BESTEMMELSER

REGULERING (EU) 2016/679 AF EUROPA-PARLAMENTET OG RÅDET

af 27. april 2016

til beskyttelse af fysiske personer mod behandling af personoplysninger og for fri udveksling af sådanne oplysninger og ophævelse af direktiv 95/46/EF (Generel databeskyttelsesforordning)

(Tekst af EØS-interesse)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION,
Under hensyntagen til traktaten om Den Europæiske Unions funktionsmåde, og især artiklen 16, Med Europa-Kommissionens forslag i tankerne,
Efter fremsendelse af udkastet til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),
under henvisning til udtalelse fra Regionsudvalget (2),
Ved at træffe afgørelse i overensstemmelse med den almindelige lovgivningsprocedure (3),
Sætter pris på følgende:

1. (1) Beskyttelse af fysiske personer mod behandling af personoplysninger er en grundlæggende rettighed. Artiklen 8 afsnit 1 i Den Europæiske Unions charter om grundlæggende rettigheder ("Kort") og artiklen 16 afsnit 1 i traktaten om Den Europæiske Unions funktionsmåde (SØV) fastlægge, at enhver person har ret til beskyttelse af personoplysninger om ham.
2. (2) Principperne og reglerne for beskyttelse af fysiske personer mod behandling af deres personoplysninger bør, uanset nationalitet eller bopæl, at respektere deres grundlæggende rettigheder og friheder, især deres ret til beskyttelse af personoplysninger. Denne forordning har til formål at bidrage til opnåelsen af ​​et område med frihed, sikkerhed og retfærdighed og en økonomisk union, i økonomiske og sociale fremskridt, til styrkelse og konvergens af økonomier inden for det indre marked og til fysiske personers velfærd.
3. (3) Europa-Parlamentets og Rådets direktiv 95/46/EF (4) søger at harmonisere beskyttelsen af ​​fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingsaktiviteter og at sikre den frie udveksling af personoplysninger mellem medlemsstaterne.

1. (1) EEC229 af 31.7.2012, s.90.
2. (2) EEC391 af 18.12.2012, s.127.
3. (3) Europa-Parlamentets holdning af 12. marts 2014 (endnu ikke offentliggjort i Den Europæiske Unions Tidende) og rådets holdning

   ved førstebehandlingen den 8. april 2016 (endnu ikke offentliggjort i Den Europæiske Unions Tidende). Europa-Parlamentets holdning

   14april 2016.

4. (4) Europa-Parlamentets og Rådets direktiv 95/46/EK, af 24. oktober 1995, til beskyttelse af fysiske personer

   mod behandling af personoplysninger og for fri udveksling af sådanne data (EE L 281 hende 23.11.1995, s. 31).

Den Europæiske Unions Tidende 4.5.2016

Behandlingen af ​​personoplysninger bør have til formål at tjene mennesker. Retten til beskyttelse af personoplysninger er ikke en absolut rettighed, den skal vurderes i forhold til dens funktion i samfundet og afvejes mod andre grundlæggende rettigheder, efter proportionalitetsprincippet. Denne forordning respekterer alle grundlæggende rettigheder og overholder de friheder og principper, der er anerkendt i chartret som nedfældet i traktaterne, især respekt for privat- og familieliv, af bopæl og kommunikation, beskyttelse af personoplysninger, tankefrihed, samvittighed og religion, ytrings- og informationsfrihed, forretningsfrihed, retten til en reel appel og en upartisk domstol og det kulturelle, religiøs og sproglig mangfoldighed.

Økonomisk og social integration, som følge af det indre markeds funktion, resulterer i en betydelig stigning i grænseoverskridende strømme af personoplysninger. Udveksling af personoplysninger mellem offentlige og private enheder, herunder fysiske personer, foreninger og virksomheder i hele Unionen, er steget. De nationale myndigheder i medlemsstaterne er i henhold til EU-retten forpligtet til at samarbejde og udveksle personoplysninger for at kunne udføre deres forpligtelser eller udføre opgaver på vegne af en myndighed i en anden medlemsstat.

Hurtig teknologisk udvikling og globalisering har skabt nye udfordringer for beskyttelsen af ​​personoplysninger. Omfanget af indsamling og deling af personoplysninger er steget markant. Teknologien gør det muligt for både private virksomheder og offentlige myndigheder at bruge persondata i et hidtil uset omfang til at udøve deres aktiviteter. Enkeltpersoner afslører i stigende grad personlige oplysninger og gør dem tilgængelige globalt. Teknologien har ændret både økonomien og det sociale liv og bør yderligere lette den frie udveksling af personoplysninger inden for Unionen og overførsel til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau af persondatabeskyttelse.

Denne udvikling kræver en stærk og mere sammenhængende databeskyttelsesramme i EU, understøttet af streng håndhævelse af lovgivningen, da det er vigtigt at opbygge den nødvendige tillid, som vil gøre det muligt for den digitale økonomi at udvikle sig i hele det indre marked. Enkeltpersoner bør have kontrol over deres egne personlige data. Retssikkerheden og den praktiske sikkerhed for fysiske personer bør styrkes, økonomiske aktører og offentlige myndigheder.

Hvor denne forordning indeholder specifikationer eller begrænsninger af dens regler i henhold til medlemsstaternes lovgivning, Medlemsstaterne kan indarbejde elementer af denne forordning i deres nationale lovgivning, i det omfang, det er nødvendigt af hensyn til sammenhængen og for at de nationale bestemmelser er forståelige for de personer, de gælder for.

Mens målene og principperne i direktiv 95/46/EF fortsat er stærke, direktivet forhindrede ikke fragmenteringen af ​​håndhævelsen af ​​databeskyttelse i hele Unionen, retsusikkerhed eller den udbredte offentlige opfattelse af, at der er betydelige risici for beskyttelsen af ​​fysiske personer, især når det kommer til online aktivitet. Forskelle i niveauet for beskyttelse af fysiske personers rettigheder og friheder, især retten til beskyttelse af personoplysninger, vedrørende behandling af personoplysninger i medlemsstaterne, kan hæmme den frie udveksling af personoplysninger i hele Unionen. Derfor, disse forskelle kan udgøre en hindring for udøvelsen af ​​økonomiske aktiviteter på EU-plan, at fordreje konkurrencen og forhindre myndighederne i at udføre deres opgaver, som de stammer fra EU-retten. Denne forskel i beskyttelsesniveauer skyldes, at der er uoverensstemmelser i gennemførelsen og anvendelsen af ​​direktiv 95/46/EF.

At sikre et konsekvent og højt niveau for beskyttelse af fysiske personer og fjerne hindringer for persondatastrømme i Unionen, niveauet for beskyttelse af fysiske personers rettigheder og friheder i forbindelse med behandlingen af ​​sådanne oplysninger bør være ensartet i alle medlemsstater. Der bør sikres en konsekvent og ensartet anvendelse af reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger i hele Unionen. Med hensyn til behandling af personoplysninger udført for at overholde en juridisk forpligtelse, til opfyldelse af en pligt, der udføres i offentlighedens interesse, eller under udøvelse af offentlig myndighed, der er delegeret til den registeransvarlige, Medlemsstaterne bør kunne opretholde eller indføre nationale bestemmelser for yderligere at bestemme anvendelsen af ​​reglerne i denne forordning. Sammen med den generelle og horisontale databeskyttelseslovgivning, der har til formål at gennemføre direktiv 95/46/EF, i medlemslandene gælder forskellige sektorlove på områder, der kræver mere specifikke bestemmelser. Denne forordning giver også medlemsstaterne råderum, at specificere sine regler, herunder dem, der vedrører behandling af særlige kategorier af personoplysninger ("følsomme data"). I den grad, denne forordning er ikke til hinder for, at medlemsstaternes lovgivning fastlægger omstændighederne i særlige behandlingssituationer, blandt andet den mere præcise definition af de betingelser, hvorunder behandlingen af ​​personoplysninger er lovlig.

Den Europæiske Unions Tidende L 119/3

11. (11) Effektiv beskyttelse af personoplysninger i hele Unionen kræver styrkelse og detaljering af de registreredes rettigheder, samt forpligtelserne for dem, der behandler og bestemmer behandlingen af ​​personoplysninger, samt de tilsvarende beføjelser til at overvåge og sikre overholdelse af reglerne for beskyttelse af personoplysninger og de tilsvarende sanktioner for krænkelser i medlemslandene.
12. (12) Artiklen 16 afsnit 2 TEUF giver Europa-Parlamentet og Rådet mandat til at vedtage reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og reglerne om fri udveksling af personoplysninger.
13. (13) At sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og at undgå forskelle, der hindrer den frie udveksling af personoplysninger i det indre marked, Der kræves en forordning, som garanterer retssikkerhed og gennemsigtighed for økonomiske aktører, inklusive de helt unge, af små og mellemstore virksomheder, og vil give fysiske personer i alle medlemsstater samme niveau af retligt håndhævede rettigheder og forpligtelser, samt ansvar for dataansvarlige og databehandlere, at sikre konsekvent overvågning af persondatabehandlingen, samt tilsvarende sanktioner i alle medlemsstater og effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. For et velfungerende indre marked, den frie udveksling af personoplysninger inden for Unionen bør ikke begrænses, heller ikke være forbudt af årsager relateret til beskyttelse af fysiske personer mod behandling af personoplysninger. At tage hensyn til de helt unges særlige situation, af små og mellemstore virksomheder, denne forordning indeholder en undtagelse for organisationer, der beskæftiger mindre end 250 mennesker med hensyn til journalføring. desuden, Unionens institutioner og organer, samt medlemsstaterne og deres tilsynsmyndigheder, opfordres til at tage hensyn til de helt unges særlige behov, af små og mellemstore virksomheder under gennemførelsen af ​​denne forordning. Begrebet meget lille, af små og mellemstore virksomheder bør tage udgangspunkt i artiklen 2 i bilaget til Kommissionens henstilling 2003/361/EF (1).
14. (14) Beskyttelsen i denne forordning bør gælde for fysiske personer, uanset nationalitet eller bopæl, i forhold til behandlingen af ​​deres personoplysninger. Denne forordning omfatter ikke behandling af personoplysninger vedrørende juridiske enheder og i særdeleshed virksomheder etableret som juridiske enheder, inklusive mærket, den juridiske enheds type og kontaktoplysninger.
15. (15) For at undgå en alvorlig risiko for omgåelse, beskyttelsen af ​​fysiske personer bør være teknologineutral og ikke afhængig af de anvendte teknikker. Beskyttelsen af ​​fysiske personer bør gælde både for behandling af personoplysninger ved hjælp af automatiserede midler, samt manuel behandling, hvis personoplysningerne er eller er beregnet til at indgå i et arkivsystem. Filerne eller sæt af filer, samt deres covers, som ikke er struktureret efter specifikke kriterier, bør ikke falde ind under denne forordnings anvendelsesområde.
16. (16) Denne forordning finder ikke anvendelse på spørgsmål om beskyttelse af grundlæggende rettigheder og friheder eller fri udveksling af personoplysninger i forbindelse med aktiviteter uden for EU-rettens anvendelsesområde, aktiviteter, der involverer national sikkerhed. Denne forordning finder ikke anvendelse på medlemsstaternes behandling af personoplysninger, når de udfører aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik.
17. (17) Reglen (EΚ) ingen. 45/2001 af Europa-Parlamentet og Rådet (2) gælder for institutioners og andre organers behandling af personoplysninger, Unionens organisationer og tjenester. Reglen (EΚ) ingen. 45/2001 og andre EU-retsakter, der finder anvendelse på en sådan behandling af personoplysninger, bør tilpasses til principperne og reglerne i denne forordning og anvendes i lyset af denne forordning. At sikre en stærk og sammenhængende databeskyttelsesramme i Unionen, efter udstedelsen af ​​denne forordning bør de nødvendige justeringer af forordningen følge (FRA) ingen. 45/2001, for at muliggøre samtidig anvendelse med denne forordning.
18. (18) Denne forordning gælder ikke for en fysisk persons behandling af personoplysninger i forbindelse med en udelukkende personlig eller huslig aktivitet og derfor uden forbindelse til nogen professionel eller

1. (1) Kommissionens henstilling, af 6. maj 2003, om definitionen af ​​meget unge, af små og mellemstore virksomheder [C(2003) 1422] (EE L 124 hende 20.5.2003, s. 36).
2. (2) Regulering(FRA)nr. 45/2001 fra Europa-Parlamentet og Rådet,af 18. december 2000 om beskyttelse af fysiske personer mod behandling af personoplysninger i fællesskabsinstitutioner og -organisationer og om fri udveksling af sådanne oplysninger (EE L 8 hende 12.1.2001, s. 1).

Den Europæiske Unions Tidende 4.5.2016

(19)

kommerciel aktivitet. Personlige aktiviteter eller husholdningsaktiviteter kan omfatte korrespondance- og adresseregistrering eller sociale netværk og onlineaktiviteter, der er involveret i sådanne aktiviteter. Imidlertid, denne forordning finder anvendelse på dataansvarlige eller databehandlere, der leverer midlerne til at behandle personoplysninger til sådanne personlige aktiviteter eller husholdningsaktiviteter.

Beskyttelse af fysiske personer mod de kompetente myndigheders behandling af personoplysninger med henblik på forebyggelse, af undersøgelsen, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod trusler mod den offentlige sikkerhed og deres forebyggelse og fri udveksling af sådanne data, er genstand for en særlig EU-retsakt. Denne forordning bør derfor ikke finde anvendelse på behandlingsaktiviteter til disse formål. Imidlertid, personoplysninger, der behandles af offentlige myndigheder i henhold til denne forordning, når det bruges til disse formål, skal reguleres af en mere specifik EU-retsakt, dvs. direktivet (EU) 2016/680 af Europa-Parlamentet og Rådet (1). Medlemsstaterne kan uddelegere til kompetente myndigheder i henhold til direktivet (EU) 2016/680 opgaver, der ikke nødvendigvis udføres i forebyggelsesøjemed, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder sikring mod og forebyggelse af trusler mod den offentlige sikkerhed, således at behandlingen af ​​personoplysninger til disse andre formål, så længe det falder inden for EU-rettens anvendelsesområde, at falde inden for denne forordnings anvendelsesområde.

Med hensyn til de nævnte kompetente myndigheders behandling af personoplysninger til formål, der falder inden for denne forordnings anvendelsesområde, Medlemsstaterne bør kunne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af ​​reglerne i denne forordning. Disse bestemmelser kan på en mere præcis måde specificere specifikke krav til disse kompetente myndigheders behandling af personoplysninger til disse andre formål, under hensyntagen til de forfatningsmæssige, de respektive medlemslandes organisatoriske og administrative strukturer. Når private enheders behandling af personoplysninger falder ind under denne forordnings anvendelsesområde, denne forordning bør give medlemsstaterne mulighed for at begrænse ved lov, under særlige forhold, visse forpligtelser og rettigheder, når denne begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre særlige vigtige interesser, herunder offentlig sikkerhed og forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder sikring mod og forebyggelse af trusler mod den offentlige sikkerhed. Dette betyder noget, for eksempel, i forbindelse med bekæmpelse af hvidvask af penge eller retsmedicinske laboratoriers aktiviteter.

Mens denne forordning gælder, inklusive, i domstolenes og andre retslige myndigheders virksomhed, EU- eller medlemsstatslovgivning kunne specificere handlinger og behandlingsprocedurer i forbindelse med behandling af personoplysninger ved domstole og andre retslige myndigheder. Tilsynsmyndighedernes kompetence bør ikke omfatte behandling af personoplysninger, når domstolene handler i deres egenskab af jurisdiktion, for at sikre retsembedsmænds uafhængighed i udøvelsen af ​​deres dømmende opgaver, herunder beslutningstagning. Tilsynet med sådanne databehandlinger bør kunne overlades til særlige organer inden for medlemsstatens retssystem, som især bør sikre overholdelse af reglerne i denne forordning, at gøre medlemmer af retsvæsenet opmærksomme på deres forpligtelser i henhold til denne forordning og at modtage klager i forbindelse med sådanne databehandlingsprocedurer.

Denne forordning gælder med forbehold af Europa-Parlamentets og Rådets direktiv 2000/31/EF (2), navnlig reglerne for tjenesteformidleres ansvar, som er fastsat i artiklerne 12 op til 15 af det pågældende direktiv. Dette direktiv har til formål at bidrage til et velfungerende indre marked, sikring af den frie bevægelighed for informationssamfundstjenester mellem medlemsstaterne.

Enhver behandling af personoplysninger i forbindelse med aktiviteterne i den dataansvarlige eller databehandlervirksomheden i Unionen bør udføres i overensstemmelse med denne forordning, uanset om selve behandlingen finder sted inden for Unionen. Etablering forudsætter en væsentlig og faktisk udøvelse af aktivitet gennem faste arrangementer. Fra dette synspunkt, den juridiske type af disse ordninger, om det er en filial eller et datterselskab med status som juridisk person, det er ikke afgørende.

(1) direktiv (EU) 2016/680 af Europa-Parlamentet og Rådet, af 27. april 2016, til beskyttelse af fysiske personer mod de kompetente myndigheders behandling af personoplysninger med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner og for fri udveksling af sådanne data og ophævelse af Rådets rammeafgørelse 2008/977/RIA (se side 89 i denne Statstidende).

1. (2) Europa-Parlamentets og Rådets direktiv 2000/31/EF, af 8. juni 2000, om visse juridiske aspekter af informationssamfundstjenester, især e-handel, i det indre marked ("direktiv om e-handel") (EE L 178 hende 17.7.2000, s. 1).

Den Europæiske Unions Tidende L 119/5

23. (23) At sikre, at fysiske personer ikke fratages den beskyttelse, de er berettiget til i henhold til denne forordning, behandling af personoplysninger om personer, der befinder sig i Unionen af ​​en dataansvarlig eller databehandler, der ikke er etableret i Unionen, bør være underlagt denne forordning, i det omfang behandlingsaktiviteterne er relateret til levering af varer eller tjenesteydelser til de registrerede, uanset om de er knyttet til en betaling. For at afgøre, om en sådan dataansvarlig eller databehandler tilbyder varer eller tjenester til registrerede, der befinder sig i Unionen, det bør fastslås, om den dataansvarlige eller databehandleren åbenbart har til hensigt at levere tjenester til registrerede i en eller flere EU-medlemsstater. Mens enkel tilgængelighed til controllerens hjemmeside, databehandleren eller en mellemmand i Unionen eller e-mailadressen og andre kontaktoplysninger eller brugen af ​​et sprog, der almindeligvis anvendes i det tredjeland, hvor den registeransvarlige er etableret, er ikke tilstrækkelig til at fastslå en sådan hensigt, faktorer såsom brugen af ​​sprog eller valuta, der almindeligvis anvendes i en eller flere medlemsstater, med mulighed for at bestille produkter og tjenester på det andet sprog, eller henvisning til kunder eller brugere i Unionen kan gøre det klart, at den registeransvarlige har til hensigt at tilbyde varer eller tjenesteydelser til registrerede i Unionen.
24. (24) Behandling af personoplysninger om personer, der befinder sig i Unionen af ​​en dataansvarlig eller databehandler, der ikke er etableret i Unionen, bør også være underlagt denne forordning, for så vidt det vedrører overvågning af de nævnte registreredes adfærd i det omfang, deres adfærd finder sted inden for Unionen. For at afgøre, om en behandlingsaktivitet kan anses for at overvåge en registreredes adfærd, det bør undersøges, om personer spores på internettet, herunder den potentielle efterfølgende brug af persondatabehandlingsteknikker, der består i at danne en fysisk persons "profil", især med det formål at træffe beslutninger vedrørende det eller analysere eller forudsige personlige præferencer, hans adfærd og holdninger.
25. (25) Hvis loven i et medlemsland anvendes i henhold til folkeretten, denne forordning bør også finde anvendelse på en registeransvarlig, der ikke er etableret i Unionen, såsom, for eksempel, for en medlemsstats diplomatiske mission eller konsulære myndighed.
26. (26) Principperne for databeskyttelse bør anvendes på enhver information, der vedrører en identificeret eller identificerbar fysisk person. Personoplysninger, der er blevet pseudonymiseret, som kunne henføres til en fysisk person ved brug af supplerende oplysninger, bør betragtes som oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, der bør tages hensyn til alle midler, der med rimelighed kan forventes at blive brugt, som for eksempel dets adskillelse, enten af ​​den dataansvarlige eller af en tredjepart til direkte eller indirekte verifikation af den fysiske persons identitet. For at afgøre, om der med rimelighed er sandsynlighed for, at der vil blive brugt nogen midler til at verificere den fysiske persons identitet, alle objektive faktorer bør tages i betragtning, såsom omkostninger og tid til identifikation, under hensyntagen til den teknologi, der er tilgængelig på forarbejdningstidspunktet og udviklingen inden for teknologi. Databeskyttelsesprincipper bør derfor ikke gælde for anonyme oplysninger, oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person eller til personoplysninger, der er gjort anonyme på en sådan måde, at den registreredes identitet ikke kan eller længere kan fastslås. Denne forordning vedrører derfor ikke behandlingen af ​​sådanne anonyme oplysninger, heller ikke til statistiske eller forskningsmæssige formål.
27. (27) Denne forordning gælder ikke for afdødes personoplysninger. Medlemsstaterne kan fastsætte regler for behandling af personoplysninger om afdøde personer.
28. (28) Brugen af ​​pseudonymisering i persondata kan reducere risici for registrerede og gøre det lettere for dataansvarlige og databehandlere at overholde deres databeskyttelsesforpligtelser. Den eksplicitte indførelse af "pseudonymisering" i denne forordning har ikke til formål at udelukke enhver anden databeskyttelsesforanstaltning.
29. (29) At skabe incitamenter til pseudonymisering ved behandling af personoplysninger, aliasing-foranstaltninger bør være mulige, med parallel mulighed for en generel analyse, inden for samme controller, når den pågældende dataansvarlige har truffet de nødvendige tekniske og organisatoriske foranstaltninger, for at sikre, for den relevante databehandling, anvendelsen af ​​denne forordning, og at yderligere oplysninger om tildeling af personoplysninger til en bestemt registreret holdes adskilt. Den dataansvarlige, der behandler personoplysningerne, bør angive de autoriserede personer inden for den samme dataansvarlige.

Den Europæiske Unions Tidende 4.5.2016

Fysiske personer kan være knyttet til online-identifikatorer, som leveres af enhederne, ansøgningerne, deres værktøjer og protokoller, såsom internetprotokoladresser, cookie-id'er eller andre identifikatorer såsom radiofrekvensidentifikationsmærker. Disse kan efterlade spor, som, især når det kombineres med unikke identifikatorer og andre oplysninger modtaget af servere, kan bruges til at profilere og identificere fysiske personer.

De offentlige myndigheder, som personoplysningerne videregives til i overensstemmelse med en retlig forpligtelse til at udføre deres officielle pligter, såsom skatte- og toldmyndigheder, økonomiske forskningsenheder, uafhængige tilsynsmyndigheder eller finansmarkedsmyndigheder med ansvar for regulering og tilsyn med værdipapirmarkeder bør ikke betragtes som modtagere, hvis de modtager personoplysninger, der er nødvendige for at udføre en specifik undersøgelse i almenhedens interesse, i overensstemmelse med EU- eller medlemsstatslovgivningen. Offentlige myndigheders anmodninger om offentliggørelse skal altid være skriftlige, berettiget og i overensstemmelse med situationen og bør ikke vedrøre hele et arkivsystem eller føre til sammenkobling af arkivsystemer. De nævnte offentlige myndigheders behandling af personoplysninger bør overholde gældende databeskyttelsesregler afhængigt af formålene med behandlingen.

Samtykke bør gives ved en klar bekræftende handling, som udgør gratis, bestemt, eksplicit og fuldt informeret angivelse af den registreredes samtykke til behandling af de oplysninger, der vedrører ham, fx ved skriftlig erklæring, herunder ad elektronisk vej, eller ved mundtlig udtalelse. Dette kan omfatte at udfylde en boks, når du besøger en online hjemmeside, valget af de ønskede tekniske indstillinger for informationssamfundstjenester eller en erklæring eller adfærd, der klart angiver, i denne særlige sammenhæng, at den registrerede accepterer forslaget om at behandle de relevante personoplysninger. Derfor, stilheden, forudfyldte felter eller inaktivitet skal ikke opfattes som samtykke. Samtykke bør omfatte alle behandlingsaktiviteter, der udføres til samme formål eller til samme formål. Når behandlingen har flere formål, samtykke bør gives til alle sådanne formål. Hvis den registreredes samtykke skal gives efter anmodning ad elektronisk vej, anmodningen skal være klar, inkluderende og ikke urimeligt forstyrre brugen af ​​den service, den leveres til.

Tit, det er ikke muligt fuldt ud at bestemme formålet med at behandle personoplysninger til videnskabelige forskningsformål på tidspunktet for dataindsamlingen. Derfor, registrerede bør kunne give samtykke til visse områder af videnskabelig forskning, når de anerkendte etiske standarder for videnskabelig forskning følges. Registrerede bør kun kunne give samtykke til visse forskningsområder eller kun til dele af forskningsprogrammer, i det omfang det tilsigtede formål tillader det.

Genetiske data bør defineres som personlige data relateret til en fysisk persons arvede eller erhvervede genetiske egenskaber, der er et resultat af analysen af ​​en biologisk prøve fra den pågældende fysiske person, især ved kromosomal deoxyribonukleinsyreanalyse (DNA) eller ribonukleinsyre (RNA) eller fra analyse af et andet element, der tillader erhvervelse af tilsvarende information.

Personoplysninger vedrørende sundhed bør omfatte alle data vedrørende den registreredes helbredstilstand, og som afslører oplysninger om fortiden, den registreredes nuværende eller fremtidige tilstand af fysisk eller mental sundhed. Dette omfatter oplysninger om den fysiske person, der indsamles ved registrering og levering af sundhedsydelser som omhandlet i Europa-Parlamentets og Rådets direktiv 2011/24/EU (1) til den pågældende fysiske person, et symbol eller identifikationstræk, der tilskrives en fysisk person med henblik på fuldstændig identifikation af den fysiske person af sundhedsmæssige årsager, som er resultatet af undersøgelser eller analyser af en kropsdel ​​eller et stof, blandt andet fra genetiske data og biologiske prøver og enhver information, for eksempel, om sygdom, handicap, risiko for sygdom, medicinsk historie, klinisk behandling eller den registreredes fysiologiske eller biomedicinske tilstand, uanset kilde, for eksempel, af en læge eller anden sundhedsperson, Hospital, medicinsk udstyr eller in vitro diagnostisk test.

En registeransvarligs hovedkontor i Unionen bør være stedet for dens centrale administration i Unionen, medmindre beslutninger om formål og midler til behandling af personoplysninger træffes på en anden virksomhed hos den registeransvarlige i Unionen, i så fald bør den nævnte anden virksomhed betragtes som hovedvirksomheden. Den primære etablering af en registeransvarlig i Unionen bør fastlægges efter objektive kriterier og bør indebære en væsentlig og faktisk udøvelse af ledelsesaktiviteter, som bestemmer de vigtigste beslutninger vedrørende formål og midler til behandling gennem faste ordninger. Dette kriterium bør ikke afhænge af, om behandlingen

(1) Europa-Parlamentets og Rådets direktiv 2011/24/EU, af 9. marts 2011, om anvendelse af patienters rettigheder i forbindelse med grænseoverskridende sundhedsydelser (EE L 88 hende 4.4.2011, s. 45).

Den Europæiske Unions Tidende

af personoplysninger finder sted på det specifikke sted. Eksistensen og brugen af ​​tekniske midler og teknologier til behandling af personoplysninger eller behandlingsaktiviteter udgør ikke’ sig hovedanlæg og, derfor, de udgør ikke definerende kriterier for hovedinstallationen. Databehandlerens hovedvirksomhed bør være stedet for dens centrale administration i Unionen eller, hvis han ikke har nogen central administration i Unionen, det sted, hvor hovedforarbejdningsaktiviteterne finder sted i Unionen. I sager, der involverer både den dataansvarlige og databehandleren, den kompetente ledende tilsynsmyndighed bør forblive tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges hovedvirksomhed er beliggende, men databehandlerens tilsynsmyndighed bør betragtes som en interesseret tilsynsmyndighed, og denne tilsynsmyndighed bør deltage i samarbejdsproceduren i denne forordning. I hvert tilfælde, tilsynsmyndighederne i den eller de medlemsstater, hvor databehandleren har en eller flere virksomheder, bør ikke betragtes som berørte tilsynsmyndigheder, når udkastet til afgørelse kun vedrører den dataansvarlige. Når forarbejdningen udføres af en koncern, den kontrollerende virksomheds hovedvirksomhed bør betragtes som hovedvirksomheden i gruppen af ​​virksomheder, medmindre formålene og midlerne til behandlingen er bestemt af en anden virksomhed.

37. (37) Gruppen af ​​virksomheder bør omfatte den kontrollerende virksomhed og de virksomheder, den kontrollerer, hvor den kontrollerende virksomhed bør være den virksomhed, der kan udøve en dominerende indflydelse på de øvrige virksomheder i kraft af, for eksempel, ejendomsret, økonomisk deltagelse eller reglerne herfor eller beføjelsen til at anvende reglerne om beskyttelse af personoplysninger. En virksomhed, der udøver kontrol med behandlingen af ​​personoplysninger i virksomheder, der er tilknyttet den, bør komme i betragtning, sammen med de pågældende virksomheder, erhvervsgruppe.
38. (38) Børn kræver særlig beskyttelse med hensyn til deres personlige data, da børn kan være mindre opmærksomme på de involverede risici, konsekvenser og garantier og deres rettigheder i forhold til behandling af personoplysninger. Denne særlige beskyttelse bør især gælde for brugen af ​​personoplysninger med henblik på markedsføring eller oprettelse af personligheds- eller brugerprofiler og indsamling af personoplysninger om børn ved brug af tjenester, der tilbydes direkte til et barn. Samtykke fra forældre eller værge bør ikke være nødvendigt i forbindelse med forebyggelse eller rådgivning, der tilbydes direkte til et barn.
39. (39) Enhver behandling af personoplysninger bør være lovlig og retfærdig. Det bør være klart for fysiske personer, at der indsamles personoplysninger om dem, de bruges, tages i betragtning eller indsendes iflg’ anden måde at behandle på, samt i hvilket omfang personoplysninger behandles eller vil blive behandlet. Dette princip kræver, at alle oplysninger og meddelelser vedrørende behandlingen af ​​sådanne personoplysninger er let tilgængelige og forståelige og bruger et klart og klart sprog.. Dette princip vedrører især oplysninger til registrerede om den dataansvarliges identitet og formålene med behandlingen og yderligere oplysninger for at sikre en retfærdig og gennemsigtig behandling i forhold til de pågældende fysiske personer og deres ret til at modtage bekræftelse og opnå kommunikation af de personlige data relateret til dem, der er genstand for behandling. Fysiske personer bør underrettes om, at der er risici, regler, garantier og rettigheder i forhold til behandling af personoplysninger, og hvordan de udøver deres rettigheder i forhold til sådan behandling. Især, de specifikke formål med behandlingen af ​​personoplysninger bør være klare, lovlig og bestemt på tidspunktet for indsamlingen af ​​personoplysningerne. Personoplysninger bør være tilstrækkelige og relevante og begrænset til, hvad der er nødvendigt for formålene med deres behandling. Dette kræver især at sikre, at opbevaringsperioden for personoplysninger begrænses til det mindst mulige. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opnås på anden vis. For at sikre, at persondata ikke opbevares længere end nødvendigt, den registeransvarlige bør fastsætte frister for deres sletning eller for deres periodiske gennemgang. Alle rimelige foranstaltninger bør træffes, for at sikre, at unøjagtige personoplysninger rettes eller slettes. Personoplysninger bør behandles på en måde, der sikrer passende beskyttelse og fortrolighed af personoplysninger, blandt andet for at forhindre enhver uautoriseret adgang til sådanne personoplysninger og det udstyr, der bruges til at behandle dem eller brugen af ​​sådanne personoplysninger og nævnte udstyr.
40. (40) For at behandlingen er lovlig, personoplysninger bør behandles på grundlag af samtykke fra den registrerede eller på et andet grundlag, fastsat ved lov, enten i denne forordning eller i anden EU- eller medlemsstatslovgivning som nævnt heri

Den Europæiske Unions Tidende 4.5.2016

regulering, herunder behovet for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt, eller behovet for at udføre en kontrakt, som den registrerede er part i, eller at træffe foranstaltninger på anmodning af den registrerede forud for indgåelse af en kontrakt.

Når som helst denne forordning henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, dette kræver ikke nødvendigvis lovgivning vedtaget af et parlament, uden at det berører kravene i den pågældende medlemsstats forfatningsmæssige orden. Imidlertid, dette retsgrundlag eller lovgivningsmæssige foranstaltning bør være klart og præcist formuleret, og dets anvendelse forudsigeligt for personer, der er omfattet af det, ifølge retspraksis ved EU-Domstolen (retten") og Den Europæiske Menneskerettighedsdomstol.

Når behandlingen er baseret på samtykke fra den registrerede, den dataansvarlige skal kunne bevise, at den registrerede har givet sit samtykke til behandlingshandlingen. især, i forbindelse med en skriftlig udtalelse om en anden sag, Der bør ydes sikkerhedsforanstaltninger for at sikre, at den registrerede er klar over dette forhold, og i hvilket omfang han har givet sit samtykke. I henhold til Rådets direktiv 93/13/EØF (1), der skal afgives en samtykkeerklæring, på forhånd formuleret af controlleren i en forståelig og let tilgængelig form, med en klar og enkel formulering, ingen misbrugsklausuler. At blive betragtet som informeret samtykke, den registrerede bør som minimum kende den dataansvarliges identitet og formålene med den behandling, som personoplysningerne er beregnet til. Samtykke bør ikke betragtes som frit givet, hvis den registrerede ikke har et reelt eller frit valg eller er ude af stand til at nægte eller tilbagekalde samtykke uden fordomme.

For at sikre, at samtykke er givet frit, samtykke bør ikke give et gyldigt retsgrundlag for behandling af personoplysninger i en bestemt sag, når der er en klar forskel mellem den registrerede og den dataansvarlige, især hvor den registeransvarlige er en offentlig myndighed, og det derfor er næsten usandsynligt, at samtykke ville være givet frit under alle omstændighederne i denne særlige situation. Samtykke anses for ikke at være givet frit, hvis der ikke kan gives særskilt samtykke til forskellige persondatabehandlinger, selvom det er relevant i dette særlige tilfælde, eller når udførelsen af ​​en kontrakt, herunder levering af en service, kræver samtykke, også selvom et sådant samtykke ikke er nødvendigt for den nævnte udførelse.

Behandlingen bør også være lovlig, hvis den er nødvendig i forbindelse med en kontrakt eller en hensigt om at indgå en kontrakt.

Når behandlingen udføres i overensstemmelse med en retlig forpligtelse, som den dataansvarlige er underlagt, eller når den er nødvendig for varetagelsen af ​​en pligt, der udføres i offentlighedens interesse eller under udøvelse af offentlig myndighed, behandlingen bør være baseret på EU- eller medlemsstatslovgivning. Denne forordning kræver ikke en specifik lov for hver enkelt behandling. En enkelt lov kan være tilstrækkeligt som grundlag for mere end én behandling baseret på en retlig forpligtelse, som den dataansvarlige er underlagt, eller hvis behandlingen er nødvendig for varetagelsen af ​​en opgave, der udføres i almenhedens interesse eller under udøvelse af offentlig myndighed. også, fastlæggelsen af ​​formålet med behandlingen bør overlades til EU- eller medlemsstatslovgivningen. desuden, denne lov kunne specificere de generelle betingelser i denne forordning for lovlig behandling af personoplysninger og fastlægge specifikationer for at bestemme den dataansvarlige, typen af ​​personoplysninger, der behandles, af de respektive registrerede, af de enheder, som personoplysningerne må videregives til, af formålsbegrænsninger, af opbevaringsperioden og andre foranstaltninger for at sikre lovlig og retfærdig behandling. også, det bør være op til EU-retten eller medlemsstaternes lovgivning at afgøre, om den registeransvarlige, der udfører en opgave, der udføres i offentlighedens interesse eller under udøvelsen af ​​offentlig myndighed, skal være en offentlig myndighed eller en anden fysisk eller juridisk person, der er underlagt offentlig ret eller, hvis dette er begrundet i almene hensyn, blandt andet af helbredsmæssige årsager, såsom folkesundhed og social beskyttelse og forvaltning af sundhedsydelser, fra privatretten, såsom en professionel organisation.

Behandling af personoplysninger bør også anses for lovlig, når det er nødvendigt for at beskytte en interesse, der er væsentlig for den registreredes eller en anden fysisk persons liv. Behandling af personoplysninger baseret på en anden fysisk persons vitale interesse bør iflg’

(1) Rådets direktiv 93/13/EOK, af den 5. april 1993, på urimelige vilkår i forbrugeraftaler (EE L 95 hende 21.4.1993, s. 29).

4.5.2016

som udgangspunkt kun skal udføres, hvis det er åbenlyst, at behandlingen ikke kan have andet retsgrundlag. Visse former for behandling kan tjene på den ene side vigtige hensyn til offentlighedens interesse og på den anden side den registreredes vitale interesser, såsom, for eksempel, når behandlingen er nødvendig af humanitære formål, blandt andet for at overvåge epidemier og deres spredning eller i situationer med akut humanitært behov, især i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

47. (47) Den registeransvarliges legitime interesser, herunder dem fra en dataansvarlig, til hvem personlige eller tredjepartsdata kan videregives, kan give retsgrundlaget for behandlingen, forudsat at de ikke tilsidesætter den registreredes interesser eller grundlæggende rettigheder og friheder, under hensyntagen til de registreredes legitime forventninger baseret på deres forhold til den dataansvarlige. En sådan legitim interesse kunne for eksempel eksistere, hvor der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, såsom om den registrerede er kunde hos den dataansvarlige eller er i dennes tjeneste. Under alle omstændigheder vil eksistensen af ​​en legitim interesse kræve en omhyggelig vurdering, blandt andet om, hvorvidt den registrerede, på tidspunktet og i forbindelse med indsamlingen af ​​personoplysninger, med rimelighed kan forvente, at behandling kan finde sted til dette formål. især, den registreredes interesser og grundlæggende rettigheder kan gå forud for den dataansvarliges interesser, når personoplysninger behandles i tilfælde, hvor den registrerede ikke med rimelighed forventer yderligere behandling af sine data. Da det er op til lovgiveren ved lov at give det juridiske grundlag for offentlige myndigheders behandling af personoplysninger, dette retsgrundlag bør ikke gælde for behandling foretaget af offentlige myndigheder under udførelsen af ​​deres opgaver. Behandling af personoplysninger, i det omfang, det er strengt nødvendigt af hensyn til svigforebyggelse, det udgør også en legitim interesse for den pågældende registeransvarlige. Behandling af personoplysninger til direkte markedsføringsformål kan anses for at være udført af hensyn til en legitim interesse.
48. (48) Dataansvarlige, der er medlemmer af en gruppe af virksomheder eller institutioner knyttet til et centralt organ, kan have en legitim interesse i at videregive personoplysninger inden for gruppen af ​​virksomheder til interne administrative formål, herunder behandling af personoplysninger om kunder eller medarbejdere. De generelle principper for videregivelse af personoplysninger, inden for en virksomhedsgruppe, til en virksomhed etableret i et tredjeland ikke påvirkes.
49. (49) Behandling af personoplysninger, i det omfang, det er strengt nødvendigt og forholdsmæssigt med henblik på at sikre netværks- og informationssikkerhed, det vil sige et netværks eller informationssystems evne til at modstå, på et givet konfidensniveau, til tilfældige begivenheder eller ulovlige eller ondsindede handlinger, der bringer tilgængeligheden i fare, autenticiteten, integriteten og fortroligheden af ​​lagrede eller overførte personlige data, samt sikkerheden af ​​de relevante tjenester, der tilbydes af nævnte netværk og systemer eller tilgængelige via nævnte netværk og systemer, eller tilbydes af offentlige myndigheder, af IT-beredskabsteams (CERT), af responsteams for computersikkerhedshændelser (CHIRT), fra udbydere af elektroniske kommunikationsnetværk og -tjenester og fra udbydere af sikkerhedsteknologier og -tjenester, er en legitim interesse for den pågældende dataansvarlige. Dette kunne omfatte, for eksempel, at forhindre uautoriseret adgang til elektroniske kommunikationsnetværk og distribution af ondsindet kode og standse "denial of service"-angreb og beskadigelse af it- og elektroniske kommunikationssystemer.
50. (50) Behandling af personoplysninger til andre formål end dem, som personoplysningerne oprindeligt blev indsamlet til, bør kun være tilladt, hvis behandlingen er forenelig med de formål, hvortil personoplysningerne oprindeligt blev indsamlet. I dette tilfælde, der kræves ikke noget juridisk grundlag adskilt fra det, der tillod indsamling af personoplysninger. Hvis behandlingen er nødvendig for udførelsen af ​​en opgave, der udføres i samfundets interesse eller i udøvelse af offentlig myndighed, der er delegeret til den dataansvarlige, EU- eller medlemsstatslovgivningen kan bestemme og fastlægge de opgaver og formål, hvortil yderligere behandling skal anses for at være forenelig og lovlig. Viderebehandling til arkiveringsformål, der er i offentlighedens interesse, med henblik på videnskabelig eller historisk forskning eller til statistiske formål bør betragtes som en forenelig lovlig behandlingshandling. Det retsgrundlag, der er fastsat i EU- eller medlemsstatslovgivningen for behandling af personoplysninger, kan også udgøre retsgrundlaget for yderligere behandling. For at fastslå, om formålet med den videre behandling er foreneligt med formålet med den første indsamling af personoplysninger, controlleren, så længe det opfylder alle krav til lovligheden af ​​den indledende behandling, bør tage hensyn til, inklusive: eventuelle forbindelser mellem disse formål og formålene med den påtænkte videre behandling, hvori personoplysningerne er blevet indsamlet, især den registreredes rimelige forventninger baseret på hans forhold til den registeransvarlige med hensyn til deres videre brug;

Den Europæiske Unions Tidende 4.5.2016

(51)

konsekvenserne af den påtænkte yderligere behandling for registrerede og eksistensen af ​​passende sikkerhedsforanstaltninger for både indledende og påtænkte yderligere behandlinger.

Hvor den registrerede har givet sit samtykke, eller behandlingen er baseret på EU- eller medlemsstatslovgivning, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre, især, vigtige formål i forbindelse med almen interesse, den dataansvarlige bør have lov til at behandle personoplysningerne yderligere, uanset formålets kompatibilitet. I hvert tilfælde, anvendelsen af ​​principperne i denne forordning bør sikres og, Især, informere den registrerede om disse andre formål og om dennes rettigheder, herunder retten til at gøre indsigelse. Den registeransvarliges markering af mulige kriminelle handlinger eller trusler mod den offentlige sikkerhed og videregivelse af de relevante personoplysninger til en kompetent myndighed i en enkelt sag eller i mere end én sag, der involverer den samme kriminelle handling eller de samme trusler mod den offentlige sikkerhed, bør betragtes som falder inden for den legitime interesse, som den registeransvarlige forfølger. Imidlertid, sådan videregivelse i forbindelse med den registeransvarliges legitime interesse eller videre behandling af personoplysninger bør forbydes, hvis behandlingen ikke er forenelig med lov, faglig eller anden bindende tavshedspligt.

Personoplysninger, som i sagens natur er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, har brug for særlig beskyttelse, da sammenhængen med deres behandling kan skabe betydelige risici for grundlæggende rettigheder og friheder. Sådanne personoplysninger bør omfatte personoplysninger, der afslører racemæssig eller etnisk oprindelse, hvor brugen af ​​udtrykket "raceoprindelse" i denne forordning ikke indebærer, at Unionen accepterer teorier, der understøtter eksistensen af ​​separate menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, da disse kun er omfattet af definitionen af ​​biometriske data i tilfælde af behandling gennem særlige tekniske midler, der muliggør utvetydig identifikation eller verifikation af en fysisk persons identitet. Sådanne personoplysninger bør ikke behandles, medmindre behandling er tilladt i særlige tilfælde, som er fastsat i denne forordning, i betragtning af, at medlemsstaternes lovgivning kan indeholde særlige bestemmelser om databeskyttelse, for at tilpasse anvendelsen af ​​reglerne i denne forordning på grund af overholdelse af en retlig forpligtelse eller på grund af opfyldelse af en pligt, der udføres i offentlighedens interesse eller under udøvelsen af ​​offentlig myndighed, der er tildelt den registeransvarlige. Ud over de specifikke krav, som en sådan behandling er underlagt, de generelle principper og andre regler i denne forordning bør anvendes, især i,vedrørende vilkårene for juridisk behandling. Der bør udtrykkeligt fastsættes undtagelser fra det generelle forbud mod behandling af personoplysninger, der falder ind under disse særlige kategorier, inklusive, i tilfælde af udtrykkeligt samtykke fra den registrerede, eller når det drejer sig om særlige behov, især når behandlingen udføres i forbindelse med lovlige aktiviteter i visse foreninger eller institutioner, hvis formål er at tillade udøvelsen af ​​grundlæggende frihedsrettigheder.

Undtagelser fra forbuddet mod behandling af særlige kategorier af personoplysninger bør også være tilladt, hvis det er fastsat i EU- eller medlemsstatslovgivningen og med forbehold af passende sikkerhedsforanstaltninger, at beskytte personoplysninger og andre grundlæggende rettigheder, hvis det er begrundet i almene interesser, især behandling af personoplysninger på det arbejdsretlige område, af loven om social beskyttelse, herunder pensioner, og af hensyn til sundhed og sikkerhed, overvågning og alarmering og til forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden. Denne undtagelse kan gives af sundhedsmæssige årsager, herunder folkesundhed og sundhedsvæsenets ledelse, især for at sikre kvaliteten og omkostningseffektiviteten af ​​de processer, der anvendes til at afgøre krav om ydelser og ydelser i sygesikringssystemet, eller til arkivformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål. Der bør også gives en undtagelse for at tillade behandling af sådanne personoplysninger, når det er nødvendigt for etableringen, udøve eller støtte retskrav, enten i retssager eller i administrative eller udenretslige procedurer.

Behandling af særlige kategorier af personoplysninger, der kræver højere beskyttelse, bør kun ske til sundhedsrelaterede formål, i det omfang det er nødvendigt for at nå de nævnte mål, til gavn for den enkelte og samfundet som helhed, især i forbindelse med forvaltningen af ​​sundheds- og socialtjenester og -systemer, herunder behandling af disse data af de administrerende og centrale nationale sundhedsmyndigheder med henblik på kvalitetskontrol, informationsstyring og overordnet nationalt og lokalt tilsyn med sundheds- eller socialvæsenet, og sikring af kontinuitet i sundhedspleje eller social pleje og grænseoverskridende sundhedspleje eller sundhedssikkerhed, til overvågnings- og advarselsformål eller til arkiveringsformål i offentlighedens interesse, med henblik på videnskabelig eller historisk forskning eller

4.5.2016

Den Europæiske Unions Tidende

statistiske formål, baseret på Unionens eller medlemsstaternes lovgivning og med det endelige mål at tjene almene interesser, samt for undersøgelser udført i offentlighedens interesse på folkesundhedsområdet. Derfor, denne forordning bør indeholde harmoniserede betingelser for behandling af særlige kategorier af personoplysninger vedrørende sundhed, i forhold til særlige behov, især når behandlingen af ​​disse data udføres til visse sundhedsrelaterede formål af personer, der er underlagt en juridisk forpligtelse til professionel fortrolighed. Unionens eller medlemsstaternes lovgivning bør indeholde specifikke og passende foranstaltninger til beskyttelse af fysiske personers grundlæggende rettigheder og personoplysninger. Medlemsstaterne bør kunne opretholde eller indføre yderligere betingelser, blandt andet og begrænsninger, vedrørende behandling af genetiske data, biometriske eller sundhedsmæssige data. Imidlertid, dette bør ikke hindre den frie udveksling af personoplysninger inden for Unionen, når disse vilkår gælder for grænseoverskridende behandling af sådanne data.

54. (54) Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til offentlighedens interesse på folkesundhedsområdet, uden samtykke fra den registrerede. Sådan behandling bør være underlagt passende og specifikke foranstaltninger til beskyttelse af fysiske personers rettigheder og friheder. i denne sammenhæng, "folkesundhed" skal fortolkes som defineret i forordningen (FRA) ingen. 1338/2008 af Europa-Parlamentet og Rådet (1), dvs. som et sæt af elementer forbundet med sundhed, specifikt sundhedstilstanden, herunder sygelighed og handicap, determinanter, der påvirker helbredstilstanden, sundhedsplejebehov, de ressourcer, der er til rådighed for sundhedsvæsenet, levering af sundhedspleje og adgang til det for alle, samt sundhedsudgifter og finansiering og dødsårsager. Denne behandling af helbredsrelaterede data af hensyn til offentlighedens interesse bør ikke resultere i behandling af personoplysninger til andre formål af tredjeparter, såsom arbejdsgivere eller forsikringsselskaber og banker.
55. (55) desuden, offentlige myndigheders behandling af personoplysninger for at opnå formålene med officielt anerkendte religiøse sammenslutninger, som er fastsat i forfatningsretlig eller international offentlig ret, det udføres af hensyn til offentlighedens interesse.
56. (56) Hvis, i forbindelse med valgaktiviteter, det demokratiske systems funktion i en medlemsstat kræver, at politiske partier indsamler personoplysninger om borgernes politiske meninger., behandlingen af ​​disse data kan tillades af hensyn til offentlighedens interesse, forudsat at der stilles passende garantier.
57. (57) Hvis de personoplysninger, der behandles af en dataansvarlig, ikke giver den dataansvarlige mulighed for at identificere en fysisk person, den dataansvarlige bør ikke være forpligtet til at indhente yderligere oplysninger, for at identificere den registrerede med det ene formål at overholde enhver bestemmelse i denne forordning. Imidlertid, den dataansvarlige bør ikke nægte at modtage yderligere oplysninger fra den registrerede for at understøtte udøvelsen af ​​sine rettigheder. Identifikationen bør omfatte den registreredes digitale identifikation, for eksempel gennem en identitetsverifikationsmekanisme, såsom de samme identifikatorer, som den registrerede bruger, når han logger ind (Log på) i onlinetjenesten, som den registeransvarlige tilbyder.
58. (58) Princippet om gennemsigtighed kræver, at enhver information, der henvender sig til offentligheden eller den registrerede, er kortfattet, let tilgængeligt og let forståeligt og bruge et klart og enkelt sprog og, desuden, fra sag til sag, Skærm. Disse oplysninger kan gives i elektronisk form, for eksempel, når man henvender sig til offentligheden, gennem en hjemmeside. Dette er af særlig betydning i tilfælde, hvor mangfoldigheden af ​​deltagere og kompleksiteten af ​​de anvendte teknologier gør det vanskeligt for den registrerede at vide og forstå, om, af hvem og til hvilket formål persondata vedrørende det indsamles,som i tilfældet med online annoncering. Da børn har brug for særlig beskyttelse, hver opdatering og meddelelse, hvis behandlingen er rettet mod et barn, den skal formuleres i et klart og enkelt sprog, som barnet let kan forstå.
59. (59) Der bør tilvejebringes måder til at gøre det lettere for den registrerede at udøve sine rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og, fra sag til sag, fås gratis, Især, adgang til personoplysninger og rette eller slette dem og udøve retten til at vise indsigelser. Den registeransvarlige bør også sørge for midlerne til elektronisk indsendelse af anmodninger, især når personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at svare på den registreredes anmodninger uden forsinkelse og senest inden for en måned og angive årsager, når den ikke har til hensigt at efterkomme sådanne anmodninger.

(1) Regulering (FRA) ingen. 1338/2008 af Europa-Parlamentet og Rådet, af 16. december 2008, om fællesskabsstatistikker på områderne folkesundhed og sundhed og sikkerhed på arbejdspladsen (EE L 354 hende 31.12.2008, s. 70).

Den Europæiske Unions Tidende 4.5.2016

Principperne om retfærdig og gennemsigtig behandling kræver, at den registrerede informeres om eksistensen af ​​behandlingen og dens formål. Den registeransvarlige bør give den registrerede alle yderligere oplysninger, der er nødvendige for at sikre retfærdig og gennemsigtig behandling, under hensyntagen til de konkrete omstændigheder og den sammenhæng, hvori behandlingen af ​​personoplysninger finder sted. Yderligere, den registrerede skal informeres om, hvorvidt han bliver profileret, og hvad konsekvenserne er. Hvis personoplysningerne er leveret af den registrerede, den registrerede bør også informeres om, hvorvidt han er forpligtet til at udlevere personoplysningerne, og om konsekvenserne, når den ikke leverer de nævnte data. Denne information kan gives i kombination med standardikoner for at give den tydeligt, på en forståelig og læsbar måde et væsentligt overblik over den påtænkte behandling. Hvis ikonerne er tilgængelige online, de skal være maskinlæsbare.

Oplysningerne i forbindelse med behandlingen af ​​personoplysningerne vedrørende den registrerede bør gives til denne på tidspunktet for indsamlingen fra den registrerede eller, hvis personoplysningerne er indhentet fra en anden kilde, inden for rimelig tid, afhængig af omstændighederne i den enkelte sag. Om personoplysningerne kan videregives til en anden modtager, den registrerede skal informeres, når personoplysningerne første gang videregives til modtageren. Når den dataansvarlige har til hensigt at behandle personoplysningerne til et andet formål end det, de blev indsamlet til, den registeransvarlige skal give den registrerede, før en sådan videre behandling, oplysninger til dette formål og andre nødvendige oplysninger. Når oprindelsen af ​​personoplysningerne ikke kan kommunikeres til den registrerede, fordi der er brugt forskellige kilder, der skal gives generel information.

Imidlertid, det er ikke nødvendigt at pålægge oplysningspligt, hvis den registrerede allerede har oplysningerne, hvis registrering eller videregivelse af personoplysninger er udtrykkeligt fastsat ved lov, eller hvis levering af oplysninger til den registrerede viser sig umuligt eller vil kræve en uforholdsmæssig indsats. Det sidste kunne især være tilfældet, når behandlingen sker til arkiveringsformål i almen interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. Vedrørende, antallet af registrerede bør tages i betragtning, dataenes alder og eventuelle passende sikkerhedsforanstaltninger.

En registreret bør have ret til indsigt i de indsamlede personoplysninger, der vedrører ham, og være i stand til at udøve denne ret bekvemt og med rimeligt regelmæssige intervaller, for at være opmærksom på og verificere lovligheden af ​​behandlingen. Dette omfatter de registreredes ret til at få adgang til deres helbredsoplysninger, for eksempel deres journaldata, som indeholder informationer såsom diagnoser, test resultater, evalueringer foretaget af behandlende læger og eventuel behandling eller procedure. Derfor, enhver registreret bør have ret til at vide og til at blive underrettet, især til hvilke formål personoplysninger behandles, om muligt, hvor længe personoplysningerne behandles, hvilke modtagere der modtager personoplysningerne, hvilken logik der følges i enhver automatisk behandling af personoplysninger, og hvad der kan være konsekvenserne af den nævnte behandling, i hvert fald når det er baseret på profilering. Den dataansvarlige bør være i stand til at give fjernadgang til et sikkert system, hvorigennem den registrerede får direkte adgang til de oplysninger, der vedrører ham.. Denne ret bør ikke påvirke andres rettigheder eller friheder negativt, såsom tavshedspligt eller intellektuel ejendomsret og, især, ophavsretten, der beskytter softwaren. Imidlertid, disse faktorer bør ikke have den virkning, at de nægter at give oplysninger til den registrerede. Når den dataansvarlige behandler store mængder information om den registrerede, den registeransvarlige skal kunne anmode om fra forsøgspersonen, før informationen gives, identificere oplysningerne eller behandlingsaktiviteterne i forbindelse med anmodningen.

Den dataansvarlige bør anvende alle rimelige foranstaltninger til at verificere identiteten af ​​den registrerede, der anmoder om adgang, især i forbindelse med onlinetjenester og onlineidentifikatorer. Den dataansvarlige bør ikke opbevare personoplysninger med det ene formål at kunne besvare potentielle anmodninger.

En registreret bør have ret til at anmode om berigtigelse af personoplysninger vedrørende ham, samt "retten til at blive glemt", hvis opbevaringen af ​​disse data er i strid med denne forordning eller EU- eller medlemsstatslovgivning, som den dataansvarlige er underlagt. Især, den registrerede bør have ret til at anmode om sletning og standsning af behandlingen af ​​personoplysninger vedrørende ham, hvis personoplysningerne ikke længere er nødvendige i forhold til de formål, hvortil de indsamles eller afgives iht’ anden måde at behandle på, hvis den registrerede trækker sit samtykke til behandlingen tilbage, eller hvis han gør indsigelse mod behandlingen af ​​personoplysninger vedrørende ham, eller hvis behandlingen af ​​personoplysninger vedrørende ham ikke er i overensstemmelse med denne forordning iht.’ anden måde. Denne ret er særlig vigtig, når den registrerede har givet samtykke som barn, da han ikke var helt klar over det

4.5.2016

Den Europæiske Unions Tidende

af de risici, der er forbundet med behandlingen, og senere ønsker at fjerne de specifikke persondata, hovedsageligt fra internettet. Den registrerede bør kunne udøve denne ret på trods af, at han ikke længere er et barn. Imidlertid, yderligere opbevaring af personoplysninger bør være lovlig, når det er nødvendigt for udøvelsen af ​​retten til ytrings- og informationsfrihed, at overholde en juridisk forpligtelse, til opfyldelse af en pligt, der udføres i offentlighedens interesse, eller under udøvelse af offentlig myndighed, der er delegeret til den registeransvarlige, af hensyn til offentlighedens interesse på folkesundhedsområdet, til arkiveringsformål i almen interesse, til videnskabelig eller historisk forskning eller statistiske formål, eller til fonden, udøve eller støtte retskrav.

66. (66) At styrke retten til at blive glemt i onlinemiljøet, retten til sletning bør også udvides på en sådan måde, at den dataansvarlige, der offentliggjorde personoplysningerne, er forpligtet til at informere de dataansvarlige, der behandler disse personoplysninger, for at slette eventuelle links eller kopier eller gengivelser af disse data af personlig karakter.. Når han gør det, at den registeransvarlige skal tage rimelige skridt, under hensyntagen til den tilgængelige teknologi og midler, der er til rådighed for controlleren, herunder tekniske foranstaltninger, at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.
67. (67) Metoder, hvormed behandlingen af ​​personoplysninger begrænses, kan omfatte;, inklusive, den midlertidige overførsel af de valgte data til et andet behandlingssystem, fjernelse af tilgængeligheden af ​​udvalgte personlige data fra brugere eller midlertidig fjernelse af offentliggjorte data fra et websted. I automatiserede arkivsystemer bør begrænsningen af ​​behandlingen være iflg’ i princippet sikres med tekniske midler på en sådan måde, at personoplysningerne ikke er genstand for yderligere behandling og ikke kan ændres. Det forhold, at behandlingen af ​​personoplysninger er begrænset, bør angives i systemet.
68. (68) For yderligere at styrke kontrollen over persondata, når behandlingen af ​​personoplysninger udføres med automatiserede midler, den registrerede bør også kunne modtage de personoplysninger om ham/hende, som han/hun har givet til en dataansvarlig, i struktureret, almindeligt anvendte og maskinlæsbare interoperable format, og overføre dem til en anden controller. Dataansvarlige bør tilskyndes til at udvikle interoperable formater, der tillader dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne med sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af ​​en kontrakt. Det bør ikke gælde, hvor behandlingen er baseret på et andet retsgrundlag end samtykke eller kontrakt. I sagens natur bør denne ret ikke udøves over for registeransvarlige, der behandler personoplysninger i udøvelsen af ​​deres offentlige pligter. Den bør derfor ikke finde anvendelse, når behandlingen af ​​personoplysninger er nødvendig for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt, eller for at udføre en opgave, der udføres i offentlighedens interesse eller i udøvelsen af ​​en offentlig myndighed, der er delegeret til den dataansvarlige.. Den registreredes ret til at transmittere eller modtage personoplysninger om ham bør ikke skabe en forpligtelse for de registeransvarlige til at indføre eller vedligeholde behandlingssystemer, der er teknisk kompatible. Hvornår, til et bestemt sæt af personlige data, mere end én registreret er berørt, retten til at modtage personoplysninger bør ikke påvirke andre registreredes rettigheder og friheder i overensstemmelse med denne forordning. desuden, denne ret bør ikke påvirke den registreredes ret til at anmode om sletning af personoplysninger eller begrænsningerne af denne ret, som fastsat i denne forordning og bør især ikke medføre sletning af personoplysninger vedrørende emnet for personoplysningerne, og som er blevet leveret af ham til opfyldelse af en kontrakt, i det omfang og i det omfang disse data er nødvendige for udførelsen af ​​den pågældende kontrakt. Når det er teknisk muligt, den registrerede bør have ret til at sikre, at personoplysninger overføres direkte fra en registeransvarlig til en anden.
69. (69) Hvor personoplysninger kan behandles lovligt, fordi behandlingen er nødvendig for udførelsen af ​​en opgave, der udføres i offentlighedens interesse eller i udøvelsen af ​​en offentlig myndighed, der er delegeret til den dataansvarlige, eller af hensyn til den dataansvarliges eller tredjemands legitime interesser, enhver registreret bør være berettiget til stk’ alt dette for at gøre indsigelse mod behandlingen af ​​personoplysninger vedrørende hans særlige situation. Det bør være op til den registeransvarlige at påvise, at dennes tvingende legitime interesser potentielt tilsidesætter den registreredes interesser eller grundlæggende rettigheder og friheder.
70. (70) Når personoplysninger behandles til direkte markedsføringsformål, den registrerede bør have ret til at gøre indsigelse mod en sådan behandling, herunder profilering i det omfang, det er knyttet til sådan direkte markedsføring, om det er indledende eller videre behandling, til enhver tid og gratis. Denne ret bør udtrykkeligt gøres bekendt med den registrerede og præsenteres klart og adskilt fra enhver anden information.

Den Europæiske Unions Tidende 4.5.2016

Den registrerede bør have ret til ikke at blive underlagt en afgørelse, som kan omfatte en vis foranstaltning, med hvilke personlige aspekter vedrørende det vurderes, opnået udelukkende på grundlag af automatiseret behandling, og som har retsvirkninger over for den pågældende person eller væsentligt påvirker ham på lignende måde, såsom automatisk afvisning af en online kreditansøgning eller online rekrutteringspraksis uden menneskelig indgriben. Sådan behandling omfatter "profilering", som består af enhver form for automatiseret behandling af personoplysninger for at vurdere personlige aspekter om en fysisk person, især at analysere eller forudsige aspekter af jobpræstation, den økonomiske situation, sundhed, personlige præferencer eller interesser, pålidelighed eller adfærd, den registreredes placering eller bevægelser, i det omfang, det fremkalder retsvirkninger over for den pågældende eller i væsentlig grad påvirker denne på tilsvarende måde. Imidlertid, træffe en beslutning på baggrund af denne behandling, herunder profilering, bør tillades, når det udtrykkeligt er fastsat i EU- eller medlemsstatslovgivningen, som den registeransvarlige er underlagt, blandt andet med det formål at overvåge og forebygge svig og skatteunddragelse i overensstemmelse med reglerne, standarder og anbefalinger fra EU-institutioner eller nationale tilsynsorganer og for at sikre sikkerheden og pålideligheden af ​​den service, der leveres af den registeransvarlige, eller når det er nødvendigt for indgåelse eller opfyldelse af en kontrakt mellem en registreret og en dataansvarlig, eller når den registrerede har givet sit udtrykkelige samtykke. I hvert tilfælde, sådan behandling bør være underlagt passende sikkerhedsforanstaltninger, som bør omfatte specifikke oplysninger om den registrerede og retten til at sikre menneskelig indgriben, retten til at udtrykke sin mening, retten til at modtage en begrundelse for den beslutning, der er truffet i forbindelse med denne vurdering, og retten til at anfægte beslutningen. Den pågældende foranstaltning bør ikke vedrøre et barn.

For at sikre fair og gennemsigtig behandling i forhold til den registrerede, under hensyntagen til de konkrete forhold og den sammenhæng, hvori behandlingen af ​​personoplysninger finder sted, den registeransvarlige bør anvende passende matematiske eller statistiske procedurer til at kompilere profilen, at gennemføre tekniske og organisatoriske foranstaltninger, at rette op på de faktorer, der fører til unøjagtigheder i persondata og for at minimere risikoen for fejl, gøre personoplysninger sikre på en måde, der tager højde for potentielle risici forbundet med den registreredes interesser og rettigheder og på en måde, der forhindrer, inklusive, virkningerne af forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, af politiske holdninger, af religion eller tro, deltagelse i fagforeninger, genetisk tilstand eller helbredstilstand eller genetisk disposition, eller foranstaltninger med tilsvarende virkning. Automatiseret beslutningstagning og profilering baseret på specifikke kategorier af personoplysninger bør kun tillades under særlige forhold.

Profilering er underlagt reglerne i denne forordning om behandling af personoplysninger, såsom juridiske grundlag for behandling eller databeskyttelsesprincipper. i denne sammenhæng, det europæiske databeskyttelsesråd oprettet ved denne forordning ("Databeskyttelsesrådet") skal kunne give anvisninger.

Begrænsninger af visse grundlæggende principper og informationsrettigheder kan pålægges af EU- eller medlemsstatslovgivningen, adgang og rettelse eller sletning af personoplysninger, til retten til dataportabilitet, til retten til at gøre indsigelse, i beslutninger baseret på profilering, samt i meddelelsen om et brud på persondatasikkerheden til den registrerede og i visse relaterede forpligtelser for de registeransvarlige, i det omfang, de er nødvendige og forholdsmæssige i et demokratisk samfund for at sikre den offentlige sikkerhed, herunder beskyttelse af menneskeliv i særdeleshed i tilfælde af naturkatastrofer eller menneskeskabte katastrofer, af forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder sikring mod og forebyggelse af trusler mod den offentlige sikkerhed eller brud på etik i regulerede erhverv, andre vigtige formål af almen offentlig interesse for Unionen eller en medlemsstat, især af væsentlige økonomiske eller finansielle interesser for Unionen eller en medlemsstat, opretholdelse af offentlige registre af hensyn til almen interesse, den videre behandling af arkiverede personoplysninger for at give specifik information om politisk adfærd i tidligere autoritære regimer eller for at beskytte den registrerede eller tredjemands rettigheder og friheder, herunder social beskyttelse, folkesundhed og humanitære formål. Disse begrænsninger bør være i overensstemmelse med kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

Den dataansvarliges ansvar og skadesløsholdelse bør etableres for enhver behandling af personoplysninger udført af den dataansvarlige eller på vegne af den dataansvarlige. især, den registeransvarlige bør være forpligtet til at gennemføre passende og effektive foranstaltninger og være i stand til at påvise, at behandlingsaktiviteterne er i overensstemmelse med denne forordning, herunder foranstaltningernes effektivitet. Sådanne foranstaltninger bør tage hensyn til arten, rammen, omfanget og formålene med behandlingen og risikoen for fysiske personers rettigheder og frihedsrettigheder.

Den Europæiske Unions Tidende

75. (75) Risiciene for fysiske personers rettigheder og friheder, af varierende sandsynlighed og sværhedsgrad, kan opstå fra behandling af personoplysninger, som kan føre til fysisk, materiel eller ikke-materiel skade, især hvor behandlingen kan føre til forskelsbehandling, identitetstyveri eller misbrug, økonomisk tab, skade på omdømmet, tab af fortrolighed af personlige data beskyttet af tavshedspligt, ulovlig fjernelse af pseudonymisering, eller enhver anden væsentlig økonomisk eller social ulempe, når registrerede kan fratages deres rettigheder og friheder eller forhindres i at udøve kontrol over deres personlige data, når personoplysninger, der afslører racemæssig eller etnisk oprindelse, behandles, politiske meninger, religion eller filosofisk overbevisning eller fagforeningsmedlemskab og genetiske data behandles, data vedrørende sundhed eller data vedrørende sexliv eller straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger, når personlige aspekter vurderes, især når man forsøger at analysere eller forudsige aspekter af jobpræstation, den økonomiske situation, sundhed, personlige præferencer eller interesser, pålidelighed eller adfærd, placering eller bevægelser, for at oprette eller bruge personlige profiler ved behandling af personlige data om sårbare fysiske personer, især børn, eller hvor behandlingen involverer en stor mængde personoplysninger og påvirker et stort antal registrerede.
76. (76) Sandsynligheden for og alvoren af ​​risikoen for den registreredes rettigheder og friheder bør bestemmes i forhold til arten, omfanget, konteksten og formålene med behandlingen. Risikoen bør vurderes ud fra en objektiv vurdering, hvorved det fastslås, om databehandlingen indebærer en risiko eller en høj risiko.
77. (77) Vejledning om implementering af passende foranstaltninger og demonstration af overholdelse af den dataansvarlige og databehandleren, især med hensyn til identifikation af de risici, der er forbundet med behandlingen, deres vurdering med hensyn til oprindelse, natur, sandsynlighed og sværhedsgrad og identifikation af bedste praksis til at mindske risici kunne tilvejebringes især af godkendte adfærdskodekser, godkendte certificeringer, retningslinjer givet af Datatilsynet eller med instruktioner fra en databeskyttelsesrådgiver. Datatilsynet kan også udstede retningslinjer om behandlinger, der anses for usandsynlige at medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, hvori det vil fremgå, hvilke foranstaltninger der i dette tilfælde kan være tilstrækkelige til at håndtere den relevante risiko.
78. (78) Beskyttelsen af ​​fysiske personers rettigheder og friheder mod behandling af personoplysninger kræver vedtagelse af passende tekniske og organisatoriske foranstaltninger for at sikre, at kravene i denne forordning opfyldes. For at kunne påvise overholdelse af denne forordning, den registeransvarlige bør etablere interne politikker og implementere foranstaltninger, der specifikt reagerer på principperne om databeskyttelse ved design og som standard. Sådanne foranstaltninger kunne omfatte;, inklusive, minimere behandlingen af ​​personoplysninger, pseudonymisering af personoplysninger så hurtigt som muligt, gennemsigtighed vedrørende driften og behandlingen af ​​personoplysninger, så den registrerede kan overvåge databehandlingen, og den dataansvarlige er i stand til at skabe og forbedre sikkerhedsfunktioner. Under udvikling, designet, udvælgelse og brug af applikationer;, tjenester og produkter baseret på behandling af personoplysninger eller behandling af personoplysninger til udførelsen af ​​deres arbejde, producenterne af produkter, tjenester og applikationer bør tilskyndes til at tage hensyn til retten til databeskyttelse, i udvikling og design af sådanne produkter, tjenester og applikationer, for at, under hensyntagen til den seneste udvikling, at sikre, at dataansvarlige og databehandlere er i stand til at opfylde deres databeskyttelsesforpligtelser. Principperne for databeskyttelse ved design og som standard bør også tages i betragtning i forbindelse med offentlige udbud.
79. (79) Beskyttelse af de registreredes rettigheder og friheder, samt dataansvarliges og databehandleres ansvar og skadesløsholdelse, i forhold til tilsynsovervågning og tilsynsforanstaltninger, forudsætter en klar ansvarsfordeling i henhold til denne forordning, herunder hvor en dataansvarlig bestemmer formålene med og midlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsoperation udføres på vegne af en dataansvarlig.
80. (80) Hvis en dataansvarlig eller databehandler, der ikke er etableret i Unionen, behandler personoplysninger om subjekter, der befinder sig i Unionen og udfører behandlingsaktiviteter i forbindelse med udbud af varer eller tjenesteydelser, om der kræves betaling fra faget eller ej, til disse undersåtter i Unionen eller ved at overvåge deres adfærd i det omfang, deres adfærd finder sted i Unionen, den dataansvarlige eller databehandleren bør udpege en repræsentant, medmindre behandlingen er lejlighedsvis, omfatter ikke behandling, i stor skala, personoplysninger eller behandling af personoplysninger relateret til straffedomme og lovovertrædelser og sandsynligvis ikke vil føre til en risiko for fysiske personers rettigheder og friheder, hvis omfang tages i betragtning, rammen, arten og formålene med behandlingen, eller om den dataansvarlige er en offentlig myndighed eller et offentligt organ. Repræsentanten bør handle på vegne af den dataansvarlige eller databehandler og kan kontaktes af enhver tilsynsmyndighed. Repræsentanten bør udtrykkeligt udpeges af

L 119/16

Den Europæiske Unions Tidende 4.5.2016

(81)

en skriftlig instruktion fra den dataansvarlige eller databehandler om at handle på deres vegne i forhold til deres forpligtelser i henhold til denne forordning. Udnævnelsen af ​​en sådan repræsentant påvirker ikke den dataansvarliges eller databehandlerens ansvar eller ansvarlighed i henhold til denne forordning. Denne repræsentant bør udføre sine opgaver i overensstemmelse med mandatet modtaget fra den dataansvarlige eller databehandleren, blandt andet at samarbejde med de kompetente tilsynsmyndigheder om eventuelle foranstaltninger, der træffes for at sikre overholdelse af denne forordning. Den udpegede repræsentant bør være underlagt håndhævelsesprocedurer i tilfælde af manglende overholdelse af den dataansvarlige eller databehandler.

For at sikre overholdelse af kravene i denne forordning vedrørende den behandling, der skal udføres af databehandleren, på vegne af den registeransvarlige, når behandlingsaktiviteter udliciteres til databehandlere, den dataansvarlige bør kun bruge databehandlere, der giver tilstrækkelige forsikringer, især med hensyn til ekspertise, pålidelighed og ressourcer, til gennemførelse af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder dem, der vedrører behandlingssikkerhed. Databehandlerens overholdelse af en godkendt adfærdskodeks eller godkendt certificeringsmekanisme kan bruges som bevis for at påvise overholdelse af den dataansvarliges forpligtelser. Behandlernes udførelse af behandling bør være underlagt en kontrakt eller anden retlig handling, baseret på EU-retten eller medlemsstaternes lovgivning, som forbinder processoren med controlleren, hvori genstanden og varigheden af ​​behandlingen er specificeret, arten og formålene med behandlingen;, typen af ​​personoplysninger og kategorierne af registrerede, under hensyntagen til databehandlerens specifikke opgaver og ansvar i forbindelse med den behandling, der skal udføres, og risikoen for de registreredes rettigheder og friheder. Den registeransvarlige og databehandleren kan vælge at bruge en individuel kontrakt eller standardkontraktklausuler, som enten er blevet godkendt direkte af Kommissionen eller af en tilsynsmyndighed under sammenhængsmekanismen og efterfølgende godkendt af Kommissionen. Efter at have afsluttet behandlingen på vegne af den registeransvarlige, processoren skal, afhængig af controllerens valg, at returnere eller slette personlige data, medmindre det er påkrævet at opbevare personoplysningerne i overensstemmelse med EU-retten eller lovgivningen i en medlemsstat, som databehandleren er underlagt.

For at kunne påvise overholdelse af denne forordning, den dataansvarlige eller databehandleren bør føre optegnelser over behandlingsaktiviteterne under deres ansvar. Enhver registeransvarlig og enhver databehandler bør være forpligtet til at samarbejde med tilsynsmyndigheden og stille den til rådighed, på hendes anmodning, de pågældende filer, så den kan bruge dem til at overvåge de specifikke behandlingsoperationer.

For at opretholde sikkerheden og undgå behandling i strid med denne forordning, den dataansvarlige eller databehandleren bør vurdere de risici, der er involveret i behandlingen og implementere foranstaltninger til at afbøde disse risici, såsom gennem kryptering. Disse foranstaltninger bør sikre et passende sikkerhedsniveau, som omfatter fortrolighed, under hensyntagen til den seneste udvikling og implementeringsomkostninger i forhold til risici og arten af ​​de persondata, der skal beskyttes. Ved vurderingen af ​​datasikkerhedsrisikoen bør man være opmærksom på de risici, der opstår ved behandling af personoplysninger, såsom utilsigtet eller ulovlig ødelæggelse, tab, lave om, uautoriseret videregivelse eller adgang til overførte personlige data, opbevares eller indsendes af’ ellers behandlet, hvilket kunne føre til fysisk, materiel eller ikke-materiel skade.

For at forbedre overholdelsen af ​​denne forordning, hvor behandlinger kan resultere i en høj risiko for fysiske personers rettigheder og friheder, den registeransvarlige bør være ansvarlig for at udføre en konsekvensanalyse for databeskyttelse, at vurdere, Især, oprindelsen, natur, sandsynligheden for og alvoren af ​​denne risiko. Resultatet af vurderingen bør tages i betragtning, når det bestemmes, hvilke foranstaltninger der skal træffes for at påvise, at behandlingen af ​​personoplysninger er i overensstemmelse med denne forordning. Hvis konsekvensanalysen for databeskyttelse indikerer, at behandlingsoperationerne indebærer en høj risiko for, at den dataansvarlige ikke kan afbøde med passende foranstaltninger med hensyn til tilgængelig teknologi og implementeringsomkostninger, kontrolmyndigheden bør høres inden behandlingen.

Brud på personoplysninger kan, hvis den ikke behandles korrekt og hurtigt, at resultere i fysisk, materiel eller ikke-materiel skade på fysiske personer, såsom at miste kontrollen over deres personlige data eller begrænse deres rettigheder, forskelsbehandling, identitetstyveri eller misbrug, økonomisk tab, ulovlig fjernelse af pseudonymisering, skade på omdømmet, tab af fortrolighed af personoplysninger beskyttet af tavshedspligt eller anden væsentlig økonomisk eller social ulempe for den pågældende fysiske person. følgelig, så snart controlleren

Den Europæiske Unions Tidende

bliver opmærksom på et brud på persondatasikkerheden, skal straks og, hvis det er muligt, inden for 72 timer fra det øjeblik, han bliver opmærksom på begivenheden, at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, medmindre den registeransvarlige kan demonstrere, efter princippet om ansvarlighed, at brud på personoplysninger ikke må udgøre en risiko for fysiske personers rettigheder og frihedsrettigheder. Hvis en sådan meddelelse ikke kan gennemføres inden for 72 timer, underretningen bør ledsages af en begrundelse med angivelse af årsagerne til forsinkelsen, og oplysningerne kan gives gradvist uden unødig forsinkelse.

86. (86) Den dataansvarlige skal straks underrette den registrerede om et brud på persondatasikkerheden, når dette brud på personoplysninger sandsynligvis vil resultere i en høj risiko for den fysiske persons rettigheder og friheder, for at sætte ham i stand til at tage de nødvendige forholdsregler. Meddelelsen bør beskrive karakteren af ​​bruddet på persondatasikkerheden og indeholde anbefalinger til den pågældende fysiske person for at afbøde potentielle negative konsekvenser. Disse meddelelser til de registrerede bør ske så hurtigt som muligt, i tæt samarbejde med revisionsmyndigheden, efter vejledning fra den eller andre relevante myndigheder, såsom retshåndhævelse. For eksempel, behovet for at mindske en umiddelbar risiko for skade vil kræve øjeblikkelig underretning til de registrerede, mens behovet for at implementere passende foranstaltninger mod vedvarende eller lignende brud på personoplysninger kan begrunde mere tid til underretning.
87. (87) Det bør verificeres, om alle passende teknologiske beskyttelsesforanstaltninger og organisatoriske foranstaltninger er blevet indført for straks at opdage ethvert brud på personoplysninger og straks at informere tilsynsmyndigheden og den registrerede. Det bør fastslås, at underretningen er sket uden unødig forsinkelse, under hensyntagen til særligt karakteren og alvoren af ​​bruddet på persondatasikkerheden, samt dets konsekvenser og negative resultater for den registrerede. Denne videregivelse kan føre til indgreb fra tilsynsmyndigheden, i overensstemmelse med sine pligter og beføjelser fastsat i denne forordning.
88. (88) Ved fastsættelse af detaljerede regler om formatet og procedurerne for anmeldelse af brud på persondatasikkerheden, Der skal tages behørigt hensyn til omstændighederne ved den pågældende overtrædelse, herunder om personoplysningerne var beskyttet af passende tekniske beskyttelsesforanstaltninger, effektivt at reducere risikoen for identitetstyveri eller andre former for misbrug. desuden, sådanne regler og procedurer bør tage hensyn til de retshåndhævende myndigheders legitime interesser, når en tidlig offentliggørelse urimeligt kan hæmme undersøgelsen af ​​omstændighederne ved et brud på persondatasikkerheden.
89. (89) Direktiv 95/46/EF fastsatte en generel forpligtelse til at underrette tilsynsmyndighederne om behandling af personoplysninger. Selvom denne forpligtelse indebærer en administrativ og økonomisk byrde, har ikke i alle tilfælde bidraget til at forbedre beskyttelsen af ​​personoplysninger. Derfor, generelle forpligtelser i forbindelse med en sådan offentliggørelse, uden forskelle, bør afskaffes og erstattes af effektive procedurer og mekanismer, der fokuserer på de typer behandlingsoperationer, der sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og frihedsrettigheder på grund af arten, af omfanget, deres kontekst og formål. Disse typer behandlingshandlinger kan være dem, der, Især, involverer brug af nye teknologier, eller som er af en ny type, og hvor der ikke tidligere er foretaget en databeskyttelseskonsekvensvurdering af den dataansvarlige, eller når de bliver nødvendige på grund af den tid, der er gået siden den første behandling.
90. (90) I disse tilfælde, controlleren, før behandling, bør foretage en konsekvensanalyse af databeskyttelse, at vurdere den særlige sandsynlighed for og alvoren af ​​den høje risiko, naturen taget i betragtning, omfanget, sammenhængen og formålene med behandlingen og kilderne til risiko. Denne konsekvensanalyse bør omfatte, Især, de foreskrevne foranstaltninger, sikkerhedsforanstaltninger og mekanismer, der mindsker denne risiko, sikre beskyttelsen af ​​personoplysninger og påvise overholdelse af denne forordning.
91. (91) Dette bør især gælde for behandlinger i stor skala, der har til formål at behandle en betydelig mængde personoplysninger i en region, nationalt eller overnationalt niveau, som kan påvirke et stort antal registrerede, og som sandsynligvis vil resultere i høj risiko, for eksempel på grund af deres følsomhed, når en ny teknologi i henhold til eksisterende teknologisk viden anvendes i stor skala, samt for andre behandlinger, der medfører en høj risiko for de registreredes rettigheder og friheder, især når disse handlinger gør det vanskeligt at udøve de registreredes rettigheder. Der bør også foretages en databeskyttelseskonsekvensvurdering, hvor personoplysninger behandles med henblik på beslutningstagning i forhold til specifikke fysiske personer efter en systematisk og omfattende vurdering af personlige aspekter vedrørende fysiske personer baseret på uddannelse

Den Europæiske Unions Tidende

profiler baseret på nævnte data eller efter behandlingen af ​​specifikke kategorier af personoplysninger, biometriske data eller data vedrørende straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger. En databeskyttelseskonsekvensvurdering er også påkrævet for storstilet overvågning af offentligt tilgængelige rum, især når der anvendes optoelektroniske enheder eller til andre opgaver, når den kompetente tilsynsmyndighed mener, at behandlingen kan medføre en høj risiko for de registreredes rettigheder og friheder, især fordi det forhindrer registrerede i at udøve en rettighed eller bruge en tjeneste eller kontrakt, eller fordi det systematisk udføres i stor skala. Behandlingen af ​​personoplysninger bør ikke anses for at være storstilet, hvis behandlingen vedrører personoplysninger om patienter eller klienter hos en privatpraktiserende læge, en anden sundhedsprofessionel eller advokat. I disse tilfælde, konsekvensanalysen for databeskyttelse bør ikke være obligatorisk.

Der er tilfælde, hvor det kan være rimeligt og omkostningseffektivt, at omfanget af en databeskyttelseskonsekvensanalyse går ud over et enkelt projekt, for eksempel hvis offentlige myndigheder eller organer har til hensigt at etablere en fælles ansøgnings- eller behandlingsplatform, eller hvis flere registeransvarlige planlægger at etablere et fælles ansøgnings- eller behandlingsmiljø i en industrisektor eller sektor eller for en udbredt horisontal aktivitet.

I forbindelse med udstedelsen af ​​lovgivningen i en medlemsstat, som udøvelsen af ​​den offentlige myndigheds eller det offentlige organs opgaver er baseret på, og som regulerer den specifikke handling eller række af behandlingshandlinger, Medlemsstaterne kan finde det nødvendigt at foretage en sådan vurdering forud for behandlingsaktiviteter.

Hvis konsekvensanalysen for databeskyttelse indikerer, at behandlingen, uden sikkerhedsforanstaltninger, sikkerhedsforanstaltninger og mekanismer til at mindske risikoen, ville medføre en høj risiko for fysiske personers rettigheder og friheder, og den registeransvarlige er af den opfattelse, at risikoen ikke kan afbødes med rimelige foranstaltninger med hensyn til tilgængelig teknologi og implementeringsomkostninger, tilsynsmyndigheden bør høres, før behandlingsaktiviteter påbegyndes. Denne høje risiko vil sandsynligvis opstå fra visse former for behandling og en vis grad og hyppighed af behandling, selv resulterer i skade eller indgreb i den fysiske persons rettigheder og friheder. Tilsynsmyndigheden bør besvare anmodningen om høring inden for en vis frist. Imidlertid, fraværet af en reaktion fra tilsynsmyndigheden inden for denne frist bør ikke være til hinder for tilsynsmyndighedens indgreb, i overensstemmelse med sine pligter og beføjelser fastsat i denne forordning, herunder beføjelsen til at forbyde behandlingsoperationer. Som en del af denne høringsproces, resultatet af den databeskyttelseskonsekvensvurdering, der er foretaget i relation til den pågældende behandling, kan forelægges tilsynsmyndigheden, især de påtænkte foranstaltninger for at mindske risikoen for fysiske personers rettigheder og friheder.

Databehandleren skal yde bistand til den dataansvarlige, efter behov og efter at være blevet spurgt, at sikre overholdelse af forpligtelser, der opstår ved at udføre databeskyttelseskonsekvensvurderinger og forudgående høring af tilsynsmyndigheden.

Tilsynsmyndigheden bør også høres, når der udarbejdes en lov- eller reguleringsforanstaltning, der omhandler behandling af personoplysninger, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning og, Især, for at mindske risici for den registrerede.

Hvis behandlingen foretages af en offentlig myndighed, ekskluderer domstole eller uafhængige retslige myndigheder, når de handler inden for deres jurisdiktion, forudsat at, i den private sektor, behandlingen udføres af en dataansvarlig, hvis kerneaktiviteter omfatter behandlinger, der kræver regelmæssig og systematisk overvågning af registrerede i stor skala, eller hvis den dataansvarliges eller databehandlers hovedaktiviteter er storstilet behandling af særlige kategorier af personoplysninger og data vedrørende straffedomme og lovovertrædelser.,

Den Europæiske Unions Tidende

en person med specifik viden om databeskyttelseslovgivning og -praksis bør bistå den dataansvarlige eller databehandler med at overvåge intern overholdelse af denne forordning. I den private sektor, en dataansvarligs kerneaktiviteter vedrører dennes hovedaktiviteter og ikke behandling af personoplysninger som en accessorisk aktivitet. Det nødvendige erfaringsniveau bør bestemmes, især i forhold til de udførte databehandlinger og den beskyttelse, der kræves af de personoplysninger, der behandles af den dataansvarlige eller databehandleren. Disse databeskyttelsesansvarlige, uanset om de er ansatte hos den registeransvarlige, de bør være i stand til at udføre deres pligter og ansvar på en uafhængig måde.

98. (98) Sammenslutninger eller andre organer, der repræsenterer kategorier af registeransvarlige eller databehandlere, bør tilskyndes til at udarbejde adfærdskodekser, inden for rammerne af denne forordning, for at lette den effektive gennemførelse af denne forordning, under hensyntagen til de særlige karakteristika ved den forarbejdning, der udføres i visse sektorer, og de særlige behov hos meget små, af små og mellemstore virksomheder. især, sådanne adfærdskodekser kunne regulere dataansvarliges og databehandleres forpligtelser, under hensyntagen til den risiko, der kunne opstå ved behandlingen for fysiske personers rettigheder og frihedsrettigheder.
99. (99) Ved udarbejdelse af en adfærdskodeks eller ved ændring eller udvidelse af en sådan kodeks, sammenslutninger og andre organer, der repræsenterer kategorier af registeransvarlige eller databehandlere, bør rådføre sig med interesserede parter, blandt andet med registrerede, hvor det er muligt, og at tage hensyn til eventuelle kommentarer og synspunkter, der er givet udtryk for i forbindelse med disse høringer.
100. (100) For at forbedre gennemsigtigheden og overholdelse af denne forordning, certificeringsmekanismer og databeskyttelsesmærker og -mærker bør fremmes, gør det muligt for registrerede hurtigt at vurdere niveauet af databeskyttelse for relevante produkter og tjenester.
101. (101) Strømme af personoplysninger til og fra lande uden for Unionen og internationale organisationer er nødvendige for at udvide international handel og internationalt samarbejde. Væksten i disse strømme skabte nye udfordringer og spørgsmål vedrørende beskyttelse af personoplysninger. Imidlertid, når personoplysninger overføres af Unionen til registeransvarlige, forarbejdningsvirksomheder eller andre modtagere i tredjelande eller internationale organisationer, beskyttelsesniveauet for fysiske personer, der sikres i Unionen ved denne forordning, bør ikke undermineres, blandt andet i sager om yderligere overførsler af personoplysninger fra tredjelandet eller den internationale organisation til dataansvarlige og databehandlere i samme eller et andet tredjeland eller anden international organisation. I hvert tilfælde, overførsler til tredjelande og internationale organisationer må kun foretages i fuld overensstemmelse med denne forordning. Transmission kunne kun finde sted hvis, uden at dette berører de øvrige bestemmelser i denne forordning, den dataansvarlige eller databehandleren overholder betingelserne i bestemmelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer.
102. (102) Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande, som regulerer videregivelsen af ​​personoplysninger og giver passende beskyttelsesforanstaltninger for registrerede. Medlemsstaterne kan indgå internationale aftaler, der giver mulighed for overførsel af personoplysninger til tredjelande eller internationale organisationer, i det omfang sådanne aftaler ikke påvirker bestemmelserne i denne forordning eller andre bestemmelser i EU-retten og omfatter et passende beskyttelsesniveau for de registreredes grundlæggende rettigheder.
103. (103) Kommissionen kan beslutte, med kraft for hele Unionen, dette tredjeland, territorium eller specifik sektor i et tredjeland eller en international organisation tilbyder et passende databeskyttelsesniveau og garanterer dermed retssikkerhed og ensartethed i hele Unionen i forhold til det tredjeland eller den internationale organisation, der anses for at yde et sådant beskyttelsesniveau. I disse tilfælde, overførsler af personoplysninger til det pågældende tredjeland eller internationale organisation kan finde sted uden behov for at søge yderligere tilladelse. Kommissionen kan også beslutte at tilbagekalde nævnte beslutning, efter meddelelse og begrundelse til tredjelandet eller den internationale organisation.
104. (104) I overensstemmelse med Unionens grundlæggende principper, især med beskyttelse af menneskerettighederne, Kommissionen bør, ved vurdering af tredjelandet eller et territorium eller en specifik sektor i et tredjeland, at overveje, om et bestemt tredjeland respekterer retsstatsprincippet, adgang til retfærdighed, samt de internationale normer og standarder for menneskerettigheder og dens generelle og sektorielle retfærdighed, blandt andet lovgivningen om offentlig sikkerhed, forsvar og national sikkerhed, samt offentlig orden og strafferet. Udstedelse af en beslutning om tilstrækkelighed for et område eller en specifik sektor i et tredjeland bør

Den Europæiske Unions Tidende

tager højde for klare og objektive kriterier, såsom specifikke behandlingsaktiviteter og omfanget af gældende juridiske standarder og gældende lovgivning i tredjelandet. Tredjelandet bør tilbyde garantier, der sikrer et passende beskyttelsesniveau, stort set svarende til det, der sikres inden for Unionen, særligt når behandlingen af ​​personoplysninger foregår på et eller flere specifikke områder. især, tredjelandet bør sikre et effektivt uafhængigt databeskyttelsestilsyn og tilvejebringe mekanismer for samarbejde med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede bør have effektive og juridisk stærke rettigheder til deres rådighed, samt muligheden for effektive administrative og retslige klagesager.

Ud over de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, Kommissionen bør tage hensyn til de forpligtelser, der følger af tredjelandets eller den internationale organisations deltagelse i multilaterale eller regionale systemer, især i forhold til beskyttelse af personoplysninger, samt gennemførelsen af ​​sådanne forpligtelser. Den skal, Især, at tage hensyn til tredjelandets tiltrædelse af Europarådets konvention af 28. januar 1981 til beskyttelse af fysiske personer mod automatisk behandling af personoplysninger og i dens tillægsprotokol. Kommissionen bør høre Databeskyttelsesrådet, når den vurderer beskyttelsesniveauet i tredjelande eller internationale organisationer.

Kommissionen bør overvåge gennemførelsen af ​​beslutninger om beskyttelsesniveauet i et tredjeland, territorium eller specifik sektor i et tredjeland eller i en international organisation og til at overvåge gennemførelsen af ​​de afgørelser, der er truffet i henhold til artiklen 25 afsnit 6 eller af artiklen 26 afsnit 4 i direktiv 95/46/EF. I tilstrækkelighedsbeslutninger, Kommissionen bør tilvejebringe en mekanisme til periodisk revision af deres funktion. Denne periodiske gennemgang bør foretages i samråd med det relevante tredjeland eller den internationale organisation og tage hensyn til al relevant udvikling i tredjelandet eller den internationale organisation. Med det formål at overvåge og udføre periodiske undersøgelser, Kommissionen bør tage hensyn til Europa-Parlamentets og Rådets udtalelser og konklusioner, samt andre relevante instanser og kilder. Kommissionen bør evaluere, inden for rimelig tid, gennemførelsen af ​​de seneste afgørelser og at rapportere alle relevante resultater til udvalget i henhold til forordningen (EU) ingen. 182/2011 af Europa-Parlamentet og Rådet (1), som konstitueret i henhold til denne forordning, i Europa-Parlamentet og Rådet.

Kommissionen kan bestemme, at et tredjeland,territorium, specifik sektor, et tredjeland eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Derfor, overførsel af personoplysninger til det pågældende tredjeland eller internationale organisation bør forbydes, medmindre kravene i denne forordning vedrørende overførsler underlagt passende garantier er opfyldt, herunder bindende virksomhedsregler, og om undtagelser til særlige situationer. I dette tilfælde, Der bør være mulighed for konsultationer mellem Kommissionen og de berørte tredjelande eller internationale organisationer. Kommissionen bør, i rette tid, informere tredjelandet eller den internationale organisation om årsagerne og indlede konsultationer for at løse situationen.

I mangel af en beslutning om tilstrækkelighed, den dataansvarlige eller databehandleren bør træffe foranstaltninger til at kompensere for den manglende databeskyttelse i tredjelandet gennem passende garantier til fordel for den registrerede. Disse passende sikkerhedsforanstaltninger kan bestå i brugen af ​​bindende virksomhedsregler, standarddatabeskyttelsesklausuler fastsat af Kommissionen, standarddatabeskyttelsesklausuler fastsat af en tilsynsmyndighed eller kontraktlige klausuler godkendt af en tilsynsmyndighed. Disse sikkerhedsforanstaltninger bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder, i lyset af behandlingen i Unionen, herunder tilgængeligheden af ​​juridisk håndhævede rettigheder for registrerede og effektive retsmidler, såsom blandt andet retten til at udøve en effektiv administrativ eller retslig klage og til at kræve erstatning, i Unionen eller i et tredjeland. De bør især vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne for databeskyttelse, der allerede er designmæssigt og pr. definition. Overførsler kan også foretages af offentlige myndigheder eller organer med offentlige myndigheder eller organer i tredjelande eller med internationale organisationer med tilsvarende opgaver eller ansvar, blandt andet baseret på bestemmelser, der skal indarbejdes i administrative bestemmelser, som i et aftalememorandum, hvor der gives effektive og juridisk bindende rettigheder for registrerede. Tilladelse fra den kompetente tilsynsmyndighed bør indhentes, hvis garantierne er fastsat i ikke-retligt bindende administrative ordninger.

Den dataansvarliges eller databehandlerens mulighed for at bruge standarddatabeskyttelsesklausuler godkendt af Kommissionen eller en tilsynsmyndighed bør ikke forhindre dataansvarlige eller databehandlere i at inkorporere standarddatabeskyttelsesklausulerne i en bredere kontrakt, som i en kontrakt mellem databehandleren og en anden databehandler

Den Europæiske Unions Tidende

behandlingen, heller ikke tilføje andre klausuler eller yderligere garantier, så længe de ikke modsiger hinanden, direkte eller indirekte, standardkontraktbestemmelserne godkendt af Kommissionen eller en tilsynsmyndighed, og de påvirker heller ikke de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at yde yderligere garantier gennem kontraktlige forpligtelser, der handler ud over eksisterende databeskyttelsesklausuler.

110. (110) En gruppe af virksomheder, samt en gruppe af virksomheder, der udøver en fælles økonomisk aktivitet, bør være i stand til at gøre brug af godkendte bindende virksomhedsregler for sine internationale overførsler fra Unionen til organisationer inden for samme gruppe af virksomheder eller koncerner, der udøver en fælles økonomisk aktivitet, da de nævnte virksomhedsregler omfatter alle de grundlæggende principper og rettigheder, som modtager retsbeskyttelse, at sikre passende sikkerhedsforanstaltninger for overførsler eller kategorier af overførsler af personoplysninger.
111. (111) Der bør i visse tilfælde åbnes mulighed for overførsler, når den registrerede har givet sit udtrykkelige samtykke, hvis overdragelsen er lejlighedsvis og nødvendig i forhold til en kontrakt eller et retskrav, enten i retssager eller i administrative eller udenretslige procedurer, blandt andet i sager for tilsynsorganer. Der bør også være mulighed for overførsler, hvis væsentlige hensyn til offentlighedens interesse i henhold til unionsretten eller medlemsstaterne kræver det, eller hvis videregivelsen foretages af et register, der er oprettet ved lov, og som har til formål at indhente oplysninger fra offentligheden eller fra personer med en legitim interesse. I sidstnævnte tilfælde, en sådan videregivelse bør ikke vedrøre alle data eller hele kategorier af personoplysninger indeholdt i registret og, når registret har til formål at indhente oplysninger fra personer, der har en retlig interesse, videregivelsen bør kun ske efter anmodning fra de pågældende eller, hvis de skal være modtagere af transmissionen, under fuld hensyntagen til den registreredes interesser og grundlæggende rettigheder.
112. (112) Sådanne undtagelser bør især gælde for dataoverførsler, der er blevet anmodet om, og som er nødvendige af vigtige hensyn til offentlighedens interesse, for eksempel i tilfælde af international dataudveksling mellem konkurrencemyndigheder, skatte- eller toldmyndigheder, mellem finansielle tilsynsmyndigheder, mellem tjenester med ansvar for social sikring eller folkesundhedsspørgsmål, for eksempel i tilfælde af kontaktsporing for at opdage infektionssygdomme eller for at begrænse og/eller eliminere doping (doping) i sporten. Overførsel af personoplysninger bør også anses for lovlig, når det er nødvendigt for at beskytte en interesse, der er væsentlig for den registreredes eller en anden persons vitale interesser, blandt andet for kropslig integritet eller liv, hvis den registrerede ikke er i stand til at give samtykke. I mangel af en beslutning om tilstrækkelighed, EU-retten eller medlemsstatens lovgivning kan, af alvorlige almene hensyn, udtrykkeligt at fastsætte restriktioner for videregivelse af særlige kategorier af data til et tredjeland eller en international organisation. Medlemsstaterne bør underrette Kommissionen om disse bestemmelser. Enhver overførsel til en international humanitær organisation af personoplysninger om et individ, der ikke har den fysiske eller juridiske kapacitet til at give samtykke, som sker med det formål at opfylde en pligt i henhold til Genève-konventionerne eller med det formål at overholde international humanitær ret i væbnet konflikt, kan anses for nødvendigt af en alvorlig almen interesse, eller fordi det er rettet mod en vital interesse for den registrerede.
113. (113) Overførsler, der kan karakteriseres som ikke-gentagne, og som vedrører et begrænset antal registrerede, kan også tillades på grund af tvingende juridiske interesser, som den dataansvarlige forfølger, når den registreredes interesser eller rettigheder og frihedsrettigheder ikke tilsidesætter disse interesser, og når den dataansvarlige har vurderet alle omstændighederne omkring dataoverførslen. Den registeransvarlige bør især tage hensyn til karakteren af ​​personoplysningerne, formålet med og varigheden af ​​den eller de planlagte behandlingsoperationer, samt situationen i oprindelseslandet, i tredjelandet og i det endelige bestemmelsesland, og sørge for passende garantier til beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder med hensyn til beskyttelse af personoplysninger. Sådanne overførsler bør kun være mulige i tilfælde, hvor ingen af ​​de andre overførselsgrunde gør sig gældende. Til videnskabelige eller historiske forskningsformål eller til statistiske formål, samfundets legitime forventninger om at øge viden bør tages i betragtning. Den registeransvarlige bør informere tilsynsmyndigheden og den registrerede om overførslen.
114. (114) I hvert tilfælde, hvis Kommissionen ikke har truffet en tilstrækkelig beslutning om databeskyttelsesniveauet i et tredjeland, den dataansvarlige eller databehandleren bør finde løsninger, der giver de registrerede effektive og juridisk håndhævede rettigheder vedrørende behandlingen af ​​deres data i Unionen efter overførslen af ​​disse data, så de fortsat drager fordel af grundlæggende rettigheder og garantier.

L 119/22 (115)

Den Europæiske Unions Tidende 4.5.2016

Nogle tredjelande vedtager love, forordninger og andre retsakter, der sigter mod direkte at regulere fysiske og juridiske personers behandlingsaktiviteter under medlemsstaternes jurisdiktion. Dette kan omfatte retsafgørelser eller afgørelser truffet af administrative myndigheder i tredjelande, som kræver, at en dataansvarlig eller databehandler overfører eller videregiver personoplysninger, og som ikke er baseret på en international aftale, som f.eks. en gældende aftale om gensidig juridisk bistand mellem det anmodende tredjeland og Unionen eller en medlemsstat. Den ekstraterritoriale anvendelse af nævnte love, forordninger og andre retsakter kan krænke folkeretten og forhindre opnåelsen af ​​den beskyttelse af fysiske personer, der er garanteret i Unionen ved denne forordning. Overførsler bør kun tillades, hvis betingelserne i denne forordning for overførsel til tredjelande er opfyldt. Dette kan ske, inklusive, hvis videregivelsen er nødvendig af en vigtig grund af almen interesse, som er anerkendt i unionsretten eller i en medlemsstat, som den registeransvarlige tilhører.

Den grænseoverskridende udveksling af personoplysninger uden for Unionen udgør potentielt en større risiko for fysiske personers mulighed for at udøve databeskyttelsesrettigheder, især for at beskytte sig selv mod ulovlig brug eller videregivelse af disse oplysninger. På samme tid, tilsynsmyndigheder kan være ude af stand til at følge op på klager eller foretage undersøgelser af aktiviteter uden for deres grænser. Deres indsats for at samarbejde i en grænseoverskridende sammenhæng kan også blive hæmmet af utilstrækkelige forebyggende eller afhjælpende beføjelser, fra modstridende juridiske regimer og fra praktiske forhindringer, såsom mangel på ressourcer. Derfor, der er behov for at fremme tættere samarbejde mellem databeskyttelsestilsynsmyndigheder, så de bliver lettere at udveksle oplysninger og foretage undersøgelser med deres internationale modparter. At udvikle internationale samarbejdsmekanismer for at lette og yde international gensidig bistand i gennemførelsen af ​​persondatabeskyttelseslovgivningen, Kommissionen og tilsynsmyndighederne bør udveksle oplysninger og samarbejde om aktiviteter i forbindelse med udøvelsen af ​​deres beføjelser med de kompetente myndigheder i tredjelande, på grundlag af princippet om gensidighed og i overensstemmelse med denne forordning;

Oprettelse af tilsynsmyndigheder i medlemsstaterne, bemyndiget til at udføre deres opgaver og udøve deres beføjelser med fuldstændig uafhængighed, er en væsentlig komponent i beskyttelsen af ​​fysiske personer mod behandling af deres personoplysninger. Medlemsstaterne bør kunne oprette flere tilsynsmyndigheder, afhængig af forfatningen, deres organisatoriske og administrative struktur.

Tilsynsmyndighedernes uafhængighed bør ikke betyde, at tilsynsmyndighederne ikke kan være underlagt kontrol- eller overvågningsmekanismer med hensyn til deres finansielle udgifter eller for domstolskontrol.

Når en medlemsstat opretter flere tilsynsmyndigheder, det bør etablere mekanismer ved lov, for at sikre disse tilsynsmyndigheders effektive deltagelse i sammenhængsmekanismen. Den specifikke medlemsstat bør definere, Især, tilsynsmyndigheden, som er det eneste kontaktpunkt for de nævnte myndigheders effektive deltagelse i mekanismen, at sikre et hurtigt og velordnet samarbejde med andre tilsynsmyndigheder, Databeskyttelsesrådet og Kommissionen.

Hver tilsynsmyndighed bør have finansielle og menneskelige ressourcer, de faciliteter og infrastrukturer, der er nødvendige for at kunne udføre sine opgaver effektivt, herunder dem, der vedrører gensidig bistand og samarbejde med andre tilsynsmyndigheder i hele Unionen. Hver tilsynsmyndighed bør have en separat, offentlige årlige budget, som kan udgøre en del af det samlede stats- eller nationale budget.

De generelle betingelser for medlemmet eller medlemmerne af tilsynsmyndigheden bør fastlægges ved lov i hver medlemsstat og bør indeholde, Især, at nævnte medlemmer skal udpeges, med en gennemsigtig proces, enten af ​​parlamentet, regeringen eller statsoverhovedet i medlemsstaten efter forslag fra regeringen, medlem af regeringen, af parlamentet eller en del af parlamentet, eller af et uafhængigt organ, der er pålagt til dette formål i henhold til medlemslandenes lovgivning. For at sikre tilsynsmyndighedernes uafhængighed, medlemmet eller medlemmerne bør handle med integritet, at afholde sig fra enhver handling, der er uforenelig med deres pligter og, i deres embedsperiode, de bør ikke udøve noget uforeneligt erhverv, rentabelt eller ej. Tilsynsmyndigheden bør have sit eget personale, som er udvalgt af tilsynsmyndigheden eller af et uafhængigt organ oprettet i overensstemmelse med lovgivningen i en medlemsstat, og udelukkende være under ledelse af medlemmet eller medlemmerne af tilsynsmyndigheden.

Hver tilsynsmyndighed bør være kompetent, på den medlemsstats område, den tilhører, at udøve de beføjelser og udføre de opgaver, der er tildelt den i overensstemmelse med denne forordning. Dette bør især omfatte behandling i forbindelse med aktiviteterne i en virksomhed for den dataansvarlige eller databehandler på dens egen medlemsstats område, behandling af personoplysninger udført af offentlige myndigheder eller private organer, der handler i offentlighedens interesse, den behandling, der berører registrerede på dens område eller den behandling, der udføres af

Den Europæiske Unions Tidende

registeransvarlig eller databehandler, der ikke er etableret i Unionen, når den retter sig mod registrerede, der bor på dets område. Dette bør omfatte behandling af klager fra en registreret, at udføre forskning i anvendelsen af ​​denne forordning og fremme offentlighedens bevidsthed om risici, reglerne, garantierne og rettighederne i forbindelse med behandlingen af ​​personoplysninger.

123. (123) Tilsynsmyndighederne bør overvåge gennemførelsen af ​​bestemmelserne i denne forordning og bidrage til dens konsekvente anvendelse i hele Unionen, for at beskytte fysiske personer mod behandling af deres personoplysninger og for at lette den frie udveksling af personoplysninger i det indre marked. Til dette formål, tilsynsmyndighederne bør samarbejde med hinanden og med Kommissionen, uden at kræve nogen aftale mellem medlemsstaterne om at yde gensidig bistand eller et sådant samarbejde.
124. (124) Hvis behandlingen af ​​personoplysninger finder sted i forbindelse med aktiviteterne i en registeransvarligs eller databehandlers virksomhed i Unionen, og den dataansvarlige eller databehandleren er etableret i flere medlemsstater, eller når behandlingen udføres i forbindelse med aktiviteterne i eneste etablering af en registeransvarlig eller databehandler i Unionen påvirker eller kan forventes at påvirke registrerede i mere end én medlemsstat væsentligt, tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller for den dataansvarliges eller databehandlerens eneste etablering fungerer som den ledende myndighed. Den bør samarbejde med de andre berørte myndigheder, fordi den registeransvarlige eller databehandleren har en virksomhed på deres medlemsstats område, fordi registrerede, der bor på deres område, er væsentligt berørt, eller fordi der er indgivet en klage til dem. også, når en registreret, der ikke er bosat i den pågældende medlemsstat, indgiver en klage, den tilsynsmyndighed, som den er forelagt, bør også være en interesseret tilsynsmyndighed. Som en del af sin pligt til at udstede retningslinjer om ethvert spørgsmål i forbindelse med gennemførelsen af ​​denne forordning, Datatilsynet bør kunne udstede retningslinjer, især om de kriterier, der skal tages i betragtning for at vurdere, om en sådan behandling i væsentlig grad påvirker registrerede i mere end én medlemsstat, og hvad der udgør en relevant og begrundet indsigelse.
125. (125) Den ledende myndighed bør være kompetent til at træffe bindende beslutninger om foranstaltninger til gennemførelse af de beføjelser, den er tillagt i henhold til denne forordning. I sin egenskab af ledende myndighed, tilsynsmyndigheden bør sikre aktiv deltagelse og koordinering af de berørte tilsynsmyndigheder i beslutningsprocessen. Når afgørelsen afviser, helt eller delvist, den registreredes klage, denne afgørelse bør godkendes af den tilsynsmyndighed, som klagen er indgivet til.
126. (126) Beslutningen bør vedtages i fællesskab af den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder og bør rettes til den dataansvarliges eller databehandlerens hoved- eller eneste virksomhed og være bindende for den dataansvarlige og databehandleren. Den dataansvarlige eller databehandleren bør træffe de nødvendige foranstaltninger for at sikre overholdelse af denne forordning og gennemførelsen af ​​den beslutning, som den ledende tilsynsmyndighed har meddelt til den dataansvarliges eller databehandlers hovedvirksomhed i forbindelse med behandlingsaktiviteterne i Unionen.
127. (127) Enhver tilsynsmyndighed, der ikke fungerer som den ledende tilsynsmyndighed, bør være kompetent til at behandle lokale sager, hvor den registeransvarlige eller databehandleren er etableret i mere end én medlemsstat, men emnet for den specifikke behandling vedrører kun behandling udført i et enkelt medlemsland og vedrører kun registrerede i det pågældende medlemsland, for eksempel, når emnet vedrører behandling af ansattes personoplysninger i den specifikke ansættelsessammenhæng i et medlemsland. I disse tilfælde, tilsynsmyndigheden bør informere den ledende tilsynsmyndighed herom uden forsinkelse. Efter at være blevet informeret, den ledende tilsynsmyndighed bør beslutte, om den skal tage sagen op i overensstemmelse med bestemmelsen om samarbejde mellem den ledende tilsynsmyndighed og andre berørte tilsynsmyndigheder ("one stop mekanisme"), eller om sagen skal tages op lokalt af den tilsynsmyndighed, der har anmeldt den. Når der skal tages stilling til, om sagen skal tages op, den ledende tilsynsmyndighed bør tage hensyn til, om den registeransvarlige eller databehandleren er etableret i den medlemsstat, hvor den anmeldende tilsynsmyndighed befinder sig., at sikre en effektiv håndhævelse af afgørelsen over for den dataansvarlige eller databehandler. Når

Den Europæiske Unions Tidende

øverste tilsynsmyndighed beslutter at tage sagen op, den tilsynsmyndighed, der har underrettet den, bør kunne forelægge et udkast til afgørelse, som den ledende tilsynsmyndighed bør tage særligt hensyn til, når den udarbejder udkastet til afgørelse under denne one-stop-shop.

Reglerne om den ledende tilsynsmyndighed og one-stop-shoppen bør ikke finde anvendelse, når behandlingen udføres af offentlige myndigheder eller private organer i offentlighedens interesse. I disse tilfælde, den eneste tilsynsmyndighed, der er kompetent til at udøve de beføjelser, den er tillagt i henhold til denne forordning, bør være tilsynsmyndigheden i den medlemsstat, hvor den offentlige myndighed eller det private organ er etableret..

At sikre ensartet overvågning og håndhævelse af denne forordning i hele Unionen, tilsynsmyndighederne bør have de samme opgaver og de samme effektive beføjelser i hver medlemsstat, herunder efterforskningsbeføjelser, afhjælpende beføjelser og sanktioner, samt licens- og rådgivningsbeføjelser, især i tilfælde af klager fra fysiske personer, og, uden at dette berører de anklagende myndigheders beføjelser i henhold til medlemsstatens lovgivning, beføjelse til at henvise overtrædelser af bestemmelserne i denne forordning til retslige myndigheder og til at deltage i retssager. Disse beføjelser bør også omfatte beføjelsen til at pålægge en midlertidig eller permanent begrænsning af behandlingen, herunder dets forbud. Medlemsstaterne kan specificere andre opgaver i forbindelse med beskyttelse af personoplysninger i henhold til denne forordning. Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med passende proceduremæssige garantier fastsat i EU-retten og medlemsstaternes lovgivning, upartisk, retfærdigt og inden for rimelig tid. Især, enhver foranstaltning bør være passende, nødvendigt og forholdsmæssigt, for at sikre overholdelse af denne forordning, under hensyntagen til omstændighederne i den enkelte sag, at respektere hver persons ret til at blive hørt, før der træffes en individuel foranstaltning mod ham og ikke at forårsage unødvendige omkostninger og uforholdsmæssigt store byrder for de berørte personer. Undersøgelsesbeføjelser vedrørende adgang til lokaler bør udøves i overensstemmelse med de specifikke krav i medlemsstaternes procesret, såsom kravet om forudgående retsgodkendelse. Enhver juridisk bindende foranstaltning fra tilsynsmyndigheden skal indgives skriftligt, at være klar og utvetydig, at angive den tilsynsmyndighed, der har udstedt den, datoen for dens offentliggørelse, at bære underskrift af tilsynsførende eller et medlem af tilsynsmyndigheden, der er bemyndiget på dennes vegne, at angive begrundelsen for at træffe foranstaltningen og retten til reel klage. Dette bør ikke udelukke muligheden for yderligere krav i henhold til medlemsstatens processuelle lovgivning. Udstedelsen af ​​en juridisk bindende afgørelse indebærer, at den kan, eventuelt, at være genstand for domstolsprøvelse i den medlemsstat, hvor den tilsynsmyndighed, der har truffet afgørelsen, har truffet afgørelse.

Når den tilsynsmyndighed, som klagen er indgivet til, ikke er den ledende tilsynsmyndighed, den ledende tilsynsmyndighed bør arbejde tæt sammen med den tilsynsmyndighed, som klagen er indgivet til i overensstemmelse med bestemmelserne om samarbejde og sammenhæng, der er fastsat i denne forordning. I sådanne tilfælde, bør den ledende tilsynsmyndighed, når der træffes foranstaltninger, der har til formål at få retlige konsekvenser, såsom pålæggelse af administrative bøder, at tage særligt hensyn til synspunkterne fra den tilsynsmyndighed, som klagen er indgivet til, og som bør forblive kompetent til at udføre enhver undersøgelse på dens medlemsstats område i samarbejde med den kompetente tilsynsmyndighed.

Hvor en anden tilsynsmyndighed skal fungere som ledende tilsynsmyndighed for den dataansvarliges eller databehandlers behandlingsaktiviteter, men det specifikke emne for klagen eller den mulige krænkelse vedrører kun den dataansvarliges eller databehandlerens behandlingsaktiviteter i den medlemsstat, hvor klagen blev indgivet eller den mulige krænkelse blev fastslået, og sagen påvirker ikke eller sandsynligvis ikke vil betydeligt påvirke registrerede i andre medlemslande, den tilsynsmyndighed, der modtager en klage eller finder eller på anden måde er informeret om situationer, der involverer overtrædelser af denne forordning, bør søge en mindelig løsning med den dataansvarlige og, hvis dette ikke lykkes, at udøve det fulde omfang af sine beføjelser. Dette bør omfatte: den særlige behandling, der udføres på tilsynsmyndighedens område eller med hensyn til registrerede på den nævnte medlemsstats område, den behandling, der udføres i forbindelse med udbuddet af de adresserede varer eller tjenesteydelser specifikt til registrerede på territoriet af tilsynsmyndighedens medlemsstat eller den behandling, som skal vurderes, under hensyntagen til de tilsvarende retlige forpligtelser i henhold til medlemsstatens lovgivning.

Tilsynsmyndighedernes bevidstgørelsesaktiviteter bør omfatte specifikke foranstaltninger for registeransvarlige og databehandlere, inklusive meget små, små og mellemstore virksomheder, samt fysiske personer især i uddannelsessammenhæng.

Den Europæiske Unions Tidende

133. (133) Tilsynsmyndighederne bør støtte hinanden i udførelsen af ​​deres opgaver og yde gensidig bistand, for at sikre en konsekvent anvendelse og håndhævelse af denne forordning på det indre marked. En tilsynsmyndighed, der anmoder om gensidig bistand, kan træffe en foreløbig foranstaltning, hvis den ikke modtager et svar på en anmodning om gensidig bistand inden for en måned efter modtagelsen af ​​anmodningen fra den anden tilsynsmyndighed.
134. (134) Hver tilsynsmyndighed bør, fra sag til sag, at deltage i joint ventures med andre tilsynsmyndigheder. Den anmodede tilsynsmyndighed bør være forpligtet til at besvare anmodningen inden for en nærmere angivet frist.
135. (135) At sikre ensartet anvendelse af denne forordning i hele Unionen, der bør etableres en sammenhængsmekanisme for samarbejde mellem tilsynsmyndigheder. Denne mekanisme bør især anvendes, når en tilsynsmyndighed har til hensigt at vedtage en foranstaltning, der skal have retsvirkninger i forbindelse med behandlinger, der berører et væsentligt betydeligt antal registrerede i flere medlemsstater. Det bør også gælde, når en interesseret tilsynsmyndighed eller Kommissionen anmoder om, at sagen behandles under samhørighedsmekanismen. Denne mekanisme bør ikke berøre eventuelle foranstaltninger, som Kommissionen måtte træffe under udøvelsen af ​​sine beføjelser i henhold til traktaterne.
136. (136) Ved implementering af sammenhængsmekanismen, Datatilsynet bør afgive udtalelse, inden for en nærmere angivet periode, hvis flertallet af dens medlemmer beslutter at gøre det, eller hvis det anmodes af en interesseret tilsynsmyndighed eller af Kommissionen. Databeskyttelsesrådet bør også have beføjelse til at træffe juridisk bindende afgørelser, når der er uenighed mellem tilsynsmyndigheder. Til dette formål, bør udstede, kat’ i princippet med to tredjedeles flertal af medlemmerne, juridisk bindende afgørelser i klart definerede sager, hvor der er modstridende synspunkter mellem tilsynsmyndigheder, især inden for rammerne af samarbejdsmekanismen mellem den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder om sagens realitet, især om, hvorvidt der er tale om en overtrædelse af denne forordning.
137. (137) Der kan være et presserende behov for at træffe foranstaltninger for at beskytte de registreredes rettigheder og friheder, især når der er risiko for væsentligt at hindre en registrerets udøvelse af en rettighed. Derfor, en tilsynsmyndighed bør være i stand til at vedtage behørigt begrundede midlertidige foranstaltninger på sit område med en nærmere angivet gyldighedsperiode, der ikke bør overstige tre måneder.
138. (138) Anvendelsen af ​​nævnte mekanisme bør være en betingelse for lovligheden af ​​den foranstaltning, som en tilsynsmyndighed træffer med det formål at frembringe retlige resultater i de tilfælde, hvor dens anvendelse er obligatorisk. I andre tilfælde af grænseoverskridende interesse, samarbejdsmekanismen mellem den ledende myndighed og de berørte tilsynsmyndigheder bør gennemføres, og de berørte tilsynsmyndigheder kunne ty til gensidig bistand og fælles operationer, på bilateral eller multilateral basis, uden at aktivere kohærensmekanismen.
139. (139) For at fremme en konsekvent anvendelse af denne forordning, Databeskyttelsesrådet bør oprettes som et uafhængigt EU-organ. For at opfylde sine mål, Databeskyttelsesrådet bør have status som juridisk person. Databeskyttelsesrådet bør være repræsenteret af sin formand. Den bør erstatte gruppen vedrørende beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger, der er oprettet ved direktiv 95/46/EF. Den bør bestå af lederen af ​​tilsynsmyndigheden fra hver medlemsstat og den europæiske tilsynsførende for databeskyttelse eller deres respektive repræsentanter. Kommissionen bør deltage i databeskyttelsesrådets aktiviteter uden stemmeret, og den europæiske tilsynsførende for databeskyttelse bør have særlige stemmerettigheder. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af denne forordning i hele Unionen, herunder rådgivning til Kommissionen, især for beskyttelsesniveauet i tredjelande eller i internationale organisationer, og fremme samarbejdet mellem tilsynsmyndigheder i hele Unionen. Databeskyttelsesrådet bør handle uafhængigt i udførelsen af ​​sine opgaver.
140. (140) Databeskyttelsesrådet bør bistås af et sekretariat stillet til rådighed af den europæiske tilsynsførende for databeskyttelse. Personalet hos Den Europæiske Tilsynsførende for Databeskyttelse, der deltager i udførelsen af ​​de opgaver, der er tildelt Databeskyttelsesrådet i henhold til denne forordning, udfører udelukkende deres opgaver efter instrukser fra formanden for Databeskyttelsesrådet og underretter ham herom.
141. (141) Hver registreret bør have ret til at indgive en klage til en enkelt tilsynsmyndighed, navnlig i den medlemsstat, hvor han har sit sædvanlige opholdssted, og retten til et effektivt retsmiddel i henhold til art 47 af chartret, hvis han mener, at hans rettigheder efter denne forordning krænkes, eller hvis tilsynsmyndigheden ikke følger op på en klage, afviser helt eller delvist eller anser en klage for uantagelig eller

Den Europæiske Unions Tidende

handler ikke, når den bør handle for at beskytte den registreredes rettigheder. Der bør foretages undersøgelse efter en klage, underlagt domstolsprøvelse, i det omfang, det er relevant for den konkrete sag. Tilsynsmyndigheden skal informere den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver nærmere undersøgelse eller koordinering med en anden tilsynsmyndighed, foreløbige oplysninger bør gives til den registrerede. For at lette indgivelsen af ​​klager, hver tilsynsmyndighed bør træffe foranstaltninger såsom udlevering af en klageformular, som også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

Når den registrerede mener, at deres rettigheder i henhold til denne forordning er blevet krænket, skal have ret til at outsource til en almennyttig enhed, organ eller organisation etableret i henhold til lovgivningen i en medlemsstat, har lovbestemte formål, der er i offentlighedens interesse og opererer inden for persondatabeskyttelse, at indgive en klage på hans vegne til en tilsynsmyndighed, udøve retten til sagsanlæg på vegne af de registrerede eller, hvis det er fastsat i lovgivningen i et medlemsland, ret til at modtage erstatning på vegne af de registrerede. En medlemsstat kan bestemme, at dette organ, organ eller organisation har ret til at indgive en klage til den pågældende medlemsstat, uanset enhver tildeling af den registrerede, og ret til et effektivt retsmiddel, når den har grund til at tro, at den registreredes rettigheder er blevet krænket som følge af behandling af personoplysninger i strid med denne forordning. Den pågældende krop, agentur eller organisation er muligvis ikke berettiget til at kræve erstatning på vegne af den registrerede, uanset enhver tildeling af den registrerede.

Enhver fysisk eller juridisk person har ret til at anlægge sag om annullation af databeskyttelsesrådets afgørelser ved Domstolen i overensstemmelse med betingelserne i artiklen 263 SØV. Som modtagere af disse beslutninger, de berørte tilsynsmyndigheder, der ønsker at anfægte dem, skal indgive en klage inden to måneder efter deres meddelelse, ifølge artiklen 263 SØV. I tilfælde af, at Datatilsynets afgørelser direkte og individuelt vedrører en dataansvarlig, behandlere eller klager, de kan appellere til annullation af disse afgørelser inden for to måneder efter offentliggørelsen af ​​disse afgørelser på Databeskyttelsesrådets hjemmeside, ifølge artiklen 263 SØV. Med forbehold af denne ret i henhold til art 263 SØV, enhver fysisk eller juridisk person bør have ret til effektivt at gøre indsigelse ved den kompetente nationale domstol over en afgørelse truffet af en tilsynsmyndighed, som har retsvirkninger for denne person. Disse afgørelser vedrører især tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser og korrigerende beføjelser og licensbeføjelser eller sager, hvor klager anses for uantagelige eller afviste. Imidlertid, retten til et effektivt retsmiddel omfatter ikke tilsynsmyndigheders foranstaltninger, der ikke er retligt bindende, såsom udtalelser eller råd fra tilsynsmyndigheden. Sager mod en tilsynsmyndighed bør indbringes for domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret og føres i overensstemmelse med den pågældende medlemsstats processuelle lovgivning. Disse domstole bør udøve fuld jurisdiktion, som bør omfatte jurisdiktion til at overveje alle faktiske og retlige spørgsmål vedrørende den verserende tvist.

Når en klage er blevet afvist eller anset for uantagelig af en tilsynsmyndighed, klageren kan anlægge sag ved domstolene i samme medlemsstat. I forbindelse med juridiske klager i forbindelse med gennemførelsen af ​​denne forordning, nationale domstole, der finder, at en afgørelse i spørgsmålet er nødvendig for at afgive deres egen afgørelse, kan eller, i det tilfælde, der er fastsat i artiklen 267 SØV, er forpligtet til at anmode Domstolen om en præjudiciel afgørelse om fortolkningen af ​​EU-retten, herunder denne forordning. desuden, når en afgørelse truffet af en tilsynsmyndighed, der gennemfører en afgørelse truffet af Datatilsynet, indbringes for en national domstol, og gyldigheden af ​​Datatilsynets afgørelse anfægtes, den pågældende nationale ret har ikke kompetence til at erklære Databeskyttelsesrådets afgørelse ugyldig, men skal forelægge gyldighedsspørgsmålet for Domstolen i henhold til art. 267 TEUF som fortolket af Domstolen, hvis han anser afgørelsen for ugyldig. Imidlertid, en national domstol kan ikke forelægge spørgsmålet om gyldigheden af ​​en afgørelse truffet af Databeskyttelsesrådet efter anmodning fra en fysisk eller juridisk person, som havde mulighed for at anlægge et annullationssøgsmål mod denne afgørelse, især hvis denne beslutning vedrørte ham direkte og individuelt, men gjorde det ikke inden for den frist, artiklen angiver 263 SØV.

I tilfælde af, at en domstol anlægges sag mod en tilsynsmyndigheds afgørelse og har grund til at antage, at der er indledt sag for samme behandling., for det samme formål med hensyn til behandling af den samme dataansvarlige eller databehandlere eller af samme årsag, for en kompetent domstol i en anden medlemsstat, bør kontakte den pågældende domstol for at bekræfte eksistensen af ​​sådanne relaterede sager. Hvis den relevante sag verserer ved en domstol i en anden medlemsstat, hver

Den Europæiske Unions Tidende

en anden ret end den, ved hvilken sagen først er anlagt, kan udsætte sin sag eller kan, efter anmodning fra en af ​​parterne, at give afkald på sin kompetence til fordel for den ret, ved hvilken sagen først er anlagt, forudsat at en sådan domstol har jurisdiktion over en sådan sag, og dens jurisdiktion tillader sammenslutning af sådanne relaterede sager. Processer, der er så tæt beslægtede, betragtes som relaterede, således at der er interesse i at blive prøvet og dømt i fællesskab, for at undgå risikoen for at træffe gensidigt uforenelige afgørelser, som det ville være tilfældet, hvis sagerne blev behandlet særskilt.

145. (145) For sager mod en dataansvarlig eller databehandler, appellanten bør kunne vælge, om han vil indbringe sagen for domstolene i den medlemsstat, hvor den dataansvarlige eller databehandleren har et forretningssted, eller i den medlemsstat, hvor den registrerede er bosat., medmindre den registeransvarlige er en offentlig myndighed i en medlemsstat, der handler under udøvelsen af ​​sine offentlige beføjelser.
146. (146) Enhver skade, som en person lider som følge af behandling i strid med denne forordning, bør være underlagt kompensation fra den dataansvarlige eller databehandleren. Den dataansvarlige eller databehandleren bør frigøres fra forpligtelsen til at kompensere, hvis de beviser, at de ikke bærer noget ansvar for skaden. Begrebet skade bør fortolkes ekspansivt i lyset af Domstolens retspraksis på en sådan måde, at der fuldt ud tages hensyn til formålene med denne forordning. Dette påvirker ikke eventuelle erstatningskrav, udøves på grund af en overtrædelse af andre regler i unionsretten eller i medlemsstaterne. Behandling i strid med denne forskrift omfatter også enhver behandling, der udføres i strid med art’ bemyndigelse og bekendtgørelser udstedt i medfør af’ anvendelse af denne forordning og medlemsstaternes lovgivning, der specificerer reglerne i denne forordning. Registrerede bør modtage fuld og væsentlig kompensation for den skade, de har lidt. I tilfælde af at registeransvarlige eller databehandlere er involveret i den samme behandling, hver dataansvarlig eller databehandler bør være ansvarlig for den samlede skade. Imidlertid, når de i fællesskab stilles for retten, i henhold til medlemsstaternes lovgivning, kompensationen kan fordeles i henhold til den enkelte dataansvarliges eller databehandlers ansvar for skaden forårsaget af behandlingen, forudsat at den registrerede, der har lidt skaden, sikres fuld og væsentlig erstatning. Enhver dataansvarlig eller databehandler, der har betalt fuld kompensation, kan efterfølgende appellere mod andre dataansvarlige eller databehandlere involveret i samme behandling.
147. (147) I tilfælde af at denne forordning indeholder særlige kompetenceregler, navnlig med hensyn til sager, hvorved der rejses retssager, blandt andet til erstatning, mod en dataansvarlig eller databehandler, de almindelige kompetenceregler som fastsat i forordningen (EU) ingen. 1215/2012 af Europa-Parlamentet og Rådet (1) bør ikke påvirke anvendelsen af ​​disse særlige regler.
148. (148) For at styrke håndhævelsen af ​​reglerne i denne forordning, sanktioner, herunder administrative bøder, bør pålægges for enhver overtrædelse af denne forordning, ud over eller i stedet for de passende foranstaltninger pålagt af tilsynsmyndigheden i overensstemmelse med denne forordning. Hvis der er tale om en mindre lovovertrædelse, eller hvis den bøde, der måtte blive pålagt, vil udgøre en uforholdsmæssig stor byrde for en fysisk person, der kunne idømmes en irettesættelse i stedet for en bøde. Der skal dog tages behørigt hensyn til arten, bruddets alvor og varighed, krænkelsens forsætlige karakter, de foranstaltninger, der er truffet for at afbøde skaden, graden af ​​ansvar eller andre relevante tidligere lovovertrædelser, den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, overholdelse af foranstaltninger over for den dataansvarlige eller databehandler, overholdelse af adfærdskodeksen og enhver anden skærpende eller formildende faktor. Indførelse af sanktioner, herunder administrative bøder, bør være underlagt passende proceduremæssige garantier i overensstemmelse med EU-rettens generelle principper og chartret, herunder effektiv retsbeskyttelse og retfærdig rettergang.
149. (149) Medlemsstaterne bør kunne fastsætte reglerne om strafferetlige sanktioner for overtrædelser af denne forordning, blandt andet for overtrædelser af de nationale regler fastsat af’ anvendelse og inden for rammerne af denne forordning. Disse strafferetlige sanktioner kan også bestå i fratagelse af de ydelser, der er opnået som følge af overtrædelser af denne forordning. Imidlertid, pålæggelse af strafferetlige sanktioner for overtrædelse af sådanne nationale regler og administrative sanktioner bør ikke føre til en overtrædelse af ne bis in idem-princippet, som fortolket af domstolen.
150. (150) For at styrke og harmonisere de administrative sanktioner for overtrædelser af denne forordning, hver tilsynsmyndighed bør have beføjelse til at pålægge administrative bøder. Denne forordning bør angive overtrædelserne, og loftet og kriterierne for fastsættelse af de relevante administrative bøder, som bør fastlægges af den kompetente tilsynsmyndighed i hvert enkelt tilfælde, efter at have taget alle relevante omstændigheder i den konkrete situation i betragtning, med særlig opmærksomhed på naturen, krænkelsens grovhed og varighed og dens konsekvenser og de foranstaltninger, der er truffet for den

(1) Regulering(EU)nr. 1215/2012 fra Europa-Parlamentet og Rådet,af 12. december 2012 for international jurisdiktion, anerkendelse og fuldbyrdelse af domme i civil- og handelssager (EE L 351 hende 20.12.2012, s. 1).

Den Europæiske Unions Tidende

sikre overholdelse af de forpligtelser, der følger af denne forordning og for at forhindre eller afbøde konsekvenserne af bruddet. I tilfælde af, at der pålægges en virksomhed administrative bøder, en virksomhed betyder en virksomhed i henhold til vedtægterne 101 og 102 TEUF til disse formål. I tilfælde af, at der pålægges administrative bøder til personer, der ikke er erhvervsdrivende, tilsynsmyndigheden bør tage hensyn til det generelle indkomstniveau i medlemsstaten, samt personens økonomiske situation, når man overvejer bødens passende størrelse. Sammenhængsmekanismen kan også bruges til at fremme en sammenhængende pålæggelse af administrative bøder. Det bør være op til medlemsstaterne at beslutte, om og i hvilket omfang administrative bøder kan pålægges offentlige myndigheder. Pålæggelse af en administrativ bøde eller advarsel berører ikke anvendelsen af ​​tilsynsmyndighedernes øvrige beføjelser eller andre sanktioner i henhold til denne forordning.

Retssystemerne i Danmark og Estland giver ikke mulighed for administrative bøder som defineret i denne forordning. Reglerne om administrative bøder kan anvendes således, at bøden i Danmark pålægges af de kompetente nationale domstole som en strafferetlig sanktion, og i Estland pålægges bøden af ​​tilsynsmyndigheden i forbindelse med sager om forseelse., forudsat at en sådan anvendelse af reglerne i disse medlemsstater har samme virkning som administrative bøder pålagt af tilsynsmyndighederne. Derfor, kompetente nationale domstole bør tage hensyn til anbefalingen fra den tilsynsmyndighed, hvorfra bøden stammer. i hvert fald, de pålagte bøder bør være effektive, forholdsmæssig og afskrækkende.

Når denne forordning ikke harmoniserer administrative sanktioner eller om nødvendigt i andre tilfælde, for eksempel i tilfælde af alvorlige overtrædelser af denne forordning, Medlemsstaterne bør indføre et effektivt system, forholdsmæssige og afskrækkende sanktioner. Arten af ​​de pågældende sanktioner, kriminel eller administrativ, bør bestemmes af medlemsstaternes lovgivning.

Medlemsstaternes lovgivning bør harmonisere reglerne for ytrings- og informationsfrihed, herunder journalistik, universitet, kunstneriske eller litterære udtryk, med ret til at beskytte personoplysninger i henhold til denne forordning. Behandling af personoplysninger kun til journalistiske formål eller til universitetsformål, kunstneriske eller litterære udtryk bør være underlagt undtagelser eller undtagelser fra visse bestemmelser i denne forordning, om nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytrings- og informationsfrihed, som fastsat i artiklen 11 af chartret. Dette bør især gælde for behandling af personoplysninger i den audiovisuelle sektor og i nyhedsarkiver og pressebiblioteker. Derfor, Medlemsstaterne bør vedtage lovgivningsmæssige foranstaltninger, der giver de nødvendige undtagelser og undtagelser for at balancere disse grundlæggende rettigheder. Medlemsstaterne bør indføre sådanne undtagelser og fravigelser fra de generelle principper, den registreredes rettigheder, af den registeransvarlige og processoren, overførsel af personoplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder, samarbejde og sammenhæng og særlige tilfælde af databehandling. Hvor sådanne undtagelser eller undtagelser er forskellige fra den ene medlemsstat til den anden, lovgivningen i den medlemsstat, som den registeransvarlige er underlagt, bør finde anvendelse. At overveje betydningen af ​​retten til ytringsfrihed i ethvert demokratisk samfund, det er nødvendigt at fortolke begreberne relateret til nævnte frihed ekspansivt, såsom journalistik.

Denne forordning gør det muligt at tage hensyn til princippet om aktindsigt i officielle dokumenter ved anvendelsen af ​​denne forordning. Aktindsigt i officielle dokumenter kan betragtes som en offentlig interesse. Personoplysninger i dokumenter, som er i besiddelse af en offentlig myndighed eller et offentligt organ, bør offentliggøres af denne myndighed eller organ, hvis videregivelse er fastsat i EU-retten eller lovgivningen i den medlemsstat, som den offentlige myndighed er underlagt, eller det offentlige organ.. Disse rettigheder bør forene offentlighedens aktindsigt i officielle dokumenter og den videre brug af information fra det offentlige domæne med retten til beskyttelse af personoplysninger og kan, derfor, at sørge for den nødvendige afstemning med retten til at beskytte personoplysninger i henhold til denne forordning. Henvisning til offentlige myndigheder og organer bør i denne sammenhæng omfatte alle myndigheder eller andre organer, der er omfattet af medlemsstaternes lovgivning om aktindsigt i dokumenter. Europa-Parlamentets og Rådets direktiv 2003/98/EF (1) det påvirker ikke og påvirker ikke

Den Europæiske Unions Tidende

niveauet for beskyttelse af fysiske personer mod behandling af personoplysninger i henhold til bestemmelserne i EU-retten og medlemsstaternes lovgivning ændrer på ingen måde de forpligtelser og rettigheder, der er fastsat i denne forordning. især, dette direktiv bør ikke finde anvendelse på dokumenter, hvortil adgang er forbudt eller begrænset i henhold til adgangsordningerne af hensyn til beskyttelse af personoplysninger, heller ikke til dele af dokumenter, der er tilgængelige under nævnte regimer, og som indeholder personoplysninger, hvis genbrug ved lov er foreskrevet for at være uforenelig med lovgivningen om beskyttelse af fysiske personer mod behandling af personoplysninger.

155. (155) I medlemsstaternes lovgivning eller i kollektive overenskomster, herunder "arbejdsaftaler", Der kan fastsættes særlige regler for behandling af medarbejderes personoplysninger i forbindelse med ansættelse, særligt om betingelserne for, at personoplysninger i forbindelse med ansættelse kan behandles på baggrund af medarbejderens samtykke, i rekrutteringsøjemed, udførelse af ansættelseskontrakten, herunder opfyldelse af forpligtelser i henhold til lov eller kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, lighed og mangfoldighed på arbejdspladsen og sundhed og sikkerhed på arbejdspladsen, samt med henblik på motion og nydelse, på individuelt eller kollektivt grundlag, ansættelsesrelaterede rettigheder og ydelser og med henblik på at bringe ansættelsesforholdet til ophør.
156. (156) Behandling af personoplysninger til arkiveringsformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål bør være underlagt passende garantier for den registreredes rettigheder og friheder i overensstemmelse med denne forordning. Disse garantier bør sikre, at de tekniske og organisatoriske foranstaltninger, de garanterer, er på plads, især, princippet om dataminimering. Den videre behandling af personoplysninger til arkiveringsformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål udføres, når den registeransvarlige har vurderet, om det er muligt at opfylde disse formål gennem behandling af data, som ikke tillader eller ikke længere tillader identifikation af de registrerede, forudsat at passende sikkerhedsforanstaltninger er på plads (såsom, for eksempel, pseudonymiseringen af ​​dataene). Medlemsstaterne bør sørge for passende sikkerhedsforanstaltninger vedrørende behandling af personoplysninger til arkiveringsformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål. Medlemsstaterne bør have lov til at levere, under særlige betingelser og med behørige garantier for de registrerede, specifikationer og fravigelser vedrørende informationskrav og ret til berigtigelse og sletning, retten til at blive glemt, retten til at begrænse behandlingen,retten til dataportabilitet og retten til at gøre indsigelse mod behandling af personoplysninger til arkiveringsformål i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål. Disse betingelser og garantier kan omfatte særlige procedurer, så de registrerede kan udøve disse rettigheder, så længe det er passende til de formål, der forfølges med den specifikke behandling, sideløbende med tekniske og organisatoriske foranstaltninger, der tager sigte på at minimere behandlingen af ​​personoplysninger i overensstemmelse med principperne om proportionalitet og nødvendighed. Behandling af personoplysninger til videnskabelige formål bør også være i overensstemmelse med anden relevant lovgivning, som for kliniske forsøg.
157. (157) Kombination af oplysninger fra registre, forskere kan få vigtig ny indsigt i almindelige medicinske tilstande såsom hjerte-kar-sygdomme, kræft og depression. Ifølge registrene, forskningsresultater kan forbedres, da de er baseret på et bredere befolkningsgrundlag. I samfundsvidenskaberne, registerbaseret forskning gør det muligt for forskere at opnå væsentlig indsigt i de langsigtede sammenhænge mellem visse sociale forhold, såsom arbejdsløshed og uddannelse med andre levevilkår. Forskningsresultater opnået gennem registre giver pålidelig og kvalitativ viden, der kan danne grundlag for videnbaseret politikudformning og implementering, forbedre livskvaliteten for nogle mennesker og forbedre effektiviteten af ​​sociale tjenester. Med det formål at lette videnskabelig forskning, personoplysninger kan behandles til videnskabelige forskningsformål, under de passende betingelser og garantier, der er fastsat i EU-retten eller en medlemsstats lovgivning.
158. (158) Når personoplysninger behandles til arkiveringsformål, denne forordning bør også gælde for sådan behandling, under hensyntagen til, at denne forordning ikke bør gælde for afdøde. Offentlige myndigheder og offentlige eller private organer, der har offentlig interesse, bør være agenturer, som, i overensstemmelse med EU-retten eller lovgivningen i en medlemsstat, er juridisk forpligtet til at erhverve, at vedligeholde, at vurdere, at klassificere, at beskrive, at annoncere, at forfremme, formidle og give adgang til optegnelser af fast værdi i almenhedens interesse. Medlemsstaterne bør også have ret til at sørge for yderligere behandling af personoplysninger til arkiveringsformål, for eksempel med det formål at give specifik information om politisk adfærd i tidligere autoritære regimer, folkedrab, forbrydelser mod menneskeheden, især Holocaust, eller krigsforbrydelser.

Den Europæiske Unions Tidende

Når personoplysninger behandles til videnskabelige forskningsformål, denne forordning bør også gælde for denne behandling. Med henblik på denne forordning, behandling af personoplysninger med henblik på videnskabelig forskning bør fortolkes bredt, at inkludere f.eks. teknologisk udvikling og demonstration, grundforskning, anvendt forskning og privat finansieret forskning. desuden, den bør tage hensyn til Unionens mål i henhold til art 179 afsnit 1 TEUF for at opnå et europæisk forskningsområde. Formålet med den videnskabelige forskning bør også omfatte undersøgelser udført i offentlighedens interesse på folkesundhedsområdet. At tage højde for de særlige forhold ved behandling af personoplysninger til videnskabelige forskningsformål, særlige betingelser bør især gælde med hensyn til offentliggørelse eller på anden måde offentliggørelse af personoplysninger med henblik på videnskabelig forskning. Hvis resultatet af den videnskabelige forskning, især på sundhedsområdet, berettiger til at træffe yderligere foranstaltninger i den registreredes interesse, de generelle regler i denne forordning finder anvendelse på disse foranstaltninger.

Når personoplysninger behandles til historiske forskningsformål, denne forordning bør også gælde for sådan behandling. Dette omfatter historisk forskning og forskning til genealogiske formål, under hensyntagen til, at denne forordning ikke bør gælde for afdøde.

Med henblik på samtykke til deltagelse i videnskabelige forskningsaktiviteter i forbindelse med kliniske forsøg, de relevante bestemmelser i forordningen bør finde anvendelse (EU) ingen. 536/2014 af Europa-Parlamentet og Rådet (1).

Når personoplysninger behandles til statistiske formål, denne forordning bør også gælde for denne behandling. EU-retten eller medlemsstatens lovgivning bør, inden for rammerne af denne forordning, at bestemme det statistiske indhold, adgangskontrol, specifikationerne for behandling af personoplysninger til statistiske formål og passende foranstaltninger, der sikrer den registreredes rettigheder og friheder, og som har til formål at sikre statistisk privatliv. Udtrykket "statistiske formål" betyder enhver indsamling og behandling af personoplysninger, der er nødvendig for at udføre statistisk forskning eller for at producere statistiske resultater. Nævnte statistiske resultater kan yderligere bruges til forskellige formål, blandt andet med henblik på videnskabelig forskning. Det statistiske formål indebærer, at resultatet af behandlingen til statistiske formål ikke er personoplysninger, men aggregerede data, og at dette resultat eller personoplysningerne ikke bruges til at understøtte foranstaltninger eller beslutninger vedrørende en bestemt fysisk person.

Fortrolige oplysninger indsamlet af EU og nationale statistiske agenturer til fremstilling af officielle europæiske og nationale statistikker bør beskyttes. Der bør udvikles europæiske statistikker, skal udarbejdes og formidles i overensstemmelse med de statistiske principper, der er fastlagt i artiklen 338 afsnit 2 SØV, mens nationale statistikker også bør være i overensstemmelse med medlemsstaternes lovgivning. Reglen (FRA) ingen. 223/2009 af Europa-Parlamentet og Rådet (2) giver yderligere præciseringer om statistisk fortrolighed for europæiske statistikker.

Med hensyn til tilsynsmyndighedernes beføjelser til at sikre mod den dataansvarlige eller databehandler adgang til personoplysninger og adgang til deres faciliteter, Medlemsstaterne kan fastsætte ved lov, inden for rammerne af denne forordning, særlige regler for at bevare tavshedspligten eller andre tilsvarende tavshedspligter, i det omfang det er nødvendigt for at forene retten til beskyttelse af personoplysninger med pligten til tavshedspligt. Dette berører ikke medlemsstatens gældende forpligtelser til at fastsætte regler om tavshedspligt, i det omfang dette er påkrævet i henhold til EU-retten.

Denne forordning respekterer og påvirker ikke kirkers og religiøse sammenslutningers eller samfunds status i medlemsstaterne i henhold til gældende forfatningsret, som genkendt i artiklen 17 SØV.

For at opfylde formålene med denne forordning, nemlig beskyttelsen af ​​fysiske personers grundlæggende rettigheder og friheder og, Især, af retten til beskyttelse af personoplysninger, som

1. (1) Regulering (EU) ingen. 536/2014 af Europa-Parlamentet og Rådet, af 16. april 2014, om kliniske forsøg med lægemidler til mennesker og om ophævelse af direktiv 2001/20/EF (EE L 158 hende 27.5.2014, s. 1).
2. (2) Regulering (FRA) ingen. 223/2009 af Europa-Parlamentet og Rådet, af 11. marts 2009, om europæiske statistikker og ophævelse af forordningen (FRA, Euratom) ingen. 1101/2008 Europa-Parlamentet og Rådet om videregivelse til De Europæiske Fællesskabers Statistiske Kontor af oplysninger, der er omfattet af statistisk fortrolighed, af forordningen (FRA) ingen. 322/97 af Rådet om EF-statistikker og beslutning 89/382/EØF, Rådets Euratom om nedsættelse af et udvalg under De Europæiske Fællesskabers statistiske program (EE L 87 hende 31.3.2009, s. 164).

Den Europæiske Unions Tidende

de vedrører dem, og sikring af den frie cirkulation af personoplysninger i Unionen, Kommissionen bør have beføjelse til at vedtage retsakter i overensstemmelse med art 290 SØV. især, skal udstedes af’ autorisationsretsakter vedrørende kriterier og krav til certificeringsmekanismerne, de oplysninger, der præsenteres af standardikoner og procedurerne for at levere sådanne ikoner. Det er særlig vigtigt, at Kommissionen gennemfører passende høringer under sit forberedende arbejde, blandt andet på ekspertniveau. Udvalget, under behandlingen og klargøringen af ​​katten’ bemyndigelse af handlinger, skal sikre samtidighed, rettidig og passende fremsendelse af de relevante dokumenter til Europa-Parlamentet og Rådet.

167. (167) For at sikre ensartede betingelser for anvendelsen af ​​denne forordning bør gennemførelsesbeføjelser delegeres til Kommissionen, når dette er fastsat i denne forordning. Disse beføjelser bør udøves i overensstemmelse med forordningen (EU) ingen. 182/2011. i denne sammenhæng, Kommissionen bør overveje særlige foranstaltninger for meget små, små og mellemstore virksomheder.
168. (168) Undersøgelsesproceduren bør finde anvendelse på vedtagelse af gennemførelsesretsakter om standardkontraktklausuler mellem dataansvarlige og databehandlere, samt mellem databehandlere, tekniske standarder og certificeringsmekanismer;, et territorium eller en specifik sektor i det pågældende tredjeland eller en international organisation for beskyttelsesformater og -procedurer for elektronisk udveksling af oplysninger mellem registeransvarlige, databehandlere og tilsynsmyndigheder for bindende virksomhedsregler for gensidig bistand og informationsudveksling ad elektronisk vej mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet.
169. (169) Kommissionen bør vedtage direkte gældende gennemførelsesretsakter, når tilgængelig dokumentation viser, at et tredjeland, territorium eller specifikke sektor i det pågældende tredjeland eller den internationale organisation sikrer ikke et tilstrækkeligt beskyttelsesniveau, og tvingende hastende årsager kræver det.
170. (170) I betragtning af, at formålet med denne forordning, sikre et tilsvarende niveau for beskyttelse af fysiske personer og fri udveksling af personoplysninger i hele Unionen, ikke i tilstrækkelig grad kan opnås af medlemsstaterne, men det kan, på grund af omfanget eller resultaterne af den påtænkte handling, bedst opnået på EU-plan, Unionen kan vedtage foranstaltninger, efter subsidiaritetsprincippet, som angivet i artiklen 5 i traktaten om Den Europæiske Union (CEE). Efter proportionalitetsprincippet, som er fastsat i nævnte artikel, denne forordning går ikke ud over, hvad der er nødvendigt for at nå dette mål.
171. (171) Direktiv 95/46/EF bør ophæves ved denne forordning. Behandling, der allerede er i gang på datoen for anvendelsen af ​​denne forordning, bør harmoniseres med denne forordning inden for to år efter denne forordnings ikrafttræden. Når behandlingen er baseret på samtykke i henhold til direktiv 95/46/EF, intet nyt samtykke fra den registrerede er nødvendigt, hvis den måde, hvorpå samtykket er givet, er i overensstemmelse med betingelserne i denne forordning, for at den dataansvarlige kan fortsætte behandlingen efter datoen for anvendelsen af ​​denne forordning. Kommissionens beslutninger og tilsynsgodkendelser udstedt i henhold til direktiv 95/46/EF forbliver i kraft, indtil de ændres, udskiftning eller fjernelse af dem.
172. (172) Den europæiske tilsynsførende for databeskyttelse er blevet hørt i overensstemmelse med art 28 afsnit 2 af forordningen (FRA) ingen. 45/2001, som han formulerede sig på 7 af marts 2012 (1).
173. (173) Denne forordning bør finde anvendelse på alle spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og friheder mod behandling af personoplysninger, og som ikke er underlagt de specifikke forpligtelser, der har samme formål, som beskrevet i Europa-Parlamentets og Rådets direktiv 2002/58/EF (2), herunder den dataansvarliges forpligtelser og fysiske personers rettigheder. For at tydeliggøre forholdet mellem denne forordning og direktiv 2002/58/EF, dette direktiv bør ændres i overensstemmelse hermed. Så snart denne forordning er udstedt, Direktiv 2002/58/EF bør revideres, især for at sikre dens overensstemmelse med denne forordning,

HAR VEDTAGET DENNE FORORDNING:

Den Europæiske Unions Tidende

KAPITEL I

Generelle bestemmelser

Artikel 1

Objekt og mål

4.5.2016

HAN

1. Denne forordning fastsætter regler om beskyttelse af fysiske personer mod behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder og især deres ret til beskyttelse af personoplysninger.

3. Den frie udveksling af personoplysninger inden for Unionen er ikke begrænset eller forbudt af årsager, der vedrører beskyttelse af fysiske personer mod behandling af personoplysninger.

Artikel 2

Betydeligt omfang

1. Denne forskrift gælder for, helt eller delvist, automatiseret behandling af personoplysninger, samt ved ikke-automatiseret behandling af sådanne data, som indgår eller skal indgå i et arkivsystem.

2. -en) b)

c) d)

Denne forordning gælder ikke for behandling af personoplysninger: i forbindelse med en aktivitet, der ikke falder ind under EU-rettens anvendelsesområde,

af medlemsstaterne, når de udfører aktiviteter, der falder inden for kapitlets anvendelsesområde 2 i afsnit V i EØF,

af en fysisk person i forbindelse med udelukkende personlig eller huslig aktivitet,

af kompetente myndigheder med henblik på forebyggelse, af undersøgelsen, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse og forebyggelse mod risici, der truer den offentlige sikkerhed.

3.
Union, forordningen gælder (FRA) ingen. 45/2001. Reglen (EΚ) ingen. 45/2001 og andre EU-retsakter, der finder anvendelse på sådan behandling af personoplysninger, tilpasses til denne forordnings principper og regler i overensstemmelse med artikel 98.

4. Denne forordning påvirker ikke anvendelsen af ​​direktiv 2000/31/EF, navnlig reglerne for tjenesteformidleres ansvar, som er fastsat i artiklerne 12 op til 15 af det pågældende direktiv.

Artikel 3

Territorialt omfang

1. Denne forordning finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteterne i en registeransvarlig eller databehandlers virksomhed i Unionen, uanset om behandlingen finder sted inden for Unionen.

Til institutionernes behandling af personoplysninger, transportører, dets tjenester og organisationer

4.5.2016 Den Europæiske Unions Tidende L 119/33

HAN

2. Denne forordning gælder for behandling af personoplysninger om registrerede, der befinder sig i Unionen af ​​en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne er relateret til:

-en) udbud af varer eller tjenester til de nævnte registrerede i Unionen, uanset om der kræves betaling fra de registrerede, det

b) overvåge deres adfærd, i det omfang en sådan adfærd finder sted inden for Unionen.

3. Denne forordning gælder for behandling af personoplysninger foretaget af en dataansvarlig, der ikke er etableret i Unionen, men på et sted, hvor loven i et medlemsland finder anvendelse i kraft af folkeretten.

Artikel 4

Definitioner

1. 1) "personlig data": enhver information vedrørende en identificeret eller identificerbar fysisk person ("datasubjekt")· en identificerbar fysisk person er en person, hvis identitet kan fastslås, direkte eller indirekte, især ved henvisning til en identifikator, såsom navn, i ID-nummer, i lokalitetsdata, til en online identifikator eller til en eller flere fysiske faktorer, normal, genetiske, psykologisk, økonomisk, den pågældende fysiske persons kulturelle eller sociale identitet,
2. 2) "forarbejdning": enhver handling eller række af handlinger udført med eller uden brug af automatiserede midler, til persondata eller sæt af persondata, såsom indsamling, registreringen, organisationen, Strukturen, opbevaringen, tilpasning eller forandring, opsvinget, søgen efter information, brugen, videregivelse ved transmission, formidling eller enhver anden form for bortskaffelse, foreningen eller kombinationen, begrænsningen, sletning eller destruktion,
3. 3) "begrænsning af behandling": mærkning af lagrede personoplysninger med det formål at begrænse behandlingen af ​​dem i fremtiden,
4. 4) "profiloprettelse": enhver form for automatiseret behandling af personoplysninger, der består i brugen af ​​personoplysninger til at vurdere visse personlige aspekter af en fysisk person, især at analysere eller forudsige aspekter af arbejdspræstationer, den økonomiske situation, sundhed, personlige præferencer, interesser, pålideligheden, adfærden, den fysiske persons placering eller bevægelser,
5. 5) "aliasing": behandling af personoplysninger på en sådan måde, at oplysningerne ikke længere kan henføres til en bestemt registreret uden brug af yderligere oplysninger, forudsat at sådanne yderligere oplysninger holdes adskilt og underlagt tekniske og organisatoriske foranstaltninger for at sikre, at de ikke kan henføres til en identificeret eller identificerbar fysisk person,
6. 6) "arkiveringssystem": ethvert struktureret sæt af personlige data, der kan tilgås baseret på specifikke kriterier, om denne helhed er centraliseret eller decentraliseret eller fordelt på et funktionelt eller geografisk grundlag,
7. 7) "controller": den fysiske eller juridiske person, den offentlige myndighed, styrelsen eller andet organ, der, alene eller sammen med andre, fastlægge formål og måde at behandle personoplysninger på, når formålet med og måden for sådan behandling er bestemt af EU-retten eller lovgivningen i en medlemsstat, den registeransvarlige eller de specifikke kriterier for hans udnævnelse kan være fastsat i EU-retten eller lovgivningen i en medlemsstat,
8. 8) "Person, der udfører behandlingen": den fysiske eller juridiske person, den offentlige myndighed, tjenesten eller anden enhed, der behandler personoplysninger på vegne af den dataansvarlige,
9. 9) "adresser": den fysiske eller juridiske person, den offentlige myndighed, agenturet eller et andet organ, hvor personoplysninger videregives, uanset om det er en tredjepart eller ej. Imidlertid, de offentlige myndigheder, de måtte modtage

I denne forordning forstås de som:

L 119/34

Den Europæiske Unions Tidende 4.5.2016

10)

11)

12)

13)

14)

15)

16)

personoplysninger i forbindelse med en specifik undersøgelse i overensstemmelse med unionslovgivningen eller en medlemsstat, betragtes ikke som modtagere af de nævnte offentlige myndigheders behandling af sådanne oplysninger udføres i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålene med behandlingen,

"tredje": enhver fysisk eller juridisk person, Offentlig myndighed, service eller agentur, med undtagelse af den registrerede, controlleren, processoren og de personer, der, under direkte tilsyn af den dataansvarlige eller databehandler, er autoriseret til at behandle personoplysninger,

"samtykke" fra den registrerede: ethvert tegn på hensigt, gratis, bestemt, udtrykkeligt og fuldt informeret, som den registrerede giver udtryk for, at han er enig i, ved erklæring eller ved klar positiv særbehandling, at være genstand for behandling af personoplysningerne om den,

"brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig ødelæggelse, tab, lave om, uautoriseret videregivelse eller adgang til overførte personlige data, opbevares eller indsendes af’ anden måde at behandle på,

"genetiske data": personoplysningerne vedrørende en fysisk persons genetiske karakteristika, som er arvet eller erhvervet, efterhånden som de opstår, Især, fra analyse af en biologisk prøve af den fysiske person, og som giver unikke oplysninger om den fysiske persons fysiologi eller helbred,

"biometriske data": personoplysninger som følge af særlig teknisk behandling forbundet med fysisk, biologiske eller adfærdsmæssige karakteristika hos en fysisk person, og som tillader eller bekræfter den indiskutable identifikation af den pågældende fysiske person, såsom ansigtsbilleder eller fingeraftryksdata,

"data relateret til sundhed": personoplysninger relateret til en fysisk persons fysiske eller psykiske helbred, herunder levering af sundhedsydelser, og som afslører oplysninger om hans helbredstilstand,

"hovedanlæg":

1. -en) i tilfælde af en registeransvarlig med virksomheder i mere end én medlemsstat, dens centrale administrations plads i Unionen, medmindre beslutningerne vedrørende formål og midler til behandling af personoplysninger træffes på en anden virksomhed af den registeransvarlige i Unionen, og denne virksomhed har beføjelse til at gennemføre disse afgørelser, så hovedvirksomheden betragtes som den virksomhed, hvor den traf disse beslutninger,
2. b) når det drejer sig om forarbejdningsvirksomheder med faciliteter i mere end én medlemsstat, stedet for dens centrale administration i Unionen eller, hvis databehandleren ikke har central administration i Unionen, forarbejdningsvirksomhedens etablering i Unionen, hvor hovedforarbejdningsaktiviteterne udføres inden for aktiviteterne i forbindelse med forarbejdningsvirksomhedens etablering, i det omfang databehandleren er underlagt særlige forpligtelser efter denne forordning,

"repræsentant": fysisk eller juridisk person etableret i Unionen, som er defineret skriftligt af den dataansvarlige eller databehandleren under artiklen 27 og repræsenterer den dataansvarlige eller databehandleren med hensyn til deres respektive forpligtelser i henhold til denne forordning,

"forretning": fysisk eller juridisk person, der udøver økonomisk aktivitet, uanset dens juridiske form, herunder personlige virksomheder eller sammenslutninger, der regelmæssigt er engageret i økonomisk aktivitet,

"virksomhedsgruppe": en kontrollerende virksomhed og dens kontrollerede virksomheder,

"bindende virksomhedsregler": de persondatabeskyttelsespolitikker, som følges af en dataansvarlig eller databehandler etableret på en medlemsstats område for overførsler eller et sæt overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en gruppe af virksomheder, eller gruppe af virksomheder, der udøver en fælles økonomisk aktivitet,

17)

18)

19) 20)

21)

"tilsynsmyndighed": uafhængig offentlig myndighed oprettet af en medlemsstat i henhold til art 51,

HAN

4.5.2016 Den Europæiske Unions Tidende L 119/35

22. 22) "relevant tilsynsmyndighed": tilsynsmyndighed, som behandlingen af ​​personoplysninger vedrører, fordi:
    1. -en) den dataansvarlige eller databehandleren er etableret på den pågældende tilsynsmyndigheds medlemsstats område,
    2. b) registrerede, der er bosat i den pågældende tilsynsmyndigheds medlemsstat, er berørt eller kan blive væsentligt berørt af behandlingen, eller
    3. c) der er indgivet klage til den pågældende tilsynsmyndighed,
23. 23) "grænseoverskridende behandling":
    1. -en) behandling af personoplysninger, der finder sted i forbindelse med aktiviteterne i forskellige virksomheder i mere end én medlemsstat for en dataansvarlig eller databehandler i Unionen, hvor den dataansvarlige eller databehandler er etableret i mere end én medlemsstat eller
    2. b) behandling af personoplysninger, der finder sted i forbindelse med aktiviteterne i en enkelt registeransvarlig eller databehandlervirksomhed i Unionen, men som påvirker eller kan påvirke registrerede i mere end én medlemsstat,
24. 24) "relevant og begrundet indsigelse": indsigelse mod et udkast til afgørelse om eksistensen af ​​en overtrædelse af denne forordning, eller med hensyn til overholdelse af denne regulering af den påtænkte handling i forhold til den dataansvarlige eller databehandler, som klart viser betydningen af ​​de risici, som udkastet til afgørelse udgør for de registreredes grundlæggende rettigheder og frihedsrettigheder og, fra sag til sag, fri bevægelighed for personoplysninger i Unionen,
25. 25) "informationssamfundstjeneste": service i artiklens forstand 1 afsnit 1 element b) af instruktionen (EU) 2015/1535 af Europa-Parlamentet og Rådet (1),
26. 26) "International Organisation": organisation og dens underordnede organer underlagt folkeretten eller ethvert andet organ oprettet i kraft af eller på grundlag af en aftale mellem to eller flere lande.

    KAPITEL II

    Principper

    Artikel 5

    Principper for behandling af personoplysninger

1. Personlig data:

1. -en) behandles lovligt og lovligt på en gennemsigtig måde i forhold til den registrerede ("lovlighed, objektivitet og gennemsigtighed"),
2. b) indsamles til specificeret, udtrykkelige og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål, yderligere behandling til arkiveringsformål i offentlighedens interesse eller til videnskabelige eller historisk forskning eller statistiske formål anses ikke for uforenelig med de oprindelige formål i henhold til art. 89 afsnit 1 ("formålsbegrænsning"),
3. c) er egnede, relevante og begrænset til, hvad der er nødvendigt for de formål, hvortil de behandles ("minimer data"),
4. d) det er dyrt og, når det er nødvendigt, er opdateret alle rimelige skridt skal tages for straks at slette eller rette personlige data, der er unøjagtige, i forhold til formålene med behandlingen ("nøjagtighed"),

(1) direktiv (EU) 2015/1535 af Europa-Parlamentet og Rådet, af 9. september 2015, om indførelse af en informationsprocedure inden for tekniske specifikationer og regler om informationssamfundstjenester (EE L 241 hende 17.9.2015, s. 1).

HAN

L 119/36 e)

f)

Den Europæiske Unions Tidende 4.5.2016

opbevares i en form, der kun tillader identifikation af de registrerede i den periode, der er nødvendig for at behandle personoplysningerne, kan opbevares i længere perioder, da personoplysninger kun vil blive behandlet til arkiveringsformål i offentlighedens interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, ifølge artiklen 89 afsnit 1 og så længe de passende tekniske og organisatoriske foranstaltninger, der kræves i denne forordning, anvendes for at sikre den registreredes rettigheder og friheder ("begrænsning af opbevaringsperiode"),

behandles på en måde, der garanterer en passende sikkerhed for personoplysninger, herunder deres beskyttelse mod uautoriseret eller ulovlig behandling og utilsigtet tab, ødelæggelse eller forringelse, ved at anvende passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed").

Den registeransvarlige bærer ansvaret og er i stand til at påvise overholdelse af paragraffen 1

Artikel 6

Behandlingens lovlighed

2. ("ansvarlighed").

HAN

1. Behandling er kun lovlig, hvis og så længe mindst én af følgende betingelser er gældende:

1. -en) den registrerede har givet samtykke til behandlingen af ​​sine personoplysninger til et eller flere specifikke formål,
2. b) behandlingen er nødvendig for opfyldelse af en kontrakt, som den registrerede er part i, eller for at træffe foranstaltninger i henhold til’ anmodning fra den registrerede inden indgåelse af en kontrakt,
3. c) behandlingen er nødvendig for at overholde en juridisk forpligtelse for den dataansvarlige,
4. d) behandlingen er nødvendig for at varetage en vital interesse for den registrerede eller en anden fysisk person,
5. e) behandlingen er nødvendig for udførelsen af ​​en opgave, der udføres i offentlighedens interesse eller i udøvelse af offentlig myndighed, der er delegeret til den dataansvarlige,

f) behandlingen er nødvendig af hensyn til de legitime interesser, som den dataansvarlige eller en tredjepart forfølger, medmindre disse interesser tilsidesættes af den registreredes interesser eller grundlæggende rettigheder og friheder, som kræver beskyttelse af personoplysninger, især hvis den registrerede er et barn.

Punkt f) 1. afsnit ikke finder anvendelse på den behandling, som offentlige myndigheder foretager under udøvelsen af ​​deres hverv.

2. Medlemsstaterne kan opretholde eller vedtage mere specifikke bestemmelser for at tilpasse anvendelsen af ​​reglerne i denne forordning med hensyn til behandling for at overholde stk. 1 bevis c) og e), angivelse af mere præcist specifikke behandlingskrav og andre foranstaltninger for at sikre lovlig og legitim behandling, blandt andet for andre særlige behandlingssager som fastsat i kapitel IX.

3. Grundlaget for den behandling, der er nævnt i stk 1 bevis c) og e) defineret iht: -en) EU-ret, det
b) loven i den medlemsstat, som den registeransvarlige er underlagt.

Formålet med behandlingen fastlægges på det nævnte retsgrundlag eller, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, inklusive: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των

4.5.2016 Den Europæiske Unions Tidende L 119/37

HAN

δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 afsnit 1, controlleren, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, inklusive:

1. -en) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,
2. b) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,
3. c) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, ifølge artiklen 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, ifølge artiklen 10,
4. d) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
5. e) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

   Artikel 7

   Προϋποθέσεις για συγκατάθεση

1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

4. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, inklusive, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.

Artikel 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

1. Όταν εφαρμόζεται το άρθρο 6 afsnit 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.

L 119/38 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

Artikel 9

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

1. -en) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
2. b) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
3. c) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
4. d) η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,
5. e) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

f) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

6. ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
7. η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
8. θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, det

4.5.2016 ι)

Den Europæiske Unions Tidende L 119/39

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 afsnit 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

HAN

3.
σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, blandt andet og begrænsninger, vedrørende behandling af genetiske data, biometriske eller sundhedsmæssige data.

Artikel 10

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 afsnit 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.

Artikel 11

Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

1. Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για το σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.

2. Hvornår, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. I disse tilfælde, τα άρθρα 15 ως 20 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.

ΚΕΦΑΛΑΙΟ III

Δικαιώματά του υποκειμένου των δεδομένων

Τμήμα 1

Διαφάνεια και ρυθμίσεις

Artikel 12

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 og 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 op til 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, inklusive, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους

L 119/40 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 op til 22. Στις περιπτώσεις που προβλέπονται στο άρθρο 11 afsnit 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 op til 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 op til 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής.

5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 og 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 op til 22 og artiklen 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

-en) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, det

b) να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6. Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 op til 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 og 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Hvis ikonerne er tilgængelige online, είναι μηχανικώς αναγνώσιμα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.

Τμήμα 2

Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

Artikel 13

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, controlleren, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

1. -en) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, fra sag til sag, του εκπροσώπου του υπευθύνου επεξεργασίας,
2. b) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, fra sag til sag,
3. c) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

4.5.2016 d)

e) f)

Den Europæiske Unions Tidende L 119/41

εάν η επεξεργασία βασίζεται στο άρθρο 6 afsnit 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,

τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

fra sag til sag, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 det 47 ή στο άρθρο 49 afsnit 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

HAN

2.
δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:

Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, controlleren, κατά τη λήψη των

1. -en) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
2. b) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
3. c) όταν η επεξεργασία βασίζεται στο άρθρο 6 afsnit 1 στοιχείο α) ή στο άρθρο 9 afsnit 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
4. d) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
5. e) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,

f) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, herunder profilering, που αναφέρεται στο άρθρο 22 παράγραφοι 1 og 4 og, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, før en sådan videre behandling, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

4. Οι παράγραφοι 1, 2 og 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες,

Artikel 14

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

1. -en) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, fra sag til sag, του εκπροσώπου του υπευθύνου επεξεργασίας,
2. b) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, fra sag til sag,
3. c) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
4. d) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
5. e) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, eventuelt,

L 119/42 Den Europæiske Unions Tidende 4.5.2016

HAN

f) fra sag til sag, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 det 47 ή στο άρθρο 49 afsnit 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

1. -en) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
2. b) εάν η επεξεργασία βασίζεται στο άρθρο 6 afsnit 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
3. c) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
4. d) όταν η επεξεργασία βασίζεται στο άρθρο 6 afsnit 1 στοιχείο α) ή στο άρθρο 9 afsnit 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
5. e) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

f) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, herunder profilering, που προβλέπεται στο άρθρο 22 παράγραφοι 1 og 4 og, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 og 2:

1. -en) εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,
2. b) εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, det
3. c) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, den registeransvarlige skal give den registrerede, før en sådan videre behandling, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5. Οι παράγραφοι 1 op til 4 δεν εφαρμόζονται εάν και εφόσον:

1. -en) το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
2. b) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, til videnskabelig eller historisk forskning eller statistiske formål, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 afsnit 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. I disse tilfælde, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό,
3. c) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
4. d) εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

4.5.2016 Den Europæiske Unions Tidende L 119/43

HAN

Artikel 15

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

1. -en) τους σκοπούς της επεξεργασίας,
2. b) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
3. c) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
4. d) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
5. e) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

f) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

6. ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
7. η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, herunder profilering, που προβλέπεται στο άρθρο 22 παράγραφοι 1 og 4 og, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.

3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Τμήμα 3

Διόρθωση και διαγραφή

Artikel 16

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Artikel 17

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

-en) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ anden måde at behandle på,

L 119/44 b)

c)

d) e)

f)

Den Europæiske Unions Tidende 4.5.2016

το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 afsnit 1 στοιχείο α) ή το άρθρο 9 afsnit 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 afsnit 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 afsnit 2,

τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 afsnit 1.

HAN

2.
την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, controlleren, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3. -en) b)

c) d)

e)

Οι παράγραφοι 1 og 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,

για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 afsnit 2 στοιχεία η) και θ), καθώς και το άρθρο 9 afsnit 3,

til arkiveringsformål i almen interesse, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 afsnit 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, det

για τη θεμελίωση, udøve eller støtte retskrav.

Artikel 18

Δικαίωμα περιορισμού της επεξεργασίας

Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με

1.
επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της

1. -en) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
2. b) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,
3. c) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
4. d) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 afsnit 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

4.5.2016 Den Europæiske Unions Tidende L 119/45

HAN

3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

Artikel 19

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 afsnit 1 og artiklen 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

Artikel 20

Δικαίωμα στη φορητότητα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, i struktureret, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

-en) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 afsnit 1 στοιχείο α) ή το άρθρο 9 afsnit 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 afsnit 1 element b) og

b) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων. Τμήμα 4

Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Artikel 21

Δικαίωμα εναντίωσης

1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 afsnit 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, udøve eller støtte retskrav.

2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

L 119/46 Den Europæiske Unions Tidende 4.5.2016

HAN

4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 og 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 afsnit 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

Artikel 22

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, herunder profilering, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2. -en)

b)

c)

Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,

επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3.
εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 afsnit 1, εκτός αν ισχύει το άρθρο 9 afsnit 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

Τμήμα 5

Περιορισμοί

Artikel 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 op til 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 op til 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

1. -en) της ασφάλειας του κράτους,
2. b) της εθνικής άμυνας,
3. c) της δημόσιας ασφάλειας,

Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων

4.5.2016 Den Europæiske Unions Tidende L 119/47

HAN

4. d) af forebyggelse, af undersøgelsen, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
5. e) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, især af væsentlige økonomiske eller finansielle interesser for Unionen eller en medlemsstat, συμπεριλαμβανομένων των νομισματικών, δημοσιο­ νομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

f) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

6. ζ) af forebyggelse, af undersøgelsen, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,
7. η) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),
8. θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
9. ι) της εκτέλεσης αστικών αξιώσεων.

2. især, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

1. -en) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
2. b) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
3. c) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
4. d) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
5. e) την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

f) τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, naturen taget i betragtning, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

6. ζ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
7. η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

   ΚΕΦΑΛΑΙΟ IV

   Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

   Τμήμα 1

   Γενικές υποχρεώσεις

   Artikel 24

   Ευθύνη του υπευθύνου επεξεργασίας

1. Λαμβάνοντας υπόψη τη φύση, omfanget, konteksten og formålene med behandlingen, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαι­ ροποιούνται όταν κρίνεται απαραίτητο.

2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.

3. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.

L 119/48 Den Europæiske Unions Tidende 4.5.2016

Artikel 25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, omfanget, konteksten og formålene med behandlingen, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελε­ σματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. især, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 og 2 του παρόντος άρθρου.

Artikel 26

Από κοινού υπεύθυνοι επεξεργασίας

1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 og 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2. Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.

Artikel 27

Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση

1. Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 afsnit 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει γραπτώς εκπρόσωπο στην Ένωση.

2. -en)

Η υποχρέωση που καθορίζεται στην παράγραφος 1 του παρόντος άρθρου δεν ισχύει για:

επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 afsnit 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, naturen taget i betragtning, rammen, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, det

b)

δημόσια αρχή ή φορέα.

HAN

4.5.2016 Den Europæiske Unions Tidende L 119/49

HAN

3. Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.

4. Ο εκπρόσωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι εποπτικές αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.

5. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Artikel 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφα­ λίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

1. -en) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
2. b) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτι­ κότητας,
3. c) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,
4. d) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 og 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
5. e) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

f) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 op til 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

6. ζ) kat’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
7. η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

L 119/50 Den Europæiske Unions Tidende 4.5.2016

HAN

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 og 4 του παρόντος άρθρου.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 og 4 του παρόντος άρθρου μπορεί να βασίζεται, helt eller delvist, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 og 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 og 43.

7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 og 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2.

8. Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 og 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 og 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10. Με την επιφύλαξη των άρθρων 82, 83 og 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Artikel 29

Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

Artikel 30

Αρχεία των δραστηριοτήτων επεξεργασίας

1. Κάθε υπεύθυνος επεξεργασίας και, fra sag til sag, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

1. -en) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, fra sag til sag, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
2. b) τους σκοπούς της επεξεργασίας,
3. c) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

4.5.2016 d)

e)

f) ζ)

Den Europæiske Unions Tidende L 119/51

τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 afsnit 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 afsnit 1.

HAN

2.
των
τα εξής:

-en)

b) c)

d)

3.

το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, fra sag til sag, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,

τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 afsnit 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 afsnit 1.

Τα αρχεία που αναφέρονται στις παραγράφους 1 og 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

Κάθε εκτελών την επεξεργασία και, fra sag til sag, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει

4.
ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, fra sag til sag, ο εκπρόσωπος του υπευθύνου επεξεργασίας

5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 og 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 afsnit 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Artikel 31

Συνεργασία με την εποπτική αρχή

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, fra sag til sag, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.

Τμήμα 2

Ασφάλεια δεδομένων προσωπικού χαρακτήρα

Artikel 32

Ασφάλεια επεξεργασίας

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, omfanget, konteksten og formålene med behandlingen, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, inklusive, fra sag til sag:

-en) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

L 119/52 b)

c)

d)

Den Europæiske Unions Tidende 4.5.2016

της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2.
επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, tab, αλλοίωση, uautoriseret videregivelse eller adgang til overførte personlige data, opbevares eller indsendes af’ anden måde at behandle på.

3. -en)

b)

c) d)

Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 kat’ ελάχιστο:

περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

HAN

Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την

3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.

4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

Artikel 33

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, inden for 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 timer, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

4.
σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Artikel 34

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

4.5.2016 Den Europæiske Unions Tidende L 119/53

HAN

2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 afsnit 3 στοιχεία β), c) και δ).

3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

1. -en) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,
2. b) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
3. c) προϋποθέτει δυσανάλογες προσπάθειες. I dette tilfælde, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Τμήμα 3

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση

Artikel 35

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, omfanget, konteksten og formålene med behandlingen, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, før behandling, εκτίμηση των επιπτώσεων των σχεδια­ ζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:

1. -en) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματο­ ποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
2. b) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 afsnit 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 det
3. c) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4. Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.

5. Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.

6. Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 og 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακο­ λούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

L 119/54

Den Europæiske Unions Tidende 4.5.2016

HAN

7. -en)

b) c)

d)

Η εκτίμηση περιέχει τουλάχιστον:

συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, fra sag til sag, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 og

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8.
επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10. Όταν η επεξεργασία δυνάμει του άρθρου 6 afsnit 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 op til 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

Artikel 36

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

2. Όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, og, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3. Κατά τη διαβούλευση με την εποπτική αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική αρχή:

1. -en) fra sag til sag, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,
2. b) τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,
3. c) τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους

d) fra sag til sag, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων,

4.5.2016 Den Europæiske Unions Tidende L 119/55

HAN

e) την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 35, og

f) κάθε άλλη πληροφορία που ζητεί η εποπτική αρχή.

4. Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.

5. Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

Τμήμα 4

Υπεύθυνος προστασίας δεδομένων

Artikel 37

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

1. -en) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
2. b) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακο­ λούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, det
3. c) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.

4. Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.

5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.

Artikel 38

Θέση του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

L 119/56 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

1. -en)

b)

c)

d) e)

Artikel 39

Καθήκοντα του υπευθύνου προστασίας δεδομένων

Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξερ­ γάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,

παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητο­ ποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,

συνεργάζεται με την εποπτική αρχή,

ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

2.
συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, omfanget, konteksten og formålene med behandlingen.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που

Τμήμα 5

Κώδικες δεοντολογίας και πιστοποίηση

Artikel 40

Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, af små og mellemstore virksomheder.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:

-en) τη θεμιτή και με διαφάνεια επεξεργασία,

4.5.2016 Den Europæiske Unions Tidende

L 119/57

HAN

2. b) τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας σε συγκεκριμένα πλαίσια,
3. c) τη συλλογή δεδομένων προσωπικού χαρακτήρα,
4. d) την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα,
5. e) την ενημέρωση του κοινού και των υποκειμένων των δεδομένων,

f) την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων,

6. ζ) την ενημέρωση και την προστασία των παιδιών και τον τρόπο απόκτησης της συγκατάθεσης του ασκούντος τη γονική μέριμνα του παιδιού,
7. η) τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 og 25 και τα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας που αναφέρεται στο άρθρο 32,
8. θ) τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την ανακοίνωση των εν λόγω παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων,
9. ι) overførsel af personoplysninger til tredjelande eller internationale organisationer, det

ια) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει των άρθρων 77 og 79.

3. Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου και έχουν γενική ισχύ βάσει της παραγράφου 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία μη υπαγόμενους στον παρόντα κανονισμό σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 afsnit 2 στοιχείο ε). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

4. Ο κώδικας δεοντολογίας που αναφέρεται στην παράγράφο 2 του παρόντος άρθρου περιέχει μηχανισμούς που επιτρέπουν στον αναφερόμενο στο άρθρο 41 afsnit 1 φορέα να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 det 56.

5. Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Η εποπτική αρχή γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.

6. Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή καταχωρίζει και δημοσιεύει τον κώδικα.

7. Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, πριν από την έγκριση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης, στη διαδικασία που προβλέπεται στο άρθρο 63 στο Συμβούλιο Προστασίας Δεδομένων, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως προς την παροχή επαρκών εγγυήσεων από αυτόν.

8. Σε περίπτωση που η γνωμοδότηση που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το κώδικα, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις που της υποβλήθηκαν δυνάμει της παραγράφου 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2.

L 119/58 Den Europæiske Unions Tidende 4.5.2016

HAN

10. Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.

11. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.

Artikel 41

Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 og 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.

2. med

-en) b)

c)

d)

Ο φορέας όπως αναφέρεται στην παράγραφο 1 μπορεί να είναι διαπιστευμένος για την παρακολούθηση της συμμόρφωσης κώδικα δεοντολογίας, εφόσον ο εν λόγω φορέας:

έχει αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη του σε σχέση με το αντικείμενο του κώδικα κατά την κρίση της αρμόδιας εποπτικής αρχής,

έχει καθιερώσει διαδικασίες που του επιτρέπουν την εκτίμηση της επιλεξιμότητας των σχετικών υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία προκειμένου να εφαρμόσουν τον κώδικα, την παρακολούθηση της συμμόρφωσής τους με τις διατάξεις του και την περιοδική επανεξέταση της λειτουργίας του,

έχει θεσπίσει διαδικασίες και δομές για την αντιμετώπιση καταγγελιών περί παραβάσεων του κώδικα ή περί του τρόπου με τον οποίον ο κώδικας έχει εφαρμοστεί ή εφαρμόζεται από έναν υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, og

αποδεικνύει, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις του δεν συνεπάγονται σύγκρουση συμφερόντων.

3.
του παρόντος άρθρου στο Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

Η αρμόδια εποπτική αρχή υποβάλλει τα σχέδια κριτηρίων πιστοποίησης του φορέα όπως αναφέρεται στην παράγραφο 1

4. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής και των διατάξεων του κεφαλαίου VIII, ο φορέας όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου αναλαμβάνει, με την επιφύλαξη κατάλληλων εγγυήσεων, κατάλληλη δράση σε περίπτωση παράβασης του κώδικα από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, περιλαμβανομένης της αναστολής άσκησης καθηκόντων ή της εξαίρεσης του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από τον κώδικα. Ενημερώνει την αρμόδια εποπτική αρχή για τις δράσεις αυτές και για τους λόγους ανάληψής τους.

5. Η αρμόδια εποπτική αρχή ανακαλεί την πιστοποίηση φορέα όπως αναφέρεται στην παράγραφο 1, εάν οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή οι ενέργειες που αναλήφθηκαν από τον φορέα παραβαίνουν τον παρόντα κανονισμό.

6. Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς.

Artikel 42

Πιστοποίηση

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, af små og mellemstore virksomheder.

4.5.2016 Den Europæiske Unions Tidende L 119/59

HAN

2. Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, ifølge artiklen 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 afsnit 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.
4. Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος

την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 det 56.

5. Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 afsnit 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.

6 Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 det, ανάλογα με την περίπτωση, στην αρμόδια εποπτική αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.

7. Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.

8. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

Artikel 43

Φορείς πιστοποίησης

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 og 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 afsnit 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:

-en) b)

-en) έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,

(1) Kανονισμός (FRA) ingen. 765/2008 af Europa-Parlamentet og Rådet, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) ingen. 339/93 του Συμβουλίου (EE L 218 hende 13.8.2008, s. 30).

την εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 det 56,

τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (FRA) ingen. 765/2008 af Europa-Parlamentet og Rådet (1), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρω­ ματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 det 56.

Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο,

2.
μόνο εφόσον:

L 119/60 b)

c) d)

e)

Den Europæiske Unions Tidende 4.5.2016

έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 afsnit 5 και τα οποία έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 det 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,

έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,

έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, og

αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.

HAN

3.
ποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 det 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (FRA) ingen. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.

4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.

5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης.

6. Οι απαιτήσεις της παραγράφου 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

7. Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 afsnit 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2.

ΚΕΦΑΛΑΙΟ V

Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Artikel 44

Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 og 2 του παρόντος άρθρου πραγματο­

4.5.2016 Den Europæiske Unions Tidende L 119/61

HAN

Artikel 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. -en)

b)

c)

Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, Især, τα ακόλουθα στοιχεία:

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμ­ βανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, og

τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3.
εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 afsnit 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 afsnit 6 i direktiv 95/46/EF.

5. Udvalget, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 afsnit 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 op til 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

Udvalget, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι

L 119/62 Den Europæiske Unions Tidende 4.5.2016

HAN

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 afsnit 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 det 5 του παρόντος άρθρου.

Artikel 46

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

1. Ελλείψει απόφασης δυνάμει του άρθρου 45 afsnit 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

1. -en) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,
2. b) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,
3. c) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 afsnit 2,
4. d) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2,
5. e) εγκεκριμένου κώδικα δεοντολογίας, ifølge artiklen 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, det

f) εγκεκριμένου μηχανισμού πιστοποίησης, ifølge artiklen 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

-en)

b)

συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή

διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4.
αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που

5. Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 afsnit 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 afsnit 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

Artikel 47

Δεσμευτικοί εταιρικοί κανόνες

1. Η αρμόδια εποπτική αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:

-en) είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,

4.5.2016 Den Europæiske Unions Tidende L 119/63

HAN

2. b) απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και
3. c) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2. Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:

1. -en) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,
2. b) τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,
3. c) τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,
4. d) την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,
5. e) τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,

f) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, helt eller delvist, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,

6. ζ) τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), e) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 og 14,
7. η) τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακο­ λούθηση της κατάρτισης και του χειρισμού των καταγγελιών,
8. θ) τις διαδικασίες καταγγελίας,
9. ι) τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική αρχή,

226. ια) τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
227. ιβ) τον μηχανισμό συνεργασίας με την εποπτική αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),
228. ιγ) τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και
229. ιδ) την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

L 119/64 Den Europæiske Unions Tidende 4.5.2016

HAN

3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 afsnit 2.

Artikel 48

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή καθ’ οιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.

Artikel 49

Παρεκκλίσεις για ειδικές καταστάσεις

1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 afsnit 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

1. -en) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
2. b) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
3. c) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
4. d) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
5. e) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

f) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,

ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.

Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 det 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 og 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

4.5.2016 Den Europæiske Unions Tidende L 119/65

HAN

3. Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), b) και γ) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστη­ ριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. I mangel af en beslutning om tilstrækkelighed, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, af alvorlige almene hensyn, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.

Artikel 50

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:

1. -en) την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
2. b) την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,
3. c) τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
4. d) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

   ΚΕΦΑΛΑΙΟ VI

   Ανεξάρτητες εποπτικές αρχές

   Τμήμα 1

   Ανεξάρτητο καθεστώς

   Artikel 51

   Εποπτική αρχή

1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακο­ λούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση ("tilsynsmyndighed").

2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.

3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή που θα εκπροσωπεί τις εν λόγω αρχές στο Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των υπόλοιπων αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 63.

4. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, έως τις 25 Μαΐου 2018 og, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

L 119/66 Den Europæiske Unions Tidende 4.5.2016

HAN

Artikel 52

Ανεξαρτησία

1. Κάθε εποπτική αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, i deres embedsperiode, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, rentabelt eller ej.

4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.

Artikel 53

Γενικές προϋποθέσεις για τα μέλη της εποπτικής αρχής

1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους πρέπει να διορίζεται με διαφανή διαδικασία από: — το κοινοβούλιό τους,
— την κυβέρνησή τους,
— τον αρχηγό κράτους τους ή

— ανεξάρτητο φορέα στον οποίο έχει ανατεθεί, σύμφωνα με το δίκαιο του κράτους μέλους, ο διορισμός.

2. Κάθε μέλος διαθέτει, ιδίως στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα, τα προσόντα, την εμπειρία και τις δεξιότητες που απαιτούνται για την εκτέλεση των καθηκόντων του και την άσκηση των αρμοδιοτήτων του.

3. Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με το δίκαιο του οικείου κράτους μέλους.

4. Μέλος μπορεί να απολυθεί μόνο σε περίπτωση σοβαρού παραπτώματος ή εάν παύει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

Artikel 54

Κανόνες για τη σύσταση της εποπτικής αρχής

1. Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα: -en) τη σύσταση κάθε εποπτικής αρχής,

4.5.2016

Den Europæiske Unions Tidende L 119/67

HAN

b) c) d)

e) f)

τα προσόντα και τις προϋποθέσεις επιλεξιμότητας που απαιτούνται για τον διορισμό μέλους κάθε εποπτικής αρχής,

τους κανόνες και τις διαδικασίες για τον διορισμό του μέλους ή των μελών κάθε εποπτικής αρχής,

τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 24 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών,

κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό,

τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών ασυμβίβαστων προς τις υποχρεώσεις αυτές, τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, και τους κανόνες που διέπουν την παύση της απασχόλησης.

2.
κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, όσον αφορά τις εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των αρμοδιοτήτων τους. Κατά τη διάρκεια της θητείας τους, η εν λόγω υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού.

Τμήμα 2

Αρμοδιότητα, καθήκοντα και εξουσίες

Artikel 55

Αρμοδιότητα

1. Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.

2. Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 afsnit 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.

3. Οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.

Artikel 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3. Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του

L 119/68 Den Europæiske Unions Tidende 4.5.2016

HAN

4. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 afsnit 3.

5. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 og 62.

6. Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Artikel 57

Καθήκοντα

1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:

1. -en) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
2. b) προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά,
3. c) συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας,
4. d) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
5. e) κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, eventuelt, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη,

f) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,

6. ζ) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού,
7. η) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,
8. θ) παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών και των εμπορικών πρακτικών,
9. ι) θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 28 afsnit 8 και του άρθρου 46 afsnit 2 στοιχείο δ),

226. ια) καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 afsnit 4,
227. ιβ) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 afsnit 2,
228. ιγ) ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 afsnit 1 και διατυπώνει γνώμη και εγκρίνει τέτοιους κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις, ifølge artiklen 40 afsnit 5,
229. ιδ) ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας των δεδομένων δυνάμει του άρθρου 42 afsnit 1 και εγκρίνει τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 afsnit 5,
230. ιε) fra sag til sag, διενεργεί περιοδική επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 afsnit 7,

4.5.2016 Den Europæiske Unions Tidende L 119/69

HAN

ιστ) σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,

231. ιζ) διενεργεί τη διαπίστευση φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,
232. ιη) επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 46 afsnit 3,
233. ιθ) εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47,

κ) συμβάλλει στις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων,

251. κα) τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 afsnit 2, og
252. κβ) εκπληρώνεικάθεάλλοκαθήκονσχετικόμετηνπροστασίαδεδομένωνπροσωπικούχαρακτήρα.

2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ) με μέτρα όπως το έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, uden at udelukke andre kommunikationsmidler.

3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το υποκείμενο των δεδομένων και, fra sag til sag, για τον υπεύθυνο προστασίας δεδομένων.

4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

Artikel 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

1. -en) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
2. b) να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,
3. c) να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 afsnit 7,
4. d) να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,
5. e) να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

f) να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

1. -en) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,
2. b) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,
3. c) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

L 119/70 d)

e)

f) ζ)

η)

θ)

ι) 3. -en)

b)

c)

d) e) f) ζ)

η) θ) ι)

Den Europæiske Unions Tidende 4.5.2016

να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,

να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 og 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 afsnit 2 και του άρθρου 19,

να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 og 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36,

να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

να επιτρέπει την επεξεργασία που αναφέρεται στο άρθρο 36 afsnit 5, εάν το δίκαιο του κράτους μέλους απαιτεί αυτήν την προηγούμενη έγκριση,

να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά δυνάμει του άρθρου 40 afsnit 5,

να παρέχει διαπίστευση σε φορείς πιστοποίησης σύμφωνα με το άρθρο 43,

να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 afsnit 5,

να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 afsnit 8 και του άρθρου 46 afsnit 2 στοιχείο δ),

να επιτρέπει συμβατικές ρήτρες του άρθρου 46 afsnit 3 στοιχείο α),
να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 afsnit 3 element b), να εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47.

HAN

4.
περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις,

5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, fra sag til sag, να κινεί ή να μετέχει κατ’ άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.

6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 og 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.

Artikel 59

Εκθέσεις δραστηριοτήτων

Κάθε εποπτική αρχή καταρτίζει ετήσια έκθεση των δραστηριοτήτων της, η οποία μπορεί να περιλαμβάνει κατάλογο των τύπων των κοινοποιημένων παραβάσεων και το είδος των μέτρων που λήφθηκαν σύμφωνα με το άρθρο 58 afsnit 2. Οι εν λόγω εκθέσεις υποβάλλονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές, όπως ορίζεται από το δίκαιο του κράτους μέλους. Καθίσταται διαθέσιμη στο κοινό, στην Επιτροπή και στο Συμβούλιο Προστασίας Δεδομένων.

4.5.2016

Den Europæiske Unions Tidende

L 119/71

HAN

ΚΕΦΑΛΑΙΟ VII

Συνεργασία και συνεκτικότητα

Τμήμα 1

Συνεργασία

Artikel 60

Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών

1.
σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσουν μεταξύ τους κάθε συναφή πληροφορία.

2. Η επικεφαλής εποπτική αρχή μπορεί να ζητεί ανά πάσα στιγμή από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή δυνάμει του άρθρου 61 και μπορεί να διεξάγει κοινές επιχειρήσεις δυνάμει του άρθρου 62, ιδίως για την εκτέλεση ερευνών ή για την παρακολούθηση της εφαρμογής μέτρου που αφορά υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε άλλο κράτος μέλος.

3. Η επικεφαλής εποπτική αρχή ανακοινώνει χωρίς καθυστέρηση τις συναφείς πληροφορίες για το θέμα αυτό στις άλλες ενδιαφερόμενες εποπτικές αρχές. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.

4. Εάν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές, εντός προθεσμίας τεσσάρων εβδομάδων από την αίτηση γνωμοδότησης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, προβάλλει σχετική και αιτιολογημένη ένσταση για το σχέδιο απόφασης, η επικεφαλής εποπτική αρχή, εάν δεν ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι σχετική ή αιτιολογημένη, υποβάλλει το ζήτημα στον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

5. Εάν η επικεφαλής εποπτική αρχή σκοπεύει να ακολουθήσει τη διατυπωθείσα σχετική και αιτιολογημένη ένσταση, υποβάλλει στις άλλες ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο απόφασης για να εκφέρουν τη γνώμη τους. Αυτό το αναθεωρημένο σχέδιο απόφασης υπόκειται στη διαδικασία που αναφέρεται στην παράγραφο 4, εντός προθεσμίας δύο εβδομάδων.

6. Όταν καμία από τις άλλες ενδιαφερόμενες εποπτικές αρχές δεν έχει διατυπώσει ένσταση για το σχέδιο απόφασης που υπέβαλε η επικεφαλής εποπτική αρχή εντός της προθεσμίας που αναφέρεται στις παραγράφους 4 og 5, τεκμαίρεται ότι η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν με το εν λόγω σχέδιο απόφασης και δεσμεύονται από αυτό.

7. Η επικεφαλής εποπτική αρχή εκδίδει και κοινοποιεί την απόφαση στην κύρια ή, αναλόγως, τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το Συμβούλιο Προστασίας Δεδομένων για την απόφαση αυτή, παρέχοντας μεταξύ άλλων σύνοψη των πραγματικών περιστατικών και των νομικών ισχυρισμών. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα σχετικά με την απόφαση.

8. Κατά παρέκκλιση από την παράγραφο 7, εάν μια καταγγελία έχει κριθεί απαράδεκτη ή έχει απορριφθεί, η εποπτική αρχή προς την οποία υποβλήθηκε η καταγγελία εκδίδει την απόφαση, την κοινοποιεί στον καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας.

9. Εάν η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν να κρίνουν απαράδεκτα ή να απορρίψουν τμήματα μιας καταγγελίας και να ενεργήσουν ως προς άλλα τμήματα της ίδιας καταγγελίας, εκδίδεται χωριστή απόφαση για καθένα από τα τμήματα αυτά. Η επικεφαλής εποπτική αρχή εκδίδει την απόφαση για το τμήμα που αφορά ενέργειες του υπευθύνου επεξεργασίας, την κοινοποιεί στην κύρια ή τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο έδαφος του οικείου κράτους μέλους και ενημερώνει σχετικά τον καταγγέλλοντα, ενώ η εποπτική αρχή του καταγγέλλοντος εκδίδει την απόφαση για το τμήμα αναφορικά με το απαράδεκτο ή την απόρριψη της εν λόγω καταγγελίας και την κοινοποιεί στον εν λόγω καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.

10. Μετά την κοινοποίηση της απόφασης της επικεφαλής εποπτικής αρχής σύμφωνα με τις παραγράφους 7 og 9, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για να διασφαλίσει τη συμμόρφωση με την απόφαση όσον αφορά τις δραστηριότητες επεξεργασίας σε όλες τις εγκαταστάσεις του στην Ένωση. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιεί τα ληφθέντα μέτρα για τη συμμόρφωση με την απόφαση στην επικεφαλής εποπτική αρχή, η οποία ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές.

Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο με

L 119/72 Den Europæiske Unions Tidende 4.5.2016

HAN

11. Hvis, σε έκτακτες περιστάσεις, μια ενδιαφερόμενη εποπτική αρχή έχει λόγους να κρίνει ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των υποκειμένων των δεδομένων, εφαρμόζεται η επείγουσα διαδικασία που αναφέρεται στο άρθρο 66.

12. Η επικεφαλής εποπτική αρχή και οι άλλες ενδιαφερόμενες εποπτικές αρχές παρέχουν τις πληροφορίες που απαιτούνται δυνάμει του παρόντος άρθρου σε κάθε άλλη αρχή με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.

Artikel 61

Αμοιβαία συνδρομή

1. Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, Især, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.

2. Κάθε εποπτική αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει σε αίτημα άλλης εποπτικής αρχής αμελλητί και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, Især, τη διαβίβαση σχετικών πληροφοριών όσον αφορά τη διενέργεια έρευνας.

3. Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, μεταξύ αυτών τον σκοπό και τους λόγους υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.

4. Εποπτική αρχή στην οποία υποβλήθηκε αίτημα δεν αρνείται να συμμορφωθεί προς το αίτημα, παρά μόνο εάν:

-en) δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για μέτρα που πρέπει να εκτελέσει ή

b) η συμμόρφωση προς το αίτημα θα παραβίαζε τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται η εποπτική αρχή που λαμβάνει το αίτημα.

5. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο των μέτρων που έλαβε για να ανταποκριθεί στο αίτημα. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα εξηγεί τους λόγους για οποιαδήποτε άρνηση συμμόρφωσης προς αίτημα δυνάμει της παραγράφου 4.

6. Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.

7. Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα δεν επιβάλλουν τέλος για οποιαδήποτε ενέργεια στην οποία προέβησαν σε συνέχεια αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.

8. Εάν μια εποπτική αρχή δεν παράσχει τις αναφερόμενες στην παράγραφο 5 του παρόντος άρθρου πληροφορίες εντός μηνός από την παραλαβή του αιτήματος άλλης εποπτικής αρχής, η εποπτική αρχή που υπέβαλε το αίτημα δύναται να θεσπίσει προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 55 afsnit 1. I dette tilfælde, θεωρείται ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων βάσει του άρθρο 66 afsnit 1 και απαιτείται επείγουσα δεσμευτική απόφαση του Συμβουλίου Προστασίας Δεδομένων, ifølge artiklen 66 afsnit 2.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ ελεγκτικών αρχών και μεταξύ ελεγκτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 afsnit 2.

Artikel 62

Κοινές επιχειρήσεις αρχών ελέγχου

1. Οι εποπτικές αρχές πραγματοποιούν, όταν χρειάζεται, κοινές επιχειρήσεις, μεταξύ άλλων και κοινές έρευνες και κοινά μέτρα επιβολής, στα οποία συμμετέχουν μέλη ή υπάλληλοι από εποπτικές αρχές άλλων κρατών μελών.

4.5.2016 Den Europæiske Unions Tidende L 119/73

HAN

2. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες σημαντικός αριθμός υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη ενδέχεται να επηρεάζονται σημαντικά από πράξεις επεξεργασίας, μια εποπτική αρχή από καθένα από αυτά τα κράτη μέλη δικαιούται να συμμετέχει στις κοινές επιχειρήσεις. Η εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 56 afsnit 1 det 4, καλεί τις εποπτικές αρχές εκάστου εκ των εν λόγω κρατών μελών να λάβουν μέρος στις κοινές επιχειρήσεις και απαντά αμελλητί στο αίτημα εποπτικής αρχής για συμμετοχή.

3. Η εποπτική αρχή μπορεί, σε συμφωνία με το δίκαιο του κράτους μέλους και με την έγκριση της εποπτικής αρχής απόσπασης, να απονέμει εξουσίες, περιλαμβανομένων εξουσιών έρευνας, στα μέλη ή στους υπαλλήλους της εποπτικής αρχής απόσπασης που συμμετέχουν σε κοινές επιχειρήσεις ή, εφόσον το επιτρέπει το δίκαιο του κράτους μέλους της εποπτικής αρχής υποδοχής, να επιτρέπει στα μέλη ή στους υπαλλήλους της εποπτικής αρχής απόσπασης να ασκούν τις εξουσίες τους έρευνας σύμφωνα με το δίκαιο του κράτους μέλους της εποπτικής αρχής απόσπασης. Οι εν λόγω εξουσίες έρευνας μπορούν να ασκούνται μόνο υπό την καθοδήγηση και παρουσία μελών ή υπαλλήλων της εποπτικής αρχής υποδοχής. Τα μέλη ή οι υπάλληλοι της εποπτικής αρχής απόσπασης υπάγονται στο δίκαιο του κράτους μέλους της εποπτικής αρχής υποδοχής.

4. Hvornår, σύμφωνα με την παράγραφο 1, το προσωπικό της εποπτικής αρχής απόσπασης ενεργεί σε άλλο κράτος μέλος, το κράτος μέλος της εποπτικής αρχής υποδοχής αναλαμβάνει την ευθύνη για τις πράξεις τους, περιλαμβανομένης και εκείνης για οποιαδήποτε ζημία προκαλέσει κατά τη διάρκεια των εκεί δραστηριοτήτων του, σύμφωνα με το δίκαιο του κράτους μέλους στο έδαφος του οποίου ενεργεί.

5. Το κράτος μέλος στο έδαφος του οποίου προκαλείται η ζημία την αποκαθιστά υπό τους όρους που ισχύουν για τις ζημίες που προκαλεί το προσωπικό του. Το κράτος μέλος της εποπτικής αρχής απόσπασης του οποίου το προσωπικό προκάλεσε ζημία σε οποιοδήποτε πρόσωπο στο έδαφος άλλου κράτους μέλους επιστρέφει στο εν λόγω άλλο κράτος μέλος το σύνολο των ποσών που κατέβαλε στους δικαιούχους.

6. Με την επιφύλαξη της άσκησης των δικαιωμάτων του έναντι τρίτων και κατ’ εξαίρεση από την παράγραφο 5, κάθε κράτος μέλος παραιτείται, στην περίπτωση της παραγράφου 1, από τη δυνατότητα να ζητήσει από άλλο κράτος μέλος αποζημίωση για ζημίες που αναφέρονται στην παράγραφο 4.

7. Εάν πρόκειται να πραγματοποιηθεί κοινή επιχείρηση και μια εποπτική αρχή δεν συμμορφώνεται εντός προθεσμίας ενός μηνός προς την υποχρέωση που προβλέπεται στη δεύτερη περίοδο της παραγράφου 2 του παρόντος άρθρου, οι υπόλοιπες εποπτικές αρχές δύνανται να θεσπίσουν προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγονται σύμφωνα με το άρθρο 55. I dette tilfælde, θεωρείται ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων βάσει του άρθρο 66 afsnit 1 και απαιτείται γνώμη ή επείγουσα δεσμευτική απόφαση του Συμβουλίου Προστασίας Δεδομένων σύμφωνα με το άρθρο 66 afsnit 2.

Τμήμα 2

Συνεκτικότητα

Artikel 63

Μηχανισμός συνεκτικότητας

Προκειμένου να συμβάλλουν στη συνεκτική εφαρμογή του παρόντος κανονισμού στο σύνολο της Ένωσης, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, εφόσον απαιτείται, με την Επιτροπή, μέσω του μηχανισμού συνεκτικότητας όπως προβλέπεται στο παρόν τμήμα.

Artikel 64

Γνώμη του Συμβουλίου

1. Το Συμβούλιο εκδίδει γνώμη όποτε μια αρμόδια εποπτική αρχή προτίθεται να θεσπίσει οποιοδήποτε από τα κατωτέρω μέτρα. Til dette formål, η αρμόδια εποπτική αρχή ανακοινώνει το σχέδιο απόφασης στο Συμβούλιο, όταν:

1. -en) αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 afsnit 4,
2. b) αφορά ζήτημα δυνάμει του άρθρου 40 afsnit 7 του κατά πόσο ένα σχέδιο κώδικα δεοντολογίας ή μια τροποποίηση ή επέκταση κώδικα δεοντολογίας συνάδει με τον παρόντα κανονισμό,

L 119/74 c)

d)

e) f)

Den Europæiske Unions Tidende 4.5.2016

αποσκοπεί στην έγκριση των κριτηρίων για τη διαπίστευση φορέα σύμφωνα με το άρθρο 41 afsnit 3 ή φορέα πιστοποίησης σύμφωνα με το άρθρο 43 afsnit 3,

αποσκοπεί στον καθορισμό των τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 46 afsnit 2 στοιχείο δ) και στο άρθρο 28 afsnit 8,

αποσκοπεί στην έγκριση συμβατικών ρητρών του άρθρου 46 afsnit 3 στοιχείο α) ή αποσκοπεί στην έγκριση δεσμευτικών εταιρικών κανόνων κατά την έννοια του άρθρου 47.

HAN

2.
οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορ­ φώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62.

3. Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 og 2, το Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη σχετικά με το αντικείμενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώμη επί του ίδιου θέματος. Η γνώμη αυτή εκδίδεται εντός προθεσμίας οκτώ εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Η προθεσμία αυτή μπορεί να παραταθεί κατά έξι ακόμα εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα του θέματος. Όσον αφορά το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 και κοινοποιείται στα μέλη του Διοικητικού Συμβουλίου σύμφωνα με την παράγραφο 5, ένα μέλος που δεν έχει προβάλει αντιρρήσεις εντός εύλογης προθεσμίας που ορίζεται από τον πρόεδρο θεωρείται ότι συμφωνεί με το σχέδιο απόφασης.

4. Οι εποπτικές αρχές και η Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση, ανακοινώνουν ηλεκτρονικά, χρησιμοποιώντας τυποποιημένο μορφότυπο, στο Συμβούλιο Προστασίας Δεδομένων κάθε σχετική πληροφορία, συμπεριλαμβανομένων, ανάλογα με την περίπτωση, της σύνοψης των πραγματικών περιστατικών, του σχεδίου απόφασης, των λόγων για τους οποίους η εφαρμογή του εν λόγω μέτρου είναι αναγκαία και των απόψεων άλλων ενδιαφερόμενων εποπτικών αρχών.

5. -en)

b)

Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ενημερώνει αμελλητί με ηλεκτρονικό τρόπο:

τα μέλη του Συμβουλίου Προστασίας Δεδομένων και την Επιτροπή για κάθε σχετική πληροφορία που του έχει ανακοινωθεί, χρησιμοποιώντας τυποποιημένο μορφότυπο. Η γραμματεία του Συμβουλίου Προστασίας Δεδομένων παρέχει μεταφράσεις των σχετικών πληροφοριών, εφόσον απαιτείται, og

την εποπτική αρχή που αναφέρεται, ανάλογα με την περίπτωση, στις παραγράφους 1 og 2, καθώς και την Επιτροπή ως προς τη γνώμη, και τη δημοσιοποιεί.

Κάθε εποπτική αρχή, ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ή η Επιτροπή μπορεί να ζητήσει την εξέταση

6.
αναφέρεται στην παράγραφο 3.

Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσμίας που

7. Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαμβάνει ιδιαιτέρως υπόψη τη γνώμη του Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων με ηλεκτρονικά μέσα κατά πόσο θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασης και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο απόφασης, χρησιμοποιώντας τυποποιημένο μορφότυπο.

8. Όταν η ενδιαφερόμενη εποπτική αρχή ενημερώνει τον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων, εντός της προθεσμίας που αναφέρεται στην παράγραφο 7 του παρόντος άρθρου, ότι δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων, στο σύνολό της ή εν μέρει, παρέχοντας τη σχετική αιτιολογία, εφαρμόζεται το άρθρο 65 afsnit 1.

Artikel 65

Επίλυση διαφορών από το Συμβούλιο Προστασίας Δεδομένων

1. Προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:

-en) όταν, στην περίπτωση που αναφέρεται στο άρθρο 60 afsnit 4, η ενδιαφερόμενη εποπτική αρχή έχει διατυπώσει σχετική και αιτιολογημένη ένσταση ως προς σχέδιο απόφασης της επικεφαλής αρχής ή η επικεφαλής αρχή έχει απορρίψει την εν λόγω ένσταση ως μη σχετική ή αιτιολογημένη. Η δεσμευτική απόφαση αφορά όλα τα θέματα που αποτελούν το αντικείμενο της σχετικής και αιτιολογημένης ένστασης, ιδίως όταν υπάρχει παράβαση του παρόντος κανονισμού,

4.5.2016 b)

c)

Den Europæiske Unions Tidende L 119/75

όταν υπάρχουν αντικρουόμενες απόψεις σχετικά με το ποια από τις ενδιαφερόμενες εποπτικές αρχές είναι αρμόδια για την κύρια εγκατάσταση,

εάν μια αρμόδια εποπτική αρχή δεν ζητήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 64 afsnit 1 ή δεν ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων που εκδίδεται δυνάμει του άρθρου 64. I dette tilfælde, κάθε ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή μπορεί να ανακοινώσει το θέμα στο Συμβούλιο Προστασίας Δεδομένων.

HAN

2.
δύο τρίτων των μελών του Συμβουλίου Προστασίας Δεδομένων. Η συγκεκριμένη προθεσμία μπορεί να παραταθεί κατά έναν ακόμα μήνα, λόγω της πολυπλοκότητας του αντικειμένου. Η αναφερόμενη στην παράγραφο 1 απόφαση είναι αιτιολογημένη και απευθύνεται στην επικεφαλής εποπτική αρχή και όλες τις ενδιαφερόμενες εποπτικές αρχές και είναι δεσμευτική για αυτές.

3. Όταν το Συμβούλιο Προστασίας Δεδομένων δεν είναι σε θέση να λάβει απόφαση εντός της προθεσμίας που αναφέρεται στην παράγραφο 2, εκδίδει την απόφασή του εντός δύο εβδομάδων από τη λήξη του δεύτερου μήνα που αναφέρεται στην παράγραφο 2 με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Όταν τα μέλη του Συμβουλίου Προστασίας Δεδομένων δεν συμφωνούν, η απόφαση αυτή εκδίδεται με την ψήφο του Προέδρου του.

4. Οι ενδιαφερόμενες εποπτικές αρχές δεν εκδίδουν απόφαση σχετικά με το θέμα που υποβάλλεται στο Συμβούλιο Προστασίας Δεδομένων βάσει της παραγράφου 1 κατά τη διάρκεια των προθεσμιών που αναφέρονται στις παραγράφους 2 og 3.

5. Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, την απόφαση που αναφέρεται στην παράγραφο 1 προς τις ενδιαφερόμενες εποπτικές αρχές. Ενημερώνει σχετικά την Επιτροπή. Η απόφαση δημοσιεύεται χωρίς καθυστέρηση στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων, αφού η εποπτική αρχή κοινοποιήσει την τελική απόφαση που αναφέρεται στην παράγραφο 6.

6. Η επικεφαλής εποπτική αρχή ή, ανάλογα με την περίπτωση, η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία λαμβάνει την τελική της απόφαση επί τη βάσει της απόφασης που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο ένα μήνα αφού το Συμβούλιο Προστασίας Δεδομένων έχει κοινοποιήσει την απόφασή του. Η επικεφαλής εποπτική αρχή ή, ανάλογα με την περίπτωση, η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία ενημερώνει το Συμβούλιο Προστασίας Δεδομένων για την ημερομηνία κατά την οποία η τελική της απόφαση κοινοποιείται στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και στο υποκείμενο των δεδομένων αντίστοιχα. Η τελική απόφαση των ενδιαφερόμενων εποπτικών αρχών λαμβάνεται σύμφωνα με τους όρους του άρθρου 60 παράγραφοι 7, 8 og 9. Η τελική απόφαση παραπέμπει στην απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου και διευκρινίζει ότι η απόφαση που αναφέρεται στην εν λόγω παράγραφο θα δημοσιευθεί στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων σύμφωνα με την παράγραφο 5 του παρόντος άρθρου. Στην τελική απόφαση επισυνάπτεται η απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου.

Artikel 66

Επείγουσα διαδικασία

1. Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται, κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας των άρθρων 63, 64 og 65 ή τη διαδικασία του άρθρου 60, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες. Η εποπτική αρχή ανακοινώνει αμελλητί τα εν λόγω μέτρα, καθώς και την αιτιολόγηση για τη θέσπισή τους, στις υπόλοιπες ενδιαφερόμενες εποπτικές αρχές, στο Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2. Εάν εποπτική αρχή έχει λάβει μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι απαιτούνται επειγόντως οριστικά μέτρα, μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή επείγουσας δεσμευτικής απόφασης από το Συμβούλιο Προστασίας Δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση.

3. Κάθε εποπτική αρχή μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή δεσμευτικής απόφασης, ανάλογα με την περίπτωση, από το Συμβούλιο Προστασίας Δεδομένων, όταν δεν έχουν ληφθεί τα κατάλληλα μέτρα από αρμόδια εποπτική αρχή σε περίπτωση στην οποία απαιτείται επειγόντως η λήψη μέτρων για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση, μεταξύ άλλων και την επείγουσα ανάγκη λήψης μέτρων.

4. Κατά παρέκκλιση από το άρθρο 64 afsnit 3 og artiklen 65 afsnit 2, η επείγουσα γνώμη ή η επείγουσα δεσμευτική απόφαση κατά τις παραγράφους 2 og 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων.

Η απόφαση που αναφέρεται στην παράγραφο 1 εκδίδεται εντός μηνός από την παραπομπή του θέματος με πλειοψηφία

L 119/76 Den Europæiske Unions Tidende 4.5.2016

HAN

Artikel 67

Ανταλλαγή πληροφοριών

Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις γενικής εμβέλειας προκειμένου να προσδιορίζει τις ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως τον τυποποιημένο μορφότυπο που αναφέρεται στο άρθρο 64.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 afsnit 2. Τμήμα 3

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Artikel 68

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

1. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ("Databeskyttelsesrådet") συστήνεται ως όργανο της Ένωσης και διαθέτει νομική προσωπικότητα.

2. Το Συμβούλιο Προστασίας Δεδομένων εκπροσωπείται από τον Πρόεδρό του.
3. Το Συμβούλιο Προστασίας Δεδομένων απαρτίζεται από τον προϊστάμενο μίας εποπτικής αρχής κάθε κράτους μέλους και

από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους.

4. Εάν σε ένα κράτος μέλος υπάρχουν περισσότερες εποπτικές αρχές επιφορτισμένες με την παρακολούθηση της εφαρμογής των διατάξεων βάσει του παρόντος κανονισμού, ορίζεται κοινός εκπρόσωπος σύμφωνα με το δίκαιο του εν λόγω κράτους μέλους.

5. Η Επιτροπή δικαιούται να συμμετέχει χωρίς δικαίωμα ψήφου στις δραστηριότητες και στις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων. Η Επιτροπή ορίζει τον εκπρόσωπό της. Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ανακοινώνει στην Επιτροπή τις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων.

6. Στις περιπτώσεις που αναφέρονται στο άρθρο 65, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει δικαίωμα ψήφου μόνο στις αποφάσεις που αφορούν τις αρχές και τους κανόνες που ισχύουν στα θεσμικά όργανα της Ένωσης, στους φορείς, στις υπηρεσίες και στους οργανισμούς που αντιστοιχούν κατ’ ουσίαν προς εκείνους του παρόντος κανονισμού.

Artikel 69

Ανεξαρτησία

1. Το Συμβούλιο Προστασίας Δεδομένων ενεργεί ανεξάρτητα κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του δυνάμει των άρθρων 70 og 71.

2. Με την επιφύλαξη των αιτημάτων της Επιτροπής σύμφωνα με το άρθρο 70 afsnit 1 element b) og artiklen 70 afsnit 2, το Συμβούλιο Προστασίας Δεδομένων δεν ζητεί ούτε λαμβάνει οδηγίες από οποιονδήποτε κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του.

Artikel 70

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1. Το Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Til dette formål, το Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή, fra sag til sag, κατόπιν αιτήματος της Επιτροπής, Især:

-en) παρακολουθεί και διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού στις περιπτώσεις που προβλέπονται στα άρθρα 64 og 65, με την επιφύλαξη των καθηκόντων των εθνικών εποπτικών αρχών,

4.5.2016 Den Europæiske Unions Tidende L 119/77

HAN

2. b) συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού,
3. c) συμβουλεύει την Επιτροπή σχετικά με τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες,
4. d) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στο άρθρο 17 afsnit 2,
5. e) εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού,

f) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση προφίλ δυνάμει του άρθρου 22 afsnit 2,

6. ζ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου σχετικά με τη διαπίστωση των παραβίασεων των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στο άρθρο 33 παράγραφοι 1 og 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υποχρεούται να κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα,
7. η) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34 afsnit 1,
8. θ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που βασίζονται σε δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και των περαιτέρω αναγκαίων απαιτήσεων, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47,

226. ια) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τους σκοπούς του περαιτέρω προσδιορισμού των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 49 afsnit 1,
227. ιβ) εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά την εφαρμογή των μέτρων που αναφέρονται στο άρθρο 58 παράγραφοι 1, 2 og 3 και τον καθορισμό διοικητικών προστίμων δυνάμει του άρθρου 83,
228. ιγ) εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία ε) και στ),
229. ιδ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για την εκπόνηση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού βάσει του άρθρου 54 afsnit 2,
230. ιε) ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων δυνάμει των άρθρων 40 og 42,

ιστ) εκτελεί τη διαπίστευση των φορέων πιστοποίησης και την περιοδική επανεξέτασή της δυνάμει του άρθρου 43 και τηρεί δημόσιο μητρώο των διαπιστευμένων φορέων σύμφωνα με το άρθρο 43 afsnit 6 και των διαπιστευμένων υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία που είναι εγκατεστημένοι σε τρίτες χώρες σύμφωνα με το άρθρο 42 afsnit 7,

231. ιζ) προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 afsnit 3 προκειμένου για τη διαπίστευση των φορέων πιστοποίησης σύμφωνα με το άρθρο 42,
232. ιη) γνωμοδοτεί στην Επιτροπή σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθροου 43 afsnit 8,
233. ιθ) γνωμοδοτεί στην Επιτροπή σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 afsnit 7,

κ) παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσο μια τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας. Til dette formål, η Επιτροπή παρέχει στο Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, όσον αφορά την εν λόγω τρίτη χώρα, το έδαφος ή τον συγκεκριμένο τομέα ή τον διεθνή οργανισμό,

L 119/78 κα)

κβ)

κγ)

κδ)

κε)

κστ)

Den Europæiske Unions Tidende 4.5.2016

εκδίδει γνώμες για σχέδια αποφάσεων των εποπτικών αρχών δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 64 afsnit 1 και για ζητήματα που υποβάλλονται σύμφωνα με το άρθρο 64 afsnit 2 και εκδίδει δεσμευτικές αποφάσεις δυνάμει του άρθρου 65, μεταξύ άλλων στις περιπτώσεις που αναφέρονται στο άρθρο 66,

προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών,

προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, fra sag til sag, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς,

προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων ανά τον κόσμο,

γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 afsnit 9 og

διατηρεί δημόσια προσβάσιμο ηλεκτρονικό μητρώο των αποφάσεων που λαμβάνονται από τις εποπτικές αρχές και τα δικαστήρια για ζητήματα που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

HAN

2.
λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

Όταν η Επιτροπή ζητεί τη συμβουλή του Συμβουλίου Προστασίας Δεδομένων, μπορεί να αναφέρει ενδεικτικά προθεσμία,

3. Το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 93 και τις δημοσιοποιεί.

4. Όπου είναι σκόπιμο, το Συμβούλιο Προστασίας Δεδομένων ζητεί τη γνώμη των ενδιαφερόμενων μέρων και τους δίνει την ευκαιρία να υποβάλουν παρατηρήσεις μέσα σε εύλογη προθεσμία. Το Συμβούλιο Προστασίας Δεδομένων, με την επιφύλαξη του άρθρου 76, κοινοποιεί τα αποτελέσματα της διαβούλευσης.

Artikel 71

Εκθέσεις

1. Το Συμβούλιο Προστασίας Δεδομένων εκπονεί ετήσια έκθεση όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας στην Ένωση και, fra sag til sag, σε τρίτες χώρες και διεθνείς οργανισμούς. Η έκθεση δημοσιοποιείται και διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή.

2. Η ετήσια έκθεση περιλαμβάνει εξέταση της πρακτικής εφαρμογής των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο άρθρο 70 afsnit 1 στοιχείο ιβ), καθώς και των δεσμευτικών αποφάσεων που αναφέρονται στο άρθρο 65.

Artikel 72

Διαδικασία

1. Το Συμβούλιο Προστασίας Δεδομένων αποφασίζει με απλή πλειοψηφία των μελών του, εκτός εάν ορίζεται άλλως στον παρόντα κανονισμό.

2. Το Συμβούλιο Προστασίας Δεδομένων εγκρίνει τον εσωτερικό κανονισμό του με την πλειοψηφία των δύο τρίτων των μελών του και οργανώνει τους οικείους κανόνες λειτουργίας.

Artikel 73

Πρόεδρος

1. Το Συμβούλιο Προστασίας Δεδομένων εκλέγει έναν Πρόεδρο και δύο αναπληρωτές προέδρους μεταξύ των μελών του με απλή πλειοψηφία.

2. Η διάρκεια της θητείας του Προέδρου και των αναπληρωτών προέδρων είναι πενταετής και είναι ανανεώσιμη άπαξ.

4.5.2016

Den Europæiske Unions Tidende L 119/79

HAN

1. -en) b)

c)

Artikel 74

Καθήκοντα του Προέδρου

Τα καθήκοντα του Προέδρου είναι τα ακόλουθα:
συγκαλεί τις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων και καταρτίζει την ημερήσια διάταξή του,

κοινοποιεί τις αποφάσεις που εκδίδονται από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 65 στην επικεφαλής εποπτική αρχή και στις ενδιαφερόμενες εποπτικές αρχές,

διασφαλίζει την έγκαιρη εκτέλεση των καθηκόντων του Συμβουλίου Προστασίας Δεδομένων, ιδίως σε σχέση με τον μηχανισμό συνεκτικότητας του άρθρου 63.

2.
Προέδρου και των αναπληρωτών προέδρων.

Το Συμβούλιο Προστασίας Δεδομένων καθορίζει στον εσωτερικό κανονισμό του την κατανομή καθηκόντων μεταξύ του

Artikel 75

Γραμματεία

1. Το Συμβούλιο Προστασίας Δεδομένων επικουρείται από γραμματεία, η οποία παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

2. Η γραμματεία ασκεί τα καθήκοντά της αποκλειστικά βάσει των εντολών του Προέδρου του Συμβουλίου Προστασίας Δεδομένων.

3. Personalet hos Den Europæiske Tilsynsførende for Databeskyttelse, der deltager i udførelsen af ​​de opgaver, der er tildelt Databeskyttelsesrådet i henhold til denne forordning, udfører udelukkende deres opgaver efter instrukser fra formanden for Databeskyttelsesrådet og underretter ham herom.

4. Κατά περίπτωση, το Συμβούλιο Προστασίας Δεδομένων και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζουν και δημοσιεύουν υπόμνημα συνεργασίας για την εφαρμογή του παρόντος άρθρου, με το οποίο καθορίζονται οι όροι συνεργασίας τους και το οποίο εφαρμόζεται στο προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην άσκηση

των

5.

6. -en) b) c) d) e) f) ζ)

καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού.

Η γραμματεία παρέχει αναλυτική, διοικητική και υλικοτεχνική στήριξη στο Συμβούλιο Προστασίας Δεδομένων.

Η γραμματεία είναι ιδίως υπεύθυνη για τα ακόλουθα:

τις καθημερινές εργασίες του Συμβουλίου Προστασίας Δεδομένων,

την επικοινωνία μεταξύ των μελών του Συμβουλίου Προστασίας Δεδομένων, του Προέδρου του και της Επιτροπής,

την επικοινωνία με άλλα όργανα και με το κοινό,

τη χρήση ηλεκτρονικών μέσων για την εσωτερική και την εξωτερική επικοινωνία,

τη μετάφραση σχετικών πληροφοριών,

την προετοιμασία και τη συνέχεια που δίνεται στις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων,

την προετοιμασία, σύνταξη και δημοσίευση γνωμών, αποφάσεων σχετικά με την επίλυση διαφορών μεταξύ εποπτικών αρχών και άλλων κειμένων που εκδίδει το Συμβούλιο Προστασίας Δεδομένων.

Artikel 76

Εμπιστευτικότητα

1.
Δεδομένων το κρίνει αναγκαίο, όπως προβλέπεται στον εσωτερικό κανονισμό του.

Οι εργασίες του Συμβουλίου Προστασίας Δεδομένων οφείλουν να είναι εμπιστευτικές εφόσον το Συμβούλιο Προστασίας

L 119/80 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Η πρόσβαση στα έγγραφα που υποβάλλονται σε μέλη του Συμβουλίου Προστασίας Δεδομένων, εμπειρογνώμονες και εκπροσώπους τρίτων διέπεται από τον κανονισμό (FRA) ingen. 1049/2001 af Europa-Parlamentet og Rådet (1).

ΚΕΦΑΛΑΙΟ VIII

Προσφυγές, ευθύνη και κυρώσεις

Artikel 77

Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή

1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.

2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.

Artikel 78

Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχου

1. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.

2. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 og 56 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77.

3. Οι διαδικασίες κατά εποπτικής αρχής κινούνται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατε­ στημένη η εποπτική αρχή.

4. Όταν κινούνται διαδικασίες κατά απόφασης εποπτικής αρχής, της οποίας προηγήθηκε γνώμη ή απόφαση του Συμβουλίου Προστασίας Δεδομένων στο πλαίσιο του μηχανισμού συνεκτικότητας, η εποπτική αρχή διαβιβάζει στο δικαστήριο τη συγκεκριμένη γνώμη ή απόφαση.

Artikel 79

Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

1. Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.

2. Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.

(1) Regulering (FRA) ingen. 1049/2001 af Europa-Parlamentet og Rådet, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (EE L 145 hende 31.5.2001, s. 43).

4.5.2016 Den Europæiske Unions Tidende L 119/81

HAN

Artikel 80

Εκπροσώπηση υποκειμένων των δεδομένων

1. Tο υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 og 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, uanset enhver tildeling af den registrerede, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 og 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.

Artikel 81

Αναστολή των διαδικασιών

1. Όταν ένα αρμόδιο δικαστήριο κράτους μέλους διαθέτει πληροφορίες ότι διαδικασίες σχετικά με το ίδιο αντικείμενο που αφορά επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εκκρεμούν σε δικαστήριο άλλου κράτους μέλους, επικοινωνεί με το αρμόδιο δικαστήριο αυτού του άλλου κράτους μέλους για να επιβεβαιώσει την ύπαρξη τέτοιων διαδικασιών.

2. Όταν διαδικασίες σχετικά με το ίδιο αντικείμενο που αφορά επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εκκρεμούν σε δικαστήριο άλλου κράτους μέλους, οποιοδήποτε αρμόδιο δικαστήριο διαφορετικό από το πρώτο επιληφθέν δικαστήριο δύναται να αναστείλει τις οικείες διαδικασίες.

3. Όταν οι εν λόγω διαδικασίες εκκρεμούν σε πρώτο βαθμό δικαιοδοσίας, κάθε δικαστήριο εκτός του πρώτου επιληφθέντος δύναται επίσης, με αίτηση ενός των διαδίκων, να κηρύξει εαυτό αναρμόδιο, αν το πρώτο επιληφθέν δικαστήριο είναι αρμόδιο για τις εν λόγω προσφυγές και το δίκαιό του επιτρέπει τη συνεκδίκασή τους.

Artikel 82

Δικαίωμα αποζημίωσης και ευθύνη

1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

4. Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 og 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.

5. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει καταβάλει, σύμφωνα με την παράγραφο 4, πλήρη αποζημίωση για τη ζημία που προκάλεσε, ο εν λόγω υπεύθυνος ή εκτελών την επεξεργασία δικαιούται να ζητήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους λόγω της ζημίας που προκλήθηκε σύμφωνα με τις προϋποθέσεις της παραγράφου 2.

L 119/82 Den Europæiske Unions Tidende 4.5.2016

HAN

6. Οι δικαστικές διαδικασίες για την άσκηση του δικαιώματος αποζημίωσης υποβάλλονται ενώπιον των αρμόδιων δικαστηρίων δυνάμει του δικαίου του κράτους μέλους που αναφέρεται στο άρθρο 79 afsnit 2.

Artikel 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 og 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 afsnit 2 στοιχεία α) έως η) και στο άρθρο 58 afsnit 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

1. -en) η φύση, η βαρύτητα και η διάρκεια της παράβασης, naturen taget i betragtning, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
2. b) ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
3. c) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
4. d) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 og 32,
5. e) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

f) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

6. ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
7. η) den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
8. θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 afsnit 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
9. ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 og

ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, direkte eller indirekte, από την παράβαση.

3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

-en) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 op til 39 og 42 og 43,

b) οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 og 43,
c) οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 afsnit 4.

4.5.2016 Den Europæiske Unions Tidende L 119/83

HAN

5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

1. -en) οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 og 9,
2. b) τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 op til 22,
3. c) η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 op til 49,
4. d) οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX,
5. e) μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 afsnit 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 afsnit 1.

6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 afsnit 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 afsnit 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.

9. Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει επιβολή διοικητικών προστίμων, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, με την ταυτόχρονη διασφάλιση ότι τα εν λόγω ένδικα μέσα είναι αποτελεσματικά και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. i hvert fald, τα πρόστιμα που επιβάλλονται είναι αποτελεσματικά, forholdsmæssig og afskrækkende. Τα εν λόγω κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις των νόμων τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο, έως τις 25 Μαΐου 2018 og, χωρίς καθυστέρηση, κάθε επακολουθούντα τροποποιητικό νόμο ή τροποποίησή τους.

Artikel 84

Κυρώσεις

1. Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 og, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

ΚΕΦΑΛΑΙΟ IX

Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας

Artikel 85

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

L 119/84 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (ειδικές περιπτώσεις επεξεργασίας δεδομένων), εφόσον αυτές είναι αναγκαίες για να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία της έκφρασης και πληροφόρησης.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 2 og, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

Artikel 86

Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα

Τα δεδομένα προσωπικού χαρακτήρα σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή δημόσιος ή ιδιωτικός φορέας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον μπορούν να κοινοποιούνται από την εν λόγω αρχή ή φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο φορέας, προκειμένου να συμβιβάζεται η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού.

Artikel 87

Επεξεργασία του εθνικού αριθμού ταυτότητας

Τα κράτη μέλη μπορούν να καθορίζουν περαιτέρω τις ειδικές προϋποθέσεις για την επεξεργασία εθνικού αριθμού ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής. I dette tilfælde, ο εθνικός αριθμός ταυτότητας ή οποιοδήποτε άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής χρησιμοποιείται μόνο με τις δέουσες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού.

Artikel 88

Επεξεργασία στο πλαίσιο της απασχόλησης

1. Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, udførelse af ansættelseskontrakten, herunder opfyldelse af forpligtelser i henhold til lov eller kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, på individuelt eller kollektivt grundlag, ansættelsesrelaterede rettigheder og ydelser og med henblik på at bringe ansættelsesforholdet til ophør.

2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 og, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

Artikel 89

Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς

1. Η επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειταισε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των

4.5.2016 Den Europæiske Unions Tidende L 119/85

HAN

δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.

2. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18 og 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

3. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18, 19, 20 og 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 og 3 εξυπηρετεί την ίδια στιγμή και άλλο σκοπό, οι παρεκκλίσεις εφαρμόζονται μόνο στην επεξεργασία για τους σκοπούς που προβλέπουν οι εν λόγω παράγραφοι.

Artikel 90

Υποχρεώσεις τήρησης απορρήτου

1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 afsnit 1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 og, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

Artikel 91

Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

1. Εάν σε κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένους κανόνες οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονιστούν με τις διατάξεις του παρόντος κανονισμού.

2. Οι εκκλησίες και θρησκευτικές ενώσεις που εφαρμόζουν ολοκληρωμένους κανόνες σύμφωνα με την παράγραφο 1 του παρόντος άρθρου υπόκεινται στον έλεγχο ανεξάρτητης εποπτικής αρχής, που μπορεί να είναι εξειδικευμένος, υπό τον όρο ότι πληροί τις προϋποθέσεις του κεφαλαίου VI του παρόντος κανονισμού.

ΚΕΦΑΛΑΙΟ X

Κατ’ εξουσιοδότηση πράξεις και εκτελεστικές πράξεις

Artikel 92

Άσκηση της εξουσιοδότησης

1. Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.

L 119/86 Den Europæiske Unions Tidende 4.5.2016

HAN

2. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 afsnit 8 και στο άρθρο 43 afsnit 8 ανατίθεται στην Επιτροπή επ’ αόριστο από τις 24 Μαΐου 2016.

3. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 afsnit 8 και στο άρθρο 43 afsnit 8 μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει την εγκυρότητα των ήδη ισχυουσών κατ’ bemyndigelse af handlinger.

4. Μόλις εκδώσει κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5. Κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 12 afsnit 8 και του άρθρου 43 afsnit 8 τίθεται σε ισχύ μόνο εφόσον δεν έχει διατυπωθεί αντίρρηση ούτε από το Ευρωπαϊκό Κοινοβούλιο ούτε από το Συμβούλιο εντός τριών μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ή αν, προτού λήξει αυτή η προθεσμία, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η προθεσμία αυτή παρατείνεται κατά τρεις μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Artikel 93

Διαδικασία επιτροπής

1. Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (EU) ingen. 182/2011.

2. Όποτε γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 af forordningen (EU) ingen. 182/2011.
3. Όποτε γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 af forordningen (EU) ingen. 182/2011, σε

συνδυασμό με το άρθρο 5.

ΚΕΦΑΛΑΙΟ XI

Τελικές διατάξεις

Artikel 94

Κατάργηση της οδηγίας 95/46/ΕΚ

1. Η οδηγία 95/46/ΕΚ καταργείται από τις 25 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα

προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 i direktiv 95/46/EF, θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.

Artikel 95

Σχέση με την οδηγία 2002/58/ΕΚ

Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία όσον αφορά την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ.

4.5.2016 Den Europæiske Unions Tidende L 119/87

HAN

Artikel 96

Σχέση με συμφωνίες που έχουν συναφθεί παλαιότερα

Διεθνείς συμφωνίες που περιλαμβάνουν τη μεταφορά δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τα κράτη μέλη πριν από τις 24 Μαΐου 2016, και οι οποίες είναι συμβατές προς το εφαρμόσιμο πριν από την εν λόγω ημερομηνία ενωσιακό δίκαιο, εξακολουθούν να ισχύουν μέχρις ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.

Artikel 97

Εκθέσεις της Επιτροπής

1. Έως τις 25 Μαΐου 2020 και στη συνέχεια κάθε τέσσερα έτη, η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.

2. Στο πλαίσιο των αξιολογήσεων και των αναθεωρήσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, især, την εφαρμογή και λειτουργία:

-en) του κεφαλαίου V περί μεταφοράς των δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, λαμβάνοντας δεόντως υπόψη τις αποφάσεις που εκδίδονται σύμφωνα με το άρθρο 45 afsnit 3 του παρόντος κανονισμού και τις αποφάσεις που εκδίδονται βάσει του άρθρου 25 afsnit 6 i direktiv 95/46/EF,

b) του κεφαλαίου VII για τη συνεργασία και τη συνεκτικότητα.

3. Για τον σκοπό της παραγράφου 1, η Επιτροπή μπορεί να ζητεί πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.
4. Κατά τη διενέργεια των αξιολογήσεων και αναθεωρήσεων που αναφέρονται στις παραγράφους 1 og 2, η Επιτροπή

λαμβάνει υπόψη τις θέσεις και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων αρμόδιων φορέων ή πηγών.

5. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση του παρόντος κανονισμού, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας.

Artikel 98

Επισκόπηση άλλων νομικών πράξεων της Ένωσης για την προστασία των δεδομένων

Udvalget, εάν το κρίνει σκόπιμο, υποβάλλει νομοθετικές προτάσεις για την τροποποίηση άλλων νομικών πράξεων της Ένωσης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλιστεί η ομοιόμορφη και συνεπής προστασία των φυσικών προσώπων έναντι της επεξεργασίας. Αυτό αφορά ιδίως τους κανόνες που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας από τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των εν λόγω δεδομένων.

Artikel 99

Έναρξη ισχύος και εφαρμογή

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.

L 119/88

Den Europæiske Unions Tidende

4.5.2016

HAN

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 27 Απριλίου 2016.

Για το Ευρωπαϊκό Κοινοβούλιο Ο Πρόεδρος
M. SCHULZ

Για το Συμβούλιο
Η Πρόεδρος
J.A. HENNIS-PLASSCHAERT