υπεύθυνη για την ανάπτυξη, τη διαθεσιμότητα, την παρακολούθηση, την επικαιροποίηση, τη συντήρηση, την ασφάλεια και τη φιλοξενία των ακόλουθων εφαρμογών ΤΠΕ και ιστοσελίδων:

α)

της πύλης «Η Ευρώπη σου», που αναφέρεται στο άρθρο 2 παράγραφος 1,

β)

της κοινής διεπαφής χρήστη, που αναφέρεται στο άρθρο 18 παράγραφος 1, συμπεριλαμβανομένης της μηχανής αναζήτησης ή οποιουδήποτε άλλου εργαλείου ΤΠΕ που παρέχει τη δυνατότητα αναζήτησης διαδικτυακών πληροφοριών και υπηρεσιών,

γ)

του αποθετηρίου συνδέσμων που αναφέρεται στο άρθρο 19 παράγραφος 1,

δ)

του κοινού μηχανισμού εντοπισμού υπηρεσιών υποστήριξης, που αναφέρεται στο άρθρο 20 παράγραφος 1,

ε)

των εργαλείων ανατροφοδότησης των χρηστών, που αναφέρονται στο άρθρο 25 παράγραφος 1 και στο άρθρο 26 παράγραφος 1 στοιχείο α).

Η Επιτροπή συνεργάζεται στενά με τα κράτη μέλη για την ανάπτυξη των εφαρμογών ΤΠΕ.

2.   Τα κράτη μέλη είναι υπεύθυνα για την ανάπτυξη, τη διαθεσιμότητα, την παρακολούθηση, την επικαιροποίηση, τη συντήρηση και την ασφάλεια των εφαρμογών ΤΠΕ που αφορούν τους εθνικούς ιστότοπους και ιστοσελίδες που διαχειρίζονται και που συνδέονται με την κοινή διεπαφή χρήστη.

ΚΕΦΑΛΑΙΟ V

ΠΡΟΩΘΗΣΗ

Άρθρο 22

Όνομα, λογότυπος και σήμα ποιότητας

1.   Η ονομασία με την οποία η θύρα πρόκειται να γίνει γνωστή και να προβάλλεται στο ευρύ κοινό είναι «Your Europe».

Ο λογότυπος με τον οποίο η θύρα πρόκειται να είναι γνωστή και να προβάλλεται στο κοινό αποφασίζεται από την Επιτροπή σε στενή συνεργασία με τη συντονιστική ομάδα της θύρας το αργότερο έως τις 12 Ιουνίου 2019.

Ο λογότυπος της θύρας και ο σύνδεσμος στη θύρα προβάλλονται και καθίστανται διαθέσιμοι στους σχετικούς ιστότοπους σε ενωσιακό και σε εθνικό επίπεδο που συνδέονται με τη θύρα.

2.   Ως αποδεικτικό στοιχείο της δέσμευσης για την εκπλήρωση των απαιτήσεων ποιότητας που αναφέρονται στα άρθρα 9, 10 και 11, το όνομα και ο λογότυπος της θύρας χρησιμεύουν επίσης ως σήμα ποιότητας. Ωστόσο ο λογότυπος της θύρας χρησιμοποιείται μόνο ως σήμα ποιότητας από τις ιστοσελίδες και ιστότοπους που περιλαμβάνονται στο αποθετήριο συνδέσμων του άρθρου 19.

Άρθρο 23

Προώθηση

1.   Τα κράτη μέλη και η Επιτροπή προωθούν την εκστρατεία ενημέρωσης σχετικά με τη θύρα και τη χρήση της θύρας μεταξύ των πολιτών και των επιχειρήσεων και διασφαλίζουν ότι η θύρα και οι πληροφορίες, οι διαδικασίες και οι υπηρεσίες υποστήριξης και επίλυσης προβλημάτων της προβάλλονται στο κοινό και μπορούν εύκολα να ανευρεθούν μέσω των μηχανών αναζήτησης στις οποίες έχει πρόσβαση το κοινό.

2.   Τα κράτη μέλη και η Επιτροπή συντονίζουν τις δραστηριότητες προώθησης της παραγράφου 1 και αναφέρονται στη θύρα και χρησιμοποιούν τον λογότυπό της στις εν λόγω δραστηριότητες, σε συνδυασμό με κάθε άλλο εμπορικό σήμα, κατά περίπτωση.

3.   Τα κράτη μέλη και η Επιτροπή διασφαλίζουν ότι η θύρα μπορεί εύκολα να ανευρεθεί μέσω των σχετικών δικτυακών τόπων των οποίων έχουν την ευθύνη και ότι, σε όλους τους σχετικούς δικτυακούς τόπους σε εθνικό και ενωσιακό επίπεδο, διατίθενται σαφείς σύνδεσμοι στην κοινή διεπαφή χρήστη.

4.   Οι εθνικοί συντονιστές προάγουν τη θύρα στο πλαίσιο των εθνικών αρμόδιων αρχών.

ΚΕΦΑΛΑΙΟ VI

ΣΥΛΛΟΓΗ ΑΝΑΤΡΟΦΟΔΟΤΗΣΗΣ ΑΠΟ ΤΟΥΣ ΧΡΗΣΤΕΣ ΚΑΙ ΣΤΑΤΙΣΤΙΚΩΝ ΣΤΟΙΧΕΙΩΝ ΓΙΑ ΤΟΥΣ ΧΡΗΣΤΕΣ

Άρθρο 24

Στατιστικά στοιχεία για τους χρήστες

1.   Οι αρμόδιες αρχές και η Επιτροπή εξασφαλίζουν ότι συλλέγονται στατιστικά στοιχεία σχετικά με τις επισκέψεις των χρηστών στη θύρα και στις ιστοσελίδες στις οποίες η θύρα παραπέμπει με συνδέσμους κατά τρόπο που να κατοχυρώνει την ανωνυμία των χρηστών, ώστε να βελτιωθεί η λειτουργικότητα της θύρας.

2.   Οι αρμόδιες αρχές, οι πάροχοι υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 7 παράγραφος 3 και η Επιτροπή συλλέγουν και ανταλλάσσουν, συγκεντρωτικά, στοιχεία που αφορούν τον αριθμό, την προέλευση και το αντικείμενο των αιτημάτων για υπηρεσίες υποστήριξης και επίλυσης προβλημάτων, καθώς και τον χρόνο απόκρισης στα εν λόγω αιτήματα.

3.   Τα στατιστικά στοιχεία που συλλέγονται σύμφωνα με τις παραγράφους 1 και 2 σε σχέση με τις πληροφορίες, τις διαδικασίες και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων στις οποίες παραπέμπει η θύρα με συνδέσμους περιλαμβάνουν τις ακόλουθες κατηγορίες δεδομένων:

α)

δεδομένα σχετικά με τον αριθμό, την προέλευση και το είδος των χρηστών της θύρας,

β)

δεδομένα σχετικά με τις προτιμήσεις και τις πορείες του χρήστη,

γ)

δεδομένα σχετικά με τη δυνατότητα χρησιμοποίησης, την ευρεσιμότητα και την ποιότητα των πληροφοριών, των διαδικασιών και των υπηρεσιών υποστήριξης και επίλυσης προβλημάτων.

Τα δεδομένα αυτά διατίθενται στο κοινό σε ανοικτό, κοινά χρησιμοποιούμενο και μηχανικώς αναγνώσιμο μορφότυπο.

4.   Η Επιτροπή εκδίδει εκτελεστικές πράξεις για τον καθορισμό της μεθόδου συλλογής και ανταλλαγής των στατιστικών στοιχείων των χρηστών που αναφέρονται στις παραγράφους 1, 2 και 3 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 37 παράγραφος 2.

Άρθρο 25

Ανατροφοδότηση από τους χρήστες σχετικά με τις υπηρεσίες της θύρας

1.   Για να συγκεντρώσει πληροφορίες απευθείας από τους χρήστες σχετικά με την ικανοποίησή τους ως προς τις υπηρεσίες που παρέχονται μέσω της θύρας και τις πληροφορίες που διατίθενται σε αυτήν, η Επιτροπή προσφέρει στους χρήστες μέσω της θύρας εύχρηστο εργαλείο ανατροφοδότησης που τους δίνει τη δυνατότητα, αμέσως μετά τη χρήση οποιασδήποτε υπηρεσίας αναφέρεται στο άρθρο 2 παράγραφος 2, να διατυπώσουν τα σχόλιά τους ανώνυμα σχετικά με την ποιότητα και τη διαθεσιμότητα τόσο των υπηρεσιών που παρέχονται μέσω της θύρας και των πληροφοριών που διατίθενται σε αυτήν όσο και της κοινής διεπαφής χρήστη.

2.   Οι αρμόδιες αρχές και η Επιτροπή μεριμνούν ώστε να παρέχεται στους χρήστες πρόσβαση στο εργαλείο της παραγράφου 1 σε όλες τις ιστοσελίδες που αποτελούν μέρος της θύρας.

3.   Η Επιτροπή, οι αρμόδιες αρχές και οι εθνικοί συντονιστές έχουν άμεση πρόσβαση ανατροφοδότηση από τους χρήστες η οποία συγκεντρώνεται μέσω του εργαλείου της παραγράφου 1, προκειμένου να είναι σε θέση να επιλύσουν τυχόν προβλήματα.

4.   Οι αρμόδιες αρχές δεν υποχρεούνται, στις ιστοσελίδες τους που αποτελούν τμήμα της θύρας, να παρέχουν πρόσβαση στο εργαλείο ανατροφοδότησης των χρηστών της παραγράφου 1, στην περίπτωση που ένα άλλο εργαλείο ανατροφοδότησης των χρηστών με λειτουργίες παρόμοιες με αυτές του εργαλείου ανατροφοδότησης των χρηστών της παραγράφου 1 παρέχεται ήδη στις ιστοσελίδες τους για σκοπούς παρακολούθησης της ποιότητας των υπηρεσιών. Οι αρμόδιες αρχές συλλέγουν την ανατροφοδότηση από τους χρήστες που λαμβάνεται μέσω του δικού τους εργαλείου ανατροφοδότησης και την κοινοποιούν στην Επιτροπή και στους εθνικούς συντονιστές των άλλων κρατών μελών.

5.   Η Επιτροπή εκδίδει εκτελεστικές πράξεις για τον καθορισμό κανόνων που διέπουν τη συλλογή και την ανταλλαγή ανατροφοδότησης από τους χρήστες. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 37 παράγραφος 2.

Άρθρο 26

Υποβολή εκθέσεων σχετικά με τη λειτουργία της εσωτερικής αγοράς

1.   Η Επιτροπή:

α)

παρέχει στους χρήστες της θύρας εύχρηστο εργαλείο, ώστε να επισημαίνουν και να παρέχουν ανώνυμα ανατροφοδότηση για τυχόν εμπόδια που συναντούν κατά την άσκηση των δικαιωμάτων τους στην εσωτερική αγορά,

β)

συλλέγει συγκεντρωτικές πληροφορίες από τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που αποτελούν μέρος της θύρας σχετικά με το αντικείμενο των αιτημάτων και τις απαντήσεις που δίνονται σε αυτά.

2.   Η Επιτροπή, οι αρμόδιες αρχές και οι εθνικοί συντονιστές έχουν άμεση πρόσβαση στην ανατροφοδότηση που συλλέγεται σύμφωνα με την παράγραφο 1 στοιχείο α).

3.   Τα κράτη μέλη και η Επιτροπή αναλύουν και διερευνούν τα προβλήματα που υποδεικνύονται από τους χρήστες δυνάμει του παρόντος άρθρου και τα επιλύουν, όταν αυτό είναι δυνατόν, με τα κατάλληλα μέσα.

Άρθρο 27

Επιγραμμικές συνοπτικές επισκοπήσεις

Η Επιτροπή δημοσιεύει σε ανώνυμη μορφή επιγραμμικές συνοπτικές επισκοπήσεις των προβλημάτων που ανακύπτουν από τις πληροφορίες οι οποίες συλλέγονται σύμφωνα με το άρθρο 26 παράγραφος 1, τα βασικά στατιστικά στοιχεία σχετικά με τους χρήστες που αναφέρονται στο άρθρο 24 και την κύριες ανατροφοδότηση από τους χρήστες που αναφέρεται στο άρθρο 25.

ΚΕΦΑΛΑΙΟ VII

ΔΙΑΚΥΒΕΡΝΗΣΗ ΤΗΣ ΘΥΡΑΣ

Άρθρο 28

Εθνικοί συντονιστές

1.   Κάθε κράτος μέλος ορίζει εθνικό συντονιστή. Οι εθνικοί συντονιστές, εκτός από τις υποχρεώσεις που υπέχουν σύμφωνα με τα άρθρα 7, 17, 19, 20, 23 και 25:

α)

ενεργούν ως σημεία επαφής για τις αντίστοιχες διοικήσεις τους για όλα τα θέματα που συνδέονται με τη θύρα,

β)

προωθούν την ενιαία εφαρμογή των άρθρων 9 έως 16 από τις αντίστοιχες αρμόδιες αρχές τους,

γ)

διασφαλίζουν ότι οι συστάσεις που αναφέρονται στο άρθρο 17 παράγραφος 2 στοιχείο γ) εφαρμόζονται ορθά.

2.   Κάθε κράτος μέλος μπορεί, σύμφωνα με την εσωτερική διοικητική του διάρθρωση, να διορίζει έναν ή περισσότερους συντονιστές για να εκτελούν οποιαδήποτε από τα καθήκοντα που απαριθμούνται στην παράγραφο 1. Ένας εθνικός συντονιστής για κάθε κράτος μέλος είναι υπεύθυνος για τις επαφές με την Επιτροπή για όλα τα θέματα που αφορούν τη θύρα.

3.   Κάθε κράτος μέλος ενημερώνει τα άλλα κράτη μέλη και την Επιτροπή σχετικά με το όνομα και τα στοιχεία επικοινωνίας του εθνικού συντονιστή του.

Άρθρο 29

Συντονιστική ομάδα

Θεσπίζεται συντονιστική ομάδα («συντονιστική ομάδα της θύρας»). Αποτελείται από έναν εθνικό συντονιστή από κάθε κράτος μέλος και προεδρεύεται από εκπρόσωπο της Επιτροπής. Η συντονιστική ομάδα θεσπίζει τον εσωτερικό της κανονισμό. Η Επιτροπή παρέχει τη γραμματειακή υποστήριξη.

Άρθρο 30

Καθήκοντα της συντονιστικής ομάδας της θύρας

1.   Η συντονιστική ομάδα της θύρας υποστηρίζει την υλοποίηση του παρόντος κανονισμού. Ειδικότερα:

α)

διευκολύνει την ανταλλαγή και την τακτική επικαιροποίηση των βέλτιστων πρακτικών,

β)

ενθαρρύνει την υιοθέτηση πλήρως επιγραμμικών διαδικασιών πέραν των όσων περιλαμβάνονται στο παράρτημα II του παρόντος κανονισμού και επιγραμμικών μέσων εξακρίβωσης της ταυτότητας, ταυτοποίησης και υπογραφής, ιδίως εκείνων που προβλέπονται στον κανονισμό (ΕΕ) αριθ. 910/2014,

γ)

εξετάζει βελτιώσεις στη φιλική προς τον χρήστη παρουσίαση των πληροφοριών στο πλαίσιο των τομέων που αναφέρονται στο παράρτημα I, ιδίως με βάση τα δεδομένα που συλλέγονται σύμφωνα με τα άρθρα 24 και 25,

δ)

επικουρεί την Επιτροπή στην ανάπτυξη των κοινών λύσεων ΤΠΕ που υποστηρίζουν τη θύρα,

ε)

εξετάζει το σχέδιο ετήσιου προγράμματος εργασίας,

στ)

επικουρεί την Επιτροπή στην παρακολούθηση της υλοποίησης του ετήσιου προγράμματος εργασίας,

ζ)

εξετάζει περαιτέρω πληροφορίες που παρέχονται σύμφωνα με το άρθρο 5 με στόχο την ενθάρρυνση άλλων κρατών μελών να παρέχουν παρόμοιες πληροφορίες, εφόσον είναι σημαντικές για τους χρήστες,

η)

επικουρεί την Επιτροπή στην παρακολούθηση της συμμόρφωσης με τις απαιτήσεις που καθορίζονται στα άρθρα 8 έως 16, σύμφωνα με το άρθρο 17,

θ)

ενημερώνει σχετικά με την εφαρμογή του άρθρου 6 παράγραφος 1,

ι)

εξετάζει και συνιστά δράσεις στις αρμόδιες αρχές και στην Επιτροπή, ώστε να αποφεύγεται ή να εξαλείφεται η περιττή επικάλυψη των υπηρεσιών που παρέχονται μέσω της θύρας,

ια)

γνωμοδοτεί σχετικά με διαδικασίες ή μέτρα, ώστε να αντιμετωπίζονται αποτελεσματικά τυχόν προβλήματα που παρουσιάζονται ως προς την ποιότητα των υπηρεσιών και τα οποία επισημαίνονται από τους χρήστες, ή υποβάλλει προτάσεις για τη βελτίωσή της,

ιβ)

εξετάζει την εφαρμογή των αρχών της ασφάλειας εκ σχεδιασμού και της ιδιωτικότητας εκ σχεδιασμού στο πλαίσιο του παρόντος κανονισμού,

ιγ)

εξετάζει θέματα που αφορούν τη συλλογή της ανατροφοδότησης από τους χρήστες και των στατιστικών στοιχείων για τους χρήστες που αναφέρονται στα άρθρα 24 και 25, ούτως ώστε οι υπηρεσίες που παρέχονται σε ενωσιακό και σε εθνικό επίπεδο να βελτιώνονται συνεχώς,

ιδ)

εξετάζει θέματα που αφορούν τις απαιτήσεις ποιότητας για τις υπηρεσίες που παρέχονται μέσω της θύρας,

ιε)

ανταλλάσσει βέλτιστες πρακτικές και επικουρεί την Επιτροπή στην οργάνωση, τη διάρθρωση και την παρουσίαση των υπηρεσιών του άρθρου 2 παράγραφος 2, ώστε να καταστεί δυνατή η ορθή λειτουργία της κοινής διεπαφής χρήστη,

ιστ)

διευκολύνει την ανάπτυξη και την εφαρμογή της συντονισμένης προώθησης,

ιζ)

συνεργάζεται με τα όργανα διακυβέρνησης ή τα δίκτυα για τις υπηρεσίες πληροφοριών και τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων,

ιη)

εκπονεί κατευθυντήριες γραμμές ως προς την επιπλέον επίσημη γλώσσα ή γλώσσες της Ένωσης που θα χρησιμοποιούν οι αρμόδιες αρχές σύμφωνα με το άρθρο 9 παράγραφος 2, το άρθρο 10 παράγραφος 4 και το άρθρο 11 παράγραφος 2, καθώς και με το άρθρο 13 παράγραφος 2 στοιχείο α).

2.   Η Επιτροπή μπορεί να ζητεί τη γνώμη της συντονιστικής ομάδας της θύρας για κάθε ζήτημα που αφορά την εφαρμογή του παρόντος κανονισμού.

Άρθρο 31

Ετήσιο πρόγραμμα εργασιών

1.   Η Επιτροπή εγκρίνει το ετήσιο πρόγραμμα εργασίας, το οποίο καθορίζει, ιδίως:

α)

δράσεις για τη βελτίωση της παρουσίασης των ειδικών πληροφοριών στο πλαίσιο των τομέων που αναφέρονται στο παράρτημα I και δράσεις για τη διευκόλυνση της έγκαιρης εφαρμογής από τις αρμόδιες αρχές όλων των επιπέδων, συμπεριλαμβανομένου του επιπέδου των δήμων, των απαιτήσεων για την παροχή πληροφοριών,

β)

δράσεις για να διευκολύνεται η συμμόρφωση με τα άρθρα 6 και 13,

γ)

δράσεις που απαιτούνται για να εξασφαλίζεται η συστηματική συμμόρφωση με τις απαιτήσεις που καθορίζονται στα άρθρα 9 έως 12,

δ)

δραστηριότητες σχετικά με την προώθηση της θύρας σύμφωνα με το άρθρο 23.

2.   Κατά την κατάρτιση του σχεδίου ετήσιου προγράμματος εργασίας, η Επιτροπή λαμβάνει υπόψη τα στατιστικά στοιχεία για τους χρήστες και την ανατροφοδότηση από τους χρήστες που συλλέγονται σύμφωνα με τα άρθρα 24 και 25, και τυχόν προτάσεις που υποβάλλονται από τα κράτη μέλη. Η Επιτροπή υποβάλλει το σχέδιο ετήσιου προγράμματος εργασίας στη συντονιστική ομάδα της θύρας προς συζήτηση πριν από την έγκρισή του.

ΚΕΦΑΛΑΙΟ VIII

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 32

Δαπάνες

1.   Ο γενικός προϋπολογισμός της Ευρωπαϊκής Ένωσης καλύπτει τις δαπάνες που συνεπάγονται:

α)

η ανάπτυξη και η συντήρηση εργαλείων ΤΠΕ που υποστηρίζουν την εφαρμογή του παρόντος κανονισμού σε ενωσιακό επίπεδο,

β)

η προώθηση της θύρας σε ενωσιακό επίπεδο,

γ)

η μετάφραση των πληροφοριών, των επεξηγήσεων και των οδηγιών σύμφωνα με το άρθρο 12 εντός των ορίων ενός μέγιστου ετήσιου όγκου ανά κράτος μέλος, με την επιφύλαξη πιθανής ανακατανομής των πιστώσεων εφόσον είναι αναγκαίο για να διασφαλιστεί η πλήρης αξιοποίηση του διαθέσιμου προϋπολογισμού.

2.   Το κόστος που συνεπάγονται οι εθνικές διαδικτυακές πύλες, οι ενημερωτικές πλατφόρμες, οι υπηρεσίες υποστήριξης και οι διαδικασίες που θεσπίζονται σε επίπεδο κρατών μελών καλύπτεται από τους αντίστοιχους προϋπολογισμούς των κρατών μελών, εκτός εάν ορίζεται διαφορετικά στην ενωσιακή νομοθεσία.

Άρθρο 33

Προστασία δεδομένων προσωπικού χαρακτήρα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές στο πλαίσιο του παρόντος κανονισμού συμμορφώνεται με τον κανονισμό (ΕΕ) 2016/679. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Επιτροπή στο πλαίσιο του παρόντος κανονισμού συμμορφώνονται με τις διατάξεις του κανονισμού (ΕΕ) 2018/1725.

Άρθρο 34

Συνεργασία με άλλα δίκτυα πληροφοριών και υποστήριξης

1.   Κατόπιν διαβούλευσης με τα κράτη μέλη, η Επιτροπή αποφασίζει ποιες από τις υπάρχουσες άτυπες ρυθμίσεις διακυβέρνησης για οποιαδήποτε από τις υπηρεσίες υποστήριξης και επίλυσης προβλημάτων που παρατίθενται στο παράρτημα III ή για οποιονδήποτε από τους τομείς πληροφοριών που αναφέρονται στο παράρτημα I θα ανήκουν στην αρμοδιότητα της συντονιστικής ομάδας της θύρας.

2.   Όταν οι υπηρεσίες ή τα δίκτυα πληροφοριών και υποστήριξης έχουν δημιουργηθεί με νομικά δεσμευτική ενωσιακή πράξη για οποιονδήποτε από τους τομείς πληροφοριών που αναφέρονται στο παράρτημα I, η Επιτροπή συντονίζει τις εργασίες της συντονιστικής ομάδας της θύρας και των οργάνων διακυβέρνησης των εν λόγω υπηρεσιών ή δικτύων με σκοπό την επίτευξη συνεργειών και την αποφυγή επικαλύψεων.

Άρθρο 35

Σύστημα πληροφόρησης για την εσωτερική αγορά

1.   Το σύστημα πληροφόρησης για την εσωτερική αγορά (IMI), που θεσπίσθηκε με τον κανονισμό (ΕΕ) αριθ. 1024/2012, χρησιμοποιείται για τους σκοπούς του άρθρου 6 παράγραφος 4 και του άρθρου 15 και σύμφωνα με τα άρθρα αυτά.

2.   Η Επιτροπή μπορεί να αποφασίσει να χρησιμοποιείται το ΙΜΙ ως το ηλεκτρονικό αποθετήριο συνδέσμων, όπως αναφέρεται στο άρθρο 19 παράγραφος 1.

Άρθρο 36

Υποβολή εκθέσεων και επανεξέταση

Έως τις 12 Δεκεμβρίου 2022 και, στη συνέχεια, κάθε δύο έτη, η Επιτροπή επανεξετάζει την εφαρμογή του παρόντος κανονισμού και υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο έκθεση αξιολόγησης σχετικά με τη λειτουργία της θύρας και τη λειτουργία της εσωτερικής αγοράς με βάση τα στατιστικά στοιχεία και την ανατροφοδότηση που έχουν συλλεγεί σύμφωνα με τα άρθρα 24, 25 και 26. Ειδικότερα, η επανεξέταση αξιολογεί το πεδίο εφαρμογής του άρθρου 14, λαμβάνοντας υπόψη τις τεχνολογικές, εμπορικές και νομοθετικές εξελίξεις σχετικά με τη διαβίβαση δικαιολογητικών μεταξύ των αρμόδιων αρχών.

Άρθρο 37

Διαδικασία επιτροπής

1.   Η Επιτροπή επικουρείται από επιτροπή. Πρόκειται για επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.   Όταν γίνεται μνεία στην παρούσα παράγραφο, εφαρμόζεται άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

Άρθρο 38

Τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012

Ο κανονισμός (ΕΕ) αριθ. 1024/2012 τροποποιείται ως εξής:

1)

Το άρθρο 1 αντικαθίσταται από το ακόλουθο κείμενο:

«Άρθρο 1

Αντικείμενο

Ο παρών κανονισμός ορίζει κανόνες για τη χρήση του συστήματος πληροφόρησης για την εσωτερική αγορά (“ΙΜΙ”) με σκοπό τη διοικητική συνεργασία μεταξύ των φορέων του ΙΜΙ, συμπεριλαμβανομένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.».

2)

Στο άρθρο 3, η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1.   Το ΙΜΙ χρησιμοποιείται για την ανταλλαγή πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, μεταξύ των φορέων του ΙΜΙ, και για την επεξεργασία των εν λόγω πληροφοριών για έναν από τους ακόλουθους σκοπούς:

α)

τη διοικητική συνεργασία που απαιτείται σύμφωνα με τις πράξεις που αναφέρονται στο παράρτημα,

β)

τη διοικητική συνεργασία στο πλαίσιο πιλοτικού έργου που εκτελείται σύμφωνα με το άρθρο 4.».

3)

Στο άρθρο 5, το δεύτερο εδάφιο τροποποιείται ως εξής:

α)

το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α)

“ΙΜΙ”: το ηλεκτρονικό μέσο που παρέχει η Επιτροπή για τη διευκόλυνση της διοικητικής συνεργασίας μεταξύ φορέων IΜΙ·»,

β)

το στοιχείο β) αντικαθίσταται από το ακόλουθο κείμενο:

«β)

“διοικητική συνεργασία”: η συνεργασία μεταξύ των φορών του ΙΜΙ μέσω της ανταλλαγής και της επεξεργασίας πληροφοριών, με στόχο την καλύτερη εφαρμογή του ενωσιακού δικαίου·»,

γ)

το στοιχείο ζ) αντικαθίσταται από το ακόλουθο κείμενο:

«ζ)

“φορείς του IMI”: οι αρμόδιες αρχές, οι συντονιστές του ΙΜΙ, η Επιτροπή και τα όργανα, οι οργανισμοί και οι υπηρεσίες της Ένωσης·».

4)

Στο άρθρο 8 παράγραφος 1, προστίθεται το ακόλουθο στοιχείο:

«στ)

διασφάλιση συντονισμού με όργανα, οργανισμούς και υπηρεσίες της Ένωσης και παροχή σε αυτά πρόσβασης στο ΙΜΙ.».

5)

Στο άρθρο 9, η παράγραφος 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4.   Τα κράτη μέλη, η Επιτροπή και τα όργανα, οι οργανισμοί και οι υπηρεσίες της Ένωσης θέτουν σε εφαρμογή τα κατάλληλα μέσα, ώστε να εξασφαλίζεται ότι οι χρήστες του ΙΜΙ έχουν το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο ΙΜΙ μόνο για ενημερωτικούς σκοπούς και εντός του τομέα ή των τομέων της εσωτερικής αγοράς για τους οποίους τους παραχωρήθηκαν δικαιώματα πρόσβασης σύμφωνα με την παράγραφο 3.».

6)

Το άρθρο 21 τροποποιείται ως εξής:

α)

η παράγραφος 2 αντικαθίσταται από το ακόλουθο κείμενο:

«2.   Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει το καθήκον να παρακολουθεί και να εξασφαλίζει την εφαρμογή του παρόντος κανονισμού, όταν η Επιτροπή ή όργανα, οργανισμοί και υπηρεσίες της Ένωσης, υπό την ιδιότητά τους ως φορέων του ΙΜΙ, επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Τα καθήκοντα και οι αρμοδιότητες που αναφέρονται στα άρθρα 57 και 58 του κανονισμού (ΕΕ) 2018/1725 (*1) εφαρμόζονται αναλόγως.

(*1)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39)»,"

β)

η παράγραφος 3 αντικαθίσταται από το ακόλουθο κείμενο:

«3.   Οι Εθνικές Αρχές Ελέγχου και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, ενεργώντας έκαστος στο πλαίσιο των αντίστοιχων αρμοδιοτήτων τους, συνεργάζονται μεταξύ τους για να εξασφαλιστεί η συντονισμένη εποπτεία του ΙΜΙ και της χρήσης του από τους φορείς του IMI, σύμφωνα με το άρθρο 62 του κανονισμού (ΕΕ) 2018/1725.»,

γ)

η παράγραφος 4 διαγράφεται.

7)

Στο άρθρο 29, η παράγραφος 1 διαγράφεται.

8)

Στο παράρτημα, προστίθενται τα ακόλουθα σημεία:

«11.

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (*2): άρθρο 56, άρθρα 60 έως 66 και άρθρο 70 παράγραφος 1.

12.

Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 2ας Οκτωβρίου 2018, για τη δημιουργία ενιαίας ψηφιακής θύρας με σκοπό την παροχή πρόσβασης σε πληροφορίες, σε διαδικασίες και σε υπηρεσίες υποστήριξης και επίλυσης προβλημάτων και για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012 (*3): Άρθρο 6 παράγραφος 4 και άρθρα 15 και 19.

(*2)  ΕΕ L 119 της 4.5.2016, σ. 1."

(*3)  ΕΕ L 295 21.11.2018, σ. 39»."

Άρθρο 39

Έναρξη ισχύος

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Τα άρθρα 2 και 4, τα άρθρα 7 έως 12, τα άρθρα 16 και 17, το άρθρο 18 παράγραφοι 1 έως 4, τα άρθρα 19 και 20, το άρθρο 24 παράγραφοι 1, 2 και 3, το άρθρο 25 παράγραφοι 1 έως 4 και τα άρθρα 26 και 27 εφαρμόζονται από τις 12 Δεκεμβρίου 2020.

Τα άρθρα 6 και 13, το άρθρο 14 παράγραφοι 1 έως 8, το άρθρο 14 παράγραφος 10 και το άρθρο 15 εφαρμόζονται από τις 12 Δεκεμβρίου 2023.

Παρά την ημερομηνία εφαρμογής των άρθρων 2, 9, 10 και 11, οι δημοτικές αρχές καθιστούν διαθέσιμες τις πληροφορίες, τις επεξηγήσεις και τις οδηγίες που αναφέρονται στα εν λόγω άρθρα έως τις 12 Δεκεμβρίου 2022 το αργότερο.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Στρασβούργο, 2 Οκτωβρίου 2018.

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

A. TAJANI

Για το Συμβούλιο

Η Πρόεδρος

J. BOGNER-STRAUSS


(1)  ΕΕ C 81 της 2.3.2018, σ. 88.

(2)  Θέση του Ευρωπαϊκού Κοινοβουλίου της 13ης Σεπτεμβρίου 2018 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 27ης Σεπτεμβρίου 2018.

(3)  Οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2006, σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 376 της 27.12.2006, σ. 36).

(4)  Κανονισμός (ΕΚ) αριθ. 764/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τη θέσπιση διαδικασιών σχετικά με την εφαρμογή ορισμένων εθνικών τεχνικών κανόνων στα προϊόντα που κυκλοφορούν νόμιμα στην αγορά άλλου κράτους μέλους και για την κατάργηση της απόφασης αριθ. 3052/95/ΕΚ, (ΕΕ L 218 της 13.8.2008, σ. 21).

(5)  Κανονισμός (ΕΕ) αριθ. 305/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, για τη θέσπιση εναρμονισμένων όρων εμπορίας προϊόντων του τομέα των δομικών κατασκευών και για την κατάργηση της οδηγίας 89/106/ΕΟΚ του Συμβουλίου (ΕΕ L 88 της 4.4.2011, σ. 5).

(6)  Οδηγία 2005/36/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Σεπτεμβρίου 2005, σχετικά με την αναγνώριση των επαγγελματικών προσόντων (ΕΕ L 255 της 30.9.2005, σ. 22).

(7)  Σύσταση 2013/461/ΕΕ της Επιτροπής, της 17ης Σεπτεμβρίου 2013, σχετικά με τις αρχές που διέπουν το SOLVIT (ΕΕ L 249 της 19.9.2013, σ. 10).

(8)  Οδηγία 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις δημόσιες προμήθειες και την κατάργηση της οδηγίας 2004/18/ΕΚ (ΕΕ L 94 της 28.3.2014, σ. 65).

(9)  Οδηγία 2014/25/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις προμήθειες φορέων που δραστηριοποιούνται στους τομείς του ύδατος, της ενέργειας, των μεταφορών και των ταχυδρομικών υπηρεσιών και την κατάργηση της οδηγίας 2004/17/ΕΚ (ΕΕ L 94 της 28.3.2014, σ. 243).

(10)  Κανονισμός (ΕΕ) 2016/589 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Απριλίου 2016, για το ευρωπαϊκό δίκτυο υπηρεσιών απασχόλησης (EURES), την πρόσβαση των εργαζομένων σε υπηρεσίες κινητικότητας και την περαιτέρω ενοποίηση των αγορών εργασίας και για την τροποποίηση των κανονισμών (ΕΕ) αριθ. 492/2011 και (ΕΕ) αριθ. 1296/2013 (ΕΕ L 107 της 22.4.2016, σ. 1).

(11)  Απόφαση 2001/470/ΕΚ του Συμβουλίου της 28ης Μαΐου 2001 σχετικά με τη δημιουργία ενός ευρωπαϊκού δικαστικού δικτύου για αστικές και εμπορικές υποθέσεις (ΕΕ L 174 της 27.6.2001, σ. 25).

(12)  Οδηγία 2014/67/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαΐου 2014, για την εφαρμογή της οδηγίας 96/71/ΕΚ σχετικά με την απόσπαση εργαζομένων στο πλαίσιο παροχής υπηρεσιών και την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012 σχετικά με τη διοικητική συνεργασία μέσω του Συστήματος Πληροφόρησης για την εσωτερική αγορά («κανονισμός ΙΜΙ») (ΕΕ L 159 της 28.5.2014, σ. 11).

(13)  Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 73).

(14)  Κανονισμός (ΕΚ) αριθ. 883/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Απριλίου 2004, για τον συντονισμό των συστημάτων κοινωνικής ασφάλειας (ΕΕ L 166 της 30.4.2004, σ. 1).

(15)  Κανονισμός (ΕΚ) αριθ. 987/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Σεπτεμβρίου 2009, για καθορισμό της διαδικασίας εφαρμογής του κανονισμού (ΕΚ) αριθ. 883/2004 για τον συντονισμό των συστημάτων κοινωνικής ασφάλειας (ΕΕ L 284 της 30.10.2009, σ. 1).

(16)  Οδηγία (ΕΕ) 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Οκτωβρίου 2016, για την προσβασιμότητα των ιστοτόπων και των εφαρμογών για φορητές συσκευές των οργανισμών του δημόσιου τομέα (ΕΕ L 327 της 2.12.2016, σ. 1).

(17)  Απόφαση 2010/48/ΕΚ του Συμβουλίου, της 26ης Νοεμβρίου 2009, σχετικά με τη σύναψη, από την Ευρωπαϊκή Κοινότητα, της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα των ατόμων με αναπηρία (ΕΕ L 23 της 27.1.2010, σ. 35).

(18)  Κανονισμός (EE) αριθ. 260/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Μαρτίου 2012, σχετικά με την καθιέρωση τεχνικών απαιτήσεων και επιχειρηματικών κανόνων για τις μεταφορές πίστωσης και τις άμεσες χρεώσεις σε ευρώ και με την τροποποίηση του κανονισμού (ΕΚ) αριθ. 924/2009 (ΕΕ L 94 της 30.3.2012, σ. 22).

(19)  Κανονισμός (EE) αριθ. 1024/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με τη διοικητική συνεργασία μέσω του Συστήματος Πληροφόρησης για την εσωτερική αγορά και την κατάργηση της απόφασης 2008/49/ΕΚ («κανονισμός ΙΜΙ») (ΕΕ L 316 της 14.11.2012, σ. 1).

(20)  Κανονισμός (EE) 2016/1191 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, για την προώθηση της ελεύθερης κυκλοφορίας των πολιτών μέσω της απλούστευσης των απαιτήσεων για την υποβολή ορισμένων δημόσιων εγγράφων στην Ευρωπαϊκή Ένωση και την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1024/2012 (ΕΕ L 200 της 26.7.2016, σ. 1).

(21)  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).

(22)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (βλέπε σελίδα 39 της παρούσας Επίσημης Εφημερίδας).

(23)  Κανονισμός (ΕΕ) αριθ. 1316/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Δεκεμβρίου 2013, για τη σύσταση της διευκόλυνσης «Συνδέοντας την Ευρώπη», την τροποποίηση του κανονισμού (ΕΕ) αριθ. 913/2010 και την κατάργηση των κανονισμών (ΕΚ) αριθ. 680/2007 και (ΕΚ) αριθ. 67/2010 (ΕΕ L 348 της 20.12.2013, σ. 129).

(24)  Οδηγία (ΕΕ) 2017/1132 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2017, σχετικά με ορισμένες πτυχές του εταιρικού δίκαιου (ΕΕ L 169 της 30.6.2017, σ. 46).

(25)  Κανονισμός (EE) 2015/848 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Μαΐου 2015, περί των διαδικασιών αφερεγγυότητας (ΕΕ L 141 της 5.6.2015, σ. 19).

(26)  Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).

(27)  Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1).

(28)  Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).

(29)  Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1)

(30)  ΕΕ C 340 της 11.10.2017, σ. 6.


ΠΑΡΑΡΤΗΜΑ I

Τομείς πληροφοριών οι οποίοι είναι σημαντικοί για τους πολίτες και τις επιχειρήσεις κατά την άσκηση των δικαιωμάτων τους στην εσωτερική αγορά που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο α)

Τομείς πληροφοριών που αφορούν τους πολίτες

Τομέας

ΠΛΗΡΟΦΟΡΙΕΣ ΣΧΕΤΙΚΑ ΜΕ ΤΑ ΔΙΚΑΙΩΜΑΤΑ, ΤΙΣ ΥΠΟΧΡΕΩΣΕΙΣ ΚΑΙ ΤΟΥΣ ΚΑΝΟΝΕΣ ΠΟΥ ΑΠΟΡΡΕΟΥΝ ΑΠΟ ΤΟ ΕΝΩΣΙΑΚΟ ΚΑΙ ΤΟ ΕΘΝΙΚΟ ΔΙΚΑΙΟ

Α.

Ταξίδια στο εσωτερικό της Ένωσης

1.

Έγγραφα που απαιτούνται για τους πολίτες της Ένωσης, τα μέλη της οικογένειάς τους τα οποία δεν είναι πολίτες της Ένωσης, τους ανήλικους που ταξιδεύουν ασυνόδευτοι και τους πολίτες τρίτων χωρών όταν περνούν σύνορα στο εσωτερικό της Ένωσης (ταυτότητα, θεώρηση, διαβατήριο)

2.

δικαιώματα και υποχρεώσεις ταξιδιωτών που ταξιδεύουν με αεροπλάνο, τρένο, πλοίο, λεωφορείο στην Ένωση και από την Ένωση οι οποίοι αγοράζουν οργανωμένα ταξίδια ή συνδεδεμένους ταξιδιωτικούς διακανονισμούς

3.

βοήθεια στην περίπτωση προσώπων με μειωμένη κινητικότητα όταν ταξιδεύουν στην Ένωση και από την Ένωση

4.

μεταφορά ζώων, φυτών, αλκοόλ, καπνού, τσιγάρων και λοιπών προϊόντων καπνού όσον αφορά τα ταξίδια στην Ένωση

5.

φωνητικές κλήσεις και αποστολή και λήψη ηλεκτρονικών μηνυμάτων και ηλεκτρονικών δεδομένων στο εσωτερικό της Ένωσης

Β.

Εργασία και συνταξιοδότηση στο εσωτερικό της Ένωσης

1.

αναζήτηση εργασίας σε άλλο κράτος μέλος

2.

ανάληψη καθηκόντων σε άλλο κράτος μέλος

3.

αναγνώριση προσόντων με σκοπό την εργασία σε άλλο κράτος μέλος

4.

φορολογία σε άλλο κράτος μέλος

5.

κανόνες περί ευθύνης και υποχρεωτικής ασφάλισης που συνδέονται με τη διαμονή ή την απασχόληση σε άλλο κράτος μέλος

6.

όροι και συνθήκες εργασίας, μεταξύ άλλων για αποσπασμένους εργαζομένους, όπως καθορίζονται διά νόμου ή διατάγματος (μεταξύ άλλων πληροφορίες για το ωράριο εργασίας, την αμειβόμενη άδεια, τα δικαιώματα αργίας, τα δικαιώματα και τις υποχρεώσεις όσον αφορά την υπερωριακή εργασία, τις ιατρικές εξετάσεις, την καταγγελία των συμβάσεων, τις απολύσεις και τις ομαδικές απολύσεις)

7.

ίση μεταχείριση (κανόνες για την απαγόρευση των διακρίσεων στον χώρο εργασίας, κανόνες για την ίση αμοιβή για άνδρες και γυναίκες και ίση αμοιβή για τους υπαλλήλους ορισμένου χρόνου ή για μόνιμες συμβάσεις εργασίας)

8.

υποχρεώσεις σχετικά με την υγεία και την ασφάλεια ανάλογα με το είδος της δραστηριότητας

9.

δικαιώματα κοινωνικής ασφάλισης και υποχρεώσεις στην Ένωση, μεταξύ άλλων και όσον αφορά τη συνταξιοδότηση

Γ.

Οχήματα στην Ένωση

1.

προσωρινή ή μόνιμη μεταφορά μηχανοκίνητου οχήματος σε άλλο κράτος μέλος

2.

απόκτηση και ανανέωση άδειας οδήγησης

3.

έκδοση υποχρεωτικής ασφάλισης μηχανοκίνητου οχήματος

4.

αγορά και πώληση μηχανοκίνητου οχήματος σε άλλο κράτος μέλος

5.

εθνικοί κανόνες οδικής κυκλοφορίας και απαιτήσεις για τους οδηγούς, συμπεριλαμβανομένων γενικών κανόνων για τη χρήση της εθνικής οδικής υποδομής: χρονοεξαρτώμενα τέλη (σήμα τελών), τέλη με βάση την απόσταση (διόδια), αυτοκόλλητα σήματα εκπομπών

Δ.

Διαμονή σε άλλο κράτος μέλος

1.

προσωρινή ή μόνιμη μετακίνηση σε άλλο κράτος μέλος

2.

αγορά και πώληση ακίνητης περιουσίας, μεταξύ άλλων, τυχόν όροι και υποχρεώσεις που συνδέονται με τη φορολογία, την κυριότητα, ή τη χρήση της, μεταξύ άλλων και τη χρήση της ως δευτερεύουσας κατοικίας

3.

συμμετοχή στις εκλογές της τοπικής αυτοδιοίκησης και τις εκλογές για το Ευρωπαϊκό Κοινοβούλιο

4.

απαιτήσεις όσον αφορά τις κάρτες διαμονής για τους πολίτες της Ένωσης και τα μέλη της οικογένειάς τους, συμπεριλαμβανομένων των μελών της οικογένειας που δεν είναι πολίτες της Ένωσης

5.

προϋποθέσεις που εφαρμόζονται για την πολιτογράφηση για υπηκόους άλλου κράτους μέλους

6.

κανόνες που εφαρμόζονται σε περίπτωση θανάτου, συμπεριλαμβανομένων των κανόνων για τον επαναπατρισμό της σορού σε άλλο κράτος μέλος

Ε.

Εκπαίδευση και πρακτική άσκηση σε άλλο κράτος μέλος

1.

εκπαιδευτικό σύστημα στο άλλο κράτος μέλος, συμπεριλαμβανομένης της προσχολικής εκπαίδευσης και φροντίδας, της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης, της τριτοβάθμιας εκπαίδευσης και της εκπαίδευσης ενηλίκων

2.

εθελοντισμός σε άλλο κράτος μέλος

3.

πρακτική άσκηση σε άλλο κράτος μέλος

4.

διενέργεια έρευνας σε άλλο κράτος μέλος στο πλαίσιο εκπαιδευτικού προγράμματος

ΣΤ.

Υγειονομική περίθαλψη

1.

ιατρική περίθαλψη σε άλλο κράτος μέλος

2.

αγορά συνταγογραφημένων φαρμάκων σε κράτος μέλος άλλο από εκείνο στο οποίο εκδόθηκε η συνταγή, ηλεκτρονικά ή προσωπικά

3.

κανόνες ασφάλισης υγείας που εφαρμόζονται για σύντομη ή μακροχρόνια διαμονή σε άλλο κράτος μέλος, συμπεριλαμβανομένου του τρόπου υποβολής αίτησης για την έκδοση Ευρωπαϊκής Κάρτας Ασφάλισης Ασθένειας

4.

γενικές πληροφορίες σχετικά με τα δικαιώματα πρόσβασης ή τις υποχρεώσεις συμμετοχής στα διαθέσιμα δημόσια μέτρα πρόληψης στον τομέα της υγειονομικής περίθαλψης

5.

υπηρεσίες που παρέχονται μέσω εθνικών αριθμών έκτακτης ανάγκης, συμπεριλαμβανομένων των αριθμών «112» και «116»

6.

δικαιώματα και προϋποθέσεις για τη μετάβαση σε οίκο περίθαλψης

Ζ.

Δικαιώματα πολιτών και οικογένειας

1.

γέννηση, επιμέλεια ανήλικων παιδιών, γονικές υποχρεώσεις, κανόνες περί παρένθετης μητρότητας και τεκνοθεσίας, συμπεριλαμβανομένης της τεκνοθεσίας από δεύτερο γονέα, υποχρεώσεις διατροφής σε σχέση με παιδιά των οποίων η οικογένεια βρίσκεται σε διασυνοριακή κατάσταση

2.

συμβίωση σε ζευγάρι διαφορετικών εθνικοτήτων, συμπεριλαμβανομένων των ομόφυλων ζευγαριών (γάμος, σύμφωνο συμβίωσης, χωρισμός, διαζύγιο, περιουσιακά δικαιώματα συζύγων, δικαιώματα συγκατοίκων)

3.

κανόνες αναγνώρισης φύλου

4.

δικαιώματα και υποχρεώσεις κληρονομικής διαδοχής σε άλλο κράτος μέλος, συμπεριλαμβανομένων φορολογικών διατάξεων

5.

δικαιώματα και κανόνες που εφαρμόζονται σε περίπτωση διασυνοριακής απαγωγής τέκνου από γονέα

Η.

Δικαιώματα των καταναλωτών

1.

αγορά προϊόντων, ψηφιακού περιεχομένου ή υπηρεσιών (συμπεριλαμβανομένων των χρηματοοικονομικών υπηρεσιών) από άλλο κράτος μέλος, επιγραμμικά ή προσωπικά

2.

τήρηση τραπεζικού λογαριασμού σε άλλο κράτος μέλος

3.

σύνδεση με δίκτυα κοινής ωφελείας, όπως φυσικού αερίου, ηλεκτρισμού, ύδρευσης, περισυλλογής απορριμμάτων, τηλεπικοινωνιών και διαδικτύου

4.

πληρωμές, συμπεριλαμβανομένων των μεταφορών πιστώσεων, καθυστερήσεις στις διασυνοριακές πληρωμές

5.

δικαιώματα των καταναλωτών και εγγυήσεις που αφορούν την πώληση προϊόντων και υπηρεσιών, συμπεριλαμβανομένων των διαδικασιών επίλυσης διαφορών και αποζημίωσης σε καταναλωτικά θέματα

6.

ασφάλεια και προστασία των καταναλωτικών προϊόντων

7.

ενοικίαση οχήματος

Θ.

Προστασία δεδομένων προσωπικού χαρακτήρα

1.

άσκηση των δικαιωμάτων των προσώπων που αφορούν τα δεδομένα σε ό,τι αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα

Τομείς πληροφοριών που αφορούν τις επιχειρήσεις:

Τομέας

ΠΛΗΡΟΦΟΡΙΕΣ ΠΟΥ ΑΦΟΡΟΥΝ ΔΙΚΑΙΩΜΑΤΑ, ΥΠΟΧΡΕΩΣΕΙΣ ΚΑΙ ΚΑΝΟΝΕΣ

Ι.

Έναρξη, λειτουργία και παύση δραστηριότητας επιχείρησης

1.

εγγραφή, μεταβολή της νομικής μορφής ή κλείσιμο επιχείρησης (διαδικασίες εγγραφής και νομικές μορφές άσκησης δραστηριότητας)

2.

μετακίνηση επιχείρησης σε άλλο κράτος μέλος

3.

δικαιώματα διανοητικής ιδιοκτησίας (αίτηση για απόκτηση διπλώματος ευρεσιτεχνίας, καταχώριση εμπορικού σήματος, σκίτσου ή σχεδίου, απόκτηση άδειας αναπαραγωγής)

4.

αντικειμενικότητα και διαφάνεια στις εμπορικές πρακτικές, συμπεριλαμβανομένων των δικαιωμάτων των καταναλωτών και των εγγυήσεων που αφορούν την πώληση προϊόντων και υπηρεσιών

5.

προσφορά δυνατότητας επιγραμμικής πληρωμής για τις διασυνοριακές συναλλαγές πώλησης προϊόντων και υπηρεσιών επιγραμμικά

6.

δικαιώματα και υποχρεώσεις που απορρέουν από τη νομοθεσία περί συμβάσεων, συμπεριλαμβανομένων των τόκων υπερημερίας

7.

διαδικασίες αφερεγγυότητας και εκκαθάριση εταιρειών

8.

ασφάλιση πιστώσεων

9.

συγχώνευση εταιρειών ή πώληση επιχείρησης

10.

αστική ευθύνη διευθυντών και μελών του διοικητικού συμβουλίου μιας εταιρείας

11.

κανόνες και υποχρεώσεις όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα

ΙΑ.

Προσωπικό

1.

όροι εργασίας καθοριζόμενοι διά νόμου ή διατάγματος (που αφορούν μεταξύ άλλων το ωράριο εργασίας, την αμειβόμενη άδεια, τα δικαιώματα αργίας, τα δικαιώματα και τις υποχρεώσεις όσον αφορά την υπερωριακή εργασία, τις ιατρικές εξετάσεις, την καταγγελία των συμβάσεων, τις απολύσεις και τις ομαδικές απολύσεις)

2.

δικαιώματα και υποχρεώσεις κοινωνικής ασφάλισης στην Ένωση (εγγραφή εργοδότη, εγγραφή υπαλλήλων, κοινοποίηση λήξης της σύμβασης υπαλλήλου, καταβολή κοινωνικών εισφορών, δικαιώματα και υποχρεώσεις που συνδέονται με τις συντάξεις)

3.

απασχόληση εργαζομένων σε άλλα κράτη μέλη (απόσπαση εργαζομένων, κανόνες σχετικά με την ελευθερία παροχής υπηρεσιών, απαιτήσεις διαμονής για τους εργαζόμενους)

4.

ίση μεταχείριση (κανόνες για την απαγόρευση των διακρίσεων στον χώρο εργασίας, κανόνες για την ίση αμοιβή για άνδρες και γυναίκες και την ίση αμοιβή για τους υπαλλήλους ορισμένου χρόνου ή για μόνιμες συμβάσεις εργασίας)

5.

κανόνες σχετικά με την εκπροσώπηση του προσωπικού

ΙΒ.

Φόροι

1.

ΦΠΑ: πληροφορίες σχετικά με τους γενικούς κανόνες, τους συντελεστές και τις απαλλαγές, εγγραφή και καταβολή ΦΠΑ, λήψη επιστροφής

2.

ειδικοί φόροι κατανάλωσης: πληροφορίες σχετικά με τους γενικούς κανόνες, τους συντελεστές και τις απαλλαγές, εγγραφή για τους σκοπούς του ειδικού φόρου κατανάλωσης και καταβολή του ειδικού φόρου κατανάλωσης, λήψη επιστροφής

3.

τελωνειακοί δασμοί και άλλοι φόροι και δασμοί που εισπράττονται επί των εισαγωγών

4.

τελωνειακές διαδικασίες εισαγωγών και εξαγωγών στο πλαίσιο του ενωσιακού τελωνειακού κώδικα

5.

άλλοι φόροι: καταβολή, συντελεστές, επιστροφές φόρου

ΙΓ.

Προϊόντα

1.

απόκτηση σήματος CE

2.

κανόνες και απαιτήσεις που ισχύουν για προϊόντα

3.

εντοπισμός των ισχυόντων προτύπων, των τεχνικών προδιαγραφών και τρόπος πιστοποίησης προϊόντων

4.

αμοιβαία αναγνώριση προϊόντων τα οποία δεν υπόκεινται σε προδιαγραφές της Ένωσης

5.

απαιτήσεις σχετικά με την ταξινόμηση, την επισήμανση και τη συσκευασία επικίνδυνων χημικών προϊόντων

6.

πωλήσεις εξ αποστάσεως/εκτός καταστήματος: πληροφορίες που παρέχονται στους πελάτες εκ των προτέρων, επιβεβαίωση της σύμβασης γραπτώς, υπαναχώρηση από τη σύμβαση, παράδοση προϊόντων, άλλες ειδικές υποχρεώσεις

7.

ελαττωματικά προϊόντα: δικαιώματα καταναλωτών και εγγυήσεις, υποχρεώσεις μετά την πώληση, μέσα έννομης προστασίας του θιγόμενου μέρους

8.

πιστοποίηση, σήματα (EMAS, ενεργειακά σήματα, οικολογικός σχεδιασμός — Eco-design, οικολογικό σήμα της ΕΕ — EU eco-label)

9.

ανακύκλωση και διαχείριση αποβλήτων

ΙΔ.

Υπηρεσίες

1.

απόκτηση αδειών, εξουσιοδοτήσεων ή εγκρίσεων με σκοπό την έναρξη και τη λειτουργία επιχείρησης

2.

κοινοποίηση των διασυνοριακών δραστηριοτήτων στις αρχές

3.

αναγνώριση των επαγγελματικών προσόντων, συμπεριλαμβανομένης της επαγγελματικής εκπαίδευσης και κατάρτισης

ΙΕ.

Χρηματοδότηση επιχείρησης

1.

απόκτηση πρόσβασης σε χρηματοδότηση σε επίπεδο Ένωσης, συμπεριλαμβανομένων των χρηματοδοτικών προγραμμάτων της Ένωσης και των επιχορηγήσεων επιχειρήσεων

2.

απόκτηση πρόσβασης σε χρηματοδότηση σε εθνικό επίπεδο

3.

πρωτοβουλίες που απευθύνονται σε επιχειρηματίες (οργάνωση ανταλλαγών για νέους επιχειρηματίες, προγράμματα καθοδήγησης κ.λπ.)

ΙΣΤ.

Δημόσιες συμβάσεις

1.

συμμετοχή σε δημόσιους διαγωνισμούς: κανόνες και διαδικασίες

2.

επιγραμμική υποβολή προσφοράς σε ανταπόκριση σε δημόσια πρόσκληση υποβολής προσφορών

3.

αναφορά παρατυπιών που αφορούν διαδικασία υποβολής προσφορών

ΙΖ.

Υγεία και ασφάλεια στην εργασία

1.

Υποχρεώσεις σχετικά με την υγεία και την ασφάλεια σε διάφορους τύπους δραστηριοτήτων, μεταξύ των οποίων πρόληψη κινδύνων, ενημέρωση και κατάρτιση


ΠΑΡΑΡΤΗΜΑ II

Διαδικασίες που αναφέρονται στο άρθρο 6 παράγραφος 1

Γεγονότα της ζωής

Διαδικασίες

Αναμενόμενο αποτέλεσμα υπό την επιφύλαξη αξιολόγησης του αιτήματος από την αρμόδια αρχή σύμφωνα με το εθνικό δίκαιο, κατά περίπτωση

Γέννηση

Αίτηση αποδεικτικού καταχώρισης της γέννησης

Αποδεικτικό καταχώρισης της γέννησης ή ληξιαρχική πράξη γεννήσεως

Κατοικία

Αίτηση αποδεικτικού στοιχείου κατοικίας

Επιβεβαίωση της δήλωσης υφιστάμενης διεύθυνσης κατοικίας

Σπουδές

Αίτηση για χρηματοδότηση σπουδών τριτοβάθμιας εκπαίδευσης όπως υποτροφίες και δάνεια σπουδών από δημόσιο οργανισμό ή φορέα

Απόφαση σχετικά με την αίτηση για χρηματοδότηση ή βεβαίωση παραλαβής

Υποβολή αρχικής αίτησης για την εισαγωγή σε δημόσιο ίδρυμα τριτοβάθμιας εκπαίδευσης

Επιβεβαίωση παραλαβής της αίτησης

Αίτηση αναγνώρισης ακαδημαϊκών διπλωμάτων, πιστοποιητικών ή άλλων τίτλων σπουδών ή μαθημάτων

Απόφαση σχετικά με την αίτηση αναγνώρισης

Εργασία

Αίτηση καθορισμού της εφαρμοστέας νομοθεσίας σύμφωνα με τον τίτλο II του κανονισμού (ΕΕ) 883/2004 (1)

Απόφαση σχετικά με την εφαρμοστέα νομοθεσία

Γνωστοποίηση αλλαγών στην προσωπική ή επαγγελματική κατάσταση του προσώπου που λαμβάνει παροχές κοινωνικής ασφάλισης, οι οποίες και έχουν σημασία για τις εν λόγω παροχές

Βεβαίωση παραλαβής της γνωστοποίησης τέτοιων αλλαγών

Αίτηση για ευρωπαϊκή κάρτα ασφάλισης ασθένειας (ΕΚΑΑ)

Ευρωπαϊκή κάρτα ασφάλισης ασθένειας (ΕΚΑΑ)

Υποβολή δήλωσης φόρου εισοδήματος

Επιβεβαίωση παραλαβής της δήλωσης

Μετακίνηση

Δήλωση αλλαγής διεύθυνσης κατοικίας

Επιβεβαίωση της απεγγραφής από την προηγούμενη διεύθυνση και της εγγραφής στη νέα διεύθυνση

Ταξινόμηση μηχανοκίνητου οχήματος που προέρχεται από κράτος μέλος ή που έχει ήδη ταξινομηθεί σε κράτος μέλος, κατά τις τυπικές διαδικασίες (2)

Αποδεικτικό ταξινόμησης μηχανοκίνητου οχήματος

Απόκτηση αυτοκόλλητων σημάτων για τη χρήση της εθνικής οδικής υποδομής: χρονοχρεώσεις (σήματα τελών) ή χρεώσεις αποστάσεων (σήματα διοδίων) που εκδίδονται από δημόσιο οργανισμό ή ίδρυμα

Παραλαβή αυτοκόλλητου σήματος διοδίων ή σήματος τελών ή άλλο αποδεικτικό πληρωμής

Απόκτηση αυτοκόλλητων σημάτων εκπομπών που εκδίδονται από δημόσιο οργανισμό ή φορέα

Παραλαβή αυτοκόλλητου σήματος εκπομπών ή άλλο αποδεικτικό πληρωμής

Συνταξιοδότηση

Αίτηση παροχών σύνταξης και προσύνταξης από υποχρεωτικά συστήματα

Επιβεβαίωση παραλαβής της αίτησης ή απόφαση σχετικά με την αίτηση παροχών σύνταξης ή προσύνταξης

Αναζήτηση πληροφοριών σχετικά με τα δεδομένα που αφορούν σύνταξη από υποχρεωτικά συστήματα

Δήλωση προσωπικών συνταξιοδοτικών δεδομένων

Έναρξη, λειτουργία και τερματισμός επιχείρησης

Κοινοποίηση επιχειρηματικής δραστηριότητας, άδειες για άσκηση επιχειρηματικής δραστηριότητας, μεταβολές επιχειρηματικής δραστηριότητας και παύση επιχειρηματικής δραστηριότητας, εκτός των διαδικασιών αφερεγγυότητας ή εκκαθαρίσεως, εκτός από την αρχική καταχώριση μιας επιχειρηματικής δραστηριότητας στο μητρώο επιχειρήσεων και εκτός από τις διαδικασίες που αφορούν την ίδρυση εταιρειών ή οιαδήποτε μεταγενέστερη υποβολή στοιχείων από εταιρείες κατά την έννοια του άρθρου 54 δεύτερο εδάφιο ΣΛΕΕ.

Επιβεβαίωση της παραλαβής της κοινοποίησης ή μεταβολής, ή του αιτήματος χορήγησης άδειας για επιχειρηματική δραστηριότητα

Εγγραφή εργοδότη (φυσικού προσώπου) σε υποχρεωτικά συνταξιοδοτικά και ασφαλιστικά συστήματα

Επιβεβαίωση εγγραφής ή αριθμός μητρώου κοινωνικής ασφάλισης

Εγγραφή υπαλλήλων σε υποχρεωτικά συνταξιοδοτικά και ασφαλιστικά συστήματα

Επιβεβαίωση εγγραφής ή αριθμός μητρώου κοινωνικής ασφάλισης

Υποβολή εταιρικής φορολογικής δήλωσης

Επιβεβαίωση παραλαβής της δήλωσης

Κοινοποίηση προς τα συστήματα κοινωνικής ασφάλισης της λήξης της σύμβασης υπαλλήλου, εξαιρουμένων των διαδικασιών για τη συλλογική καταγγελία συμβάσεων υπαλλήλων

Επιβεβαίωση παραλαβής της κοινοποίησης

Καταβολή κοινωνικών εισφορών για τους υπαλλήλους

Παραλαβή ή άλλη μορφή επιβεβαίωσης της καταβολής κοινωνικών εισφορών για τους υπαλλήλους


(1)  Κανονισμός (ΕΕ) αριθ. 883/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Απριλίου 2004, για τον συντονισμό των συστημάτων κοινωνικής ασφάλειας (ΕΕ L 166 της 30.4.2004, σ. 1).

(2)  Αφορά τα ακόλουθα οχήματα: α) κάθε μηχανοκίνητο όχημα ή ρυμουλκούμενο κατά τα οριζόμενα στο άρθρο 3 της οδηγίας 2007/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 263 της 9.10.2007, σ. 1) και β) κάθε δίκυκλο ή τρίκυκλο όχημα με κινητήρα, με δίδυμους τροχούς ή μη, που προορίζεται για οδική κυκλοφορία, κατά τα οριζόμενα στο άρθρο 1 του κανονισμού (ΕΕ) αριθ. 168/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 60 της 2.3.2013, σ. 52).


ΠΑΡΑΡΤΗΜΑ III

Κατάλογος υπηρεσιών υποστήριξης και επίλυσης προβλημάτων που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο γ)

1)

Ενιαία κέντρα εξυπηρέτησης (1)

2)

Σημεία επαφής για τα προϊόντα (2)

3)

Σημεία επαφής για τα δομικά προϊόντα (3)

4)

Εθνικά κέντρα υποστήριξης για τα επαγγελματικά προσόντα (4)

5)

Εθνικά σημεία επαφής για τη διασυνοριακή υγειονομική περίθαλψη (5)

6)

Ευρωπαϊκό δίκτυο υπηρεσιών απασχόλησης (EURES) (6)

7)

Ηλεκτρονική επίλυση διαφορών (ΗΕΔ) (7)


(1)  Οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2006, σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 376 της 27.12.2006, σ. 36).

(2)  Κανονισμός (ΕΚ) αριθ. 764/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τη θέσπιση διαδικασιών σχετικά με την εφαρμογή ορισμένων εθνικών τεχνικών κανόνων στα προϊόντα που κυκλοφορούν νόμιμα στην αγορά άλλου κράτους μέλους και για την κατάργηση της απόφασης αριθ. 3052/95/ΕΚ (ΕΕ L 218 της 13.8.2008, σ. 21).

(3)  Κανονισμός (ΕΕ) αριθ. 305/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, για τη θέσπιση εναρμονισμένων όρων εμπορίας προϊόντων του τομέα των δομικών κατασκευών και για την κατάργηση της οδηγίας 89/106/ΕΟΚ του Συμβουλίου (ΕΕ L 88 της 4.4.2011, σ. 5).

(4)  Οδηγία 2005/36/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Σεπτεμβρίου 2005, σχετικά με την αναγνώριση των επαγγελματικών προσόντων (ΕΕ L 255 της 30.9.2005, σ. 22).

(5)  Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (ΕΕ L 88 της 4.4.2011, σ. 45).

(6)  Κανονισμός (ΕΕ) 2016/589 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Απριλίου 2016, για το ευρωπαϊκό δίκτυο υπηρεσιών απασχόλησης (EURES), την πρόσβαση των εργαζομένων σε υπηρεσίες κινητικότητας και την περαιτέρω ενοποίηση των αγορών εργασίας και για την τροποποίηση των κανονισμών (ΕΕ) αριθ. 492/2011 και (ΕΕ) αριθ. 1296/2013 (ΕΕ L 107 της 22.4.2016, σ. 1).

(7)  Κανονισμός (ΕΕ) αριθ. 524/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013, για την ηλεκτρονική επίλυση καταναλωτικών διαφορών και για την τροποποίηση του κανονισμού (ΕΚ) αριθ. 2006/2004 και της οδηγίας 2009/22/ΕΚ (κανονισμός για την ΗΕΚΔ) (ΕΕ L 165 της 18.6.2013, σ. 1).


21.11.2018   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 295/39


ΚΑΝΟΝΙΣΜΌΣ (ΕΕ) 2018/1725 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ

της 23ης Οκτωβρίου 2018

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 16 παράγραφος 2,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),

Εκτιμώντας τα ακόλουθα:

(1)

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα αυτό διασφαλίζεται επίσης από το άρθρο 8 της ευρωπαϊκής σύμβασης για την προάσπιση των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών.

(2)

Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) παρέχει νομικά εκτελεστά δικαιώματα στα φυσικά πρόσωπα, καθορίζει τις υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων εντός των οργάνων και οργανισμών της Ένωσης, και συστήνει ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, με αρμοδιότητα την παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Δεν εφαρμόζεται, ωστόσο, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριότητας οργάνων και οργανισμών της Ένωσης η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.

(3)

Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) και η οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) εκδόθηκαν στις 27 Απριλίου 2016. Ο κανονισμός θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, ενώ η οδηγία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(4)

Ο κανονισμός (ΕΕ) 2016/679 προβλέπει τις προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η εφαρμογή του παράλληλα με τον κανονισμό (ΕΕ) 2016/679.

(5)

Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζει ο δημόσιος τομέας των κρατών μελών προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, καθώς και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης. Οσάκις οι διατάξεις του παρόντος κανονισμού ακολουθούν τις ίδιες αρχές με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις των εν λόγω δύο πράξεων θα πρέπει, με βάση τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»), να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία του παρόντος κανονισμού θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/679.

(6)

Θα πρέπει να προστατεύονται τα πρόσωπα των οποίων δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από όργανα και οργανισμούς της Ένωσης σε οποιοδήποτε πλαίσιο, παραδείγματος χάριν, διότι τα πρόσωπα αυτά απασχολούνται από αυτά τα όργανα ή τους οργανισμούς. Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.

(7)

Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές.

(8)

Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. Θα πρέπει να εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Αρχεία ή σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.

(9)

Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην τελική πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ. Ένα διακριτό κεφάλαιο του παρόντος κανονισμού που περιέχει γενικές διατάξεις θα πρέπει, ως εκ τούτου, να εφαρμόζεται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, όπως τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για τους σκοπούς ποινικών ερευνών από όργανα ή οργανισμούς της Ένωσης όταν δραστηριοποιούνται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(10)

Η οδηγία (ΕΕ) 2016/680 προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Για να διασφαλιστεί το ίδιο επίπεδο προστασίας των φυσικών προσώπων μέσω νομικά εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ των θεσμικών και λοιπών οργάνων ή οργανισμών της Ένωσης που δραστηριοποιούνται σε τομείς που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ και των αρμόδιων αρχών, οι κανόνες που διέπουν την προστασία και την ελεύθερη κυκλοφορία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία από τα εν λόγω όργανα ή οργανισμούς της Ένωσης θα πρέπει να συνάδουν με την οδηγία (ΕΕ) 2016/680.

(11)

Οι γενικοί κανόνες του χωριστού κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, θα πρέπει να εφαρμόζονται με την επιφύλαξη των ειδικών κανόνων που διέπουν στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όργανα, οργανισμούς και υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ. Οι εν λόγω ειδικοί κανόνες θα πρέπει να θεωρούνται lex specialis σε σχέση με τις διατάξεις του χωριστού κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα (lex specialis derogat legi generali). Προκειμένου να μειωθεί ο νομικός κατακερματισμός, οι ειδικοί κανόνες περί προστασίας των δεδομένων που διέπουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όργανα ή οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ θα πρέπει να συνάδουν με τις αρχές που διέπουν το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, καθώς και με τις διατάξεις του παρόντος κανονισμού σχετικά με τη διενέργεια ανεξάρτητου ελέγχου, τα ένδικα μέσα, την ευθύνη και τις κυρώσεις.

(12)

Το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα θα πρέπει να εφαρμόζεται σε όργανα και οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ, όταν ασκούν τις δραστηριότητες αυτές ως κύρια ή δευτερεύοντα καθήκοντα, για τους σκοπούς της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων. Ωστόσο, δεν θα πρέπει να ισχύει για την Ευρωπόλ ή την Ευρωπαϊκή Εισαγγελία έως ότου οι νομικές πράξεις για την ίδρυση της Ευρωπόλ και της Ευρωπαϊκής Εισαγγελίας τροποποιηθούν με σκοπό το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, όπως προσαρμόστηκε, να ισχύει για αυτές.

(13)

Η Επιτροπή θα πρέπει να προβεί σε επανεξέταση του παρόντος κανονισμού, ιδίως όσον αφορά το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα. Η Επιτροπή θα πρέπει επίσης να προβεί σε επανεξέταση και άλλων νομοθετικών πράξεων οι οποίες εκδόθηκαν βάσει των Συνθηκών που ρυθμίζουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από οργανισμούς, φορείς ή υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ. Μετά την εν λόγω επανεξέταση, προκειμένου να εξασφαλιστεί η ομοιόμορφη και συνεκτική προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να δύναται να υποβάλει κατάλληλες νομοθετικές προτάσεις, συμπεριλαμβανομένης κάθε απαραίτητης προσαρμογής του κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, προκειμένου να εφαρμοστεί στην Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία. Οι προσαρμογές θα πρέπει να λαμβάνουν υπόψη, μεταξύ άλλων, τις διατάξεις σχετικά με την ανεξάρτητη εποπτεία, τα ένδικα μέσα, την ευθύνη και τις κυρώσεις.

(14)

Η επεξεργασία διοικητικών δεδομένων προσωπικού χαρακτήρα, όπως τα δεδομένα προσωπικού από οργανισμούς, φορείς ή υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ θα πρέπει να καλύπτεται από τον παρόντα κανονισμό.

(15)

Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όργανα ή οργανισμούς της Ένωσης που δραστηριοποιούνται σε τομείς που εμπίπτουν στο πεδίο εφαρμογής του τίτλου V κεφάλαιο 2 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αποστολές που αναφέρονται στο άρθρο 42 παράγραφος 1 και στα άρθρα 43 και 44 ΣΕΕ, που εφαρμόζουν την κοινή πολιτική ασφάλειας και άμυνας. Όπου είναι σκόπιμο, θα πρέπει να υποβάλλονται σχετικές προτάσεις για την περαιτέρω ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα της κοινής πολιτικής ασφάλειας και άμυνας.

(16)

Οι αρχές της προστασίας των δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να συσχετισθούν με φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας των δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.

(17)

Η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων. Η ρητή εισαγωγή της «ψευδωνυμοποίησης» του παρόντος κανονισμού δεν προορίζεται να αποκλείσει κάθε άλλο μέτρο προστασίας των δεδομένων.

(18)

Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.

(19)

Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται. Ταυτόχρονα, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή, χωρίς αυτό να επηρεάζει τη νομιμότητα της επεξεργασίας που έγινε με βάση αυτή τη συγκατάθεση, πριν από την ανάκλησή της. Για να διασφαλιστεί ότι η συναίνεση παρέχεται ελεύθερα, δεν θα πρέπει να αποτελεί έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας και επομένως δεν θεωρείται πιθανό να έχει παρασχεθεί η συναίνεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Συχνά, δεν είναι δυνατό να προσδιορίζεται πλήρως ο σκοπός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας κατά τον χρόνο συλλογής των δεδομένων. Ως εκ τούτου, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να παρέχουν τη συναίνεσή τους για ορισμένους τομείς της επιστημονικής έρευνας, όταν ακολουθούνται τα αναγνωρισμένα πρότυπα δεοντολογίας για την επιστημονική έρευνα. Τα υποκείμενα των δεδομένων θα πρέπει να έχουν τη δυνατότητα να παρέχουν τη συναίνεσή τους μόνο σε ορισμένους τομείς της έρευνας ή μόνο σε μέρη προγραμμάτων έρευνας, στον βαθμό που επιτρέπεται από τον επιδιωκόμενο σκοπό.

(20)

Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπεύθυνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό απαιτεί ιδίως να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται η ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού και για να αποτρέπεται η ανεξουσιοδότητη κοινολόγησή τους κατά τη διαβίβασή τους.

(21)

Σύμφωνα με την αρχή της λογοδοσίας, όταν τα όργανα και οι οργανισμοί της Ένωσης προβαίνουν σε διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό τους και ο αποδέκτης δεν υπάγεται στον υπεύθυνο επεξεργασίας ή προς άλλα όργανα ή οργανισμούς της Ένωσης, θα πρέπει να ελέγχουν εάν τα δεδομένα αυτά είναι αναγκαία για τη νόμιμη εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του αποδέκτη. Ιδίως, αφού λάβει αίτημα διαβίβασης δεδομένων προσωπικού χαρακτήρα από αποδέκτη, ο υπεύθυνος επεξεργασίας θα πρέπει να επαληθεύει ότι υφίσταται πράγματι λόγος για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και να ελέγχει την αρμοδιότητα του αποδέκτη. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να αξιολογεί προσωρινά την αναγκαιότητα διαβίβασης των δεδομένων. Εάν ανακύπτουν αμφιβολίες ως προς την αναγκαιότητα της διαβίβασης αυτής, ο υπεύθυνος επεξεργασίας θα πρέπει να ζητά περαιτέρω διευκρινίσεις από τον αποδέκτη. Ο αποδέκτης θα πρέπει να μεριμνά ώστε η αναγκαιότητα της διαβίβασης των δεδομένων να μπορεί να επαληθεύεται μεταγενέστερα.

(22)

Για να είναι σύννομη η επεξεργασία, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση την αναγκαιότητα εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον από τα όργανα και τους οργανισμούς της Ένωσης ή κατά την άσκηση της δημόσιας εξουσίας τους, με βάση την ανάγκη συμμόρφωσης με μία εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή με άλλη βάση, προβλεπόμενη από τον νόμο, κατά τα οριζόμενα στον παρόντα κανονισμό, περιλαμβανομένης της συγκατάθεσης του ενδιαφερόμενου υποκειμένου των δεδομένων, της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση καθήκοντος που ασκούν προς το δημόσιο συμφέρον τα όργανα και οι οργανισμοί της Ένωσης περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για τη διαχείριση και τη λειτουργία των εν λόγω οργάνων και οργανισμών. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει καταρχήν να διενεργείται μόνο εάν η επεξεργασία δεν μπορεί προδήλως να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.

(23)

Το δίκαιο της Ένωσης που αναφέρεται στον παρόντα κανονισμό θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

(24)

Οι εσωτερικοί κανονισμοί που αναφέρονται στον παρόντα κανονισμό θα πρέπει να είναι νομοθετικές πράξεις γενικής εφαρμογής διατυπωμένες με σαφήνεια και ακρίβεια που προορίζονται να παραγάγουν έννομα αποτελέσματα έναντι των υποκειμένων των δεδομένων. Θα πρέπει να θεσπίζονται στο ανώτατο διοικητικό επίπεδο των οργάνων και οργανισμών της Ένωσης, στο πλαίσιο των αρμοδιοτήτων τους και για ζητήματα που σχετίζονται με τη λειτουργία τους. Θα πρέπει να δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Η εφαρμογή των κανονισμών αυτών θα πρέπει να είναι προβλέψιμη για τα πρόσωπα που υπόκεινται σε αυτούς σύμφωνα με τις απαιτήσεις που ορίζονται στον Χάρτη και στην Ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. Οι εσωτερικοί κανονισμοί μπορούν να λάβουν τη μορφή αποφάσεων, ιδίως όταν θεσπίζονται από όργανα της Ένωσης.

(25)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

(26)

Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιον βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου (6), θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπεύθυνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.

(27)

Τα παιδιά απαιτούν ειδική προστασία όσον αφορά τα δεδομένα τους προσωπικού χαρακτήρα, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων, συνεπειών και εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτή η ειδική προστασία θα πρέπει να ισχύει ιδίως στη δημιουργία προφίλ προσωπικότητας και στη συλλογή δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά στην περίπτωση που υπηρεσίες προσφέρονται απευθείας σε παιδιά σε δικτυακούς τόπους οργάνων και οργανισμών της Ένωσης, όπως υπηρεσιών διαπροσωπικής επικοινωνίας ή διαδικτυακής πώλησης εισιτηρίων, και η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται σε συγκατάθεση.

(28)

Όταν εγκατεστημένοι στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης επιθυμούν να τους διαβιβαστούν δεδομένα προσωπικού χαρακτήρα από όργανα και οργανισμούς της Ένωσης, οι εν λόγω αποδέκτες θα πρέπει να αποδεικνύουν είτε ότι τα δεδομένα είναι αναγκαία για την άσκηση των καθηκόντων τους που ασκούνται για το δημόσιο συμφέρον ή για την άσκηση δημόσιας εξουσίας που τους έχει ανατεθεί. Εναλλακτικά, οι εν λόγω αποδέκτες θα πρέπει να αποδεικνύουν ότι η διαβίβαση είναι αναγκαία για συγκεκριμένο σκοπό γενικού συμφέροντος, ο δε υπεύθυνος επεξεργασίας θα πρέπει να διαπιστώνει αν υπάρχει λόγος να θεωρηθεί ότι τα έννομα συμφέροντα του υποκειμένου των δεδομένων μπορεί να θιγούν, σε αυτές τις περιπτώσεις ο υπεύθυνος επεξεργασίας θα πρέπει αποδεδειγμένα να προβεί σε στάθμιση των αντιτιθέμενων συμφερόντων προκειμένου να εκτιμήσει την αναλογικότητα της ζητούμενης διαβίβασης δεδομένων προσωπικού χαρακτήρα. Ο συγκεκριμένος σκοπός γενικού συμφέροντος θα μπορούσε να αφορά τη διαφάνεια των οργάνων και οργανισμών της Ένωσης. Επιπλέον, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να αποδεικνύουν την εν λόγω αναγκαιότητα όταν η διαβίβαση γίνεται με δική τους πρωτοβουλία, σε συμμόρφωση προς την αρχή της διαφάνειας και της χρηστής διοίκησης. Οι απαιτήσεις του παρόντος κανονισμού για διαβίβαση δεδομένων σε εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης, θα πρέπει να νοούνται ως συμπληρωματικές προς τους όρους νόμιμης επεξεργασίας.

(29)

Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τέτοια προσωπικά δεδομένα δεν πρέπει να υποβάλλονται σε επεξεργασία, εκτός αν πληρούνται οι συγκεκριμένες προϋποθέσεις που ορίζονται στον παρόντα κανονισμό. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η επεξεργασία ευαίσθητων δεδομένων, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.

(30)

Οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που χρήζουν μεγαλύτερης προστασίας πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς σχετικούς με την υγεία, μόνο όταν τούτο απαιτείται για την επίτευξη αυτών των σκοπών προς όφελος φυσικών προσώπων και της κοινωνίας συνολικά, ιδίως στο πλαίσιο της διαχείρισης υπηρεσιών και συστημάτων υγείας και κοινωνικής πρόνοιας. Συνεπώς, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία των εν λόγω δεδομένων πραγματοποιείται για ορισμένους σκοπούς που αφορούν την υγεία από πρόσωπα που υπέχουν νομική υποχρέωση τήρησης επαγγελματικού απορρήτου. Το δίκαιο της Ένωσης θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων.

(31)

Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συναίνεση του υποκειμένου των δεδομένων. Η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), δηλαδή ως το σύνολο των στοιχείων που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, περιλαμβανομένων της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται για την υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν, καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς.

(32)

Εάν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτά συμπληρωματικές πληροφορίες, προκειμένου να ταυτοποιήσει το υποκείμενο των δεδομένων με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση του υποκειμένου των δεδομένων, λόγου χάρη μέσω μηχανισμού επαλήθευσης της ταυτότητας, όπως είναι τα ίδια διακριτικά στοιχεία τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων κατά την είσοδο (log-in) στην επιγραμμική υπηρεσία που προσφέρεται από τον υπεύθυνο επεξεργασίας.

(33)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, ιδίως, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (όπως, για παράδειγμα, η ψευδωνυμοποίηση των δεδομένων). Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να προβλέπουν κατάλληλες εγγυήσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, το οποίο μπορεί να περιλαμβάνει και εσωτερικούς κανονισμούς που έχουν θεσπιστεί από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους.

(34)

Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα εναντίωσης. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα.

(35)

Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.

(36)

Οι πληροφορίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το υποκείμενο των δεδομένων θα πρέπει να του παρέχονται κατά τη συλλογή από το υποκείμενο των δεδομένων ή, εάν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από άλλη πηγή, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται όταν τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται για πρώτη φορά στον αποδέκτη. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες αναγκαίες πληροφορίες. Όταν η προέλευση των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να γνωστοποιηθεί στο υποκείμενο των δεδομένων διότι έχουν χρησιμοποιηθεί διάφορες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες.

(37)

Ένα υποκείμενο δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Επομένως, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ιδίως, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων. Όταν ο υπεύθυνος επεξεργασίας επεξεργάζεται μεγάλες ποσότητες πληροφοριών σχετικά με το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να δύναται να ζητεί από το υποκείμενο, πριν δοθούν οι πληροφορίες, να προσδιορίζει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας που σχετίζονται με το αίτημα.

(38)

Ένα υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, εάν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του για την επεξεργασία ή εάν αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό κατ’ άλλο τρόπο. Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκήσει το εν λόγω δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, για τη συμμόρφωση με νομική υποχρέωση, για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

(39)

Για να ενισχυθεί το δικαίωμα στη λήθη στο επιγραμμικό περιβάλλον, το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού χαρακτήρα ώστε να διαγράψουν οποιουσδήποτε συνδέσμους ή αντίγραφα ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Όταν το πράττει, ο εν λόγω υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει εύλογα μέτρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και τα μέσα που έχει στη διάθεσή του ο υπεύθυνος επεξεργασίας, μεταξύ άλλων και τεχνικά μέτρα, ώστε να ενημερωθούν οι υπεύθυνοι επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σχετικά με το αίτημα του υποκειμένου των δεδομένων.

(40)

Μέθοδοι με τις οποίες περιορίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την αφαίρεση της προσβασιμότητας των επιλεγμένων δεδομένων προσωπικού χαρακτήρα από τους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει καταρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα.

(41)

Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων του προσωπικού χαρακτήρα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης τη δυνατότητα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και που έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Το εν λόγω δικαίωμα θα πρέπει να εφαρμόζεται σε περίπτωση που το υποκείμενο των δεδομένων παρέσχε τα δεδομένα προσωπικού χαρακτήρα με τη συγκατάθεσή του ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης. Δεν θα πρέπει συνεπώς να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση των υπευθύνων επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη. Όταν, σε συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, θίγονται περισσότερα του ενός υποκείμενα δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ούτε τους περιορισμούς του εν λόγω δικαιώματος, όπως προβλέπονται στον παρόντα κανονισμό και ιδίως δεν θα πρέπει να συνεπάγεται διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και τα οποία έχουν παρασχεθεί από αυτό για την εκτέλεση σύμβασης, στον βαθμό και εφόσον τα δεδομένα αυτά είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Όταν είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να εξασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον.

(42)

Όταν δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, κάθε υποκείμενο των δεδομένων θα πρέπει να δικαιούται παρ’ όλα αυτά να εναντιωθεί στην επεξεργασία τυχόν δεδομένων προσωπικού χαρακτήρα που αφορούν την ιδιαίτερη κατάστασή του. Θα πρέπει να εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι τα επιτακτικά έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

(43)

Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει κάποιο μέτρο, με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο, όπως σε πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Η επεξεργασία αυτή περιλαμβάνει την «κατάρτιση προφίλ» που αποτελείται από οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο, ιδίως την ανάλυση ή την πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή κινήσεις του υποκειμένου των δεδομένων, στον βαθμό που παράγει νομικά αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατ’ ανάλογο τρόπο.

Ωστόσο, η λήψη απόφασης που βασίζεται σε αυτήν την επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, θα πρέπει να επιτρέπεται όταν προβλέπεται ρητά από το δίκαιο της Ένωσης. Σε κάθε περίπτωση, η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψης του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που λήφθηκε στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης. Το εν λόγω μέτρο θα πρέπει να μην αφορά παιδί. Προκειμένου να διασφαλισθεί δίκαιη και διαφανής επεξεργασία σε σχέση με το υποκείμενο των δεδομένων, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα, ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, να καθιστά ασφαλή τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή την επεξεργασία που συνεπάγεται μέτρα ισοδύναμου αποτελέσματος. Η αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ που βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνο υπό ειδικές προϋποθέσεις.

(44)

Νομικές πράξεις που εκδίδονται βάσει των Συνθηκών ή εσωτερικοί κανονισμοί που θεσπίζονται από τα όργανα και τους οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους μπορούν να επιβάλλουν περιορισμούς σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο απόρρητο των δεδομένων ηλεκτρονικών επικοινωνιών, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας και για την πρόληψη, διερεύνηση και δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων. Αυτό συμπεριλαμβάνει τη διασφάλιση έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, την προστασία της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, την εσωτερική ασφάλεια των οργάνων και οργανισμών της Ένωσης, άλλους σημαντικούς σκοπούς γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως τους σκοπούς της Κοινής Εξωτερικής Πολιτικής και Πολιτικής Ασφάλειας της Ένωσης ή σημαντικό οικονομικό ή χρηματοοικονομικό συμφέρον της Ένωσης ή κράτους μέλους, και την τήρηση δημόσιων αρχείων για λόγους γενικού δημόσιου συμφέροντος ή την προστασία του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών.

(45)

Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(46)

Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.

(47)

Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο.

(48)

Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.

(49)

Ο κανονισμός (ΕΕ) 2016/679 προβλέπει ότι οι υπεύθυνοι επεξεργασίας αποδεικνύουν συμμόρφωση με την εφαρμογή εγκεκριμένων μηχανισμών πιστοποίησης. Ωσαύτως, τα όργανα ή οι οργανισμοί της Ένωσης πρέπει να μπορούν να αποδεικνύουν τη συμμόρφωσή τους με τον παρόντα κανονισμό, λαμβάνοντας πιστοποίηση σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679.

(50)

Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, απαιτούν σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπεύθυνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

(51)

Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπεύθυνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση άλλων εκτελούντων επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωση του με τις υποχρεώσεις του υπευθύνου επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία που δεν είναι όργανο ή οργανισμός της Ένωσης θα πρέπει να διέπεται από σύμβαση, ή, σε περιπτώσεις όπου όργανα και οργανισμοί της Ένωσης ενεργούν ως εκτελούντες την επεξεργασία, από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπεύθυνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει αυτά τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία.

(52)

Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς τον παρόντα κανονισμό, οι υπεύθυνοι επεξεργασίας θα πρέπει να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους και οι εκτελούντες επεξεργασία θα πρέπει να τηρούν αρχεία των κατηγοριών δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να υποχρεούνται να συνεργάζονται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και να θέτουν στη διάθεσή του τα αρχεία τους κατόπιν αιτήματός του, ώστε να μπορούν να χρησιμοποιούνται για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να μπορούν να συστήσουν κεντρικό μητρώο στο οποίο θα τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους, εκτός εάν, λαμβανομένου υπόψη του μεγέθους ενός οργάνου ή οργανισμού της Ένωσης, αυτό δεν ενδείκνυται. Για λόγους διαφάνειας, θα πρέπει επίσης να μπορούν να επιτρέπουν την πρόσβαση του κοινού στο εν λόγω μητρώο.

(53)

Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβανομένων υπόψη των τελευταίων εξελίξεων και του κόστους της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.

(54)

Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, σύμφωνα με τα προβλεπόμενα στο άρθρο 7 του Χάρτη. Ιδίως, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους. Θα πρέπει να διασφαλίζουν την προστασία των πληροφοριών που σχετίζονται με τον εξοπλισμό τερματικών των χρηστών που έχουν πρόσβαση στους δημόσια διαθέσιμους δικτυακούς τόπους τους και σε εφαρμογές για φορητές συσκευές σύμφωνα με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8). Θα πρέπει επίσης να διασφαλίζουν την προστασία δεδομένων προσωπικού χαρακτήρα που περιέχονται σε καταλόγους χρηστών.

(55)

Παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν o υπεύθυνος επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, θα πρέπει να συνοδεύεται από αιτιολογία η οποία να αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση. Όταν η καθυστέρηση είναι δικαιολογημένη, θα πρέπει να διαβιβάζονται το ταχύτερο δυνατό λιγότερο ευαίσθητες ή λιγότερο συγκεκριμένες πληροφορίες σχετικά με την παραβίαση, αντί να επιχειρείται πλήρης διαλεύκανση του περιστατικού πριν από την κοινοποίηση.

(56)

Ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του παρασχεθεί η δυνατότητα να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοινώσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και με τήρηση των οδηγιών που θα έχουν παρασχεθεί από αυτόν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου.

(57)

Ο κανονισμός (ΕΚ) αριθ. 45/2001 θεσπίζει γενική υποχρέωση του υπευθύνου επεξεργασίας να κοινοποιεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων πρέπει να τηρεί μητρώο των επεξεργασιών που του κοινοποιούνται, εκτός εάν, λαμβανομένου υπόψη του μεγέθους του οργάνου ή οργανισμού της Ένωσης, αυτό δεν ενδείκνυται. Εκτός από τη γενική αυτή υποχρέωση πρέπει να θεσπιστούν αποτελεσματικές διαδικασίες και μηχανισμοί για τον έλεγχο που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας που ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών τους. Αυτές οι διαδικασίες θα πρέπει, ιδίως, επίσης να θεσπιστούν ς όταν τύποι πράξεων επεξεργασίας περιλαμβάνουν τη χρήση νέων τεχνολογιών ή που είναι νέου τύπου σε σχέση με τον οποίο δεν έχει διενεργηθεί προηγουμένως εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή όταν καθίστανται αναγκαίες λόγω του χρόνου που έχει παρέλθει από την αρχική επεξεργασία. Σε αυτές τις περιπτώσεις, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, θα πρέπει να διενεργεί εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων, ώστε να εκτιμήσει την ιδιαίτερη πιθανότητα και τη σοβαρότητα του υψηλού κινδύνου, λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου. Η εν λόγω εκτίμηση του αντικτύπου θα πρέπει να περιλαμβάνει, ιδίως, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό.

(58)

Εάν εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να διενεργείται διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Ο εν λόγω υψηλός κίνδυνος είναι πιθανόν να προκύψει από ορισμένες μορφές επεξεργασίας και ορισμένο βαθμό και συχνότητα επεξεργασίας, με πιθανό αποτέλεσμα ακόμη και ζημία ή επέμβαση στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ανταποκρίνεται στο αίτημα για διαβούλευση σε ορισμένο χρονικό διάστημα. Ωστόσο, η απουσία αντίδρασης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων εντός της εν λόγω προθεσμίας δεν θα πρέπει να θίγει την όποια παρέμβαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με τα καθήκοντα και τις εξουσίες του που ορίζονται στον παρόντα κανονισμό, περιλαμβανομένης της εξουσίας απαγόρευσης πράξεων επεξεργασίας. Στο πλαίσιο της εν λόγω διαδικασίας διαβούλευσης, θα πρέπει να μπορεί να υποβάλλεται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων το αποτέλεσμα εκτίμησης του αντικτύπου όσον αφορά την προστασία των δεδομένων που τυχόν έχει εκπονηθεί σε σχέση με την επίμαχη επεξεργασία, ιδίως δε τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(59)

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνεται για τα διοικητικά μέτρα και να γνωμοδοτεί για τους εσωτερικούς κανονισμούς τους οποίους θεσπίζουν τα όργανα και οι οργανισμοί της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους όταν διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θεσπίζουν προϋποθέσεις για περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων ή προβλέπουν κατάλληλες εγγυήσεις για τα δικαιώματα των υποκειμένων των δεδομένων, ώστε να διασφαλίζει ότι η σκοπούμενη επεξεργασία συμμορφώνεται με τον παρόντα κανονισμό ιδίως ως προς το να περιορίζει τους κινδύνους για το υποκείμενο των δεδομένων.

(60)

Με τον κανονισμό (ΕΕ) 2016/679 συστάθηκε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ως ανεξάρτητο όργανο της Ένωσης με νομική προσωπικότητα. Το Συμβούλιο Προστασίας Δεδομένων συμβάλλει στη συνεκτική εφαρμογή του κανονισμού (ΕΕ) 2016/679 και της οδηγίας (ΕΕ) 2016/680 σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή. Ταυτόχρονα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεχίσει να ασκεί τα εποπτικά και συμβουλευτικά καθήκοντα που έχει έναντι όλων των οργάνων και οργανισμών της Ένωσης, με δική του πρωτοβουλία ή κατόπιν αιτήματος. Για να διασφαλιστεί η συνεκτικότητα των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, η Επιτροπή, κατά την εκπόνηση προτάσεων ή συστάσεων, θα πρέπει να ζητεί τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Θα πρέπει να είναι υποχρεωτική η διεξαγωγή από την Επιτροπή διαβούλευσης μετά την έγκριση νομοθετικών πράξεων ή κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων και εκτελεστικών πράξεων, σύμφωνα με τα προβλεπόμενα στα άρθρα 289, 290 και 291 ΣΛΕΕ, και μετά την έγκριση συστάσεων και προτάσεων για συμφωνίες με τρίτες χώρες και διεθνείς οργανισμούς, σύμφωνα με τα προβλεπόμενα στο άρθρο 218 ΣΛΕΕ, οι οποίες έχουν αντίκτυπο στο δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Στις περιπτώσεις αυτές, η Επιτροπή θα πρέπει να διαβουλεύεται υποχρεωτικά με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν ο κανονισμός (ΕΕ) 2016/679 προβλέπει υποχρεωτική διαβούλευση με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, για παράδειγμα όσον αφορά αποφάσεις περί επάρκειας ή κατ’ εξουσιοδότηση πράξεις για τυποποιημένα εικονίδια και απαιτήσεις για μηχανισμούς πιστοποίησης. Όταν η επίμαχη πράξη είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να έχει επίσης τη δυνατότητα να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, να συντονίζει τις εργασίες του με το τελευταίο με σκοπό την έκδοση κοινής γνωμοδότησης. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και, όπου συντρέχει σχετική περίπτωση, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να παρέχουν γραπτώς τις συμβουλές τους εντός οκτώ εβδομάδων. Η εν λόγω προθεσμία θα πρέπει να είναι συντομότερη σε επείγουσες περιπτώσεις ή εάν αυτό κρίνεται σκόπιμο για άλλους λόγους, για παράδειγμα όταν η Επιτροπή επεξεργάζεται κατ’ εξουσιοδότηση και εκτελεστικές πράξεις.

(61)

Σύμφωνα με το άρθρο 75 του κανονισμού (ΕΕ) 2016/679 ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να παρέχει τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

(62)

Στο πλαίσιο όλων των οργάνων και οργανισμών της Ένωσης, ένας υπεύθυνος προστασίας δεδομένων θα πρέπει να μεριμνά για την τήρηση των διατάξεων του παρόντος κανονισμού και να συμβουλεύει τους υπευθύνους επεξεργασίας και τους εκτελούντες επεξεργασία ως προς την εκπλήρωση των υποχρεώσεών τους. Ο εν λόγω υπεύθυνος προστασίας δεδομένων θα πρέπει να διαθέτει εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων, η οποία θα πρέπει να καθορίζεται ειδικότερα ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από τον εκτελούντα επεξεργασία και από την προστασία την οποία απαιτούν τα οικεία δεδομένα προσωπικού χαρακτήρα. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο.

(63)

Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από όργανα και οργανισμούς της Ένωσης σε υπευθύνους επεξεργασίας, εκτελούντες επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, θα πρέπει να διασφαλίζεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι ίδιες εγγυήσεις θα πρέπει να εφαρμόζονται και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας ή εκτελούντες επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή διεθνή οργανισμό. Σε κάθε περίπτωση, διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό και με σεβασμό προς τα θεμελιώδη δικαιώματα και ελευθερίες που κατοχυρώνονται στον Χάρτη. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.

(64)

Η Επιτροπή μπορεί να αποφασίζει, βάσει του άρθρου 45 του κανονισμού (ΕΕ) 2016/679 ή βάσει του άρθρου 36 της οδηγίας (ΕΕ) 2016/680, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας τρίτης χώρας ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας των δεδομένων. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό από όργανο ή οργανισμό της Ένωσης μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια.

(65)

Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή συμβατικών ρητρών που εγκρίνονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, οι εν λόγω κατάλληλες εγγυήσεις μπορούν επίσης να συνίστανται σε δεσμευτικούς εταιρικούς κανόνες, κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης που χρησιμοποιούνται για διεθνείς διαβιβάσεις βάσει του κανονισμού (ΕΕ) 2016/679. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών μέσων έννομης προστασίας, συμπεριλαμβανομένου δικαιώματος άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Διαβιβάσεις μπορούν να διενεργούνται επίσης από όργανα και οργανισμούς της Ένωσης προς δημόσιες αρχές ή φορείς σε τρίτες χώρες ή προς διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.

(66)

Η δυνατότητα του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή τους εκτελούντες επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία θα πρέπει να ενθαρρύνονται να παρέχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά προς τις τυποποιημένες ρήτρες προστασίας δεδομένων.

(67)

Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που επιδιώκουν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας οργάνων και οργανισμών της Ένωσης. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία να διαβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης.

(68)

Σε ειδικές καταστάσεις, θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις, όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του, εφόσον η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή με νομική αξίωση, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία, μεταξύ άλλων σε διαδικασίες ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα διαβιβάσεων, εφόσον σημαντικοί λόγοι δημόσιου συμφέροντος προβλεπόμενοι από το δίκαιο της Ένωσης απαιτούν κάτι τέτοιο ή εφόσον η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή από πρόσωπα που έχουν έννομο συμφέρον. Στην τελευταία περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο, εκτός εάν αυτό επιτρέπεται από το δίκαιο της Ένωσης, και, όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο κατόπιν αιτήσεως των εν λόγω προσώπων ή, εάν πρόκειται να είναι αυτά οι αποδέκτες της διαβίβασης, λαμβανομένων πλήρως υπόψη των συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων.

(69)

Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ οργάνων και οργανισμών της Ένωσης και αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας και υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου προσώπου, μεταξύ άλλων για τη σωματική ακεραιότητα ή τη ζωή, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Ελλείψει απόφασης περί επάρκειας, το δίκαιο της Ένωσης μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα υποκειμένου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, η οποία γίνεται με σκοπό να εκπληρωθεί καθήκον σύμφωνα με τις συμβάσεις της Γενεύης ή με σκοπό τη συμμόρφωση προς το διεθνές ανθρωπιστικό δίκαιο σε ένοπλες συγκρούσεις, θα μπορούσε να θεωρηθεί αναγκαία για σοβαρό λόγο δημοσίου συμφέροντος ή επειδή αποσκοπεί σε ζωτικό συμφέρον του υποκειμένου των δεδομένων.

(70)

Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων.

(71)

Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων, ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εθνικές εποπτικές αρχές και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να μην είναι σε θέση να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός της δικαιοδοσίας τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Θα πρέπει, επομένως, να προωθηθεί η στενότερη συνεργασία ανάμεσα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές, ώστε να διευκολύνεται η ανταλλαγή πληροφοριών με τους διεθνείς ομολόγους τους.

(72)

Η σύσταση με τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, στον οποίο ανατίθεται η εξουσία να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία, είναι ουσιώδης συνιστώσα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Ο παρών κανονισμός θα πρέπει να ενισχύει και να αποσαφηνίζει περαιτέρω τον ρόλο και την ανεξαρτησία του. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να είναι πρόσωπο που παρέχει εχέγγυα ανεξαρτησίας και που διαθέτει αξιόλογη εμπειρία και τις ικανότητες που απαιτούνται για την εκπλήρωση των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, επειδή έχει, επί παραδείγματι, συμμετάσχει σε μία από τις εποπτικές αρχές που συγκροτήθηκαν δυνάμει του άρθρου 51 του κανονισμού (ΕΕ) 2016/679.

(73)

Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει τα ίδια καθήκοντα και τις ίδιες αποτελεσματικές εξουσίες με τις εθνικές εποπτικές αρχές, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και εξουσίες επιβολής κυρώσεων, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, εξουσίες να παραπέμπει παραβάσεις των διατάξεων του παρόντος κανονισμού στο Δικαστήριο και εξουσίες να παίρνει μέρος σε νομικές διαδικασίες σύμφωνα με το πρωτογενές δίκαιο. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Για να αποφεύγονται περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα που μπορεί ενδεχομένως να επηρεαστούν δυσμενώς, κάθε μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό ώστε να διασφαλίζει συμμόρφωση προς τον παρόντα κανονισμό, θα πρέπει να λαμβάνει υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης και να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί ατομικό μέτρο εις βάρος του. Κάθε νομικά δεσμευτικό μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να εκδίδεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την ημερομηνία έκδοσής του, να φέρει την υπογραφή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, και να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής.

(74)

Η εποπτική αρμοδιότητα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Δικαστήριο, όταν αυτό ενεργεί υπό τη δικαιοδοτική του ιδιότητα, ώστε να διασφαλίζεται η ανεξαρτησία του Δικαστηρίου κατά την άσκηση των δικαιοδοτικών του καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων. Για τις εν λόγω πράξεις επεξεργασίας, το Δικαστήριο θα πρέπει να εξασφαλίζει ανεξάρτητο έλεγχο, σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη, για παράδειγμα μέσω εσωτερικού μηχανισμού.

(75)

Οι αποφάσεις του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με εξαιρέσεις, εγγυήσεις, άδειες και όρους που αφορούν πράξεις επεξεργασίας δεδομένων, όπως ορίζονται στον παρόντα κανονισμό, θα πρέπει να δημοσιεύονται στην έκθεση δραστηριοτήτων. Ανεξάρτητα από την ετήσια δημοσίευση έκθεσης δραστηριοτήτων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να δημοσιεύει εκθέσεις για ειδικά θέματα.

(76)

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων οφείλει να ενεργεί σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9).

(77)

Οι εθνικές εποπτικές αρχές παρακολουθούν την εφαρμογή του κανονισμού (ΕΕ) 2016/679 και συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για να ενισχυθεί η συνεκτικότητα της εφαρμογής των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα κράτη μέλη και των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεργάζεται αποτελεσματικά με τις εθνικές εποπτικές αρχές.

(78)

Σε ορισμένες περιπτώσεις, το δίκαιο της Ένωσης προβλέπει ένα πρότυπο συντονισμένης εποπτείας την οποία ασκούν από κοινού ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και οι εθνικές εποπτικές αρχές. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επίσης η εποπτική αρχή της Ευρωπόλ και για αυτούς τους σκοπούς έχει εφαρμοστεί συγκεκριμένο πρότυπο συνεργασίας με τις εθνικές εποπτικές αρχές μέσω συμβουλίου συνεργασίας που έχει συμβουλευτικά καθήκοντα. Για να βελτιωθεί η αποτελεσματικότητα της εποπτείας και της επιβολής ουσιαστικών κανόνων προστασίας των δεδομένων, θα πρέπει να θεσπιστεί ένα ενιαίο, συνεκτικό πρότυπο συντονισμένης εποπτείας σε επίπεδο Ένωσης. Η Επιτροπή θα πρέπει επομένως να εκδίδει νομοθετικές προτάσεις, όπου ενδείκνυται, για την τροποποίηση νομικών πράξεων της Ένωσης που θεσπίζουν πρότυπο συντονισμένης εποπτείας, με γνώμονα την ευθυγράμμισή τους με το πρότυπο συντονισμένης εποπτείας του παρόντος κανονισμού. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να λειτουργήσει ως ενιαίο φόρουμ για τη διασφάλιση της αποτελεσματικότητας της συντονισμένης εποπτείας γενικότερα.

(79)

Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και το δικαίωμα πραγματικής δικαστικής προσφυγής ενώπιον του Δικαστηρίου σύμφωνα με τις Συνθήκες, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν δίνει συνέχεια σε καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στην εκάστοτε περίπτωση. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνει το υποκείμενο των δεδομένων σχετικά με την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω συντονισμό με εθνική εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

(80)

Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού θα πρέπει να δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στις Συνθήκες.

(81)

Για να ενισχυθεί ο εποπτικός ρόλος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και η αποτελεσματική επιβολή του παρόντος κανονισμού, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως κύρωση έσχατης ανάγκης, να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Τα πρόστιμα θα πρέπει να αποσκοπούν στην επιβολή κυρώσεων στο όργανο ή τον οργανισμό της Ένωσης –και όχι σε φυσικά πρόσωπα– για μη συμμόρφωση με τον παρόντα κανονισμό, με γνώμονα την αποτροπή μελλοντικών παραβιάσεων του παρόντος κανονισμού και την καλλιέργεια νοοτροπίας προστασίας των δεδομένων προσωπικού χαρακτήρα εντός των οργάνων και των οργανισμών της Ένωσης. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις που υπόκεινται σε διοικητικά πρόστιμα καθώς και τα ανώτατα όρια και τα κριτήρια για τον καθορισμό των σχετικών προστίμων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να καθορίζει το ύψος των προστίμων σε κάθε μεμονωμένη περίπτωση, λαμβάνοντας υπόψη όλες τις συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, στις συνέπειές της και τα μέτρα που λήφθηκαν για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Κατά την επιβολή διοικητικού προστίμου σε όργανο ή οργανισμό της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να εξετάζει την αναλογικότητα του ύψους του προστίμου. Η διοικητική διαδικασία για την επιβολή προστίμων σε όργανα και οργανισμούς της Ένωσης θα πρέπει να σέβεται τις γενικές αρχές του δικαίου της Ένωσης, όπως ερμηνεύονται από το Δικαστήριο.

(82)

Όταν υποκείμενο δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Ο εν λόγω φορέας, οργανισμός ή οργάνωση θα πρέπει επίσης να είναι σε θέση να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή το δικαίωμα να λαμβάνει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων.

(83)

Υπάλληλος ή άλλο μέλος του προσωπικού της Ένωσης που δεν συμμορφώνεται με τις υποχρεώσεις τις οποίες υπέχει βάσει του παρόντος κανονισμού θα πρέπει να υπόκειται σε πειθαρχική ή άλλη κύρωση, σύμφωνα με τις διατάξεις και τις διαδικασίες του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ένωσης, όπως καθορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου (10) («κανονισμός υπηρεσιακής κατάστασης»).

(84)

Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκηθούν σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11). Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση τυποποιημένων συμβατικών ρητρών μεταξύ υπευθύνων επεξεργασίας και εκτελούντων επεξεργασία, καθώς και μεταξύ εκτελούντων επεξεργασία, για την έγκριση καταλόγου πράξεων επεξεργασίας για τις οποίες απαιτείται προηγούμενη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων των υπευθύνων επεξεργασίας που προβαίνουν στην επεξεργασία προσωπικών δεδομένων για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, και για την έγκριση τυποποιημένων συμβατικών ρητρών που παρέχουν κατάλληλες εγγυήσεις για διεθνείς διαβιβάσεις.

(85)

Θα πρέπει να προστατεύονται οι εμπιστευτικές πληροφορίες που συλλέγουν οι ενωσιακές και εθνικές στατιστικές υπηρεσίες για την κατάρτιση επίσημων ευρωπαϊκών και εθνικών στατιστικών. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να εκπονούνται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές που θεσπίζονται στο άρθρο 338 παράγραφος 2 ΣΛΕΕ. Ο κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12) παρέχει περαιτέρω διευκρινίσεις περί του στατιστικού απορρήτου για τις ευρωπαϊκές στατιστικές.

(86)

Ο κανονισμός (ΕΚ) αριθ. 45/2001 και η απόφαση αριθ. 1247/2002/ΕΚ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (13) θα πρέπει να καταργηθούν. Οι παραπομπές στον καταργηθέντα κανονισμό και στην καταργηθείσα απόφαση θα πρέπει να νοούνται ως παραπομπές στον παρόντα κανονισμό.

(87)

Για να διαφυλαχθεί η πλήρης ανεξαρτησία των μελών της ανεξάρτητης εποπτικής αρχής, οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν θα πρέπει να επηρεαστούν από τον παρόντα κανονισμό. Ο νυν αναπληρωτής Επόπτης θα πρέπει να παραμείνει στη θέση του μέχρι τη λήξη της θητείας του, εκτός εάν συντρέξει κάποια από τις προϋποθέσεις πρόωρης λήξης της θητείας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που προβλέπονται στον παρόντα κανονισμό. Οι συναφείς διατάξεις του παρόντος κανονισμού θα πρέπει να ισχύουν για τον αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του.

(88)

Σύμφωνα με την αρχή της αναλογικότητας, είναι αναγκαίο και πρόσφορο για την επίτευξη του βασικού στόχου της διασφάλισης ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση να θεσπιστούν κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των επιδιωκόμενων στόχων, σύμφωνα με το άρθρο 5 παράγραφος 4 ΣΕΕ.

(89)

Ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος και γνωμοδότησε στις 15 Μαρτίου 2017 (14),

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και στόχοι

1.   Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των εν λόγω οργάνων και οργανισμών ή προς άλλους αποδέκτες εγκατεστημένους στην Ένωση.

2.   Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3.   Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ελέγχει την εφαρμογή των διατάξεων του παρόντος κανονισμού σε κάθε πράξη επεξεργασίας δεδομένων που πραγματοποιείται από όργανο ή οργανισμό της Ένωσης.

Άρθρο 2

Πεδίο εφαρμογής

1.   Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα όργανα και τους οργανισμούς της Ένωσης.

2.   Μόνο το άρθρο 3 και το κεφάλαιο IX του παρόντος κανονισμού εφαρμόζονται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ.

3.   Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από την Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία, ενόσω ο κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15), και ο κανονισμός (ΕΕ) 2017/1939 του Συμβουλίου (16), δεν έχουν προσαρμοστεί σύμφωνα με το άρθρο 98 του παρόντος κανονισμού.

4.   Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αποστολές που αναφέρονται στο άρθρο 42 παράγραφος 1, στο άρθρο 43 και στο άρθρο 44 ΣΕΕ.

5.   Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

Άρθρο 3

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, εφαρμόζονται οι ακόλουθοι ορισμοί:

1)

«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2)

«επιχειρησιακά δεδομένα προσωπικού χαρακτήρα»: τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τα όργανα ή τους οργανισμούς της Ένωσης που ασκούν δραστηριότητες οι οποίες εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ ώστε να επιτευχθούν οι στόχοι και τα καθήκοντα που ορίζονται στις ιδρυτικές νομοθετικές πράξεις των εν λόγω οργάνων ή οργανισμών,

3)

«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

4)

«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

5)

«κατάρτιση προφίλ»: κάθε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

6)

«ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

7)

«σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

8)

«υπεύθυνος επεξεργασίας»: το όργανο ή ο οργανισμός της Ένωσης ή η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι και ο τρόπος της εν λόγω επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης,

9)

«υπεύθυνοι επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης»: οι υπεύθυνοι επεξεργασίας κατά την έννοια του άρθρου 4 σημείο 7) του κανονισμού (ΕΕ) 2016/679 και οι υπεύθυνοι επεξεργασίας κατά την έννοια του άρθρου 3 σημείο 8) της οδηγίας (ΕΕ) 2016/680,

10)

«όργανα και οργανισμοί της Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί δυνάμει ή επί τη βάσει της ΣΕΕ, της ΣΛΕΕ ή της Συνθήκης Ευρατόμ,

11)

«αρμόδια αρχή»: κάθε δημόσια αρχή αρμόδια στα κράτη μέλη για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους,

12)

«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας,

13)

«αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

14)

«τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

15)

«συγκατάθεση του υποκειμένου των δεδομένων»: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

16)

«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια ή μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή άλλως υπέστησαν επεξεργασία,

17)

«γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

18)

«βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

19)

«δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

20)

«υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17),

21)

«διεθνής οργανισμός»: ο οργανισμός και οι υπαγόμενοι σε αυτόν φορείς δημοσίου διεθνούς δικαίου ή κάθε άλλος φορέας ο οποίος έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσοτέρων χωρών,

22)

«εθνική εποπτική αρχή»: η ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51 του κανονισμού (ΕΕ) 2016/679 ή σύμφωνα με το άρθρο 41 της οδηγίας (ΕΕ) 2016/680,

23)

«χρήστης»: κάθε φυσικό πρόσωπο που χρησιμοποιεί δίκτυο ή εξοπλισμό τερματικών που λειτουργεί υπό τον έλεγχο οργάνου ή οργανισμού της Ένωσης,

24)

«κατάλογος»: διαθέσιμος στο κοινό κατάλογος χρηστών ή εσωτερικός κατάλογος χρηστών διαθέσιμος εντός οργάνου ή οργανισμού της Ένωσης ή χρησιμοποιούμενος από κοινού από όργανα ή οργανισμούς της Ένωσης, σε έντυπη ή ηλεκτρονική μορφή,

25)

«δίκτυο ηλεκτρονικών επικοινωνιών»: σύστημα μετάδοσης, ανεξαρτήτως του αν βασίζεται σε μόνιμη υποδομή ή κεντρική διοικητική ικανότητα και, κατά περίπτωση, ο εξοπλισμός μεταγωγής ή δρομολόγησης και οι λοιποί πόροι, περιλαμβανομένων μη ενεργών στοιχείων δικτύου, που επιτρέπουν τη μεταφορά σημάτων με χρήση καλωδίου, ραδιοσημάτων, οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, περιλαμβανομένων των δορυφορικών δικτύων, των σταθερών δικτύων (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομεταγωγής, περιλαμβανομένου του διαδικτύου) και των κινητών επίγειων δικτύων, των συστημάτων ηλεκτρικών καλωδίων, εφόσον χρησιμοποιούνται για τη μετάδοση σημάτων, των δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές εκπομπές, καθώς και των δικτύων καλωδιακής τηλεόρασης, ανεξάρτητα από το είδος των μεταφερόμενων πληροφοριών,

26)

«εξοπλισμός τερματικών»: ο εξοπλισμός τερματικών κατά την έννοια του άρθρου 1 σημείο 1) της οδηγίας 2008/63/ΕΚ της Επιτροπής (18).

ΚΕΦΑΛΑΙΟ II

ΓΕΝΙΚΕΣ ΑΡΧΕΣ

Άρθρο 4

Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1.   Τα δεδομένα προσωπικού χαρακτήρα:

α)

υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·

β)

συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 13 («περιορισμός του σκοπού»)·

γ)

είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)·

δ)

είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση («ακρίβεια»)·

ε)

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 13 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»)·

στ)

υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

2.   Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Άρθρο 5

Νομιμότητα της επεξεργασίας

1.   Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)

η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο όργανο ή τον οργανισμό της Ένωσης,

β)

η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

γ)

η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

δ)

το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

ε)

η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

2.   Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία α) και β) ορίζεται στο δίκαιο της Ένωσης.

Άρθρο 6

Επεξεργασία για άλλο συμβατό σκοπό

Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 25 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

α)

τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

β)

το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπεύθυνου επεξεργασίας,

γ)

τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 11,

δ)

τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

ε)

την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

Άρθρο 7

Προϋποθέσεις για συγκατάθεση

1.   Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

2.   Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3.   Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν από την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

4.   Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.

Άρθρο 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση ενός παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

1.   Όταν εφαρμόζεται το άρθρο 5 παράγραφος 1 στοιχείο δ), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 13 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 13 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

2.   Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3.   Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

Άρθρο 9

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης,

1.   Με την επιφύλαξη των άρθρων 4 έως 6 και του άρθρου 10, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης, μόνο εάν:

α)

ο αποδέκτης αποδεικνύει την αναγκαιότητα των δεδομένων για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον αποδέκτη ή

β)

ο αποδέκτης αποδεικνύει ότι είναι αναγκαία η διαβίβαση δεδομένων για συγκεκριμένο σκοπό δημοσίου συμφέροντος και ο υπεύθυνος επεξεργασίας, όταν υπάρχει λόγος να υποτεθεί ότι τα έννομα συμφέροντα του υποκειμένου των δεδομένων μπορεί να θιγούν, διαπιστώνει ότι συνάδει προς την αρχή της αναλογικότητας να διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα για τον συγκεκριμένο αυτό σκοπό, αφού προηγουμένως έχει αποδεδειγμένα προβεί σε στάθμιση των διαφόρων αντιτιθέμενων συμφερόντων.

2.   Όταν ο υπεύθυνος επεξεργασίας προβαίνει στη διαβίβαση βάσει του παρόντος άρθρου, αποδεικνύει ότι η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία και αναλογική για τους σκοπούς της διαβίβασης, εφαρμόζοντας τα κριτήρια που προβλέπονται στην παράγραφο 1 στοιχείο α) ή β).

3.   Τα όργανα και οι οργανισμοί της Ένωσης μεριμνούν ώστε το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα να είναι συμβατό με το δικαίωμα πρόσβασης σε έγγραφα σύμφωνα με το δίκαιο της Ένωσης.

Άρθρο 10

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1.   Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2.   Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

α)

το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,

β)

η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπεύθυνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,

γ)

η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

δ)

η επεξεργασία εκτελείται, στο πλαίσιο των νόμιμων δραστηριοτήτων του και με κατάλληλες εγγυήσεις, από μη κερδοσκοπικό φορέα ο οποίος συνιστά μονάδα ενσωματωμένη σε όργανο ή οργανισμό της Ένωσης και επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του εν λόγω φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του, και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,

ε)

η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

στ)

η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν το Δικαστήριο ενεργεί υπό τη δικαιοδοτική του ιδιότητα,

ζ)

η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης, το οποίο είναι αναλογικό προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

η)

η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του δικαίου της Ένωσης ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,

θ)

η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

ι)

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, οι οποίοι είναι αναλογικοί προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

3.   Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο, το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

Άρθρο 11

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αξιόποινες πράξεις ή σχετικά μέτρα ασφάλειας βάσει του άρθρου 5 παράγραφος 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εφόσον η επεξεργασία αυτή επιτρέπεται από το δίκαιο της Ένωσης, το οποίο προβλέπει κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Άρθρο 12

Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

1.   Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για τον σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.

2.   Όταν, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. Στις περιπτώσεις αυτές, τα άρθρα 17 ως 22 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.

Άρθρο 13

Εγγυήσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς

Η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.

ΚΕΦΑΛΑΙΟ III

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

ΤΜΗΜΑ 1

Διαφάνεια και ρυθμίσεις

Άρθρο 14

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1.   Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 15 και 16 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 17 έως 24 και του άρθρου 35 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

2.   Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 17 έως 24. Στις περιπτώσεις που προβλέπονται στο άρθρο 12 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 17 έως 24, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3.   Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 17 έως 24 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4.   Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και άσκησης δικαστικής προσφυγής.

5.   Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 15 και 16 και κάθε ανακοίνωση, καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 17 έως 24 και το άρθρο 35 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα. Ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6.   Με την επιφύλαξη του άρθρου 12, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 17 έως 23, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7.   Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 15 και 16 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.

8.   Όταν η Επιτροπή εκδώσει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 12 παράγραφος 8 του κανονισμού (ΕΕ) 2016/679 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων, τα όργανα και οι οργανισμοί της Ένωσης παρέχουν, όπου ενδείκνυται, τις πληροφορίες που προβλέπονται στα άρθρα 15 και 16 του παρόντος κανονισμού σε συνδυασμό με τα εν λόγω τυποποιημένα εικονίδια.

ΤΜΗΜΑ 2

Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

Άρθρο 15

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1.   Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

α)

την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας,

β)

τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)

τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

δ)

τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

ε)

κατά περίπτωση, την πρόθεση του υπεύθυνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 48, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2.   Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας:

α)

το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,

β)

την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,

γ)

όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

δ)

το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ε)

κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,

στ)

την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3.   Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

4.   Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες.

Άρθρο 16

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεχθεί από το υποκείμενο των δεδομένων

1.   Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεχθεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

α)

την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας,

β)

τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)

τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

δ)

τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

ε)

τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

στ)

κατά περίπτωση, την πρόθεση του υπεύθυνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 48, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2.   Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

α)

το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,

β)

την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,

γ)

όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

δ)

το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ε)

την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

στ)

την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3.   Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:

α)

εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,

β)

εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή

γ)

εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4.   Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5.   Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:

α)

το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,

β)

η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας,

γ)

η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης, το οποίο προβλέπει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, ή

δ)

εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

6.   Στις περιπτώσεις που αναφέρονται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών καθώς και του έννομου συμφέροντος του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό.

Άρθρο 17

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

α)

τους σκοπούς της επεξεργασίας,

β)

τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)

τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,

δ)

εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

ε)

την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος εναντίωσης στην εν λόγω επεξεργασία,

στ)

το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

ζ)

όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,

η)

την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2.   Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 48 σχετικά με τη διαβίβαση.

3.   Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4.   Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

ΤΜΗΜΑ 3

Διόρθωση και διαγραφή

Άρθρο 18

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Άρθρο 19

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α)

τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

β)

το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ)

το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία,

δ)

τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε)

τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ)

τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

2.   Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπεύθυνους επεξεργασίας ή υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης, οι οποίοι επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3.   Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

α)

για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

β)

για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

γ)

για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 10 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 10 παράγραφος 3,

δ)

για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή

ε)

για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Άρθρο 20

Δικαίωμα περιορισμού της επεξεργασίας

1.   Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α)

η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια, συμπεριλαμβανομένης της πληρότητας, των δεδομένων προσωπικού χαρακτήρα,

β)

η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,

γ)

ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

δ)

το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2.   Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

3.   Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

4.   Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, ο περιορισμός της επεξεργασίας εξασφαλίζεται καταρχήν με τεχνικά μέσα. Το γεγονός ότι τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε περιορισμό αναγράφεται στο σύστημα κατά τρόπο ώστε να καθίσταται σαφές ότι τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν.

Άρθρο 21

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 18, το άρθρο 19 παράγραφος 1 και το άρθρο 20 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

Άρθρο 22

Δικαίωμα στη φορητότητα των δεδομένων

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

α)

η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο γ), και

β)

η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2.   Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον ή σε υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3.   Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 19. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

4.   Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

ΤΜΗΜΑ 4

Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Άρθρο 23

Δικαίωμα εναντίωσης

1.   Το υποκείμενο των δεδομένων δικαιούται να εναντιώνεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν η οποία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο α), περιλαμβανομένης της κατάρτισης προφίλ βάσει της εν λόγω διάταξης. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

2.   Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στην παράγραφο 1 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

3.   Με την επιφύλαξη των άρθρων 36 και 37, στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του εναντίωσης με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

4.   Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων δικαιούται να εναντιωθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για λόγους δημόσιου συμφέροντος.

Άρθρο 24

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2.   Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

α)

είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας,

β)

επιτρέπεται από το δίκαιο της Ένωσης, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

γ)

βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3.   Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπεύθυνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4.   Οι αποφάσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 παράγραφος 1, εκτός αν ισχύει το άρθρο 10 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

ΤΜΗΜΑ 5

Περιορισμοί

Άρθρο 25

Περιορισμοί

1.   Νομικές πράξεις που εκδίδονται βάσει των Συνθηκών ή, σε θέματα που άπτονται της λειτουργίας των οργάνων και οργανισμών της Ένωσης, βάσει των εσωτερικών κανονισμών των τελευταίων μπορεί να περιορίζουν την εφαρμογή των άρθρων 14 έως 22 και των άρθρων 35 και 36, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)

της εθνικής ασφάλειας, της δημόσιας ασφάλειας ή της άμυνας των κρατών μελών,

β)

της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

γ)

άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως των στόχων της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας της Ένωσης ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

δ)

της εσωτερικής ασφάλειας των οργάνων και οργανισμών της Ένωσης, συμπεριλαμβανομένων των δικτύων ηλεκτρονικών επικοινωνιών τους,

ε)

της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

στ)

της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

ζ)

της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως γ),

η)

της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

θ)

της εκτέλεσης αστικών αξιώσεων.

2.   Ειδικότερα, κάθε νομική πράξη ή εσωτερικός κανονισμός που αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις, ανάλογα με την περίπτωση, όσον αφορά:

α)

τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

β)

τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)

το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,

δ)

τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,

ε)

τις τεχνικές προδιαγραφές του υπεύθυνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ)

τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας, και

ζ)

τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

3.   Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί που θεσπίστηκαν από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

4.   Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί που θεσπίστηκαν από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20, 21, 22 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

5.   Οι εσωτερικοί κανονισμοί που αναφέρονται στις παραγράφους 1, 3 και 4 είναι πράξεις γενικής εφαρμογής διατυπωμένες με σαφήνεια και ακρίβεια που προορίζονται να παραγάγουν έννομα αποτελέσματα έναντι των υποκειμένων των δεδομένων, έχουν θεσπιστεί στο ανώτατο διοικητικό επίπεδο των οργάνων και οργανισμών της Ένωσης και αποτελούν αντικείμενο δημοσίευσης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

6.   Όταν επιβάλλεται περιορισμός σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων ενημερώνεται, σύμφωνα με το δίκαιο της Ένωσης, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό, καθώς και για το δικαίωμά του να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

7.   Όταν γίνεται επίκληση περιορισμού που έχει επιβληθεί σύμφωνα με την παράγραφο 1 για να απαγορευθεί η πρόσβαση στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων του γνωστοποιεί απλώς, όταν εξετάζει την καταγγελία, εάν η επεξεργασία των δεδομένων έγινε με τον προσήκοντα τρόπο και, εάν όχι, για το κατά πόσον πραγματοποιήθηκαν όλες οι αναγκαίες διορθώσεις.

8.   Η ενημέρωση που προβλέπεται στις παραγράφους 6 και 7 του παρόντος άρθρου και στο άρθρο 45 παράγραφος 2 μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει της παραγράφου 1 του παρόντος άρθρου την ισχύ του.

ΚΕΦΑΛΑΙΟ IV

ΥΠΕΥΘΥΝΟΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1

Γενικές υποχρεώσεις

Άρθρο 26

Ευθύνη του υπεύθυνου επεξεργασίας

1.   Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.   Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.

3.   Η εφαρμογή εγκεκριμένων διαδικασιών πιστοποίησης κατά τα προβλεπόμενα στο άρθρο 42 του κανονισμού (ΕΕ) 2016/679 μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η τήρηση των υποχρεώσεων του υπευθύνου επεξεργασίας.

Άρθρο 27

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.   Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2.   Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3.   Εγκεκριμένη διαδικασία πιστοποίησης σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.

Άρθρο 28

Από κοινού υπεύθυνοι επεξεργασίας

1.   Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας ή ένας ή περισσότεροι υπεύθυνοι επεξεργασίας με έναν ή περισσότερους υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπεύθυνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που υπέχουν στον τομέα της προστασίας των δεδομένων, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους όσον αφορά την παροχή των πληροφοριών που αναφέρονται στα άρθρα 15 και 16, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι από κοινού υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2.   Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3.   Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.

Άρθρο 29

Εκτελών την επεξεργασία

1.   Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπεύθυνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2.   Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπεύθυνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3.   Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α)

επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπεύθυνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β)

διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ)

λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 33,

δ)

τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος επεξεργασία,

ε)

λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπεύθυνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ)

συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 33 έως 41, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ)

κατ’ επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η)

θέτει στη διάθεση του υπεύθυνου του επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4.   Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπεύθυνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπεύθυνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος επεξεργασία.

5.   Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, η τήρηση εκ μέρους του εγκεκριμένου κώδικα δεοντολογίας κατά τα προβλεπόμενα στο άρθρο 40 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 ή εγκεκριμένου μηχανισμού πιστοποίησης κατά τα προβλεπόμενα στο άρθρο 42 του κανονισμού (ΕΕ) 2016/679 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς εγγυήσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6.   Με την επιφύλαξη τυχόν ατομικής σύμβασης μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον εκτελούντα την επεξεργασία ο οποίος δεν είναι όργανο ή οργανισμός της Ένωσης σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679.

7.   Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 96 παράγραφος 2.

8.   Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4.

9.   Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 είναι έγγραφη, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

10.   Με την επιφύλαξη των άρθρων 65 και 66, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Άρθρο 30

Επεξεργασία υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους.

Άρθρο 31

Αρχεία των δραστηριοτήτων επεξεργασίας

1.   Κάθε υπεύθυνος επεξεργασίας τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

α)

το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, του υπεύθυνου προστασίας δεδομένων και, κατά περίπτωση, του εκτελούντος της επεξεργασία και του από κοινού υπεύθυνου επεξεργασίας,

β)

τους σκοπούς της επεξεργασίας,

γ)

περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

δ)

τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε κράτη μέλη, τρίτες χώρες ή διεθνείς οργανισμούς,

ε)

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων,

στ)

όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διαφόρων κατηγοριών δεδομένων,

ζ)

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33.

2.   Κάθε εκτελών επεξεργασία τηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπεύθυνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής:

α)

το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και κάθε υπεύθυνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών, καθώς και του υπεύθυνου προστασίας δεδομένων,

β)

τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπεύθυνου επεξεργασίας,

γ)

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων,

δ)

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33.

3.   Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 τηρούνται γραπτώς, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

4.   Τα όργανα και οι οργανισμοί της Ένωσης θέτουν το αρχείο στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.

5.   Τα όργανα και οι οργανισμοί της Ένωσης τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους σε κεντρικό μητρώο εφόσον αυτό δεν αντενδείκνυται λόγω μεγέθους του οργάνου ή του οργανισμού της Ένωσης. Καθιστούν το μητρώο δημόσια προσβάσιμο.

Άρθρο 32

Συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

Τα όργανα και οι οργανισμοί της Ένωσης συνεργάζονται, κατόπιν αιτήματος, με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά την άσκηση των καθηκόντων του.

ΤΜΗΜΑ 2

Ασφάλεια των δεδομένων προσωπικού χαρακτήρα

Άρθρο 33

Ασφάλεια της επεξεργασίας

1.   Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

α)

της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

β)

της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

γ)

της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

δ)

διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2.   Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

3.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης.

4.   Η τήρηση μιας εγκεκριμένης διαδικασίας πιστοποίησης, σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679, μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στην παράγραφο 1 του παρόντος άρθρου.

Άρθρο 34

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

1.   Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Όταν η γνωστοποίηση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2.   Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

3.   Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο:

α)

περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β)

ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

γ)

περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ)

περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

4.   Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

5.   Ο υπεύθυνος επεξεργασίας ενημερώνει τον υπεύθυνο προστασίας δεδομένων για την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

6.   Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, τεκμηρίωση που περιλαμβάνει τα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Άρθρο 35

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1.   Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

2.   Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 34 παράγραφος 3 στοιχεία β), γ) και δ).

3.   Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

α)

ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,

β)

ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

γ)

προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή λαμβάνεται παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4.   Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

ΤΜΗΜΑ 3

Απόρρητο των ηλεκτρονικών επικοινωνιών

Άρθρο 36

Απόρρητο των ηλεκτρονικών επικοινωνιών

Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, ιδίως μεριμνώντας για την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους.

Άρθρο 37

Προστασία πληροφοριών που έχουν διαβιβαστεί και αποθηκευτεί σε τερματικό εξοπλισμό χρηστών, σχετίζονται με τον εξοπλισμό αυτόν, έχουν υποστεί επεξεργασία σε αυτόν και έχουν ανακτηθεί από αυτόν

Τα όργανα και οι οργανισμοί της Ένωσης μεριμνούν για την προστασία των πληροφοριών που έχουν διαβιβαστεί και αποθηκευτεί σε τερματικό εξοπλισμό χρηστών, σχετίζονται με τον εξοπλισμό αυτόν, έχουν υποστεί επεξεργασία σε αυτόν και έχουν ανακτηθεί από αυτόν, κατά την πρόσβαση στους δικτυακούς τόπους τους και σε εφαρμογές για φορητές συσκευές σύμφωνα με το άρθρο 5 παράγραφος 3 της οδηγίας 2002/58/ΕΚ.

Άρθρο 38

Κατάλογοι χρηστών

1.   Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε καταλόγους χρηστών και η πρόσβαση στους καταλόγους αυτούς περιορίζονται σε ό,τι είναι απολύτως αναγκαίο για τους ειδικούς σκοπούς του καταλόγου.

2.   Τα όργανα και οι οργανισμοί της Ένωσης λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στους καταλόγους αυτούς να μη χρησιμοποιούνται για άμεση προώθηση προϊόντων, ανεξάρτητα από το εάν τα δεδομένα αυτά είναι ή όχι προσιτά στο κοινό.

ΤΜΗΜΑ 4

Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και προηγούμενη διαβούλευση

Άρθρο 39

Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων

1.   Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2.   Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.

3.   Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων απαιτείται ιδίως στην περίπτωση:

α)

συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,

β)

μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 10 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 11, ή

γ)

συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4.   Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1.

5.   Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων.

6.   Πριν από την έγκριση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5 του παρόντος άρθρου, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ζητά από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που έχει συσταθεί με το άρθρο 68 του κανονισμού (ΕΕ) 2016/679 να εξετάσει τους καταλόγους αυτούς σύμφωνα με το άρθρο 70 παράγραφος 1 στοιχείο ε) του εν λόγω κανονισμού, όταν αναφέρονται σε πράξεις επεξεργασίας από υπεύθυνο επεξεργασίας που ενεργεί από κοινού με έναν ή περισσότερους υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης.

7.   Η εκτίμηση περιέχει τουλάχιστον:

α)

συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας,

β)

εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

γ)

εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και

δ)

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8.   Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 του κανονισμού (ΕΕ) 2016/679 από τους σχετικούς εκτελούντες την επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.

9.   Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10.   Όταν η επεξεργασία βάσει του άρθρου 5 παράγραφος 1 στοιχείο α) ή β) έχει νομική βάση σε νομική πράξη που έχει εκδοθεί βάσει των Συνθηκών, η εν λόγω πράξη ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου πριν από την έγκριση της εν λόγω νομικής πράξης, οι παράγραφοι 1 έως 6 του παρόντος άρθρου δεν εφαρμόζονται, εκτός εάν προβλέπεται διαφορετικά στην εν λόγω νομική πράξη.

11.   Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

Άρθρο 40

Προηγούμενη διαβούλευση

1.   Ο υπεύθυνος επεξεργασίας διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την επεξεργασία όταν η δυνάμει του άρθρου 39 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων σχετικά με την ανάγκη προηγούμενης διαβούλευσης.

2.   Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας και, όπου απαιτείται, στον εκτελούντα την επεξεργασία εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες του που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3.   Κατά τη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων:

α)

κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπεύθυνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στην επεξεργασία,

β)

τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,

γ)

τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

δ)

τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

ε)

την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 39 και

στ)

κάθε άλλη πληροφορία που ζητεί ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

4.   Η Επιτροπή μπορεί, μέσω εκτελεστικής πράξης, να καταρτίσει κατάλογο με τις περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας διαβουλεύονται με, και λαμβάνουν προηγούμενη άδεια από, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε σχέση με επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται για την εκπλήρωση από τον υπεύθυνο επεξεργασίας καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας δεδομένων σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

ΤΜΗΜΑ 5

Ενημέρωση και νομοθετική διαβούλευση

Άρθρο 41

Ενημέρωση και διαβούλευση

1.   Τα όργανα και οι οργανισμοί της Ένωσης ενημερώνουν τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων οσάκις εκπονούν διοικητικά μέτρα και εσωτερικούς κανονισμούς που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία μετέχει όργανο ή οργανισμός της Ένωσης, είτε αυτοτελώς είτε από κοινού με άλλους.

2.   Τα όργανα και οι οργανισμοί της Ένωσης διαβουλεύονται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων οσάκις εκπονούν τους εσωτερικούς κανονισμούς που αναφέρονται στο άρθρο 25.

Άρθρο 42

Νομοθετική διαβούλευση

1.   Η Επιτροπή, μετά την έγκριση προτάσεων νομοθετικών πράξεων και συστάσεων ή προτάσεων προς το Συμβούλιο δυνάμει του άρθρου 218 ΣΛΕΕ ή κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων όταν υπάρχει αντίκτυπος στην προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2.   Όταν πράξη που αναφέρεται στην παράγραφο 1 είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή δύναται επίσης να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.