4.5.2016 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 119/89 |
ΟΔΗΓΊΑ (EE) 2016/680 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ
της 27ης Απριλίου 2016
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου
ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 16 παράγραφος 2,
Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών (1),
Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),
Εκτιμώντας τα ακόλουθα:
(1) |
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («ο Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. |
(2) |
Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως το δικαίωμά τους στην προστασία δεδομένων προσωπικού χαρακτήρα. Η παρούσα οδηγία σκοπεύει να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης. |
(3) |
Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει να γίνεται επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε μια πρωτοφανή κλίμακα για τη διεξαγωγή δραστηριοτήτων όπως η πρόληψη, η διερεύνηση, η ανίχνευση ή η δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων. |
(4) |
H ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους εντός της Ένωσης και της διαβίβασης τέτοιων δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και διεθνείς οργανισμούς, θα πρέπει να διευκολύνεται με παράλληλη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω εξελίξεις απαιτούν την οικοδόμηση ενός ισχυρού και συνεκτικότερου πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, υποστηριζόμενου από αυστηρή επιβολή της νομοθεσίας. |
(5) |
Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Ωστόσο, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως δραστηριότητες στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. |
(6) |
Η απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (4) εφαρμόζεται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Το πεδίο εφαρμογής της εν λόγω απόφασης-πλαισίου περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή καθίστανται διαθέσιμα μεταξύ κρατών μελών. |
(7) |
Η διασφάλιση συνεκτικής και υψηλής προστασίας δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων και η διευκόλυνση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών των κρατών μελών έχουν καθοριστική σημασία για την αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία. Για το σκοπό αυτόν, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα καθώς και αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες που διέπουν την προστασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη. |
(8) |
Το άρθρο 16 παράγραφος 2 ΣΛΕΕ δίνει εντολή στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. |
(9) |
Επί αυτής της βάσης, ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. |
(10) |
Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην Τελική Πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ. |
(11) |
Ενδείκνυται, επομένως, οι εν λόγω τομείς να διέπονται από μια οδηγία η οποία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από τις απειλές κατά της δημόσιας ασφαλείας και της αποτροπής τους, με σεβασμό της ειδικής φύσης των εν λόγω δραστηριοτήτων. Στις εν λόγω αρμόδιες αρχές θα πρέπει να περιλαμβάνονται όχι μόνο δημόσιες αρχές, όπως οι δικαστικές αρχές, η αστυνομία ή άλλες αρχές επιβολής του νόμου, αλλά και οποιοσδήποτε άλλος φορέας ή οποιαδήποτε οντότητα στα οποία δίκαιο του κράτους μέλους αναθέτει την άσκηση δημόσιας αρχής και την άσκηση δημόσιων εξουσιών για τους σκοπούς της παρούσας οδηγίας. Όταν ένας τέτοιος φορέας ή οντότητα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για σκοπούς άλλους από αυτούς της παρούσας οδηγίας, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679. Ο κανονισμός (ΕΕ) 2016/679, ως εκ τούτου, εφαρμόζεται στις περιπτώσεις όπου φορέας ή οντότητα συλλέγει δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς και επεξεργάζεται περαιτέρω τα εν λόγω δεδομένα προκειμένου να συμμορφωθεί σε νομική υποχρέωση στην οποία υπόκειται. Για παράδειγμα για τους σκοπούς της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων τα χρηματοπιστωτικά ιδρύματα διατηρούν ορισμένα δεδομένα προσωπικού χαρακτήρα τα οποία και επεξεργάζονται, και παρέχουν τα δεδομένα αυτά μόνο στις αρμόδιες εθνικές αρχές σε ειδικές περιπτώσεις και σύμφωνα με το δίκαιο του κράτους μέλους. Οι φορείς ή οι οντότητες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό των εν λόγω αρχών εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να δεσμεύονται από σύμβαση ή άλλη νομική πράξη και από τις διατάξεις που ισχύουν για τους εκτελούντες την επεξεργασία σύμφωνα με την παρούσα οδηγία, ενώ δε θίγεται η εφαρμογή του κανονισμού (ΕΕ) 2016/679 για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την επεξεργασία εκτός του πεδίου εφαρμογής της παρούσας οδηγίας. |
(12) |
Οι δραστηριότητες που εκτελούνται από την αστυνομία ή από άλλες αρχές επιβολής του νόμου επικεντρώνονται κυρίως στην πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, περιλαμβανομένων των αστυνομικών δραστηριοτήτων που εκτελούνται χωρίς προηγούμενη γνώση εάν ένα περιστατικό αποτελεί ποινικό αδίκημα. Στις δραστηριότητες αυτές περιλαμβάνεται επίσης η άσκηση αρμοδιότητας με τη λήψη μέτρων καταναγκασμού, όπως οι αστυνομικές δραστηριότητες σε διαδηλώσεις, σημαντικά αθλητικά γεγονότα και ταραχές. Περιλαμβάνουν επίσης την τήρηση του νόμου και της τάξης, ως καθήκον που ανατίθεται στην αστυνομία ή σε άλλες αρχές επιβολής του νόμου όπου αυτό είναι αναγκαίο για την προστασία και την αποτροπή όσον αφορά σε απειλές κατά της δημόσιας ασφάλειας και κατά θεμελιωδών συμφερόντων της κοινωνίας προστατευόμενων από τον νόμο, που ενδέχεται να οδηγήσουν σε διάπραξη ποινικού αδικήματος. Τα κράτη μέλη μπορούν να αναθέτουν στις αρμόδιες αρχές άλλα καθήκοντα που δεν ασκούνται απαραιτήτως για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, κατά τρόπο ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, εφόσον εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, να υπάγεται στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679. |
(13) |
Η αξιόποινη πράξη κατ' εφαρμογή της παρούσας οδηγίας θα πρέπει να αποτελεί αυτοτελή έννοια του δικαίου της Ένωσης, όπως έχει ερμηνευτεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»). |
(14) |
Καθώς η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη διάρκεια δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, δραστηριότητες που αφορούν την εθνική ασφάλεια, δραστηριότητες υπηρεσιών ή μονάδων που ασχολούνται με θέματα εθνικής ασφάλειας και η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την εκτέλεση δραστηριοτήτων που εμπίπτουν στο πεδίο του τίτλου V κεφάλαιο 2 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ) δεν θα πρέπει να θεωρούνται δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. |
(15) |
Για τη διασφάλιση του ίδιου επιπέδου προστασίας για τα φυσικά πρόσωπα μέσω νομικώς εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και για την αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών, η παρούσα οδηγία θα πρέπει να προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Η προσέγγιση των νομοθεσιών των κρατών μελών δεν θα πρέπει να οδηγήσει στην αποδυνάμωση της παρεχόμενης προστασίας δεδομένων προσωπικού χαρακτήρα, αλλά αντίθετα να στοχεύει στην κατοχύρωση υψηλού επιπέδου προστασίας εντός της Ένωσης. Τα κράτη μέλη δεν θα πρέπει να εμποδίζονται να προβλέπουν ισχυρότερες διασφαλίσεις από αυτές που θεσπίζονται στην παρούσα οδηγία για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε ό,τι αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. |
(16) |
Η παρούσα οδηγία δεν θίγει την αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα. Δυνάμει του κανονισμού (ΕΕ) 2016/679, δεδομένα προσωπικού χαρακτήρα που περιέχονται σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή δημόσιος ή ιδιωτικός φορέας για την εκτέλεση καθήκοντος δημοσίου συμφέροντος μπορούν να κοινολογούνται από την εν λόγω αρχή ή τον φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο φορέας, προκειμένου να συνάδει η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα. |
(17) |
Η προστασία που παρέχει η παρούσα οδηγία θα πρέπει να καλύπτει τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν. |
(18) |
Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να ισχύει τόσο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και για τη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Αρχεία ή σύνολα αρχείων καθώς και τα εξώφυλλά τους, που δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας. |
(19) |
Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, τους οργανισμούς και τις υπηρεσίες της Ένωσης. Ο κανονισμός (ΕΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης που εφαρμόζονται σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να προσαρμοστούν στις αρχές και τους κανόνες που θεσπίστηκαν με τον κανονισμό (ΕΕ) 2016/679. |
(20) |
Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προσδιορίζουν με σαφήνεια πράξεις και διαδικασίες επεξεργασίας στους εθνικούς κανόνες περί ποινικών διαδικασιών όσον αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές, ιδίως όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε δικαστικές αποφάσεις ή σε αρχεία σχετικά με ποινικές διαδικασίες. |
(21) |
Οι αρχές προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για να καθοριστεί εάν ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα που είναι ευλόγως πιθανό να χρησιμοποιηθούν, όπως για παράδειγμα, ο διαχωρισμός του είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση ταυτοποίηση του φυσικού προσώπου. Για να διαπιστωθεί εάν κάποια μέσα είναι ευλόγως πιθανό να χρησιμοποιηθούν για την ταυτοποίηση του φυσικού προσώπου θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, και να συνυπολογίζονται η τεχνολογία που είναι διαθέσιμη κατά το χρόνο της επεξεργασίας και οι εξελίξεις της τεχνολογίας. Συνεπώς, οι αρχές προστασίας δεδομένων δε θα πρέπει να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή σε πληροφορίες που δεν σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο. |
(22) |
Οι δημόσιες αρχές στις οποίες κοινολογούνται δεδομένα προσωπικού χαρακτήρα δυνάμει νομικής υποχρέωσης προς την εκτέλεση της επίσημης αποστολής τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες οικονομικών ερευνών, ανεξάρτητες διοικητικές αρχές ή αρχές εποπτείας των χρηματοπιστωτικών αγορών, οι οποίες είναι υπεύθυνες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών, δεν θα πρέπει να θεωρηθούν αποδέκτες, αν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια συγκεκριμένης έρευνας προς το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους. Τα αιτήματα κοινολόγησης που αποστέλλονται από τις δημόσιες αρχές θα πρέπει πάντα να είναι έγγραφα, αιτιολογημένα και να αφορούν στην περίσταση και δεν θα πρέπει να αφορούν το σύνολο ενός συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω δημόσιες αρχές θα πρέπει να είναι σύμφωνη με τους ισχύοντες κανόνες προστασίας των δεδομένων, σύμφωνα με τους σκοπούς της επεξεργασίας. |
(23) |
Τα γενετικά δεδομένα θα πρέπει να ορίζονται ως δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κληρονομημένα ή αποκεκτημένα γενετικά χαρακτηριστικά ενός φυσικού προσώπου τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου και τα οποία προκύπτουν από την ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου, ιδίως από χρωμοσωμική ανάλυση δεσοξυριβονουκλεϊνικού οξέος (DNA) ή ριβονουκλεϊκού οξέος (RNA) ή από την ανάλυση άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών. Δεδομένων της πολυπλοκότητας και του ευαίσθητου χαρακτήρα των γενετικών πληροφοριών, υπάρχει μεγάλος κίνδυνος κατάχρησης και επαναχρησιμοποίησης για διάφορους σκοπούς από τον υπεύθυνο επεξεργασίας. Κάθε διάκριση βάσει γενετικών χαρακτηριστικών θα πρέπει, καταρχήν, να απαγορεύεται. |
(24) |
Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Σε αυτές περιλαμβάνονται και πληροφορίες σχετικά με το φυσικό πρόσωπο αυτό που συλλέγονται κατά τη διαδικασία της εγγραφής του προσώπου για την παροχή υπηρεσιών υγείας ή κατά την παροχή των υπηρεσιών αυτών, όπως αναφέρεται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7)· ένας αριθμός, σύμβολο ή χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την αδιαμφισβήτητη ταυτοποίησή του για σκοπούς υγείας· πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, περιλαμβανομένων των γενετικών δεδομένων και βιολογικών δειγμάτων· και κάθε πληροφορία, π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, για παράδειγμα, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro. |
(25) |
Όλα τα κράτη μέλη συνδέονται με τον Διεθνή Οργανισμό Εγκληματολογικής Αστυνομίας (Interpol). Για την εκπλήρωση της αποστολής της, η Interpol λαμβάνει, αποθηκεύει και κυκλοφορεί δεδομένα προσωπικού χαρακτήρα, με σκοπό να παρέχει στις αρμόδιες αρχές συνδρομή κατά την πρόληψη και την καταπολέμηση της διεθνούς εγκληματικότητας. Ενδείκνυται, ως εκ τούτου, να ενισχυθεί η συνεργασία μεταξύ της Ένωσης και της Interpol μέσω της προαγωγής της αποτελεσματικής ανταλλαγής δεδομένων προσωπικού χαρακτήρα, με παράλληλη εξασφάλιση του σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών που αφορούν την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όποτε διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την Ένωση προς την Ιντερπόλ, και προς χώρες που έχουν εντεταλμένα μέλη στην Interpol, θα πρέπει να εφαρμόζεται η παρούσα οδηγία, ιδίως οι διατάξεις σχετικά με τις διεθνείς διαβιβάσεις. Η παρούσα οδηγία θα πρέπει να ισχύει με την επιφύλαξη των ειδικών κανόνων που καθορίζονται στην κοινή θέση 2005/69/ΔΕΥ του Συμβουλίου (8) και στην απόφαση 2007/533/ΔΕΥ του Συμβουλίου (9). |
(26) |
Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά και να πραγματοποιείται μόνο για συγκεκριμένους σκοπούς που προβλέπονται από το νόμο. Η αρχή αυτή καθεαυτή δεν εμποδίζει τις αρχές επιβολής του νόμου να ασκούν δραστηριότητες όπως οι μυστικές έρευνες ή η βιντεοεπιτήρηση. Τέτοιες δραστηριότητες μπορούν να ασκούνται για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, εφόσον ορίζονται από τον νόμο και συνιστούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, με δέουσα συνεκτίμηση των έννομων συμφερόντων του ενδιαφερομένου. Η αρχή της θεμιτής επεξεργασίας για την προστασία των δεδομένων είναι ξεχωριστή έννοια που απορρέει από το δικαίωμα σε δίκαιη δίκη όπως ορίζεται στο άρθρο 47 του Χάρτη και στο άρθρο 6 της Ευρωπαϊκής σύμβασης για την προστασία των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών (ΕΣΔΑ). Θα πρέπει να γνωστοποιούνται στα πρόσωπα οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, καθώς και ο τρόπος άσκησης των δικαιωμάτων τους σε σχέση με την επεξεργασία αυτή. Ειδικότερα, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και σχετικά με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Προς τούτο, θα πρέπει κυρίως να διασφαλίζεται ότι τα συλλεχθέντα δεδομένα προσωπικού χαρακτήρα δεν πλεονάζουν και δεν διατηρούνται περισσότερο από όσο απαιτείται για τον σκοπό για τον οποίο υποβάλλονται σε επεξεργασία. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να εξασφαλιστεί ότι τα δεδομένα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή ή την περιοδική επανεξέτασή τους. Τα κράτη μέλη θα πρέπει να θεσπίσουν κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται πέραν της περιόδου αυτής για λόγους αρχειοθέτησης προς το δημόσιο συμφέρον και επιστημονικής, στατιστικής ή ιστορικής χρήσης. |
(27) |
Για την πρόληψη, διερεύνηση και τη δίωξη ποινικών αδικημάτων, οι αρμόδιες αρχές πρέπει να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα που συλλέγονται στο πλαίσιο της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης συγκεκριμένων ποινικών αδικημάτων και πέραν του πλαισίου αυτού, ώστε να κατανοούν καλύτερα τις εγκληματικές δραστηριότητες και να προβαίνουν σε συσχετισμούς μεταξύ διαφορετικών διαπιστωθέντων ποινικών αδικημάτων. |
(28) |
Για να τηρείται η ασφάλεια σε σχέση με την επεξεργασία και να αποτρέπεται η επεξεργασία κατά παράβαση της παρούσας οδηγίας, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο ώστε να εξασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας και εμπιστευτικότητας, μεταξύ άλλων με την αποτροπή της μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα ή τη χρήση τους και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία, λαμβανομένων υπόψη του επιπέδου της διαθέσιμης τεχνολογίας, του κόστους εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευτούν. |
(29) |
Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς εντός του πεδίου εφαρμογής της παρούσας οδηγίας και δεν θα πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον ίδιο ή άλλον υπεύθυνο επεξεργασίας εντός του πεδίου εφαρμογής της παρούσας οδηγίας, εκτός από αυτόν για τον οποίο έχουν συλλεγεί, η εν λόγω επεξεργασία θα πρέπει να είναι δυνατή υπό την προϋπόθεση ότι η εν λόγω επεξεργασία επιτρέπεται σύμφωνα με τις ισχύουσες νομικές διατάξεις και είναι αναγκαία και ανάλογη προς τον σκοπό αυτόν. |
(30) |
Η αρχή της ακρίβειας των δεδομένων θα πρέπει να εφαρμόζεται έχοντας ως γνώμονα τη φύση και τον σκοπό της εκάστοτε επεξεργασίας. Σε δικαστικές διαδικασίες, ειδικότερα, δηλώσεις οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα βασίζονται στην υποκειμενική αντίληψη φυσικών προσώπων και δεν είναι πάντα επαληθεύσιμες. Ως εκ τούτου, η απαίτηση της ακρίβειας δε θα πρέπει να αφορά στην ορθότητα της δήλωσης, αλλά απλώς στο γεγονός ότι πραγματοποιήθηκε μια συγκεκριμένη δήλωση. |
(31) |
Αναπόσπαστο στοιχείο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν διαφορετικές κατηγορίες υποκειμένων των δεδομένων. Επομένως, όπου αρμόζει και στον βαθμό του εφικτού, θα πρέπει να γίνεται σαφής διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα που αφορούν σε διαφορετικές κατηγορίες υποκειμένων δεδομένων, όπως υπόπτων, προσώπων που έχουν καταδικαστεί για ποινικό αδίκημα, θυμάτων και άλλων, π.χ. μαρτύρων, προσώπων που κατέχουν σχετικές πληροφορίες ή προσώπων επαφής και συνεργών υπόπτων και καταδικασθέντων εγκληματιών. Αυτό δεν θα πρέπει να εμποδίζει την εφαρμογή του δικαιώματος του τεκμηρίου της αθωότητας, όπως κατοχυρώνεται από το Χάρτη και από την ΕΣΔΑ, όπως αυτά ερμηνεύονται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων αντιστοίχως. |
(32) |
Οι αρμόδιες αρχές θα πρέπει να διασφαλίζουν ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ακριβή, πλήρη ή επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Για να διασφαλίζονται η προστασία των φυσικών προσώπων και η ακρίβεια, η πληρότητα ή ο βαθμός επικαιροποίησης και η αξιοπιστία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται, οι αρμόδιες αρχές θα πρέπει, στο μέτρο του δυνατού, να προσθέτουν τις απαραίτητες πληροφορίες σε κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα. |
(33) |
Όπου η παρούσα οδηγία παραπέμπει στη νομοθεσία των κρατών μελών, σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από κοινοβούλιο, με την επιφύλαξη των απαιτήσεων της συνταγματικής τάξης του εκάστοτε κράτους μέλους. Ωστόσο, η εν λόγω νομοθεσία των κρατών μελών, η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένα με σαφήνεια και ακρίβεια και η εφαρμογή τους να είναι προβλέψιμη για όσους υπόκεινται σε αυτά, όπως απαιτείται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Η νομοθεσία των κρατών μελών που ρυθμίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να καθορίζει τουλάχιστον τους στόχους, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της επεξεργασίας και τις διαδικασίες για τη διατήρηση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα και τις διαδικασίες για την καταστροφή τους, παρέχοντας ως εκ τούτου επαρκείς εγγυήσεις κατά του κινδύνου κατάχρησης και αυθαιρεσίας. |
(34) |
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, θα πρέπει να καλύπτει κάθε πράξη ή σύνολο πράξεων που εκτελείται επί δεδομένων προσωπικού χαρακτήρα ή συνόλων δεδομένων προσωπικού χαρακτήρα για αυτούς τους σκοπούς, είτε χρησιμοποιούνται αυτοματοποιημένα μέσα είτε άλλα, όπως η συλλογή, η αρχειοθέτηση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η αλλοίωση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η συσχέτιση ή ο συνδυασμός, ο περιορισμός της επεξεργασίας, η διαγραφή ή η καταστροφή. Ειδικότερα, οι κανόνες της παρούσας οδηγίας θα πρέπει να εφαρμόζονται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παρούσας οδηγίας σε αποδέκτη που δεν υπόκειται στην παρούσα οδηγία. Σε έναν τέτοιο αποδέκτη θα πρέπει να περιλαμβάνεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή κάθε άλλος φορέας στον οποίο κοινολογούνται νομίμως δεδομένα προσωπικού χαρακτήρα από την αρμόδια αρχή. Σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα είχαν αρχικά συλλεγεί από αρμόδια αρχή για έναν από τους σκοπούς της παρούσας οδηγίας, ο κανονισμός (ΕΕ) 2016/679 θα πρέπει να εφαρμόζεται στην επεξεργασία των δεδομένων αυτών για σκοπούς διαφορετικούς από εκείνους της παρούσας οδηγίας, όταν η επεξεργασία αυτή επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο των κρατών μελών. Ειδικότερα, οι κανόνες του κανονισμού (ΕΕ) 2016/679 θα πρέπει να εφαρμόζονται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα για σκοπούς που δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αποδέκτη που δεν είναι ή δεν ενεργεί ως αρμόδια αρχή κατά την έννοια της παρούσας οδηγίας και προς τον οποίο κοινοποιούνται νομίμως δεδομένα προσωπικού χαρακτήρα από αρμόδια αρχή, θα πρέπει να εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679. Κατά την εφαρμογή της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει επίσης να μπορούν να εξειδικεύσουν περαιτέρω τις λεπτομέρειες εφαρμογής των κανόνων του κανονισμού (ΕΕ) 2016/679, υπό τις προϋποθέσεις που προβλέπονται σε αυτόν. |
(35) |
Για να είναι σύννομη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της παρούσας οδηγίας θα πρέπει να είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται προς το δημόσιο συμφέρον από αρμόδια αρχή βάσει του δικαίου της Ένωσης ή των κρατών μελών για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Οι εν λόγω δραστηριότητες θα πρέπει να καλύπτουν για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων. Η εκτέλεση των καθηκόντων πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων η οποία ανατίθεται θεσμικά από τον νόμο στις αρμόδιες αρχές παρέχει σε αυτές τη δυνατότητα να απαιτούν από φυσικά πρόσωπα ή να δίνουν εντολή σε αυτά να συμμορφωθούν προς τα σχετικά αιτήματα. Σε μία τέτοια περίπτωση, η συγκατάθεση του υποκειμένου των δεδομένων όπως ορίζεται στον κανονισμό (ΕΕ) 2016/679 δεν θα πρέπει να παρέχει νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. Όταν το υποκείμενο των δεδομένων υποχρεούται να συμμορφωθεί προς νομική υποχρέωση, δεν έχει ουσιαστική και ελεύθερη επιλογή και, κατά συνέπεια, η αντίδρασή του υποκειμένου των δεδομένων δεν μπορεί να θεωρηθεί ως ελεύθερη δήλωση της βούλησής του. Αυτό δεν θα πρέπει να εμποδίζει τα κράτη μέλη να προβλέπουν με νόμο ότι το υποκείμενο των δεδομένων μπορεί να συμφωνήσει με την επεξεργασία των δικών του δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παρούσας οδηγίας, όπως εξέταση DNA στις ποινικές έρευνες ή την επιτήρηση της θέσης στην οποία αυτός ή αυτή βρίσκεται με ηλεκτρονικές ετικέτες με σκοπό την εκτέλεση των ποινικών κυρώσεων. |
(36) |
Τα κράτη μέλη θα πρέπει να προβλέπουν ότι, όταν το δίκαιο της Ένωσης ή των κρατών μελών στο οποίο υπάγεται η διαβιβάζουσα αρμόδια αρχή προβλέπει την εφαρμογή ειδικών όρων σε περίπτωση που συντρέχουν ειδικές περιστάσεις κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η χρήση κωδικών διαχείρισης, τότε η διαβιβάζουσα αρμόδια αρχή θα πρέπει να ενημερώνει τον αποδέκτη τέτοιων προσωπικών δεδομένων σχετικά με αυτούς τους όρους και με την υποχρέωση τήρησής τους. Οι όροι αυτοί θα μπορούσαν, π.χ. να προβλέπουν την απαγόρευση διαβίβασης των προσωπικών δεδομένων σε άλλους ή την απαγόρευση χρήσης τους για σκοπούς άλλους από αυτούς για τους οποίους διαβιβάστηκαν στον αποδέκτη ή την απαγόρευση μη ενημέρωσης του υποκειμένου των δεδομένων στην περίπτωση περιορισμού του δικαιώματος ενημέρωσης χωρίς πρότερη έγκριση της διαβιβάζουσας αρμόδιας αρχής. Οι υποχρεώσεις αυτές θα πρέπει να ισχύουν για διαβιβάσεις από τη διαβιβάζουσα αρμόδια αρχή προς αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει όρους σε αποδέκτες σε άλλα κράτη μέλη ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν ιδρυθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 ΣΛΕΕ διαφορετικούς από τους όρους που εφαρμόζονται σε παρόμοιες διαβιβάσεις δεδομένων εντός του κράτους μέλους της εν λόγω αρμόδιας αρχής. |
(37) |
Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους μπορεί να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις θεμελιώδεις ελευθερίες. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Τέτοια δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία υπόκειται εκ του νόμου σε κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και επιτρέπεται σε περιπτώσεις που προβλέπονται από τον νόμο ή, εάν δεν προβλέπονται ήδη από τον νόμο, η επεξεργασία είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου ή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. Οι κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων μπορούν να περιλαμβάνουν τη δυνατότητα συλλογής των δεδομένων αυτών μόνο σε σχέση με άλλα δεδομένα που αφορούν το συγκεκριμένο φυσικό πρόσωπο, τη δέουσα ασφάλεια των συλλεγόμενων δεδομένων, αυστηρότερους κανόνες σχετικά με την πρόσβαση του προσωπικού της αρμόδιας αρχής στα δεδομένα και την απαγόρευση διαβίβασης των εν λόγω δεδομένων. Η επεξεργασία των εν λόγω δεδομένων θα πρέπει επίσης να επιτρέπεται από τον νόμο όταν το υποκείμενο των δεδομένων έχει συμφωνήσει ρητά σε επεξεργασία που είναι ιδιαίτερα παρεμβατική για αυτό. Ωστόσο, η συγκατάθεση του υποκειμένου των δεδομένων δε θα πρέπει να παρέχει αυτή καθαυτή νομική βάση για την επεξεργασία τέτοιων ευαίσθητων δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. |
(38) |
Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, παράγει δυσμενή έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά. Σε κάθε περίπτωση, αυτή η επεξεργασία θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, όπως η πρόβλεψη για ειδική ενημέρωση του υποκειμένου των δεδομένων, το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, κυρίως το δικαίωμα διατύπωσης της άποψής του, το δικαίωμα να απαιτήσει αιτιολόγηση της απόφασης που ελήφθη κατόπιν της εν λόγω αξιολόγησης και το δικαίωμα αμφισβήτησης της απόφασης. Η κατάρτιση προφίλ που οδηγεί σε διακρίσεις εις βάρος προσώπων με βάση δεδομένα προσωπικού χαρακτήρα, τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα και ελευθερίες, θα πρέπει να απαγορεύεται, υπό τους όρους που προβλέπονται στα άρθρα 21 και 52 του Χάρτη. |
(39) |
Για να είναι δυνατή η άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, κάθε ενημέρωση που του παρέχεται θα πρέπει να είναι εύκολα προσβάσιμη, μεταξύ άλλων και στο δικτυακό τόπο του υπευθύνου επεξεργασίας, και εύκολα κατανοητή, μέσω της χρήσης σαφούς και απλής διατύπωσης. Οι πληροφορίες αυτές θα πρέπει να προσαρμόζονται στις ανάγκες των ευάλωτων ατόμων, όπως των παιδιών. |
(40) |
Θα πρέπει να προβλέπονται ρυθμίσεις για τη διευκόλυνση της άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων βάσει των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, μεταξύ των οποίων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και περιορισμός της επεξεργασίας των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά στα αιτήματα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, εκτός εάν ο υπεύθυνος επεξεργασίας εφαρμόζει περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με την παρούσα οδηγία. Περαιτέρω, εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, όπως όταν το υποκείμενο των δεδομένων ζητεί αδικαιολόγητα και κατ' επανάληψη πληροφορίες ή όταν το υποκείμενο των δεδομένων κάνει κατάχρηση του δικαιώματός του για λήψη πληροφοριών, π.χ. σε περίπτωση παροχής ψευδών ή παραπλανητικών πληροφοριών κατά την υποβολή του αιτήματος, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να επιβάλει εύλογο τέλος ή να αρνηθεί να ανταποκριθεί στο αίτημα. |
(41) |
Όταν ο υπεύθυνος επεξεργασίας ζητεί την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων, οι πληροφορίες αυτές θα πρέπει να υποβάλλονται σε επεξεργασία μόνο για τον συγκεκριμένο αυτό σκοπό και να μην αποθηκεύονται για χρονικό διάστημα μεγαλύτερο από το απαιτούμενο για τον σκοπό αυτό. |
(42) |
Στο υποκείμενο των δεδομένων θα πρέπει να διατίθενται τουλάχιστον οι ακόλουθες πληροφορίες: η ταυτότητα του υπευθύνου επεξεργασίας, η ύπαρξη της πράξης επεξεργασίας, οι σκοποί της επεξεργασίας, το δικαίωμα υποβολής καταγγελίας και το ότι έχει δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα και διόρθωση, διαγραφή ή περιορισμό της. Αυτό μπορεί να γίνει στο δικτυακό τόπο της αρμόδιας αρχής. Επιπλέον, σε ειδικές περιπτώσεις και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για τη νομική βάση της επεξεργασίας και για τη διάρκεια αποθήκευσης των δεδομένων, στον βαθμό που οι πληροφορίες αυτές είναι αναγκαίες, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες τα δεδομένα υπόκεινται σε επεξεργασία, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του υποκειμένου των δεδομένων. |
(43) |
Ένα φυσικό πρόσωπο θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συνελέγησαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση της επεξεργασίας και να ελέγχει τη νομιμότητά της. Επομένως, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του γνωστοποιείται ειδικότερα για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων, για πόσο χρόνο γίνεται η επεξεργασία των δεδομένων και ποιοι αποδέκτες λαμβάνουν τα δεδομένα, μεταξύ άλλων και σε τρίτες χώρες. Όταν η εν λόγω γνωστοποίηση περιλαμβάνει πληροφορίες σχετικά με την προέλευση των δεδομένων προσωπικού χαρακτήρα, οι πληροφορίες αυτές δεν θα πρέπει να αποκαλύπτουν την ταυτότητα φυσικών προσώπων, ιδίως δε των εμπιστευτικών πηγών. Προκειμένου το δικαίωμα αυτό να ασκείται δεόντως, αρκεί το υποκείμενο των δεδομένων να έχει στην κατοχή του πλήρη περίληψη των εν λόγω δεδομένων σε κατανοητή μορφή, ήτοι σε μορφή που επιτρέπει στο υποκείμενο των δεδομένων να λάβει γνώση των εν λόγω δεδομένων και να επαληθεύσει την ακρίβειά τους και τη συμμόρφωση της επεξεργασίας τους προς την παρούσα οδηγία, ώστε να μπορεί να ασκήσει τα δικαιώματα που του παρέχει η παρούσα οδηγία. Η εν λόγω σύνοψη μπορεί να λάβει τη μορφή αντιγράφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. |
(44) |
Τα κράτη μέλη θα πρέπει να έχουν το δικαίωμα θέσπισης νομοθετικών μέτρων τα οποία καθυστερούν, περιορίζουν ή παραλείπουν την ενημέρωση των υποκειμένων των δεδομένων ή περιορίζουν εν όλω ή εν μέρει την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που τα αφορούν, στον βαθμό που και εφόσον ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, με δέουσα συνεκτίμηση των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, για την αποφυγή παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, την αποφυγή παρεμπόδισης της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, την προστασία της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. Ο υπεύθυνος επεξεργασίας θα πρέπει να εκτιμά βάσει συγκεκριμένης και ατομικής εξέτασης κάθε περίπτωσης αν το δικαίωμα πρόσβασης πρέπει να περιοριστεί εν όλω ή εν μέρει. |
(45) |
Κάθε άρνηση ή περιορισμός πρόσβασης θα πρέπει καταρχήν να γνωστοποιείται εγγράφως στο υποκείμενο των δεδομένων και να περιλαμβάνει τους αντικειμενικούς ή νομικούς λόγους στους οποίους βασίζεται η απόφαση. |
(46) |
Κάθε περιορισμός των δικαιωμάτων του υποκειμένου των δεδομένων πρέπει να συμμορφώνεται με το Χάρτη και με την ΕΣΔΑ, όπως ερμηνεύονται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων αντίστοιχα, ιδίως δε να σέβεται την ουσία των εν λόγω δικαιωμάτων και ελευθεριών. |
(47) |
Ένα φυσικό πρόσωπο θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, ιδίως σχετικά με πραγματικά περιστατικά, καθώς και το δικαίωμα να ζητεί τη διαγραφή δεδομένων, εάν η επεξεργασία των εν λόγω δεδομένων παραβιάζει την παρούσα οδηγία. Ωστόσο, το δικαίωμα διόρθωσης δεν θα πρέπει να επηρεάζει, π.χ. το περιεχόμενο κατάθεσης μάρτυρα. Ένα φυσικό πρόσωπο θα πρέπει να έχει επίσης το δικαίωμα περιορισμού της επεξεργασίας, όταν αμφισβητεί την ακρίβεια των δεδομένων προσωπικού χαρακτήρα και η ακρίβεια ή ανακρίβεια δεν είναι δυνατόν να διαπιστωθεί ή όταν τα δεδομένα προσωπικού χαρακτήρα επιβάλλεται να διατηρηθούν για σκοπούς απόδειξης. Ειδικότερα, για τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να προβλέπεται, αντί της διαγραφής τους, περιορισμένη πρόσβαση σε περίπτωση που υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι η διαγραφή τους θα μπορούσε να βλάψει τα έννομα συμφέροντα του υποκειμένου των δεδομένων. Στην περίπτωση αυτή, τα δεδομένα περιορισμένης πρόσβασης θα πρέπει να υπόκεινται σε επεξεργασία μόνο για τον σκοπό για τον οποίο παρεμποδίστηκε η διαγραφή τους. Οι μέθοδοι για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορούν να περιλαμβάνουν, μεταξύ άλλων, τη μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, π.χ. για σκοπούς αρχειοθέτησης, ή τη μη διαθεσιμότητα των επιλεγμένων δεδομένων. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, ο περιορισμός της επεξεργασίας θα πρέπει καταρχήν να εξασφαλίζεται με τεχνικά μέσα. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται θα πρέπει να αναγράφεται στο σύστημα κατά τρόπο ώστε να είναι σαφές ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη. Η διόρθωση αυτή ή η διαγραφή δεδομένων προσωπικού χαρακτήρα ή ο περιορισμός της επεξεργασίας θα πρέπει να κοινοποιείται στους αποδέκτες στους οποίους έχουν κοινολογηθεί τα δεδομένα και στις αρμόδιες αρχές από τις οποίες προήλθαν τα ανακριβή δεδομένα. Οι υπεύθυνοι επεξεργασίας δεν θα πρέπει εξάλλου να διαδίδουν περαιτέρω τα δεδομένα αυτά. |
(48) |
Σε περίπτωση που ο υπεύθυνος επεξεργασίας αρνηθεί σε υποκείμενο δεδομένων το δικαίωμά του για ενημέρωση, πρόσβαση ή διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητήσει έλεγχο της νομιμότητας της επεξεργασίας από την εθνική εποπτική αρχή. Το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για το δικαίωμα αυτό. Όταν η εποπτική αρχή δρα εκ μέρους του υποκειμένου των δεδομένων, θα πρέπει να ενημερώσει το υποκείμενο των δεδομένων τουλάχιστον ότι πραγματοποίησε όλες τις απαραίτητες επαληθεύσεις ή επανεξετάσεις. Η εποπτική αρχή θα πρέπει επίσης να ενημερώσει το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει δικαστική προσφυγή. |
(49) |
Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και ποινικής διαδικασίας ενώπιον δικαστηρίου, τα κράτη μέλη θα πρέπει να μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων ενημέρωσης, πρόσβασης και διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με τους εθνικούς κανόνες περί δικαστικών διαδικασιών. |
(50) |
Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας προς την παρούσα οδηγία. Τα μέτρα αυτά θα πρέπει να λαμβάνουν υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων. Τα μέτρα που λαμβάνονται από τον υπεύθυνο επεξεργασίας θα πρέπει να περιλαμβάνουν την κατάρτιση και εφαρμογή ειδικών εγγυήσεων όσον αφορά τη διαχείριση δεδομένων προσωπικού χαρακτήρα που αφορούν σε ευάλωτα πρόσωπα, όπως σε παιδιά. |
(51) |
Ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ο οποίος διαφέρει ως προς την πιθανότητα επέλευσής του ή τη σοβαρότητά του, είναι δυνατό να προκύπτουν από επεξεργασία δεδομένων η οποία θα μπορούσε να προκαλέσει σωματική, υλική ή ηθική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική ζημία, προσβολή της φήμης, απώλεια της εμπιστευτικότητας δεδομένων που προστατεύονται από επαγγελματικό απόρρητο, μη εξουσιοδοτημένη άρση της ψευδωνυμοποίησης ή σε οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· ή όταν τα υποκείμενα των δεδομένων ενδέχεται να στερηθούν τα δικαιώματα και τις ελευθερίες τους ή τη δυνατότητα άσκησης ελέγχου επί δεδομένων προσωπικού χαρακτήρα που τα αφορούν· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα· όταν γίνεται επεξεργασία γενετικών δεδομένων ή βιομετρικών δεδομένων για την αδιαμφισβήτητη ταυτοποίηση ενός προσώπου ή δεδομένων που αφορούν στην υγεία ή δεδομένων που αφορούν στη σεξουαλική ζωή και στον σεξουαλικό προσανατολισμό ή σε ποινικές καταδίκες και σε αδικήματα ή σε σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση και πρόβλεψη πτυχών που αφορούν στις επιδόσεις στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις ή συμφέροντα, στην αξιοπιστία ή στη συμπεριφορά, στην τοποθεσία ή στις μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων προσώπων, ιδίως παιδιών· όταν η επεξεργασία περιλαμβάνει μεγάλο αριθμό δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων δεδομένων. |
(52) |
Η πιθανότητα επέλευσης και η σοβαρότητα του κινδύνου θα πρέπει να καθορίζονται με αναφορά στη φύση, στο πεδίο εφαρμογής, στο πλαίσιο και στους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται εάν οι πράξεις επεξεργασίας δεδομένων ενέχουν υψηλό κίνδυνο. Ως υψηλός κίνδυνος θεωρείται ο ιδιαίτερος κίνδυνος να θιγούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων. |
(53) |
Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις της οδηγίας. Η εφαρμογή αυτών των μέτρων δεν θα πρέπει να εξαρτάται αποκλειστικά και μόνο από οικονομικές εκτιμήσεις. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς την παρούσα οδηγία, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα που σέβονται ιδίως στις αρχές της προστασίας των δεδομένων από το σχεδιασμό και εξ ορισμού. Εάν ο υπεύθυνος επεξεργασίας έχει διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει της παρούσας οδηγίας, τα αποτελέσματα θα πρέπει να λαμβάνονται υπόψη κατά την εκπόνηση των εν λόγω μέτρων και διαδικασιών. Σε αυτά τα μέτρα θα μπορούσε να συγκαταλέγεται, μεταξύ άλλων, η χρήση της ψευδωνυμοποίησης το συντομότερο δυνατόν. Η χρήση της ψευδωνυμοποίησης για τους σκοπούς της παρούσας οδηγίας μπορεί να λειτουργήσει ως μέσο διευκόλυνσης, ιδίως, της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα εντός του χώρου ελευθερίας, ασφάλειας και δικαιοσύνης. |
(54) |
Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων καθώς και η ευθύνη και η υποχρέωση αποζημίωσης που υπέχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία, μεταξύ άλλων σε σχέση με την παρακολούθηση από τις εποπτικές αρχές και τα μέτρα εποπτικών αρχών, προϋποθέτουν σαφή κατανομή των αρμοδιοτήτων βάσει της παρούσας οδηγίας, περιλαμβανομένης της περίπτωσης κατά την οποία υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό υπευθύνου επεξεργασίας. |
(55) |
Η διενέργεια της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από νομική πράξη περιλαμβανομένης της σύμβασης η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία θα πρέπει να ενεργεί μόνον κατ' εντολή του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία θα πρέπει να λαμβάνει υπόψη την αρχή της προστασίας των δεδομένων από το σχεδιασμό και εξ ορισμού. |
(56) |
Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς την παρούσα οδηγία, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τηρούν αρχεία σχετικά με όλες τις κατηγορίες των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία θα πρέπει να υποχρεούται να συνεργάζεται με την εποπτική αρχή και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, τα εν λόγω αρχεία ώστε να μπορεί να τα χρησιμοποιεί για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μη αυτοματοποιημένα συστήματα επεξεργασίας θα πρέπει να διαθέτει αποτελεσματικές μεθόδους για την απόδειξη της νομιμότητας της επεξεργασίας, για την αυτοπαρακολούθηση και για την εξασφάλιση της ακεραιότητας των δεδομένων και της ασφάλειας των δεδομένων, όπως π.χ. καταχωρήσεις ή άλλες μορφές αρχείων. |
(57) |
Καταχωρήσεις θα πρέπει να τηρούνται τουλάχιστον για πράξεις σε συστήματα αυτοματοποιημένης επεξεργασίας δεδομένων, όπως συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμό ή διαγραφή. Η ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα θα πρέπει να καταχωρίζεται και η εν λόγω ταυτοποίηση θα πρέπει να καθιστά δυνατή την αιτιολόγηση των πράξεων επεξεργασίας. Οι καταχωρήσεις θα πρέπει να χρησιμοποιούνται αποκλειστικά για τον έλεγχο της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων, καθώς και στο πλαίσιο ποινικών διαδικασιών. Η αυτοπαρακολούθηση περιλαμβάνει επίσης εσωτερικές πειθαρχικές διαδικασίες των αρμοδίων αρχών. |
(58) |
Ο υπεύθυνος επεξεργασίας θα πρέπει να διενεργεί εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, όταν οι πράξεις επεξεργασίας είναι πιθανό να προκαλέσουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων λόγω του χαρακτήρα, της έκτασης ή των σκοπών τους, η οποία θα πρέπει να περιλαμβάνει ειδικότερα τα προβλεπόμενα μέτρα, τις εγγυήσεις και τους μηχανισμούς που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς την παρούσα οδηγία. Οι εκτιμήσεις επιπτώσεων θα πρέπει να καλύπτουν τα σχετικά συστήματα και διεργασίες των πράξεων επεξεργασίας, αλλά όχι μεμονωμένες περιπτώσεις. |
(59) |
Για τη διασφάλιση της ουσιαστικής προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διαβουλεύεται με την εποπτική αρχή σε ορισμένες περιπτώσεις πριν από την επεξεργασία. |
(60) |
Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση της παρούσας οδηγίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και να εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως κρυπτογράφηση. Τα μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, περιλαμβανομένης της εμπιστευτικότητας, με βάση την κατάσταση της τεχνολογίας, το κόστος υλοποίησης σε σχέση με τον κίνδυνο και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευτούν. Κατά την αξιολόγηση των κινδύνων για την ασφάλεια των δεδομένων, θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, ή άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, που θα μπορούσαν να οδηγήσουν σε σωματική, υλική ή ηθική βλάβη. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να διασφαλίζουν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν εκτελείται από μη εξουσιοδοτημένα πρόσωπα. |
(61) |
Η παραβίαση προσωπικών δεδομένων μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή ηθική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των προσωπικών τους δεδομένων, ή περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Επομένως, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί ότι έχει συμβεί παραβίαση δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας θα πρέπει να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, εκτός εάν ο υπεύθυνος επεξεργασίας δύναται να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση των δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Εάν η γνωστοποίηση αυτή δεν μπορεί να επιτευχθεί εντός 72 ωρών, θα πρέπει η γνωστοποίηση να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης, οι δε πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση. |
(62) |
Τα πρόσωπα θα πρέπει να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προξενήσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων, προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η ενημέρωση θα πρέπει να περιγράφει τη φύση της παραβίασης των προσωπικών δεδομένων και να περιέχει συστάσεις προς το ενδιαφερόμενο πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Η ενημέρωση στα υποκείμενα των δεδομένων θα πρέπει να γίνεται το συντομότερο δυνατόν, σε στενή συνεργασία με την εποπτική αρχή και ακολουθώντας τις οδηγίες που δίδονται από αυτήν ή άλλες σχετικές αρχές. Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας ενδέχεται να απαιτεί άμεση ενημέρωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερο χρονικό διάστημα για την ενημέρωση. Όταν η αποτροπή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, η αποτροπή της παρεμπόδισης της πρόληψης, ανίχνευσης, διερεύνησης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, η διαφύλαξη της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή η διαφύλαξη των δικαιωμάτων και των ελευθεριών τρίτων δεν μπορούν να επιτευχθούν με την καθυστέρηση ή τον περιορισμό της γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στον ενδιαφερόμενο, η γνωστοποίηση αυτή μπορεί, σε εξαιρετικές περιπτώσεις, να παραλειφθεί. |
(63) |
Ο υπεύθυνος επεξεργασίας θα πρέπει να ορίσει ένα πρόσωπο το οποίο θα του παρέχει συνδρομή κατά την παρακολούθηση της εσωτερικής συμμόρφωσης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, εξαιρουμένης της περίπτωσης κατά την οποία ένα κράτος μέλος αποφασίζει να εξαιρέσει τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Το πρόσωπο αυτό μπορεί να είναι μέλος του υπάρχοντος προσωπικού του υπευθύνου επεξεργασίας που έχει λάβει ειδική κατάρτιση στο δίκαιο και τις πρακτικές προστασίας των δεδομένων, προκειμένου να αποκτήσει εμπειρογνωσία στον τομέα αυτό. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει καθορίζεται, ιδίως, με γνώμονα την επεξεργασία δεδομένων που διενεργείται και την προστασία που απαιτείται για τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ο υπεύθυνος επεξεργασίας. Μπορεί να ασκεί τα καθήκοντά του είτε με πλήρη είτε με μερική απασχόληση. Υπεύθυνος προστασίας δεδομένων μπορεί να διοριστεί από κοινού από περισσότερους του ενός υπευθύνους επεξεργασίας, με βάση την οργανωτική τους δομή και το μέγεθός τους, π.χ. σε περίπτωση κοινής χρήσης πόρων στις κεντρικές μονάδες. Το πρόσωπο αυτό μπορεί επίσης να διοριστεί σε διαφορετικές θέσεις στο πλαίσιο της δομής των σχετικών υπευθύνων επεξεργασίας. Το πρόσωπο αυτό θα πρέπει να βοηθά τον ελεγκτή και τους υπαλλήλους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω της παροχής ενημέρωσης και συμβουλών, όσον αφορά στη συμμόρφωση με τις σχετικές υποχρεώσεις προστασίας δεδομένων. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων θα πρέπει να είναι σε θέση να εκτελούν τις αρμοδιότητες και τα καθήκοντά τους με ανεξάρτητο τρόπο, σύμφωνα με το δίκαιο του κράτους μέλους. |
(64) |
Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι μια διαβίβαση προς τρίτη χώρα ή προς διεθνή οργανισμό πραγματοποιείται μόνον εάν είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, ο δε υπεύθυνος επεξεργασίας στην τρίτη χώρα ή στον διεθνή οργανισμό είναι αρχή που είναι αρμόδια κατά την έννοια της παρούσας οδηγίας. Διαβίβαση θα πρέπει να πραγματοποιηθεί μόνο από τις αρμόδιες αρχές που ενεργούν ως υπεύθυνοι επεξεργασίας, εκτός αν οι εκτελούντες την επεξεργασία έχουν λάβει ρητή εντολή για τη διαβίβαση από τους υπευθύνους επεξεργασίας. Διαβίβαση τέτοιου είδους μπορεί να πραγματοποιηθεί στις περιπτώσεις στις οποίες η Επιτροπή έχει αποφανθεί ότι η εκάστοτε τρίτη χώρα ή ο διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας ή εάν παρέχονται κατάλληλες εγγυήσεις ή όταν ισχύουν παρεκκλίσεις για ειδικές καταστάσεις. Όταν διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο προβλέπεται στην Ένωση από την παρούσα οδηγία, περιλαμβανομένων των περιπτώσεων περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή το διεθνή οργανισμό προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. |
(65) |
Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα από κράτος μέλος σε τρίτες χώρες ή διεθνείς οργανισμούς, η εν λόγω διαβίβαση θα πρέπει να γίνεται, καταρχήν, μόνον έπειτα από προηγούμενη έγκριση του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα. Προς το συμφέρον της συνεργασίας για την αποτελεσματική επιβολή του νόμου, όταν η φύση της απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα κράτους μέλους είναι τόσο άμεση ώστε να είναι αδύνατο να ληφθεί η προηγούμενη έγκριση εγκαίρως, η αρμόδια αρχή θα πρέπει να έχει τη δυνατότητα να διαβιβάσει τα σχετικά δεδομένα προσωπικού χαρακτήρα στη σχετική τρίτη χώρα ή διεθνή οργανισμό χωρίς την εν λόγω προηγούμενη έγκριση. Τα κράτη μέλη θα πρέπει να προβλέπουν ότι οι τυχόν ειδικοί όροι που αφορούν στη διαβίβαση θα πρέπει να γνωστοποιούνται στις τρίτες χώρες ή τους διεθνείς οργανισμούς. Οι περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να υπόκεινται στην εκ των προτέρων έγκριση από την αρμόδια αρχή που πραγματοποίησε την αρχική διαβίβαση. Κατά τη λήψη απόφασης σχετικά με αίτημα έγκρισης περαιτέρω διαβίβασης, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει να λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, μεταξύ άλλων τη σοβαρότητα του ποινικού αδικήματος, τους ειδικούς όρους που αφορούν τη διαβίβαση και τον σκοπό για τον οποίο διαβιβάστηκαν αρχικά τα δεδομένα, τη φύση και τους όρους εκτέλεσης της ποινικής κύρωσης και το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό στους οποίους διαβιβάζονται περαιτέρω δεδομένα προσωπικού χαρακτήρα. Η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει επίσης να μπορεί να εξαρτήσει την περαιτέρω διαβίβαση από ειδικούς όρους. Οι εν λόγω ειδικοί όροι μπορούν να περιγράφονται, π.χ. στους κωδικούς διαχείρισης. |
(66) |
Η Επιτροπή θα πρέπει να μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός τρίτης χώρας, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά στις τρίτες χώρες ή τους διεθνείς οργανισμούς που γίνεται δεκτό ότι παρέχουν ένα τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις εν λόγω χώρες θα πρέπει να μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ληφθεί ειδική έγκριση, εκτός εάν ένα άλλο κράτος μέλος από το οποίο παρελήφθησαν τα δεδομένα πρέπει να δώσει την έγκρισή του για τη διαβίβαση αυτή. |
(67) |
Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, και ειδικότερα την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή οφείλει, κατά την αξιολόγηση της τρίτης χώρας, ή εδάφους ή συγκεκριμένου τομέα σε τρίτη χώρα, να συνεκτιμά κατά πόσον ορισμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, όπως και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιο της, μεταξύ άλλων τη νομοθεσία που αφορά στη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και στη δημόσια τάξη και το ποινικό δίκαιο. Κατά τη λήψη της απόφασης περί επάρκειας για έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να λαμβάνονται υπόψη σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει δεσμεύσεις που εξασφαλίζουν επαρκές επίπεδο προστασίας, κατ' ουσίαν ισοδύναμο με αυτό που προβλέπει η Ένωση, ιδίως όταν η επεξεργασία δεδομένων γίνεται σε έναν ή σε περισσότερους του ενός συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να εξασφαλίζει την αποτελεσματική και ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και εκτελεστά δικαιώματα, καθώς και τη δυνατότητα άσκησης πραγματικών διοικητικών και δικαστικών προσφυγών. |
(68) |
Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή οφείλει επίσης να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την υλοποίηση αυτών των υποχρεώσεων. Θα πρέπει, ειδικότερα να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης, της 28ης Ιανουαρίου 1981, για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή οφείλει να ζητεί τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων που θεσπίστηκε από τον κανονισμό (ΕΕ) 2016/679 (το «συμβούλιο») οσάκις αξιολογεί το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Η Επιτροπή θα πρέπει, επίσης, να συνεκτιμά κάθε σχετική περί επάρκειας απόφαση της Επιτροπής η οποία έχει εκδοθεί σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679. |
(69) |
Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε τρίτη χώρα, σε έδαφος ή συγκεκριμένο τομέα τρίτης χώρας, ή σε διεθνή οργανισμό. Στο πλαίσιο των αποφάσεων περί επάρκειας, η Επιτροπή θα πρέπει να προβλέψει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται με διαβούλευση με τη σχετική τρίτη χώρα ή διεθνή οργανισμό και θα πρέπει να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. |
(70) |
Η Επιτροπή θα πρέπει επίσης να μπορεί να αναγνωρίσει ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας εντός τρίτης χώρας, ή διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορευτεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις της παρούσας οδηγίας σχετικά με τις διαβιβάσεις μέσω κατάλληλων εγγυήσεων και τις παρεκκλίσεις για ειδικές καταστάσεις. Θα πρέπει να προβλέπονται διαδικασίες για διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώσει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίσει διαβουλεύσεις προς αντιμετώπιση της κατάστασης. |
(71) |
Διαβιβάσεις που δεν βασίζονται σε τέτοια απόφαση περί επάρκειας θα πρέπει να επιτρέπονται μόνον εφόσον έχουν παρασχεθεί κατάλληλες εγγυήσεις με νομικά δεσμευτική πράξη, οι οποίες διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα ή, εάν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων και με βάση την εν λόγω αξιολόγηση, θεωρεί ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Νομικά δεσμευτικές πράξεις αυτού του είδους μπορούν π.χ. να είναι οι νομικά δεσμευτικές διμερείς συμφωνίες που έχουν συναφθεί από τα κράτη μέλη, έχουν ενσωματωθεί στην έννομη τάξη τους και μπορούν να εκτελεστούν αναγκαστικώς από τα υποκείμενα των δεδομένων τους, εξασφαλίζοντας συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, μεταξύ άλλων το δικαίωμα να ασκούν πραγματική διοικητική ή δικαστική προσφυγή. Ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να λαμβάνει υπόψη συμφωνίες συνεργασίας που έχουν συναφθεί μεταξύ της Ευρωπόλ ή της Eurojust και τρίτων χωρών οι οποίες επιτρέπουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα, κατά την αξιολόγηση όλων των περιστάσεων που αφορούν στη διαβίβαση των δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να μπορεί να λαμβάνει υπόψη ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα διέπεται από υποχρεώσεις εμπιστευτικότητας και την αρχή της ειδικότητας, διασφαλίζοντας ότι τα δεδομένα δεν θα υποστούν επεξεργασία για άλλους σκοπούς εκτός των σκοπών της διαβίβασης. Επιπλέον, ο υπεύθυνος επεξεργασίας θα πρέπει να λάβει υπόψη ότι τα δεδομένα προσωπικού χαρακτήρα δεν θα χρησιμοποιηθούν για να ζητηθεί θανατική ποινή, να εκδοθεί ή να εκτελεστεί τέτοια απόφαση επιβολής θανατικής ποινής ή οποιαδήποτε μορφή βάναυσης και απάνθρωπης μεταχείρισης. Παρόλο που οι εν λόγω προϋποθέσεις θα μπορούσαν να θεωρηθούν ως κατάλληλες εγγυήσεις για τη διαβίβαση δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να απαιτήσει πρόσθετες εγγυήσεις. |
(72) |
Όταν δεν υπάρχει απόφαση περί επάρκειας ούτε κατάλληλες εγγυήσεις, μια διαβίβαση ή μια κατηγορία διαβιβάσεων μπορεί να πραγματοποιηθεί μόνον σε ειδικές καταστάσεις, εάν είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου ή για τη διασφάλιση έννομων συμφερόντων του υποκειμένου των δεδομένων, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα· για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας· σε μεμονωμένη περίπτωση για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές της δημόσιας ασφάλειας καθώς και της πρόληψής τους· ή σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων. Οι εν λόγω παρεκκλίσεις θα πρέπει να ερμηνεύονται συσταλτικά και να μην επιτρέπουν τακτικές, μαζικές και διαρθρωτικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ούτε τη διαβίβαση μεγάλου όγκου δεδομένων, αλλά να περιορίζονται στα απολύτως απαραίτητα. Οι μεταβιβάσεις αυτές θα πρέπει να είναι τεκμηριωμένες και να διατίθενται στην εποπτική αρχή κατόπιν αιτήματος, προκειμένου να ελεγχθεί η νομιμότητα της διαβίβασης. |
(73) |
Οι αρμόδιες αρχές των κρατών μελών εφαρμόζουν ισχύουσες διμερείς ή πολυμερείς διεθνείς συμφωνίες που έχουν συναφθεί με τρίτες χώρες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, για την ανταλλαγή σχετικών πληροφοριών ώστε να μπορούν να ασκούν τα καθήκοντα που τους ανατίθενται εκ του νόμου. Για τους σκοπούς της παρούσας οδηγίας, αυτή η ανταλλαγή πραγματοποιείται καταρχήν μέσω των αρμόδιων αρχών των ενδιαφερόμενων τρίτων χωρών ή τουλάχιστον με τη συνεργασία τους, μερικές φορές ακόμη και ελλείψει διμερούς ή πολυμερούς διεθνούς συμφωνίας. Ωστόσο, σε μεμονωμένες και ειδικές περιπτώσεις, ενδέχεται οι τακτικές διαδικασίες που απαιτούν επικοινωνία με την αρχή αυτή στην τρίτη χώρα να είναι αναποτελεσματικές ή ακατάλληλες, ιδίως λόγω του ότι η διαβίβαση δεν θα μπορέσει να πραγματοποιηθεί εγκαίρως, ή επειδή η εν λόγω αρχή στην τρίτη χώρα δεν σέβεται το κράτος δικαίου ή τις διεθνείς προδιαγραφές και τα διεθνή πρότυπα για τα ανθρώπινα δικαιώματα· στην περίπτωση αυτή οι αρμόδιες αρχές των κρατών μελών μπορούν να αποφασίσουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα απευθείας σε αποδέκτες εγκατεστημένους σε τρίτες χώρες. Αυτό μπορεί να συμβαίνει όταν συντρέχει επείγουσα ανάγκη να διαβιβαστούν δεδομένα προσωπικού χαρακτήρα για να σωθεί η ζωή προσώπου που κινδυνεύει να καταστεί θύμα αξιόποινης πράξης ή για την αποτροπή επικείμενης διάπραξης εγκλήματος, περιλαμβανομένης της τρομοκρατίας. Αν και η διαβίβαση αυτή μεταξύ αρμόδιων αρχών και αποδεκτών εγκατεστημένων σε τρίτες χώρες θα πρέπει να πραγματοποιείται μόνον σε μεμονωμένες και ειδικές περιπτώσεις, η παρούσα οδηγία θα πρέπει να προβλέπει τους όρους που διέπουν τέτοιες περιπτώσεις. Οι εν λόγω διατάξεις δεν πρέπει να εκλαμβάνονται ως παρεκκλίσεις από οποιεσδήποτε υφιστάμενες διμερείς ή πολυμερείς διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Οι κανόνες αυτοί εφαρμόζονται επιπλέον των λοιπών κανόνων της οδηγίας, ειδικότερα δε των κανόνων περί νομιμότητας της επεξεργασίας και του κεφαλαίου V. |
(74) |
Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα μπορεί να αυξήσει τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα σχετικά με την προστασία των δεδομένων, για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης τέτοιων δεδομένων. Ταυτόχρονα, οι εποπτικές αρχές ενδέχεται να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργαστούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή κατασταλτικές εξουσίες και μη συνεκτικά νομικά καθεστώτα. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας δεδομένων, ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες με τους διεθνείς ομολόγους τους. |
(75) |
Η ίδρυση εποπτικών αρχών στα κράτη μέλη, οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία, αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή. |
(76) |
Τα κράτη μέλη μπορούν να αναθέτουν σε εποπτική αρχή που έχει ήδη συγκροτηθεί βάσει του κανονισμού (ΕΕ) 2016/679 την ευθύνη για τα καθήκοντα τα οποία πρέπει να ασκούνται από τις εθνικές εποπτικές αρχές που πρέπει να συγκροτηθούν βάσει της παρούσας οδηγίας. |
(77) |
Τα κράτη μέλη θα πρέπει να μπορούν να συγκροτήσουν περισσότερες της μιας εποπτικές αρχές, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Σε κάθε εποπτική αρχή θα πρέπει να παρέχονται οι οικονομικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και οι υποδομές οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, περιλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες εποπτικές αρχές σε ολόκληρη την Ένωση. Κάθε εποπτική αρχή θα πρέπει να διαθέτει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού. |
(78) |
Οι εποπτικές αρχές θα πρέπει να υπόκεινται σε ανεξάρτητους μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά στις οικονομικές τους δαπάνες, υπό τον όρο ότι αυτός ο οικονομικός έλεγχος δε θίγει την ανεξαρτησία τους. |
(79) |
Οι γενικές προϋποθέσεις για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται από το κοινοβούλιο ή την κυβέρνηση ή από τον αρχηγό κράτους του οικείου κράτους μέλους, βάσει πρότασης της κυβέρνησης ή μέλους της κυβέρνησης ή του κοινοβουλίου ή τμήματός του, ή από ανεξάρτητο όργανο επιφορτισμένο από το δίκαιο του κράτους μέλους με τον διορισμό μέσω διαφανούς διαδικασίας. Προκειμένου να εξασφαλιστεί η ανεξαρτησία της εποπτικής αρχής, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν θα πρέπει να ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη. Προκειμένου να εξασφαλιστεί η ανεξαρτησία των μελών της εποπτικής αρχής, το προσωπικό θα πρέπει να επιλέγεται από την εποπτική αρχή· η διαδικασία αυτή μπορεί να περιλαμβάνει παρέμβαση από ανεξάρτητο όργανο επιφορτισμένο από το δίκαιο του κράτους μέλους. |
(80) |
Παρότι η παρούσα οδηγία εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων και άλλων δικαστικών αρχών, η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα, ώστε να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Η εν λόγω εξαίρεση θα πρέπει να περιορίζεται στις δικαιοδοτικές δραστηριότητες σε δικαστικές υποθέσεις και να μην εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν δικαστές σύμφωνα με το δίκαιο του κράτους μέλους. Τα κράτη μέλη θα πρέπει επίσης να μπορούν να προβλέπουν ότι η αρμοδιότητα της εποπτικής αρχής μπορεί να μην καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από άλλες ανεξάρτητες δικαστικές αρχές οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, λόγου χάρη από την εισαγγελική αρχή. Σε κάθε περίπτωση, η τήρηση των κανόνων της παρούσας οδηγίας από τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές υπόκειται πάντα σε ανεξάρτητο έλεγχο, σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη. |
(81) |
Κάθε εποπτική αρχή θα πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από υποκείμενα των δεδομένων ή θα πρέπει να τα διαβιβάζει στην αρμόδια εποπτική αρχή. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στην έκταση που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. |
(82) |
Για να διασφαλιστεί αποτελεσματική, αξιόπιστη και ομοιόμορφη παρακολούθηση και επιβολή της παρούσας οδηγίας σε ολόκληρη την Ένωση, σύμφωνα με τη ΣΛΕΕ όπως αυτή ερμηνεύεται από το Δικαστήριο, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες αποτελεσματικές εξουσίες, μεταξύ των οποίων ερευνητικές, διορθωτικές και συμβουλευτικές εξουσίες, οι οποίες αποτελούν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους. Πάντως, οι εξουσίες των αρχών αυτών δεν θα πρέπει να παραβιάζουν τους συγκεκριμένους κανόνες που διέπουν τις ποινικές διαδικασίες, συμπεριλαμβανομένων της διερεύνησης και της δίωξης ποινικών αδικημάτων, ούτε την ανεξαρτησία της δικαστικής εξουσίας. Με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών που προβλέπει το δίκαιο των κρατών μελών, οι εποπτικές αρχές θα πρέπει να έχουν επίσης την εξουσία να παραπέμπουν παραβάσεις της παρούσας οδηγίας στις δικαστικές αρχές ή να θέτουν σε κίνηση νομικές διαδικασίες. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ειδικότερα, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό ώστε να διασφαλίζει συμμόρφωση προς την παρούσα οδηγία, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί ατομικό μέτρο εις βάρος του και να αποφεύγει περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. Οι εξουσίες έρευνας όσον αφορά την πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με τις ειδικές απαιτήσεις του δικαίου των κρατών μελών, όπως η απαίτηση έκδοσης προηγούμενης δικαστικής άδειας. Η έκδοση νομικά δεσμευτικής απόφασης θα πρέπει να υπόκειται σε δικαστικό έλεγχο στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση. |
(83) |
Οι εποπτικές αρχές θα πρέπει να συντρέχουν η μια την άλλη στην άσκηση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας. |
(84) |
Το συμβούλιο θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή και προωθώντας τη συνεργασία των εποπτικών αρχών σε ολόκληρη την Ένωση. |
(85) |
Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή και να ασκήσει πραγματική δικαστική προσφυγή σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του σύμφωνα με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε καταγγελία, απορρίπτει ή θεωρεί απαράδεκτη εν όλω ή εν μέρει μια καταγγελία ή δεν ενεργεί, ενώ οφείλει να ενεργήσει, για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη του δικαστικού ελέγχου, στην έκταση που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρμόδια εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, κάθε εποπτική αρχή θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί επίσης να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας. |
(86) |
Κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα να ασκήσει πραγματική δικαστική προσφυγή ενώπιον του αρμοδίου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που το αφορούν. Οι αποφάσεις αυτές αφορούν ιδίως στην άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή στις περιπτώσεις στις οποίες οι καταγγελίες θεωρούνται απαράδεκτες ή απορρίπτονται. Ωστόσο, το εν λόγω δικαίωμα δεν καλύπτει άλλα μέτρα των εποπτικών αρχών που δεν είναι νομικά δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή και να διενεργείται σύμφωνα με το δίκαιο του κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη διεθνή δικαιοδοσία η οποία περιλαμβάνει τη δικαιοδοσία να εξετάζουν όλα τα ζητήματα πραγματικά και νομικά σχετικά με τη διαφορά που εκκρεμεί ενώπιόν τους. |
(87) |
Όταν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του υπό την παρούσα οδηγία, θα πρέπει να έχει το δικαίωμα να αναθέσει σε φορέα, ο οποίος αποσκοπεί στην προστασία των δικαιωμάτων και των συμφερόντων των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και έχει συγκροτηθεί σύμφωνα με το δίκαιο κράτους μέλους, να υποβάλει καταγγελία για λογαριασμό του σε εποπτική αρχή και να ασκήσει το δικαίωμα δικαστικής προσφυγής. Το δικαίωμα εκπροσώπησης των υποκειμένων των δεδομένων θα πρέπει να ασκείται με την επιφύλαξη του δικονομικού δικαίου του κράτους μέλους που μπορεί να απαιτεί την υποχρεωτική εκπροσώπηση των υποκειμένων των δεδομένων από δικηγόρο, όπως αυτός ορίζεται από την οδηγία 77/249/ΕΟΚ του Συμβουλίου (10), ενώπιον των εθνικών δικαστηρίων. |
(88) |
Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας που παραβιάζει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή από οποιαδήποτε άλλη αρχή αρμόδια δυνάμει του δικαίου του κράτους μέλους. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι της παρούσας οδηγίας. Αυτό δεν επηρεάζει τυχόν αγωγές αποζημιώσεως ασκούμενες λόγω παράβασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Όταν γίνεται αναφορά σε επεξεργασία που είναι παράνομη ή δεν συμμορφώνεται με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, αυτή καλύπτει και την τυχόν επεξεργασία που παραβιάζει τις εκτελεστικές πράξεις που εκδίδονται κατ' εφαρμογή της παρούσας οδηγίας. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και επαρκή αποζημίωση για τη ζημία που υπέστησαν. |
(89) |
Θα πρέπει να επιβάλλονται κυρώσεις σε κάθε φυσικό ή νομικό πρόσωπο, ιδιωτικού ή δημόσιου δικαίου, το οποίο παραβιάζει την παρούσα οδηγία. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και θα πρέπει να λαμβάνουν κάθε αναγκαίο μέτρο για την επιβολή τους. |
(90) |
Για τη διασφάλιση ενιαίων όρων εφαρμογής της παρούσας οδηγίας θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά στο επαρκές επίπεδο προστασίας που παρέχει μια τρίτη χώρα, μια εδαφική περιοχή ή ένας συγκεκριμένος τομέας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός και στον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, και μεταξύ εποπτικών αρχών και του συμβουλίου. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11). |
(91) |
Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιηθεί για την έκδοση εκτελεστικών πράξεων σχετικά με το επαρκές επίπεδο προστασίας που παρέχει μια τρίτη χώρα, μια εδαφική περιοχή ή ένας καθορισμένος τομέας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός και για τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, και μεταξύ εποπτικών αρχών και του συμβουλίου, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής. |
(92) |
Η Επιτροπή θα πρέπει να εκδίδει εκτελεστικές πράξεις που έχουν άμεση εφαρμογή εφόσον, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, εδαφική περιοχή ή καθορισμένο τομέα εντός αυτής της τρίτης χώρας, ή διεθνή οργανισμό που δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας, τούτο επιβάλλεται από επιτακτικούς λόγους επείγουσας ανάγκης. |
(93) |
Δεδομένου ότι οι στόχοι της παρούσας οδηγίας, και ειδικότερα η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, και ιδίως του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, όπως και η διασφάλιση της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 ΣΕΕ. Σύμφωνα με την αρχή της αναλογικότητας όπως διατυπώνεται στο ίδιο άρθρο, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των εν λόγω στόχων. |
(94) |
Δεν θα πρέπει να θιγεί η ισχύς ειδικών διατάξεων των πράξεων της Ένωσης στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, οι οποίες εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, όπως, π.χ. οι ειδικές διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα που εφαρμόζονται δυνάμει της απόφασης 2008/615/ΔΕΥ του Συμβουλίου (12), ή δυνάμει του άρθρου 23 της σύμβασης για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων μεταξύ των κρατών μελών της Ευρωπαϊκής Ένωσης (13). Δεδομένου ότι το άρθρο 8 του Χάρτη και το άρθρο 16 ΣΛΕΕ απαιτούν να διασφαλίζεται με συνεκτικό τρόπο σε ολόκληρη την Ένωση η προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να αξιολογήσει την κατάσταση όσον αφορά στη σχέση μεταξύ της παρούσας οδηγίας και των πράξεων που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας, οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, προκειμένου να εκτιμηθεί η αναγκαιότητα εναρμόνισης των εν λόγω ειδικών διατάξεων με την παρούσα οδηγία. Η Επιτροπή θα πρέπει να υποβάλει προτάσεις με στόχο να εξασφαλιστεί η ύπαρξη συνεκτικών νομικών κανόνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπου αυτό αρμόζει. |
(95) |
Για τη διασφάλιση της συνολικής και συνεκτικής προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, διεθνείς συμφωνίες συναφθείσες από τα κράτη μέλη πριν από την έναρξη ισχύος της παρούσας οδηγίας και οι οποίες συνάδουν προς το εφαρμοστέο πριν από την ημερομηνία αυτή σχετικό ενωσιακό δίκαιο, θα πρέπει να εξακολουθήσουν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν. |
(96) |
Για τη μεταφορά της παρούσας οδηγίας στο εθνικό δίκαιο, τα κράτη μέλη θα πρέπει να έχουν στη διάθεσή τους χρονικό διάστημα που δεν θα υπερβαίνει τα δύο έτη από την ημερομηνία έναρξης ισχύος της. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία αυτή θα πρέπει να εναρμονιστεί με την παρούσα οδηγία εντός της περιόδου των δύο ετών από την έναρξη ισχύος της παρούσας οδηγίας. Ωστόσο, εφόσον η εν λόγω επεξεργασία συμμορφώνεται με το ενωσιακό δίκαιο που ίσχυε πριν από την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας, οι απαιτήσεις της παρούσας οδηγίας που αφορούν την προηγούμενη διαβούλευση με την εποπτική αρχή δεν θα πρέπει να εφαρμόζονται στις διαδικασίες επεξεργασίας που βρίσκονταν σε εξέλιξη ήδη κατά την ημερομηνία αυτή, δεδομένου ότι οι απαιτήσεις αυτές, από τη φύση τους, πρέπει να ικανοποιούνται πριν από την έναρξη της επεξεργασίας. Όταν τα κράτη μέλη χρησιμοποιούν τη μεγαλύτερη περίοδο εφαρμογής που λήγει επτά έτη μετά την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας, για την εκπλήρωση των υποχρεώσεων καταχώρησης για αυτοματοποιημένα συστήματα επεξεργασίας που έχουν δημιουργηθεί πριν από την ημερομηνία αυτή, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διαθέτουν αποτελεσματικές μεθόδους για την απόδειξη της νομιμότητας της επεξεργασίας των δεδομένων, την αυτοπαρακολούθηση και τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων, όπως καταχωρήσεις ή άλλες μορφές αρχείων. |
(97) |
Η παρούσα οδηγία δεν θίγει τους κανόνες για την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας, οι οποίοι προβλέπονται στην οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (14). |
(98) |
Η απόφαση-πλαίσιο 2008/977/ΔΕΥ θα πρέπει επομένως να καταργηθεί. |
(99) |
Σύμφωνα με το άρθρο 6α του πρωτοκόλλου αριθ. 21 για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά στον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες που θεσπίζονται στην παρούσα οδηγία, οι οποίοι συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά τη διεξαγωγή δραστηριοτήτων που εμπίπτουν εντός του πεδίου του κεφαλαίου 4 και του κεφαλαίου 5 του τίτλου V του τρίτου μέρους της ΣΛΕΕ εφόσον το Ηνωμένο Βασίλειο και η Ιρλανδία δε δεσμεύονται από τους κανόνες οι οποίοι διέπουν μορφές δικαστικής συνεργασίας σε ποινικές υποθέσεις ή αστυνομικής συνεργασίας στο πλαίσιο των οποίων πρέπει να τηρούνται οι διατάξεις οι οποίες θεσπίζονται βάσει του άρθρου 16 ΣΛΕΕ. |
(100) |
Σύμφωνα με τα άρθρα 2 και 2α του πρωτοκόλλου αριθ. 22 σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, η Δανία δε δεσμεύεται από τους κανόνες που θεσπίζονται με την παρούσα οδηγία ούτε υπόκειται στην εφαρμογή τους που συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά τη διεξαγωγή δραστηριοτήτων που εμπίπτουν εντός του πεδίου του κεφαλαίου 4 και του κεφαλαίου 5 του τίτλου V του τρίτου μέρους της ΣΛΕΕ. Δεδομένου ότι η παρούσα οδηγία αναπτύσσει το κεκτημένο του Σένγκεν, βάσει του τίτλου V του τρίτου μέρους της ΣΛΕΕ, η Δανία πρέπει να αποφασίσει, σύμφωνα με το άρθρο 4 αυτού του πρωτοκόλλου, εντός εξαμήνου μετά την έκδοση της παρούσας οδηγίας, εάν θα την εφαρμόσει στο εθνικό της δίκαιο. |
(101) |
Όσον αφορά στην Ισλανδία και τη Νορβηγία, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία που συνήφθη μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, αφενός, και της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας, αφετέρου, σχετικά με τη σύνδεση των εν λόγω δύο χωρών προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (15). |
(102) |
Όσον αφορά στην Ελβετία, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (16). |
(103) |
Όσον αφορά στο Λιχτενστάιν, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στο πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (17). |
(104) |
Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη, όπως κατοχυρώνονται στη ΣΛΕΕ, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το δικαίωμα άσκησης πραγματικής προσφυγής και αμερόληπτου δικαστηρίου. Οι περιορισμοί που τίθενται στα ως άνω δικαιώματα είναι σύμφωνοι προς το άρθρο 52 παράγραφος 1 του Χάρτη, καθώς είναι αναγκαίοι για την εκπλήρωση σκοπών γενικού συμφέροντος που αναγνωρίζει η Ένωση ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. |
(105) |
Σύμφωνα με την κοινή πολιτική δήλωση των κρατών μελών και της Επιτροπής της 28ης Σεπτεμβρίου 2011 σχετικά με τα επεξηγηματικά έγγραφα, τα κράτη μέλη ανέλαβαν να συνοδεύουν, σε αιτιολογημένες περιπτώσεις, την κοινοποίηση των μέτρων μεταφοράς στο εθνικό δίκαιο με ένα ή περισσότερα έγγραφα στα οποία θα επεξηγείται η σχέση ανάμεσα στα συστατικά στοιχεία μιας οδηγίας και στα αντίστοιχα μέρη των μέτρων μεταφοράς στο εθνικό δίκαιο. Όσον αφορά στην παρούσα οδηγία, ο νομοθέτης θεωρεί ότι δικαιολογείται η διαβίβαση τέτοιων εγγράφων. |
(106) |
Ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος και γνωμοδότησε στις 7 Μαρτίου 2012 (18). |
(107) |
Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να εφαρμόζουν τις διατάξεις για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων σχετικά με την ενημέρωση, την πρόσβαση και τη διόρθωση, τη διαγραφή και τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο ποινικής διαδικασίας, και τους ενδεχόμενους περιορισμούς στα εν λόγω δικαιώματα, σε εθνικούς κανόνες ποινικής δικονομίας, |
ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:
ΚΕΦΑΛΑΙΟ I
Γενικές διατάξεις
Άρθρο 1
Αντικείμενο και στόχοι
1. Η παρούσα οδηγία θεσπίζει τους κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
2. Σύμφωνα με την παρούσα οδηγία, τα κράτη μέλη:
α) |
προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα· και |
β) |
διασφαλίζουν ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών εντός της Ένωσης, εφόσον η ανταλλαγή αυτή απαιτείται από το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών, δεν μπορεί να περιοριστεί ούτε να απαγορευτεί για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. |
3. Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προβλέπουν ισχυρότερες διασφαλίσεις από αυτές που θεσπίζονται σε αυτή για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε ό,τι αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.
Άρθρο 2
Πεδίο εφαρμογής
1. Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1.
2. Η παρούσα οδηγία εφαρμόζεται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
3. Η παρούσα οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) |
στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης· |
β) |
από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. |
Άρθρο 3
Ορισμοί
Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:
1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
2) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
3) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
4) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν στην απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου·
5) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
6) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
7) «αρμόδια αρχή»:
α) |
κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· ή |
β) |
κάθε άλλος οργανισμός ή φορέας στον οποίο το δίκαιο κράτους μέλους αναθέτει ρόλο δημόσιας αρχής και την εκτέλεση δημόσιων εξουσιών για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· |
8) «υπεύθυνος επεξεργασίας»: η αρμόδια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·
9) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας·
10) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας·
11) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία·
12) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·
13) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
14) «δεδομένα που αφορούν στην υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του·
15) «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 41·
16) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.
ΚΕΦΑΛΑΙΟ II
Βασικές αρχές
Άρθρο 4
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα:
α) |
υποβάλλονται σε σύννομη και δίκαιη επεξεργασία· |
β) |
συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· |
γ) |
είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· |
δ) |
είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνονται όλα τα εύλογα μέτρα που διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας· |
ε) |
διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία· |
στ) |
υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων. |
2. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας για οποιονδήποτε σκοπό προβλεπόμενο στο άρθρο 1 παράγραφος 1 άλλο από εκείνον για τον οποίο συλλέγονται τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται στο μέτρο που:
α) |
ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα για τον σκοπό αυτόν σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους· και |
β) |
η επεξεργασία είναι απαραίτητη και ανάλογη προς τον εν λόγω άλλο σκοπό, σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. |
3. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας μπορεί να περιλαμβάνει την αρχειοθέτηση για λόγους δημοσίου συμφέροντος, την επιστημονική, στατιστική ή ιστορική επεξεργασία, για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1, με την επιφύλαξη των κατάλληλων διασφαλίσεων υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
4. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη συμμόρφωση με τις παραγράφους 1, 2 και 3 και είναι σε θέση να το αποδείξει.
Άρθρο 5
Προθεσμίες αποθήκευσης και επανεξέτασης
Τα κράτη μέλη προβλέπουν κατάλληλες προθεσμίες για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων προσωπικού χαρακτήρα. Η μέριμνα για την τήρηση των προθεσμιών αυτών εξασφαλίζεται μέσω δικονομικών μέτρων.
Άρθρο 6
Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων
Τα κράτη μέλη, κατά περίπτωση και στον βαθμό του εφικτού, προβλέπουν ότι ο υπεύθυνος επεξεργασίας διακρίνει σαφώς μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών υποκειμένων, παραδείγματος χάριν:
α) |
προσώπων σε σχέση με τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα· |
β) |
προσώπων τα οποία καταδικάστηκαν για ποινικό αδίκημα· |
γ) |
θυμάτων ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα ποινικού αδικήματος· και |
δ) |
άλλων μερών ως προς ποινικό αδίκημα, όπως προσώπων που ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικά αδικήματα ή σε επακόλουθη ποινική διαδικασία ή προσώπων που μπορούν να παράσχουν πληροφορίες σχετικά με ποινικά αδικήματα, ή προσώπων επικοινωνίας ή συνεργών των προσώπων που αναφέρονται στα στοιχεία α) και β). |
Άρθρο 7
Διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα και της επαλήθευσης της ποιότητας των δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά περιστατικά διακρίνονται, στον βαθμό του εφικτού, από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις.
2. Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές λαμβάνουν κάθε εύλογο μέτρο προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Για τον σκοπό αυτό, κάθε αρμόδια αρχή ελέγχει, στο μέτρο του εφικτού, την ποιότητα των δεδομένων προσωπικού χαρακτήρα πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών. Σε κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα επισυνάπτονται, στο μέτρο του δυνατού, οι αναγκαίες πληροφορίες που επιτρέπουν στην αρμόδια αρχή που παραλαμβάνει τα δεδομένα να αξιολογήσει την ακρίβεια, την πληρότητα, την αξιοπιστία των δεδομένων προσωπικού χαρακτήρα, καθώς και τον βαθμό επικαιροποίησής τους.
3. Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν παρανόμως, ο αποδέκτης τους οφείλει να το γνωστοποιήσει πάραυτα. Στην περίπτωση αυτή, τα δεδομένα προσωπικού χαρακτήρα διορθώνονται, διαγράφονται ή περιορίζεται η επεξεργασία σύμφωνα με το άρθρο 16.
Άρθρο 8
Νομιμότητα της επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι η επεξεργασία είναι σύννομη μόνον εάν και στον βαθμό που είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από αρχή αρμόδια για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1 και βασίζεται στο δίκαιο της Ένωσης ή των κρατών μελών.
2. Το δίκαιο κράτους μέλους που ρυθμίζει την επεξεργασία στο πλαίσιο της παρούσας οδηγίας καθορίζει τουλάχιστον τους στόχους της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας.
Άρθρο 9
Ειδικοί όροι επεξεργασίας
1. Δεδομένα προσωπικού χαρακτήρα που συγκεντρώνονται από αρμόδιες αρχές για τους σκοπούς του άρθρου 1 παράγραφος 1 δεν υφίστανται επεξεργασία για σκοπούς άλλους από αυτούς του άρθρου 1 παράγραφος 1, εκτός εάν αυτή η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών μελών. Όταν τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για τέτοιους άλλους σκοπούς, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.
2. Σε περίπτωση που οι αρμόδιες αρχές είναι επιφορτισμένες από το δίκαιο του κράτους μέλους με την εκτέλεση καθηκόντων διαφορετικών από εκείνων που εκτελούνται για τους σκοπούς του άρθρου 1 παράγραφος 1, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679 στην επεξεργασία που διενεργείται για τους εν λόγω σκοπούς, που περιλαμβάνουν την αρχειοθέτηση για λόγους δημοσίου συμφέροντος, τη χρήση για επιστημονικούς, στατιστικούς ή ιστορικούς λόγους, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.
3. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπάγεται η διαβιβάζουσα αρμόδια αρχή προβλέπει ειδικούς όρους υπό ειδικές περιστάσεις κατά την επεξεργασία, η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη των εν λόγω δεδομένων προσωπικού χαρακτήρα σχετικά με αυτούς τους όρους και την υποχρέωση τήρησής τους.
4. Τα κράτη μέλη προβλέπουν ότι η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους όρους της παραγράφου 3 στους αποδέκτες σε άλλα κράτη μέλη ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 ΣΛΕΕ, εκτός από εκείνους που ισχύουν για ανάλογες διαβιβάσεις δεδομένων εντός του κράτους μέλους της διαβιβάζουσας αρμόδιας αρχής.
Άρθρο 10
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν στην υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό επιτρέπονται μόνο όταν είναι απολύτως αναγκαίες, με την επιφύλαξη των κατάλληλων διασφαλίσεων για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και εφόσον:
α) |
επιτρέπονται από το δίκαιο της Ένωσης ή των κρατών μελών· |
β) |
επιβάλλονται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου· ή |
γ) |
η επεξεργασία αυτή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. |
Άρθρο 11
Αυτοματοποιημένη ατομική λήψη αποφάσεων
1. Τα κράτη μέλη προβλέπουν ότι απαγορεύεται η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή θίγει αυτό σε μεγάλο βαθμό, εκτός εάν επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών μελών στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει κατάλληλες διασφαλίσεις υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, τουλάχιστον δε το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπεύθυνου επεξεργασίας.
2. Οι αποφάσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10, εκτός εάν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Η κατάρτιση προφίλ που έχει ως αποτέλεσμα διακρίσεις εις βάρος φυσικών προσώπων με βάση τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 απαγορεύεται σύμφωνα με το δίκαιο της Ένωσης.
ΚΕΦΑΛΑΙΟ III
Δικαιώματα του υποκειμένου των δεδομένων
Άρθρο 12
Γνωστοποίηση και τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που μνημονεύεται στο άρθρο 13 και παρέχει κάθε γνωστοποίηση βάσει των άρθρων 11, 14 έως 18 και 31 σχετικά με την επεξεργασία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Οι πληροφορίες παρέχονται με κάθε κατάλληλο μέσο, μεταξύ άλλων και με ηλεκτρονικά μέσα. Κατά γενικό κανόνα, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις πληροφορίες με την ίδια μορφή που υποβλήθηκε η αίτηση.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων δυνάμει των άρθρων 11 και 14 έως 18.
3. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για τη συνέχεια που δίδεται στο αίτημά του.
4. Τα κράτη μέλη προβλέπουν ότι οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 13 και κάθε ενημέρωση και ενέργεια βάσει των άρθρων 11, 14 έως 18 και 31 παρέχονται χωρίς οικονομική επιβάρυνση. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί:
α) |
να επιβάλει την καταβολή κάποιου εύλογου τέλους ανάλογα με τις διοικητικές δαπάνες για την παροχή των πληροφοριών ή τη γνωστοποίηση ή την εκτέλεση της ζητούμενης ενέργειας· ή |
β) |
να αρνηθεί να απαντήσει στο αίτημα. |
Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.
5. Εάν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα του άρθρου 14 ή 16, ο υπεύθυνος επεξεργασίας δύναται να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
Άρθρο 13
Ενημέρωση που διατίθεται ή δίδεται στο υποκείμενο των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τουλάχιστον τις ακόλουθες πληροφορίες:
α) |
την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας· |
β) |
τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, κατά περίπτωση· |
γ) |
τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα· |
δ) |
το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και τα στοιχεία επικοινωνίας με την εποπτική αρχή· |
ε) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν στο εν λόγω πρόσωπο. |
2. Πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, τα κράτη μέλη προβλέπουν με νομοθετική διάταξη ότι ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, σε συγκεκριμένες περιπτώσεις, τις ακόλουθες συμπληρωματικές πληροφορίες, προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του:
α) |
τη νομική βάση της επεξεργασίας· |
β) |
το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα· |
γ) |
όπου συντρέχει περίπτωση, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς· |
δ) |
εφόσον κρίνεται σκόπιμο, συμπληρωματικές πληροφορίες, ιδιαίτερα όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται εν αγνοία του υποκειμένου των δεδομένων. |
3. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα σχετικά με την καθυστέρηση, τον περιορισμό ή την παράλειψη της παροχής των πληροφοριών στο υποκείμενο των δεδομένων βάσει της παραγράφου 2, εφόσον και στον βαθμό που ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) |
την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών· |
β) |
την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· |
γ) |
την προστασία της δημόσιας ασφάλειας· |
δ) |
την προστασία της εθνικής ασφάλειας· |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. |
4. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα ώστε να καθορίζουν κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στα μέτρα που αναφέρονται σε οποιοδήποτε από τα σημεία της παραγράφου 3.
Άρθρο 14
Δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων
Με την επιφύλαξη του άρθρου 15, τα κράτη μέλη προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση του κατά πόσον δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται ή όχι σε επεξεργασία και, εφόσον συμβαίνει αυτό, να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και τις ακόλουθες πληροφορίες:
α) |
τους σκοπούς και τη νομική βάση για την επεξεργασία· |
β) |
τις κατηγορίες δεδομένων προσωπικού χαρακτήρα των οποίων γίνεται επεξεργασία· |
γ) |
τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς· |
δ) |
εφόσον είναι δυνατόν, το προβλεπόμενο χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα· |
ε) |
την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση, ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν στο υποκείμενο των δεδομένων· |
στ) |
το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή και τα στοιχεία επικοινωνίας με την εποπτική αρχή· |
ζ) |
τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά στην προέλευσή τους. |
Άρθρο 15
Περιορισμοί του δικαιώματος πρόσβασης
1. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, στον βαθμό και για το χρονικό διάστημα που ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) |
την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών· |
β) |
την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· |
γ) |
την προστασία της δημόσιας ασφάλειας· |
δ) |
την προστασία της εθνικής ασφάλειας· |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. |
2. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα ώστε να καθορίζουν κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει που προβλέπονται στην παράγραφο 1 στοιχεία α) έως ε).
3. Στις περιπτώσεις των παραγράφων 1 και 2, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για κάθε άρνηση ή περιορισμό πρόσβασης και για τους λόγους της άρνησης ή του περιορισμού. Η ενημέρωση αυτή μπορεί να παραλείπεται εάν η παροχή των σχετικών πληροφοριών υπονομεύει έναν από τους σκοπούς της παραγράφου 1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία προς εποπτική αρχή ή να ασκήσει δικαστική προσφυγή.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφαση. Οι πληροφορίες αυτές τίθενται στη διάθεση των εποπτικών αρχών.
Άρθρο 16
Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμού ως προς την επεξεργασία
1. Τα κράτη μέλη προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να εξασφαλίζει από τον υπεύθυνο επεξεργασίας, χωρίς άσκοπη καθυστέρηση, τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τον σκοπό της επεξεργασίας, τα κράτη μέλη προβλέπουν ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και μέσω της παροχής συμπληρωματικής δήλωσης.
2. Τα κράτη μέλη προβλέπουν την υποχρέωση του υπεύθυνου επεξεργασίας να διαγράφει δεδομένα προσωπικού χαρακτήρα χωρίς άσκοπη καθυστέρηση και προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς άσκοπη καθυστέρηση, εάν η επεξεργασία παραβιάζει τα τις διατάξεις που θεσπίζονται δυνάμει των άρθρων 4, 8 ή 10 ή εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν προκειμένου να τηρηθεί εκ του νόμου υποχρέωση του υπευθύνου επεξεργασίας.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, εάν:
α) |
η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητηθεί από το υποκείμενο των δεδομένων και δεν μπορεί να διαπιστωθεί το κατά πόσον αυτά είναι ακριβή ή ανακριβή· |
β) |
επιβάλλεται να διατηρηθούν τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απόδειξης. |
Εάν η επεξεργασία περιορίζεται δυνάμει του στοιχείου α) του πρώτου εδαφίου, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν από την άρση του περιορισμού της επεξεργασίας.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για κάθε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας και για τους λόγους της άρνησης. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, την υποχρέωση παροχής της εν λόγω ενημέρωσης, στον βαθμό και για το χρονικό διάστημα που ο εν λόγω περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με στόχο:
α) |
την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών· |
β) |
την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· |
γ) |
την προστασία της δημόσιας ασφάλειας· |
δ) |
την προστασία της εθνικής ασφάλειας· |
ε) |
την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. |
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία προς εποπτική αρχή ή να ασκήσει δικαστική προσφυγή.
5. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας γνωστοποιεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα στην αρμόδια αρχή από την οποία προέρχονται τα ανακριβή δεδομένα προσωπικού χαρακτήρα.
6. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που τα δεδομένα προσωπικού χαρακτήρα διορθώθηκαν ή διαγράφηκαν ή περιορίστηκε η επεξεργασία τους σύμφωνα με τις παραγράφους 1, 2 και 3, ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες και ότι οι αποδέκτες διορθώνουν ή διαγράφουν τα δεδομένα προσωπικού χαρακτήρα ή περιορίζουν την επεξεργασία των υπ' ευθύνη τους δεδομένων προσωπικού χαρακτήρα.
Άρθρο 17
Άσκηση δικαιωμάτων από το υποκείμενο των δεδομένων και επαλήθευση από την εποπτική αρχή
1. Στις περιπτώσεις που αναφέρονται στο άρθρο 13 παράγραφος 3, το άρθρο 15 παράγραφος 3 και το άρθρο 16 παράγραφος 4, τα κράτη μέλη θεσπίζουν μέτρα που προβλέπουν ότι τα δικαιώματα του υποκειμένου των δεδομένων είναι επίσης δυνατόν να ασκούνται μέσω της αρμόδιας εποπτικής αρχής.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να ασκήσει τα δικαιώματά του μέσω της εποπτικής αρχής δυνάμει της παραγράφου 1.
3. Όταν ασκείται το δικαίωμα που αναφέρεται στην παράγραφο 1, η εποπτική αρχή γνωστοποιεί στο υποκείμενο των δεδομένων τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από την εποπτική αρχή. Η εποπτική αρχή ενημερώνει επίσης το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει δικαστική προσφυγή.
Άρθρο 18
Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες
Τα κράτη μέλη μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων τα οποία αναφέρονται στα άρθρα 13, 14 και 16 πραγματοποιείται σύμφωνα με το δίκαιο του κράτους μέλους, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο ή φάκελο υπόθεσης που υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας.
ΚΕΦΑΛΑΙΟ IV
Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Άρθρο 19
Υποχρεώσεις του υπεύθυνου επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας καθώς και της πιθανότητας και της σοβαρότητας του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει τα κατάλληλα μέτρα και είναι σε θέση να αποδείξει ότι η επεξεργασία διενεργείται σύμφωνα με την παρούσα οδηγία. Αυτά τα μέτρα πρέπει να επανεξετάζονται και να επικαιροποιούνται, εφόσον είναι αναγκαίο.
2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.
Άρθρο 20
Προστασία των δεδομένων από το σχεδιασμό και εξ ορισμού
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας καθώς και της πιθανότητας και της σοβαρότητας του κινδύνου που θέτει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η χρήση ψευδωνύμου, τα οποία έχουν σχεδιαστεί για την εφαρμογή των αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, με αποτελεσματικό τρόπο και να ενσωματώσει τις αναγκαίες διασφαλίσεις κατά την επεξεργασία, προκειμένου να πληρούνται οι απαιτήσεις της παρούσας οδηγίας και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Η υποχρέωση αυτή ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, το χρονικό διάστημα αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα μέτρα αυτά διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
Άρθρο 21
Από κοινού υπεύθυνοι επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για την τήρηση της παρούσας οδηγίας, ιδίως όσον αφορά στην άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και στα αντίστοιχα καθήκοντα τους όσον αφορά στην παροχή των πληροφοριών που αναφέρονται στο άρθρο 13, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Η συμφωνία ορίζει το σημείο επικοινωνίας για τα υποκείμενα των δεδομένων. Τα κράτη μέλη μπορούν να ορίζουν ποιος από τους από κοινού υπευθύνους επεξεργασίας μπορεί να ενεργεί ως ενιαίο σημείο επικοινωνίας για τα υποκείμενα των δεδομένων ώστε να ασκούν τα δικαιώματά τους.
2. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, τα κράτη μέλη μπορούν να προβλέπουν ότι το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του βάσει των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας όσον αφορά και σε σχέση με κάθε έναν από τους υπευθύνους επεξεργασίας.
Άρθρο 22
Εκτελών την επεξεργασία
1. Τα κράτη μέλη προβλέπουν ότι, όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή έγκριση του υπεύθυνου επεξεργασίας. Στην περίπτωση γενικής γραπτής έγκρισης, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν στην προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3. Τα κράτη μέλη προβλέπουν ότι η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη, υπαγόμενη στο δίκαιο της Ένωσης ή των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Η εν λόγω σύμβαση ή νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
α) |
ενεργεί μόνον κατ' εντολή του υπεύθυνου επεξεργασίας· |
β) |
εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα νόμιμη υποχρέωση τήρησης εμπιστευτικότητας· |
γ) |
επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων· |
δ) |
κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους απαιτούν την αποθήκευση των δεδομένων προσωπικού χαρακτήρα· |
ε) |
θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο· |
στ) |
τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 3 για την πρόσληψη άλλου εκτελούντος την επεξεργασία. |
4. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στην παράγραφο 3 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
5. Εάν ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση της παρούσας οδηγίας, τους στόχους και τα μέσα επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία.
Άρθρο 23
Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία
Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα δεν τα επεξεργάζεται παρά μόνον κατ' εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Άρθρο 24
Αρχεία των δραστηριοτήτων επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το αρχείο αυτό περιλαμβάνει τις ακόλουθες πληροφορίες:
α) |
το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων· |
β) |
τους σκοπούς της επεξεργασίας· |
γ) |
τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών τρίτων χωρών ή διεθνών οργανισμών· |
δ) |
περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα· |
ε) |
όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ· |
στ) |
όπου συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό· |
ζ) |
αναφορά της νομικής βάσης της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα· |
η) |
εφόσον είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα· |
θ) |
εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που μνημονεύονται στο άρθρο 29 παράγραφος 1. |
2. Τα κράτη μέλη προβλέπουν ότι κάθε εκτελών την επεξεργασία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται εκ μέρους του υπεύθυνου επεξεργασίας, το οποίο και περιλαμβάνει τα ακόλουθα:
α) |
το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων· |
β) |
τις κατηγορίες επεξεργασίας που διεξάγεται εκ μέρους κάθε υπεύθυνου επεξεργασίας· |
γ) |
κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας· |
δ) |
εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που μνημονεύονται στο άρθρο 29 παράγραφος 1. |
3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς μεταξύ άλλων σε ηλεκτρονική μορφή.
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής, κατόπιν αιτήματος.
Άρθρο 25
Καταχωρήσεις
1. Τα κράτη μέλη προβλέπουν ότι τηρούνται καταχωρίσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήματα αυτοματοποιημένης επεξεργασίας: συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμό και διαγραφή. Οι καταχωρήσεις της αναζήτησης πληροφοριών και της κοινολόγησης επιτρέπουν τον προσδιορισμό της αιτιολόγησης και της ημερομηνίας και της ώρας των εν λόγω πράξεων και, στο βαθμό του εφικτού, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, καθώς και της ταυτότητας των αποδεκτών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
2. Οι καταχωρήσεις χρησιμοποιούνται αποκλειστικά για την επαλήθευση της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο ποινικών διαδικασιών.
3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία στη διάθεση της εποπτικής αρχής, κατόπιν αιτήματος.
Άρθρο 26
Συνεργασία με την εποπτική αρχή
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή κατά την άσκηση των καθηκόντων της.
Άρθρο 27
Εκτίμηση των επιπτώσεων στην προστασία των δεδομένων
1. Όταν ένας τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών της επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Η εκτίμηση που αναφέρεται στην παράγραφο 1 περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων αυτών, εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς την παρούσα οδηγία, λαμβανομένων υπόψη των δικαιωμάτων και των έννομων συμφερόντων των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
Άρθρο 28
Προηγούμενη διαβούλευση με την εποπτική αρχή
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με την εποπτική αρχή πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:
α) |
από εκτίμηση των επιπτώσεων στην προστασία των δεδομένων σύμφωνα με το άρθρο 27 προκύπτει ότι η επεξεργασία θα προκαλέσει μεγάλο κίνδυνο εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του κινδύνου· ή |
β) |
ο τύπος επεξεργασίας, ιδίως κατά τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. |
2. Τα κράτη μέλη προβλέπουν ότι διενεργείται διαβούλευση με την εποπτική αρχή κατά την εκπόνηση προτάσεων νομοθετικών μέτρων που πρόκειται να εγκριθούν από εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα και τα οποία συνδέονται με την επεξεργασία.
3. Τα κράτη μέλη προβλέπουν ότι η εποπτική αρχή μπορεί να καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 1.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διαβιβάζει στην εποπτική αρχή την εκτίμηση των επιπτώσεων στην προστασία των δεδομένων σύμφωνα με το άρθρο 27 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην εποπτική αρχή να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τις σχετικές εγγυήσεις.
5. Τα κράτη μέλη προβλέπουν ότι, όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου θα παραβίαζε την παρούσα οδηγία, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει, εντός έξι εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας και, κατά περίπτωση, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 47. Η συγκεκριμένη προθεσμία μπορεί να παραταθεί κατά έναν μήνα, λαμβάνοντας υπόψη την πολυπλοκότητα που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, τον εκτελούντα την επεξεργασία για την ενδεχόμενη παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης.
Άρθρο 29
Ασφάλεια επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και του κινδύνου ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, ιδίως όσον αφορά στην επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10.
2. Σε σχέση με την αυτοματοποιημένη επεξεργασία, κάθε κράτος μέλος προβλέπει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν εκτίμησης των κινδύνων, μέτρα με σκοπό:
α) |
την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό)· |
β) |
την αποφυγή της μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων)· |
γ) |
την αποφυγή της μη επιτρεπόμενης εισαγωγής δεδομένων προσωπικού χαρακτήρα και του μη επιτρεπόμενου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)· |
δ) |
την αποφυγή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)· |
ε) |
την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα)· |
στ) |
την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)· |
ζ) |
την εξασφάλιση ότι μπορεί να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα προσωπικού χαρακτήρα (έλεγχος εισαγωγής)· |
η) |
την αποφυγή μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς)· |
θ) |
την εξασφάλιση ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση)· |
ι) |
την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα). |
Άρθρο 30
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
1. Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην εποπτική αρχή την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, εφόσον είναι δυνατόν, το αργότερο εντός 72 ωρών από τη στιγμή που την αντελήφθη, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανόν να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών συνοδεύεται από τους λόγους της καθυστέρησης.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ' ελάχιστον:
α) |
να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση πλήθους των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα· |
β) |
να γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλιστούν περισσότερες πληροφορίες· |
γ) |
να περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα· |
δ) |
να περιγράφει τα μέτρα που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. |
4. Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
5. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα που μνημονεύεται στην παράγραφο 1, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης. Η εν λόγω τεκμηρίωση πρέπει να επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
6. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που η παραβίαση δεδομένων αφορά σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι πληροφορίες που αναφέρονται στην παράγραφο 3 γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς αδικαιολόγητη καθυστέρηση.
Άρθρο 31
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2. Η γνωστοποίηση στο υποκείμενο των δεδομένων, η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα του άρθρου 30 παράγραφος 3 στοιχεία β), γ) και δ).
3. Η γνωστοποίηση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) |
ο υπεύθυνος επεξεργασίας εφήρμοσε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, ειδικότερα δε εκείνα που καθιστούν αδύνατη την κατανόηση των δεδομένων προσωπικού χαρακτήρα από όσους δε διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα· |
β) |
ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στην παράγραφο 1 μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων· ή |
γ) |
προϋποτίθενται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να εφαρμόζεται παρόμοιο μέτρο ώστε τα υποκείμενα των δεδομένων να ενημερώνονται με εξίσου αποτελεσματικό τρόπο. |
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή, έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, μπορεί να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιοσδήποτε από τους όρους που αναφέρονται στην παράγραφο 3.
5. Η γνωστοποίηση στο υποκείμενο των δεδομένων που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου μπορεί να καθυστερήσει, να περιοριστεί ή να παραλειφθεί, υπό τους όρους και για τους λόγους που αναφέρονται στο άρθρο 13 παράγραφος 3.
Άρθρο 32
Ορισμός του υπεύθυνου προστασίας δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διορίζει υπεύθυνο προστασίας δεδομένων. Τα κράτη μέλη μπορούν να εξαιρούν από την υποχρέωση αυτή τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
2. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 34.
3. Ένας μοναδικός υπεύθυνος προστασίας δεδομένων μπορεί να διοριστεί για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας δημοσιεύει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα γνωστοποιεί στην εποπτική αρχή.
Άρθρο 33
Θέση του υπεύθυνου προστασίας δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας υποστηρίζει τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 34, παρέχοντάς του τους αναγκαίους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και για τη διατήρηση της εμπειρογνωμοσύνης του.
Άρθρο 34
Καθήκοντα του υπεύθυνου προστασίας δεδομένων
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας αναθέτει στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:
α) |
να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας και τους υπαλλήλους που διενεργούν επεξεργασία για τις υποχρεώσεις τους σύμφωνα με την παρούσα οδηγία και άλλες διατάξεις του δικαίου της Ένωσης ή των κρατών μελών σχετικά με την προστασία των δεδομένων· |
β) |
να παρακολουθεί τη συμμόρφωση με την παρούσα οδηγία, με άλλες διατάξεις του δικαίου της Ένωσης ή των κρατών μελών σχετικά με την προστασία των δεδομένων και με τις πολιτικές του υπεύθυνου επεξεργασίας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων· |
γ) |
να παρέχει συμβουλές, έπειτα από σχετικό αίτημα, όσον αφορά στην εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και να παρακολουθεί τις επιδόσεις σύμφωνα με το άρθρο 27· |
δ) |
να συνεργάζεται με την εποπτική αρχή· |
ε) |
να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 28, και να διαβουλεύεται, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. |
ΚΕΦΑΛΑΙΟ V
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες η διεθνείς οργανισμούς
Άρθρο 35
Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι κάθε διαβίβαση, από αρμόδιες αρχές, δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων των περαιτέρω διαβιβάσεων προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί μόνον υπό την προϋπόθεση της τήρησης των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, μόνον εφόσον πληρούνται οι όροι που ορίζονται στο παρόν κεφάλαιο και συγκεκριμένα:
α) |
η διαβίβαση είναι αναγκαία για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1· |
β) |
τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε υπεύθυνο επεξεργασίας σε τρίτη χώρα ή διεθνή οργανισμό που αποτελεί αρμόδια αρχή για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1· |
γ) |
σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται ή καθίστανται διαθέσιμα από άλλο κράτος μέλος, το εν λόγω κράτος μέλος έχει δώσει προηγουμένως την έγκρισή του για τη διαβίβαση σύμφωνα με το εθνικό του δίκαιο· |
δ) |
η Επιτροπή έχει προβεί σε απόφαση περί επάρκειας δυνάμει του άρθρου 36 ή, ελλείψει τέτοιας απόφασης, όταν έχουν παρασχεθεί ή υπάρχουν κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 37 ή, ελλείψει τόσο απόφασης περί επάρκειας δυνάμει του άρθρου 36όσο και κατάλληλων εγγυήσεων σύμφωνα με το άρθρο 37, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 38· και |
ε) |
σε περίπτωση περαιτέρω διαβίβασης σε άλλη τρίτη χώρα ή διεθνή οργανισμό, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση ή άλλη αρμόδια αρχή στο ίδιο κράτος μέλος επιτρέπει την περαιτέρω διαβίβαση, αφού λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, συμπεριλαμβανομένων της σοβαρότητας του ποινικού αδικήματος, των σκοπών για τους οποίους διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και του επιπέδου προστασίας των δεδομένων στην τρίτη χώρα ή τον διεθνή οργανισμό στα οποία διαβιβάζονται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα. |
2. Τα κράτη μέλη προβλέπουν ότι οι διαβιβάσεις χωρίς την προηγούμενη έγκριση άλλου κράτους μέλους σύμφωνα με την παράγραφο 1 στοιχείο γ) επιτρέπονται μόνον εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα κράτους μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί εγκαίρως. Η αρχή που είναι υπεύθυνη για την παροχή της προηγούμενης έγκρισης ενημερώνεται χωρίς καθυστέρηση.
3. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται για να εξασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζει η παρούσα οδηγία.
Άρθρο 36
Διαβιβάσεις με απόφαση περί επάρκειας
1. Τα κράτη μέλη προβλέπουν ότι διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, εδαφική περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική έγκριση.
2. Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ειδικότερα, τα ακόλουθα στοιχεία:
α) |
το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά στη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών στα δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή της νομοθεσίας αυτής, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφαλείας, συμπεριλαμβανομένων των κανόνων περί περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε άλλη τρίτη χώρα ή διεθνή οργανισμό, που τηρούνται στην εν λόγω χώρα ή διεθνή οργανισμό, τη νομολογία και επίσης τα αποτελεσματικά και εκτελεστά δικαιώματα των υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων διαβιβάζονται δεδομένα προσωπικού χαρακτήρα· |
β) |
την ύπαρξη και την αποτελεσματική λειτουργία μιας ή περισσότερων ανεξάρτητων εποπτικών αρχών στην τρίτη χώρα ή στην οποία ή στις οποίες υπόκειται ένας διεθνής οργανισμός, με ευθύνη τη διασφάλιση και την επιβολή της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων, περιλαμβανομένων κατάλληλων εξουσιών για την επιβολή κυρώσεων, για την παροχή συνδρομής και ενημέρωσης στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις εποπτικές αρχές της Ένωσης και των κρατών μελών· και |
γ) |
τις διεθνείς δεσμεύσεις που έχει αναλάβει η σχετική τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις καθώς και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα. |
3. Η Επιτροπή, αφού εξετάσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει με εκτελεστική πράξη ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα, έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, η οποία λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της καθώς και, κατά περίπτωση, την ή τις εποπτικές αρχές που αναφέρονται στην παράγραφο 2 στοιχείο β) του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
4. Η Επιτροπή παρακολουθεί, σε τακτική βάση, τις εξελίξεις που μπορούν να επηρεάσουν τη λειτουργία των αποφάσεων οι οποίες εκδίδονται δυνάμει της παραγράφου 3 σε τρίτες χώρες και διεθνείς οργανισμούς.
5. Η Επιτροπή αποφασίζει, βάσει διαθέσιμων πληροφοριών, ιδίως μετά την επανεξέταση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, μια εδαφική περιοχή ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, στο μέτρο του δυνατού, καταργεί, τροποποιεί ή αναστέλλει την απόφαση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου με εκτελεστικές πράξεις χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις που έχουν άμεση εφαρμογή σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 58 παράγραφος 3.
6. Η Επιτροπή αρχίζει διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας αποτελεί η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.
7. Τα κράτη μέλη προβλέπουν ότι μια απόφαση σύμφωνα με την παράγραφο 5 δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή στον ένα ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον εν λόγω διεθνή οργανισμό σύμφωνα με τα άρθρα 37 και 38.
8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και διεθνών οργανισμών, για τους οποίους έχει αποφασίσει ότι διασφαλίζεται ή δε διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.
Άρθρο 37
Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις
1. Ελλείψει απόφασης δυνάμει του άρθρου 36 παράγραφος 3, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) |
παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή |
β) |
ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. |
2. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή σχετικά με τις κατηγορίες διαβιβάσεων δυνάμει της παραγράφου 1 στοιχείο β).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 στοιχείο β) τεκμηριώνεται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Άρθρο 38
Παρεκκλίσεις για ειδικές καταστάσεις
1. Ελλείψει απόφασης περί επάρκειας δυνάμει του άρθρου 36 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 37, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον η διαβίβαση είναι αναγκαία:
α) |
για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· |
β) |
για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα· |
γ) |
για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας· |
δ) |
σε μεμονωμένες περιπτώσεις για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1· ή |
ε) |
σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων οι οποίες σχετίζονται με τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1. |
2. Τα δεδομένα προσωπικού χαρακτήρα δεν διαβιβάζονται εάν η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων υπερισχύουν του δημοσίου συμφέροντος για τη διαβίβαση που ορίζεται στην παράγραφο 1 στοιχεία δ) και ε).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και το χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Άρθρο 39
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες
1. Κατά παρέκκλιση από το άρθρο 35 παράγραφος 1 στοιχείο β) και με την επιφύλαξη τυχόν διεθνούς συμφωνίας που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, το δίκαιο της Ένωσης ή των κρατών μελών μπορεί να προβλέπει τη δυνατότητα των αρμοδίων αρχών που αναφέρονται στο άρθρο 3 σημείο 7) στοιχείο α), σε μεμονωμένες και ειδικές περιπτώσεις, να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας προς αποδέκτες εγκατεστημένους σε τρίτες χώρες αλλά μόνον όταν τηρούνται οι υπόλοιπες διατάξεις της παρούσας οδηγίας και πληρούνται όλοι οι ακόλουθοι όροι:
α) |
η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση καθήκοντος της διαβιβάζουσας αρμόδιας αρχής όπως προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1· |
β) |
η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του σχετικού υποκειμένου των δεδομένων δεν υπερισχύουν του δημοσίου συμφέροντος που απαιτεί τη διαβίβαση στη συγκεκριμένη περίπτωση· |
γ) |
η διαβιβάζουσα αρμόδια αρχή θεωρεί ότι η διαβίβαση προς αρχή αρμόδια για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1 στην τρίτη χώρα είναι αναποτελεσματική ή ακατάλληλη, ιδίως διότι δεν μπορεί να επιτευχθεί σε εύθετο χρόνο· |
δ) |
η αρχή που είναι αρμόδια για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1 στην τρίτη χώρα ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση, εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο· και |
ε) |
η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη για τον συγκεκριμένο σκοπό ή σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον τελευταίο αυτό υπό τον όρο ότι η εν λόγω επεξεργασία είναι απαραίτητη. |
2. Η διεθνής συμφωνία που αναφέρεται στην παράγραφο 1 μπορεί να είναι οποιαδήποτε ισχύουσα διμερής ή πολυμερής διεθνής συμφωνία ανάμεσα σε κράτη μέλη και τρίτες χώρες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.
3. Η διαβιβάζουσα αρμόδια αρχή ενημερώνει την εποπτική αρχή σχετικά με τις διαβιβάσεις δυνάμει του παρόντος άρθρου.
4. Μια διαβίβαση που βασίζεται στην παράγραφο 1 τεκμηριώνεται.
Άρθρο 40
Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα
Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και τα κράτη μέλη λαμβάνουν κατάλληλα μέτρα με σκοπό:
α) |
την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα· |
β) |
την παροχή διεθνούς αμοιβαίας συνδρομής για την επιβολή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω γνωστοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών· |
γ) |
τη συμμετοχή των εκάστοτε ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα· |
δ) |
την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που αφορούν στην προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων για θέματα συγκρούσεων δικαιοδοσίας με τρίτες χώρες. |
ΚΕΦΑΛΑΙΟ VI
Ανεξάρτητες εποπτικές αρχές
Άρθρο 41
Εποπτική αρχή
1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής της παρούσας οδηγίας, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (εποπτική αρχή).
2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση. Για τον σκοπό αυτό, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.
3. Τα κράτη μέλη δύνανται να προβλέπουν ότι εποπτική αρχή που ιδρύεται δυνάμει του κανονισμού (ΕΕ) 2016/679 μπορεί να είναι η εποπτική αρχή που αναφέρεται στην παρούσα οδηγία και να αναλαμβάνει την ευθύνη για τα καθήκοντα της εποπτικής αρχής που ιδρύεται δυνάμει της παραγράφου 1 του παρόντος άρθρου.
4. Εάν σε κράτος μέλος ιδρυθούν περισσότερες της μιας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή η οποία εκπροσωπεί τις εν λόγω αρχές στο συμβούλιο που αναφέρεται στο άρθρο 51.
Άρθρο 42
Ανεξαρτησία
1. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή ενεργεί με πλήρη ανεξαρτησία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της σύμφωνα με την παρούσα οδηγία.
2. Τα κράτη μέλη προβλέπουν ότι το μέλος ή τα μέλη των εποπτικών αρχών τους εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με την παρούσα οδηγία χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.
3. Τα μέλη των εποπτικών αρχών των κρατών μελών απέχουν από κάθε πράξη που είναι ασύμβατη με τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασύμβατο επάγγελμα, επικερδές ή μη.
4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις εγκαταστάσεις και υποδομές που απαιτούνται για την ουσιαστική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο συμβούλιο.
5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικό της προσωπικό το οποίο διοικείται αποκλειστικά από το μέλος ή τα μέλη της οικείας εποπτικής αρχής.
6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς και δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι είναι δυνατόν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.
Άρθρο 43
Γενικοί όροι για τα μέλη της εποπτικής αρχής
1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους διορίζεται μέσω διαφανούς διαδικασίας, από
— |
το κοινοβούλιό τους, |
— |
την κυβέρνησή τους, |
— |
τον αρχηγό του κράτους τους, |
— |
ανεξάρτητο φορέα στον οποίο έχει ανατεθεί ο διορισμός σύμφωνα με το δίκαιο του κράτους μέλους. |
2. Κάθε μέλος διαθέτει τα προσόντα, την πείρα και τις δεξιότητες, ιδίως στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, που απαιτούνται για την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών του.
3. Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με το δίκαιο του οικείου κράτους μέλους.
4. Ένα μέλος μπορεί να απολυθεί μόνο σε περιπτώσεις σοβαρού παραπτώματος ή εφόσον δεν πληροί πλέον τους όρους που απαιτούνται για την άσκηση των καθηκόντων του.
Άρθρο 44
Κανόνες για την ίδρυση της εποπτικής αρχής
1. Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα:
α) |
την ίδρυση κάθε εποπτικής αρχής· |
β) |
τα προσόντα και τους όρους επιλεξιμότητας που απαιτούνται για τον διορισμό ως μέλους κάθε εποπτικής αρχής· |
γ) |
τους κανόνες και τις διαδικασίες για τον διορισμό των μελών κάθε εποπτικής αρχής· |
δ) |
τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 6 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά σε συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών· |
ε) |
κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό· |
στ) |
τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών που δεν είναι συμβατές με τις υποχρεώσεις αυτές τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής και κανόνες που διέπουν την παύση της απασχόλησης. |
2. Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας τους όσο και μετά το πέρας αυτής, όσον αφορά σε τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των εξουσιών τους. Κατά τη διάρκεια της θητείας του μέλους, η υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για τις καταγγελίες ιδιωτών όσον αφορά σε παραβάσεις της παρούσας οδηγίας.
Άρθρο 45
Αρμοδιότητα
1. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με την παρούσα οδηγία στο έδαφος του κράτους μέλους της.
2. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας από δικαστήρια τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Κάθε κράτος μέλος μπορεί να προβλέπει ότι οι εποπτικές αρχές του δεν είναι αρμόδιες να εποπτεύουν πράξεις επεξεργασίας άλλων ανεξάρτητων δικαστικών αρχών οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.
Άρθρο 46
Καθήκοντα
1. Κάθε κράτος μέλος προβλέπει ότι, εντός της επικρατείας του, κάθε εποπτική αρχή:
α) |
παρακολουθεί και επιβάλλει την εφαρμογή της παρούσας οδηγίας και των εκτελεστικών μέτρων της· |
β) |
προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία· |
γ) |
συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας· |
δ) |
προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει της παρούσας οδηγίας· |
ε) |
κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει της παρούσας οδηγίας και, ενδεχομένως, συνεργάζεται για το σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη· |
στ) |
χειρίζεται τις καταγγελίες που υποβάλλονται από υποκείμενο δεδομένων ή από φορέα, οργανισμό ή ένωση που εκπροσωπεί το υποκείμενο των δεδομένων σύμφωνα με το άρθρο 55, ερευνά, στο μέτρο του δυνατού, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή· |
ζ) |
ελέγχει τη νομιμότητα της επεξεργασίας δυνάμει του άρθρου 17 και ενημερώνει το υποκείμενο των δεδομένων εντός εύλογου χρονικού διαστήματος για την έκβαση του ελέγχου σύμφωνα με την παράγραφο 3 του εν λόγω άρθρου ή για τους λόγους για τους οποίους δεν διενεργήθηκε ο έλεγχος· |
η) |
συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής της παρούσας οδηγίας· |
θ) |
διενεργεί έρευνες σχετικά με την εφαρμογή της παρούσας οδηγίας, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή· |
ι) |
παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν επιπτώσεις στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και των επικοινωνιών· |
ια) |
παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 28· και |
ιβ) |
συμβάλλει στις δραστηριότητες του συμβουλίου. |
2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ), με μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.
3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς οικονομική επιβάρυνση για το υποκείμενο των δεδομένων και για τον υπεύθυνο προστασίας δεδομένων.
4. Εάν ένα αίτημα είναι προδήλως αβάσιμο ή υπερβολικό, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του, η εποπτική αρχή μπορεί να επιβάλει εύλογη χρέωση βάσει των διοικητικών δαπανών της ή μπορεί να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης ότι το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό.
Άρθρο 47
Εξουσίες
1. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει αποτελεσματικές ερευνητικές εξουσίες. Οι εν λόγω εξουσίες περιλαμβάνουν τουλάχιστον την εξουσία να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της.
2. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει αποτελεσματικές διορθωτικές εξουσίες όπως, για παράδειγμα:
α) |
να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν την τις διατάξεις που θεσπίζονται δυνάμει της παρούσα οδηγία· |
β) |
να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις που θεσπίζονται δυνάμει της παρούσα οδηγία, όπου αρμόζει, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων, ή περιορισμού της επεξεργασίας δυνάμει του άρθρου 16· |
γ) |
να επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας. |
3. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει τις πραγματικές συμβουλευτικές εξουσίες να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 28 και να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιό της, την κυβέρνησή της ή, σύμφωνα με το εθνικό της δίκαιο, προς άλλα όργανα και οργανισμούς καθώς και προς το κοινό για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα.
4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης αποτελεσματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και των κρατών μελών σύμφωνα με τον Χάρτη.
5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβάσεις διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλον τρόπο σε νομικές διαδικασίες, για την επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας.
Άρθρο 48
Καταγγελίες παραβάσεων
Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές καθιερώνουν αποτελεσματικούς μηχανισμούς για να ενθαρρύνουν την εμπιστευτική αναφορά παραβάσεων της παρούσας οδηγίας.
Άρθρο 49
Εκθέσεις δραστηριοτήτων
Κάθε εποπτική αρχή εκπονεί ετήσια έκθεση δραστηριοτήτων, η οποία μπορεί να περιλαμβάνει κατάλογο των τύπων των γνωστοποιημένων παραβάσεων και των ειδών των επιβαλλόμενων κυρώσεων. Οι εκθέσεις αυτές υποβάλλονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές, όπως ορίζεται από το δίκαιο του κράτους μέλους. Τίθενται στη διάθεση του κοινού, της Επιτροπής και του συμβουλίου.
ΚΕΦΑΛΑΙΟ VII
Συνεργασία
Άρθρο 50
Αμοιβαία συνδρομή
1. Κάθε κράτος μέλος προβλέπει ότι οι κάθε εποπτική αρχή παρέχει η μία στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή ώστε να υλοποιήσουν και να εφαρμόσουν την παρούσα οδηγία με συνεκτικό τρόπο και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία των εν λόγω αρχών. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, π.χ. αιτήματα για διαβουλεύσεις, ελέγχους και έρευνες.
2. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για την ανταπόκριση στο αίτημα άλλης εποπτικής αρχής χωρίς άσκοπη καθυστέρηση και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα είναι δυνατόν να περιλαμβάνουν, ειδικότερα, τη διαβίβαση σχετικών πληροφοριών όσον αφορά στη διενέργεια έρευνας.
3. Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένων του σκοπού του αιτήματος και των λόγων υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.
4. Εποπτική αρχή στην οποία υποβάλλεται αίτημα παροχής συνδρομής δεν αρνείται να συμμορφωθεί προς αυτό το αίτημα, παρά μόνον εάν:
α) |
δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει· ή |
β) |
η συμμόρφωση προς το αίτημα θα παραβίαζε την παρούσα οδηγία ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται η εποπτική αρχή που παραλαμβάνει το αίτημα. |
5. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα εξηγεί τους λόγους για τους οποίους αρνείται να ανταποκριθεί στο αίτημα βάσει της παραγράφου 4.
6. Οι εποπτικές αρχές στις οποίες υποβλήθηκε το αίτημα παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.
7. Οι εποπτικές αρχές στις οποίες υποβλήθηκε το αίτημα δεν επιβάλλουν κανένα τέλος για οποιαδήποτε ενέργεια αναλαμβάνεται από αυτές κατόπιν αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν μεταξύ τους κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.
8. Η Επιτροπή μπορεί να προσδιορίσει, με εκτελεστικές πράξεις, τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, καθώς και μεταξύ εποπτικών αρχών και του συμβουλίου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
Άρθρο 51
Καθήκοντα του συμβουλίου
1. Το συμβούλιο, το οποίο ιδρύεται με τον κανονισμό (ΕΕ) 2016/679, ασκεί όσον αφορά την επεξεργασία, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, τα ακόλουθα καθήκοντα:
α) |
συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης της παρούσας οδηγίας· |
β) |
εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός από τα μέλη του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή της παρούσας οδηγίας και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή της παρούσας οδηγίας· |
γ) |
εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά στην εφαρμογή των μέτρων του άρθρου 47 παράγραφοι 1 και 3· |
δ) |
εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο β) της παρούσας παραγράφου για τον καθορισμό των παραβιάσεων δεδομένων προσωπικού χαρακτήρα και καθορίζει την αδικαιολόγητη καθυστέρηση που αναφέρεται στο άρθρο 30 παράγραφοι 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να γνωστοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα· |
ε) |
εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο β) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων που αναφέρονται στο άρθρο 31 παράγραφος 1· |
στ) |
εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία β) και γ)· |
ζ) |
παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα, εδαφική περιοχή ή ένα ή περισσότερους συγκεκριμένους τομείς, σε διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσον η εν λόγω τρίτη χώρα, εδαφική περιοχή, συγκεκριμένος τομέας ή διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας· |
η) |
προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών· |
θ) |
προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς· |
ι) |
προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με το δίκαιο και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων παγκοσμίως. |
Ως προς το στοιχείο ζ) του πρώτου εδαφίου, η Επιτροπή παρέχει στο συμβούλιο όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, την εδαφική περιοχή ή τον ειδικό τομέα στην τρίτη χώρα ή με τον διεθνή οργανισμό.
2. Όταν η Επιτροπή ζητεί τη συμβουλή του συμβουλίου, μπορεί να ορίσει προθεσμία, ανάλογα με τον επείγοντα χαρακτήρα του θέματος.
3. Το συμβούλιο διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 58 παράγραφος 1 και τις δημοσιοποιεί.
4. Η Επιτροπή ενημερώνει το συμβούλιο για τα μέτρα που λαμβάνει κατόπιν των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το συμβούλιο.
ΚΕΦΑΛΑΙΟ VIII
Προσφυγές, ευθύνη και κυρώσεις
Άρθρο 52
Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
1. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή δικαστικής προσφυγής, τα κράτη μέλη προβλέπουν ότι κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνον εποπτική αρχή, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.
2. Τα κράτη μέλη προβλέπουν ότι, εάν η καταγγελία δεν υποβληθεί στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 45 παράγραφος 1, η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία τη διαβιβάζει στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση. Το υποκείμενο των δεδομένων ενημερώνεται για τη διαβίβαση.
3. Τα κράτη μέλη προβλέπουν ότι η εποπτική αρχή στην οποία υποβάλλεται η καταγγελία παρέχει περαιτέρω συνδρομή κατόπιν αιτήματος του υποκειμένου των δεδομένων.
4. Το υποκείμενο των δεδομένων ενημερώνεται από την αρμόδια εποπτική αρχή για την πρόοδο και την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 53.
Άρθρο 53
Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά εποπτικής αρχής
1. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής, τα κράτη μέλη προβλέπουν ότι κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
2. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο δεδομένων έχει δικαίωμα αποτελεσματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 45 παράγραφος 1 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 52.
3. Τα κράτη μέλη προβλέπουν ότι η διαδικασία κατά εποπτικής αρχής κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η εποπτική αρχή.
Άρθρο 54
Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία
Με την επιφύλαξη οποιασδήποτε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 52, τα κράτη μέλη προβλέπουν ότι τα υποκείμενα των δεδομένων έχουν δικαίωμα αποτελεσματικής δικαστικής προσφυγής εάν θεωρούν ότι τα δικαιώματά τους που απορρέουν από διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν κατά παράβαση των εν λόγω διατάξεων.
Άρθρο 55
Εκπροσώπηση υποκειμένων των δεδομένων
Σύμφωνα με το δικονομικό δίκαιο των κρατών μελών, τα κράτη μέλη προβλέπουν ότι το υποκείμενο των δεδομένων έχει δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, με καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον, και το οποίο δρα στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 52, 53 και 54 για λογαριασμό του.
Άρθρο 56
Δικαίωμα αποζημίωσης
Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο που έχει υποστεί υλική ζημία ή ηθική βλάβη εξαιτίας αθέμιτης επεξεργασίας ή οποιασδήποτε άλλης πράξης που παραβιάζει τις διατάξεις του εθνικού δικαίου που έχουν εκδοθεί κατ' εφαρμογή της παρούσας οδηγίας έχει δικαίωμα να λάβει αποζημίωση για τη ζημία την οποία υπέστη από τον υπεύθυνο επεξεργασίας ή από άλλη αρμόδια αρχή σύμφωνα με το δίκαιο του κράτους μέλους.
Άρθρο 57
Κυρώσεις
Τα κράτη μέλη ορίζουν τους κανόνες για τις κυρώσεις που επιβάλλονται σε περίπτωση παραβίασης των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και λαμβάνουν κάθε απαραίτητο μέτρο για να εξασφαλίσουν την εφαρμογή τους. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.
ΚΕΦΑΛΑΙΟ IX
Εκτελεστικές πράξεις
Άρθρο 58
Διαδικασία επιτροπής
1. Η Επιτροπή επικουρείται από την επιτροπή που συστήνεται βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
2. Όταν γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.
3. Όταν γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5.
ΚΕΦΑΛΑΙΟ X
Τελικές διατάξεις
Άρθρο 59
Κατάργηση της απόφασης-πλαισίου 2008/977/ΔΕΥ
1. Η απόφαση-πλαίσιο 2008/977/ΔΕΥ καταργείται από τις 6 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη απόφαση που αναφέρεται στην παράγραφο 1 νοούνται ως παραπομπές στην παρούσα οδηγία.
Άρθρο 60
Νομικές πράξεις της Ένωσης που ήδη ισχύουν
Δε θίγονται οι ειδικές διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα οι οποίες περιέχονται σε νομικές πράξεις της Ένωσης άρχισαν να ισχύουν στις 6 Μαΐου 2016 ή πριν από την εν λόγω ημερομηνία στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, και ρυθμίζουν την επεξεργασία μεταξύ κρατών μελών και την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών θεσπισθέντα δυνάμει των Συνθηκών εντός του πεδίου εφαρμογής της παρούσας οδηγίας.
Άρθρο 61
Σχέση με προηγουμένως συναφθείσες διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας
Οι διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τα κράτη μέλη πριν από τις 6 Μαΐου 2016 και οι οποίες είναι συμβατές προς το εφαρμόσιμο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
Άρθρο 62
Εκθέσεις της Επιτροπής
1. Το αργότερο έως τις 6 Μαΐου 2022 και στη συνέχεια κάθε τέσσερα έτη, η Επιτροπή υποβάλλει έκθεση σχετικά με την αξιολόγηση και επανεξέταση της παρούσας οδηγίας στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.
2. Στο πλαίσιο των αξιολογήσεων και επανεξετάσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, ειδικότερα, την εφαρμογή και λειτουργία των διατάξεων του κεφαλαίου V σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, ιδίως όσον αφορά σε αποφάσεις που λαμβάνονται σύμφωνα με τα άρθρα 36 παράγραφος 3 και 39.
3. Για τους σκοπούς των παραγράφων 1 και 2, η Επιτροπή μπορεί να ζητήσει πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.
4. Κατά τη διενέργεια των αξιολογήσεων και επανεξετάσεων που αναφέρονται στις παραγράφους 1 και 2, η Επιτροπή λαμβάνει υπόψη τις θέσεις και τα πορίσματα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και άλλων αρμοδίων φορέων ή πηγών.
5. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση της παρούσας οδηγίας, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας.
6. Έως τις 6 Μαΐου 2019, η Επιτροπή επανεξετάζει άλλες νομικές πράξεις που έχουν εκδοθεί από την Ένωση και ρυθμίζουν την επεξεργασία από τις αρμόδιες αρχές για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1, συμπεριλαμβανομένων των πράξεων που αναφέρονται στο άρθρο 60, προκειμένου να αξιολογήσει την αναγκαιότητα ευθυγράμμισής τους με την παρούσα οδηγία και να διατυπώσει, εφόσον απαιτείται, τις αναγκαίες προτάσεις για την τροποποίηση των εν λόγω πράξεων ώστε να διασφαλίζεται συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας.
Άρθρο 63
Μεταφορά στο εθνικό δίκαιο
1. Τα κράτη μέλη θεσπίζουν και δημοσιεύουν, το αργότερο έως τις 6 Μαΐου 2018, τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν προς την παρούσα οδηγία. Κοινοποιούν αμέσως στην Επιτροπή το κείμενο των εν λόγω διατάξεων. Τα κράτη μέλη εφαρμόζουν τις διατάξεις αυτές από τις 6 Μαΐου 2018.
Όταν τα κράτη μέλη θεσπίζουν τις εν λόγω διατάξεις, αυτές περιέχουν παραπομπή στην παρούσα οδηγία ή συνοδεύονται από την παραπομπή αυτή κατά την επίσημη δημοσίευσή τους. Ο τρόπος της παραπομπής αποφασίζεται από τα κράτη μέλη.
2. Κατά παρέκκλιση από την παράγραφο 1, τα κράτη μέλη μπορούν να προβλέπουν ότι, κατ' εξαίρεση, όταν αυτό απαιτεί δυσανάλογη προσπάθεια, τα αυτοματοποιημένα συστήματα επεξεργασίας που έχουν συσταθεί πριν από τις 6 Μαΐου 2016 συμμορφώνονται με το άρθρο 25 παράγραφος 1 έως τις 6 Μαΐου 2023.
3. Κατά παρέκκλιση από τις παραγράφους 1 και 2 του παρόντος άρθρου, ένα κράτος μέλος μπορεί, σε εξαιρετικές περιπτώσεις, να διασφαλίσει τη συμμόρφωση αυτοματοποιημένου συστήματος επεξεργασίας, που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, με το άρθρο 25 παράγραφος 1 εντός ορισμένου χρονικού διαστήματος μετά τη λήξη της προθεσμίας που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, εάν διαφορετικά η συμμόρφωση αυτή θα προκαλούσε σοβαρά προβλήματα για τη λειτουργία του εν λόγω αυτοματοποιημένου συστήματος επεξεργασίας. Το ενδιαφερόμενο κράτος μέλος αιτιολογεί στην Επιτροπή τις δυσκολίες αυτές και το καθοριζόμενο χρονικό διάστημα εντός του οποίου θα διασφαλίσει τη συμμόρφωση του συγκεκριμένου αυτοματοποιημένου συστήματος επεξεργασίας σύμφωνα με το άρθρο 25 παράγραφος 1. Το καθοριζόμενο χρονικό διάστημα σε καμία περίπτωση δεν μπορεί να υπερβεί τις 6 Μαΐου 2026.
4. Τα κράτη μέλη κοινοποιούν στην Επιτροπή το κείμενο των βασικών διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που καλύπτει η παρούσα οδηγία.
Άρθρο 64
Έναρξη ισχύος
Η παρούσα οδηγία αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Άρθρο 65
Αποδέκτες
Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.
Βρυξέλλες, 27 Απριλίου 2016.
Για το Ευρωπαϊκό Κοινοβούλιο
Ο Πρόεδρος
M. SCHULZ
Για το Συμβούλιο
Η Πρόεδρος
J.A. HENNIS-PLASSCHAERT