21.11.2018 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 295/39 |
ΚΑΝΟΝΙΣΜΌΣ (ΕΕ) 2018/1725 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ
της 23ης Οκτωβρίου 2018
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 16 παράγραφος 2,
Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),
Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),
Εκτιμώντας τα ακόλουθα:
(1) |
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα αυτό διασφαλίζεται επίσης από το άρθρο 8 της ευρωπαϊκής σύμβασης για την προάσπιση των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών. |
(2) |
Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) παρέχει νομικά εκτελεστά δικαιώματα στα φυσικά πρόσωπα, καθορίζει τις υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων εντός των οργάνων και οργανισμών της Ένωσης, και συστήνει ανεξάρτητη εποπτική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, με αρμοδιότητα την παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Δεν εφαρμόζεται, ωστόσο, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριότητας οργάνων και οργανισμών της Ένωσης η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης. |
(3) |
Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) και η οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) εκδόθηκαν στις 27 Απριλίου 2016. Ο κανονισμός θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, ενώ η οδηγία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. |
(4) |
Ο κανονισμός (ΕΕ) 2016/679 προβλέπει τις προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001 ώστε να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση και να καταστεί δυνατή η εφαρμογή του παράλληλα με τον κανονισμό (ΕΕ) 2016/679. |
(5) |
Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζει ο δημόσιος τομέας των κρατών μελών προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, καθώς και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης. Οσάκις οι διατάξεις του παρόντος κανονισμού ακολουθούν τις ίδιες αρχές με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις των εν λόγω δύο πράξεων θα πρέπει, με βάση τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»), να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία του παρόντος κανονισμού θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/679. |
(6) |
Θα πρέπει να προστατεύονται τα πρόσωπα των οποίων δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από όργανα και οργανισμούς της Ένωσης σε οποιοδήποτε πλαίσιο, παραδείγματος χάριν, διότι τα πρόσωπα αυτά απασχολούνται από αυτά τα όργανα ή τους οργανισμούς. Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου. |
(7) |
Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. |
(8) |
Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. Θα πρέπει να εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Αρχεία ή σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού. |
(9) |
Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην τελική πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ. Ένα διακριτό κεφάλαιο του παρόντος κανονισμού που περιέχει γενικές διατάξεις θα πρέπει, ως εκ τούτου, να εφαρμόζεται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, όπως τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για τους σκοπούς ποινικών ερευνών από όργανα ή οργανισμούς της Ένωσης όταν δραστηριοποιούνται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. |
(10) |
Η οδηγία (ΕΕ) 2016/680 προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Για να διασφαλιστεί το ίδιο επίπεδο προστασίας των φυσικών προσώπων μέσω νομικά εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ των θεσμικών και λοιπών οργάνων ή οργανισμών της Ένωσης που δραστηριοποιούνται σε τομείς που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ και των αρμόδιων αρχών, οι κανόνες που διέπουν την προστασία και την ελεύθερη κυκλοφορία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία από τα εν λόγω όργανα ή οργανισμούς της Ένωσης θα πρέπει να συνάδουν με την οδηγία (ΕΕ) 2016/680. |
(11) |
Οι γενικοί κανόνες του χωριστού κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, θα πρέπει να εφαρμόζονται με την επιφύλαξη των ειδικών κανόνων που διέπουν στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όργανα, οργανισμούς και υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ. Οι εν λόγω ειδικοί κανόνες θα πρέπει να θεωρούνται lex specialis σε σχέση με τις διατάξεις του χωριστού κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα (lex specialis derogat legi generali). Προκειμένου να μειωθεί ο νομικός κατακερματισμός, οι ειδικοί κανόνες περί προστασίας των δεδομένων που διέπουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όργανα ή οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ θα πρέπει να συνάδουν με τις αρχές που διέπουν το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, καθώς και με τις διατάξεις του παρόντος κανονισμού σχετικά με τη διενέργεια ανεξάρτητου ελέγχου, τα ένδικα μέσα, την ευθύνη και τις κυρώσεις. |
(12) |
Το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα θα πρέπει να εφαρμόζεται σε όργανα και οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ, όταν ασκούν τις δραστηριότητες αυτές ως κύρια ή δευτερεύοντα καθήκοντα, για τους σκοπούς της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων. Ωστόσο, δεν θα πρέπει να ισχύει για την Ευρωπόλ ή την Ευρωπαϊκή Εισαγγελία έως ότου οι νομικές πράξεις για την ίδρυση της Ευρωπόλ και της Ευρωπαϊκής Εισαγγελίας τροποποιηθούν με σκοπό το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, όπως προσαρμόστηκε, να ισχύει για αυτές. |
(13) |
Η Επιτροπή θα πρέπει να προβεί σε επανεξέταση του παρόντος κανονισμού, ιδίως όσον αφορά το κεφάλαιο του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα. Η Επιτροπή θα πρέπει επίσης να προβεί σε επανεξέταση και άλλων νομοθετικών πράξεων οι οποίες εκδόθηκαν βάσει των Συνθηκών που ρυθμίζουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από οργανισμούς, φορείς ή υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ. Μετά την εν λόγω επανεξέταση, προκειμένου να εξασφαλιστεί η ομοιόμορφη και συνεκτική προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να δύναται να υποβάλει κατάλληλες νομοθετικές προτάσεις, συμπεριλαμβανομένης κάθε απαραίτητης προσαρμογής του κεφαλαίου του παρόντος κανονισμού σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, προκειμένου να εφαρμοστεί στην Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία. Οι προσαρμογές θα πρέπει να λαμβάνουν υπόψη, μεταξύ άλλων, τις διατάξεις σχετικά με την ανεξάρτητη εποπτεία, τα ένδικα μέσα, την ευθύνη και τις κυρώσεις. |
(14) |
Η επεξεργασία διοικητικών δεδομένων προσωπικού χαρακτήρα, όπως τα δεδομένα προσωπικού από οργανισμούς, φορείς ή υπηρεσίες της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ θα πρέπει να καλύπτεται από τον παρόντα κανονισμό. |
(15) |
Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όργανα ή οργανισμούς της Ένωσης που δραστηριοποιούνται σε τομείς που εμπίπτουν στο πεδίο εφαρμογής του τίτλου V κεφάλαιο 2 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αποστολές που αναφέρονται στο άρθρο 42 παράγραφος 1 και στα άρθρα 43 και 44 ΣΕΕ, που εφαρμόζουν την κοινή πολιτική ασφάλειας και άμυνας. Όπου είναι σκόπιμο, θα πρέπει να υποβάλλονται σχετικές προτάσεις για την περαιτέρω ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα της κοινής πολιτικής ασφάλειας και άμυνας. |
(16) |
Οι αρχές της προστασίας των δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να συσχετισθούν με φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας των δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς. |
(17) |
Η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων. Η ρητή εισαγωγή της «ψευδωνυμοποίησης» του παρόντος κανονισμού δεν προορίζεται να αποκλείσει κάθε άλλο μέτρο προστασίας των δεδομένων. |
(18) |
Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους. |
(19) |
Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται. Ταυτόχρονα, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή, χωρίς αυτό να επηρεάζει τη νομιμότητα της επεξεργασίας που έγινε με βάση αυτή τη συγκατάθεση, πριν από την ανάκλησή της. Για να διασφαλιστεί ότι η συναίνεση παρέχεται ελεύθερα, δεν θα πρέπει να αποτελεί έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας και επομένως δεν θεωρείται πιθανό να έχει παρασχεθεί η συναίνεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Συχνά, δεν είναι δυνατό να προσδιορίζεται πλήρως ο σκοπός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας κατά τον χρόνο συλλογής των δεδομένων. Ως εκ τούτου, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να παρέχουν τη συναίνεσή τους για ορισμένους τομείς της επιστημονικής έρευνας, όταν ακολουθούνται τα αναγνωρισμένα πρότυπα δεοντολογίας για την επιστημονική έρευνα. Τα υποκείμενα των δεδομένων θα πρέπει να έχουν τη δυνατότητα να παρέχουν τη συναίνεσή τους μόνο σε ορισμένους τομείς της έρευνας ή μόνο σε μέρη προγραμμάτων έρευνας, στον βαθμό που επιτρέπεται από τον επιδιωκόμενο σκοπό. |
(20) |
Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπεύθυνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό απαιτεί ιδίως να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται η ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού και για να αποτρέπεται η ανεξουσιοδότητη κοινολόγησή τους κατά τη διαβίβασή τους. |
(21) |
Σύμφωνα με την αρχή της λογοδοσίας, όταν τα όργανα και οι οργανισμοί της Ένωσης προβαίνουν σε διαβίβαση δεδομένων προσωπικού χαρακτήρα στο εσωτερικό τους και ο αποδέκτης δεν υπάγεται στον υπεύθυνο επεξεργασίας ή προς άλλα όργανα ή οργανισμούς της Ένωσης, θα πρέπει να ελέγχουν εάν τα δεδομένα αυτά είναι αναγκαία για τη νόμιμη εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του αποδέκτη. Ιδίως, αφού λάβει αίτημα διαβίβασης δεδομένων προσωπικού χαρακτήρα από αποδέκτη, ο υπεύθυνος επεξεργασίας θα πρέπει να επαληθεύει ότι υφίσταται πράγματι λόγος για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και να ελέγχει την αρμοδιότητα του αποδέκτη. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να αξιολογεί προσωρινά την αναγκαιότητα διαβίβασης των δεδομένων. Εάν ανακύπτουν αμφιβολίες ως προς την αναγκαιότητα της διαβίβασης αυτής, ο υπεύθυνος επεξεργασίας θα πρέπει να ζητά περαιτέρω διευκρινίσεις από τον αποδέκτη. Ο αποδέκτης θα πρέπει να μεριμνά ώστε η αναγκαιότητα της διαβίβασης των δεδομένων να μπορεί να επαληθεύεται μεταγενέστερα. |
(22) |
Για να είναι σύννομη η επεξεργασία, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση την αναγκαιότητα εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον από τα όργανα και τους οργανισμούς της Ένωσης ή κατά την άσκηση της δημόσιας εξουσίας τους, με βάση την ανάγκη συμμόρφωσης με μία εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή με άλλη βάση, προβλεπόμενη από τον νόμο, κατά τα οριζόμενα στον παρόντα κανονισμό, περιλαμβανομένης της συγκατάθεσης του ενδιαφερόμενου υποκειμένου των δεδομένων, της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση καθήκοντος που ασκούν προς το δημόσιο συμφέρον τα όργανα και οι οργανισμοί της Ένωσης περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για τη διαχείριση και τη λειτουργία των εν λόγω οργάνων και οργανισμών. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει καταρχήν να διενεργείται μόνο εάν η επεξεργασία δεν μπορεί προδήλως να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών. |
(23) |
Το δίκαιο της Ένωσης που αναφέρεται στον παρόντα κανονισμό θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. |
(24) |
Οι εσωτερικοί κανονισμοί που αναφέρονται στον παρόντα κανονισμό θα πρέπει να είναι νομοθετικές πράξεις γενικής εφαρμογής διατυπωμένες με σαφήνεια και ακρίβεια που προορίζονται να παραγάγουν έννομα αποτελέσματα έναντι των υποκειμένων των δεδομένων. Θα πρέπει να θεσπίζονται στο ανώτατο διοικητικό επίπεδο των οργάνων και οργανισμών της Ένωσης, στο πλαίσιο των αρμοδιοτήτων τους και για ζητήματα που σχετίζονται με τη λειτουργία τους. Θα πρέπει να δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Η εφαρμογή των κανονισμών αυτών θα πρέπει να είναι προβλέψιμη για τα πρόσωπα που υπόκεινται σε αυτούς σύμφωνα με τις απαιτήσεις που ορίζονται στον Χάρτη και στην Ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. Οι εσωτερικοί κανονισμοί μπορούν να λάβουν τη μορφή αποφάσεων, ιδίως όταν θεσπίζονται από όργανα της Ένωσης. |
(25) |
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας. |
(26) |
Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιον βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου (6), θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπεύθυνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί. |
(27) |
Τα παιδιά απαιτούν ειδική προστασία όσον αφορά τα δεδομένα τους προσωπικού χαρακτήρα, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων, συνεπειών και εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτή η ειδική προστασία θα πρέπει να ισχύει ιδίως στη δημιουργία προφίλ προσωπικότητας και στη συλλογή δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά στην περίπτωση που υπηρεσίες προσφέρονται απευθείας σε παιδιά σε δικτυακούς τόπους οργάνων και οργανισμών της Ένωσης, όπως υπηρεσιών διαπροσωπικής επικοινωνίας ή διαδικτυακής πώλησης εισιτηρίων, και η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται σε συγκατάθεση. |
(28) |
Όταν εγκατεστημένοι στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης επιθυμούν να τους διαβιβαστούν δεδομένα προσωπικού χαρακτήρα από όργανα και οργανισμούς της Ένωσης, οι εν λόγω αποδέκτες θα πρέπει να αποδεικνύουν είτε ότι τα δεδομένα είναι αναγκαία για την άσκηση των καθηκόντων τους που ασκούνται για το δημόσιο συμφέρον ή για την άσκηση δημόσιας εξουσίας που τους έχει ανατεθεί. Εναλλακτικά, οι εν λόγω αποδέκτες θα πρέπει να αποδεικνύουν ότι η διαβίβαση είναι αναγκαία για συγκεκριμένο σκοπό γενικού συμφέροντος, ο δε υπεύθυνος επεξεργασίας θα πρέπει να διαπιστώνει αν υπάρχει λόγος να θεωρηθεί ότι τα έννομα συμφέροντα του υποκειμένου των δεδομένων μπορεί να θιγούν, σε αυτές τις περιπτώσεις ο υπεύθυνος επεξεργασίας θα πρέπει αποδεδειγμένα να προβεί σε στάθμιση των αντιτιθέμενων συμφερόντων προκειμένου να εκτιμήσει την αναλογικότητα της ζητούμενης διαβίβασης δεδομένων προσωπικού χαρακτήρα. Ο συγκεκριμένος σκοπός γενικού συμφέροντος θα μπορούσε να αφορά τη διαφάνεια των οργάνων και οργανισμών της Ένωσης. Επιπλέον, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να αποδεικνύουν την εν λόγω αναγκαιότητα όταν η διαβίβαση γίνεται με δική τους πρωτοβουλία, σε συμμόρφωση προς την αρχή της διαφάνειας και της χρηστής διοίκησης. Οι απαιτήσεις του παρόντος κανονισμού για διαβίβαση δεδομένων σε εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης, θα πρέπει να νοούνται ως συμπληρωματικές προς τους όρους νόμιμης επεξεργασίας. |
(29) |
Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τέτοια προσωπικά δεδομένα δεν πρέπει να υποβάλλονται σε επεξεργασία, εκτός αν πληρούνται οι συγκεκριμένες προϋποθέσεις που ορίζονται στον παρόντα κανονισμό. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η επεξεργασία ευαίσθητων δεδομένων, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών. |
(30) |
Οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που χρήζουν μεγαλύτερης προστασίας πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς σχετικούς με την υγεία, μόνο όταν τούτο απαιτείται για την επίτευξη αυτών των σκοπών προς όφελος φυσικών προσώπων και της κοινωνίας συνολικά, ιδίως στο πλαίσιο της διαχείρισης υπηρεσιών και συστημάτων υγείας και κοινωνικής πρόνοιας. Συνεπώς, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία των εν λόγω δεδομένων πραγματοποιείται για ορισμένους σκοπούς που αφορούν την υγεία από πρόσωπα που υπέχουν νομική υποχρέωση τήρησης επαγγελματικού απορρήτου. Το δίκαιο της Ένωσης θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. |
(31) |
Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συναίνεση του υποκειμένου των δεδομένων. Η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), δηλαδή ως το σύνολο των στοιχείων που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, περιλαμβανομένων της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται για την υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν, καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς. |
(32) |
Εάν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτά συμπληρωματικές πληροφορίες, προκειμένου να ταυτοποιήσει το υποκείμενο των δεδομένων με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση του υποκειμένου των δεδομένων, λόγου χάρη μέσω μηχανισμού επαλήθευσης της ταυτότητας, όπως είναι τα ίδια διακριτικά στοιχεία τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων κατά την είσοδο (log-in) στην επιγραμμική υπηρεσία που προσφέρεται από τον υπεύθυνο επεξεργασίας. |
(33) |
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, ιδίως, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (όπως, για παράδειγμα, η ψευδωνυμοποίηση των δεδομένων). Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να προβλέπουν κατάλληλες εγγυήσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, το οποίο μπορεί να περιλαμβάνει και εσωτερικούς κανονισμούς που έχουν θεσπιστεί από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους. |
(34) |
Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα εναντίωσης. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα. |
(35) |
Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα. |
(36) |
Οι πληροφορίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το υποκείμενο των δεδομένων θα πρέπει να του παρέχονται κατά τη συλλογή από το υποκείμενο των δεδομένων ή, εάν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από άλλη πηγή, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται όταν τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται για πρώτη φορά στον αποδέκτη. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες αναγκαίες πληροφορίες. Όταν η προέλευση των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να γνωστοποιηθεί στο υποκείμενο των δεδομένων διότι έχουν χρησιμοποιηθεί διάφορες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες. |
(37) |
Ένα υποκείμενο δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Επομένως, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ιδίως, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων. Όταν ο υπεύθυνος επεξεργασίας επεξεργάζεται μεγάλες ποσότητες πληροφοριών σχετικά με το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να δύναται να ζητεί από το υποκείμενο, πριν δοθούν οι πληροφορίες, να προσδιορίζει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας που σχετίζονται με το αίτημα. |
(38) |
Ένα υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, εάν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του για την επεξεργασία ή εάν αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό κατ’ άλλο τρόπο. Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκήσει το εν λόγω δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, για τη συμμόρφωση με νομική υποχρέωση, για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. |
(39) |
Για να ενισχυθεί το δικαίωμα στη λήθη στο επιγραμμικό περιβάλλον, το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού χαρακτήρα ώστε να διαγράψουν οποιουσδήποτε συνδέσμους ή αντίγραφα ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Όταν το πράττει, ο εν λόγω υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει εύλογα μέτρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και τα μέσα που έχει στη διάθεσή του ο υπεύθυνος επεξεργασίας, μεταξύ άλλων και τεχνικά μέτρα, ώστε να ενημερωθούν οι υπεύθυνοι επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σχετικά με το αίτημα του υποκειμένου των δεδομένων. |
(40) |
Μέθοδοι με τις οποίες περιορίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την αφαίρεση της προσβασιμότητας των επιλεγμένων δεδομένων προσωπικού χαρακτήρα από τους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει καταρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα. |
(41) |
Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων του προσωπικού χαρακτήρα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης τη δυνατότητα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και που έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Το εν λόγω δικαίωμα θα πρέπει να εφαρμόζεται σε περίπτωση που το υποκείμενο των δεδομένων παρέσχε τα δεδομένα προσωπικού χαρακτήρα με τη συγκατάθεσή του ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης. Δεν θα πρέπει συνεπώς να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση των υπευθύνων επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη. Όταν, σε συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, θίγονται περισσότερα του ενός υποκείμενα δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ούτε τους περιορισμούς του εν λόγω δικαιώματος, όπως προβλέπονται στον παρόντα κανονισμό και ιδίως δεν θα πρέπει να συνεπάγεται διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και τα οποία έχουν παρασχεθεί από αυτό για την εκτέλεση σύμβασης, στον βαθμό και εφόσον τα δεδομένα αυτά είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Όταν είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να εξασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον. |
(42) |
Όταν δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, κάθε υποκείμενο των δεδομένων θα πρέπει να δικαιούται παρ’ όλα αυτά να εναντιωθεί στην επεξεργασία τυχόν δεδομένων προσωπικού χαρακτήρα που αφορούν την ιδιαίτερη κατάστασή του. Θα πρέπει να εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι τα επιτακτικά έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων. |
(43) |
Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει κάποιο μέτρο, με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο, όπως σε πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Η επεξεργασία αυτή περιλαμβάνει την «κατάρτιση προφίλ» που αποτελείται από οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο, ιδίως την ανάλυση ή την πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή κινήσεις του υποκειμένου των δεδομένων, στον βαθμό που παράγει νομικά αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατ’ ανάλογο τρόπο. Ωστόσο, η λήψη απόφασης που βασίζεται σε αυτήν την επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, θα πρέπει να επιτρέπεται όταν προβλέπεται ρητά από το δίκαιο της Ένωσης. Σε κάθε περίπτωση, η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψης του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που λήφθηκε στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης. Το εν λόγω μέτρο θα πρέπει να μην αφορά παιδί. Προκειμένου να διασφαλισθεί δίκαιη και διαφανής επεξεργασία σε σχέση με το υποκείμενο των δεδομένων, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα, ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, να καθιστά ασφαλή τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή την επεξεργασία που συνεπάγεται μέτρα ισοδύναμου αποτελέσματος. Η αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ που βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνο υπό ειδικές προϋποθέσεις. |
(44) |
Νομικές πράξεις που εκδίδονται βάσει των Συνθηκών ή εσωτερικοί κανονισμοί που θεσπίζονται από τα όργανα και τους οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους μπορούν να επιβάλλουν περιορισμούς σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο απόρρητο των δεδομένων ηλεκτρονικών επικοινωνιών, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας και για την πρόληψη, διερεύνηση και δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων. Αυτό συμπεριλαμβάνει τη διασφάλιση έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, την προστασία της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, την εσωτερική ασφάλεια των οργάνων και οργανισμών της Ένωσης, άλλους σημαντικούς σκοπούς γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως τους σκοπούς της Κοινής Εξωτερικής Πολιτικής και Πολιτικής Ασφάλειας της Ένωσης ή σημαντικό οικονομικό ή χρηματοοικονομικό συμφέρον της Ένωσης ή κράτους μέλους, και την τήρηση δημόσιων αρχείων για λόγους γενικού δημόσιου συμφέροντος ή την προστασία του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. |
(45) |
Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. |
(46) |
Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων. |
(47) |
Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο. |
(48) |
Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών. |
(49) |
Ο κανονισμός (ΕΕ) 2016/679 προβλέπει ότι οι υπεύθυνοι επεξεργασίας αποδεικνύουν συμμόρφωση με την εφαρμογή εγκεκριμένων μηχανισμών πιστοποίησης. Ωσαύτως, τα όργανα ή οι οργανισμοί της Ένωσης πρέπει να μπορούν να αποδεικνύουν τη συμμόρφωσή τους με τον παρόντα κανονισμό, λαμβάνοντας πιστοποίηση σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679. |
(50) |
Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, απαιτούν σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπεύθυνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας. |
(51) |
Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπεύθυνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση άλλων εκτελούντων επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωση του με τις υποχρεώσεις του υπευθύνου επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία που δεν είναι όργανο ή οργανισμός της Ένωσης θα πρέπει να διέπεται από σύμβαση, ή, σε περιπτώσεις όπου όργανα και οργανισμοί της Ένωσης ενεργούν ως εκτελούντες την επεξεργασία, από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπεύθυνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει αυτά τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία. |
(52) |
Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς τον παρόντα κανονισμό, οι υπεύθυνοι επεξεργασίας θα πρέπει να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους και οι εκτελούντες επεξεργασία θα πρέπει να τηρούν αρχεία των κατηγοριών δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να υποχρεούνται να συνεργάζονται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και να θέτουν στη διάθεσή του τα αρχεία τους κατόπιν αιτήματός του, ώστε να μπορούν να χρησιμοποιούνται για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας. Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να μπορούν να συστήσουν κεντρικό μητρώο στο οποίο θα τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους, εκτός εάν, λαμβανομένου υπόψη του μεγέθους ενός οργάνου ή οργανισμού της Ένωσης, αυτό δεν ενδείκνυται. Για λόγους διαφάνειας, θα πρέπει επίσης να μπορούν να επιτρέπουν την πρόσβαση του κοινού στο εν λόγω μητρώο. |
(53) |
Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβανομένων υπόψη των τελευταίων εξελίξεων και του κόστους της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη. |
(54) |
Τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, σύμφωνα με τα προβλεπόμενα στο άρθρο 7 του Χάρτη. Ιδίως, τα όργανα και οι οργανισμοί της Ένωσης θα πρέπει να διασφαλίζουν την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους. Θα πρέπει να διασφαλίζουν την προστασία των πληροφοριών που σχετίζονται με τον εξοπλισμό τερματικών των χρηστών που έχουν πρόσβαση στους δημόσια διαθέσιμους δικτυακούς τόπους τους και σε εφαρμογές για φορητές συσκευές σύμφωνα με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8). Θα πρέπει επίσης να διασφαλίζουν την προστασία δεδομένων προσωπικού χαρακτήρα που περιέχονται σε καταλόγους χρηστών. |
(55) |
Παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν o υπεύθυνος επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, θα πρέπει να συνοδεύεται από αιτιολογία η οποία να αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση. Όταν η καθυστέρηση είναι δικαιολογημένη, θα πρέπει να διαβιβάζονται το ταχύτερο δυνατό λιγότερο ευαίσθητες ή λιγότερο συγκεκριμένες πληροφορίες σχετικά με την παραβίαση, αντί να επιχειρείται πλήρης διαλεύκανση του περιστατικού πριν από την κοινοποίηση. |
(56) |
Ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του παρασχεθεί η δυνατότητα να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοινώσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και με τήρηση των οδηγιών που θα έχουν παρασχεθεί από αυτόν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου. |
(57) |
Ο κανονισμός (ΕΚ) αριθ. 45/2001 θεσπίζει γενική υποχρέωση του υπευθύνου επεξεργασίας να κοινοποιεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων πρέπει να τηρεί μητρώο των επεξεργασιών που του κοινοποιούνται, εκτός εάν, λαμβανομένου υπόψη του μεγέθους του οργάνου ή οργανισμού της Ένωσης, αυτό δεν ενδείκνυται. Εκτός από τη γενική αυτή υποχρέωση πρέπει να θεσπιστούν αποτελεσματικές διαδικασίες και μηχανισμοί για τον έλεγχο που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας που ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών τους. Αυτές οι διαδικασίες θα πρέπει, ιδίως, επίσης να θεσπιστούν ς όταν τύποι πράξεων επεξεργασίας περιλαμβάνουν τη χρήση νέων τεχνολογιών ή που είναι νέου τύπου σε σχέση με τον οποίο δεν έχει διενεργηθεί προηγουμένως εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή όταν καθίστανται αναγκαίες λόγω του χρόνου που έχει παρέλθει από την αρχική επεξεργασία. Σε αυτές τις περιπτώσεις, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, θα πρέπει να διενεργεί εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων, ώστε να εκτιμήσει την ιδιαίτερη πιθανότητα και τη σοβαρότητα του υψηλού κινδύνου, λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου. Η εν λόγω εκτίμηση του αντικτύπου θα πρέπει να περιλαμβάνει, ιδίως, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό. |
(58) |
Εάν εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να διενεργείται διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Ο εν λόγω υψηλός κίνδυνος είναι πιθανόν να προκύψει από ορισμένες μορφές επεξεργασίας και ορισμένο βαθμό και συχνότητα επεξεργασίας, με πιθανό αποτέλεσμα ακόμη και ζημία ή επέμβαση στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ανταποκρίνεται στο αίτημα για διαβούλευση σε ορισμένο χρονικό διάστημα. Ωστόσο, η απουσία αντίδρασης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων εντός της εν λόγω προθεσμίας δεν θα πρέπει να θίγει την όποια παρέμβαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με τα καθήκοντα και τις εξουσίες του που ορίζονται στον παρόντα κανονισμό, περιλαμβανομένης της εξουσίας απαγόρευσης πράξεων επεξεργασίας. Στο πλαίσιο της εν λόγω διαδικασίας διαβούλευσης, θα πρέπει να μπορεί να υποβάλλεται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων το αποτέλεσμα εκτίμησης του αντικτύπου όσον αφορά την προστασία των δεδομένων που τυχόν έχει εκπονηθεί σε σχέση με την επίμαχη επεξεργασία, ιδίως δε τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. |
(59) |
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνεται για τα διοικητικά μέτρα και να γνωμοδοτεί για τους εσωτερικούς κανονισμούς τους οποίους θεσπίζουν τα όργανα και οι οργανισμοί της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους όταν διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θεσπίζουν προϋποθέσεις για περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων ή προβλέπουν κατάλληλες εγγυήσεις για τα δικαιώματα των υποκειμένων των δεδομένων, ώστε να διασφαλίζει ότι η σκοπούμενη επεξεργασία συμμορφώνεται με τον παρόντα κανονισμό ιδίως ως προς το να περιορίζει τους κινδύνους για το υποκείμενο των δεδομένων. |
(60) |
Με τον κανονισμό (ΕΕ) 2016/679 συστάθηκε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ως ανεξάρτητο όργανο της Ένωσης με νομική προσωπικότητα. Το Συμβούλιο Προστασίας Δεδομένων συμβάλλει στη συνεκτική εφαρμογή του κανονισμού (ΕΕ) 2016/679 και της οδηγίας (ΕΕ) 2016/680 σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή. Ταυτόχρονα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεχίσει να ασκεί τα εποπτικά και συμβουλευτικά καθήκοντα που έχει έναντι όλων των οργάνων και οργανισμών της Ένωσης, με δική του πρωτοβουλία ή κατόπιν αιτήματος. Για να διασφαλιστεί η συνεκτικότητα των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, η Επιτροπή, κατά την εκπόνηση προτάσεων ή συστάσεων, θα πρέπει να ζητεί τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Θα πρέπει να είναι υποχρεωτική η διεξαγωγή από την Επιτροπή διαβούλευσης μετά την έγκριση νομοθετικών πράξεων ή κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων και εκτελεστικών πράξεων, σύμφωνα με τα προβλεπόμενα στα άρθρα 289, 290 και 291 ΣΛΕΕ, και μετά την έγκριση συστάσεων και προτάσεων για συμφωνίες με τρίτες χώρες και διεθνείς οργανισμούς, σύμφωνα με τα προβλεπόμενα στο άρθρο 218 ΣΛΕΕ, οι οποίες έχουν αντίκτυπο στο δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Στις περιπτώσεις αυτές, η Επιτροπή θα πρέπει να διαβουλεύεται υποχρεωτικά με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν ο κανονισμός (ΕΕ) 2016/679 προβλέπει υποχρεωτική διαβούλευση με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, για παράδειγμα όσον αφορά αποφάσεις περί επάρκειας ή κατ’ εξουσιοδότηση πράξεις για τυποποιημένα εικονίδια και απαιτήσεις για μηχανισμούς πιστοποίησης. Όταν η επίμαχη πράξη είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να έχει επίσης τη δυνατότητα να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, να συντονίζει τις εργασίες του με το τελευταίο με σκοπό την έκδοση κοινής γνωμοδότησης. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και, όπου συντρέχει σχετική περίπτωση, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να παρέχουν γραπτώς τις συμβουλές τους εντός οκτώ εβδομάδων. Η εν λόγω προθεσμία θα πρέπει να είναι συντομότερη σε επείγουσες περιπτώσεις ή εάν αυτό κρίνεται σκόπιμο για άλλους λόγους, για παράδειγμα όταν η Επιτροπή επεξεργάζεται κατ’ εξουσιοδότηση και εκτελεστικές πράξεις. |
(61) |
Σύμφωνα με το άρθρο 75 του κανονισμού (ΕΕ) 2016/679 ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να παρέχει τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. |
(62) |
Στο πλαίσιο όλων των οργάνων και οργανισμών της Ένωσης, ένας υπεύθυνος προστασίας δεδομένων θα πρέπει να μεριμνά για την τήρηση των διατάξεων του παρόντος κανονισμού και να συμβουλεύει τους υπευθύνους επεξεργασίας και τους εκτελούντες επεξεργασία ως προς την εκπλήρωση των υποχρεώσεών τους. Ο εν λόγω υπεύθυνος προστασίας δεδομένων θα πρέπει να διαθέτει εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων, η οποία θα πρέπει να καθορίζεται ειδικότερα ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από τον εκτελούντα επεξεργασία και από την προστασία την οποία απαιτούν τα οικεία δεδομένα προσωπικού χαρακτήρα. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο. |
(63) |
Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από όργανα και οργανισμούς της Ένωσης σε υπευθύνους επεξεργασίας, εκτελούντες επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, θα πρέπει να διασφαλίζεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι ίδιες εγγυήσεις θα πρέπει να εφαρμόζονται και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας ή εκτελούντες επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή διεθνή οργανισμό. Σε κάθε περίπτωση, διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό και με σεβασμό προς τα θεμελιώδη δικαιώματα και ελευθερίες που κατοχυρώνονται στον Χάρτη. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς. |
(64) |
Η Επιτροπή μπορεί να αποφασίζει, βάσει του άρθρου 45 του κανονισμού (ΕΕ) 2016/679 ή βάσει του άρθρου 36 της οδηγίας (ΕΕ) 2016/680, ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας τρίτης χώρας ή διεθνής οργανισμός προσφέρουν επαρκές επίπεδο προστασίας των δεδομένων. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό από όργανο ή οργανισμό της Ένωσης μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια. |
(65) |
Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή συμβατικών ρητρών που εγκρίνονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, οι εν λόγω κατάλληλες εγγυήσεις μπορούν επίσης να συνίστανται σε δεσμευτικούς εταιρικούς κανόνες, κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης που χρησιμοποιούνται για διεθνείς διαβιβάσεις βάσει του κανονισμού (ΕΕ) 2016/679. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών μέσων έννομης προστασίας, συμπεριλαμβανομένου δικαιώματος άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Διαβιβάσεις μπορούν να διενεργούνται επίσης από όργανα και οργανισμούς της Ένωσης προς δημόσιες αρχές ή φορείς σε τρίτες χώρες ή προς διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις. |
(66) |
Η δυνατότητα του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν θα πρέπει να εμποδίζει τους υπευθύνους επεξεργασίας ή τους εκτελούντες επεξεργασία να ενσωματώνουν τις τυποποιημένες ρήτρες προστασίας δεδομένων σε ευρύτερη σύμβαση, όπως σε σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλου εκτελούντος επεξεργασία, ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις εγκεκριμένες από την Επιτροπή ή από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία θα πρέπει να ενθαρρύνονται να παρέχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά προς τις τυποποιημένες ρήτρες προστασίας δεδομένων. |
(67) |
Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που επιδιώκουν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας οργάνων και οργανισμών της Ένωσης. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία να διαβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης. |
(68) |
Σε ειδικές καταστάσεις, θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις, όταν το υποκείμενο των δεδομένων παρέσχε τη ρητή συγκατάθεσή του, εφόσον η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή με νομική αξίωση, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία, μεταξύ άλλων σε διαδικασίες ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα διαβιβάσεων, εφόσον σημαντικοί λόγοι δημόσιου συμφέροντος προβλεπόμενοι από το δίκαιο της Ένωσης απαιτούν κάτι τέτοιο ή εφόσον η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή από πρόσωπα που έχουν έννομο συμφέρον. Στην τελευταία περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο, εκτός εάν αυτό επιτρέπεται από το δίκαιο της Ένωσης, και, όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο κατόπιν αιτήσεως των εν λόγω προσώπων ή, εάν πρόκειται να είναι αυτά οι αποδέκτες της διαβίβασης, λαμβανομένων πλήρως υπόψη των συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων. |
(69) |
Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ οργάνων και οργανισμών της Ένωσης και αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας και υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων ή με σκοπό τον περιορισμό και/ή την εξάλειψη της φαρμακοδιέγερσης (ντόπινγκ) στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου προσώπου, μεταξύ άλλων για τη σωματική ακεραιότητα ή τη ζωή, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Ελλείψει απόφασης περί επάρκειας, το δίκαιο της Ένωσης μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα υποκειμένου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, η οποία γίνεται με σκοπό να εκπληρωθεί καθήκον σύμφωνα με τις συμβάσεις της Γενεύης ή με σκοπό τη συμμόρφωση προς το διεθνές ανθρωπιστικό δίκαιο σε ένοπλες συγκρούσεις, θα μπορούσε να θεωρηθεί αναγκαία για σοβαρό λόγο δημοσίου συμφέροντος ή επειδή αποσκοπεί σε ζωτικό συμφέρον του υποκειμένου των δεδομένων. |
(70) |
Σε κάθε περίπτωση, αν η Επιτροπή δεν έλαβε απόφαση επάρκειας για το επίπεδο προστασίας των δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να βρίσκουν λύσεις οι οποίες να παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά και νομικώς ισχυρά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, ώστε να συνεχίζουν να επωφελούνται των θεμελιωδών δικαιωμάτων και εγγυήσεων. |
(71) |
Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων, ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εθνικές εποπτικές αρχές και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να μην είναι σε θέση να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός της δικαιοδοσίας τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Θα πρέπει, επομένως, να προωθηθεί η στενότερη συνεργασία ανάμεσα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές, ώστε να διευκολύνεται η ανταλλαγή πληροφοριών με τους διεθνείς ομολόγους τους. |
(72) |
Η σύσταση με τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, στον οποίο ανατίθεται η εξουσία να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία, είναι ουσιώδης συνιστώσα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Ο παρών κανονισμός θα πρέπει να ενισχύει και να αποσαφηνίζει περαιτέρω τον ρόλο και την ανεξαρτησία του. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να είναι πρόσωπο που παρέχει εχέγγυα ανεξαρτησίας και που διαθέτει αξιόλογη εμπειρία και τις ικανότητες που απαιτούνται για την εκπλήρωση των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, επειδή έχει, επί παραδείγματι, συμμετάσχει σε μία από τις εποπτικές αρχές που συγκροτήθηκαν δυνάμει του άρθρου 51 του κανονισμού (ΕΕ) 2016/679. |
(73) |
Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει τα ίδια καθήκοντα και τις ίδιες αποτελεσματικές εξουσίες με τις εθνικές εποπτικές αρχές, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και εξουσίες επιβολής κυρώσεων, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, εξουσίες να παραπέμπει παραβάσεις των διατάξεων του παρόντος κανονισμού στο Δικαστήριο και εξουσίες να παίρνει μέρος σε νομικές διαδικασίες σύμφωνα με το πρωτογενές δίκαιο. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Για να αποφεύγονται περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα που μπορεί ενδεχομένως να επηρεαστούν δυσμενώς, κάθε μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό ώστε να διασφαλίζει συμμόρφωση προς τον παρόντα κανονισμό, θα πρέπει να λαμβάνει υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης και να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί ατομικό μέτρο εις βάρος του. Κάθε νομικά δεσμευτικό μέτρο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων θα πρέπει να εκδίδεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την ημερομηνία έκδοσής του, να φέρει την υπογραφή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, και να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής. |
(74) |
Η εποπτική αρμοδιότητα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Δικαστήριο, όταν αυτό ενεργεί υπό τη δικαιοδοτική του ιδιότητα, ώστε να διασφαλίζεται η ανεξαρτησία του Δικαστηρίου κατά την άσκηση των δικαιοδοτικών του καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων. Για τις εν λόγω πράξεις επεξεργασίας, το Δικαστήριο θα πρέπει να εξασφαλίζει ανεξάρτητο έλεγχο, σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη, για παράδειγμα μέσω εσωτερικού μηχανισμού. |
(75) |
Οι αποφάσεις του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με εξαιρέσεις, εγγυήσεις, άδειες και όρους που αφορούν πράξεις επεξεργασίας δεδομένων, όπως ορίζονται στον παρόντα κανονισμό, θα πρέπει να δημοσιεύονται στην έκθεση δραστηριοτήτων. Ανεξάρτητα από την ετήσια δημοσίευση έκθεσης δραστηριοτήτων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να δημοσιεύει εκθέσεις για ειδικά θέματα. |
(76) |
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων οφείλει να ενεργεί σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). |
(77) |
Οι εθνικές εποπτικές αρχές παρακολουθούν την εφαρμογή του κανονισμού (ΕΕ) 2016/679 και συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για να ενισχυθεί η συνεκτικότητα της εφαρμογής των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα κράτη μέλη και των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να συνεργάζεται αποτελεσματικά με τις εθνικές εποπτικές αρχές. |
(78) |
Σε ορισμένες περιπτώσεις, το δίκαιο της Ένωσης προβλέπει ένα πρότυπο συντονισμένης εποπτείας την οποία ασκούν από κοινού ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και οι εθνικές εποπτικές αρχές. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επίσης η εποπτική αρχή της Ευρωπόλ και για αυτούς τους σκοπούς έχει εφαρμοστεί συγκεκριμένο πρότυπο συνεργασίας με τις εθνικές εποπτικές αρχές μέσω συμβουλίου συνεργασίας που έχει συμβουλευτικά καθήκοντα. Για να βελτιωθεί η αποτελεσματικότητα της εποπτείας και της επιβολής ουσιαστικών κανόνων προστασίας των δεδομένων, θα πρέπει να θεσπιστεί ένα ενιαίο, συνεκτικό πρότυπο συντονισμένης εποπτείας σε επίπεδο Ένωσης. Η Επιτροπή θα πρέπει επομένως να εκδίδει νομοθετικές προτάσεις, όπου ενδείκνυται, για την τροποποίηση νομικών πράξεων της Ένωσης που θεσπίζουν πρότυπο συντονισμένης εποπτείας, με γνώμονα την ευθυγράμμισή τους με το πρότυπο συντονισμένης εποπτείας του παρόντος κανονισμού. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να λειτουργήσει ως ενιαίο φόρουμ για τη διασφάλιση της αποτελεσματικότητας της συντονισμένης εποπτείας γενικότερα. |
(79) |
Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και το δικαίωμα πραγματικής δικαστικής προσφυγής ενώπιον του Δικαστηρίου σύμφωνα με τις Συνθήκες, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν δίνει συνέχεια σε καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στην εκάστοτε περίπτωση. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να ενημερώνει το υποκείμενο των δεδομένων σχετικά με την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω συντονισμό με εθνική εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας. |
(80) |
Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού θα πρέπει να δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στις Συνθήκες. |
(81) |
Για να ενισχυθεί ο εποπτικός ρόλος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και η αποτελεσματική επιβολή του παρόντος κανονισμού, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει, ως κύρωση έσχατης ανάγκης, να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Τα πρόστιμα θα πρέπει να αποσκοπούν στην επιβολή κυρώσεων στο όργανο ή τον οργανισμό της Ένωσης –και όχι σε φυσικά πρόσωπα– για μη συμμόρφωση με τον παρόντα κανονισμό, με γνώμονα την αποτροπή μελλοντικών παραβιάσεων του παρόντος κανονισμού και την καλλιέργεια νοοτροπίας προστασίας των δεδομένων προσωπικού χαρακτήρα εντός των οργάνων και των οργανισμών της Ένωσης. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις που υπόκεινται σε διοικητικά πρόστιμα καθώς και τα ανώτατα όρια και τα κριτήρια για τον καθορισμό των σχετικών προστίμων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να καθορίζει το ύψος των προστίμων σε κάθε μεμονωμένη περίπτωση, λαμβάνοντας υπόψη όλες τις συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, στις συνέπειές της και τα μέτρα που λήφθηκαν για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Κατά την επιβολή διοικητικού προστίμου σε όργανο ή οργανισμό της Ένωσης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να εξετάζει την αναλογικότητα του ύψους του προστίμου. Η διοικητική διαδικασία για την επιβολή προστίμων σε όργανα και οργανισμούς της Ένωσης θα πρέπει να σέβεται τις γενικές αρχές του δικαίου της Ένωσης, όπως ερμηνεύονται από το Δικαστήριο. |
(82) |
Όταν υποκείμενο δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Ο εν λόγω φορέας, οργανισμός ή οργάνωση θα πρέπει επίσης να είναι σε θέση να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή το δικαίωμα να λαμβάνει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων. |
(83) |
Υπάλληλος ή άλλο μέλος του προσωπικού της Ένωσης που δεν συμμορφώνεται με τις υποχρεώσεις τις οποίες υπέχει βάσει του παρόντος κανονισμού θα πρέπει να υπόκειται σε πειθαρχική ή άλλη κύρωση, σύμφωνα με τις διατάξεις και τις διαδικασίες του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ένωσης, όπως καθορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου (10) («κανονισμός υπηρεσιακής κατάστασης»). |
(84) |
Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκηθούν σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11). Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση τυποποιημένων συμβατικών ρητρών μεταξύ υπευθύνων επεξεργασίας και εκτελούντων επεξεργασία, καθώς και μεταξύ εκτελούντων επεξεργασία, για την έγκριση καταλόγου πράξεων επεξεργασίας για τις οποίες απαιτείται προηγούμενη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων των υπευθύνων επεξεργασίας που προβαίνουν στην επεξεργασία προσωπικών δεδομένων για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, και για την έγκριση τυποποιημένων συμβατικών ρητρών που παρέχουν κατάλληλες εγγυήσεις για διεθνείς διαβιβάσεις. |
(85) |
Θα πρέπει να προστατεύονται οι εμπιστευτικές πληροφορίες που συλλέγουν οι ενωσιακές και εθνικές στατιστικές υπηρεσίες για την κατάρτιση επίσημων ευρωπαϊκών και εθνικών στατιστικών. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να εκπονούνται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές που θεσπίζονται στο άρθρο 338 παράγραφος 2 ΣΛΕΕ. Ο κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12) παρέχει περαιτέρω διευκρινίσεις περί του στατιστικού απορρήτου για τις ευρωπαϊκές στατιστικές. |
(86) |
Ο κανονισμός (ΕΚ) αριθ. 45/2001 και η απόφαση αριθ. 1247/2002/ΕΚ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (13) θα πρέπει να καταργηθούν. Οι παραπομπές στον καταργηθέντα κανονισμό και στην καταργηθείσα απόφαση θα πρέπει να νοούνται ως παραπομπές στον παρόντα κανονισμό. |
(87) |
Για να διαφυλαχθεί η πλήρης ανεξαρτησία των μελών της ανεξάρτητης εποπτικής αρχής, οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν θα πρέπει να επηρεαστούν από τον παρόντα κανονισμό. Ο νυν αναπληρωτής Επόπτης θα πρέπει να παραμείνει στη θέση του μέχρι τη λήξη της θητείας του, εκτός εάν συντρέξει κάποια από τις προϋποθέσεις πρόωρης λήξης της θητείας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που προβλέπονται στον παρόντα κανονισμό. Οι συναφείς διατάξεις του παρόντος κανονισμού θα πρέπει να ισχύουν για τον αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του. |
(88) |
Σύμφωνα με την αρχή της αναλογικότητας, είναι αναγκαίο και πρόσφορο για την επίτευξη του βασικού στόχου της διασφάλισης ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση να θεσπιστούν κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης. Ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των επιδιωκόμενων στόχων, σύμφωνα με το άρθρο 5 παράγραφος 4 ΣΕΕ. |
(89) |
Ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος και γνωμοδότησε στις 15 Μαρτίου 2017 (14), |
ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
ΚΕΦΑΛΑΙΟ I
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και στόχοι
1. Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των εν λόγω οργάνων και οργανισμών ή προς άλλους αποδέκτες εγκατεστημένους στην Ένωση.
2. Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.
3. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ελέγχει την εφαρμογή των διατάξεων του παρόντος κανονισμού σε κάθε πράξη επεξεργασίας δεδομένων που πραγματοποιείται από όργανο ή οργανισμό της Ένωσης.
Άρθρο 2
Πεδίο εφαρμογής
1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από όλα τα όργανα και τους οργανισμούς της Ένωσης.
2. Μόνο το άρθρο 3 και το κεφάλαιο IX του παρόντος κανονισμού εφαρμόζονται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ.
3. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από την Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία, ενόσω ο κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15), και ο κανονισμός (ΕΕ) 2017/1939 του Συμβουλίου (16), δεν έχουν προσαρμοστεί σύμφωνα με το άρθρο 98 του παρόντος κανονισμού.
4. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αποστολές που αναφέρονται στο άρθρο 42 παράγραφος 1, στο άρθρο 43 και στο άρθρο 44 ΣΕΕ.
5. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, εφαρμόζονται οι ακόλουθοι ορισμοί:
1) |
«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, |
2) |
«επιχειρησιακά δεδομένα προσωπικού χαρακτήρα»: τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τα όργανα ή τους οργανισμούς της Ένωσης που ασκούν δραστηριότητες οι οποίες εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ ώστε να επιτευχθούν οι στόχοι και τα καθήκοντα που ορίζονται στις ιδρυτικές νομοθετικές πράξεις των εν λόγω οργάνων ή οργανισμών, |
3) |
«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή, |
4) |
«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον, |
5) |
«κατάρτιση προφίλ»: κάθε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου, |
6) |
«ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, |
7) |
«σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση, |
8) |
«υπεύθυνος επεξεργασίας»: το όργανο ή ο οργανισμός της Ένωσης ή η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι και ο τρόπος της εν λόγω επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης, |
9) |
«υπεύθυνοι επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης»: οι υπεύθυνοι επεξεργασίας κατά την έννοια του άρθρου 4 σημείο 7) του κανονισμού (ΕΕ) 2016/679 και οι υπεύθυνοι επεξεργασίας κατά την έννοια του άρθρου 3 σημείο 8) της οδηγίας (ΕΕ) 2016/680, |
10) |
«όργανα και οργανισμοί της Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί δυνάμει ή επί τη βάσει της ΣΕΕ, της ΣΛΕΕ ή της Συνθήκης Ευρατόμ, |
11) |
«αρμόδια αρχή»: κάθε δημόσια αρχή αρμόδια στα κράτη μέλη για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, |
12) |
«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας, |
13) |
«αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας, |
14) |
«τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, |
15) |
«συγκατάθεση του υποκειμένου των δεδομένων»: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, |
16) |
«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια ή μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή άλλως υπέστησαν επεξεργασία, |
17) |
«γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου, |
18) |
«βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα, |
19) |
«δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του, |
20) |
«υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17), |
21) |
«διεθνής οργανισμός»: ο οργανισμός και οι υπαγόμενοι σε αυτόν φορείς δημοσίου διεθνούς δικαίου ή κάθε άλλος φορέας ο οποίος έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσοτέρων χωρών, |
22) |
«εθνική εποπτική αρχή»: η ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51 του κανονισμού (ΕΕ) 2016/679 ή σύμφωνα με το άρθρο 41 της οδηγίας (ΕΕ) 2016/680, |
23) |
«χρήστης»: κάθε φυσικό πρόσωπο που χρησιμοποιεί δίκτυο ή εξοπλισμό τερματικών που λειτουργεί υπό τον έλεγχο οργάνου ή οργανισμού της Ένωσης, |
24) |
«κατάλογος»: διαθέσιμος στο κοινό κατάλογος χρηστών ή εσωτερικός κατάλογος χρηστών διαθέσιμος εντός οργάνου ή οργανισμού της Ένωσης ή χρησιμοποιούμενος από κοινού από όργανα ή οργανισμούς της Ένωσης, σε έντυπη ή ηλεκτρονική μορφή, |
25) |
«δίκτυο ηλεκτρονικών επικοινωνιών»: σύστημα μετάδοσης, ανεξαρτήτως του αν βασίζεται σε μόνιμη υποδομή ή κεντρική διοικητική ικανότητα και, κατά περίπτωση, ο εξοπλισμός μεταγωγής ή δρομολόγησης και οι λοιποί πόροι, περιλαμβανομένων μη ενεργών στοιχείων δικτύου, που επιτρέπουν τη μεταφορά σημάτων με χρήση καλωδίου, ραδιοσημάτων, οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, περιλαμβανομένων των δορυφορικών δικτύων, των σταθερών δικτύων (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομεταγωγής, περιλαμβανομένου του διαδικτύου) και των κινητών επίγειων δικτύων, των συστημάτων ηλεκτρικών καλωδίων, εφόσον χρησιμοποιούνται για τη μετάδοση σημάτων, των δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές εκπομπές, καθώς και των δικτύων καλωδιακής τηλεόρασης, ανεξάρτητα από το είδος των μεταφερόμενων πληροφοριών, |
26) |
«εξοπλισμός τερματικών»: ο εξοπλισμός τερματικών κατά την έννοια του άρθρου 1 σημείο 1) της οδηγίας 2008/63/ΕΚ της Επιτροπής (18). |
ΚΕΦΑΛΑΙΟ II
ΓΕΝΙΚΕΣ ΑΡΧΕΣ
Άρθρο 4
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Τα δεδομένα προσωπικού χαρακτήρα:
α) |
υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»)· |
β) |
συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 13 («περιορισμός του σκοπού»)· |
γ) |
είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)· |
δ) |
είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση («ακρίβεια»)· |
ε) |
διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 13 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»)· |
στ) |
υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). |
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Άρθρο 5
Νομιμότητα της επεξεργασίας
1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) |
η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο όργανο ή τον οργανισμό της Ένωσης, |
β) |
η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, |
γ) |
η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, |
δ) |
το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, |
ε) |
η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. |
2. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία α) και β) ορίζεται στο δίκαιο της Ένωσης.
Άρθρο 6
Επεξεργασία για άλλο συμβατό σκοπό
Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 25 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:
α) |
τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, |
β) |
το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπεύθυνου επεξεργασίας, |
γ) |
τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 11, |
δ) |
τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων, |
ε) |
την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση. |
Άρθρο 7
Προϋποθέσεις για συγκατάθεση
1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.
2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.
3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν από την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.
4. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.
Άρθρο 8
Προϋποθέσεις που ισχύουν για τη συγκατάθεση ενός παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών
1. Όταν εφαρμόζεται το άρθρο 5 παράγραφος 1 στοιχείο δ), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 13 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 13 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
2. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
3. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.
Άρθρο 9
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης,
1. Με την επιφύλαξη των άρθρων 4 έως 6 και του άρθρου 10, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε εγκατεστημένους στην Ένωση αποδέκτες που δεν είναι όργανα και οργανισμοί της Ένωσης, μόνο εάν:
α) |
ο αποδέκτης αποδεικνύει την αναγκαιότητα των δεδομένων για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον αποδέκτη ή |
β) |
ο αποδέκτης αποδεικνύει ότι είναι αναγκαία η διαβίβαση δεδομένων για συγκεκριμένο σκοπό δημοσίου συμφέροντος και ο υπεύθυνος επεξεργασίας, όταν υπάρχει λόγος να υποτεθεί ότι τα έννομα συμφέροντα του υποκειμένου των δεδομένων μπορεί να θιγούν, διαπιστώνει ότι συνάδει προς την αρχή της αναλογικότητας να διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα για τον συγκεκριμένο αυτό σκοπό, αφού προηγουμένως έχει αποδεδειγμένα προβεί σε στάθμιση των διαφόρων αντιτιθέμενων συμφερόντων. |
2. Όταν ο υπεύθυνος επεξεργασίας προβαίνει στη διαβίβαση βάσει του παρόντος άρθρου, αποδεικνύει ότι η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία και αναλογική για τους σκοπούς της διαβίβασης, εφαρμόζοντας τα κριτήρια που προβλέπονται στην παράγραφο 1 στοιχείο α) ή β).
3. Τα όργανα και οι οργανισμοί της Ένωσης μεριμνούν ώστε το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα να είναι συμβατό με το δικαίωμα πρόσβασης σε έγγραφα σύμφωνα με το δίκαιο της Ένωσης.
Άρθρο 10
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:
α) |
το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, |
β) |
η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπεύθυνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων, |
γ) |
η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί, |
δ) |
η επεξεργασία εκτελείται, στο πλαίσιο των νόμιμων δραστηριοτήτων του και με κατάλληλες εγγυήσεις, από μη κερδοσκοπικό φορέα ο οποίος συνιστά μονάδα ενσωματωμένη σε όργανο ή οργανισμό της Ένωσης και επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του εν λόγω φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του, και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων, |
ε) |
η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων, |
στ) |
η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν το Δικαστήριο ενεργεί υπό τη δικαιοδοτική του ιδιότητα, |
ζ) |
η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης, το οποίο είναι αναλογικό προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων, |
η) |
η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του δικαίου της Ένωσης ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3, |
θ) |
η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή |
ι) |
η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης, οι οποίοι είναι αναλογικοί προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων. |
3. Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο, το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.
Άρθρο 11
Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αξιόποινες πράξεις ή σχετικά μέτρα ασφάλειας βάσει του άρθρου 5 παράγραφος 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εφόσον η επεξεργασία αυτή επιτρέπεται από το δίκαιο της Ένωσης, το οποίο προβλέπει κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
Άρθρο 12
Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας
1. Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για τον σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.
2. Όταν, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. Στις περιπτώσεις αυτές, τα άρθρα 17 ως 22 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.
Άρθρο 13
Εγγυήσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς
Η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.
ΚΕΦΑΛΑΙΟ III
ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
ΤΜΗΜΑ 1
Διαφάνεια και ρυθμίσεις
Άρθρο 14
Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων
1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 15 και 16 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 17 έως 24 και του άρθρου 35 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.
2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 17 έως 24. Στις περιπτώσεις που προβλέπονται στο άρθρο 12 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 17 έως 24, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.
3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 17 έως 24 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.
4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και άσκησης δικαστικής προσφυγής.
5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 15 και 16 και κάθε ανακοίνωση, καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 17 έως 24 και το άρθρο 35 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα. Ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.
6. Με την επιφύλαξη του άρθρου 12, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 17 έως 23, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 15 και 16 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.
8. Όταν η Επιτροπή εκδώσει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 12 παράγραφος 8 του κανονισμού (ΕΕ) 2016/679 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων, τα όργανα και οι οργανισμοί της Ένωσης παρέχουν, όπου ενδείκνυται, τις πληροφορίες που προβλέπονται στα άρθρα 15 και 16 του παρόντος κανονισμού σε συνδυασμό με τα εν λόγω τυποποιημένα εικονίδια.
ΤΜΗΜΑ 2
Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα
Άρθρο 15
Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων
1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:
α) |
την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, |
β) |
τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
γ) |
τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, |
δ) |
τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν, |
ε) |
κατά περίπτωση, την πρόθεση του υπεύθυνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 48, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν. |
2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας:
α) |
το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, |
β) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, |
γ) |
όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, |
δ) |
το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, |
ε) |
κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών, |
στ) |
την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
3. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
4. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες.
Άρθρο 16
Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεχθεί από το υποκείμενο των δεδομένων
1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεχθεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:
α) |
την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, |
β) |
τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
γ) |
τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, |
δ) |
τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, |
ε) |
τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν, |
στ) |
κατά περίπτωση, την πρόθεση του υπεύθυνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 48, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν. |
2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:
α) |
το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, |
β) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, |
γ) |
όταν η επεξεργασία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο δ) ή στο άρθρο 10 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, |
δ) |
το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, |
ε) |
την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό, |
στ) |
την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:
α) |
εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, |
β) |
εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή |
γ) |
εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά. |
4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον εν λόγω άλλο σκοπό και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:
α) |
το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες, |
β) |
η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας, |
γ) |
η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης, το οποίο προβλέπει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, ή |
δ) |
εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου. |
6. Στις περιπτώσεις που αναφέρονται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών καθώς και του έννομου συμφέροντος του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό.
Άρθρο 17
Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
α) |
τους σκοπούς της επεξεργασίας, |
β) |
τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, |
γ) |
τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς, |
δ) |
εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, |
ε) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος εναντίωσης στην εν λόγω επεξεργασία, |
στ) |
το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, |
ζ) |
όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους, |
η) |
την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 24 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 48 σχετικά με τη διαβίβαση.
3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.
4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
ΤΜΗΜΑ 3
Διόρθωση και διαγραφή
Άρθρο 18
Δικαίωμα διόρθωσης
Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.
Άρθρο 19
Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) |
τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, |
β) |
το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, |
γ) |
το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, |
δ) |
τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα, |
ε) |
τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας, |
στ) |
τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1. |
2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπεύθυνους επεξεργασίας ή υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης, οι οποίοι επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:
α) |
για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, |
β) |
για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, |
γ) |
για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 10 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 10 παράγραφος 3, |
δ) |
για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή |
ε) |
για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. |
Άρθρο 20
Δικαίωμα περιορισμού της επεξεργασίας
1. Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) |
η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια, συμπεριλαμβανομένης της πληρότητας, των δεδομένων προσωπικού χαρακτήρα, |
β) |
η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους, |
γ) |
ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, |
δ) |
το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 23 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων. |
2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.
4. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, ο περιορισμός της επεξεργασίας εξασφαλίζεται καταρχήν με τεχνικά μέσα. Το γεγονός ότι τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε περιορισμό αναγράφεται στο σύστημα κατά τρόπο ώστε να καθίσταται σαφές ότι τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν.
Άρθρο 21
Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 18, το άρθρο 19 παράγραφος 1 και το άρθρο 20 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.
Άρθρο 22
Δικαίωμα στη φορητότητα των δεδομένων
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:
α) |
η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο δ) ή το άρθρο 10 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο γ), και |
β) |
η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα. |
2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον ή σε υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 19. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
ΤΜΗΜΑ 4
Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων
Άρθρο 23
Δικαίωμα εναντίωσης
1. Το υποκείμενο των δεδομένων δικαιούται να εναντιώνεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν η οποία βασίζεται στο άρθρο 5 παράγραφος 1 στοιχείο α), περιλαμβανομένης της κατάρτισης προφίλ βάσει της εν λόγω διάταξης. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
2. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στην παράγραφο 1 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
3. Με την επιφύλαξη των άρθρων 36 και 37, στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του εναντίωσης με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.
4. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων δικαιούται να εναντιωθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για λόγους δημόσιου συμφέροντος.
Άρθρο 24
Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.
2. Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:
α) |
είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας, |
β) |
επιτρέπεται από το δίκαιο της Ένωσης, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή |
γ) |
βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων. |
3. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπεύθυνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.
4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 παράγραφος 1, εκτός αν ισχύει το άρθρο 10 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
ΤΜΗΜΑ 5
Περιορισμοί
Άρθρο 25
Περιορισμοί
1. Νομικές πράξεις που εκδίδονται βάσει των Συνθηκών ή, σε θέματα που άπτονται της λειτουργίας των οργάνων και οργανισμών της Ένωσης, βάσει των εσωτερικών κανονισμών των τελευταίων μπορεί να περιορίζουν την εφαρμογή των άρθρων 14 έως 22 και των άρθρων 35 και 36, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
α) |
της εθνικής ασφάλειας, της δημόσιας ασφάλειας ή της άμυνας των κρατών μελών, |
β) |
της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών, |
γ) |
άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως των στόχων της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας της Ένωσης ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης, |
δ) |
της εσωτερικής ασφάλειας των οργάνων και οργανισμών της Ένωσης, συμπεριλαμβανομένων των δικτύων ηλεκτρονικών επικοινωνιών τους, |
ε) |
της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών, |
στ) |
της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, |
ζ) |
της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως γ), |
η) |
της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, |
θ) |
της εκτέλεσης αστικών αξιώσεων. |
2. Ειδικότερα, κάθε νομική πράξη ή εσωτερικός κανονισμός που αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις, ανάλογα με την περίπτωση, όσον αφορά:
α) |
τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας, |
β) |
τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, |
γ) |
το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν, |
δ) |
τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης, |
ε) |
τις τεχνικές προδιαγραφές του υπεύθυνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας, |
στ) |
τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας, και |
ζ) |
τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. |
3. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί που θεσπίστηκαν από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
4. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης, στο οποίο μπορεί να περιλαμβάνονται και εσωτερικοί κανονισμοί που θεσπίστηκαν από όργανα και οργανισμούς της Ένωσης για ζητήματα που αφορούν τη λειτουργία τους, μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 17, 18, 20, 21, 22 και 23, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 13, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
5. Οι εσωτερικοί κανονισμοί που αναφέρονται στις παραγράφους 1, 3 και 4 είναι πράξεις γενικής εφαρμογής διατυπωμένες με σαφήνεια και ακρίβεια που προορίζονται να παραγάγουν έννομα αποτελέσματα έναντι των υποκειμένων των δεδομένων, έχουν θεσπιστεί στο ανώτατο διοικητικό επίπεδο των οργάνων και οργανισμών της Ένωσης και αποτελούν αντικείμενο δημοσίευσης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
6. Όταν επιβάλλεται περιορισμός σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων ενημερώνεται, σύμφωνα με το δίκαιο της Ένωσης, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό, καθώς και για το δικαίωμά του να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
7. Όταν γίνεται επίκληση περιορισμού που έχει επιβληθεί σύμφωνα με την παράγραφο 1 για να απαγορευθεί η πρόσβαση στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων του γνωστοποιεί απλώς, όταν εξετάζει την καταγγελία, εάν η επεξεργασία των δεδομένων έγινε με τον προσήκοντα τρόπο και, εάν όχι, για το κατά πόσον πραγματοποιήθηκαν όλες οι αναγκαίες διορθώσεις.
8. Η ενημέρωση που προβλέπεται στις παραγράφους 6 και 7 του παρόντος άρθρου και στο άρθρο 45 παράγραφος 2 μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει της παραγράφου 1 του παρόντος άρθρου την ισχύ του.
ΚΕΦΑΛΑΙΟ IV
ΥΠΕΥΘΥΝΟΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
ΤΜΗΜΑ 1
Γενικές υποχρεώσεις
Άρθρο 26
Ευθύνη του υπεύθυνου επεξεργασίας
1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.
3. Η εφαρμογή εγκεκριμένων διαδικασιών πιστοποίησης κατά τα προβλεπόμενα στο άρθρο 42 του κανονισμού (ΕΕ) 2016/679 μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η τήρηση των υποχρεώσεων του υπευθύνου επεξεργασίας.
Άρθρο 27
Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού
1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
3. Εγκεκριμένη διαδικασία πιστοποίησης σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.
Άρθρο 28
Από κοινού υπεύθυνοι επεξεργασίας
1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας ή ένας ή περισσότεροι υπεύθυνοι επεξεργασίας με έναν ή περισσότερους υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπεύθυνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που υπέχουν στον τομέα της προστασίας των δεδομένων, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους όσον αφορά την παροχή των πληροφοριών που αναφέρονται στα άρθρα 15 και 16, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι από κοινού υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.
2. Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.
3. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.
Άρθρο 29
Εκτελών την επεξεργασία
1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπεύθυνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπεύθυνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
α) |
επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπεύθυνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος, |
β) |
διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας, |
γ) |
λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 33, |
δ) |
τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος επεξεργασία, |
ε) |
λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπεύθυνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων, |
στ) |
συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 33 έως 41, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία, |
ζ) |
κατ’ επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα, |
η) |
θέτει στη διάθεση του υπεύθυνου του επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας. |
Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.
4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπεύθυνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπεύθυνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος επεξεργασία.
5. Όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, η τήρηση εκ μέρους του εγκεκριμένου κώδικα δεοντολογίας κατά τα προβλεπόμενα στο άρθρο 40 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 ή εγκεκριμένου μηχανισμού πιστοποίησης κατά τα προβλεπόμενα στο άρθρο 42 του κανονισμού (ΕΕ) 2016/679 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς εγγυήσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.
6. Με την επιφύλαξη τυχόν ατομικής σύμβασης μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον εκτελούντα την επεξεργασία ο οποίος δεν είναι όργανο ή οργανισμός της Ένωσης σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679.
7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 96 παράγραφος 2.
8. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4.
9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 είναι έγγραφη, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.
10. Με την επιφύλαξη των άρθρων 65 και 66, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
Άρθρο 30
Επεξεργασία υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία
Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους.
Άρθρο 31
Αρχεία των δραστηριοτήτων επεξεργασίας
1. Κάθε υπεύθυνος επεξεργασίας τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
α) |
το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, του υπεύθυνου προστασίας δεδομένων και, κατά περίπτωση, του εκτελούντος της επεξεργασία και του από κοινού υπεύθυνου επεξεργασίας, |
β) |
τους σκοπούς της επεξεργασίας, |
γ) |
περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, |
δ) |
τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε κράτη μέλη, τρίτες χώρες ή διεθνείς οργανισμούς, |
ε) |
όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων, |
στ) |
όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διαφόρων κατηγοριών δεδομένων, |
ζ) |
όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33. |
2. Κάθε εκτελών επεξεργασία τηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπεύθυνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής:
α) |
το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και κάθε υπεύθυνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών, καθώς και του υπεύθυνου προστασίας δεδομένων, |
β) |
τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπεύθυνου επεξεργασίας, |
γ) |
όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και της τεκμηρίωσης των κατάλληλων εγγυήσεων, |
δ) |
όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 33. |
3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 τηρούνται γραπτώς, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.
4. Τα όργανα και οι οργανισμοί της Ένωσης θέτουν το αρχείο στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.
5. Τα όργανα και οι οργανισμοί της Ένωσης τηρούν τα αρχεία των δραστηριοτήτων επεξεργασίας τους σε κεντρικό μητρώο εφόσον αυτό δεν αντενδείκνυται λόγω μεγέθους του οργάνου ή του οργανισμού της Ένωσης. Καθιστούν το μητρώο δημόσια προσβάσιμο.
Άρθρο 32
Συνεργασία με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
Τα όργανα και οι οργανισμοί της Ένωσης συνεργάζονται, κατόπιν αιτήματος, με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά την άσκηση των καθηκόντων του.
ΤΜΗΜΑ 2
Ασφάλεια των δεδομένων προσωπικού χαρακτήρα
Άρθρο 33
Ασφάλεια της επεξεργασίας
1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
α) |
της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, |
β) |
της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, |
γ) |
της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, |
δ) |
διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. |
2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης.
4. Η τήρηση μιας εγκεκριμένης διαδικασίας πιστοποίησης, σύμφωνα με το άρθρο 42 του κανονισμού (ΕΕ) 2016/679, μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στην παράγραφο 1 του παρόντος άρθρου.
Άρθρο 34
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Όταν η γνωστοποίηση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο:
α) |
περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα, |
β) |
ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
γ) |
περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, |
δ) |
περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. |
4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
5. Ο υπεύθυνος επεξεργασίας ενημερώνει τον υπεύθυνο προστασίας δεδομένων για την παραβίαση των δεδομένων προσωπικού χαρακτήρα.
6. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, τεκμηρίωση που περιλαμβάνει τα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
Άρθρο 35
Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 34 παράγραφος 3 στοιχεία β), γ) και δ).
3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α) |
ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση, |
β) |
ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, |
γ) |
προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή λαμβάνεται παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο. |
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.
ΤΜΗΜΑ 3
Απόρρητο των ηλεκτρονικών επικοινωνιών
Άρθρο 36
Απόρρητο των ηλεκτρονικών επικοινωνιών
Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών, ιδίως μεριμνώντας για την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών τους.
Άρθρο 37
Προστασία πληροφοριών που έχουν διαβιβαστεί και αποθηκευτεί σε τερματικό εξοπλισμό χρηστών, σχετίζονται με τον εξοπλισμό αυτόν, έχουν υποστεί επεξεργασία σε αυτόν και έχουν ανακτηθεί από αυτόν
Τα όργανα και οι οργανισμοί της Ένωσης μεριμνούν για την προστασία των πληροφοριών που έχουν διαβιβαστεί και αποθηκευτεί σε τερματικό εξοπλισμό χρηστών, σχετίζονται με τον εξοπλισμό αυτόν, έχουν υποστεί επεξεργασία σε αυτόν και έχουν ανακτηθεί από αυτόν, κατά την πρόσβαση στους δικτυακούς τόπους τους και σε εφαρμογές για φορητές συσκευές σύμφωνα με το άρθρο 5 παράγραφος 3 της οδηγίας 2002/58/ΕΚ.
Άρθρο 38
Κατάλογοι χρηστών
1. Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε καταλόγους χρηστών και η πρόσβαση στους καταλόγους αυτούς περιορίζονται σε ό,τι είναι απολύτως αναγκαίο για τους ειδικούς σκοπούς του καταλόγου.
2. Τα όργανα και οι οργανισμοί της Ένωσης λαμβάνουν όλα τα αναγκαία μέτρα προκειμένου τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στους καταλόγους αυτούς να μη χρησιμοποιούνται για άμεση προώθηση προϊόντων, ανεξάρτητα από το εάν τα δεδομένα αυτά είναι ή όχι προσιτά στο κοινό.
ΤΜΗΜΑ 4
Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και προηγούμενη διαβούλευση
Άρθρο 39
Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων
1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.
3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων απαιτείται ιδίως στην περίπτωση:
α) |
συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, |
β) |
μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 10 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 11, ή |
γ) |
συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα. |
4. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1.
5. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων.
6. Πριν από την έγκριση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5 του παρόντος άρθρου, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ζητά από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που έχει συσταθεί με το άρθρο 68 του κανονισμού (ΕΕ) 2016/679 να εξετάσει τους καταλόγους αυτούς σύμφωνα με το άρθρο 70 παράγραφος 1 στοιχείο ε) του εν λόγω κανονισμού, όταν αναφέρονται σε πράξεις επεξεργασίας από υπεύθυνο επεξεργασίας που ενεργεί από κοινού με έναν ή περισσότερους υπεύθυνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης.
7. Η εκτίμηση περιέχει τουλάχιστον:
α) |
συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, |
β) |
εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς, |
γ) |
εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και |
δ) |
τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων. |
8. Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 του κανονισμού (ΕΕ) 2016/679 από τους σχετικούς εκτελούντες την επεξεργασία, εκτός των οργάνων και οργανισμών της Ένωσης, λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.
9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.
10. Όταν η επεξεργασία βάσει του άρθρου 5 παράγραφος 1 στοιχείο α) ή β) έχει νομική βάση σε νομική πράξη που έχει εκδοθεί βάσει των Συνθηκών, η εν λόγω πράξη ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου πριν από την έγκριση της εν λόγω νομικής πράξης, οι παράγραφοι 1 έως 6 του παρόντος άρθρου δεν εφαρμόζονται, εκτός εάν προβλέπεται διαφορετικά στην εν λόγω νομική πράξη.
11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.
Άρθρο 40
Προηγούμενη διαβούλευση
1. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την επεξεργασία όταν η δυνάμει του άρθρου 39 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς εγγυήσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων σχετικά με την ανάγκη προηγούμενης διαβούλευσης.
2. Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας και, όπου απαιτείται, στον εκτελούντα την επεξεργασία εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες του που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.
3. Κατά τη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων:
α) |
κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπεύθυνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στην επεξεργασία, |
β) |
τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας, |
γ) |
τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό, |
δ) |
τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
ε) |
την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 39 και |
στ) |
κάθε άλλη πληροφορία που ζητεί ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. |
4. Η Επιτροπή μπορεί, μέσω εκτελεστικής πράξης, να καταρτίσει κατάλογο με τις περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας διαβουλεύονται με, και λαμβάνουν προηγούμενη άδεια από, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε σχέση με επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται για την εκπλήρωση από τον υπεύθυνο επεξεργασίας καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας δεδομένων σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.
ΤΜΗΜΑ 5
Ενημέρωση και νομοθετική διαβούλευση
Άρθρο 41
Ενημέρωση και διαβούλευση
1. Τα όργανα και οι οργανισμοί της Ένωσης ενημερώνουν τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων οσάκις εκπονούν διοικητικά μέτρα και εσωτερικούς κανονισμούς που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία μετέχει όργανο ή οργανισμός της Ένωσης, είτε αυτοτελώς είτε από κοινού με άλλους.
2. Τα όργανα και οι οργανισμοί της Ένωσης διαβουλεύονται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων οσάκις εκπονούν τους εσωτερικούς κανονισμούς που αναφέρονται στο άρθρο 25.
Άρθρο 42
Νομοθετική διαβούλευση
1. Η Επιτροπή, μετά την έγκριση προτάσεων νομοθετικών πράξεων και συστάσεων ή προτάσεων προς το Συμβούλιο δυνάμει του άρθρου 218 ΣΛΕΕ ή κατά την επεξεργασία κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων όταν υπάρχει αντίκτυπος στην προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
2. Όταν πράξη που αναφέρεται στην παράγραφο 1 είναι ιδιαίτερα σημαντική για την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή δύναται επίσης να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στις περιπτώσεις αυτές, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συντονίζουν τις εργασίες τους με σκοπό την έκδοση κοινής γνωμοδότησης.
3. Οι συμβουλές που αναφέρονται στις παραγράφους 1 και 2 παρέχονται γραπτώς εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης που αναφέρεται στις παραγράφους 1 και 2. Σε επείγουσες περιπτώσεις ή εάν αυτό κρίνεται σκόπιμο για άλλους λόγους, η Επιτροπή μπορεί να ορίζει συντομότερη προθεσμία.
4. Το παρόν άρθρο δεν εφαρμόζεται όταν η Επιτροπή υποχρεούται, δυνάμει του κανονισμού (ΕΕ) 2016/679, να διαβουλεύεται με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.
ΤΜΗΜΑ 6
Υπεύθυνος προστασίας δεδομένων
Άρθρο 43
Ορισμός του υπεύθυνου προστασίας δεδομένων
1. Κάθε όργανο ή οργανισμός της Ένωσης ορίζει υπεύθυνο προστασίας δεδομένων.
2. Τα όργανα και οι οργανισμοί της Ένωσης μπορούν να ορίζουν έναν μόνο υπεύθυνο προστασίας δεδομένων για περισσότερα του ενός όργανα ή οργανισμούς, ανάλογα με την οργανωτική δομή και το μέγεθός τους.
3. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 45.
4. Ο υπεύθυνος προστασίας δεδομένων είναι μέλος του προσωπικού του οργάνου ή οργανισμού της Ένωσης. Λαμβάνοντας υπόψη το μέγεθός τους, και εφόσον δεν γίνεται χρήση της επιλογής της παραγράφου 2, τα όργανα και οι οργανισμοί της Ένωσης δύνανται να ορίζουν έναν υπεύθυνο προστασίας δεδομένων που ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
5. Τα όργανα και οι οργανισμοί της Ένωσης δημοσιεύουν τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων και τα ανακοινώνουν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
Άρθρο 44
Θέση του υπεύθυνου προστασίας δεδομένων
1. Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
2. Τα όργανα και οι οργανισμοί της Ένωσης στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 45 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
3. Τα όργανα και οι οργανισμοί της Ένωσης διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.
5. Ο υπεύθυνος προστασίας δεδομένων και το προσωπικό που υπάγεται σε αυτόν δεσμεύονται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων τους, σύμφωνα με το δίκαιο της Ένωσης.
6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.
7. Ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία, η οικεία επιτροπή προσωπικού και κάθε φυσικό πρόσωπο μπορούν να συμβουλεύονται τον υπεύθυνο προστασίας δεδομένων ως προς κάθε θέμα που άπτεται της ερμηνείας ή της εφαρμογής του παρόντος κανονισμού, χωρίς να ακολουθούν την επίσημη οδό. Ουδείς επιτρέπεται να υποστεί ζημία για θέμα που τίθεται στη γνώση του υπεύθυνου προστασίας δεδομένων που είναι αρμόδιος, σχετικά με ισχυρισμό ότι έχει λάβει χώρα παραβίαση των διατάξεων του παρόντος κανονισμού.
8. Ο υπεύθυνος προστασίας δεδομένων διορίζεται για θητεία διάρκειας τριών έως πέντε ετών με δυνατότητα ανανέωσης. Ο υπεύθυνος προστασίας δεδομένων είναι δυνατό να απαλλάσσεται από τα καθήκοντά του από το όργανο ή τον οργανισμό της Ένωσης που τον διόρισε εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του και μόνο με τη συγκατάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
9. Το όργανο ή ο οργανισμός της Ένωσης που διορίζει τον υπεύθυνο προστασίας δεδομένων γνωστοποιεί εν συνεχεία το όνομα αυτού στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
Άρθρο 45
Καθήκοντα του υπεύθυνου προστασίας δεδομένων
1. Ο υπεύθυνος προστασίας δεδομένων έχει τα ακόλουθα καθήκοντα:
α) |
ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης σχετικά με την προστασία των δεδομένων, |
β) |
διασφαλίζει με ανεξάρτητο τρόπο την εσωτερική εφαρμογή του παρόντος κανονισμού και παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες ισχύουσες νομοθετικές πράξεις του ενωσιακού δικαίου που περιέχουν διατάξεις για την προστασία των δεδομένων και με τις πολιτικές του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ενίσχυσης της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, |
γ) |
διασφαλίζει ότι τα υποκείμενα των δεδομένων ενημερώνονται για τα δικαιώματα και τις υποχρεώσεις τους βάσει του παρόντος κανονισμού, |
δ) |
παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την αναγκαιότητα γνωστοποίησης ή ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα βάσει των άρθρων 34 και 35, |
ε) |
παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 39, και διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση αμφιβολίας όσον αφορά την ανάγκη διενέργειας εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, |
στ) |
παρέχει συμβουλές, κατόπιν σχετικού αιτήματος, όσον αφορά την ανάγκη προηγούμενης διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 40· διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση αμφιβολίας όσον αφορά την ανάγκη προηγούμενης διαβούλευσης, |
ζ) |
ανταποκρίνεται στα αιτήματα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων· στο πλαίσιο της αρμοδιότητάς του, συνεργάζεται και διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, είτε κατόπιν αιτήματος του τελευταίου είτε με δική του πρωτοβουλία, |
η) |
διασφαλίζει ότι τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων δεν θίγονται από τις δραστηριότητες επεξεργασίας. |
2. Ο υπεύθυνος προστασίας δεδομένων δύναται να διατυπώνει συστάσεις προς τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία για τη βελτίωση στην πράξη της προστασίας των δεδομένων και να τους συμβουλεύει σχετικά με θέματα που άπτονται της εφαρμογής των διατάξεων για την προστασία των δεδομένων. Περαιτέρω, μπορεί να προβαίνει, είτε με δική του πρωτοβουλία είτε κατόπιν αιτήματος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, της οικείας επιτροπής προσωπικού ή οποιουδήποτε φυσικού προσώπου, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και που υποπίπτουν στην αντίληψή του και να ενημερώνει το πρόσωπο το οποίο ζήτησε την έρευνα ή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία.
3. Κάθε όργανο ή οργανισμός της Ένωσης θεσπίζει συμπληρωματικές διατάξεις εφαρμογής σχετικά με τον υπεύθυνο προστασίας δεδομένων. Οι διατάξεις εφαρμογής αφορούν, ιδίως, τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπεύθυνου προστασίας δεδομένων.
ΚΕΦΑΛΑΙΟ V
ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
Άρθρο 46
Γενικές αρχές για διαβιβάσεις
Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.
Άρθρο 47
Διαβιβάσεις βάσει απόφασης περί επάρκειας
1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει, βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 ή του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, ότι η τρίτη χώρα, έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ο εν λόγω διεθνής οργανισμός εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα αποβλέπει αποκλειστικά στο να διευκολύνει την εκτέλεση καθήκοντος που εμπίπτει στην αρμοδιότητα του υπεύθυνου επεξεργασίας.
2. Τα όργανα και οι οργανισμοί της Ένωσης ενημερώνουν την Επιτροπή και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση που κρίνουν ότι τρίτη χώρα, έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή συγκεκριμένος διεθνής οργανισμός δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 1.
3. Τα όργανα και οι οργανισμοί της Ένωσης λαμβάνουν τα μέτρα που είναι απαραίτητα για να συμμορφωθούν με τις αποφάσεις που λαμβάνει η Επιτροπή όταν διαπιστώνει, κατ’ εφαρμογή του άρθρου 45 παράγραφος 3 ή 5 του κανονισμού (ΕΕ) 2016/679 ή του άρθρου 36 παράγραφος 3 ή 5 της οδηγίας (ΕΕ) 2016/680, ότι τρίτη χώρα, έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή διεθνής οργανισμός διασφαλίζει ή δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας.
Άρθρο 48
Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις
1. Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 ή του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.
2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, μέσω:
α) |
νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων, |
β) |
τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 96 παράγραφος 2, |
γ) |
τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 96 παράγραφος 2, |
δ) |
όταν ο εκτελών την επεξεργασία δεν είναι όργανο ή οργανισμός της Ένωσης, δεσμευτικών εταιρικών κανόνων, κωδίκων δεοντολογίας ή μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχεία β), ε) και στ) του κανονισμού (ΕΕ) 2016/679. |
3. Με την επιφύλαξη της άδειας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:
α) |
συμβατικών ρητρών μεταξύ του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπεύθυνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό, ή |
β) |
διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων. |
4. Οι άδειες από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων βάσει του άρθρου 9 παράγραφος 7 του κανονισμού (ΕΚ) αριθ. 45/2001 παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
5. Τα όργανα και οι οργανισμοί της Ένωσης γνωστοποιούν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατηγορίες περιπτώσεων στις οποίες εφαρμόστηκε το παρόν άρθρο.
Άρθρο 49
Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης
Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή κατ’ οποιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.
Άρθρο 50
Παρεκκλίσεις για ειδικές καταστάσεις
1. Σε περίπτωση απουσίας απόφασης περί επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 ή του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, ή απουσίας κατάλληλων εγγυήσεων δυνάμει του άρθρου 48 του παρόντος κανονισμού, διαβίβαση ή σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:
α) |
το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων, |
β) |
η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων, |
γ) |
η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπεύθυνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου, |
δ) |
η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος, |
ε) |
η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, |
στ) |
η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του, ή |
ζ) |
η διαβίβαση πραγματοποιείται από μητρώο το οποίο, σύμφωνα με το δίκαιο της Ένωσης, προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης για την αναζήτηση πληροφοριών. |
2. Τα στοιχεία α), β) και γ) της παραγράφου 1 δεν εφαρμόζονται σε δραστηριότητες που εκτελούνται από όργανα και οργανισμούς της Ένωσης κατά την άσκηση των δημόσιων εξουσιών τους.
3. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης.
4. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο, εκτός εάν αυτό επιτρέπεται από το δίκαιο της Ένωσης. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.
5. Ελλείψει απόφασης περί επάρκειας, το δίκαιο της Ένωσης μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό.
6. Τα όργανα και οι οργανισμοί της Ένωσης γνωστοποιούν στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατηγορίες περιπτώσεων στις οποίες εφαρμόστηκε το παρόν άρθρο.
Άρθρο 51
Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα
Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, σε συνεργασία με την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, λαμβάνει κατάλληλα μέτρα με σκοπό:
α) |
την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, |
β) |
την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών, |
γ) |
τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, |
δ) |
την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες. |
ΚΕΦΑΛΑΙΟ VI
ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 52
Ευρωπαίος Επόπτης Προστασίας Δεδομένων
1. Συστήνεται Ευρωπαίος Επόπτης Προστασίας Δεδομένων.
2. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επιφορτισμένος να εξασφαλίζει ότι τα όργανα και οι οργανισμοί της Ένωσης σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ιδίως δε το δικαίωμά τους στην προστασία των δεδομένων.
3. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι επιφορτισμένος με την παρακολούθηση και την εξασφάλιση της εφαρμογής των διατάξεων του παρόντος κανονισμού και κάθε άλλης ενωσιακής πράξης στον τομέα της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από όργανο ή οργανισμό της Ένωσης, και για την παροχή συμβουλών προς τα όργανα και τους οργανισμούς της Ένωσης και προς τα υποκείμενα των δεδομένων για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Προς τους σκοπούς αυτούς, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντα που προβλέπονται στο άρθρο 57 και ασκεί τις αρμοδιότητες που του ανατίθενται δυνάμει του άρθρου 58.
4. Ο κανονισμός (ΕΚ) αριθ. 1049/2001 εφαρμόζεται στα έγγραφα που τηρεί ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θεσπίζει λεπτομερείς κανόνες για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 1049/2001 όσον αφορά τα έγγραφα αυτά.
Άρθρο 53
Διορισμός του Ευρωπαίου Επόπτη Προστασίας Δεδομένων
1. Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο διορίζουν, με κοινή συμφωνία, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για πέντε έτη, βάσει καταλόγου που συντάσσει η Επιτροπή έπειτα από δημόσια πρόσκληση υποβολής υποψηφιοτήτων. Η εν λόγω πρόσκληση υποβολής υποψηφιοτήτων επιτρέπει σε όλους τους ενδιαφερομένους στο σύνολο της Ένωσης να υποβάλουν την υποψηφιότητά τους. Ο κατάλογος υποψηφίων που συντάσσει η Επιτροπή είναι δημόσιος και περιλαμβάνει τουλάχιστον τρεις υποψηφίους. Η αρμόδια επιτροπή του Ευρωπαϊκού Κοινοβουλίου μπορεί, με βάση τον κατάλογο που συντάσσει η Επιτροπή, να αποφασίσει να διοργανώσει ακρόαση προκειμένου να μπορέσει να διαμορφώσει γνώμη.
2. Ο κατάλογος υποψηφίων που αναφέρεται στην παράγραφο 1 περιλαμβάνει πρόσωπα τα οποία παρέχουν εχέγγυα ανεξαρτησίας και διαθέτουν ειδικές γνώσεις στον τομέα της προστασίας των δεδομένων, καθώς και αξιόλογη εμπειρία και ικανότητες για την εκπλήρωση των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
3. Η θητεία του Ευρωπαίου Επόπτη Προστασίας Δεδομένων είναι ανανεώσιμη άπαξ.
4. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παύει να ασκεί τα καθήκοντά του στις ακόλουθες περιπτώσεις:
α) |
αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων αντικατασταθεί, |
β) |
αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παραιτηθεί, |
γ) |
αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων απαλλαχθεί από τα καθήκοντά του ή εξαναγκαστεί σε υποχρεωτική συνταξιοδότηση. |
5. Το Δικαστήριο δύναται να απαλλάξει τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων από τα καθήκοντά του ή να τον κηρύξει έκπτωτο από το δικαίωμα παροχής σύνταξης ή άλλων ευεργετημάτων που εξομοιούνται με σύνταξη, κατόπιν αίτησης του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής, εάν παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή εάν διαπράξει βαρύ παράπτωμα.
6. Στις περιπτώσεις κανονικής αντικατάστασης και εκούσιας παραίτησης, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παραμένει ωστόσο εν υπηρεσία μέχρι την αντικατάστασή του.
7. Τα άρθρα 11 έως 14 και το άρθρο 17 του πρωτοκόλλου περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης ισχύουν και για τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
Άρθρο 54
Καθεστώς και γενικοί όροι άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ανθρώπινο δυναμικό και οικονομικοί πόροι
1. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξομοιώνεται με δικαστή του Δικαστηρίου όσον αφορά τον καθορισμό του μισθού του, των επιδομάτων του, της σύνταξης αρχαιότητας, καθώς και κάθε άλλης παροχής που εξομοιώνεται με αποδοχές.
2. Η αρμόδια επί του προϋπολογισμού αρχή φροντίζει ώστε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων να διαθέτει το ανθρώπινο δυναμικό και τους οικονομικούς πόρους που χρειάζονται για την εκτέλεση των καθηκόντων του.
3. Ο προϋπολογισμός του Ευρωπαίου Επόπτη Προστασίας Δεδομένων περιλαμβάνεται σε ειδική γραμμή του τμήματος του γενικού προϋπολογισμού της Ένωσης που αναφέρεται στις διοικητικές δαπάνες.
4. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων επικουρείται από γραμματεία. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας διορίζονται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, των οποίων είναι ο ιεραρχικά προϊστάμενος και στον οποίο υπάγονται αποκλειστικά. Ο αριθμός τους καθορίζεται κάθε χρόνο στο πλαίσιο της διαδικασίας του προϋπολογισμού. Το άρθρο 75 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 ισχύει για το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην εκτέλεση των καθηκόντων που ανατίθενται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων από το ενωσιακό δίκαιο.
5. Οι υπάλληλοι και τα μέλη του λοιπού προσωπικού της γραμματείας του Ευρωπαίου Επόπτη Προστασίας Δεδομένων υπόκεινται στους κανονισμούς και τις ρυθμίσεις που εφαρμόζονται στους υπαλλήλους και το λοιπό προσωπικό της Ένωσης.
6. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει την έδρα του στις Βρυξέλλες.
Άρθρο 55
Ανεξαρτησία
1. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντά του και ασκεί τις εξουσίες του σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκτελεί τα καθήκοντά του και ασκεί τις εξουσίες του σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητεί ούτε λαμβάνει οδηγίες από κανέναν.
3. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, δεν ασκεί καμία άλλη επαγγελματική δραστηριότητα, αμειβόμενη ή μη.
4. Μετά τη λήξη της θητείας του, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων υποχρεούται να συμπεριφέρεται με ακεραιότητα και διακριτικότητα σε σχέση με την αποδοχή ορισμένων θέσεων και ευεργετημάτων.
Άρθρο 56
Επαγγελματικό απόρρητο
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και το προσωπικό του υποχρεούνται, τόσο κατά τη διάρκεια της θητείας τους όσο και μετά τη λήξη της, να τηρούν το επαγγελματικό απόρρητο όσον αφορά οποιεσδήποτε εμπιστευτικές πληροφορίες που έχουν περιέλθει σε γνώση τους κατά την εκτέλεση των καθηκόντων τους.
Άρθρο 57
Καθήκοντα
1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων:
α) |
παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού από όργανα και οργανισμούς της Ένωσης, με εξαίρεση την επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο της άσκησης των δικαιοδοτικών του καθηκόντων, |
β) |
προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά, |
γ) |
προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού, |
δ) |
κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, ενδεχομένως, συνεργάζεται για τον σκοπό αυτό με τις εθνικές εποπτικές αρχές, |
ε) |
χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 67 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή, |
στ) |
διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή, |
ζ) |
παρέχει συμβουλές, με δική του πρωτοβουλία ή κατόπιν αιτήματος, σε όλα τα όργανα και τους οργανισμούς της Ένωσης για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, |
η) |
παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών, |
θ) |
θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 29 παράγραφος 8 και του άρθρου 48 παράγραφος 2 στοιχείο γ), |
ι) |
καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 39 παράγραφος 4, |
ια) |
συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, |
ιβ) |
παρέχει τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, σύμφωνα με το άρθρο 75 του κανονισμού (ΕΕ) 2016/679, |
ιγ) |
παρέχει συμβουλές σχετικά με την επεξεργασία που αναφέρεται στο άρθρο 40 παράγραφος 2, |
ιδ) |
επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 48 παράγραφος 3, |
ιε) |
τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 παράγραφος 2, |
ιστ) |
εκπληρώνει κάθε άλλο καθήκον σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα, και |
ιζ) |
θεσπίζει τον εσωτερικό του κανονισμό. |
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο ε) με έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.
3. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ασκεί τα καθήκοντά του χωρίς επιβάρυνση για το υποκείμενο των δεδομένων.
4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.
Άρθρο 58
Εξουσίες
1. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες εξουσίες έρευνας:
α) |
να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων του, |
β) |
να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων, |
γ) |
να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού, |
δ) |
να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων του, |
ε) |
να έχει πρόσβαση στις εγκαταστάσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δίκαιο της Ένωσης. |
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες διορθωτικές εξουσίες:
α) |
να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού, |
β) |
να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού, |
γ) |
να παραπέμπει το θέμα στον αρμόδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία και, εάν παρίσταται αναγκαίο, να προσφεύγει στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή, |
δ) |
να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό, |
ε) |
να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστά τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας, |
στ) |
να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, |
ζ) |
να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας, |
η) |
να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 18, 19 και 20 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 19 παράγραφος 2 και του άρθρου 21, |
θ) |
να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 66, σε περίπτωση μη συμμόρφωσης του οργάνου ή οργανισμού της Ένωσης με κάποιο από τα μέτρα που αναφέρονται στα στοιχεία δ) έως η) και ι) της παρούσας παραγράφου και ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, |
ι) |
να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε κράτος μέλος, τρίτη χώρα ή σε διεθνή οργανισμό. |
3. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαθέτει τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:
α) |
να παρέχει συμβουλές στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους, |
β) |
να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 40 και σύμφωνα με το άρθρο 41 παράγραφος 2, |
γ) |
να εκδίδει, με δική του πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς τα όργανα και τους οργανισμούς της Ένωσης, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα, |
δ) |
να εγκρίνει τυποποιημένες ρήτρες προστασίας των δεδομένων του άρθρου 29 παράγραφος 8 και του άρθρου 48 παράγραφος 2 στοιχείο γ), |
ε) |
να επιτρέπει συμβατικές ρήτρες του άρθρου 48 παράγραφος 3 στοιχείο α), |
στ) |
να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 48 παράγραφος 3 στοιχείο β), |
ζ) |
να επιτρέπει πράξεις επεξεργασίας δυνάμει εκτελεστικών πράξεων που εκδίδονται βάσει του άρθρου 40 παράγραφος 4. |
4. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει την εξουσία να προσφεύγει στο Δικαστήριο υπό τους όρους που προβλέπουν οι Συνθήκες και να παρεμβαίνει σε υποθέσεις που φέρονται ενώπιον του Δικαστηρίου.
5. Η άσκηση εκ μέρους του Ευρωπαίου Επόπτη Προστασίας Δεδομένων των εξουσιών του δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης.
Άρθρο 59
Υποχρέωση υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία προς απάντηση σε ισχυρισμούς
Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 58 παράγραφος 2 στοιχεία α), β) και γ), ο οικείος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ενημερώνει τον Ευρωπαίο Επόπτης Προστασίας Δεδομένων για την άποψή του, εντός εύλογης προθεσμίας την οποία τάσσει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, λαμβάνοντας υπόψη τις περιστάσεις κάθε περίπτωσης. Η γνώμη αυτή περιλαμβάνει επίσης περιγραφή των μέτρων που έχουν ενδεχομένως ληφθεί, σε απάντηση των παρατηρήσεων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
Άρθρο 60
Έκθεση δραστηριοτήτων
1. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων υποβάλλει κάθε χρόνο στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή έκθεση δραστηριοτήτων και ταυτόχρονα τη δημοσιεύει.
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαβιβάζει την έκθεση που αναφέρεται στην παράγραφο 1 στα άλλα όργανα και τους οργανισμούς της Ένωσης, τα οποία μπορούν να υποβάλλουν παρατηρήσεις ενόψει της ενδεχόμενης εξέτασης της έκθεσης στο Ευρωπαϊκό Κοινοβούλιο.
ΚΕΦΑΛΑΙΟ VII
ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ
Άρθρο 61
Συνεργασία μεταξύ του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και των εθνικών εποπτικών αρχών
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων συνεργάζεται με τις εθνικές εποπτικές αρχές και με την κοινή εποπτική αρχή που συστήνεται δυνάμει του άρθρου 25 της απόφασης 2009/917/ΔΕΥ του Συμβουλίου (19) στον βαθμό που τούτο είναι αναγκαίο για την εκτέλεση των αντίστοιχων καθηκόντων τους, ιδίως ανταλλάσσοντας συναφείς πληροφορίες, καλώντας ο μεν τις δε και αντιστρόφως να ασκήσουν τις εξουσίες τους και ανταποκρινόμενοι σε αιτήματα που υποβάλλουν μεταξύ τους.
Άρθρο 62
Συντονισμένη εποπτεία από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές
1. Όταν ενωσιακή πράξη παραπέμπει στο παρόν άρθρο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και οι εθνικές εποπτικές αρχές, εντός του πεδίου των αντίστοιχων αρμοδιοτήτων τους, συνεργάζονται ενεργά στο πλαίσιο των ευθυνών τους προκειμένου να διασφαλίζεται η αποτελεσματική εποπτεία συστημάτων ΤΠ μεγάλης κλίμακας και οργάνων και οργανισμών της Ένωσης.
2. Στο πεδίο των αντίστοιχων αρμοδιοτήτων τους και στο πλαίσιο των καθηκόντων τους, ανταλλάσσουν, κατά τον δέοντα τρόπο, σχετικές πληροφορίες, συνδράμουν αλλήλους στη διενέργεια ελέγχων και επιθεωρήσεων, εξετάζουν τυχόν δυσκολίες όσον αφορά την ερμηνεία ή την εφαρμογή του παρόντος κανονισμού και των λοιπών ισχυουσών ενωσιακών πράξεων, διερευνούν προβλήματα που μπορεί να ανακύψουν κατά την άσκηση ανεξάρτητης εποπτείας ή κατά την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, συντάσσουν εναρμονισμένες προτάσεις ώστε να εξευρεθούν κοινές λύσεις σε τυχόν προβλήματα και προάγουν την ευαισθητοποίηση όσον αφορά τα δικαιώματα περί προστασίας των δεδομένων.
3. Για τους σκοπούς της παραγράφου 2, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και οι εθνικές εποπτικές αρχές συνεδριάζουν από κοινού τουλάχιστον δύο φορές τον χρόνο στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Για αυτούς τους σκοπούς, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί ενδεχομένως να αναπτύσσει πρόσθετες μεθόδους εργασίας.
4. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων υποβάλλει κάθε δύο χρόνια κοινή έκθεση δραστηριοτήτων σχετικά με τη συντονισμένη εποπτεία στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή.
ΚΕΦΑΛΑΙΟ VIII
ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 63
Δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
1. Με την επιφύλαξη τυχόν δικαστικής, διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο δεδομένων δικαιούται να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, εάν θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβαίνει τον παρόντα κανονισμό.
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει τον καταγγέλοντα για την πρόοδο και την έκβαση της καταγγελίας, περιλαμβανομένης της δυνατότητας άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 64.
3. Αν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θεωρείται ότι έχει λάβει αρνητική απόφαση.
Άρθρο 64
Δικαίωμα πραγματικής δικαστικής προσφυγής
1. Το Δικαστήριο είναι αρμόδιο για την εκδίκαση κάθε διαφοράς που σχετίζεται με τις διατάξεις του παρόντος κανονισμού, συμπεριλαμβανομένων των αξιώσεων αποζημίωσης.
2. Οι προσφυγές κατά αποφάσεων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, μεταξύ άλλων και κατά των αποφάσεων που αναφέρονται στο άρθρο 63 παράγραφος 3, ασκούνται ενώπιον του Δικαστηρίου.
3. Το Δικαστήριο έχει πλήρη δικαιοδοσία να εξετάζει τα διοικητικά πρόστιμα που αναφέρονται στην παράγραφο 66. Μπορεί να ακυρώσει, να μειώσει ή να αυξήσει τα πρόστιμα αυτά εντός των ορίων του άρθρου 66.
Άρθρο 65
Δικαίωμα αποζημίωσης
Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από το όργανο ή τον οργανισμό της Ένωσης για τη ζημία που υπέστη, υπό τις προϋποθέσεις που προβλέπονται στις Συνθήκες.
Άρθρο 66
Διοικητικά πρόστιμα
1. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δύναται να επιβάλλει διοικητικά πρόστιμα σε όργανα και οργανισμούς της Ένωσης, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, όταν το όργανο ή ο οργανισμός της Ένωσης δεν συμμορφώνεται με εντολή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχεία δ) ως η) και το άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:
α) |
η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή τον σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων δεδομένων που έθιξε η παράβαση και τον βαθμό ζημίας που υπέστησαν, |
β) |
οποιεσδήποτε ενέργειες στις οποίες προέβη το όργανο ή ο οργανισμός της Ένωσης για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων, |
γ) |
ο βαθμός ευθύνης του οργάνου ή του οργανισμού της Ένωσης, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 27 και 33, |
δ) |
τυχόν παρόμοιες προηγούμενες παραβάσεις του οργάνου ή του οργανισμού της Ένωσης, |
ε) |
ο βαθμός συνεργασίας με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της, |
στ) |
οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση, |
ζ) |
ο τρόπος με τον οποίο ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο το όργανο ή ο οργανισμός της Ένωσης κοινοποίησε την παράβαση, |
η) |
η συμμόρφωση με οποιαδήποτε από τα μέτρα που αναφέρονται στο άρθρο 58 και τα οποία διατάχθηκαν προηγουμένως κατά του εμπλεκόμενου οργάνου ή οργανισμού της Ένωσης σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα. Οι διαδικασίες που καταλήγουν στην επιβολή των εν λόγω προστίμων εκτελούνται εντός εύλογου χρονικού διαστήματος σύμφωνα με τις περιστάσεις της εκάστοτε περίπτωσης και λαμβάνοντας υπόψη τις σχετικές κυρώσεις και διαδικασίες του άρθρου 69. |
2. Παραβάσεις των υποχρεώσεων που υπέχει το όργανο ή ο οργανισμός της Ένωσης δυνάμει των άρθρων 8 και 12, των άρθρων 27 έως 35 και των άρθρων 39, 40, 43, 44 και 45 επισύρουν, σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, την επιβολή διοικητικών προστίμων ύψους έως 25 000 EUR ανά παράβαση και έως 250 000 EUR συνολικά ετησίως.
3. Παραβάσεις των ακόλουθων διατάξεων από όργανο ή οργανισμό της Ένωσης επισύρουν, σύμφωνα με την παράγραφο 1, την επιβολή διοικητικών προστίμων ύψους ως 50 000 EUR ανά παράβαση και έως 500 000 EUR συνολικά ετησίως:
α) |
των βασικών αρχών για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για τη συγκατάθεση, σύμφωνα με τα άρθρα 4, 5, 7 και 10, |
β) |
των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 14 έως 24, |
γ) |
των διατάξεων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 50. |
4. Σε περίπτωση που όργανο ή οργανισμός της Ένωσης, για τις ίδιες ή για συνδεδεμένες ή για συνεχόμενες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του παρόντος κανονισμού ή την ίδια διάταξη του παρόντος κανονισμού επανειλημμένως, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
5. Προτού λάβει αποφάσεις σύμφωνα με το παρόν άρθρο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων παρέχει στο όργανο ή τον οργανισμό της Ένωσης που υπόκειται στη διαδικασία την οποία διεξάγει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων την ευκαιρία να διατυπώσει την άποψή του επί των θεμάτων στα οποία ενίσταται ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων στηρίζει τις αποφάσεις του μόνο σε ενστάσεις ως προς τις οποίες έχει παρασχεθεί στα ενδιαφερόμενα μέρη η δυνατότητα υποβολής των παρατηρήσεών τους. Οι καταγγέλλοντες μετέχουν στενά στη διαδικασία.
6. Κατά τη διεξαγωγή της διαδικασίας διασφαλίζονται πλήρως τα δικαιώματα υπεράσπισης των ενδιαφερομένων μερών. Δικαιούνται δε να έχουν πρόσβαση στον φάκελο του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, με την επιφύλαξη των έννομων συμφερόντων προσώπων ή επιχειρήσεων στην προστασία των προσωπικών τους δεδομένων ή επαγγελματικών απορρήτων.
7. Τα ποσά που συγκεντρώνονται από την επιβολή προστίμων βάσει του παρόντος άρθρου συνιστούν έσοδο του γενικού προϋπολογισμού της Ένωσης.
Άρθρο 67
Εκπροσώπηση υποκειμένων των δεδομένων
Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα, να υποβάλει για λογαριασμό του την καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, να ασκήσει για λογαριασμό του τα δικαιώματα που αναφέρονται στα άρθρα 63 και 64 και να ασκήσει εξ ονόματός του το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 65.
Άρθρο 68
Ενστάσεις του προσωπικού της Ένωσης
Κάθε πρόσωπο το οποίο απασχολείται από όργανο ή οργανισμό της Ένωσης δύναται να υποβάλει ένσταση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων επικαλούμενο παράβαση των διατάξεων του παρόντος κανονισμού, χωρίς να ακολουθηθεί η επίσημη οδός. Ουδείς επιτρέπεται να υποστεί ζημία λόγω του ότι έχει υποβάλει ένσταση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων με την οποία επικαλείται συναφή παράβαση.
Άρθρο 69
Κυρώσεις
Όταν υπάλληλος ή μέλος του λοιπού προσωπικού της Ένωσης παραλείπει να συμμορφωθεί προς υποχρεώσεις τις οποίες υπέχει βάσει του παρόντος κανονισμού, είτε εκ προθέσεως είτε εξ αμελείας, ο εν λόγω υπάλληλος ή το εν λόγω μέλος του λοιπού προσωπικού υφίσταται πειθαρχική ή άλλη κύρωση, σύμφωνα με τις διατάξεις και τις διαδικασίες του κανονισμού υπηρεσιακής κατάστασης.
ΚΕΦΑΛΑΙΟ IX
ΕΠΕΞΕΡΓΑΣΙΑ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΑΠΟ ΟΡΓΑΝΑ ΚΑΙ ΟΡΓΑΝΙΣΜΟΥΣ ΤΗΣ ΕΝΩΣΗΣ ΠΟΥ ΑΣΚΟΥΝ ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΣΕ ΤΟΜΕΙΣ ΠΟΥ ΕΜΠΙΠΤΟΥΝ ΣΤΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΚΕΦΑΛΑΙΟΥ 4 Ή ΤΟΥ ΚΕΦΑΛΑΙΟΥ 5 ΤΟΥ ΤΙΤΛΟΥ V ΤΟΥ ΤΡΙΤΟΥ ΜΕΡΟΥΣ ΤΗΣ ΣΛΕΕ
Άρθρο 70
Πεδίο εφαρμογής του Κεφαλαίου
Το παρόν κεφάλαιο εφαρμόζεται μόνο στην επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όργανα και οργανισμούς της Ένωσης που ασκούν δραστηριότητες οι οποίες εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ, με την επιφύλαξη συγκεκριμένων κανόνων περί προστασίας δεδομένων προσωπικού χαρακτήρα που ισχύουν για το εν λόγω όργανο ή οργανισμό της Ένωσης.
Άρθρο 71
Αρχές που διέπουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα
1. Τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα:
α) |
υποβάλλονται σε σύννομη και δίκαιη επεξεργασία («νομιμότητα και αντικειμενικότητα»), |
β) |
συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς («περιορισμός του σκοπού»), |
γ) |
είναι κατάλληλα, συναφή και εύλογα όσον αφορά τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), |
δ) |
είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για να διασφαλιστεί ότι επιχειρησιακά δεδομένα προσωπικού χαρακτήρα, τα οποία είναι ανακριβή σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση («ακρίβεια»), |
ε) |
διατηρούνται υπό μορφή που επιτρέπει την εξακρίβωση της ταυτότητας των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα («περιορισμός της περιόδου αποθήκευσης»), |
στ) |
υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, όπως μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). |
2. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας για τους σκοπούς που καθορίζονται στη νομική πράξη που συστήνει το όργανο ή τον οργανισμό της Ένωσης, διαφορετικούς από εκείνους για τους οποίους συλλέγονται τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα επιτρέπεται εφόσον:
α) |
ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται τα εν λόγω επιχειρησιακά δεδομένα προσωπικού χαρακτήρα για τον σκοπό αυτόν σύμφωνα με το δίκαιο της Ένωσης και |
β) |
η επεξεργασία είναι απαραίτητη και ανάλογη προς τον εν λόγω διαφορετικό σκοπό σύμφωνα με το δίκαιο της Ένωσης. |
3. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας μπορεί να περιλαμβάνει την αρχειοθέτηση για λόγους δημόσιου συμφέροντος, την επιστημονική, στατιστική ή ιστορική χρήση, για τους σκοπούς που ορίζονται στη νομική πράξη που συστήνει το όργανο ή τον οργανισμό της Ένωσης, με την επιφύλαξη των κατάλληλων εγγυήσεων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
4. Ο υπεύθυνος επεξεργασίας υποχρεούται να τηρεί αποδεδειγμένα τις παραγράφους 1, 2 και 3.
Άρθρο 72
Νομιμότητα της επεξεργασίας επιχειρησιακών δεδομένων προσωπικού χαρακτήρα
1. Η επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν και στο μέτρο που η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από τα όργανα και οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ και βασίζεται στο δίκαιο της Ένωσης.
2. Ειδικές νομοθετικές πράξεις της Ένωσης που ρυθμίζουν την επεξεργασία στο πλαίσιο του παρόντος κεφαλαίου καθορίζουν τουλάχιστον τους στόχους της επεξεργασίας, τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της επεξεργασίας και τα χρονικά όρια για την αποθήκευση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της ανάγκης περαιτέρω αποθήκευσης των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα.
Άρθρο 73
Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων
Ο υπεύθυνος επεξεργασίας, κατά περίπτωση και στο μέτρο του εφικτού, προβαίνει σε σαφή διάκριση μεταξύ επιχειρησιακών δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών υποκειμένων των δεδομένων, όπως οι κατηγορίες που περιλαμβάνονται στις νομικές πράξεις που συστήνουν τα όργανα και τους οργανισμούς της Ένωσης.
Άρθρο 74
Διάκριση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και έλεγχος της ποιότητας των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα
1. Ο υπεύθυνος επεξεργασίας προβαίνει, στο μέτρο του δυνατού, σε διάκριση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα με βάση πραγματικά περιστατικά από επιχειρησιακά δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις.
2. Ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο προκειμένου να διασφαλίσει ότι τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Για τον σκοπό αυτό, ο υπεύθυνος επεξεργασίας, στο μέτρο του δυνατού και ανάλογα με την περίπτωση, ελέγχει την ποιότητα των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών, για παράδειγμα σε διαβούλευση με την αρμόδια αρχή από την οποία προέρχονται τα δεδομένα. Σε κάθε διαβίβαση επιχειρησιακών δεδομένων προσωπικού χαρακτήρα επισυνάπτονται, στο μέτρο του δυνατού, από τον υπεύθυνο επεξεργασίας οι αναγκαίες πληροφορίες που επιτρέπουν στον αποδέκτη να αξιολογήσει την ακρίβεια, την πληρότητα και την αξιοπιστία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, καθώς και τον βαθμό επικαιροποίησής τους.
3. Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβαστεί ανακριβή επιχειρησιακά δεδομένα προσωπικού χαρακτήρα ή ότι τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν παρανόμως, ο αποδέκτης τους ενημερώνεται αμελλητί. Στην περίπτωση αυτή, τα εν λόγω επιχειρησιακά δεδομένα προσωπικού χαρακτήρα διορθώνονται, διαγράφονται ή περιορίζεται η επεξεργασία τους σύμφωνα με το άρθρο 82.
Άρθρο 75
Ειδικοί όροι επεξεργασίας
1. Όταν το δίκαιο της Ένωσης που εφαρμόζεται στον υπεύθυνο επεξεργασίας που πραγματοποιεί τη διαβίβαση προβλέπει ειδικούς όρους κατά την επεξεργασία, ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα για τους όρους αυτούς και για την υποχρέωση τήρησής τους.
2. Ο υπεύθυνος επεξεργασίας τηρεί τους ειδικούς όρους επεξεργασίας όσον αφορά την επεξεργασία που παρέχεται από διαβιβάζουσα αρμόδια αρχή σύμφωνα με το άρθρο 9 παράγραφοι 3 και 4 της οδηγίας (ΕΕ) 2016/680.
Άρθρο 76
Επεξεργασία ειδικών κατηγοριών επιχειρησιακών δεδομένων προσωπικού χαρακτήρα
1. Η επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου, επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό επιτρέπονται μόνο όταν αυτό είναι απολύτως απαραίτητο, για επιχειρησιακούς σκοπούς και στο πλαίσιο της εντολής του σχετικού οργάνου ή οργανισμού της Ένωσης και με την επιφύλαξη των κατάλληλων εγγυήσεων για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Απαγορεύεται η διακριτική μεταχείριση φυσικών προσώπων με βάση τα εν λόγω δεδομένα προσωπικού χαρακτήρα.
2. Ο υπεύθυνος προστασίας των δεδομένων ενημερώνεται αμελλητί σχετικά με την επίκληση του παρόντος άρθρου.
Άρθρο 77
Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ
1. Απαγορεύεται η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή το θίγει σε μεγάλο βαθμό, εκτός εάν επιτρέπεται από το δίκαιο της Ένωσης στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει κατάλληλες εγγυήσεις υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, τουλάχιστον δε το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπεύθυνου επεξεργασίας.
2. Οι αποφάσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 76, εκτός εάν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Η κατάρτιση προφίλ που έχει ως αποτέλεσμα διακρίσεις εις βάρος φυσικών προσώπων με βάση τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 76 απαγορεύεται σύμφωνα με το δίκαιο της Ένωσης.
Άρθρο 78
Γνωστοποίηση και τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων
1. Ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που μνημονεύεται στο άρθρο 79 και προβαίνει σε κάθε γνωστοποίηση βάσει των άρθρων 80 έως 84 και του άρθρου 92 σχετικά με την επεξεργασία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Οι πληροφορίες παρέχονται με κάθε κατάλληλο μέσο, μεταξύ άλλων και με ηλεκτρονικά μέσα. Κατά γενικό κανόνα, ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες με την ίδια μορφή που υποβλήθηκε η αίτηση.
2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 79 έως 84.
3. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς και χωρίς αδικαιολόγητη καθυστέρηση το υποκείμενο των δεδομένων σχετικά με τη συνέχεια που δίνεται στην αίτησή του, και σε κάθε περίπτωση το αργότερο εντός τριών μηνών από την παραλαβή της αίτησης που υποβλήθηκε από το υποκείμενο των δεδομένων.
4. Ο υπεύθυνος επεξεργασίας προβλέπει ότι οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 79 και κάθε ενημέρωση ή ενέργεια βάσει των άρθρων 80 έως 84 και του άρθρου 92 παρέχονται χωρίς οικονομική επιβάρυνση. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί να ανταποκριθεί στο αίτημα. Ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.
5. Εάν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα του άρθρου 80 ή 82, ο υπεύθυνος επεξεργασίας δύναται να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
Άρθρο 79
Ενημέρωση που διατίθεται ή παρέχεται στο υποκείμενο των δεδομένων
1. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τουλάχιστον τις ακόλουθες πληροφορίες:
α) |
την ταυτότητα και τα στοιχεία επικοινωνίας του οργάνου ή του οργανισμού της Ένωσης, |
β) |
τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
γ) |
τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα, |
δ) |
το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τα στοιχεία επικοινωνίας του, |
ε) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή των δεδομένων αυτών, καθώς και περιορισμό της επεξεργασίας των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων. |
2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, σε συγκεκριμένες περιπτώσεις που προβλέπονται στο δίκαιο της Ένωσης, προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, τις ακόλουθες συμπληρωματικές πληροφορίες που αφορούν:
α) |
τη νομική βάση της επεξεργασίας, |
β) |
το χρονικό διάστημα αποθήκευσης των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, |
γ) |
όπου συντρέχει περίπτωση, τις κατηγορίες αποδεκτών των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς, |
δ) |
εφόσον κρίνεται σκόπιμο, συμπληρωματικές πληροφορίες, ιδιαίτερα όταν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα συλλέγονται εν αγνοία του υποκειμένου των δεδομένων. |
3. Ο υπεύθυνος επεξεργασίας μπορεί να καθυστερεί, να περιορίζει ή να παραλείπει την παροχή πληροφοριών στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 2 εφόσον και στον βαθμό που ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) |
τη μη παρακώλυση επίσημων ή νομίμων ερευνών, ανακρίσεων ή διαδικασιών, |
β) |
τη μη παρεμπόδιση της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, |
γ) |
την προστασία της δημόσιας ασφάλειας των κρατών μελών, |
δ) |
την προστασία της εθνικής ασφάλειας των κρατών μελών, |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, όπως των θυμάτων και των μαρτύρων. |
Άρθρο 80
Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που το αφορούν υπόκεινται ή όχι σε επεξεργασία και, εάν συμβαίνει τούτο, να αποκτά πρόσβαση στα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες που αφορούν:
α) |
τους σκοπούς και τη νομική βάση για την επεξεργασία, |
β) |
τις σχετικές κατηγορίες επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, |
γ) |
τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς, |
δ) |
εάν είναι δυνατόν, το προβλεπόμενο χρονικό διάστημα για το οποίο θα αποθηκευτούν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, |
ε) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή επιχειρησιακών δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων, |
στ) |
το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τα στοιχεία επικοινωνίας του, |
ζ) |
τη γνωστοποίηση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας για την προέλευσή τους. |
Άρθρο 81
Περιορισμοί του δικαιώματος πρόσβασης
1. Ο υπεύθυνος επεξεργασίας μπορεί να περιορίζει εν όλω ή εν μέρει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στον βαθμό και για το χρονικό διάστημα που ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) |
τη μη παρακώλυση επίσημων ή νομίμων ερευνών, ανακρίσεων ή διαδικασιών, |
β) |
τη μη παρεμπόδιση της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, |
γ) |
την προστασία της δημόσιας ασφάλειας των κρατών μελών, |
δ) |
την προστασία της εθνικής ασφάλειας των κρατών μελών, |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, όπως θυμάτων και μαρτύρων. |
2. Στις περιπτώσεις της παραγράφου 1, ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για κάθε άρνηση ή περιορισμό πρόσβασης και για τους λόγους της άρνησης ή του περιορισμού. Η ενημέρωση αυτή μπορεί να παραλείπεται εάν η παροχή των σχετικών πληροφοριών υπονομεύει έναν από τους σκοπούς της παραγράφου 1. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητά του να προβεί σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου. Ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφαση. Οι πληροφορίες αυτές τίθενται κατόπιν αιτήματος στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
Άρθρο 82
Δικαίωμα διόρθωσης ή διαγραφής επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και περιορισμού ως προς την επεξεργασία
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση, χωρίς αδικαιολόγητη καθυστέρηση, ανακριβών επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.
2. Ο υπεύθυνος επεξεργασίας διαγράφει τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση και το υποκείμενο των δεδομένων έχει το δικαίωμα να εξασφαλίσει από τον υπεύθυνο επεξεργασίας τη διαγραφή των επιχειρησιακών προσωπικών δεδομένων που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση, όταν η επεξεργασία παραβιάζει το άρθρο 71, το άρθρο 72 παράγραφος 1 ή το άρθρο 76, ή όταν τα δεδομένα πρέπει να διαγραφούν σύμφωνα με εκ του νόμου υποχρέωση που υπέχει ο υπεύθυνος επεξεργασίας.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, εάν:
α) |
η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων και δεν μπορεί να διαπιστωθεί κατά πόσον αυτά είναι ακριβή ή ανακριβή ή |
β) |
επιβάλλεται να διατηρηθούν τα δεδομένα προσωπικού χαρακτήρα για αποδεικτικούς σκοπούς. |
Εάν η επεξεργασία περιορίζεται δυνάμει του στοιχείου α) του πρώτου εδαφίου, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν από την άρση του περιορισμού της επεξεργασίας.
Τα δεδομένα που αφορά ο περιορισμός υποβάλλονται σε επεξεργασία μόνο για τον σκοπό για τον οποίο παρεμποδίστηκε η διαγραφή τους.
4. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς το υποκείμενο των δεδομένων για κάθε άρνηση διόρθωσης ή διαγραφής επιχειρησιακών δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας, καθώς και για τους λόγους της άρνησης. Ο υπεύθυνος επεξεργασίας μπορεί να περιορίζει εν όλω ή εν μέρει την παροχή της εν λόγω ενημέρωσης στον βαθμό που ο εν λόγω περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) |
την αποφυγή της παρακώλυσης επίσημων ή νομίμων ερευνών, ανακρίσεων ή διαδικασιών, |
β) |
την αποφυγή της παρεμπόδισης της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, |
γ) |
την προστασία της δημόσιας ασφάλειας των κρατών μελών, |
δ) |
την προστασία της εθνικής ασφάλειας των κρατών μελών, |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, όπως των θυμάτων και των μαρτύρων. |
Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου.
5. Ο υπεύθυνος επεξεργασίας γνωστοποιεί τη διόρθωση ανακριβών επιχειρησιακών δεδομένων προσωπικού χαρακτήρα στην αρμόδια αρχή από την οποία προέρχονται τα ανακριβή επιχειρησιακά δεδομένα προσωπικού χαρακτήρα.
6. Ο υπεύθυνος επεξεργασίας ειδοποιεί τους αποδέκτες στις περιπτώσεις που τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα διορθώθηκαν ή διαγράφηκαν ή περιορίστηκε η επεξεργασία τους σύμφωνα με την παράγραφο 1, 2 ή 3 και τους ενημερώνει ότι οφείλουν να διορθώσουν ή να διαγράψουν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα ή να περιορίσουν την επεξεργασία των υπ’ ευθύνη τους επιχειρησιακών δεδομένων προσωπικού χαρακτήρα.
Άρθρο 83
Δικαίωμα πρόσβασης σε ποινικές έρευνες και διαδικασίες
Όταν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα προέρχονται από αρμόδια αρχή, τα όργανα και οι οργανισμοί της Ένωσης, προτού λάβουν απόφαση σχετικά με το δικαίωμα του υποκειμένου των δεδομένων να αποκτήσει πρόσβαση σε αυτά, ελέγχουν μαζί με την οικεία αρμόδια αρχή, εάν τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνονται σε δικαστική απόφαση ή αρχείο ή φάκελο υπόθεσης που υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας στο κράτος μέλος της εν λόγω αρμόδιας αρχής. Στην περίπτωση αυτή, η απόφαση σχετικά με το δικαίωμα της πρόσβασης λαμβάνεται σε συνεννόηση και στενή συνεργασία με τις σχετικές αρμόδιες αρχές.
Άρθρο 84
Άσκηση δικαιωμάτων από το υποκείμενο των δεδομένων και έλεγχος από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
1. Στις περιπτώσεις που προβλέπονται στο άρθρο 79 παράγραφος 3, στο άρθρο 81 και στο άρθρο 82 παράγραφος 4, τα δικαιώματα του υποκειμένου των δεδομένων μπορούν επίσης να ασκούνται μέσω του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
2. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη δυνατότητα να ασκήσει τα δικαιώματά του μέσω του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με την παράγραφο 1.
3. Όταν ασκείται το δικαίωμα που αναφέρεται στην παράγραφο 1, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει κατ’ ελάχιστον το υποκείμενο των δεδομένων ότι έχουν διενεργηθεί από αυτόν όλες οι αναγκαίοι έλεγχοι ή μια επανεξέταση. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει επίσης το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει προσφυγή ενώπιον του Δικαστηρίου.
Άρθρο 85
Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού
1. Ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας καθώς και την πιθανότητα και τη σοβαρότητα του κινδύνου που θέτει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, τα οποία έχουν σχεδιαστεί για να εφαρμόζονται οι αρχές προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων με αποτελεσματικό τρόπο, και για να ενσωματώνονται οι απαραίτητες εγγυήσεις κατά την επεξεργασία, προκειμένου να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και της νομικής πράξης που τον συστήνει και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα τα οποία είναι κατάλληλα, συναφή και εύλογα σε σχέση με τους σκοπούς της επεξεργασίας. Η υποχρέωση αυτή ισχύει για την ποσότητα των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που συλλέγονται, την έκταση της επεξεργασίας τους, το χρονικό διάστημα αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, με τα εν λόγω μέτρα διασφαλίζεται ότι, εξ ορισμού, τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα σε αόριστο αριθμό φυσικών προσώπων χωρίς την παρέμβαση του ενδιαφερόμενου ατόμου.
Άρθρο 86
Από κοινού υπεύθυνοι επεξεργασίας
1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας ή ένας ή περισσότεροι υπεύθυνοι επεξεργασίας μαζί με έναν ή περισσότερους υπευθύνους επεξεργασίας που δεν είναι όργανα και οργανισμοί της Ένωσης καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπεύθυνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που υπέχουν στον τομέα της προστασίας των δεδομένων, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους όσον αφορά την παροχή των πληροφοριών που αναφέρονται στο άρθρο 79, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι από κοινού υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να ορίζεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.
2. Στη συμφωνία που αναφέρεται στην παράγραφο 1 αποτυπώνονται δεόντως οι αντίστοιχοι ρόλοι και οι σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι του υποκειμένου των δεδομένων. Το περιεχόμενο της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.
3. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.
Άρθρο 87
Εκτελών την επεξεργασία
1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπεύθυνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και της νομικής πράξης που συστήνει τον υπεύθυνο επεξεργασίας και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπεύθυνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3. Η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
α) |
ενεργεί μόνον κατ’ εντολή του υπεύθυνου επεξεργασίας, |
β) |
διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα εκ του νόμου υποχρέωση τήρησης εμπιστευτικότητας, |
γ) |
επικουρεί τον υπεύθυνο επεξεργασίας με κάθε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων, |
δ) |
κατ’ επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους απαιτεί την αποθήκευση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, |
ε) |
θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο, |
στ) |
τηρεί τους όρους που αναφέρονται στην παράγραφο 2 και στην παρούσα παράγραφο για την πρόσληψη άλλου εκτελούντος την επεξεργασία. |
4. Η σύμβαση ή η άλλη νομική πράξη που προβλέπεται στην παράγραφο 3 συντάσσεται γραπτώς, μεταξύ άλλων και σε ηλεκτρονική μορφή.
5. Εάν ο εκτελών την επεξεργασία παραβιάζει τον παρόντα κανονισμό ή τη νομική πράξη που συστήνει τον υπεύθυνο επεξεργασίας καθορίζοντας τους στόχους και τα μέσα επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία.
Άρθρο 88
Καταχωρίσεις
1. Ο υπεύθυνος επεξεργασίας τηρεί καταχωρίσεις για κάθε μια από τις εξής πράξεις επεξεργασίας σε συστήματα αυτοματοποιημένης επεξεργασίας: συλλογή, μεταβολή, πρόσβαση, αναζήτηση πληροφοριών, γνωστοποίηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμός και διαγραφή επιχειρησιακών δεδομένων προσωπικού χαρακτήρα. Οι καταχωρίσεις που αφορούν αναζήτηση πληροφοριών και της γνωστοποίησης επιτρέπουν τον προσδιορισμό της αιτιολόγησης, της ημερομηνίας και της ώρας των εν λόγω πράξεων, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή γνωστοποίησε επιχειρησιακά δεδομένα προσωπικού χαρακτήρα, καθώς και, στο βαθμό του εφικτού, της ταυτότητας των αποδεκτών των εν λόγω επιχειρησιακών δεδομένων προσωπικού χαρακτήρα.
2. Οι καταχωρίσεις χρησιμοποιούνται αποκλειστικά για τον έλεγχο της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο ποινικών διαδικασιών. Οι καταχωρίσεις αυτές διαγράφονται έπειτα από τρία έτη, εκτός εάν τα δεδομένα είναι αναγκαία για διεξαγόμενο έλεγχο.
3. Ο υπεύθυνος επεξεργασίας θέτει, κατόπιν αιτήματος, τα αρχεία στη διάθεση του οικείου υπευθύνου προστασίας δεδομένων και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
Άρθρο 89
Εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων
1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα.
2. Η εκτίμηση που προβλέπεται στην παράγραφο 1 περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων αυτών, εγγυήσεις, μέτρα και μηχανισμούς ασφαλείας ώστε να διασφαλίζεται η προστασία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, λαμβανομένων υπόψη των δικαιωμάτων και των έννομων συμφερόντων των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
Άρθρο 90
Προηγούμενη διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
1. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων πριν από την επεξεργασία που θα περιληφθεί σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί εφόσον:
α) |
από εκτίμηση των επιπτώσεων στην προστασία των δεδομένων σύμφωνα με το άρθρο 89 προκύπτει ότι η επεξεργασία θα προκαλέσει μεγάλο κίνδυνο εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του κινδύνου ή |
β) |
το είδος της επεξεργασίας, ιδίως κατά τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, εγκυμονεί μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. |
2. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων μπορεί να καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 1.
3. Ο υπεύθυνος επεξεργασίας διαβιβάζει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων την εκτίμηση των επιπτώσεων στην προστασία των δεδομένων η οποία αναφέρεται στο άρθρο 89 και, κατόπιν αιτήσεως, κάθε άλλη πληροφορία που επιτρέπει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να αξιολογήσει τη συμμόρφωση της επεξεργασίας και ιδίως τους κινδύνους για την προστασία των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τις σχετικές εγγυήσεις.
4. Όταν ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φρονεί ότι η σχεδιαζόμενη επεξεργασία που προβλέπεται στην παράγραφο 1 ήταν αντίθετη προς τον παρόντα κανονισμό ή τη νομική πράξη που συστήνει το όργανο ή οργανισμό της Ένωσης, ιδίως εάν ο υπεύθυνος επεξεργασίας έχει ανεπαρκώς προσδιορίσει ή μετριάσει τον κίνδυνο, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διαβιβάζει, εντός προθεσμίας έξι εβδομάδων από την παραλαβή της αίτησης για διαβούλευση, γραπτές συμβουλές στον υπεύθυνο επεξεργασίας. Η προθεσμία αυτή μπορεί να παραταθεί κατά έναν μήνα, λαμβάνοντας υπόψη την πολυπλοκότητα που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ενημερώνει τον υπεύθυνο επεξεργασίας για την ενδεχόμενη παράταση εντός ενός μηνός από την παραλαβή της αίτησης για διαβούλευση καθώς και για τους λόγους της καθυστέρησης.
Άρθρο 91
Ασφάλεια της επεξεργασίας επιχειρησιακών δεδομένων προσωπικού χαρακτήρα
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας καθώς και το ενδεχόμενο σοβαρού κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφάλειας κατάλληλο για την αντιμετώπιση του κινδύνου, ιδίως όσον αφορά την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
2. Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν, κατόπιν αξιολόγησης των κινδύνων, μέτρα με σκοπό:
α) |
την απαγόρευση της πρόσβασης από μη εξουσιοδοτημένα πρόσωπα σε εξοπλισμό επεξεργασίας δεδομένων που χρησιμοποιείται για την επεξεργασία («έλεγχος πρόσβασης σε εξοπλισμό»), |
β) |
την αποτροπή της μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης υποθεμάτων δεδομένων («έλεγχος υποθεμάτων δεδομένων»), |
γ) |
την αποτροπή μη επιτρεπόμενης εισαγωγής επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και μη επιτρεπόμενης επαλήθευσης, τροποποίησης ή διαγραφής αποθηκευμένων επιχειρησιακών δεδομένων προσωπικού χαρακτήρα («έλεγχος αποθήκευσης»), |
δ) |
την αποτροπή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων («έλεγχος χρηστών»), |
ε) |
την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που καλύπτονται από σχετική άδεια («έλεγχος πρόσβασης στα δεδομένα»), |
στ) |
την εξασφάλιση ότι είναι δυνατόν να εξακριβωθεί και να αποδειχτεί σε ποιους φορείς έχουν διαβιβαστεί ή διατεθεί ή ενδέχεται να διαβιβαστούν ή να διατεθούν επιχειρησιακά δεδομένα προσωπικού χαρακτήρα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων («έλεγχος επικοινωνίας»), |
ζ) |
την εξασφάλιση ότι είναι περαιτέρω δυνατόν να εξακριβωθεί και να αποδειχτεί ποια επιχειρησιακά δεδομένα προσωπικού χαρακτήρα έχουν εισαχθεί σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα («έλεγχος εισαγωγής»), |
η) |
την αποτροπή μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής επιχειρησιακών δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις επιχειρησιακών δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων («έλεγχος μεταφοράς»), |
θ) |
την εξασφάλιση ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους («αποκατάσταση»), |
ι) |
την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες δηλώνεται (αξιοπιστία) και ότι τα επιχειρησιακά αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος («ακεραιότητα»). |
Άρθρο 92
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων
1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και, αν είναι δυνατό, το αργότερο εντός 72 ωρών από τη στιγμή που την αντελήφθη, εκτός εάν πιθανολογείται ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν θα προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Σε περίπτωση που η γνωστοποίηση στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων δεν πραγματοποιηθεί εντός 72 ωρών συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
2. Στη γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστον:
α) |
περιγράφεται η φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομέν ων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση πλήθους των σχετικών αρχείων επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, |
β) |
ανακοινώνεται το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, |
γ) |
περιγράφονται οι ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, |
δ) |
περιγράφονται τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. |
3. Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες που αναφέρονται στην παράγραφο 2 ταυτόχρονα, αυτές μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.
4. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα που μνημονεύεται στην παράγραφο 1, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα διαρθρωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να ελέγχει την τήρηση του παρόντος άρθρου.
5. Όταν η παραβίαση επιχειρησιακών δεδομένων προσωπικού χαρακτήρα αφορά δεδομένα που διαβιβάστηκαν από ή προς τις αρμόδιες αρχές, ο υπεύθυνος επεξεργασίας ανακοινώνει τις πληροφορίες που αναφέρονται στην παράγραφο 2 στις οικείες αρμόδιες αρχές χωρίς αδικαιολόγητη καθυστέρηση.
Άρθρο 93
Ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε μεγάλο κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία προβλέπεται στην παράγραφο 1 του παρόντος άρθρου περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τις συστάσεις του άρθρου 92 παράγραφος 2 στοιχεία β), γ) και δ).
3. Η ανακοίνωση στο υποκείμενο των δεδομένων, η οποία προβλέπεται στην παράγραφο 1 δεν απαιτείται, εφόσον πληρούται κάποιος από τους παρακάτω όρους:
α) |
ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόσθηκαν στα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, ειδικότερα δε εκείνα που καθιστούν αδύνατη την κατανόηση των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από όσους δε διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα, |
β) |
ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στην παράγραφο 1 μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων |
γ) |
η ανακοίνωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται δημόσια ανακοίνωση ή να εφαρμόζεται παρόμοιο μέτρο ώστε τα υποκείμενα των δεδομένων να ενημερώνονται με εξίσου αποτελεσματικό τρόπο. |
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, έχοντας εξετάσει την πιθανότητα να προκύπτει μεγάλος κίνδυνος από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, μπορεί να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται κάποια από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.
5. Η ανακοίνωση στο υποκείμενο των δεδομένων που προβλέπεται στην παράγραφο 1 του παρόντος άρθρου μπορεί να καθυστερήσει, να περιοριστεί ή να παραλειφθεί, υπό τους όρους και για τους λόγους που αναφέρονται στο άρθρο 79 παράγραφος 3.
Άρθρο 94
Διαβίβαση επιχειρησιακών δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και διεθνείς οργανισμούς
1. Υπό την επιφύλαξη των περιορισμών και των προϋποθέσεων που προβλέπονται στις νομικές πράξεις που συστήνουν το όργανο ή τον οργανισμό της Ένωσης, ο υπεύθυνος επεξεργασίας δύναται να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε αρχή τρίτης χώρας ή σε διεθνή οργανισμό, στον βαθμό που η διαβίβαση αυτή είναι αναγκαία για την άσκηση των καθηκόντων του υπεύθυνου επεξεργασίας και μόνο εφόσον πληρούνται οι ακόλουθες προϋποθέσεις που ορίζονται στο παρόν άρθρο:
α) |
Η Επιτροπή έχει λάβει απόφαση περί επάρκειας σύμφωνα με το άρθρο 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, με την οποία διαπιστώνεται ότι η τρίτη χώρα ή μια περιοχή ή ένας τομέας επεξεργασίας στην τρίτη αυτή χώρα, ή ο σχετικός διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας, |
β) |
Σε περίπτωση που η Επιτροπή δεν έχει λάβει απόφαση περί επάρκειας σύμφωνα με το στοιχείο α), έχει συναφθεί διεθνής συμφωνία μεταξύ της Ένωσης και της εν λόγω τρίτης χώρας ή του εν λόγω διεθνούς οργανισμού δυνάμει του άρθρου 218 ΣΛΕΕ, η οποία παρέχει επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής, των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, |
γ) |
εν απουσία απόφασης περί επάρκειας της Επιτροπής δυνάμει του στοιχείου α) ή διεθνούς συμφωνίας δυνάμει του στοιχείου β) έχει συναφθεί συμφωνία συνεργασίας που επιτρέπει την ανταλλαγή επιχειρησιακών δεδομένων προσωπικού χαρακτήρα πριν από την έναρξη ισχύος της νομικής πράξης που συστήνει το σχετικό όργανο ή οργανισμό της Ένωσης, μεταξύ του εν λόγω οργάνου ή οργανισμού της Ένωσης και της εν λόγω τρίτης χώρας. |
2. Οι νομικές πράξεις που συστήνουν τα όργανα και τους οργανισμούς της Ένωσης μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις όσον αφορά τους όρους για τις διεθνείς διαβιβάσεις επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, και ιδίως όσον αφορά τις διαβιβάσεις μέσω κατάλληλων εγγυήσεων και τις παρεκκλίσεις για ειδικές καταστάσεις δεδομένων προσωπικού χαρακτήρα.
3. Ο υπεύθυνος επεξεργασίας δημοσιεύει στον δικτυακό τόπο του και επικαιροποιεί κατάλογο αποφάσεων περί επάρκειας που αναφέρονται στην παράγραφο 1 στοιχείο α), συμφωνιών, διοικητικών ρυθμίσεων και άλλων πράξεων που αφορούν τη διαβίβαση επιχειρησιακών δεδομένων προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1.
4. Ο υπεύθυνος επεξεργασίας διατηρεί λεπτομερή αρχεία για όλες τις διαβιβάσεις που πραγματοποιούνται δυνάμει του παρόντος άρθρου.
Άρθρο 95
Απόρρητο των δικαστικών ερευνών και των ποινικών διαδικασιών
Οι νομικές πράξεις που συστήνουν τα όργανα ή τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ δύναται να υποχρεώνουν τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά την άσκηση των εποπτικών εξουσιών του, να λαμβάνει δεόντως υπόψη το απόρρητο των δικαστικών ερευνών και των ποινικών διαδικασιών, σύμφωνα με το δίκαιο της Ένωσης ή των κρατών μελών.
ΚΕΦΑΛΑΙΟ X
ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ
Άρθρο 96
Διαδικασία επιτροπής
1. Η Επιτροπή επικουρείται από την επιτροπή που έχει συσταθεί με το άρθρο 93 του κανονισμού (ΕΕ) 2016/679. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
2. Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.
ΚΕΦΑΛΑΙΟ XI
ΕΠΑΝΕΞΕΤΑΣΗ
Άρθρο 97
Ρήτρα επανεξέτασης
Το αργότερο την 30ή Απριλίου 2022, και στη συνέχεια ανά πέντε έτη, η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έκθεση σχετικά με την εφαρμογή του παρόντος κανονισμού, συνοδευόμενη, εφόσον απαιτείται, από κατάλληλες νομοθετικές προτάσεις.
Άρθρο 98
Επανεξέταση νομικών πράξεων της Ένωσης
1. Έως την 30ή Απριλίου 2022, η Επιτροπή επανεξετάζει τις νομοθετικές πράξεις που έχουν εκδοθεί βάσει των Συνθηκών με τις οποίες ρυθμίζεται η επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαιο 4 ή κεφάλαιο 5 ΣΛΕΕ, προκειμένου να:
α) |
αξιολογήσει τη συμβατότητά τους με την οδηγία (ΕΕ) 2016/680 και το κεφάλαιο IX του παρόντος κανονισμού, |
β) |
να διαπιστώσει τυχόν αποκλίσεις που δύνανται να εμποδίζουν την ανταλλαγή επιχειρησιακών δεδομένων προσωπικού χαρακτήρα μεταξύ των οργάνων ή των οργανισμών της Ένωσης, κατά την άσκηση δραστηριοτήτων σε αυτούς τους τομείς, και των αρμόδιων αρχών και |
γ) |
να διαπιστώσει τυχόν αποκλίσεις οι οποίες θα μπορούσαν να προκαλέσουν νομικό κατακερματισμό της νομοθεσίας για την προστασία των δεδομένων στην Ένωση. |
2. Με βάση την επανεξέταση, και για να εξασφαλιστεί ομοιόμορφη και συνεπής προστασία των φυσικών προσώπων έναντι της επεξεργασίας, η Επιτροπή δύναται να υποβάλει κατάλληλες νομοθετικές προτάσεις, ιδίως προκειμένου να εφαρμοστεί το κεφάλαιο IX του παρόντος κανονισμού στην Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία και συμπεριλαμβανομένων ενδεχομένως προσαρμογών στο κεφάλαιο IX του παρόντος κανονισμού.
ΚΕΦΑΛΑΙΟ XII
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 99
Κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ
Ο κανονισμός (ΕΚ) αριθ. 45/2001 και η απόφαση αριθ. 1247/2002/ΕΚ καταργούνται από τις 11 Δεκεμβρίου 2018. Οι παραπομπές στον καταργούμενο κανονισμό και στην καταργούμενη απόφαση θεωρούνται παραπομπές στον παρόντα κανονισμό.
Άρθρο 100
Μεταβατικά μέτρα
1. Η απόφαση 2014/886/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20) και οι θητείες του νυν Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του νυν αναπληρωτή Επόπτη δεν επηρεάζονται από τον παρόντα κανονισμό.
2. Ο αναπληρωτής Επόπτης εξομοιώνεται με τον γραμματέα του Δικαστηρίου της Ευρωπαϊκής Ένωσης όσον αφορά τον καθορισμό του μισθού του, των επιδομάτων του, της σύνταξης αρχαιότητας, καθώς και κάθε άλλης παροχής που εξομοιώνεται με αποδοχές.
3. Το άρθρο 53 παράγραφοι 4, 5 και 7 και τα άρθρα 55 και 56 του παρόντος κανονισμού εφαρμόζονται στον νυν αναπληρωτή Επόπτη μέχρι τη λήξη της θητείας του.
4. Ο αναπληρωτής Επόπτης επικουρεί τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων στην εκπλήρωση των καθηκόντων του και αναπληρώνει τον νυν Ευρωπαίο Επόπτη Προστασίας Δεδομένων σε περίπτωση απουσίας ή κωλύματος μέχρι τη λήξη της θητείας του αναπληρωτή Επόπτη.
Άρθρο 101
Έναρξη ισχύος και εφαρμογή
1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2. Ωστόσο, ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Eurojust από 12ης Δεκεμβρίου 2019 .
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Στρασβούργο, 23 Οκτωβρίου 2018.
Για το Ευρωπαϊκό Κοινοβούλιο
Ο Πρόεδρος
A. TAJANI
Για το Συμβούλιο
Η Πρόεδρος
K. EDTSTADLER
(1) ΕΕ C 288 της 31.8.2017, σ. 107.
(2) Θέση του Ευρωπαϊκού Κοινοβουλίου της 13ης Σεπτεμβρίου 2018 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 11ης Οκτωβρίου 2018.
(3) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
(4) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(5) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).
(6) Οδηγία 93/13/ΕΟΚ του Συμβουλίου, της 5ης Απριλίου 1993, σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95 της 21.4.1993, σ. 29).
(7) Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (ΕΕ L 354 της 31.12.2008, σ. 70).
(8) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).
(9) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43).
(10) ΕΕ L 56 της 4.3.1968, σ. 1.
(11) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).
(12) Κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2009, σχετικά με τις ευρωπαϊκές στατιστικές και την κατάργηση του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1101/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη διαβίβαση στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο, του κανονισμού (ΕΚ) αριθ. 322/97 του Συμβουλίου σχετικά με τις κοινοτικές στατιστικές και της απόφασης 89/382/ΕΟΚ, Ευρατόμ του Συμβουλίου για τη σύσταση επιτροπής του στατιστικού προγράμματος των Ευρωπαϊκών Κοινοτήτων (ΕΕ L 87 της 31.3.2009, σ. 164).
(13) Απόφαση αριθ. 1247/2002/ΕΚ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής, της 1ης Ιουλίου 2002, περί του καθεστώτος και των γενικών όρων άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕ L 183 της 12.7.2002, σ. 1).
(14) ΕΕ C 164 της 24.5.2017, σ. 2.
(15) Κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕΥ (ΕΕ L 135 της 24.5.2016, σ. 53).
(16) Κανονισμός (ΕΕ) 2017/1939 του Συμβουλίου, της 12ης Οκτωβρίου 2017, σχετικά με την εφαρμογή ενισχυμένης συνεργασίας για τη σύσταση της Ευρωπαϊκής Εισαγγελίας (ΕΕ L 283 της 31.10.2017, σ. 1).
(17) Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1).
(18) Οδηγία 2008/63/ΕΚ της Επιτροπής, της 20ής Ιουνίου 2008, σχετικά με τον ανταγωνισμό στις αγορές εξοπλισμού τηλεπικοινωνιακών τερματικών (ΕΕ L 162 της 21.6.2008, σ. 20).
(19) Απόφαση 2009/917/ΔΕΥ του Συμβουλίου, της 30ής Νοεμβρίου 2009, για τη χρήση της πληροφορικής για τελωνειακούς σκοπούς (ΕΕ L 323 της 10.12.2009, σ. 20).
(20) Απόφαση 2014/886/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Δεκεμβρίου 2014, για τον διορισμό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του αναπληρωτή Επόπτη (ΕΕ L 351 της 9.12.2014, σ. 9).