Kanonismos EE 2016-679

Τελευταία ανανέωση: Πέμπτη 11/04/2024

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

της 27 Απριλίου 2016

σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

(Κείμενο με συνάφεια στον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη Λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 αυτής,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Μετά τη διαβίβαση του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής ( 1 ) ,

Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών ( 2 ) ,

Ενεργώντας σύμφωνα με τη συνήθη νομοθετική διαδικασία ( 3 ) ,

Ενώ:

(1) Η προστασία των φυσικών προσώπων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (ο «Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία προσωπικά δεδομένα που τον αφορούν.

(2) Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων θα πρέπει, ανεξαρτήτως εθνικότητας ή κατοικίας, να σέβονται τα θεμελιώδη δικαιώματα και ελευθερίες τους, ιδίως το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. Ο παρών κανονισμός έχει ως στόχο να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και μιας οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενίσχυση και σύγκλιση των οικονομιών εντός της εσωτερικής αγοράς και στην ευημερία των φυσικών προσώπων.

(3) Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 4 ) αποσκοπεί στην εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και στη διασφάλιση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών.

(4) Η επεξεργασία των προσωπικών δεδομένων θα πρέπει να σχεδιαστεί για να εξυπηρετεί την ανθρωπότητα. Το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι απόλυτο δικαίωμα. πρέπει να λαμβάνεται υπόψη σε σχέση με τη λειτουργία του στην κοινωνία και να εξισορροπείται έναντι άλλων θεμελιωδών δικαιωμάτων, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και τις αρχές που αναγνωρίζονται στον Χάρτη, όπως κατοχυρώνονται στις Συνθήκες, ιδίως το σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, της προστασίας των δεδομένων προσωπικού χαρακτήρα, της ελευθερίας της σκέψης, της συνείδησης και της θρησκείας, ελευθερία έκφρασης και πληροφόρησης, ελευθερία επιχειρηματικής δραστηριότητας, δικαίωμα σε αποτελεσματικό ένδικο μέσο και δίκαιη δίκη και πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.

(5) Η οικονομική και κοινωνική ολοκλήρωση που προκύπτει από τη λειτουργία της εσωτερικής αγοράς έχει οδηγήσει σε σημαντική αύξηση των διασυνοριακών ροών δεδομένων προσωπικού χαρακτήρα. Η ανταλλαγή προσωπικών δεδομένων μεταξύ δημόσιων και ιδιωτικών φορέων, συμπεριλαμβανομένων φυσικών προσώπων, ενώσεων και επιχειρήσεων σε ολόκληρη την Ένωση έχει αυξηθεί. Οι εθνικές αρχές των κρατών μελών καλούνται από το δίκαιο της Ένωσης να συνεργαστούν και να ανταλλάξουν δεδομένα προσωπικού χαρακτήρα ώστε να είναι σε θέση να ασκούν τα καθήκοντά τους ή να εκτελούν καθήκοντα για λογαριασμό μιας αρχής σε άλλο κράτος μέλος.

(6) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση έχουν φέρει νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Η κλίμακα συλλογής και κοινοποίησης προσωπικών δεδομένων έχει αυξηθεί σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές εταιρείες όσο και σε δημόσιες αρχές να κάνουν χρήση προσωπικών δεδομένων σε πρωτοφανή κλίμακα προκειμένου να συνεχίσουν τις δραστηριότητές τους. Τα φυσικά πρόσωπα καθιστούν όλο και περισσότερο διαθέσιμες προσωπικές πληροφορίες δημόσια και παγκοσμίως. Η τεχνολογία έχει μεταμορφώσει τόσο την οικονομία όσο και την κοινωνική ζωή και αναμένεται να διευκολύνει περαιτέρω την ελεύθερη ροή προσωπικών δεδομένων εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των προσωπικών δεδομένων.

(7) Αυτές οι εξελίξεις απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας δεδομένων στην Ένωση, υποστηριζόμενο από ισχυρή επιβολή, δεδομένης της σημασίας της δημιουργίας εμπιστοσύνης που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί σε ολόκληρη την εσωτερική αγορά. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των προσωπικών τους δεδομένων. Θα πρέπει να ενισχυθεί η νομική και πρακτική ασφάλεια για φυσικά πρόσωπα, οικονομικούς φορείς και δημόσιες αρχές.

(8) Όταν ο παρών κανονισμός προβλέπει προδιαγραφές ή περιορισμούς των κανόνων του από το δίκαιο των κρατών μελών, τα κράτη μέλη μπορούν, στο βαθμό που απαιτείται για τη συνοχή και για να καταστούν οι εθνικές διατάξεις κατανοητές στα πρόσωπα στα οποία εφαρμόζονται, να ενσωματώνουν στοιχεία του παρόντος κανονισμού στο εθνικό τους δίκαιο.

(9) Οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν υγιείς, αλλά δεν απέτρεψε τον κατακερματισμό στην εφαρμογή της προστασίας δεδομένων σε ολόκληρη την Ένωση, τη νομική αβεβαιότητα ή την ευρεία αντίληψη του κοινού ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων. ιδίως όσον αφορά τη διαδικτυακή δραστηριότητα. Οι διαφορές στο επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη ενδέχεται να εμποδίσουν την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Οι διαφορές αυτές μπορεί επομένως να συνιστούν εμπόδιο στην άσκηση οικονομικών δραστηριοτήτων σε επίπεδο Ένωσης, να νοθεύουν τον ανταγωνισμό και να εμποδίζουν τις αρχές να εκπληρώσουν τις αρμοδιότητές τους βάσει του ενωσιακού δικαίου. Μια τέτοια διαφορά στα επίπεδα προστασίας οφείλεται στην ύπαρξη διαφορών στην εφαρμογή και εφαρμογή της Οδηγίας 95/46/ΕΚ.

(10) Προκειμένου να διασφαλιστεί ένα συνεπές και υψηλό επίπεδο προστασίας των φυσικών προσώπων και να αρθούν τα εμπόδια στη ροή δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία των δεδομένων αυτών θα πρέπει να είναι ισοδύναμη σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται η συνεπής και ομοιογενής εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για συμμόρφωση με νομική υποχρέωση, για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να εισάγουν εθνικές διατάξεις για περαιτέρω προσδιορίζει την εφαρμογή των κανόνων του παρόντος κανονισμού. Σε συνδυασμό με τη γενική και οριζόντια νομοθεσία για την προστασία των δεδομένων για την εφαρμογή της Οδηγίας 95/46/ΕΚ, τα κράτη μέλη διαθέτουν αρκετούς τομεακούς νόμους σε τομείς που χρειάζονται πιο ειδικές διατάξεις. Ο παρών κανονισμός παρέχει επίσης ένα περιθώριο ελιγμών στα κράτη μέλη προκειμένου να προσδιορίσουν τους κανόνες του, μεταξύ άλλων για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»). Στο βαθμό αυτό, ο παρών κανονισμός δεν αποκλείει τη νομοθεσία των κρατών μελών που καθορίζει τις συνθήκες για συγκεκριμένες καταστάσεις επεξεργασίας, συμπεριλαμβανομένου του ακριβέστερου καθορισμού των συνθηκών υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη.

(11) Η αποτελεσματική προστασία των προσωπικών δεδομένων σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων αυτών που επεξεργάζονται και καθορίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, καθώς και ισοδύναμες εξουσίες για την παρακολούθηση και τη διασφάλιση της συμμόρφωσης με τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα και ισοδύναμες κυρώσεις για παραβάσεις στα κράτη μέλη.

(12) Το άρθρο 16 παράγραφος 2 της ΣΛΕΕ εξουσιοδοτεί το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

(13) Προκειμένου να διασφαλιστεί ένα συνεπές επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και να αποτραπούν οι αποκλίσεις που παρεμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς, απαιτείται κανονισμός για την παροχή ασφάλειας δικαίου και διαφάνειας στους οικονομικούς φορείς, συμπεριλαμβανομένων των μικρομεσαίων, μικρών και στις μεσαίες επιχειρήσεις και να παρέχει σε φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων και ευθυνών για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία, για τη διασφάλιση συνεπούς παρακολούθησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ισοδύναμων κυρώσεων σε όλα τα κράτη μέλη ως καθώς και αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διαφόρων κρατών μελών. Η εύρυθμη λειτουργία της εσωτερικής αγοράς απαιτεί να μην περιορίζεται ή να απαγορεύεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης για λόγους που συνδέονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς με λιγότερους από 250 υπαλλήλους όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι φορείς της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, ενθαρρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος της σύστασης 2003/361/ΕΚ της Επιτροπής ( 5 ) .

(14) Η προστασία που παρέχεται από τον παρόντα κανονισμό θα πρέπει να ισχύει για φυσικά πρόσωπα, ανεξάρτητα από την εθνικότητα ή τον τόπο διαμονής τους, σε σχέση με την επεξεργασία των προσωπικών τους δεδομένων. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις που έχουν συσταθεί ως νομικά πρόσωπα, συμπεριλαμβανομένου του ονόματος και της μορφής του νομικού προσώπου και των στοιχείων επικοινωνίας του νομικού προσώπου.

(15) Προκειμένου να αποφευχθεί η δημιουργία σοβαρού κινδύνου καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα, καθώς και για τη χειρωνακτική επεξεργασία, εάν τα προσωπικά δεδομένα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Αρχεία ή σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι δομημένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού.

(16) Ο παρών κανονισμός δεν εφαρμόζεται σε θέματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών ή της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων σε σχέση με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.

(17) Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 6 ) εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, τους φορείς, τα γραφεία και τους οργανισμούς της Ένωσης. Ο κανονισμός (ΕΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης που εφαρμόζονται σε αυτή την επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να προσαρμοστούν στις αρχές και τους κανόνες που θεσπίζονται στον παρόντα κανονισμό και να εφαρμόζονται υπό το πρίσμα του παρόντος κανονισμού. Προκειμένου να παρασχεθεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας δεδομένων στην Ένωση, θα πρέπει να ακολουθήσουν οι απαραίτητες προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001 μετά την έκδοση του παρόντος κανονισμού, ώστε να επιτρέπεται η εφαρμογή ταυτόχρονα με τον παρόντα κανονισμό.

(18) Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων από φυσικό πρόσωπο κατά τη διάρκεια μιας καθαρά προσωπικής ή οικιακής δραστηριότητας και επομένως χωρίς σχέση με επαγγελματική ή εμπορική δραστηριότητα. Οι προσωπικές ή οικιακές δραστηριότητες θα μπορούσαν να περιλαμβάνουν την αλληλογραφία και την κατοχή διευθύνσεων ή την κοινωνική δικτύωση και τη διαδικτυακή δραστηριότητα που αναλαμβάνεται στο πλαίσιο τέτοιων δραστηριοτήτων. Ωστόσο, ο παρών κανονισμός ισχύει για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που παρέχουν τα μέσα για την επεξεργασία προσωπικών δεδομένων για τέτοιες προσωπικές ή οικιακές δραστηριότητες.

(19) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και της πρόληψης απειλών για τη δημόσια ασφάλεια και η ελεύθερη κυκλοφορία των δεδομένων αυτών, αποτελεί αντικείμενο ειδικής νομικής πράξης της Ένωσης. Συνεπώς, ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται οι δημόσιες αρχές δυνάμει του παρόντος κανονισμού, όταν χρησιμοποιούνται για τους σκοπούς αυτούς, θα πρέπει να διέπονται από μια πιο συγκεκριμένη νομική πράξη της Ένωσης, δηλαδή την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 7 ) . Τα κράτη μέλη μπορούν να αναθέσουν στις αρμόδιες αρχές κατά την έννοια της Οδηγίας (ΕΕ) 2016/680 καθήκοντα που δεν εκτελούνται απαραίτητα για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης κατά και πρόληψη απειλών για τη δημόσια ασφάλεια, έτσι ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, στο βαθμό που εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, να εμπίπτει στο πεδίο εφαρμογής του παρόντος κανονισμού.

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω αρμόδιες αρχές για σκοπούς που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να εισάγουν πιο συγκεκριμένες διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού. Οι διατάξεις αυτές μπορούν να καθορίζουν ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αυτές τις αρμόδιες αρχές για αυτούς τους άλλους σκοπούς, λαμβάνοντας υπόψη τη συνταγματική, οργανωτική και διοικητική δομή του αντίστοιχου κράτους μέλους. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς εμπίπτει στο πεδίο εφαρμογής του παρόντος κανονισμού, ο παρών κανονισμός θα πρέπει να προβλέπει τη δυνατότητα στα κράτη μέλη, υπό ειδικές προϋποθέσεις, να περιορίζουν με νόμο ορισμένες υποχρεώσεις και δικαιώματα, όταν αυτός ο περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο της δημοκρατικής κοινωνίας για την προστασία συγκεκριμένων σημαντικών συμφερόντων, συμπεριλαμβανομένης της δημόσιας ασφάλειας και της πρόληψης, της έρευνας, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης και της πρόληψης απειλών για τη δημόσια ασφάλεια. Αυτό είναι σχετικό, για παράδειγμα, στο πλαίσιο της καταπολέμησης της νομιμοποίησης εσόδων από παράνομες δραστηριότητες ή των δραστηριοτήτων των εγκληματολογικών εργαστηρίων.

(20) Ενώ ο παρών κανονισμός ισχύει, μεταξύ άλλων, για τις δραστηριότητες δικαστηρίων και άλλων δικαστικών αρχών, το δίκαιο της Ένωσης ή του κράτους μέλους θα μπορούσε να προσδιορίζει τις διαδικασίες επεξεργασίας και τις διαδικασίες επεξεργασίας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές. Η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαστική τους ιδιότητα, προκειμένου να διαφυλαχθεί η ανεξαρτησία του δικαστικού σώματος κατά την εκτέλεση των δικαστικών του καθηκόντων, συμπεριλαμβανομένης της λήψης αποφάσεων. Θα πρέπει να είναι δυνατή η ανάθεση της εποπτείας τέτοιων εργασιών επεξεργασίας δεδομένων σε συγκεκριμένους φορείς εντός του δικαστικού συστήματος του κράτους μέλους, οι οποίοι θα πρέπει, ιδίως να διασφαλίζουν τη συμμόρφωση με τους κανόνες του παρόντος κανονισμού, να ευαισθητοποιούν τα μέλη του δικαστικού σώματος για τις υποχρεώσεις τους βάσει του παρόντος κανονισμού. Ρύθμιση και χειρισμός παραπόνων σε σχέση με τέτοιες λειτουργίες επεξεργασίας δεδομένων.

(21) Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 8 ) , ιδίως των κανόνων ευθύνης των ενδιάμεσων παρόχων υπηρεσιών στα άρθρα 12 έως 15 της εν λόγω οδηγίας. Η εν λόγω οδηγία επιδιώκει να συμβάλει στην εύρυθμη λειτουργία της εσωτερικής αγοράς διασφαλίζοντας την ελεύθερη κυκλοφορία των υπηρεσιών της κοινωνίας της πληροφορίας μεταξύ των κρατών μελών.

(22) Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση θα πρέπει να πραγματοποιείται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το εάν η ίδια η επεξεργασία πραγματοποιείται εντός της Ένωσης. Η εγκατάσταση συνεπάγεται την αποτελεσματική και πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων. Η νομική μορφή τέτοιων ρυθμίσεων, είτε μέσω υποκαταστήματος είτε μέσω θυγατρικής με νομική προσωπικότητα, δεν είναι καθοριστικός συναφώς.

(23) Προκειμένου να διασφαλιστεί ότι τα φυσικά πρόσωπα δεν στερούνται της προστασίας που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν είναι εγκατεστημένος στην Ένωση θα πρέπει να υπόκειται σε του παρόντος κανονισμού, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε αυτά τα υποκείμενα των δεδομένων, ανεξάρτητα από το εάν συνδέονται με μια πληρωμή. Για να καθοριστεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων που βρίσκονται στην Ένωση, θα πρέπει να εξακριβωθεί εάν είναι προφανές ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία σκέφτεται να προσφέρει υπηρεσίες σε υποκείμενα των δεδομένων σε ένα ή περισσότερα κράτη μέλη σε η Ενωση. ότι η απλή προσβασιμότητα στον ιστότοπο του υπεύθυνου επεξεργασίας, του εκτελούντος την επεξεργασία ή ενός διαμεσολαβητή στην Ένωση, μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου ή άλλων στοιχείων επικοινωνίας ή η χρήση γλώσσας που χρησιμοποιείται γενικά στην τρίτη χώρα στην οποία είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας, δεν επαρκεί για την εξακρίβωση πρόθεση, παράγοντες όπως η χρήση μιας γλώσσας ή ενός νομίσματος που χρησιμοποιείται γενικά σε ένα ή περισσότερα κράτη μέλη με τη δυνατότητα παραγγελίας αγαθών και υπηρεσιών σε αυτήν την άλλη γλώσσα ή η αναφορά πελατών ή χρηστών που βρίσκονται στην Ένωση, μπορεί να το κάνουν προφανώς ότι ο υπεύθυνος επεξεργασίας σκοπεύει να προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων στην Ένωση.

(24) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν είναι εγκατεστημένος στην Ένωση θα πρέπει επίσης να υπόκειται στον παρόντα κανονισμό όταν σχετίζεται με την παρακολούθηση της συμπεριφοράς αυτών των υποκειμένων των δεδομένων στο βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης. Προκειμένου να καθοριστεί εάν μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά των υποκειμένων των δεδομένων, θα πρέπει να εξακριβωθεί εάν φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συμπεριλαμβανομένης της πιθανής επακόλουθης χρήσης τεχνικών επεξεργασίας προσωπικών δεδομένων που συνίστανται στη δημιουργία προφίλ ενός φυσικού προσώπου, ιδίως σε προκειμένου να λάβει αποφάσεις που την αφορούν ή για την ανάλυση ή την πρόβλεψη των προσωπικών προτιμήσεων, συμπεριφορών και στάσεων της.

(25) Όταν το δίκαιο των κρατών μελών εφαρμόζεται δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός θα πρέπει επίσης να εφαρμόζεται σε ελεγκτή που δεν είναι εγκατεστημένος στην Ένωση, όπως στη διπλωματική ή προξενική αρχή ενός κράτους μέλους.

(26) Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Προσωπικά δεδομένα που έχουν υποστεί ψευδωνυμοποίηση, τα οποία θα μπορούσαν να αποδοθούν σε φυσικό πρόσωπο με τη χρήση πρόσθετων πληροφοριών θα πρέπει να θεωρούνται πληροφορίες για ένα αναγνωρίσιμο φυσικό πρόσωπο. Για να καθοριστεί εάν ένα φυσικό πρόσωπο είναι αναγνωρίσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν, όπως η επισήμανση, είτε από τον υπεύθυνο επεξεργασίας είτε από άλλο πρόσωπο για την άμεση ή έμμεση ταυτοποίηση του φυσικού προσώπου. Για να εξακριβωθεί εάν είναι εύλογα πιθανό να χρησιμοποιηθούν μέσα για την ταυτοποίηση του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως το κόστος και ο χρόνος που απαιτείται για την ταυτοποίηση, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία τη στιγμή της επεξεργασία και τεχνολογικές εξελίξεις. Ως εκ τούτου, οι αρχές της προστασίας δεδομένων δεν θα πρέπει να ισχύουν για ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται με ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο ή προσωπικά δεδομένα που καθίστανται ανώνυμα με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι ή να μην είναι πλέον αναγνωρίσιμο. Επομένως, ο παρών κανονισμός δεν αφορά την επεξεργασία τέτοιων ανώνυμων πληροφοριών, μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.

(27) Ο παρών κανονισμός δεν εφαρμόζεται στα προσωπικά δεδομένα των αποθανόντων. Τα κράτη μέλη μπορούν να προβλέπουν κανόνες σχετικά με την επεξεργασία προσωπικών δεδομένων αποθανόντων.

(28) Η εφαρμογή της ψευδωνυμοποίησης σε δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα ενδιαφερόμενα υποκείμενα των δεδομένων και να βοηθήσει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να εκπληρώσουν τις υποχρεώσεις τους για την προστασία των δεδομένων. Η ρητή εισαγωγή της «ψευδωνυμοποίησης» στον παρόντα κανονισμό δεν έχει σκοπό να αποκλείσει άλλα μέτρα προστασίας δεδομένων.

(29) Προκειμένου να δημιουργηθούν κίνητρα για την εφαρμογή ψευδωνυμοποίησης κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα μέτρα ψευδωνυμοποίησης θα πρέπει να είναι δυνατά εντός του ίδιου υπευθύνου επεξεργασίας, ενώ θα επιτρέπουν τη γενική ανάλυση, όταν ο υπεύθυνος επεξεργασίας έχει λάβει τεχνικά και οργανωτικά μέτρα που είναι απαραίτητα για να διασφαλίσει, για τη σχετική επεξεργασία, ότι ο παρών κανονισμός εφαρμόζεται και ότι οι πρόσθετες πληροφορίες για την απόδοση των προσωπικών δεδομένων σε ένα συγκεκριμένο υποκείμενο δεδομένων τηρούνται χωριστά. Ο υπεύθυνος επεξεργασίας που επεξεργάζεται τα προσωπικά δεδομένα θα πρέπει να υποδεικνύει τα εξουσιοδοτημένα πρόσωπα στον ίδιο υπεύθυνο επεξεργασίας.

(30) Τα φυσικά πρόσωπα ενδέχεται να συσχετίζονται με διαδικτυακά αναγνωριστικά που παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Διαδικτύου, αναγνωριστικά cookie ή άλλα αναγνωριστικά, όπως ετικέτες αναγνώρισης ραδιοσυχνοτήτων. Αυτό μπορεί να αφήσει ίχνη τα οποία, ιδίως όταν συνδυάζονται με μοναδικά αναγνωριστικά και άλλες πληροφορίες που λαμβάνονται από τους διακομιστές, μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ των φυσικών προσώπων και την αναγνώρισή τους.

(31) Δημόσιες αρχές στις οποίες κοινοποιούνται δεδομένα προσωπικού χαρακτήρα σύμφωνα με νομική υποχρέωση για την άσκηση της επίσημης αποστολής τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες χρηματοοικονομικής έρευνας, ανεξάρτητες διοικητικές αρχές ή αρχές χρηματοπιστωτικής αγοράς που είναι υπεύθυνες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών δεν θα πρέπει να θεωρούνται αποδέκτες εάν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια συγκεκριμένης έρευνας προς το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. Τα αιτήματα γνωστοποίησης που αποστέλλονται από τις δημόσιες αρχές πρέπει πάντα να είναι γραπτά, αιτιολογημένα και περιστασιακά και δεν πρέπει να αφορούν το σύνολο του συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση των συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από αυτές τις δημόσιες αρχές θα πρέπει να συμμορφώνεται με τους ισχύοντες κανόνες προστασίας δεδομένων σύμφωνα με τους σκοπούς της επεξεργασίας.

(32) Η συγκατάθεση θα πρέπει να παρέχεται με σαφή καταφατική πράξη που να καθιερώνει μια ελεύθερα δεδομένη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη ένδειξη της συμφωνίας του υποκειμένου των δεδομένων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, όπως με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει την επιλογή ενός πλαισίου κατά την επίσκεψη σε έναν ιστότοπο στο Διαδίκτυο, την επιλογή τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας της πληροφορίας ή άλλη δήλωση ή συμπεριφορά που υποδηλώνει σαφώς στο πλαίσιο αυτό την αποδοχή από το υποκείμενο των δεδομένων της προτεινόμενης επεξεργασίας των προσωπικών του δεδομένων. Η σιωπή, τα προεπιλεγμένα τετράγωνα ή η αδράνεια δεν θα πρέπει επομένως να συνιστούν συγκατάθεση. Η συγκατάθεση πρέπει να καλύπτει όλες τις δραστηριότητες επεξεργασίας που πραγματοποιούνται για τον ίδιο σκοπό ή σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, συνοπτικό και να μην διαταράσσει άσκοπα τη χρήση της υπηρεσίας για την οποία παρέχεται.

(33) Συχνά δεν είναι δυνατόν να προσδιοριστεί πλήρως ο σκοπός της επεξεργασίας προσωπικών δεδομένων για σκοπούς επιστημονικής έρευνας κατά τη συλλογή των δεδομένων. Ως εκ τούτου, τα υποκείμενα των δεδομένων θα πρέπει να έχουν τη δυνατότητα να δίνουν τη συγκατάθεσή τους σε ορισμένους τομείς της επιστημονικής έρευνας, όταν συμμορφώνονται με τα αναγνωρισμένα δεοντολογικά πρότυπα για την επιστημονική έρευνα. Τα υποκείμενα των δεδομένων θα πρέπει να έχουν τη δυνατότητα να δίνουν τη συγκατάθεσή τους μόνο σε ορισμένους τομείς έρευνας ή τμήματα ερευνητικών έργων στο βαθμό που επιτρέπεται από τον επιδιωκόμενο σκοπό.

(34) Τα γενετικά δεδομένα πρέπει να ορίζονται ως δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κληρονομικά ή επίκτητα γενετικά χαρακτηριστικά ενός φυσικού προσώπου που προκύπτουν από την ανάλυση βιολογικού δείγματος από το εν λόγω φυσικό πρόσωπο, ιδίως χρωμοσωμικό, δεοξυριβονουκλεϊκό οξύ (DNA) ή ριβονουκλεϊκό οξύ (RNA ) ανάλυση ή από την ανάλυση άλλου στοιχείου που επιτρέπει τη λήψη ισοδύναμων πληροφοριών.

(35) Τα προσωπικά δεδομένα που αφορούν την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που σχετίζονται με την κατάσταση της υγείας ενός υποκειμένου των δεδομένων, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την προηγούμενη, τρέχουσα ή μελλοντική κατάσταση σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Αυτό περιλαμβάνει πληροφορίες σχετικά με το φυσικό πρόσωπο που συλλέγονται κατά την εγγραφή ή την παροχή υπηρεσιών υγειονομικής περίθαλψης όπως αναφέρονται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 9 ) σε αυτό το φυσικό πρόσωπο• έναν αριθμό, ένα σύμβολο ή ένα συγκεκριμένο στοιχείο που εκχωρείται σε ένα φυσικό πρόσωπο για την αποκλειστική αναγνώριση του φυσικού προσώπου για λόγους υγείας• πληροφορίες που προέρχονται από τη δοκιμή ή την εξέταση ενός μέρους του σώματος ή μιας σωματικής ουσίας, συμπεριλαμβανομένων γενετικών δεδομένων και βιολογικών δειγμάτων• και οποιαδήποτε πληροφορία για, για παράδειγμα, μια ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων ανεξάρτητα από την πηγή τους, για παράδειγμα από γιατρό ή άλλο επαγγελματία υγείας, νοσοκομείο, ιατρική συσκευή ή μια in vitro διαγνωστική εξέταση.

(36) Η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην Ένωση θα πρέπει να είναι ο τόπος της κεντρικής διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις για τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση, οπότε αυτή η άλλη εγκατάσταση θα πρέπει να θεωρείται ως η κύρια εγκατάσταση. Η κύρια εγκατάσταση υπεύθυνου επεξεργασίας στην Ένωση θα πρέπει να καθορίζεται σύμφωνα με αντικειμενικά κριτήρια και θα πρέπει να συνεπάγεται την αποτελεσματική και πραγματική άσκηση των δραστηριοτήτων διαχείρισης που καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς και τα μέσα επεξεργασίας μέσω σταθερών ρυθμίσεων. Το κριτήριο αυτό δεν θα πρέπει να εξαρτάται από το εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται σε αυτόν τον τόπο. Η παρουσία και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή τις δραστηριότητες επεξεργασίας δεν αποτελούν, από μόνες τους, κύρια εγκατάσταση και επομένως δεν αποτελούν καθοριστικά κριτήρια για μια κύρια εγκατάσταση. Η κύρια εγκατάσταση του μεταποιητή θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν δεν έχει κεντρική διοίκηση στην Ένωση, ο τόπος όπου πραγματοποιούνται οι κύριες δραστηριότητες επεξεργασίας στην Ένωση. Σε περιπτώσεις που αφορούν τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία, η αρμόδια κύρια εποπτική αρχή θα πρέπει να παραμένει η εποπτική αρχή του κράτους μέλους όπου ο υπεύθυνος επεξεργασίας έχει την κύρια εγκατάστασή του, αλλά η εποπτική αρχή του εκτελούντος την επεξεργασία θα πρέπει να θεωρείται ως σχετική εποπτική αρχή και ότι η εποπτική αρχή θα πρέπει να συμμετέχει στη διαδικασία συνεργασίας που προβλέπεται από τον παρόντα κανονισμό. Σε κάθε περίπτωση, οι εποπτικές αρχές του κράτους μέλους ή των κρατών μελών όπου ο μεταποιητής έχει μία ή περισσότερες εγκαταστάσεις δεν θα πρέπει να θεωρούνται ως ενδιαφερόμενες εποπτικές αρχές όταν το σχέδιο απόφασης αφορά μόνο τον υπεύθυνο επεξεργασίας. Όταν η επεξεργασία πραγματοποιείται από όμιλο επιχειρήσεων, η κύρια εγκατάσταση της ελέγχουσας επιχείρησης θα πρέπει να θεωρείται ότι είναι η κύρια εγκατάσταση του ομίλου επιχειρήσεων, εκτός εάν οι σκοποί και τα μέσα μεταποίησης καθορίζονται από άλλη επιχείρηση.

(37) Ένας όμιλος επιχειρήσεων θα πρέπει να καλύπτει μια ελεγχόμενη επιχείρηση και τις ελεγχόμενες επιχειρήσεις της, σύμφωνα με την οποία η ελεγχόμενη επιχείρηση θα πρέπει να είναι η επιχείρηση που μπορεί να ασκήσει κυρίαρχη επιρροή στις άλλες επιχειρήσεις δυνάμει, για παράδειγμα, της ιδιοκτησίας, της οικονομικής συμμετοχής ή των κανόνων που τη διέπουν ή τη δυνατότητα εφαρμογής κανόνων προστασίας προσωπικών δεδομένων. Μια επιχείρηση που ελέγχει την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε επιχειρήσεις που συνδέονται με αυτήν θα πρέπει να θεωρείται, μαζί με αυτές τις επιχειρήσεις, ως όμιλος επιχειρήσεων.

(38) Τα παιδιά αξίζουν ειδικής προστασίας όσον αφορά τα προσωπικά τους δεδομένα, καθώς ενδέχεται να γνωρίζουν λιγότερο τους κινδύνους, τις συνέπειες και τις σχετικές διασφαλίσεις και τα δικαιώματά τους σε σχέση με την επεξεργασία προσωπικών δεδομένων. Αυτή η ειδική προστασία θα πρέπει, ειδικότερα, να ισχύει για τη χρήση προσωπικών δεδομένων παιδιών για σκοπούς μάρκετινγκ ή δημιουργίας προφίλ προσωπικότητας ή χρηστών και τη συλλογή προσωπικών δεδομένων σχετικά με παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται απευθείας σε ένα παιδί. Η συγκατάθεση του δικαιούχου της γονικής μέριμνας δεν θα πρέπει να είναι απαραίτητη στο πλαίσιο των προληπτικών ή συμβουλευτικών υπηρεσιών που προσφέρονται απευθείας σε ένα παιδί.

(39) Οποιαδήποτε επεξεργασία προσωπικών δεδομένων πρέπει να είναι νόμιμη και δίκαιη. Θα πρέπει να είναι διαφανές για τα φυσικά πρόσωπα ότι τα προσωπικά δεδομένα που τα αφορούν συλλέγονται, χρησιμοποιούνται, συμβουλεύονται ή υφίστανται άλλη επεξεργασία και σε ποιο βαθμό τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία ή πρόκειται να υποβληθούν σε επεξεργασία. Η αρχή της διαφάνειας απαιτεί κάθε πληροφορία και επικοινωνία που σχετίζεται με την επεξεργασία αυτών των προσωπικών δεδομένων να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιείται σαφής και απλή γλώσσα. Η αρχή αυτή αφορά, ειδικότερα, την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και περαιτέρω πληροφορίες για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας όσον αφορά τα ενδιαφερόμενα φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και επικοινωνία προσωπικών δεδομένα που τα αφορούν και τα οποία υποβάλλονται σε επεξεργασία. Τα φυσικά πρόσωπα θα πρέπει να γνωρίζουν τους κινδύνους, τους κανόνες, τις διασφαλίσεις και τα δικαιώματα σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τον τρόπο άσκησης των δικαιωμάτων τους σε σχέση με αυτή την επεξεργασία. Ειδικότερα, οι ειδικοί σκοποί για τους οποίους υφίστανται επεξεργασία τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς και νόμιμοι και να καθορίζονται κατά τη στιγμή της συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα προσωπικά δεδομένα θα πρέπει να είναι επαρκή, σχετικά και να περιορίζονται σε ό,τι είναι απαραίτητο για τους σκοπούς για τους οποίους υφίστανται επεξεργασία. Αυτό απαιτεί, ειδικότερα, τη διασφάλιση ότι η περίοδος αποθήκευσης των προσωπικών δεδομένων περιορίζεται στο αυστηρό ελάχιστο. Τα προσωπικά δεδομένα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορούσε εύλογα να εκπληρωθεί με άλλα μέσα. Προκειμένου να διασφαλιστεί ότι τα προσωπικά δεδομένα δεν διατηρούνται περισσότερο από όσο χρειάζεται, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίσει χρονικά όρια για διαγραφή ή περιοδική αναθεώρηση. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο για να διασφαλιστεί ότι τα προσωπικά δεδομένα που είναι ανακριβή διορθώνονται ή διαγράφονται. Τα προσωπικά δεδομένα θα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο που να διασφαλίζει την κατάλληλη ασφάλεια και εμπιστευτικότητα των προσωπικών δεδομένων, συμπεριλαμβανομένης της αποτροπής μη εξουσιοδοτημένης πρόσβασης ή χρήσης των προσωπικών δεδομένων και του εξοπλισμού που χρησιμοποιείται για την επεξεργασία.

(40) Για να είναι νόμιμη η επεξεργασία, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συναίνεση του οικείου υποκειμένου των δεδομένων ή κάποια άλλη νόμιμη βάση, που ορίζεται από το νόμο, είτε στον παρόντα κανονισμό είτε σε άλλο δίκαιο της Ένωσης ή του κράτους μέλους όπως αναφέρεται στον παρόντα κανονισμό, συμπεριλαμβανομένης της ανάγκης συμμόρφωσης με τη νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της αναγκαιότητας εκτέλεσης σύμβασης στην οποία είναι συμβαλλόμενο μέρος το υποκείμενο των δεδομένων ή προκειμένου να ληφθούν μέτρα κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης.

(41) Όταν ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν απαιτεί κατ' ανάγκη νομοθετική πράξη που εγκρίνεται από κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του οικείου κράτους μέλους. Ωστόσο, μια τέτοια νομική βάση ή νομοθετικό μέτρο θα πρέπει να είναι σαφής και ακριβής και η εφαρμογή της θα πρέπει να είναι προβλέψιμη σε πρόσωπα που υπόκεινται σε αυτήν, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»). και το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων.

(42) Όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για τη λειτουργία επεξεργασίας. Ειδικότερα, στο πλαίσιο μιας γραπτής δήλωσης για άλλο θέμα, οι διασφαλίσεις θα πρέπει να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει το γεγονός και τον βαθμό στον οποίο δόθηκε η συγκατάθεση. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου ( 10 ), μια δήλωση συναίνεσης που έχει προδιατυπωθεί από τον υπεύθυνο επεξεργασίας θα πρέπει να παρέχεται σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή γλώσσα και δεν πρέπει να περιέχει καταχρηστικούς όρους. Για να ενημερωθεί η συγκατάθεσή του, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπεύθυνου επεξεργασίας και τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ως ελεύθερα δοθείσα εάν το υποκείμενο των δεδομένων δεν έχει πραγματική ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς να ζημιωθεί.

(43) Προκειμένου να διασφαλιστεί ότι η συγκατάθεση παρέχεται ελεύθερα, η συγκατάθεση δεν πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση όπου υπάρχει σαφής ανισορροπία μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας, ιδίως όταν ο υπεύθυνος επεξεργασίας είναι δημόσιος είναι απίθανο να δόθηκε ελεύθερα η συγκατάθεση σε όλες τις περιστάσεις της συγκεκριμένης κατάστασης. Η συγκατάθεση τεκμαίρεται ότι δεν παρέχεται ελεύθερα εάν δεν επιτρέπει τη χωριστή συγκατάθεση για διαφορετικές λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα, παρόλο που είναι σκόπιμο στη συγκεκριμένη περίπτωση, ή εάν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, εξαρτάται σχετικά με τη συγκατάθεση, παρά το γεγονός ότι αυτή η συγκατάθεση δεν είναι απαραίτητη για μια τέτοια εκτέλεση.

(44) Η επεξεργασία θα πρέπει να είναι νόμιμη όταν είναι απαραίτητη στο πλαίσιο μιας σύμβασης ή στην πρόθεση σύναψης σύμβασης.

(45) Όταν η επεξεργασία πραγματοποιείται σύμφωνα με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να βασίζεται στην Ένωση ή το δίκαιο των κρατών µελών. Ο παρών κανονισμός δεν απαιτεί ειδική νομοθεσία για κάθε μεμονωμένη επεξεργασία. Μπορεί να αρκεί ένας νόμος ως βάση για πολλές πράξεις επεξεργασίας που βασίζεται σε νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όπου η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας αρχής. Θα πρέπει επίσης να εναπόκειται στη νομοθεσία της Ένωσης ή του κράτους μέλους να καθορίζει τον σκοπό της επεξεργασίας. Επιπλέον, ο νόμος αυτός θα μπορούσε να καθορίζει τους γενικούς όρους του παρόντος κανονισμού που διέπουν τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να καθορίζει προδιαγραφές για τον προσδιορισμό του υπεύθυνου επεξεργασίας, το είδος των προσωπικών δεδομένων που υπόκεινται στην επεξεργασία, τα ενδιαφερόμενα υποκείμενα των δεδομένων, τις οντότητες στις οποίες ενδέχεται να αποκαλυφθούν δεδομένα, οι περιορισμοί σκοπού, η περίοδος αποθήκευσης και άλλα μέτρα για τη διασφάλιση της νόμιμης και δίκαιης επεξεργασίας. Θα πρέπει επίσης να εναπόκειται στο δίκαιο της Ένωσης ή του κράτους μέλους να καθορίζει εάν ο υπεύθυνος επεξεργασίας που εκτελεί καθήκον που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο δημοσίου δικαίου, ή, όταν είναι προς το δημόσιο συμφέρον να γίνει αυτό, μεταξύ άλλων για σκοπούς υγείας όπως η δημόσια υγεία και η κοινωνική προστασία και η διαχείριση υπηρεσιών υγειονομικής περίθαλψης, βάσει ιδιωτικού δικαίου, όπως μια επαγγελματική ένωση.

(46) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται νόμιμη όταν είναι απαραίτητο να προστατευθεί ένα συμφέρον που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει καταρχήν να πραγματοποιείται μόνο όταν η επεξεργασία δεν μπορεί να βασίζεται προδήλως σε άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορεί να εξυπηρετούν τόσο σημαντικούς λόγους δημόσιου συμφέροντος όσο και ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως για παράδειγμα όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, συμπεριλαμβανομένης της παρακολούθησης επιδημιών και της εξάπλωσής τους ή σε καταστάσεις ανθρωπιστικής ανάγκης, ιδίως σε καταστάσεις φυσικές και ανθρωπογενείς καταστροφές.

(47) Τα έννομα συμφέροντα ενός υπευθύνου επεξεργασίας, συμπεριλαμβανομένων των συμφερόντων του υπεύθυνου επεξεργασίας στον οποίο ενδέχεται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, ή ενός τρίτου μέρους, μπορούν να παρέχουν νομική βάση για την επεξεργασία, υπό τον όρο ότι τα συμφέροντα ή τα θεμελιώδη δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων είναι δεν υπερισχύει, λαμβάνοντας υπόψη τις εύλογες προσδοκίες των υποκειμένων των δεδομένων με βάση τη σχέση τους με τον υπεύθυνο επεξεργασίας. Αυτό το έννομο συμφέρον θα μπορούσε να υπάρχει, για παράδειγμα, όταν υπάρχει σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας σε καταστάσεις όπως όταν το υποκείμενο των δεδομένων είναι πελάτης ή στην υπηρεσία του υπευθύνου επεξεργασίας. Εν πάση περιπτώσει, η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, συμπεριλαμβανομένου του κατά πόσον ένα υποκείμενο των δεδομένων μπορεί εύλογα να αναμένει τη στιγμή και στο πλαίσιο της συλλογής των προσωπικών δεδομένων ότι ενδέχεται να λάβει χώρα η επεξεργασία για τον σκοπό αυτό. Τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν ιδίως να υπερισχύσουν του συμφέροντος του υπευθύνου επεξεργασίας δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις όπου τα υποκείμενα των δεδομένων δεν αναμένουν εύλογα περαιτέρω επεξεργασία. Δεδομένου ότι εναπόκειται στον νομοθέτη να προβλέπει με νόμο τη νομική βάση για τις δημόσιες αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αυτή η νομική βάση δεν θα πρέπει να ισχύει για την επεξεργασία από τις δημόσιες αρχές κατά την εκτέλεση των καθηκόντων τους. Η επεξεργασία προσωπικών δεδομένων που είναι απολύτως αναγκαία για τους σκοπούς της αποτροπής απάτης συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπεύθυνου επεξεργασίας δεδομένων. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσου μάρκετινγκ μπορεί να θεωρηθεί ότι πραγματοποιείται για έννομο συμφέρον.

(48) Οι υπεύθυνοι επεξεργασίας που ανήκουν σε ομάδα επιχειρήσεων ή ιδρυμάτων που συνδέονται με κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας προσωπικών δεδομένων πελατών ή εργαζομένων. Οι γενικές αρχές για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο ενός ομίλου επιχειρήσεων, σε επιχείρηση εγκατεστημένη σε τρίτη χώρα παραμένουν ανεπηρέαστες.

(49) Η επεξεργασία προσωπικών δεδομένων στον βαθμό που είναι απολύτως απαραίτητος και αναλογικός για τους σκοπούς της διασφάλισης της ασφάλειας δικτύων και πληροφοριών, δηλαδή η ικανότητα ενός δικτύου ή ενός συστήματος πληροφοριών να αντιστέκεται, σε δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες που θέτουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα και το απόρρητο των αποθηκευμένων ή μεταδιδόμενων προσωπικών δεδομένων και την ασφάλεια των σχετικών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω αυτών των δικτύων και συστημάτων, από δημόσιες αρχές, από ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης υπολογιστών (CERT), ασφάλεια υπολογιστών Οι ομάδες αντιμετώπισης συμβάντων (CSIRT), από παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και από παρόχους τεχνολογιών και υπηρεσιών ασφαλείας, συνιστά έννομο συμφέρον του ενδιαφερόμενου υπεύθυνου επεξεργασίας δεδομένων. Αυτό θα μπορούσε, για παράδειγμα, να περιλαμβάνει την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και τη διανομή κακόβουλου κώδικα και τον τερματισμό επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε υπολογιστές και συστήματα ηλεκτρονικών επικοινωνιών.

(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από αυτούς για τους οποίους συλλέχθηκαν αρχικά τα προσωπικά δεδομένα θα πρέπει να επιτρέπεται μόνο όταν η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα. Σε μια τέτοια περίπτωση, δεν απαιτείται νομική βάση ξεχωριστή από αυτή που επέτρεψε τη συλλογή των προσωπικών δεδομένων. Εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή του κράτους μέλους μπορεί να καθορίσει και να προσδιορίσει τα καθήκοντα και τους σκοπούς για τους οποίους θα πρέπει να εξεταστεί η περαιτέρω επεξεργασία ως συμβατές και νόμιμες. Περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης για σκοπούς δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς θα πρέπει να θεωρούνται συμβατές νόμιμες πράξεις επεξεργασίας. Η νομική βάση που παρέχεται από το δίκαιο της Ένωσης ή του κράτους μέλους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να παρέχει νομική βάση για περαιτέρω επεξεργασία. Για να εξακριβωθεί εάν ένας σκοπός περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό για τον οποίο συλλέγονται αρχικά τα προσωπικά δεδομένα, ο υπεύθυνος επεξεργασίας, αφού πληροί όλες τις προϋποθέσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: σύνδεση μεταξύ αυτών των σκοπών και των σκοπών της προβλεπόμενης περαιτέρω επεξεργασίας• το πλαίσιο εντός του οποίου έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως οι εύλογες προσδοκίες των υποκειμένων των δεδομένων με βάση τη σχέση τους με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους• τη φύση των προσωπικών δεδομένων• τις συνέπειες της προβλεπόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων• και την ύπαρξη κατάλληλων διασφαλίσεων τόσο στις αρχικές όσο και στις προβλεπόμενες περαιτέρω εργασίες επεξεργασίας.

Όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ή η επεξεργασία βασίζεται στο δίκαιο της Ένωσης ή του κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση, ιδίως, σημαντικών στόχων γενικού δημόσιου συμφέροντος, ο υπεύθυνος επεξεργασίας θα πρέπει να έχει τη δυνατότητα να επεξεργάζεται περαιτέρω τα προσωπικά δεδομένα ανεξάρτητα από τη συμβατότητα των σκοπών. Σε κάθε περίπτωση, θα πρέπει να διασφαλίζεται η εφαρμογή των αρχών που ορίζονται στον παρόντα κανονισμό και ιδίως η ενημέρωση του υποκειμένου των δεδομένων για αυτούς τους άλλους σκοπούς και για τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος αντίρρησης. Η υπόδειξη πιθανών εγκληματικών πράξεων ή απειλών για τη δημόσια ασφάλεια από τον υπεύθυνο επεξεργασίας και η διαβίβαση των σχετικών προσωπικών δεδομένων σε μεμονωμένες περιπτώσεις ή σε πολλές περιπτώσεις που σχετίζονται με την ίδια εγκληματική πράξη ή απειλές για τη δημόσια ασφάλεια σε αρμόδια αρχή θα πρέπει να θεωρείται ότι επιδιώκεται το έννομο συμφέρον από τον ελεγκτή. Ωστόσο, τέτοια διαβίβαση προς το έννομο συμφέρον του υπευθύνου επεξεργασίας ή περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να απαγορεύεται εάν η επεξεργασία δεν είναι συμβατή με νομική, επαγγελματική ή άλλη δεσμευτική υποχρέωση απορρήτου.

(51) Τα δεδομένα προσωπικού χαρακτήρα που είναι από τη φύση τους ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας καθώς το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και ελευθερίες. Αυτά τα προσωπικά δεδομένα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, οπότε η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται την αποδοχή από την Ένωση θεωριών που επιχειρούν να προσδιορίσουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ως επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο όταν υποβάλλονται σε επεξεργασία με συγκεκριμένο τεχνικό μέσο που επιτρέπει τη μοναδική ταυτοποίηση ή εξακρίβωση της ταυτότητας ενός φυσικού προσώπου. Αυτά τα προσωπικά δεδομένα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν επιτρέπεται η επεξεργασία σε συγκεκριμένες περιπτώσεις που ορίζονται στον παρόντα κανονισμό, λαμβάνοντας υπόψη ότι η νομοθεσία των κρατών μελών μπορεί να θεσπίζει ειδικές διατάξεις για την προστασία των δεδομένων προκειμένου να προσαρμοστεί η εφαρμογή των κανόνων του παρόντος κανονισμού για συμμόρφωση. με νομική υποχρέωση ή για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Εκτός από τις ειδικές απαιτήσεις για την εν λόγω επεξεργασία, θα πρέπει να ισχύουν οι γενικές αρχές και άλλοι κανόνες του παρόντος κανονισμού, ιδίως όσον αφορά τις προϋποθέσεις για νόμιμη επεξεργασία. Θα πρέπει να προβλέπονται ρητά παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας τέτοιων ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων, όταν το υποκείμενο των δεδομένων δίνει τη ρητή συγκατάθεσή του ή όσον αφορά ειδικές ανάγκες, ιδίως όταν η επεξεργασία πραγματοποιείται κατά τη διάρκεια νόμιμων δραστηριότητες ορισμένων ενώσεων ή ιδρυμάτων σκοπός των οποίων είναι να επιτρέψουν την άσκηση θεμελιωδών ελευθεριών.

(52) Η παρέκκλιση από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να επιτρέπεται όταν προβλέπεται στο δίκαιο της Ένωσης ή του κράτους μέλους και υπόκειται σε κατάλληλες διασφαλίσεις, ώστε να προστατεύονται τα προσωπικά δεδομένα και άλλα θεμελιώδη δικαιώματα, όπου είναι προς το δημόσιο συμφέρον. Έτσι, ιδίως η επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής προστασίας, συμπεριλαμβανομένων των συντάξεων και για σκοπούς ασφάλειας υγείας, παρακολούθησης και επαγρύπνησης, πρόληψη ή έλεγχος μεταδοτικών ασθενειών και άλλων σοβαρών απειλών για την υγεία. Μια τέτοια παρέκκλιση μπορεί να γίνει για λόγους υγείας, συμπεριλαμβανομένης της δημόσιας υγείας και της διαχείρισης των υπηρεσιών υγειονομικής περίθαλψης, ιδίως προκειμένου να διασφαλιστεί η ποιότητα και η σχέση κόστους-αποτελεσματικότητας των διαδικασιών που χρησιμοποιούνται για τη διευθέτηση αξιώσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας, ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, επιστημονικούς ή ιστορικούς σκοπούς έρευνας ή στατιστικούς σκοπούς. Μια παρέκκλιση θα πρέπει επίσης να επιτρέπει την επεξεργασία τέτοιων προσωπικών δεδομένων όπου είναι απαραίτητο για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων, είτε σε δικαστική διαδικασία είτε σε διοικητική ή εξώδικη διαδικασία.

(53) Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αξίζουν υψηλότερης προστασίας θα πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς που σχετίζονται με την υγεία μόνο όπου είναι απαραίτητο για την επίτευξη των σκοπών αυτών προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης των υπηρεσιών υγείας ή κοινωνικής φροντίδας και συστήματα, συμπεριλαμβανομένης της επεξεργασίας από τη διαχείριση και τις κεντρικές εθνικές υγειονομικές αρχές τέτοιων δεδομένων με σκοπό τον ποιοτικό έλεγχο, τις πληροφορίες διαχείρισης και τη γενική εθνική και τοπική εποπτεία του συστήματος υγείας ή κοινωνικής περίθαλψης και τη διασφάλιση της συνέχειας της υγειονομικής ή κοινωνικής φροντίδας και -συνοριακή υγειονομική περίθαλψη ή ασφάλεια υγείας, παρακολούθησης και συναγερμού ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, βάσει του δικαίου της Ένωσης ή του κράτους μέλους που πρέπει να εκπληρώσει έναν στόχο δημοσίου συμφέροντος, καθώς και για μελέτες δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας. Ως εκ τούτου, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένους όρους για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, όσον αφορά ειδικές ανάγκες, ιδίως όταν η επεξεργασία των δεδομένων αυτών πραγματοποιείται για ορισμένους σκοπούς που σχετίζονται με την υγεία από πρόσωπα που υπόκεινται σε υποχρέωση επαγγελματικού απορρήτου. Η νομοθεσία της Ένωσης ή των κρατών μελών θα πρέπει να προβλέπει συγκεκριμένα και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Θα πρέπει να επιτρέπεται στα κράτη μέλη να διατηρούν ή να εισάγουν περαιτέρω όρους, συμπεριλαμβανομένων περιορισμών, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Ωστόσο, αυτό δεν θα πρέπει να παρεμποδίζει την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης όταν ισχύουν αυτοί οι όροι για τη διασυνοριακή επεξεργασία τέτοιων δεδομένων.

(54) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημοσίου συμφέροντος στους τομείς της δημόσιας υγείας χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων. Η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό ( ΕΚ ) αριθ . τους καθοριστικούς παράγοντες που επηρεάζουν αυτή την κατάσταση υγείας, τις ανάγκες υγειονομικής περίθαλψης, τους πόρους που διατίθενται για την υγειονομική περίθαλψη, την παροχή και την καθολική πρόσβαση σε υγειονομική περίθαλψη καθώς και τις δαπάνες και τη χρηματοδότηση της υγειονομικής περίθαλψης, και τις αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων που αφορούν την υγεία για λόγους δημοσίου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία προσωπικών δεδομένων για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές και τραπεζικές εταιρείες.

(55) Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από επίσημες αρχές για την επίτευξη των σκοπών, που ορίζονται από το συνταγματικό δίκαιο ή από το διεθνές δημόσιο δίκαιο, επίσημα αναγνωρισμένων θρησκευτικών ενώσεων, πραγματοποιείται για λόγους δημοσίου συμφέροντος.

(56) Όταν κατά τη διάρκεια εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί από τα πολιτικά κόμματα να συγκεντρώνουν προσωπικά δεδομένα για τις πολιτικές απόψεις των ανθρώπων, η επεξεργασία αυτών των δεδομένων μπορεί να επιτρέπεται για λόγους δημοσίου συμφέροντος, υπό την προϋπόθεση ότι θεσπίζονται κατάλληλες διασφαλίσεις.

(57) Εάν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτήσει πρόσθετες πληροφορίες για την αναγνώριση του υποκειμένου των δεδομένων με αποκλειστικό σκοπό τη συμμόρφωση με οποιαδήποτε διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνηθεί να λάβει πρόσθετες πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων προκειμένου να υποστηρίξει την άσκηση των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση ενός υποκειμένου των δεδομένων, για παράδειγμα μέσω μηχανισμού ελέγχου ταυτότητας, όπως τα ίδια διαπιστευτήρια, που χρησιμοποιείται από το υποκείμενο των δεδομένων για να συνδεθεί στην ηλεκτρονική υπηρεσία που προσφέρει ο υπεύθυνος επεξεργασίας δεδομένων.

(58) Η αρχή της διαφάνειας απαιτεί κάθε πληροφορία που απευθύνεται στο κοινό ή στο υποκείμενο των δεδομένων να είναι συνοπτική, εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιείται σαφής και απλή γλώσσα και, επιπλέον, όπου χρειάζεται, οπτικοποίηση. Τέτοιες πληροφορίες θα μπορούσαν να παρέχονται σε ηλεκτρονική μορφή, για παράδειγμα, όταν απευθύνονται στο κοινό, μέσω ιστότοπου. Αυτό έχει ιδιαίτερη σημασία σε περιπτώσεις όπου ο πολλαπλασιασμός των φορέων και η τεχνολογική πολυπλοκότητα της πρακτικής καθιστούν δύσκολο για το υποκείμενο των δεδομένων να γνωρίζει και να κατανοήσει εάν, από ποιον και για ποιο σκοπό συλλέγονται προσωπικά δεδομένα που το αφορούν, όπως π.χ. στην περίπτωση της διαδικτυακής διαφήμισης. Δεδομένου ότι τα παιδιά αξίζουν ειδικής προστασίας, οποιαδήποτε πληροφορία και επικοινωνία, όπου η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να γίνεται σε τόσο σαφή και απλή γλώσσα ώστε το παιδί να μπορεί να κατανοήσει εύκολα.

(59) Θα πρέπει να προβλέπονται λεπτομέρειες για τη διευκόλυνση της άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων βάσει του παρόντος κανονισμού, συμπεριλαμβανομένων μηχανισμών για να ζητήσει και, κατά περίπτωση, να αποκτήσει δωρεάν, ιδίως, πρόσβαση και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και την άσκηση του δικαιώματος αντιλέγω, διαμαρτύρομαι. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει μέσα για τα αιτήματα που υποβάλλονται ηλεκτρονικά, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός και να αιτιολογεί εάν ο υπεύθυνος επεξεργασίας δεν προτίθεται να συμμορφωθεί με τέτοια αιτήματα.

(60) Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές περιστάσεις και το πλαίσιο στο οποίο υφίστανται επεξεργασία τα δεδομένα προσωπικού χαρακτήρα. Επιπλέον, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για την ύπαρξη προφίλ και τις συνέπειες αυτού του προφίλ. Όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει επίσης να ενημερώνεται εάν υποχρεούται να παράσχει τα προσωπικά δεδομένα και για τις συνέπειες, εάν δεν παρέχει τέτοια δεδομένα. Αυτές οι πληροφορίες μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να παρέχουν με τρόπο εύκολα ορατό, κατανοητό και ευανάγνωστο, μια ουσιαστική επισκόπηση της προβλεπόμενης επεξεργασίας. Όπου τα εικονίδια παρουσιάζονται ηλεκτρονικά, θα πρέπει να είναι αναγνώσιμα από μηχανή.

(61) Οι πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το υποκείμενο των δεδομένων θα πρέπει να του παρέχονται κατά τη συλλογή από το υποκείμενο των δεδομένων ή, όταν τα προσωπικά δεδομένα λαμβάνονται από άλλη πηγή, εντός εύλογου χρονικού διαστήματος, ανάλογα για τις συνθήκες της υπόθεσης. Όταν τα προσωπικά δεδομένα μπορούν να γνωστοποιηθούν νόμιμα σε άλλον παραλήπτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται όταν τα προσωπικά δεδομένα κοινοποιούνται για πρώτη φορά στον παραλήπτη. Όταν ο υπεύθυνος επεξεργασίας σκοπεύει να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από αυτόν για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων πριν από αυτή την περαιτέρω επεξεργασία πληροφορίες για αυτόν τον άλλο σκοπό και άλλες απαραίτητες πληροφορίες. Όταν η προέλευση των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να παρασχεθεί στο υποκείμενο των δεδομένων επειδή έχουν χρησιμοποιηθεί διάφορες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες.

(62) Ωστόσο, δεν είναι απαραίτητο να επιβάλλεται η υποχρέωση παροχής πληροφοριών όταν το υποκείμενο των δεδομένων κατέχει ήδη τις πληροφορίες, όταν η καταγραφή ή η αποκάλυψη των δεδομένων προσωπικού χαρακτήρα ορίζεται ρητά από το νόμο ή όταν η παροχή πληροφοριών στο υποκείμενο των δεδομένων αποδεικνύεται ότι είναι αδύνατο ή θα συνεπαγόταν δυσανάλογη προσπάθεια. Το τελευταίο θα μπορούσε ιδίως να ισχύει όταν η επεξεργασία πραγματοποιείται για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς. Από την άποψη αυτή, θα πρέπει να ληφθούν υπόψη ο αριθμός των υποκειμένων των δεδομένων, η ηλικία των δεδομένων και τυχόν κατάλληλες διασφαλίσεις που υιοθετήθηκαν.

(63) Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί σχετικά με αυτό και να το ασκεί εύκολα και σε εύλογα χρονικά διαστήματα, προκειμένου να γνωρίζει και να επαληθεύει τη νομιμότητα της επεξεργασίας. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση σε δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα στα ιατρικά τους αρχεία που περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και οποιαδήποτε παρεχόμενη θεραπεία ή παρεμβάσεις. Κάθε υποκείμενο των δεδομένων θα πρέπει επομένως να έχει το δικαίωμα να γνωρίζει και να λαμβάνει επικοινωνία, ιδίως σχετικά με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα, όπου είναι δυνατόν, την περίοδο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, τη λογική που εμπλέκεται σε οποιαδήποτε αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και, τουλάχιστον όταν βασίζεται σε προφίλ, τις συνέπειες αυτής της επεξεργασίας. Όπου είναι δυνατόν, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να παρέχει απομακρυσμένη πρόσβαση σε ένα ασφαλές σύστημα που θα παρέχει στο υποκείμενο των δεδομένων άμεση πρόσβαση στα προσωπικά του δεδομένα. Αυτό το δικαίωμα δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, συμπεριλαμβανομένων των εμπορικών μυστικών ή της πνευματικής ιδιοκτησίας και ειδικότερα τα πνευματικά δικαιώματα που προστατεύουν το λογισμικό. Ωστόσο, το αποτέλεσμα αυτών των εκτιμήσεων δεν θα πρέπει να είναι η άρνηση παροχής όλων των πληροφοριών στο υποκείμενο των δεδομένων. Όταν ο υπεύθυνος επεξεργασίας επεξεργάζεται μεγάλη ποσότητα πληροφοριών που αφορούν το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να ζητήσει από το υποκείμενο των δεδομένων να προσδιορίσει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας με τις οποίες αφορά το αίτημα, πριν από την παράδοση των πληροφοριών.

(64) Ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί όλα τα εύλογα μέτρα για την επαλήθευση της ταυτότητας ενός υποκειμένου των δεδομένων που ζητά πρόσβαση, ιδίως στο πλαίσιο των διαδικτυακών υπηρεσιών και των διαδικτυακών αναγνωριστικών. Ο υπεύθυνος επεξεργασίας δεν θα πρέπει να διατηρεί προσωπικά δεδομένα με μοναδικό σκοπό να είναι σε θέση να ανταποκριθεί σε πιθανά αιτήματα.

(65) Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να διορθώνει προσωπικά δεδομένα που το αφορούν και να έχει «δικαίωμα στη λήθη» όταν η διατήρηση τέτοιων δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ειδικότερα, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να διαγράφονται και να μην υποβάλλονται πλέον σε επεξεργασία τα προσωπικά του δεδομένα όταν τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο, όταν το υποκείμενο των δεδομένων έχει αποσυρθεί τη συγκατάθεσή του ή τις αντιρρήσεις του στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν ή όταν η επεξεργασία των προσωπικών του δεδομένων δεν συμμορφώνεται με άλλον τρόπο με τον παρόντα κανονισμό. Αυτό το δικαίωμα είναι σημαντικό ιδίως όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ως παιδί και δεν έχει πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία και αργότερα επιθυμεί να αφαιρέσει τέτοια προσωπικά δεδομένα, ιδίως στο Διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκεί αυτό το δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι νόμιμη όπου είναι απαραίτητο, για την άσκηση του δικαιώματος της ελευθερίας έκφρασης και πληροφόρησης, για συμμόρφωση με νομική υποχρέωση, για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς ή για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων .

(66) Για να ενισχυθεί το δικαίωμα στη λήθη στο διαδικτυακό περιβάλλον, το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί κατά τέτοιο τρόπο ώστε ένας υπεύθυνος επεξεργασίας που έχει δημοσιοποιήσει τα προσωπικά δεδομένα θα πρέπει να υποχρεούται να ενημερώνει τους υπευθύνους επεξεργασίας που επεξεργάζονται αυτά τα προσωπικά δεδομένα για τη διαγραφή συνδέσμους ή αντίγραφα ή αντιγραφές αυτών των προσωπικών δεδομένων. Στο πλαίσιο αυτό, ο εν λόγω υπεύθυνος επεξεργασίας θα πρέπει να λάβει εύλογα μέτρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και τα μέσα που διαθέτει ο υπεύθυνος επεξεργασίας, συμπεριλαμβανομένων τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα προσωπικά δεδομένα σχετικά με το αίτημα του υποκειμένου των δεδομένων.

(67) Οι μέθοδοι περιορισμού της επεξεργασίας προσωπικών δεδομένων θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, τη μη διαθεσιμότητα των επιλεγμένων προσωπικών δεδομένων στους χρήστες ή την προσωρινή κατάργηση δημοσιευμένων δεδομένων από έναν ιστότοπο. Στα αυτοματοποιημένα συστήματα αρχειοθέτησης, ο περιορισμός της επεξεργασίας θα πρέπει κατ' αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα προσωπικά δεδομένα να μην υπόκεινται σε περαιτέρω διαδικασίες επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναφέρεται σαφώς στο σύστημα.

(68) Για να ενισχυθεί περαιτέρω ο έλεγχος των δικών του δεδομένων, όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει επίσης να έχει τη δυνατότητα να λαμβάνει προσωπικά δεδομένα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας στο μια δομημένη, συνήθως χρησιμοποιούμενη, αναγνώσιμη από μηχανήματα και διαλειτουργική μορφή και για τη μετάδοσή της σε άλλο ελεγκτή. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικές μορφές που επιτρέπουν τη φορητότητα των δεδομένων. Αυτό το δικαίωμα θα πρέπει να ισχύει όταν το υποκείμενο των δεδομένων παρείχε τα προσωπικά δεδομένα βάσει της συγκατάθεσής του ή η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης. Δεν θα πρέπει να εφαρμόζεται όταν η επεξεργασία βασίζεται σε νομική βάση εκτός από τη συγκατάθεση ή τη σύμβαση. Από τη φύση του, το δικαίωμα αυτό δεν θα πρέπει να ασκείται έναντι των υπευθύνων επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα κατά την άσκηση των δημοσίων καθηκόντων τους. Επομένως, δεν θα πρέπει να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης αρχής που έχει ελεγκτής. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση για τους υπεύθυνους επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι τεχνικά συμβατά. Όταν, σε ένα συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, αφορούν περισσότερα από ένα υποκείμενα δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να αποκτήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα και τους περιορισμούς αυτού του δικαιώματος όπως ορίζονται στον παρόντα κανονισμό και, ειδικότερα, δεν θα πρέπει να συνεπάγεται τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων. έχουν παρασχεθεί από αυτόν για την εκτέλεση μιας σύμβασης στο βαθμό που και για όσο διάστημα τα προσωπικά δεδομένα είναι απαραίτητα για την εκτέλεση αυτής της σύμβασης. Όπου είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να διαβιβάζονται τα προσωπικά δεδομένα απευθείας από τον έναν υπεύθυνο επεξεργασίας στον άλλο.

(69) Όταν τα δεδομένα προσωπικού χαρακτήρα ενδέχεται να υποστούν νόμιμη επεξεργασία επειδή η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας ή για λόγους έννομων συμφερόντων υπευθύνου επεξεργασίας ή τρίτου, Το υποκείμενο των δεδομένων θα πρέπει, ωστόσο, να έχει το δικαίωμα να αντιταχθεί στην επεξεργασία οποιωνδήποτε δεδομένων προσωπικού χαρακτήρα που σχετίζονται με την ιδιαίτερη κατάστασή του. Εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι το επιτακτικό έννομο συμφέρον του υπερισχύει των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

(70) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορίας, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να αντιταχθεί σε τέτοια επεξεργασία, συμπεριλαμβανομένης της δημιουργίας προφίλ στο βαθμό που σχετίζεται με την εν λόγω άμεση εμπορία, είτε όσον αφορά την αρχική είτε την περαιτέρω επεξεργασία, σε οποιαδήποτε χρόνο και δωρεάν. Το δικαίωμα αυτό θα πρέπει να γνωστοποιείται ρητά στο υποκείμενο των δεδομένων και να παρουσιάζεται σαφώς και χωριστά από οποιαδήποτε άλλη πληροφορία.

(71) Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει μέτρο αξιολόγησης προσωπικών πτυχών που το αφορούν, η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία και η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει παρόμοια σημαντικά. ή αυτήν, όπως η αυτόματη άρνηση μιας ηλεκτρονικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικής πρόσληψης χωρίς ανθρώπινη παρέμβαση. Αυτή η επεξεργασία περιλαμβάνει «προφίλ» που συνίσταται σε οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αξιολογεί τις προσωπικές πτυχές που σχετίζονται με ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση του υποκειμένου των δεδομένων στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή συμφέροντα, αξιοπιστία ή συμπεριφορά, τοποθεσία ή κινήσεις, όπου παράγει έννομα αποτελέσματα που τον αφορούν ή τον επηρεάζει με παρόμοιο τρόπο σημαντικά. Ωστόσο, η λήψη αποφάσεων που βασίζεται σε τέτοια επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, θα πρέπει να επιτρέπεται όταν επιτρέπεται ρητά από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, μεταξύ άλλων για σκοπούς παρακολούθησης και πρόληψης απάτης και φοροδιαφυγής που διεξάγονται σύμφωνα με τους κανονισμούς, πρότυπα και συστάσεις των θεσμικών οργάνων της Ένωσης ή των εθνικών εποπτικών φορέων και για τη διασφάλιση της ασφάλειας και της αξιοπιστίας μιας υπηρεσίας που παρέχεται από τον υπεύθυνο επεξεργασίας ή είναι απαραίτητη για τη σύναψη ή εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή όταν το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του. Σε κάθε περίπτωση, η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλες διασφαλίσεις, οι οποίες θα πρέπει να περιλαμβάνουν συγκεκριμένες πληροφορίες για το υποκείμενο των δεδομένων και το δικαίωμα ανθρώπινης παρέμβασης, έκφρασης της άποψής του, εξήγησης της απόφασης που ελήφθη μετά την αξιολόγηση και να αμφισβητήσει την απόφαση. Ένα τέτοιο μέτρο δεν πρέπει να αφορά ένα παιδί.

Προκειμένου να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με το υποκείμενο των δεδομένων, λαμβάνοντας υπόψη τις ειδικές περιστάσεις και το πλαίσιο στο οποίο υποβάλλονται σε επεξεργασία τα προσωπικά δεδομένα, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση προφίλ, να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλιστεί, ειδικότερα, ότι οι παράγοντες που οδηγούν σε ανακρίβειες στα προσωπικά δεδομένα διορθώνονται και ο κίνδυνος λαθών ελαχιστοποιείται, ασφαλίστε τα προσωπικά δεδομένα με τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους για τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και ότι αποτρέπει, μεταξύ άλλων, επιδράσεις που εισάγουν διακρίσεις σε φυσικά πρόσωπα με βάση τη φυλετική ή εθνική καταγωγή, τις πολιτικές πεποιθήσεις, τη θρησκεία ή τις πεποιθήσεις, τη συμμετοχή σε συνδικάτα, τη γενετική ή υγειονομική κατάσταση ή τον σεξουαλικό προσανατολισμό ή που καταλήγουν σε μέτρα που έχουν τέτοιο αποτέλεσμα. Η αυτοματοποιημένη λήψη αποφάσεων και η δημιουργία προφίλ με βάση ειδικές κατηγορίες προσωπικών δεδομένων θα πρέπει να επιτρέπεται μόνο υπό συγκεκριμένες προϋποθέσεις.

(72) Η δημιουργία προφίλ υπόκειται στους κανόνες του παρόντος κανονισμού που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως οι νομικοί λόγοι επεξεργασίας ή οι αρχές προστασίας δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστάθηκε με τον παρόντα κανονισμό (το «συμβούλιο») θα πρέπει να μπορεί να εκδίδει κατευθυντήριες γραμμές σε αυτό το πλαίσιο.

(73) Περιορισμοί σχετικά με συγκεκριμένες αρχές και τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, δικαίωμα φορητότητας δεδομένων, δικαίωμα αντίρρησης, αποφάσεις που βασίζονται σε προφίλ, καθώς και κοινοποίηση παραβίασης προσωπικών δεδομένων σε ένα υποκείμενο των δεδομένων και ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας μπορεί να επιβάλλονται από το δίκαιο της Ένωσης ή του κράτους μέλους, στο βαθμό που είναι απαραίτητο και αναλογικό σε μια δημοκρατική κοινωνία για τη διασφάλιση της δημόσιας ασφάλειας, συμπεριλαμβανομένης της προστασίας της ανθρώπινης ζωής, ιδίως σε περίπτωση φυσικών ή ανθρωπογενών καταστροφών, την πρόληψη, διερεύνηση και δίωξη ποινικών αδικημάτων ή εκτέλεση ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης και της πρόληψης απειλών για τη δημόσια ασφάλεια ή παραβιάσεων της δεοντολογίας για νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή ενός κράτους μέλους , ιδίως σημαντικό οικονομικό ή χρηματοοικονομικό συμφέρον της Ένωσης ή ενός κράτους μέλους, η τήρηση δημόσιων μητρώων που τηρούνται για λόγους γενικού δημοσίου συμφέροντος, περαιτέρω επεξεργασία αρχειοθετημένων προσωπικών δεδομένων για την παροχή συγκεκριμένων πληροφοριών σχετικά με την πολιτική συμπεριφορά στο πρώην ολοκληρωτικό κράτος καθεστώτα ή την προστασία του υποκειμένου των δεδομένων ή των δικαιωμάτων και ελευθεριών άλλων, συμπεριλαμβανομένης της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Οι περιορισμοί αυτοί θα πρέπει να είναι σύμφωνοι με τις απαιτήσεις που ορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την Προστασία των Ανθρωπίνων Δικαιωμάτων και των Θεμελιωδών Ελευθεριών.

(74) Η ευθύνη και η ευθύνη του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας θα πρέπει να διαπιστωθεί. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι υποχρεωμένος να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να μπορεί να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα μέτρα αυτά θα πρέπει να λαμβάνουν υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(75) Ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, μπορεί να προκύψει από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θα μπορούσε να οδηγήσει σε φυσική, υλική ή ηθική βλάβη, ιδίως: όταν η επεξεργασία μπορεί να προκαλέσει διακρίσεις, κλοπή ταυτότητας ή απάτη, οικονομική απώλεια, βλάβη στη φήμη, απώλεια του απορρήτου των προσωπικών δεδομένων που προστατεύονται από το επαγγελματικό απόρρητο, μη εξουσιοδοτημένη ανατροπή της ψευδωνυμοποίησης ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα• όταν τα υποκείμενα των δεδομένων ενδέχεται να στερηθούν τα δικαιώματα και τις ελευθερίες τους ή να εμποδίσουν την άσκηση ελέγχου στα προσωπικά τους δεδομένα• όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκεία ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικάτα και επεξεργασία γενετικών δεδομένων, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας. όπου αξιολογούνται προσωπικές πτυχές, ιδίως ανάλυση ή πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, την τοποθεσία ή τις μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ. όπου γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών• ή όπου η επεξεργασία περιλαμβάνει μεγάλο όγκο δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.

(76) Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται με βάση τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται με βάση μια αντικειμενική αξιολόγηση, με την οποία διαπιστώνεται εάν οι εργασίες επεξεργασίας δεδομένων ενέχουν κίνδυνο ή υψηλό κίνδυνο.

(77) Καθοδήγηση σχετικά με την εφαρμογή των κατάλληλων μέτρων και την απόδειξη συμμόρφωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, ιδίως όσον αφορά τον προσδιορισμό του κινδύνου που σχετίζεται με την επεξεργασία, την εκτίμησή τους ως προς την προέλευση, τη φύση, την πιθανότητα και τη σοβαρότητα και τον προσδιορισμό βέλτιστες πρακτικές για τον μετριασμό του κινδύνου, θα μπορούσαν να παρέχονται ιδίως μέσω εγκεκριμένων κωδίκων συμπεριφοράς, εγκεκριμένων πιστοποιήσεων, κατευθυντήριων γραμμών που παρέχονται από το συμβούλιο ή ενδείξεων που παρέχονται από υπεύθυνο προστασίας δεδομένων. Το Συμβούλιο μπορεί επίσης να εκδίδει κατευθυντήριες γραμμές για τις εργασίες επεξεργασίας που θεωρείται απίθανο να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και να υποδεικνύει ποια μέτρα μπορεί να είναι επαρκή σε τέτοιες περιπτώσεις για την αντιμετώπιση αυτού του κινδύνου.

(78) Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για να διασφαλιστεί ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να είναι σε θέση να αποδείξει τη συμμόρφωση με τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να εγκρίνει εσωτερικές πολιτικές και να εφαρμόζει μέτρα που πληρούν ιδίως τις αρχές της προστασίας δεδομένων βάσει σχεδιασμού και της προστασίας δεδομένων εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση των προσωπικών δεδομένων το συντομότερο δυνατό, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των προσωπικών δεδομένων, τη δυνατότητα στο υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία των δεδομένων, επιτρέποντας στον υπεύθυνο επεξεργασίας να δημιουργία και βελτίωση χαρακτηριστικών ασφαλείας. Κατά την ανάπτυξη, το σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία προσωπικών δεδομένων ή επεξεργάζονται προσωπικά δεδομένα για την εκπλήρωση της αποστολής τους, οι παραγωγοί των προϊόντων, των υπηρεσιών και των εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη το δικαίωμα στα δεδομένα προστασία κατά την ανάπτυξη και σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών και, λαμβάνοντας δεόντως υπόψη την τελευταία λέξη της τεχνολογίας, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία είναι σε θέση να εκπληρώσουν τις υποχρεώσεις τους για την προστασία δεδομένων. Οι αρχές της προστασίας των δεδομένων εξ ορισμού και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημοσίων διαγωνισμών.

(79) Η προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων καθώς και η ευθύνη και η ευθύνη των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, επίσης σε σχέση με την παρακολούθηση και τα μέτρα των εποπτικών αρχών, απαιτεί σαφή κατανομή των ευθυνών βάσει του παρόντος κανονισμού, συμπεριλαμβανομένης της περίπτωσης υπευθύνου επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όπου εκτελείται μια εργασία επεξεργασίας για λογαριασμό του υπεύθυνου επεξεργασίας.

(80) Όταν ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία που δεν είναι εγκατεστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση των οποίων οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών, ανεξάρτητα από το εάν απαιτείται πληρωμή του υποκειμένου των δεδομένων, τα υποκείμενα των δεδομένων στην Ένωση ή για την παρακολούθηση της συμπεριφοράς τους, εφόσον η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να ορίσει εκπρόσωπο, εκτός εάν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει επεξεργασία, σε μεγάλη κλίμακα, ειδικών κατηγοριών προσωπικών δεδομένων ή την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα, και είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο και τους σκοπούς της επεξεργασίας ή εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή φορέας. Ο αντιπρόσωπος πρέπει να ενεργεί για λογαριασμό του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μπορεί να απευθυνθεί από οποιαδήποτε εποπτική αρχή. Ο αντιπρόσωπος θα πρέπει να ορίζεται ρητά με γραπτή εντολή του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία να ενεργεί για λογαριασμό του όσον αφορά τις υποχρεώσεις του βάσει του παρόντος κανονισμού. Ο ορισμός ενός τέτοιου αντιπροσώπου δεν επηρεάζει την ευθύνη ή την ευθύνη του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τον παρόντα κανονισμό. Ένας τέτοιος αντιπρόσωπος θα πρέπει να εκτελεί τα καθήκοντά του σύμφωνα με την εντολή που έλαβε από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, συμπεριλαμβανομένης της συνεργασίας με τις αρμόδιες εποπτικές αρχές όσον αφορά κάθε ενέργεια που λαμβάνεται για τη διασφάλιση της συμμόρφωσης με τον παρόντα κανονισμό. Ο ορισθείς αντιπρόσωπος θα πρέπει να υπόκειται σε εκτελεστικές διαδικασίες σε περίπτωση μη συμμόρφωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.

(81) Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την επεξεργασία που πρέπει να πραγματοποιηθεί από τον εκτελούντα την επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας, όταν αναθέτει στον επεξεργαστή τις δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο επεξεργαστές που παρέχουν επαρκείς εγγυήσεις, ιδίως όσον αφορά ειδικές γνώσεις, αξιοπιστία και πόρους, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα πληρούν τις απαιτήσεις του παρόντος κανονισμού, μεταξύ άλλων για την ασφάλεια της επεξεργασίας. Η συμμόρφωση του εκτελούντος την επεξεργασία σε έναν εγκεκριμένο κώδικα δεοντολογίας ή έναν εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπεύθυνου επεξεργασίας. Η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη δυνάμει του δικαίου της Ένωσης ή του κράτους μέλους, δεσμεύοντας τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, καθορίζοντας το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τους σκοπούς της την επεξεργασία, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων, λαμβάνοντας υπόψη τα ειδικά καθήκοντα και τις ευθύνες του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν μια μεμονωμένη σύμβαση ή τυπικές συμβατικές ρήτρες που εγκρίνονται είτε απευθείας από την Επιτροπή είτε από εποπτική αρχή σύμφωνα με τον μηχανισμό συνοχής και στη συνέχεια εγκρίνονται από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, κατ' επιλογή του υπεύθυνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα προσωπικά δεδομένα, εκτός εάν υπάρχει απαίτηση αποθήκευσης των προσωπικών δεδομένων σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο ο εκτελών την επεξεργασία υπόκειται.

(82) Προκειμένου να αποδειχθεί η συμμόρφωση με τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τηρεί αρχεία των δραστηριοτήτων επεξεργασίας υπό την ευθύνη του. Κάθε υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία θα πρέπει να είναι υποχρεωμένος να συνεργάζεται με την εποπτική αρχή και να διαθέτει αυτά τα αρχεία, κατόπιν αιτήματος, ώστε να μπορεί να χρησιμεύσει για την παρακολούθηση αυτών των εργασιών επεξεργασίας.

(83) Προκειμένου να διατηρηθεί η ασφάλεια και να αποτραπεί η επεξεργασία κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους εγγενείς κινδύνους της επεξεργασίας και να εφαρμόζει μέτρα για τον μετριασμό αυτών των κινδύνων, όπως η κρυπτογράφηση. Τα μέτρα αυτά θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, συμπεριλαμβανομένης της εμπιστευτικότητας, λαμβάνοντας υπόψη την τελευταία λέξη της τεχνολογίας και το κόστος εφαρμογής σε σχέση με τους κινδύνους και τη φύση των προσωπικών δεδομένων που πρέπει να προστατευθούν. Κατά την αξιολόγηση του κινδύνου ασφάλειας δεδομένων, θα πρέπει να λαμβάνονται υπόψη οι κίνδυνοι που παρουσιάζονται από την επεξεργασία προσωπικών δεδομένων, όπως τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο, τα οποία ενδέχεται να να οδηγήσει σε υλικές, υλικές ή ηθικές ζημίες.

(84) Προκειμένου να βελτιωθεί η συμμόρφωση με τον παρόντα κανονισμό, όπου οι εργασίες επεξεργασίας ενδέχεται να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι υπεύθυνος για τη διενέργεια αξιολόγησης αντικτύπου στην προστασία των δεδομένων για την αξιολόγηση, ιδίως, την προέλευση, τη φύση, την ιδιαιτερότητα και τη σοβαρότητα αυτού του κινδύνου. Το αποτέλεσμα της αξιολόγησης θα πρέπει να λαμβάνεται υπόψη κατά τον καθορισμό των κατάλληλων μέτρων που πρέπει να ληφθούν προκειμένου να αποδειχθεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα συμμορφώνεται με τον παρόντα κανονισμό. Όταν μια εκτίμηση επιπτώσεων στην προστασία δεδομένων δείχνει ότι οι εργασίες επεξεργασίας ενέχουν υψηλό κίνδυνο τον οποίο ο υπεύθυνος επεξεργασίας δεν μπορεί να μετριάσει με κατάλληλα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να πραγματοποιείται διαβούλευση με την εποπτική αρχή πριν από την επεξεργασία.

(85) Μια παραβίαση προσωπικών δεδομένων μπορεί, εάν δεν αντιμετωπιστεί με τον κατάλληλο και έγκαιρο τρόπο, να οδηγήσει σε σωματική, υλική ή μη υλική ζημία σε φυσικά πρόσωπα, όπως απώλεια ελέγχου των προσωπικών τους δεδομένων ή περιορισμός των δικαιωμάτων τους, διάκριση, κλοπή ταυτότητας ή απάτη , οικονομική ζημία, μη εξουσιοδοτημένη ανατροπή της ψευδωνυμοποίησης, βλάβη στη φήμη, απώλεια του απορρήτου των προσωπικών δεδομένων που προστατεύονται από το επαγγελματικό απόρρητο ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Ως εκ τούτου, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί ότι έχει σημειωθεί παραβίαση προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να γνωστοποιήσει την παραβίαση προσωπικών δεδομένων στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, το αργότερο 72 ώρες αφότου το αντιληφθεί, εκτός εάν ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση προσωπικών δεδομένων είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η κοινοποίηση αυτή δεν μπορεί να επιτευχθεί εντός 72 ωρών, οι λόγοι της καθυστέρησης θα πρέπει να συνοδεύουν την κοινοποίηση και οι πληροφορίες μπορούν να παρέχονται σε φάσεις χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.

(86) Ο υπεύθυνος επεξεργασίας θα πρέπει να κοινοποιεί στο υποκείμενο των δεδομένων μια παραβίαση προσωπικών δεδομένων, χωρίς αδικαιολόγητη καθυστέρηση, όταν αυτή η παραβίαση προσωπικών δεδομένων είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του επιτρέψει να λάβει τα απαραίτητα προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης προσωπικών δεδομένων καθώς και συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό των πιθανών δυσμενών επιπτώσεων. Τέτοιες επικοινωνίες με τα υποκείμενα των δεδομένων θα πρέπει να γίνονται το συντομότερο δυνατό και σε στενή συνεργασία με την εποπτική αρχή, τηρώντας τις οδηγίες που παρέχονται από αυτήν ή άλλες σχετικές αρχές, όπως οι αρχές επιβολής του νόμου. Για παράδειγμα, η ανάγκη μετριασμού του άμεσου κινδύνου ζημίας θα απαιτούσε άμεση επικοινωνία με τα υποκείμενα των δεδομένων, ενώ η ανάγκη εφαρμογής κατάλληλων μέτρων κατά των συνεχιζόμενων ή παρόμοιων παραβιάσεων προσωπικών δεδομένων μπορεί να δικαιολογήσει περισσότερο χρόνο για επικοινωνία.

(87) Θα πρέπει να εξακριβωθεί εάν έχουν εφαρμοστεί όλα τα κατάλληλα τεχνολογικά μέτρα προστασίας και οργάνωσης για να διαπιστωθεί αμέσως εάν έχει σημειωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα και να ενημερωθεί έγκαιρα η εποπτική αρχή και το υποκείμενο των δεδομένων. Το γεγονός ότι η κοινοποίηση πραγματοποιήθηκε χωρίς αδικαιολόγητη καθυστέρηση θα πρέπει να διαπιστωθεί λαμβάνοντας υπόψη ιδίως τη φύση και τη σοβαρότητα της παραβίασης δεδομένων προσωπικού χαρακτήρα και τις συνέπειες και τις δυσμενείς επιπτώσεις της για το υποκείμενο των δεδομένων. Η κοινοποίηση αυτή μπορεί να οδηγήσει σε παρέμβαση της εποπτικής αρχής σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό.

(88) Κατά τον καθορισμό λεπτομερών κανόνων σχετικά με τη μορφή και τις διαδικασίες που ισχύουν για την κοινοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να ληφθούν δεόντως υπόψη οι περιστάσεις αυτής της παραβίασης, συμπεριλαμβανομένου του εάν τα προσωπικά δεδομένα είχαν προστατευθεί ή όχι με κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά την πιθανότητα απάτη ταυτότητας ή άλλες μορφές κακής χρήσης. Επιπλέον, αυτοί οι κανόνες και οι διαδικασίες θα πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρχών επιβολής του νόμου όπου η έγκαιρη αποκάλυψη θα μπορούσε να παρεμποδίσει άσκοπα τη διερεύνηση των περιστάσεων παραβίασης προσωπικών δεδομένων.

(89) Η οδηγία 95/46/ΕΚ προέβλεπε γενική υποχρέωση κοινοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές. Μολονότι η υποχρέωση αυτή προκαλεί διοικητικές και οικονομικές επιβαρύνσεις, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των προσωπικών δεδομένων. Τέτοιες αδιάκριτες γενικές υποχρεώσεις κοινοποίησης θα πρέπει επομένως να καταργηθούν και να αντικατασταθούν από αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται αντ' αυτού σε εκείνους τους τύπους εργασιών επεξεργασίας που είναι πιθανό να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης και του πεδίου εφαρμογής τους , πλαίσιο και σκοπούς. Τέτοιοι τύποι εργασιών επεξεργασίας μπορεί να είναι εκείνοι που περιλαμβάνουν, ειδικότερα, τη χρήση νέων τεχνολογιών ή είναι νέου είδους και όταν δεν έχει διεξαχθεί προηγουμένως αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή όταν καθίστανται αναγκαίες υπό το φως των χρόνος που έχει παρέλθει από την αρχική επεξεργασία.

(90) Σε τέτοιες περιπτώσεις, ο υπεύθυνος επεξεργασίας θα πρέπει να διενεργεί εκτίμηση επιπτώσεων στην προστασία δεδομένων πριν από την επεξεργασία, προκειμένου να εκτιμηθεί η ιδιαίτερη πιθανότητα και η σοβαρότητα του υψηλού κινδύνου, λαμβάνοντας υπόψη τη φύση, το εύρος, το πλαίσιο και τους σκοπούς της επεξεργασίας και πηγές κινδύνου. Η εν λόγω εκτίμηση επιπτώσεων θα πρέπει να περιλαμβάνει, ειδικότερα, τα μέτρα, τις διασφαλίσεις και τους μηχανισμούς που προβλέπονται για τον μετριασμό αυτού του κινδύνου, τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και την απόδειξη της συμμόρφωσης με τον παρόντα κανονισμό.

(91) Αυτό θα πρέπει ιδίως να ισχύει για εργασίες επεξεργασίας μεγάλης κλίμακας που στοχεύουν στην επεξεργασία σημαντικού όγκου δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο και οι οποίες θα μπορούσαν να επηρεάσουν μεγάλο αριθμό υποκειμένων των δεδομένων και οι οποίες ενδέχεται να οδηγήσουν σε υψηλό κίνδυνο, για παράδειγμα, λόγω της ευαισθησίας τους, όπου σύμφωνα με το επίπεδο τεχνολογικής γνώσης που έχει επιτευχθεί, μια νέα τεχνολογία χρησιμοποιείται σε μεγάλη κλίμακα καθώς και σε άλλες εργασίες επεξεργασίας που έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως όταν οι πράξεις αυτές καθιστούν δυσκολότερο για τα υποκείμενα των δεδομένων να ασκήσουν τα δικαιώματά τους. Θα πρέπει επίσης να διενεργείται εκτίμηση επιπτώσεων στην προστασία δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για τη λήψη αποφάσεων σχετικά με συγκεκριμένα φυσικά πρόσωπα μετά από συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών που σχετίζονται με φυσικά πρόσωπα με βάση τη δημιουργία προφίλ αυτών των δεδομένων ή μετά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. βιομετρικά δεδομένα ή δεδομένα για ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας. Η αξιολόγηση των επιπτώσεων στην προστασία δεδομένων απαιτείται εξίσου για την παρακολούθηση περιοχών προσβάσιμων από το κοινό σε μεγάλη κλίμακα, ιδίως όταν χρησιμοποιούνται οπτικοηλεκτρονικές συσκευές ή για οποιεσδήποτε άλλες εργασίες όπου η αρμόδια εποπτική αρχή θεωρεί ότι η επεξεργασία ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως επειδή εμποδίζουν τα υποκείμενα των δεδομένων να ασκήσουν ένα δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή μια σύμβαση ή επειδή εκτελούνται συστηματικά σε μεγάλη κλίμακα. Η επεξεργασία προσωπικών δεδομένων δεν θα πρέπει να θεωρείται σε μεγάλη κλίμακα εάν η επεξεργασία αφορά προσωπικά δεδομένα ασθενών ή πελατών από μεμονωμένο ιατρό, άλλο επαγγελματία υγείας ή δικηγόρο. Σε τέτοιες περιπτώσεις, η αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων δεν θα πρέπει να είναι υποχρεωτική.

(92) Υπάρχουν περιπτώσεις υπό τις οποίες μπορεί να είναι λογικό και οικονομικό το αντικείμενο μιας εκτίμησης επιπτώσεων στην προστασία δεδομένων να είναι ευρύτερο από ένα μεμονωμένο έργο, για παράδειγμα όταν οι δημόσιες αρχές ή φορείς σκοπεύουν να δημιουργήσουν μια κοινή πλατφόρμα αίτησης ή επεξεργασίας ή όταν πολλοί υπεύθυνοι επεξεργασίας σχεδιάζουν να εισάγουν ένα κοινό περιβάλλον εφαρμογής ή επεξεργασίας σε έναν κλάδο ή τμήμα της βιομηχανίας ή για μια ευρέως χρησιμοποιούμενη οριζόντια δραστηριότητα.

(93) Στο πλαίσιο της θέσπισης της νομοθεσίας των κρατών μελών στην οποία βασίζεται η εκτέλεση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας ή σύνολο εργασιών, τα κράτη μέλη μπορούν να κρίνουν απαραίτητο να εκτελέσουν τέτοια αξιολόγηση πριν από τις δραστηριότητες επεξεργασίας.

(94) Όταν μια εκτίμηση επιπτώσεων στην προστασία δεδομένων δείχνει ότι η επεξεργασία, ελλείψει διασφαλίσεων, μέτρων ασφαλείας και μηχανισμών για τον μετριασμό του κινδύνου, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν μπορεί να μετριαστεί με εύλογα μέσα όσον αφορά τις διαθέσιμες τεχνολογίες και το κόστος εφαρμογής, θα πρέπει να ζητείται η γνώμη της εποπτικής αρχής πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Αυτός ο υψηλός κίνδυνος είναι πιθανό να προκύψει από ορισμένους τύπους επεξεργασίας και την έκταση και τη συχνότητα της επεξεργασίας, που μπορεί επίσης να οδηγήσει σε πραγματοποίηση ζημίας ή παρέμβασης στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Η εποπτική αρχή θα πρέπει να απαντήσει στο αίτημα για διαβούλευση εντός καθορισμένης προθεσμίας. Ωστόσο, η απουσία αντίδρασης της εποπτικής αρχής εντός αυτής της περιόδου δεν θα πρέπει να θίγει οποιαδήποτε παρέμβαση της εποπτικής αρχής σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό, συμπεριλαμβανομένης της εξουσίας να απαγορεύει τις εργασίες επεξεργασίας. Ως μέρος αυτής της διαδικασίας διαβούλευσης, το αποτέλεσμα μιας εκτίμησης επιπτώσεων στην προστασία των δεδομένων που διενεργείται σε σχέση με την εν λόγω επεξεργασία μπορεί να υποβληθεί στην εποπτική αρχή, ιδίως τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(95) Ο εκτελών την επεξεργασία θα πρέπει να επικουρεί τον υπεύθυνο επεξεργασίας, όπου χρειάζεται και κατόπιν αιτήματος, στη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τη διενέργεια αξιολογήσεων επιπτώσεων στην προστασία των δεδομένων και από προηγούμενη διαβούλευση με την εποπτική αρχή.

(96) Θα πρέπει επίσης να πραγματοποιηθεί διαβούλευση με την εποπτική αρχή κατά την προετοιμασία ενός νομοθετικού ή κανονιστικού μέτρου που προβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλιστεί η συμμόρφωση της προβλεπόμενης επεξεργασίας με τον παρόντα κανονισμό και ιδίως να μετριαστεί ο κίνδυνος εμπλέκονται για το υποκείμενο των δεδομένων.

(97) Όταν η επεξεργασία πραγματοποιείται από δημόσια αρχή, εκτός από τα δικαστήρια ή τις ανεξάρτητες δικαστικές αρχές όταν ενεργούν υπό την ιδιότητά τους ως δικαστής, όπου, στον ιδιωτικό τομέα, η επεξεργασία πραγματοποιείται από υπεύθυνο επεξεργασίας του οποίου οι βασικές δραστηριότητες συνίστανται σε εργασίες επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται στην επεξεργασία σε μεγάλη κλίμακα ειδικών κατηγοριών προσωπικών δεδομένων και δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα, πρόσωπο με ειδικές γνώσεις Η νομοθεσία και οι πρακτικές προστασίας δεδομένων θα πρέπει να βοηθούν τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να παρακολουθεί την εσωτερική συμμόρφωση με τον παρόντα κανονισμό. Στον ιδιωτικό τομέα, οι βασικές δραστηριότητες ενός υπεύθυνου επεξεργασίας σχετίζονται με τις κύριες δραστηριότητές του και δεν σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ως βοηθητικές δραστηριότητες. Το απαραίτητο επίπεδο εμπειρογνωμοσύνης θα πρέπει να καθορίζεται ιδίως σύμφωνα με τις διενεργούμενες εργασίες επεξεργασίας δεδομένων και την προστασία που απαιτείται για τα προσωπικά δεδομένα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Αυτοί οι υπεύθυνοι προστασίας δεδομένων, είτε είναι υπάλληλοι του υπεύθυνου επεξεργασίας είτε όχι, θα πρέπει να είναι σε θέση να εκτελούν τα καθήκοντα και τα καθήκοντά τους με ανεξάρτητο τρόπο.

(98) Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να καταρτίζουν κώδικες συμπεριφοράς, εντός των ορίων του παρόντος κανονισμού, ώστε να διευκολύνεται η αποτελεσματική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά της επεξεργασίας που πραγματοποιείται σε ορισμένους τομείς και τις ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων. Ειδικότερα, αυτοί οι κώδικες δεοντολογίας θα μπορούσαν να βαθμονομήσουν τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, λαμβάνοντας υπόψη τον κίνδυνο που ενδέχεται να προκύψει από την επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(99) Κατά τη σύνταξη ενός κώδικα δεοντολογίας ή κατά την τροποποίηση ή επέκταση ενός τέτοιου κώδικα, οι ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντες την επεξεργασία θα πρέπει να συμβουλεύονται τους σχετικούς ενδιαφερομένους, συμπεριλαμβανομένων των υποκειμένων των δεδομένων όπου είναι εφικτό, και να λαμβάνουν υπόψη τις υποβολές που λαμβάνονται και τις απόψεις που εκφράζονται ως απάντηση σε τέτοιες διαβουλεύσεις.

(100) Προκειμένου να ενισχυθεί η διαφάνεια και η συμμόρφωση με τον παρόντα κανονισμό, θα πρέπει να ενθαρρυνθεί η δημιουργία μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας δεδομένων, που θα επιτρέπουν στα υποκείμενα των δεδομένων να αξιολογούν γρήγορα το επίπεδο προστασίας δεδομένων των σχετικών προϊόντων και υπηρεσιών.

(101) Οι ροές δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η αύξηση τέτοιων ροών έχει εγείρει νέες προκλήσεις και ανησυχίες όσον αφορά την προστασία των προσωπικών δεδομένων. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπεύθυνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζεται στην Ένωση από τον παρόντα κανονισμό δεν θα πρέπει να υπονομεύεται, συμπεριλαμβανομένων των περιπτώσεων περαιτέρω διαβιβάσεων προσωπικών δεδομένων από τρίτη χώρα ή διεθνή οργανισμό σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία στην ίδια ή άλλη τρίτη χώρα ή διεθνή οργανισμό. Σε κάθε περίπτωση, οι μεταφορές σε τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση με τον παρόντα κανονισμό. Διαβίβαση μπορεί να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τις προϋποθέσεις που ορίζονται στις διατάξεις του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.

(102) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών που ρυθμίζουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατάλληλων διασφαλίσεων για τα υποκείμενα των δεδομένων. Τα κράτη μέλη μπορούν να συνάπτουν διεθνείς συμφωνίες που περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, εφόσον οι συμφωνίες αυτές δεν επηρεάζουν τον παρόντα κανονισμό ή άλλες διατάξεις του δικαίου της Ένωσης και περιλαμβάνουν κατάλληλο επίπεδο προστασίας για τα θεμελιώδη δικαιώματα των υποκείμενα δεδομένων.

(103) Η Επιτροπή μπορεί να αποφασίσει για ολόκληρη την Ένωση ότι μια τρίτη χώρα, μια επικράτεια ή ένας συγκεκριμένος τομέας σε τρίτη χώρα ή ένας διεθνής οργανισμός προσφέρει επαρκές επίπεδο προστασίας δεδομένων, παρέχοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τα τρίτη χώρα ή διεθνής οργανισμός που θεωρείται ότι παρέχει τέτοιο επίπεδο προστασίας. Σε τέτοιες περιπτώσεις, διαβιβάσεις προσωπικών δεδομένων σε αυτήν την τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω εξουσιοδότηση. Η Επιτροπή μπορεί επίσης να αποφασίσει, αφού ειδοποιήσει και λάβει πλήρη δήλωση στην τρίτη χώρα ή διεθνή οργανισμό, να ανακαλέσει μια τέτοια απόφαση.

(104) Σύμφωνα με τις θεμελιώδεις αξίες στις οποίες βασίζεται η Ένωση, ιδίως την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε τρίτη χώρα, να λαμβάνει υπόψη τον τρόπο συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη καθώς και τους διεθνείς κανόνες και πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και τομεακό δίκαιο, συμπεριλαμβανομένης της νομοθεσίας σχετικά με τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η λήψη απόφασης επάρκειας όσον αφορά μια επικράτεια ή έναν συγκεκριμένο τομέα σε τρίτη χώρα θα πρέπει να λαμβάνει υπόψη σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των ισχυόντων νομικών προτύπων και νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν επαρκές επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που διασφαλίζεται εντός της Ένωσης, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε έναν ή περισσότερους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει αποτελεσματική ανεξάρτητη εποπτεία προστασίας δεδομένων και θα πρέπει να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, και τα υποκείμενα των δεδομένων θα πρέπει να διαθέτουν αποτελεσματικά και εκτελεστά δικαιώματα και αποτελεσματική διοικητική και δικαστική προσφυγή.

(105) Εκτός από τις διεθνείς δεσμεύσεις που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να λάβει υπόψη τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, καθώς και την εφαρμογή τέτοιων υποχρεώσεων. Ειδικότερα, θα πρέπει να ληφθεί υπόψη η προσχώρηση της τρίτης χώρας στη Σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των προσώπων όσον αφορά την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και το πρόσθετο πρωτόκολλό της. Η Επιτροπή θα πρέπει να συμβουλεύεται το συμβούλιο κατά την αξιολόγηση του επιπέδου προστασίας σε τρίτες χώρες ή διεθνείς οργανισμούς.

(106) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα σε τρίτη χώρα ή διεθνή οργανισμό και να παρακολουθεί τη λειτουργία των αποφάσεων που λαμβάνονται βάσει του άρθρου 25 παράγραφος 6 ή Άρθρο 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Στις αποφάσεις της σχετικά με την επάρκεια, η Επιτροπή θα πρέπει να προβλέπει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να διεξάγεται σε διαβούλευση με την εν λόγω τρίτη χώρα ή διεθνή οργανισμό και να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή διεθνή οργανισμό. Για τους σκοπούς της παρακολούθησης και της διενέργειας των περιοδικών ανασκοπήσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις απόψεις και τα πορίσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών οργάνων και πηγών. Η Επιτροπή θα πρέπει να αξιολογήσει, εντός εύλογου χρονικού διαστήματος, τη λειτουργία των τελευταίων αποφάσεων και να αναφέρει τυχόν σχετικά πορίσματα στην επιτροπή κατά την έννοια του κανονισμού ( ΕΕ ) αριθ . τον παρόντα κανονισμό, στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(107) Η Επιτροπή μπορεί να αναγνωρίσει ότι μια τρίτη χώρα, μια επικράτεια ή ένας συγκεκριμένος τομέας σε τρίτη χώρα ή ένας διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας δεδομένων. Συνεπώς, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αυτήν την τρίτη χώρα ή διεθνή οργανισμό θα πρέπει να απαγορεύεται, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις που υπόκεινται σε κατάλληλες διασφαλίσεις, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων και παρεκκλίσεων για συγκεκριμένες καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλεφθούν διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, εγκαίρως, να ενημερώσει την τρίτη χώρα ή διεθνή οργανισμό για τους λόγους και να αρχίσει διαβουλεύσεις μαζί της προκειμένου να διορθωθεί η κατάσταση.

(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λάβει μέτρα για να αντισταθμίσει την έλλειψη προστασίας δεδομένων σε τρίτη χώρα μέσω κατάλληλων διασφαλίσεων για το υποκείμενο των δεδομένων. Αυτές οι κατάλληλες διασφαλίσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας δεδομένων που εγκρίνονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας δεδομένων που εγκρίνονται από εποπτική αρχή ή συμβατικών ρητρών εξουσιοδοτημένων από εποπτική αρχή. Αυτές οι διασφαλίσεις θα πρέπει να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις προστασίας δεδομένων και τα δικαιώματα των υποκειμένων των δεδομένων που είναι κατάλληλα για επεξεργασία εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας εκτελεστών δικαιωμάτων στο υποκείμενο των δεδομένων και αποτελεσματικών ένδικων μέσων, συμπεριλαμβανομένης της αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και της αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως τη συμμόρφωση με τις γενικές αρχές που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τις αρχές της προστασίας των δεδομένων από το σχεδιασμό και από προεπιλογή. Οι μεταβιβάσεις μπορούν επίσης να πραγματοποιηθούν από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς τρίτων χωρών ή με διεθνείς οργανισμούς με αντίστοιχα καθήκοντα ή λειτουργίες, μεταξύ άλλων βάσει διατάξεων που θα ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως μνημόνιο συμφωνίας, για εκτελεστά και αποτελεσματικά δικαιώματα για τα υποκείμενα των δεδομένων. Η εξουσιοδότηση από την αρμόδια εποπτική αρχή θα πρέπει να λαμβάνεται όταν οι διασφαλίσεις προβλέπονται σε διοικητικές ρυθμίσεις που δεν είναι νομικά δεσμευτικές.

(109) Η δυνατότητα του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυπικές ρήτρες προστασίας δεδομένων που έχουν εγκριθεί από την Επιτροπή ή από μια εποπτική αρχή θα πρέπει να εμποδίζει τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία να μην συμπεριλαμβάνουν τις τυπικές ρήτρες προστασίας δεδομένων σε μια ευρύτερη σύμβαση, όπως μια σύμβαση μεταξύ του εκτελούντος την επεξεργασία και άλλον εκτελούντα την επεξεργασία, ούτε από την προσθήκη άλλων ρητρών ή πρόσθετων διασφαλίσεων, υπό την προϋπόθεση ότι δεν έρχονται σε αντίθεση, άμεσα ή έμμεσα, με τις τυπικές συμβατικές ρήτρες που εγκρίθηκαν από την Επιτροπή ή από μια εποπτική αρχή ούτε θίγουν τα θεμελιώδη δικαιώματα ή ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παρέχουν πρόσθετες διασφαλίσεις μέσω συμβατικών δεσμεύσεων που συμπληρώνουν τις τυπικές ρήτρες προστασίας.

(110) Ένας όμιλος επιχειρήσεων ή ένας όμιλος επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα, θα πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς μεταβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου ομίλου επιχειρήσεων ή όμιλων επιχειρήσεων που δραστηριοποιούνται κοινή οικονομική δραστηριότητα, υπό την προϋπόθεση ότι οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και τα εκτελεστά δικαιώματα για την εξασφάλιση κατάλληλων διασφαλίσεων για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

(111) Θα πρέπει να προβλεφθούν διατάξεις για τη δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις όπου το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του, όταν η διαβίβαση είναι περιστασιακή και αναγκαία σε σχέση με σύμβαση ή νομική αξίωση, ανεξάρτητα από το εάν πρόκειται για δικαστική διαδικασία ή σε διοικητική ή οποιαδήποτε εξώδικη διαδικασία, συμπεριλαμβανομένων των διαδικασιών ενώπιον ρυθμιστικών φορέων. Θα πρέπει επίσης να προβλεφθεί η δυνατότητα για μεταφορές όταν το απαιτούν σημαντικοί λόγοι δημοσίου συμφέροντος που ορίζονται από τη νομοθεσία της Ένωσης ή των κρατών μελών ή όταν η μεταφορά γίνεται από μητρώο που έχει συσταθεί από το νόμο και προορίζεται για διαβούλευση με το κοινό ή τα πρόσωπα που έχουν νόμιμη ενδιαφέρον. Στην τελευταία περίπτωση, μια τέτοια διαβίβαση δεν θα πρέπει να περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ή ολόκληρες κατηγορίες δεδομένων που περιέχονται στο μητρώο και, όταν το μητρώο προορίζεται για διαβούλευση από πρόσωπα που έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνο στο το αίτημα αυτών των προσώπων ή, εάν πρόκειται να είναι αποδέκτες, λαμβάνοντας πλήρως υπόψη τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.

(112) Οι παρεκκλίσεις αυτές θα πρέπει ιδίως να ισχύουν για διαβιβάσεις δεδομένων που απαιτούνται και είναι απαραίτητες για σημαντικούς λόγους δημοσίου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνούς ανταλλαγής δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών διοικήσεων, μεταξύ αρχών χρηματοπιστωτικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης, ή για τη δημόσια υγεία, για παράδειγμα στην περίπτωση ανίχνευσης επαφών για μεταδοτικές ασθένειες ή για τη μείωση ή/και την εξάλειψη του ντόπινγκ στον αθλητισμό. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται νόμιμη όταν είναι απαραίτητο να προστατευθεί ένα συμφέρον που είναι ουσιώδες για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλου ατόμου, συμπεριλαμβανομένης της σωματικής ακεραιότητας ή της ζωής, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει τη συγκατάθεσή του. Ελλείψει απόφασης επάρκειας, το δίκαιο της Ένωσης ή του κράτους μέλους μπορεί, για σημαντικούς λόγους δημοσίου συμφέροντος, να θέσει ρητά όρια στη διαβίβαση συγκεκριμένων κατηγοριών δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό. Τα κράτη μέλη θα πρέπει να κοινοποιούν τις εν λόγω διατάξεις στην Επιτροπή. Οποιαδήποτε διαβίβαση σε διεθνή ανθρωπιστικό οργανισμό δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου των δεδομένων που είναι σωματικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του, με σκοπό την εκπλήρωση καθήκοντος που επιβάλλεται βάσει των Συμβάσεων της Γενεύης ή τη συμμόρφωση με το διεθνές ανθρωπιστικό δίκαιο που ισχύει σε ένοπλες συγκρούσεις, θεωρείται απαραίτητο για σημαντικό λόγο δημόσιου συμφέροντος ή επειδή είναι προς το ζωτικό συμφέρον του υποκειμένου των δεδομένων.

(113) Μεταφορές που μπορούν να χαρακτηριστούν ως μη επαναλαμβανόμενες και που αφορούν μόνο περιορισμένο αριθμό υποκειμένων δεδομένων, θα μπορούσαν επίσης να είναι δυνατές για τους σκοπούς των επιτακτικών νόμιμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν αυτά τα συμφέροντα δεν υπερισχύουν των συμφερόντων ή των δικαιωμάτων και ελευθεριών του το υποκείμενο των δεδομένων και όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις γύρω από τη διαβίβαση δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει ιδιαίτερα υπόψη τη φύση των προσωπικών δεδομένων, τον σκοπό και τη διάρκεια της προτεινόμενης λειτουργίας ή εργασιών επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, την τρίτη χώρα και τη χώρα τελικού προορισμού, και θα πρέπει να παρέχει κατάλληλες εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων. Τέτοιες μεταφορές θα πρέπει να είναι δυνατές μόνο σε υπολειπόμενες περιπτώσεις όπου δεν ισχύει κανένας από τους άλλους λόγους μεταβίβασης. Για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώσει την εποπτική αρχή και το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση.

(114) Σε κάθε περίπτωση, όταν η Επιτροπή δεν έχει λάβει απόφαση σχετικά με το επαρκές επίπεδο προστασίας δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να κάνει χρήση λύσεων που παρέχουν στα υποκείμενα των δεδομένων εκτελεστά και αποτελεσματικά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση όταν αυτά τα δεδομένα έχουν μεταφερθεί έτσι ώστε να συνεχίσουν να επωφελούνται από τα θεμελιώδη δικαιώματα και τις εγγυήσεις.

(115) Ορισμένες τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που σκοπεύουν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών τρίτων χωρών που απαιτούν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να μεταφέρει ή να αποκαλύψει προσωπικά δεδομένα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως συνθήκη αμοιβαίας νομικής συνδρομής, που ισχύει μεταξύ των τρίτη χώρα και την Ένωση ή κράτος μέλος. Η εξωεδαφική εφαρμογή αυτών των νόμων, κανονισμών και άλλων νομικών πράξεων ενδέχεται να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζεται στην Ένωση από τον παρόντα κανονισμό. Οι μεταφορές θα πρέπει να επιτρέπονται μόνο εφόσον πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για μεταφορά σε τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, όταν η γνωστοποίηση είναι απαραίτητη για σημαντικό λόγο δημοσίου συμφέροντος που αναγνωρίζεται στο δίκαιο της Ένωσης ή του κράτους μέλους στον οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

(116) Όταν τα δεδομένα προσωπικού χαρακτήρα διακινούνται διασυνοριακά εκτός της Ένωσης, μπορεί να θέσει σε αυξημένο κίνδυνο τη δυνατότητα των φυσικών προσώπων να ασκούν τα δικαιώματα προστασίας δεδομένων, ιδίως για να προστατευθούν από την παράνομη χρήση ή αποκάλυψη αυτών των πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές ενδέχεται να διαπιστώσουν ότι δεν είναι σε θέση να συνεχίσουν τις καταγγελίες ή να διεξάγουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργαστούν στο διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδιστούν από ανεπαρκείς προληπτικές ή διορθωτικές εξουσίες, ασυνεπή νομικά καθεστώτα και πρακτικά εμπόδια όπως οι περιορισμοί πόρων. Ως εκ τούτου, υπάρχει ανάγκη να προωθηθεί στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας δεδομένων για να τις βοηθήσουμε να ανταλλάσσουν πληροφορίες και να διεξάγουν έρευνες με τους διεθνείς ομολόγους τους. Για τους σκοπούς της ανάπτυξης μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση και την παροχή διεθνούς αμοιβαίας βοήθειας για την επιβολή της νομοθεσίας για την προστασία των προσωπικών δεδομένων, η Επιτροπή και οι εποπτικές αρχές θα πρέπει να ανταλλάσσουν πληροφορίες και να συνεργάζονται σε δραστηριότητες που σχετίζονται με την άσκηση των εξουσιών τους με τις αρμόδιες αρχές σε τρίτες χώρες, με βάση την αμοιβαιότητα και σύμφωνα με τον παρόντα κανονισμό.

(117) Η σύσταση εποπτικών αρχών στα κράτη μέλη, εξουσιοδοτημένες να εκτελούν τα καθήκοντά τους και να ασκούν τις εξουσίες τους με πλήρη ανεξαρτησία, αποτελεί ουσιαστικό στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων. Τα κράτη μέλη θα πρέπει να μπορούν να ιδρύουν περισσότερες από μία εποπτικές αρχές, ώστε να αντικατοπτρίζουν τη συνταγματική, οργανωτική και διοικητική τους δομή.

(118) Η ανεξαρτησία των εποπτικών αρχών δεν πρέπει να σημαίνει ότι οι εποπτικές αρχές δεν μπορούν να υπόκεινται σε μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά τις οικονομικές τους δαπάνες ή σε δικαστικό έλεγχο.

(119) Όταν ένα κράτος μέλος ιδρύει πολλές εποπτικές αρχές, θα πρέπει να θεσπίζει με νόμο μηχανισμούς για τη διασφάλιση της αποτελεσματικής συμμετοχής αυτών των εποπτικών αρχών στον μηχανισμό συνοχής. Αυτό το κράτος μέλος θα πρέπει ειδικότερα να ορίσει την εποπτική αρχή που λειτουργεί ως ενιαίο σημείο επαφής για την αποτελεσματική συμμετοχή αυτών των αρχών στον μηχανισμό, ώστε να διασφαλίζεται η ταχεία και ομαλή συνεργασία με άλλες εποπτικές αρχές, το διοικητικό συμβούλιο και την Επιτροπή.

(120) Κάθε εποπτική αρχή θα πρέπει να διαθέτει τους οικονομικούς και ανθρώπινους πόρους, τις εγκαταστάσεις και την υποδομή που απαιτούνται για την αποτελεσματική εκτέλεση των καθηκόντων της, συμπεριλαμβανομένων εκείνων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες εποπτικές αρχές σε ολόκληρη την Ένωση. Κάθε εποπτική αρχή θα πρέπει να έχει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί μέρος του συνολικού κρατικού ή εθνικού προϋπολογισμού.

(121) Οι γενικοί όροι για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να καθορίζονται από το νόμο σε κάθε κράτος μέλος και θα πρέπει ιδίως να προβλέπουν ότι τα μέλη αυτά διορίζονται, μέσω διαφανούς διαδικασίας, είτε από το κοινοβούλιο, την κυβέρνηση ή το αρχηγός κράτους του κράτους μέλους βάσει πρότασης της κυβέρνησης, ενός μέλους της κυβέρνησης, του κοινοβουλίου ή ενός τμήματος του κοινοβουλίου ή από ανεξάρτητο όργανο που έχει ανατεθεί βάσει της νομοθεσίας των κρατών μελών. Προκειμένου να διασφαλιστεί η ανεξαρτησία της εποπτικής αρχής, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε ενέργεια που είναι ασυμβίβαστη με τα καθήκοντά τους και δεν θα πρέπει, κατά τη διάρκεια της θητείας τους, να ασκούν οποιοδήποτε ασύμβατο επάγγελμα, αμειβόμενο ή μη. . Η εποπτική αρχή θα πρέπει να έχει το δικό της προσωπικό, το οποίο επιλέγεται από την εποπτική αρχή ή ανεξάρτητο όργανο που έχει συσταθεί από τη νομοθεσία των κρατών μελών, το οποίο θα πρέπει να υπόκειται στην αποκλειστική καθοδήγηση του μέλους ή των μελών της εποπτικής αρχής.

(122) Κάθε εποπτική αρχή θα πρέπει να είναι αρμόδια στην επικράτεια του κράτους μέλους της να ασκεί τις εξουσίες και να εκτελεί τα καθήκοντα που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Αυτό θα πρέπει να καλύπτει ιδίως την επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην επικράτεια του κράτους μέλους του, την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν προς το δημόσιο συμφέρον, την επεξεργασία επηρεάζει τα υποκείμενα των δεδομένων στην επικράτειά του ή την επεξεργασία που πραγματοποιείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν είναι εγκατεστημένος στην Ένωση όταν στοχεύει υποκείμενα των δεδομένων που διαμένουν στην επικράτειά της. Αυτό θα πρέπει να περιλαμβάνει τον χειρισμό καταγγελιών που υποβάλλονται από ένα υποκείμενο των δεδομένων, τη διεξαγωγή ερευνών σχετικά με την εφαρμογή του παρόντος κανονισμού και την προώθηση της ευαισθητοποίησης του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις διασφαλίσεις και τα δικαιώματα σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(123) Οι εποπτικές αρχές θα πρέπει να παρα

κολουθούν την εφαρμογή των διατάξεων σύμφωνα με τον παρόντα κανονισμό και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύουν τα φυσικά πρόσωπα σε σχέση με την επεξεργασία των προσωπικών τους δεδομένων και να διευκολύνουν την ελεύθερη ροή των προσωπικών δεδομένων εντός της εσωτερική αγορά. Για το σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή, χωρίς να απαιτείται συμφωνία μεταξύ των κρατών μελών για την παροχή αμοιβαίας συνδρομής ή για τέτοια συνεργασία.

(124) Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα από ένα κράτη μέλη ή όταν η επεξεργασία πραγματοποιείται στο πλαίσιο της οι δραστηριότητες μιας μεμονωμένης εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση επηρεάζουν ουσιαστικά ή ενδέχεται να επηρεάσουν ουσιαστικά τα υποκείμενα των δεδομένων σε περισσότερα από ένα κράτη μέλη, την εποπτική αρχή για την κύρια εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή για την ενιαία εγκατάσταση του υπεύθυνου επεξεργασίας ή ο επεξεργαστής θα πρέπει να ενεργεί ως επικεφαλής αρχή. Θα πρέπει να συνεργάζεται με τις άλλες ενδιαφερόμενες αρχές, επειδή ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση στην επικράτεια του κράτους μέλους τους, επειδή τα υποκείμενα των δεδομένων που διαμένουν στην επικράτειά τους επηρεάζονται ουσιαστικά ή επειδή τους έχει υποβληθεί καταγγελία. Επίσης, όταν ένα υποκείμενο των δεδομένων που δεν κατοικεί σε αυτό το κράτος μέλος έχει υποβάλει καταγγελία, η εποπτική αρχή στην οποία υποβλήθηκε αυτή η καταγγελία θα πρέπει επίσης να είναι σχετική εποπτική αρχή. Στο πλαίσιο των καθηκόντων του να εκδίδει κατευθυντήριες γραμμές για οποιοδήποτε θέμα που καλύπτει την εφαρμογή του παρόντος κανονισμού, το συμβούλιο θα πρέπει να μπορεί να εκδίδει κατευθυντήριες γραμμές, ιδίως σχετικά με τα κριτήρια που πρέπει να λαμβάνονται υπόψη, προκειμένου να εξακριβωθεί εάν η εν λόγω επεξεργασία επηρεάζει ουσιαστικά τα υποκείμενα των δεδομένων σε περισσότερα από ένα κράτος μέλος και σχετικά με το τι συνιστά σχετική και αιτιολογημένη ένσταση.

(125) Η επικεφαλής αρχή θα πρέπει να είναι αρμόδια να λαμβάνει δεσμευτικές αποφάσεις σχετικά με μέτρα που εφαρμόζουν τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Υπό την ιδιότητά της ως επικεφαλής αρχής, η εποπτική αρχή θα πρέπει να εμπλέκει στενά και να συντονίζει τις ενδιαφερόμενες εποπτικές αρχές στη διαδικασία λήψης αποφάσεων. Όταν η απόφαση πρόκειται να απορριφθεί η καταγγελία από το υποκείμενο των δεδομένων εν όλω ή εν μέρει, η απόφαση αυτή θα πρέπει να λαμβάνεται από την εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία.

(126) Η απόφαση θα πρέπει να συμφωνείται από κοινού από την κύρια εποπτική αρχή και τις ενδιαφερόμενες εποπτικές αρχές και θα πρέπει να απευθύνεται στην κύρια ή ενιαία εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και να είναι δεσμευτική για τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λάβει τα απαραίτητα μέτρα για να εξασφαλίσει τη συμμόρφωση με τον παρόντα κανονισμό και την εφαρμογή της απόφασης που κοινοποιείται από την κύρια εποπτική αρχή στην κύρια εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία όσον αφορά τις δραστηριότητες επεξεργασίας στην Ένωση.

(127) Κάθε εποπτική αρχή που δεν ενεργεί ως η κύρια εποπτική αρχή θα πρέπει να είναι αρμόδια να χειρίζεται τοπικές υποθέσεις όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα από ένα κράτη μέλη, αλλά το αντικείμενο της συγκεκριμένης επεξεργασίας αφορά μόνο την επεξεργασία που πραγματοποιείται σε ένα μόνο κράτος μέλος και αφορά μόνο υποκείμενα των δεδομένων σε αυτό το μεμονωμένο κράτος μέλος, για παράδειγμα, όταν το αντικείμενο αφορά την επεξεργασία προσωπικών δεδομένων εργαζομένων στο συγκεκριμένο εργασιακό πλαίσιο ενός κράτους μέλους. Σε τέτοιες περιπτώσεις, η εποπτική αρχή θα πρέπει να ενημερώνει χωρίς καθυστέρηση την κύρια εποπτική αρχή για το θέμα. Αφού ενημερωθεί, η κύρια εποπτική αρχή θα πρέπει να αποφασίσει εάν θα χειριστεί την υπόθεση σύμφωνα με τη διάταξη για τη συνεργασία μεταξύ της κύριας εποπτικής αρχής και άλλων ενδιαφερόμενων εποπτικών αρχών («μηχανισμός μιας στάσης») ή εάν η εποπτική αρχή που ενημερώθηκε ότι θα πρέπει να χειριστεί την υπόθεση σε τοπικό επίπεδο. Όταν αποφασίζει εάν θα χειριστεί την υπόθεση, η κύρια εποπτική αρχή θα πρέπει να λαμβάνει υπόψη εάν υπάρχει εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που τον ενημέρωσε, προκειμένου να διασφαλιστεί η αποτελεσματική εκτέλεση μιας απόφασης έναντι - απέναντι στον ελεγκτή ή τον επεξεργαστή. Όταν η κύρια εποπτική αρχή αποφασίσει να χειριστεί την υπόθεση, η εποπτική αρχή που την ενημέρωσε θα πρέπει να έχει τη δυνατότητα να υποβάλει σχέδιο απόφασης, το οποίο η επικεφαλής εποπτική αρχή θα πρέπει να λαμβάνει ιδιαιτέρως υπόψη κατά την προετοιμασία του σχεδίου απόφασής της σε αυτήν την ενιαία στάση. μηχανισμός καταστήματος.

(128) Οι κανόνες για την κύρια εποπτική αρχή και τον μηχανισμό μιας στάσης δεν θα πρέπει να εφαρμόζονται όταν η επεξεργασία πραγματοποιείται από δημόσιες αρχές ή ιδιωτικούς φορείς προς το δημόσιο συμφέρον. Στις περιπτώσεις αυτές, η μόνη εποπτική αρχή αρμόδια για την άσκηση των εξουσιών που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό θα πρέπει να είναι η εποπτική αρχή του κράτους μέλους όπου είναι εγκατεστημένη η δημόσια αρχή ή ο ιδιωτικός φορέας.

(129) Προκειμένου να διασφαλιστεί η συνεπής παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και αποτελεσματικές εξουσίες, συμπεριλαμβανομένων των εξουσιών έρευνας, διορθωτικών εξουσιών και κυρώσεων και εξουσιών εξουσιοδότησης και συμβουλευτικών υπηρεσιών, ιδίως περιπτώσεις καταγγελιών από φυσικά πρόσωπα, και με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών βάσει της νομοθεσίας των κρατών μελών, να γνωστοποιούν τις παραβάσεις του παρόντος κανονισμού στις δικαστικές αρχές και να προσφεύγουν σε νομικές διαδικασίες. Αυτές οι εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού, συμπεριλαμβανομένης της απαγόρευσης, της επεξεργασίας. Τα κράτη μέλη μπορούν να καθορίσουν άλλα καθήκοντα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές εγγυήσεις που ορίζονται στο δίκαιο της Ένωσης και των κρατών μελών, αμερόληπτα, δίκαια και εντός εύλογου χρονικού διαστήματος. Ειδικότερα, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό για τη διασφάλιση της συμμόρφωσης με τον παρόντα κανονισμό, λαμβανομένων υπόψη των συνθηκών κάθε μεμονωμένης περίπτωσης, να σέβεται το δικαίωμα κάθε προσώπου να ακούγεται πριν από κάθε μεμονωμένο μέτρο που θα μπορούσε να το επηρεάσει δυσμενώς λαμβάνεται και αποφεύγονται τα περιττά έξοδα και οι υπερβολικές ταλαιπωρίες για τους ενδιαφερόμενους. Οι εξουσίες διερεύνησης όσον αφορά την πρόσβαση στους χώρους θα πρέπει να ασκούνται σύμφωνα με ειδικές απαιτήσεις του δικονομικού δικαίου των κρατών μελών, όπως η απαίτηση να ληφθεί προηγούμενη δικαστική άδεια. Κάθε νομικά δεσμευτικό μέτρο της εποπτικής αρχής θα πρέπει να είναι γραπτό, να είναι σαφές και σαφές, να αναφέρει την εποπτική αρχή που εξέδωσε το μέτρο, την ημερομηνία έκδοσης του μέτρου, να φέρει την υπογραφή του επικεφαλής ή μέλους της εποπτικής αρχής εξουσιοδοτημένο από αυτόν ή αυτήν, να αιτιολογεί το μέτρο και να αναφέρεται στο δικαίωμα αποτελεσματικής προσφυγής. Αυτό δεν θα πρέπει να αποκλείει πρόσθετες απαιτήσεις σύμφωνα με το δικονομικό δίκαιο των κρατών μελών. Η έκδοση μιας νομικά δεσμευτικής απόφασης συνεπάγεται ότι μπορεί να οδηγήσει σε δικαστικό έλεγχο στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση.

(130) Όταν η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία δεν είναι η κύρια εποπτική αρχή, η κύρια εποπτική αρχή θα πρέπει να συνεργάζεται στενά με την εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία σύμφωνα με τις διατάξεις για τη συνεργασία και τη συνέπεια που ορίζονται στον παρόντα κανονισμό . Σε τέτοιες περιπτώσεις, η κύρια εποπτική αρχή θα πρέπει, όταν λαμβάνει μέτρα που αποσκοπούν στην παραγωγή έννομων αποτελεσμάτων, συμπεριλαμβανομένης της επιβολής διοικητικών προστίμων, να λαμβάνει ιδιαιτέρως υπόψη την άποψη της εποπτικής αρχής στην οποία έχει υποβληθεί η καταγγελία και η οποία θα πρέπει να παραμείνει αρμόδια για διενεργεί οποιαδήποτε έρευνα στην επικράτεια του κράτους μέλους της σε συνεργασία με την αρμόδια εποπτική αρχή.

(131) Όταν μια άλλη εποπτική αρχή πρέπει να ενεργεί ως κύρια εποπτική αρχή για τις δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, αλλά το συγκεκριμένο αντικείμενο μιας καταγγελίας ή η πιθανή παράβαση αφορά μόνο τις δραστηριότητες επεξεργασίας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος όπου έγινε η καταγγελία έχει υποβληθεί ή εντοπιστεί η πιθανή παράβαση και το θέμα δεν επηρεάζει ουσιαστικά ή δεν είναι πιθανό να επηρεάσει ουσιαστικά τα υποκείμενα των δεδομένων σε άλλα κράτη μέλη, η εποπτική αρχή που λαμβάνει καταγγελία ή εντοπίζει ή ενημερώνεται διαφορετικά για καταστάσεις που συνεπάγονται πιθανές παραβιάσεις του παρόντος κανονισμού φιλικό διακανονισμό με τον υπεύθυνο επεξεργασίας και, εάν αυτό αποδειχθεί ανεπιτυχές, να ασκήσει το πλήρες φάσμα των εξουσιών του. Αυτό θα πρέπει να περιλαμβάνει: ειδική επεξεργασία που πραγματοποιείται στην επικράτεια του κράτους μέλους της εποπτικής αρχής ή σε σχέση με υποκείμενα των δεδομένων στην επικράτεια αυτού του κράτους μέλους• επεξεργασία που πραγματοποιείται στο πλαίσιο προσφοράς αγαθών ή υπηρεσιών που απευθύνονται ειδικά σε υποκείμενα των δεδομένων στην επικράτεια του κράτους μέλους της εποπτικής αρχής• ή επεξεργασία που πρέπει να αξιολογηθεί λαμβάνοντας υπόψη τις σχετικές νομικές υποχρεώσεις βάσει της νομοθεσίας των κρατών μελών.

(132) Οι δραστηριότητες ευαισθητοποίησης από τις εποπτικές αρχές που απευθύνονται στο κοινό θα πρέπει να περιλαμβάνουν ειδικά μέτρα που απευθύνονται σε υπευθύνους επεξεργασίας και μεταποιητές, συμπεριλαμβανομένων των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, καθώς και σε φυσικά πρόσωπα, ιδίως στο εκπαιδευτικό πλαίσιο.

(133) Οι εποπτικές αρχές θα πρέπει να αλληλοβοηθούνται κατά την εκτέλεση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή, ώστε να διασφαλίζεται η συνεπής εφαρμογή και επιβολή του παρόντος κανονισμού στην εσωτερική αγορά. Μια εποπτική αρχή που ζητά αμοιβαία συνδρομή μπορεί να λάβει προσωρινό μέτρο εάν δεν λάβει απάντηση σε αίτημα αμοιβαίας συνδρομής εντός ενός μηνός από την παραλαβή αυτού του αιτήματος από την άλλη εποπτική αρχή.

(134) Κάθε εποπτική αρχή θα πρέπει, κατά περίπτωση, να συμμετέχει σε κοινές επιχειρήσεις με άλλες εποπτικές αρχές. Η εποπτική αρχή στην οποία υποβάλλεται η αίτηση θα πρέπει να είναι υποχρεωμένη να απαντήσει στο αίτημα εντός καθορισμένης χρονικής περιόδου.

(135) Προκειμένου να διασφαλιστεί η συνεπής εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, θα πρέπει να δημιουργηθεί ένας μηχανισμός συνοχής για τη συνεργασία μεταξύ των εποπτικών αρχών. Ο μηχανισμός αυτός θα πρέπει ιδίως να εφαρμόζεται όταν μια εποπτική αρχή σκοπεύει να θεσπίσει ένα μέτρο που αποσκοπεί να παράγει έννομα αποτελέσματα όσον αφορά τις πράξεις επεξεργασίας που επηρεάζουν ουσιαστικά σημαντικό αριθμό υποκειμένων των δεδομένων σε πολλά κράτη μέλη. Θα πρέπει επίσης να εφαρμόζεται όταν οποιαδήποτε ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή ζητήσει να διεκπεραιωθεί τέτοιο θέμα στο πλαίσιο του μηχανισμού συνοχής. Ο εν λόγω μηχανισμός δεν θα πρέπει να θίγει τυχόν μέτρα που μπορεί να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της δυνάμει των Συνθηκών.

(136) Κατά την εφαρμογή του μηχανισμού συνοχής, το διοικητικό συμβούλιο θα πρέπει, εντός καθορισμένου χρονικού διαστήματος, να εκδίδει γνώμη, εάν το αποφασίσει η πλειοψηφία των μελών του ή εάν το ζητήσει οποιαδήποτε ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή. Το διοικητικό συμβούλιο θα πρέπει επίσης να εξουσιοδοτηθεί να λαμβάνει νομικά δεσμευτικές αποφάσεις όταν υπάρχουν διαφορές μεταξύ εποπτικών αρχών. Για το σκοπό αυτό, θα πρέπει να εκδίδει, κατ' αρχήν, με την πλειοψηφία των δύο τρίτων των μελών του, νομικά δεσμευτικές αποφάσεις σε σαφώς καθορισμένες περιπτώσεις όπου υπάρχουν αντικρουόμενες απόψεις μεταξύ των εποπτικών αρχών, ιδίως στον μηχανισμό συνεργασίας μεταξύ της κύριας εποπτικής αρχής και των εποπτικών αρχών σχετικά με την ουσία της υπόθεσης, ιδίως εάν υπάρχει παράβαση του παρόντος κανονισμού.

(137) Ενδέχεται να υπάρχει επείγουσα ανάγκη δράσης για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ιδίως όταν υπάρχει ο κίνδυνος να παρεμποδιστεί σημαντικά η επιβολή του δικαιώματος ενός υποκειμένου των δεδομένων. Επομένως, μια εποπτική αρχή θα πρέπει να μπορεί να θεσπίζει δεόντως αιτιολογημένα προσωρινά μέτρα στο έδαφός της με καθορισμένη περίοδο ισχύος που δεν θα πρέπει να υπερβαίνει τους τρεις μήνες.

(138) Η εφαρμογή αυτού του μηχανισμού θα πρέπει να αποτελεί προϋπόθεση για τη νομιμότητα ενός μέτρου που προορίζεται να παράγει έννομα αποτελέσματα από μια εποπτική αρχή στις περιπτώσεις όπου η εφαρμογή του είναι υποχρεωτική. Σε άλλες περιπτώσεις διασυνοριακής σημασίας, θα πρέπει να εφαρμόζεται ο μηχανισμός συνεργασίας μεταξύ της κύριας εποπτικής αρχής και των ενδιαφερομένων εποπτικών αρχών και μπορεί να πραγματοποιούνται αμοιβαία συνδρομή και κοινές επιχειρήσεις μεταξύ των ενδιαφερόμενων εποπτικών αρχών σε διμερή ή πολυμερή βάση χωρίς να ενεργοποιείται ο μηχανισμός συνέπειας .

(139) Προκειμένου να προωθηθεί η συνεπής εφαρμογή του παρόντος κανονισμού, το διοικητικό συμβούλιο θα πρέπει να συσταθεί ως ανεξάρτητο όργανο της Ένωσης. Για την εκπλήρωση των στόχων του, το Διοικητικό Συμβούλιο θα πρέπει να έχει νομική προσωπικότητα. Το συμβούλιο θα πρέπει να εκπροσωπείται από τον πρόεδρό του. Θα πρέπει να αντικαταστήσει την ομάδα εργασίας για την προστασία των προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που έχει συσταθεί με την οδηγία 95/46/ΕΚ. Θα πρέπει να αποτελείται από τον επικεφαλής μιας εποπτικής αρχής κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους. Η Επιτροπή θα πρέπει να συμμετέχει στις δραστηριότητες του συμβουλίου χωρίς δικαίωμα ψήφου και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει συγκεκριμένα δικαιώματα ψήφου. Το διοικητικό συμβούλιο θα πρέπει να συμβάλει στη συνεπή εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή, ιδίως για το επίπεδο προστασίας σε τρίτες χώρες ή διεθνείς οργανισμούς, και προωθώντας τη συνεργασία των εποπτικών αρχών σε ολόκληρη την Ένωση. Το συμβούλιο θα πρέπει να ενεργεί ανεξάρτητα κατά την εκτέλεση των καθηκόντων του.

(140) Το συμβούλιο θα πρέπει να επικουρείται από γραμματεία που θα παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην εκτέλεση των καθηκόντων που ανατίθενται στο Συμβούλιο από τον παρόντα κανονισμό θα πρέπει να εκτελεί τα καθήκοντά του αποκλειστικά υπό τις οδηγίες και να αναφέρεται στον πρόεδρο του συμβουλίου.

(141) Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνο εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα σε αποτελεσματική δικαστική προσφυγή σύμφωνα με το άρθρο 47 του Χάρτη, εάν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν ενεργεί σχετικά με μια καταγγελία, απορρίπτει εν μέρει ή πλήρως μια καταγγελία ή δεν ενεργεί όταν μια τέτοια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Η έρευνα μετά από καταγγελία θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στο βαθμό που ενδείκνυται στη συγκεκριμένη περίπτωση. Η εποπτική αρχή θα πρέπει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω έρευνα ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχονται ενδιάμεσες πληροφορίες στο υποκείμενο των δεδομένων. Προκειμένου να διευκολυνθεί η υποβολή καταγγελιών, κάθε εποπτική αρχή θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής παραπόνων το οποίο μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλα μέσα επικοινωνίας.

(142) Όταν ένα υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του σύμφωνα με τον παρόντα κανονισμό, θα πρέπει να έχει το δικαίωμα να εξουσιοδοτήσει έναν μη κερδοσκοπικό φορέα, οργανισμό ή ένωση που έχει συσταθεί σύμφωνα με τη νομοθεσία ενός κράτους μέλους, έχει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα για την υποβολή καταγγελίας εκ μέρους του σε μια εποπτική αρχή, την άσκηση του δικαιώματος δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή, εάν προβλέπεται διότι, σύμφωνα με το δίκαιο των κρατών μελών, ασκούν το δικαίωμα αποζημίωσης για λογαριασμό των υποκειμένων των δεδομένων. Ένα κράτος μέλος μπορεί να προβλέπει ότι ένας τέτοιος οργανισμός, οργανισμός ή ένωση έχει το δικαίωμα να υποβάλει καταγγελία σε αυτό το κράτος μέλος, ανεξάρτητα από την εντολή του υποκειμένου των δεδομένων, και το δικαίωμα σε αποτελεσματική δικαστική προσφυγή όταν έχει λόγους να θεωρήσει ότι τα δικαιώματα ενός υποκειμένου των δεδομένων έχουν παραβιαστεί ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που παραβιάζει τον παρόντα κανονισμό. Αυτός ο φορέας, ο οργανισμός ή η ένωση δεν επιτρέπεται να διεκδικήσει αποζημίωση για λογαριασμό ενός υποκειμένου των δεδομένων ανεξάρτητα από την εντολή του υποκειμένου των δεδομένων.

(143) Κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα να ασκήσει προσφυγή ακυρώσεως αποφάσεων του συμβουλίου ενώπιον του Δικαστηρίου υπό τους όρους που προβλέπονται στο άρθρο 263 της ΣΛΕΕ. Ως αποδέκτες τέτοιων αποφάσεων, οι ενδιαφερόμενες εποπτικές αρχές που επιθυμούν να τις αμφισβητήσουν πρέπει να προσφύγουν εντός δύο μηνών από την κοινοποίησή τους, σύμφωνα με το άρθρο 263 ΣΛΕΕ. Όταν οι αποφάσεις του συμβουλίου αφορούν άμεσα και ατομικά έναν υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία ή τον καταγγέλλοντα, ο τελευταίος μπορεί να ασκήσει προσφυγή ακύρωσης κατά των αποφάσεων αυτών εντός δύο μηνών από τη δημοσίευσή τους στον ιστότοπο του συμβουλίου, σύμφωνα με το άρθρο 263 ΣΛΕΕ. Με την επιφύλαξη αυτού του δικαιώματος δυνάμει του άρθρου 263 ΣΛΕΕ, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει αποτελεσματική ένδικη προσφυγή ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής που παράγει έννομα αποτελέσματα για το πρόσωπο αυτό. Μια τέτοια απόφαση αφορά ιδίως την άσκηση διερευνητικών, διορθωτικών και εξουσιοδοτητικών εξουσιών από την εποπτική αρχή ή την απόρριψη ή την απόρριψη καταγγελιών. Ωστόσο, το δικαίωμα σε αποτελεσματική ένδικη προσφυγή δεν περιλαμβάνει μέτρα που λαμβάνονται από εποπτικές αρχές τα οποία δεν είναι νομικά δεσμευτικά, όπως γνωμοδοτήσεις ή συμβουλές που παρέχονται από την εποπτική αρχή. Οι διαδικασίες κατά μιας εποπτικής αρχής θα πρέπει να κινούνται ενώπιον των δικαστηρίων του κράτους μέλους όπου είναι εγκατεστημένη η εποπτική αρχή και θα πρέπει να διεξάγονται σύμφωνα με το δικονομικό δίκαιο του εν λόγω κράτους μέλους. Αυτά τα δικαστήρια θα πρέπει να ασκούν πλήρη δικαιοδοσία, η οποία θα πρέπει να περιλαμβάνει δικαιοδοσία για την εξέταση όλων των πραγματικών και νομικών ζητημάτων που σχετίζονται με τη διαφορά που εκκρεμεί.

Όταν μια καταγγελία έχει απορριφθεί ή απορριφθεί από εποπτική αρχή, ο καταγγέλλων μπορεί να προσφύγει στα δικαστήρια του ίδιου κράτους μέλους. Στο πλαίσιο των ένδικων μέσων σχετικά με την εφαρμογή του παρόντος κανονισμού, τα εθνικά δικαστήρια που κρίνουν αναγκαία μια απόφαση επί του ζητήματος για να μπορέσουν να εκδώσουν απόφαση, μπορούν, ή στην περίπτωση που προβλέπεται στο άρθρο 267 ΣΛΕΕ, πρέπει να ζητήσουν από το Δικαστήριο Δικαιοσύνη να εκδώσει προδικαστική απόφαση σχετικά με την ερμηνεία του δικαίου της Ένωσης, συμπεριλαμβανομένου του παρόντος κανονισμού. Επιπλέον, όταν μια απόφαση εποπτικής αρχής που εκτελεί μια απόφαση του συμβουλίου αμφισβητείται ενώπιον εθνικού δικαστηρίου και αμφισβητείται η εγκυρότητα της απόφασης του συμβουλίου, αυτό το εθνικό δικαστήριο δεν έχει την εξουσία να κηρύξει άκυρη την απόφαση του συμβουλίου, αλλά πρέπει να παραπέμψει το ζήτημα της εγκυρότητας στο Δικαστήριο σύμφωνα με το άρθρο 267 ΣΛΕΕ όπως ερμηνεύεται από το Δικαστήριο, εφόσον κρίνει την απόφαση άκυρη. Ωστόσο, ένα εθνικό δικαστήριο δεν μπορεί να υποβάλει ερώτημα σχετικά με την εγκυρότητα της απόφασης του συμβουλίου κατόπιν αιτήματος φυσικού ή νομικού προσώπου που είχε την ευκαιρία να ασκήσει προσφυγή ακυρώσεως της εν λόγω απόφασης, ιδίως εάν ήταν άμεσα και ατομικά αφορούσε η εν λόγω απόφαση, αλλά δεν το είχε πράξει εντός της προθεσμίας που ορίζει το άρθρο 263 ΣΛΕΕ.

(144) Όταν ένα δικαστήριο που επιλήφθηκε διαδικασία κατά απόφασης εποπτικής αρχής έχει λόγους να πιστεύει ότι οι διαδικασίες που αφορούν την ίδια επεξεργασία, όπως το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή τον ίδιο εκτελούντα την επεξεργασία, ή την ίδια αιτία αγωγής, κινούνται πριν αρμόδιο δικαστήριο άλλου κράτους μέλους, θα πρέπει να επικοινωνήσει με το εν λόγω δικαστήριο προκειμένου να επιβεβαιώσει την ύπαρξη τέτοιων σχετικών διαδικασιών. Εάν εκκρεμεί σχετική διαδικασία ενώπιον δικαστηρίου άλλου κράτους μέλους, οποιοδήποτε δικαστήριο εκτός από το πρώτο δικαστήριο που επιλήφθηκε μπορεί να αναστείλει τη διαδικασία ή μπορεί, κατόπιν αιτήματος ενός εκ των μερών, να αρνηθεί τη διεθνή δικαιοδοσία του υπέρ του δικαστηρίου που επιλήφθηκε πρώτο εάν το δικαστήριο αυτό έχει δικαιοδοσία σχετικά με τις εν λόγω διαδικασίες και η νομοθεσία του επιτρέπει τη συνένωση τέτοιων σχετικών διαδικασιών. Οι διαδικασίες θεωρούνται συναφείς όταν συνδέονται τόσο στενά που είναι σκόπιμο να εκδικαστούν και να καθοριστούν από κοινού προκειμένου να αποφευχθεί ο κίνδυνος ασυμβίβαστων αποφάσεων που προκύπτουν από χωριστές διαδικασίες.

(145) Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο ενάγων θα πρέπει να έχει την επιλογή να ασκήσει αγωγή ενώπιον των δικαστηρίων των κρατών μελών όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση ή όπου κατοικεί το υποκείμενο των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή μέλους Κράτος που ενεργεί κατά την άσκηση των δημόσιων εξουσιών του.

(146) Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αποζημιώσει οποιαδήποτε ζημία μπορεί να υποστεί ένα άτομο ως αποτέλεσμα επεξεργασίας που παραβιάζει τον παρόντα κανονισμό. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσεται από την ευθύνη εάν αποδείξει ότι δεν ευθύνεται με κανέναν τρόπο για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται ευρέως υπό το φως της νομολογίας του Δικαστηρίου κατά τρόπο που να αντικατοπτρίζει πλήρως τους στόχους του παρόντος κανονισμού. Αυτό δεν θίγει τυχόν αξιώσεις για ζημίες που προκύπτουν από παραβίαση άλλων κανόνων στο δίκαιο της Ένωσης ή του κράτους μέλους. Η επεξεργασία που παραβιάζει τον παρόντα κανονισμό περιλαμβάνει επίσης την επεξεργασία που παραβιάζει κατ' εξουσιοδότηση και εκτελεστικές πράξεις που εκδίδονται σύμφωνα με τον παρόντα κανονισμό και τη νομοθεσία των κρατών μελών που καθορίζει τους κανόνες του παρόντος κανονισμού. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και αποτελεσματική αποζημίωση για τη ζημία που έχουν υποστεί. Όταν οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία εμπλέκονται στην ίδια επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θα πρέπει να θεωρείται υπεύθυνος για τη συνολική ζημία. Ωστόσο, όταν συμμετέχουν στην ίδια δικαστική διαδικασία, σύμφωνα με το δίκαιο των κρατών μελών, μπορεί να κατανέμεται αποζημίωση ανάλογα με την ευθύνη κάθε υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία για τη ζημία που προκλήθηκε από την επεξεργασία, υπό την προϋπόθεση ότι η πλήρης και αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων που υπέστη τη ζημιά εξασφαλίζεται. Οποιοσδήποτε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που έχει καταβάλει πλήρη αποζημίωση μπορεί στη συνέχεια να ασκήσει προσφυγή κατά άλλων υπευθύνων επεξεργασίας ή εκτελών την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία.

(147) Όταν στον παρόντα κανονισμό περιλαμβάνονται ειδικοί κανόνες για τη δικαιοδοσία, ιδίως όσον αφορά διαδικασίες που ζητούν δικαστική προσφυγή, συμπεριλαμβανομένης αποζημίωσης, κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία, γενικούς κανόνες δικαιοδοσίας όπως αυτοί του κανονισμού (ΕΕ) αριθ. 1215/2012 του Ευρωπαϊκού Κοινοβουλίου και του το Συμβούλιο ( 13 ) δεν θα πρέπει να προδικάζει την εφαρμογή τέτοιων ειδικών κανόνων.

(148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, θα πρέπει να επιβάλλονται κυρώσεις, συμπεριλαμβανομένων διοικητικών προστίμων για κάθε παράβαση του παρόντος κανονισμού, επιπλέον ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση ήσσονος σημασίας παράβασης ή εάν το πρόστιμο που ενδέχεται να επιβληθεί θα συνιστούσε δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο, μπορεί να εκδοθεί επίπληξη αντί προστίμου. Ωστόσο, θα πρέπει να δίδεται η δέουσα προσοχή στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, τον εκ προθέσεως χαρακτήρα της παράβασης, τα μέτρα που λαμβάνονται για τον μετριασμό της ζημίας που υπέστη, τον βαθμό ευθύνης ή τυχόν σχετικές προηγούμενες παραβάσεις, τον τρόπο με τον οποίο η παράβαση έγινε γνωστή η εποπτική αρχή, η συμμόρφωση με τα μέτρα που διατάχθηκαν κατά του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλος επιβαρυντικός ή ελαφρυντικός παράγοντας. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις γενικές αρχές του δικαίου της Ένωσης και του Χάρτη, συμπεριλαμβανομένης της αποτελεσματικής δικαστικής προστασίας και της δέουσας διαδικασίας.

(149) Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν κανόνες για τις ποινικές κυρώσεις για παραβάσεις του παρόντος κανονισμού, συμπεριλαμβανομένων των παραβάσεων των εθνικών κανόνων που θεσπίζονται σύμφωνα και εντός των ορίων του παρόντος κανονισμού. Αυτές οι ποινικές κυρώσεις ενδέχεται επίσης να επιτρέπουν τη στέρηση των κερδών που αποκτώνται από παραβάσεις του παρόντος κανονισμού. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής του ne bis in idem , όπως ερμηνεύεται από το Δικαστήριο.

(150) Προκειμένου να ενισχυθούν και να εναρμονιστούν οι διοικητικές κυρώσεις για παραβάσεις του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να αναφέρει τις παραβάσεις και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, λαμβάνοντας υπόψη όλες τις σχετικές περιστάσεις της συγκεκριμένης κατάστασης, λαμβάνοντας δεόντως υπόψη τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και των συνεπειών της και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις βάσει του παρόντος κανονισμού και την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Όταν επιβάλλονται διοικητικά πρόστιμα σε μια επιχείρηση, η επιχείρηση πρέπει να νοείται ως επιχείρηση σύμφωνα με τα άρθρα 101 και 102 της ΣΛΕΕ για τους σκοπούς αυτούς. Όταν επιβάλλονται διοικητικά πρόστιμα σε πρόσωπα που δεν είναι επιχείρηση, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδήματος στο κράτος μέλος καθώς και την οικονομική κατάσταση του ατόμου κατά την εξέταση του κατάλληλου ποσού του προστίμου. Ο μηχανισμός συνέπειας μπορεί επίσης να χρησιμοποιηθεί για την προώθηση της συνεπούς εφαρμογής των διοικητικών προστίμων. Εναπόκειται στα κράτη μέλη να καθορίσουν εάν και σε ποιο βαθμό οι δημόσιες αρχές πρέπει να υπόκεινται σε διοικητικά πρόστιμα. Η επιβολή διοικητικού προστίμου ή η προειδοποίηση δεν επηρεάζει την εφαρμογή άλλων εξουσιών των εποπτικών αρχών ή άλλων κυρώσεων δυνάμει του παρόντος κανονισμού.

(151) Τα νομικά συστήματα της Δανίας και της Εσθονίας δεν επιτρέπουν διοικητικά πρόστιμα όπως ορίζονται στον παρόντα κανονισμό. Οι κανόνες για τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπο ώστε στη Δανία το πρόστιμο να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια ως ποινική κύρωση και στην Εσθονία το πρόστιμο επιβάλλεται από την εποπτική αρχή στο πλαίσιο διαδικασίας πλημμελήματος, υπό την προϋπόθεση ότι Η εφαρμογή των κανόνων σε αυτά τα κράτη μέλη έχει ισοδύναμο αποτέλεσμα με διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Ως εκ τούτου, τα αρμόδια εθνικά δικαστήρια θα πρέπει να λάβουν υπόψη τη σύσταση της εποπτικής αρχής που επιβάλλει το πρόστιμο. Σε κάθε περίπτωση, τα επιβαλλόμενα πρόστιμα θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.

(152) Όταν ο παρών κανονισμός δεν εναρμονίζει τις διοικητικές κυρώσεις ή όπου είναι απαραίτητο σε άλλες περιπτώσεις, για παράδειγμα σε περιπτώσεις σοβαρών παραβάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόζουν σύστημα που να προβλέπει αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις. Η φύση αυτών των κυρώσεων, ποινικών ή διοικητικών, θα πρέπει να καθορίζεται από το δίκαιο των κρατών μελών.

(153) Η νομοθεσία των κρατών μελών θα πρέπει να συμβιβάζει τους κανόνες που διέπουν την ελευθερία έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της δημοσιογραφικής, ακαδημαϊκής, καλλιτεχνικής και ή λογοτεχνικής έκφρασης με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον παρόντα κανονισμό. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εάν είναι απαραίτητο για να συμβιβαστεί το δικαίωμα στην προστασία των προσωπικών δεδομένων με το δικαίωμα ελευθερία έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ιδίως για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και σε αρχεία ειδήσεων και βιβλιοθήκες τύπου. Ως εκ τούτου, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα που να καθορίζουν τις απαραίτητες εξαιρέσεις και παρεκκλίσεις για τον σκοπό της εξισορρόπησης αυτών των θεμελιωδών δικαιωμάτων. Τα κράτη μέλη θα πρέπει να εγκρίνουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, τη συνεργασία και τη συνέπεια και συγκεκριμένα δεδομένα- επεξεργασία καταστάσεων. Όταν τέτοιες εξαιρέσεις ή παρεκκλίσεις διαφέρουν από το ένα κράτος μέλος στο άλλο, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Προκειμένου να ληφθεί υπόψη η σημασία του δικαιώματος στην ελευθερία της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνευθούν ευρέως οι έννοιες που σχετίζονται με αυτήν την ελευθερία, όπως η δημοσιογραφία.

(154) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού σε επίσημα έγγραφα κατά την εφαρμογή του παρόντος κανονισμού. Η πρόσβαση του κοινού σε επίσημα έγγραφα μπορεί να θεωρηθεί ότι είναι προς το δημόσιο συμφέρον. Τα δεδομένα προσωπικού χαρακτήρα σε έγγραφα που κατέχονται από δημόσια αρχή ή δημόσιο φορέα θα πρέπει να μπορούν να δημοσιοποιούνται από αυτήν την αρχή ή φορέα, εάν η αποκάλυψη προβλέπεται από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο δημόσιος φορέας. Οι νόμοι αυτοί θα πρέπει να συμβιβάζουν την πρόσβαση του κοινού σε επίσημα έγγραφα και την επαναχρησιμοποίηση πληροφοριών του δημόσιου τομέα με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, μπορούν να προβλέπουν την απαραίτητη συμφωνία με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον παρόντα κανονισμό. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει στο πλαίσιο αυτό να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από τη νομοθεσία των κρατών μελών για την πρόσβαση του κοινού στα έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 14 ) αφήνει ανέπαφη και σε καμία περίπτωση δεν επηρεάζει το επίπεδο προστασίας των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις διατάξεις του δικαίου της Ένωσης και των κρατών μελών, και ιδίως δεν μεταβάλλει τις υποχρεώσεις και τα δικαιώματα που ορίζονται στον παρόντα κανονισμό. Ειδικότερα, η εν λόγω οδηγία δεν θα πρέπει να εφαρμόζεται σε έγγραφα στα οποία η πρόσβαση αποκλείεται ή περιορίζεται λόγω των καθεστώτων πρόσβασης για λόγους προστασίας των δεδομένων προσωπικού χαρακτήρα, και σε μέρη εγγράφων στα οποία είναι προσβάσιμα δυνάμει των καθεστώτων εκείνων που περιέχουν προσωπικά δεδομένα την περαιτέρω χρήση του οποίου έχει προβλεφθεί από το νόμο ως ασυμβίβαστο με το νόμο περί προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

(155) Το δίκαιο των κρατών μελών ή οι συλλογικές συμβάσεις, συμπεριλαμβανομένων των «συμφωνιών εργασίας», μπορεί να προβλέπουν ειδικούς κανόνες για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων στο εργασιακό πλαίσιο, ιδίως για τις συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του εργαζομένου, οι σκοποί της πρόσληψης, η εκτέλεση της σύμβασης εργασίας, συμπεριλαμβανομένης της εκπλήρωσης υποχρεώσεων που ορίζονται από το νόμο ή τις συλλογικές συμβάσεις, τη διαχείριση, τον προγραμματισμό και την οργάνωση της εργασίας, την ισότητα και διαφορετικότητα στο χώρο εργασίας, την υγεία και την ασφάλεια στην εργασία, και για τους σκοπούς της άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την εργασία, και για τους σκοπούς της λύσης της εργασιακής σχέσης.

(156) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Αυτές οι διασφαλίσεις θα πρέπει να διασφαλίζουν ότι υπάρχουν τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί, ιδίως, η αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς σκοπούς έρευνας ή στατιστικούς σκοπούς πρέπει να πραγματοποιείται όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει τη σκοπιμότητα εκπλήρωσης των σκοπών αυτών με την επεξεργασία δεδομένων που δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες διασφαλίσεις (όπως, για παράδειγμα, η ψευδωνυμοποίηση των δεδομένων). Τα κράτη μέλη θα πρέπει να προβλέπουν κατάλληλες διασφαλίσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης για σκοπούς δημόσιου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς. Τα κράτη μέλη θα πρέπει να εξουσιοδοτούνται να παρέχουν, υπό ειδικούς όρους και με την επιφύλαξη κατάλληλων διασφαλίσεων για τα υποκείμενα των δεδομένων, προδιαγραφές και παρεκκλίσεις όσον αφορά τις απαιτήσεις πληροφοριών και τα δικαιώματα για διόρθωση, διαγραφή, λήθη, περιορισμό επεξεργασίας, φορητότητα δεδομένων, και να εναντιωθεί κατά την επεξεργασία προσωπικών δεδομένων για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς. Οι εν λόγω προϋποθέσεις και διασφαλίσεις ενδέχεται να συνεπάγονται ειδικές διαδικασίες για τα υποκείμενα των δεδομένων για την άσκηση αυτών των δικαιωμάτων, εάν αυτό είναι σκόπιμο υπό το πρίσμα των σκοπών που επιδιώκει η συγκεκριμένη επεξεργασία, καθώς και τεχνικά και οργανωτικά μέτρα που αποσκοπούν στην ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της αρχές της αναλογικότητας και της αναγκαιότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονικούς σκοπούς θα πρέπει επίσης να συμμορφώνεται με άλλες σχετικές νομοθεσίες, όπως για τις κλινικές δοκιμές.

(157) Με τη σύζευξη πληροφοριών από μητρώα, οι ερευνητές μπορούν να αποκτήσουν νέες γνώσεις μεγάλης αξίας σε σχέση με εκτεταμένες ιατρικές παθήσεις όπως οι καρδιαγγειακές παθήσεις, ο καρκίνος και η κατάθλιψη. Με βάση τα μητρώα, τα αποτελέσματα της έρευνας μπορούν να βελτιωθούν, καθώς βασίζονται σε μεγαλύτερο πληθυσμό. Στο πλαίσιο των κοινωνικών επιστημών, η έρευνα βάσει μητρώων δίνει τη δυνατότητα στους ερευνητές να αποκτήσουν ουσιαστική γνώση σχετικά με τη μακροπρόθεσμη συσχέτιση ορισμένων κοινωνικών συνθηκών όπως η ανεργία και η εκπαίδευση με άλλες συνθήκες ζωής. Τα αποτελέσματα της έρευνας που λαμβάνονται μέσω μητρώων παρέχουν στέρεες, υψηλής ποιότητας γνώσεις που μπορούν να αποτελέσουν τη βάση για τη διαμόρφωση και την εφαρμογή πολιτικής βασισμένης στη γνώση, τη βελτίωση της ποιότητας ζωής για έναν αριθμό ατόμων και τη βελτίωση της αποτελεσματικότητας των κοινωνικών υπηρεσιών. Προκειμένου να διευκολυνθεί η επιστημονική έρευνα, τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία για σκοπούς επιστημονικής έρευνας, με την επιφύλαξη των κατάλληλων όρων και διασφαλίσεων που ορίζονται στη νομοθεσία της Ένωσης ή του κράτους μέλους.

(158) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης, ο παρών κανονισμός θα πρέπει επίσης να εφαρμόζεται σε αυτήν την επεξεργασία, λαμβάνοντας υπόψη ότι ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται σε αποθανόντα άτομα. Οι δημόσιες αρχές ή δημόσιοι ή ιδιωτικοί φορείς που κατέχουν αρχεία δημοσίου συμφέροντος θα πρέπει να είναι υπηρεσίες οι οποίες, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, έχουν νομική υποχρέωση να αποκτούν, να διατηρούν, να αξιολογούν, να τακτοποιούν, να περιγράφουν, να επικοινωνούν, να προωθούν, να διαδίδουν και να παρέχουν πρόσβαση σε αρχεία διαρκούς αξίας για το γενικό δημόσιο συμφέρον. Τα κράτη μέλη θα πρέπει επίσης να εξουσιοδοτηθούν να προβλέπουν την περαιτέρω επεξεργασία προσωπικών δεδομένων για σκοπούς αρχειοθέτησης, για παράδειγμα με σκοπό την παροχή συγκεκριμένων πληροφοριών που σχετίζονται με την πολιτική συμπεριφορά υπό πρώην ολοκληρωτικά κρατικά καθεστώτα, τη γενοκτονία, τα εγκλήματα κατά της ανθρωπότητας, ιδίως το Ολοκαύτωμα, ή εγκλήματα πολέμου.

(159) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς επιστημονικής έρευνας, ο παρών κανονισμός θα πρέπει να εφαρμόζεται και στην εν λόγω επεξεργασία. Για τους σκοπούς του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας θα πρέπει να ερμηνεύεται με ευρεία έννοια, συμπεριλαμβανομένης, για παράδειγμα, της τεχνολογικής ανάπτυξης και επίδειξης, της θεμελιώδους έρευνας, της εφαρμοσμένης έρευνας και της ιδιωτικής χρηματοδότησης έρευνας. Επιπλέον, θα πρέπει να λαμβάνει υπόψη τον στόχο της Ένωσης βάσει του άρθρου 179 παράγραφος 1 της ΣΛΕΕ για την επίτευξη ενός Ευρωπαϊκού Χώρου Έρευνας. Οι σκοποί της επιστημονικής έρευνας θα πρέπει επίσης να περιλαμβάνουν μελέτες που διεξάγονται προς το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Για να πληρούνται οι ιδιαιτερότητες της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας, θα πρέπει να ισχύουν ειδικοί όροι, ιδίως όσον αφορά τη δημοσίευση ή άλλως αποκάλυψη προσωπικών δεδομένων στο πλαίσιο επιστημονικών ερευνητικών σκοπών. Εάν το αποτέλεσμα της επιστημονικής έρευνας, ιδίως στο πλαίσιο της υγείας, δικαιολογεί περαιτέρω μέτρα προς το συμφέρον του υποκειμένου των δεδομένων, θα πρέπει να εφαρμόζονται οι γενικοί κανόνες του παρόντος κανονισμού ενόψει των μέτρων αυτών.

(160) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ιστορικής έρευνας, ο παρών κανονισμός θα πρέπει να εφαρμόζεται και στην εν λόγω επεξεργασία. Αυτό θα πρέπει επίσης να περιλαμβάνει ιστορική έρευνα και έρευνα για γενεαλογικούς σκοπούς, λαμβάνοντας υπόψη ότι ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται σε αποθανόντα άτομα.

(161) Για τους σκοπούς της συναίνεσης για τη συμμετοχή σε επιστημονικές ερευνητικές δραστηριότητες σε κλινικές δοκιμές, θα πρέπει να εφαρμόζονται οι σχετικές διατάξεις του κανονισμού (ΕΕ) αριθ. 536/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 15 ) .

(162) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για στατιστικούς σκοπούς, ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην εν λόγω επεξεργασία. Το δίκαιο της Ένωσης ή του κράτους μέλους θα πρέπει, εντός των ορίων του παρόντος κανονισμού, να καθορίζει το στατιστικό περιεχόμενο, τον έλεγχο της πρόσβασης, τις προδιαγραφές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και τα κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων και για τη διασφάλιση του στατιστικού απορρήτου . Ως στατιστικοί σκοποί νοείται κάθε πράξη συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για στατιστικές έρευνες ή για παραγωγή στατιστικών αποτελεσμάτων. Αυτά τα στατιστικά αποτελέσματα μπορούν περαιτέρω να χρησιμοποιηθούν για διαφορετικούς σκοπούς, συμπεριλαμβανομένου σκοπού επιστημονικής έρευνας. Ο στατιστικός σκοπός συνεπάγεται ότι το αποτέλεσμα της επεξεργασίας για στατιστικούς σκοπούς δεν είναι προσωπικά δεδομένα, αλλά συγκεντρωτικά δεδομένα και ότι αυτό το αποτέλεσμα ή τα προσωπικά δεδομένα δεν χρησιμοποιούνται για την υποστήριξη μέτρων ή αποφάσεων σχετικά με κάποιο συγκεκριμένο φυσικό πρόσωπο.

(163) Οι εμπιστευτικές πληροφορίες που συλλέγουν η Ένωση και οι εθνικές στατιστικές αρχές για την παραγωγή επίσημων ευρωπαϊκών και επίσημων εθνικών στατιστικών θα πρέπει να προστατεύονται. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να παράγονται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές όπως ορίζονται στο άρθρο 338 παράγραφος 2 της ΣΛΕΕ, ενώ οι εθνικές στατιστικές θα πρέπει επίσης να συμμορφώνονται με τη νομοθεσία των κρατών μελών. Ο κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 16 ) παρέχει περαιτέρω προδιαγραφές σχετικά με το στατιστικό απόρρητο για τις ευρωπαϊκές στατιστικές.

(164) Όσον αφορά τις εξουσίες των εποπτικών αρχών να αποκτούν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, τα κράτη μέλη μπορούν να θεσπίζουν δια νόμου, εντός των ορίων του παρόντος κανονισμού, ειδικούς κανόνες για την προστασία του επαγγελματικού ή άλλου ισοδύναμου υποχρεώσεις απορρήτου, στο βαθμό που είναι απαραίτητο για να συμβιβαστεί το δικαίωμα στην προστασία των προσωπικών δεδομένων με την υποχρέωση επαγγελματικού απορρήτου. Αυτό δεν θίγει τις υφιστάμενες υποχρεώσεις των κρατών μελών να θεσπίζουν κανόνες για το επαγγελματικό απόρρητο όπου απαιτείται από το δίκαιο της Ένωσης.

(165) Ο παρών κανονισμός σέβεται και δεν προδικάζει το καθεστώς, σύμφωνα με το ισχύον συνταγματικό δίκαιο, των εκκλησιών και των θρησκευτικών ενώσεων ή κοινοτήτων στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 της ΣΛΕΕ.

(166) Προκειμένου να εκπληρωθούν οι στόχοι του παρόντος κανονισμού, δηλαδή η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ειδικότερα του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της ΣΛΕΕ θα πρέπει να ανατεθεί στην Επιτροπή. Ειδικότερα, θα πρέπει να εγκρίνονται κατ' εξουσιοδότηση πράξεις όσον αφορά τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, τις πληροφορίες που πρέπει να παρουσιάζονται με τυποποιημένα εικονίδια και τις διαδικασίες για την παροχή τέτοιων εικονιδίων. Είναι ιδιαίτερα σημαντικό να διεξάγει η Επιτροπή κατάλληλες διαβουλεύσεις κατά τις προπαρασκευαστικές εργασίες της, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων. Η Επιτροπή, όταν προετοιμάζει και συντάσσει κατ' εξουσιοδότηση πράξεις, θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(167) Προκειμένου να διασφαλιστούν ενιαίες συνθήκες για την εφαρμογή του παρόντος κανονισμού, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όταν προβλέπεται από τον παρόντα κανονισμό. Οι εξουσίες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011. Στο πλαίσιο αυτό, η Επιτροπή θα πρέπει να εξετάσει συγκεκριμένα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

(168) Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιείται για την έκδοση εκτελεστικών πράξεων σχετικά με τυπικές συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελών την επεξεργασία και μεταξύ εκτελούντων την επεξεργασία• κώδικες δεοντολογίας; τεχνικά πρότυπα και μηχανισμοί πιστοποίησης• το επαρκές επίπεδο προστασίας που παρέχεται από τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα εντός αυτής της τρίτης χώρας ή διεθνούς οργανισμού• τυπικές ρήτρες προστασίας• μορφές και διαδικασίες για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ υπευθύνων επεξεργασίας, εκτελών την επεξεργασία και εποπτικών αρχών για δεσμευτικούς εταιρικούς κανόνες• αμοιβαία βοήθεια• και ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ των εποπτικών αρχών και μεταξύ των εποπτικών αρχών και του συμβουλίου.

(169) Η Επιτροπή θα πρέπει να εκδίδει εκτελεστικές πράξεις άμεσα εφαρμόσιμες όταν τα διαθέσιμα στοιχεία αποκαλύπτουν ότι μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός δεν εξασφαλίζει επαρκές επίπεδο προστασίας και το απαιτούν επιτακτικοί λόγοι επείγουσας ανάγκης.

(170) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η εξασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη και μπορεί μάλλον, λόγω της κλίμακας ή των επιπτώσεων της δράσης, για να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση μπορεί να εγκρίνει μέτρα, σύμφωνα με την αρχή της επικουρικότητας όπως ορίζεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Σύμφωνα με την αρχή της αναλογικότητας, όπως ορίζεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη αυτού του στόχου.

(171) Η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί με τον παρόντα κανονισμό. Η επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία εφαρμογής του παρόντος κανονισμού θα πρέπει να συμμορφωθεί με τον παρόντα κανονισμό εντός δύο ετών

μετά την έναρξη ισχύος του παρόντος κανονισμού. Όταν η επεξεργασία βασίζεται στη συγκατάθεση σύμφωνα με την οδηγία 95/46/ΕΚ, δεν είναι απαραίτητο για το υποκείμενο των δεδομένων να δώσει εκ νέου τη συγκατάθεσή του, εάν ο τρόπος με τον οποίο δόθηκε η συγκατάθεση είναι σύμφωνος με τους όρους του παρόντος κανονισμού, ώστε να επιτρέπεται στον υπεύθυνο επεξεργασίας να συνεχίσει την εν λόγω επεξεργασία μετά την ημερομηνία εφαρμογής του παρόντος κανονισμού. Οι αποφάσεις της Επιτροπής που εκδίδονται και οι εξουσιοδοτήσεις των εποπτικών αρχών με βάση την οδηγία 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν.

(172) Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 και διατύπωσε γνώμη στις 7 Μαρτίου 2012 ( 17 ) .

(173) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που δεν υπόκεινται σε ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 18 ) , συμπεριλαμβανομένων των υποχρεώσεων του υπεύθυνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Προκειμένου να διευκρινιστεί η σχέση μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η εν λόγω οδηγία θα πρέπει να τροποποιηθεί αναλόγως. Μόλις εγκριθεί ο παρών κανονισμός, η οδηγία 2002/58/ΕΚ θα πρέπει να αναθεωρηθεί ιδίως προκειμένου να διασφαλιστεί η συνοχή με τον παρόντα κανονισμό,

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ Ι

Γενικές προμήθειες

Άρθρο 1

Αντικείμενο και στόχοι

1. Ο παρών κανονισμός θεσπίζει κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

2. Ο παρών κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ιδίως το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3. Η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που συνδέονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άρθρο 2

Πεδίο εφαρμογής υλικού

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα εν όλω ή εν μέρει με αυτοματοποιημένα μέσα και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν αποτελούν αυτοματοποιημένα μέσα που αποτελούν μέρος συστήματος αρχειοθέτησης ή προορίζονται να αποτελέσουν μέρος συστήματος αρχειοθέτησης.

2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

(ένα) κατά τη διάρκεια δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης•

(σι) από τα κράτη μέλη κατά την εκτέλεση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ•

(ντο) από φυσικό πρόσωπο κατά τη διάρκεια μιας καθαρά προσωπικής ή οικιακής δραστηριότητας•

(ρε) από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, της έρευνας, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης και της πρόληψης απειλών για τη δημόσια ασφάλεια.

3. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, τους φορείς, τα γραφεία και τους οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001. Ο κανονισμός (ΕΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης που εφαρμόζονται σε αυτή την επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως των κανόνων ευθύνης των ενδιάμεσων παρόχων υπηρεσιών στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Άρθρο 3

Εδαφική εμβέλεια

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην Ένωση ή όχι.

2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν είναι εγκατεστημένος στην Ένωση, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με:

(ένα) την προσφορά αγαθών ή υπηρεσιών, ανεξάρτητα από το εάν απαιτείται πληρωμή του υποκειμένου των δεδομένων, σε αυτά τα υποκείμενα των δεδομένων στην Ένωση• ή

(σι) την παρακολούθηση της συμπεριφοράς τους στο βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης.

3. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας που δεν είναι εγκατεστημένος στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο των κρατών μελών δυνάμει του δημόσιου διεθνούς δικαίου.

Άρθρο 4

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού:

(1) «προσωπικά δεδομένα»: κάθε πληροφορία που σχετίζεται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο που μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε ένα αναγνωριστικό όπως ένα όνομα, ένας αριθμός αναγνώρισης, δεδομένα τοποθεσίας, ένα διαδικτυακό αναγνωριστικό ή σε έναν ή περισσότερους παράγοντες ειδικούς για το φυσικό, φυσιολογικό, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου•

(2) «επεξεργασία» σημαίνει οποιαδήποτε λειτουργία ή σύνολο λειτουργιών που εκτελείται σε προσωπικά δεδομένα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, αποκάλυψη μέσω μετάδοσης, διάδοσης ή με άλλο τρόπο διάθεσης, ευθυγράμμιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή•

(3) «περιορισμός επεξεργασίας»: η επισήμανση αποθηκευμένων προσωπικών δεδομένων με σκοπό τον περιορισμό της επεξεργασίας τους στο μέλλον•

(4) «προφίλ» σημαίνει κάθε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση προσωπικών δεδομένων για την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση του φυσικού προσώπου στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις, ενδιαφέροντα, αξιοπιστία, συμπεριφορά, τοποθεσία ή κινήσεις•

(5) «ψευδώνυμος» σημαίνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών, υπό την προϋπόθεση ότι αυτές οι πρόσθετες πληροφορίες τηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα να διασφαλίσει ότι τα προσωπικά δεδομένα δεν αποδίδονται σε αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο•

(6) «σύστημα αρχειοθέτησης»: κάθε δομημένο σύνολο δεδομένων προσωπικού χαρακτήρα που είναι προσβάσιμα σύμφωνα με συγκεκριμένα κριτήρια, είτε είναι συγκεντρωτικά, αποκεντρωμένα ή διασκορπισμένα σε λειτουργική ή γεωγραφική βάση•

(7) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα• όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης ή του κράτους μέλους•

(8) «υπεύθυνος επεξεργασίας»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας•

(9) «παραλήπτης» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας στον οποίο γνωστοποιούνται τα προσωπικά δεδομένα, είτε είναι τρίτο είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λαμβάνουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους δεν θεωρούνται αποδέκτες• η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πρέπει να είναι σύμφωνη με τους ισχύοντες κανόνες προστασίας δεδομένων σύμφωνα με τους σκοπούς της επεξεργασίας•

(10) «τρίτο μέρος»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα που, υπό την άμεση εξουσία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα•

(11) «συναίνεση» του υποκειμένου των δεδομένων σημαίνει κάθε ελεύθερα δοθείσα, συγκεκριμένη, ενημερωμένη και σαφή ένδειξη των επιθυμιών του υποκειμένου των δεδομένων με την οποία αυτό ή αυτή, με δήλωση ή με σαφή καταφατική ενέργεια, δηλώνει συμφωνία για την επεξεργασία των προσωπικών δεδομένων που το αφορούν ή αυτή;

(12) «παραβίαση προσωπικών δεδομένων» σημαίνει παραβίαση ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο•

(13) «γενετικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κληρονομικά ή επίκτητα γενετικά χαρακτηριστικά ενός φυσικού προσώπου, τα οποία παρέχουν μοναδικές πληροφορίες για τη φυσιολογία ή την υγεία αυτού του φυσικού προσώπου και τα οποία προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος από το φυσικό πρόσωπο. εν λόγω πρόσωπο?

(14) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα που προκύπτουν από ειδική τεχνική επεξεργασία που σχετίζονται με τα φυσικά, φυσιολογικά ή συμπεριφορικά χαρακτηριστικά ενός φυσικού προσώπου, τα οποία επιτρέπουν ή επιβεβαιώνουν τη μοναδική ταυτοποίηση αυτού του φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα•

(15) «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, συμπεριλαμβανομένης της παροχής υπηρεσιών υγειονομικής περίθαλψης, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του•

(16) «κύρια εγκατάσταση» σημαίνει:

(ένα) όσον αφορά έναν υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα από ένα κράτη μέλη, τον τόπο της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις για τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου της επεξεργασίας στην Ένωση και η τελευταία εγκατάσταση έχει την εξουσία να εφαρμόζει τέτοιες αποφάσεις, οπότε η εγκατάσταση που έχει λάβει τέτοιες αποφάσεις θεωρείται η κύρια εγκατάσταση•

(σι) όσον αφορά έναν μεταποιητή με εγκαταστάσεις σε περισσότερα από ένα κράτη μέλη, τον τόπο της κεντρικής του διοίκησης στην Ένωση ή, εάν ο μεταποιητής δεν έχει κεντρική διοίκηση στην Ένωση, την εγκατάσταση του μεταποιητή στην Ένωση όπου οι κύριες δραστηριότητες μεταποίησης στην το πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του μεταποιητή λαμβάνει χώρα στο βαθμό που ο μεταποιητής υπόκειται σε ειδικές υποχρεώσεις βάσει του παρόντος κανονισμού•

(17) «αντιπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση το οποίο, οριζόμενο από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία εγγράφως σύμφωνα με το άρθρο 27, εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία όσον αφορά τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού•

(18) «επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξαρτήτως νομικής μορφής, συμπεριλαμβανομένων των εταιρειών ή ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα•

(19) «όμιλος επιχειρήσεων»: η ελεγχόμενη επιχείρηση και οι ελεγχόμενες επιχειρήσεις της•

(20) «δεσμευτικοί εταιρικοί κανόνες»: πολιτικές προστασίας προσωπικών δεδομένων που τηρούνται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που είναι εγκατεστημένος στην επικράτεια κράτους μέλους για διαβιβάσεις ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός όμιλος επιχειρήσεων ή όμιλος επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα•

(21) «εποπτική αρχή»: μια ανεξάρτητη δημόσια αρχή που έχει συσταθεί από κράτος μέλος σύμφωνα με το άρθρο 51•

(22) «ενδιαφερόμενη εποπτική αρχή»: μια εποπτική αρχή που ενδιαφέρεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα επειδή:

(ένα) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στην επικράτεια του κράτους μέλους της εν λόγω εποπτικής αρχής•

(σι) τα υποκείμενα των δεδομένων που κατοικούν στο κράτος μέλος αυτής της εποπτικής αρχής επηρεάζονται ουσιαστικά ή ενδέχεται να επηρεαστούν ουσιαστικά από την επεξεργασία• ή

(ντο) έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή•

(23) «διασυνοριακή επεξεργασία» σημαίνει είτε:

(ένα) επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα στο πλαίσιο των δραστηριοτήτων εγκαταστάσεων σε περισσότερα από ένα κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα από ένα κράτη μέλη• ή

(σι) επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα στο πλαίσιο των δραστηριοτήτων μιας μόνο εγκατάστασης υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, αλλά η οποία επηρεάζει ουσιαστικά ή ενδέχεται να επηρεάσει ουσιαστικά τα υποκείμενα των δεδομένων σε περισσότερα από ένα κράτη μέλη.

(24) «σχετική και αιτιολογημένη ένσταση»: αντίρρηση σε σχέδιο απόφασης ως προς το εάν υπάρχει παράβαση του παρόντος κανονισμού ή εάν η σχεδιαζόμενη ενέργεια σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία είναι σύμφωνη με τον παρόντα κανονισμό, πράγμα που καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης•

(25) «υπηρεσία της κοινωνίας της πληροφορίας»: υπηρεσία όπως ορίζεται στο στοιχείο β) του άρθρου 1 παράγραφος 1 της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 19 ) .

(26) «διεθνής οργανισμός»: ένας οργανισμός και οι υφιστάμενοί του φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει συσταθεί από, ή βάσει, συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

ΚΕΦΑΛΑΙΟ II

Αρχές

Άρθρο 5

Αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1. Τα δεδομένα προσωπικού χαρακτήρα είναι:

(ένα) υποβάλλονται σε επεξεργασία νομίμως, δίκαια και με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, δικαιοσύνη και διαφάνεια»)•

(σι) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο με αυτούς τους σκοπούς• η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1, δεν θεωρείται ασυμβίβαστη με τους αρχικούς σκοπούς («περιορισμός σκοπού»).

(ντο) επαρκείς, σχετικές και περιορισμένες σε ό,τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση δεδομένων»)•

(ρε) ακριβείς και, όπου χρειάζεται, ενημερώνονται• πρέπει να λαμβάνεται κάθε εύλογο μέτρο για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση («ακρίβεια»)•

(μι) διατηρούνται σε μορφή που να επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων για όχι περισσότερο από όσο είναι απαραίτητο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα• τα προσωπικά δεδομένα μπορούν να αποθηκευτούν για μεγαλύτερες περιόδους, εφόσον τα προσωπικά δεδομένα θα υποβληθούν σε επεξεργασία αποκλειστικά για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, με την επιφύλαξη της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρα που απαιτούνται από τον παρόντα κανονισμό για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός αποθήκευσης»)•

(φά) υποβάλλονται σε επεξεργασία με τρόπο που διασφαλίζει την κατάλληλη ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή ζημιά, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα («ακεραιότητα και εμπιστευτικότητα»).

2. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος και μπορεί να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Άρθρο 6

Νομιμότητα της επεξεργασίας

1. Η επεξεργασία είναι νόμιμη μόνο εάν και στον βαθμό που ισχύει τουλάχιστον ένα από τα ακόλουθα:

(ένα) το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς•

(σι) η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης•

(ντο) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας•

(ρε) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου•

(μι) η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας•

(φά) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν αυτά τα συμφέροντα υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων που απαιτούν προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως όταν τα δεδομένα υποκείμενο είναι ένα παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την εκτέλεση των καθηκόντων τους.

2. Τα κράτη μέλη μπορούν να διατηρήσουν ή να εισαγάγουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για συμμόρφωση με τα στοιχεία γ) και ε) της παραγράφου 1, καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλες μέτρα για τη διασφάλιση της νόμιμης και δίκαιης επεξεργασίας, συμπεριλαμβανομένων άλλων ειδικών περιπτώσεων επεξεργασίας, όπως προβλέπεται στο Κεφάλαιο IX.

3. Η βάση για την επεξεργασία που αναφέρεται στα στοιχεία γ) και ε) της παραγράφου 1 καθορίζεται από:

(ένα) Δίκαιο της Ένωσης• ή

(σι) δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Ο σκοπός της επεξεργασίας καθορίζεται σε αυτή τη νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στο στοιχείο ε) της παραγράφου 1, είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση υπαλλήλου εξουσία που ανατίθεται στον ελεγκτή. Αυτή η νομική βάση μπορεί να περιέχει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τους γενικούς όρους που διέπουν τη νομιμότητα της επεξεργασίας από τον υπεύθυνο επεξεργασίας• τους τύπους δεδομένων που υπόκεινται σε επεξεργασία• τα ενδιαφερόμενα υποκείμενα των δεδομένων• τις οντότητες και τους σκοπούς για τους οποίους μπορούν να γνωστοποιηθούν τα προσωπικά δεδομένα• ο περιορισμός του σκοπού• περίοδοι αποθήκευσης• και διαδικασίες επεξεργασίας και διαδικασίες επεξεργασίας, συμπεριλαμβανομένων μέτρων για τη διασφάλιση της νόμιμης και δίκαιης επεξεργασίας, όπως αυτές για άλλες ειδικές καταστάσεις επεξεργασίας, όπως προβλέπεται στο Κεφάλαιο IX. Το δίκαιο της Ένωσης ή του κράτους μέλους ανταποκρίνεται σε στόχο δημοσίου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο θεμιτό σκοπό.

4. Όταν η επεξεργασία για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή σε νομοθεσία της Ένωσης ή κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των στόχων που αναφέρεται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβώσει εάν η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικά τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

(ένα) οποιαδήποτε σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα προσωπικά δεδομένα και των σκοπών της προβλεπόμενης περαιτέρω επεξεργασίας•

(σι) το πλαίσιο εντός του οποίου έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπεύθυνου επεξεργασίας•

(ντο) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν υποβάλλονται σε επεξεργασία ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 9, ή εάν υφίστανται επεξεργασία προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα, σύμφωνα με το άρθρο 10•

(ρε) τις πιθανές συνέπειες της προβλεπόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων•

(μι) την ύπαρξη κατάλληλων διασφαλίσεων, οι οποίες μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

Άρθρο 7

Προϋποθέσεις συναίνεσης

1. Όταν η επεξεργασία βασίζεται στη συγκατάθεση, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των προσωπικών του δεδομένων.

2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων δίδεται στο πλαίσιο γραπτής δήλωσης που αφορά επίσης άλλα θέματα, η αίτηση συναίνεσης υποβάλλεται με τρόπο που να είναι σαφώς διακριτός από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας ξεκάθαρη και απλή γλώσσα. Οποιοδήποτε μέρος μιας τέτοιας δήλωσης που συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν επηρεάζει τη νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση πριν από την ανάκλησή της. Πριν δώσει τη συγκατάθεσή του, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση θα είναι τόσο εύκολη όσο και η συναίνεση.

4. Κατά την αξιολόγηση του κατά πόσον η συγκατάθεση παρέχεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη εάν, μεταξύ άλλων , η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής υπηρεσίας, εξαρτάται από τη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι απαραίτητη για την εκτέλεση της εν λόγω σύμβασης.

Άρθρο 8

Όροι που ισχύουν για τη συναίνεση του παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας

1. Όταν εφαρμόζεται το στοιχείο α) του άρθρου 6 παράγραφος 1, σε σχέση με την απευθείας προσφορά υπηρεσιών της κοινωνίας της πληροφορίας σε παιδί, η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη όταν το παιδί είναι τουλάχιστον 16 ετών . Όταν το παιδί είναι κάτω των 16 ετών, αυτή η επεξεργασία θα είναι νόμιμη μόνο εάν και στον βαθμό που η συγκατάθεση έχει δοθεί ή εξουσιοδοτηθεί από τον κάτοχο της γονικής μέριμνας του παιδιού.

Τα κράτη μέλη μπορούν να προβλέπουν δια νόμου μικρότερη ηλικία για τους σκοπούς αυτούς, υπό τον όρο ότι αυτή η κατώτερη ηλικία δεν είναι κάτω των 13 ετών.

2. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι η συγκατάθεση παρέχεται ή εξουσιοδοτείται από τον κάτοχο της γονικής μέριμνας για το παιδί, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3. Η παράγραφος 1 δεν επηρεάζει το γενικό δίκαιο των συμβάσεων των κρατών μελών, όπως τους κανόνες σχετικά με την ισχύ, τη σύναψη ή το αποτέλεσμα μιας σύμβασης σε σχέση με ένα παιδί.

Άρθρο 9

Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων

1. Επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν η σεξουαλική ζωή ή ο σεξουαλικός προσανατολισμός ενός φυσικού προσώπου απαγορεύεται.

2. Η παράγραφος 1 δεν εφαρμόζεται εάν ισχύει ένα από τα ακόλουθα:

(ένα) το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους καθορισμένους σκοπούς, εκτός εάν η νομοθεσία της Ένωσης ή του κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων•

(σι) η επεξεργασία είναι απαραίτητη για τους σκοπούς της εκπλήρωσης των υποχρεώσεων και της άσκησης συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα της απασχόλησης και της νομοθεσίας κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από τη νομοθεσία της Ένωσης ή του κράτους μέλους ή συλλογική σύμβαση σύμφωνα με τη νομοθεσία των κρατών μελών που προβλέπει κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων•

(ντο) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου όταν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του•

(ρε) η επεξεργασία πραγματοποιείται κατά τη διάρκεια των νόμιμων δραστηριοτήτων της με τις κατάλληλες διασφαλίσεις από ίδρυμα, σωματείο ή οποιοδήποτε άλλο μη κερδοσκοπικό φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό σκοπό και υπό τον όρο ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή σε πρώην μέλη του φορέα ή σε άτομα που έχουν τακτική επαφή μαζί του σε σχέση με τους σκοπούς του και ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται εκτός αυτού του φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων•

(μι) η επεξεργασία σχετίζεται με δεδομένα προσωπικού χαρακτήρα που δημοσιοποιούνται προφανώς από το υποκείμενο των δεδομένων•

(φά) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή όποτε τα δικαστήρια ενεργούν υπό τη δικαστική τους ιδιότητα•

(σολ) Η επεξεργασία είναι απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος, βάσει του δικαίου της Ένωσης ή του κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο σκοπό, σέβεται την ουσία του δικαιώματος προστασίας δεδομένων και προβλέπει κατάλληλα και ειδικά μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και τα συμφέροντα του υποκειμένου των δεδομένων•

(η) η επεξεργασία είναι απαραίτητη για τους σκοπούς της προληπτικής ή επαγγελματικής ιατρικής, για την αξιολόγηση της ικανότητας εργασίας του εργαζομένου, την ιατρική διάγνωση, την παροχή υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή τη διαχείριση συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης με βάση δίκαιο της Ένωσης ή του κράτους μέλους ή βάσει σύμβασης με επαγγελματία υγείας και υπό τους όρους και τις εγγυήσεις που αναφέρονται στην παράγραφο 3•

(Εγώ) η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία από σοβαρές διασυνοριακές απειλές για την υγεία ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, με βάση την Ένωση ή νομοθεσία των κρατών μελών που προβλέπει κατάλληλα και ειδικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ιδίως του επαγγελματικού απορρήτου•

(ι) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή του κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο σκοπό, σεβόμενη την ουσία του δικαιώματος προστασία των δεδομένων και να προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

3. Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορούν να υποβληθούν σε επεξεργασία για τους σκοπούς που αναφέρονται στο στοιχείο η) της παραγράφου 2, όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση επαγγελματικού απορρήτου σύμφωνα με την Ένωση ή το κράτος μέλος νόμος ή κανόνες που θεσπίζονται από εθνικούς αρμόδιους φορείς ή από άλλο πρόσωπο που υπόκειται επίσης σε υποχρέωση εχεμύθειας βάσει του δικαίου της Ένωσης ή του κράτους μέλους ή των κανόνων που θεσπίζονται από εθνικούς αρμόδιους φορείς.

4. Τα κράτη μέλη μπορούν να διατηρήσουν ή να θεσπίσουν περαιτέρω όρους, συμπεριλαμβανομένων περιορισμών, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.

Άρθρο 10

Επεξεργασία προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα ή συναφή μέτρα ασφαλείας βάσει του άρθρου 6 παράγραφος 1 πραγματοποιείται μόνο υπό τον έλεγχο επίσημης αρχής ή όταν η επεξεργασία επιτρέπεται από τη νομοθεσία της Ένωσης ή του κράτους μέλους που προβλέπει κατάλληλες εγγυήσεις για την δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων. Οποιοδήποτε πλήρες μητρώο ποινικών καταδίκων τηρείται μόνο υπό τον έλεγχο της επίσημης αρχής.

Άρθρο 11

Επεξεργασία που δεν απαιτεί αναγνώριση

1. Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την ταυτοποίηση του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται πρόσθετες πληροφορίες για την αναγνώριση του υποκειμένου των δεδομένων με αποκλειστικό σκοπό τη συμμόρφωση με τον παρόντα κανονισμό.

2. Όταν, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι δεν είναι σε θέση να ταυτοποιήσει το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. Σε τέτοιες περιπτώσεις, τα άρθρα 15 έως 20 δεν εφαρμόζονται εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του βάσει αυτών των άρθρων, παρέχει πρόσθετες πληροφορίες που επιτρέπουν την ταυτοποίησή του.

ΚΕΦΑΛΑΙΟ III

Δικαιώματα του υποκειμένου των δεδομένων

Τμήμα 1

Διαφάνεια και λεπτομέρειες

Άρθρο 12

Διαφανής ενημέρωση, επικοινωνία και τρόποι άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την παροχή οποιασδήποτε πληροφορίας που αναφέρεται στα άρθρα 13 και 14 και κάθε επικοινωνία βάσει των άρθρων 15 έως 22 και 34 σχετικά με την επεξεργασία στο υποκείμενο των δεδομένων σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα, ιδίως για κάθε πληροφορία που απευθύνεται ειδικά σε ένα παιδί. Οι πληροφορίες παρέχονται εγγράφως ή με άλλα μέσα, συμπεριλαμβανομένων, κατά περίπτωση, με ηλεκτρονικά μέσα. Όταν ζητηθεί από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να παρέχονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων αποδεικνύεται με άλλα μέσα.

2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων σύμφωνα με τα άρθρα 15 έως 22. Στις περιπτώσεις που αναφέρονται στο άρθρο 11 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήματος του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τα άρθρα 15 έως 22, εκτός εάν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να ταυτοποιήσει το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά με τη συνέχεια που δόθηκε σε αίτημα βάσει των άρθρων 15 έως 22 χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός ενός μηνός από την παραλαβή του αιτήματος. Η περίοδος αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες, εάν είναι απαραίτητο, λαμβάνοντας υπόψη την πολυπλοκότητα και τον αριθμό των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για οποιαδήποτε τέτοια παράταση εντός ενός μηνός από την παραλαβή του αιτήματος, καθώς και τους λόγους της καθυστέρησης. Όταν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, οι πληροφορίες παρέχονται με ηλεκτρονικά μέσα όπου είναι δυνατόν, εκτός εάν ζητηθεί διαφορετικά από το υποκείμενο των δεδομένων.

4. Εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων χωρίς καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος για τους λόγους για τους οποίους δεν έλαβε δράση και για τη δυνατότητα υποβολή καταγγελίας σε εποπτική αρχή και αναζήτηση δικαστικής προσφυγής.

5. Οι πληροφορίες που παρέχονται βάσει των άρθρων 13 και 14 και κάθε επικοινωνία και οποιεσδήποτε ενέργειες αναλαμβάνονται βάσει των άρθρων 15 έως 22 και 34 παρέχονται δωρεάν. Όταν τα αιτήματα ενός υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

(ένα) να χρεώσει ένα εύλογο τέλος λαμβάνοντας υπόψη το διοικητικό κόστος της παροχής των πληροφοριών ή της επικοινωνίας ή τη λήψη της απαιτούμενης ενέργειας• ή

(σι) αρνηθεί να ανταποκριθεί στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

6. Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών που είναι απαραίτητες για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων .

7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της προβλεπόμενης επεξεργασίας. Όταν τα εικονίδια παρουσιάζονται ηλεκτρονικά, πρέπει να είναι αναγνώσιμα από μηχανή.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται από τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.

Τομέας 2

Πληροφορίες και πρόσβαση σε προσωπικά δεδομένα

Άρθρο 13

Πληροφορίες που πρέπει να παρέχονται όταν συλλέγονται προσωπικά δεδομένα από το υποκείμενο των δεδομένων

1. Όταν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ένα υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες, τη στιγμή που λαμβάνονται τα δεδομένα προσωπικού χαρακτήρα:

(ένα) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας•

(σι) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση•

(ντο) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία•

(ρε) όταν η επεξεργασία βασίζεται στο στοιχείο στ) του άρθρου 6 παράγραφος 1, τα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος•

(μι) τους παραλήπτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, εάν υπάρχουν•

(φά) κατά περίπτωση, το γεγονός ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή απουσία απόφασης επάρκειας από την Επιτροπή, ή στην περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 46 ή 47 ή στο δεύτερο εδάφιο του άρθρου 49 παράγραφος 1, αναφορά στις κατάλληλες ή κατάλληλες διασφαλίσεις και στα μέσα για τη λήψη αντιγράφου αυτών ή όταν έχουν διατεθεί.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες περαιτέρω πληροφορίες που είναι απαραίτητες για τη διασφάλιση της δίκαιης και διαφανούς επεξεργασίας, τη στιγμή που λαμβάνονται τα δεδομένα προσωπικού χαρακτήρα:

(ένα) την περίοδο για την οποία θα αποθηκευτούν τα προσωπικά δεδομένα ή, εάν αυτό δεν είναι δυνατό, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό αυτής της περιόδου•

(σι) την ύπαρξη του δικαιώματος να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση και διόρθωση ή διαγραφή προσωπικών δεδομένων ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων ή αντίρρηση στην επεξεργασία καθώς και το δικαίωμα στη φορητότητα των δεδομένων•

(ντο) όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), η ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, χωρίς να επηρεάζεται η νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση πριν από την απόσυρσή του•

(ρε) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή•

(μι) εάν η παροχή προσωπικών δεδομένων αποτελεί νομική ή συμβατική απαίτηση ή απαίτηση απαραίτητη για τη σύναψη σύμβασης, καθώς και εάν το υποκείμενο των δεδομένων υποχρεούται να παράσχει τα προσωπικά δεδομένα και τις πιθανές συνέπειες της μη παροχής αυτών των δεδομένων•

(φά) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον σε αυτές τις περιπτώσεις, σημαντικές πληροφορίες σχετικά με τη λογική που εμπλέκεται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες αυτής της επεξεργασίας για το υποκείμενο των δεδομένων.

3. Όταν ο υπεύθυνος επεξεργασίας σκοπεύει να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό διαφορετικό από αυτόν για τον οποίο συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πριν από την περαιτέρω επεξεργασία πληροφορίες για αυτόν τον άλλο σκοπό και κάθε σχετική περαιτέρω πληροφορία όπως αναφέρεται στην παράγραφο 2.

4. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες.

Άρθρο 14

Πληροφορίες που πρέπει να παρέχονται όταν τα προσωπικά δεδομένα δεν έχουν ληφθεί από το υποκείμενο των δεδομένων

1. Όταν δεν έχουν ληφθεί προσωπικά δεδομένα από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

(σι) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση•

(ρε) τις σχετικές κατηγορίες προσωπικών δεδομένων•

(μι) τους παραλήπτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, εάν υπάρχουν•

(φά) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε παραλήπτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή απουσία απόφασης επάρκειας από την Επιτροπή, ή στην περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 46 ή 47, ή δεύτερο εδάφιο του άρθρου 49 παράγραφος 1, αναφορά στις κατάλληλες ή κατάλληλες διασφαλίσεις και στα μέσα για την απόκτηση αντιγράφου αυτών ή όταν έχουν διατεθεί.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες που είναι απαραίτητες για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

(σι) όταν η επεξεργασία βασίζεται στο στοιχείο στ) του άρθρου 6 παράγραφος 1, τα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος•

(ντο) την ύπαρξη του δικαιώματος να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση και διόρθωση ή διαγραφή προσωπικών δεδομένων ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων και αντίρρηση στην επεξεργασία καθώς και το δικαίωμα στη φορητότητα των δεδομένων•

(ρε) όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), η ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, χωρίς να επηρεάζεται η νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση πριν από αυτήν απόσυρση;

(μι) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή•

(φά) από ποια πηγή προέρχονται τα προσωπικά δεδομένα και, εάν ισχύει, εάν προέρχονται από πηγές προσβάσιμες στο κοινό•

(σολ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον σε αυτές τις περιπτώσεις, σημαντικές πληροφορίες σχετικά με τη λογική που εμπλέκεται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες αυτής της επεξεργασίας για το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:

(ένα) εντός εύλογου χρονικού διαστήματος από τη λήψη των προσωπικών δεδομένων, αλλά το αργότερο εντός ενός μηνός, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα•

(σι) εάν τα προσωπικά δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά τη στιγμή της πρώτης επικοινωνίας με αυτό το υποκείμενο των δεδομένων• ή

(ντο) εάν προβλέπεται γνωστοποίηση σε άλλον παραλήπτη, το αργότερο κατά την πρώτη αποκάλυψη των προσωπικών δεδομένων.

4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό διαφορετικό από αυτόν για τον οποίο ελήφθησαν τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πριν από την περαιτέρω επεξεργασία πληροφορίες για αυτόν τον άλλο σκοπό και κάθε σχετική περαιτέρω πληροφορία όπως αναφέρεται στην παράγραφο 2.

5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται όταν και εφόσον:

(ένα) το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες•

(σι) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως για την επεξεργασία για σκοπούς αρχειοθέτησης προς δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, υπό τους όρους και τις διασφαλίσεις που αναφέρονται στο άρθρο 89 παράγραφος 1 ή στο βαθμό που η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σοβαρά την επίτευξη των στόχων αυτής της επεξεργασίας. Σε τέτοιες περιπτώσεις, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της δημοσιοποίησης των πληροφοριών•

(ντο) η απόκτηση ή η αποκάλυψη ορίζεται ρητά από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων• ή

(ρε) όταν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά με την επιφύλαξη υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή του κράτους μέλους, συμπεριλαμβανομένης της νομικής υποχρέωσης εχεμύθειας.

Άρθρο 15

Δικαίωμα πρόσβασης από το υποκείμενο των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υπόκεινται σε επεξεργασία ή όχι και, όπου συμβαίνει αυτό, πρόσβαση στα προσωπικά δεδομένα και στις ακόλουθες πληροφορίες:

(ένα) τους σκοπούς της επεξεργασίας•

(σι) τις σχετικές κατηγορίες προσωπικών δεδομένων•

(ντο) τους αποδέκτες ή τις κατηγορίες παραληπτών στους οποίους έχουν αποκαλυφθεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, ιδίως αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς•

(ρε) όπου είναι δυνατόν, την προβλεπόμενη περίοδο για την οποία θα αποθηκευτούν τα προσωπικά δεδομένα ή, εάν δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό αυτής της περιόδου•

(μι) την ύπαρξη του δικαιώματος να ζητήσει από τον υπεύθυνο επεξεργασίας διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων ή αντίρρηση σε τέτοια επεξεργασία•

(φά) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή•

(σολ) όταν τα προσωπικά δεδομένα δεν συλλέγονται από το υποκείμενο των δεδομένων, τυχόν διαθέσιμες πληροφορίες ως προς την πηγή τους•

(η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον σε αυτές τις περιπτώσεις, σημαντικές πληροφορίες σχετικά με τη λογική που εμπλέκεται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες αυτής της επεξεργασίας για το υποκείμενο των δεδομένων.

2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερωθεί για τις κατάλληλες διασφαλίσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.

3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Για τυχόν περαιτέρω αντίγραφα που ζητούνται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να χρεώσει ένα εύλογο τέλος με βάση το διοικητικό κόστος. Όταν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν ζητηθεί διαφορετικά από το υποκείμενο των δεδομένων, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4. Το δικαίωμα λήψης αντιγράφου που αναφέρεται στην παράγραφο 3 δεν επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων.

Ενότητα 3

Διόρθωση και διαγραφή

Άρθρο 16

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να συμπληρώσει ελλιπή δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων μέσω της παροχής συμπληρωματικής δήλωσης.

Άρθρο 17

Δικαίωμα στη διαγραφή («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εφόσον συντρέχει ένας από τους ακόλουθους λόγους:

(ένα) τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε άλλη επεξεργασία•

(σι) το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεση στην οποία βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και όταν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία•

(ντο) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2•

(ρε) τα προσωπικά δεδομένα έχουν υποστεί παράνομη επεξεργασία•

(μι) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν για συμμόρφωση με νομική υποχρέωση της νομοθεσίας της Ένωσης ή του κράτους μέλους στην οποία υπόκειται ο υπεύθυνος επεξεργασίας•

(φά) τα προσωπικά δεδομένα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας που αναφέρονται στο άρθρο 8 παράγραφος 1.

2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα προσωπικά δεδομένα και είναι υποχρεωμένος σύμφωνα με την παράγραφο 1 να διαγράψει τα προσωπικά δεδομένα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα προσωπικά δεδομένα που το υποκείμενο των δεδομένων έχει ζητήσει τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας οποιωνδήποτε συνδέσμων ή αντιγραφής ή αναπαραγωγής αυτών των προσωπικών δεδομένων.

3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

(ένα) για την άσκηση του δικαιώματος της ελευθερίας της έκφρασης και της ενημέρωσης•

(σι) για συμμόρφωση με νομική υποχρέωση που απαιτεί επεξεργασία από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση επίσημης εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας•

(ντο) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με τα στοιχεία η) και θ) του άρθρου 9 παράγραφος 2 καθώς και με το άρθρο 9 παράγραφος 3•

(ρε) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σοβαρά την επίτευξη των στόχων του επεξεργασία; ή

(μι) για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.

Άρθρο 18

Δικαίωμα περιορισμού επεξεργασίας

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας περιορισμό επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

(ένα) η ακρίβεια των προσωπικών δεδομένων αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των προσωπικών δεδομένων•

(σι) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτίθεται στη διαγραφή των προσωπικών δεδομένων και αντ' αυτού ζητά τον περιορισμό της χρήσης τους•

(ντο) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα προσωπικά δεδομένα για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων•

(ρε) το υποκείμενο των δεδομένων έχει αντιταχθεί στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 εν αναμονή της επαλήθευσης εάν οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν εκείνων του υποκειμένου των δεδομένων.

2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, αυτά τα δεδομένα προσωπικού χαρακτήρα, με εξαίρεση την αποθήκευση, υποβάλλονται σε επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή για την προστασία των δικαιωμάτων τρίτων φυσικό ή νομικό πρόσωπο ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

3. Το υποκείμενο των δεδομένων που έχει λάβει περιορισμό επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

Άρθρο 19

Υποχρέωση ειδοποίησης σχετικά με τη διόρθωση ή τη διαγραφή προσωπικών δεδομένων ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας κοινοποιεί οποιαδήποτε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που πραγματοποιείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο έχουν αποκαλυφθεί τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδειχθεί αδύνατο ή συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με αυτούς τους αποδέκτες εάν το ζητήσει το υποκείμενο των δεδομένων.

Άρθρο 20

Δικαίωμα φορητότητας δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα προσωπικά δεδομένα που το αφορούν, τα οποία έχει παράσχει στον υπεύθυνο επεξεργασίας, σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και έχει το δικαίωμα να διαβιβάσει τα δεδομένα αυτά σε άλλο υπεύθυνος επεξεργασίας χωρίς εμπόδια από τον υπεύθυνο επεξεργασίας στον οποίο έχουν παρασχεθεί τα προσωπικά δεδομένα, όπου:

(ένα) η επεξεργασία βασίζεται στη συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β)• και

(σι) η επεξεργασία πραγματοποιείται με αυτοματοποιημένα μέσα.

2. Κατά την άσκηση του δικαιώματός του στη φορητότητα δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον, όπου αυτό είναι τεχνικά εφικτό.

3. Η άσκηση του δικαιώματος που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου δεν θίγει το άρθρο 17. Το δικαίωμα αυτό δεν ισχύει για την επεξεργασία που απαιτείται για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που ανήκει στον ελεγκτή.

4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων.

Ενότητα 4

Δικαίωμα αντίρρησης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Άρθρο 21

Δικαίωμα αντίρρησης

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο στοιχείο ε) ή στ) του άρθρου 6( 1), συμπεριλαμβανομένης της κατάρτισης προφίλ με βάση αυτές τις διατάξεις. Ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται πλέον τα προσωπικά δεδομένα εκτός εάν ο υπεύθυνος επεξεργασίας αποδείξει επιτακτικούς νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.

2. Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς άμεσου μάρκετινγκ, το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν για τέτοιο μάρκετινγκ, η οποία περιλαμβάνει τη δημιουργία προφίλ στο βαθμό που σχετίζεται με τέτοια άμεση εμπορία.

3. Όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς άμεσου μάρκετινγκ, τα δεδομένα προσωπικού χαρακτήρα δεν υφίστανται πλέον επεξεργασία για τέτοιους σκοπούς.

4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 γνωστοποιείται ρητά στο υποκείμενο των δεδομένων και παρουσιάζεται σαφώς και χωριστά από κάθε άλλη πληροφορία.

5. Στο πλαίσιο της χρήσης των υπηρεσιών της κοινωνίας της πληροφορίας, και κατά παρέκκλιση της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκήσει το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα χρησιμοποιώντας τεχνικές προδιαγραφές.

6. Όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, το υποκείμενο των δεδομένων, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, έχει το δικαίωμα να αντιταχθεί στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν αυτόν ή αυτήν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας εργασίας που εκτελείται για λόγους δημοσίου συμφέροντος.

Άρθρο 22

Αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της δημιουργίας προφίλ

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της δημιουργίας προφίλ, η οποία παράγει νομικά αποτελέσματα που το αφορούν ή το επηρεάζει με παρόμοιο τρόπο σημαντικά.

2. Η παράγραφος 1 δεν εφαρμόζεται εάν η απόφαση:

(ένα) είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας δεδομένων•

(σι) είναι εξουσιοδοτημένο από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο θεσπίζει επίσης κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων• ή

(ντο) βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3. Στις περιπτώσεις που αναφέρονται στα στοιχεία α) και γ) της παραγράφου 2, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος της ανθρώπινης παρέμβασης εκ μέρους του του υπεύθυνου επεξεργασίας, να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση.

4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός εάν το άρθρο 9 παράγραφος 2 στοιχεία α) ή ζ) εφαρμόζονται και κατάλληλα μέτρα για τη διαφύλαξη των δεδομένων ισχύουν τα δικαιώματα και οι ελευθερίες και τα έννομα συμφέροντα του υποκειμένου.

Ενότητα 5

Περιορισμοί

Άρθρο 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να περιορίσει με νομοθετικό μέτρο το πεδίο εφαρμογής των υποχρεώσεων και δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5 έως τώρα καθώς οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

(ένα) Εθνική ασφάλεια;

(σι) άμυνα;

(ντο) δημόσια ασφάλεια;

(ρε) την πρόληψη, τη διερεύνηση, τον εντοπισμό ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης και της πρόληψης απειλών για τη δημόσια ασφάλεια•

(μι) άλλους σημαντικούς στόχους γενικού δημόσιου συμφέροντος της Ένωσης ή ενός κράτους μέλους, ιδίως ένα σημαντικό οικονομικό ή οικονομικό συμφέρον της Ένωσης ή ενός κράτους μέλους, συμπεριλαμβανομένων νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, δημόσιας υγείας και κοινωνικής ασφάλισης•

(φά) την προστασία της δικαστικής ανεξαρτησίας και των δικαστικών διαδικασιών•

(σολ) την πρόληψη, τη διερεύνηση, τον εντοπισμό και τη δίωξη παραβιάσεων της δεοντολογίας για νομοθετικά κατοχυρωμένα επαγγέλματα•

(η) λειτουργία παρακολούθησης, επιθεώρησης ή ρύθμισης που συνδέεται, έστω και περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ)•

(Εγώ) την προστασία του υποκειμένου των δεδομένων ή των δικαιωμάτων και ελευθεριών άλλων•

(ι) την επιβολή αξιώσεων αστικού δικαίου.

2. Ειδικότερα, κάθε νομοθετικό μέτρο που αναφέρεται στην παράγραφο 1 περιλαμβάνει ειδικές διατάξεις τουλάχιστον, κατά περίπτωση, σχετικά με:

(ένα) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας•

(σι) τις κατηγορίες προσωπικών δεδομένων•

(ντο) το πεδίο εφαρμογής των περιορισμών που εισήχθησαν•

(ρε) τις διασφαλίσεις για την αποτροπή κατάχρησης ή παράνομης πρόσβασης ή μεταφοράς•

(μι) τις προδιαγραφές του ελεγκτή ή των κατηγοριών ελεγκτών•

(φά) τις περιόδους αποθήκευσης και τις ισχύουσες διασφαλίσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας•

(σολ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων• και

(η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να βλάψει τον σκοπό του περιορισμού.

ΚΕΦΑΛΑΙΟ IV

Ελεγκτής και επεξεργαστής

Τμήμα 1

Γενικές υποχρεώσεις

Άρθρο 24

Ευθύνη του ελεγκτή

1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσει και να είναι σε θέση να να αποδείξει ότι η επεξεργασία πραγματοποιείται σύμφωνα με τον παρόντα κανονισμό. Τα μέτρα αυτά επανεξετάζονται και επικαιροποιούνται όπου χρειάζεται.

2. Όπου είναι αναλογικά σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών προστασίας δεδομένων από τον υπεύθυνο επεξεργασίας.

3. Η συμμόρφωση με τους εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 ή τους εγκεκριμένους μηχανισμούς πιστοποίησης που αναφέρονται στο άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπεύθυνου επεξεργασίας.

Άρθρο 25

Προστασία δεδομένων από το σχεδιασμό και από προεπιλογή

1. Λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος υλοποίησης και τη φύση, το εύρος, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που θέτει η επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τη στιγμή της ίδιας της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, τα οποία έχουν σχεδιαστεί για την εφαρμογή αρχών προστασίας δεδομένων, όπως η ελαχιστοποίηση δεδομένων, αποτελεσματικό τρόπο και την ενσωμάτωση των απαραίτητων διασφαλίσεων στην επεξεργασία προκειμένου να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για κάθε συγκεκριμένο σκοπό της επεξεργασίας. Η υποχρέωση αυτή ισχύει για τον όγκο των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, την έκταση της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα μέτρα αυτά διασφαλίζουν ότι εξ ορισμού τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του ατόμου σε αόριστο αριθμό φυσικών προσώπων.

3. Ένας εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις που ορίζονται στις παραγράφους 1 και 2 του παρόντος άρθρου.

Άρθρο 26

Κοινοί ελεγκτές

1. Όταν δύο ή περισσότεροι ελεγκτές καθορίζουν από κοινού τους σκοπούς και τα μέσα επεξεργασίας, είναι από κοινού ελεγκτές. Καθορίζουν με διαφάνεια τις αντίστοιχες ευθύνες τους για τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, με μέσα συμφωνίας μεταξύ τους, εκτός εάν και στο βαθμό που οι αντίστοιχες ευθύνες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Η συμφωνία μπορεί να ορίσει ένα σημείο επαφής για τα υποκείμενα των δεδομένων.

2. Η ρύθμιση που αναφέρεται στην παράγραφο 1 αντικατοπτρίζει δεόντως τους αντίστοιχους ρόλους και τις σχέσεις των κοινών υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της ρύθμισης τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3. Ανεξάρτητα από τους όρους της ρύθμισης που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του βάσει του παρόντος κανονισμού όσον αφορά και έναντι καθενός από τους υπευθύνους επεξεργασίας.

Άρθρο 27

Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντες την επεξεργασία που δεν είναι εγκατεστημένοι στην Ένωση

1. Σε περίπτωση εφαρμογής του άρθρου 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει εγγράφως αντιπρόσωπο στην Ένωση.

2. Η υποχρέωση που ορίζεται στην παράγραφο 1 του παρόντος άρθρου δεν ισχύει για:

(ένα) επεξεργασία που είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλη κλίμακα, επεξεργασία ειδικών κατηγοριών δεδομένων όπως αναφέρεται στο άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και είναι απίθανο να να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο και τους σκοπούς της επεξεργασίας• ή

(σι) μια δημόσια αρχή ή φορέας.

3. Ο αντιπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία σε σχέση με την προσφορά αγαθών ή υπηρεσιών σε αυτά ή των οποίων η συμπεριφορά παρακολουθείται.

4. Ο εκπρόσωπος εξουσιοδοτείται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνεται επιπλέον ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία από, ιδίως, εποπτικές αρχές και τα υποκείμενα των δεδομένων, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης με τον παρόντα κανονισμό.

5. Ο ορισμός αντιπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις νομικές ενέργειες που θα μπορούσαν να κινηθούν κατά του ίδιου του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Άρθρο 28

Επεξεργαστής

1. Όταν η επεξεργασία πρόκειται να πραγματοποιηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο επεξεργαστές που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζει την προστασία των δικαιώματα του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν δεσμεύει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή εξουσιοδότηση του υπεύθυνου επεξεργασίας. Σε περίπτωση γενικής γραπτής εξουσιοδότησης, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για οποιεσδήποτε επιδιωκόμενες αλλαγές σχετικά με την προσθήκη ή την αντικατάσταση άλλων επεξεργαστών, δίνοντας έτσι στον υπεύθυνο επεξεργασίας τη δυνατότητα να αντιταχθεί σε τέτοιες αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη δυνάμει του δικαίου της Ένωσης ή του κράτους μέλους, η οποία είναι δεσμευτική για τον εκτελούντα την επεξεργασία όσον αφορά τον υπεύθυνο επεξεργασίας και η οποία καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και σκοπός της επεξεργασίας, το είδος των προσωπικών δεδομένων και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου της επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη ορίζει, ιδίως, ότι ο εκτελών την επεξεργασία:

(ένα) επεξεργάζεται τα προσωπικά δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών από τον υπεύθυνο επεξεργασίας, συμπεριλαμβανομένων των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία• Στην περίπτωση αυτή, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για αυτή τη νομική απαίτηση πριν από την επεξεργασία, εκτός εάν ο νόμος απαγορεύει τέτοιες πληροφορίες για σημαντικούς λόγους δημοσίου συμφέροντος•

(σι) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν δεσμευτεί για εμπιστευτικότητα ή υπόκεινται σε κατάλληλη νομική υποχρέωση εμπιστευτικότητας•

(ντο) λαμβάνει όλα τα μέτρα που απαιτούνται σύμφωνα με το άρθρο 32•

(ρε) σέβεται τους όρους που αναφέρονται στις παραγράφους 2 και 4 για τη δέσμευση άλλου επεξεργαστή•

(μι) λαμβάνοντας υπόψη τη φύση της επεξεργασίας, επικουρεί τον υπεύθυνο επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στο βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπεύθυνου επεξεργασίας να ανταποκρίνεται σε αιτήματα για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων που ορίζονται στο Κεφάλαιο III•

(φά) βοηθά τον υπεύθυνο επεξεργασίας να διασφαλίσει τη συμμόρφωση με τις υποχρεώσεις σύμφωνα με τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία•

(σολ) κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά το τέλος της παροχής υπηρεσιών που σχετίζονται με την επεξεργασία και διαγράφει τα υπάρχοντα αντίγραφα εκτός εάν η νομοθεσία της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των προσωπικών δεδομένων•

(η) θέτει στη διάθεση του υπεύθυνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις που ορίζονται στο παρόν άρθρο και επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή άλλον ελεγκτή εξουσιοδοτημένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το στοιχείο η) του πρώτου εδαφίου, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας εάν, κατά τη γνώμη του, μια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες διατάξεις της Ένωσης ή των κρατών μελών για την προστασία δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα την επεξεργασία για τη διεξαγωγή ειδικών δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, επιβάλλονται οι ίδιες υποχρεώσεις προστασίας δεδομένων που ορίζονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, όπως αναφέρεται στην παράγραφο 3 σε αυτόν τον άλλο μεταποιητή μέσω σύμβασης ή άλλης νομικής πράξης βάσει του δικαίου της Ένωσης ή του κράτους μέλους, παρέχοντας ιδίως επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Εάν ο άλλος εκτελών την επεξεργασία δεν εκπληρώσει τις υποχρεώσεις του για την προστασία των δεδομένων, ο αρχικός εκτελών την επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του υπεύθυνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η συμμόρφωση ενός εκτελούντος την επεξεργασία σε έναν εγκεκριμένο κώδικα δεοντολογίας που αναφέρεται στο άρθρο 40 ή σε έναν εγκεκριμένο μηχανισμό πιστοποίησης όπως αναφέρεται στο άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη επαρκών εγγυήσεων, όπως αναφέρεται στις παραγράφους 1 και 4 του αυτό το άρθρο.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυπικές συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, ακόμη και όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.

7. Η Επιτροπή μπορεί να θεσπίζει τυπικές συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

8. Μια εποπτική αρχή μπορεί να εγκρίνει τυπικές συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνοχής που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 είναι γραπτή, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ένας εκτελών την επεξεργασία παραβιάζει τον παρόντα κανονισμό καθορίζοντας τους σκοπούς και τα μέσα επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται ότι είναι υπεύθυνος επεξεργασίας όσον αφορά τη συγκεκριμένη επεξεργασία.

Άρθρο 29

Επεξεργασία υπό την εξουσία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εξουσία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, δεν επεξεργάζεται τα δεδομένα αυτά παρά μόνο κατόπιν οδηγιών του υπεύθυνου επεξεργασίας, εκτός εάν απαιτείται από τη νομοθεσία της Ένωσης ή του κράτους μέλους.

Άρθρο 30

Αρχεία δραστηριοτήτων επεξεργασίας

1. Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπος του υπεύθυνου επεξεργασίας, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας υπό την ευθύνη του. Αυτό το αρχείο περιέχει όλες τις ακόλουθες πληροφορίες:

(ένα) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του κοινού ελεγκτή, του εκπροσώπου του υπεύθυνου επεξεργασίας και του υπεύθυνου προστασίας δεδομένων•

(σι) τους σκοπούς της επεξεργασίας•

(ντο) περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα•

(ρε) τις κατηγορίες παραληπτών στους οποίους αποκαλύφθηκαν ή θα γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων των παραληπτών σε τρίτες χώρες ή διεθνείς οργανισμούς•

(μι) κατά περίπτωση, διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της ταυτότητας αυτής της τρίτης χώρας ή διεθνούς οργανισμού και, στην περίπτωση των διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, την τεκμηρίωση κατάλληλων διασφαλίσεις•

(φά) όπου είναι δυνατόν, τα προβλεπόμενα χρονικά όρια για τη διαγραφή των διαφόρων κατηγοριών δεδομένων•

(σολ) όπου είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο άρθρο 32 παράγραφος 1.

2. Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που εκτελούνται για λογαριασμό του υπεύθυνου επεξεργασίας, το οποίο περιέχει:

(ένα) το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος την επεξεργασία ή των υπευθύνων επεξεργασίας και κάθε υπευθύνου επεξεργασίας για λογαριασμό του οποίου ενεργεί ο εκτελών την επεξεργασία, και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπεύθυνου προστασίας δεδομένων•

(σι) τις κατηγορίες επεξεργασίας που πραγματοποιείται για λογαριασμό κάθε υπεύθυνου επεξεργασίας•

(ντο) κατά περίπτωση, διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της ταυτότητας αυτής της τρίτης χώρας ή διεθνούς οργανισμού και, στην περίπτωση των διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, την τεκμηρίωση κατάλληλων διασφαλίσεις•

(ρε) όπου είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο άρθρο 32 παράγραφος 1.

3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 είναι γραπτά, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

4. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα εκτός εάν η επεξεργασία που πραγματοποιεί είναι πιθανό να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. όχι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων όπως αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Άρθρο 31

Συνεργασία με την εποπτική αρχή

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους, συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή κατά την εκτέλεση των καθηκόντων της.

Τομέας 2

Ασφάλεια προσωπικών δεδομένων

Άρθρο 32

Ασφάλεια επεξεργασίας

1. Λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος υλοποίησης και τη φύση, το εύρος, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τον κίνδυνο ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, συμπεριλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

(ένα) την ψευδωνυμοποίηση και την κρυπτογράφηση των προσωπικών δεδομένων•

(σι) την ικανότητα να διασφαλίζεται η συνεχής εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας•

(ντο) τη δυνατότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε προσωπικά δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος•

(ρε) μια διαδικασία τακτικής δοκιμής, αξιολόγησης και αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2. Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφαλείας λαμβάνονται υπόψη ιδίως οι κίνδυνοι που ενέχει η επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται, αποθηκεύονται ή με άλλο τρόπο επεξεργασμένα.

3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης που αναφέρεται στο άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις που ορίζονται στην παράγραφο 1 του παρόντος άρθρου.

4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα για να διασφαλίσουν ότι οποιοδήποτε φυσικό πρόσωπο που ενεργεί υπό την εξουσία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα δεν τα επεξεργάζεται εκτός από τις οδηγίες του υπευθύνου επεξεργασίας, εκτός εάν απαιτείται να το κάνει το δίκαιο της Ένωσης ή του κράτους μέλους.

Άρθρο 33

Ειδοποίηση παραβίασης προσωπικών δεδομένων στην εποπτική αρχή

1. Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας γνωστοποιεί χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, το αργότερο 72 ώρες αφότου έλαβε γνώση της παραβίασης προσωπικών δεδομένων στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση προσωπικών δεδομένων είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν η κοινοποίηση στην εποπτική αρχή δεν γίνει εντός 72 ωρών, συνοδεύεται από λόγους καθυστέρησης.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, αφού λάβει γνώση παραβίασης προσωπικών δεδομένων.

3. Η κοινοποίηση που αναφέρεται στην παράγραφο 1 πρέπει τουλάχιστον:

(ένα) περιγράφουν τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των σχετικών υποκειμένων των δεδομένων και των κατηγοριών και του κατά προσέγγιση αριθμού των σχετικών αρχείων προσωπικών δεδομένων•

(σι) κοινοποιήστε το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επαφής όπου μπορούν να ληφθούν περισσότερες πληροφορίες•

(ντο) περιγράψτε τις πιθανές συνέπειες της παραβίασης προσωπικών δεδομένων•

(ρε) περιγράφουν τα μέτρα που έλαβε ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης προσωπικών δεδομένων, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον μετριασμό των πιθανών δυσμενών συνεπειών της.

4. Όταν και εφόσον δεν είναι δυνατή η ταυτόχρονη παροχή των πληροφοριών, οι πληροφορίες μπορούν να παρέχονται σε φάσεις χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει τυχόν παραβιάσεις προσωπικών δεδομένων, συμπεριλαμβανομένων των γεγονότων που σχετίζονται με την παραβίαση προσωπικών δεδομένων, τα αποτελέσματά της και τα διορθωτικά μέτρα που λαμβάνονται. Η τεκμηρίωση αυτή επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση με το παρόν άρθρο.

Άρθρο 34

Κοινοποίηση παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας κοινοποιεί την παραβίαση προσωπικών δεδομένων στο υποκείμενο των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση.

2. Η επικοινωνία με το υποκείμενο των δεδομένων που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφει με σαφή και απλή γλώσσα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα που αναφέρονται στα στοιχεία β), γ) και δ) του άρθρου 33 παράγραφος 3.

3. Η κοινοποίηση στο υποκείμενο των δεδομένων που αναφέρεται στην παράγραφο 1 δεν απαιτείται εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

(ένα) ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα προσωπικά δεδομένα που επηρεάζονται από την παραβίαση προσωπικών δεδομένων, ιδίως εκείνα που καθιστούν τα προσωπικά δεδομένα ακατανόητα σε οποιοδήποτε άτομο που δεν έχει εξουσιοδότηση πρόσβασης σε αυτά, όπως η κρυπτογράφηση ;

(σι) ο υπεύθυνος επεξεργασίας έχει λάβει μεταγενέστερα μέτρα που διασφαλίζουν ότι ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρεται στην παράγραφο 1 δεν είναι πλέον πιθανό να υλοποιηθεί•

(ντο) θα απαιτούσε δυσανάλογη προσπάθεια. Σε μια τέτοια περίπτωση, θα υπάρχει αντ' αυτού δημόσια επικοινωνία ή παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη κοινοποιήσει την παραβίαση προσωπικών δεδομένων στο υποκείμενο των δεδομένων, η εποπτική αρχή, έχοντας εξετάσει την πιθανότητα η παραβίαση προσωπικών δεδομένων να οδηγήσει σε υψηλό κίνδυνο, μπορεί να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι οποιοδήποτε από τα πληρούνται οι προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Ενότητα 3

Εκτίμηση επιπτώσεων στην προστασία δεδομένων και προηγούμενη διαβούλευση

Άρθρο 35

Αξιολόγηση επιπτώσεων στην προστασία δεδομένων

1. Όταν ένας τύπος επεξεργασίας που χρησιμοποιεί ιδίως νέες τεχνολογίες και λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας: πριν από την επεξεργασία, διενεργεί αξιολόγηση του αντίκτυπου των προβλεπόμενων εργασιών επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα. Μια ενιαία αξιολόγηση μπορεί να αφορά ένα σύνολο παρόμοιων εργασιών επεξεργασίας που παρουσιάζουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητά τη συμβουλή του υπευθύνου προστασίας δεδομένων, όπου ορίζεται, κατά τη διεξαγωγή εκτίμησης επιπτώσεων στην προστασία δεδομένων.

3. Η εκτίμηση επιπτώσεων στην προστασία δεδομένων που αναφέρεται στην παράγραφο 1 απαιτείται ιδίως στην περίπτωση:

(ένα) συστηματική και εκτεταμένη αξιολόγηση προσωπικών πτυχών που σχετίζονται με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα για το φυσικό πρόσωπο ή επηρεάζουν σημαντικά σημαντικά το φυσικό πρόσωπο•

(σι) επεξεργασία σε μεγάλη κλίμακα ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10• ή

(ντο) συστηματική παρακολούθηση μιας δημόσιας προσβάσιμης περιοχής σε μεγάλη κλίμακα.

4. Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο των ειδών εργασιών επεξεργασίας που υπόκεινται στην απαίτηση για εκτίμηση επιπτώσεων στην προστασία δεδομένων σύμφωνα με την παράγραφο 1. Η εποπτική αρχή κοινοποιεί αυτούς τους καταλόγους στο συμβούλιο που αναφέρεται στο άρθρο 68 .

5. Η εποπτική αρχή μπορεί επίσης να καταρτίσει και να δημοσιοποιήσει κατάλογο των πράξεων επεξεργασίας για τις οποίες δεν απαιτείται εκτίμηση επιπτώσεων στην προστασία των δεδομένων. Η εποπτική αρχή κοινοποιεί αυτούς τους καταλόγους στο συμβούλιο.

6. Πριν από την έγκριση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνέπειας που αναφέρεται στο άρθρο 63, όταν οι κατάλογοι αυτοί περιλαμβάνουν δραστηριότητες επεξεργασίας που σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή στην παρακολούθηση της συμπεριφοράς τους σε πολλά κράτη μέλη, ή μπορεί να επηρεάσει ουσιαστικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης.

7. Η αξιολόγηση περιλαμβάνει τουλάχιστον:

(ένα) συστηματική περιγραφή των προβλεπόμενων εργασιών επεξεργασίας και των σκοπών της επεξεργασίας, συμπεριλαμβανομένων, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας•

(σι) αξιολόγηση της αναγκαιότητας και της αναλογικότητας των εργασιών επεξεργασίας σε σχέση με τους σκοπούς•

(ντο) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1• και

(ρε) τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων, συμπεριλαμβανομένων διασφαλίσεων, μέτρων ασφαλείας και μηχανισμών για τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και την απόδειξη της συμμόρφωσης με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερομένων προσώπων.

8. Η συμμόρφωση με τους εγκεκριμένους κώδικες συμπεριφοράς που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την αξιολόγηση του αντίκτυπου των εργασιών επεξεργασίας που εκτελούνται από αυτούς τους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς της προστασίας των δεδομένων εκτίμηση.

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητά τις απόψεις των υποκειμένων των δεδομένων ή των εκπροσώπων τους σχετικά με την προβλεπόμενη επεξεργασία, με την επιφύλαξη της προστασίας των εμπορικών ή δημοσίων συμφερόντων ή της ασφάλειας των εργασιών επεξεργασίας.

10. Όταν η επεξεργασία σύμφωνα με το στοιχείο γ) ή ε) του άρθρου 6 παράγραφος 1 έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το δίκαιο αυτό ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας ή σύνολο των εν λόγω πράξεων και έχει ήδη διεξαχθεί εκτίμηση επιπτώσεων στην προστασία των δεδομένων ως μέρος γενικής εκτίμησης επιπτώσεων στο πλαίσιο της υιοθέτησης αυτής της νομικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρμόζονται εκτός εάν τα κράτη μέλη το κρίνουν απαραίτητο να διενεργήσει μια τέτοια αξιολόγηση πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου χρειάζεται, ο υπεύθυνος επεξεργασίας διενεργεί επανεξέταση για να αξιολογήσει εάν η επεξεργασία πραγματοποιείται σύμφωνα με την εκτίμηση επιπτώσεων στην προστασία των δεδομένων, τουλάχιστον όταν υπάρχει αλλαγή στον κίνδυνο που αντιπροσωπεύουν οι εργασίες επεξεργασίας.

Άρθρο 36

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας συμβουλεύεται την εποπτική αρχή πριν από την επεξεργασία, όταν μια εκτίμηση επιπτώσεων στην προστασία δεδομένων σύμφωνα με το άρθρο 35 δείχνει ότι η επεξεργασία θα είχε ως αποτέλεσμα υψηλό κίνδυνο εάν δεν ληφθούν μέτρα από τον υπεύθυνο επεξεργασίας για τον μετριασμό του κινδύνου.

2. Όταν η εποπτική αρχή είναι της γνώμης ότι η προβλεπόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 θα παραβίαζε τον παρόντα κανονισμό, ιδίως όταν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει επαρκώς ή μετριάσει τον κίνδυνο, η εποπτική αρχή, εντός περιόδου έως οκτώ εβδομάδων λήψη του αιτήματος για διαβούλευση, παροχή γραπτών συμβουλών στον υπεύθυνο επεξεργασίας και, κατά περίπτωση στον εκτελούντα την επεξεργασία, και μπορεί να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες του που αναφέρονται στο άρθρο 58. Η περίοδος αυτή μπορεί να παραταθεί κατά έξι εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα των προβλεπόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, τον εκτελούντα την επεξεργασία, για οποιαδήποτε τέτοια παράταση εντός ενός μηνός από την παραλαβή του αιτήματος για διαβούλευση μαζί με τους λόγους της καθυστέρησης. Αυτές οι περίοδοι μπορούν να ανασταλούν έως ότου η εποπτική αρχή λάβει τις πληροφορίες που έχει ζητήσει για τους σκοπούς της διαβούλευσης.

3. Όταν συμβουλεύεται την εποπτική αρχή σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική αρχή:

(ένα) κατά περίπτωση, τις αντίστοιχες ευθύνες του υπευθύνου επεξεργασίας, των κοινών ελεγκτών και των εκτελούντων την επεξεργασία που εμπλέκονται στην επεξεργασία, ιδίως όσον αφορά τη μεταποίηση εντός ομίλου επιχειρήσεων•

(σι) τους σκοπούς και τα μέσα της προβλεπόμενης επεξεργασίας•

(ντο) τα μέτρα και τις διασφαλίσεις που προβλέπονται για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό•

(ρε) κατά περίπτωση, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων•

(μι) την εκτίμηση επιπτώσεων στην προστασία δεδομένων που προβλέπεται στο άρθρο 35• και

(φά) οποιαδήποτε άλλη πληροφορία ζητηθεί από την εποπτική αρχή.

4. Τα κράτη μέλη συμβουλεύονται την εποπτική αρχή κατά την προετοιμασία πρότασης για νομοθετικό μέτρο που θα εγκριθεί από εθνικό κοινοβούλιο ή κανονιστικού μέτρου που βασίζεται σε τέτοιο νομοθετικό μέτρο, το οποίο σχετίζεται με την επεξεργασία.

5. Κατά παρέκκλιση από την παράγραφο 1, η νομοθεσία των κρατών μελών μπορεί να απαιτεί από τους υπεύθυνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη εξουσιοδότηση από την εποπτική αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που εκτελείται από τον υπεύθυνο επεξεργασίας προς το δημόσιο συμφέρον, συμπεριλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

Ενότητα 4

Υπεύθυνος προστασίας δεδομένων

Άρθρο 37

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν έναν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση όπου:

(ένα) η επεξεργασία πραγματοποιείται από δημόσια αρχή ή φορέα, με εξαίρεση τα δικαστήρια που ενεργούν υπό την ιδιότητά τους δικαστική•

(σι) οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται σε λειτουργίες επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα• ή

(ντο) οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται στην επεξεργασία σε μεγάλη κλίμακα ειδικών κατηγοριών δεδομένων σύμφωνα με το άρθρο 9 και δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

2. Ένας όμιλος επιχειρήσεων μπορεί να διορίσει έναν μόνο υπεύθυνο προστασίας δεδομένων υπό τον όρο ότι ένας υπεύθυνος προστασίας δεδομένων είναι εύκολα προσβάσιμος από κάθε εγκατάσταση.

3. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή φορέας, μπορεί να οριστεί ένας μόνο υπεύθυνος προστασίας δεδομένων για πολλές τέτοιες αρχές ή φορείς, λαμβάνοντας υπόψη την οργανωτική δομή και το μέγεθός τους.

4. Σε περιπτώσεις διαφορετικές από αυτές που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή οι ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντες την επεξεργασία μπορούν ή, όπου απαιτείται από τη νομοθεσία της Ένωσης ή του κράτους μέλους, να ορίσουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για λογαριασμό αυτών των ενώσεων και άλλων φορέων που εκπροσωπούν τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία.

5. Ο υπεύθυνος προστασίας δεδομένων ορίζεται με βάση τα επαγγελματικά προσόντα και, ιδίως, τις εμπειρογνώμονες της νομοθεσίας και των πρακτικών προστασίας δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να εκτελεί τα καθήκοντα βάσει σύμβασης παροχής υπηρεσιών.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα κοινοποιεί στην εποπτική αρχή.

Άρθρο 38

Θέση υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων εμπλέκεται, δεόντως και έγκαιρα, σε όλα τα θέματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποστηρίζουν τον υπεύθυνο προστασίας δεδομένων κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας τους απαραίτητους πόρους για την εκτέλεση αυτών των καθηκόντων και την πρόσβαση στα προσωπικά δεδομένα και τις εργασίες επεξεργασίας και για να διατηρήσει τις ειδικές του γνώσεις.

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει οδηγίες σχετικά με την άσκηση αυτών των καθηκόντων. Δεν θα απολυθεί ούτε θα τιμωρηθεί από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την εκτέλεση των καθηκόντων του. Ο υπεύθυνος προστασίας δεδομένων αναφέρεται απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων σχετικά με όλα τα θέματα που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων και την άσκηση των δικαιωμάτων τους βάσει του παρόντος κανονισμού.

5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από το απόρρητο ή το απόρρητο όσον αφορά την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να εκτελεί άλλα καθήκοντα και καθήκοντα. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι οποιαδήποτε τέτοια καθήκοντα και καθήκοντα δεν οδηγούν σε σύγκρουση συμφερόντων.

Άρθρο 39

Καθήκοντα του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

(ένα) να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που εκτελούν την επεξεργασία των υποχρεώσεών τους σύμφωνα με τον παρόντα κανονισμό και άλλες διατάξεις προστασίας δεδομένων της Ένωσης ή των κρατών μελών•

(σι) να παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις προστασίας δεδομένων της Ένωσης ή των κρατών μελών και με τις πολιτικές του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένης της ανάθεσης ευθυνών, της ευαισθητοποίησης και της εκπαίδευσης του προσωπικού που εμπλέκεται στην επεξεργασία λειτουργίες και τους σχετικούς ελέγχους•

(ντο) να παρέχει συμβουλές, όπου ζητείται, σχετικά με την εκτίμηση επιπτώσεων στην προστασία των δεδομένων και να παρακολουθεί την απόδοσή της σύμφωνα με το άρθρο 35•

(ρε) να συνεργάζεται με την εποπτική αρχή•

(μι) να ενεργεί ως το σημείο επαφής της εποπτικής αρχής για θέματα που σχετίζονται με την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και να διαβουλεύεται, όπου χρειάζεται, για οποιοδήποτε άλλο θέμα.

2. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που σχετίζεται με τις εργασίες επεξεργασίας, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

Ενότητα 5

Κώδικες δεοντολογίας και πιστοποίησης

Άρθρο 40

Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι εποπτικές αρχές, το συμβούλιο και η Επιτροπή ενθαρρύνουν την κατάρτιση κωδίκων συμπεριφοράς που αποσκοπούν να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τις ιδιαιτερότητες των διαφόρων τομέων μεταποίησης και τις ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων.

2. Οι ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντες την επεξεργασία μπορούν να καταρτίζουν κώδικες συμπεριφοράς ή να τροποποιούν ή να επεκτείνουν αυτούς τους κώδικες, με σκοπό τον καθορισμό της εφαρμογής του παρόντος κανονισμού, όπως όσον αφορά:

(ένα) δίκαιη και διαφανή επεξεργασία•

(σι) τα έννομα συμφέροντα που επιδιώκονται από τους ελεγκτές σε συγκεκριμένα πλαίσια•

(ντο) τη συλλογή προσωπικών δεδομένων•

(ρε) την ψευδωνυμοποίηση των προσωπικών δεδομένων•

(μι) τις πληροφορίες που παρέχονται στο κοινό και στα υποκείμενα των δεδομένων•

(φά) την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων•

(σολ) τις πληροφορίες που παρέχονται στα παιδιά και την προστασία τους και τον τρόπο με τον οποίο πρέπει να λαμβάνεται η συγκατάθεση των κατόχων γονικής μέριμνας για τα παιδιά•

(η) τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 και 25 και τα μέτρα για την εξασφάλιση της ασφάλειας της επεξεργασίας που αναφέρονται στο άρθρο 32•

(Εγώ) την κοινοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την κοινοποίηση τέτοιων παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων•

(ι) τη διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς• ή

(κ) εξώδικες διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 77 και 79.

3. Εκτός από την τήρηση από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, κώδικες δεοντολογίας που εγκρίνονται σύμφωνα με την παράγραφο 5 του παρόντος άρθρου και έχουν γενική ισχύ σύμφωνα με την παράγραφο 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που δεν υπόκεινται του παρόντος κανονισμού σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται κατάλληλες διασφαλίσεις στο πλαίσιο της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς υπό τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο ε). Αυτοί οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές δεσμεύσεις, μέσω συμβατικών ή άλλων νομικά δεσμευτικών μέσων, να εφαρμόζουν αυτές τις κατάλληλες διασφαλίσεις, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων των δεδομένων.

4. Ο κώδικας συμπεριφοράς που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου περιλαμβάνει μηχανισμούς που επιτρέπουν στον φορέα που αναφέρεται στο άρθρο 41 παράγραφος 1 να διενεργεί υποχρεωτική παρακολούθηση της συμμόρφωσης με τις διατάξεις του από τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που αναλαμβάνουν να τον εφαρμόσουν , με την επιφύλαξη των καθηκόντων και των εξουσιών των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με τα άρθρα 55 ή 56.

5. Οι ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου που προτίθενται να καταρτίσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα, τροποποίηση ή επέκταση στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55 Η εποπτική αρχή γνωμοδοτεί σχετικά με το εάν το σχέδιο κώδικα, τροποποίηση ή επέκταση συμμορφώνεται με τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση εάν κρίνει ότι παρέχει επαρκείς κατάλληλες διασφαλίσεις.

6. Όταν το σχέδιο κώδικα, ή τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5, και όταν ο σχετικός κώδικας δεοντολογίας δεν σχετίζεται με δραστηριότητες επεξεργασίας σε πολλά κράτη μέλη, η εποπτική αρχή καταχωρεί και δημοσιεύει τον κώδικα.

7. Όταν ένα σχέδιο κώδικα δεοντολογίας σχετίζεται με δραστηριότητες επεξεργασίας σε πολλά κράτη μέλη, η εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, πριν εγκρίνει το σχέδιο κώδικα, τροποποίηση ή επέκταση, το υποβάλλει με τη διαδικασία που αναφέρεται στο άρθρο 63 στην το συμβούλιο το οποίο γνωμοδοτεί σχετικά με το εάν το σχέδιο κώδικα, τροποποίησης ή επέκτασης συμμορφώνεται με τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, παρέχει τις κατάλληλες διασφαλίσεις.

8. Όταν η γνώμη που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το σχέδιο κώδικα, τροποποίηση ή επέκταση συμμορφώνεται με τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχει κατάλληλες διασφαλίσεις, το συμβούλιο υποβάλλει τη γνώμη του στην Επιτροπή.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίσει ότι ο εγκεκριμένος κώδικας συμπεριφοράς, τροποποίηση ή επέκταση που της υποβάλλεται σύμφωνα με την παράγραφο 8 του παρόντος άρθρου έχει γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που ορίζεται στο άρθρο 93 παράγραφος 2.

10. Η Επιτροπή εξασφαλίζει την κατάλληλη δημοσιότητα για τους εγκεκριμένους κωδικούς που έχουν αποφασιστεί ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.

11. Το συμβούλιο συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τροποποιήσεις και επεκτάσεις σε μητρώο και τους δημοσιοποιεί με κατάλληλα μέσα.

Άρθρο 41

Παρακολούθηση εγκεκριμένων κωδίκων δεοντολογίας

1. Με την επιφύλαξη των καθηκόντων και των εξουσιών της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, η παρακολούθηση της συμμόρφωσης με κώδικα συμπεριφοράς σύμφωνα με το άρθρο 40 μπορεί να διενεργείται από φορέα που διαθέτει κατάλληλο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένο για το σκοπό αυτό από την αρμόδια εποπτική αρχή.

2. Ένας φορέας που αναφέρεται στην παράγραφο 1 μπορεί να διαπιστευθεί για την παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας όταν ο φορέας αυτός διαθέτει:

(ένα) απέδειξε την ανεξαρτησία και την τεχνογνωσία του σε σχέση με το αντικείμενο του κώδικα κατά τρόπο που να ικανοποιεί την αρμόδια εποπτική αρχή•

(σι) καθιέρωσε διαδικασίες που του επιτρέπουν να αξιολογεί την καταλληλότητα των ενδιαφερομένων υπευθύνων επεξεργασίας και εκτελών την επεξεργασία να εφαρμόζουν τον κώδικα, να παρακολουθεί τη συμμόρφωσή τους με τις διατάξεις του και να επανεξετάζει περιοδικά τη λειτουργία του•

(ντο) καθιέρωσε διαδικασίες και δομές για τη διεκπεραίωση καταγγελιών σχετικά με παραβιάσεις του κώδικα ή του τρόπου με τον οποίο ο κώδικας εφαρμόστηκε ή εφαρμόζεται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία και για να καταστούν αυτές οι διαδικασίες και δομές διαφανείς στα υποκείμενα των δεδομένων και στο κοινό• και

(ρε) απέδειξε προς ικανοποίηση της αρμόδιας εποπτικής αρχής ότι τα καθήκοντα και τα καθήκοντά της δεν οδηγούν σε σύγκρουση συμφερόντων.

3. Η αρμόδια εποπτική αρχή υποβάλλει στο συμβούλιο το σχέδιο κριτηρίων για τη διαπίστευση φορέα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου σύμφωνα με τον μηχανισμό συνοχής που αναφέρεται στο άρθρο 63.

4. Με την επιφύλαξη των καθηκόντων και των εξουσιών της αρμόδιας εποπτικής αρχής και των διατάξεων του Κεφαλαίου VIII, ένα όργανο που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου λαμβάνει τα κατάλληλα μέτρα, με την επιφύλαξη των κατάλληλων διασφαλίσεων, σε περιπτώσεις παραβίασης του κώδικα από έναν υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, συμπεριλαμβανομένης της αναστολής ή του αποκλεισμού του σχετικού υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία από τον κώδικα. Ενημερώνει την αρμόδια εποπτική αρχή για τις ενέργειες αυτές και τους λόγους για τους οποίους λαμβάνει.

5. Η αρμόδια εποπτική αρχή ανακαλεί τη διαπίστευση φορέα που αναφέρεται στην παράγραφο 1 εάν δεν πληρούνται ή δεν πληρούνται πλέον οι προϋποθέσεις για τη διαπίστευση ή εάν οι ενέργειες του φορέα παραβιάζουν τον παρόντα κανονισμό.

6. Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και φορείς.

Άρθρο 42

Πιστοποίηση

1. Τα κράτη μέλη, οι εποπτικές αρχές, το συμβούλιο και η Επιτροπή ενθαρρύνουν, ιδίως σε επίπεδο Ένωσης, τη δημιουργία μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό να αποδειχθεί η συμμόρφωση με τον παρόντα κανονισμό επεξεργασίας λειτουργίες από ελεγκτές και επεξεργαστές. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων.

2. Εκτός από την τήρηση από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, μπορούν να καθιερωθούν μηχανισμοί πιστοποίησης προστασίας δεδομένων, σφραγίδες ή σήματα που εγκρίνονται σύμφωνα με την παράγραφο 5 του παρόντος άρθρου με σκοπό την απόδειξη της ύπαρξης κατάλληλων διασφαλίσεων που παρέχονται από τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία ότι δεν υπόκεινται στον παρόντα κανονισμό σύμφωνα με το άρθρο 3 στο πλαίσιο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς υπό τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ). Αυτοί οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές δεσμεύσεις, μέσω συμβατικών ή άλλων νομικά δεσμευτικών μέσων, να εφαρμόζουν αυτές τις κατάλληλες διασφαλίσεις, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων των δεδομένων.

3. Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.

4. Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν μειώνει την ευθύνη του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη συμμόρφωση με τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις εξουσίες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με τα άρθρα 55 ή 56.

5. Η πιστοποίηση σύμφωνα με το παρόν άρθρο εκδίδεται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει κριτηρίων που έχουν εγκριθεί από την εν λόγω αρμόδια εποπτική αρχή σύμφωνα με το άρθρο 58 παράγραφος 3 ή από το συμβούλιο σύμφωνα με στο άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το συμβούλιο, αυτό μπορεί να οδηγήσει σε μια κοινή πιστοποίηση, την ευρωπαϊκή σφραγίδα προστασίας δεδομένων.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον οργανισμό πιστοποίησης που αναφέρεται στο άρθρο 43 ή, κατά περίπτωση, στην αρμόδια εποπτική αρχή, όλες τις πληροφορίες και την πρόσβαση στις δραστηριότητες επεξεργασίας του που είναι απαραίτητες για τη διεξαγωγή της πιστοποίησης διαδικασία.

7. Η πιστοποίηση εκδίδεται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεώνεται, υπό τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, κατά περίπτωση, από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν οι απαιτήσεις για την πιστοποίηση δεν πληρούνται ή δεν πληρούνται πλέον.

8. Το συμβούλιο συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα δημοσιοποιεί με κάθε πρόσφορο μέσο.

Άρθρο 43

Φορείς πιστοποίησης

1. Με την επιφύλαξη των καθηκόντων και των εξουσιών της αρμόδιας εποπτικής αρχής δυνάμει των άρθρων 57 και 58, οι φορείς πιστοποίησης που διαθέτουν κατάλληλο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία δεδομένων ενημερώνουν την εποπτική αρχή προκειμένου να της επιτρέψουν να ασκήσει τις εξουσίες της σύμφωνα με το στοιχείο η) του άρθρου 58 παράγραφος 2, όπου χρειάζεται, εκδίδει και ανανεώνει πιστοποίηση. Τα κράτη μέλη διασφαλίζουν ότι αυτοί οι φορείς πιστοποίησης είναι διαπιστευμένοι από ένα ή και τα δύο από τα ακόλουθα:

(ένα) την εποπτική αρχή που είναι αρμόδια σύμφωνα με τα άρθρα 55 ή 56•

(σι) τον εθνικό οργανισμό διαπίστευσης που ονομάστηκε σύμφωνα με τον κανονισμό ( ΕΚ ) αριθ . αρμόδια σύμφωνα με τα άρθρα 55 ή 56.

2. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο μόνο εφόσον διαθέτουν:

(ένα) απέδειξαν την ανεξαρτησία και την τεχνογνωσία τους σε σχέση με το αντικείμενο της πιστοποίησης κατά τρόπο που να ικανοποιεί την αρμόδια εποπτική αρχή•

(σι) δεσμεύεται να τηρεί τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφος 5 και έχει εγκριθεί από την εποπτική αρχή που είναι αρμόδια σύμφωνα με τα άρθρα 55 ή 56 ή από το συμβούλιο σύμφωνα με το άρθρο 63•

(ντο) καθιερώθηκαν διαδικασίες για την έκδοση, περιοδική επανεξέταση και ανάκληση πιστοποιητικών προστασίας δεδομένων, σφραγίδων και σημάτων•

(ρε) καθιέρωσε διαδικασίες και δομές για τη διαχείριση καταγγελιών σχετικά με παραβιάσεις της πιστοποίησης ή του τρόπου με τον οποίο η πιστοποίηση εφαρμόστηκε ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και για να καταστούν αυτές οι διαδικασίες και δομές διαφανείς στα υποκείμενα των δεδομένων και στο κοινό• και

(μι) απέδειξαν, προς ικανοποίηση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και τα καθήκοντά τους δεν οδηγούν σε σύγκρουση συμφερόντων.

3. Η διαπίστευση των φορέων πιστοποίησης που αναφέρονται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιείται βάσει κριτηρίων που εγκρίνονται από την εποπτική αρχή που είναι αρμόδια σύμφωνα με τα άρθρα 55 ή 56 ή από το συμβούλιο σύμφωνα με το άρθρο 63. στην περίπτωση διαπίστευσης σύμφωνα με την παράγραφο 1 στοιχείο β) του παρόντος άρθρου, οι απαιτήσεις αυτές συμπληρώνουν εκείνες που προβλέπονται στον κανονισμό (ΕΚ) αριθ. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.

4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνοι για την ορθή αξιολόγηση που οδηγεί στην πιστοποίηση ή την ανάκληση αυτής της πιστοποίησης με την επιφύλαξη της ευθύνης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη συμμόρφωση με τον παρόντα κανονισμό. Η διαπίστευση εκδίδεται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό τον όρο ότι ο οργανισμός πιστοποίησης πληροί τις απαιτήσεις που ορίζονται στο παρόν άρθρο.

5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους για τη χορήγηση ή την ανάκληση της αιτούμενης πιστοποίησης.

6. Οι απαιτήσεις που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφος 5 δημοσιοποιούνται από την εποπτική αρχή σε εύκολα προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης αυτές τις απαιτήσεις και κριτήρια στο συμβούλιο. Το συμβούλιο συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τους δημοσιοποιεί με κάθε πρόσφορο μέσο.

7. Με την επιφύλαξη του Κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός φορέας διαπίστευσης ανακαλεί τη διαπίστευση φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, όταν οι προϋποθέσεις για τη διαπίστευση δεν πληρούνται ή δεν πληρούνται πλέον ή όταν υπάρχουν ενέργειες που λαμβάνονται από οργανισμό πιστοποίησης παραβιάζουν τον παρόντα κανονισμό.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 με σκοπό τον καθορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις που καθορίζουν τεχνικά πρότυπα για μηχανισμούς πιστοποίησης και σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και αναγνώριση αυτών των μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

ΚΕΦΑΛΑΙΟ V

Μεταφορές προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς

Άρθρο 44

Γενική αρχή για τις μεταγραφές

Οποιαδήποτε διαβίβαση δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία ή προορίζονται για επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, πληρούνται οι προϋποθέσεις που ορίζονται στο παρόν κεφάλαιο. από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, συμπεριλαμβανομένων των μελλοντικών διαβιβάσεων προσωπικών δεδομένων από τρίτη χώρα ή διεθνή οργανισμό σε άλλη τρίτη χώρα ή σε άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται προκειμένου να διασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός.

Άρθρο 45

Μεταγραφές βάσει απόφασης επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να λάβει χώρα όταν η Επιτροπή έχει αποφασίσει ότι η τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός της εν λόγω τρίτης χώρας ή ο εν λόγω διεθνής οργανισμός εξασφαλίζει επαρκή επίπεδο προστασίας. Η μεταφορά αυτή δεν απαιτεί ειδική άδεια.

2. Κατά την αξιολόγηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει ιδίως υπόψη τα ακόλουθα στοιχεία:

(ένα) το κράτος δικαίου, ο σεβασμός των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών, σχετική νομοθεσία, τόσο γενική όσο και τομεακή, συμπεριλαμβανομένης της δημόσιας ασφάλειας, της άμυνας, της εθνικής ασφάλειας και του ποινικού δικαίου και της πρόσβασης των δημοσίων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και η εφαρμογή τέτοιων νομοθεσία, κανόνες προστασίας δεδομένων, επαγγελματικούς κανόνες και μέτρα ασφαλείας, συμπεριλαμβανομένων κανόνων για την περαιτέρω διαβίβαση προσωπικών δεδομένων σε άλλη τρίτη χώρα ή διεθνή οργανισμό με τους οποίους τηρούνται σε αυτήν τη χώρα ή διεθνή οργανισμό, νομολογία, καθώς και αποτελεσματικά και εκτελεστά δεδομένα δικαιώματα υποκειμένου και αποτελεσματική διοικητική και δικαστική προσφυγή για τα υποκείμενα των δεδομένων των οποίων τα προσωπικά δεδομένα διαβιβάζονται•

(σι) την ύπαρξη και την αποτελεσματική λειτουργία μιας ή περισσότερων ανεξάρτητων εποπτικών αρχών στην τρίτη χώρα ή στις οποίες υπόκειται διεθνής οργανισμός, με ευθύνη για τη διασφάλιση και την επιβολή της συμμόρφωσης με τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων των κατάλληλων εξουσιών επιβολής, για την παροχή βοήθειας και παροχής συμβουλών στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις εποπτικές αρχές των κρατών μελών• και

(ντο) τις διεθνείς δεσμεύσεις που έχει αναλάβει η ενδιαφερόμενη τρίτη χώρα ή διεθνής οργανισμός ή άλλες υποχρεώσεις που απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις καθώς και από τη συμμετοχή της σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή, αφού αξιολογήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι μια τρίτη χώρα, μια επικράτεια ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός τρίτης χώρας ή ένας διεθνής οργανισμός διασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, ο οποίος θα λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της και, κατά περίπτωση, προσδιορίζει την ή τις εποπτικές αρχές που αναφέρονται στην παράγραφο 2 στοιχείο β) του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

4. Η Επιτροπή παρακολουθεί, σε συνεχή βάση, τις εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία των αποφάσεων που λαμβάνονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και των αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/ 46/ΕΚ.

5. Η Επιτροπή, όπου οι διαθέσιμες πληροφορίες αποκαλύπτουν, ιδίως μετά την επανεξέταση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς σε τρίτη χώρα ή ένας διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, στο μέτρο που χρειάζεται, να καταργήσει, να τροποποιήσει ή να αναστείλει την απόφαση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου με εκτελεστικές πράξεις χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει αμέσως εφαρμοστέες εκτελεστικές πράξεις σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 3.

6. Η Επιτροπή προβαίνει σε διαβουλεύσεις με την τρίτη χώρα ή διεθνή οργανισμό με σκοπό να διορθωθεί η κατάσταση από την οποία ελήφθη η απόφαση σύμφωνα με την παράγραφο 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, σε έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή στον εν λόγω διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα και διεθνών οργανισμών για τους οποίους έχει αποφασίσει ότι υπάρχει ή είναι επαρκές επίπεδο προστασίας δεν διασφαλίζεται πλέον.

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από απόφαση της Επιτροπής που εκδίδεται σύμφωνα με τις παραγράφους 3 ή 5 του παρόντος άρθρου.

Άρθρο 46

Οι μεταφορές υπόκεινται σε κατάλληλες διασφαλίσεις

1. Ελλείψει απόφασης σύμφωνα με το άρθρο 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες διασφαλίσεις και υπό την προϋπόθεση ότι το υποκείμενο των δεδομένων είναι εκτελεστό είναι διαθέσιμα δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες διασφαλίσεις που αναφέρονται στην παράγραφο 1 μπορούν να παρέχονται, χωρίς να απαιτείται ειδική εξουσιοδότηση από εποπτική αρχή, από:

(ένα) νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών ή φορέων•

(σι) δεσμευτικούς εταιρικούς κανόνες σύμφωνα με το άρθρο 47•

(ντο) τυποποιημένες ρήτρες προστασίας δεδομένων που εγκρίθηκαν από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2•

(ρε) τυποποιημένες ρήτρες προστασίας δεδομένων που εγκρίθηκαν από εποπτική αρχή και εγκρίθηκαν από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2•

(μι) εγκεκριμένο κώδικα συμπεριφοράς σύμφωνα με το άρθρο 40 μαζί με δεσμευτικές και εκτελεστές δεσμεύσεις του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα για την εφαρμογή των κατάλληλων διασφαλίσεων, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων των δεδομένων• ή

(φά) εγκεκριμένο μηχανισμό πιστοποίησης σύμφωνα με το άρθρο 42 μαζί με δεσμευτικές και εκτελεστές δεσμεύσεις του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα για την εφαρμογή των κατάλληλων διασφαλίσεων, συμπεριλαμβανομένων των δικαιωμάτων των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας της αρμόδιας εποπτικής αρχής, οι κατάλληλες διασφαλίσεις που αναφέρονται στην παράγραφο 1 μπορούν επίσης να προβλέπονται, ιδίως από:

(ένα) συμβατικές ρήτρες μεταξύ του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπεύθυνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή διεθνή οργανισμό• ή

(σι) διατάξεις που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων που περιλαμβάνουν εκτελεστά και αποτελεσματικά δικαιώματα υποκειμένου των δεδομένων.

4. Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνοχής που αναφέρεται στο άρθρο 63 στις περιπτώσεις που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

5. Οι εξουσιοδοτήσεις κράτους μέλους ή εποπτικής αρχής βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν είναι απαραίτητο, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν είναι απαραίτητο, από απόφαση της Επιτροπής που εκδίδεται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

Άρθρο 47

Δεσμευτικοί εταιρικοί κανόνες

1. Η αρμόδια εποπτική αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνέπειας που ορίζεται στο άρθρο 63, υπό την προϋπόθεση ότι:

(ένα) είναι νομικά δεσμευτικές και ισχύουν και επιβάλλονται από κάθε ενδιαφερόμενο μέλος του ομίλου επιχειρήσεων ή του ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα, συμπεριλαμβανομένων των υπαλλήλων τους•

(σι) εκχωρεί ρητά εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων• και

(ντο) πληρούν τις απαιτήσεις που ορίζονται στην παράγραφο 2.

2. Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 ορίζουν τουλάχιστον:

(ένα) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων ή του ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα και καθενός από τα μέλη του•

(σι) τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, του είδους της επεξεργασίας και των σκοπών της, του είδους των υποκειμένων των δεδομένων που επηρεάζονται και της ταυτότητας της ή των τρίτων χωρών•

(ντο) Η νομικά δεσμευτική τους φύση, τόσο εσωτερικά όσο και εξωτερικά•

(ρε) η εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως ο περιορισμός του σκοπού, η ελαχιστοποίηση δεδομένων, οι περιορισμένες περίοδοι αποθήκευσης, η ποιότητα των δεδομένων, η προστασία δεδομένων εξ ορισμού και εξ ορισμού, η νομική βάση για την επεξεργασία, η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα για τη διασφάλιση της ασφάλειας δεδομένων και τις απαιτήσεις όσον αφορά τις περαιτέρω μεταβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες•

(μι) τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης αυτών των δικαιωμάτων, συμπεριλαμβανομένου του δικαιώματος να μην υπόκεινται σε αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας στην αρμόδια εποπτική αρχή αρχή και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, και να ζητήσει επανόρθωση και, κατά περίπτωση, αποζημίωση για παραβίαση των δεσμευτικών εταιρικών κανόνων•

(φά) την αποδοχή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στην επικράτεια κράτους μέλους της ευθύνης για τυχόν παραβιάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε ενδιαφερόμενο μέλος που δεν είναι εγκατεστημένο στην Ένωση• ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από αυτή την ευθύνη, εν όλω ή εν μέρει, μόνο εάν αποδείξει ότι το εν λόγω μέλος δεν ευθύνεται για το γεγονός που προκάλεσε τη ζημία•

(σολ) πώς παρέχονται στα υποκείμενα των δεδομένων οι πληροφορίες για τους δεσμευτικούς εταιρικούς κανόνες, ιδίως για τις διατάξεις που αναφέρονται στα στοιχεία δ), ε) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 και 14•

(η) τα καθήκοντα οποιουδήποτε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε άλλου προσώπου ή οντότητας επιφορτισμένου με την παρακολούθηση της συμμόρφωσης με τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων ή ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα, καθώς και παρακολούθηση της εκπαίδευσης και του χειρισμού παραπόνων•

(Εγώ) τις διαδικασίες καταγγελίας•

(ι) τους μηχανισμούς εντός του ομίλου επιχειρήσεων ή του ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα για τη διασφάλιση της επαλήθευσης της συμμόρφωσης με τους δεσμευτικούς εταιρικούς κανόνες. Αυτοί οι μηχανισμοί περιλαμβάνουν ελέγχους προστασίας δεδομένων και μεθόδους για τη διασφάλιση διορθωτικών ενεργειών για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα αυτής της επαλήθευσης θα πρέπει να κοινοποιούνται στο πρόσωπο ή την οντότητα που αναφέρεται στο στοιχείο η) και στο συμβούλιο της ελέγχουσας επιχείρησης ενός ομίλου επιχειρήσεων ή του ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα και θα πρέπει να είναι διαθέσιμα κατόπιν αιτήματος στην αρμόδια εποπτική αρχή•

(κ) τους μηχανισμούς αναφοράς και καταγραφής αλλαγών στους κανόνες και αναφοράς αυτών των αλλαγών στην εποπτική αρχή•

(μεγάλο) ο μηχανισμός συνεργασίας με την εποπτική αρχή για τη διασφάλιση της συμμόρφωσης από οποιοδήποτε μέλος του ομίλου επιχειρήσεων ή ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των επαληθεύσεων των μέτρων που αναφέρονται στο σημείο (ι)•

(Μ) τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή τυχόν νομικών απαιτήσεων στις οποίες υπόκειται μέλος του ομίλου επιχειρήσεων ή ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα σε τρίτη χώρα, οι οποίες είναι πιθανό να έχουν σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις προβλέπεται από τους δεσμευτικούς εταιρικούς κανόνες• και

(n) την κατάλληλη εκπαίδευση για την προστασία δεδομένων στο προσωπικό που έχει μόνιμη ή τακτική πρόσβαση στα προσωπικά δεδομένα.

3. Η Επιτροπή μπορεί να προσδιορίζει τη μορφή και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελών την επεξεργασία και εποπτικών αρχών για δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που ορίζεται στο άρθρο 93 παράγραφος 2.

Άρθρο 48

Μεταφορές ή αποκαλύψεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Οποιαδήποτε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να μεταφέρει ή να αποκαλύψει προσωπικά δεδομένα μπορεί να αναγνωριστεί ή να εκτελεστεί με οποιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως αμοιβαία νομική συνθήκη συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων μεταφοράς σύμφωνα με το παρόν κεφάλαιο.

Άρθρο 49

Παρεκκλίσεις για συγκεκριμένες καταστάσεις

1. Ελλείψει απόφασης επάρκειας σύμφωνα με το άρθρο 45 παράγραφος 3 ή κατάλληλων διασφαλίσεων σύμφωνα με το άρθρο 46, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, η μεταφορά ή μια σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιούνται μόνο υπό μία από τις ακόλουθες προϋποθέσεις:

(ένα) το υποκείμενο των δεδομένων έχει ρητά συναινέσει στην προτεινόμενη διαβίβαση, αφού ενημερωθεί για τους πιθανούς κινδύνους τέτοιων διαβιβάσεων για το υποκείμενο των δεδομένων λόγω της απουσίας απόφασης επάρκειας και κατάλληλων διασφαλίσεων•

(σι) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων που λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων•

(ντο) η διαβίβαση είναι απαραίτητη για τη σύναψη ή εκτέλεση σύμβασης που έχει συναφθεί προς το συμφέρον του υποκειμένου των δεδομένων μεταξύ του υπεύθυνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου•

(ρε) η μεταβίβαση είναι απαραίτητη για σημαντικούς λόγους δημοσίου συμφέροντος•

(μι) η μεταβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων•

(φά) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, όταν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του•

(σολ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με τη νομοθεσία της Ένωσης ή του κράτους μέλους προορίζεται να παρέχει πληροφορίες στο κοινό και το οποίο είναι ανοιχτό σε διαβούλευση είτε από το κοινό γενικά είτε από οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται οι προϋποθέσεις που ορίζει η νομοθεσία της Ένωσης ή του κράτους μέλους για διαβούλευση στη συγκεκριμένη περίπτωση.

Όταν μια μεταβίβαση δεν μπορεί να βασίζεται σε διάταξη των άρθρων 45 ή 46, συμπεριλαμβανομένων των διατάξεων για δεσμευτικούς εταιρικούς κανόνες, και καμία από τις παρεκκλίσεις για μια συγκεκριμένη κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου δεν ισχύει, μεταβίβαση σε τρίτο χώρα ή διεθνής οργανισμός μπορεί να πραγματοποιηθεί μόνο εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, τα οποία δεν υπερισχύουν των συμφερόντων ή των δικαιωμάτων και ελευθεριών του το υποκείμενο των δεδομένων και ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις γύρω από τη διαβίβαση δεδομένων και βάσει αυτής της αξιολόγησης παρείχε κατάλληλες διασφαλίσεις όσον αφορά την προστασία των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη μεταφορά. Ο υπεύθυνος επεξεργασίας, εκτός από την παροχή των πληροφοριών που αναφέρονται στα άρθρα 13 και 14, ενημερώνει το υποκείμενο των δεδομένων για τη διαβίβαση και για τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.

2. Η διαβίβαση σύμφωνα με το στοιχείο ζ) της παραγράφου 1 πρώτο εδάφιο δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ή ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο μητρώο. Όταν το μητρώο προορίζεται για διαβούλευση από πρόσωπα που έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος αυτών των προσώπων ή εάν πρόκειται να είναι οι αποδέκτες.

3. Τα στοιχεία α), β) και γ) της παραγράφου 1 πρώτο εδάφιο και το δεύτερο εδάφιο δεν εφαρμόζονται σε δραστηριότητες που πραγματοποιούνται από δημόσιες αρχές κατά την άσκηση των δημοσίων εξουσιών τους.

4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. Ελλείψει απόφασης επάρκειας, το δίκαιο της Ένωσης ή του κράτους μέλους μπορεί, για σημαντικούς λόγους δημοσίου συμφέροντος, να θέσει ρητά όρια στη διαβίβαση συγκεκριμένων κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις διατάξεις αυτές στην Επιτροπή.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τεκμηριώνει την αξιολόγηση καθώς και τις κατάλληλες διασφαλίσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου στα αρχεία που αναφέρονται στο άρθρο 30.

Άρθρο 50

Διεθνής συνεργασία για την προστασία των προσωπικών δεδομένων

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν τα κατάλληλα μέτρα για:

(ένα) ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα•

(σι) παροχή διεθνούς αμοιβαίας βοήθειας για την επιβολή της νομοθεσίας για την προστασία των προσωπικών δεδομένων, μεταξύ άλλων μέσω κοινοποίησης, παραπομπής καταγγελίας, διερευνητικής βοήθειας και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων διασφαλίσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών•

(ντο) να εμπλέξει τους σχετικούς ενδιαφερόμενους σε συζητήσεις και δραστηριότητες που αποσκοπούν στην προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα•

(ρε) προώθηση της ανταλλαγής και τεκμηρίωσης της νομοθεσίας και της πρακτικής για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένων των διενέξεων δικαιοδοσίας με τρίτες χώρες.

ΚΕΦΑΛΑΙΟ VI

Ανεξάρτητες εποπτικές αρχές

Τμήμα 1

Ανεξάρτητο καθεστώς

Άρθρο 51

Εποπτική αρχή

1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές είναι υπεύθυνες για την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, προκειμένου να προστατεύονται τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων σε σχέση με την επεξεργασία και να διευκολύνεται η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης («εποπτική αρχή»).

2. Κάθε εποπτική αρχή συμβάλλει στη συνεπή εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για το σκοπό αυτό, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το Κεφάλαιο VII.

3. Όταν περισσότερες από μία εποπτικές αρχές είναι εγκατεστημένες σε ένα κράτος μέλος, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή που θα εκπροσωπεί αυτές τις αρχές στο συμβούλιο και καθορίζει τον μηχανισμό για να διασφαλίζεται η συμμόρφωση των άλλων αρχών με τους κανόνες που αφορούν ο μηχανισμός συνοχής που αναφέρεται στο άρθρο 63.

4. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις της νομοθεσίας του που θεσπίζει σύμφωνα με το παρόν κεφάλαιο, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε μεταγενέστερη τροποποίηση που τις επηρεάζει.

Άρθρο 52

Ανεξαρτησία

1. Κάθε εποπτική αρχή ενεργεί με πλήρη ανεξαρτησία κατά την εκτέλεση των καθηκόντων της και την άσκηση των εξουσιών της σύμφωνα με τον παρόντα κανονισμό.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής, κατά την εκτέλεση των καθηκόντων τους και την άσκηση των εξουσιών τους σύμφωνα με τον παρόντα κανονισμό, παραμένουν απαλλαγμένα από εξωτερική επιρροή, άμεση ή έμμεση, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Τα μέλη ή τα μέλη κάθε εποπτικής αρχής απέχουν από οποιαδήποτε ενέργεια ασυμβίβαστη με τα καθήκοντά τους και δεν ασκούν, κατά τη διάρκεια της θητείας τους, οποιοδήποτε ασυμβίβαστο επάγγελμα, αμειβόμενο ή μη.

4. Κάθε κράτος μέλος διασφαλίζει ότι σε κάθε εποπτική αρχή παρέχονται οι ανθρώπινοι, τεχνικοί και οικονομικοί πόροι, οι εγκαταστάσεις και η υποδομή που απαιτούνται για την αποτελεσματική εκτέλεση των καθηκόντων του και την άσκηση των εξουσιών του, συμπεριλαμβανομένων εκείνων που πρέπει να εκτελούνται στο πλαίσιο αμοιβαίων βοήθεια, συνεργασία και συμμετοχή στο Δ.Σ.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και έχει το δικό της προσωπικό που υπόκειται στην αποκλειστική καθοδήγηση του μέλους ή των μελών της σχετικής εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε δημοσιονομικό έλεγχο που δεν επηρεάζει την ανεξαρτησία του και ότι διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορεί να αποτελούν μέρος του συνολικού κρατικού ή εθνικού προϋπολογισμού.

Άρθρο 53

Γενικοί όροι για τα μέλη της εποπτικής αρχής

1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών τους αρχών διορίζεται μέσω διαφανούς διαδικασίας από:

— το κοινοβούλιο τους?

— η κυβέρνησή τους•

— αρχηγός του κράτους τους• ή

— ανεξάρτητο όργανο στο οποίο έχει ανατεθεί ο διορισμός βάσει της νομοθεσίας των κρατών μελών.

2. Κάθε μέλος διαθέτει τα προσόντα, την πείρα και τις δεξιότητες, ιδίως στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, που απαιτούνται για την άσκηση των καθηκόντων του και την άσκηση των εξουσιών του.

3. Τα καθήκοντα μέλους λήγουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με τη νομοθεσία του οικείου κράτους μέλους.

4. Μέλος απολύεται μόνο σε περιπτώσεις σοβαρού παραπτώματος ή εάν το μέλος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

Άρθρο 54

Κανόνες για τη σύσταση της εποπτικής αρχής

1. Κάθε κράτος μέλος προβλέπει δια νόμου όλα τα ακόλουθα:

(ένα) τη σύσταση κάθε εποπτικής αρχής•

(σι) τα προσόντα και τις προϋποθέσεις επιλεξιμότητας που απαιτούνται για να διοριστεί ως μέλος κάθε εποπτικής αρχής•

(ντο) τους κανόνες και τις διαδικασίες για τον διορισμό του μέλους ή των μελών κάθε εποπτικής αρχής•

(ρε) τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής τουλάχιστον τεσσάρων ετών, εκτός από τον πρώτο διορισμό μετά τις 24 Μαΐου 2016, μέρος του οποίου μπορεί να λάβει χώρα για μικρότερο χρονικό διάστημα όπου αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας του η εποπτική αρχή μέσω κλιμακωτής διαδικασίας διορισμού•

(μι) εάν και, εάν ναι, για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό•

(φά) τους όρους που διέπουν τις υποχρεώσεις του μέλους ή των μελών και του προσωπικού κάθε εποπτικής αρχής, απαγορεύσεις ενεργειών, επαγγελμάτων και παροχών ασυμβίβαστων με αυτές κατά τη διάρκεια και μετά τη θητεία και κανόνες που διέπουν τη διακοπή της απασχόλησης.

2. Το μέλος ή τα μέλη και το προσωπικό κάθε εποπτικής αρχής υπόκεινται, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, σε καθήκον επαγγελματικού απορρήτου τόσο κατά τη διάρκεια όσο και μετά τη θητεία τους, όσον αφορά τυχόν εμπιστευτικές πληροφορίες που προέρχονται εν γνώσει τους κατά την εκτέλεση των καθηκόντων τους ή την άσκηση των εξουσιών τους. Κατά τη διάρκεια της θητείας τους, αυτό το καθήκον επαγγελματικού απορρήτου ισχύει ιδίως για την αναφορά από φυσικά πρόσωπα για παραβάσεις του παρόντος κανονισμού.

Τομέας 2

Ικανότητες, καθήκοντα και εξουσίες

Άρθρο 55

Επάρκεια

1. Κάθε εποπτική αρχή είναι αρμόδια για την εκτέλεση των καθηκόντων που της ανατίθενται και την άσκηση των εξουσιών που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στην επικράτεια του κράτους μέλους της.

2. Όταν η επεξεργασία πραγματοποιείται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε τέτοιες περιπτώσεις το άρθρο 56 δεν εφαρμόζεται.

3. Οι εποπτικές αρχές δεν είναι αρμόδιες να εποπτεύουν τις εργασίες διεκπεραίωσης των δικαστηρίων που ενεργούν υπό τη δικαστική τους ιδιότητα.

Άρθρο 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας εγκατάστασης ή της ενιαίας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως κύρια εποπτική αρχή για τη διασυνοριακή επεξεργασία που διενεργείται από αυτόν τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση της παραγράφου 1, κάθε εποπτική αρχή είναι αρμόδια να χειρίζεται καταγγελία που της υποβάλλεται ή ενδεχόμενη παράβαση του παρόντος κανονισμού, εάν το θέμα αφορά μόνο εγκατάσταση στο κράτος μέλος της ή επηρεάζει ουσιαστικά τα υποκείμενα των δεδομένων μόνο στο Κράτος μέλος.

3. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει χωρίς καθυστέρηση την επικεφαλής εποπτική αρχή για το θέμα αυτό. Εντός τριών εβδομάδων από την ενημέρωση, η κύρια εποπτική αρχή αποφασίζει εάν θα χειριστεί την υπόθεση σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος για το οποίο το ενημέρωσε η εποπτική αρχή.

4. Όταν η κύρια εποπτική αρχή αποφασίσει να χειριστεί την υπόθεση, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την κύρια εποπτική αρχή μπορεί να υποβάλει στην κύρια εποπτική αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη αυτό το σχέδιο κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 παράγραφος 3.

5. Όταν η κύρια εποπτική αρχή αποφασίσει να μην χειριστεί την υπόθεση, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή τη χειρίζεται σύμφωνα με τα άρθρα 61 και 62.

6. Η κύρια εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή επεξεργασία που διενεργείται από τον εν λόγω υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία.

Άρθρο 57

Καθήκοντα

1. Με την επιφύλαξη άλλων καθηκόντων που ορίζονται βάσει του παρόντος κανονισμού, κάθε εποπτική αρχή στην επικράτειά της:

(ένα) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού•

(σι) προώθηση της ευαισθητοποίησης και της κατανόησης του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις διασφαλίσεις και τα δικαιώματα σε σχέση με την επεξεργασία. Οι δραστηριότητες που απευθύνονται ειδικά σε παιδιά θα τύχουν ιδιαίτερης προσοχής.

(ντο) συμβουλεύει, σύμφωνα με το δίκαιο των κρατών μελών, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα θεσμικά όργανα και φορείς σχετικά με νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία•

(ρε) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία των υποχρεώσεών τους βάσει του παρόντος κανονισμού•

(μι) κατόπιν αιτήματος, παρέχει πληροφορίες σε οποιοδήποτε υποκείμενο των δεδομένων σχετικά με την άσκηση των δικαιωμάτων του βάσει του παρόντος κανονισμού και, εάν χρειάζεται, συνεργάζεται με τις εποπτικές αρχές άλλων κρατών μελών για τον σκοπό αυτό•

(φά) χειρίζεται καταγγελίες που υποβάλλονται από ένα υποκείμενο των δεδομένων ή από φορέα, οργανισμό ή ένωση σύμφωνα με το άρθρο 80 και διερευνά, στον βαθμό που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και το αποτέλεσμα της έρευνας εντός εύλογο χρονικό διάστημα, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή•

(σολ) να συνεργάζεται, συμπεριλαμβανομένης της ανταλλαγής πληροφοριών και να παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό τη διασφάλιση της συνέπειας εφαρμογής και επιβολής του παρόντος κανονισμού•

(η) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων με βάση πληροφορίες που λαμβάνονται από άλλη εποπτική αρχή ή άλλη δημόσια αρχή•

(Εγώ) παρακολουθεί τις σχετικές εξελίξεις, στο βαθμό που έχουν αντίκτυπο στην προστασία των προσωπικών δεδομένων, ιδίως στην ανάπτυξη των τεχνολογιών πληροφοριών και επικοινωνιών και των εμπορικών πρακτικών•

(ι) εγκρίνει τυπικές συμβατικές ρήτρες που αναφέρονται στο άρθρο 28 παράγραφος 8 και στο άρθρο 46 παράγραφος 2 στοιχείο δ)•

(κ) καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για εκτίμηση επιπτώσεων στην προστασία δεδομένων σύμφωνα με το άρθρο 35 παράγραφος 4•

(μεγάλο) παρέχει συμβουλές σχετικά με τις εργασίες επεξεργασίας που αναφέρονται στο άρθρο 36 παράγραφος 2•

(Μ) να ενθαρρύνουν την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 παράγραφος 1 και να γνωμοδοτούν και να εγκρίνουν τέτοιους κώδικες συμπεριφοράς που παρέχουν επαρκείς διασφαλίσεις, σύμφωνα με το άρθρο 40 παράγραφος 5•

(n) ενθαρρύνουν τη δημιουργία μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1 και εγκρίνουν τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5•

(ο) κατά περίπτωση, διενεργεί περιοδική επανεξέταση των πιστοποιητικών που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7•

(Π) συντάσσει και δημοσιεύει τα κριτήρια για τη διαπίστευση φορέα για κώδικες δεοντολογίας παρακολούθησης σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43•

(ιζ) διενεργεί τη διαπίστευση φορέα για τους κώδικες δεοντολογίας παρακολούθησης σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43•

(r) εγκρίνει τις συμβατικές ρήτρες και διατάξεις που αναφέρονται στο άρθρο 46 παράγραφος 3•

(μικρό) εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με το άρθρο 47•

(t) συνεισφέρει στις δραστηριότητες του διοικητικού συμβουλίου•

(u) τηρεί εσωτερικά αρχεία παραβάσεων του παρόντος κανονισμού και μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 παράγραφος 2• και

(v) εκπληρώνει οποιαδήποτε άλλα καθήκοντα που σχετίζονται με την προστασία των προσωπικών δεδομένων.

2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στο στοιχείο στ) της παραγράφου 1 με μέτρα όπως το έντυπο υποβολής καταγγελίας που μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλα μέσα επικοινωνίας.

3. Η εκτέλεση των καθηκόντων κάθε εποπτικής αρχής είναι δωρεάν για το υποκείμενο των δεδομένων και, κατά περίπτωση, για τον υπεύθυνο προστασίας δεδομένων.

4. Όταν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει εύλογο τέλος βάσει διοικητικών δαπανών ή να αρνηθεί να ενεργήσει σχετικά με το αίτημα. Η εποπτική αρχή φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

Άρθρο 58

Εξουσίες

1. Κάθε εποπτική αρχή έχει όλες τις ακόλουθες εξουσίες διερεύνησης:

(ένα) να διατάξει τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία και, κατά περίπτωση, τον υπεύθυνο επεξεργασίας ή τον εκπρόσωπο του εκτελούντος την επεξεργασία να παράσχει οποιαδήποτε πληροφορία χρειάζεται για την εκτέλεση των καθηκόντων του•

(σι) να διεξάγει έρευνες με τη μορφή ελέγχων προστασίας δεδομένων•

(ντο) να διενεργήσει επανεξέταση των πιστοποιητικών που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7•

(ρε) να ειδοποιήσει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού•

(μι) να αποκτήσει, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα προσωπικά δεδομένα και σε όλες τις πληροφορίες που είναι απαραίτητες για την εκτέλεση των καθηκόντων του•

(φά) να αποκτήσει πρόσβαση σε οποιεσδήποτε εγκαταστάσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, συμπεριλαμβανομένου οποιουδήποτε εξοπλισμού και μέσων επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή του κράτους μέλους.

2. Κάθε εποπτική αρχή έχει όλες τις ακόλουθες διορθωτικές εξουσίες:

(ένα) να εκδίδει προειδοποιήσεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία ότι οι επιδιωκόμενες εργασίες επεξεργασίας ενδέχεται να παραβιάζουν τις διατάξεις του παρόντος κανονισμού•

(σι) να εκδίδει επιπλήξεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία όταν οι εργασίες επεξεργασίας έχουν παραβιάσει διατάξεις του παρόντος κανονισμού•

(ντο) να διατάξει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφωθεί με τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό•

(ρε) να διατάξει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφώσει τις εργασίες επεξεργασίας με τις διατάξεις του παρόντος κανονισμού, κατά περίπτωση, με καθορισμένο τρόπο και εντός καθορισμένης προθεσμίας•

(μι) να διατάξει τον υπεύθυνο επεξεργασίας να κοινοποιήσει μια παραβίαση προσωπικών δεδομένων στο υποκείμενο των δεδομένων•

(φά) να επιβάλει προσωρινό ή οριστικό περιορισμό, συμπεριλαμβανομένης της απαγόρευσης της επεξεργασίας•

(σολ) να διατάξει τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας σύμφωνα με τα άρθρα 16, 17 και 18 και την κοινοποίηση τέτοιων ενεργειών στους αποδέκτες στους οποίους έχουν αποκαλυφθεί τα προσωπικά δεδομένα σύμφωνα με το άρθρο 17 παράγραφος 2 και το άρθρο 19•

(η) να ανακαλέσει μια πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να ανακαλέσει μια πιστοποίηση που εκδόθηκε σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση εάν οι απαιτήσεις για την πιστοποίηση δεν πληρούνται ή δεν πληρούνται πλέον•

(Εγώ) να επιβάλει διοικητικό πρόστιμο σύμφωνα με το άρθρο 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης•

(ι) να διατάξει την αναστολή των ροών δεδομένων σε παραλήπτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Κάθε εποπτική αρχή έχει όλες τις ακόλουθες εξουσιοδοτήσεις και συμβουλευτικές εξουσίες:

(ένα) να συμβουλεύει τον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36•

(σι) να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνωμοδοτήσεις στο εθνικό κοινοβούλιο, στην κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο των κρατών μελών, σε άλλα θεσμικά όργανα και οργανισμούς καθώς και στο κοινό για οποιοδήποτε θέμα που σχετίζεται με την προστασία της προσωπικής ζωής δεδομένα;

(ντο) να εγκρίνει την επεξεργασία που αναφέρεται στο άρθρο 36 παράγραφος 5, εάν η νομοθεσία του κράτους μέλους απαιτεί τέτοια προηγούμενη έγκριση•

(ρε) να εκδίδει γνώμη και να εγκρίνει σχέδια κωδίκων συμπεριφοράς σύμφωνα με το άρθρο 40 παράγραφος 5•

(μι) για τη διαπίστευση φορέων πιστοποίησης σύμφωνα με το άρθρο 43•

(φά) να εκδώσει πιστοποιήσεις και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5•

(σολ) να εγκρίνουν τυπικές ρήτρες προστασίας δεδομένων που αναφέρονται στο άρθρο 28 παράγραφος 8 και στο άρθρο 46 παράγραφος 2 στοιχείο δ)•

(η) να εγκρίνει τις συμβατικές ρήτρες που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο α)•

(Εγώ) να εγκρίνει τις διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο β)•

(ι) να εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με το άρθρο 47.

4. Η άσκηση των εξουσιών που ανατίθενται στην εποπτική αρχή σύμφωνα με το παρόν άρθρο υπόκειται σε κατάλληλες διασφαλίσεις, συμπεριλαμβανομένων αποτελεσματικών ένδικων μέσων και δέουσας διαδικασίας, που ορίζονται στο δίκαιο της Ένωσης και των κρατών μελών σύμφωνα με τον Χάρτη.

5. Κάθε κράτος μέλος ορίζει δια νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινήσει ή να προσφύγει με άλλο τρόπο σε δικαστικές διαδικασίες, προκειμένου να επιβάλει τις διατάξεις του του παρόντος κανονισμού.

6. Κάθε κράτος μέλος μπορεί να προβλέπει δια νόμου ότι η εποπτική αρχή του έχει πρόσθετες εξουσίες σε σχέση με εκείνες που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εξουσιών αυτών δεν θίγει την αποτελεσματική λειτουργία του

Κεφαλαίου VII.

Άρθρο 59

Αναφορές δραστηριότητας

Κάθε εποπτική αρχή συντάσσει ετήσια έκθεση για τις δραστηριότητές της, η οποία μπορεί να περιλαμβάνει κατάλογο των τύπων παραβάσεων που κοινοποιήθηκαν και είδη μέτρων που ελήφθησαν σύμφωνα με το άρθρο 58 παράγραφος 2. Οι εκθέσεις αυτές διαβιβάζονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές που ορίζονται από τη νομοθεσία των κρατών μελών. Διατίθενται στο κοινό, στην Επιτροπή και στο διοικητικό συμβούλιο.

ΚΕΦΑΛΑΙΟ VII

Συνεργασία και συνέπεια

Τμήμα 1

Συνεργασία

Άρθρο 60

Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών

1. Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο σε μια προσπάθεια να επιτευχθεί συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσσουν όλες τις σχετικές πληροφορίες μεταξύ τους.

2. Η κύρια εποπτική αρχή μπορεί ανά πάσα στιγμή να ζητήσει από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή σύμφωνα με το άρθρο 61 και μπορεί να διεξάγει κοινές επιχειρήσεις σύμφωνα με το άρθρο 62, ιδίως για τη διεξαγωγή ερευνών ή για την παρακολούθηση της εφαρμογής ενός μέτρου που αφορά έναν υπεύθυνο επεξεργασίας ή μεταποιητή εγκατεστημένο σε άλλο κράτος μέλος.

3. Η επικεφαλής εποπτική αρχή κοινοποιεί, χωρίς καθυστέρηση, τις σχετικές πληροφορίες για το θέμα στις άλλες ενδιαφερόμενες εποπτικές αρχές. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές για γνώμη και λαμβάνει δεόντως υπόψη τις απόψεις τους.

4. Εάν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές εντός τεσσάρων εβδομάδων μετά τη διαβούλευση σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, εκφράσει σχετική και αιτιολογημένη αντίρρηση στο σχέδιο απόφασης, η κύρια εποπτική αρχή, εάν δεν το κάνει ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι σχετική ή αιτιολογημένη, υποβάλει το θέμα στον μηχανισμό συνέπειας που αναφέρεται στο άρθρο 63.

5. Όταν η κύρια εποπτική αρχή σκοπεύει να ακολουθήσει τη σχετική και αιτιολογημένη ένσταση που υποβλήθηκε, υποβάλλει στις άλλες ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο απόφασης για γνώμη. Αυτό το αναθεωρημένο σχέδιο απόφασης υπόκειται στη διαδικασία που αναφέρεται στην παράγραφο 4 εντός δύο εβδομάδων.

6. Εάν καμία από τις άλλες ενδιαφερόμενες εποπτικές αρχές δεν έχει αντιταχθεί στο σχέδιο απόφασης που υποβλήθηκε από την κύρια εποπτική αρχή εντός της περιόδου που αναφέρεται στις παραγράφους 4 και 5, η κύρια εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές θεωρούνται ότι συμφωνούν με αυτό το σχέδιο απόφασης και δεσμεύεται από αυτό.

7. Η κύρια εποπτική αρχή εγκρίνει και κοινοποιεί την απόφαση στην κύρια εγκατάσταση ή στην ενιαία εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ανάλογα με την περίπτωση και ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το συμβούλιο για την εν λόγω απόφαση, συμπεριλαμβανομένης περίληψης τα σχετικά γεγονότα και λόγους. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την απόφαση.

8. Κατά παρέκκλιση από την παράγραφο 7, όταν μια καταγγελία απορρίπτεται ή απορρίπτεται, η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία εκδίδει την απόφαση και την κοινοποιεί στον καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας.

9. Όταν η κύρια εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν να απορρίψουν ή να απορρίψουν μέρη μιας καταγγελίας και να ενεργήσουν για άλλα μέρη αυτής της καταγγελίας, εκδίδεται χωριστή απόφαση για καθένα από αυτά τα σκέλη του θέματος. Η κύρια εποπτική αρχή εκδίδει την απόφαση για το μέρος που αφορά ενέργειες σε σχέση με τον υπεύθυνο επεξεργασίας, την κοινοποιεί στην κύρια εγκατάσταση ή την ενιαία εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην επικράτεια του κράτους μέλους της και ενημερώνει σχετικά τον καταγγέλλοντα, ενώ η Η εποπτική αρχή του καταγγέλλοντος εκδίδει την απόφαση για το μέρος που αφορά την απόρριψη ή την απόρριψη αυτής της καταγγελίας και την κοινοποιεί στον καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.

10. Αφού κοινοποιηθεί η απόφαση της κύριας εποπτικής αρχής σύμφωνα με τις παραγράφους 7 και 9, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει τα απαραίτητα μέτρα για να εξασφαλίσει τη συμμόρφωση με την απόφαση όσον αφορά τις δραστηριότητες επεξεργασίας στο πλαίσιο όλων των εγκαταστάσεων του στην Ένωση. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιεί τα μέτρα που λαμβάνονται για τη συμμόρφωση με την απόφαση στην κύρια εποπτική αρχή, η οποία ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές.

11. Όταν, σε εξαιρετικές περιστάσεις, μια ενδιαφερόμενη εποπτική αρχή έχει λόγους να θεωρεί ότι υπάρχει επείγουσα ανάγκη δράσης για την προστασία των συμφερόντων των υποκειμένων των δεδομένων, εφαρμόζεται η διαδικασία κατεπείγοντος που αναφέρεται στο άρθρο 66.

12. Η κύρια εποπτική αρχή και οι άλλες ενδιαφερόμενες εποπτικές αρχές παρέχουν μεταξύ τους τις πληροφορίες που απαιτούνται δυνάμει του παρόντος άρθρου με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένη μορφή.

Άρθρο 61

Αμοιβαία βοήθεια

1. Οι εποπτικές αρχές παρέχουν αμοιβαία κατάλληλες πληροφορίες και αμοιβαία συνδρομή για την εφαρμογή και εφαρμογή του παρόντος κανονισμού με συνεπή τρόπο, και λαμβάνουν μέτρα για αποτελεσματική συνεργασία μεταξύ τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα πληροφοριών και εποπτικά μέτρα, όπως αιτήματα για τη διενέργεια προηγούμενων αδειών και διαβουλεύσεων, επιθεωρήσεων και ερευνών.

2. Κάθε εποπτική αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει σε αίτημα άλλης εποπτικής αρχής χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα μέτρα αυτά μπορεί να περιλαμβάνουν, ειδικότερα, τη διαβίβαση σχετικών πληροφοριών σχετικά με τη διεξαγωγή έρευνας.

3. Οι αιτήσεις συνδρομής περιλαμβάνουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού και των λόγων του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.

4. Η εποπτική αρχή στην οποία υποβάλλεται η αίτηση δεν αρνείται να συμμορφωθεί με το αίτημα εκτός εάν:

(ένα) δεν είναι αρμόδιο για το αντικείμενο της αίτησης ή για τα μέτρα που καλείται να εκτελέσει• ή

(σι) η συμμόρφωση με το αίτημα θα παραβίαζε τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η εποπτική αρχή που λαμβάνει το αίτημα.

5. Η εποπτική αρχή στην οποία υποβάλλεται η αίτηση ενημερώνει την αιτούσα εποπτική αρχή για τα αποτελέσματα ή, ανάλογα με την περίπτωση, την πρόοδο των μέτρων που ελήφθησαν προκειμένου να ανταποκριθεί στο αίτημα. Η εποπτική αρχή στην οποία υποβάλλεται η αίτηση αιτιολογεί κάθε άρνηση συμμόρφωσης με αίτημα σύμφωνα με την παράγραφο 4.

6. Οι εποπτικές αρχές στις οποίες υποβάλλεται η αίτηση παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένη μορφή.

7. Οι εποπτικές αρχές στις οποίες υποβάλλεται η αίτηση δεν χρεώνουν τέλος για οποιαδήποτε ενέργεια που έλαβαν κατόπιν αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές μπορούν να συμφωνήσουν σε κανόνες αμοιβαίας αποζημίωσης για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιπτώσεις.

8. Όταν μια εποπτική αρχή δεν παρέχει τις πληροφορίες που αναφέρονται στην παράγραφο 5 του παρόντος άρθρου εντός ενός μηνός από την παραλαβή του αιτήματος άλλης εποπτικής αρχής, η αιτούσα εποπτική αρχή μπορεί να λάβει προσωρινό μέτρο στην επικράτεια του κράτους μέλους της σύμφωνα με Άρθρο 55 παράγραφος 1. Στην περίπτωση αυτή, η επείγουσα ανάγκη δράσης σύμφωνα με το άρθρο 66 παράγραφος 1 τεκμαίρεται ότι πληρούται και απαιτεί επείγουσα δεσμευτική απόφαση από το συμβούλιο σύμφωνα με το άρθρο 66 παράγραφος 2.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να προσδιορίζει τη μορφή και τις διαδικασίες αμοιβαίας συνδρομής που αναφέρονται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ των εποπτικών αρχών και μεταξύ των εποπτικών αρχών και του συμβουλίου, ιδίως την τυποποιημένη μορφή που αναφέρεται στην παράγραφο 6 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Άρθρο 62

Κοινές επιχειρήσεις εποπτικών αρχών

1. Οι εποπτικές αρχές διεξάγουν, κατά περίπτωση, κοινές επιχειρήσεις, συμπεριλαμβανομένων κοινών ερευνών και κοινών μέτρων επιβολής, στις οποίες εμπλέκονται μέλη ή προσωπικό των εποπτικών αρχών άλλων κρατών μελών.

2. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκαταστάσεις σε πολλά κράτη μέλη ή όταν σημαντικός αριθμός υποκειμένων δεδομένων σε περισσότερα από ένα κράτη μέλη ενδέχεται να επηρεαστεί ουσιαστικά από τις εργασίες επεξεργασίας, μια εποπτική αρχή καθενός από αυτά τα κράτη μέλη έχει το δικαίωμα να συμμετέχουν σε κοινές επιχειρήσεις. Η εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 56 παράγραφοι 1 ή 4 καλεί την εποπτική αρχή καθενός από αυτά τα κράτη μέλη να συμμετάσχει στις κοινές επιχειρήσεις και απαντά χωρίς καθυστέρηση στο αίτημα συμμετοχής μιας εποπτικής αρχής.

3. Μια εποπτική αρχή δύναται, σύμφωνα με το δίκαιο του κράτους μέλους, και με την άδεια της αποσπούσας εποπτικής αρχής, να εκχωρεί εξουσίες, συμπεριλαμβανομένων των εξουσιών έρευνας στα μέλη ή το προσωπικό της αποσπούσας εποπτικής αρχής που συμμετέχουν σε κοινές επιχειρήσεις ή, στο βαθμό που το δίκαιο της Το κράτος μέλος της εποπτικής αρχής υποδοχής επιτρέπει, επιτρέπει στα μέλη ή στο προσωπικό της εποπτικής αρχής που αποσπά να ασκούν τις εξουσίες διερεύνησής τους σύμφωνα με τη νομοθεσία του κράτους μέλους της εποπτικής αρχής που αποσπά. Αυτές οι εξουσίες έρευνας μπορούν να ασκούνται μόνο υπό την καθοδήγηση και παρουσία μελών ή προσωπικού της εποπτικής αρχής υποδοχής. Τα μέλη ή το προσωπικό της αποσπούσας εποπτικής αρχής υπόκεινται στο δίκαιο του κράτους μέλους της εποπτικής αρχής υποδοχής.

4. Όταν, σύμφωνα με την παράγραφο 1, το προσωπικό μιας αποσπώμενης εποπτικής αρχής δραστηριοποιείται σε άλλο κράτος μέλος, το κράτος μέλος της εποπτικής αρχής υποδοχής αναλαμβάνει την ευθύνη για τις ενέργειές του, συμπεριλαμβανομένης της ευθύνης, για οποιαδήποτε ζημία προκληθεί από αυτό κατά τη λειτουργία τους, σύμφωνα με τη νομοθεσία του κράτους μέλους στο έδαφος του οποίου δραστηριοποιούνται.

5. Το κράτος μέλος στο έδαφος του οποίου προκλήθηκε η ζημία αποκαθιστά τη ζημία αυτή υπό τους όρους που ισχύουν για τις ζημίες που προκλήθηκαν από το προσωπικό του. Το κράτος μέλος της αποσπώμενης εποπτικής αρχής της οποίας το προσωπικό προκάλεσε ζημία σε οποιοδήποτε πρόσωπο στην επικράτεια άλλου κράτους μέλους επιστρέφει στο άλλο κράτος μέλος πλήρως όλα τα ποσά που έχει καταβάλει στα πρόσωπα που δικαιούνται για λογαριασμό τους.

6. Με την επιφύλαξη της άσκησης των δικαιωμάτων του έναντι τρίτων και με την εξαίρεση της παραγράφου 5, κάθε κράτος μέλος απέχει, στην περίπτωση που προβλέπεται στην παράγραφο 1, από το να ζητήσει αποζημίωση από άλλο κράτος μέλος σε σχέση με ζημία που αναφέρεται στην παράγραφο 4.

7. Όταν πρόκειται για κοινή επιχείρηση και μια εποπτική αρχή δεν συμμορφωθεί, εντός ενός μηνός, με την υποχρέωση που ορίζεται στη δεύτερη πρόταση της παραγράφου 2 του παρόντος άρθρου, οι άλλες εποπτικές αρχές μπορούν να θεσπίσουν προσωρινό μέτρο στο έδαφος της κράτος μέλος σύμφωνα με το άρθρο 55. Στην περίπτωση αυτή, τεκμαίρεται ότι πληρούται η επείγουσα ανάγκη δράσης σύμφωνα με το άρθρο 66 παράγραφος 1 και απαιτείται γνώμη ή επείγουσα δεσμευτική απόφαση από το συμβούλιο σύμφωνα με το άρθρο 66 παράγραφος 2.

Τομέας 2

Συνοχή

Άρθρο 63

Μηχανισμός συνέπειας

Προκειμένου να συμβάλουν στη συνεπή εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, κατά περίπτωση, με την Επιτροπή, μέσω του μηχανισμού συνοχής όπως ορίζεται στο παρόν τμήμα.

Άρθρο 64

Γνωμοδότηση του Δ.Σ

1. Το συμβούλιο εκδίδει γνώμη όταν μια αρμόδια εποπτική αρχή προτίθεται να λάβει οποιοδήποτε από τα παρακάτω μέτρα. Για το σκοπό αυτό, η αρμόδια εποπτική αρχή κοινοποιεί το σχέδιο απόφασης στο συμβούλιο, όταν:

(ένα) σκοπεύει να εγκρίνει κατάλογο των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για εκτίμηση επιπτώσεων στην προστασία δεδομένων σύμφωνα με το άρθρο 35 παράγραφος 4•

(σι) αφορά θέμα σύμφωνα με το άρθρο 40 παράγραφος 7 εάν ένα σχέδιο κώδικα δεοντολογίας ή μια τροποποίηση ή επέκταση κώδικα δεοντολογίας συμμορφώνεται με τον παρόντα κανονισμό•

(ντο) αποσκοπεί στην έγκριση των κριτηρίων για τη διαπίστευση φορέα σύμφωνα με το άρθρο 41 παράγραφος 3 ή φορέα πιστοποίησης σύμφωνα με το άρθρο 43 παράγραφος 3•

(ρε) αποσκοπεί στον καθορισμό τυπικών ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο δ) και στο άρθρο 28 παράγραφος 8•

(μι) σκοπεύει να εγκρίνει τις συμβατικές ρήτρες που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο α)• ή

(φά) αποσκοπεί στην έγκριση δεσμευτικών εταιρικών κανόνων κατά την έννοια του άρθρου 47.

2. Οποιαδήποτε εποπτική αρχή, ο πρόεδρος του διοικητικού συμβουλίου ή η Επιτροπή μπορούν να ζητήσουν να εξεταστεί από το συμβούλιο οποιοδήποτε θέμα γενικής εφαρμογής ή που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη με σκοπό τη λήψη γνώμης, ιδίως όταν μια αρμόδια εποπτική αρχή η αρχή δεν συμμορφώνεται με τις υποχρεώσεις για αμοιβαία συνδρομή σύμφωνα με το άρθρο 61 ή για κοινές επιχειρήσεις σύμφωνα με το άρθρο 62.

3. Στις περιπτώσεις των παραγράφων 1 και 2, το συμβούλιο γνωμοδοτεί για το θέμα που του υποβάλλεται υπό την προϋπόθεση ότι δεν έχει ήδη εκδώσει γνώμη για το ίδιο θέμα. Η γνώμη αυτή εκδίδεται εντός οκτώ εβδομάδων με απλή πλειοψηφία των μελών του διοικητικού συμβουλίου. Αυτή η περίοδος μπορεί να παραταθεί κατά έξι ακόμη εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα του θέματος. Όσον αφορά το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 που κυκλοφόρησε στα μέλη του διοικητικού συμβουλίου σύμφωνα με την παράγραφο 5, ένα μέλος που δεν έχει διατυπώσει αντιρρήσεις εντός εύλογης προθεσμίας που υποδεικνύεται από τον πρόεδρο, θεωρείται ότι συμφωνεί με το σχέδιο απόφασης.

4. Οι εποπτικές αρχές και η Επιτροπή κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, με ηλεκτρονικά μέσα στο διοικητικό συμβούλιο, χρησιμοποιώντας τυποποιημένη μορφή, κάθε σχετική πληροφορία, συμπεριλαμβανομένης, κατά περίπτωση, περίληψης των γεγονότων, του σχεδίου απόφασης, των λόγων τη θέσπιση αυτού του αναγκαίου μέτρου και τις απόψεις άλλων ενδιαφερόμενων εποπτικών αρχών.

5. Ο πρόεδρος του συμβουλίου ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, με ηλεκτρονικά μέσα:

(ένα) τα μέλη του διοικητικού συμβουλίου και η Επιτροπή οποιασδήποτε σχετικής πληροφορίας του έχει κοινοποιηθεί με τυποποιημένη μορφή. Η γραμματεία του συμβουλίου παρέχει, όπου χρειάζεται, μεταφράσεις των σχετικών πληροφοριών• και

(σι) η εποπτική αρχή που αναφέρεται, ανάλογα με την περίπτωση, στις παραγράφους 1 και 2, και η Επιτροπή της γνώμης και τη δημοσιοποιεί.

6. Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασής της που αναφέρεται στην παράγραφο 1 εντός της περιόδου που αναφέρεται στην παράγραφο 3.

7. Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαμβάνει ιδιαιτέρως υπόψη τη γνώμη του συμβουλίου και, εντός δύο εβδομάδων από τη λήψη της γνώμης, κοινοποιεί στον πρόεδρο του συμβουλίου με ηλεκτρονικά μέσα εάν θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασής της και, εάν υπάρχει, το τροποποιημένο σχέδιο απόφασης, χρησιμοποιώντας τυποποιημένη μορφή.

8. Όταν η οικεία εποπτική αρχή ενημερώνει τον πρόεδρο του συμβουλίου εντός της περιόδου που αναφέρεται στην παράγραφο 7 του παρόντος άρθρου ότι δεν προτίθεται να ακολουθήσει τη γνώμη του συμβουλίου, εν όλω ή εν μέρει, παρέχοντας τους σχετικούς λόγους, άρθρο 65 (1).

Άρθρο 65

Επίλυση διαφορών από το Δ.Σ

1. Προκειμένου να διασφαλιστεί η ορθή και συνεπής εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το συμβούλιο εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:

(ένα) όταν, σε μια περίπτωση που αναφέρεται στο άρθρο 60 παράγραφος 4, μια ενδιαφερόμενη εποπτική αρχή έχει διατυπώσει σχετική και αιτιολογημένη αντίρρηση σε σχέδιο απόφασης της επικεφαλής αρχής ή η επικεφαλής αρχή έχει απορρίψει μια τέτοια ένσταση ως μη σχετική ή αιτιολογημένη. Η δεσμευτική απόφαση αφορά όλα τα θέματα που αποτελούν αντικείμενο της σχετικής και αιτιολογημένης ένστασης, ιδίως εάν υφίσταται παράβαση του παρόντος κανονισμού•

(σι) όταν υπάρχουν αντικρουόμενες απόψεις σχετικά με το ποια από τις ενδιαφερόμενες εποπτικές αρχές είναι αρμόδια για την κύρια εγκατάσταση•

(ντο) όταν μια αρμόδια εποπτική αρχή δεν ζητά τη γνώμη του συμβουλίου στις περιπτώσεις που αναφέρονται στο άρθρο 64 παράγραφος 1 ή δεν ακολουθεί τη γνώμη του συμβουλίου που εκδίδεται δυνάμει του άρθρου 64. Στην περίπτωση αυτή, οποιαδήποτε ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή μπορεί να κοινοποιήσει το θέμα στο Δ.Σ.

2. Η απόφαση της παραγράφου 1 λαμβάνεται εντός ενός μηνός από την παραπομπή του θέματος με πλειοψηφία δύο τρίτων των μελών του Δ.Σ. Η προθεσμία αυτή μπορεί να παραταθεί κατά έναν ακόμη μήνα λόγω της πολυπλοκότητας του θέματος. Η απόφαση που αναφέρεται στην παράγραφο 1 είναι αιτιολογημένη και απευθύνεται στην κύρια εποπτική αρχή και σε όλες τις ενδιαφερόμενες εποπτικές αρχές και είναι δεσμευτική για αυτές.

3. Εάν το συμβούλιο δεν μπόρεσε να λάβει απόφαση εντός των προθεσμιών που αναφέρονται στην παράγραφο 2, λαμβάνει την απόφασή του εντός δύο εβδομάδων από τη λήξη του δεύτερου μήνα που αναφέρεται στην παράγραφο 2 με απλή πλειοψηφία των μελών του Σανίδα. Σε περίπτωση διάσπασης των μελών του συμβουλίου, η απόφαση εγκρίνεται με την ψήφο του προέδρου του.

4. Οι ενδιαφερόμενες εποπτικές αρχές δεν εκδίδουν απόφαση για το θέμα που υποβάλλεται στο συμβούλιο σύμφωνα με την παράγραφο 1 κατά τις περιόδους που αναφέρονται στις παραγράφους 2 και 3.

5. Ο πρόεδρος του συμβουλίου κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, την απόφαση που αναφέρεται στην παράγραφο 1 στις ενδιαφερόμενες εποπτικές αρχές. Ενημερώνει σχετικά την Επιτροπή. Η απόφαση δημοσιεύεται στον ιστότοπο του συμβουλίου χωρίς καθυστέρηση αφού κοινοποιήσει η εποπτική αρχή την τελική απόφαση που αναφέρεται στην παράγραφο 6.

6. Η κύρια εποπτική αρχή ή, ανάλογα με την περίπτωση, η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία λαμβάνει την τελική της απόφαση βάσει της απόφασης που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, χωρίς αδικαιολόγητη καθυστέρηση και στην το αργότερο ένα μήνα μετά την κοινοποίηση της απόφασής του από το Διοικητικό Συμβούλιο. Η κύρια εποπτική αρχή ή, ανάλογα με την περίπτωση, η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία, ενημερώνει το συμβούλιο για την ημερομηνία κοινοποίησης της τελικής απόφασής του αντίστοιχα στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία και στο υποκείμενο των δεδομένων. Η τελική απόφαση των ενδιαφερόμενων εποπτικών αρχών λαμβάνεται σύμφωνα με τους όρους του άρθρου 60 παράγραφοι 7, 8 και 9. Η τελική απόφαση παραπέμπει στην απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου και προσδιορίζει ότι η απόφαση που αναφέρεται στην εν λόγω παράγραφο θα δημοσιευθεί στον ιστότοπο του συμβουλίου σύμφωνα με την παράγραφο 5 του παρόντος άρθρου. Στην τελική απόφαση επισυνάπτεται η απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου.

Άρθρο 66

Επείγουσα διαδικασία

1. Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή κρίνει ότι υπάρχει επείγουσα ανάγκη να ενεργήσει για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, μπορεί, κατά παρέκκλιση από τον μηχανισμό συνοχής που αναφέρεται στα άρθρα 63, 64 και 65 ή τη διαδικασία που αναφέρεται στο άρθρο 60, να λάβει αμέσως προσωρινά μέτρα που αποσκοπούν στην παραγωγή έννομων αποτελεσμάτων στην επικράτειά του με καθορισμένη περίοδο ισχύος που δεν υπερβαίνει τους τρεις μήνες. Η εποπτική αρχή κοινοποιεί, χωρίς καθυστέρηση, τα εν λόγω μέτρα και τους λόγους υιοθέτησής τους στις άλλες ενδιαφερόμενες εποπτικές αρχές, στο διοικητικό συμβούλιο και στην Επιτροπή.

2. Όταν μια εποπτική αρχή έχει λάβει ένα μέτρο σύμφωνα με την παράγραφο 1 και κρίνει ότι πρέπει να ληφθούν επειγόντως οριστικά μέτρα, μπορεί να ζητήσει επείγουσα γνώμη ή επείγουσα δεσμευτική απόφαση από το συμβούλιο, αιτιολογώντας τη γνώμη ή την απόφαση αυτή.

3. Οποιαδήποτε εποπτική αρχή μπορεί να ζητήσει επείγουσα γνώμη ή επείγουσα δεσμευτική απόφαση, ανάλογα με την περίπτωση, από το συμβούλιο όταν η αρμόδια εποπτική αρχή δεν έχει λάβει το κατάλληλο μέτρο σε περίπτωση που υπάρχει επείγουσα ανάγκη δράσης, προκειμένου για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, αιτιολογώντας την αίτηση για τη γνώμη ή την απόφαση, μεταξύ άλλων για την επείγουσα ανάγκη δράσης.

4. Κατά παρέκκλιση από το άρθρο 64 παράγραφος 3 και το άρθρο 65 παράγραφος 2, μια επείγουσα γνώμη ή μια επείγουσα δεσμευτική απόφαση που αναφέρεται στις παραγράφους 2 και 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Δ.Σ. .

Άρθρο 67

Ανταλλαγή πληροφοριών

Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις γενικής εμβέλειας προκειμένου να προσδιορίσει τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ των εποπτικών αρχών και μεταξύ των εποπτικών αρχών και του συμβουλίου, ιδίως την τυποποιημένη μορφή που αναφέρεται στο άρθρο 64.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Ενότητα 3

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Άρθρο 68

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

1. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (το «Συμβούλιο») ιδρύεται ως όργανο της Ένωσης και έχει νομική προσωπικότητα.

2. Το συμβούλιο εκπροσωπείται από τον πρόεδρό του.

3. Το συμβούλιο απαρτίζεται από τον επικεφαλής μιας εποπτικής αρχής κάθε κράτους μέλους και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή από τους αντίστοιχους εκπροσώπους τους.

4. Όταν σε ένα κράτος μέλος περισσότερες από μία εποπτικές αρχές είναι υπεύθυνες για την παρακολούθηση της εφαρμογής των διατάξεων σύμφωνα με τον παρόντα κανονισμό, ορίζεται κοινός εκπρόσωπος σύμφωνα με τη νομοθεσία του εν λόγω κράτους μέλους.

5. Η Επιτροπή έχει δικαίωμα να συμμετέχει στις δραστηριότητες και τις συνεδριάσεις του συμβουλίου χωρίς δικαίωμα ψήφου. Η Επιτροπή ορίζει αντιπρόσωπο. Ο πρόεδρος του συμβουλίου κοινοποιεί στην Επιτροπή τις δραστηριότητες του συμβουλίου.

6. Στις περιπτώσεις που αναφέρονται στο άρθρο 65, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει δικαίωμα ψήφου μόνο για αποφάσεις που αφορούν αρχές και κανόνες που ισχύουν για τα θεσμικά και λοιπά όργανα της Ένωσης και αντιστοιχούν κατ' ουσίαν σε εκείνα του παρόντος κανονισμού.

Άρθρο 69

Ανεξαρτησία

1. Το συμβούλιο ενεργεί ανεξάρτητα κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του σύμφωνα με τα άρθρα 70 και 71.

2. Με την επιφύλαξη των αιτημάτων της Επιτροπής που αναφέρονται στο άρθρο 70 παράγραφος 1 στοιχείο β) και στο άρθρο 70 παράγραφος 2, το συμβούλιο, κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του, δεν επιδιώκει ούτε πάρτε οδηγίες από κανέναν.

Άρθρο 70

Καθήκοντα του Δ.Σ

1. Το συμβούλιο διασφαλίζει τη συνεπή εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το συμβούλιο, με δική του πρωτοβουλία ή, κατά περίπτωση, κατόπιν αιτήματος της Επιτροπής, ιδίως:

(ένα) παρακολουθεί και διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού στις περιπτώσεις που προβλέπονται στα άρθρα 64 και 65 με την επιφύλαξη των καθηκόντων των εθνικών εποπτικών αρχών•

(σι) συμβουλεύει την Επιτροπή για κάθε θέμα που σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού•

(ντο) να συμβουλεύει την Επιτροπή σχετικά με τη μορφή και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελών την επεξεργασία και εποπτικών αρχών για δεσμευτικούς εταιρικούς κανόνες•

(ρε) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες διαγραφής συνδέσμων, αντιγράφων ή αντιγράφων προσωπικών δεδομένων από διαθέσιμες στο κοινό υπηρεσίες επικοινωνίας, όπως αναφέρονται στο άρθρο 17 παράγραφος 2•

(μι) εξετάζει, με δική της πρωτοβουλία, κατόπιν αιτήματος ενός από τα μέλη του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα που καλύπτει την εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές προκειμένου να ενθαρρύνει τη συνεπή εφαρμογή του παρόντος κανονισμού•

(φά) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τις αποφάσεις που βασίζονται στην κατάρτιση προφίλ σύμφωνα με το άρθρο 22 παράγραφος 2•

(σολ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τη διαπίστωση των παραβιάσεων προσωπικών δεδομένων και τον προσδιορισμό της αδικαιολόγητης καθυστέρησης που αναφέρεται στο άρθρο 33 παράγραφοι 1 και 2 και για τις ιδιαίτερες περιστάσεις υπό τις οποίες ένας υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαιτείται να ειδοποιήσει την παραβίαση προσωπικών δεδομένων•

(η) εκδίδουν κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου ως προς τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34( 1).

(Εγώ) εκδίδουν κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου με σκοπό τον περαιτέρω προσδιορισμό των κριτηρίων και απαιτήσεων για τη διαβίβαση προσωπικών δεδομένων με βάση δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και περαιτέρω απαραίτητες απαιτήσεις για τη διασφάλιση της προστασίας των προσωπικών δεδομένων των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47•

(ι) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου με σκοπό τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 49 παράγραφος 1•

(κ) καταρτίζει κατευθυντήριες γραμμές για τις εποπτικές αρχές σχετικά με την εφαρμογή των μέτρων που αναφέρονται στο άρθρο 58 παράγραφοι 1, 2 και 3 και τον καθορισμό διοικητικών προστίμων σύμφωνα με το άρθρο 83•

(μεγάλο) επανεξέταση της πρακτικής εφαρμογής των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία ε) και στ)•

(Μ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τη θέσπιση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα για παραβάσεις του παρόντος κανονισμού σύμφωνα με το άρθρο 54 παράγραφος 2•

(n) να ενθαρρύνουν την κατάρτιση κωδίκων δεοντολογίας και τη δημιουργία μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων σύμφωνα με τα άρθρα 40 και 42•

(ο) διενεργεί τη διαπίστευση των φορέων πιστοποίησης και την περιοδική αναθεώρησή της σύμφωνα με το άρθρο 43 και διατηρεί δημόσιο μητρώο των διαπιστευμένων φορέων σύμφωνα με το άρθρο 43 παράγραφος 6 και των διαπιστευμένων υπευθύνων επεξεργασίας ή εκτελών επεξεργασίας που είναι εγκατεστημένοι σε τρίτες χώρες σύμφωνα με το άρθρο 42 παράγραφος 7•

(Π) προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 παράγραφος 3 ενόψει της διαπίστευσης των φορέων πιστοποίησης σύμφωνα με το άρθρο 42•

(ιζ) παρέχει στην Επιτροπή γνώμη σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθρο 43 παράγραφος 8•

(r) παρέχει στην Επιτροπή γνώμη σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 παράγραφος 7•

(μικρό) παρέχει στην Επιτροπή γνώμη για την αξιολόγηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης εάν πρόκειται για τρίτη χώρα, έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή διεθνούς Ο οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας. Για το σκοπό αυτό, η Επιτροπή παρέχει στο συμβούλιο όλα τα απαραίτητα έγγραφα, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, σχετικά με αυτήν την τρίτη χώρα, έδαφος ή συγκεκριμένο τομέα ή με τον διεθνή οργανισμό.

(t) εκδίδει γνωμοδοτήσεις για σχέδια αποφάσεων των εποπτικών αρχών σύμφωνα με τον μηχανισμό συνοχής που αναφέρεται στο άρθρο 64 παράγραφος 1, για θέματα που υποβάλλονται σύμφωνα με το άρθρο 64 παράγραφος 2 και για την έκδοση δεσμευτικών αποφάσεων σύμφωνα με το άρθρο 65, συμπεριλαμβανομένων των περιπτώσεων που αναφέρονται στο άρθρο 66 ;

(u) προώθηση της συνεργασίας και της αποτελεσματικής διμερούς και πολυμερούς ανταλλαγής πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών•

(v) να προωθήσει κοινά προγράμματα κατάρτισης και να διευκολύνει τις ανταλλαγές προσωπικού μεταξύ των εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς•

(w) προώθηση της ανταλλαγής γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική για την προστασία των δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων παγκοσμίως.

(Χ) εκδίδει γνωμοδοτήσεις σχετικά με κώδικες δεοντολογίας που καταρτίζονται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 παράγραφος 9• και

(y) να τηρεί ένα προσβάσιμο στο κοινό ηλεκτρονικό μητρώο των αποφάσεων που λαμβάνονται από τις εποπτικές αρχές και τα δικαστήρια για θέματα που αντιμετωπίζονται στο πλαίσιο του μηχανισμού συνοχής.

2. Όταν η Επιτροπή ζητήσει συμβουλές από το διοικητικό συμβούλιο, μπορεί να υποδείξει ένα χρονικό όριο, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3. Το συμβούλιο διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές του στην Επιτροπή και στην επιτροπή που αναφέρεται στο άρθρο 93 και τις δημοσιοποιεί.

4. Το συμβούλιο, όπου χρειάζεται, διαβουλεύεται με τα ενδιαφερόμενα μέρη και τους δίνει τη δυνατότητα να υποβάλουν τις παρατηρήσεις τους εντός εύλογης προθεσμίας. Το συμβούλιο, με την επιφύλαξη του άρθρου 76, δημοσιοποιεί τα αποτελέσματα της διαδικασίας διαβούλευσης.

Άρθρο 71

Αναφορές

1. Το συμβούλιο συντάσσει ετήσια έκθεση σχετικά με την προστασία των φυσικών προσώπων έναντι της μεταποίησης στην Ένωση και, κατά περίπτωση, σε τρίτες χώρες και διεθνείς οργανισμούς. Η έκθεση δημοσιοποιείται και διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή.

2. Η ετήσια έκθεση περιλαμβάνει επανεξέταση της πρακτικής εφαρμογής των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο άρθρο 70 παράγραφος 1 στοιχείο ιβ), καθώς και των δεσμευτικών αποφάσεων που αναφέρονται στο άρθρο 65.

Άρθρο 72

Διαδικασία

1. Το συμβούλιο λαμβάνει αποφάσεις με απλή πλειοψηφία των μελών του, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό.

2. Το συμβούλιο θεσπίζει τον εσωτερικό του κανονισμό με πλειοψηφία δύο τρίτων των μελών του και οργανώνει τις δικές του επιχειρησιακές ρυθμίσεις.

Άρθρο 73

Καρέκλα

1. Το διοικητικό συμβούλιο εκλέγει έναν πρόεδρο και δύο αντιπροέδρους μεταξύ των μελών του με απλή πλειοψηφία.

2. Η θητεία του προέδρου και των αντιπροέδρων είναι πενταετής και μπορεί να ανανεωθεί μία φορά.

Άρθρο 74

Καθήκοντα της Προεδρίας

1. Ο πρόεδρος έχει τα ακόλουθα καθήκοντα:

(ένα) να συγκαλεί τις συνεδριάσεις του ΔΣ και να προετοιμάζει την ημερήσια διάταξή του•

(σι) να κοινοποιεί τις αποφάσεις που λαμβάνονται από το συμβούλιο σύμφωνα με το άρθρο 65 στην κύρια εποπτική αρχή και στις ενδιαφερόμενες εποπτικές αρχές•

(ντο) να διασφαλίζει την έγκαιρη εκτέλεση των καθηκόντων του διοικητικού συμβουλίου, ιδίως σε σχέση με τον μηχανισμό συνέπειας που αναφέρεται στο άρθρο 63.

2. Το συμβούλιο καθορίζει την κατανομή των καθηκόντων μεταξύ του προέδρου και των αντιπροέδρων στον εσωτερικό κανονισμό του.

Άρθρο 75

Γραμματεία

1. Το συμβούλιο διαθέτει γραμματεία, η οποία παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

2. Η γραμματεία ασκεί τα καθήκοντά της αποκλειστικά υπό τις οδηγίες του προέδρου του συμβουλίου.

3. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην εκτέλεση των καθηκόντων που ανατίθενται στο διοικητικό συμβούλιο με τον παρόντα κανονισμό υπόκειται σε χωριστές γραμμές αναφοράς από το προσωπικό που συμμετέχει στην εκτέλεση των καθηκόντων που ανατίθενται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

4. Όπου ενδείκνυται, το συμβούλιο και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζουν και δημοσιεύουν Μνημόνιο Συνεννόησης για την εφαρμογή του παρόντος άρθρου, το οποίο καθορίζει τους όρους της συνεργασίας τους και ισχύει για το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην εκτέλεση των καθηκόντων που ανατίθενται στο διοικητικό συμβούλιο βάσει του παρόντος κανονισμού.

5. Η γραμματεία παρέχει αναλυτική, διοικητική και υλικοτεχνική υποστήριξη στο συμβούλιο.

6. Η γραμματεία είναι αρμόδια ιδίως για:

(ένα) τις καθημερινές εργασίες του Δ.Σ.

(σι) επικοινωνία μεταξύ των μελών του διοικητικού συμβουλίου, του προέδρου του και της Επιτροπής•

(ντο) επικοινωνία με άλλα ιδρύματα και το κοινό•

(ρε) τη χρήση ηλεκτρονικών μέσων για την εσωτερική και εξωτερική επικοινωνία•

(μι) τη μετάφραση των σχετικών πληροφοριών•

(φά) την προετοιμασία και παρακολούθηση των συνεδριάσεων του ΔΣ•

(σολ) την προετοιμασία, σύνταξη και δημοσίευση γνωμοδοτήσεων, αποφάσεων επίλυσης διαφορών μεταξύ εποπτικών αρχών και άλλων κειμένων που εγκρίνονται από το Δ.Σ.

Άρθρο 76

Εμπιστευτικότητα

1. Οι συζητήσεις του συμβουλίου είναι εμπιστευτικές όπου το συμβούλιο το κρίνει απαραίτητο, όπως προβλέπεται στον εσωτερικό κανονισμό του.

2. Η πρόσβαση στα έγγραφα που υποβάλλονται σε μέλη του διοικητικού συμβουλίου, εμπειρογνώμονες και εκπροσώπους τρίτων διέπεται από τον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 21 ) .

ΚΕΦΑΛΑΙΟ VIII

Διορθώσεις, ευθύνη και κυρώσεις

Άρθρο 77

Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή

1. Με την επιφύλαξη οποιουδήποτε άλλου διοικητικού ή δικαστικού μέσου, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, στον τόπο εργασίας ή στον τόπο της εικαζόμενης παράβασης εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τον παρόντα κανονισμό.

2. Η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της καταγγελίας, συμπεριλαμβανομένης της δυνατότητας δικαστικής προσφυγής σύμφωνα με το άρθρο 78.

Άρθρο 78

Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά εποπτικής αρχής

1. Με την επιφύλαξη οποιουδήποτε άλλου διοικητικού ή μη ένδικου μέσου, κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.

2. Με την επιφύλαξη οποιουδήποτε άλλου διοικητικού ή μη ένδικου μέσου, κάθε υποκείμενο των δεδομένων έχει δικαίωμα σε αποτελεσματικό ένδικο μέσο όταν η εποπτική αρχή που είναι αρμόδια σύμφωνα με τα άρθρα 55 και 56 δεν χειρίζεται καταγγελία ή δεν ενημερώνει την υποκείμενο των δεδομένων εντός τριών μηνών σχετικά με την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε σύμφωνα με το άρθρο 77.

3. Η διαδικασία κατά της εποπτικής αρχής κινείται ενώπιον των δικαστηρίων του κράτους μέλους όπου είναι εγκατεστημένη η εποπτική αρχή.

4. Όταν κινείται διαδικασία κατά απόφασης εποπτικής αρχής της οποίας προηγήθηκε γνώμη ή απόφαση του συμβουλίου στο πλαίσιο του μηχανισμού συνοχής, η εποπτική αρχή διαβιβάζει τη γνώμη ή την απόφαση αυτή στο δικαστήριο.

Άρθρο 79

Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία

1. Με την επιφύλαξη οποιουδήποτε διαθέσιμου διοικητικού ή μη ένδικου μέσου, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή σύμφωνα με το άρθρο 77, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα σε αποτελεσματική ένδικη προσφυγή όταν θεωρεί ότι τα δικαιώματά της βάσει του παρόντος κανονισμού έχουν παραβιαστεί ως αποτέλεσμα της επεξεργασίας των προσωπικών του δεδομένων κατά τη μη συμμόρφωση με τον παρόντα κανονισμό.

2. Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση. Εναλλακτικά, τέτοιες διαδικασίες μπορούν να κινηθούν ενώπιον των δικαστηρίων του κράτους μέλους όπου το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους που ενεργεί κατά την άσκηση των δημοσίων εξουσιών του.

Άρθρο 80

Εκπροσώπηση των υποκειμένων των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να εξουσιοδοτήσει έναν μη κερδοσκοπικό φορέα, οργανισμό ή ένωση που έχει συσταθεί κατάλληλα σύμφωνα με το δίκαιο ενός κράτους μέλους, έχει θεσμικούς στόχους που είναι προς το δημόσιο συμφέρον και είναι ενεργός στον τομέα της προστασίας των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων όσον αφορά την προστασία των προσωπικών τους δεδομένων να υποβάλουν καταγγελία για λογαριασμό του, να ασκήσουν τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του , και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 για λογαριασμό του/της όπου προβλέπεται από τη νομοθεσία των κρατών μελών.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργανισμός ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, ανεξάρτητα από την εντολή του υποκειμένου των δεδομένων, έχει το δικαίωμα να υποβάλει, σε αυτό το κράτος μέλος, καταγγελία στην εποπτική αρχή που είναι αρμόδια σύμφωνα με στο άρθρο 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79 εάν κρίνει ότι τα δικαιώματα ενός υποκειμένου των δεδομένων βάσει του παρόντος κανονισμού έχουν παραβιαστεί ως αποτέλεσμα της επεξεργασίας.

Άρθρο 81

Αναστολή της διαδικασίας

1. Όταν ένα αρμόδιο δικαστήριο κράτους μέλους έχει πληροφορίες σχετικά με διαδικασίες, που αφορούν το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, που εκκρεμούν σε δικαστήριο άλλου κράτους μέλους, επικοινωνεί με το δικαστήριο του άλλου μέλους κράτος να επιβεβαιώσει την ύπαρξη τέτοιων διαδικασιών.

2. Όταν εκκρεμεί διαδικασία σχετικά με το ίδιο αντικείμενο όσον αφορά την επεξεργασία του ίδιου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε δικαστήριο άλλου κράτους μέλους, κάθε αρμόδιο δικαστήριο εκτός του δικαστηρίου που επιλήφθηκε πρώτο μπορεί να αναστείλει τη διαδικασία.

3. Όταν οι εν λόγω διαδικασίες εκκρεμούν σε πρώτο βαθμό, οποιοδήποτε δικαστήριο εκτός από το πρώτο δικαστήριο που επιλήφθηκε μπορεί επίσης, κατόπιν αιτήσεως ενός από τα μέρη, να απορρίψει διεθνή δικαιοδοσία εάν το πρώτο δικαστήριο που επιλήφθηκε είναι αρμόδιο για τις εν λόγω ενέργειες και το δίκαιο του επιτρέπει ενοποίησή της.

Άρθρο 82

Δικαίωμα αποζημίωσης και ευθύνης

1. Κάθε πρόσωπο που έχει υποστεί υλική ή ηθική ζημία ως αποτέλεσμα παράβασης του παρόντος κανονισμού έχει το δικαίωμα να λάβει αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2. Κάθε υπεύθυνος επεξεργασίας που εμπλέκεται στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκαλείται από επεξεργασία που παραβιάζει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκαλείται από την επεξεργασία μόνο όταν δεν έχει συμμορφωθεί με τις υποχρεώσεις του παρόντος κανονισμού που απευθύνονται ειδικά στους εκτελούντες την επεξεργασία ή όταν ενήργησε εκτός ή αντίθετα με τις νόμιμες οδηγίες του υπεύθυνου επεξεργασίας.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη σύμφωνα με την παράγραφο 2, εάν αποδείξει ότι δεν ευθύνεται με κανέναν τρόπο για το γεγονός που προκάλεσε τη ζημία.

4. Όταν περισσότεροι από ένας υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία, ή και ένας υπεύθυνος επεξεργασίας και ένας εκτελών την επεξεργασία, εμπλέκονται στην ίδια επεξεργασία και όπου, σύμφωνα με τις παραγράφους 2 και 3, είναι υπεύθυνοι για οποιαδήποτε ζημία προκληθεί από την επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θα θεωρείται ευθύνεται για ολόκληρη τη ζημία προκειμένου να διασφαλιστεί η αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.

5. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει καταβάλει, σύμφωνα με την παράγραφο 4, πλήρη αποζημίωση για τη ζημία που υπέστη, αυτός ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δικαιούται να ζητήσει πίσω από τους άλλους υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία το μέρος της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους για τη ζημία, σύμφωνα με τους όρους που ορίζονται στην παράγραφο 2.

6. Οι δικαστικές διαδικασίες για την άσκηση του δικαιώματος αποζημίωσης κινούνται ενώπιον των αρμόδιων δικαστηρίων σύμφωνα με το δίκαιο του κράτους μέλους που αναφέρεται στο άρθρο 79 παράγραφος 2.

Άρθρο 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Κάθε εποπτική αρχή διασφαλίζει ότι η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο για παραβάσεις του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 είναι σε κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπλέον ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και ι). Κατά τη λήψη απόφασης για την επιβολή διοικητικού προστίμου και τη λήψη απόφασης για το ύψος του διοικητικού προστίμου σε κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

(ένα) τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που επηρεάζονται και το επίπεδο της ζημίας που υπέστησαν•

(σι) τον εκ προθέσεως ή εξ αμελείας χαρακτήρα της παράβασης•

(ντο) κάθε ενέργεια που λαμβάνεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τον μετριασμό της ζημίας που υπέστησαν τα υποκείμενα των δεδομένων•

(ρε) ο βαθμός ευθύνης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν σύμφωνα με τα άρθρα 25 και 32•

(μι) τυχόν σχετικές προηγούμενες παραβάσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία•

(φά) τον βαθμό συνεργασίας με την εποπτική αρχή, προκειμένου να επανορθωθεί η παράβαση και να μετριαστούν οι πιθανές αρνητικές επιπτώσεις της παράβασης•

(σολ) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζονται από την παραβίαση•

(η) τον τρόπο με τον οποίο η παράβαση έγινε γνωστή στην εποπτική αρχή, ιδίως εάν και σε ποιο βαθμό ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησαν την παράβαση•

(Εγώ) όταν τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 έχουν προηγουμένως διαταχθεί κατά του ενδιαφερομένου υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία για το ίδιο αντικείμενο, συμμόρφωση με τα μέτρα αυτά•

(ι) τήρηση εγκεκριμένων κωδίκων συμπεριφοράς σύμφωνα με το άρθρο 40 ή εγκεκριμένους μηχανισμούς πιστοποίησης σύμφωνα με το άρθρο 42• και

(κ) οποιονδήποτε άλλο επιβαρυντικό ή ελαφρυντικό παράγοντα που ισχύει για τις περιστάσεις της υπόθεσης, όπως οικονομικά οφέλη που αποκτήθηκαν ή ζημίες που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εκ προθέσεως ή εξ αμελείας, για τις ίδιες ή συνδεδεμένες εργασίες επεξεργασίας, παραβιάζει πολλές διατάξεις του παρόντος κανονισμού, το συνολικό ποσό του διοικητικού προστίμου δεν υπερβαίνει το ποσό που καθορίζεται για τη σοβαρότερη παράβαση.

4. Οι παραβάσεις των ακόλουθων διατάξεων υπόκεινται, σύμφωνα με την παράγραφο 2, σε διοικητικά πρόστιμα μέχρι 10 000 000 ευρώ ή σε περίπτωση επιχείρησης έως 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους , όποιο είναι υψηλότερο:

(ένα) τις υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43•

(σι) τις υποχρεώσεις του οργανισμού πιστοποίησης σύμφωνα με τα άρθρα 42 και 43•

(ντο) τις υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 παράγραφος 4.

5. Οι παραβάσεις των ακόλουθων διατάξεων υπόκεινται, σύμφωνα με την παράγραφο 2, σε διοικητικά πρόστιμα έως 20 000 000 ευρώ ή σε περίπτωση επιχείρησης έως 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους , όποιο είναι υψηλότερο:

(ένα) τις βασικές αρχές για την επεξεργασία, συμπεριλαμβανομένων των όρων συγκατάθεσης, σύμφωνα με τα άρθρα 5, 6, 7 και 9•

(σι) τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22•

(ντο) οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 έως 49•

(ρε) οποιεσδήποτε υποχρεώσεις δυνάμει του δικαίου των κρατών μελών που έχουν εγκριθεί δυνάμει του Κεφαλαίου IX•

(μι) μη συμμόρφωση με εντολή ή προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή αναστολή της ροής δεδομένων από την εποπτική αρχή σύμφωνα με το άρθρο 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1.

6. Η μη συμμόρφωση με εντολή της εποπτικής αρχής που αναφέρεται στο άρθρο 58 παράγραφος 2, υπόκειται, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, σε διοικητικά πρόστιμα έως 20 000 000 ευρώ ή σε περίπτωση ανάληψη υποχρέωσης, έως και 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, όποιο από τα δύο είναι υψηλότερο.

7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος μπορεί να θεσπίζει κανόνες σχετικά με το εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές και φορείς που είναι εγκατεστημένοι σε αυτό το κράτος μέλος.

8. Η άσκηση από την εποπτική αρχή των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και των κρατών μελών, συμπεριλαμβανομένων των αποτελεσματικών ένδικων μέσων και της δέουσας διαδικασίας.

9. Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει διοικητικά πρόστιμα, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε το πρόστιμο να κινείται από την αρμόδια εποπτική αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, διασφαλίζοντας παράλληλα ότι τα εν λόγω ένδικα μέσα αποτελεσματικές και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Σε κάθε περίπτωση, τα επιβαλλόμενα πρόστιμα είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Αυτά τα κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις της νομοθεσίας τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε μεταγενέστερο τροποποιητικό νόμο ή τροποποίηση που τα επηρεάζει.

Άρθρο 84

Ποινικές ρήτρες

1. Τα κράτη μέλη θεσπίζουν κανόνες για άλλες κυρώσεις που επιβάλλονται σε παραβάσεις του παρόντος κανονισμού, ιδίως για παραβάσεις που δεν υπόκεινται σε διοικητικά πρόστιμα σύμφωνα με το άρθρο 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να εξασφαλίσουν την εφαρμογή τους. Οι κυρώσεις αυτές πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις της νομοθεσίας του που θεσπίζει σύμφωνα με την παράγραφο 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε μεταγενέστερη τροποποίηση που τις επηρεάζει.

ΚΕΦΑΛΑΙΟ IX

Διατάξεις που αφορούν συγκεκριμένες καταστάσεις επεξεργασίας

Άρθρο 85

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Τα κράτη μέλη συμβιβάζουν με νόμο το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον παρόντα κανονισμό με το δικαίωμα στην ελευθερία έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και των σκοπών της ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

2. Για την επεξεργασία που πραγματοποιείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο II (αρχές), το κεφάλαιο III (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία). ), Κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς), Κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), Κεφάλαιο VII (συνεργασία και συνέπεια) και Κεφάλαιο IX (ειδικές καταστάσεις επεξεργασίας δεδομένων) εάν είναι απαραίτητα για τον συμβιβασμό του δικαιώματος την προστασία των προσωπικών δεδομένων με την ελευθερία έκφρασης και ενημέρωσης.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις της νομοθεσίας του που έχει θεσπίσει σύμφωνα με την παράγραφο 2 και, χωρίς καθυστέρηση, κάθε μεταγενέστερο τροποποιητικό νόμο ή τροποποίηση που τις επηρεάζει.

Άρθρο 86

Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα

Προσωπικά δεδομένα σε επίσημα έγγραφα που κατέχονται από δημόσια αρχή ή δημόσιο φορέα ή ιδιωτικό φορέα για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον μπορούν να αποκαλυφθούν από την αρχή ή τον φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο το κοινό αρχή ή φορέας υπόκειται προκειμένου να συμβιβάσει την πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον παρόντα κανονισμό.

Άρθρο 87

Επεξεργασία του εθνικού αριθμού αναγνώρισης

Τα κράτη μέλη μπορούν περαιτέρω να καθορίζουν τους ειδικούς όρους για την επεξεργασία ενός εθνικού αριθμού αναγνώρισης ή οποιουδήποτε άλλου αναγνωριστικού γενικής εφαρμογής. Στην περίπτωση αυτή, ο εθνικός αριθμός αναγνώρισης ή οποιοδήποτε άλλο αναγνωριστικό γενικής εφαρμογής χρησιμοποιείται μόνο υπό τις κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό.

Άρθρο 88

Επεξεργασία στο πλαίσιο της απασχόλησης

1. Τα κράτη μέλη μπορούν, με νόμο ή με συλλογικές συμβάσεις, να προβλέπουν ειδικότερους κανόνες για τη διασφάλιση της προστασίας των δικαιωμάτων και ελευθεριών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους σκοπούς της πρόσληψης , την εκτέλεση της σύμβασης εργασίας, συμπεριλαμβανομένης της εκπλήρωσης υποχρεώσεων που ορίζονται από το νόμο ή τις συλλογικές συμβάσεις, τη διαχείριση, τον προγραμματισμό και την οργάνωση της εργασίας, την ισότητα και διαφορετικότητα στο χώρο εργασίας, την υγεία και ασφάλεια στην εργασία, την προστασία της περιουσίας του εργοδότη ή του πελάτη και για τους σκοπούς της άσκησης και της απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την εργασία και για το σκοπό της λύσης της εργασιακής σχέσης.

2. Οι κανόνες αυτοί περιλαμβάνουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων, ιδίως όσον αφορά τη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο ομάδας επιχειρήσεων ή ομάδας επιχειρήσεων που συμμετέχουν σε κοινή οικονομική δραστηριότητα και συστήματα παρακολούθησης στο χώρο εργασίας.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις της νομοθεσίας του που θεσπίζει σύμφωνα με την παράγραφο 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε μεταγενέστερη τροποποίηση που τις επηρεάζει.

Άρθρο 89

Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς σκοπούς έρευνας ή στατιστικούς σκοπούς

1. Η επεξεργασία για σκοπούς αρχειοθέτησης για λόγους δημοσίου συμφέροντος, επιστημονικούς ή ιστορικούς ερευνητικούς σκοπούς ή στατιστικούς σκοπούς, υπόκειται σε κατάλληλες διασφαλίσεις, σύμφωνα με τον παρόντα κανονισμό, για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Αυτές οι διασφαλίσεις διασφαλίζουν ότι εφαρμόζονται τεχνικά και οργανωτικά μέτρα, ιδίως προκειμένου να διασφαλίζεται η τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα μέτρα αυτά μπορεί να περιλαμβάνουν ψευδωνυμοποίηση υπό τον όρο ότι οι σκοποί αυτοί μπορούν να εκπληρωθούν με αυτόν τον τρόπο. Όταν αυτοί οι σκοποί μπορούν να εκπληρωθούν με περαιτέρω επεξεργασία που δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι σκοποί αυτοί εκπληρώνονται με αυτόν τον τρόπο.

2. Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, η νομοθεσία της Ένωσης ή του κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18 και 21, υπό τους όρους και τις εγγυήσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα δικαιώματα αυτά είναι πιθανό να καταστήσουν αδύνατη ή να βλάψουν σοβαρά την επίτευξη των ειδικών σκοπών, και οι παρεκκλίσεις αυτές είναι απαραίτητες για την εκπλήρωση των σκοπών αυτών.

3. Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή του κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18, 19, 20 και 21, υπό τους όρους και τις εγγυήσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα δικαιώματα αυτά είναι πιθανό να καταστήσουν αδύνατη ή να βλάψουν σοβαρά την επίτευξη των ειδικών σκοπών, και οι παρεκκλίσεις αυτές είναι απαραίτητες για την εκπλήρωση των σκοπών αυτών.

4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 και 3 εξυπηρετεί ταυτόχρονα και άλλο σκοπό, οι παρεκκλίσεις ισχύουν μόνο για την επεξεργασία για τους σκοπούς που αναφέρονται στις εν λόγω παραγράφους.

Άρθρο 90

Υποχρεώσεις μυστικότητας

1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των εποπτικών αρχών που ορίζονται στα στοιχεία ε) και στ) του άρθρου 58 παράγραφος 1 σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που υπόκεινται, στο δίκαιο της Ένωσης ή του κράτους μέλους ή κανόνες που θεσπίζονται από εθνικούς αρμόδιους φορείς, με υποχρέωση επαγγελματικού απορρήτου ή άλλες ισοδύναμες υποχρεώσεις απορρήτου, όπου αυτό είναι απαραίτητο και αναλογικό για να συμβιβαστεί το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση απορρήτου. Οι κανόνες αυτοί ισχύουν μόνο για δεδομένα προσωπικού χαρακτήρα που έχει λάβει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ως αποτέλεσμα ή έχει αποκτήσει στο πλαίσιο δραστηριότητας που καλύπτεται από αυτή την υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζονται σύμφωνα με την παράγραφο 1 έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε μεταγενέστερη τροποποίησή τους.

Άρθρο 91

Υφιστάμενοι κανόνες προστασίας δεδομένων εκκλησιών και θρησκευτικών ενώσεων

1. Όταν σε ένα κράτος μέλος, εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας, οι κανόνες αυτοί μπορούν να συνεχίσουν να ισχύουν, υπό τον όρο ότι ευθυγραμμίζονται με τον παρόντα κανονισμό.

2. Οι εκκλησίες και οι θρησκευτικές ενώσεις που εφαρμόζουν ολοκληρωμένους κανόνες σύμφωνα με την παράγραφο 1 του παρόντος άρθρου υπόκεινται στην εποπτεία ανεξάρτητης εποπτικής αρχής, η οποία μπορεί να είναι ειδική, υπό τον όρο ότι πληροί τις προϋποθέσεις που ορίζονται στο κεφάλαιο VI του παρόντος κανονισμού.

ΚΕΦΑΛΑΙΟ Χ

Κατ' εξουσιοδότηση πράξεις και εκτελεστικές πράξεις

Άρθρο 92

Άσκηση της αντιπροσωπείας

1. Η εξουσία έκδοσης κατ' εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τους όρους που καθορίζονται στο παρόν άρθρο.

2. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 παράγραφος 8 και στο άρθρο 43 παράγραφος 8 ανατίθεται στην Επιτροπή για αόριστο χρονικό διάστημα από τις 24 Μαΐου 2016.

3. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 παράγραφος 8 και στο άρθρο 43 παράγραφος 8 μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης θέτει τέλος στην ανάθεση εξουσιών που προσδιορίζεται στην εν λόγω απόφαση. Τίθεται σε ισχύ την επόμενη ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που καθορίζεται σε αυτήν. Δεν επηρεάζει την εγκυρότητα οποιωνδήποτε κατ' εξουσιοδότηση πράξεων που είναι ήδη σε ισχύ.

4. Μόλις εκδώσει μια κατ' εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5. Μια κατ' εξουσιοδότηση πράξη που εγκρίνεται σύμφωνα με το άρθρο 12 παράγραφος 8 και το άρθρο 43 παράγραφος 8 τίθεται σε ισχύ μόνο εάν δεν έχει διατυπωθεί αντίρρηση είτε από το Ευρωπαϊκό Κοινοβούλιο είτε από το Συμβούλιο εντός τριών μηνών από την κοινοποίηση της εν λόγω πράξης στο το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν από τη λήξη αυτής της περιόδου, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έχουν αμφότερα ενημερώσει την Επιτροπή ότι δεν θα αντιταχθούν. Η περίοδος αυτή παρατείνεται κατά τρεις μήνες με πρωτοβουλία του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Άρθρο 93

Διαδικασία επιτροπής

1. Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2. Στις περιπτώσεις που γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3. Στις περιπτώσεις που γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5 αυτού.

ΚΕΦΑΛΑΙΟ XI

Τελευταίες προμήθειες

Άρθρο 94

Κατάργηση της Οδηγίας 95/46/ΕΚ

1. Η οδηγία 95/46/ΕΚ καταργείται με ισχύ από τις 25 Μαΐου 2018.

2. Οι παραπομπές στην καταργούμενη οδηγία ερμηνεύονται ως παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα εργασίας για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζεται στο άρθρο 29 της οδηγίας 95/46/ΕΚ ερμηνεύονται ως παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστάθηκε με τον παρόντα κανονισμό.

Άρθρο 95

Σχέση με την Οδηγία 2002/58/ΕΚ

Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις στα φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία σε σχέση με την παροχή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών στην Ένωση σε σχέση με θέματα για τα οποία υπόκεινται σε ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζονται στην οδηγία 2002/58/ΕΚ.

Άρθρο 96

Σχέση με συμφωνίες που έχουν συναφθεί προηγουμένως

Οι διεθνείς συμφωνίες που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, οι οποίες συνήφθησαν από κράτη μέλη πριν από τις 24 Μαΐου 2016, και οι οποίες συμμορφώνονται με το δίκαιο της Ένωσης όπως ίσχυε πριν από την ημερομηνία αυτή, παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.

Άρθρο 97

εκθέσεις της Επιτροπής

1. Έως τις 25 Μαΐου 2020 και στη συνέχεια ανά τετραετία, η Επιτροπή υποβάλλει έκθεση σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.

2. Στο πλαίσιο των αξιολογήσεων και επανεξετάσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, ιδίως, την εφαρμογή και τη λειτουργία:

(ένα) Κεφάλαιο V σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, ιδίως όσον αφορά τις αποφάσεις που εκδίδονται σύμφωνα με το άρθρο 45 παράγραφος 3 του παρόντος κανονισμού και τις αποφάσεις που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

(σι) Κεφάλαιο VII για τη συνεργασία και τη συνέπεια.

3. Για τους σκοπούς της παραγράφου 1, η Επιτροπή μπορεί να ζητήσει πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.

4. Κατά τη διενέργεια των αξιολογήσεων και ανασκοπήσεων που αναφέρονται στις παραγράφους 1 και 2, η Επιτροπή λαμβάνει υπόψη τις θέσεις και τα πορίσματα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και άλλων σχετικών οργάνων ή πηγών.

5. Η Επιτροπή υποβάλλει, εάν είναι απαραίτητο, κατάλληλες προτάσεις για την τροποποίηση του παρόντος κανονισμού, λαμβάνοντας ιδίως υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της κατάστασης προόδου στην κοινωνία της πληροφορίας.

Άρθρο 98

Επανεξέταση άλλων νομικών πράξεων της Ένωσης για την προστασία δεδομένων

Η Επιτροπή υποβάλλει, εάν χρειάζεται, νομοθετικές προτάσεις με σκοπό την τροποποίηση άλλων νομικών πράξεων της Ένωσης για την προστασία των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλιστεί ομοιόμορφη και συνεπής προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία. Αυτό αφορά ειδικότερα τους κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας από τα θεσμικά όργανα, τους φορείς, τα γραφεία και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Άρθρο 99

Έναρξη ισχύος και εφαρμογή

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης .

2. Εφαρμόζεται από τις 25 Μαΐου 2018.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 27 Απριλίου 2016.

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

Μ. ΣΟΥΛΤΣ

Για το Συμβούλιο

Ο Πρόεδρος

JA HENNIS-PLASSCHAERT

________________________________________

( 1 ) ΕΕ C 229 της 31.7.2012, σ. 1. 90 .

( 2 ) ΕΕ C 391 της 18.12.2012, σ. 1. 127 .

( 3 ) Θέση του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και θέση του Συμβουλίου σε πρώτη ανάγνωση της 8ης Απριλίου 2016 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα). Θέση του Ευρωπαϊκού Κοινοβουλίου της 14ης Απριλίου 2016.

( 4 ) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών ( ΕΕ L 281 της 23.11.1995 , σελ. 31 ).

( 5 ) Σύσταση της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (C(2003) 1422) ( ΕΕ L 124 της 20.5.2003, σ. 36 ).

( 6 ) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα κοινοτικά όργανα και οργανισμούς και για την ελεύθερη κυκλοφορία των δεδομένων αυτών ( ΕΕ L 8 της 12.1.2001, σ. 1 ).

( 7 ) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για σκοπούς πρόληψης, έρευνας, εντοπισμού ή δίωξης για τα ποινικά αδικήματα ή την εκτέλεση ποινικών κυρώσεων και την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαισίου 2008/977/ΔΕΥ του Συμβουλίου (βλ. σελίδα 89 της παρούσας Επίσημης Εφημερίδας).

( 8 ) Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, σχετικά με ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο») ( ΕΕ L 178, 17.7.2000, σ. 1 ).

( 9 ) Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, σχετικά με την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη ( ΕΕ L 88 της 4.4.2011, σ. 45 ).

( 10 ) Οδηγία 93/13/ΕΟΚ του Συμβουλίου, της 5ης Απριλίου 1993, για τις καταχρηστικές ρήτρες στις συμβάσεις καταναλωτών ( ΕΕ L 95 της 21.4.1993, σ. 29 ).

( 11 ) Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές για τη δημόσια υγεία και την υγεία και ασφάλεια στην εργασία ( ΕΕ L 354 της 31.12.2008, σ. 70 ).

( 12 ) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους μηχανισμούς ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή ( ΕΕ L 55 της 28.2 .2011, σελ. 13 ).

( 13 ) Κανονισμός (ΕΕ) αριθ. 1215/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2012, για τη διεθνή δικαιοδοσία, την αναγνώριση και την εκτέλεση αποφάσεων σε αστικές και εμπορικές υποθέσεις ( ΕΕ L 351 της 20.12.2012, σ. 1 ) .

( 14 ) Οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Νοεμβρίου 2003, για την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα ( ΕΕ L 345 της 31.12.2003, σ. 90 ).

( 15 ) Κανονισμός (ΕΕ) αριθ . σελ. 1 ).

( 16 ) Κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2009, για τις ευρωπαϊκές στατιστικές και για την κατάργηση του κανονισμού (ΕΚ, Ευρατόμ) αριθ. δεδομένα που υπόκεινται σε στατιστικό απόρρητο στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων, τον κανονισμό (ΕΚ) αριθ . L 87, 31.3.2009, σελ. 164 ).

( 17 ) ΕΕ C 192 της 30.6.2012, σ. 1. 7 .

( 18 ) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες) ( ΕΕ L 201, 31.7.2002, σελ. 37 ).

( 19 ) Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για τη θέσπιση διαδικασίας για την παροχή πληροφοριών στον τομέα των τεχνικών κανονισμών και των κανόνων για τις υπηρεσίες της κοινωνίας της πληροφορίας ( ΕΕ L 241 της 17.9 .2015, σελ. 1 ).

( 20 ) Κανονισμός (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων για τη διαπίστευση και την εποπτεία της αγοράς σχετικά με την εμπορία προϊόντων και την κατάργηση του κανονισμού (ΕΟΚ) αριθ. 339/93 ( ΕΕ L 218, 13.8.2008, σελ. 30 ).

( 21 ) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, σχετικά με την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής ( ΕΕ L 145 της 31.5.2001, σ. 43 ).

________________________________________