Go to unilingual display
  Display information about this document

?

4.5.2016    | EN | Official Journal of the European Union | L 119/14.5.2016    | EL | Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης | L 119/1
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILΚΑΝΟΝΙΣΜΌΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ
of 27 April 2016της 27ης Απριλίου 2016
on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)
(Text with EEA relevance)(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof,Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16,
Having regard to the proposal from the European Commission,Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
After transmission of the draft legislative act to the national parliaments,Μετά από διαβίβαση του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Having regard to the opinion of the European Economic and Social Committee (1),Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),
Having regard to the opinion of the Committee of the Regions (2),Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών (2),
Acting in accordance with the ordinary legislative procedure (3),Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (3),
Whereas:Εκτιμώντας τα ακόλουθα:
(1) | The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her.(1) | Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
(2) | The principles of, and rules on the protection of natural persons with regard to the processing of their personal data should, whatever their nationality or residence, respect their fundamental rights and freedoms, in particular their right to the protection of personal data. This Regulation is intended to contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, to the strengthening and the convergence of the economies within the internal market, and to the well-being of natural persons.(2) | Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής τους, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. Ο παρών κανονισμός σκοπεύει να συμβάλλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και μιας οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενίσχυση και σύγκλιση των οικονομιών εντός της εσωτερικής αγοράς και στην ευημερία των φυσικών προσώπων.
(3) | Directive 95/46/EC of the European Parliament and of the Council (4) seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to ensure the free flow of personal data between Member States.(3) | Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) επιδιώκει την εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.
(4) | The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality. This Regulation respects all fundamental rights and observes the freedoms and principles recognised in the Charter as enshrined in the Treaties, in particular the respect for private and family life, home and communications, the protection of personal data, freedom of thought, conscience and religion, freedom of expression and information, freedom to conduct a business, the right to an effective remedy and to a fair trial, and cultural, religious and linguistic diversity.(4) | Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.
(5) | The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows of personal data. The exchange of personal data between public and private actors, including natural persons, associations and undertakings across the Union has increased. National authorities in the Member States are being called upon by Union law to cooperate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State.(5) | Η οικονομική και κοινωνική ολοκλήρωση, η οποία προέκυψε από τη λειτουργία της εσωτερικής αγοράς, έχει ως αποτέλεσμα σημαντική αύξηση των διασυνοριακών ροών δεδομένων προσωπικού χαρακτήρα. H ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ δημόσιων και ιδιωτικών φορέων, περιλαμβανομένων των φυσικών προσώπων, ενώσεων και επιχειρήσεων σε ολόκληρη την Ένωση, έχει αυξηθεί. Οι εθνικές αρχές των κρατών μελών καλούνται από το δίκαιο της Ένωσης να συνεργάζονται και να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα προκειμένου να μπορούν να εκτελούν τις υποχρεώσεις τους ή να ασκούν καθήκοντα για λογαριασμό αρχής άλλου κράτους μέλους.
(6) | Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Natural persons increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and should further facilitate the free flow of personal data within the Union and the transfer to third countries and international organisations, while ensuring a high level of the protection of personal data.(6) | Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.
(7) | Those developments require a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance of creating the trust that will allow the digital economy to develop across the internal market. Natural persons should have control of their own personal data. Legal and practical certainty for natural persons, economic operators and public authorities should be enhanced.(7) | Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.
(8) | Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member States may, as far as necessary for coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of this Regulation into their national law.(8) | Οσάκις ο παρών κανονισμός προβλέπει προδιαγραφές ή περιορισμούς των κανόνων του από το δίκαιο των κρατών μελών, τα κράτη μέλη μπορούν να ενσωματώσουν στοιχεία του παρόντος κανονισμού στο εθνικό τους δίκαιο, στην έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται.
(9) | The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the implementation of data protection across the Union, legal uncertainty or a widespread public perception that there are significant risks to the protection of natural persons, in particular with regard to online activity. Differences in the level of protection of the rights and freedoms of natural persons, in particular the right to the protection of personal data, with regard to the processing of personal data in the Member States may prevent the free flow of personal data throughout the Union. Those differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. Such a difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC.(9) | Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν ισχυροί, η οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα. Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ.
(10) | In order to ensure a consistent and high level of protection of natural persons and to remove the obstacles to flows of personal data within the Union, the level of protection of the rights and freedoms of natural persons with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union. Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful.(10) | Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν εθνικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων του παρόντος κανονισμού. Σε συνδυασμό με το γενικό και οριζόντιο δίκαιο περί προστασίας δεδομένων που αποσκοπεί στην εφαρμογή της οδηγίας 95/46/EΚ, στα κράτη μέλη ισχύουν διάφοροι τομεακοί νόμοι σε τομείς που χρειάζονται ειδικότερες διατάξεις. Ο παρών κανονισμός παρέχει επίσης περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»). Σε αυτόν τον βαθμό, ο παρών κανονισμός δεν αποκλείει το δίκαιο των κρατών μελών να προσδιορίζει τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.
(11) | Effective protection of personal data throughout the Union requires the strengthening and setting out in detail of the rights of data subjects and the obligations of those who process and determine the processing of personal data, as well as equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for infringements in the Member States.(11) | Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.
(12) | Article 16(2) TFEU mandates the European Parliament and the Council to lay down the rules relating to the protection of natural persons with regard to the processing of personal data and the rules relating to the free movement of personal data.(12) | Το άρθρο 16 παράγραφος 2 ΣΛΕΕ αναθέτει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο να θεσπίσουν τους κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες για την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.
(13) | In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC (5).(13) | Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (5).
(14) | The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.(14) | Η προστασία που παρέχει ο παρών κανονισμός θα πρέπει να ισχύει για τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα τους. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
(15) | In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation.(15) | Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα, όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα αρχεία ή τα σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.
(16) | This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union.(16) | Ο παρών κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη όταν αυτά εκτελούν δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.
(17) | Regulation (EC) No 45/2001 of the European Parliament and of the Council (6) applies to the processing of personal data by the Union institutions, bodies, offices and agencies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data should be adapted to the principles and rules established in this Regulation and applied in the light of this Regulation. In order to provide a strong and coherent data protection framework in the Union, the necessary adaptations of Regulation (EC) No 45/2001 should follow after the adoption of this Regulation, in order to allow application at the same time as this Regulation.(17) | Ο κανονισμός (EΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, οργανισμούς και υπηρεσίες της Ένωσης. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης οι οποίες είναι εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να προσαρμοστούν στις αρχές και τους κανόνες που θεσπίζονται στον παρόντα κανονισμό και να εφαρμόζονται υπό το πρίσμα του παρόντος κανονισμού. Για να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, μετά την έκδοσή του παρόντος κανονισμού θα πρέπει να ακολουθήσουν οι αναγκαίες προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001, ώστε να καταστεί δυνατή η εφαρμογή ταυτόχρονα με τον παρόντα κανονισμό.
(18) | This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.(18) | Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και άρα χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα. Οι προσωπικές ή οικιακές δραστηριότητες θα μπορούσαν να περιλαμβάνουν την αλληλογραφία και την τήρηση αρχείου διευθύνσεων ή την κοινωνική δικτύωση και την επιγραμμική δραστηριότητα που ασκείται στο πλαίσιο τέτοιων δραστηριοτήτων. Ωστόσο, ο παρών κανονισμός εφαρμόζεται σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι παρέχουν τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες.
(19) | The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes. However, personal data processed by public authorities under this Regulation should, when used for those purposes, be governed by a more specific Union legal act, namely Directive (EU) 2016/680 of the European Parliament and of the Council (7). Member States may entrust competent authorities within the meaning of Directive (EU) 2016/680 with tasks which are not necessarily carried out for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and prevention of threats to public security, so that the processing of personal data for those other purposes, in so far as it is within the scope of Union law, falls within the scope of this Regulation. | With regard to the processing of personal data by those competent authorities for purposes falling within scope of this Regulation, Member States should be able to maintain or introduce more specific provisions to adapt the application of the rules of this Regulation. Such provisions may determine more precisely specific requirements for the processing of personal data by those competent authorities for those other purposes, taking into account the constitutional, organisational and administrative structure of the respective Member State. When the processing of personal data by private bodies falls within the scope of this Regulation, this Regulation should provide for the possibility for Member States under specific conditions to restrict by law certain obligations and rights when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard specific important interests including public security and the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. This is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories.(19) | Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, αποτελεί το αντικείμενο ειδικής ενωσιακής νομικής πράξης. Ο παρών κανονισμός δεν θα πρέπει συνεπώς να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού θα πρέπει, όταν χρησιμοποιούνται για αυτούς τους σκοπούς, να ρυθμίζονται από ειδικότερη ενωσιακή νομική πράξη, δηλαδή την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7). Τα κράτη μέλη μπορούν να αναθέτουν στις αρμόδιες αρχές κατά την έννοια της οδηγίας (ΕΕ) 2016/680 καθήκοντα που δεν ασκούνται απαραιτήτως για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, ούτως ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, εφόσον εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, να υπάγεται στο πεδίο εφαρμογής του παρόντος κανονισμού. | Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω αρμόδιες αρχές για σκοπούς που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν ειδικότερες διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού. Αυτές οι διατάξεις μπορούν να καθορίζουν με ακριβέστερο τρόπο ειδικές απαιτήσεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις εν λόγω αρμόδιες αρχές για αυτούς τους άλλους σκοπούς, λαμβανομένων υπόψη των συνταγματικών, οργανωτικών και διοικητικών δομών των αντίστοιχων κρατών μελών. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς εμπίπτει στο πεδίο εφαρμογής του παρόντος κανονισμού, ο παρών κανονισμός θα πρέπει να προβλέπει τη δυνατότητα των κρατών μελών να περιορίζουν διά νόμου, υπό ειδικές συνθήκες, ορισμένες υποχρεώσεις και δικαιώματα, όταν ο περιορισμός αυτός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για να διασφαλιστούν ειδικά σημαντικά συμφέροντα, μεταξύ άλλων η δημόσια ασφάλεια και η πρόληψη, διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους. Αυτό έχει σημασία, για παράδειγμα, στο πλαίσιο του αγώνα ενάντια στο ξέπλυμα χρήματος ή των δραστηριοτήτων των εγκληματολογικών εργαστηρίων.
(20) | While this Regulation applies, inter alia, to the activities of courts and other judicial authorities, Union or Member State law could specify the processing operations and processing procedures in relation to the processing of personal data by courts and other judicial authorities. The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision-making. It should be possible to entrust supervision of such data processing operations to specific bodies within the judicial system of the Member State, which should, in particular ensure compliance with the rules of this Regulation, enhance awareness among members of the judiciary of their obligations under this Regulation and handle complaints in relation to such data processing operations.(20) | Ενώ ο παρών κανονισμός εφαρμόζεται, μεταξύ άλλων, στις δραστηριότητες των δικαστηρίων και άλλων δικαστικών αρχών, το δίκαιο της Ένωσης ή των κρατών μελών θα μπορούσε να εξειδικεύει τις πράξεις και διαδικασίες επεξεργασίας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές. Η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστικών λειτουργών κατά την άσκηση των δικαιοδοτικών τους καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων. Η εποπτεία των εν λόγω πράξεων επεξεργασίας δεδομένων θα πρέπει να μπορεί να ανατεθεί σε ειδικούς φορείς στο πλαίσιο του δικαστικού συστήματος του κράτους μέλους, το οποίο θα πρέπει ιδίως να διασφαλίζει τη συμμόρφωση με τους κανόνες του παρόντος κανονισμού, να ευαισθητοποιεί μέλη των δικαστικών λειτουργών όσον αφορά τις υποχρεώσεις τους βάσει του παρόντος κανονισμού και να επιλαμβάνεται καταγγελιών σε σχέση με τις εν λόγω διαδικασίες επεξεργασίας δεδομένων.
(21) | This Regulation is without prejudice to the application of Directive 2000/31/EC of the European Parliament and of the Council (8), in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. That Directive seeks to contribute to the proper functioning of the internal market by ensuring the free movement of information society services between Member States.(21) | Ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8), ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας. Η εν λόγω οδηγία έχει ως στόχο τη συμβολή στην ομαλή λειτουργία της εσωτερικής αγοράς, διασφαλίζοντας την ελεύθερη κυκλοφορία των υπηρεσιών της κοινωνίας της πληροφορίας μεταξύ των κρατών μελών.
(22) | Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.(22) | Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων της εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση θα πρέπει να διενεργείται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το εάν η ίδια η επεξεργασία πραγματοποιείται εντός Ένωσης. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων. Από αυτή την άποψη, ο νομικός τύπος των ρυθμίσεων αυτών, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας.
(23) | In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.(23) | Για να διασφαλιστεί ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα υποκειμένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει να διέπεται από τον παρόντα κανονισμό, εφόσον οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων, ανεξάρτητα από το εάν συνδέονται με πληρωμή. Για να κριθεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων που βρίσκονται στην Ένωση, θα πρέπει να εξακριβωθεί αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προδήλως αποσκοπεί να παράσχει υπηρεσίες στα υποκείμενα των δεδομένων σε ένα ή περισσότερα κράτη μέλη της Ένωσης. Ενώ η απλή προσβασιμότητα στην ιστοσελίδα του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή ενός μεσάζοντος στην Ένωση ή στη διεύθυνση ηλεκτρονικού ταχυδρομείου και σε άλλα στοιχεία επικοινωνίας ή η χρήση γλώσσας που χρησιμοποιείται συνήθως στην τρίτη χώρα όπου ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος δεν αρκεί για να τεκμηριωθεί τέτοια πρόθεση, παράγοντες όπως η χρήση γλώσσας ή νομίσματος που χρησιμοποιούνται συνήθως σε ένα ή περισσότερα κράτη μέλη, με δυνατότητα παραγγελίας προϊόντων και υπηρεσιών σε αυτήν την άλλη γλώσσα, ή η αναφορά σε πελάτες ή χρήστες που βρίσκονται στην Ένωση μπορούν να καταστήσουν πρόδηλο ότι ο υπεύθυνος επεξεργασίας προτίθεται να προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων στην Ένωση.
(24) | The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.(24) | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει επίσης να διέπεται από τον παρόντα κανονισμό, εφόσον αφορά την παρακολούθηση της συμπεριφοράς των εν λόγω υποκειμένων των δεδομένων στον βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης. Για τον καθορισμό του κατά πόσον μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά υποκειμένου των δεδομένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες συνίστανται στη διαμόρφωση του«προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι νοοτροπίες του.
(25) | Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post.(25) | Αν το δίκαιο κράτους μέλους εφαρμόζεται δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός θα πρέπει να ισχύει επίσης για υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, όπως, λόγου χάρη, για τη διπλωματική αποστολή ή την προξενική αρχή κράτους μέλους.
(26) | The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.(26) | Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.
(27) | This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons.(27) | Ο παρών κανονισμός δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων. Τα κράτη μέλη μπορούν να προβλέπουν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων.
(28) | The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.(28) | Η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων. Η ρητή εισαγωγή της «ψευδωνυμοποίησης» του παρόντος κανονισμού δεν προορίζεται να αποκλείσει κάθε άλλο μέτρο προστασίας των δεδομένων.
(29) | In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.(29) | Για να δημιουργηθούν κίνητρα για την ψευδωνυμοποίηση κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα πρέπει να είναι δυνατή η λήψη μέτρων ψευδωνυμοποίησης, με παράλληλη δυνατότητα μιας γενικής ανάλυσης, στο πλαίσιο του ίδιου υπευθύνου επεξεργασίας, όταν ο εν λόγω υπεύθυνος επεξεργασίας έχει λάβει τα τεχνικά και οργανωτικά μέτρα που είναι αναγκαία, ώστε να διασφαλιστεί, για τη σχετική επεξεργασία δεδομένων, η εφαρμογή του παρόντος κανονισμού και ότι οι συμπληρωματικές πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο των δεδομένων διατηρούνται χωριστά. Ο υπεύθυνος επεξεργασίας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποδεικνύει τα εξουσιοδοτημένα πρόσωπα εντός του ίδιου υπευθύνου επεξεργασίας.
(30) | Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.(30) | Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.
(31) | Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.(31) | Οι δημόσιες αρχές στις οποίες κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με νομική υποχρέωση για την άσκηση των επίσημων καθηκόντων τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες οικονομικής έρευνας, ανεξάρτητες διοικητικές αρχές ή αρχές χρηματοπιστωτικών αγορών που είναι αρμόδιες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών δεν θα πρέπει να θεωρηθούν αποδέκτες, εάν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια ειδικής έρευνας για το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους. Τα αιτήματα κοινολόγησης που αποστέλλονται από δημόσιες αρχές θα πρέπει να είναι πάντα γραπτά, αιτιολογημένα και σύμφωνα με την περίσταση και δεν θα πρέπει να αφορούν το σύνολο ενός συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση των συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω δημόσιες αρχές θα πρέπει να συμμορφώνεται προς τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
(32) | Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.(32) | Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.
(33) | It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.(33) | Συχνά, δεν είναι δυνατόν να προσδιορίζεται πλήρως ο σκοπός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας κατά τον χρόνο συλλογής των δεδομένων. Ως εκ τούτου, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να δώσουν τη συγκατάθεσή τους για ορισμένους τομείς της επιστημονικής έρευνας, όταν ακολουθούνται τα αναγνωρισμένα πρότυπα δεοντολογίας για την επιστημονική έρευνα. Τα υποκείμενα των δεδομένων θα πρέπει να έχουν τη δυνατότητα να παρέχουν τη συναίνεσή τους μόνο σε ορισμένους τομείς της έρευνας ή μόνο σε μέρη προγραμμάτων έρευνας, στον βαθμό που επιτρέπεται από τον επιδιωκόμενο σκοπό.
(34) | Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.(34) | Ως γενετικά δεδομένα θα πρέπει να οριστούν τα δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κληρονομημένα ή αποκεκτημένα γενετικά χαρακτηριστικά ενός φυσικού προσώπου τα οποία προκύπτουν από την ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου, ιδίως από χρωμοσωμική ανάλυση δεσοξυριβονουκλεϊκού οξέος (DNA) ή ριβονουκλεϊκού οξέος (RNA) ή από την ανάλυση άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών.
(35) | Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council (9) to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.(35) | Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Τούτο περιλαμβάνει πληροφορίες σχετικά με το φυσικό πρόσωπο που συλλέγονται κατά την εγγραφή για υπηρεσίες υγείας και κατά την παροχή αυτών όπως αναφέρεται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9) προς το εν λόγω φυσικό πρόσωπο· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας· πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.
(36) | The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.(36) | H κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις για τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση, οπότε η εν λόγω άλλη εγκατάσταση θα πρέπει να θεωρείται ως η κύρια εγκατάσταση. Η κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να καθορίζεται σύμφωνα με αντικειμενικά κριτήρια και θα πρέπει να συνεπάγεται την ουσιαστική και πραγματική άσκηση δραστηριοτήτων διαχείρισης οι οποίες καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς και τα μέσα της επεξεργασίας μέσω σταθερών ρυθμίσεων. Το εν λόγω κριτήριο δεν θα πρέπει να εξαρτάται από το εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στον συγκεκριμένο τόπο. Η ύπαρξη και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή δραστηριοτήτων επεξεργασίας δεν αποτελούν αφ' εαυτών κύρια εγκατάσταση και, επομένως, δεν συνιστούν καθοριστικά κριτήρια της κύριας εγκατάστασης. Η κύρια εγκατάσταση του εκτελούντος την επεξεργασία θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν αυτός δεν έχει κεντρική διοίκηση στην Ένωση, ο τόπος όπου πραγματοποιούνται οι βασικές δραστηριότητες επεξεργασίας στην Ένωση. Σε περιπτώσεις που αφορούν τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία, αρμόδια επικεφαλής εποπτική αρχή θα πρέπει να παραμένει η εποπτική αρχή του κράτους μέλους όπου βρίσκεται η κύρια εγκατάσταση του υπευθύνου επεξεργασίας, αλλά η εποπτική αρχή του εκτελούντος την επεξεργασία θα πρέπει να θεωρείται ως ενδιαφερόμενη εποπτική αρχή και η εν λόγω εποπτική αρχή θα πρέπει να μετέχει στη διαδικασία συνεργασίας που προβλέπει ο παρών κανονισμός. Σε κάθε περίπτωση, οι εποπτικές αρχές του κράτους μέλους ή των κρατών μελών όπου ο εκτελών την επεξεργασία έχει μία ή περισσότερες εγκαταστάσεις δεν θα πρέπει να θεωρούνται ως ενδιαφερόμενες εποπτικές αρχές όταν το σχέδιο απόφασης αφορά μόνο τον υπεύθυνο επεξεργασίας. Όταν η επεξεργασία διενεργείται από όμιλο επιχειρήσεων, ως κύρια εγκατάσταση της ελέγχουσας επιχείρησης θα πρέπει να θεωρείται η κύρια εγκατάσταση του ομίλου επιχειρήσεων, εκτός εάν οι σκοποί και τα μέσα της επεξεργασίας καθορίζονται από άλλη επιχείρηση.
(37) | A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.(37) | Ο όμιλος επιχειρήσεων θα πρέπει να καλύπτει την ελέγχουσα επιχείρηση και τις επιχειρήσεις που αυτή ελέγχει, όπου η ελέγχουσα επιχείρηση θα πρέπει να είναι η επιχείρηση η οποία μπορεί να ασκεί κυρίαρχη επιρροή στις άλλες επιχειρήσεις δυνάμει, για παράδειγμα, κυριότητας, οικονομικής συμμετοχής ή των κανόνων που τη διέπουν ή της εξουσίας εφαρμογής κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα. Επιχείρηση που ασκεί έλεγχο επί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε επιχειρήσεις που συνδέονται με αυτή θα πρέπει να θεωρείται, μαζί με τις εν λόγω επιχειρήσεις, όμιλος επιχειρήσεων.
(38) | Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child.(38) | Τα παιδιά απαιτούν ειδική προστασία όσον αφορά τα δεδομένα τους προσωπικού χαρακτήρα, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων, συνεπειών και εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτή η ειδική προστασία θα πρέπει να ισχύει ιδίως στη χρήση των δεδομένων προσωπικού χαρακτήρα με σκοπό την εμπορία ή τη δημιουργία προφίλ προσωπικότητας ή προφίλ χρήστη και τη συλλογή δεδομένων προσωπικού χαρακτήρα όσον αφορά παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται άμεσα σε ένα παιδί. Η συγκατάθεση του γονέα ή κηδεμόνα δεν θα πρέπει να είναι απαραίτητη σε συνάρτηση με υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε ένα παιδί.
(39) | Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.(39) | Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα να περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο, ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού.
(40) | In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.(40) | Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συγκατάθεση του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον παρόντα κανονισμό, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.
(41) | Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.(41) | Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο») και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.
(42) | Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC (10) a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.(42) | Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιο βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου (10), θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.
(43) | In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.(43) | Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Η συγκατάθεση θεωρείται ότι δεν έχει παρασχεθεί ελεύθερα, εάν δεν επιτρέπεται να δοθεί χωριστή συγκατάθεση σε διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ακόμη και αν ενδείκνυται στη συγκεκριμένη περίπτωση, ή όταν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, προϋποθέτει τη συγκατάθεση, ακόμη και αν η συγκατάθεση αυτή δεν είναι αναγκαία για την εν λόγω εκτέλεση.
(44) | Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.(44) | Η επεξεργασία θα πρέπει επίσης να είναι σύννομη εφόσον είναι αναγκαία στο πλαίσιο σύμβασης ή πρόθεσης σύναψης σύμβασης.
(45) | Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.(45) | Όταν η επεξεργασία διενεργείται σύμφωνα με νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή όταν είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να έχει βάση στο δίκαιο της Ένωσης ή κράτους μέλους. Ο παρών κανονισμός δεν απαιτεί συγκεκριμένο νόμο για κάθε μεμονωμένη επεξεργασία. Μπορεί να αρκεί ένας μόνο νόμος ως βάση για περισσότερες από μία πράξεις επεξεργασίας με βάση νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Επίσης, ο καθορισμός του σκοπού της επεξεργασίας θα πρέπει να εναπόκειται στο δίκαιο της Ένωσης ή κράτους μέλους. Επιπλέον, το εν λόγω δίκαιο θα μπορούσε να προσδιορίζει τις γενικές προϋποθέσεις του παρόντος κανονισμού που διέπουν τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και να θεσπίζει προδιαγραφές για τον καθορισμό του υπευθύνου επεξεργασίας, του είδους των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία, των εκάστοτε υποκειμένων των δεδομένων, των οντοτήτων στις οποίες μπορούν να κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, των περιορισμών σκοπού, της περιόδου αποθήκευσης και άλλων μέτρων για την εξασφάλιση σύννομης και δίκαιης επεξεργασίας. Επίσης, θα πρέπει να εναπόκειται στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών ο καθορισμός του κατά πόσον ο υπεύθυνος επεξεργασίας που εκπληρώνει καθήκον που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο που διέπεται από το δημόσιο δίκαιο ή, σε περίπτωση που αυτό δικαιολογείται από λόγους δημόσιου συμφέροντος, μεταξύ άλλων για λόγους υγείας, όπως η δημόσια υγεία και η κοινωνική προστασία και η διαχείριση των υπηρεσιών υγειονομικής περίθαλψης, από το ιδιωτικό δίκαιο, όπως μία επαγγελματική οργάνωση.
(46) | The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.(46) | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ' αρχήν να διενεργείται μόνο εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.
(47) | The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.(47) | Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, η εν λόγω νομική βάση δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους. H επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία για τους σκοπούς πρόληψης της απάτης, συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. H επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι διενεργείται χάριν έννομου συμφέροντος.
(48) | Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.(48) | Οι υπεύθυνοι επεξεργασίας που είναι μέλη ομίλου επιχειρήσεων ή ιδρυμάτων που συνδέονται με κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πελατών ή εργαζομένων. Οι γενικές αρχές της διαβίβασης δεδομένων προσωπικού χαρακτήρα, εντός ομίλου επιχειρήσεων, προς επιχείρηση εγκατεστημένη σε τρίτη χώρα δεν θίγονται.
(49) | The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.(49) | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία και ανάλογη για τους σκοπούς της διασφάλισης της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να ανθίσταται, σε ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες θέτουν σε κίνδυνο τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, ή που προσφέρονται από δημόσιες αρχές, από ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), από ομάδες παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών (CSIRT), από παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και από παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας δεδομένων. Αυτό θα μπορούσε να περιλαμβάνει, λόγου χάρη, την αποτροπή ανεξουσιοδότητης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων κωδικών και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών.
(50) | The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations. | Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.(50) | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας. | Όταν το υποκείμενο των δεδομένων παρέσχε τη συναίνεσή του ή η επεξεργασία βασίζεται στο δίκαιο της Ένωσης ή κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση, ειδικότερα, σημαντικών σκοπών στο πλαίσιο γενικού δημόσιου συμφέροντος, θα πρέπει να επιτρέπεται στον υπεύθυνο επεξεργασία να προβαίνει στην περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ανεξάρτητα από τη συμβατότητα των σκοπών. Σε κάθε περίπτωση, θα πρέπει να διασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους άλλους αυτούς σκοπούς και σχετικά με τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος προβολής αντιρρήσεων. Η επισήμανση πιθανών εγκληματικών πράξεων ή απειλών κατά της δημόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και η διαβίβαση των σχετικών δεδομένων προσωπικού χαρακτήρα σε αρμόδια αρχή σε μία μεμονωμένη υπόθεση ή σε περισσότερες από μία υποθέσεις που αφορούν την ίδια αξιόποινη πράξη ή τις ίδιες απειλές για τη δημόσια ασφάλεια θα πρέπει να θεωρείται ως εμπίπτουσα στο πλαίσιο του θεμιτού συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας. Ωστόσο, η διαβίβαση αυτή στο πλαίσιο του θεμιτού συμφέροντος του υπευθύνου επεξεργασίας ή η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν είναι συμβατή με νομική, επαγγελματική ή άλλη δεσμευτική υποχρέωση τήρησης απορρήτου.
(51) | Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.(51) | Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Τέτοια δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία επιτρέπεται σε ειδικές περιπτώσεις που προβλέπονται στον παρόντα κανονισμό, λαμβάνοντας υπόψη ότι το δίκαιο των κρατών μελών μπορεί να προβλέπει ειδικές διατάξεις για την προστασία των δεδομένων, προκειμένου να προσαρμόζεται η εφαρμογή των κανόνων του παρόντος κανονισμού λόγω συμμόρφωσης προς νομική υποχρέωση ή λόγω εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η εν λόγω επεξεργασία, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.
(52) | Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.(52) | Η παρέκκλιση από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπεται επίσης όταν προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, εφόσον δικαιολογείται από λόγους δημόσιου συμφέροντος, ιδίως η επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής προστασίας, συμπεριλαμβανομένων των συντάξεων, και για σκοπούς υγειονομικής ασφάλειας, παρακολούθησης και συναγερμού και για την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών κατά της υγείας. Αυτή η παρέκκλιση μπορεί να γίνεται για υγειονομικούς σκοπούς, συμπεριλαμβανομένων της δημόσιας υγείας και της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης, προκειμένου ειδικότερα να διασφαλίζονται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό αξιώσεων για παροχές και υπηρεσίες στο σύστημα υγειονομικής ασφάλισης, ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς. Θα πρέπει επίσης να προβλεφθεί παρέκκλιση που να επιτρέπει την επεξεργασία τέτοιων δεδομένων προσωπικού χαρακτήρα όταν είναι αναγκαία για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία.
(53) | Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.(53) | Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που χρήζουν υψηλότερης προστασίας θα πρέπει να γίνεται μόνο για σκοπούς που σχετίζονται με την υγεία, εφόσον αυτό είναι απαραίτητο για την επίτευξη των εν λόγω στόχων, προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης των υπηρεσιών και συστημάτων υγειονομικής περίθαλψης και κοινωνικής μέριμνας, μεταξύ άλλων και της επεξεργασίας των δεδομένων αυτών από τις διαχειριστικές και τις κεντρικές εθνικές υγειονομικές αρχές για τον σκοπό του ποιοτικού ελέγχου, της διαχείρισης των πληροφοριών και της συνολικής εθνικής και τοπικής εποπτείας του συστήματος υγείας ή κοινωνικής μέριμνας, και της εξασφάλισης της συνέχειας της υγειονομικής περίθαλψης ή κοινωνικής μέριμνας και της διασυνοριακής υγειονομικής περίθαλψης ή της υγειονομικής ασφάλειας, για σκοπούς παρακολούθησης και συναγερμού ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, βάσει του δικαίου της Ένωσης ή των κρατών μελών και με απώτερο στόχο την εξυπηρέτηση του δημόσιου συμφέροντος, καθώς και για μελέτες που διενεργούνται προς το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Συνεπώς, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία των εν λόγω δεδομένων πραγματοποιείται για ορισμένους σκοπούς που αφορούν την υγεία από πρόσωπα που υπέχουν νομική υποχρέωση τήρησης επαγγελματικού απορρήτου. Το δίκαιο της Ένωσης ή των κρατών μελών θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Ωστόσο, αυτό δεν θα πρέπει να εμποδίζει την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, όταν οι όροι αυτοί εφαρμόζονται στη διασυνοριακή επεξεργασία των δεδομένων αυτών.
(54) | The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council (11), namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.(54) | Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συναίνεση του υποκειμένου των δεδομένων. Η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11), δηλαδή ως το σύνολο των στοιχείων που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, περιλαμβανομένων της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται για την υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν, καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές εταιρείες και τράπεζες.
(55) | Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.(55) | Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές με σκοπό την επίτευξη σκοπών επίσημα αναγνωρισμένων θρησκευτικών ενώσεων, οι οποίοι προβλέπονται στο συνταγματικό ή το διεθνές δημόσιο δίκαιο, πραγματοποιείται για λόγους δημόσιου συμφέροντος.
(56) | Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.(56) | Εάν, στο πλαίσιο εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων προσωπικού χαρακτήρα σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, εφόσον προβλέπονται κατάλληλες εγγυήσεις.
(57) | If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller.(57) | Εάν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτά συμπληρωματικές πληροφορίες, προκειμένου να ταυτοποιήσει το υποκείμενο των δεδομένων με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση του υποκειμένου των δεδομένων, λόγου χάρη μέσω μηχανισμού επαλήθευσης της ταυτότητας, όπως είναι τα ίδια διακριτικά στοιχεία τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων κατά την είσοδο (log-in) στην επιγραμμική υπηρεσία που προσφέρεται από τον υπεύθυνο επεξεργασίας.
(58) | The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.(58) | Η αρχή της διαφάνειας απαιτεί οποιαδήποτε ενημέρωση που απευθύνεται στο κοινό ή στο υποκείμενο των δεδομένων να είναι συνοπτική, εύκολα προσβάσιμη και εύκολα κατανοητή και να χρησιμοποιείται σαφής και απλή διατύπωση και, επιπλέον, κατά περίπτωση, απεικόνιση. Οι πληροφορίες αυτές θα μπορούσαν να παρέχονται σε ηλεκτρονική μορφή, για παράδειγμα, όταν απευθύνονται στο κοινό, μέσω ιστοσελίδας. Αυτό έχει ιδιαίτερη σημασία σε περιπτώσεις στις οποίες η πληθώρα των συμμετεχόντων και η πολυπλοκότητα των χρησιμοποιούμενων τεχνολογιών καθιστούν δύσκολο για το υποκείμενο των δεδομένων να γνωρίζει και να κατανοεί εάν, από ποιον και για ποιο σκοπό συλλέγονται δεδομένα προσωπικού χαρακτήρα που το αφορούν,όπως στην περίπτωση επιγραμμικής διαφήμισης. Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα την οποία το παιδί να μπορεί να κατανοεί εύκολα.
(59) | Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.(59) | Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα προβολής αντιρρήσεων. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα.
(60) | The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable.(60) | Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.
(61) | The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided.(61) | Οι πληροφορίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το υποκείμενο των δεδομένων θα πρέπει να του παρέχονται κατά τη συλλογή από το υποκείμενο των δεδομένων ή, εάν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από άλλη πηγή, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται, όταν τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται για πρώτη φορά στον αποδέκτη. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες αναγκαίες πληροφορίες. Όταν η προέλευση των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να γνωστοποιηθεί στο υποκείμενο των δεδομένων διότι έχουν χρησιμοποιηθεί διάφορες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες.
(62) | However, it is not necessary to impose the obligation to provide information where the data subject already possesses the information, where the recording or disclosure of the personal data is expressly laid down by law or where the provision of information to the data subject proves to be impossible or would involve a disproportionate effort. The latter could in particular be the case where processing is carried out for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In that regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration.(62) | Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση παροχής πληροφοριών, εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες, εάν η καταχώριση ή η κοινολόγηση των δεδομένων προσωπικού χαρακτήρα προβλέπεται ρητώς από τον νόμο ή εάν η παροχή πληροφοριών στο υποκείμενο των δεδομένων αποδεικνύεται ανέφικτη ή θα απαιτούσε δυσανάλογη προσπάθεια. Το τελευταίο θα μπορούσε να είναι ειδικότερα, όταν η επεξεργασία γίνεται για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Συναφώς, θα πρέπει να λαμβάνονται υπόψη ο αριθμός των υποκειμένων των δεδομένων, η ηλικία των δεδομένων και τυχόν κατάλληλες εγγυήσεις που θεσπίστηκαν.
(63) | A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.(63) | Ένα υποκείμενο των δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Επομένως, κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Ο υπεύθυνος επεξεργασίας θα πρέπει να δύναται να παρέχει πρόσβαση εξ αποστάσεως σε ασφαλές σύστημα μέσω του οποίου το υποκείμενο των δεδομένων αποκτά άμεση πρόσβαση στα δεδομένα που το αφορούν. Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ειδικότερα, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων. Όταν ο υπεύθυνος επεξεργασίας επεξεργάζεται μεγάλες ποσότητες πληροφοριών σχετικά με το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να δύναται να ζητεί από το υποκείμενο, πριν δοθούν οι πληροφορίες, να προσδιορίζει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας που σχετίζονται με το αίτημα.
(64) | The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.(64) | Ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κάθε εύλογο μέτρο για να επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων το οποίο ζητεί πρόσβαση, ιδίως στο πλαίσιο επιγραμμικών υπηρεσιών και επιγραμμικών αναγνωριστικών στοιχείων ταυτότητας. Ο υπεύθυνος επεξεργασίας δεν θα πρέπει να διατηρεί δεδομένα προσωπικού χαρακτήρα με μοναδικό σκοπό να μπορεί να αποκρίνεται σε δυνητικά αιτήματα.
(65) | A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.(65) | Ένα υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ιδίως, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, εάν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του για την επεξεργασία ή εάν αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό κατ' άλλο τρόπο. Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκήσει το εν λόγω δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, για τη συμμόρφωση με νομική υποχρέωση, για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
(66) | To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request.(66) | Για να ενισχυθεί το δικαίωμα στη λήθη στο επιγραμμικό περιβάλλον, το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού χαρακτήρα ώστε να διαγράψουν οποιουσδήποτε συνδέσμους ή αντίγραφα ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Όταν το πράττει, ο εν λόγω υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει εύλογα μέτρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και τα μέσα που έχει στη διάθεσή του ο υπεύθυνος επεξεργασίας, μεταξύ άλλων και τεχνικά μέτρα, ώστε να ενημερωθούν οι υπεύθυνοι επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σχετικά με το αίτημα του υποκειμένου των δεδομένων.
(67) | Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system.(67) | Μέθοδοι με τις οποίες περιορίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την αφαίρεση της προσβασιμότητας των επιλεγμένων δεδομένων προσωπικού χαρακτήρα από τους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ' αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα.
(68) | To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.(68) | Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων του προσωπικού χαρακτήρα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης τη δυνατότητα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και που έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας των δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Το εν λόγω δικαίωμα θα πρέπει να εφαρμόζεται σε περίπτωση που το υποκείμενο των δεδομένων παρέσχε τα δεδομένα προσωπικού χαρακτήρα με τη συγκατάθεσή του ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης. Δεν θα πρέπει να εφαρμόζεται όταν η επεξεργασία βασίζεται σε άλλη νομική βάση πλην συγκατάθεσης ή σύμβασης. Από τη φύση του το δικαίωμα αυτό δεν θα πρέπει να ασκείται κατά υπευθύνων επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα κατά την άσκηση των δημόσιων καθηκόντων τους. Δεν θα πρέπει συνεπώς να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση των υπευθύνων επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη. Όταν, σε συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, θίγονται περισσότερα του ενός υποκείμενα των δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ούτε τους περιορισμούς του εν λόγω δικαιώματος, όπως προβλέπονται στον παρόντα κανονισμό και ειδικότερα δεν θα πρέπει να συνεπάγεται διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και τα οποία έχουν παρασχεθεί από αυτό για την εκτέλεση σύμβασης, στον βαθμό και εφόσον τα δεδομένα αυτά είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Όταν είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να εξασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον.
(69) | Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject.(69) | Όταν δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας ή για λόγους έννομων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου μέρους, κάθε υποκείμενο των δεδομένων θα πρέπει να δικαιούται παρ' όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων προσωπικού χαρακτήρα που αφορούν την ιδιαίτερη κατάστασή του. Θα πρέπει να εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι τα επιτακτικά έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
(70) | Where personal data are processed for the purposes of direct marketing, the data subject should have the right to object to such processing, including profiling to the extent that it is related to such direct marketing, whether with regard to initial or further processing, at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information.(70) | Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς της απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να αντιτεθεί στην εν λόγω επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ στον βαθμό που αυτή συνδέεται με την εν λόγω απευθείας εμπορική προώθηση, είτε πρόκειται για αρχική είτε για περαιτέρω επεξεργασία, ανά πάσα στιγμή και χωρίς χρέωση. Το δικαίωμα αυτό θα πρέπει να περιέρχεται ρητά εις γνώσιν του υποκειμένου των δεδομένων και να παρουσιάζεται σαφώς και ξεχωριστά από κάθε άλλη πληροφορία.
(71) | The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child. | In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions.(71) | Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει κάποιο μέτρο, με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο, όπως η αυτόματη άρνηση επιγραμμικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Η επεξεργασία αυτή περιλαμβάνει την «κατάρτιση προφίλ» που αποτελείται από οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο, ιδίως την ανάλυση ή την πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή συμφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή κινήσεις του υποκειμένου των δεδομένων, στον βαθμό που παράγει νομικά αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο. Ωστόσο, η λήψη απόφασης που βασίζεται σε αυτήν την επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, θα πρέπει να επιτρέπεται όταν προβλέπεται ρητά από το δίκαιο της Ένωσης ή κράτους μέλους, στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, μεταξύ άλλων για σκοπούς παρακολούθησης και πρόληψης της απάτης και της φοροδιαφυγής σύμφωνα με τους κανονισμούς, τα πρότυπα και τις συστάσεις των θεσμικών οργάνων της Ένωσης ή των εθνικών οργάνων εποπτείας και προκειμένου να διασφαλιστεί η ασφάλεια και η αξιοπιστία της υπηρεσίας που παρέχει ο υπεύθυνος επεξεργασίας, ή όταν είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας ή όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του. Σε κάθε περίπτωση, η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψης του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που ελήφθη στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης. Το εν λόγω μέτρο θα πρέπει να μην αφορά παιδί. | Προκειμένου να διασφαλισθεί δίκαιη και διαφανής επεξεργασία σε σχέση με το υποκείμενο των δεδομένων, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα, ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, να καθιστά ασφαλή τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και κατά τρόπο που να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή μέτρων ισοδύναμου αποτελέσματος. Η αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ που βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνο υπό ειδικές προϋποθέσεις.
(72) | Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the ‘Board’) should be able to issue guidance in that context.(72) | Η κατάρτιση προφίλ υπόκειται στους κανόνες του παρόντος κανονισμού που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως νομικοί λόγοι επεξεργασίας ή αρχές προστασίας δεδομένων. Σε αυτό το πλαίσιο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό («Συμβούλιο Προστασίας Δεδομένων») θα πρέπει να έχει τη δυνατότητα να δίνει κατευθύνσεις.
(73) | Restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, the right to object, decisions based on profiling, as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or manmade disasters, the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, or of breaches of ethics for regulated professions, other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, the keeping of public registers kept for reasons of general public interest, further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes. Those restrictions should be in accordance with the requirements set out in the Charter and in the European Convention for the Protection of Human Rights and Fundamental Freedoms.(73) | Μπορούν να επιβληθούν από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους περιορισμοί σχετικά με συγκεκριμένες βασικές αρχές και τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα εναντίωσης, στις αποφάσεις που βασίζονται σε κατάρτιση προφίλ, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας, περιλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, της τήρησης δημόσιων αρχείων για λόγους γενικού συμφέροντος, της περαιτέρω επεξεργασίας αρχειοθετημένων δεδομένων προσωπικού χαρακτήρα για την παροχή συγκεκριμένων πληροφοριών σχετικών με την πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Οι εν λόγω περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.
(74) | The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.(74) | Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
(75) | The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.(75) | Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή συμφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.
(76) | The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.(76) | Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο.
(77) | Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.(77) | Καθοδήγηση για την εφαρμογή των κατάλληλων μέτρων και για την απόδειξη της συμμόρφωσης από τον υπεύθυνο επεξεργασίας και τον εκτελούντα επεξεργασία, ιδίως όσον αφορά τον προσδιορισμό των κινδύνων που συνδέονται με την επεξεργασία, την εκτίμησή τους από άποψη προέλευσης, φύσης, πιθανότητας και σοβαρότητας και τον εντοπισμό των βέλτιστων πρακτικών για τον περιορισμό των κινδύνων θα μπορούσε να παρέχεται ιδίως με εγκεκριμένους κώδικες συμπεριφοράς, εγκεκριμένες πιστοποιήσεις, κατευθυντήριες γραμμές που παρέχονται από το Συμβούλιο Προστασίας Δεδομένων ή με τις υποδείξεις που παρέχει υπεύθυνος προστασίας δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων μπορεί επίσης να εκδίδει κατευθυντήριες γραμμές σχετικά με τις πράξεις επεξεργασίας που θεωρείται ότι είναι απίθανο να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, στις οποίες θα αναφέρεται ποια μέτρα μπορεί να αρκούν στην περίπτωση αυτή για την αντιμετώπιση του σχετικού κινδύνου.
(78) | The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders.(78) | Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών, ώστε, λαμβανομένων υπόψη των τελευταίων εξελίξεων, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.
(79) | The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors, also in relation to the monitoring by and measures of supervisory authorities, requires a clear allocation of the responsibilities under this Regulation, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller.(79) | Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, μεταξύ άλλων σε σχέση με την παρακολούθηση από τις εποπτικές αρχές και τα μέτρα εποπτικών αρχών, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.
(80) | Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor.(80) | Αν ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μη εγκατεστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα υποκειμένων τα οποία βρίσκονται στην Ένωση και ασκεί δραστηριότητες επεξεργασίας σχετικές με την προσφορά αγαθών ή υπηρεσιών, είτε απαιτείται πληρωμή από το υποκείμενο είτε όχι, στα εν λόγω υποκείμενα στην Ένωση ή με την παρακολούθηση της συμπεριφοράς τους στον βαθμό που η συμπεριφορά τους λαμβάνει χώρα στην Ένωση, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να ορίζει εκπρόσωπο, εκτός αν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει επεξεργασία, σε μεγάλη κλίμακα, δεδομένων προσωπικού χαρακτήρα ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζεται με ποινικές καταδίκες και αδικήματα και δεν είναι πιθανόν να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, εάν ληφθούν υπόψη το πεδίο εφαρμογής, το πλαίσιο, η φύση και οι σκοποί της επεξεργασίας ή εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή φορέας. Ο εκπρόσωπος θα πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και σε αυτόν μπορεί να απευθύνεται κάθε εποπτική αρχή. Ο εκπρόσωπος θα πρέπει να ορίζεται ρητώς με γραπτή εντολή του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να ενεργεί εξ ονόματός του όσον αφορά τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού. Ο διορισμός του αντιπροσώπου αυτού δεν επηρεάζει την ευθύνη ή τη λογοδοσία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία βάσει του παρόντος κανονισμού. Ο αντιπρόσωπος αυτός θα πρέπει να εκτελεί τα καθήκοντά του ανάλογα με την εντολή που έλαβε από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, μεταξύ άλλων να συνεργάζεται με τις αρμόδιες εποπτικές αρχές για τυχόν μέτρα που λαμβάνονται προς εξασφάλιση της συμμόρφωσης με τον παρόντα κανονισμό. Ο διορισμένος αντιπρόσωπος θα πρέπει να υπόκειται σε διαδικασίες επιβολής σε περίπτωση μη συμμόρφωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.
(81) | To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.(81) | Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπευθύνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση του εκτελούντος την επεξεργασία σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωσή του με τις υποχρεώσεις του υπευθύνου επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από εποπτική αρχή σύμφωνα με τον μηχανισμό συνεκτικότητας και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας εξ ονόματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπευθύνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπάγεται ο εκτελών την επεξεργασία.
(82) | In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.(82) | Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία θα πρέπει να υποχρεούται να συνεργάζεται με την εποπτική αρχή και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, τα εν λόγω αρχεία, ώστε να μπορεί να τα χρησιμοποιεί για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας.
(83) | In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.(83) | Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις και το κόστος της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.
(84) | In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.(84) | Προκειμένου να ενισχυθεί η συμμόρφωση προς τον παρόντα κανονισμό όταν οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να ευθύνεται για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, ώστε να αξιολογήσει, ιδίως, την προέλευση, τη φύση, την πιθανότητα και τη σοβαρότητα του εν λόγω κινδύνου. Το αποτέλεσμα της εκτίμησης θα πρέπει να λαμβάνεται υπόψη όταν καθορίζεται ποια μέτρα ενδείκνυται να ληφθούν ώστε να αποδειχθεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι σύμφωνη με τον παρόντα κανονισμό. Εάν η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι οι πράξεις επεξεργασίας συνεπάγονται υψηλό κίνδυνο που ο υπεύθυνος επεξεργασίας δεν μπορεί να μετριάσει με τα κατάλληλα μέτρα από άποψη διαθέσιμης τεχνολογίας και κόστους εφαρμογής, θα πρέπει να πραγματοποιείται διαβούλευση με την αρχή ελέγχου πριν από την επεξεργασία.
(85) | A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.(85) | Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή, εκτός εάν o υπεύθυνος επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, η γνωστοποίηση θα πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
(86) | The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.(86) | Ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων για παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του επιτραπεί να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοίνωσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την ελεγκτική αρχή, τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου. Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας θα απαιτούσε την άμεση ανακοίνωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων προσωπικού χαρακτήρα μπορεί να δικαιολογεί περισσότερο χρόνο για την ανακοίνωση.
(87) | It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.(87) | Θα πρέπει να εξακριβώνεται κατά πόσον έχουν τεθεί σε εφαρμογή όλα τα κατάλληλα μέτρα τεχνολογικής προστασίας και οργανωτικά μέτρα για τον άμεσο εντοπισμό κάθε παραβίασης δεδομένων προσωπικού χαρακτήρα και την άμεση ενημέρωση της εποπτικής αρχής και του υποκειμένου των δεδομένων. Θα πρέπει να διαπιστώνεται ότι η κοινοποίηση πραγματοποιήθηκε χωρίς αδικαιολόγητη καθυστέρηση, λαμβανομένων υπόψη ιδίως της φύσης και της σοβαρότητας της παραβίασης δεδομένων προσωπικού χαρακτήρα, καθώς και των συνεπειών και των δυσμενών αποτελεσμάτων της για το υποκείμενο των δεδομένων. Η γνωστοποίηση αυτή μπορεί να οδηγεί σε παρέμβαση της εποπτικής αρχής, σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό.
(88) | In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.(88) | Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στην γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να λαμβάνονται δεόντως υπόψη οι συνθήκες της εν λόγω παραβίασης, περιλαμβανομένου του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο υποκλοπής ταυτότητας ή άλλων μορφών κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και διαδικασίες θα πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρχών επιβολής του νόμου, όταν η πρόωρη κοινολόγηση μπορεί να εμποδίσει χωρίς λόγο τη διερεύνηση των συνθηκών μιας παραβίασης δεδομένων προσωπικού χαρακτήρα.
(89) | Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.(89) | Η οδηγία 95/46/ΕΚ προέβλεπε γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές. Παρότι η υποχρέωση αυτή συνεπάγεται διοικητικό και οικονομικό φόρτο, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, γενικές υποχρεώσεις γνωστοποίησης τέτοιου είδους, χωρίς διαφοροποιήσεις, θα πρέπει να καταργηθούν και να αντικατασταθούν με αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας που ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών τους. Αυτά τα είδη ενεργειών επεξεργασίας ενδέχεται να είναι εκείνα που, ιδίως, περιλαμβάνουν τη χρήση νέων τεχνολογιών ή που είναι νέου τύπου και όταν δεν έχει διενεργηθεί προηγουμένως εκτίμηση αντικτύπου όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή όταν καθίστανται αναγκαία λόγω του χρόνου που έχει παρέλθει από την αρχική επεξεργασία.
(90) | In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.(90) | Σε αυτές τις περιπτώσεις, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, θα πρέπει να διενεργεί εκτίμηση αντικτύπου όσον αφορά την προστασία των δεδομένων, ώστε να εκτιμήσει την ιδιαίτερη πιθανότητα και τη σοβαρότητα του υψηλού κινδύνου, λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου. Η εν λόγω εκτίμηση αντικτύπου θα πρέπει να περιλαμβάνει, ιδίως, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό.
(91) | This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.(91) | Αυτό θα πρέπει να ισχύει ιδίως για πράξεις επεξεργασίας μεγάλης κλίμακας που στοχεύουν στην επεξεργασία σημαντικής ποσότητας δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, οι οποίες θα μπορούσαν να επηρεάσουν μεγάλο αριθμό υποκειμένων των δεδομένων και οι οποίες είναι πιθανόν να έχουν ως αποτέλεσμα υψηλό κίνδυνο, για παράδειγμα λόγω της ευαισθησίας τους, όταν σύμφωνα με τα υφιστάμενα επίπεδα τεχνολογικής γνώσης χρησιμοποιείται μια νέα τεχνολογία σε ευρεία κλίμακα, καθώς και για άλλες πράξεις επεξεργασίας οι οποίες έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως όταν οι πράξεις αυτές δυσχεραίνουν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Θα πρέπει επίσης να διενεργείται εκτίμηση αντικτύπου όσον αφορά την προστασία των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία ενόψει της λήψης αποφάσεων σε σχέση με συγκεκριμένα φυσικά πρόσωπα έπειτα από συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών που αφορούν φυσικά πρόσωπα και βασίζονται στην κατάρτιση προφίλ βάσει των εν λόγω δεδομένων ή έπειτα από την επεξεργασία συγκεκριμένων κατηγοριών δεδομένων προσωπικού χαρακτήρα, βιομετρικών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας. Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων απαιτείται επίσης για την παρακολούθηση δημόσια προσπελάσιμων χώρων σε μεγάλη κλίμακα, ιδίως όταν χρησιμοποιούνται οπτικοηλεκτρονικές συσκευές ή για οποιεσδήποτε άλλες εργασίες όποτε η αρμόδια εποπτική αρχή θεωρεί ότι η επεξεργασία ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως επειδή εμποδίζει τα υποκείμενα των δεδομένων να ασκήσουν κάποιο δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή σύμβαση ή επειδή πραγματοποιούνται συστηματικά σε μεγάλη κλίμακα. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι μεγάλης κλίμακας, εάν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας ή δικηγόρου. Στις περιπτώσεις αυτές, η εκτίμηση αντικτύπου της προστασίας δεδομένων δεν θα πρέπει να είναι υποχρεωτική.
(92) | There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.(92) | Υπάρχουν περιπτώσεις στις οποίες ενδέχεται να είναι λογικό και οικονομικό το αντικείμενο μιας εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων να υπερβαίνει ένα μεμονωμένο σχέδιο, για παράδειγμα εάν δημόσιες αρχές ή φορείς σκοπεύουν να εγκαθιδρύσουν μια κοινή εφαρμογή ή πλατφόρμα επεξεργασίας ή εάν περισσότεροι υπεύθυνοι επεξεργασίας σχεδιάζουν να θεσπίσουν μια κοινή εφαρμογή ή ένα περιβάλλον επεξεργασίας σε ένα βιομηχανικό τομέα ή κλάδο ή για μια ευρέως χρησιμοποιούμενη οριζόντια δραστηριότητα.
(93) | In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.(93) | Στο πλαίσιο της έκδοσης του νομοθετήματος κράτους μέλους στο οποίο βασίζεται η άσκηση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη ή σειρά πράξεων επεξεργασίας, τα κράτη μέλη μπορούν να κρίνουν αναγκαία τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.
(94) | Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.(94) | Εάν η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς διασφαλίσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να διενεργείται διαβούλευση με την εποπτική αρχή πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Ο εν λόγω υψηλός κίνδυνος είναι πιθανόν να προκύψει από ορισμένες μορφές επεξεργασίας και ορισμένο βαθμό και συχνότητα επεξεργασίας, με αποτέλεσμα ακόμη και ζημία ή επέμβαση στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Η εποπτική αρχή θα πρέπει να ανταποκρίνεται στο αίτημα για διαβούλευση σε ορισμένο χρονικό διάστημα. Ωστόσο, η απουσία αντίδρασης της εποπτικής αρχής εντός της εν λόγω προθεσμίας δεν θα πρέπει να θίγει την όποια παρέμβαση της εποπτικής αρχής, σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό, περιλαμβανομένης της εξουσίας απαγόρευσης πράξεων επεξεργασίας. Στο πλαίσιο της εν λόγω διαδικασίας διαβούλευσης, μπορεί να υποβάλλεται στην εποπτική αρχή το αποτέλεσμα της εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων που διεξάγεται σε σχέση με την επίμαχη επεξεργασία, ιδίως δε τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
(95) | The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority.(95) | Ο εκτελών την επεξεργασία θα πρέπει να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας, όταν χρειάζεται και αφού του ζητηθεί, ώστε να διασφαλίζει τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τη διενέργεια εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων και από την προηγούμενη διαβούλευση με την εποπτική αρχή.
(96) | A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject.(96) | Διαβούλευση με την εποπτική αρχή θα πρέπει επίσης να πραγματοποιείται κατά την εκπόνηση ενός νομοθετικού ή κανονιστικού μέτρου που προβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι κίνδυνοι για το υποκείμενο των δεδομένων.
(97) | Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.(97) | Εάν η επεξεργασία διενεργείται από δημόσια αρχή, εξαιρουμένων των δικαστηρίων ή των ανεξάρτητων δικαστικών αρχών όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα, εφόσον, στον ιδιωτικό τομέα, η επεξεργασία διενεργείται από υπεύθυνο επεξεργασίας του οποίου οι βασικές δραστηριότητες περιλαμβάνουν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα, ένα πρόσωπο με ειδικές γνώσεις στο δίκαιο και στις πρακτικές προστασίας των δεδομένων θα πρέπει να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία κατά την παρακολούθηση της εσωτερικής συμμόρφωσης προς τον παρόντα κανονισμό. Στον ιδιωτικό τομέα, οι βασικές δραστηριότητες ενός υπευθύνου επεξεργασίας αφορούν τις κύριες δραστηριότητές του και όχι την επεξεργασία δεδομένων προσωπικού χαρακτήρα ως παρεπόμενη δραστηριότητα. Το αναγκαίο επίπεδο εμπειρίας θα πρέπει να καθορίζεται ειδικότερα ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο.
(98) | Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.(98) | Οι ενώσεις ή οι άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία θα πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, εντός των ορίων του παρόντος κανονισμού, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς και τις ιδιαίτερες ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων. Ειδικότερα, οι εν λόγω κώδικες δεοντολογίας θα μπορούσαν να ρυθμίζουν τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, λαμβάνοντας υπόψη τον κίνδυνο που θα μπορούσε να προκύψει από την επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
(99) | When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.(99) | Κατά την κατάρτιση ενός κώδικα δεοντολογίας ή κατά την τροποποίηση ή την επέκταση ενός τέτοιου κώδικα, ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία θα πρέπει να διαβουλεύονται με τα ενδιαφερόμενα μέρη, μεταξύ άλλων και με υποκείμενα των δεδομένων, όπου αυτό είναι εφικτό, και να λαμβάνουν υπόψη όσες παρατηρήσεις υποβάλλονται και όσες απόψεις διατυπώνονται στο πλαίσιο αυτών των διαβουλεύσεων.
(100) | In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.(100) | Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, θα πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας των δεδομένων, επιτρέποντας στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.
(101) | Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor.(101) | Οι ροές δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η διόγκωση των ροών αυτών δημιούργησε νέες προκλήσεις και μελήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός, μεταξύ άλλων και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.
(102) | This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects.(102) | Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και προβλέπουν κατάλληλες εγγυήσεις για τα υποκείμενα των δεδομένων. Τα κράτη μέλη μπορούν να συνάπτουν διεθνείς συμφωνίες οι οποίες προβλέπουν διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, στον βαθμό που οι εν λόγω συμφωνίες δεν θίγουν τις διατάξεις του παρόντος κανονισμού ή άλλες διατάξεις του δικαίου της Ένωσης και περιλαμβάνουν κατάλληλο επίπεδο προστασίας για τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων.
(103) | The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision.(103) | Η Επιτροπή μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε μια τρίτη χώρα ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας δεδομένων και να κατοχυρώνει έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση ως προς την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και δήλωσης αιτιολόγησης προς την τρίτη χώρα ή τον διεθνή οργανισμό.
(104) | In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress.(104) | Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.
(105) | Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations.(105) | Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την εφαρμογή τέτοιων υποχρεώσεων. Θα πρέπει, ιδίως, να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να ζητεί τη γνώμη του Συμβουλίου Προστασίας Δεδομένων όποτε εκτιμά το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς.
(106) | The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council (12) as established under this Regulation, to the European Parliament and to the Council.(106) | Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε μια τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα μιας τρίτης χώρας ή σε διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της επάρκειας, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται σε διαβούλευση με την εκάστοτε τρίτη χώρα ή τον διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Η Επιτροπή θα πρέπει να αξιολογεί, εντός εύλογου χρόνου, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12), όπως αυτή συγκροτείται βάσει του παρόντος κανονισμού, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.
(107) | The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation.(107) | Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.
(108) | In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.(108) | Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι διαβιβάσεις μπορούν να διενεργούνται επίσης από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς σε τρίτες χώρες ή με διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια της αρμόδιας εποπτικής αρχής θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.
(109) | The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.(109) | Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος την επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από ελεγκτική αρχή τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων.
(110) | A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.(110) | Ένας όμιλος επιχειρήσεων, όπως επίσης και ένας όμιλος εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, θα πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και δικαιώματα τα οποία τυγχάνουν δικαστικής προστασίας, ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.
(111) | Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject.(111) | Θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις, όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του, εφόσον η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή με νομική αξίωση, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία, μεταξύ άλλων σε διαδικασίες ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα διαβιβάσεων, εφόσον σημαντικοί λόγοι δημόσιου συμφέροντος προβλεπόμενοι από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο ή εφόσον η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή από πρόσωπα που έχουν έννομο συμφέρον. Στην τελευταία περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο και, όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο κατόπιν αιτήσεως των εν λόγω προσώπων ή, εάν πρόκειται να είναι αυτά οι αποδέκτες της διαβίβασης, λαμβάνοντας πλήρως υπόψη τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.
(112) | Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject.(112) | Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, μεταξύ αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου προσώπου, μεταξύ άλλων για τη σωματική ακεραιότητα ή τη ζωή, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Ελλείψει απόφασης επάρκειας, το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη θα πρέπει να κοινοποιούν αυτές τις διατάξεις στην Επιτροπή. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, η οποία γίνεται με σκοπό να εκπληρωθεί καθήκον σύμφωνα με τις Συμβάσεις της Γενεύης ή με σκοπό τη συμμόρφωση προς το διεθνές ανθρωπιστικό δίκαιο σε ένοπλες συγκρούσεις, θα μπορούσε να θεωρηθεί αναγκαία για ένα σοβαρό λόγο δημοσίου συμφέροντος ή επειδή αποσκοπεί σε ζωτικό συμφέρον του υποκειμένου των δεδομένων.
(113) | Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer.(113) | Διαβιβάσεις οι οποίες μπορούν να χαρακτηρισθούν μη επαναλαμβανόμενες και οι οποίες αφορούν περιορισμένο αριθμό υποκειμένων των δεδομένων ενδέχεται να επιτρέπονται επίσης λόγω επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων δεν υπερισχύουν των συμφερόντων αυτών και όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει ιδίως υπόψη τη φύση των δεδομένων προσωπικού χαρακτήρα, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης ή πράξεων επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, και να προβλέπει τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις αυτές θα πρέπει να είναι δυνατές μόνο στις περιπτώσεις στις οποίες δεν συντρέχει κανένας από τους άλλους λόγους μεταβίβασης. Για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει την εποπτική αρχή και το υποκείμενο των δεδομένων για τη διαβίβαση.
(114) | In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards.(114) | Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων.
(115) | Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.(115) | Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες να απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να μεταβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.
(116) | When personal data moves across borders outside the Union it may put at increased risk the ability of natural persons to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer cooperation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts. For the purposes of developing international cooperation mechanisms to facilitate and provide international mutual assistance for the enforcement of legislation for the protection of personal data, the Commission and the supervisory authorities should exchange information and cooperate in activities related to the exercise of their powers with competent authorities in third countries, based on reciprocity and in accordance with this Regulation.(116) | Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Επομένως, υπάρχει ανάγκη να προωθηθεί η στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας των δεδομένων, ώστε να διευκολύνονται να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους. Για να αναπτυχθούν διεθνείς μηχανισμοί συνεργασίας με σκοπό τη διευκόλυνση και την παροχή διεθνούς αμοιβαίας συνδρομής για την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή και οι εποπτικές αρχές θα πρέπει να ανταλλάσσουν πληροφορίες και να συνεργάζονται σε δραστηριότητες σχετικές με την άσκηση των αρμοδιοτήτων τους με τις αρμόδιες αρχές τρίτων χωρών, βάσει της αρχής της αμοιβαιότητας και σύμφωνα με τον παρόντα κανονισμό·
(117) | The establishment of supervisory authorities in Member States, empowered to perform their tasks and exercise their powers with complete independence, is an essential component of the protection of natural persons with regard to the processing of their personal data. Member States should be able to establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure.(117) | Η σύσταση εποπτικών αρχών στα κράτη μέλη, εξουσιοδοτημένων να εκτελούν τα καθήκοντά τους και να ασκούν τις εξουσίες τους με πλήρη ανεξαρτησία, είναι ουσιώδης συνιστώσα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Τα κράτη μέλη θα πρέπει να μπορούν να συστήσουν περισσότερες εποπτικές αρχές, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους.
(118) | The independence of supervisory authorities should not mean that the supervisory authorities cannot be subject to control or monitoring mechanisms regarding their financial expenditure or to judicial review.(118) | Η ανεξαρτησία των εποπτικών αρχών δεν θα πρέπει να σημαίνει ότι οι εποπτικές αρχές δεν μπορούν να υπόκεινται σε μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά τις χρηματοοικονομικές τους δαπάνες ή σε δικαστικό έλεγχο.
(119) | Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth cooperation with other supervisory authorities, the Board and the Commission.(119) | Όταν ένα κράτος μέλος συστήνει περισσότερες εποπτικές αρχές, θα πρέπει να θεσπίζει διά νόμου μηχανισμούς, ώστε να διασφαλίζεται η αποτελεσματική συμμετοχή των εποπτικών αυτών αρχών στον μηχανισμό συνεκτικότητας. Το συγκεκριμένο κράτος μέλος θα πρέπει να ορίζει, ιδίως, την εποπτική αρχή η οποία αποτελεί το ενιαίο σημείο επικοινωνίας για την αποτελεσματική συμμετοχή των εν λόγω αρχών στον μηχανισμό, ώστε να διασφαλίζεται ταχεία και εύρυθμη συνεργασία με άλλες εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και την Επιτροπή.
(120) | Each supervisory authority should be provided with the financial and human resources, premises and infrastructure necessary for the effective performance of their tasks, including those related to mutual assistance and cooperation with other supervisory authorities throughout the Union. Each supervisory authority should have a separate, public annual budget, which may be part of the overall state or national budget.(120) | Σε κάθε εποπτική αρχή θα πρέπει να παρέχονται οι οικονομικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και οι υποδομές τα οποία είναι αναγκαία για την αποτελεσματική άσκηση των καθηκόντων της, περιλαμβανομένων εκείνων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες εποπτικές αρχές σε ολόκληρη την Ένωση. Κάθε εποπτική αρχή θα πρέπει να διαθέτει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί τμήμα τού συνολικού κρατικού ή εθνικού προϋπολογισμού.
(121) | The general conditions for the member or members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members are to be appointed, by means of a transparent procedure, either by the parliament, government or the head of State of the Member State on the basis of a proposal from the government, a member of the government, the parliament or a chamber of the parliament, or by an independent body entrusted under Member State law. In order to ensure the independence of the supervisory authority, the member or members should act with integrity, refrain from any action that is incompatible with their duties and should not, during their term of office, engage in any incompatible occupation, whether gainful or not. The supervisory authority should have its own staff, chosen by the supervisory authority or an independent body established by Member State law, which should be subject to the exclusive direction of the member or members of the supervisory authority.(121) | Οι γενικές προϋποθέσεις για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ιδίως, ότι τα εν λόγω μέλη θα διορίζονται, με διαφανή διαδικασία, είτε από το κοινοβούλιο, την κυβέρνηση ή τον αρχηγό κράτους του κράτους μέλους βάσει προτάσεως της κυβέρνησης, μέλους της κυβέρνησης, του κοινοβουλίου ή τμήματος του κοινοβουλίου, είτε από ανεξάρτητο όργανο επιφορτισμένο προς τούτο από το δίκαιο των κρατών μελών. Προκειμένου να διασφαλισθεί η ανεξαρτησία των εποπτικών αρχών, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν θα πρέπει να ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη. Η εποπτική αρχή θα πρέπει να διαθέτει δικό της προσωπικό, το οποίο επιλέγεται από την εποπτική αρχή ή από ανεξάρτητο φορέα που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους, και να τελεί υπό την αποκλειστική καθοδήγηση του μέλους ή των μελών της εποπτικής αρχής.
(122) | Each supervisory authority should be competent on the territory of its own Member State to exercise the powers and to perform the tasks conferred on it in accordance with this Regulation. This should cover in particular the processing in the context of the activities of an establishment of the controller or processor on the territory of its own Member State, the processing of personal data carried out by public authorities or private bodies acting in the public interest, processing affecting data subjects on its territory or processing carried out by a controller or processor not established in the Union when targeting data subjects residing on its territory. This should include handling complaints lodged by a data subject, conducting investigations on the application of this Regulation and promoting public awareness of the risks, rules, safeguards and rights in relation to the processing of personal data.(122) | Κάθε εποπτική αρχή θα πρέπει να είναι αρμόδια, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, να ασκεί τις εξουσίες και να εκτελεί τα καθήκοντα που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Αυτό θα πρέπει να καλύπτει ιδίως την επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο έδαφος του δικού του κράτους μέλους, την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν με γνώμονα το δημόσιο συμφέρον, την επεξεργασία η οποία επηρεάζει υποκείμενα των δεδομένων στο έδαφός της ή την επεξεργασία που διενεργείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, όταν στοχεύει υποκείμενα των δεδομένων που διαμένουν στο έδαφός της. Αυτό θα πρέπει να περιλαμβάνει αντιμετώπιση καταγγελιών που υποβλήθηκαν από υποκείμενο των δεδομένων, διενέργεια ερευνών περί της εφαρμογής του παρόντος κανονισμού και προώθηση της ευαισθητοποίησης του κοινού για τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
(123) | The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.(123) | Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή, χωρίς να απαιτείται κάποια συμφωνία μεταξύ των κρατών μελών για την παροχή αμοιβαίας συνδρομής ή για τέτοια συνεργασία.
(124) | Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union and the controller or processor is established in more than one Member State, or where processing taking place in the context of the activities of a single establishment of a controller or processor in the Union substantially affects or is likely to substantially affect data subjects in more than one Member State, the supervisory authority for the main establishment of the controller or processor or for the single establishment of the controller or processor should act as lead authority. It should cooperate with the other authorities concerned, because the controller or processor has an establishment on the territory of their Member State, because data subjects residing on their territory are substantially affected, or because a complaint has been lodged with them. Also where a data subject not residing in that Member State has lodged a complaint, the supervisory authority with which such complaint has been lodged should also be a supervisory authority concerned. Within its tasks to issue guidelines on any question covering the application of this Regulation, the Board should be able to issue guidelines in particular on the criteria to be taken into account in order to ascertain whether the processing in question substantially affects data subjects in more than one Member State and on what constitutes a relevant and reasoned objection.(124) | Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα κράτη μέλη ή όταν η επεξεργασία που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση επηρεάζει ουσιωδώς ή είναι πιθανόν να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη, ως επικεφαλής αρχή ενεργεί η εποπτική αρχή για την κύρια εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή για τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Θα πρέπει να συνεργάζεται με τις άλλες ενδιαφερόμενες αρχές, διότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση στο έδαφος του κράτους μέλους τους, διότι υποκείμενα των δεδομένων που διαμένουν στο έδαφός τους επηρεάζονται ουσιωδώς ή διότι τους έχει υποβληθεί καταγγελία. Επίσης, όταν ένα υποκείμενο των δεδομένων που δεν διαμένει στο εν λόγω κράτος μέλος υποβάλλει καταγγελία, η εποπτική αρχή στην οποία έχει υποβληθεί θα πρέπει να είναι επίσης ενδιαφερόμενη εποπτική αρχή. Στο πλαίσιο των καθηκόντων του να εκδίδει κατευθυντήριες γραμμές για οποιοδήποτε θέμα σχετικό με την εφαρμογή του παρόντος κανονισμού, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να μπορεί να εκδίδει κατευθυντήριες γραμμές, ιδίως για τα κριτήρια που πρέπει να λαμβάνονται υπόψη προκειμένου να κριθεί εάν η εν λόγω επεξεργασία επηρεάζει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη και τι συνιστά σχετική και αιτιολογημένη ένσταση.
(125) | The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the supervisory authorities concerned in the decision-making process. Where the decision is to reject the complaint by the data subject in whole or in part, that decision should be adopted by the supervisory authority with which the complaint has been lodged.(125) | Η επικεφαλής αρχή θα πρέπει να είναι αρμόδια να λαμβάνει δεσμευτικές αποφάσεις όσον αφορά μέτρα τα οποία εφαρμόζουν τις αρμοδιότητες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Υπό την ιδιότητά της ως επικεφαλής αρχή, η εποπτική αρχή θα πρέπει να μεριμνά για την ενεργό συμμετοχή και τον συντονισμό των ενδιαφερόμενων εποπτικών αρχών κατά τη διαδικασία λήψης αποφάσεων. Όταν η απόφαση απορρίπτει, εν όλω ή εν μέρει, την καταγγελία του υποκειμένου των δεδομένων, η απόφαση αυτή θα πρέπει να εγκρίνεται από την εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία.
(126) | The decision should be agreed jointly by the lead supervisory authority and the supervisory authorities concerned and should be directed towards the main or single establishment of the controller or processor and be binding on the controller and processor. The controller or processor should take the necessary measures to ensure compliance with this Regulation and the implementation of the decision notified by the lead supervisory authority to the main establishment of the controller or processor as regards the processing activities in the Union.(126) | Η απόφαση θα πρέπει να συμφωνείται από κοινού από την επικεφαλής εποπτική αρχή και τις ενδιαφερόμενες εποπτικές αρχές και θα πρέπει να απευθύνεται προς την κύρια ή μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και να είναι δεσμευτική για τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνει τα αναγκαία μέτρα για να διασφαλίσει την τήρηση του παρόντος κανονισμού και την εφαρμογή της απόφασης που κοινοποίησε η επικεφαλής εποπτική αρχή στην κύρια εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία όσον αφορά τις δραστηριότητες επεξεργασίας στην Ένωση.
(127) | Each supervisory authority not acting as the lead supervisory authority should be competent to handle local cases where the controller or processor is established in more than one Member State, but the subject matter of the specific processing concerns only processing carried out in a single Member State and involves only data subjects in that single Member State, for example, where the subject matter concerns the processing of employees' personal data in the specific employment context of a Member State. In such cases, the supervisory authority should inform the lead supervisory authority without delay about the matter. After being informed, the lead supervisory authority should decide, whether it will handle the case pursuant to the provision on cooperation between the lead supervisory authority and other supervisory authorities concerned (‘one-stop-shop mechanism’), or whether the supervisory authority which informed it should handle the case at local level. When deciding whether it will handle the case, the lead supervisory authority should take into account whether there is an establishment of the controller or processor in the Member State of the supervisory authority which informed it in order to ensure effective enforcement of a decision vis-à-vis the controller or processor. Where the lead supervisory authority decides to handle the case, the supervisory authority which informed it should have the possibility to submit a draft for a decision, of which the lead supervisory authority should take utmost account when preparing its draft decision in that one-stop-shop mechanism.(127) | Κάθε εποπτική αρχή που δεν ενεργεί ως η επικεφαλής εποπτική αρχή θα πρέπει να είναι αρμόδια να επιλαμβάνεται τοπικών υποθέσεων όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, αλλά το αντικείμενο της συγκεκριμένης επεξεργασίας αφορά μόνο επεξεργασία που πραγματοποιείται σε ένα μόνο κράτος μέλος και αφορά υποκείμενα των δεδομένων σε αυτό το κράτος μέλος μόνο, παραδείγματος χάριν, όταν το αντικείμενο αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στο συγκεκριμένο πλαίσιο απασχόλησης ενός κράτους μέλους. Στις περιπτώσεις αυτές, η εποπτική αρχή θα πρέπει να ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Αφού ενημερωθεί, η επικεφαλής εποπτική αρχή θα πρέπει να αποφασίζει εάν θα επιληφθεί της υπόθεσης σύμφωνα με τη διάταξη σχετικά με τη συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και άλλων ενδιαφερόμενων εποπτικών αρχών («μηχανισμός μίας στάσης»), ή εάν θα πρέπει να επιληφθεί της υπόθεσης σε τοπικό επίπεδο η εποπτική αρχή που την ενημέρωσε. Όταν αποφασίζει εάν θα επιληφθεί της υπόθεσης, η επικεφαλής εποπτική αρχή θα πρέπει να λαμβάνει υπόψη εάν υπάρχει εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε, ώστε να διασφαλιστεί η αποτελεσματική επιβολή της απόφασης έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Όταν η επικεφαλής εποπτική αρχή αποφασίζει να επιληφθεί της υπόθεσης, η εποπτική αρχή που την ενημέρωσε θα πρέπει να έχει τη δυνατότητα να υποβάλλει σχέδιο απόφασης, το οποίο θα πρέπει η επικεφαλής εποπτική αρχή να λαμβάνει ιδιαιτέρως υπόψη κατά την προετοιμασία του σχεδίου απόφασης στο πλαίσιο του εν λόγω μηχανισμού μίας στάσης.
(128) | The rules on the lead supervisory authority and the one-stop-shop mechanism should not apply where the processing is carried out by public authorities or private bodies in the public interest. In such cases the only supervisory authority competent to exercise the powers conferred to it in accordance with this Regulation should be the supervisory authority of the Member State where the public authority or private body is established.(128) | Οι κανόνες σχετικά με την επικεφαλής εποπτική αρχή και τον μηχανισμό μίας στάσης δεν θα πρέπει να εφαρμόζονται όταν η επεξεργασία διενεργείται από δημόσιες αρχές ή ιδιωτικούς φορείς προς το δημόσιο συμφέρον. Στις περιπτώσεις αυτές, η μόνη εποπτική αρχή που είναι αρμόδια να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό θα πρέπει να είναι η εποπτική αρχή του κράτους μέλους στο οποίο είναι εγκατεστημένη η δημόσια αρχή ή ο ιδιωτικός φορέας.
(129) | In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision.(129) | Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και κυρώσεις, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών δυνάμει του δικαίου του κράτους μέλους, την εξουσία να παραπέμπουν παραβάσεις των διατάξεων του παρόντος κανονισμού στις δικαστικές αρχές και να παίρνουν μέρος σε νομικές διαδικασίες. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Τα κράτη μέλη μπορούν να ορίσουν ειδικότερα άλλα καθήκοντα σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ιδίως, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί μεμονωμένο μέτρο εις βάρος του και να μην προκαλεί περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. Οι ερευνητικές εξουσίες όσον αφορά πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με τις ειδικές απαιτήσεις του δικονομικού δικαίου του κράτους μέλους, όπως η απαίτηση έκδοσης προηγούμενης δικαστικής έγκρισης. Κάθε νομικά δεσμευτικό μέτρο της εποπτικής αρχής θα πρέπει να υποβάλλεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την εποπτική αρχή που το εξέδωσε, την ημερομηνία έκδοσής του, να φέρει την υπογραφή του προϊσταμένου ή μέλους της εποπτικής αρχής εξουσιοδοτημένου εκ μέρους του, να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής. Τούτο δεν θα πρέπει να αποκλείει τη δυνατότητα πρόσθετων απαιτήσεων σύμφωνα με το δικονομικό δίκαιο του κράτους μέλους. Η έκδοση νομικά δεσμευτικής απόφασης συνεπάγεται ότι μπορεί, ενδεχομένως, να αποτελέσει αντικείμενο δικαστικού ελέγχου στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση.
(130) | Where the supervisory authority with which the complaint has been lodged is not the lead supervisory authority, the lead supervisory authority should closely cooperate with the supervisory authority with which the complaint has been lodged in accordance with the provisions on cooperation and consistency laid down in this Regulation. In such cases, the lead supervisory authority should, when taking measures intended to produce legal effects, including the imposition of administrative fines, take utmost account of the view of the supervisory authority with which the complaint has been lodged and which should remain competent to carry out any investigation on the territory of its own Member State in liaison with the competent supervisory authority.(130) | Όταν η εποπτική αρχή προς την οποία υποβλήθηκε η καταγγελία δεν είναι η επικεφαλής εποπτική αρχή, η επικεφαλής εποπτική αρχή θα πρέπει να συνεργάζεται στενά με την εποπτική αρχή προς την οποία υποβλήθηκε η καταγγελία σύμφωνα με τις διατάξεις περί συνεργασίας και συνεκτικότητας που προβλέπονται στον παρόντα κανονισμό. Σε τέτοιες περιπτώσεις, η επικεφαλής εποπτική αρχή θα πρέπει, όταν λαμβάνει μέτρα προορισμένα να παράγουν έννομες συνέπειες, όπως η επιβολή διοικητικών προστίμων, να λαμβάνει ιδιαιτέρως υπόψη τις απόψεις της εποπτικής αρχής προς την οποία υποβλήθηκε η καταγγελία και η οποία θα πρέπει να παραμένει αρμόδια να διενεργεί τυχόν έρευνα στο έδαφος του κράτους μέλους της σε σύνδεση με την αρμόδια εποπτική αρχή.
(131) | Where another supervisory authority should act as a lead supervisory authority for the processing activities of the controller or processor but the concrete subject matter of a complaint or the possible infringement concerns only processing activities of the controller or processor in the Member State where the complaint has been lodged or the possible infringement detected and the matter does not substantially affect or is not likely to substantially affect data subjects in other Member States, the supervisory authority receiving a complaint or detecting or being informed otherwise of situations that entail possible infringements of this Regulation should seek an amicable settlement with the controller and, if this proves unsuccessful, exercise its full range of powers. This should include: specific processing carried out in the territory of the Member State of the supervisory authority or with regard to data subjects on the territory of that Member State; processing that is carried out in the context of an offer of goods or services specifically aimed at data subjects in the territory of the Member State of the supervisory authority; or processing that has to be assessed taking into account relevant legal obligations under Member State law.(131) | Όταν άλλη εποπτική αρχή πρέπει να ενεργήσει ως επικεφαλής εποπτική αρχή για δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, αλλά το συγκεκριμένο αντικείμενο της προσφυγής ή η τυχόν παράβαση αφορά μόνο δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος όπου υποβλήθηκε η καταγγελία ή διαπιστώθηκε η τυχόν παράβαση και το θέμα δεν επηρεάζει σημαντικά ή δεν είναι πιθανό να επηρεάσει σημαντικά υποκείμενα των δεδομένων σε άλλα κράτη μέλη, η εποπτική αρχή που λαμβάνει μία καταγγελία ή διαπιστώνει ή πληροφορείται με άλλον τρόπο καταστάσεις που συνεπάγονται παραβάσεις του παρόντος κανονισμού θα πρέπει να επιδιώκει φιλικό διακανονισμό με τον υπεύθυνο επεξεργασίας και, εάν αυτό αποδειχθεί ανεπιτυχές, να ασκεί το πλήρες εύρος των εξουσιών της. Τούτο θα πρέπει να περιλαμβάνει: την ειδική επεξεργασία η οποία διενεργείται στο έδαφος του κράτους μέλους της εποπτικής αρχής ή όσον αφορά υποκείμενα των δεδομένων στο έδαφος του εν λόγω κράτους μέλους· την επεξεργασία η οποία διενεργείται στο πλαίσιο προσφοράς αγαθών ή υπηρεσιών απευθυνόμενων ειδικά σε υποκείμενα των δεδομένων στην επικράτεια του κράτους μέλους της εποπτικής αρχής ή την επεξεργασία η οποία πρέπει να εκτιμηθεί, λαμβάνοντας υπόψη τις αντίστοιχες νομικές υποχρεώσεις βάσει του δικαίου του κράτους μέλους.
(132) | Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.(132) | Οι δραστηριότητες ευαισθητοποίησης από τις εποπτικές αρχές οι οποίες απευθύνονται στο κοινό θα πρέπει να περιλαμβάνουν συγκεκριμένα μέτρα για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, περιλαμβανομένων πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, καθώς και φυσικών προσώπων ιδίως στο πλαίσιο της εκπαίδευσης.
(133) | The supervisory authorities should assist each other in performing their tasks and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. A supervisory authority requesting mutual assistance may adopt a provisional measure if it receives no response to a request for mutual assistance within one month of the receipt of that request by the other supervisory authority.(133) | Οι εποπτικές αρχές θα πρέπει να αλληλοϋποστηρίζονται κατά την άσκηση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή του παρόντος κανονισμού στην εσωτερική αγορά. Εποπτική αρχή που ζητεί αμοιβαία συνδρομή μπορεί να λάβει προσωρινό μέτρο, εάν δε λάβει απάντηση σε αίτημα αμοιβαίας συνδρομής μέσα σε ένα μήνα από την παραλαβή του εν λόγω αιτήματος από την άλλη εποπτική αρχή.
(134) | Each supervisory authority should, where appropriate, participate in joint operations with other supervisory authorities. The requested supervisory authority should be obliged to respond to the request within a specified time period.(134) | Κάθε εποπτική αρχή θα πρέπει, κατά περίπτωση, να συμμετέχει σε κοινές επιχειρήσεις με άλλες εποπτικές αρχές. Η εποπτική αρχή στην οποία υποβάλλεται το αίτημα θα πρέπει να υποχρεούται να απαντά στο αίτημα εντός καθορισμένης προθεσμίας.
(135) | In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for cooperation between the supervisory authorities should be established. That mechanism should in particular apply where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States. It should also apply where any supervisory authority concerned or the Commission requests that such matter should be handled in the consistency mechanism. That mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties.(135) | Για να διασφαλιστεί συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, θα πρέπει να θεσπισθεί μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των εποπτικών αρχών. Ο εν λόγω μηχανισμός θα πρέπει να εφαρμόζεται ειδικότερα όταν μια εποπτική αρχή σκοπεύει να θεσπίσει μέτρο που πρόκειται να παραγάγει έννομες συνέπειες όσον αφορά πράξεις επεξεργασίας που επηρεάζουν ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα κράτη μέλη. Θα πρέπει να εφαρμόζεται επίσης όταν κάποια ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή ζητούν τον χειρισμό της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Ο εν λόγω μηχανισμός δεν θα πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.
(136) | In applying the consistency mechanism, the Board should, within a determined period of time, issue an opinion, if a majority of its members so decides or if so requested by any supervisory authority concerned or the Commission. The Board should also be empowered to adopt legally binding decisions where there are disputes between supervisory authorities. For that purpose, it should issue, in principle by a two-thirds majority of its members, legally binding decisions in clearly specified cases where there are conflicting views among supervisory authorities, in particular in the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned on the merits of the case, in particular whether there is an infringement of this Regulation.(136) | Κατά την εφαρμογή του μηχανισμού συνεκτικότητας, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εκδίδει γνώμη, εντός καθορισμένης προθεσμίας, εφόσον αποφασίσει κάτι τέτοιο η πλειοψηφία των μελών του ή εφόσον του ζητηθεί από κάποια ενδιαφερόμενη εποπτική αρχή ή από την Επιτροπή. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει επίσης να εξουσιοδοτηθεί να εκδίδει νομικώς δεσμευτικές αποφάσεις όταν υπάρχουν διαφορές μεταξύ εποπτικών αρχών. Για τον σκοπό αυτό, θα πρέπει να εκδίδει, κατ' αρχήν με πλειοψηφία δύο τρίτων των μελών του, νομικά δεσμευτικές αποφάσεις σε σαφώς καθορισμένες περιπτώσεις όπου υπάρχουν αντικρουόμενες απόψεις μεταξύ εποπτικών αρχών, ιδίως στο πλαίσιο του μηχανισμού συνεργασίας μεταξύ της επικεφαλής εποπτικής αρχής και των ενδιαφερόμενων εποπτικών αρχών επί της ουσίας της υποθέσεως, ιδίως για το αν υπάρχει παράβαση του παρόντος κανονισμού.
(137) | There may be an urgent need to act in order to protect the rights and freedoms of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. A supervisory authority should therefore be able to adopt duly justified provisional measures on its territory with a specified period of validity which should not exceed three months.(137) | Ενδέχεται να υπάρχει επείγουσα ανάγκη λήψης μέτρων για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σημαντικά η άσκηση δικαιώματος ενός υποκειμένου των δεδομένων. Επομένως, μια εποπτική αρχή θα πρέπει να μπορεί να θεσπίζει δεόντως αιτιολογημένα προσωρινά μέτρα στο έδαφός της με προσδιορισμένη διάρκεια ισχύος η οποία δεν θα πρέπει να υπερβαίνει τους τρεις μήνες.
(138) | The application of such mechanism should be a condition for the lawfulness of a measure intended to produce legal effects by a supervisory authority in those cases where its application is mandatory. In other cases of cross-border relevance, the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned should be applied and mutual assistance and joint operations might be carried out between the supervisory authorities concerned on a bilateral or multilateral basis without triggering the consistency mechanism.(138) | Η εφαρμογή του εν λόγω μηχανισμού θα πρέπει να αποτελεί προϋπόθεση για το σύννομο του μέτρου που λαμβάνει εποπτική αρχή με σκοπό να παραγάγει έννομα αποτελέσματα στις περιπτώσεις στις οποίες η εφαρμογή του είναι υποχρεωτική. Σε άλλες περιπτώσεις διασυνοριακού ενδιαφέροντος, θα πρέπει να εφαρμόζεται ο μηχανισμός συνεργασίας μεταξύ της επικεφαλής αρχής και των ενδιαφερομένων εποπτικών αρχών, οι δε ενδιαφερόμενες εποπτικές αρχές θα μπορούσαν να προσφεύγουν σε αμοιβαία συνδρομή και κοινές επιχειρήσεις, σε διμερή ή πολυμερή βάση, χωρίς να ενεργοποιούν τον μηχανισμό συνεκτικότητας.
(139) | In order to promote the consistent application of this Regulation, the Board should be set up as an independent body of the Union. To fulfil its objectives, the Board should have legal personality. The Board should be represented by its Chair. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of the head of a supervisory authority of each Member State and the European Data Protection Supervisor or their respective representatives. The Commission should participate in the Board's activities without voting rights and the European Data Protection Supervisor should have specific voting rights. The Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission, in particular on the level of protection in third countries or international organisations, and promoting cooperation of the supervisory authorities throughout the Union. The Board should act independently when performing its tasks.(139) | Προκειμένου να προαγάγει τη συνεκτική εφαρμογή του παρόντος κανονισμού, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να συσταθεί ως ανεξάρτητος φορέας της Ένωσης. Για να εκπληρώσει τους στόχους του, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να έχει νομική προσωπικότητα. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εκπροσωπείται από τον πρόεδρό του. Θα πρέπει να αντικαταστήσει την ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Θα πρέπει να απαρτίζεται από τον προϊστάμενο εποπτικής αρχής από κάθε κράτος μέλος και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους. Η Επιτροπή θα πρέπει να συμμετέχει στις δραστηριότητές του Συμβουλίου Προστασίας Δεδομένων χωρίς δικαίωμα ψήφου και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει ειδικά δικαιώματα ψήφου. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή, ιδίως για το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς, και προωθώντας τη συνεργασία των εποπτικών αρχών σε ολόκληρη την Ένωση. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του.
(140) | The Board should be assisted by a secretariat provided by the European Data Protection Supervisor. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation should perform its tasks exclusively under the instructions of, and report to, the Chair of the Board.(140) | Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να επικουρείται από γραμματεία που παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού θα πρέπει να ασκεί τα καθήκοντά του αποκλειστικά υπό τις οδηγίες του Προέδρου του Συμβουλίου Προστασίας Δεδομένων και να τον ενημερώνει σχετικά.
(141) | Every data subject should have the right to lodge a complaint with a single supervisory authority, in particular in the Member State of his or her habitual residence, and the right to an effective judicial remedy in accordance with Article 47 of the Charter if the data subject considers that his or her rights under this Regulation are infringed or where the supervisory authority does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. In order to facilitate the submission of complaints, each supervisory authority should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication.(141) | Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, κάθε εποπτική αρχή θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.
(142) | Where a data subject considers that his or her rights under this Regulation are infringed, he or she should have the right to mandate a not-for-profit body, organisation or association which is constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest and is active in the field of the protection of personal data to lodge a complaint on his or her behalf with a supervisory authority, exercise the right to a judicial remedy on behalf of data subjects or, if provided for in Member State law, exercise the right to receive compensation on behalf of data subjects. A Member State may provide for such a body, organisation or association to have the right to lodge a complaint in that Member State, independently of a data subject's mandate, and the right to an effective judicial remedy where it has reasons to consider that the rights of a data subject have been infringed as a result of the processing of personal data which infringes this Regulation. That body, organisation or association may not be allowed to claim compensation on a data subject's behalf independently of the data subject's mandate.(142) | Όταν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλος, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του σε εποπτική αρχή, να ασκήσει το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή, εφόσον προβλέπεται από το δίκαιο κράτους μέλους, το δικαίωμα να λάβει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων. Κράτος μέλος μπορεί να προβλέπει ότι αυτός ο φορέας, οργανισμός ή οργάνωση να έχει το δικαίωμα να υποβάλει σε αυτό το κράτος μέλος καταγγελία, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, και δικαίωμα πραγματικής δικαστικής προσφυγής, όταν έχει λόγους να θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση του παρόντος κανονισμού. Ο εν λόγω φορέας, οργανισμός ή οργάνωση ενδέχεται να μην έχει το δικαίωμα να απαιτεί αποζημίωση για λογαριασμό του υποκειμένου των δεδομένων, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων.
(143) | Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. | Where a complaint has been rejected or dismissed by a supervisory authority, the complainant may bring proceedings before the courts in the same Member State. In the context of judicial remedies relating to the application of this Regulation, national courts which consider a decision on the question necessary to enable them to give judgment, may, or in the case provided for in Article 267 TFEU, must, request the Court of Justice to give a preliminary ruling on the interpretation of Union law, including this Regulation. Furthermore, where a decision of a supervisory authority implementing a decision of the Board is challenged before a national court and the validity of the decision of the Board is at issue, that national court does not have the power to declare the Board's decision invalid but must refer the question of validity to the Court of Justice in accordance with Article 267 TFEU as interpreted by the Court of Justice, where it considers the decision invalid. However, a national court may not refer a question on the validity of the decision of the Board at the request of a natural or legal person which had the opportunity to bring an action for annulment of that decision, in particular if it was directly and individually concerned by that decision, but had not done so within the period laid down in Article 263 TFEU.(143) | Κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα να ασκήσει προσφυγή για την ακύρωση των αποφάσεων του Συμβουλίου Προστασίας Δεδομένων ενώπιον του Δικαστηρίου σύμφωνα με τους όρους που προβλέπονται στο άρθρο 263 ΣΛΕΕ. Ως αποδέκτες των αποφάσεων αυτών, οι ενδιαφερόμενες εποπτικές αρχές που επιθυμούν να τις προσβάλουν πρέπει να ασκήσουν προσφυγή εντός δύο μηνών από την κοινοποίησή τους, σύμφωνα με το άρθρο 263 ΣΛΕΕ. Σε περίπτωση που οι αποφάσεις του Συμβουλίου Προστασίας Δεδομένων αφορούν άμεσα και ατομικά έναν υπεύθυνο επεξεργασίας, εκτελούντα την επεξεργασία ή καταγγέλλοντα, αυτοί μπορούν να ασκήσουν προσφυγή για την ακύρωση των αποφάσεων αυτών εντός δύο μηνών από τη δημοσίευση των αποφάσεων αυτών στον διαδικτυακό τόπο του ΣυμβουλίουΠροστασίας Δεδομένων, σύμφωνα με το άρθρο 263 ΣΛΕΕ. Mε την επιφύλαξη αυτού του δικαιώματος δυνάμει του άρθρου 263 ΣΛΕΕ, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Οι αποφάσεις αυτές αφορούν ειδικότερα την άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή τις περιπτώσεις στις οποίες οι καταγγελίες κρίνονται απαράδεκτες ή απορρίπτονται. Ωστόσο, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή και να διεξάγεται σύμφωνα με το δικονομικό δίκαιο του εν λόγω κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη δικαιοδοσία, η οποία θα πρέπει να περιλαμβάνει τη δικαιοδοσία να εξετάζουν όλα τα πραγματικά και νομικά ζητήματα σχετικά με τη διαφορά που εκκρεμεί ενώπιόν τους. | Όταν μια καταγγελία έχει απορριφθεί ή κριθεί απαράδεκτη από εποπτική αρχή, ο καταγγέλλων μπορεί να κινήσει διαδικασία ενώπιον των δικαστηρίων στο ίδιο κράτος μέλος. Στο πλαίσιο των δικαστικών προσφυγών που σχετίζονται με την εφαρμογή του παρόντος κανονισμού, τα εθνικά δικαστήρια τα οποία θεωρούν ότι μια απόφαση επί του ζητήματος είναι αναγκαία για την έκδοση της δικής τους αποφάσεως μπορούν ή, στην περίπτωση που προβλέπεται στο άρθρο 267 ΣΛΕΕ, υποχρεούνται να ζητήσουν από το Δικαστήριο την έκδοση προδικαστικής απόφασης επί της ερμηνείας του δικαίου της Ένωσης, συμπεριλαμβανομένου του παρόντος κανονισμού. Επιπλέον, όταν μια απόφαση εποπτικής αρχής η οποία εφαρμόζει απόφαση του Συμβουλίου Προστασίας Δεδομένων προσβληθεί ενώπιον εθνικού δικαστηρίου και αμφισβητηθεί το κύρος της απόφασης του Συμβουλίου Προστασίας Δεδομένων, το εν λόγω εθνικό δικαστήριο δεν έχει αρμοδιότητα να κηρύξει άκυρη την απόφαση του Συμβουλίου Προστασίας Δεδομένων αλλά οφείλει να παραπέμψει το ζήτημα του κύρους στο Δικαστήριο σύμφωνα με το άρθρο 267 ΣΛΕΕ όπως ερμηνεύθηκε από το Δικαστήριο, εάν θεωρεί την απόφαση άκυρη. Ωστόσο, ένα εθνικό δικαστήριο δεν μπορεί να παραπέμψει το ζήτημα του κύρους μιας απόφασης του Συμβουλίου Προστασίας Δεδομένων κατόπιν αιτήματος φυσικού ή νομικού προσώπου που είχε τη δυνατότητα να ασκήσει προσφυγή ακυρώσεως κατά της αποφάσεως αυτής, ιδίως εάν η απόφαση αυτή το αφορούσε άμεσα και ατομικά, αλλά δεν το έπραξε εντός της προθεσμίας που προβλέπεται από το άρθρο 263 ΣΛΕΕ.
(144) | Where a court seized of proceedings against a decision by a supervisory authority has reason to believe that proceedings concerning the same processing, such as the same subject matter as regards processing by the same controller or processor, or the same cause of action, are brought before a competent court in another Member State, it should contact that court in order to confirm the existence of such related proceedings. If related proceedings are pending before a court in another Member State, any court other than the court first seized may stay its proceedings or may, on request of one of the parties, decline jurisdiction in favour of the court first seized if that court has jurisdiction over the proceedings in question and its law permits the consolidation of such related proceedings. Proceedings are deemed to be related where they are so closely connected that it is expedient to hear and determine them together in order to avoid the risk of irreconcilable judgments resulting from separate proceedings.(144) | Σε περίπτωση που ένα δικαστήριο επιληφθεί διαδικασίας που έχει κινηθεί κατά απόφασης εποπτικής αρχής και έχει λόγους να θεωρεί ότι έχει κινηθεί διαδικασία για την ίδια επεξεργασία, όπως για το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία ή για την ίδια αιτία, ενώπιον αρμόδιου δικαστηρίου σε άλλο κράτος μέλος, θα πρέπει να επικοινωνεί με το εν λόγω δικαστήριο για να επιβεβαιώσει την ύπαρξη αυτής της συναφούς διαδικασίας. Αν η συναφής διαδικασία εκκρεμεί ενώπιον δικαστηρίου σε άλλο κράτος μέλος, κάθε δικαστήριο εκτός εκείνου που έχει επιληφθεί πρώτο δύναται να αναστείλει τη διαδικασία του ή δύναται, κατόπιν αιτήσεως ενός εκ των διαδίκων, να απεκδυθεί της αρμοδιότητάς του υπέρ του δικαστηρίου που έχει επιληφθεί πρώτο, εφόσον το εν λόγω δικαστήριο έχει δικαιοδοσία για την εν λόγω διαδικασία και το δίκαιό του επιτρέπει τη συνεκδίκαση αυτών των συναφών διαδικασιών. Θεωρούνται συναφείς οι διαδικασίες που συνδέονται μεταξύ τους τόσο στενά, ώστε να υπάρχει συμφέρον να εκδικαστούν και να κριθούν από κοινού, για να αποφευχθεί ο κίνδυνος έκδοσης ασυμβίβαστων μεταξύ τους αποφάσεων, όπως θα συνέβαινε εάν οι υποθέσεις εκδικάζονταν χωριστά.
(145) | For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or where the data subject resides, unless the controller is a public authority of a Member State acting in the exercise of its public powers.(145) | Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο προσφεύγων θα πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την προσφυγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία διαθέτει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το υποκείμενο των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή κράτους μέλους που ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.
(146) | The controller or processor should compensate any damage which a person may suffer as a result of processing that infringes this Regulation. The controller or processor should be exempt from liability if it proves that it is not in any way responsible for the damage. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Regulation. This is without prejudice to any claims for damage deriving from the violation of other rules in Union or Member State law. Processing that infringes this Regulation also includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. Data subjects should receive full and effective compensation for the damage they have suffered. Where controllers or processors are involved in the same processing, each controller or processor should be held liable for the entire damage. However, where they are joined to the same judicial proceedings, in accordance with Member State law, compensation may be apportioned according to the responsibility of each controller or processor for the damage caused by the processing, provided that full and effective compensation of the data subject who suffered the damage is ensured. Any controller or processor which has paid full compensation may subsequently institute recourse proceedings against other controllers or processors involved in the same processing.(146) | Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Επεξεργασία κατά παράβαση του παρόντα κανονισμού συμπεριλαμβάνει επίσης τυχόν επεξεργασία που γίνεται κατά παράβαση των κατ' εξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται κατ' εφαρμογή του παρόντος κανονισμού και του δικαίου των κρατών μελών που εξειδικεύει τους κανόνες του παρόντος κανονισμού. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. Σε περίπτωση που υπεύθυνοι επεξεργασίας ή εκτελούντες επεξεργασία συμμετέχουν στην ίδια επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θα πρέπει να ευθύνεται για τη συνολική ζημία. Ωστόσο, όταν παραπέμπονται από κοινού ενώπιον της δικαιοσύνης, σύμφωνα με το δίκαιο των κρατών μελών, η αποζημίωση δύναται να καταμεριστεί σύμφωνα με την ευθύνη που φέρει ο κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία για τη ζημία που προκάλεσε η επεξεργασία, υπό την προϋπόθεση ότι διασφαλίζεται η πλήρης και ουσιαστική αποζημίωση του υποκειμένου των δεδομένων που υπέστη τη ζημία. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που κατέβαλε πλήρη αποζημίωση μπορεί ακολούθως να προσφύγει κατά άλλων υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία που συμμετέχουν στην ίδια επεξεργασία.
(147) | Where specific rules on jurisdiction are contained in this Regulation, in particular as regards proceedings seeking a judicial remedy including compensation, against a controller or processor, general jurisdiction rules such as those of Regulation (EU) No 1215/2012 of the European Parliament and of the Council (13) should not prejudice the application of such specific rules.(147) | Σε περίπτωση που ο παρών κανονισμός περιέχει ειδικούς κανόνες δικαιοδοσίας, ιδίως όσον αφορά διαδικασίες με τις οποίες ασκείται δικαστική προσφυγή, μεταξύ άλλων για αποζημίωση, κατά υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία, οι γενικοί κανόνες δικαιοδοσίας όπως οι προβλεπόμενοι στον κανονισμό (ΕΕ) αριθ. 1215/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13) δεν θα πρέπει να θίγουν την εφαρμογή αυτών των ειδικών κανόνων.
(148) | In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process.(148) | Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη, συμπεριλαμβανομένης της πραγματικής δικαστικής προστασίας και της ορθής διαδικασίας.
(149) | Member States should be able to lay down the rules on criminal penalties for infringements of this Regulation, including for infringements of national rules adopted pursuant to and within the limits of this Regulation. Those criminal penalties may also allow for the deprivation of the profits obtained through infringements of this Regulation. However, the imposition of criminal penalties for infringements of such national rules and of administrative penalties should not lead to a breach of the principle of ne bis in idem, as interpreted by the Court of Justice.(149) | Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν τους κανόνες περί ποινικών κυρώσεων για παραβάσεις του παρόντος κανονισμού, μεταξύ άλλων για παραβάσεις των εθνικών κανόνων που θεσπίζονται κατ' εφαρμογή και εντός των ορίων του παρόντος κανονισμού. Οι εν λόγω ποινικές κυρώσεις μπορούν επίσης να συνίστανται σε αποστέρηση από τα οφέλη που αποκτήθηκαν χάριν των παραβάσεων του παρόντος κανονισμού. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο.
(150) | In order to strengthen and harmonise administrative penalties for infringements of this Regulation, each supervisory authority should have the power to impose administrative fines. This Regulation should indicate infringements and the upper limit and criteria for setting the related administrative fines, which should be determined by the competent supervisory authority in each individual case, taking into account all relevant circumstances of the specific situation, with due regard in particular to the nature, gravity and duration of the infringement and of its consequences and the measures taken to ensure compliance with the obligations under this Regulation and to prevent or mitigate the consequences of the infringement. Where administrative fines are imposed on an undertaking, an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU for those purposes. Where administrative fines are imposed on persons that are not an undertaking, the supervisory authority should take account of the general level of income in the Member State as well as the economic situation of the person in considering the appropriate amount of the fine. The consistency mechanism may also be used to promote a consistent application of administrative fines. It should be for the Member States to determine whether and to which extent public authorities should be subject to administrative fines. Imposing an administrative fine or giving a warning does not affect the application of other powers of the supervisory authorities or of other penalties under this Regulation.(150) | Για την ενίσχυση και την εναρμόνιση των διοικητικών ποινών κατά παραβάσεων του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις, και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, αφού ληφθούν υπόψη όλες οι συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή ειδικότερα στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και στις συνέπειές της και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε επιχείρηση, μια επιχείρηση θα πρέπει να νοείται επιχείρηση σύμφωνα με τα άρθρα 101 και 102 ΣΛΕΕ για τους σκοπούς αυτούς. Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε πρόσωπα που δεν είναι επιχειρήσεις, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου. Ο μηχανισμός συνεκτικότητας μπορεί να χρησιμοποιείται επίσης για να προωθήσει μια συνεκτική επιβολή διοικητικών προστίμων. Θα πρέπει να εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές. Η επιβολή διοικητικού προστίμου ή η προειδοποίηση δεν θίγει την εφαρμογή των λοιπών εξουσιών των εποπτικών αρχών ή άλλων κυρώσεων δυνάμει του παρόντος κανονισμού.
(151) | The legal systems of Denmark and Estonia do not allow for administrative fines as set out in this Regulation. The rules on administrative fines may be applied in such a manner that in Denmark the fine is imposed by competent national courts as a criminal penalty and in Estonia the fine is imposed by the supervisory authority in the framework of a misdemeanour procedure, provided that such an application of the rules in those Member States has an equivalent effect to administrative fines imposed by supervisory authorities. Therefore the competent national courts should take into account the recommendation by the supervisory authority initiating the fine. In any event, the fines imposed should be effective, proportionate and dissuasive.(151) | Στα νομικά συστήματα της Δανίας και της Εσθονίας δεν προβλέπονται διοικητικά πρόστιμα όπως καθορίζονται στον παρόντα κανονισμό. Οι κανόνες σχετικά με τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπον ώστε στη Δανία το πρόστιμο να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια ως ποινική κύρωση και στην Εσθονία το πρόστιμο να επιβάλλεται από την εποπτική αρχή στο πλαίσιο διαδικασίας για πλημμελήματα, υπό την προϋπόθεση ότι μια τέτοια εφαρμογή των κανόνων σε αυτά τα κράτη μέλη έχει ισοδύναμο αποτέλεσμα με διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Ως εκ τούτου, τα αρμόδια εθνικά δικαστήρια θα πρέπει να λαμβάνουν υπόψη τη σύσταση της εποπτικής αρχής από την οποία προέρχεται το πρόστιμο. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.
(152) | Where this Regulation does not harmonise administrative penalties or where necessary in other cases, for example in cases of serious infringements of this Regulation, Member States should implement a system which provides for effective, proportionate and dissuasive penalties. The nature of such penalties, criminal or administrative, should be determined by Member State law.(152) | Όταν ο παρών κανονισμός δεν εναρμονίζει διοικητικές ποινές ή αν είναι αναγκαίο σε άλλες περιπτώσεις, λόγου χάρη σε περιπτώσεις σοβαρών παραβάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόζουν ένα σύστημα αποτελεσματικών, αναλογικών και αποτρεπτικών ποινών. Η φύση των εν λόγω ποινών, ποινικών ή διοικητικών, θα πρέπει να προσδιορίζεται από το δίκαιο των κρατών μελών.
(153) | Member States law should reconcile the rules governing freedom of expression and information, including journalistic, academic, artistic and or literary expression with the right to the protection of personal data pursuant to this Regulation. The processing of personal data solely for journalistic purposes, or for the purposes of academic, artistic or literary expression should be subject to derogations or exemptions from certain provisions of this Regulation if necessary to reconcile the right to the protection of personal data with the right to freedom of expression and information, as enshrined in Article 11 of the Charter. This should apply in particular to the processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures which lay down the exemptions and derogations necessary for the purpose of balancing those fundamental rights. Member States should adopt such exemptions and derogations on general principles, the rights of the data subject, the controller and the processor, the transfer of personal data to third countries or international organisations, the independent supervisory authorities, cooperation and consistency, and specific data-processing situations. Where such exemptions or derogations differ from one Member State to another, the law of the Member State to which the controller is subject should apply. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly.(153) | Το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής, πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. Επομένως, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα που να προβλέπουν τις αναγκαίες εξαιρέσεις και παρεκκλίσεις για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Τα κράτη μέλη θα πρέπει να θεσπίσουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, τη συνεργασία και τη συνεκτικότητα και ειδικές περιπτώσεις επεξεργασίας δεδομένων. Όταν οι εν λόγω απαλλαγές ή παρεκκλίσεις διαφέρουν από το ένα κράτος μέλος στο άλλο, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται διασταλτικά οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία.
(154) | This Regulation allows the principle of public access to official documents to be taken into account when applying this Regulation. Public access to official documents may be considered to be in the public interest. Personal data in documents held by a public authority or a public body should be able to be publicly disclosed by that authority or body if the disclosure is provided for by Union or Member State law to which the public authority or public body is subject. Such laws should reconcile public access to official documents and the reuse of public sector information with the right to the protection of personal data and may therefore provide for the necessary reconciliation with the right to the protection of personal data pursuant to this Regulation. The reference to public authorities and bodies should in that context include all authorities or other bodies covered by Member State law on public access to documents. Directive 2003/98/EC of the European Parliament and of the Council (14) leaves intact and in no way affects the level of protection of natural persons with regard to the processing of personal data under the provisions of Union and Member State law, and in particular does not alter the obligations and rights set out in this Regulation. In particular, that Directive should not apply to documents to which access is excluded or restricted by virtue of the access regimes on the grounds of protection of personal data, and parts of documents accessible by virtue of those regimes which contain personal data the re-use of which has been provided for by law as being incompatible with the law concerning the protection of natural persons with regard to the processing of personal data.(154) | Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή του παρόντος κανονισμό. Η πρόσβαση του κοινού σε επίσημα έγγραφα μπορεί να θεωρηθεί ως δημόσιο συμφέρον. Τα δεδομένα προσωπικού χαρακτήρα σε έγγραφα που τηρούνται από δημόσια αρχή ή δημόσιο φορέα θα πρέπει να μπορούν να κοινολογούνται δημοσίως από την εν λόγω αρχή ή τον φορέα εάν η κοινολόγηση προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπάγεται η δημόσια αρχή ή ο δημόσιος φορέας. Τα δίκαια αυτά θα πρέπει να συμφιλιώνουν την πρόσβαση του κοινού σε επίσημα έγγραφα και την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα και μπορούν, συνεπώς, να προβλέπουν την αναγκαία συμφιλίωση με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει εν προκειμένω να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από το δίκαιο κράτους μέλους σχετικά με την πρόσβαση του κοινού σε έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (14) δεν θίγει και δεν επηρεάζει κατά κανένα τρόπο το επίπεδο προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων του ενωσιακού δικαίου και του δικαίου των κρατών μελών και ιδίως δεν μεταβάλλει τις υποχρεώσεις και τα δικαιώματα που θεσπίζονται στον παρόντα κανονισμό. Ειδικότερα, η εν λόγω οδηγία δεν θα πρέπει να εφαρμόζεται σε έγγραφα στα οποία η πρόσβαση απαγορεύεται ή περιορίζεται δυνάμει των καθεστώτων πρόσβασης για λόγους προστασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε τμήματα εγγράφων που είναι προσβάσιμα δυνάμει των εν λόγω καθεστώτων και περιέχουν δεδομένα προσωπικού χαρακτήρα η εκ νέου χρήση των οποίων προβλέπεται από το δίκαιο ότι είναι ασυμβίβαστη με το δίκαιο που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
(155) | Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.(155) | Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.
(156) | The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials.(156) | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, ειδικότερα, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος της επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (όπως, για παράδειγμα, η ψευδωνυμοποίηση των δεδομένων). Τα κράτη μέλη θα πρέπει να προβλέπουν κατάλληλες διασφαλίσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς. Θα πρέπει να επιτρέπεται στα κράτη μέλη να παρέχουν, υπό συγκεκριμένες προϋποθέσεις και με δέουσες εγγυήσεις για τα υποκείμενα των δεδομένων, προδιαγραφές και παρεκκλίσεις όσον αφορά τις απαιτήσεις πληροφόρησης και τα δικαιώματα διόρθωσης και διαγραφής, το δικαίωμα στη λήθη, το δικαίωμα περιορισμού της επεξεργασίας,το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα αντίταξης κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς. Οι εν λόγω προϋποθέσεις και εγγυήσεις ενδέχεται να συνεπάγονται ειδικές διαδικασίες, ώστε τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα αυτά, εφόσον είναι σκόπιμο για τους σκοπούς που επιδιώκονται με τη συγκεκριμένη επεξεργασία, παράλληλα με τεχνικά και οργανωτικά μέτρα που αποσκοπούν στην ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις αρχές της αναλογικότητας και της αναγκαιότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονικούς σκοπούς θα πρέπει να συμμορφώνεται επίσης με άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.
(157) | By coupling information from registries, researchers can obtain new knowledge of great value with regard to widespread medical conditions such as cardiovascular disease, cancer and depression. On the basis of registries, research results can be enhanced, as they draw on a larger population. Within social science, research on the basis of registries enables researchers to obtain essential knowledge about the long-term correlation of a number of social conditions such as unemployment and education with other life conditions. Research results obtained through registries provide solid, high-quality knowledge which can provide the basis for the formulation and implementation of knowledge-based policy, improve the quality of life for a number of people and improve the efficiency of social services. In order to facilitate scientific research, personal data can be processed for scientific research purposes, subject to appropriate conditions and safeguards set out in Union or Member State law.(157) | Συνδυάζοντας πληροφορίες από μητρώα, οι ερευνητές μπορούν να αποκτούν νέες γνώσεις μεγάλης σημασίας όσον αφορά διαδεδομένες παθολογικές καταστάσεις όπως καρδιαγγειακά νοσήματα, καρκίνος και κατάθλιψη. Βάσει των μητρώων, τα αποτελέσματα των ερευνών μπορούν να ενισχύονται, δεδομένου ότι στηρίζονται σε ευρύτερη πληθυσμιακή βάση. Στις κοινωνικές επιστήμες, η έρευνα βάσει μητρώων δίνει στους ερευνητές τη δυνατότητα να αποκτούν ουσιαστικές γνώσεις για τον μακροπρόθεσμο συσχετισμό ορισμένων κοινωνικών καταστάσεων, όπως η ανεργία και η εκπαίδευση με άλλες συνθήκες διαβίωσης. Τα αποτελέσματα των ερευνών που αποκτώνται μέσω μητρώων παρέχουν αξιόπιστες και ποιοτικές γνώσεις οι οποίες μπορούν να αποτελέσουν τη βάση για την εκπόνηση και εφαρμογή πολιτικής βασισμένης στη γνώση, να βελτιώσουν την ποιότητα ζωής ορισμένων ανθρώπων και να βελτιώσουν την αποτελεσματικότητα των κοινωνικών υπηρεσιών. Με στόχο τη διευκόλυνση της επιστημονικής έρευνας, τα δεδομένα προσωπικού χαρακτήρα μπορούν να υφίστανται επεξεργασία για σκοπούς επιστημονικής έρευνας, υπό τις κατάλληλες προϋποθέσεις και εγγυήσεις που θεσπίζονται στο ενωσιακό δίκαιο ή στο δίκαιο κράτους μέλους.
(158) | Where personal data are processed for archiving purposes, this Regulation should also apply to that processing, bearing in mind that this Regulation should not apply to deceased persons. Public authorities or public or private bodies that hold records of public interest should be services which, pursuant to Union or Member State law, have a legal obligation to acquire, preserve, appraise, arrange, describe, communicate, promote, disseminate and provide access to records of enduring value for general public interest. Member States should also be authorised to provide for the further processing of personal data for archiving purposes, for example with a view to providing specific information related to the political behaviour under former totalitarian state regimes, genocide, crimes against humanity, in particular the Holocaust, or war crimes.(158) | Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης, ο παρών κανονισμός θα πρέπει επίσης να ισχύει και για την επεξεργασία αυτή, έχοντας κατά νου ότι ο παρών κανονισμός δεν θα πρέπει να ισχύει για τους θανόντες. Δημόσιες αρχές και δημόσιοι ή ιδιωτικοί φορείς που τηρούν αρχεία δημόσιου συμφέροντος θα πρέπει να είναι υπηρεσίες οι οποίες, σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους, υπέχουν εκ του νόμου υποχρέωση να αποκτούν, να διατηρούν, να αξιολογούν, να ταξινομούν, να περιγράφουν, να ανακοινώνουν, να προωθούν, να διαδίδουν και να παρέχουν πρόσβαση σε αρχεία σταθερής αξίας για το γενικό δημόσιο συμφέρον. Στα κράτη μέλη θα πρέπει επίσης να δοθεί το δικαίωμα να προβλέπουν περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης, λόγου χάρη με στόχο την παροχή συγκεκριμένων πληροφοριών σχετικών με πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα, γενοκτονία, εγκλήματα κατά της ανθρωπότητας, ιδίως το Ολοκαύτωμα, ή εγκλήματα πολέμου.
(159) | Where personal data are processed for scientific research purposes, this Regulation should also apply to that processing. For the purposes of this Regulation, the processing of personal data for scientific research purposes should be interpreted in a broad manner including for example technological development and demonstration, fundamental research, applied research and privately funded research. In addition, it should take into account the Union's objective under Article 179(1) TFEU of achieving a European Research Area. Scientific research purposes should also include studies conducted in the public interest in the area of public health. To meet the specificities of processing personal data for scientific research purposes, specific conditions should apply in particular as regards the publication or otherwise disclosure of personal data in the context of scientific research purposes. If the result of scientific research in particular in the health context gives reason for further measures in the interest of the data subject, the general rules of this Regulation should apply in view of those measures.(159) | Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής έρευνας, ο παρών κανονισμός θα πρέπει να ισχύει και για την επεξεργασία αυτή. Για τους σκοπούς του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας θα πρέπει να ερμηνεύεται διασταλτικά, δηλαδή να περιλαμβάνει παραδείγματος χάριν τεχνολογική ανάπτυξη και επίδειξη, βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα. Επιπλέον, θα πρέπει να λαμβάνει υπόψη τον στόχο της Ένωσης δυνάμει του άρθρου 179 παράγραφος 1 ΣΛΕΕ για την επίτευξη ενός ευρωπαϊκού χώρου έρευνας. Στους σκοπούς επιστημονικής έρευνας θα πρέπει να περιλαμβάνονται και μελέτες που πραγματοποιούνται για το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Για να ληφθούν υπόψη οι ιδιαιτερότητες της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας, θα πρέπει να ισχύουν ειδικοί όροι ιδίως όσον αφορά τη δημοσίευση ή με άλλο τρόπο δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σκοπών επιστημονικής έρευνας. Εάν το αποτέλεσμα της επιστημονικής έρευνας ειδικότερα στον τομέα της υγείας αιτιολογεί τη λήψη περαιτέρω μέτρων προς το συμφέρον του υποκειμένου των δεδομένων, ισχύουν οι γενικοί κανόνες του παρόντος κανονισμού όσον αφορά τα μέτρα αυτά.
(160) | Where personal data are processed for historical research purposes, this Regulation should also apply to that processing. This should also include historical research and research for genealogical purposes, bearing in mind that this Regulation should not apply to deceased persons.(160) | Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς ιστορικής έρευνας, ο παρών κανονισμός θα πρέπει επίσης να ισχύει και για την επεξεργασία αυτή. Συμπεριλαμβάνονται εν προκειμένω η ιστορική έρευνα και η έρευνα για γενεαλογικούς σκοπούς, έχοντας κατά νου ότι ο παρών κανονισμός δεν θα πρέπει να ισχύει για τους θανόντες.
(161) | For the purpose of consenting to the participation in scientific research activities in clinical trials, the relevant provisions of Regulation (EU) No 536/2014 of the European Parliament and of the Council (15) should apply.(161) | Για τον σκοπό της συγκατάθεσης στη συμμετοχή σε δραστηριότητες επιστημονικής έρευνας στο πλαίσιο κλινικών δοκιμών, θα πρέπει να ισχύουν οι σχετικές διατάξεις του κανονισμού (ΕΕ) αριθ. 536/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15).
(162) | Where personal data are processed for statistical purposes, this Regulation should apply to that processing. Union or Member State law should, within the limits of this Regulation, determine statistical content, control of access, specifications for the processing of personal data for statistical purposes and appropriate measures to safeguard the rights and freedoms of the data subject and for ensuring statistical confidentiality. Statistical purposes mean any operation of collection and the processing of personal data necessary for statistical surveys or for the production of statistical results. Those statistical results may further be used for different purposes, including a scientific research purpose. The statistical purpose implies that the result of processing for statistical purposes is not personal data, but aggregate data, and that this result or the personal data are not used in support of measures or decisions regarding any particular natural person.(162) | Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για στατιστικούς σκοπούς, ο παρών κανονισμός θα πρέπει να ισχύει και για την επεξεργασία αυτή. Το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών θα πρέπει, εντός των ορίων του παρόντος κανονισμού, να καθορίζει το στατιστικό περιεχόμενο, τον έλεγχο της πρόσβασης, τις προδιαγραφές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και κατάλληλα μέτρα που διασφαλίζουν τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και που αποσκοπούν στην εξασφάλιση του στατιστικού απορρήτου. Ο όρος «στατιστικοί σκοποί» σημαίνει κάθε πράξη συλλογής και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την πραγματοποίηση στατιστικών ερευνών ή για την παραγωγή στατιστικών αποτελεσμάτων. Τα εν λόγω στατιστικά αποτελέσματα μπορούν να χρησιμοποιηθούν περαιτέρω για διάφορους σκοπούς, μεταξύ άλλων και για σκοπούς επιστημονικής έρευνας. Ο στατιστικός σκοπός συνεπάγεται ότι το αποτέλεσμα της επεξεργασίας για στατιστικούς σκοπούς δεν είναι δεδομένα προσωπικού χαρακτήρα αλλά συγκεντρωτικά δεδομένα και ότι το αποτέλεσμα αυτό ή τα δεδομένα προσωπικού χαρακτήρα δεν χρησιμοποιούνται προς υποστήριξη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο φυσικό πρόσωπο.
(163) | The confidential information which the Union and national statistical authorities collect for the production of official European and official national statistics should be protected. European statistics should be developed, produced and disseminated in accordance with the statistical principles as set out in Article 338(2) TFEU, while national statistics should also comply with Member State law. Regulation (EC) No 223/2009 of the European Parliament and of the Council (16) provides further specifications on statistical confidentiality for European statistics.(163) | Θα πρέπει να προστατεύονται οι εμπιστευτικές πληροφορίες που συλλέγουν οι ενωσιακές και εθνικές στατιστικές υπηρεσίες για την κατάρτιση επίσημων ευρωπαϊκών και εθνικών στατιστικών. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να καταρτίζονται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές που θεσπίζονται στο άρθρο 338 παράγραφος 2 ΣΛΕΕ, ενώ οι εθνικές στατιστικές θα πρέπει επίσης να συμμορφώνονται με το δίκαιο των κρατών μελών. Ο κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16) παρέχει περαιτέρω διευκρινίσεις περί του στατιστικού απορρήτου για τις ευρωπαϊκές στατιστικές.
(164) | As regards the powers of the supervisory authorities to obtain from the controller or processor access to personal data and access to their premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. This is without prejudice to existing Member State obligations to adopt rules on professional secrecy where required by Union law.(164) | Όσον αφορά τις εξουσίες των εποπτικών αρχών να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, τα κράτη μέλη μπορούν να θεσπίσουν διά νόμου, εντός των ορίων του παρόντος κανονισμού, ειδικούς κανόνες προκειμένου να διαφυλάσσονται οι υποχρεώσεις επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις απορρήτου, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου. Αυτό δεν θίγει τις ισχύουσες υποχρεώσεις του κράτους μέλους να θεσπίσει κανόνες περί επαγγελματικού απορρήτου, εφόσον αυτό απαιτείται από το δίκαιο της Ένωσης.
(165) | This Regulation respects and does not prejudice the status under existing constitutional law of churches and religious associations or communities in the Member States, as recognised in Article 17 TFEU.(165) | Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το ισχύον συνταγματικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 ΣΛΕΕ.
(166) | In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission. In particular, delegated acts should be adopted in respect of criteria and requirements for certification mechanisms, information to be presented by standardised icons and procedures for providing such icons. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level. The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and to the Council.(166) | Για την εκπλήρωση των στόχων του παρόντος κανονισμού, δηλαδή την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ΣΛΕΕ. Ειδικότερα, θα πρέπει να εκδίδονται κατ' εξουσιοδότηση πράξεις σχετικά με τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, τις πληροφορίες που παρουσιάζονται με τυποποιημένα εικονίδια και τις διαδικασίες για την παροχή τέτοιων εικονιδίων. Είναι ιδιαίτερα σημαντικό να πραγματοποιεί η Επιτροπή τις κατάλληλες διαβουλεύσεις κατά τις προπαρασκευαστικές εργασίες της, μεταξύ άλλων και σε επίπεδο εμπειρογνωμόνων. Η Επιτροπή, κατά την επεξεργασία και κατάρτιση των κατ' εξουσιοδότηση πράξεων, θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.
(167) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission when provided for by this Regulation. Those powers should be exercised in accordance with Regulation (EU) No 182/2011. In that context, the Commission should consider specific measures for micro, small and medium-sized enterprises.(167) | Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όταν προβλέπεται από τον παρόντα κανονισμό. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011. Στο πλαίσιο αυτό, η Επιτροπή θα πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.
(168) | The examination procedure should be used for the adoption of implementing acts on standard contractual clauses between controllers and processors and between processors; codes of conduct; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country, a territory or a specified sector within that third country, or an international organisation; standard protection clauses; formats and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules; mutual assistance; and arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board.(168) | Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση εκτελεστικών πράξεων σχετικά με τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, καθώς και μεταξύ εκτελούντων την επεξεργασία· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός· τυποποιημένες ρήτρες για την προστασία· μορφοτύπους και διαδικασίες για την ηλεκτρονική ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.
(169) | The Commission should adopt immediately applicable implementing acts where available evidence reveals that a third country, a territory or a specified sector within that third country, or an international organisation does not ensure an adequate level of protection, and imperative grounds of urgency so require.(169) | Η Επιτροπή θα πρέπει να εγκρίνει άμεσα εφαρμοστέες εκτελεστικές πράξεις όταν τα διαθέσιμα στοιχεία αποκαλύπτουν ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας στην εν λόγω τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει επαρκές επίπεδο προστασίας και το απαιτούν επιτακτικοί λόγοι επείγοντος.
(170) | Since the objective of this Regulation, namely to ensure an equivalent level of protection of natural persons and the free flow of personal data throughout the Union, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective.(170) | Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθεί καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, όπως προβλέπεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη του εν λόγω στόχου.
(171) | Directive 95/46/EC should be repealed by this Regulation. Processing already under way on the date of application of this Regulation should be brought into conformity with this Regulation within the period of two years after which this Regulation enters into force. Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation. Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed.(171) | Η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί με τον παρόντα κανονισμό. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία εφαρμογής του παρόντος κανονισμού θα πρέπει να εναρμονιστεί με τον παρόντα κανονισμό εντός δύο ετών από την έναρξη ισχύος του παρόντος κανονισμού. Όταν η επεξεργασία βασίζεται σε συγκατάθεση δυνάμει της οδηγίας 95/46/EΚ, δεν είναι αναγκαία νέα συγκατάθεση του υποκειμένου των δεδομένων, εάν ο τρόπος με τον οποίο έχει δοθεί η συγκατάθεση είναι σύμφωνος με τους όρους του παρόντος κανονισμού, προκειμένου ο υπεύθυνος επεξεργασίας να συνεχίσει την επεξεργασία μετά την ημερομηνία εφαρμογής του παρόντος κανονισμού. Οι αποφάσεις της Επιτροπής και οι εγκρίσεις εποπτικών αρχών που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ μέχρι την τροποποίηση, αντικατάσταση ή κατάργησή τους.
(172) | The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March 2012 (17).(172) | Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, την οποία και διατύπωσε στις 7 Μαρτίου 2012 (17).
(173) | This Regulation should apply to all matters concerning the protection of fundamental rights and freedoms vis-à-vis the processing of personal data which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC of the European Parliament and of the Council (18), including the obligations on the controller and the rights of natural persons. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, that Directive should be amended accordingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in particular in order to ensure consistency with this Regulation,(173) | Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18), περιλαμβανομένων των υποχρεώσεων του υπευθύνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Για την αποσαφήνιση της σχέσης μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η εν λόγω οδηγία θα πρέπει να τροποποιηθεί ανάλογα. Μόλις εκδοθεί ο παρών κανονισμός, θα πρέπει να επανεξεταστεί η οδηγία 2002/58/EΚ, ιδίως για να διασφαλιστεί η συνοχή της με τον παρόντα κανονισμό,
HAVE ADOPTED THIS REGULATION:ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
CHAPTER IΚΕΦΑΛΑΙΟ I
General provisionsΓενικές διατάξεις
Article 1Άρθρο 1
Subject-matter and objectivesΑντικείμενο και στόχοι
1.   This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data.1.   Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.
2.   This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.2.   Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.
3.   The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.3.   Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Article 2Άρθρο 2
Material scopeΟυσιαστικό πεδίο εφαρμογής
1.   This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.1.   Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2.   This Regulation does not apply to the processing of personal data:2.   Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(a) | in the course of an activity which falls outside the scope of Union law;α) | στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
(b) | by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;β) | από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,
(c) | by a natural person in the course of a purely personal or household activity;γ) | από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
(d) | by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.δ) | από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
3.   For the processing of personal data by the Union institutions, bodies, offices and agencies, Regulation (EC) No 45/2001 applies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data shall be adapted to the principles and rules of this Regulation in accordance with Article 98.3.   Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.
4.   This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive.4.   Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.
Article 3Άρθρο 3
Territorial scopeΕδαφικό πεδίο εφαρμογής
1.   This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.1.   Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.
2.   This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:2.   Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:
(a) | the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; orα) | την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
(b) | the monitoring of their behaviour as far as their behaviour takes place within the Union.β) | την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
3.   This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.3.   Ο παρών κανονισμός εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.
Article 4Άρθρο 4
DefinitionsΟρισμοί
For the purposes of this Regulation:Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
(1) | ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;1) | «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
(2) | ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;2) | «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
(3) | ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;3) | «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
(4) | ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;4) | «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
(5) | ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;5) | «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,
(6) | ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;6) | «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
(7) | ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;7) | «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
(8) | ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;8) | «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
(9) | ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;9) | «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
(10) | ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;10) | «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
(11) | ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;11) | «συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
(12) | ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;12) | «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,
(13) | ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;13) | «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,
(14) | ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;14) | «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,
(15) | ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;15) | «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,
(16) | ‘main establishment’ means: | (a) | as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment; | (b) | as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;16) | «κύρια εγκατάσταση»: | α) | όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές, | β) | όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,
(17) | ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;17) | «εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
(18) | ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;18) | «επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,
(19) | ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;19) | «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,
(20) | ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;20) | «δεσμευτικοί εταιρικοί κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,
(21) | ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;21) | «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,
(22) | ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: | (a) | the controller or processor is established on the territory of the Member State of that supervisory authority; | (b) | data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or | (c) | a complaint has been lodged with that supervisory authority;22) | «ενδιαφερόμενη εποπτική αρχή»: εποπτική αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι: | α) | ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής, | β) | τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή | γ) | έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή,
(23) | ‘cross-border processing’ means either: | (a) | processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or | (b) | processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.23) | «διασυνοριακή επεξεργασία»: | α) | η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή | β) | η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,
(24) | ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;24) | «σχετική και αιτιολογημένη ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,
(25) | ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council (19);25) | «υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19),
(26) | ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.26) | «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.
CHAPTER IIΚΕΦΑΛΑΙΟ II
PrinciplesΑρχές
Article 5Άρθρο 5
Principles relating to processing of personal dataΑρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
1.   Personal data shall be:1.   Τα δεδομένα προσωπικού χαρακτήρα:
(a) | processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);α) | υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
(b) | collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);β) | συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
(c) | adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);γ) | είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
(d) | accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);δ) | είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
(e) | kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);ε) | διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
(f) | processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).στ) | υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
2.   The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).2.   Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Article 6Άρθρο 6
Lawfulness of processingΝομιμότητα της επεξεργασίας
1.   Processing shall be lawful only if and to the extent that at least one of the following applies:1.   Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
(a) | the data subject has given consent to the processing of his or her personal data for one or more specific purposes;α) | το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
(b) | processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;β) | η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
(c) | processing is necessary for compliance with a legal obligation to which the controller is subject;γ) | η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
(d) | processing is necessary in order to protect the vital interests of the data subject or of another natural person;δ) | η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
(e) | processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;ε) | η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
(f) | processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.στ) | η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
2.   Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.2.   Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.
3.   The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:3.   Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:
(a) | Union law; orα) | το δίκαιο της Ένωσης, ή
(b) | Member State law to which the controller is subject.β) | το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.
4.   Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject's consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:4.   Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:
(a) | any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;α) | τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,
(b) | the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;β) | το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,
(c) | the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;γ) | τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,
(d) | the possible consequences of the intended further processing for data subjects;δ) | τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
(e) | the existence of appropriate safeguards, which may include encryption or pseudonymisation.ε) | την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.
Article 7Άρθρο 7
Conditions for consentΠροϋποθέσεις για συγκατάθεση
1.   Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.1.   Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.
2.   If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.2.   Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.
3.   The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.3.   Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.
4.   When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.4.   Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.
Article 8Άρθρο 8
Conditions applicable to child's consent in relation to information society servicesΠροϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών
1.   Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.1.   Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.
2.   The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.2.   Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
3.   Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.3.   Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.
Article 9Άρθρο 9
Processing of special categories of personal dataΕπεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
1.   Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.1.   Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
2.   Paragraph 1 shall not apply if one of the following applies:2.   Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:
(a) | the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;α) | το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
(b) | processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;β) | η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
(c) | processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;γ) | η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
(d) | processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;δ) | η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,
(e) | processing relates to personal data which are manifestly made public by the data subject;ε) | η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,
(f) | processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;στ) | η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
(g) | processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;ζ) | η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
(h) | processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;η) | η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
(i) | processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;θ) | η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή
(j) | processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.ι) | η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
3.   Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.3.   Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.
4.   Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.4.   Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.
Article 10Άρθρο 10
Processing of personal data relating to criminal convictions and offencesΕπεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα
Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 παράγραφος 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.
Article 11Άρθρο 11
Processing which does not require identificationΕπεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας
1.   If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.1.   Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για το σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.
2.   Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.2.   Όταν, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. Στις περιπτώσεις αυτές, τα άρθρα 15 ως 20 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.
CHAPTER IIIΚΕΦΑΛΑΙΟ III
Rights of the data subjectΔικαιώματά του υποκειμένου των δεδομένων
Section 1Τμήμα 1
Transparency and modalitiesΔιαφάνεια και ρυθμίσεις
Article 12Άρθρο 12
Transparent information, communication and modalities for the exercise of the rights of the data subjectΔιαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων
1.   The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.1.   Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.
2.   The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.2.   Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22. Στις περιπτώσεις που προβλέπονται στο άρθρο 11 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 έως 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.
3.   The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.3.   Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.
4.   If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.4.   Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής.
5.   Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:5.   Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:
(a) | charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; orα) | να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή
(b) | refuse to act on the request.β) | να αρνηθεί να δώσει συνέχεια στο αίτημα.
The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.
6.   Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.6.   Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
7.   The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.7.   Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.
8.   The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.8.   Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.
Section 2Τμήμα 2
Information and access to personal dataΕνημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα
Article 13Άρθρο 13
Information to be provided where personal data are collected from the data subjectΠληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων
1.   Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:1.   Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:
(a) | the identity and the contact details of the controller and, where applicable, of the controller's representative;α) | την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,
(b) | the contact details of the data protection officer, where applicable;β) | τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση,
(c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;γ) | τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
(d) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;δ) | εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
(e) | the recipients or categories of recipients of the personal data, if any;ε) | τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,
(f) | where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.στ) | κατά περίπτωση, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.
2.   In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:2.   Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:
(a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;α) | το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
(b) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability;β) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
(c) | where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;γ) | όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
(d) | the right to lodge a complaint with a supervisory authority;δ) | το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
(e) | whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data;ε) | κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,
(f) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.στ) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
3.   Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.3.   Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
4.   Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.4.   Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες,
Article 14Άρθρο 14
Information to be provided where personal data have not been obtained from the data subjectΠληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων
1.   Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information:1.   Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:
(a) | the identity and the contact details of the controller and, where applicable, of the controller's representative;α) | την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,
(b) | the contact details of the data protection officer, where applicable;β) | τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση,
(c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;γ) | τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
(d) | the categories of personal data concerned;δ) | τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
(e) | the recipients or categories of recipients of the personal data, if any;ε) | τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως,
(f) | where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available.στ) | κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.
2.   In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject:2.   Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:
(a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;α) | το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
(b) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;β) | εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
(c) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability;γ) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
(d) | where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;δ) | όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
(e) | the right to lodge a complaint with a supervisory authority;ε) | το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
(f) | from which source the personal data originate, and if applicable, whether it came from publicly accessible sources;στ) | την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,
(g) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.ζ) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
3.   The controller shall provide the information referred to in paragraphs 1 and 2:3.   Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:
(a) | within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed;α) | εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,
(b) | if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; orβ) | εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή
(c) | if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.γ) | εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.
4.   Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.4.   Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
5.   Paragraphs 1 to 4 shall not apply where and insofar as:5.   Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:
(a) | the data subject already has the information;α) | το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
(b) | the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject's rights and freedoms and legitimate interests, including making the information publicly available;β) | η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 παράγραφος 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό,
(c) | obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject's legitimate interests; orγ) | η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
(d) | where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy.δ) | εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.
Article 15Άρθρο 15
Right of access by the data subjectΔικαίωμα πρόσβασης του υποκειμένου των δεδομένων
1.   The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
(a) | the purposes of the processing;α) | τους σκοπούς της επεξεργασίας,
(b) | the categories of personal data concerned;β) | τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
(c) | the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;γ) | τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
(d) | where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;δ) | εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
(e) | the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;ε) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,
(f) | the right to lodge a complaint with a supervisory authority;στ) | το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
(g) | where the personal data are not collected from the data subject, any available information as to their source;ζ) | όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
(h) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.η) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
2.   Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer.2.   Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.
3.   The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.3.   Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.
4.   The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others.4.   Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
Section 3Τμήμα 3
Rectification and erasureΔιόρθωση και διαγραφή
Article 16Άρθρο 16
Right to rectificationΔικαίωμα διόρθωσης
The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.
Article 17Άρθρο 17
Right to erasure (‘right to be forgotten’)Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
1.   The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
(a) | the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;α) | τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,
(b) | the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;β) | το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
(c) | the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);γ) | το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,
(d) | the personal data have been unlawfully processed;δ) | τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
(e) | the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;ε) | τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
(f) | the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).στ) | τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.
2.   Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.2.   Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
3.   Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:3.   Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:
(a) | for exercising the right of freedom of expression and information;α) | για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,
(b) | for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;β) | για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,
(c) | for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);γ) | για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 9 παράγραφος 3,
(d) | for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; orδ) | για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή
(e) | for the establishment, exercise or defence of legal claims.ε) | για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
Article 18Άρθρο 18
Right to restriction of processingΔικαίωμα περιορισμού της επεξεργασίας
1.   The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:1.   Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
(a) | the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;α) | η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
(b) | the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;β) | η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ' αυτής, τον περιορισμό της χρήσης τους,
(c) | the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;γ) | ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
(d) | the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.δ) | το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
2.   Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject's consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.2.   Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
3.   A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted.3.   Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.
Article 19Άρθρο 19
Notification obligation regarding rectification or erasure of personal data or restriction of processingΥποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.
Article 20Άρθρο 20
Right to data portabilityΔικαίωμα στη φορητότητα των δεδομένων
1.   The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:
(a) | the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); andα) | η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) και
(b) | the processing is carried out by automated means.β) | η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.
2.   In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.2.   Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
3.   The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.3.   Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
4.   The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.4.   Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
Section 4Τμήμα 4
Right to object and automated individual decision-makingΔικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων
Article 21Άρθρο 21
Right to objectΔικαίωμα εναντίωσης
1.   The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.1.   Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
2.   Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.2.   Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.
3.   Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes.3.   Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.
4.   At the latest at the time of the first communication with the data subject, the right referred to in paragraphs 1 and 2 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information.4.   Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
5.   In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the data subject may exercise his or her right to object by automated means using technical specifications.5.   Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.
6.   Where personal data are processed for scientific or historical research purposes or statistical purposes pursuant to Article 89(1), the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest.6.   Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.
Article 22Άρθρο 22
Automated individual decision-making, including profilingΑυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ
1.   The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.
2.   Paragraph 1 shall not apply if the decision:2.   Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:
(a) | is necessary for entering into, or performance of, a contract between the data subject and a data controller;α) | είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,
(b) | is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; orβ) | επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
(c) | is based on the data subject's explicit consent.γ) | βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.
3.   In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.3.   Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.
4.   Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place.4.   Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
Section 5Τμήμα 5
RestrictionsΠεριορισμοί
Article 23Άρθρο 23
RestrictionsΠεριορισμοί
1.   Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard:1.   Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
(a) | national security;α) | της ασφάλειας του κράτους,
(b) | defence;β) | της εθνικής άμυνας,
(c) | public security;γ) | της δημόσιας ασφάλειας,
(d) | the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;δ) | της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
(e) | other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;ε) | άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,
(f) | the protection of judicial independence and judicial proceedings;στ) | της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,
(g) | the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;ζ) | της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,
(h) | a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g);η) | της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),
(i) | the protection of the data subject or the rights and freedoms of others;θ) | της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
(j) | the enforcement of civil law claims.ι) | της εκτέλεσης αστικών αξιώσεων.
2.   In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to:2.   Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:
(a) | the purposes of the processing or categories of processing;α) | τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
(b) | the categories of personal data;β) | τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
(c) | the scope of the restrictions introduced;γ) | το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
(d) | the safeguards to prevent abuse or unlawful access or transfer;δ) | τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
(e) | the specification of the controller or categories of controllers;ε) | την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,
(f) | the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing;στ) | τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
(g) | the risks to the rights and freedoms of data subjects; andζ) | τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
(h) | the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction.η) | το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.
CHAPTER IVΚΕΦΑΛΑΙΟ IV
Controller and processorΥπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Section 1Τμήμα 1
General obligationsΓενικές υποχρεώσεις
Article 24Άρθρο 24
Responsibility of the controllerΕυθύνη του υπευθύνου επεξεργασίας
1.   Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.1.   Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
2.   Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.2.   Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.
3.   Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.3.   Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.
Article 25Άρθρο 25
Data protection by design and by defaultΠροστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού
1.   Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.1.   Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2.   The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.2.   Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
3.   An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.3.   Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.
Article 26Άρθρο 26
Joint controllersΑπό κοινού υπεύθυνοι επεξεργασίας
1.   Where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 13 and 14, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement may designate a contact point for data subjects.1.   Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.
2.   The arrangement referred to in paragraph 1 shall duly reflect the respective roles and relationships of the joint controllers vis-à-vis the data subjects. The essence of the arrangement shall be made available to the data subject.2.   Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.
3.   Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers.3.   Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.
Article 27Άρθρο 27
Representatives of controllers or processors not established in the UnionΕκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση
1.   Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.1.   Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει γραπτώς εκπρόσωπο στην Ένωση.
2.   The obligation laid down in paragraph 1 of this Article shall not apply to:2.   Η υποχρέωση που καθορίζεται στην παράγραφος 1 του παρόντος άρθρου δεν ισχύει για:
(a) | processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; orα) | επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, ή
(b) | a public authority or body.β) | δημόσια αρχή ή φορέα.
3.   The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.3.   Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.
4.   The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.4.   Ο εκπρόσωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι εποπτικές αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.
5.   The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.5.   Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Article 28Άρθρο 28
ProcessorΕκτελών την επεξεργασία
1.   Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.1.   Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2.   The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.2.   Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3.   Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:3.   Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
(a) | processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;α) | επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
(b) | ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;β) | διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
(c) | takes all measures required pursuant to Article 32;γ) | λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,
(d) | respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;δ) | τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
(e) | taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III;ε) | λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,
(f) | assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor;στ) | συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,
(g) | at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;ζ) | κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
(h) | makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.η) | θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.
With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.
4.   Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations.4.   Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.
5.   Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.5.   Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.
6.   Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.6.   Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.
7.   The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).7.   Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
8.   A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.8.   Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.
9.   The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.9.   Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
10.   Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.10.   Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
Article 29Άρθρο 29
Processing under the authority of the controller or processorΕπεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία
The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.
Article 30Άρθρο 30
Records of processing activitiesΑρχεία των δραστηριοτήτων επεξεργασίας
1.   Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:1.   Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
(a) | the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer;α) | το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
(b) | the purposes of the processing;β) | τους σκοπούς της επεξεργασίας,
(c) | a description of the categories of data subjects and of the categories of personal data;γ) | περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
(d) | the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations;δ) | τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
(e) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;ε) | όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
(f) | where possible, the envisaged time limits for erasure of the different categories of data;στ) | όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,
(g) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1).ζ) | όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
2.   Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing:2.   Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής:
(a) | the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer;α) | το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,
(b) | the categories of processing carried out on behalf of each controller;β) | τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,
(c) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;γ) | όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
(d) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1).δ) | όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
3.   The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.3.   Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
4.   The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request.4.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.
5.   The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.5.   Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Article 31Άρθρο 31
Cooperation with the supervisory authorityΣυνεργασία με την εποπτική αρχή
The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks.Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.
Section 2Τμήμα 2
Security of personal dataΑσφάλεια δεδομένων προσωπικού χαρακτήρα
Article 32Άρθρο 32
Security of processingΑσφάλεια επεξεργασίας
1.   Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:1.   Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
(a) | the pseudonymisation and encryption of personal data;α) | της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,
(b) | the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;β) | της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
(c) | the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;γ) | της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
(d) | a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.δ) | διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
2.   In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.2.   Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
3.   Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.3.   Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.
4.   The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.4.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.
Article 33Άρθρο 33
Notification of a personal data breach to the supervisory authorityΓνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
1.   In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.1.   Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
2.   The processor shall notify the controller without undue delay after becoming aware of a personal data breach.2.   Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3.   The notification referred to in paragraph 1 shall at least:3.   Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ' ελάχιστο:
(a) | describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;α) | περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,
(b) | communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;β) | ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,
(c) | describe the likely consequences of the personal data breach;γ) | περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
(d) | describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.δ) | περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
4.   Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.4.   Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
5.   The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.5.   Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
Article 34Άρθρο 34
Communication of a personal data breach to the data subjectΑνακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1.   When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.1.   Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2.   The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3).2.   Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ).
3.   The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:3.   Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
(a) | the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;α) | ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,
(b) | the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;β) | ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
(c) | it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.γ) | προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ' αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.
4.   If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.4.   Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.
Section 3Τμήμα 3
Data protection impact assessment and prior consultationΕκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση
Article 35Άρθρο 35
Data protection impact assessmentΕκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
1.   Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.1.   Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
2.   The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.2.   Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
3.   A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:3.   Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:
(a) | a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;α) | συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
(b) | processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; orβ) | μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή
(c) | a systematic monitoring of a publicly accessible area on a large scale.γ) | συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
4.   The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.4.   Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.
5.   The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.5.   Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.
6.   Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.6.   Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.
7.   The assessment shall contain at least:7.   Η εκτίμηση περιέχει τουλάχιστον:
(a) | a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;α) | συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
(b) | an assessment of the necessity and proportionality of the processing operations in relation to the purposes;β) | εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,
(c) | an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; andγ) | εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και
(d) | the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.δ) | τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
8.   Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.8.   Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
9.   Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.9.   Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.
10.   Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities.10.   Όταν η επεξεργασία δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.
11.   Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.11.   Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.
Article 36Άρθρο 36
Prior consultationΠροηγούμενη διαβούλευση
1.   The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.1.   Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.
2.   Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.2.   Όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, και, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.
3.   When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:3.   Κατά τη διαβούλευση με την εποπτική αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική αρχή:
(a) | where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;α) | κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,
(b) | the purposes and means of the intended processing;β) | τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,
(c) | the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;γ) | τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,
(d) | where applicable, the contact details of the data protection officer;δ) | κατά περίπτωση, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων,
(e) | the data protection impact assessment provided for in Article 35; andε) | την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 35, και
(f) | any other information requested by the supervisory authority.στ) | κάθε άλλη πληροφορία που ζητεί η εποπτική αρχή.
4.   Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.4.   Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.
5.   Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.5.   Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.
Section 4Τμήμα 4
Data protection officerΥπεύθυνος προστασίας δεδομένων
Article 37Άρθρο 37
Designation of the data protection officerΟρισμός του υπευθύνου προστασίας δεδομένων
1.   The controller and the processor shall designate a data protection officer in any case where:1.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
(a) | the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;α) | η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
(b) | the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; orβ) | οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
(c) | the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.γ) | οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
2.   A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.2.   Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.
3.   Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.3.   Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.
4.   In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.4.   Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.
5.   The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.5.   Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.
6.   The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.6.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
7.   The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.7.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.
Article 38Άρθρο 38
Position of the data protection officerΘέση του υπευθύνου προστασίας δεδομένων
1.   The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.1.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
2.   The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.2.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
3.   The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.3.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
4.   Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.4.   Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.
5.   The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law.5.   Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.
6.   The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.6.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.
Article 39Άρθρο 39
Tasks of the data protection officerΚαθήκοντα του υπευθύνου προστασίας δεδομένων
1.   The data protection officer shall have at least the following tasks:1.   Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:
(a) | to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;α) | ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
(b) | to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;β) | παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
(c) | to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;γ) | παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,
(d) | to cooperate with the supervisory authority;δ) | συνεργάζεται με την εποπτική αρχή,
(e) | to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.ε) | ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
2.   The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.2.   Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Section 5Τμήμα 5
Codes of conduct and certificationΚώδικες δεοντολογίας και πιστοποίηση
Article 40Άρθρο 40
Codes of conductΚώδικες δεοντολογίας
1.   The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.1.   Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.
2.   Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:2.   Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:
(a) | fair and transparent processing;α) | τη θεμιτή και με διαφάνεια επεξεργασία,
(b) | the legitimate interests pursued by controllers in specific contexts;β) | τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας σε συγκεκριμένα πλαίσια,
(c) | the collection of personal data;γ) | τη συλλογή δεδομένων προσωπικού χαρακτήρα,
(d) | the pseudonymisation of personal data;δ) | την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα,
(e) | the information provided to the public and to data subjects;ε) | την ενημέρωση του κοινού και των υποκειμένων των δεδομένων,
(f) | the exercise of the rights of data subjects;στ) | την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων,
(g) | the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;ζ) | την ενημέρωση και την προστασία των παιδιών και τον τρόπο απόκτησης της συγκατάθεσης του ασκούντος τη γονική μέριμνα του παιδιού,
(h) | the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;η) | τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 και 25 και τα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας που αναφέρεται στο άρθρο 32,
(i) | the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;θ) | τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την ανακοίνωση των εν λόγω παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων,
(j) | the transfer of personal data to third countries or international organisations; orι) | τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, ή
(k) | out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.ια) | εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει των άρθρων 77 και 79.
3.   In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.3.   Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου και έχουν γενική ισχύ βάσει της παραγράφου 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία μη υπαγόμενους στον παρόντα κανονισμό σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο ε). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
4.   A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.4.   Ο κώδικας δεοντολογίας που αναφέρεται στην παράγράφο 2 του παρόντος άρθρου περιέχει μηχανισμούς που επιτρέπουν στον αναφερόμενο στο άρθρο 41 παράγραφος 1 φορέα να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.
5.   Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.5.   Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Η εποπτική αρχή γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.
6.   Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.6.   Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή καταχωρίζει και δημοσιεύει τον κώδικα.
7.   Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.7.   Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, πριν από την έγκριση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης, στη διαδικασία που προβλέπεται στο άρθρο 63 στο Συμβούλιο Προστασίας Δεδομένων, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως προς την παροχή επαρκών εγγυήσεων από αυτόν.
8.   Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.8.   Σε περίπτωση που η γνωμοδότηση που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το κώδικα, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.
9.   The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).9.   Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις που της υποβλήθηκαν δυνάμει της παραγράφου 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
10.   The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.10.   Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.
11.   The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.11.   Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.
Article 41Άρθρο 41
Monitoring of approved codes of conductΠαρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας
1.   Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.1.   Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.
2.   A body as referred to in paragraph 1 may be accredited to monitor compliance with a code of conduct where that body has:2.   Ο φορέας όπως αναφέρεται στην παράγραφο 1 μπορεί να είναι διαπιστευμένος για την παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας, εφόσον ο εν λόγω φορέας:
(a) | demonstrated its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority;α) | έχει αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη του σε σχέση με το αντικείμενο του κώδικα κατά την κρίση της αρμόδιας εποπτικής αρχής,
(b) | established procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation;β) | έχει καθιερώσει διαδικασίες που του επιτρέπουν την εκτίμηση της επιλεξιμότητας των σχετικών υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία προκειμένου να εφαρμόσουν τον κώδικα, την παρακολούθηση της συμμόρφωσής τους με τις διατάξεις του και την περιοδική επανεξέταση της λειτουργίας του,
(c) | established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; andγ) | έχει θεσπίσει διαδικασίες και δομές για την αντιμετώπιση καταγγελιών περί παραβάσεων του κώδικα ή περί του τρόπου με τον οποίον ο κώδικας έχει εφαρμοστεί ή εφαρμόζεται από έναν υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και
(d) | demonstrated to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests.δ) | αποδεικνύει, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις του δεν συνεπάγονται σύγκρουση συμφερόντων.
3.   The competent supervisory authority shall submit the draft criteria for accreditation of a body as referred to in paragraph 1 of this Article to the Board pursuant to the consistency mechanism referred to in Article 63.3.   Η αρμόδια εποπτική αρχή υποβάλλει τα σχέδια κριτηρίων πιστοποίησης του φορέα όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου στο Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.
4.   Without prejudice to the tasks and powers of the competent supervisory authority and the provisions of Chapter VIII, a body as referred to in paragraph 1 of this Article shall, subject to appropriate safeguards, take appropriate action in cases of infringement of the code by a controller or processor, including suspension or exclusion of the controller or processor concerned from the code. It shall inform the competent supervisory authority of such actions and the reasons for taking them.4.   Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής και των διατάξεων του κεφαλαίου VIII, ο φορέας όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου αναλαμβάνει, με την επιφύλαξη κατάλληλων εγγυήσεων, κατάλληλη δράση σε περίπτωση παράβασης του κώδικα από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, περιλαμβανομένης της αναστολής άσκησης καθηκόντων ή της εξαίρεσης του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από τον κώδικα. Ενημερώνει την αρμόδια εποπτική αρχή για τις δράσεις αυτές και για τους λόγους ανάληψής τους.
5.   The competent supervisory authority shall revoke the accreditation of a body as referred to in paragraph 1 if the conditions for accreditation are not, or are no longer, met or where actions taken by the body infringe this Regulation.5.   Η αρμόδια εποπτική αρχή ανακαλεί την πιστοποίηση φορέα όπως αναφέρεται στην παράγραφο 1, εάν οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή οι ενέργειες που αναλήφθηκαν από τον φορέα παραβαίνουν τον παρόντα κανονισμό.
6.   This Article shall not apply to processing carried out by public authorities and bodies.6.   Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς.
Article 42Άρθρο 42
CertificationΠιστοποίηση
1.   The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.1.   Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.
2.   In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.2.   Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
3.   The certification shall be voluntary and available via a process that is transparent.3.   Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.
4.   A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.4.   Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.
5.   A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.5.   Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.
6.   The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.6   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 ή, ανάλογα με την περίπτωση, στην αρμόδια εποπτική αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.
7.   Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant requirements continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the requirements for the certification are not or are no longer met.7.   Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.
8.   The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.8.   Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.
Article 43Άρθρο 43
Certification bodiesΦορείς πιστοποίησης
1.   Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, certification bodies which have an appropriate level of expertise in relation to data protection shall, after informing the supervisory authority in order to allow it to exercise its powers pursuant to point (h) of Article 58(2) where necessary, issue and renew certification. Member States shall ensure that those certification bodies are accredited by one or both of the following:1.   Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 παράγραφος 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:
(a) | the supervisory authority which is competent pursuant to Article 55 or 56;α) | την εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 ή 56,
(b) | the national accreditation body named in accordance with Regulation (EC) No 765/2008 of the European Parliament and of the Council (20) in accordance with EN-ISO/IEC 17065/2012 and with the additional requirements established by the supervisory authority which is competent pursuant to Article 55 or 56.β) | τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56.
2.   Certification bodies referred to in paragraph 1 shall be accredited in accordance with that paragraph only where they have:2.   Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο, μόνο εφόσον:
(a) | demonstrated their independence and expertise in relation to the subject-matter of the certification to the satisfaction of the competent supervisory authority;α) | έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,
(b) | undertaken to respect the criteria referred to in Article 42(5) and approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63;β) | έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφος 5 και τα οποία έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,
(c) | established procedures for the issuing, periodic review and withdrawal of data protection certification, seals and marks;γ) | έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,
(d) | established procedures and structures to handle complaints about infringements of the certification or the manner in which the certification has been, or is being, implemented by the controller or processor, and to make those procedures and structures transparent to data subjects and the public; andδ) | έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και
(e) | demonstrated, to the satisfaction of the competent supervisory authority, that their tasks and duties do not result in a conflict of interests.ε) | αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.
3.   The accreditation of certification bodies as referred to in paragraphs 1 and 2 of this Article shall take place on the basis of criteria approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63. In the case of accreditation pursuant to point (b) of paragraph 1 of this Article, those requirements shall complement those envisaged in Regulation (EC) No 765/2008 and the technical rules that describe the methods and procedures of the certification bodies.3.   Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (ΕΚ) αριθ. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.
4.   The certification bodies referred to in paragraph 1 shall be responsible for the proper assessment leading to the certification or the withdrawal of such certification without prejudice to the responsibility of the controller or processor for compliance with this Regulation. The accreditation shall be issued for a maximum period of five years and may be renewed on the same conditions provided that the certification body meets the requirements set out in this Article.4.   Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.
5.   The certification bodies referred to in paragraph 1 shall provide the competent supervisory authorities with the reasons for granting or withdrawing the requested certification.5.   Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης.
6.   The requirements referred to in paragraph 3 of this Article and the criteria referred to in Article 42(5) shall be made public by the supervisory authority in an easily accessible form. The supervisory authorities shall also transmit those requirements and criteria to the Board. The Board shall collate all certification mechanisms and data protection seals in a register and shall make them publicly available by any appropriate means.6.   Οι απαιτήσεις της παραγράφου 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.
7.   Without prejudice to Chapter VIII, the competent supervisory authority or the national accreditation body shall revoke an accreditation of a certification body pursuant to paragraph 1 of this Article where the conditions for the accreditation are not, or are no longer, met or where actions taken by a certification body infringe this Regulation.7.   Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.
8.   The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of specifying the requirements to be taken into account for the data protection certification mechanisms referred to in Article 42(1).8.   Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 1.
9.   The Commission may adopt implementing acts laying down technical standards for certification mechanisms and data protection seals and marks, and mechanisms to promote and recognise those certification mechanisms, seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).9.   Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
CHAPTER VΚΕΦΑΛΑΙΟ V
Transfers of personal data to third countries or international organisationsΔιαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς
Article 44Άρθρο 44
General principle for transfersΓενικές αρχές για διαβιβάσεις
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.
Article 45Άρθρο 45
Transfers on the basis of an adequacy decisionΔιαβιβάσεις βάσει απόφαση επάρκειας
1.   A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation.1.   Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.
2.   When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements:2.   Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:
(a) | the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred;α) | το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,
(b) | the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; andβ) | την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και
(c) | the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data.γ) | τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.
3.   The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).3.   Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.
4.   The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC.4.   Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.
5.   The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).5.   Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3).Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 παράγραφος 3.
6.   The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5.6.   Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.
7.   A decision pursuant to paragraph 5 of this Article is without prejudice to transfers of personal data to the third country, a territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 46 to 49.7.   Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.
8.   The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured.8.   Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.
9.   Decisions adopted by the Commission on the basis of Article 25(6) of Directive 95/46/EC shall remain in force until amended, replaced or repealed by a Commission Decision adopted in accordance with paragraph 3 or 5 of this Article.9.   Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.
Article 46Άρθρο 46
Transfers subject to appropriate safeguardsΔιαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις
1.   In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.1.   Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.
2.   The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:2.   Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:
(a) | a legally binding and enforceable instrument between public authorities or bodies;α) | ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,
(b) | binding corporate rules in accordance with Article 47;β) | δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,
(c) | standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);γ) | τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2,
(d) | standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);δ) | τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2,
(e) | an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; orε) | εγκεκριμένου κώδικα δεοντολογίας, σύμφωνα με το άρθρο 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ή
(f) | an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights.στ) | εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
3.   Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:3.   Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:
(a) | contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; orα) | συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή
(b) | provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.β) | διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.
4.   The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.4.   Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.
5.   Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.5.   Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.
Article 47Άρθρο 47
Binding corporate rulesΔεσμευτικοί εταιρικοί κανόνες
1.   The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:1.   Η αρμόδια εποπτική αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:
(a) | are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;α) | είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,
(b) | expressly confer enforceable rights on data subjects with regard to the processing of their personal data; andβ) | απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και
(c) | fulfil the requirements laid down in paragraph 2.γ) | πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.
2.   The binding corporate rules referred to in paragraph 1 shall specify at least:2.   Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:
(a) | the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;α) | τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,
(b) | the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;β) | τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,
(c) | their legally binding nature, both internally and externally;γ) | τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,
(d) | the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;δ) | την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,
(e) | the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;ε) | τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,
(f) | the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;στ) | την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,
(g) | how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14;ζ) | τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), ε) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 και 14,
(h) | the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;η) | τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακολούθηση της κατάρτισης και του χειρισμού των καταγγελιών,
(i) | the complaint procedures;θ) | τις διαδικασίες καταγγελίας,
(j) | the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;ι) | τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική αρχή,
(k) | the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;ια) | τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
(l) | the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);ιβ) | τον μηχανισμό συνεργασίας με την εποπτική αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),
(m) | the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; andιγ) | τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και
(n) | the appropriate data protection training to personnel having permanent or regular access to personal data.ιδ) | την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.
3.   The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).3.   Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
Article 48Άρθρο 48
Transfers or disclosures not authorised by Union lawΔιαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter.Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή καθ' οιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.
Article 49Άρθρο 49
Derogations for specific situationsΠαρεκκλίσεις για ειδικές καταστάσεις
1.   In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:1.   Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:
(a) | the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;α) | το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
(b) | the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request;β) | η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
(c) | the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;γ) | η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
(d) | the transfer is necessary for important reasons of public interest;δ) | η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
(e) | the transfer is necessary for the establishment, exercise or defence of legal claims;ε) | η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
(f) | the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;στ) | η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,
(g) | the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.ζ) | η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.
Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 ή 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 και 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.
2.   A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients.2.   Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.
3.   Points (a), (b) and (c) of the first subparagraph of paragraph 1 and the second subparagraph thereof shall not apply to activities carried out by public authorities in the exercise of their public powers.3.   Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), β) και γ) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστηριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.
4.   The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject.4.   Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
5.   In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation. Member States shall notify such provisions to the Commission.5.   Ελλείψει απόφασης επάρκειας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.
6.   The controller or processor shall document the assessment as well as the suitable safeguards referred to in the second subparagraph of paragraph 1 of this Article in the records referred to in Article 30.6.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.
Article 50Άρθρο 50
International cooperation for the protection of personal dataΔιεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα
In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to:Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:
(a) | develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data;α) | την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
(b) | provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms;β) | την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,
(c) | engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data;γ) | τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
(d) | promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries.δ) | την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.
CHAPTER VIΚΕΦΑΛΑΙΟ VI
Independent supervisory authoritiesΑνεξάρτητες εποπτικές αρχές
Section 1Τμήμα 1
Independent statusΑνεξάρτητο καθεστώς
Article 51Άρθρο 51
Supervisory authorityΕποπτική αρχή
1.   Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’).1.   Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»).
2.   Each supervisory authority shall contribute to the consistent application of this Regulation throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and the Commission in accordance with Chapter VII.2.   Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.
3.   Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which is to represent those authorities in the Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism referred to in Article 63.3.   Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή που θα εκπροσωπεί τις εν λόγω αρχές στο Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των υπόλοιπων αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 63.
4.   Each Member State shall notify to the Commission the provisions of its law which it adopts pursuant to this Chapter, by 25 May 2018 and, without delay, any subsequent amendment affecting them.4.   Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.
Article 52Άρθρο 52
IndependenceΑνεξαρτησία
1.   Each supervisory authority shall act with complete independence in performing its tasks and exercising its powers in accordance with this Regulation.1.   Κάθε εποπτική αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.
2.   The member or members of each supervisory authority shall, in the performance of their tasks and exercise of their powers in accordance with this Regulation, remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody.2.   Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.
3.   Member or members of each supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not.3.   Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.
4.   Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the Board.4.   Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.
5.   Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned.5.   Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.
6.   Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget.6.   Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.
Article 53Άρθρο 53
General conditions for the members of the supervisory authorityΓενικές προϋποθέσεις για τα μέλη της εποπτικής αρχής
1.   Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by:1.   Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους πρέπει να διορίζεται με διαφανή διαδικασία από:
— | their parliament;— | το κοινοβούλιό τους,
— | their government;— | την κυβέρνησή τους,
— | their head of State; or— | τον αρχηγό κράτους τους ή
— | an independent body entrusted with the appointment under Member State law.— | ανεξάρτητο φορέα στον οποίο έχει ανατεθεί, σύμφωνα με το δίκαιο του κράτους μέλους, ο διορισμός.
2.   Each member shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform its duties and exercise its powers.2.   Κάθε μέλος διαθέτει, ιδίως στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα, τα προσόντα, την εμπειρία και τις δεξιότητες που απαιτούνται για την εκτέλεση των καθηκόντων του και την άσκηση των αρμοδιοτήτων του.
3.   The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement, in accordance with the law of the Member State concerned.3.   Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με το δίκαιο του οικείου κράτους μέλους.
4.   A member shall be dismissed only in cases of serious misconduct or if the member no longer fulfils the conditions required for the performance of the duties.4.   Μέλος μπορεί να απολυθεί μόνο σε περίπτωση σοβαρού παραπτώματος ή εάν παύει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.
Article 54Άρθρο 54
Rules on the establishment of the supervisory authorityΚανόνες για τη σύσταση της εποπτικής αρχής
1.   Each Member State shall provide by law for all of the following:1.   Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα:
(a) | the establishment of each supervisory authority;α) | τη σύσταση κάθε εποπτικής αρχής,
(b) | the qualifications and eligibility conditions required to be appointed as member of each supervisory authority;β) | τα προσόντα και τις προϋποθέσεις επιλεξιμότητας που απαιτούνται για τον διορισμό μέλους κάθε εποπτικής αρχής,
(c) | the rules and procedures for the appointment of the member or members of each supervisory authority;γ) | τους κανόνες και τις διαδικασίες για τον διορισμό του μέλους ή των μελών κάθε εποπτικής αρχής,
(d) | the duration of the term of the member or members of each supervisory authority of no less than four years, except for the first appointment after 24 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure;δ) | τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 24 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών,
(e) | whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment;ε) | κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό,
(f) | the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment.στ) | τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών ασυμβίβαστων προς τις υποχρεώσεις αυτές, τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, και τους κανόνες που διέπουν την παύση της απασχόλησης.
2.   The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation.2.   Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, όσον αφορά τις εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των αρμοδιοτήτων τους. Κατά τη διάρκεια της θητείας τους, η εν λόγω υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού.
Section 2Τμήμα 2
Competence, tasks and powersΑρμοδιότητα, καθήκοντα και εξουσίες
Article 55Άρθρο 55
CompetenceΑρμοδιότητα
1.   Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State.1.   Κάθε εποπτική αρχή είναι αρμόδια να εκτελε