VORSCHRIFTEN
VERORDNUNG (EU) 2016/679 DAS EUROPÄISCHE PARLAMENT UND DES RATES
vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Bezug und zur Aufhebung der Richtlinie 95/46 / EG (Allgemeine Verordnung für Datenschutz)
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION,
Gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, und insbesondere auf Artikel 16, Gestützt auf den Vorschlag der Kommission,
Nach Übermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
Gestützt auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
Gestützt auf die Stellungnahme des Ausschusses (2),
In Übereinstimmung mit dem ordentlichen Gesetzgebungsverfahren (3),
während:
- (1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 die Charta der Grundrechte (‚Karte‘) und Artikel 16 Absatz 1 der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) heißt es, dass jeder das Recht auf Schutz personenbezogener Daten hat über ihn.
- (2) Die Grundsätze und Regeln zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten, unabhängig von der Nationalität oder des Wohnsitzes, Achtung der Grundrechte und Freiheiten, insbesondere ihr Recht auf Schutz personenbezogener Daten. Ziel dieser Verordnung ist die Verwirklichung der Freiheit beizutragen, Sicherheit und das Recht und eine Wirtschaftsunion, wirtschaftlicher und sozialer Fortschritt, die Stärkung und die Konvergenz der Volkswirtschaften innerhalb des Binnenmarktes und der Wohlstand des Einzelnen.
- (3) Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates (4) Es soll den Schutz der Grundrechte und -freiheiten natürlicher Personen bei der Verarbeitung Aktivitäten zu harmonisieren und den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten zu gewährleisten,.
- (1) EEC229tis31.7.2012, S.90.
- (2) EEC391tis18.12.2012, S.127.
- (3) Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates
in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments
14April 2016.
- (4) Richtlinie 95/46 / EK des Europäischen Parlaments und des Rates, 24. Oktober 1995, zum Schutz natürlicher Personen
gegen personenbezogener Daten und zum freien Datenverkehr (ABl L 281 von 23.11.1995, p. 31).
Amtsblatt der Europäischen Union 4.5.2016
Die Verarbeitung personenbezogener Daten sollten Menschen dienen ausgelegt sein. Das Recht auf Schutz personenbezogener Daten ist kein absolutes Recht, sondern muss an seiner Funktion in der Gesellschaft gemessen und gegen andere Grundrechte abgewogen werden, Gemäß dem Grundsatz der Verhältnismäßigkeit. Diese Verordnung steht im Einklang alle Grundrechte und -freiheiten und die in der Charta anerkannten Grundsätzen wie in den Verträgen verankert, insbesondere Achtung des Privat- und Familienlebens, Gehäuse und Kommunikations, Schutz personenbezogener Daten, Freiheit des Denkens, Gewissens- und Religions, Recht auf freie Meinungsäußerung und Information, unternehmerische Freiheit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und die kulturellen, religiöse und sprachliche Vielfalt.
Die wirtschaftliche und soziale Integration, die resultiert aus dem Betrieb des Binnenmarktes, führen zu einem signifikanten Anstieg der grenzüberschreitenden Verkehr personenbezogener Daten Zeichen. H Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren, einschließlich natürlicher Personen, Verbände und Unternehmen in der gesamten Union, hat zugenommen. Die nationalen Behörden der Mitgliedstaaten werden durch EU-Recht erforderlich ist, um die Zusammenarbeit und persönliche Daten austauschen, damit sie ihre Aufgaben wahrnehmen können oder durchführen Aufgaben im Auftrag einer anderen Mitgliedstaat Behörde.
Der rasche technologische Entwicklungen und die Globalisierung haben für den Schutz personenbezogener Daten vor neue Herausforderungen gestellt. Der Umfang der Sammlung und den Austausch personenbezogener Daten hat deutlich zugenommen. Technologie ermöglichen sowohl private Unternehmen und Behörden Nutzung personenbezogener Daten in nie gekanntem Ausmaß in der Ausübung ihrer Tätigkeit zu machen. Einzelpersonen zunehmend persönliche Informationen offen legen und es weltweit zur Verfügung stellen. Die Technologie hat sich sowohl die Wirtschaft und das soziale Leben verändert und sollte weiter freien Verkehr personenbezogener Daten innerhalb der Union und die Übermittlung an Drittstaaten und internationalen Organisationen erleichtern, und gleichzeitig ein hohes Maß an Schutz personenbezogener Daten.
Diese Entwicklungen erfordern ein starkes und kohärentes Datenschutzrahmens in der Union, SUPPORT tiated durch strenge Anwendung des Gesetzes, da es wichtig ist, das notwendige Vertrauen zu schaffen, das die digitale Wirtschaft ermöglichen, im gesamten Binnenmarkt wachsen. Der Einzelne sollte die Kontrolle über ihre persönlichen Daten ganz eigenen Charakter haben. Wird die Rechtssicherheit sollte für den Einzelnen gestärkt und praktische Sicherheit werden, Wirtschaftsbeteiligten und Behörden.
Soweit in dieser Verordnung Spezifikationen oder Einschränkungen für die Bestimmungen des Rechts der Mitgliedstaaten, Die Mitgliedstaaten können Elemente dieser Verordnung in ihrem nationalen Recht übernehmen, in dem Maße zu gewährleisten notwendig, um Konsistenz und von den nationalen Bestimmungen für die Personen zu verstehen, die sie gelten,.
Während die Ziele und Grundsätze der Richtlinie 95/46 / EG bleiben stark, Richtlinie versäumt, die Fragmentierung der Anwendung der Datenschutz in der gesamten Union zu verhindern, Rechtsunsicherheit und eine breite öffentliche Wahrnehmung, dass es erhebliche Risiken für den Schutz natürlicher Personen, insbesondere hinsichtlich Online-Aktivitäten. Unterschiede in der Höhe des Schutzes der Rechte und Freiheiten des Einzelnen, insbesondere das Recht auf Schutz personenbezogener Daten, über die Verarbeitung personenbezogener Daten in den Mitgliedstaaten, den freien Verkehr personenbezogener Daten in der gesamten Union kann behindern. deshalb, Diese Unterschiede können ein Hindernis sein, um das Geschäft in der Union, verzerren den Wettbewerb und behindern Behörden bei der Erfüllung ihrer Aufgaben, wie aus dem Unionsrecht diejenigen, die sie. Dieser Unterschied in dem Schutzniveau ist auf Abweichungen bei der Umsetzung und Anwendung der Richtlinie 95/46 / EG.
Um eine konsistente und hohe Maß an Schutz von Personen und die Beseitigung von Hindernissen für den Verkehr personenbezogener Daten innerhalb der Union sicherzustellen,, das Niveau des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig. Es sollte eine kohärente und einheitliche Anwendung der Vorschriften über den Schutz der Grundrechte und Freiheiten der Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union sicherzustellen,. In Bezug auf die Verarbeitung personenbezogener Daten mit einer gesetzlichen Verpflichtung nachzukommen, eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt zu erfüllen in der Steuerung übertragen, Die Mitgliedstaaten sollten die Anwendung der Vorschriften dieser Verordnung einzelstaatliche Bestimmungen beizubehalten oder einzuführen dürfen weiter definieren. In Verbindung mit den allgemeinen und horizontalen Datenschutzgesetzen zur Umsetzung Ziel der Richtlinie 95/46 / EG, Mitgliedstaaten gelten unterschiedliche sektorale Gesetze in Bereichen, die besonderen Bestimmungen erfordern. Diese Verordnung sieht auch Handlungsspielraum für die Mitgliedstaaten, um die Regeln anzupassen, diejenigen, die sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten einschließlich („Sensible Daten“). In diesem Grad, geht diese Verordnung nicht die Mitgliedstaaten Rechts entgegen, die Umstände der besonderen Verarbeitungsbedingungen zu bestimmen,, inter alia, genauer gesagt, die Bedingungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig zu definieren.
Amtsblatt der Europäischen Union L 119/3
- (11) Ein wirksamer Schutz personenbezogener Daten in der gesamten Union erfordert Stärkung und detaillierte Definition der Rechte der betroffenen Personen, sowie diejenigen Verbindlichkeiten Vorarb Verstärker betrieben und die Verarbeitung der Daten bestimmen,, und ihre jeweiligen Zuständigkeiten für die Überwachung und Sicherstellung der Einhaltung der Standards für den Schutz personenbezogener Daten und die entsprechenden Strafen für Verstöße in den Mitgliedstaaten.
- (12) Artikel 16 Absatz 2 AEUV überträgt das Europäische Parlament und den Rat die Regeln für den Schutz natürlichen Personen bei der Verarbeitung personenbezogener Daten und Vorschriften über den freien Verkehr personenbezogener Daten festlegen.
- (13) Um ein einheitliches Schutzniveau für den Einzelnen in der gesamten Union zu gewährleisten und zu vermeiden, Lücken, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern, Regelung erforderlich, die Rechtssicherheit und Transparenz für die Wirtschaftssubjekte wahren, einschließlich Mikro, kleine und mittlere Unternehmen, und bietet für Personen in allen Mitgliedstaaten das gleiche Maß an einklagbaren Rechten und Pflichten, und Verantwortlichkeiten für die Steuerungen und Prozessoren, konsequente Überwachung der Verarbeitung personenbezogener Daten, um sicherzustellen,, und gleichwertige Sanktionen in allen Mitgliedstaaten und die effektive Zusammenarbeit zwischen den Aufsichtsbehörden der Mitgliedstaaten. Das reibungslose Funktionieren des Binnenmarktes, der freie Verkehr personenbezogener Daten innerhalb der Union soll nicht beschränkt werden, noch verboten aus Gründen im Zusammenhang mit dem Schutz von Personen bei der Verarbeitung personenbezogener Daten. Zur Berücksichtigung der besonderen Situation von Mikro, kleine und mittlere Unternehmen, Diese Verordnung enthält für Organisationen eine Ausnahme unter Verwendung weniger als 250 Personen bei Aufzeichnungen. zusätzlich, die Organe und Einrichtungen der Union, sowie Mitgliedstaaten und ihre Aufsichtsbehörden, die spezifischen Bedürfnisse von Kleinst- zu berücksichtigen ermutigt, kleine und mittlere Unternehmen bei der Umsetzung dieser Verordnung. Das Konzept des Mikro, kleine und mittlere Unternehmen sollten stützt sich auf Artikel 2 der Anhang der Empfehlung 2003/361 / EG (1).
- (14) Der Schutz in der vorliegenden Verordnung sollte auf natürliche Personen gilt, unabhängig von Nationalität und Aufenthalt, in Bezug auf die Verarbeitung personenbezogener Daten Zeichen. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten in Bezug auf juristische Personen und insbesondere Unternehmen als juristische Personen gegründet, einschließlich des Namens, Art und Kontaktinformationen des Unternehmens.
- (15) Um eine ernsthafte Gefahr einer Umgehung zu verhindern, Der Schutz natürlicher Personen sollte technologieneutral sein und nicht auf die Techniken abhängen verwendet. Der Schutz natürlicher Personen sollte sowohl für die Verarbeitung personenbezogener Daten durch automatisierte Mittel anwenden, und in der manuellen Verarbeitung, wenn personenbezogene Daten enthalten sind, oder sollen in einem Ablagesystem aufgenommen werden. Dateien oder Gruppen von Dateien, sowie die Abdeckungen, die nicht strukturiert nach bestimmten Kriterien sollten nicht in den Geltungsbereich dieser Verordnung fallen.
- (16) Diese Verordnung gilt nicht für den Schutz der Grundrechte und Freiheiten oder den freien Verkehr personenbezogener Daten an Tätigkeiten nicht in der Anwendung von Feldunionsrecht erfassten, als Aktivitäten für die nationale Sicherheit im Zusammenhang. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten gelten, wenn sie Tätigkeiten auf die Gemeinsame Außen- und Sicherheitspolitik durchführen der Union.
- (17) Verordnung (EG) keine. 45/2001 Europäisches Parlament und Rat (2) die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen angewandt, Agenturen und Union Dienste. Verordnung (EG) keine. 45/2001 und andere Rechtsakte der Union, die personenbezogenen Daten ist für eine solche Zeichenverarbeitung sollte auf die Grundsätze und Regeln festgelegt in dieser Verordnung und Anwendung im Lichte dieser Verordnung angepasst werden. Um ein starkes und kohärentes Datenschutzrahmens in der Union zu gewährleisten, nach der Annahme dieser Verordnung sollten die erforderlichen Anpassungen der Verordnung folgen (EG) keine. 45/2001, der Anwendung gleichzeitig mit dieser Verordnung zu ermöglichen,.
- (18) Diese Verordnung galt nicht von einer natürlichen Person im Laufe einer rein persönlichen oder Haushaltstätigkeit und daher keine Verbindung mit jedem professionellen der Verarbeitung personenbezogener Daten oder
- (1) Die Empfehlung der Kommission, 6. Mai 2003, betreffend die Definition des Kleinst, kleine und mittlere Unternehmen [C(2003) 1422] (ABl L 124 von 20.5.2003, p. 36).
- (2) Regulierung(EG)arith.45 / 2001touEfropaikouKoinovoulioukaitouSymvouliou,tis18isDekemvriou2000, schetikametinprostasiaton Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl L 8 von 12.1.2001, p. 1).
Amtsblatt der Europäischen Union 4.5.2016
(19)
Handelstätigkeit. Persönliche oder Haushaltstätigkeiten könnten Korrespondenz und die Adresse Aufzeichnungen oder soziale Netzwerke und Online-Aktivitäten in solche Aktivitäten verwickelt sind. jedoch, es soll Controller oder Prozessoren gelten, die die Verarbeitung personenbezogener Daten innerhalb Charakter für solche persönlichen oder häuslichen Tätigkeiten zur Verfügung stellen.
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Gefahren für die öffentliche Sicherheit zu gewährleisten und deren Prävention und den freien Datenverkehr, vorbehaltlich einen spezifischen EU-Rechtsakt. Diese Verordnung sollte daher nicht für diese Zwecke an die Verarbeitungstätigkeiten gelten. jedoch, personenbezogenen Daten durch öffentliche Stellen im Rahmen dieser Verordnung verarbeitet sollten, wenn sie für diese Zwecke verwendet, durch spezifischen EU-Rechtsakt geregelt werden, nämlich die Richtlinie (EU) 2016/680 Europäisches Parlament und Rat (1). Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie verleihen (EU) 2016/680 Aufgaben, die nicht unbedingt für die Zwecke der Vorbeugung ausgeübt, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung zu gewährleisten, so dass die Verarbeitung personenbezogener Daten für diese Zwecke, wenn er fällt in den Anwendungsbereich des Unionsrechts, seine im Rahmen dieser Verordnung.
Im Hinblick auf die Verarbeitung personenbezogener Daten von diesen Behörden für Zwecke im Rahmen dieser Verordnung, Die Mitgliedstaaten sollten spezifische Bestimmungen aufrechterhalten können oder einzuführen, um die Anwendung der Bestimmungen dieser Verordnung anzupassen. Diese Regelungen können genauer spezifiziert werden die spezifischen Anforderungen für die Verarbeitung personenbezogener Daten, die von diesen Behörden für diese Zwecke, wobei in den Verfassungs Konto, Organisations- und Verwaltungsstruktur der jeweiligen Mitgliedstaaten. Wenn die Verarbeitung personenbezogener Daten von privaten Einrichtungen im Rahmen dieser Verordnung fallen, sollte diese Verordnung die Möglichkeit vorsehen, dass die Mitgliedstaaten gesetzlich zu beschränken, unter besonderen Bedingungen, bestimmte Rechte und Pflichten, wenn eine solche Beschränkung eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft stellt wichtige Interessen zu wahren besonders, einschließlich der öffentlichen Sicherheit und Prävention, Exploration, Feststellung und Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung zu gewährleisten. diese Angelegenheit, zum Beispiel, im Kampf gegen die Geldwäsche oder die Aktivitäten der forensischen Laboratorien.
Während diese Verordnung gilt,, einschließlich, die Aktivitäten von Gerichten und anderen Justizbehörden, Das Recht der Union oder die Mitgliedstaaten könnte die Operationen und Verarbeitungsverfahren in Bezug auf die Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden angeben. Die Zuständigkeit der Aufsichtsbehörden sollte nicht die Verarbeitung personenbezogener Daten decken, wenn die Gerichte in ihrer gerichtlichen Eigenschaft, die Unabhängigkeit der Justiz in der Ausübung ihrer richterlichen Aufgaben zu gewährleisten,, einschließlich der Entscheidungsfindung. Die Überwachung der Datenverarbeitungsvorgänge der Lage sein sollte, um bestimmte Stellen im Justizsystem des Mitgliedstaates zugewiesen werden, die mit den Vorschriften dieser Verordnung insbesondere die Einhaltung sollte, Mitglieder der Justiz im Hinblick auf ihre Verpflichtungen im Rahmen dieser Verordnung zu sensibilisieren und mit Beschwerden in Bezug auf die genannten Datenverarbeitungsverfahren zu behandeln.
Diese Verordnung gilt unbeschadet der Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates (2), insbesondere die Vorschriften über die Haftung von Vermittlern fest in den Artikeln 12 bis 15 der genannten Richtlinie. Diese Richtlinie zielt darauf ab, das reibungslose Funktionieren des Binnenmarktes beizutragen, den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten zu gewährleisten.
Die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Einrichtung Controller oder Prozessors in der Union sollte in Einklang mit dieser Verordnung durchgeführt werden, unabhängig davon, ob die gleiche Verarbeitung in Union durchgeführt wird,. Die Installation erfordert die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung. In dieser Hinsicht, die Rechtsform einer solchen Regelung, ob Anhang oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit, Es ist nicht entscheidend.
(1) Unterricht (EU) 2016/680 Europäisches Parlament und Rat, vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen und zum freien Datenverkehr und Rahmenbeschluss des Rates zur Aufhebung der 2008/977 / JI (siehe Seite 89 dieses Amtsblatts).
- (2) Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates, 8. Juni 2000, über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere den elektronischen Geschäftsverkehr, im Binnenmarkt („Für E-Commerce-Richtlinie") (ABl L 178 von 17.7.2000, p. 1).
Amtsblatt der Europäischen Union L 119/5
- (23) Um sicherzustellen, dass Personen, die nicht der Schutz entzogen sie gemäß dieser Verordnung berechtigt sind,, die Verarbeitung personenbezogener Daten Themen in der Union durch einen Controller oder Prozessor nicht in der Union sollte in dieser Verordnung geregelt werden, wo die Verarbeitungsaktivitäten sind auf die Bereitstellung von Waren oder Dienstleistungen an solche Datensubjekte, ob die Zahlung im Zusammenhang. Um zu bestimmen, ob ein solcher Controller oder Prozessor bietet Waren oder Dienstleistungen, für die betroffenen Personen in der Union, es muss festgestellt werden, wenn der Controller oder der Prozessor deutlich in einem oder mehreren EU-Mitgliedstaaten für die betroffenen Personen bieten Dienstleistungen gedacht. Während die einfache Zugänglichkeit der Website des Controllers, ein Prozessor oder ein Vermittler in der Union oder die E-Mail-Adresse und anderem Kontakt oder Elementen in der Regel in dem Drittland verwendet Verwendung Sprache, wo der Controller eingerichtet ist, ist nicht ausreichend, diese Absicht zu untermauern, Faktoren wie die Verwendung von Sprache oder Währung im Allgemeinen in einem oder mehreren Mitgliedstaaten verwendet, mit der Möglichkeit von Produkten und Dienstleistungen auf dieser anderen Sprache Bestellung, oder Referenzkunden oder in der Union lag Benutzer können deutlich machen, dass die Datenverarbeitung Verantwortlichen beabsichtigt Waren oder Dienstleistungen, für die betroffenen Personen in der Union zu bieten.
- (24) Die persönlichen Daten von Personen, die in der Union durch einen Controller oder Prozessor sind nicht in der Union sollten ebenfalls unter diese Verordnung fallen,, wenn die Überwachung des Verhaltens solcher betroffenen Personen in dem Maße, dass ihr Verhalten stattfindet, innerhalb der Union. Um festzustellen, ob sich eine Verarbeitungsaktivität betrachtet werden, um das Verhalten der betroffenen Person zu überwachen, es sollte, ob Personen ermittelt werden, über das Internet verfolgt werden, einschließlich der möglichen späteren Verwendung der Verarbeitung personenbezogener Daten technischer Art, die bei der Gestaltung der „Profil“ einer natürlichen Person besteht, insbesondere, um Entscheidungen zu treffen, ihn über oder zu analysieren oder persönliche Vorlieben vorhersagen, Verhaltensweisen und Einstellungen.
- (25) Wenn das Recht eines Mitgliedstaates gilt aufgrund des Völkerrechts, Diese Verordnung sollte auch an eine Steuerung gilt nicht in der Union, wie, Beispiel, für die diplomatische Mission oder konsularische Vertretung eines Mitgliedstaates.
- (26) Die Grundsätze des Datenschutzes sollten für alle Informationen über eine bestimmte oder bestimmbare natürliche Person gelten. Persönliche Daten, die psefdonymopoiisi gewesen, die mit einem Einzel durch die Verwendung von Zusatzinformationen zurückgeführt werden könnten, Sie sollten Informationen über bestimmbare natürliche Person in Betracht gezogen werden. Um festzustellen, ob eine Person identifizierbar ist, Sie sollten alle Mittel ergriffen werden, die voraussichtlich verwendet werden soll, beispielsweise die Trennung von, entweder durch die Steuerung oder durch eine dritte Partei für direkte oder indirekte Identifikation der individuellen Identität. Um zu sehen, ob irgendwelche Mittel vernünftigerweise eingesetzt werden, um die Identität der natürlichen Person zu überprüfen, sollten alle objektiven Faktoren berücksichtigen, da die Kosten und Zeitaufwand zu identifizieren, unter Berücksichtigung der Technologie zum Zeitpunkt der Verarbeitung und Technologieentwicklungen zur Verfügung. Die Grundsätze des Datenschutzes sollte daher gelten nicht für anonyme Informationen, dh Informationen, die eine bestimmte oder bestimmbare natürliche Person oder persönliche Daten, die sich nicht haben, anonymisiert werden, so dass die Identität der betroffenen Person nicht oder nicht mehr festgestellt werden kann. Diese Verordnung ist daher die Behandlung solcher anonymen Informationen, nicht einschließlich für Zwecke statistischer oder Forschungs.
- (27) Diese Verordnung gilt nicht für personenbezogene Daten verstorben. Die Mitgliedstaaten verstorben Regeln für die Verarbeitung von personenbezogenen Daten zur Verfügung stellen können.
- (28) Mit psefdonymopoiisis zu personenbezogenen Daten können die Risiken für die betroffenen Personen verringern und erleichtern die Steuerungen und Prozessoren, die einschlägigen Anforderungen der Datenschutz gerecht zu werden. Die explizite Einführung von „psefdonymopoiisis“ dieser Regelung ist keine andere Datenschutzmaßnahme auszuschließen beabsichtigt.
- (29) Um Anreize für psefdonymopoiisi zu schaffen bei der Verarbeitung persönlicher Daten, Es sollte möglich sein, Maßnahmen zu ergreifen, psefdonymopoiisis, während eine allgemeine Analyse erlaubt, im selben Controller, wenn die Steuerung hat die technischen und organisatorischen Maßnahmen, die getroffen, um sicherzustellen,, für die entsprechende Datenverarbeitung, die Anwendung dieser Verordnung und weitere Informationen über die Leistung von personenbezogenen Daten an die betroffenen Person getrennt gehalten. Die Daten-Controller, die personenbezogene Daten verarbeitet, sollten Personen im selben Controller autorisieren designierte.
Amtsblatt der Europäischen Union 4.5.2016
Einzelpersonen können mit Online-Kennungen Elementen zugeordnet werden, die von den Geräten vorgesehen sind,, Anwendungen, Werkzeuge und Protokolle, wie Internet-Protokoll-Adressen, IDs Cookies oder andere Identifikatoren, wie beispielsweise Radiofrequenzidentifizierungsetiketten. Diese können Spuren hinterlassen, die, besonders wenn sie mit eindeutigen Kennungen und weitere Informationen erhalten von den Servern kombiniert, Sie können verwendet werden Profile von Personen zu erstellen und erkennen, ihre Identität.
Die Behörden, die die personenbezogenen Daten gemäß einer gesetzlichen Verpflichtung offenbarten ihre beruflichen Pflichten zu erfüllen, wie Steuer- und Zollbehörden, Wirtschaftsforschungseinheiten, unabhängige Verwaltungsbehörden oder die Finanzmärkte zuständigen Stellen für die Regulierung und Überwachung der Wertpapiermärkte sollten jedoch nicht als Empfänger werden, wenn sie personenbezogene Daten erhalten notwendig, eine spezielle Untersuchung im öffentlichen Interesse durchzuführen, nach dem Recht der Union oder einem Mitgliedstaat. Die Offenlegungsanforderungen von Behörden geschickt, immer geschrieben werden, unter den gegebenen Umständen gerechtfertigt und sollte nicht die Gesamtheit eines Ablagesystems beinhalten oder die Verknüpfung von Ablagesysteme führen. Die Verarbeitung personenbezogener Daten durch diese Behörden sollte mit dem geltenden Datenschutzbestimmungen je nach Zweck der Verarbeitung entspricht.
Die Zustimmung sollte klar positive Energie zur Verfügung gestellt werden, die frei bilden, spezifisch, ausdrücklich und in Kenntnis der Zustimmung der betroffenen Person für die Verarbeitung von Daten über ihn, beispielsweise durch schriftliche Erklärung, einschließlich elektronisch, oder mündliche Erklärung. Dies könnte den Abschluss einer Box enthalten, wenn eine Web-Seite besuchen, wählen Sie die gewünschten technischen Modalitäten für die Dienste der Informationsgesellschaft oder eine Erklärung oder ein Verhalten, das deutlich zeigt,, in diesem Zusammenhang, dass die betroffene Person akzeptiert den Vorschlag Verarbeitung ihrer personenbezogenen Daten. deshalb, Schweigen, die bereits angekreuzte Kästchen oder Untätigkeit sollte nicht als Zustimmung ausgelegt werden. Die Zustimmung sollte alle Verarbeitungsaktivitäten decken für den gleichen Zweck oder für die gleichen Zwecke durchgeführt. Wenn die Verarbeitung mehrere Zwecke, Zustimmung sollte für alle diese Zwecke gegeben werden. Wenn die Zustimmung der betroffenen Person wird auf Anfrage gegeben wird elektronisch, der Antrag muss klar sein,, umfassend und nicht stören unangemessen die Nutzung des Dienstes, der vorgesehen ist.
oft, Es kann nicht vollständig den Zweck zum Zeitpunkt der Datenerhebung der Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung bestimmt werden. deshalb, Betroffene der Lage sein sollten, ihre Zustimmung zu bestimmten Bereichen der wissenschaftlichen Forschung zu geben, wenn die anerkannten ethischen Normen sind für die wissenschaftliche Forschung gefolgt. Die betroffenen Personen sollten ihre Zustimmung nur in bestimmten Bereichen Forschung oder nur Teile von Forschungsprogrammen zu geben, werden erlaubt, in dem Maße durch den vorgesehenen Zweck zulässig.
Als genetische Daten sollten aus der biologischen Probe mit persönlichen Daten verknüpft geerbt oder apokektimena genetischen Merkmalen einer Person definiert werden Analyse der natürlichen Person resultierenden, insbesondere aus chromosomaler Desoxyribonukleinsäure Analyse (DNA) oder Ribonukleinsäure (RNA) oder über ein anderes Element, das gleichwertige Informationen zu erhalten, ermöglicht.
Persönliche Daten über die Gesundheit sollten alle Daten enthalten, um den Gesundheitszustand der betroffenen Person und der Informationen über die Vergangenheit enthüllen, aktuelle oder zukünftige Zustand der körperlichen oder geistigen Gesundheit der betroffenen Person. Dazu gehören Informationen über die bei der Registrierung gesammelt einzelnen für das Gesundheitswesen und die Bestimmung davon, wie in der Richtlinie 2011/24 / EU des Europäischen Parlaments und des Rates definiert (1) an die betreffende natürliche Person; eine Zahl, ein Symbol oder Erkennungsmerkmal, das einer natürlichen Person zum Zwecke der vollständigen Identifizierung der natürlichen Person für gesundheitliche Zwecke zugeordnet ist; Informationen, die sich aus Untersuchungen oder Analysen eines Körperteils oder einer Substanz ergeben, unter anderem durch genetische Daten und biologische Proben und alle Informationen,, z.B., auf Krankheit, Behinderung, Krankheitsrisiko, Krankengeschichte, klinische Behandlung oder der physiologische oder biomedizinischen Zustand der betroffenen Person, unabhängig von ihrer Quelle, z.B., von einem Arzt oder anderen medizinischen Fach, Krankenhaus, Medizinische Vorrichtung oder Diagnosetest in vitro.
H Haupt Installation des Controllers Union sollte der Ort der zentralen Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung in einem anderen Betrieb erhalten personenbezogene Daten der Steuerung in der Union, so dass eine weitere Anlage wird als Haupt Installation betrachtet werden. Die Hauptniederlassung einer Steuerung in der Union soll nach objektiven Kriterien festgelegt werden und soll die effektive und tatsächliche Ausübung der Verwaltungstätigkeit dar, wobei die wichtigsten Entscheidungen über die Zwecke und Mittel der Verarbeitung mittels einem festen Einrichtung bestimmen. Dieses Kriterium sollte nicht davon abhängen, ob die Verarbeitung
(1) Richtlinie 2011/24 / EU des Europäischen Parlaments und des Rates, 9. März 2011, auf die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl L 88 von 4.4.2011, p. 45).
Amtsblatt der Europäischen Union
Persönliche Daten können in diesem Ort sein. Die Existenz und die Verwendung technischer Mittel und Technologien für die Verarbeitung von personenbezogenen Daten oder Verarbeitungstätigkeiten selbst nicht bilden’ se Hauptinstallations, deshalb, stellen keine entscheidenden Kriterien für die Hauptinstallation. Die Hauptniederlassung des Prozessors soll der Ort der zentralen Verwaltung in der Union sein oder, wenn er keinen Sitz in der Union, der Ort, wo sich die wichtigsten Verarbeitungsaktivitäten in der Union. In Fällen, in denen sowohl die Steuerung und der Prozessor, verantwortlich Chef Aufsichtsbehörde sollte die Aufsichtsbehörde des Mitgliedstaates verbleibt, wo die Hauptniederlassung des Reglers, aber der Vorgesetzte des Prozessors sollte als betroffener Supervisor angesehen werden und dass Aufsichtsbehörde sollte in dem Verfahren der Zusammenarbeit gemäß dieser Verordnung teilnehmen. Jedenfalls, die Aufsichtsbehörden des Mitgliedstaates oder Staaten, in denen der Prozessor einen oder mehr Betriebe hat, sollen nicht angesehen werden als betroffene Aufsichtsbehörden, wenn der Entscheidungsentwurf nur an die Steuerung bezieht. Wenn die Verarbeitung von Unternehmensgruppe durchgeführt, als Sitz Unternehmen kontrollieren soll die Hauptgeschäftsgruppe in Betracht gezogen werden, es sei denn, der Zweck und Mittel der Verarbeitung durch ein anderes Unternehmen bestimmt.
- (37) Die Gruppe der Unternehmen sollten die Obergesellschaft und Unternehmen decken sie kontrolliert, wo das herrschende Unternehmen soll das Unternehmen sein, die unter einem beherrschenden Einfluss auf den anderen Unternehmen ausüben können,, zum Beispiel, Eigentum, finanzielle Beteiligung oder die Regeln, die Macht ihrer Anwendung oder die persönlichen Datenschutzbestimmungen regeln. Unternehmen auszuüben Kontrolle über die Verarbeitung personenbezogener Daten an verbundene Unternehmen sollte berücksichtigt werden,, zusammen mit diesen Unternehmen, Unternehmensgruppe.
- (38) Kinder bedürfen eines besonderen Schutzes für ihre persönlichen Daten, als Kinder der Risiken bewusst sein, weniger können, Folgen und Schutzmaßnahmen und ihre Rechte in Bezug auf die Verarbeitung personenbezogener Daten. Dieser besondere Schutz wird vor allem bei der Verwendung von personenbezogenen Daten für Marketing oder das Erstellen von Persönlichkeitsprofilen oder Benutzerprofile wahr sein und personenbezogene Daten von Kindern sammeln, wenn sie Dienstleistungen direkt angeboten, um ein Kind mit. Die Zustimmung des Erziehungsberechtigten sollte nicht notwendig sein, im Zusammenhang mit Prävention Beratung oder Dienstleistungen direkt ein Kind.
- (39) Die Verarbeitung personenbezogener Daten müssen rechtmäßig und fair. Es sollte klar sein, dass Einzelpersonen sie betreffenden personenbezogenen Daten erhoben werden, gebraucht, betrachtet oder vorgelegt von’ anderweitig verarbeitet, und in welchem Umfang personenbezogene Daten oder verarbeitet werden. Dieser Grundsatz verlangt, dass jede Information und Kommunikation über die Verarbeitung ihrer personenbezogenen Daten leicht zugänglich und verständlich sein, und verwenden Sie klare und einfache Sprache. Dieses Prinzip bezieht sich insbesondere auf die betroffenen Personen über die Identität des Controllers und die Zwecke der Verarbeitung und weitere Informationen zu informieren, um einen fairen und transparenten Prozess in Bezug auf diese Personen und ihr Recht, um sicherzustellen, Bestätigung zu erhalten, und zu erreichen Mitteilung im Zusammenhang mit diesen persönlichen Daten verarbeitet werden,. Sie sollten auf natürliche Personen Risiko Wesen zur Verfügung, Regeln, Garantien und Rechte in Bezug auf die Verarbeitung personenbezogener Daten und wie sie ihre Rechte in Bezug auf eine solche Verarbeitung trainieren. insbesondere, die personenbezogenen Daten bestimmte Zwecke der Verarbeitung sollte klar sein,, rechtlich und bestimmt, wenn die Erhebung personenbezogener Daten. Persönliche Daten sollten angemessen, relevant und begrenzt werden, was für die Zwecke ihrer Verarbeitung erforderlich ist. Dies erfordert, insbesondere um sicherzustellen, dass die Speicherung personenbezogener Daten ist auf das Minimum begrenzt. Personenbezogene Daten sollten nur dann, wenn der Zweck der Verarbeitung verarbeitet werden kann, nicht durch andere Mittel erreicht werden,. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt, die Steuerung sollte Fristen für deren Beseitigung oder für ihre regelmäßige Überprüfung festgelegt. Es sollten alle angemessenen Maßnahmen ergreifen,, dass personenbezogene Daten zu gewährleisten, die sind ungenau korrigiert oder gelöscht werden. Persönliche Daten sollten in einer Weise verarbeitet werden, einen angemessenen Schutz und Vertraulichkeit personenbezogener Daten zu gewährleisten,, Unter anderem alle nicht autorisierten Zugriff auf diese personenbezogenen Daten zu verhindern und um Geräte zu verarbeiten oder zu verwenden und persönliche Daten solcher Geräte verwendete.
- (40) Werden fair behandelt, Personenbezogene Daten müssen durch die Einwilligung der betroffenen Person oder einer anderen Basis verarbeitet werden, gesetzlich, oder in dieser Verordnung oder in anderen Rechtsvorschriften der Union oder einem Mitgliedstaat in diesem erwähnt
Amtsblatt der Europäischen Union 4.5.2016
Verordnung, einschließlich der Notwendigkeit, mit der gesetzlichen Verpflichtung nachzukommen, zu dem die Steuerung unterliegt, oder die Notwendigkeit, einen Vertrag zu erfüllen, zu der die betroffenen Person oder Partei, um Maßnahmen, die auf Antrag der betroffenen Person vor zu nehmen kontrahieren.
Jedes Mal, wenn diese Regelung bezieht sich auf die Rechtsgrundlage oder legislative Maßnahme, Dies bedeutet nicht unbedingt Gesetzgebung von einem Parlament genehmigt erfordern, vorbehaltlich der Bestimmungen in Übereinstimmung mit der Verfassungsordnung der Mitgliedstaaten. jedoch, Diese Rechtsgrundlage oder legislative Maßnahme sollte klar und eindeutig und ihre Anwendung ist absehbar, für Personen unter diesen formuliert wird, nach der Rechtsprechung des Europäischen Gerichtshofs (das „Gericht“) und der Europäische Gerichtshof für Menschenrechte.
Wenn die Verarbeitung auf Zustimmung der betroffenen Person beruhen, der Controller in der Lage zu beweisen muss, dass die Daten unter dem Verarbeitungsvorgang zugestimmt hat. speziell, unter einer schriftlichen Erklärung auf einer anderen Angelegenheit, Sie sollten Garantien, um sicherzustellen, dass die betroffene Person ist sich dieser Tatsache bewusst und in welchem Umfang zugestimmt hat. Gemäß der Richtlinie 93/13 / EWG (1), Sie sollten Einwilligungsformular zur Verfügung gestellt werden, im Voraus durch den Controller in verständlicher und leicht zugänglicher Form abgefasst, klare und einfache Formulierung, ohne unlautere. Zu Einwilligungserklärung betrachtet, die betroffene Person sollte mindestens die Identität des Controllers und die Zwecke der Verarbeitung der beabsichtigten persönlichen Daten kennen. Die Zustimmung darf nicht als frei, wenn die betroffene Person keine wirkliche oder freie Wahl gegeben hat, in Betracht gezogen werden oder nicht in der Lage sein, Zustimmung zu verweigern oder zu entziehen ohne Beeinträchtigung.
Um sicherzustellen, dass die Erteilung der Genehmigung des frei, Zustimmung sollte keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten in einem bestimmten Fall zur Verfügung stellen, wenn es eine klare Ungleichgewicht zwischen der betroffenen Person und dem Controller, die Steuerung insbesondere dann, wenn eine Behörde und ist daher unwahrscheinlich, erteilte Einwilligung haben, frei zu allen den Umständen dieser besonderen Situation. Die Zustimmung gilt als nicht frei gegeben worden zu sein, wenn keine gesonderte Einwilligung zu verschiedenen Verarbeitungs persönlicher Daten Natur geben erlaubt, auch wenn es in diesem Fall angemessen, oder wenn die Ausführung eines Auftrags, Einschließlich Mathe- einen Dienst, die Zustimmung, selbst wenn eine solche Zustimmung ist nicht erforderlich, für eine solche Ausführung.
Die Behandlung sollte auch erlaubt, notwendig unter Vertrag oder Vertragsabsichts sein.
Wenn die Verarbeitung im Rahmen eine rechtliche Verpflichtung durchgeführt, die Steuerung unter oder bei Bedarf für die Wahrnehmung einer Aufgabe im öffentlichen Interesse durchgeführt oder in Ausübung öffentlichen Gewalt, Behandlung sollte auf das Recht der Union oder der Mitgliedstaaten beruhen,. Diese Verordnung erfordert kein spezielles Gesetz für jede einzelne Behandlung. ein einziges Gesetz kann für mehr als eine Verarbeitungsoperation auf der Grundlage eine gesetzliche Verpflichtung, zu dem die Steuerung unterliegt als Grundlage ausreichen wird oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt notwendig ist. auch, den Zweck der Verarbeitung der Bestimmung sollte dem Recht der Union oder einem Mitgliedstaat überlassen werden. zusätzlich, dieses Gesetz könnte die allgemeinen Bedingungen dieser Verordnung bestimmt die rechtmäßige Verarbeitung personenbezogener Daten und Spezifikationen für die Bestimmung der Steuerung zu übernehmen, die Art der Verarbeitung personenbezogener Daten, die jeweiligen Datensubjekte, die Einheiten können gountai personenbezogene Daten koinolo, die objektiven Zwänge, Lagerzeit und andere Maßnahmen rechtmäßig und eine Verarbeitung, um sicherzustellen,. auch, Es sollte das Unionsrecht oder das Recht der Mitgliedstaaten überlassen werden, ob der Controller eine Pflicht im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt ausgeführt erfüllen sollte eine Behörde oder eine andere natürliche oder juristische Person sein geregelt öffentliches Recht oder, wenn dies aus Gründen des Allgemeininteresses gerechtfertigt, einschließlich aus gesundheitlichen Gründen, wie öffentliche Gesundheit und Sozialschutz und Gesundheitsdienstleistungen Management, privatrechtlichen, als Berufsverband.
Die Verarbeitung personenbezogener Daten sollte auch rechtmäßig gelten, soweit es erforderlich ist, ein Interesse zu schützen, die für das Leben der betroffenen Person oder einer anderen Person erforderlich ist. Die Verarbeitung personenbezogener Daten durch die vitalen Interessen eines anderen Individuums sollte,’
(1) Richtlinie 93/13 / EOK des Rates, die 5. April 1993, über missbräuchliche Klauseln in Verbraucherverträgen (ABl L 95 von 21.4.1993, p. 29).
4.5.2016
Prinzip durchgeführt werden, nur wenn es offensichtlich ist, dass die Verarbeitung nicht eine andere Rechtsgrundlage haben können. Einige Arten der Behandlung können sowohl aus wichtigen Gründen des öffentlichen Interesses und der andere für die vitalen Interessen der betroffenen Person verwendet werden, wie, zum Beispiel, wenn die Verarbeitung ist für humanitäre Zwecke erforderlich, einschließlich Monitor Epidemien und deren Verbreitung, oder in Situationen dringender humanitärer Bedürfnisse, insbesondere in Fällen von natürlichen und von Menschen verursachten Katastrophen.
- (47) Die berechtigten Interessen des Reglers, diejenigen, eine Steuerung enthält, die die persönlichen Daten übermittelt werden können oder dritten, kann für die Verarbeitung einer Rechtsgrundlage, sofern sie nicht außer Kraft, die Interessen oder die Grundrechte und Freiheiten der betroffenen Person, unter Berücksichtigung der berechtigten Erwartungen der betroffenen Personen auf der Grundlage ihrer Beziehung mit dem Controller. Ein solches Interesse könnte zum Beispiel auftreten, wenn keine relevante und geeignete Beziehung zwischen der betroffenen Person und dem Controller, als ob die betroffene Person ein Client des Reglers ist oder im Dienst. In jedem Fall müßte die Existenz berechtigten Interesse sorgfältige Prüfung, unter anderem, ob der betroffenen Person, zu der Zeit und im Rahmen der Erhebung personenbezogener Daten, es ist sinnvoll, dass zu erwarten, zu diesem Zweck verarbeitet werden kann,. speziell, die Interessen und die Grundrechte der betroffenen Person Vorrang vor den Interessen der Steuerung übernehmen könnte, wenn personenbezogene Daten in Fällen verarbeitet werden, wenn die betroffene Person erwartet Weiterverarbeitung der Daten nicht angemessen ist. Da es für die Gesetzgeber von der öffentlichen Hand für die Verarbeitung personenbezogener Daten, die die Rechtsgrundlage durch das Gesetz zu schaffen,, Diese Rechtsgrundlage soll nicht auf die Behandlung durch die Behörden bei der Erfüllung ihrer Aufgaben angewandt werden. H Verarbeitung persönlicher Daten, in dem Umfang zur Betrugsprävention unbedingt erforderlich, bildet auch ein berechtigtes Interesse der Datensteuerung. H Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung kann in Betracht gezogen werden, dass eine Instanz eines berechtigten Interesses.
- (48) Die Controller, die Mitglieder der Gruppe von Unternehmen oder Institutionen, die mit zentralen Körper kann ein berechtigtes Interesse daran haben, zu den personenbezogenen Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übertragen, einschließlich der Verarbeitung von persönlichen Kunden- oder Mitarbeiterdaten. Die allgemeinen Prinzipien der Übermittlung personenbezogener Daten, innerhalb einer Gruppe von Unternehmen, ein Unternehmen in einem Drittland ist nicht betroffen.
- (49) Die Verarbeitung personenbezogener Daten, soweit dies unbedingt erforderlich und angemessen für die Zwecke der Sicherstellung der Netz- und Informationssicherheit, dh die Fähigkeit eines Netzes oder ein Informationssystem zu wieder, bei einem gegebenen Konfidenzniveau, Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, dass ein Kompromiss der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von werbsfähigkeit persönlichen Daten gespeichert oder übertragen, und die Sicherheit der angebotenen Dienste von diesen Netzwerken und Systemen oder zugänglich über diese Netze und Systeme, oder von den Behörden angeboten, of Emergency Response Teams in IT (CERT), von Einsatzteams für Veranstaltungen für die Computersicherheit im Zusammenhang (CSIRT), von Netzwerk-Anbieter von elektronischen Kommunikationsdiensten und Anbieter von Technologien und Sicherheitsdienste, Es stellt ein berechtigtes Interesse der Datensteuerung. Dies könnte auch die, Beispiel, Verhindern eines nicht autorisierten Zugangs zu elektronischen Kommunikationsnetzen und bösartige Code Verteilung und „Denial-of-Service-Attacken“ und Schäden an Computersystemen und elektronische Kommunikation zu stoppen.
- (50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die persönlichen Daten ursprünglich nur erhoben werden, sollte zugelassen werden, wenn die Verarbeitung mit den Zwecken vereinbar ist, für die die persönlichen Daten ursprünglich gesammelt. In diesem Fall, keine Trennung ist Rechtsgrundlage als die für die Erhebung personenbezogener Daten zulässig erforderlich. Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung übertragen notwendig ist, Unionsrecht oder Mitgliedstaat kann bestimmen und definiert die Aufgaben und Zwecke, für die sie sollten kompatibel und rechtmäßige Weiterverarbeitung in Betracht gezogen werden. Die weitere Verarbeitung zur Archivierung Gründen des Allgemeininteresses, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke sollten kompatibel rechtswidrige Verarbeitung in Betracht gezogen werden. Die Rechtsgrundlage zur Verfügung gestellt, die das Recht der Union oder einem Mitgliedstaat für die Verarbeitung von personenbezogenen Daten kann auch die Rechtsgrundlage für die weitere Verarbeitung bilden. Um festzustellen, ob der Zweck der Weiterverarbeitung ist kompatibel mit dem Zweck der ursprünglichen Sammlung von persönlichen Daten, der Controller, wenn es erfüllt alle Anforderungen für die Rechtmäßigkeit der ersten Verarbeitung, Sie sollten berücksichtigen,, einschließlich: eventuelle Verbindungen zwischen diesen Zwecken und den Zwecken der beabsichtigten Weiterverarbeitung, den Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere die berechtigten Erwartungen der betroffenen Person aufgrund ihrer Beziehung zum Datenverantwortlichen hinsichtlich ihrer weiteren Verwendung, die Art der personenbezogenen Daten;
Amtsblatt der Europäischen Union 4.5.2016
(51)
Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen und das Bestehen geeigneter Garantien sowohl für die anfänglichen als auch für die beabsichtigten Weiterverarbeitungsvorgänge.
Wenn die betroffene Person ihre Einwilligung oder Verarbeitung zur Verfügung gestellt hat beruht auf dem Recht der Union oder einem Mitgliedstaat eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft zu gewährleisten,, besondere, Hauptziele im Rahmen des allgemeinen öffentlichen Interesses, Es sollte der Regler erlaubt weiter auszuführen Verarbeitung personenbezogener Daten, unabhängig von der Kompatibilität der Ziele. Jedenfalls, Es sollte die Anwendung der Grundsätze gewährleistet in dieser Verordnung festgelegten und, insbesondere, die betroffene Person auf diesen anderen Zwecken informieren und über ihre Rechte, einschließlich des Rechts auf Objekt. Kennzeichnung möglich Verbrechen oder Gefahren für die öffentliche Sicherheit durch die Steuerung und die Übertragung von personenbezogenen Daten an eine zuständigen Behörde im Einzelfall oder an mehr Fällen die gleiche Straftat oder die gleichen Gefahren für die öffentliche Sicherheit beteiligt sollte als innerhalb der berechtigten Interessen berücksichtigt werden von der Steuerung verfolgt. jedoch, Die Übertragung erfolgt im berechtigten Interesse des Controllers oder der weiteren Verarbeitung personenbezogener Daten verboten werden sollte, wenn der Prozess ist nicht kompatibel mit Recht, berufliche oder andere bindende Verpflichtung zur Vertraulichkeit.
Personenbezogene Daten, die besonders empfindlich in der Natur sind in Bezug auf die Grundrechte und Freiheiten erfordern einen besonderen Schutz, weil der Kontext der Behandlung kann es zu ernsthaften Risiken für die Grundrechte und Freiheiten schaffen. Diese personenbezogenen Daten sollten persönliche Daten, aus denen die rassische und ethnische Herkunft sind, in denen die Verwendung des Begriffs ‚Rasse‘ in dieser Verordnung bedeutet nicht, dass die Union Theorien angenommen, dass die Existenz verschiedener menschlicher Rassen unterstützen. Fotobearbeitung sollte nicht systematisch die Verarbeitung besonderer Kategorien personenbezogener Daten betrachtet werden,, da diese nur durch die Definition der biometrischen Daten abgedeckt, wenn die Verarbeitung mittels spezieller technischer Mittel die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen,. Solche personenbezogenen Daten dürfen nicht verarbeitet werden, es sei denn, eine solche Behandlung ist in besonderen Fällen, die in dieser Verordnung erlaubt, während das Recht der Mitgliedstaaten können spezifische Bestimmungen zum Datenschutz festgelegt werden, die Anwendung der Bestimmungen dieser Verordnung anzupassen gesetzlichen Verpflichtungen oder erfüllen diese Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung ausgeführt einzuhalten. Neben den spezifischen Anforderungen, die Gegenstand einer solchen Verarbeitung, die allgemeinen Grundsätze angewandt und die anderen Vorschriften dieser Verordnung werden, insbesondere in,In Bezug auf die Rechtsbehandlungsbedingungen. Ausnahmen von dem allgemeinen Verbot von personenbezogenen Daten Charakter innerhalb dieser spezifischen Kategorien fallen ausdrücklich sollten vorgesehen, einschließlich, im Fall der ausdrücklichen Zustimmung der betroffenen Person oder für Behinderte, insbesondere wenn die Verarbeitung unter aus legitimen Tätigkeiten bestimmter Vereinigungen oder Stiftungen getragen wird, dessen Zweck es ist, die Ausübung der Grundfreiheiten zu ermöglichen.
Die Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sollte auch dann, wenn durch das Unionsrecht oder die Mitgliedstaaten und vorbehaltlich einer angemessene Absicherung zulässig, sofern, personenbezogenen Daten und andere Grundrechte zu schützen, sofern dies aus Gründen des Allgemeininteresses gerechtfertigt, die Verarbeitung personenbezogener Daten im Bereich des Arbeitsrechts insbesondere, das Sozialschutzrecht, einschließlich der Renten, und für die Gesundheit aus Sicherheitsgründen, Überwachung und Alarm zur Verhinderung oder übertragbare Krankheiten und andere schwerwiegende Gesundheitsbedrohungen zu steuern. Diese Ausnahme kann für gesundheitliche Zwecke hergestellt werden, einschließlich der öffentlichen Gesundheit und Gesundheitsmanagement, insbesondere, um die Qualität und Effizienz Kosten der verwendeten Verfahren zur Abrechnung von Leistungen in der Krankenversicherung, um sicherzustellen,, oder zu Archivierungszwecken im öffentlichen Interesse, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Es sollte auch eine Ausnahme sein, die Verarbeitung dieser personenbezogenen Daten zu ermöglichen, wenn es notwendig ist, zu etablieren, Schulung oder Support Rechtsansprüche, entweder in einem Gerichtsverfahren oder einer administrativen oder außergerichtlichen Verfahren.
Die Verarbeitung besonderer Kategorien personenbezogener Daten, die höheren Schutz benötigen, sollte nur für Zwecke im Zusammenhang mit Gesundheit gemacht werden, wenn dies erforderlich ist, um diese Ziele zu erreichen,, zum Wohle der Menschen und der Gesellschaft als Ganzes, insbesondere im Rahmen von Service-Management-und Gesundheitssystemen und soziale Betreuung, einschließlich der Verarbeitung dieser Daten durch das Management und die zentralen nationalen Gesundheitsbehörden zum Zweck der Qualitätskontrolle, Informationsmanagement und die allgemeine nationale und lokale Aufsicht der Gesundheitsversorgung oder soziale Betreuung, und die Kontinuität der Gesundheitsversorgung oder Sozialarbeit und grenzüberschreitenden Gesundheitsversorgung oder Gesundheitssicherheit, zur Überwachung und Alarmzwecke oder für Zwecke im öffentlichen Interesse Archivierung, wissenschaftliche oder historische Forschung oder
4.5.2016
Amtsblatt der Europäischen Union
statistische Zwecke, durch das Recht der Union oder die Mitgliedstaaten im Hinblick auf das öffentliche Interesse dienen, sowie Studien im Bereich der öffentlichen Gesundheit im öffentlichen Interesse. folglich, sollte diese Verordnung für harmonisierter Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten der Gesundheit betreffend, mit Behinderungen im Vergleich, insbesondere wenn die Verarbeitung dieser Daten für bestimmte Zwecke in Bezug auf die Gesundheit von Personen durchgeführt, die im Rahmen einer gesetzlichen Geheimhaltungspflicht sind. Das Recht der Union oder die Mitgliedstaaten sollte spezifische und angemessene Maßnahmen für den Schutz der Grundrechte und die personenbezogenen Daten von Personen zur Verfügung stellen. Die Mitgliedstaaten sollten weitere Bedingungen aufrechterhalten können oder einführen, einschließlich der Beschränkungen, in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Daten über Gesundheit. jedoch, Dies sollte den freien Verkehr personenbezogener Daten innerhalb der Union nicht verhindern, wenn diese Bedingungen gelten für den grenzüberschreitenden Verarbeitung dieser Daten.
- (54) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann im öffentlichen Interesse in den Bereichen der öffentlichen Gesundheit erforderlich sein, ohne die Zustimmung der betroffenen Person. Eine solche Verarbeitung sollte vorbehaltlich einer angemessenen und spezifischen Maßnahmen, um die Rechte und Freiheiten des Einzelnen zu schützen. In diesem Zusammenhang, „Öffentliche Gesundheit“ sollte in der Verordnung definiert interpretiert werden (EG) keine. 1338/2008 Europäisches Parlament und Rat (1), dh alle mit Gesundheit assoziiert Elemente, nämlich Gesundheit, einschließlich Morbidität und Behinderung, die Determinanten, die die Gesundheit beeinflussen, Bedürfnisse im Gesundheitswesen, die verfügbaren Ressourcen für das Gesundheitswesen, die Bereitstellung von Gesundheitsversorgung und den Zugang zu ihm, und die Kosten und Finanzierung des Gesundheitswesens und die Ursachen der Sterblichkeit. Diese Verarbeitung von Daten über Gesundheit aus Gründen des öffentlichen Interesses im Bereich sollte bei der Verarbeitung personenbezogener Daten für andere Zwecke durch Dritte führen nicht, wie Arbeitgeber oder Versicherungen und Banken.
- (55) zusätzlich, die Verarbeitung personenbezogener Daten durch staatliche Stellen für Ziele staatlich anerkannten Religionsgesellschaften zu erreichen, Staatsrechtler oder internationales öffentliches Recht festgelegt, Sache topoieitai öffentliches Interesse.
- (56) ob, unter Wahl Aktivitäten, der Betrieb des demokratischen Systems in einem Mitgliedstaat der politischen Parteien personenbezogene Daten zu politischen Meinungen der Bürger in Bezug, die Verarbeitung dieser Daten kann aus Gründen des öffentlichen Interesses zugelassen werden, wenn ausreichende Garantien zur Verfügung gestellt.
- (57) Werden personenbezogene Daten von einer Steuerung verarbeitet erlauben nicht den Controller eine natürliche Person zu identifizieren, die Datenverarbeitung Verantwortlichen sollten nicht verpflichtet werden, um zusätzliche Informationen zu erhalten, die betroffene Person für den alleinigen Zweck der Einhaltung einer Bestimmung dieser Verordnung zu identifizieren. jedoch, die Steuerung sollte nicht zusätzliche Informationen verweigert von der betroffenen Person vorgesehen, um zu erhalten, die Ausübung seiner Rechte zu unterstützen. Die Identifizierung sollte digitale Identifikation der betroffenen Person umfasst, beispielsweise durch den Authentifizierungsmechanismus, als die gleichen Identifikationsinformationen werden von der betroffenen Person beim Eintritt verwendet (Anmeldung) der Online-Dienst von der Steuerung zur Verfügung gestellt.
- (58) Der Grundsatz der Transparenz verlangt, dass alle Informationen an die Öffentlichkeit oder an die betroffene Person sei kurz angesprochen, leicht zugänglich und leicht verständlich und klar und einfach Formulierung und, zusätzlich, gegebenenfalls, Darstellung. Solche Informationen könnten in elektronischer Form zur Verfügung gestellt werden, zum Beispiel, wenn für die Öffentlichkeit bestimmt, über die Website. Dies ist besonders wichtig in Fällen, in denen eine Vielzahl von Teilnehmern und die Komplexität von Technologien, die für die betroffene Person schwierig zu wissen und zu verstehen, wenn, von wem und zu welchem Zweck der gesammelten personenbezogenen Daten,wie im Fall der Online-Werbung. Da brauchen Kinder besonderen Schutz, jedes Informations- und Kommunikations, wenn die Behandlung an Kindern, Es sollte in klaren und einfachen Sprache ausgedrückt werden, dass das Kind leicht verstehen können.
- (59) Sie sollen Möglichkeiten bieten, die betroffene Person zur Ausübung seiner Rechte im Rahmen dieser Verordnung zu ermöglichen,, unter anderem Mechanismen, mit denen zu verlangen und, gegebenenfalls, erhalten werden kostenlos, insbesondere, Zugang zu personenbezogenen Daten und zu korrigieren oder löschen und das Recht auf Objekt auszuüben. Die Steuerung sollte auch die Mittel für die elektronische Übermittlung von Anfragen, insbesondere dann, wenn personenbezogene Daten verarbeitet elektronisch. Die Steuerung soll auf Anfragen der betroffenen Person unverzüglich, spätestens jedoch innerhalb eines Monats zu reagieren verpflichtet, und den Nachweis zu erbringen, wenn es nicht die Absicht, mit solchen Anfragen nachzukommen.
(1) Regulierung (EG) keine. 1338/2008 Europäisches Parlament und Rat, vom 16. Dezember 2008, zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl L 354 von 31.12.2008, p. 70).
Amtsblatt der Europäischen Union 4.5.2016
Die Prinzipien der fairen und transparenten Verarbeitung erfordern, dass die betroffene Person wird die Existenz der Verarbeitung und ihre Zwecke zu informieren. Die Steuerung sollte die betroffene Person keine weiteren Informationen zur Verfügung stellen, die notwendig ist, faire und transparente Behandlung zu gewährleisten,, unter Berücksichtigung der besonderen Umstände und Kontext, in dem sie die Verarbeitung personenbezogener Daten durchgeführt. weiter, die betroffene Person wird die Folgen sein und welches Profil muss aktualisiert werden, wenn festgestellt wird,. Werden personenbezogene Daten von der betroffenen Person zur Verfügung gestellt, die betroffene Person auch darüber informiert werden, ob personenbezogene Daten und für die Folgen zu liefern verpflichtet, wenn es bietet keine solche Daten. Diese Informationen können mit standardisierten Symbolen in Kombination zur Verfügung gestellt werden prominent platziert werden, verständlich und lesbar Art und Weise einen wesentlichen Überblick über die beabsichtigte Verarbeitung. Wenn die Symbole verfügbar sind elektronisch, Sie sollten maschinenlesbar sein.
Informationen in Bezug auf die Verarbeitung personenbezogener Daten an die betroffenen Person beziehen, sollen in der Sammlung der betroffenen Person zur Verfügung gestellt werden oder, wenn die persönlichen Daten von einer anderen Quelle empfangen, innerhalb einer angemessenen Frist, je nach den Umständen des Einzelfalls. Wenn personenbezogene Daten an einen anderen Empfänger offen gelegt werden, Die betroffene Person muss mitgeteilt werden,, wenn personenbezogene Daten werden zum ersten Mal des Empfänger. Wenn die Steuerung für einen bestimmten Zweck personenbezogene Daten verarbeiten will andere als die, für die sie gesammelt wurden, die Daten-Controller sollten die betroffene Person liefern, vor der genannten weiteren Verarbeitung, Informationen hierzu und andere notwendige Informationen. Wenn die Herkunft der personenbezogenen Daten nicht an die betroffene Person offen gelegt werden, da verschiedene Quellen verwendet wurden,, Sie sollten allgemeine Informationen gegeben werden.
jedoch, es ist nicht erforderlich, die Verpflichtung aufzuerlegen, um Informationen zur Verfügung zu stellen, wenn die betroffene Person bereits über die Information, wenn die Aufzeichnung und Veröffentlichung personenbezogener Daten ausdrücklich gesetzlich vorgeschrieben oder soweit die Bereitstellung von Informationen an die betroffenen Person nicht als unmöglich erweist oder erfordern würde einen unverhältnismäßig hohen Aufwand zur Verfügung gestellt. Letzteres könnte besonders, wenn die Behandlung ist für Archivierungszwecke im öffentlichen Interesse, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Verbindung, Sie sollten die Anzahl der betroffenen Personen berücksichtigen, Das Alter der Daten und gegebenenfalls geeignete Sicherungsmaßnahmen eingeleitet.
Die betroffene Person hat das Recht auf Zugang personenbezogene Daten erhoben und Anliegen hat und dieses Recht leicht zu trainieren und in angemessenen Abständen, die Rechtmäßigkeit der Verarbeitung zu beachten und überprüfen. Dazu gehört das Recht der betroffenen Personen auf Zugang zu den Daten haben über ihre Gesundheit, beispielsweise die Daten in ihren medizinischen Unterlagen solche Informationen als Diagnose enthalten, Prüfungsergebnisse, Einschätzungen von behandelnden Ärzten und jede Behandlung oder Eingriffe gemacht. deshalb, jede betroffene Person soll das Recht hat, zu wissen, und das vor allem bekannt gegeben, zu welchem Zweck ist die Verarbeitung personenbezogener Daten, wenn möglich, wie lange dauert die Verarbeitung personenbezogener Daten, Empfänger, die personenbezogenen Daten erhalten, Welche Logik ist in automatisierten Verarbeitung personenbezogener Daten gefolgt und was die Folgen einer solchen Verarbeitung sein könnte, zumindest dann, wenn basierend auf Profilierungs. Die Steuerung sollte Remote-Zugriff auf ein sicheres System zu schaffen, in der Lage, durch die die betroffene Person einen direkten Zugang zu den Daten erhält über ihn. Dieses Recht sollte nicht nachteilig auf die Rechte oder Freiheiten anderer beeinflussen, wie das geistige Eigentum Berufsgeheimnis oder das Recht und, besondere, Urheberrecht zum Schutz der Software. jedoch, Diese Faktoren sollten nicht in der Verweigerung von Informationen zu der betroffenen Person. Wenn der Controller verarbeitet große Mengen an Informationen über die betroffene Person, die Steuerung sollte das Thema fragen können,, gegeben Vorinformationen, geben Sie die Informationen oder Verarbeitungstätigkeiten der Anforderung zugeordnet.
Die Steuerung sollte alle zumutbaren Maßnahmen verwenden, um die Identität der betroffenen Person zu überprüfen, die den Zugriff anfordert, insbesondere im Rahmen von Online-Diensten und Online-Identifikatoren Identität. Die Steuerung sollte keine personenbezogenen Daten behalten für den alleinigen Zweck, um potenzielle Anfragen reagieren zu können,.
Die betroffene Person hat das Recht auf Anfrage Korrektur von personenbezogenen Daten, die ihn betreffen, und das „Recht auf Vergessen“, wenn die Beibehaltung dieser Daten verstößt gegen diese Verordnung oder das Recht der Union oder der Mitgliedstaat, in dem die Steuerung unterliegt. insbesondere, die betroffene Person das Recht haben sollte, das Löschen und die Beendigung der Verarbeitung personenbezogener Daten im Zusammenhang mit ihm zu verlangen, wenn die personenbezogenen Daten nicht mehr notwendig ist in Bezug auf die Zwecke, für die sie erhoben oder gemäß eingereicht’ anderweitig verarbeitet, wenn die betroffene Person Zustimmung zur Behandlung oder, wenn das Objekt auf die Verarbeitung personenbezogener Daten, die ihn betreffen, oder wenn die Verarbeitung personenbezogener Daten entzieht ihn beziehen, ist nicht in Übereinstimmung mit dieser Verordnung in’ andernfalls. Dieses Recht ist besonders wichtig, wenn die betroffene Person ihre Einwilligung als Kind zur Verfügung gestellt hat, wenn er nicht voll und ganz bewusst
4.5.2016
Amtsblatt der Europäischen Union
die Risiken der Behandlung, und später will bestimmte persönliche Daten löschen, vor allem aus dem Internet. Die betroffene Person sollte in der Lage sein, dieses Recht auch auszuüben, obwohl es nicht länger Kind. jedoch, weitere Erhaltung der persönlichen Daten sollte zulässig, wenn sie für die Ausübung des Rechts auf freie Meinungsäußerung und Information notwendig ist,, für die Erfüllung einer rechtlichen Verpflichtung, eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt zu erfüllen in der Steuerung übertragen, öffentliches Interesse an dem öffentlichen Gesundheitssektor, für Archivierungszwecke im öffentlichen Interesse, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, oder zur Errichtung, Schulung oder Support Rechtsansprüche.
- (66) Zur Stärkung des direkt in der Online-Umgebung vergessen zu werden, das Recht auf Löschung sollte auch so erweitert werden, dass die Steuerung, die personenbezogene Daten veröffentlicht ist verpflichtet, die Controller verarbeiten diese persönlichen Daten zu informieren, um alle Links oder kopieren oder die Replikation der Daten zu löschen persönlich. Wenn es tut so, Controller das müssen angemessene Schritte, unter Berücksichtigung der verfügbaren Technologie und die Mittel, die für die Datenverarbeitung, einschließlich der technischen Maßnahmen, zu informieren Controller, die personenbezogene Daten auf Antrag der betroffenen Person verarbeiten.
- (67) Methoden verwendet, um die Verarbeitung personenbezogener Daten beschränken könnten, einschließlich, die temporäre Bewegung der ausgewählten Daten zu einem anderen Verarbeitungssystem, Entfernen der Zugänglichkeit von ausgewählten persönlichen Daten von Nutzern oder vorübergehende Entfernung der veröffentlichten Daten von der Website. In automatisierten Dateien Begrenzung Verarbeitung sollte in’ Prinzip durch technische Mittel sichergestellt werden, so dass persönliche Daten können nicht Gegenstand einer weiteren Verarbeitung und kann nicht geändert. Die Tatsache, dass die Verarbeitung personenbezogener Daten beschränkt ist, wird im System angezeigt werden.
- (68) Um die Kontrolle über die persönlichen Daten zu stärken, wenn die Verarbeitung personenbezogener Daten erfolgt durch automatisierte Mittel aus, die betroffene Person sollte auch gestattet werden ihm personenbezogenen Daten zu erhalten, die im Zusammenhang eine Steuerung zur Verfügung gestellt hat, ein strukturierter, häufig verwendet und maschinenlesbares Format kompatibel, und leiten sie an einen anderen Controller. Die Datenverarbeitung Verantwortlichen sollten umfassen die Förderung nontai entwickeln interoperablen Formaten Datenportabilität ermöglichen. Dieses Recht sollte gelten, wenn die betroffene Person die persönlichen Daten mit Zustimmung zur Verfügung gestellt hat oder wo die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist,. Es sollte keine Anwendung, wenn die Verarbeitung basiert auf anderen Befugnisse als Zustimmung oder Vereinbarung. Von der Natur dieses Rechts sollte nicht von Controllern ausgeübt werden, die in der Ausübung ihrer öffentlichen Aufgaben personenbezogene Daten verarbeiten. Es sollte daher zur Anwendung, wenn die Verarbeitung personenbezogener Daten für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Steuerung unterliegt, oder eine Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung übertragen durchgeführt erfüllen. Das Recht der betroffenen Person zu empfangen und senden oder persönliche Daten, die ihm im Zusammenhang sollte keine Verpflichtung schaffen für Controller Behandlungssysteme zu erlassen oder beizubehalten, die kompatibel sind technisch. wenn, ein bestimmte Satz von persönlichen Daten, betroffen mehr als eine zugrunde liegende Daten, das Recht vor, persönliche Daten erhalten sollte die Rechte und Freiheiten anderer betroffenen Personen im Rahmen dieser Verordnung betreffen. zusätzlich, Dieses Recht sollte nicht das Recht der Betroffenen beeinträchtigt die Löschung personenbezogener Daten oder Einschränkungen dieses Recht zu verlangen,, wie sollte Löschung von personenbezogenen Daten über die betroffene Person des persönlichen Charakters nicht führen in dieser Verordnung und insbesondere vorgesehen, und die von ihm im Rahmen eines Vertrags geliefert wurde,, das Ausmaß und wenn diese Daten für die Durchführung dieses Vertrages erforderlich ist. Wenn technisch möglich, die betroffene Person das Recht zu gewährleisten haben, dass personenbezogene Daten direkt von einem Controller zu einem anderen übertragen werden.
- (69) Werden personenbezogene Daten rechtmäßig verarbeitet werden können, da die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in den Controller übertragen durchgeführt oder aus Gründen berechtigten Interessen des Controllers oder einem Dritten, jede betroffene Person sollte par berechtigt’ alle von ihnen auf die Verarbeitung von personenbezogenen Daten in Bezug auf die besondere Situation zu wieder. Es sollte für die Steuerung, dass die zwingenden berechtigten Interesse erweisen, die Interessen oder die Grundrechte und Freiheiten der betroffenen Person außer Kraft setzen.
- (70) Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, die betroffene Person das Recht haben sollten, um eine solche Verarbeitung zu wider, einschließlich Ausbildungsprofil in dem Umfang, der mit diesem Direktmarketing zugeordnet ist,, ob anfängliche oder zur Weiterverarbeitung, jederzeit und ohne Gebühr. Dieses Recht muss speziell auf die Aufmerksamkeit des Betroffenen zur Kenntnis gebracht und deutlich getrennt von allen anderen Informationen angezeigt.
Amtsblatt der Europäischen Union 4.5.2016
Die betroffene Person sollte das Recht haben, nicht Gegenstand einer Entscheidung zu sein, die ein gewisses Maß enthalten kann, die bewerten persönliche Aspekte, die ihn betreffen, ausschließlich auf eine automatisierte Verarbeitung erhalten und die Rechtswirkungen für die betreffende Person oder erheblich beeinträchtigt entsprechend, wie die automatische Ablehnung Online-Kreditantrag oder elektronische Einstellungspraxis ohne menschlichen Eingriff. Diese Behandlung umfasst „Profilierung“, die jede Form von persönlichen automatisierten Daten bestehen die Verarbeitung personenbezogener Aspekte zu bewerten, um eine natürliche Person, insbesondere die Analyse oder Aspekte der Leistung bei der Arbeit der Vorhersage, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, die Position oder Bewegung des Betroffenen, soweit gesetzlich wirksam gegen eine solche Person oder erheblich beeinträchtigt analog. jedoch, eine Entscheidung über diese Behandlung auf der Grundlage, einschließlich Ausbildungsprofil, Es sollte, wenn ausdrücklich das Recht der Union oder einem Mitgliedstaat zugelassen werden, in denen der Controller Subjekt, einschließlich zum Zweck der Überwachung und Bekämpfung von Betrug und Steuerhinterziehung gemäß den Verordnungen, die Standards und Empfehlungen der Organe der Union und die nationalen Aufsichtsbehörden und die Sicherheit und Zuverlässigkeit des Dienstes durch den Controller zur Verfügung gestellt, um sicherzustellen,, oder, wenn es für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Controller oder wenn die betroffene Person erforderlich ist, hat ihre ausdrückliche Zustimmung zur Verfügung gestellt. Jedenfalls, eine solche Verarbeitung sollte unter geeigneten Sicherheitsmaßnahmen werden, die sollte spezifische Informationen der betroffenen Person ist und die richtige Sicherung menschlichen Eingriffs, das Recht der Meinungsäußerung von, die richtigen Gründe für die Entscheidung im Rahmen dieser Prüfung und das Recht anfechten die Entscheidung getroffen zu erhalten. Diese Maßnahme soll kein Kind betreffen.
Um einen fairen und transparenten Prozess in Bezug auf die betroffenen Person, um sicherzustellen,, unter Berücksichtigung der besonderen Umstände und Kontext, in dem sie die Verarbeitung personenbezogener Daten durchgeführt, die Steuerung sollte für die Erstellung des Profils geeignete mathematische oder statistische Verfahren verwenden, technische und organisatorische Maßnahmen zur Umsetzung, die Faktoren zu korrigieren, die zu Ungenauigkeiten in der persönlichen Daten führen und das Risiko von Fehlern zu minimieren, eine gesicherte persönliche Daten in einer Weise, dass die potenziellen Risiken im Zusammenhang mit den Interessen und Rechten der betroffenen Person und in einer Weise, dass verhindert berücksichtigt, einschließlich, die diskriminierende Wirkung gegen Personen aufgrund ihrer Rasse oder ethnischer Herkunft, politische Meinung, Religion oder Weltanschauung, in Gewerkschaften Teilnahme, genetisch bedingte Erkrankung oder der Gesundheitszustand oder die sexuelle Ausrichtung, oder gleichwertige Maßnahmen. Automatisierte Entscheidungsfindung und Profilierung auf der Grundlage spezifischer Kategorien personenbezogener Daten sollte nur unter bestimmten Bedingungen erlaubt werden.
Die Profilierung unterliegt den Vorschriften dieser Verordnung über die Verarbeitung personenbezogener Daten, als Rechtsgrund für die Verarbeitung oder Datenschutzbehörden. In diesem Zusammenhang, die Europäische Datenschutzbehörde dieser Verordnung festgelegt ("Data Protection Board") Sie sollten in der Lage sein, Anweisungen zu geben.
Sie können durch das Unionsrecht oder Recht der Mitgliedstaaten Beschränkungen für bestimmte grundlegende Prinzipien und Rechte auf Informationen auferlegt werden, Auskunft und Berichtigung oder Löschung von personenbezogenen Daten, das Recht auf Datenportabilität, das Recht auf Objekt, die Entscheidungen auf der Grundlage Profilierungs, und die Verletzung der persönlichen Datenkommunikation an die betroffene Person und bestimmten damit verbundenen Verpflichtungen der Controller, in dem Maße, in einer demokratischen Gesellschaft zu schützen öffentliche Sicherheit erforderlich und angemessen ist, einschließlich dem Schutz des menschlichen Lebens, vor allem im Fall von natürlichen oder von Menschen verursachten Katastrophen, Vorbeugung, Untersuchung und Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich der Sicherstellung gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung oder ethischen Verletzungen in reglementierten Berufen, andere wichtige Ziele von allgemeinem öffentlichen Interesse der Union oder einem Mitgliedstaat, insbesondere einen wichtigen wirtschaftlichen oder finanziellen Interessen der Union oder einem Mitgliedstaat, die Einhaltung der öffentlichen Aufzeichnungen aus Gründen der Daseinsvorsorge, Weiterverarbeitung personenbezogener Daten archiviert spezifische Informationen über das politische Verhalten in früheren autoritären Regimen oder den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer zu schaffen, einschließlich Sozialschutz, öffentliche Gesundheit und humanitäre Zwecke. Diese Einschränkungen sollten mit den Anforderungen in Einklang stehen in der Charta und der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten festgelegt.
Es sollte von der Steuerung oder im Namen des Controllers ausgeführt Verantwortung und Entschädigung der Steuerung für jede Verarbeitung personenbezogener Daten etabliert. speziell, die Steuerung sollte ordnungsgemäß umzusetzen verpflichtet und effektiv zu messen und die Übereinstimmung der Verarbeitungsvorgänge mit dieser Verordnung nachweisen kann,, einschließlich der Wirksamkeit der Maßnahmen. Diese Maßnahmen sollten berücksichtigen die Natur, Kontext, der Umfang und Zweck der Verarbeitung und die Risiken für die Rechte und Freiheiten des Einzelnen.
Amtsblatt der Europäischen Union
- (75) Die Risiken für die Rechte und Freiheiten natürlicher Personen, Verändern Wahrscheinlichkeit und die Schwere, Sie können aus der Verarbeitung personenbezogener Daten erhalten werden, die zu physischen führen könnten, physischer oder nicht-physischer Schaden, vor allem, wenn die Behandlung zu Diskriminierung führen kann, Missbrauch oder Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Verlust der persönlichen Geheimhaltungszeichendaten geschützt durch das Berufsgeheimnis, Entziehen von psefdonymopoiisis, oder andere erhebliche wirtschaftliche oder soziale Nachteile; wenn betroffene Personen ihrer Rechte und Freiheiten beraubt oder daran gehindert werden könnten, die Kontrolle über ihre personenbezogenen Daten auszuüben; wenn personenbezogene Daten verarbeitet werden, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Überzeugung, Religion oder philosophische Überzeugungen oder die Teilnahme an Gewerkschaften und verarbeitet Gendaten, Daten über die Gesundheit oder Daten über das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen, wenn personenbezogene Aspekte bewertet werden, vor allem wenn man versucht, Aspekte der Leistung bei der Arbeit zu analysieren oder vorhersagen, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, die Position oder die Bewegungen, um personenbezogene Profile zu erstellen oder zu verwenden; bei der Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, insbesondere Kinder, oder wenn die Verarbeitung eine große Menge personenbezogener Daten umfasst und eine große Anzahl betroffener Personen betrifft.
- (76) Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollen unter Bezugnahme auf die Natur bestimmt werden, der Umfang, der Kontext und Zweck der Verarbeitung. Dieses Risiko sollte auf einer objektiven Beurteilung bewertet werden, zu erklären, ob Datenverarbeitungsvorgänge betreffen Risiko oder ein hohes Risiko.
- (77) Anleitung für die Durchführung geeigneter Maßnahmen und die Einhaltung des Controllers zu demonstrieren und Prozessor, insbesondere in Bezug auf die Behandlung der Ermittlung der Risiken, ihre Beurteilung in Bezug auf die Herkunft, Natur, Wahrscheinlichkeit und die Schwere und identifizieren insbesondere bewährte Verfahren zur Risikominderung wird mit genehmigten Verhaltenskodizes werden, vorausgesetzt,, approved Zertifizierungen, Richtlinien vom Vorstand Datenschutz versehen oder die Anweisungen versehen DPO. Die Datenschutzbehörde kann auch Leitlinien im Hinblick auf Verarbeitungsvorgänge, die für die Rechte und Freiheiten von Personen gelten als unwahrscheinlich zu einem hohen Risiko führen, was anzeigen würde, welche Maßnahmen in diesem Fall ausreichend sein können, um das relative Risiko zu begegnen.
- (78) Der Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten muß geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Anforderungen dieser Verordnung. Um der Lage sein, die Einhaltung dieser Verordnung zu demonstrieren, der Controller sollten interne Richtlinien erlassen und durch Design und durch Standardmaßnahmen darauf reagieren insbesondere auf die Grundsätze des Datenschutzes umzusetzen. Solche Maßnahmen könnten, einschließlich, Minimierung der Verarbeitung personenbezogener Daten, psefdonymopoiisi die personenbezogenen Daten so schnell wie möglich, Transparenz der Funktionen in Bezug auf und die Verarbeitung personenbezogener Daten, die betroffene Person zu ermöglichen, die Datenverarbeitung zu überwachen und in der Lage sein, die Steuerung erzeugt und verbessert die Sicherheitsfunktionen. bei der Entwicklung von, Design, Auswahl und Verwendung von Anwendungen, Dienstleistungen und Produkte auf der Verarbeitung personenbezogener Daten basieren oder sie für die Erfüllung ihrer Aufgaben von der Verarbeitung persönlicher Daten, die Hersteller, Dienste und Anwendungen sollten das Recht auf Datenschutz berücksichtigen gefördert werden, in der Entwicklung und Konstruktion solcher Produkte, Dienste und Anwendungen, dass, die neuesten Entwicklungen unter Berücksichtigung, sicherzustellen, dass Controller und Prozessoren der Lage wäre, ihre Verpflichtungen in Bezug auf den Datenschutz zu erfüllen. Die Grundsätze des Datenschutzes durch Design und standardmäßig sollte auch berücksichtigt bei der öffentlichen Auftragsvergabe getroffen werden.
- (79) Der Schutz der Rechte und Freiheiten der betroffenen Personen, sowie die Verantwortung und Haftung für Schäden an Steuerungen und Durchführen einer Verarbeitung, im Zusammenhang mit den Aufsichtsbehörden und Aufsichtsmaßnahmen zur Überwachung, Es erfordert eine klare Zuordnung von Verantwortlichkeiten im Rahmen dieser Verordnung, einschließlich des Falls, in dem ein Controller die Zwecke und Mittel der Verarbeitung wird gemeinsam mit anderen Controllern oder in denen eine Verarbeitungsoperation im Namen einer Steuereinheit durchgeführt wird bestimmt,.
- (80) Wenn ein Controller oder Prozessor in der Union nicht festgestellt wird, wird die Verarbeitung Themen personenbezogenen Daten, die in der Union sind und eine Verarbeitung Aktivitäten auf die Lieferung von Waren oder Dienstleistungen im Zusammenhang mit, oder die Zahlung von der Person oder nicht, in diesen Fächern in der Union oder die Überwachung ihres Verhaltens in dem Maße, dass ihr Verhalten in der Union nimmt, die Steuerung oder der Prozessor sollte einen Vertreter bezeichnen,, es sei denn, die Verarbeitung ist lässig, nicht Verarbeitung umfassen, Groß, personenbezogenen Daten oder die Verarbeitung persönliche Daten zu strafrechtlichen Verurteilungen und Straftaten und wird wahrscheinlich nicht in der Gefahr für die Rechte und Freiheiten natürlicher Personen führen, unter Berücksichtigung der Umfang, Kontext, die Art und den Zweck der Verarbeitung, oder wenn die Steuerung eine Behörde oder Körper. Der Vertreter sollte im Namen der Controller oder Prozessor handeln kann, und dass jede Supervisor adressiert werden. Der Vertreter sollte klar definiert sein
L 119/16
Amtsblatt der Europäischen Union 4.5.2016
(81)
schriftliche Genehmigung der Steuerung oder dem Prozessor zu handeln, in seinem Namen in Bezug auf ihre Verpflichtungen im Rahmen dieser Verordnung. Die Ernennung des Vertreters berührt nicht die Verantwortung oder Haftung der Steuerung oder den Prozessor im Rahmen dieser Verordnung. Dieser sollte ihre Aufgaben entsprechend dem Auftrag durch die Steuerung oder den Prozessor gegeben auszuführen, unter anderem mit den zuständigen Behörden über alle Maßnahmen die Einhaltung dieser Verordnung zu gewährleisten. Der bestellte Vertreter wird durch die Steuerung oder den Prozessor unter Vollstreckungsverfahren bei Nichteinhaltung sein.
Um die Einhaltung der Anforderungen dieser Verordnung im Hinblick auf die Durchführung der Verarbeitung durch den Prozessor zu gewährleisten, durch die Steuereinrichtung, wobei der Prozessor Verarbeitungsaktivitäten zugeordnet, die Steuerung sollte nur Prozessoren verwenden, die ausreichende Garantien bieten, insbesondere im Hinblick auf Know-how, Glaubwürdigkeit und Ressourcen, technische und organisatorische Maßnahmen zur Umsetzung der Anforderungen dieser Verordnung zu erfüllen, einschließlich derjenigen in Bezug auf die Sicherheit der Verarbeitung. Der Beitritt des Prozessors an einen zugelassenen Verhaltenskodex oder ein zugelassenen Zertifizierungsschema kann als Beweismittel verwendet werden, die Einhaltung zu beweisen, mit den Verpflichtungen des Controllers. Die Behandlung des Prozessors muss von einem Vertrag oder einem anderen Rechtsakt geregelt, basierend auf dem Unionsrecht oder das Recht der Mitgliedstaaten, Verbinden des Prozessors mit dem Controller, der definiert, den Umfang und die Dauer der Behandlung, die Art und Zweck der Verarbeitung, die Art von persönlichen Daten und Datenkategorien Themen, unter Berücksichtigung der spezifischen Aufgaben und Verantwortlichkeiten des Prozessors als Teil der Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen durchgeführt und das Risiko zu. Der Controller und der Prozessor entscheiden können von der Kommission oder von einer Aufsichtsbehörde in Übereinstimmung mit der Konsistenz Mechanismus und anschließend von der Kommission genehmigte direkt einen individuellen Vertrag oder Standardvertragsklauseln oder genehmigt verwenden. Nach Abschluss der Verarbeitung im Auftrag des Controller, der Prozessor sollte, Je nach Wahl des Reglers, zurückzukehren oder die Löschung von personenbezogenen Daten, personenbezogenen Daten nach dem Unionsrecht zu speichern oder das Recht des Mitgliedstaates, es sei denn, in dem der Prozessor gehört.
Um der Lage sein, die Einhaltung dieser Verordnung zu demonstrieren, der Controller oder der Prozessor führt Aufzeichnungen von Verarbeitungsvorgängen in ihrer Verantwortung behalten. Jeder Controller und jeder Prozessor sollen verpflichtet werden, bei der Aufsichtsbehörde zur Zusammenarbeit und zur Verfügung die machen, auf Anfrage, solche Aufzeichnungen, so kann es zur Überwachung der spezifischen Verarbeitungsoperationen verwendet werden,.
Zur Aufrechterhaltung der Sicherheit und Verarbeitung unter Verstoß gegen diese Verordnung zu verhindern, der Controller oder Prozessor soll die Risiken bei der Verarbeitung bewerten und Maßnahmen zur Minderung dieser Risiken, wie durch Verschlüsselung. Diese Maßnahmen sollten ein angemessenes Maß an Sicherheit gewährleisten, das schließt die vertrauliche werbsfähigkeit, die neuesten Entwicklungen unter Berücksichtigung und die Kosten für die Implementierung in Bezug auf die Risiken und die Art der personenbezogenen Daten geschützt werden. Bei der Beurteilung der Gefahr für die Datensicherheit, die aus der Verarbeitung personenbezogener Daten entstehen Risiken gegeben werden, wie zufällige oder vorsätzliche Zerstörung, Verlust, Veränderung, unbefugt oder Zugriff auf persönliche Daten übertragen, gespeichert oder flach unterworfen’ anderweitig verarbeitet, die in physikalischen führen könnte, physischer oder nicht-physischer Schaden.
Um die Einhaltung dieser Verordnung zu verstärken bei der Verarbeitung von Operationen in einem hohen Risiko für die Rechte und Freiheiten von Personen führen können, die Steuerung für die Durchführung von Folgenabschätzung für den Datenschutz verantwortlich, zu beurteilen, insbesondere, Quelle, Natur, die Wahrscheinlichkeit und Schwere dieses Risikos. Das Ergebnis der Bewertung sollte berücksichtigt werden, wenn bestimmt wird, welche Maßnahmen sollten, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit dieser Regelung nachzuweisen genommen werden. Wenn die Bewertung der Auswirkungen auf den Datenschutz gibt an, dass Verarbeitungsvorgänge ein hohes Risiko, dass der Controller beinhalten kann nicht durch geeignete Maßnahmen im Hinblick auf die verfügbaren Technologien und Implementierungskosten verringert werden, Sie sollten von der Aufsichtsbehörde vor der Verarbeitung zu Rate gezogen werden.
Verletzung von personenbezogenen Daten, wenn adressierte nicht in einem angemessenen und rechtzeitigen, führen zu physikalischen, physischer oder nicht-physischer Schaden für Einzelpersonen, wie über ihre persönlichen Daten von Kontrollverlust oder Einschränkung ihrer Rechte, diskriminierend, Missbrauch oder Identitätsdiebstahl, finanzielle Verluste, Entziehen von psefdonymopoiisis, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten durch das Berufsgeheimnis oder andere wichtige soziale oder wirtschaftliche Nachteile für die einzelnen Schutz betroffenen. folglich, sobald der Controller
Amtsblatt der Europäischen Union
wird von einer Verletzung personenbezogener Daten bewusst, sollte unverzüglich, wenn möglich, innerhalb 72 Stunden der erworbenen Kenntnisse der Veranstaltung, die Verletzung personenbezogener Daten an die zuständige Aufsichtsbehörde offen legen, es sei denn, o-Controller kann beweisen, nach dem Prinzip der Verantwortlichkeit, dass die Verletzung der persönlichen Daten ist nicht wahrscheinlich Ursache Gefahren für die Rechte und Freiheiten des Einzelnen. Wenn eine solche Meldung nicht innerhalb erreicht werden 72 Stunden, Die Anmeldung muss durch begründet werden unter Angabe der Gründe für die Verzögerung und die Informationen können nach und nach ohne unangemessene Verzögerung zu liefern.
- (86) Die Steuerung muss unverzüglich unterrichtet die betroffene Person Verletzung personenbezogener Daten informieren, wenn die Verletzung der persönlichen Daten, die wahrscheinlich in einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen ist, um die notwendigen Vorkehrungen treffen zu dürfen,. Die Mitteilung sollte die Art der Verletzung personenbezogener Daten und Empfehlungen an den einzelnen betroffenen beschreibt mögliche schädliche Auswirkungen zu mildern. Dies sind die betroffenen Personen sollten so bald wie möglich gemacht werden,, in enger Zusammenarbeit mit der Aufsichtsbehörde, Achtung Führung durch sie selbst oder andere zuständige Behörden zur Verfügung gestellt, wie Strafverfolgungsbehörden. zum Beispiel, die Notwendigkeit, eine unmittelbar drohende Gefahr des Verlustes zu mildern würde sofortige Mitteilung an den betroffenen Personen verlangt, und die Notwendigkeit zur Umsetzung geeignete Maßnahmen gegen fort oder ähnliche Datenschutzverletzungen persönlicher Natur sind, können eine längere Mitteilung rechtfertigen.
- (87) Es ist zu prüfen, ob sie alle geeigneten technische Schutzmaßnahmen und organisatorische Maßnahmen zur sofortigen Identifizierung von persönlichen Daten Verletzung und der unverzüglichen Unterrichtung der Aufsichtsbehörde und der betroffenen Person durchgeführt haben. Es sei darauf hingewiesen, dass die Offenlegung unverzüglich gemacht wurde, unter Berücksichtigung insbesondere die Art und Schwere der Verletzung personenbezogener Daten, und die Folgen und Nebenwirkungen für die betroffene Person. Die Benachrichtigung kann von der Aufsichtsbehörde zur Intervention führen, in Übereinstimmung mit den Aufgaben und in dieser Verordnung festgelegten Befugnissen.
- (88) In detaillierten Regeln Einstellung des Formats und der Verfahren für die Meldung von Datenschutzverletzungen in Bezug auf, Sie sollten unter gebührender Berücksichtigung der Umstände eines solchen Verstoßes nehmen, einschließlich, ob personenbezogene Daten durch geeignete technische Schutzmaßnahmen geschützt, wirksam zu begrenzen die Wahrscheinlichkeit des Identitätsbetrugs oder anderer Formen des Missbrauchs. zusätzlich, diese Vorschriften und Verfahren sollten die legitimen Interessen der Strafverfolgungsbehörden berücksichtigen, wo frühe Offenlegung könnte die Untersuchung der Umstände der Verletzung der persönlichen Daten unnötig behindern.
- (89) Richtlinie 95/46 / EG für eine allgemeine Verpflichtung, die personenbezogenen Daten an die Aufsichtsbehörden offen zu legen. Obwohl diese Verpflichtung bringt administrative und finanzielle Belastungen, Es hat nicht in allen Fällen zu helfen, den Schutz personenbezogener Daten zu verbessern. deshalb, allgemeine Verpflichtungen eine solche Offenlegung, undifferenziert, Sie sollten mit einem wirksamen Verfahren und Mechanismen abgeschafft und ersetzt werden, die auf dieser Art von Verarbeitungsoperationen konzentrieren, die in einem hohen Risiko für die Rechte und Freiheiten von Personen aufgrund der Natur führen, der Umfang, der Kontext und ihre Ziele. Diese Arten von Verarbeitungen können solche sein,, insbesondere, der Einsatz neuer Technologien oder neuen Typ, der ist, wenn zuvor nicht Beurteilung auswirken, den Datenschutz betreffend von der Steuerung oder wenn sie wegen der Zeit, die notwendig sind vergangen von der ersten Verarbeitung.
- (90) In diesen Fällen, der Controller, vor der Behandlung, sollte eine Folgenabschätzung in Bezug auf den Datenschutz durchführen, die besondere Wahrscheinlichkeit und die Schwere von hohem Risiko zu beurteilen, unter Berücksichtigung der Natur, Ausmaß, Kontext und Zweck der Verarbeitung und Risikoquellen. Diese Folgenabschätzung sollte enthalten, insbesondere, die geplanten Maßnahmen, Garantien und Mechanismen, die dieses Risiko zu mindern, den Schutz personenbezogener Daten zu gewährleisten und Nachweis der Einhaltung dieser Verordnung.
- (91) Dies gilt insbesondere für Operationen in großer Maßstab Verarbeitung bei der Verarbeitung eine erhebliche Menge an personenbezogenen Daten auf regionales Ziel, nationale oder supranationale Ebene, die eine große Anzahl von betroffenen Personen beeinflussen könnte und die sich in hohem Risiko führen, zum Beispiel wegen ihrer Empfindlichkeit, wenn nach dem bestehenden technologischen Wissensstand verwendet, um eine neue Technologie weit verbreitet, und andere Verarbeitungsvorgänge, die in einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen, insbesondere dann, wenn solche Handlungen behindern die Ausübung der Rechte der betroffenen Personen. Es sollte auch darauf hin, eine Folgenabschätzung in Bezug auf den Datenschutz durchgeführt werden, wenn personenbezogene Daten in den kommenden Entscheidungen verarbeitet werden, in Bezug auf bestimmte Personen nach einer systematischen und umfassenden Evaluierung der persönlichen Aspekte in Bezug auf Einzelpersonen Based Training
Amtsblatt der Europäischen Union
Profile auf der Grundlage dieser Daten, oder nach der Verarbeitung besonderer Kategorien personenbezogener Daten, biometrische Daten oder Daten in Bezug auf Straftaten und strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen im Zusammenhang. Folgenabschätzung für den Datenschutz ist auch für die Überwachung von öffentlich zugänglichen Bereichen in großem Maßstab erforderlich, vor allem, wenn für opto-elektronische Geräte oder andere Arbeiten, wenn die zuständige Behörde der Auffassung, dass die Verarbeitung kann zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verwendet, insbesondere, weil es verhindert, dass Probanden Daten ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag verwenden oder weil systematisch in großem Maßstab durchgeführt. Die Verarbeitung personenbezogener Daten sollte nicht als Haupt in Betracht gezogen werden, wenn die Verarbeitung bezieht sich auf personenbezogene Daten von Patienten und Ärzten als Privatkunden, andere professionelle Gesundheits oder Anwalt. In solchen Fällen, die Folgenabschätzung des Datenschutzes sollte nicht obligatorisch sein.
Es gibt Fälle, in denen es sinnvoll und wirtschaftlich Gegenstand einer Folgenabschätzung hinsichtlich des Datenschutzes sein kann, ein einzelnes Projekt von mehr als, zum Beispiel, wo die Behörden oder Einrichtungen beabsichtigen, eine gemeinsame Anwendung oder Verarbeitungsplattform herzustellen, oder wenn mehrere Controller planen eine gemeinsame Anwendung oder Verarbeitungsumgebung auf einen Industriesektor oder in der Industrie oder für eine weit verbreitete horizontale Aktivität einführen.
Unter der Version der Rechtsvorschriften eines Mitgliedstaats die Wahrnehmung der Aufgaben einer Behörde oder einer öffentlichen Körperschaft zugrunde liegen, die die Handlung oder eine Reihe von Verarbeitungsoperationen regelt, Die Mitgliedstaaten können es für notwendig erachten diese Einschätzung vor Tätigkeiten auszuführen Behandlung.
Wenn die Beurteilung Auswirkungen auf den Schutz der Daten im Zusammenhang legt nahe, dass die Behandlung, ohne Garantien, Sicherheitsmaßnahmen und Mechanismen, um die Risiken zu mindern, in einem hohen Risiko für die Rechte und Freiheiten des Einzelnen und der Steuerung führen würde, ist der Auffassung, dass das Risiko nicht durch zumutbare Maßnahmen hinsichtlich der verfügbaren Technologie und die Kosten der Implementierung abgemildert werden können, sollte durch die Aufsichtsbehörde vor Beginn der Verarbeitungsaktivitäten zu Rate gezogen werden. Solche hohen Risiko wahrscheinlich von bestimmten Verarbeitungs- und einem gewissen Maß an Verarbeitung und Frequenz aufzutreten, so auch Schaden oder Beeinträchtigung der Rechte und Freiheiten des Individuums. Die Aufsichtsbehörde sollte den Antrag auf Konsultation innerhalb einer bestimmten Frist antworten. jedoch, Die fehlende Reaktion der Aufsichtsbehörde in den Grenzen der Zeit sollte keine Intervention der Aufsichtsbehörde betreffen, in Übereinstimmung mit den Aufgaben und in dieser Verordnung festgelegten Befugnissen, einschließlich des Verbots der Verarbeitungsvorgänge der Leistungs. Im Rahmen dieses Konsultationsprozesses, kann in Verbindung mit der Ausgabe Verarbeitung durchgeführt um das Ergebnis der Bewertung der Auswirkungen auf den Datenschutz bei der Aufsichtsbehörde eingereicht werden, insbesondere sofern die Maßnahmen, um die Risiken für die Rechte und Freiheiten des Einzelnen zu mildern.
Der Prozessor sollte eine Unterstützung an den Controller zur Verfügung stellen, bei Bedarf und auf Anfrage, Einhaltung der Verpflichtungen, die sich aus der Durchführung von Folgenabschätzungen für den Schutz der Daten und der vorherigen Konsultation der Aufsichtsbehörde ergeben,.
Absprache mit der Aufsichtsbehörde sollte auch bei der Vorbereitung von Gesetzen oder Verordnungen Maßnahme, unter denen die Verarbeitung personenbezogener Daten durchgeführt werden,, um die Einhaltung der geplanten Verarbeitung mit dieser Verordnung und, insbesondere, Um die Risiken für die Betroffenen zu mildern.
Wenn die Verarbeitung von einer Behörde durchgeführt, ohne die Gerichte oder unabhängige Justizbehörden, wenn sie in Ausübung ihrer Rechtsprechungskompetenz handeln, vorausgesetzt, der private Sektor, die Verarbeitung ausgeführt durch die Steuerung, deren Hauptaktivitäten Verarbeitungsvorgänge betreffen, die in großem Umfang der betroffenen Personen regelmäßige und systematische Überwachung bedürfen, oder wenn die grundlegenden Aktivitäten des Controllers oder des Prozessors sind groß angelegte Verarbeitung besonderer Kategorien personenbezogener Daten und Daten über strafrechtliche Verurteilungen und Straftaten,
Amtsblatt der Europäischen Union
eine Person mit Erfahrung in Recht und Datenschutzpraktiken sollte den Controller oder den Prozessor bei der Überwachung der internen Einhaltung dieser Verordnung unterstützen. Im privaten Sektor, die Hauptsteuerung der Aktivitäten auf das Kerngeschäft im Zusammenhang und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das notwendige Erfahrungsniveau sollte insbesondere nach bestimmt werden, um die Datenverarbeitung der diese personenbezogenen Daten durch die Steuerung oder den Prozessor verarbeitet erfordern durch den Schutz durchgeführt. Diese Datenschutzbeauftragten, unabhängig davon, ob sie Mitarbeiter des Controllers sind, Sie sollen ihre Pflichten und Aufgaben in unabhängiger Art und Weise durchführen können,.
- (98) Die Verbindungen oder andere Einheiten, die Kategorien von Controllern oder Prozessoren darstellen sollten ziehen Codes gefördert werden, im Rahmen dieser Verordnung, wirksame Durchführung dieser Verordnung zu erleichtern, die spezifischen Eigenschaften der Verarbeitung unter Berücksichtigung durchgeführt in bestimmten Bereichen und die besonderen Bedürfnisse von Mikro, kleine und mittlere Unternehmen. speziell, diese Codes könnten die Verpflichtungen von Steuerungen und Prozessoren regulieren, unter Berücksichtigung der Gefahr, die von der Behandlung auf die Rechte und Freiheiten von Personen führen könnte.
- (99) Bei der Erstellung eines Verhaltenskodex oder die Änderung oder Erweiterung solcher Code, Verbände und andere Einrichtungen Kategorien von Controllern oder Prozessoren darstellen, sollten die Betroffenen konsultieren, einschließlich von Datensubjekte, wo dies möglich ist, und berücksichtigen keine Stellungnahmen eingingen und diese Ansichten in diesen Konsultationen zum Ausdruck.
- (100) Zur Verbesserung der Transparenz und die Einhaltung dieser Verordnung, Sie sollten Zertifizierungsmechanismen und Dichtungen und Datenschutzsignalen angeregt werden zu etablieren, betroffene Personen ermöglicht, schnell das Datenschutzniveau der relevanten Produkte und Dienstleistungen zu bewerten.
- (101) Die personenbezogenen Daten, fließt in und aus Ländern außerhalb der EU und internationalen Organisationen für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit erforderlich sind,. Der Ausbau dieses Stromes hat neue Herausforderungen und Anliegen auf den Schutz personenbezogener Daten erstellt. jedoch, wenn personenbezogene Daten werden von der Union an die Steuerungen übertragen, Prozessoren oder andere Empfänger in Drittländern oder internationalen Organisationen, Ebene sollte nicht den Schutz des Einzelnen untergraben, die die Union mit dieser Verordnung gewährleistet, einschließlich, wo eine weitere Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation zu Steuerungen und Prozessoren in demselben oder einem anderen Drittland oder einer anderen internationalen Organisation. Jedenfalls, Übermittlungen in Drittländer und internationale Organisationen können nur in voller Übereinstimmung mit dieser Verordnung erfolgt mitzuteilen. Die Übertragung kann nur stattfinden, wenn, vorbehaltlich der übrigen Bestimmungen dieser Verordnung, der Controller oder der Prozessor ist mit den Bedingungen der Vorschriften dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittstaaten oder internationalen Organisationen entsprechen.
- (102) Diese Verordnung gilt unbeschadet der internationalen Abkommen zwischen der Union und Drittländern die Übermittlung personenbezogener Daten und bieten ausreichende Garantien für die betroffenen Personen. Die Mitgliedstaaten können internationale Vereinbarungen treffen, die in Drittländern oder internationalen Organisationen für die Übertragung personenbezogener Daten, soweit diese Vereinbarungen keine Auswirkungen auf die Bestimmungen dieser Verordnung oder anderen Bestimmungen des Unionsrechts und verfügen über ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen.
- (103) Die Kommission kann beschließen, mit Wirkung für die gesamte Union, dass ein Drittland, Boden oder bestimmten Sektor in einem Drittland oder einer internationalen Organisation, bieten ein angemessenes Maß an Datenschutz und damit Rechtssicherheit und Einheitlichkeit in der gesamten Union in Bezug auf die Drittland oder einer internationalen Organisation erhalten, die eine solche Schutzniveau zu schaffen, gilt. In solchen Fällen, die persönlichen Daten in diesem Drittland oder eine internationale Organisation kann, ohne gemacht werden, eine andere Lizenz zu beantragen. Die Kommission kann auch beschließen, diese Entscheidung zu widerrufen, nach vorheriger Ankündigung und Begründung Erklärung in das Drittland oder eine internationale Organisation.
- (104) Nach den Grundprinzipien der Union, insbesondere der Schutz der Menschenrechte, sollte die Kommission, bei der Beurteilung der Drittland oder ein Gebiet oder einen bestimmten Sektor in einem Drittland, berücksichtigen, ob ein Drittland die Rechtsstaatlichkeit respektiert, Zugang zu Gerichten, und internationale Normen und Standards für Menschenrechte und die allgemeinen und sektoralen Gesetze, auf, einschließlich der Rechtsvorschriften über die öffentliche Sicherheit, Verteidigung und nationale Sicherheit, und die öffentliche Ordnung und Strafrecht. Version Angemessenheitsentscheidung für einen Boden oder ein Drittland Feld sollte sein
Amtsblatt der Europäischen Union
Konto klare und objektive Kriterien, als spezifische Verarbeitung von Aktivitäten und den Umfang der geltenden gesetzlichen Normen und Gesetze in Kraft im Drittland. Das Drittland muss Garantien bieten, die einen angemessenen Schutz gewährleisten, im wesentlichen äquivalent, daß sichergestellt in der Union, insbesondere wenn die Verarbeitung personenbezogener Daten in einem oder mehreren spezifischen Bereichen getan. speziell, das Drittland sollte die wirksame und unabhängige Aufsicht des Datenschutz und stellt Mechanismen für die Zusammenarbeit mit den Datenschutzbehörden in den Mitgliedstaaten sicherzustellen,, nicht die betroffenen Personen zur Verfügung sollten effektiv haben und einklagbares Recht, und die Möglichkeit einer effektiven Verwaltung und Justiz Wiedergutmachung.
Neben den internationalen Verpflichtungen der Drittstaat oder einer internationalen Organisation, die Kommission sollte in die Höhe Verpflichtungen aus seiner Beteiligung an dem Drittland oder einer internationalen Organisation in multilateralen oder regionalen Systeme entstehen, insbesondere in Bezug auf den Schutz personenbezogener Daten, wie die Anwendung dieser Verpflichtungen. Should, insbesondere, anlässlich des Beitritts des Drittlandes im Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz natürlicher Personen bei der automatischen Verarbeitung personenbezogener Daten und dessen Zusatzprotokoll. Die Kommission sollte den Rat Datenschutz wenden, wenn das Schutzniveau in Drittländer oder internationale Organisationen beurteilen.
Die Kommission sollte die Anwendung der Entscheidungen auf der Ebene des Schutzes in einem Drittland überwachen, Boden oder bestimmten Gegend von einem Drittland oder eine internationale Organisation und den Betrieb der Entscheidungen, die gemäß Artikel zur Überwachung 25 Absatz 6 oder Artikel 26 Absatz 4 Richtlinie 95/46 / EG. Die Entscheidungen von Eignungs, Die Kommission sollte für regelmäßige Überprüfung des Betriebs bieten. Diese periodische Überprüfung sollte in Absprache mit dem Drittland oder eine internationale Organisation durchgeführt werden und unter Berücksichtigung aller relevanten Entwicklungen im Drittland oder einer internationalen Organisation übernehmen sollte. Für die Zwecke der Überwachung und Durchführung von regelmäßigen Überprüfungen, sollte die Kommission die Meinungen und Schlussfolgerungen des Europäischen Parlaments berücksichtigen und des Rates, und andere relevante Stellen und Quellen. Die Kommission sollte prüfen,, innerhalb einer angemessenen Frist, Betrieb der jüngsten Entscheidungen und über relevante Erkenntnisse an den Ausschuss im Sinne der Verordnung (EU) keine. 182/2011 Europäisches Parlament und Rat (1), im Sinne dieser Verordnung, das Europäische Parlament und der Rat.
IEpitropimporeinadiapistoseiotimiatritichora,edafosisygkekrimenostomeasmiastritischorasienasdiethnis Körper kein ausreichendes Datenschutzniveau gewährleisten. deshalb, Es sollte die Übermittlung personenbezogener Daten in diesem Drittland oder eine internationale Organisation verbieten, es sei denn, die Anforderungen dieser Verordnung Transfers unterliegen geeignete Garantien betreffend, einschließlich Binding Corporate Rules, und auf Ausnahmen für spezielle Situationen. In diesem Fall, Sie sollten Konsultation zwischen der Kommission einzubeziehen und diesen Drittländern oder internationalen Organisationen. Die Kommission sollte, rechtzeitig, informieren Sie das Drittland oder eine internationale Organisation auf dem Gelände und in Konsultationen einzutreten, die Situation zu adressieren.
Absence Angemessenheitsentscheidung, der Controller oder Prozessor sollte Maßnahmen ergreifen, um den Mangel an Datenschutz in einem Drittland durch geeignete Schutzmaßnahmen für die betroffene Person zu kompensieren. Eine solche geeignete Garantien kann die Verwendung von verbindlichen unternehmensinternen Regeln beinhalten, Standard-Datenschutzbestimmungen von der Kommission angenommen, Standard-Datenschutzbestimmungen von einer Aufsichtsbehörde oder Vertragsklauseln angenommen durch die Aufsichtsbehörde genehmigt. Diese Sicherungen sollten die Einhaltung der Datenschutzbestimmungen und die Rechte der betroffenen Personen gewährleisten, im Lichte der Verarbeitung innerhalb der Union, Inklusive Mathe- Verfügbarkeit rechtlich abgesicherte Rechte der betroffenen Personen und echte Heilmittel, wie das Recht auf einen wirksamen administrativen oder Gerichten und Schadenersatzanspruch einschließlich, in der Union oder in einem Drittland. Sie sollten insbesondere auf die Einhaltung betreffen die allgemeinen Grundsätze der Verarbeitung personenbezogener Daten und Datenschutzprinzipien nach Design regeln und durch Standard. Transfers können auch von Behörden oder Institutionen mit den öffentlichen Behörden oder Einrichtungen in Drittstaaten oder internationalen Organisationen, die ähnliche Aufgaben oder Verantwortlichkeiten haben, durchgeführt werden, gemäß den Bestimmungen einschließlich Verwaltungsvereinbarungen aufgenommen werden, als Memorandum, wo sie tatsächlich und rechtlich starke Rechte der betroffenen Personen zur Verfügung gestellt. Die Genehmigung der zuständigen Aufsichtsbehörde erhalten werden soll, wenn die Garantien in sofern rechtlich nicht bindenden Verwaltungseinstellungen.
Die Fähigkeit des Controllers oder der Prozessor Standard-Datenschutzbestimmungen von der Kommission oder der Prüfbehörde genehmigten verwenden sollte in einem weiteren Vertrag Standard-Datenschutzbestimmungen Controller oder Prozessoren integrieren nicht verhindern, als ein Vertrag zwischen dem Prozessor und anderen Ausführung
Amtsblatt der Europäischen Union
Verarbeitung, noch hinzuzufügen anderen Klauseln oder zusätzliche Garantien, wenn sie nicht im Widerspruch, direkt oder indirekt, der Genehmigung durch die Kommission oder durch eine Aufsichtsbehörde oder Vertragsklauseln verletzt die Grundrechte und Freiheiten der betroffenen Personen. Die Steuerungen und Prozessoren sollten bestehende Datenschutzbestimmungen ergänzen zusätzliche Garantien durch vertragliche Verpflichtungen zu schaffen, gefördert werden.
- (110) Eine Gruppe von Unternehmen, sowie eine Gruppe von Unternehmen in gemeinsamer wirtschaftlicher Tätigkeit nachgehen, die Lage sein, sollte die Verwendung von zugelassenen verbindlichen unternehmensinternen Regeln für die internationalen Transfers von der Union in Organisationen innerhalb der gleichen Gruppe von Unternehmen oder eine Gruppe von Unternehmen, die in gemeinsamer Wirtschaftstätigkeit zu machen, wenn eine solche unternehmensinternen Vorschriften umfassen alle grundlegenden Prinzipien und Rechte Rechtsschutz erhalten, angemessene Garantien für Transfers oder Kategorien von personenbezogenen Datenübertragungen zu gewährleisten.
- (111) Die Möglichkeit eines Transfers in einigen Fällen gemacht werden, wenn die betroffene Person hat ihre ausdrückliche Zustimmung zur Verfügung gestellt, wenn die Übertragung gelegentlich und notwendig in Verbindung mit einem Vertrag oder einem Rechtsanspruch, entweder in einem Gerichtsverfahren oder einer administrativen oder außergerichtlichen Verfahren, einschließlich in Verfahren vor Regulierungsbehörde. Die Möglichkeit des Transfers soll auch gemacht werden, wo wichtige Gründe des öffentlichen Interesses durch das Unionsrecht oder den Mitgliedstaaten festgelegten dies erfordern oder wenn die Übertragung von einem Register durch Gesetz festgelegt gemacht und sollen Informationen aus der Öffentlichkeit zur Extraktion oder Personen, die ein berechtigtes Interesse. Im letzteren Fall, diese Übertragung sollte die Gesamtheit der Daten oder ganze Kategorien personenbezogener Daten enthalten in der Registrierung nicht decken und, wenn das Register sollen Informationen von Personen erhalten, die ein berechtigtes Interesse daran hat,, die Übertragung sollte nur auf Antrag dieser Personen gemacht werden, oder, ob es diejenigen Empfänger Übertragung sein, unter voller Berücksichtigung der Interessen und Grundrechte der betroffenen Person.
- (112) Diese Ausnahmen sollten insbesondere gelten für Datenübertragungen angefordert und notwendig aus wichtigen Gründen des öffentlichen Interesses, zum Beispiel in Fällen von internationalem Datenaustausch zwischen den Wettbewerbsbehörden, Behörden Steuer- oder Zoll, unter Finanzaufsicht, zwischen den Behörden, die für die soziale Sicherheit oder der öffentlichen Gesundheit, beispielsweise im Fall der Ermittlung von Kontaktinfektionskrankheiten zu detektieren, oder um zu reduzieren und / oder beseitigt Dotierung (Doping) Sport. Die Übermittlung personenbezogener Daten sollte auch rechtmäßig gelten, soweit es erforderlich ist, um das Interesse zu schützen, die für die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person erforderlich ist, unter anderem für die körperliche Unversehrtheit oder die Lebensdauer, wenn die betroffene Person nicht in der Lage zu einwilligungs. Absence Angemessenheitsentscheidung, Unionsrecht oder nach dem Recht eines Mitgliedstaates kann, aus schwerwiegenden Gründen des öffentlichen Interesses, explizit sieht Beschränkungen für die Übertragung bestimmter Kategorien von Daten in ein Drittland oder eine internationale Organisation. Die Mitgliedstaaten teilen diese Vorschriften der Kommission über. Jede Weitergabe an internationalen humanitären Personals Datenorganisation Charakter eines Subjekts, die nicht die natürliche oder juristische Kapazität muss zustimmen, die ausgelegt ist, die Pflicht, nach den Genfer Konventionen zu erfüllen oder mit dem humanitären Völkerrecht in bewaffneten Konflikten einzuhalten, Es könnte das öffentliche Interesse für einen guten Zweck als notwendig angesehen werden, oder weil es beabsichtigt, lebenswichtige Interessen der betroffenen Person.
- (113) Transfers, die erkennbar nicht-wiederkehrend sind und betreffen eine begrenzte Anzahl von betroffenen Personen auch durch die Steuerung verfolgt aufgrund überwiegende berechtigte Interessen erlaubt werden kann,, wenn die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überschreiben diese Interessen, wenn der Controller alle Umstände der Übertragung von Daten geprüft hat. Die Steuerung sollte insbesondere unter Berücksichtigung der Art der persönlichen Daten nehmen, der Zweck und die Dauer der geplanten Operation oder Verarbeitungen, und die Situation im Herkunftsland, das Drittland und das Endbestimmungsland, und bietet die Dienstleistungen erforderliche Garantien für den Schutz der Grundrechte und Freiheiten des Einzelnen im Hinblick auf den Schutz personenbezogener Daten. Diese Transfers sollen nur möglich sein, in Fällen, in denen keine der anderen Übertragungszwecke. Für die Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, Sie sollten für eine Erhöhung des Wissens, die berechtigten Erwartungen der Gesellschaft berücksichtigen,. Die Steuerung sollte die Aufsichtsbehörde und die betroffene Person für die Übertragung informieren.
- (114) Jedenfalls, wenn die Kommission keine Angemessenheitsentscheidung auf der Ebene des Datenschutzes in einem Drittland erhalten, der Controller oder der Prozessor hat, Lösungen zu finden, die betroffenen Personen tatsächlich und rechtlich starke Rechte in Bezug auf die Verarbeitung ihrer Daten in der Union nach der Übermittlung dieser Daten liefern, weiterhin die Grundrechte und Garantien profitieren.
L 119/22 (115)
Amtsblatt der Europäischen Union 4.5.2016
Einige Drittländer erlassen Gesetze, Vorschriften und andere Rechtsinstrumente, die vorgeben, um direkt die Verarbeitungsaktivitäten von natürlichen und juristischen Personen, die unter der Zuständigkeit der Mitgliedstaaten zu regeln. Dies kann Gerichtsentscheidungen oder Entscheidungen von Verwaltungsbehörden in Drittländern, die einen Controller oder Prozessor Übertragung benötigen oder offen legen personenbezogene Daten enthalten, die nicht auf internationale Übereinkommen beruhen, zB Übereinkommen über die Rechtshilfe in Kraft zwischen dem betreffenden Land und der Union oder einem Mitgliedstaat anfordert. Die exterritoriale Anwendung dieser Gesetze, Verordnungen und andere Rechtsakte können das Völkerrecht verstoßen und die Erreichung des Schutzes natürlicher Personen garantiert in der Union durch diese Verordnung verhindern. Transfers sollten nur dann, wenn die Bedingungen dieser Verordnung Transfer erlaubt werden in Drittländer. Dies kann passieren,, einschließlich, wenn die Offenlegung ist für einen wichtigen Grund des öffentlichen Interesses notwendig, die im Unionsrecht oder der Mitgliedstaat, in dem anerkannt wird, die Steuerung unterliegt.
Die grenzüberschreitender Verkehr personenbezogener Daten außerhalb der EU möglicherweise ein höheres Risiko setzen die Fähigkeit des Einzelnen zu Übungsdatenschutzrechte insbesondere tefontai gegen unbefugte Benutzung oder Offenlegung dieser Informationen zu schützen. gleichzeitig, können die Aufsichtsbehörden feststellen, dass sie auf Beschwerden oder zur Durchführung von Untersuchungen in Tätigkeiten außerhalb ihrer Grenzen agieren nicht in der Lage sind. Ihre Bemühungen zu arbeiten zusammen in einem grenzüberschreitenden Kontext können auch durch unzureichende Vermeidungs- oder Sanierungs Kräfte behindert werden, von widersprüchlichen Rechtsordnungen und von praktischen Hindernissen, wie Mangel an Ressourcen. deshalb, Es ist notwendig, eine engere Zusammenarbeit zwischen den Datenschutzbeauftragten zu fördern, zu erleichtern, um Informationen auszutauschen und Untersuchungen mit ihren internationalen Partnern durchführen. Zur Entwicklung von Mechanismen der internationalen Zusammenarbeit zu erleichtern und für die Umsetzung der Rechtsvorschriften für den Datenschutz internationale Amtshilfe, Die Kommission und die Aufsichtsbehörden sollten Information und Zusammenarbeit in Aktivitäten im Zusammenhang mit der Ausübung ihrer Befugnisse durch die zuständigen Behörden von Drittländern auszutauschen, auf der Grundlage des Gegenseitigkeitsprinzips und gemäß dieser Verordnung;
Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, berechtigt, ihre Aufgaben zu erfüllen und ihre Befugnisse in völliger Unabhängigkeit wahrnehmen, Es ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die Mitgliedstaaten sollten mehr Aufsichtsbehörden etablieren können,, je nach Verfassungs, Organisations- und Verwaltungsstruktur.
Die Unabhängigkeit der Aufsichtsbehörden sollte nicht bedeuten, dass die Aufsichtsbehörden unterliegen nicht der Kontrolle sein kann oder Überwachungsmechanismen in Bezug auf ihre finanziellen Aufwendungen oder gerichtliche Überprüfung.
Ist ein Mitgliedstaat stellt mehr Vorgesetzte, sollte durch das Gesetz Mechanismen schaffen,, die wirksame Beteiligung dieser Aufsichtsbehörden in der Konsistenz Mechanismus, um sicherzustellen,. Der Mitgliedstaat benennen, insbesondere, die Aufsichtsbehörde, die die einzige Kontaktstelle für die wirksame Beteiligung dieser Behörden in dem Mechanismus ist, schnelle und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden zu gewährleisten, die Datenschutzrates und der Kommission.
In jedem Supervisor finanzielle und personelle Mittel sollten zur Verfügung gestellt werden, Einrichtungen und Infrastruktur, die für die wirksame Ausübung ihrer Aufgaben erforderlich sind, diejenigen in Bezug auf die gegenseitige Unterstützung und Zusammenarbeit, auch mit anderen Aufsichtsbehörden in der gesamten Union. Jeder Supervisor sollten getrennt haben, öffentliches Jahresbudget, was kann einen Teil des gesamten regionalen oder nationalen Budgets.
Die allgemeinen Bedingungen für die oder die Mitglieder der Aufsichtsbehörde sollte durch das Gesetz in den einzelnen Mitgliedstaaten festgelegt werden und sollte vorsehen,, insbesondere, dass die Mitglieder ernannt, Prozess transparent, entweder durch das Parlament, die Regierung oder der Führer des Staates des Mitgliedstaates auf Vorschlag der Regierung, Landesregierung, Parlament oder ein Teil des Parlaments, entweder von einer unabhängigen Stelle, die für diesen Zweck durch das Recht der Mitgliedstaaten. Um die Unabhängigkeit der Aufsichtsbehörden sicherzustellen,, Das oder die Mitglieder sollten mit Integrität handeln, jede Handlung mit ihren Aufgaben unvereinbar zu verzichten und, während ihrer Amtszeit, Sie sollten nicht eingreifen in jeden unvereinbar Beruf, rentabel oder nicht. Die Aufsichtsbehörde muss ihre eigenen Mitarbeiter haben, von der Aufsichtsbehörde oder von einer unabhängigen Stelle ausgewählt gesetzt nach dem Recht eines Mitgliedstaates nach oben, und wird in der ausschließlichen Richtung des Mitglieds oder Mitglieder der Aufsichtsbehörde.
Jeder Betreuer ist verantwortlich, in dem Mitgliedstaat, die Befugnisse auszuüben und die Funktionen gemäß dieser Verordnung zugewiesenen Aufgaben wahr. Dies sollte sich insbesondere auf die Behandlung bei der Tätigkeit eines Betriebs des Controllers oder der Prozessor im Hoheitsgebiet ihres eigenen Mitgliedstaat, die Verarbeitung personenbezogener Daten des von öffentlichen Stellen oder privaten Organisationen im öffentlichen Interesse handeln, Verarbeitung, dass die zugrunde liegenden Daten im Gebiet Affekte oder Verarbeitung durchgeführt durch
Amtsblatt der Europäischen Union
Controller oder Prozessor nicht in der Union, wenn die betroffenen Personen gezielt mit Wohnsitz in ihrem Hoheitsgebiet. Dies sollte Adressierung Beschwerden von der betroffenen Person vorgelegten umfassen, Untersuchungen zur Durchführung dieser Verordnung und die Förderung der Sensibilisierung der Öffentlichkeit für die Gefahren, die Regeln, Garantien und Rechte bei der Verarbeitung personenbezogener Daten.
- (123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und auf eine einheitliche Anwendung in der gesamten Union beitragen, Zum Schutz der Personen bei der Verarbeitung ihrer personenbezogenen Daten und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck, Aufsichtsbehörden sollten miteinander und mit der Kommission zusammenarbeiten, ohne gegenseitige Unterstützung ein Abkommen zwischen den Mitgliedstaaten erforderlich ist oder für eine solche Zusammenarbeit.
- (124) Wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder Verarbeiters in der Union erfolgt und der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche in mehr als einem Mitgliedstaat ansässig ist oder wenn die Verarbeitung im Rahmen der alleinigen Tätigkeit erfolgt Der Betreiber oder Verarbeiter von Verarbeitungsanlagen in der Union hat erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat oder wird diese wahrscheinlich erheblich beeinträchtigen, als Kopfstelle fungiert als Supervisor für die Haupt-Einrichtung der Steuerung oder dem Prozessor oder dem einzigen Installation der Steuerung oder den Prozessor. Es sollte mit anderen Behörden zusammenarbeiten betroffenen, da der Controller oder Prozessor hat im Gebiet des Mitgliedstaates, eine Niederlassung, weil die betroffenen Personen in ihrem Gebiet erheblich beeinträchtigt oder weil die Beschwerde wurde eingereicht Wohnsitz. auch, wenn eine betroffene Person, die in diesem Mitgliedstaat wohnt nicht reicht eine Beschwerde, die Aufsichtsbehörde, der ein Antrag auch besorgt Supervisor sein sollte. Im Rahmen seiner Aufgaben Ausgabe Leitlinien zu allen Fragen der Durchführung dieser Verordnung erlassen, der Datenschutzrat sollte in der Lage sein, Richtlinien zu erlassen, substanziell auf die betroffenen Personen in mehreren Mitgliedstaaten, insbesondere werden die Kriterien berücksichtigt bei der Bestimmung, ob eine solche Behandlung beeinflusst und was als relevant und begründeten Einwände.
- (125) Der Chef Behörde sollte die Aufgaben, die ihr im Rahmen dieser Verordnung übertragen umzusetzen zu nehmen verbindliche Entscheidungen über Maßnahmen ermächtigt werden,. In ihrer Eigenschaft als Lead Behörde, die Aufsichtsbehörde sollte die aktive Beteiligung und Koordinierung der betroffenen Parteien die Aufsichtsbehörden in den Entscheidungsprozess gewährleisten. Wenn die Entscheidung Spuck, ganz oder teilweise, die Beendigung des Datengegenstandes, Diese Entscheidung sollte der Antrag gestellt wurde, von der Aufsichtsbehörde, der genehmigt werden.
- (126) Die Entscheidung sollte gemeinsam vom Chef Vorgesetzten vereinbart werden und die Aufsichtsbehörden und für den Inhaber oder alleinige Installation des Controllers oder dem Prozessor und verbindlich auf dem Controller und dem Prozessor adressiert werden. Der Controller oder Prozessor sollten die erforderlichen Maßnahmen, um die Einhaltung dieser Verordnung zu gewährleisten und die Umsetzung der vom Chef Supervisor in der Haupt Installation des Controllers oder der Prozessor in Bezug auf die Verarbeitung Aktivitäten mitgeteilte Entscheidung die Union.
- (127) Jede Aufsichtsbehörde nicht als Lead Supervisor fungieren muss kompetent sein, mit lokalen Angelegenheiten zu behandeln, in denen der Controller oder Prozessor in mehr als einem Mitgliedstaat ansässig ist,, aber der Gegenstand der Behandlung nur die Verarbeitung, dass erfolgt in einem einzigen Mitgliedstaat und Daten zu diesem Mitgliedstaat zugrunde liegt nur, z.B., wenn der Gegenstand der Verarbeitung personenbezogener Daten von Arbeitnehmern insbesondere der Beschäftigung in einem Mitgliedstaat. In solchen Fällen, Die Aufsichtsbehörde muss unverzüglich davon in der Hauptaufsichtsbehörde unverzüglich. Nach der Aktualisierung, der Chef Supervisor sollte entscheiden, ob mit dem Fall, in Übereinstimmung mit der Anordnung über die Zusammenarbeit zwischen dem Chef Supervisor und den anderen Aufsichtsbehörden befassen („One-Stop-Mechanismus '), oder ob es mit dem Fall auf lokaler Ebene kann die Aufsichtsbehörde befassen sollte informiert. Bei der Entscheidung, ob der Fall hören, der Chef Supervisor berücksichtigen sollte, ob es eine Möglichkeit der Steuerung oder der Prozessor in dem Mitgliedstaat, der Aufsichtsbehörde ist informiert, effiziente Durchsetzung der Entscheidung gegen den Controller oder den Prozessor, um sicherzustellen,. wenn
Amtsblatt der Europäischen Union
Chefaufsichtsbehörde entscheidet, den Fall zu hören, die Aufsichtsbehörde informiert sollte einen Entscheidungsentwurf vorlegen können,, der sollte die Aufsichtsbehörde den Kopf weitestgehend Rechnung zu tragen, wenn der Entwurf der Entscheidung im Rahmen des Mechanismus aus einer Hand vorbereitet.
Die Regeln für die Chef Vorgesetzten und dem One-Stop-Mechanismus sollte nicht angewendet werden, wenn die Verarbeitung von Behörden oder privaten Einrichtungen im öffentlichen Interesse durchgeführt. In solchen Fällen, die einzige Aufsichtsbehörde zuständig ist, die Befugnisse im Rahmen dieser Verordnung übertragenen Befugnisse sollte die Aufsichtsbehörde des Mitgliedstaates, in dem es, dass eine Behörde oder private Einrichtung hergestellt wird.
Gewährleistung einer einheitlichen Überwachung und Durchsetzung dieser Verordnung in der gesamten Union, Aufsichtsbehörden sollten die gleichen Aufgaben in den einzelnen Mitgliedstaaten und die gleichen realen Kräfte, einschließlich Ermittlungsbefugnisse, Korrekturbefugnisse und Sanktionen, und Lizenz- und Beratungsbefugnisse, insbesondere in Fällen von Beschwerden von Einzelpersonen, und, unbeschadet der Befugnisse der Strafverfolgung nach dem Recht eines Mitgliedstaats, die Macht Verstöße gegen die Bestimmungen dieser Verordnung an die Justizbehörden zu verweisen und in Gerichtsverfahren engagieren. Diese Befugnisse sollten auch die Befugnis umfassen eine vorübergehende oder endgültige Beschränkungsverarbeitung zu verhängen, einschließlich dem Verbot der Einnahme. Die Mitgliedstaaten können insbesondere andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten gemäß dieser Verordnung bestimmen.. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit dem entsprechenden Verfahrensgarantien festgelegten EU-Recht und das Recht der Mitgliedstaaten ausgeübt werden,, unparteiisch, fair und innerhalb einer angemessenen Zeit. insbesondere, Jede Maßnahme sollte angemessen sein, notwendig und verhältnismäßig, um die Einhaltung dieser Verordnung zu gewährleisten, unter Berücksichtigung der Umstände des Einzelfalls, das Recht jeder Person zu respektieren, gehört zu werden, bevor eine individuelle Maßnahme gegen sie ergriffen wird, und den betroffenen Personen keine unnötigen Kosten und überhöhten Gebühren zu verursachen. Die Untersuchungsbefugnisse in Bezug auf den Zugang zu Einrichtungen sollten gemäß den spezifischen Anforderungen des Verfahrensrechts des Mitgliedstaats ausgeübt werden, wie das Erfordernis der vorherigen gerichtlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde muss schriftlich eingereicht werden, klar und eindeutig sein, staatliche Aufsichtsbehörde, die ausgegeben, Datum der Ausstellung, durch den Kopf oder ein Mitglied der Aufsichtsbehörde durch die autorisierten unterzeichnet werden, Geben Sie die Gründe für die Maßnahme und das Rechtsmittelrecht an. Dies sollte die Möglichkeit zusätzlicher Anforderungen nach dem Verfahrensrecht des Mitgliedstaats nicht ausschließen.. Die Erteilung einer rechtsverbindlichen Entscheidung impliziert, dass dies möglich ist, möglicherweise, unterliegen der gerichtlichen Kontrolle in dem Mitgliedstaat, der Aufsichtsbehörde, die das Urteil ausgestellt.
Wenn die Aufsichtsbehörde, bei der die Beschwerde eingereicht wird, nicht die federführende Aufsichtsbehörde ist, Die oberste Aufsichtsbehörde arbeitet eng mit der Aufsichtsbehörde zusammen, bei der die Beschwerde gemäß den in dieser Verordnung festgelegten Bestimmungen über Zusammenarbeit und Kohärenz eingereicht wurde.. In solchen Fällen, Die Aufsichtsbehörde sollte, wenn es Maßnahmen ergreift, die rechtliche Konsequenzen haben sollen, wie die Verhängung von Geldbußen, insbesondere die Ansichten der Aufsichtsbehörde berücksichtigen, bei der die Beschwerde eingereicht wurde und die für die Durchführung von Untersuchungen im Hoheitsgebiet ihres Mitgliedstaats im Zusammenhang mit der zuständigen Aufsichtsbehörde zuständig bleiben sollte.
Wenn eine andere Aufsichtsbehörde als federführende Aufsichtsbehörde für die Verarbeitungsaktivitäten des für die Verarbeitung Verantwortlichen oder Verarbeiters fungieren soll, Der spezifische Gegenstand der Klage oder des Verstoßes bezieht sich jedoch nur auf die Verarbeitungstätigkeiten des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Mitgliedstaat, in dem die Beschwerde eingereicht wurde oder in dem der Verstoß festgestellt wurde, und der Gegenstand hat keine wesentlichen Auswirkungen auf betroffene Personen oder ist wahrscheinlich davon betroffen in anderen Mitgliedstaaten, Die Aufsichtsbehörde, die eine Beschwerde erhält oder feststellt oder anderweitig über Situationen informiert wird, in denen Verstöße gegen diese Verordnung vorliegen, sollte eine gütliche Einigung mit dem für die Verarbeitung Verantwortlichen anstreben und, wenn dies nicht erfolgreich ist, die volle Bandbreite seiner Befugnisse auszuüben. Dies sollte beinhalten: die besondere Verarbeitung, die im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder in Bezug auf betroffene Personen im Hoheitsgebiet des genannten Mitgliedstaats durchgeführt wird, die Verarbeitung, die im Rahmen des adressierten Waren- oder Dienstleistungsangebots erfolgt insbesondere an betroffene Personen im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder der zu prüfenden Verarbeitung, unter Berücksichtigung der jeweiligen gesetzlichen Verpflichtungen im Rahmen der staatlichen Recht Mitglied.
Sensibilisierungsmaßnahmen durch Aufsichtsbehörden gerichtet an die Öffentlichkeit sollte sollen konkrete Maßnahmen für Steuerungen und Prozessoren, darunter sehr klein, Kleine und mittelständische Unternehmen, sowie Einzelpersonen, insbesondere im Kontext der Bildung.
Amtsblatt der Europäischen Union
- (133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und sich gegenseitig unterstützen, um die konsequente Anwendung und Durchsetzung dieser Verordnung im Binnenmarkt zu gewährleisten. Eine Aufsichtsbehörde, die um gegenseitige Unterstützung ersucht, kann eine vorläufige Maßnahme ergreifen, wenn es nicht innerhalb eines Monats nach Eingang dieses Antrags bei der anderen Aufsichtsbehörde eine Antwort auf ein Ersuchen um gegenseitige Unterstützung erhält.
- (134) Jede Aufsichtsbehörde sollte, gegebenenfalls, Beteiligung an Joint Ventures mit anderen Aufsichtsbehörden. Die Aufsichtsbehörde, an die der Antrag gestellt wird, sollte verpflichtet sein, innerhalb eines bestimmten Zeitraums auf den Antrag zu antworten.
- (135) Gewährleistung einer einheitlichen Anwendung dieser Verordnung in der gesamten Union, Es sollte ein Kohärenzmechanismus für die Zusammenarbeit zwischen den Aufsichtsbehörden eingerichtet werden. Dieser Mechanismus sollte insbesondere dann gelten, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme zu ergreifen, die rechtliche Auswirkungen auf Verarbeitungsvorgänge haben soll, von denen eine erhebliche Anzahl betroffener Personen in mehr als einem Mitgliedstaat betroffen ist.. Sie sollte auch gelten, wenn eine interessierte Aufsichtsbehörde oder die Kommission die Behandlung des Falls im Rahmen des Kohärenzmechanismus beantragt. Dieser Mechanismus sollte alle Maßnahmen unberührt lassen, die die Kommission in Ausübung ihrer Befugnisse gemäß den Verträgen treffen kann.
- (136) Bei Anwendung des Kohäsionsmechanismus, Der Datenschutzrat sollte eine Stellungnahme abgeben, innerhalb einer bestimmten Frist, wenn die Mehrheit seiner Mitglieder dies beschließt oder wenn es von einer interessierten Aufsichtsbehörde oder der Kommission verlangt wird. Der Datenschutzausschuss sollte auch befugt sein, bei Streitigkeiten zwischen Aufsichtsbehörden rechtsverbindliche Entscheidungen zu treffen. Zu diesem Zweck, ausgeben sollte, Katze’ grundsätzlich mit Zweidrittelmehrheit seiner Mitglieder, rechtsverbindliche Entscheidungen in klar definierten Fällen, in denen es widersprüchliche Ansichten zwischen Aufsichtsbehörden gibt, insbesondere im Rahmen des Kooperationsmechanismus zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden je nach Sachlage, insbesondere ob ein Verstoß gegen diese Vorschrift vorliegt.
- (137) Es kann ein dringender Bedarf bestehen, Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen zu ergreifen, insbesondere wenn die Gefahr besteht, dass die Ausübung eines Rechts einer betroffenen Person erheblich behindert wird. deshalb, Eine Aufsichtsbehörde sollte in ihrem Hoheitsgebiet ordnungsgemäß begründete vorübergehende Maßnahmen mit einer bestimmten Dauer, die drei Monate nicht überschreiten sollte, ergreifen können.
- (138) Die Anwendung dieses Mechanismus sollte eine Bedingung für die Rechtmäßigkeit der Maßnahme sein, die von einer Aufsichtsbehörde ergriffen wird, um in den Fällen, in denen seine Anwendung obligatorisch ist, rechtliche Ergebnisse zu erzielen. In anderen Fällen von grenzüberschreitendem Interesse, der Kooperationsmechanismus zwischen der federführenden Behörde und den betroffenen Aufsichtsbehörden sollte umgesetzt werden, nicht die Aufsichtsbehörden auf die gegenseitige Unterstützung und Joint Ventures zurückgreifen könnten, bi- oder multilaterale, ohne Auslösen der Konsistenzmechanismus.
- (139) Um eine konsequente Umsetzung dieser Verordnung zu fördern, die Datenschutzausschuss sollte als unabhängiges Organ der Union festgelegt werden. Zur Erfüllung der Ziele, der Datenschutzrat Rechtspersönlichkeit. Die Datenschutzbehörde sollte durch seinen Präsidenten vertreten. Sie müssen die Schutzgruppe von Personen, gegen die Verarbeitung personenbezogener Daten durch die Richtlinie 95/46 / EG festgelegt ersetzen. Es sollte der Leiter der Aufsichtsbehörde von den einzelnen Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder deren Vertretern zusammengesetzt sein. Η Επιτροπή θα πρέπει να συμμετέχει στις δραστηριότητές του Συμβουλίου Προστασίας Δεδομένων χωρίς δικαίωμα ψήφου και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει ειδικά δικαιώματα ψήφου. Der Datenschutzrat sollte zur kohärenten Umsetzung dieser Verordnung in der gesamten Union beitragen, einschließlich der Beratung der Kommission, insbesondere für das Schutzniveau in Drittstaaten oder bei internationalen Organisationen, und Förderung der Zusammenarbeit der Aufsichtsbehörden in der gesamten Union. Der Datenschutzrat sollte bei der Erfüllung seiner Aufgaben unabhängig handeln.
- (140) Der Datenschutzrat sollte von einem Sekretariat des Europäischen Datenschutzbeauftragten unterstützt werden. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού θα πρέπει να ασκεί τα καθήκοντά του αποκλειστικά υπό τις οδηγίες του Προέδρου του Συμβουλίου Προστασίας Δεδομένων και να τον ενημερώνει σχετικά.
- (141) Jede betroffene Person sollte das Recht haben, auf eine einzige Aufsichtsbehörde zu beschweren, vor allem in dem Mitgliedstaat des gewöhnlichen Aufenthalts, und das Recht auf effektiven gerichtlichen Rechtsschutz gemäß Artikel 47 Charta, wenn er der Auffassung ist verletzt seine Rechte nach dieser Verordnung oder in denen die Aufsichtsbehörde wirkt nicht auf eine Beschwerde, ganz oder teilweise ablehnen oder eine Beschwerde für unzulässig erklären oder
Amtsblatt der Europäischen Union
Es handelt nicht und muss handeln, um die Rechte der betroffenen Person zu schützen. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Die Aufsichtsbehörde muss die betroffene Person innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Beschwerde informieren. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Um die Einreichung von Beschwerden zu erleichtern, Jede Aufsichtsbehörde sollte Maßnahmen wie die Bereitstellung eines Beschwerdeformulars ergreifen, die auch elektronisch ausgefüllt werden kann, ohne andere Kommunikationsmittel auszuschließen.
Wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus dieser Verordnung verletzt wurden, sollte das Recht haben, an eine gemeinnützige Organisation auszulagern, Einrichtung oder Organisation, die nach dem Recht eines Mitgliedstaats gegründet wurde, hat gesetzliche Interessen im öffentlichen Interesse und ist im Bereich des Schutzes personenbezogener Daten tätig, in seinem Namen eine Beschwerde bei einer Aufsichtsbehörde einreichen, das Beschwerderecht im Namen der betroffenen Personen auszuüben oder, nach dem Recht eines Mitgliedstaats vorgesehen, das Recht auf Entschädigung für betroffene Personen. Ein Mitgliedstaat kann vorsehen, dass diese Stelle, Agentur oder Organisation hat das Recht auf diesen Staat Beschwerde zu beziehen, unabhängig von einer Belegung der betroffenen Person, und das Recht auf ein faires Verfahren, wenn es Grund zu der Annahme, dass die Rechte der betroffenen Person als Folge der Verarbeitung personenbezogener Daten unter Verstoß gegen diese Verordnung verstoßen. der Körper, Agentur oder Organisation kann das Recht hat, keine Entschädigung im Namen der betroffenen Person zu verlangen, unabhängig von einer Belegung der betroffenen Person.
Jede natürliche oder juristische Person ist berechtigt, eine Klage auf Aufhebung des Datenschutzrates die Entscheidung vor dem Gericht in Übereinstimmung mit den Bedingungen zu bringen, gemäß Artikel 263 AEUV. Als Empfänger dieser Entscheidungen, die Aufsichtsbehörden, dass Wunsch innerhalb von zwei Monaten nach ihrer Zustellung zu beleidigen ansprechen müssen, Nach dem Artikel 263 AEUV. Für den Fall, dass die Entscheidungen des Datenschutzrates direkt und individuell einen für die Verarbeitung Verantwortlichen betreffen, Verarbeiter oder Beschwerdeführer, Sie können gegen die Aufhebung dieser Entscheidungen innerhalb von zwei Monaten nach Veröffentlichung dieser Entscheidungen auf der Website des Datenschutzrates Berufung einlegen., Nach dem Artikel 263 AEUV. Unbeschadet dieses Rechts nach Artikel 263 AEUV, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Diese Entscheidungen betreffen insbesondere die Ausübung von Ermittlungs- und Korrektur- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder Fälle, in denen Beschwerden als unzulässig oder abgelehnt gelten.. jedoch, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή και να διεξάγεται σύμφωνα με το δικονομικό δίκαιο του εν λόγω κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη δικαιοδοσία, Dies sollte die Zuständigkeit einschließen, alle sachlichen und rechtlichen Fragen im Zusammenhang mit dem vor ihnen anhängigen Streit zu prüfen.
Wenn eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder als unzulässig eingestuft wurde, Der Beschwerdeführer kann bei Gerichten desselben Mitgliedstaats Klage erheben. Στο πλαίσιο των δικαστικών προσφυγών που σχετίζονται με την εφαρμογή του παρόντος κανονισμού, nationale Gerichte, die der Ansicht sind, dass eine Entscheidung in dieser Angelegenheit für die Verkündung ihres Urteils erforderlich ist, können oder können nicht, in dem in Artikel vorgesehenen Fall 267 AEUV, υποχρεούνται να ζητήσουν από το Δικαστήριο την έκδοση προδικαστικής απόφασης επί της ερμηνείας του δικαίου της Ένωσης, συμπεριλαμβανομένου του παρόντος κανονισμού. zusätzlich, όταν μια απόφαση εποπτικής αρχής η οποία εφαρμόζει απόφαση του Συμβουλίου Προστασίας Δεδομένων προσβληθεί ενώπιον εθνικού δικαστηρίου και αμφισβητηθεί το κύρος της απόφασης του Συμβουλίου Προστασίας Δεδομένων, το εν λόγω εθνικό δικαστήριο δεν έχει αρμοδιότητα να κηρύξει άκυρη την απόφαση του Συμβουλίου Προστασίας Δεδομένων αλλά οφείλει να παραπέμψει το ζήτημα του κύρους στο Δικαστήριο σύμφωνα με το άρθρο 267 ΣΛΕΕ όπως ερμηνεύθηκε από το Δικαστήριο, εάν θεωρεί την απόφαση άκυρη. jedoch, ein nationales Gericht kann für eine Klage zu erheben Aufhebung dieser Entscheidung nicht bezieht sich die Frage nach der Gültigkeit der Entscheidung Datenschutzrat auf Antrag der natürlichen oder juristischen Person, die Lage war,, vor allem, wenn diese Entscheidung sie unmittelbar und individuell betreffen, hat aber nicht so innerhalb der Frist nach Artikel getan 263 AEUV.
Wenn ein Gericht ein Verfahren gegen eine Entscheidung einer Aufsichtsbehörde anhört und Grund zu der Annahme hat, dass ein Verfahren für dieselbe Verarbeitung eingeleitet wurde, όπως για το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία ή για την ίδια αιτία, ενώπιον αρμόδιου δικαστηρίου σε άλλο κράτος μέλος, θα πρέπει να επικοινωνεί με το εν λόγω δικαστήριο για να επιβεβαιώσει την ύπαρξη αυτής της συναφούς διαδικασίας. Αν η συναφής διαδικασία εκκρεμεί ενώπιον δικαστηρίου σε άλλο κράτος μέλος, κάθε
Amtsblatt der Europäischen Union
δικαστήριο εκτός εκείνου που έχει επιληφθεί πρώτο δύναται να αναστείλει τη διαδικασία του ή δύναται, κατόπιν αιτήσεως ενός εκ των διαδίκων, να απεκδυθεί της αρμοδιότητάς του υπέρ του δικαστηρίου που έχει επιληφθεί πρώτο, εφόσον το εν λόγω δικαστήριο έχει δικαιοδοσία για την εν λόγω διαδικασία και το δίκαιό του επιτρέπει τη συνεκδίκαση αυτών των συναφών διαδικασιών. Als notwendig erachteten Verfahren miteinander verbunden, so eng, dass es zweckmäßig sein, gemeinsam ausprobiert und beurteilt, die Gefahr widersprechender Entscheidungen zu vermeiden, als würde passieren, wenn in getrennten Verfahren.
- (145) Für Verfahren im Controller oder Prozessor, sollte der Antragsteller zu bringen Verfahren vor den Gerichten des Mitgliedstaates, in dem der Controller oder der Prozessor eine Niederlassung hat oder in dem Wohnsitzmitgliedstaat der betroffenen Person wählen kann, es sei denn, der Controller ist eine öffentliche Behörde eines Mitgliedstaats bei der Ausübung hoheitlicher Befugnisse führt.
- (146) Jede von einer Person entstandenen Schaden als Folge der Verarbeitung unter Verletzung dieser Verordnung sollte durch den Controller oder den Prozessor kompensiert werden. Die Steuerung oder der Prozessor sollte für Schäden, die aus der Haftung befreit, wenn sie nachweisen können, dass sie keine Haftung für Schäden tragen. Das Konzept des Schadens soll im Großen und Ganzen im Lichte des Falles interpretiert werden, um in vollem Umfang berücksichtigt die Ziele dieser Verordnung. Dies hat keine Auswirkungen auf Schadensersatzansprüche, Praktiker für andere Regeln des Unionsrechts oder Mitgliedstaaten zu verletzen. Verarbeitet in Verletzung dieser Verordnung ist auch eine Behandlung in Verletzung von flachen umfasst’ delegierte und Durchführung erlassenen Rechtsakte’ Durchführung dieser Verordnung und das Mitglied Gesetz Staaten, die die Vorschriften dieser Verordnung legt fest,. Die betroffenen Personen sollten für den Schaden vollständige und wirksame Entschädigung erlitten. Wenn Controller oder beteiligten Prozessoren im gleichen Prozess, jeder Daten Controller oder Prozessor sollte für den Gesamtverlust verantwortlich. jedoch, wenn sie von öffentlicher Gerechtigkeit bezeichnet, nach dem Recht der Mitgliedstaaten, Kompensation kann durch die Behandlung für die Schäden, die nach der Verantwortung der einzelnen Daten-Controller oder Prozessor aufgeteilt, vorausgesetzt, dass die betroffene Person die volle und wirksame Entschädigung zu gewährleisten, die den Schaden erlitten hat,. Jeder Prozessor oder Prozessor, der die volle Entschädigung gezahlt hat, kann dann andere Prozessoren oder Prozessoren verklagen, die an derselben Verarbeitung teilnehmen.
- (147) Sollte diese Verordnung enthält spezifische Vorschriften über die gerichtliche Zuständigkeit, insbesondere hinsichtlich Verfahren Institut Gerichtsverfahren, einschließlich Schadensersatz, durch den Controller oder Prozessor, Die allgemeinen Regeln über die gerichtliche Zuständigkeit, wie sie in der Verordnung (EU) keine. 1215/2012 Europäisches Parlament und Rat (1) sollte die Anwendung dieser speziellen Regeln betreffen.
- (148) Um die Durchsetzung dieser Verordnung zu stärken, Sanktionen, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, Anstelle einer Geldbuße könnte ein Verweis verhängt werden. Die Natur muss jedoch gebührend berücksichtigt werden, die Schwere und Dauer der Zuwiderhandlung, die vorsätzliche Natur der Zuwiderhandlung, die Maßnahmen zur Schadensminderung, den Grad der Haftung oder andere relevante frühere Verstöße, die Art und Weise, in der die Aufsichtsbehörde über die Zuwiderhandlung informiert wurde, Einhaltung der Maßnahmen gegen den Controller oder den Prozessor, Einhaltung des Verhaltenskodex und jede andere erschwerende oder mildernde Umstände. die Sanktionen, συμπεριλαμβανομένων των διοικητικών προστίμων, sollte mit den allgemeinen Grundsätzen der EU-Rechts und der Charta vorbehaltlich angemessene Verfahrensgarantien im Einklang, symperilam CD des effektiven Rechtsschutzes und ein ordnungsgemäßes Verfahren.
- (149) Die Mitgliedstaaten sollten die Bestimmungen über Sanktionen für Verstöße gegen diese Verordnung fest, einschließlich für Verstöße gegen die einzelstaatlichen Vorschriften in’ Anwendung und im Rahmen dieser Verordnung. Solche strafrechtlichen Sanktionen können auch darin bestehen, dass die Leistungen, die sich aus Verstößen gegen diese Verordnung ergeben, entzogen werden.. jedoch, Die Verhängung strafrechtlicher Sanktionen wegen Verstößen gegen solche nationalen Vorschriften und Verwaltungssanktionen sollte nicht zu einem Verstoß gegen das ne bis in idem-Prinzip führen, wie vom Gerichtshof ausgelegt.
- (150) Stärkung und Harmonisierung der Verwaltungsstrafen für Verstöße gegen diese Verordnung, Jede Aufsichtsbehörde sollte befugt sein, Geldbußen zu verhängen. Diese Verordnung sollte auf Verstöße hinweisen, sowie die Obergrenze und die Kriterien für die Festlegung der entsprechenden Geldbußen, die von der zuständigen Aufsichtsbehörde im Einzelfall festgelegt werden sollte, unter Berücksichtigung aller relevanten Umstände der spezifischen Situation, unter gebührender Berücksichtigung der Natur, die Schwere und Dauer der Zuwiderhandlung sowie deren Folgen und die ergriffenen Maßnahmen
(1) Regulierung(EU)arith.1215 / 2012touEfropaikouKoinovoulioukaitouSymvouliou,tis12isDekemvriou2012, giatidiethnidikaiodosia, Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl L 351 von 20.12.2012, p. 1).
Amtsblatt der Europäischen Union
Gewährleistung der Einhaltung der Verpflichtungen aus dieser Verordnung und Verhinderung oder Minderung der Folgen des Verstoßes. Falls die Verwaltungsstrafen gegen ein Unternehmen verhängt werden, Ein Unternehmen sollte gemäß den Artikeln als Unternehmen verstanden werden 101 und 102 AEUV für diese Zwecke. Falls die Verwaltungsstrafen gegen Personen verhängt werden, die keine Unternehmen sind, Die Aufsichtsbehörde sollte das allgemeine Einkommensniveau im Mitgliedstaat berücksichtigen, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου. Der Kohärenzmechanismus kann auch zur Förderung einer kohärenten Durchsetzung von Geldbußen verwendet werden. Es sollte den Mitgliedstaaten zu entscheiden, ob und in welchem Umfang Geldbußen Behörden auferlegt werden können,. Die Auferlegung einer Geldbuße oder Warnung hat keinen Einfluss auf die Anwendung anderer Befugnisse der Aufsichtsbehörden oder andere Sanktionen im Rahmen dieser Verordnung.
In den Rechtsordnungen von Dänemark und Estland sind nicht für Geldbußen vorgesehen, wie in dieser Verordnung festgelegten. Die Regeln zu Bußgeldern im Zusammenhang können die Geldbuße von den zuständigen nationalen Gerichten als strafrechtliche Sanktion in Estland und der Geldbuße durch die Aufsichtsbehörde in einem Verfahren wegen Ordnungswidrigkeiten verhängt verhängt, um nach Dänemark angewandt werden, von den Aufsichtsbehörden, sofern diese Anwendung der Vorschriften in den Mitgliedstaaten verhängten Geldbußen gleiche Wirkung. deshalb, τα αρμόδια εθνικά δικαστήρια θα πρέπει να λαμβάνουν υπόψη τη σύσταση της εποπτικής αρχής από την οποία προέρχεται το πρόστιμο. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.
Όταν ο παρών κανονισμός δεν εναρμονίζει διοικητικές ποινές ή αν είναι αναγκαίο σε άλλες περιπτώσεις, λόγου χάρη σε περιπτώσεις σοβαρών παραβάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόζουν ένα σύστημα αποτελεσματικών, αναλογικών και αποτρεπτικών ποινών. Η φύση των εν λόγω ποινών, ποινικών ή διοικητικών, θα πρέπει να προσδιορίζεται από το δίκαιο των κρατών μελών.
Το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής, πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, das Recht auf Schutz personenbezogener Daten im Rahmen dieser Verordnung. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, wie im Artikel verankert 11 Charta. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. deshalb, Die Mitgliedstaaten sollten gesetzgeberische Maßnahmen treffen, die die notwendigen Ausnahmen und Ausnahmeregelungen vorsehen, um diese Grundrechte auszugleichen. Τα κράτη μέλη θα πρέπει να θεσπίσουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, der Controller und der Prozessor, die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unabhängige Aufsichtsbehörden, Kooperation und Kohärenz sowie Sonderfälle der Datenverarbeitung. Wenn solche Ausnahmen oder Ausnahmeregelungen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sind, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Um die Bedeutung des Rechts auf freie Meinungsäußerung in jeder demokratischen Gesellschaft widerspiegelt, Es ist notwendig, die mit dieser Freiheit verbundenen Konzepte im Detail zu interpretieren, wie Journalismus.
Diese Verordnung ermöglicht es, den Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten bei der Anwendung dieser Verordnung zu berücksichtigen. Der öffentliche Zugang zu offiziellen Dokumenten kann im öffentlichen Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung befinden, sollten von dieser Behörde oder Einrichtung öffentlich zugänglich gemacht werden können, wenn das Unionsrecht oder das Recht des Mitgliedstaats, dem die Behörde unterliegt, eine Offenlegung vorsieht. oder die öffentliche Einrichtung. Solche Gesetze müssen den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten Einklang zu bringen und kann, deshalb, die notwendige Abstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung vorsehen. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει εν προκειμένω να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από το δίκαιο κράτους μέλους σχετικά με την πρόσβαση του κοινού σε έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1) δεν θίγει και δεν επηρεάζει
Amtsblatt der Europäischen Union
in irgendeiner Art und Weise in Bezug auf diese Verordnung auf die Verarbeitung personenbezogener Daten gemäß den Bestimmungen des EU-Rechts und dem Recht der Mitgliedstaaten und lässt insbesondere die Pflichten und Rechte festgelegten das Schutzniveau der Individuen. speziell, Diese Richtlinie sollte gelten nicht für Dokumente, zu denen Zugang beschränkt ist oder für den Schutz persönlicher Daten Charakter unter den Zugangsregelungen verboten, ούτε σε τμήματα εγγράφων που είναι προσβάσιμα δυνάμει των εν λόγω καθεστώτων και περιέχουν δεδομένα προσωπικού χαρακτήρα η εκ νέου χρήση των οποίων προβλέπεται από το δίκαιο ότι είναι ασυμβίβαστη με το δίκαιο που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
- (155) Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, für Rekrutierungszwecke, Erfüllung des Arbeitsvertrags, einschließlich der Erfüllung der Verpflichtungen aus dem Gesetz oder aus Tarifverträgen, Management, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.
- (156) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, besondere, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, historische oder wissenschaftliche Forschung oder für statistische Zwecke erfolgt, wenn die Steuerung beurteilt hat, ob es möglich, diese Ziele durch die Daten zu treffen ist, die Themen nicht mehr erlauben oder nicht erlaubt Identifizierung von Daten, vorausgesetzt, dass es ausreichende Garantien (wie, zum Beispiel, die psefdonymopoiisi Daten). Τα κράτη μέλη θα πρέπει να προβλέπουν κατάλληλες διασφαλίσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Θα πρέπει να επιτρέπεται στα κράτη μέλη να παρέχουν, υπό συγκεκριμένες προϋποθέσεις και με δέουσες εγγυήσεις για τα υποκείμενα των δεδομένων, Spezifikationen und Ausnahmeregelungen in Bezug auf Informationsanforderungen sowie Korrektur- und Löschrechte, das Recht auf Vergessen, das Recht, die Verarbeitung einzuschränken,das Recht auf Datenübertragbarkeit und das Recht, der Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse zu widersprechen, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Οι εν λόγω προϋποθέσεις και εγγυήσεις ενδέχεται να συνεπάγονται ειδικές διαδικασίες, ώστε τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα αυτά, gegebenenfalls für die Zwecke der jeweiligen Behandlung, parallel zu technischen und organisatorischen Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten nach den Grundsätzen der Verhältnismäßigkeit und Notwendigkeit. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστη μονικούς σκοπούς θα πρέπει να συμμορφώνεται επίσης με άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.
- (157) Συνδυάζοντας πληροφορίες από μητρώα, οι ερευνητές μπορούν να αποκτούν νέες γνώσεις μεγάλης σημασίας όσον αφορά διαδεδομένες παθολογικές καταστάσεις όπως καρδιαγγειακά νοσήματα, Krebs und Depressionen. Basierend auf den Registern, Forschungsergebnisse können verbessert werden, da sie auf einer breiteren Bevölkerungsbasis basieren. In den Sozialwissenschaften, η έρευνα βάσει μητρώων δίνει στους ερευνητές τη δυνατότητα να αποκτούν ουσιαστικές γνώσεις για τον μακροπρόθεσμο συσχετισμό ορισμένων κοινωνικών καταστάσεων, wie Arbeitslosigkeit und Bildung mit anderen Lebensbedingungen. Τα αποτελέσματα των ερευνών που αποκτώνται μέσω μητρώων παρέχουν αξιόπιστες και ποιοτικές γνώσεις οι οποίες μπορούν να αποτελέσουν τη βάση για την εκπόνηση και εφαρμογή πολιτικής βασισμένης στη γνώση, Verbesserung der Lebensqualität einiger Menschen und Verbesserung der Effizienz sozialer Dienste. Mit dem Ziel, die wissenschaftliche Forschung zu erleichtern, Personenbezogene Daten können für wissenschaftliche Forschungszwecke verarbeitet werden, unter den angemessenen Bedingungen und Garantien, die im Unionsrecht oder im Recht eines Mitgliedstaats festgelegt sind.
- (158) Wenn personenbezogene Daten zu Archivierungszwecken verarbeitet werden, Diese Verordnung sollte auch für eine solche Verarbeitung gelten, unter Berücksichtigung der Tatsache, dass diese Verordnung nicht für Verstorbene gelten sollte. Behörden und öffentliche oder private Stellen, die Aufzeichnungen von öffentlichem Interesse führen, sollten Dienstleistungen sein, die, in Übereinstimmung mit dem Unionsrecht oder dem Recht eines Mitgliedstaats, eine gesetzliche Verpflichtung zum Erwerb gehalten, zu halten, zu bewerten, zum klassifizieren, beschreiben, zu kommunizieren,, Förderung, Verbreitung und Bereitstellung des Zugriffs auf Dateien mit festem Wert im allgemeinen öffentlichen Interesse. um eine weitere Verarbeitung personenbezogener Daten für Archivierungszwecke sollten die Mitgliedstaaten auch das Recht erhalten,, zum Beispiel mit dem Ziel, spezifische Informationen über politisches Verhalten in früheren autoritären Regimen bereitzustellen, Völkermord, Verbrechen gegen die Menschheit, vor allem der Holocaust, oder Kriegsverbrechen.
Amtsblatt der Europäischen Union
Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής έρευνας, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Für die Zwecke dieser Verordnung, Die Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung sollte weit ausgelegt werden, das heißt, zum Beispiel technologische Entwicklung und Demonstration, Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung. zusätzlich, sollte das Ziel der Union gemäß Artikel berücksichtigen 179 Absatz 1 AEUV zur Erreichung eines europäischen Forschungsraums. Die wissenschaftliche Forschung sollte auch Studien umfassen, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt wurden. Berücksichtigung der Besonderheiten der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung, Es sollten besondere Bedingungen gelten, insbesondere für die Veröffentlichung oder anderweitige Offenlegung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung. Wenn das Ergebnis der wissenschaftlichen Forschung vor allem im Gesundheitssektor rechtfertigt weitere Maßnahmen im Interesse der betroffenen Person, die allgemeinen Bestimmungen dieser Verordnung anwendbar, da die Maßnahmen in Bezug auf.
Werden personenbezogene Daten für die historische Forschung Zwecken verarbeitet, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Fügen Sie hier die historische Forschung und Forschung für die genealogische Zwecke, unter Berücksichtigung der Tatsache, dass diese Verordnung nicht für Verstorbene gelten sollte.
Zum Zwecke der Zustimmung zur Teilnahme an wissenschaftlichen Forschungsaktivitäten in klinischen Studien, Es sollten die einschlägigen Bestimmungen der Verordnung gelten (EU) keine. 536/2014 Europäisches Parlament und Rat (1).
Wenn personenbezogene Daten zu statistischen Zwecken verarbeitet werden, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte, im Rahmen dieser Verordnung, den statistischen Inhalt zu bestimmen, Zugangskontrolle, die Standards für die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person und zur Gewährleistung der statistischen Vertraulichkeit. Der Begriff "statistische Zwecke" bezeichnet jeden Vorgang der Erhebung und Verarbeitung personenbezogener Daten, der zur Durchführung statistischer Erhebungen oder zur Erstellung statistischer Ergebnisse erforderlich ist.. Dieser statistische Effekt kann für verschiedene Zwecke verwendet werden, einschließlich für Zwecke der wissenschaftlichen Forschung. Das statistische Ziel impliziert, dass das Ergebnis für statistische Zwecke der Verarbeitung keine personenbezogenen Daten, sondern Daten aggregiert und dass dieser Effekt oder dass persönliche Daten zur Unterstützung von Maßnahmen oder Entscheidungen gegenüber einzelne Betroffenen nicht verwendet.
Werden vertrauliche Informationen von der EU und den nationalen statistischen Ämtern erhoben werden, sollten für die Ausbildung der offiziellen EU und nationaler Statistiken geschützt werden. Europäische Statistiken müssen entwickelt werden, nach den in Artikel 1 festgelegten statistischen Grundsätzen zusammengestellt und verbreitet werden 338 Absatz 2 AEUV, ενώ οι εθνικές στατιστικές θα πρέπει επίσης να συμμορφώνονται με το δίκαιο των κρατών μελών. Verordnung (EG) keine. 223/2009 Europäisches Parlament und Rat (2) bietet weitere Erläuterungen zur statistischen Vertraulichkeit der europäischen Statistik.
Όσον αφορά τις εξουσίες των εποπτικών αρχών να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, Die Mitgliedstaaten können durch Gesetz errichten, im Rahmen dieser Verordnung, besondere Regelungen zur Wahrung der Berufsgeheimnispflichten oder anderer entsprechender Geheimhaltungspflichten, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου. Αυτό δεν θίγει τις ισχύουσες υποχρεώσεις του κράτους μέλους να θεσπίσει κανόνες περί επαγγελματικού απορρήτου, εφόσον αυτό απαιτείται από το δίκαιο της Ένωσης.
Diese Verordnung respektiert und nicht den Status im Rahmen des derzeitigen Verfassungsrecht der Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten beeinträchtigen, wie sie in Artikel anerkannt 17 AEUV.
Um die Ziele dieser Verordnung zu erfüllen, nämlich der Schutz der Grundrechte und Freiheiten des Einzelnen und, insbesondere, das Recht auf Schutz personenbezogener Daten
- (1) Regulierung (EU) keine. 536/2014 Europäisches Parlament und Rat, vom 16. April 2014, για τις κλινικές δοκιμές φαρμάκων που προορίζονται για τον άνθρωπο και για την κατάργηση της οδηγίας 2001/20/ΕΚ (ABl L 158 von 27.5.2014, p. 1).
- (2) Regulierung (EG) keine. 223/2009 Europäisches Parlament und Rat, της 11ης Μαρτίου 2009, über europäische Statistiken und die Aufhebung der Verordnung (EG, Euratom) keine. 1101/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη διαβίβαση στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο, der Verordnung (EG) keine. 322/97 Rat für Gemeinschaftsstatistik und Beschluss 89/382 / EWG, Euratom des Rates über die Einsetzung eines Ausschusses für das statistische Programm der Europäischen Gemeinschaften (ABl L 87 von 31.3.2009, p. 164).
Amtsblatt der Europäischen Union
sie betreffen sie, και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 AEUV. speziell, θα πρέπει να εκδίδονται κατ’ εξουσιοδότηση πράξεις σχετικά με τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, die mit Standardsymbolen dargestellten Informationen und die Verfahren zur Bereitstellung solcher Symbole. Es ist besonders wichtig, dass die Kommission während ihrer Vorbereitungsarbeiten angemessene Konsultationen durchführt, auch auf Expertenebene. Das Komitee, Bei der Vorbereitung und Einziehen’ delegierte Rechtsakte, sollte eine gleichzeitige, rechtzeitige und angemessene Übermittlung der einschlägigen Dokumente an das Europäische Parlament und den Rat.
- (167) Um einheitliche Bedingungen für die Anwendung dieser Verordnung zu gewährleisten, sollten Durchführungsbefugnisse der Kommission übertragen werden, in dem in dieser Verordnung vorgesehenen. Diese Befugnisse sollten gemäß der Verordnung ausgeübt werden (EU) keine. 182/2011. In diesem Zusammenhang, die Kommission sollte Sondermaßnahmen für sehr kleine erwägen, kleine und mittlere Unternehmen.
- (168) Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση εκτελεστικών πράξεων σχετικά με τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, καθώς και μεταξύ εκτελούντων την επεξεργασία· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ein Gebiet oder einen bestimmten Sektor innerhalb dieses Drittlandes oder eine internationale Organisation; Standardschutzklauseln; Formate und Verfahren für den elektronischen Informationsaustausch zwischen für die Verarbeitung Verantwortlichen, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.
- (169) Η Επιτροπή θα πρέπει να εγκρίνει άμεσα εφαρμοστέες εκτελεστικές πράξεις όταν τα διαθέσιμα στοιχεία αποκαλύπτουν ότι τρίτη χώρα, Hoheitsgebiet oder spezifischer Sektor in diesem Drittland oder dieser internationalen Organisation kein angemessenes Schutzniveau gewährleistet und zwingende Dringlichkeitsgründe dies erfordern.
- (170) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, das heißt, um ein gleichwertiges Schutzniveau für Einzelpersonen und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθεί καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, όπως προβλέπεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Σύμφωνα με την αρχή της αναλογικότητας, in diesem Artikel, geht diese Verordnung nicht über das hinausgehen, was notwendig ist, um dieses Ziel zu erreichen,.
- (171) Richtlinie 95/46 / EG sollte durch diese Verordnung aufgehoben werden. Die Verarbeitung bereits im Gang am Tag der Anwendung dieser Verordnung sollte mit dieser Verordnung innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung in Einklang gebracht werden. Wenn die Verarbeitung auf Zustimmung gemäß der Richtlinie basiert 95/46 / EG, es ist nicht notwendig, neue Zustimmung der betroffenen Person, wenn die Art und Weise, in der Zustimmung erhalten wurde, ist in Übereinstimmung mit den Bedingungen dieser Verordnung, Um den Regler Verarbeitung nach dem Zeitpunkt der Anwendung dieser Verordnung fortzusetzen. Die Entscheidungen der Kommission und Aufsichtsbehörden Genehmigungen gemäß der Richtlinie 95/46 / EG werden in Kraft, bis die Änderung bleiben, ersetzen oder entfernen sie.
- (172) Konsultierte der Europäischen Datenschutzbeauftragten gemäß Artikel 28 Absatz 2 der Verordnung (EG) keine. 45/2001, die er geliefert auf 7 März 2012 (1).
- (173) Diese Verordnung sollte für alle Fragen des Schutzes der Grundrechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten gelten und welche nicht unterliegen besonderen Verpflichtungen mit dem gleichen Ziel, wie in der Richtlinie 2002/58 / EG des Europäischen Parlaments und des Rates beschrieben (2), einschließlich der Verpflichtungen des Controllers und die Rechte des Einzelnen. Zur Klärung der Beziehung zwischen dieser Verordnung und der Richtlinie 2002/58 / EG, Die Richtlinie sollte entsprechend geändert werden. Sobald diese Verordnung angenommen, Sie sollten die Richtlinie 2002/58 / EG bewertet, insbesondere ihre Vereinbarkeit mit dieser Verordnung zu gewährleisten,,
HABEN FOLGENDE VERORDNUNG ERLASSEN:
Amtsblatt der Europäischen Union
KAPITEL I
allgemeine Bestimmungen
Artikel 1
Zweck und Ziele
4.5.2016
DAS
1. Diese Verordnung enthält Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und Vorschriften über den freien Verkehr personenbezogener Daten.
2. Diese Verordnung schützt die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihr Recht auf Schutz personenbezogener Daten.
3. Der freie Verkehr personenbezogener Daten innerhalb der Union ist nicht beschränkt noch verboten für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbunden Gründe.
Artikel 2
Sachlicher Geltungsbereich
1. Diese Verordnung gilt für, ganz oder teilweise, automatisierte Verarbeitung personenbezogener Daten, und die manuelle Verarbeitung solcher Daten enthalten sind oder in einem Ablagesystem einbezogen werden.
2. ein) b)
c) d)
Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα: στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
durch die Mitgliedstaaten bei der Durchführung von Tätigkeiten, die in den Anwendungsbereich des Kapitels fallen 2 des Titels V der EWG,
από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
από αρμόδιες αρχές για τους σκοπούς της πρόληψης, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich Schutz und Vorbeugung gegen Gefahren, die die öffentliche Sicherheit bedrohen.
3.
Union, gilt die Verordnung (EG) keine. 45/2001. Verordnung (EG) keine. 45/2001 und andere Rechtsakte der Union, die auf eine solche Verarbeitung personenbezogener Daten anwendbar sind, werden gemäß Artikel an die Grundsätze und Regeln dieser Verordnung angepasst 98.
4. Diese Verordnung berührt nicht die Anwendung der Richtlinie 2000/31 / EG, insbesondere die Vorschriften über die Haftung von Vermittlern fest in den Artikeln 12 bis 15 der genannten Richtlinie.
Artikel 3
Territorialer Geltungsbereich
1. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Einrichtung eines für die Verarbeitung Verantwortlichen oder Verarbeiters in der Union., unabhängig davon, ob die Verarbeitung innerhalb der Union erfolgt.
Für die Verarbeitung personenbezogener Daten durch die Institutionen, Träger, seine Dienste und Organisationen
4.5.2016 Amtsblatt der Europäischen Union L 119/33
DAS
2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, Wenn die Verarbeitung Aktivitäten im Zusammenhang mit:
ein) die Lieferung von Waren oder Dienstleistungen in diesen Fächern in der Union Datenbank, ob die Zahlung von betroffenen Personen erforderlich, oder
b) Überwachung ihres Verhaltens, in dem Maße, dass dieses Verhalten erfolgt innerhalb der Union.
3. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen nicht in der Union ansässigen Verarbeiter., aber an einem Ort, an dem das Recht eines Mitgliedstaats nach internationalem öffentlichem Recht gilt.
Artikel 4
Definitionen
- 1) "Persönliche Daten": alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen ("betroffene Person")· eine identifizierbare natürliche Person ist eine Person, deren Identität festgestellt werden kann, direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung, wie Namen, in ID-Nummer, in Standortdaten, an eine Online-Kennung oder an einen oder mehrere physische Faktoren, normal, genetisch, psychologisch, wirtschaftlich, kulturelle oder soziale Identität der betreffenden natürlichen Person,
- 2) "wird bearbeitet": jede Handlung oder Reihe von Handlungen, die mit oder ohne den Einsatz automatisierter Mittel durchgeführt werden, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, die Suche nach Informationen, die Verwendung, Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Verfügung, die Assoziation oder Kombination, die Beschränkung, Löschung oder Vernichtung,
- 3) „Einschränkung der Verarbeitung“: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken,
- 4) "Profilerstellung": jede Form von persönlichen Daten der automatischen Verarbeitung, die für die Bewertung bestimmter persönlichen Aspekte eines Individuums die Nutzung personenbezogener Daten beinhaltet, insbesondere für Aspekte im Zusammenhang mit der Arbeitsleistung zu analysieren oder der Vorhersage, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, die Position oder die Bewegungen der natürlichen Person,
- 5) "Psefdonymopoiisi": die Verarbeitung personenbezogener Daten, so dass die Daten nicht mehr ohne den Einsatz von Zusatzinformationen zu einer identifizierten betroffenen Person zugeschrieben werden, wenn sich diese zusätzlichen Informationen werden gesondert und vorbehaltlich der technischen und organisatorischen Maßnahmen beibehalten, um sicherzustellen, dass sie nicht zu einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden,
- 6) "Filing-System": jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, entweder zentral, dezentralisiert oder nach funktionalen oder geografischen Basis,
- 7) "Controller": die natürliche oder juristische Person, Behörde, Agentur oder einer anderen Einheit, allein oder gemeinsam mit anderen, die Zwecke und die Art und Weise der Verarbeitung personenbezogener Daten bestimmen, wenn die Zwecke und die Art und Weise dieser Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats bestimmt werden, die Steuerung bzw. die spezifischen Kriterien für seine Ernennung durch das Unionsrecht oder das Recht eines Mitgliedstaates,,
- 8) „Prozessor“: die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die im Namen des Controllers personenbezogene Daten verarbeitet,
- 9) „Empfänger“: die natürliche oder juristische Person, Behörde, Agentur oder einer anderen Einheit, die offenbart die personenbezogenen Daten, ob oder ob nicht dritte. jedoch, die Behörden können nehmen
Im Sinne dieser Verordnung sind::
L 119/34
Amtsblatt der Europäischen Union 4.5.2016
10)
11)
12)
13)
14)
15)
16)
personenbezogene Daten im Rahmen einer bestimmten Untersuchung nach dem Recht der Union oder eines Mitgliedstaats gelten nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten öffentlichen Stellen erfolgt in Übereinstimmung mit den anwendbaren Datenschutzvorschriften je nach dem Zwecke der Verarbeitung,
‚Dritte‘: jede natürliche oder juristische Person, Behörde, Abteilung oder Agentur, mit Ausnahme der betroffenen Person, der Controller, der Prozessor und die Personen, die, unter der direkten Aufsicht des Controllers oder der Prozessor, Sie sind berechtigt, personenbezogene Daten zu verarbeiten,
„Zustimmung“ des Betroffenen: Alles spricht dafür, Absichts, kostenlos, spezifisch, explizit und informiert, von denen zum Ausdruck bringt die betroffene Person Vereinbarung, eine Erklärung oder eine klare positive Energie, personenbezogene Daten verarbeitet werden, beziehen,
„Persönliche Daten Verletzung“: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, Verlust, Veränderung, Offenlegung oder unbefugter Zugriff auf personenbezogene Daten, die übertragen wurden, gespeichert oder flach unterworfen’ anderweitig verarbeitet,
„Genetische Daten“: personenbezogenen Daten an individuellen genetischen Merkmale erforderlich sind angeborene oder erworbene, wie sie erscheinen, insbesondere, von biologischer Probenanalyse des Individuums und dem bieten einzigartige Informationen über die Physiologie oder die Gesundheit der einzelnen,
"biometrische Daten": personenbezogene Daten, die durch eine besondere technische Verarbeitung im Zusammenhang mit physischen Daten entstehen, biologische oder Verhaltensmerkmale einer natürlichen Person sind und die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder Fingerabdruckdaten,
„Daten zur Gesundheit“: personenbezogenen Daten an körperlichen oder geistigen Gesundheit einer Person im Zusammenhang, einschließlich Gesundheitsdienste, und die offenbaren Informationen über den Gesundheitszustand,
„Haupt establishment“:
- ein) im Falle eines für die Verarbeitung Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat, der Ort der zentralen Verwaltung der Union, es sei denn, Entscheidungen in Bezug auf die Zwecke und Mittel der in einem anderen Betrieb der Steuerung in der Union und der Anlage gesammelt wurden, der Verarbeitung persönlicher Daten hat die Befugnis, solche Entscheidungen zu erzwingen, so wie die Haupt Installation wird die Installation berücksichtigt, die diese Entscheidungen getroffen haben,
- b) wenn es darum geht, den Prozessor mit Standorten in mehr als einem Mitgliedstaat, der Ort der zentralen Verwaltung der Union oder, wenn der Prozessor hat keine zentrale Verwaltung in der Union, einen Prozessor in der Union der Installation, die die Hauptverarbeitungstätigkeit in der Anlage Aktivitäten des Prozessors durch, soweit der Prozessor unterliegt besonderen Anforderungen im Rahmen dieser Verordnung,
„Vertreter“: natürliche oder juristische Person mit Sitz in der Union niedergelassene, schriftlich durch den Controller oder den Prozessor gemäß Artikel definiert 27 und stellt die Steuerung oder den Prozessor als auf ihre jeweiligen Verpflichtungen dieser Verordnung,
"Business": natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich regelmäßig in wirtschaftlicher Tätigkeit ausübende Gesellschaften oder Vereinigungen,
‚Unternehmensgruppe‘: ein herrschendes Unternehmen und von ihr kontrollierten Unternehmen, die,
"Binding Corporate Rules": die Datenschutzrichtlinien des persönlichen Charakters, die für die Übertragung oder eine Reihe von Übermittlungen personenbezogener Daten an einen Controller oder Prozessor mit einem oder mehreren Drittländer innerhalb einer Gruppe von Unternehmen einem Datum-Controller oder Prozessor mit Sitz in einem Mitgliedstaat folgt, oder eine Gruppe von Unternehmen, die in gemeinsamer Wirtschaftstätigkeit,
17)
18)
19) 20)
21)
„Aufsichtsbehörde“: unabhängige öffentliche Stelle die von den Mitgliedstaaten gemäß Artikel oben 51,
DAS
4.5.2016 Amtsblatt der Europäischen Union L 119/35
- 22) „Aufsichtsbehörde“: Aufsichtsbehörde die Verarbeitung personenbezogener Daten, da:
- ein) der Verantwortliche oder Auftragsverarbeiter ist im Hoheitsgebiet des Mitgliedstaats der genannten Aufsichtsbehörde niedergelassen,
- b) Betroffene Personen mit Wohnsitz in dem Mitgliedstaat dieser Aufsichtsbehörde sind von der Verarbeitung betroffen oder können erheblich betroffen sein, oder
- c) eine Beschwerde bei der zuständigen Aufsichtsbehörde eingelegt wurde,
- 23) „grenzüberschreitende Verarbeitung“:
- ein) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκατα στάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή
- b) die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten eines einzigen für die Verarbeitung Verantwortlichen oder einer Niederlassung eines einzelnen Auftragsverarbeiters in der Union erfolgt, die betroffene Personen jedoch in mehr als einem Mitgliedstaat beeinträchtigt oder erheblich beeinträchtigen kann,
- 24) „sachdienlicher und begründeter Widerspruch“: Einspruch gegen einen Entscheidungsentwurf wegen des Vorliegens eines Verstoßes gegen diese Vorschrift, oder in Bezug auf die Einhaltung dieser Bestimmung der beabsichtigten Handlung in Bezug auf den Verantwortlichen oder den Auftragsverarbeiter, die die Bedeutung der von dem Entscheidungsentwurf ausgehenden Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen deutlich macht und, gegebenenfalls, der freie Verkehr personenbezogener Daten innerhalb der Union,
- 25) „Service der Informationsgesellschaft“: Dienstleistung im Sinne von Artikel 1 Absatz 1 b) Direktive (EU) 2015/1535 Europäisches Parlament und Rat (1),
- 26) ‚Internationale Organisation‘: Organisation und deren nachgeordnete, dass durch die von internationalen öffentlichen Rechts oder anderen Körper etabliert, oder auf der Grundlage einer Vereinbarung zwischen zwei oder mehr Ländern gelten Einrichtungen.
KAPITEL II
Prinzipien
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
1. persönliche Daten:
- ein) zu fair und rechtmäßig in einer transparenten Art und Weise in Bezug auf Daten unterliegen unterworfen (‚Legalität, Objektivität und Transparenz "),
- b) für bestimmte gesammelt, ausdrückliche und legitime Zwecke und werden nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungs- oder statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken gemäß Art. 89 Absatz 1 („Zweckbindung“),
- c) sind geeignet, relevant und beschränkt auf das, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Datenminimierung"),
- d) ist genau und, wenn nötig, aktualisiert werden; es müssen alle angemessenen Schritte unternommen werden, um unrichtige personenbezogene Daten unverzüglich zu löschen oder zu korrigieren, in Bezug auf die Verarbeitung Zwecke (‚Genauigkeit‘),
(1) Unterricht (EU) 2015/1535 Europäisches Parlament und Rat, 9. September 2015, für die Bereitstellung von Informationen auf dem Gebiet der technischen Vorschriften und die Vorschriften für Dienste der Informationsgesellschaft (ABl L 241 von 17.9.2015, p. 1).
DAS
L 119/36 e)
f)
Amtsblatt der Europäischen Union 4.5.2016
werden in einer Form aufbewahrt, die eine Identifizierung der betroffenen Personen nur für den Zeitraum ermöglicht, der für die Zwecke der Verarbeitung der personenbezogenen Daten erforderlich ist; personenbezogene Daten können für längere Zeiträume gespeichert werden, wenn personenbezogene Daten werden nur für Archivierungszwecke im öffentlichen Interesse verarbeitet werden, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, Nach dem Artikel 89 Absatz 1 und gegebenenfalls angewandte technische und organisatorische Maßnahmen, die von dieser Verordnung erforderlich, um die Rechte und Freiheiten der betroffenen Person, um sicherzustellen, („Begrenzung der Lagerzeit '),
in einer Weise verarbeitet, die richtige Sicherheit personenbezogener Daten gewährleistet, einschließlich dessen Schutz gegen unbefugte oder rechtswidrige Verarbeitung und versehentlichen Verlust, Zerstörung oder Beschädigung, mit geeigneten technischen oder organisatorischen Maßnahmen („Integrität und Vertraulichkeit").
Der Controller ist verantwortlich und in der Lage der Einhaltung von Absatz zu demonstrieren 1
Artikel 6
Rechtmäßigkeit der Verarbeitung
2. („Verantwortlichkeit“).
DAS
1. Die Verarbeitung ist erlaubt nur, wenn und gegebenenfalls mindestens eine der folgenden Bedingungen:
- ein) die betroffene Person in die Verarbeitung personenbezogener Daten für einen oder mehrere bestimmte Zwecke zugestimmt,
- b) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
- c) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
- d) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
- e) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
f) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, es sei denn, diese Interessen überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
2. Die Mitgliedstaaten können spezifische Vorschriften für die Anwendung der Bestimmungen dieser Verordnung anzupassen über die Behandlung mit Absatz beizubehalten oder einzuführen nachzukommen 1 Daten C) und e), genauer auf die spezifischen Anforderungen für die Behandlung und andere Maßnahmen zur Festlegung rechtmäßig und eine angemessene Verarbeitung sicherzustellen, auch für andere spezielle Behandlungsfälle als nach Kapitel IX.
3. Die Grundlage für die Verarbeitung im Sinne des Absatzes 1 Daten C) und e) ist definiert gemäß: ein) Unionsrecht, oder
b) das Recht des Mitgliedstaates, in dem die Steuerung unterliegt.
Der Zweck der Verarbeitung wird in dieser Rechtsgrundlage definiert oder, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), Es ist die Notwendigkeit der Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung übertragen durchgeführt. Diese Rechtsgrundlage können besondere Bestimmungen zur Anwendung der Bestimmungen dieser Verordnung anzupassen, einschließlich: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των
4.5.2016 Amtsblatt der Europäischen Union L 119/37
DAS
δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, B. für andere Sonderbearbeitungsfälle gemäß Kapitel IX. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.
4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 Absatz 1, der Controller, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, einschließlich:
- ein) eine Verbindung zwischen den Zwecken, für die die persönlichen Daten und die Ziele der beabsichtigten weiteren Verarbeitung gesammelt,
- b) der Kontext, in denen personenbezogene Daten gesammelt, insbesondere im Hinblick auf die Beziehung zwischen der betroffenen Person und dem Controller,
- c) die Art der personenbezogenen Daten, vor allem für besondere Arten personenbezogener Daten verarbeitet, Nach dem Artikel 9, oder ob persönliche Daten zu strafrechtlichen Verurteilungen und Straftaten verarbeitet, Nach dem Artikel 10,
- d) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
- e) την ύπαρξη κατάλληλων εγγυήσεων, die Verschlüsselung oder psefdonymopoiisi umfassen kann.
Artikel 7
Bedingungen für die Zulassung
1. Wenn die Verarbeitung auf Zustimmung basiert, der Controller ist in der Lage zu beweisen, dass die betroffene Person in die Verarbeitung personenbezogener Daten eingewilligt hat.
2. Wenn die Zustimmung der betroffenen Person wird in einer schriftlichen Erklärung vorgesehen, die auch andere Fragen betreffen, das Ersuchen um Zustimmung ist in einer Art und Weise vorgelegt werden, die von anderen Fächern deutlich unterscheidet, eine verstanden und leicht zugängliche Form, mit klarer und einfacher Formulierung. Jeder Teil dieser Erklärung, der gegen diese Verordnung verstößt, ist unverbindlich.
3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, die betroffene Person davon unterrichtet. Der Widerruf der Einwilligung ist so einfach wie die Bereitstellung der.
4. Bei der Beurteilung, ob die Erteilung der Genehmigung der frei, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, einschließlich, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, abhängig gemacht Einwilligung in die Verarbeitung personenbezogener Daten ist für die Durchführung dieses Vertrages nicht erforderlich.
Artikel 8
Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών
1. Όταν εφαρμόζεται το άρθρο 6 Absatz 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 Jahre, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
Die Mitgliedstaaten gesetzlich Mindestalter für solche Zwecke zur Verfügung stellen kann, vorausgesetzt, daß die frühere Alter nicht unter ist 13 Jahre.
L 119/38 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Die Steuerung zumutbare Anstrengungen, um diese Fälle zu überprüfen, ob die Zustimmung der Person zur Verfügung gestellt oder zugelassen, die das Sorgerecht für das Kind hat, unter Berücksichtigung der zur Verfügung stehende Technologie.
3. Absatz 1 Es hat keinen Einfluss auf das allgemeine Vertragsrecht der Mitgliedstaaten, wie die Regeln über den Eintritt, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.
Artikel 9
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
1. Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, biometrische Daten zur eindeutigen Identifizierung Person, Daten über Gesundheit oder Daten zu individuellen Sexualleben in Bezug oder der sexuellen Ausrichtung.
2. Absatz 1 auf die folgenden nicht gelten:
- ein) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
- b) Die Verarbeitung ist für die Erfüllung der Verpflichtungen und die Ausübung spezifischer Rechte des für die Verarbeitung Verantwortlichen oder der betroffenen Person im Bereich des Arbeitsrechts sowie des Sozialversicherungs- und Sozialschutzrechts erforderlich, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
- c) die Verarbeitung ist erforderlich für den Schutz von vitalem Interesse der betroffenen Person oder einer anderen Person, wenn die betroffene Person aus physischen oder rechtlichen Gründen außerstande Zustimmung,
- d) Verarbeitungen, sofern angemessene Schutzmaßnahmen, unter den Rechtsgrundaktivitäten, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, religiöses oder Gewerkschafts Ziel und unter der Bedingung, dass die Verarbeitung nur auf die Mitglieder oder ehemalige Mitglieder der Organisation oder Personen, die mit ihm mit ihrem Zweck und dass die personenbezogenen Daten nicht mit anderen geteilt außerhalb dieses Körpers, ohne die in Verbindung haben regelmäßigen Kontakt bezieht Einwilligung der betroffenen Personen,
- e) die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offenkundig öffentlich gemacht,
f) die Verarbeitung ist erforderlich für die Gründung, Schulung oder Support Rechtsansprüche oder wenn die Gerichte in ihrer gerichtlichen Eigenschaft,
- g) die Verarbeitung ist erforderlich aus Gründen eines wichtigen öffentlichen Interesses, durch das Recht der Union oder die Mitgliedstaaten, was einem angemessenen Verhältnis zu dem verfolgten Ziel, bewahrt den Inhalt des Rechts auf Datenschutz und sorgt für geeignete Maßnahmen, die Grundrechte und Interessen der betroffenen Person zu schützen,
- die) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
- ich) die Verarbeitung ist erforderlich für das öffentliche Interesse im öffentlichen Gesundheitswesen, wie gegen schwere grenzüberschreitenden Gesundheitsbedrohungen zu schützen oder ein hohes Maß an Qualität und Sicherheit der Gesundheitsversorgung und Arzneimittel oder Medizinprodukte zu gewährleisten, nach dem Unionsrecht oder Recht der Mitgliedstaaten, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, oder
4.5.2016 ι)
Amtsblatt der Europäischen Union L 119/39
η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 Absatz 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
DAS
3.
Zwecke des Absatzes 2 Punkt h), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.
4. Die Mitgliedstaaten beibehalten oder einführen kann weitere Bedingungen, einschließlich der Beschränkungen, in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Daten über Gesundheit.
Artikel 10
Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder verwandten Sicherheitsmaßnahmen aufgrund von Artikeln 6 Absatz 1 nur unter der Kontrolle der Behörde durchgeführt wird, oder wenn der Prozess durch das Unionsrecht oder Recht der Mitgliedstaaten erlaubt, die für die Rechte und Freiheiten der betroffenen Personen angemessene Garantien bietet. Voll Vorstrafen gehalten nur unter amtlicher Kontrollbehörde.
Artikel 11
Die Behandlung, die nicht Identifizierung erfordert
1. Wenn die Zwecke, für die die Steuerung personenbezogene Daten verarbeitet werden nicht benötigt oder nicht mehr benötigen, die Identifizierung der betroffenen Person durch die Steuerung, der Regler ist nicht erforderlich, zu halten, zu erwerben und zusätzliche Informationen zur Überprüfung der betroffenen Person der Identität ausschließlich zum Zweck der Einhaltung dieser Verordnung zu verarbeiten.
2. wenn, in den Fällen nach Absatz 1 dieser Artikel, die Steuerung kann zeigen, dass er nicht in der Lage ist, die Identität der betroffenen Person zu überprüfen, die Steuerung wird die betroffene Person informieren, wenn möglich. In solchen Fällen, Artikel 15 als 20 nicht anwendbar, es sei denn, die betroffene Person, zum Zweck der Ausübung ihrer Rechte nach diesen Artikeln, ergänzende Informationen die Überprüfung der Identität.
KAPITEL III
Rechte der betroffenen Person
Abschnitt 1
Transparenz und Einstellungen
Artikel 12
transparente Informationen, Kommunikation und Regelungen für die betroffene Person Rechte ausüben,
1. Die Steuerung trifft geeignete Maßnahmen, um die betroffene Person mit allen Informationen, die in den Artikeln zu 13 und 14 und jede Kommunikation nach den Artikeln 15 bis 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, mit klarer und einfacher Formulierung, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, einschließlich, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, vorausgesetzt, dass die Identität der betroffenen Person mit anderen Mitteln nachgewiesen wird,.
Personenbezogene Daten im Sinne von Absatz 1 können verarbeitet werden
L 119/40 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Der Controller ermöglicht die Ausübung der Rechte der betroffenen Personen in den Artikeln aus 15 bis 22. In den Fällen, in Artikel 11 Absatz 2, der Controller sich nicht weigert, auf Ersuchen der betroffenen Person zu handeln, seine Rechte gemäß den Artikeln auszuüben 15 bis 22, es sei denn, der Controller beweist, dass er nicht in der Lage ist, die Identität der betroffenen Person zu überprüfen.
3. Die Steuerung liefert die betroffene Person über die Aktion auf Anfrage nach den Artikeln ausgeführt 15 bis 22 unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, notfalls, unter Berücksichtigung der Komplexität des Antrags und die Anzahl der Anfragen. Die Steuerung soll die betroffene Person einer solchen Verlängerung innerhalb eines Monats nach Eingang des Antrags informieren, sowie Gründe für die Verzögerung. Wenn die betroffene Person die Anfrage elektronisch einreicht, Das Update wird bereitgestellt, wenn möglich, auf elektronischem Wege, sofern die betroffene Person nichts anderes verlangt.
4. Wenn der Controller nicht auf Anfrage der betroffenen Person handelt, Der Controller informiert die betroffene Person, unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, die Gründe, warum es nicht gehandelt hat und die Möglichkeit der Beschwerde an einen Vorgesetzten und Ausübung gerichtlichen Kontrolle.
5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 und 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 bis 22 und Artikel 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:
ein) die Zahlung einer angemessenen Gebühr zu verhängen, unter Berücksichtigung der Verwaltungskosten für die Bereitstellung von Informationen oder Kommunikation oder führen Sie die gewünschte Aktion, oder
b) weigern sich, die Anfrage zu verfolgen.
Der Controller hat die Last des offensichtlich unbegründet oder übermäßigen Charakter des Antrags beweisen.
6. Ungeachtet des Artikels 11, wenn der Controller hat begründete Zweifel über die Identität der Person, die die Anfrage nach den Artikeln machen 15 bis 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
7. Die Informationen zu den Artikeln zu den betroffenen Personen gemäß zur Verfügung gestellt werden 13 und 14 Sie können in Verbindung mit standardisierten Symbolen versehen sein, prominent platziert werden, verständlich und gut lesbar Art und Weise einen wesentlichen Überblick über die beabsichtigte Verarbeitung. Wenn die Symbole verfügbar sind elektronisch, maschinenlesbar.
8. Die Kommission wird ermächtigt, delegierte zu erlassen’ delegierte Rechtsakte gemäß Artikel 92 Bestimmen der Informationen, die für die Bereitstellung von Standard-Icons mit Symbolen und Verfahren vorgestellt.
Abschnitt 2
Informationen und Zugang zu personenbezogenen Daten
Artikel 13
Information zur Verfügung gestellt, wenn die personenbezogenen Daten von der betroffenen Person erhoben
1. Werden personenbezogene Daten an eine betroffene Person beziehen, werden von der betroffenen Person erhoben, der Controller, beim Empfang von personenbezogenen Daten, liefern die Daten unterliegen der folgenden Informationen:
- ein) die Identität und Kontaktangaben des Controllers und, gegebenenfalls, Der Vertreter der Steuerung,
- b) Kontaktdaten des Datenschutzbeauftragten, gegebenenfalls,
- c) Zwecke der Verarbeitung, für die sie personenbezogene Daten, und die Rechtsgrundlage für die Verarbeitung,
4.5.2016 d)
e) f)
Amtsblatt der Europäischen Union L 119/41
wo die Verarbeitung beruht auf Artikel 6 Absatz 1 f), die berechtigten Interessen durch die Steuerung verfolgt oder von einem dritten,
die Empfänger oder Kategorien von Empfängern personenbezogener Daten, wenn sie existieren,
gegebenenfalls, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 oder 47 ή στο άρθρο 49 Absatz 1 δεύτερο εδάφιο, Angabe der angemessenen oder angemessenen Garantien und Mittel zur Erlangung einer Kopie oder wo.
DAS
2.
persönliche Daten, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:
Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, der Controller, κατά τη λήψη των
- ein) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
- b) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, und das Recht auf Datenportabilität,
- c) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 στοιχείο α) ή στο άρθρο 9 Absatz 2 στοιχείο α), das Bestehen des Rechts Einwilligung jederzeit zu widerrufen, ohne die Legitimität der Verarbeitung zu untergraben basierend auf Zustimmung vor seinem Rückzug,
- d) das Recht auf einen Vorgesetzten zu beschweren,
- e) ob die Bereitstellung von persönlichen Daten ist eine gesetzliche oder vertragliche Verpflichtung oder Voraussetzung für die Auftragsvergabe, und ob die betroffene Person ist verpflichtet, personenbezogene Daten zur Verfügung zu stellen und welche möglichen Folgen wäre das Scheitern sein, solche Daten zu liefern,,
f) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, gemäß Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.
3. Wenn der Controller die personenbezogenen Daten für andere Zwecke als die, für die die persönlichen Daten zu verarbeiten beabsichtigt gesammelt, der Controller stellt die Daten unterliegen, vor der genannten weiteren Verarbeitung, Informationen zu diesem Zweck und alle anderen notwendigen Informationen, wie in Absatz 2.
4. Absätze 1, 2 und 3 nicht anwendbar, wann und wo die betroffene Person bereits über die Information,
Artikel 14
Information zur Verfügung gestellt, wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben
1. Werden personenbezogene Daten nicht von der betroffenen Person erhoben, der Controller stellt die betroffene Person mit den folgenden Informationen:
- ein) die Identität und Kontaktangaben des Controllers und, gegebenenfalls, Der Vertreter der Steuerung,
- b) Kontaktdaten des Datenschutzbeauftragten, gegebenenfalls,
- c) Zwecke der Verarbeitung, für die sie personenbezogene Daten, und die Rechtsgrundlage für die Verarbeitung,
- d) die Kategorien personenbezogener Daten,
- e) die Empfänger oder Kategorien von Empfängern personenbezogener Daten, möglicherweise,
L 119/42 Amtsblatt der Europäischen Union 4.5.2016
DAS
f) gegebenenfalls, dass die Steuerung beabsichtigt in einem Drittland oder einer internationalen Organisation und die Existenz oder das Fehlen einer Entscheidung der Kommission über die Angemessenheit oder persönliche Daten an einen Empfänger senden, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 oder 47 ή στο άρθρο 49 Absatz 1 δεύτερο εδάφιο, Angabe der angemessenen oder angemessenen Garantien und Mittel zur Erlangung einer Kopie oder wo.
2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:
- ein) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
- b) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 f), die berechtigten Interessen durch die Steuerung verfolgt oder von einem dritten,
- c) die Berechtigungsanforderung an den Controller für den Zugriff auf und die Korrektur oder Löschung von Daten bzw. Beschränkung der Verarbeitung der betroffenen Person und über das Recht auf die Verarbeitung zu wider, und das Recht auf Datenportabilität,
- d) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 στοιχείο α) ή στο άρθρο 9 Absatz 2 στοιχείο α), das Bestehen des Rechts Einwilligung jederzeit zu widerrufen, ohne die Legitimität der Verarbeitung zu untergraben basierend auf Zustimmung vor seinem Rückzug,
- e) das Recht auf einen Vorgesetzten zu beschweren,
f) die Quelle, aus der die persönlichen Daten und, angemessen, wenn die Daten kommen aus verfügbaren Quellen für die Öffentlichkeit,
g) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, in Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.
3. Der Controller stellt die Informationen gemäß den Absätzen 1 und 2:
- ein) innerhalb einer angemessenen Frist nach der Erhebung personenbezogener Daten, aber nicht später als ein Monat, unter Berücksichtigung der besonderen Umstände, unter denen personenbezogene Daten verarbeitet werden,,
- b) wenn personenbezogenen Daten werden für die Kommunikation mit der betroffenen Person verwendet werden, später nicht als der erste Kontakt mit der betroffenen Person, oder
- c) falls erforderlich Offenlegung an einen anderen Empfänger, spätestens dann, wenn die persönlichen Daten zum ersten Mal offenbart.
4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, die Daten-Controller sollten die betroffene Person liefern, vor der genannten weiteren Verarbeitung, Informationen zu diesem Zweck und alle anderen notwendigen Informationen, wie in Absatz 2.
5. Absätze 1 bis 4 δεν εφαρμόζονται εάν και εφόσον:
- ein) το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
- b) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 Absatz 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. In solchen Fällen, die Steuerung treffen geeignete Maßnahmen ergreifen, um die Rechte und Freiheiten und legitimen Interessen der betroffenen Person zu schützen, einschließlich der Herstellung der Informationen für die Öffentlichkeit zugänglich,
- c) Erwerb oder Veröffentlichung ist ausdrücklich in der durch das Gesetz der Union oder des Mitgliedstaates, sofern die Steuerung unterliegt und bietet geeignete Maßnahmen berechtigte Interessen der betroffenen Person zu schützen oder
- d) wenn personenbezogene Daten vertraulich unter dem Berufsgeheimnis verpflichtet bleiben wird durch das Recht der Union oder einen Mitgliedstaat, einschließlich von der Verpflichtung zur Vertraulichkeit Recht.
4.5.2016 Amtsblatt der Europäischen Union L 119/43
DAS
Artikel 15
Recht auf Zugang der betroffenen Person
1. Die betroffene Person hat das Recht, von der Kontrollstation der Bestätigung, ob personenbezogene Daten über ihn verarbeitet und, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
- ein) τους σκοπούς της επεξεργασίας,
- b) die Kategorien personenbezogener Daten,
- c) die Empfänger oder Kategorien von Empfängern offenbart, an den oder persönliche Daten offengelegt werden, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
- d) wenn möglich, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
- e) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,
f) das Recht auf einen Vorgesetzten zu beschweren,
- g) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
- die) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, in Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.
2. Werden personenbezogene Daten in ein Drittland oder eine internationale Organisation übertragen, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.
3. Der Controller ist eine Kopie der persönlichen Daten zu, verarbeitet. Weitere Exemplare können bei der betroffenen Person erhalten werden, die Steuerung kann die Zahlung einer angemessenen Gebühr für Verwaltungskosten verlangen. Wenn die betroffene Person, der die Anfrage elektronisch und es sei denn, die betroffene Person etwas anderes wünscht, Update wird üblicherweise in elektronischer Form verwendet.
4. Das Recht, eine Kopie zu erhalten gemäß Absatz 3 nicht eine Beeinträchtigung der Rechte und Freiheiten anderer Personen beeinflussen.
Abschnitt 3
Berichtigung und Löschung
Artikel 16
Recht auf Berichtigung
Die betroffene Person hat das Recht, von der Steuerung unverzüglich zu verlangen falsche personenbezogene Daten berichtigen über ihn. Im Hinblick auf die Zwecke der Verarbeitung, Die betroffene Person hat das Recht, den Abschluss der unvollständigen personenbezogenen Daten zu verlangen,, auch durch ergänzende Erklärung.
Artikel 17
Recht des Löschens („Recht auf Vergessen“)
1. Die betroffene Person hat das Recht, die Datenverarbeitung Verantwortlichen die Löschung von personenbezogenen Daten zu verlangen, ihn oder sie unverzüglich über und die Steuerung ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, ggf. eine der folgenden Gründe:
ein) personenbezogenen Daten ist nicht mehr notwendig, in Bezug auf die Zwecke, für die sie erhoben oder erhalten durch’ anderweitig verarbeitet,
L 119/44 b)
c)
d) e)
f)
Amtsblatt der Europäischen Union 4.5.2016
die betroffene Person zieht sich zurück Zustimmung, auf dem die Verarbeitung beruht gemäß Artikel 6 Absatz 1 στοιχείο α) oder Artikel 9 Absatz 2 στοιχείο α) und es gibt keine Rechtsgrundlage für die Verarbeitung,
το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 Absatz 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 Absatz 2,
τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
personenbezogenen Daten im Zusammenhang mit der Erbringung von Dienstleistungen der Informationsgesellschaft gesammelt als im Sinne des Artikel 8 Absatz 1.
DAS
2.
Abschnitt 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, der Controller, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, dass die betroffene Person beantragt Löschung dieser Controller alle Links mit diesen Daten oder Kopien oder Reproduktionen dieser personenbezogenen Daten.
3. ein) b)
c) d)
e)
Absätze 1 und 2 nicht in dem Maße Anwendung, dass die Verarbeitung erforderlich ist:
für das Recht auf freie Meinungsäußerung Gebrauch gemacht und Recht auf Information,
für die Erfüllung einer rechtlichen Verpflichtung durch die Behandlung aus dem Unionsrecht oder Recht der Mitgliedstaaten auferlegt, zu dem die Steuerung unterliegt, oder um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung durchgeführt,
öffentliches Interesse an dem öffentlichen Gesundheitssektor gemäß Artikel 9 Absatz 2 die Elemente) und i), und Artikel 9 Absatz 3,
für Archivierungszwecke im öffentlichen Interesse, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 Absatz 1, wenn das Recht im Sinne von Absatz 1 Es ist wahrscheinlich unmöglich oder stark behindern den beabsichtigten Zweck der Verarbeitung machen, oder
für die Stiftung, Schulung oder Support Rechtsansprüche.
Artikel 18
Rechts Beschränkungsverarbeitung
Wenn der Regler auf persönliche Daten offen legen und gebunden ist, durch
1.
Verarbeitung, wenn eines der folgenden:
Die betroffene Person ist berechtigt, von der Steuerung der Begrenzung zu erhalten,
- ein) die Richtigkeit der persönlichen Daten wird von der betroffenen Person bestritten, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
- b) die Verarbeitung rechtswidrig ist und die betroffene Person Einspruch gegen die Löschung von personenbezogenen Daten und Anrufen, stattdessen’ diese, Begrenzung ihrer Verwendung,
- c) die Steuerung braucht nicht mehr die persönlichen Daten für Zwecke der Verarbeitung, aber die Daten von der betroffenen Person für die Gründung erforderlich, ausüben oder Rechtsansprüche unterstützen,
- d) die betroffene Person-Objekte auf die Verarbeitung gemäß Artikel 21 Absatz 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
2. Wenn die Verarbeitung in Übereinstimmung mit Absatz begrenzt 1, diese personenbezogenen Daten, außerhalb des Speichers, werden nur mit Zustimmung der betroffenen Person oder für die Stiftung verarbeitet, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
4.5.2016 Amtsblatt der Europäischen Union L 119/45
DAS
3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 vom Controller informiert, bevor die Verarbeitungsbeschränkung aufgehoben wird.
Artikel 19
Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
Die Steuerung ist jede Berichtigung oder Löschung von personenbezogenen Daten oder der Beschränkung der Verarbeitung von Daten kommuniziert gemäß Artikel durchgeführt 16, Artikel 17 Absatz 1 und Artikel 18 an jeden Empfänger persönliche Daten, die offenbart,, es sei denn, dies als unmöglich erweist oder würde einen unverhältnismäßig hohen Aufwand verbunden. Die Steuerung soll die betroffene Person an die Empfänger informieren, auf Anfrage von der betroffenen Person.
Artikel 20
Recht auf Datenportabilität
1. Die betroffene Person hat das Recht, die persönlichen Daten über ihn, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, ein strukturierter, häufig verwendet und lesbares Format Maschinen, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, wann:
ein) Die Verarbeitung erfolgt nach Zustimmung des Artikels 6 Absatz 1 στοιχείο α) oder Artikel 9 Absatz 2 στοιχείο α) oder in einem Vertrag gemäß Artikel 6 Absatz 1 b) und
b) Die Verarbeitung erfolgt automatisiert.
2. Bei Ausübung des Rechts auf Datenübertragbarkeit gemäß Absatz 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, wenn dies technisch machbar.
3. Das Recht nach Absatz 1 dieses Artikels werden vorbehaltlich des Artikels ausgeübt werden 17. Dieses Recht gilt nicht für die Verarbeitung für die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung.
4. Das Recht nach Absatz 1 nicht eine Beeinträchtigung der Rechte und Freiheiten anderer Personen beeinflussen. Abschnitt 4
Rechtsopposition und automatisierte Einzelentscheidungen
Artikel 21
Einspruchsrecht
1. Die betroffene Person wird auf dem Titel-Objekt, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 Absatz 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, Schulung oder Support Rechtsansprüche.
2. Wenn personenbezogene Daten zum Zwecke des Direktmarketings verarbeitet werden, Die betroffene Person ist berechtigt, der Verarbeitung personenbezogener Daten für ein solches Marketing jederzeit zu widersprechen, einschließlich Profilerstellung, wenn es mit diesem Direktmarketing zusammenhängt.
3. Wenn betroffene Personen der Verarbeitung zum Zwecke des Direktmarketings widersprechen, personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
L 119/46 Amtsblatt der Europäischen Union 4.5.2016
DAS
4. Die neueste auf dem ersten Kontakt mit der betroffenen Person, das in den Absätzen Recht auf 1 und 2 eindeutig auf die betroffene Person angegeben und ist deutlich und getrennt von allen anderen Informationen beschrieben.
5. Im Rahmen der Dienstnutzer der Informationsgesellschaft, und unbeschadet der Richtlinie 2002/58 / EG, die betroffene Person, sein Recht auf automatisierte Instrumente zum Objekt, die Spezifikationen verwenden.
6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 Absatz 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.
Artikel 22
Αυτοματοποιημένη ατομική λήψη αποφάσεων, einschließlich Profilerstellung
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτομα τοποιημένης επεξεργασίας, einschließlich Ausbildungsprofil, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.
2. ein)
b)
c)
Absatz 1 δεν εφαρμόζεται όταν η απόφαση:
είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,
επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, die Freiheiten und berechtigten Interessen der betroffenen Person oder
aufgrund der ausdrücklichen Zustimmung der betroffenen Person.
3.
geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und der berechtigten Interessen der betroffenen Person, zumindest das Recht des Kontrolleurs auf menschliches Eingreifen, eine Meinung äußern und die Entscheidung anfechten.
4. Die Entscheidungen gemäß Absatz 2 auf bestimmten Kategorien von personenbezogenen Daten im Sinne des Artikel nicht auf der Grundlage 9 Absatz 1, es sei denn, Artikel bezieht 9 Absatz 2 στοιχείο α) oder g) und ob geeignete Maßnahmen zum Schutz der Rechte bestehen, Freiheiten und der berechtigten Interessen der betroffenen Person.
Abschnitt 5
Beschränkungen
Artikel 23
Beschränkungen
1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 bis 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 bis 22, wenn eine solche Beschränkung des Inhalts der Grundrechte und Freiheiten bewahrt und ist eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft zu gewährleisten,:
- ein) die Sicherheit des Staates,
- b) Verteidigung,
- c) die öffentliche Sicherheit,
In den Fällen nach Absatz 2 Beweise ein) und c), die Daten-Controller
4.5.2016 Amtsblatt der Europäischen Union L 119/47
DAS
- d) Vorbeugung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
- e) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, insbesondere einen wichtigen wirtschaftlichen oder finanziellen Interessen der Union oder einem Mitgliedstaat, συμπεριλαμβανομένων των νομισματικών, δημοσιο νομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,
f) den Schutz der Unabhängigkeit der Justiz und der Gerichtsverfahren,
- g) Vorbeugung, Untersuchung, Aufdeckung und Verfolgung von Verstößen gegen die Ethik in reglementierten Berufen,
- die) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) und G),
- ich) den Schutz der betroffenen Person oder die Rechte und Freiheiten Dritter,
- ι) die Durchsetzung von Zivilklagen.
2. speziell, jede in Absatz 1 genannte gesetzgeberische Maßnahme 1 enthält zumindest spezifische Bestimmungen, angemessen, über:
- ein) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
- b) die Kategorien personenbezogener Daten,
- c) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
- d) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
- e) Spezifikation des Controllers oder die Kategorien von Steuerungen,
f) Lagerzeiten und geltende Garantien, unter Berücksichtigung der Natur, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
- g) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
- die) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.
ΚΕΦΑΛΑΙΟ IV
Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Abschnitt 1
Γενικές υποχρεώσεις
Artikel 24
Ευθύνη του υπευθύνου επεξεργασίας
1. Λαμβάνοντας υπόψη τη φύση, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, die Steuerung trifft geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, und in der Lage sein zu beweisen, dass die Behandlung gemäß dieser Verordnung durchgeführt. Diese Maßnahmen werden überprüft und epikai AYS bei Bedarf.
2. Wenn in Bezug auf Verarbeitungsvorgänge gerechtfertigt, die in Absatz genannten Maßnahmen 1 Dazu gehören die Umsetzung geeigneter Maßnahmen für den Schutz der Daten von der Steuerung.
3. Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Nachweis für die Einhaltung der Verpflichtungen des für die Verarbeitung Verantwortlichen verwendet werden.
L 119/48 Amtsblatt der Europäischen Union 4.5.2016
Artikel 25
Datenschutz bereits standardmäßig und standardmäßig
1. Unter Berücksichtigung der jüngsten Entwicklungen, Implementierungskosten und Natur, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung, Der Controller implementiert effektiv, sowohl zum Zeitpunkt des Einstellens des Verarbeitungsmediums als auch zum Zeitpunkt der Verarbeitung, geeignete technische und organisatorische Maßnahmen, wie Pseudonymisierung, entwickelt, um Datenschutzgrundsätze anzuwenden, wie Datenminimierung, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Der Controller führt geeignete technische und organisatorische Maßnahmen durch, um dies sicherzustellen, per Definition, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Diese Anforderung gilt für den Umfang der erhobenen personenbezogenen Daten, der Grad der Verarbeitung, die Dauer der Lagerung und Zugänglichkeit. speziell, Diese Maßnahmen gewährleisten, dass, per Definition, personenbezogenen Daten ohne Eingreifen eines Individuums auf eine unbestimmte Anzahl von Personen nicht mehr zugegriffen werden.
3. Anerkannte Zertifizierungsmechanismus gemäß Artikel 42 Es kann in den Absätzen mit den festgelegten Anforderungen als Nachweis der Einhaltung verwendet werden 1 und 2 dieser Artikel.
Artikel 26
Από κοινού υπεύθυνοι επεξεργασίας
1. Wenn zwei oder mehrere Controller bestimmen zusammen die Zwecke und Mittel der Verarbeitung, Controller sind gemeinsame. Sie definieren in transparenter Weise ihre jeweilige Verantwortung für die Einhaltung der Verpflichtungen aus dieser Verordnung ergebenden, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 und 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.
2. Η συμφωνία που αναφέρεται στην παράγραφο 1 richtig reflektiert ihre jeweiligen Rollen und Beziehungen von Joint-Controller über die betroffenen Personen. Das Wesen der Vereinbarung ist die betroffene Person verfügbar.
3. Unabhängig von den Bedingungen der Vereinbarung gemäß Absatz zu 1, Die betroffene Person kann ihre Rechte aus dieser Verordnung gegen und gegen einen der für die Verarbeitung Verantwortlichen ausüben.
Artikel 27
Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση
1. Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 Absatz 2, die Steuerung oder der Prozessor ist schriftlich einen Vertreter in der Union bezeichnen.
2. ein)
Die Verpflichtung des Absatzes 1 Dieser Artikel gilt nicht:
επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 Absatz 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 und wahrscheinlich nicht dazu führen, Gefahren für die Rechte und Freiheiten des Einzelnen, unter Berücksichtigung der Natur, Kontext, Der Umfang und Zweck der Verarbeitung, oder
b)
Behörde oder Stelle.
DAS
4.5.2016 Amtsblatt der Europäischen Union L 119/49
DAS
3. Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.
4. Der Vertreter erhält Anweisung von der Steuerung oder dem Prozessor zu ihm Supervisoren und betroffenen Personen zu drehen, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.
5. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Artikel 28
Εκτελών την επεξεργασία
1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφα λίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Im Fall der schriftlichen Genehmigung, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, Binden des Prozessors in Bezug auf die Steuerung und bestimmt den Gegenstand und die Dauer der Behandlung, die Art und Zweck der Verarbeitung, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Dieser Vertrag oder ein anderer Rechtsakt sieht insbesondere vor, dass der Prozessor:
- ein) verarbeiten personenbezogene Daten nur auf dem aufgezeichneten Signal des Reglers, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, der Prozessor wird die Datenverarbeitung Verantwortlichen für diese gesetzliche Anforderung vor der Behandlung informieren, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
- b) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτι κότητας,
- c) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,
- d) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 und 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
- e) die Art der Behandlung zu berücksichtigen und unterstützen die Steuerung geeignete technische und organisatorische Maßnahmen zur Umsetzung, das Ausmaß möglich, die Verpflichtung des Controllers reagieren auf Anfragen zu erfüllen, für die Ausübung, die nicht in Kapitel III Rechte der betroffenen Person,
f) unterstützen den Controller in die Einhaltung der Verpflichtungen aus den Artikeln Ableiten 32 bis 36, unter Berücksichtigung der Art der Verarbeitung und die verfügbaren Informationen an den Prozessor,
- g) Katze’ Auswahl des Reglers, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
- die) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.
L 119/50 Amtsblatt der Europäischen Union 4.5.2016
DAS
Όσον αφορά το πρώτο εδάφιο στοιχείο η), der Prozessor unverzüglich die Datencontroller informieren, ob, seiner Ansicht nach, ein Befehl gegen diese Verordnung oder andere Union oder nationale Datenschutzbestimmungen.
4. Wenn nimmt der Prozessor weitere Daten an bestimmte Verarbeitungstätigkeiten im Namen des Controller ausführen, die gleichen Verpflichtungen in Bezug auf den Datenschutz gelegt im Vertrag oder ein anderes Rechtsinstrument zwischen dem Controller und Prozessor nach unten, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, insbesondere um ausreichende Sicherheiten für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung den Anforderungen dieser Verordnung entspricht. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, Die ursprünglichen Darsteller bleiben an die Steuerung für die Durchführung der Verpflichtungen des anderen Prozessors voll verantwortlich.
5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 und 4 dieser Artikel.
6. Vorbehaltlich der individuellen Vereinbarung zwischen dem Controller und dem Prozessor, solcher Vertrag oder anderes Rechtsinstrument im Sinne der Absätze 3 und 4 dieses Artikels werden kann auf der Grundlage, ganz oder teilweise, auf Standardvertragsklauseln in den Absätzen 7 und 8 dieser Artikel, auch wenn sie einen Teil der Zertifizierung erteilt an den Controller oder den Prozessor gemäß den Artikeln sind 42 und 43.
7. Die Kommission kann Standardvertragsklauseln für die in den Absätzen genannten Angelegenheiten erlassen 3 und 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 Absatz 2.
8. Eine Aufsichtsbehörde kann Standardvertragsklauseln für die Probleme schaffen in den Absätzen 3 und 4 dieses Artikels und in Übereinstimmung mit der Kohärenzverfahren gemäß Artikel 63.
9. Dieser Vertrag oder ein anderes Rechtsinstrument im Sinne der Absätze 3 und 4 Schreiben ist, μεταξύ άλλων σε ηλεκτρονική μορφή.
10. Με την επιφύλαξη των άρθρων 82, 83 und 84, wenn der Verarbeiter unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung feststellt, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
Artikel 29
Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία
Der Verarbeiter und jede Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder des Verarbeiters handelt, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, sofern dies nicht durch das Recht der Union oder den Mitgliedstaat zu tun.
Artikel 30
Aufzeichnungen von Verarbeitungstätigkeiten
1. Jeder Controller und, gegebenenfalls, sein Vertreter, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
- ein) den Namen und die Kontaktdaten des Controllers und, gegebenenfalls, der gemeinsamen Steuerung, der Vertreter des für die Verarbeitung Verantwortlichen und der Datenschutzbeauftragte,
- b) τους σκοπούς της επεξεργασίας,
- c) Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten,
4.5.2016 d)
e)
f) g)
Amtsblatt der Europäischen Union L 119/51
τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, einschließlich mit der Identifizierung des betreffenden Drittland oder eine internationale Organisation, bei Übertragungen gemäß Artikel 49 Absatz 1 δεύτερο εδάφιο, Dokumentation von geeigneten Schutzmaßnahmen,
wo möglich, die Fristen verschiedene Arten von Daten zu löschen,
wo möglich, allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen im Sinne des Artikels 32 Absatz 1.
DAS
2.
von
folgendes:
ein)
b) c)
d)
3.
Name und Kontaktdaten des Prozessors oder der Prozessoren und Prozessoren, in deren Auftrag der Prozessor arbeitet, gegebenenfalls, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,
τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,
όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, einschließlich mit der Identifizierung des betreffenden Drittland oder eine internationale Organisation, bei Übertragungen gemäß Artikel 49 Absatz 1 δεύτερο εδάφιο, Dokumentation von geeigneten Schutzmaßnahmen,
wo möglich, allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen im Sinne des Artikels 32 Absatz 1.
Τα αρχεία που αναφέρονται στις παραγράφους 1 und 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
Κάθε εκτελών την επεξεργασία και, gegebenenfalls, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει
4.
ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.
Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, gegebenenfalls, ο εκπρόσωπος του υπευθύνου επεξεργασίας
5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 und 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, Die Verarbeitung erfolgt nicht gelegentlich oder die Verarbeitung umfasst spezielle Datenkategorien gemäß Artikel 9 Absatz 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Artikel 31
Zusammenarbeit mit der Aufsichtsbehörde
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, gegebenenfalls, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.
Abschnitt 2
Ασφάλεια δεδομένων προσωπικού χαρακτήρα
Artikel 32
Ασφάλεια επεξεργασίας
1. Unter Berücksichtigung der jüngsten Entwicklungen, Implementierungskosten und Natur, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, einschließlich, einschließlich, gegebenenfalls:
ein) Pseudonymisierung und Verschlüsselung personenbezogener Daten,
L 119/52 b)
c)
d)
Amtsblatt der Europäischen Union 4.5.2016
die Möglichkeit der Gewährleistung der Vertraulichkeit, der Integrität, die Verfügbarkeit und Zuverlässigkeit von Verarbeitungssystemen und -diensten auf kontinuierlicher Basis,
της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
Verfahren für regelmäßige Tests, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Verarbeitungssicherheit.
2.
wird bearbeitet, ιδίως από τυχαία ή παράνομη καταστροφή, Verlust, αλλοίωση, unbefugt oder Zugriff auf persönliche Daten übertragen, gespeichert oder flach unterworfen’ anderweitig verarbeitet.
3. ein)
b)
c) d)
Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 Katze’ ελάχιστο:
περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, wo möglich, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,
ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,
περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen.
DAS
Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus dem
3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 dieser Artikel.
4. Der für die Verarbeitung Verantwortliche und der Verarbeiter treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder Verarbeiters handelt und Zugang zu personenbezogenen Daten hat, nur von verarbeitet wird’ εντολή του υπευθύνου επεξεργασίας, sofern dies nicht durch das Recht der Union oder den Mitgliedstaat zu tun.
Artikel 33
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, innerhalb 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Wenn die Aufsichtsbehörde Benachrichtigung erfolgt nicht innerhalb 72 Stunden, eine Begründung für die Verzögerung begleitet.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
4.
σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται
5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, bestehend aus den Tatsachen der Verletzung personenbezogener Daten, die Folgen und die Abhilfemaßnahmen. Diese Dokumentation kann die Aufsichtsbehörde die Einhaltung dieses Artikels überprüfen.
Artikel 34
Übermittlung personenbezogener Daten Verletzung der betroffenen Person
1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
4.5.2016 Amtsblatt der Europäischen Union L 119/53
DAS
2. In der Mitteilung an die betroffene Person gemäß Absatz 1 klar dieses Artikels beschrieben die Art der Verletzung personenbezogener Daten und enthält mindestens die Informationen und Maßnahmen im Sinne des Artikels 33 Absatz 3 Daten b), c) und d).
3. Die Mitteilung an die betroffene Person gemäß Absatz 1 nicht erforderlich, wenn Sie eine der folgenden Bedingungen erfüllt:
- ein) die Steuerung treffen geeignete technische und organisatorische Maßnahmen, und diese Maßnahmen wurden auf den betroffenen durch die Verletzung personenbezogener Daten angewandt, so dass nicht verständlich persönliche Daten zu denen insbesondere Maßnahmen, die die Erlaubnis, sie haben Zugriff nicht, wie Verschlüsselung,
- b) die Steuerung nahm dann die Schritte, um sicherzustellen, dass es nicht mehr wahrscheinlich in Absatz als referenzierte auftritt 1 ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen,
- c) einen unverhältnismäßigen Aufwand bedeutet. In diesem Fall, wird anstelle’ diese öffentliche Bekanntmachung oder gibt es eine ähnliche Maßnahme, mit der die betroffenen Personen informiert werden gleichermaßen effektiv.
4. Wenn der Controller bereits die Verletzung der persönlichen Daten der betroffenen Person angekündigt, Die Aufsichtsbehörde kann, unter Berücksichtigung der Möglichkeit eines hohen Risikos eines Verstoßes gegen personenbezogene Daten, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.
Abschnitt 3
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση
Artikel 35
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, der Umfang, der Kontext und Zweck der Verarbeitung, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, Die Steuerung führt durch, vor der Behandlung, Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
3. Der in Absatz genannte 1 Insbesondere in diesem Fall ist eine Datenschutz-Folgenabschätzung erforderlich:
- ein) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματο ποιημένη επεξεργασία, einschließlich Profilerstellung, und in der die Entscheidungen aus, dass Rechtswirkungen der einzelnen über oder ebenfalls deutlich die einzelnen beeinflussen,
- b) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 Absatz 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 oder
- c) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
4. Die Aufsichtsbehörde erstellt und veröffentlicht eine Liste der Arten von Verarbeitungsvorgängen, für die eine datenschutzrechtliche Folgenabschätzung gemäß Absatz erforderlich ist 1. Die Aufsichtsbehörde teilt diese Liste dem in Artikel 1 genannten Datenschutzrat mit 68.
5. Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Die Aufsichtsbehörde diese Liste der Datenschutzbehörde kommunizieren.
6. Vor der Erteilung der genannten Verzeichnisse in den Absätzen 4 und 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακο λούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.
L 119/54
Amtsblatt der Europäischen Union 4.5.2016
DAS
7. ein)
b) c)
d)
Η εκτίμηση περιέχει τουλάχιστον:
συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, gegebenenfalls, des vom für die Verarbeitung Verantwortlichen verfolgten Rechtsinteresses,
Einschätzung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke,
εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 und
τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung dieser Verordnung nachzuweisen, unter Berücksichtigung der Rechte und legitime Interessen der betroffenen Personen und andere betroffenen Personen.
8.
επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.
10. Όταν η επεξεργασία δυνάμει του άρθρου 6 Absatz 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, Dieses Gesetz regelt den spezifischen Verarbeitungsvorgang oder die Reihe von Vorgängen, und eine Folgenabschätzung zum Datenschutz wurde bereits im Rahmen einer allgemeinen Folgenabschätzung im Rahmen der Genehmigung dieser Rechtsgrundlage durchgeführt., die Absätze 1 bis 7 nicht anwendbar, es sei denn, die Mitgliedstaaten halten es für erforderlich, eine solche Bewertung vor der Verarbeitung durchzuführen.
11. Wo erforderlich, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.
Artikel 36
vorherige Absprache
1. Der Regler wird die Aufsichtsbehörde vor der Verarbeitung konsultieren, wenn nach Artikel 35 Folgenabschätzung für den Datenschutz gibt an, dass die Behandlung ein hohes Risiko der Abwesenheit von Maßnahmen zur Risikobegrenzung durch die Steuerung verursachen würde.
2. Όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, und, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, sowie Gründe für die Verzögerung. Diese Grenzen können gehemmt werden, bis der Supervisor die angeforderten Informationen für die Zwecke der Beratung erhalten hat.
3. Κατά τη διαβούλευση με την εποπτική αρχή δυνάμει της παραγράφου 1, Der für die Verarbeitung Verantwortliche stellt der Aufsichtsbehörde zur Verfügung:
- ein) gegebenenfalls, die jeweiligen Verantwortlichkeiten des Controllers, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,
- b) die Zwecke und Mittel der vorgeschlagenen Behandlung,
- c) Maßnahmen und Vorkehrungen, die Rechte und Freiheiten der betroffenen Personen im Rahmen dieser Verordnung zu schützen,
Die Einhaltung der vereinbarten Verhaltenskodizes gemäß Artikel 40 von den zuständigen Beamten
d) gegebenenfalls, Kontaktdaten des Datenschutzbeauftragten,
4.5.2016 Amtsblatt der Europäischen Union L 119/55
DAS
e) die Folgenabschätzung für den Datenschutz gemäß Artikel 35, und
f) andere Informationen, die von den Vorgesetzten gebeten.
4. Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.
5. Κατά παρέκκλιση από την παράγραφο 1, das Recht der Mitgliedstaaten können Steuerungen erfordert eine vorherige Genehmigung der Aufsichtsbehörde in Bezug auf die Verarbeitung der Steuerung für die Durchführung der Aufgaben, die von diesem Manager im öffentlichen Interesse ausgeübt zu beraten und erhalten, einschließlich der Behandlung in Bezug auf Sozialschutz und öffentliche Gesundheit.
Abschnitt 4
Datenschutzbeauftragter
Artikel 37
Stellen Sie die Datenschutzbeauftragten
1. Der Controller und der Prozessor wird ein Datenschutzbeauftragten in jedem Fall bezeichnen, wobei:
- ein) erfolgt die Verarbeitung durch eine Behörde oder Körper aus, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
- b) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακο λούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, oder
- c) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.
3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.
4. In anderen als den in Absatz 1 genannten Fällen 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.
5. Die DPO basierte auf berufliche Qualifikation ernannt, insbesondere auf der Grundlage der zur Verfügung stehenden Know-how im Bereich der Gesetze und Praktiken zum Datenschutz, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.
6. Der Datenschutzbeauftragte kann Mitarbeiter des für die Verarbeitung Verantwortlichen oder des Verarbeiters sein oder seine Aufgaben im Rahmen eines Servicevertrags erfüllen..
7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.
Artikel 38
Θέση του υπευθύνου προστασίας δεδομένων
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
L 119/56 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Der Datenschutzbeauftragte berichtet direkt an die höchste Verwaltungsebene des für die Verarbeitung Verantwortlichen oder Verarbeiters.
4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.
5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.
6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Die Steuerung oder der Prozessor sorgt dafür, dass diese Aufgaben und Pflichten beinhalten keinen Interessenkonflikt.
1. ein)
b)
c)
d) e)
Artikel 39
Καθήκοντα του υπευθύνου προστασίας δεδομένων
Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:
den für die Verarbeitung Verantwortlichen oder Verarbeiter und die Beamten, die ihren Verpflichtungen aus dieser Verordnung und anderen Bestimmungen der Union oder des Mitgliedstaats in Bezug auf den Datenschutz nachkommen, informieren und beraten,
παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, mit anderen Bestimmungen der Union oder nationalen Rechtsvorschriften über den Datenschutz und die Politik des Controller oder Prozessors in Bezug auf den Schutz personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten, die sensible Poesie und die Ausbildung des Personals in Verarbeitungsoperationen beteiligt, und die damit verbundene Kontrollen,
bietet Beratung, wenn die angeforderte, im Hinblick auf die Bewertung der Auswirkungen auf den Datenschutz und die Überwachung ihrer Umsetzung gemäß Artikel 35,
συνεργάζεται με την εποπτική αρχή,
fungiert als Kontaktstelle für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich vorherige Konsultation gemäß Artikel 36, und konsultieren, angemessen, andere Sache.
2.
die Verarbeitungsvorgänge verbunden, unter Berücksichtigung der Natur, der Umfang, der Kontext und Zweck der Verarbeitung.
Bei der Erfüllung seiner Pflichten, Der Datenschutzbeauftragte trägt dem Risiko angemessen Rechnung
Abschnitt 5
Verhaltenskodizes und Zertifizierung
Artikel 40
Verhaltenskodizes
1. Die Mitgliedstaaten, Vorgesetzte, die Datenschutzbehörde und die Kommission fördern die Entwicklung von Verhaltenskodizes sollte die ordnungsgemäße Durchführung dieser Verordnung beitragen, unter Berücksichtigung der besonderen Merkmale der verschiedenen Verarbeitungsbereiche und die spezifischen Bedürfnisse von Kleinst-, kleine und mittlere Unternehmen.
2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:
ein) τη θεμιτή και με διαφάνεια επεξεργασία,
4.5.2016 Amtsblatt der Europäischen Union
L 119/57
DAS
- b) die berechtigten Interessen von den Prüfern in spezifischen Kontexten verfolgt,
- c) die Erhebung personenbezogener Daten,
- d) psefdonymopoiisi die personenbezogenen Daten,
- e) Unterrichtung der Öffentlichkeit und die betroffenen Personen,
f) die Ausübung der Rechte der betroffenen Personen,
- g) την ενημέρωση και την προστασία των παιδιών και τον τρόπο απόκτησης της συγκατάθεσης του ασκούντος τη γονική μέριμνα του παιδιού,
- die) τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 und 25 και τα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας που αναφέρεται στο άρθρο 32,
- ich) τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την ανακοίνωση των εν λόγω παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων,
- ι) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, oder
ια) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει των άρθρων 77 und 79.
3. Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 dieser Artikel und für die allgemeine Anwendung nach Absatz 9 dieser Artikel auch von Controllern oder Prozessoren sind von dieser Verordnung gemäß Artikel bedeckt gefolgt werden kann, 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, unter den Bedingungen, die in Artikel 46 Absatz 2 στοιχείο ε). Diese Controller oder Prozessoren verpflichten verbindliche und durchsetzbare Verpflichtungen durch Vertrag oder eine andere rechtlich bindende Instrumente, diese angemessene Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.
4. Der Verhaltenskodex im Sinne von Absatz 2 dieses Artikels enthält Mechanismen, die es der im Artikel genannten Person ermöglichen 41 Absatz 1 Betreiber, um die obligatorische Überwachung der Einhaltung der Bestimmungen der Controller oder Prozessoren auszuführen, die für die Anwendung der verantwortlich sind, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 oder 56.
5. Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Die Aufsichtsbehörde gibt eine Stellungnahme zur Einhaltung des Kodexentwurfs ab, Änderung oder Erweiterung dieser Verordnung und Genehmigung dieses Kodexentwurfs, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.
6. Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή καταχωρίζει και δημοσιεύει τον κώδικα.
7. Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, vor der Genehmigung des Codeentwurfs, der Änderung oder Erweiterung, in dem in Artikel vorgesehenen Verfahren 63 an den Datenschutzrat, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 dieser Artikel, hinsichtlich der Bereitstellung angemessener Garantien durch ihn.
8. Für den Fall, dass die in Absatz 1 genannte Stellungnahme 7 bestätigt den Code, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.
9. Die Kommission kann, durch Exekutivakte, beschließen, dass die genehmigten Verhaltenskodizes und die ihr gemäß Absatz vorgelegten Änderungen oder Erweiterungen 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 Absatz 2.
L 119/58 Amtsblatt der Europäischen Union 4.5.2016
DAS
10. Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.
11. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.
Artikel 41
Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας
1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 und 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.
2. mit
ein) b)
c)
d)
Ο φορέας όπως αναφέρεται στην παράγραφο 1 μπορεί να είναι διαπιστευμένος για την παρακολούθηση της συμμόρφωσης κώδικα δεοντολογίας, εφόσον ο εν λόγω φορέας:
hat nach Ermessen der zuständigen Aufsichtsbehörde seine Unabhängigkeit und Sachkenntnis in Bezug auf den Gegenstand des Kodex nachgewiesen,
Es hat Verfahren festgelegt, dass die Beurteilung der Förderfähigkeit der Steuerungen und Prozessoren ermöglichen, den Code zu implementieren, την παρακολούθηση της συμμόρφωσής τους με τις διατάξεις του και την περιοδική επανεξέταση της λειτουργίας του,
hat Verfahren und Strukturen für den Umgang mit Beschwerden über Verstöße gegen den Kodex oder darüber, wie der Kodex von einem für die Verarbeitung Verantwortlichen oder Verarbeiter durchgesetzt wurde oder wird, festgelegt, und diese Prozesse und Strukturen für betroffene Personen und die breite Öffentlichkeit transparent zu machen, und
beweist, nach Ermessen der zuständigen Aufsichtsbehörde, ότι τα καθήκοντα και οι υποχρεώσεις του δεν συνεπάγονται σύγκρουση συμφερόντων.
3.
dieses Artikels an den Datenschutzrat gemäß dem in Artikel genannten Kohärenzmechanismus 63.
Η αρμόδια εποπτική αρχή υποβάλλει τα σχέδια κριτηρίων πιστοποίησης του φορέα όπως αναφέρεται στην παράγραφο 1
4. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und den Bestimmungen von Kapitel VIII, das Unternehmen gemäß Absatz 1 Dieser Artikel setzt voraus, wobei die entsprechenden Sicherungen, geeignete Maßnahmen im Fall der Verletzung des Codes von der Steuerung oder dem Prozessor, περιλαμβανομένης της αναστολής άσκησης καθηκόντων ή της εξαίρεσης του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από τον κώδικα. Sie informiert die zuständige Aufsichtsbehörde über diese Maßnahmen und die Gründe für ihre Verpflichtung.
5. Die zuständige Aufsichtsbehörde widerruft die in Absatz 1 genannte Stellenbescheinigung 1, wenn die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind oder die von der Stelle ergriffenen Maßnahmen gegen diese Verordnung verstoßen.
6. Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς.
Artikel 42
Πιστοποίηση
1. Die Mitgliedstaaten, Vorgesetzte, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, um die Einhaltung dieser Verordnung von Verarbeitungsvorgängen durch die Datenverarbeitung Verantwortlichen und Prozessoren zu demonstrieren. Berücksichtigen Sie dabei die spezifischen Bedürfnisse von Kleinst-, kleine und mittlere Unternehmen.
4.5.2016 Amtsblatt der Europäischen Union L 119/59
DAS
2. Zusätzlich zu ihrer Anwendung, die von Controllern oder Prozessoren dieser Verordnung unterliegen, Zertifizierungsmechanismen und Datenschutzdichtungen und Datenschutzsignale gemäß Absatz autorisierten 5 dieser Artikel für die Zwecke kann beweisen, der angenommen wird, dass geeignete Garantien von Controllern oder Prozessoren zur Verfügung gestellt werden, die nicht unter dieser Verordnung, Nach dem Artikel 3, im Zusammenhang mit der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unter den Bedingungen, die in Artikel 46 Absatz 2 f). Diese Controller oder Prozessoren verpflichten verbindliche und durchsetzbare Verpflichtungen durch Vertrag oder eine andere rechtlich bindende Instrumente, diese angemessene Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.
- Die Zertifizierung ist freiwillig und verfügbar durch ein transparentes Verfahren.
- Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος
την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 oder 56.
5. Die Zertifizierung nach diesem Artikel werden gemäß Artikel durch die Zertifizierungsstellen erteilt werden 43 oder von der zuständigen Aufsichtsbehörde, Kriterien, die von dieser zuständigen Behörde zugelassen gemäß Artikel 58 Absatz 3 oder die Datenschutzausschuss gemäß Artikel 63. Wenn die Kriterien werden von der Datenschutzbehörde genehmigt, Dies kann zu einer gemeinsamen Zertifizierung führen, Europäische Datenschutzsiegel.
6 Die Steuerung oder der Prozessor die Verarbeitung des Authentifizierungsmechanismus Herstellung bietet die Zertifizierungsstelle nach Artikel 43 oder, angemessen, die zuständige Aufsichtsbehörde alle Informationen und Zugang zu Behandlung Aktivitäten erforderlich, um den Zertifizierungsprozess durchzuführen.
7. Die Zertifizierung wird einem Controller oder Verarbeiter für einen Zeitraum von maximal drei Jahren ausgestellt und kann unter den gleichen Bedingungen erneuert werden, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, angemessen, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 oder von der zuständigen Aufsichtsbehörde, wenn die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind.
8. Die Datenschutzbehörde sammelt alle Authentifizierungsmechanismen und Dichtungen und Datenschutzsignale in einem Register und verfügbar mit allen geeigneten Mitteln für die Öffentlichkeit gehalten.
Artikel 43
Zertifizierungsstellen
1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 und 58, Zertifizierungsstellen, die über das entsprechende Fachwissen in Bezug auf den Datenschutz verfügen, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 Absatz 2 Punkt h) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Der Mitgliedstaat stellt sicher, dass die Akkreditierung dieser Zertifizierungsstellen von einer oder beiden der folgenden Stellen durchgeführt wird:
ein) b)
ein) haben nach Ermessen der zuständigen Aufsichtsbehörde ihre Unabhängigkeit und Sachkenntnis in Bezug auf den Gegenstand der Zertifizierung nachgewiesen,
(1) Verordnung (EG) keine. 765/2008 Europäisches Parlament und Rat, vom 9. Juli 2008, Festlegung der Anforderungen für die Akkreditierung und Marktüberwachung von Produkten und Aufhebung der (EWG) keine. 339/93 des Rates (ABl L 218 von 13.8.2008, p. 30).
die nach den Artikeln zuständige Aufsichtsbehörde 55 oder 56,
τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (EG) keine. 765/2008 Europäisches Parlament und Rat (1), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρω ματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 oder 56.
Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 sind gemäß diesem Absatz akkreditiert,
2.
nur wenn:
L 119/60 b)
c) d)
e)
Amtsblatt der Europäischen Union 4.5.2016
verpflichten sich, die in Artikel 1 festgelegten Kriterien einzuhalten 42 Absatz 5 und von der Aufsichtsbehörde zuständigen nach Artikel genehmigt 55 oder 56 oder vom Datenschutz Rat gemäß Artikel 63,
Sie haben Verfahren für die Erteilung, regelmäßige Überprüfung und Sperrung von Zertifikaten, Stempel und Datenschutzsignale,
Sie haben Verfahren und Strukturen für die Verwaltung von Beschwerden über Verstöße gegen die Zertifizierung oder auf dem Weg in die die Zertifizierung angewendet wird oder durchgeführt von der Steuerung oder dem Prozessor, und diese Prozesse und Strukturen für betroffene Personen und die breite Öffentlichkeit transparent zu machen, und
Show, nach Ermessen der zuständigen Aufsichtsbehörde, dass ihre Pflichten und Verpflichtungen keinen Interessenkonflikt beinhalten.
DAS
3.
ποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 oder 56, oder vom Datenschutz Rat gemäß Artikel 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 dieser Artikel, Diese Anforderungen ergänzen die in der Verordnung festgelegten Anforderungen (EG) keine. 765/2008 und die technischen Regeln, die die Methoden und Verfahren der Zertifizierungsstellen beschreiben.
4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Die Akkreditierung wird für einen Zeitraum von maximal fünf Jahren erteilt und kann zu denselben Bedingungen verlängert werden, vorausgesetzt, die Zertifizierungsstelle erfüllt die Anforderungen dieses Artikels.
5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 Sie stellen die zuständigen Behörden, die Gründe für die Erteilung oder den Widerruf der Zulassung angestrebt.
6. Die Vorschriften des Absatzes 3 dieses Artikels und die Kriterien in Artikel genannten 42 Abschnitt 5 in leicht zugänglichem Format von der Aufsichtsbehörde veröffentlicht. Die Aufsichtsbehörden sind auch diese Anforderungen und Kriterien an die Datenschutzbehörde weiterleiten. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.
7. Unbeschadet Kapitel VIII, die zuständige Aufsichtsbehörde oder nationale Akkreditierungsstelle der Akkreditierung einer Zertifizierungsstelle gemäß Absatz zurückziehen 1 dieser Artikel, wenn die Zertifizierungsanforderungen nicht erfüllt sind oder nicht mehr erfüllt werden oder wenn die Maßnahmen der Zertifizierungsstelle gegen diese Verordnung verstoßen.
8. Die Kommission wird ermächtigt, delegierte zu erlassen’ delegierte Rechtsakte gemäß Artikel 92, um die Anforderungen zu bestimmen, die für die in Artikel genannten Datenschutzzertifizierungsmechanismen zu berücksichtigen sind 42 Absatz 1.
9. Die Kommission kann Durchführungsrechtsakte zur Festlegung der technischen Standards für die Zertifizierung Mechanismen, Dichtungen und Datenschutzsignale, sowie Mechanismen zur Förderung und Anerkennung solcher Zertifizierungsmechanismen, Briefmarken und Marken. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 Absatz 2.
KAPITEL V.
Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς
Artikel 44
Γενικές αρχές για διαβιβάσεις
Jede Übertragung von personenbezogenen Daten, die Verarbeitung durchlaufen oder sollen verarbeitet werden, nachdem sie in ein Drittland oder eine internationale Organisation gesendet werden, ist nur möglich, wenn, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Alle Bestimmungen dieses Kapitels gelten, um sicherzustellen, dass das durch diese Verordnung garantierte Schutzniveau natürlicher Personen nicht untergraben wird..
Die Akkreditierung von Zertifizierungsstellen gemäß den Absätzen 1 und 2 dieses Artikels
4.5.2016 Amtsblatt der Europäischen Union L 119/61
DAS
Artikel 45
Übertragungen aufgrund einer Angemessenheitsentscheidung
1. Die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation kann dann erfolgen, wenn die Kommission entscheidet, dass ein angemessenes Schutzniveau des betreffenden Drittlandes gewährleisten, vom Boden oder von einem oder mehreren bestimmten Sektoren im Drittland oder von dieser internationalen Organisation. Für eine solche Übertragung nicht eine Sondergenehmigung erforderlich.
2. ein)
b)
c)
Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, insbesondere, τα ακόλουθα στοιχεία:
το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten, sowie die Umsetzung dieser Gesetzgebung, Regeln zum Datenschutz, Berufsregeln und Sicherheitsmaßnahmen, einschließlich der Regeln für die weitere Übermittlung personenbezogener Daten an ein anderes Land oder eine andere internationale Organisation in diesem Drittland oder dieser internationalen Organisation, νομολογία, sowie materielle und durchsetzbare Rechte der betroffenen Personen und wirksame administrative und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, und
internationale Verpflichtungen, die von diesem Drittland oder dieser internationalen Organisation eingegangen werden, oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkommen oder Handlungen und deren Teilnahme an multilateralen oder regionalen Systemen ergeben, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.
3.
εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 dieses Artikels aus einem Drittland oder Gebiet oder eine oder mehrere bestimmte Bereiche eines dritten Landes oder einer internationalen Organisation. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Der Durchführungsrechtsakt wird angeben, die territoriale und sektorale Umsetzung, καθώς και, όπου συντρέχει περίπτωση, die Aufsichtsbehörde im Sinne von b) της παραγράφου 2 dieser Artikel. Der Durchführungsrechtsakt nach dem Prüfverfahren erlassen gemäß Artikel 93 Absatz 2.
4. Die Kommission überwacht kontinuierlich die Entwicklungen in Drittländern und internationalen Organisationen, die die Funktionsweise der gemäß Absatz 1 getroffenen Entscheidungen beeinträchtigen könnten 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 Absatz 6 Richtlinie 95/46 / EG.
5. Das Komitee, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 dieser Artikel, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 dieser Artikel, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 Absatz 2.
Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 Absatz 3.
6. Die Kommission leitete Konsultationen mit dem Drittland oder einer internationalen Organisation, um die Situation zu beheben, die das Ergebnis der Entscheidung nach Absatz ist 5.
7. Die Entscheidung nach Absatz 5 Dieser Artikel gilt nicht die personenbezogenen Daten im Drittland betreffen, auf dem Hoheitsgebiet oder in einem oder mehreren bestimmten Sektoren in dem Drittland oder der internationalen Organisation gemäß den Artikeln 46 bis 49.
8. Die Kommission wird im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste der Drittländer veröffentlichen, Gebiete und bestimmte Bereiche in einem Drittland, sowie internationale Organisationen, für die sie entschieden hat, dass ein angemessenes Schutzniveau nicht mehr gewährleistet ist oder ist.
Das Komitee, nach Beurteilung der Angemessenheit des Schutzniveaus, entscheiden kann, durch einen Exekutivakt, das
L 119/62 Amtsblatt der Europäischen Union 4.5.2016
DAS
9. Die Entscheidungen der Kommission auf der Grundlage des Artikels 25 Absatz 6 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, durch eine gemäß Absatz erlassene Entscheidung der Kommission ersetzt oder abgeschafft werden 3 oder 5 dieser Artikel.
Artikel 46
Übertragungen vorbehaltlich angemessener Garantien
1. In Ermangelung einer Entscheidung nach dem Artikel 45 Absatz 3, Der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche darf personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übertragen, wenn der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche angemessene Garantien gegeben hat und für die Subjekte durchsetzbare Rechte und wirksame Rechtsmittel bestehen. Daten.
2. Die entsprechenden Garantien gemäß Absatz 1 kann vorgesehen sein, ohne die Notwendigkeit einer speziellen Aufsichtsgenehmigung, über:
- ein) ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen,
- b) verbindliche Unternehmensregeln gemäß Artikel 47,
- c) Standard-Datenschutzklauseln, die von der Kommission gemäß dem in Artikel 6 vorgesehenen Prüfungsverfahren erlassen wurden 93 Absatz 2,
- d) von Standarddatenschutzklauseln, die von einer Aufsichtsbehörde ausgestellt und von der Kommission gemäß dem Prüfverfahren gemäß Artikel genehmigt wurden 93 Absatz 2,
- e) genehmigter Verhaltenskodex, Nach dem Artikel 40, zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland, geeignete Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen, oder
f) zugelassener Zertifizierungsmechanismus, Nach dem Artikel 42, zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland, geeignete Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.
3. Vorbehaltlich der Erlaubnis der zuständigen Aufsichtsbehörde, die entsprechenden Garantien des Absatzes 1 kann insbesondere auch bereitgestellt werden durch:
ein)
b)
Vertragsbedingungen zwischen dem Controller oder dem Prozessor und der Steuerung, des Verarbeiters oder Empfängers der personenbezogenen Daten im Drittland oder bei der internationalen Organisation bzw
Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder Stellen aufzunehmen sind, die durchsetzbare und materielle Rechte der betroffenen Personen beinhalten.
4.
im Absatz erwähnt 3 dieser Artikel.
Die Aufsichtsbehörde wendet den in Artikel genannten Kohärenzmechanismus an 63 in den Fällen wo
5. Die Lizenzen eines Mitgliedstaats oder einer Aufsichtsbehörde gemäß dem Artikel 26 Absatz 2 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, ersetzt oder abgeschafft werden, Falls erforderlich, durch diese Aufsichtsbehörde. Die Entscheidungen der Kommission auf der Grundlage des Artikels 26 Absatz 4 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, ersetzt oder abgeschafft werden, Falls erforderlich, durch einen Beschluss der Kommission gemäß Absatz 2 dieser Artikel.
Artikel 47
Verbindliche Unternehmensregeln
1. Die zuständige Aufsichtsbehörde genehmigt verbindliche unternehmensinterne Vorschriften gemäß dem Kohärenzverfahren gemäß Artikel 63, unter der Bedingung, dass:
ein) sie sind rechtsverbindlich und gelten für jedes relevante Mitglied und werden von jedem relevanten Mitglied der Unternehmensgruppe durchgesetzt, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, einschließlich ihrer Mitarbeiter,
4.5.2016 Amtsblatt der Europäischen Union L 119/63
DAS
- b) betroffenen Personen ausdrücklich einklagbare Rechte in Bezug auf die Verarbeitung sie betreffender personenbezogener Daten einräumen und
- c) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.
2. Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:
- ein) die Struktur und die Kontaktdaten der Gruppe, oder eine Gruppe von Unternehmen, die in gemeinsamen wirtschaftlichen Aktivität und jedes Mitglied,
- b) τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, die Art der betroffenen Personen beeinträchtigt und die Einstellung des betreffenden Drittlandes oder Drittländern,
- c) die Rechtsverbindlichkeit der, sowohl intern als auch extern,
- d) die Anwendung der allgemeinen Grundsätze des Datenschutzes, insbesondere die Zweckbindung, Minimierung der Daten, die begrenzte Lagerzeit, Datenqualität, Datenschutz durch Design und standardmäßig, die Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien personenbezogener Daten, die Datensicherheitsmaßnahmen, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,
- e) τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτομα τοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,
f) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, ganz oder teilweise, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,
- g) Informationen zur Bindung verbindlicher Unternehmensregeln an betroffene Personen, insbesondere die Bestimmungen unter Punkt d), e) und St.) της παρούσας παραγράφου, επιπλέον των άρθρων 13 und 14,
- die) τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, καθώς και με την παρακο λούθηση της κατάρτισης και του χειρισμού των καταγγελιών,
- ich) τις διαδικασίες καταγγελίας,
- ι) τους μηχανισμούς εντός του ομίλου επιχειρήσεων, oder eine Gruppe von Unternehmen in gemeinsamer wirtschaftlicher Tätigkeit ausübende für die Einhaltung der verbindlichen unternehmensinternen Regeln überprüft. Diese Mechanismen umfassen Datenschutzkontrollen und Methoden zur Sicherstellung von Korrekturmaßnahmen zum Schutz der Rechte der betroffenen Person.. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική αρχή,
- ια) τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
- ιβ) τον μηχανισμό συνεργασίας με την εποπτική αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),
- ιγ) τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και
- n) angemessene Datenschutzschulungen für Personal, das ständigen oder regelmäßigen Zugang zu personenbezogenen Daten hat.
L 119/64 Amtsblatt der Europäischen Union 4.5.2016
DAS
3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, Prozessoren und Aufsichtsbehörden für verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 Absatz 2.
Artikel 48
Mitteilungen oder Benachrichtigungen, die nicht erlaubt sind durch das Unionsrecht
Jede gerichtliche Entscheidung und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, nach der ein für die Verarbeitung Verantwortlicher oder Verarbeiter personenbezogene Daten übermitteln oder offenlegen muss, kann anerkannt oder vollstreckbar sein’ οιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.
Artikel 49
Παρεκκλίσεις για ειδικές καταστάσεις
1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 Absatz 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, Die Übermittlung oder alle Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation erfolgt nur, wenn eine der folgenden Bedingungen erfüllt ist::
- ein) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
- b) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
- c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich im Interesse der betroffenen Person zwischen dem Controller und anderen natürlichen oder juristischen Person abgeschlossen,
- d) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
- e) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, ausüben oder Rechtsansprüche unterstützen,
f) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, wenn die betroffene Person nicht über die physische oder rechtliche Fähigkeit verfügt, ihre Zustimmung zu erteilen,
g) Die Übermittlung erfolgt durch ein Register, das nach dem Recht der Union oder eines Mitgliedstaats zur Information der Öffentlichkeit bestimmt ist und das der Öffentlichkeit oder einer Person, die ein berechtigtes Interesse hat, zugänglich ist, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.
Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 oder 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 und 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.
2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) umfasst nicht alle im Register enthaltenen personenbezogenen Daten oder ganze Kategorien personenbezogener Daten. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, Die Übermittlung erfolgt nur auf Antrag dieser Personen oder nur dann, wenn sie Empfänger sein sollen.
4.5.2016 Amtsblatt der Europäischen Union L 119/65
DAS
3. Absatz 1 Elemente des ersten Absatzes a), b) und c) und Absatz 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστη ριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.
4. Das öffentliche Interesse im Sinne von Absatz 1 Absatz, Punkt d) im Unionsrecht oder das nationale Recht des Mitgliedstaates, in dem anerkannt die Steuerung unterliegt.
5. Absence Angemessenheitsentscheidung, Unionsrechts oder Mitgliedstaat kann, aus schwerwiegenden Gründen des öffentlichen Interesses, explizit sieht Beschränkungen für die Übertragung von besonderen Arten personenbezogener Daten in ein Drittland oder eine internationale Organisation. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.
6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 dieser Artikel, στα αρχεία που αναφέρονται στο άρθρο 30.
Artikel 50
Die internationale Zusammenarbeit auf dem Schutz personenbezogener Daten
In Bezug auf Drittstaaten und internationale Organisationen, Die Kommission und die Aufsichtsbehörden treffen geeignete Maßnahmen ergreifen, um:
- ein) την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
- b) την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,
- c) τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
- d) fördert den Austausch und die Dokumentation der Gesetzgebung und Praxis auf dem Schutz personenbezogener Daten, auch in Zuständigkeitskonflikten mit Drittländern.
KAPITEL VI
Unabhängige Aufsichtsbehörden
Abschnitt 1
Unabhängiges Regime
Artikel 51
Aufsichtsbehörde
1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακο λούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση („Aufsichtsbehörde“).
2. Jede Aufsichtsbehörde trägt zur einheitlichen Anwendung dieser Verordnung in der gesamten Union bei. Für diesen Zweck, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.
3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden in der Datenschutzbehörde legt den Mechanismus, um die Einhaltung der anderen Grundsätze mit Regeln für die Kohärenzverfahren gemäß Artikel darstellen 63.
4. Jeder Mitgliedstaat teilt die Kommission über die Bestimmungen, in seinem Recht unter diesem Kapitel festgelegten, zu 25 Mai 2018 und, unverzüglich, eine spätere Änderung.
L 119/66 Amtsblatt der Europäischen Union 4.5.2016
DAS
Artikel 52
Unabhängigkeit
1. Jede Aufsichtsbehörde die Aufgaben erfüllen und die Befugnisse im Rahmen dieser Verordnung in voller Unabhängigkeit ausüben.
2. Das oder die Mitglieder jeder Aufsichtsbehörde ihre Aufgaben und ihre Befugnisse nach Ausübung dieser Verordnung ohne äußere Einflüsse, entweder direkt oder indirekt, und sie werden nicht Weisungen einholen oder entgegen von irgend.
3. Das oder die Mitglieder jeder Aufsichtsbehörde mit ihren Aufgaben jeder Handlung zu unterlassen und unvereinbar, während ihrer Amtszeit, Halten Sie keine inkompatiblen Besetzung, rentabel oder nicht.
4. Jeder Mitgliedstaat stellt sicher, dass jeder Vorgesetzte die notwendigen menschlichen hat, technisch und finanzielle Mittel und die notwendigen Einrichtungen und Infrastruktur für die effektive Wahrnehmung der Aufgaben und Ausübung ihrer Befugnisse, einschließlich derjenigen, die im Rahmen der Rechtshilfe ausgeübt werden, Zusammenarbeit und Mitarbeit im Datenschutzrat.
5. Jeder Mitgliedstaat stellt sicher, dass jeder Betreuer wählt und hat seine eigene Mitarbeiter, die ausschließlich durch den oder die Mitglieder der Aufsichtsbehörde verwaltet werden betroffen.
6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt, und hat eine separate, öffentliche Jahreshaushalte, die Teil des gesamten Staats- oder Staatshaushalts sein können.
Artikel 53
Allgemeine Bedingungen für Mitglieder der Aufsichtsbehörde
1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden in einem transparenten Verfahren von ernannt wird: – ihr Parlament,
– ihre Regierung,
— ihr Staatsoberhaupt oder
- unabhängige Stelle beauftragt, nach dem Recht des Mitgliedstaates, Termin.
2. Jedes Mitglied hat, insbesondere im Bereich des Datenschutzes, Qualifikationen, die Erfahrungen und Fähigkeiten erforderlich, um die Aufgaben und zur Ausübung der Befugnisse des auszuführen.
3. Mit Ablauf der Amtszeit enden die Aufgaben eines Mitglieds, Rücktritt oder Zwangspensionierung, nach dem Recht des betreffenden Mitgliedstaats.
4. Die Abberufung eines Mitglieds ist nur bei schwerwiegender Verfehlung oder bei Wegfall der für die Ausübung seines Amtes erforderlichen Voraussetzungen möglich.
Artikel 54
Κανόνες για τη σύσταση της εποπτικής αρχής
1. Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα: ein) τη σύσταση κάθε εποπτικής αρχής,
4.5.2016
Amtsblatt der Europäischen Union L 119/67
DAS
b) c) d)
e) f)
die Qualifikationen und Zulassungsvoraussetzungen, die für die Ernennung eines Mitglieds jeder Aufsichtsbehörde erforderlich sind,
Regeln und Verfahren für die Ernennung des Mitglieds oder Mitglieder einer Aufsichtsbehörde,
die Amtszeit des Mitglieds oder Mitglieder einer Aufsichtsbehörde, Das ist nicht weniger als vier Jahre, mit Ausnahme des ersten Termin nach 24 Mai 2016, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών,
κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό,
die Bedingungen, die die Pflichten des Mitglieds oder der Mitglieder und Mitarbeiter jeder Aufsichtsbehörde regeln, das Verbot von Handlungen, berufliche Tätigkeiten und Leistungen, die mit diesen Pflichten nicht vereinbar sind, Sowohl während als auch nach der Amtszeit, sowie die Regelungen zur Beendigung des Arbeitsverhältnisses.
2.
Mitgliedsstaat, vom Berufsgeheimnis während und nach der Amtszeit, in Bezug auf vertrauliche Informationen, die ihnen im Rahmen der Wahrnehmung ihrer Aufgaben oder Befugnisse bekannt geworden sind. Während ihrer Amtszeit, diese Verpflichtung zur Wahrung des Berufsgeheimnisses gilt insbesondere für die Meldung von Verstößen gegen diese Verordnung durch natürliche Personen.
Abschnitt 2
Kompetenz, Pflichten und Befugnisse
Artikel 55
Kompetenz
1. Jede Aufsichtsbehörde ist für die Erfüllung der ihr gemäß dieser Verordnung übertragenen Aufgaben und Befugnisse im Hoheitsgebiet ihres Mitgliedstaats zuständig.
2. Wenn die Verarbeitung durch Behörden oder private Stellen erfolgt, die auf der Grundlage von Art 6 Absatz 1 στοιχείο γ) ή ε), Zuständig ist die Aufsichtsbehörde des jeweiligen Mitgliedsstaates. In diesen Fällen findet der Artikel keine Anwendung 56.
3. Aufsichtsbehörden sind nicht befugt, Verarbeitungsvorgänge zu kontrollieren, die von Gerichten in ihrem Zuständigkeitsbereich durchgeführt werden.
Artikel 56
Zuständigkeit der federführenden Aufsichtsbehörde
1. Ungeachtet des Artikels 55, die Aufsichtsbehörde der Haupt- oder einzigen Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters ist zuständig, als federführende Aufsichtsbehörde für die grenzüberschreitenden Verarbeitungsvorgänge des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 2 zu fungieren 60.
2. Κατά παρέκκλιση από την παράγραφο 1, Jede Aufsichtsbehörde ist dafür zuständig, eine eingereichte Beschwerde zu prüfen oder einen möglichen Verstoß gegen diese Verordnung zu behandeln, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.
3. Στις περιπτώσεις της παραγράφου 2 dieser Artikel, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.
Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του
L 119/68 Amtsblatt der Europäischen Union 4.5.2016
DAS
4. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Die Hauptaufsichtsbehörde berücksichtigt diesen Plan bei der Ausarbeitung des in Artikel 1 genannten Entscheidungsentwurfs besonders 60 Absatz 3.
5. Sollte der Chef Supervisor entscheidet, den Fall nicht hören, Die Aufsichtsbehörde, die die Aufsichtsbehörde informiert hat, behandelt die Angelegenheit gemäß den Artikeln 61 und 62.
6. Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Artikel 57
Καθήκοντα
1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
- ein) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
- b) fördert das öffentliche Bewusstsein und das Verständnis für Risiken, der Regeln, Bearbeitungsgarantien und Rechte. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά,
- c) συμβουλεύει, nach dem Recht des Mitgliedstaates, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας,
- d) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
- e) κατόπιν αιτήματος, Informationen für betroffene Personen über die Ausübung ihrer Rechte aus dieser Verordnung bereitstellen und, möglicherweise, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη,
f) bearbeitet Beschwerden, die von der betroffenen Person oder von einer Einrichtung oder Organisation oder Vereinigung gemäß Artikel eingereicht wurden 80 und untersucht, soweit angemessen, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, insbesondere, wenn die weitere Forschung oder Koordination mit anderer Aufsichtsbehörde,
- g) wirkt zusammen, unter anderem durch den Austausch von Informationen, mit anderen Aufsichtsbehörden und unterstützt andere Aufsichtsbehörden gegenseitig, um die Kohärenz der Anwendung und Durchsetzung dieser Verordnung zu gewährleisten,
- die) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,
- ich) παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών και των εμπορικών πρακτικών,
- ι) θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 28 Absatz 8 και του άρθρου 46 Absatz 2 στοιχείο δ),
- ια) καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 Absatz 4,
- ιβ) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 Absatz 2,
- ιγ) ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 Absatz 1 και διατυπώνει γνώμη και εγκρίνει τέτοιους κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις, Nach dem Artikel 40 Absatz 5,
- n) Ermutigt die Einrichtung von Datenschutzzertifizierungsmechanismen sowie Datenschutzstempeln und -marken gemäß Artikel 42 Absatz 1 και εγκρίνει τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 Absatz 5,
- ιε) gegebenenfalls, διενεργεί περιοδική επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 Absatz 7,
4.5.2016 Amtsblatt der Europäischen Union L 119/69
DAS
ιστ) σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,
- ιζ) διενεργεί τη διαπίστευση φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,
- ιη) επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 46 Absatz 3,
- ιθ) εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47,
κ) συμβάλλει στις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων,
- κα) τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 Absatz 2, und
- κβ) ekplironeikatheallokathikonschetikometinprostasiadedomenonprosopikoucharaktira.
2. Jeder Supervisor erleichtern die Einreichung von Beschwerden im Sinne des Absatzes 1 f) durch Maßnahmen wie das Beschwerdeformular, das auch elektronisch abgeschlossen werden kann, ohne andere Kommunikationsmittel auszuschließen.
3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το υποκείμενο των δεδομένων και, gegebenenfalls, για τον υπεύθυνο προστασίας δεδομένων.
4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, Die Aufsichtsbehörde kann eine angemessene Gebühr für Verwaltungskosten oder zu verweigern, zu reagieren auf die Anforderung verhängen. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.
Artikel 58
Εξουσίες
1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:
- ein) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
- b) να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,
- c) να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 Absatz 7,
- d) benachrichtigen Sie den Controller oder den Prozessor für angebliche Verstöße gegen diese Verordnung,
- e) zu erwerben, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, Zugang zu allen personenbezogenen Daten und alle Informationen, die zur Erfüllung seiner Aufgaben,
f) haben Zugriff auf den Controller-Einrichtungen und einem Prozessor, einschließlich aller Geräte und Datenverarbeitungsmittel, nach dem Verfahrensrecht der Union oder einem Mitgliedstaat.
2. Jede Behörde hat alle folgende Korrekturstärken:
- ein) Ausgabe Warnungen an den Controller oder dem Prozessor, der beabsichtigten Verarbeitungsvorgänge geeignet sind, die Bestimmungen dieser Verordnung verstoßen,
- b) zum Thema Abmahnungen an die Steuerung oder den Prozessor, wenn haben Verarbeitungen Bestimmungen dieser Verordnung verstoßen,
- c) den Controller oder den Prozessor anweisen, mit den Wünschen der betroffenen Person zur Ausübung seiner Rechte im Rahmen dieser Verordnung nachzukommen,,
L 119/70 d)
e)
f) g)
die)
ich)
ι) 3. ein)
b)
c)
d) e) f) g)
die) ich) ι)
Amtsblatt der Europäischen Union 4.5.2016
den Controller oder den Prozessor anweisen, die Verarbeitungsoperationen mit den Bestimmungen dieser Verordnung entsprechen zu machen, notfalls, eine gewisse Art und Weise und innerhalb einer bestimmten Frist,
anweisen, den Controller die Verletzung personenbezogener Daten an die betroffene Person zu benachrichtigen,
eine vorübergehende oder dauerhafte Einschränkung auferlegen, einschließlich das Verbot der Verarbeitung,
eine Berichtigung oder Löschung von personenbezogenen Daten oder der Beschränkung der Behandlung gemäß den Artikeln zu befehlen 16, 17 und 18 und Befehls Meldung solcher Maßnahmen an die Empfänger, denen die personenbezogenen Daten gemäß Artikel mitgeteilt 17 Absatz 2 και του άρθρου 19,
das Zertifikat zurücktreten oder die Zertifizierungsstelle bestellen ein Zertifikat ausgestellt gemäß den Artikeln zurückzutreten 42 und 43 oder Auftrag kann die Zertifizierungsstelle nicht Zertifizierung ausstellen, vorausgesetzt, dass die Zertifizierungsanforderungen nicht erfüllt sind oder nicht mehr erfüllt sind,
ein Bußgeld gemäß Artikel verhängen 83, Neben oder anstelle der genannten Maßnahmen in diesem Absatz, je nach den Umständen des Einzelfalls,
anweisen, Datenverkehr an den Empfänger in einem Drittland oder einer internationalen Organisation aussetzen. Jede Aufsichtsbehörde haben alle folgende Lizenz- und Beratungsbefugnisse:
beraten die Steuerung nach der vorherigen Konsultation gemäß Artikel 36,
Ausgabe, auf eigene Initiative oder auf Anfrage, Meinungen zum nationalen Parlament, die Landesregierung oder, nach dem Recht des Mitgliedstaates, In den anderen Organen und Einrichtungen, sowie für die Öffentlichkeit, in allen Fragen zum Schutz personenbezogener Daten,
erlauben die Verarbeitung gemäß Artikel 36 Absatz 5, wenn der betreffende Mitgliedstaat verlangt Recht, dass eine vorherige Genehmigung,
zur Abgabe von Stellungnahmen zu Entwürfen von Verhaltenskodizes und genehmigen diese Projekte nach Artikel 40 Absatz 5,
bieten Akkreditierung Zertifizierungsstellen gemäß Artikel 43,
zur Erteilung von Bescheinigungen und Zulassungskriterien gemäß Artikel genehmigen 42 Absatz 5,
να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 Absatz 8 και του άρθρου 46 Absatz 2 στοιχείο δ),
να επιτρέπει συμβατικές ρήτρες του άρθρου 46 Absatz 3 στοιχείο α),
να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 Absatz 3 b), genehmigen verbindliche unternehmensinterne Regeln gemäß Artikel 47.
DAS
4.
einen effektiven gerichtlichen Rechtsschutz einschließlich und die Einhaltung des rechtlichen Gehörs, wie nach dem Unionsrecht und das Recht der Mitgliedstaaten im Einklang mit der Charta vorgesehene.
Die Ausübung der Aufsichtsbehörde ihrer Befugnisse gemäß diesem Artikel wird vorbehaltlich angemessene Garantien sein,
5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, gegebenenfalls, zu initiieren oder daran teilnehmen’ sonst in Gerichtsverfahren, die Bestimmungen dieser Verordnung durchzusetzen.
6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 und 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.
Artikel 59
Εκθέσεις δραστηριοτήτων
Κάθε εποπτική αρχή καταρτίζει ετήσια έκθεση των δραστηριοτήτων της, die eine Liste der Arten von gemeldeten Unregelmäßigkeiten und die Art der Maßnahmen nach Artikel umfassen kann 58 Absatz 2. Οι εν λόγω εκθέσεις υποβάλλονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές, όπως ορίζεται από το δίκαιο του κράτους μέλους. Καθίσταται διαθέσιμη στο κοινό, die Kommission und der Datenschutzrat.
4.5.2016
Amtsblatt der Europäischen Union
L 119/71
DAS
KAPITEL VII
Zusammenarbeit und Konsistenz
Abschnitt 1
Zusammenarbeit
Artikel 60
Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών
1.
σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσουν μεταξύ τους κάθε συναφή πληροφορία.
2. Η επικεφαλής εποπτική αρχή μπορεί να ζητεί ανά πάσα στιγμή από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή δυνάμει του άρθρου 61 und kann führen gemeinsame Operationen gemäß Artikel 62, insbesondere auf Anfragen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf Daten-Controller oder Prozessor durchführen wird, in einem anderen Mitgliedstaat.
3. Die Hauptaufsicht zuständige Behörde unverzüglich die entsprechenden Informationen zu diesem Thema in anderen Aufsichtsbehörden kommunizieren. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.
4. Wenn eine der anderen Aufsichtsbehörden, innerhalb von vier Wochen nach Befassung, gemäß Absatz 3 dieser Artikel, zeigt relevante und Einwände gegen den Entwurf einer Entscheidung mit Gründen versehenen, der Chef Supervisor, wenn nicht gefolgt relevant und begründete Einwand oder die Auffassung, dass der Einwand nicht relevant ist oder gerechtfertigt, Verweisen Sie die Angelegenheit auf den in Artikel genannten Kohärenzmechanismus 63.
5. Wenn die Aufsichtsbehörde beabsichtigt, dem relevanten und begründeten Einwand zu folgen, υποβάλλει στις άλλες ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο απόφασης για να εκφέρουν τη γνώμη τους. Dieser überarbeitete Entscheidungsentwurf unterliegt dem in Absatz 1 genannten Verfahren 4, innerhalb von zwei Wochen.
6. Hat keine der anderen betroffenen Aufsichtsbehörden Einwände gegen den Entscheidungsentwurf der obersten Aufsichtsbehörde innerhalb der in den Absätzen genannten Frist erhoben? 4 und 5, Es wird davon ausgegangen, dass die oberste Aufsichtsbehörde und die betreffenden Aufsichtsbehörden mit und einverstanden sind.
7. Die oberste Aufsichtsbehörde erlässt die Entscheidung und teilt sie dem Auftraggeber mit oder, in Anbetracht, τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το Συμβούλιο Προστασίας Δεδομένων για την απόφαση αυτή, παρέχοντας μεταξύ άλλων σύνοψη των πραγματικών περιστατικών και των νομικών ισχυρισμών. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα σχετικά με την απόφαση.
8. Κατά παρέκκλιση από την παράγραφο 7, εάν μια καταγγελία έχει κριθεί απαράδεκτη ή έχει απορριφθεί, die Aufsichtsbehörde, auf die die Beschwerde eingereicht wurde trifft eine Entscheidung,, die Antragsteller benachrichtigen und die Datencontroller informieren.
9. Wenn der Chef Supervisor und die Aufsichtsbehörden zustimmen zu halten unannehmbar oder ablehnen Teile einer Beschwerde und wirken auf andere Teile der gleichen Beschwerde, εκδίδεται χωριστή απόφαση για καθένα από τα τμήματα αυτά. Η επικεφαλής εποπτική αρχή εκδίδει την απόφαση για το τμήμα που αφορά ενέργειες του υπευθύνου επεξεργασίας, την κοινοποιεί στην κύρια ή τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο έδαφος του οικείου κράτους μέλους και ενημερώνει σχετικά τον καταγγέλλοντα, ενώ η εποπτική αρχή του καταγγέλλοντος εκδίδει την απόφαση για το τμήμα αναφορικά με το απαράδεκτο ή την απόρριψη της εν λόγω καταγγελίας και την κοινοποιεί στον εν λόγω καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.
10. Μετά την κοινοποίηση της απόφασης της επικεφαλής εποπτικής αρχής σύμφωνα με τις παραγράφους 7 und 9, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για να διασφαλίσει τη συμμόρφωση με την απόφαση όσον αφορά τις δραστηριότητες επεξεργασίας σε όλες τις εγκαταστάσεις του στην Ένωση. Die Steuerung oder der Prozessor wird die Maßnahmen in Verbindung mit dem Urteil Chef Vorgesetzten nicht befolgt, die unterrichtet die anderen Aufsichtsbehörden informieren.
Der Leiter der Aufsichtsbehörde mit anderen Aufsichtsbehörden in Übereinstimmung mit diesem Artikel zusammenarbeiten
L 119/72 Amtsblatt der Europäischen Union 4.5.2016
DAS
11. ob, σε έκτακτες περιστάσεις, eine Aufsichtsbehörde hat Grund zu der Annahme, dass es dringend notwendig, Maßnahmen ist es, die Interessen der betroffenen Personen zu schützen, Wenden Sie das Dringlichkeitsverfahren gemäß Artikel 66.
12. Η επικεφαλής εποπτική αρχή και οι άλλες ενδιαφερόμενες εποπτικές αρχές παρέχουν τις πληροφορίες που απαιτούνται δυνάμει του παρόντος άρθρου σε κάθε άλλη αρχή με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.
Artikel 61
Αμοιβαία συνδρομή
1. Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, insbesondere, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.
2. Κάθε εποπτική αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει σε αίτημα άλλης εποπτικής αρχής αμελλητί και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, insbesondere, τη διαβίβαση σχετικών πληροφοριών όσον αφορά τη διενέργεια έρευνας.
3. Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, μεταξύ αυτών τον σκοπό και τους λόγους υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.
4. Εποπτική αρχή στην οποία υποβλήθηκε αίτημα δεν αρνείται να συμμορφωθεί προς το αίτημα, παρά μόνο εάν:
ein) δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για μέτρα που πρέπει να εκτελέσει ή
b) η συμμόρφωση προς το αίτημα θα παραβίαζε τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται η εποπτική αρχή που λαμβάνει το αίτημα.
5. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, angemessen, για την πρόοδο των μέτρων που έλαβε για να ανταποκριθεί στο αίτημα. Die Aufsichtsbehörde zu dem der Antrag der Gründe für die Verweigerung zu erklären, ein Ersuchen nach Absatz nachzukommen 4.
6. Die Aufsichtsbehörden einen Antrag Bereitstellung, in der Regel, die Informationen, die von anderen Aufsichtsbehörden auf elektronischen Weg aufgefordert, χρησιμοποιώντας τυποποιημένο μορφότυπο.
7. Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα δεν επιβάλλουν τέλος για οποιαδήποτε ενέργεια στην οποία προέβησαν σε συνέχεια αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.
8. Εάν μια εποπτική αρχή δεν παράσχει τις αναφερόμενες στην παράγραφο 5 του παρόντος άρθρου πληροφορίες εντός μηνός από την παραλαβή του αιτήματος άλλης εποπτικής αρχής, η εποπτική αρχή που υπέβαλε το αίτημα δύναται να θεσπίσει προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 55 Absatz 1. In diesem Fall, Es besteht ein dringender Handlungsbedarf gemäß Artikel 66 Absatz 1 und eine dringende verbindliche Entscheidung des Datenschutzrates ist erforderlich, Nach dem Artikel 66 Absatz 2.
9. Die Kommission kann, durch Exekutivakte, να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ ελεγκτικών αρχών και μεταξύ ελεγκτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6 dieser Artikel. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 Absatz 2.
Artikel 62
Κοινές επιχειρήσεις αρχών ελέγχου
1. Οι εποπτικές αρχές πραγματοποιούν, όταν χρειάζεται, κοινές επιχειρήσεις, μεταξύ άλλων και κοινές έρευνες και κοινά μέτρα επιβολής, στα οποία συμμετέχουν μέλη ή υπάλληλοι από εποπτικές αρχές άλλων κρατών μελών.
4.5.2016 Amtsblatt der Europäischen Union L 119/73
DAS
2. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες σημαντικός αριθμός υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη ενδέχεται να επηρεάζονται σημαντικά από πράξεις επεξεργασίας, Eine Aufsichtsbehörde aus jedem dieser Mitgliedstaaten ist berechtigt, an den Joint Ventures teilzunehmen. Die nach Artikel zuständige Aufsichtsbehörde 56 Absatz 1 oder 4, καλεί τις εποπτικές αρχές εκάστου εκ των εν λόγω κρατών μελών να λάβουν μέρος στις κοινές επιχειρήσεις και απαντά αμελλητί στο αίτημα εποπτικής αρχής για συμμετοχή.
3. Η εποπτική αρχή μπορεί, σε συμφωνία με το δίκαιο του κράτους μέλους και με την έγκριση της εποπτικής αρχής απόσπασης, να απονέμει εξουσίες, περιλαμβανομένων εξουσιών έρευνας, an die an gemeinsamen Unternehmen beteiligten Mitglieder oder Mitarbeiter der Postaufsichtsbehörde oder, wenn das Recht des Mitgliedstaats der Aufnahmeaufsichtsbehörde dies zulässt, Erlauben Sie Mitgliedern oder Beamten der Postaufsichtsbehörde, ihre Ermittlungsbefugnisse gemäß dem Recht des Mitgliedstaats der Postaufsichtsbehörde auszuüben. Diese Ermittlungsbefugnisse dürfen nur unter Anleitung und Anwesenheit von Mitgliedern oder Beamten der aufnehmenden Aufsichtsbehörde ausgeübt werden.. Mitglieder oder Mitarbeiter der Aufsichtsbehörde Entsendung unterliegt das Recht des Mitgliedstaates des Host-Supervisor.
4. wenn, gemäß Absatz 1, Das Personal der Postaufsichtsbehörde ist in einem anderen Mitgliedstaat tätig, Der Mitgliedstaat der Aufnahmeaufsichtsbehörde übernimmt die Verantwortung für ihre Handlungen, einschließlich, dass über jeden während der Aktivitäten verursachten Schadens dort, nach dem Mitgliedstaat, in dessen Gebiet die Handlung.
5. Το κράτος μέλος στο έδαφος του οποίου προκαλείται η ζημία την αποκαθιστά υπό τους όρους που ισχύουν για τις ζημίες που προκαλεί το προσωπικό του. Der Mitgliedstaat der Aufsichtsbehörde veröffentlichen, deren Mitarbeiter haben Schäden an Personen im Gebiet eines anderen Mitgliedstaat zurückkehrt verursacht diesen anderen Mitgliedstaat alle an den Begünstigten gezahlten Beträge.
6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und in’ Abweichend von Absatz 5, jeder Mitgliedstaat verzichten, im Falle des Absatzes 1, die Fähigkeit, einen anderen Mitgliedstaat Schadenersatz zu verlangen, gemäß Absatz zu 4.
7. Wenn das Joint Venture durchgeführt werden soll, und eine Aufsichtsbehörde entspricht nicht innerhalb eines Monats mit der Verpflichtung, im zweiten Satz des Absatzes festgelegten 2 dieser Artikel, andere Aufsichtsbehörden eine vorläufige Maßnahme auf dem Gebiet des Mitgliedstaats, die gemäß Artikel fallen adoptieren 55. In diesem Fall, Es besteht ein dringender Handlungsbedarf gemäß Artikel 66 Absatz 1 und erforderliche dringende Stellungnahme oder eine verbindliche Entscheidung des Datenschutzrates gemäß Artikel 66 Absatz 2.
Abschnitt 2
Hartnäckigkeit
Artikel 63
Konsistenz Mechanismus
Um einen Beitrag zur kohärenten Anwendung dieser Verordnung in der gesamten Union, Aufsichtsbehörden zusammenarbeiten und, notfalls, die Kommission, durch die Kohärenzverfahren wie in diesem Abschnitt zur Verfügung gestellt.
Artikel 64
Stellungnahme des Rates
1. Το Συμβούλιο εκδίδει γνώμη όποτε μια αρμόδια εποπτική αρχή προτίθεται να θεσπίσει οποιοδήποτε από τα κατωτέρω μέτρα. Zu diesem Zweck, η αρμόδια εποπτική αρχή ανακοινώνει το σχέδιο απόφασης στο Συμβούλιο, wann:
- ein) zielt darauf ab, eine Liste von Verarbeitungsvorgängen zu genehmigen, für die eine Folgenabschätzung zum Datenschutz gemäß Artikel erforderlich ist 35 Absatz 4,
- b) betrifft ein Problem gemäß Artikel 40 Absatz 7 ob ein Entwurf eines Verhaltenskodex oder eine Änderung oder Erweiterung eines Verhaltenskodex dieser Verordnung entspricht,
L 119/74 c)
d)
e) f)
Amtsblatt der Europäischen Union 4.5.2016
Es sucht die Zustimmung der Einheit Zulassungskriterien gemäß Artikel 41 Absatz 3 oder Zertifizierungsstelle gemäß Artikel 43 Absatz 3,
αποσκοπεί στον καθορισμό των τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 46 Absatz 2 στοιχείο δ) και στο άρθρο 28 Absatz 8,
αποσκοπεί στην έγκριση συμβατικών ρητρών του άρθρου 46 Absatz 3 στοιχείο α) oder soll verbindliche Unternehmensregeln im Sinne des Artikels erlassen 47.
DAS
2.
οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορ φώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62.
3. Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 und 2, το Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη σχετικά με το αντικείμενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώμη επί του ίδιου θέματος. Η γνώμη αυτή εκδίδεται εντός προθεσμίας οκτώ εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Η προθεσμία αυτή μπορεί να παραταθεί κατά έξι ακόμα εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα του θέματος. Όσον αφορά το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 και κοινοποιείται στα μέλη του Διοικητικού Συμβουλίου σύμφωνα με την παράγραφο 5, Ein Mitglied, das nicht innerhalb einer vom Vorsitzenden festgelegten angemessenen Frist Einwände erhoben hat, stimmt dem Entscheidungsentwurf zu.
4. Die Aufsichtsbehörden und die Kommission, χωρίς αδικαιολόγητη καθυστέρηση, ανακοινώνουν ηλεκτρονικά, χρησιμοποιώντας τυποποιημένο μορφότυπο, στο Συμβούλιο Προστασίας Δεδομένων κάθε σχετική πληροφορία, συμπεριλαμβανομένων, angemessen, της σύνοψης των πραγματικών περιστατικών, του σχεδίου απόφασης, die Gründe, warum die Anwendung dieser Maßnahme erforderlich ist, und die Ansichten anderer betroffener Aufsichtsbehörden.
5. ein)
b)
Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ενημερώνει αμελλητί με ηλεκτρονικό τρόπο:
τα μέλη του Συμβουλίου Προστασίας Δεδομένων και την Επιτροπή για κάθε σχετική πληροφορία που του έχει ανακοινωθεί, χρησιμοποιώντας τυποποιημένο μορφότυπο. Η γραμματεία του Συμβουλίου Προστασίας Δεδομένων παρέχει μεταφράσεις των σχετικών πληροφοριών, notfalls, und
την εποπτική αρχή που αναφέρεται, angemessen, στις παραγράφους 1 und 2, καθώς και την Επιτροπή ως προς τη γνώμη, και τη δημοσιοποιεί.
Κάθε εποπτική αρχή, ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ή η Επιτροπή μπορεί να ζητήσει την εξέταση
6.
αναφέρεται στην παράγραφο 3.
Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσμίας που
7. Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαμβάνει ιδιαιτέρως υπόψη τη γνώμη του Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων με ηλεκτρονικά μέσα κατά πόσο θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασης και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο απόφασης, χρησιμοποιώντας τυποποιημένο μορφότυπο.
8. Όταν η ενδιαφερόμενη εποπτική αρχή ενημερώνει τον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων, εντός της προθεσμίας που αναφέρεται στην παράγραφο 7 dieser Artikel, ότι δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων, στο σύνολό της ή εν μέρει, παρέχοντας τη σχετική αιτιολογία, εφαρμόζεται το άρθρο 65 Absatz 1.
Artikel 65
Streitbeilegung durch den Datenschutzrat
1. Um die korrekte und kohärente Anwendung dieser Verordnung im Einzelfall zu gewährleisten, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:
ein) wann, στην περίπτωση που αναφέρεται στο άρθρο 60 Absatz 4, die Aufsichtsbehörde eine relevante und begründete Einwand gegen den Entwurf eines Beschluss des Hauptprinzips oder Chef Behörde hat besorgt hat diese Rüge als irrelevant oder mit Gründen versehenen. Die verbindliche Entscheidung über alle Angelegenheiten, die Gegenstand der mit Gründen versehenen Einwände sind, vor allem, wenn es ein Verstoß gegen diese Verordnung,
4.5.2016 b)
c)
Amtsblatt der Europäischen Union L 119/75
wenn es widersprüchliche Ansichten darüber gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung verantwortlich ist,
εάν μια αρμόδια εποπτική αρχή δεν ζητήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 64 Absatz 1 ή δεν ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων που εκδίδεται δυνάμει του άρθρου 64. In diesem Fall, jede betroffene Aufsichtsbehörde oder die Kommission kann die Angelegenheit an die Datenschutzbehörde kommunizieren.
DAS
2.
zwei Drittel der Datenschutzbehörde. Η συγκεκριμένη προθεσμία μπορεί να παραταθεί κατά έναν ακόμα μήνα, λόγω της πολυπλοκότητας του αντικειμένου. Der in Absatz genannte 1 απόφαση είναι αιτιολογημένη και απευθύνεται στην επικεφαλής εποπτική αρχή και όλες τις ενδιαφερόμενες εποπτικές αρχές και είναι δεσμευτική για αυτές.
3. Όταν το Συμβούλιο Προστασίας Δεδομένων δεν είναι σε θέση να λάβει απόφαση εντός της προθεσμίας που αναφέρεται στην παράγραφο 2, Erlass seiner Entscheidung innerhalb von zwei Wochen nach Ende des zweiten Absatzes gemäß Absatz 2 mit einfacher Mehrheit der Mitglieder des Datenschutzrates. Όταν τα μέλη του Συμβουλίου Προστασίας Δεδομένων δεν συμφωνούν, η απόφαση αυτή εκδίδεται με την ψήφο του Προέδρου του.
4. Οι ενδιαφερόμενες εποπτικές αρχές δεν εκδίδουν απόφαση σχετικά με το θέμα που υποβάλλεται στο Συμβούλιο Προστασίας Δεδομένων βάσει της παραγράφου 1 κατά τη διάρκεια των προθεσμιών που αναφέρονται στις παραγράφους 2 und 3.
5. Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, την απόφαση που αναφέρεται στην παράγραφο 1 προς τις ενδιαφερόμενες εποπτικές αρχές. Ενημερώνει σχετικά την Επιτροπή. Η απόφαση δημοσιεύεται χωρίς καθυστέρηση στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων, αφού η εποπτική αρχή κοινοποιήσει την τελική απόφαση που αναφέρεται στην παράγραφο 6.
6. Η επικεφαλής εποπτική αρχή ή, angemessen, η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία λαμβάνει την τελική της απόφαση επί τη βάσει της απόφασης που αναφέρεται στην παράγραφο 1 dieser Artikel, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο ένα μήνα αφού το Συμβούλιο Προστασίας Δεδομένων έχει κοινοποιήσει την απόφασή του. Η επικεφαλής εποπτική αρχή ή, angemessen, η εποπτική αρχή στην οποία υποβλήθηκε η καταγγελία ενημερώνει το Συμβούλιο Προστασίας Δεδομένων για την ημερομηνία κατά την οποία η τελική της απόφαση κοινοποιείται στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και στο υποκείμενο των δεδομένων αντίστοιχα. Η τελική απόφαση των ενδιαφερόμενων εποπτικών αρχών λαμβάνεται σύμφωνα με τους όρους του άρθρου 60 Absätze 7, 8 und 9. Η τελική απόφαση παραπέμπει στην απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου και διευκρινίζει ότι η απόφαση που αναφέρεται στην εν λόγω παράγραφο θα δημοσιευθεί στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων σύμφωνα με την παράγραφο 5 dieser Artikel. Στην τελική απόφαση επισυνάπτεται η απόφαση που αναφέρεται στην παράγραφο 1 dieser Artikel.
Artikel 66
Επείγουσα διαδικασία
1. Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται, κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας των άρθρων 63, 64 und 65 ή τη διαδικασία του άρθρου 60, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες. Η εποπτική αρχή ανακοινώνει αμελλητί τα εν λόγω μέτρα, καθώς και την αιτιολόγηση για τη θέσπισή τους, στις υπόλοιπες ενδιαφερόμενες εποπτικές αρχές, στο Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.
2. Εάν εποπτική αρχή έχει λάβει μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι απαιτούνται επειγόντως οριστικά μέτρα, kann beim Datenschutzrat eine dringende Stellungnahme oder eine dringende verbindliche Entscheidung anfordern, Begründung des entsprechenden Antrags auf Stellungnahme oder Entscheidung.
3. Κάθε εποπτική αρχή μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή δεσμευτικής απόφασης, angemessen, από το Συμβούλιο Προστασίας Δεδομένων, wenn die entsprechenden Maßnahmen durch eine zuständige Aufsichtsbehörde in dem Fall, dass dringend Maßnahmen erforderlich, um die Rechte und Freiheiten der betroffenen Personen zu schützen, werden nicht getroffen, Begründung des entsprechenden Antrags auf Stellungnahme oder Entscheidung, μεταξύ άλλων και την επείγουσα ανάγκη λήψης μέτρων.
4. Κατά παρέκκλιση από το άρθρο 64 Absatz 3 und Artikel 65 Absatz 2, η επείγουσα γνώμη ή η επείγουσα δεσμευτική απόφαση κατά τις παραγράφους 2 und 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων.
Η απόφαση που αναφέρεται στην παράγραφο 1 εκδίδεται εντός μηνός από την παραπομπή του θέματος με πλειοψηφία
L 119/76 Amtsblatt der Europäischen Union 4.5.2016
DAS
Artikel 67
Ανταλλαγή πληροφοριών
Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις γενικής εμβέλειας προκειμένου να προσδιορίζει τις ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως τον τυποποιημένο μορφότυπο που αναφέρεται στο άρθρο 64.
Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 Absatz 2. Abschnitt 3
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
Artikel 68
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
1. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ("Data Protection Board") συστήνεται ως όργανο της Ένωσης και διαθέτει νομική προσωπικότητα.
- Το Συμβούλιο Προστασίας Δεδομένων εκπροσωπείται από τον Πρόεδρό του.
- Der Datenschutzrat setzt sich aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und zusammen
από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους.
4. Εάν σε ένα κράτος μέλος υπάρχουν περισσότερες εποπτικές αρχές επιφορτισμένες με την παρακολούθηση της εφαρμογής των διατάξεων βάσει του παρόντος κανονισμού, Ein gemeinsamer Vertreter wird nach dem Recht dieses Mitgliedstaats ernannt.
5. Η Επιτροπή δικαιούται να συμμετέχει χωρίς δικαίωμα ψήφου στις δραστηριότητες και στις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων. Η Επιτροπή ορίζει τον εκπρόσωπό της. Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ανακοινώνει στην Επιτροπή τις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων.
6. Στις περιπτώσεις που αναφέρονται στο άρθρο 65, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει δικαίωμα ψήφου μόνο στις αποφάσεις που αφορούν τις αρχές και τους κανόνες που ισχύουν στα θεσμικά όργανα της Ένωσης, στους φορείς, στις υπηρεσίες και στους οργανισμούς που αντιστοιχούν κατ’ ουσίαν προς εκείνους του παρόντος κανονισμού.
Artikel 69
Unabhängigkeit
1. Το Συμβούλιο Προστασίας Δεδομένων ενεργεί ανεξάρτητα κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του δυνάμει των άρθρων 70 und 71.
2. Με την επιφύλαξη των αιτημάτων της Επιτροπής σύμφωνα με το άρθρο 70 Absatz 1 b) und Artikel 70 Absatz 2, το Συμβούλιο Προστασίας Δεδομένων δεν ζητεί ούτε λαμβάνει οδηγίες από οποιονδήποτε κατά την εκτέλεση των καθηκόντων του ή την άσκηση των εξουσιών του.
Artikel 70
Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων
1. Το Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Zu diesem Zweck, der Datenschutzrat, auf eigene Initiative oder, gegebenenfalls, Antrag der Kommission, insbesondere:
ein) die ordnungsgemäße Durchführung dieser Verordnung in den Fällen, die in den Artikeln überwachen und sicherzustellen, 64 und 65, unbeschadet der Aufgaben der nationalen Aufsichtsbehörden,
4.5.2016 Amtsblatt der Europäischen Union L 119/77
DAS
- b) die Kommission bei jedem auf den Schutz personenbezogener Daten in der Union über Materie, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού,
- c) συμβουλεύει την Επιτροπή σχετικά με τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες,
- d) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στο άρθρο 17 Absatz 2,
- e) εξετάζει, με δική του πρωτοβουλία, auf Antrag eines seiner Mitglieder oder auf Antrag der Kommission, alle mit der Durchführung dieser Verordnung und die Behörde Leitlinien in Bezug, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού,
f) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση προφίλ δυνάμει του άρθρου 22 Absatz 2,
- g) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου σχετικά με τη διαπίστωση των παραβίασεων των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στο άρθρο 33 Absätze 1 und 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υποχρεούται να κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα,
- die) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34 Absatz 1,
- ich) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που βασίζονται σε δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και των περαιτέρω αναγκαίων απαιτήσεων, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47,
- ια) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) dieses Absatzes zum Zwecke der weiteren Definition der Kriterien und Anforderungen für die Übermittlung personenbezogener Daten gemäß Artikel 49 Absatz 1,
- ιβ) Ausarbeitung von Leitlinien für die Aufsichtsbehörden zur Durchführung der in Artikel 1 genannten Maßnahmen 58 Absätze 1, 2 und 3 und die Verhängung von Geldbußen nach Artikel 83,
- ιγ) untersucht die praktische Anwendung der Richtlinien, die Empfehlungen und bewährten Verfahren gemäß Punkt e) und St.),
- n) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για την εκπόνηση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού βάσει του άρθρου 54 Absatz 2,
- ιε) Fördert die Entwicklung von Verhaltenskodizes und die Einrichtung von Datenschutzzertifizierungsmechanismen sowie Datenschutzsiegeln und -marken gemäß den Artikeln 40 und 42,
ιστ) führt die Akkreditierung von Zertifizierungsstellen und regelmäßige Überprüfung nach Artikel 43 und halten ein öffentliches Register der akkreditierten Stellen gemäß Artikel 43 Absatz 6 und akkreditierte Kontrolleure oder Verarbeiter, die gemäß Artikel in Drittländern niedergelassen sind 42 Absatz 7,
- ιζ) προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 Absatz 3 προκειμένου για τη διαπίστευση των φορέων πιστοποίησης σύμφωνα με το άρθρο 42,
- ιη) γνωμοδοτεί στην Επιτροπή σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθροου 43 Absatz 8,
- ιθ) γνωμοδοτεί στην Επιτροπή σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 Absatz 7,
κ) παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσο μια τρίτη χώρα, Ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation gewährleisten kein angemessenes Schutzniveau mehr. Zu diesem Zweck, η Επιτροπή παρέχει στο Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, in Bezug auf dieses Drittland, das Gebiet oder den spezifischen Sektor oder die internationale Organisation,
L 119/78 κα)
κβ)
κγ)
κδ)
κε)
κστ)
Amtsblatt der Europäischen Union 4.5.2016
Stellungnahmen zu Entscheidungsentwürfen der Aufsichtsbehörden im Rahmen des in Artikel 1 genannten Kohärenzmechanismus abzugeben 64 Absatz 1 und für Fragen, die gemäß Artikel eingereicht wurden 64 Absatz 2 und erlässt verbindliche Entscheidungen nach Artikel 65, auch in den in Artikel genannten Fällen 66,
fördert die Zusammenarbeit und einen effizienten bi- und multilateralen Austausch von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden,
Förderung gemeinsame Ausbildungsprogramme und erleichtern den Austausch von Personal zwischen den Aufsichtsbehörden und, gegebenenfalls, mit den Aufsichtsbehörden von Drittländern oder internationalen Organisationen,
προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων ανά τον κόσμο,
γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 Absatz 9 und
unterhält in der Konsistenz Mechanismus ein öffentlich zugängliches elektronisches Register der von den Aufsichtsbehörden und Gerichten zu Fragen getroffenen Entscheidungen diskutiert.
DAS
2.
unter Berücksichtigung der Dringlichkeit der Angelegenheit.
Wenn die Kommission sucht den Rat des Datenschutzrates, kann melden indikative Frist,
3. Die Datenschutzbehörde übermittelt seine Stellungnahmen übermittelt, Richtlinien, Empfehlungen und am besten von der Kommission erteilten Praktiken und zum Artikel 93 und publicize.
4. Gegebenenfalls falls~~POS=HEADCOMP, der Datenschutzrat konsultiert die Interessengruppen und gibt ihnen die Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist. Die Datenschutzbehörde, unbeschadet des Artikels 76, kommunizieren die Ergebnisse der Konsultation.
Artikel 71
Ausstellungen
1. Die Datenschutzbehörde erstellt jährlich einen Bericht über den Schutz von Personen bei der Verarbeitung Union vorzubereiten und, gegebenenfalls, in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und das Europäische Parlament, der Rat und die Kommission.
2. Der Jahresbericht wird Berücksichtigung der praktischen Anwendung der Leitlinien umfassen, Empfehlungen und Best Practices gemäß Artikel 70 Absatz 1 Punkt L), und verbindliche Entscheidungen im Sinne des Artikels 65.
Artikel 72
Prozess
1. Der Datenschutzausschuss beschließt mit einfacher Mehrheit seiner Mitglieder beschließen, sofern nicht anders in dieser Verordnung festgelegte.
2. Die Datenschutzbehörde legt seine Geschäftsordnung mit einer Mehrheit von zwei Dritteln seiner Mitglieder und organisiert die geltenden Betriebsvorschriften erlassen.
Artikel 73
Präsident
1. Der Datenschutzausschuss besteht aus einem Vorsitzenden und zwei Stellvertreter aus den Reihen seiner Mitglieder mit einfacher Mehrheit wählen.
2. Die Amtszeit des Präsidenten und Vizepräsidenten beträgt fünf Jahre und kann verlängert werden, wenn.
4.5.2016
Amtsblatt der Europäischen Union L 119/79
DAS
1. ein) b)
c)
Artikel 74
Aufgaben des Präsidenten
Die Aufgaben des Präsidenten sind die folgenden:
Einberufung einer Sitzung des Schutzrat Daten und bereitet die Tagesordnung,
benachrichtigen die von der Datenschutzbehörde gemäß Artikel ausgegeben Entscheidungen 65 der Hauptverantwortliche und die Aufsichtsbehörden,
διασφαλίζει την έγκαιρη εκτέλεση των καθηκόντων του Συμβουλίου Προστασίας Δεδομένων, ιδίως σε σχέση με τον μηχανισμό συνεκτικότητας του άρθρου 63.
2.
Προέδρου και των αναπληρωτών προέδρων.
Der Datenschutz Rat legt die Regeln für die Zuteilung der Aufgaben zwischen der Bestimmung
Artikel 75
Sekretariat
1. Die Datenschutzbehörde wird von einem Sekretariat unterstützt, η οποία παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
2. Η γραμματεία ασκεί τα καθήκοντά της αποκλειστικά βάσει των εντολών του Προέδρου του Συμβουλίου Προστασίας Δεδομένων.
3. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού υπόκειται σε χωριστές ιεραρχικές βαθμίδες από το προσωπικό το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στον Ευρωπαϊκό Επόπτη Προστασίας Δεδομένων.
4. Κατά περίπτωση, το Συμβούλιο Προστασίας Δεδομένων και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζουν και δημοσιεύουν υπόμνημα συνεργασίας για την εφαρμογή του παρόντος άρθρου, με το οποίο καθορίζονται οι όροι συνεργασίας τους και το οποίο εφαρμόζεται στο προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην άσκηση
von
5.
6. ein) b) c) d) e) f) g)
καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού.
Η γραμματεία παρέχει αναλυτική, administrative und logistische Unterstützung für die Data Protection Board.
Das Sekretariat ist insbesondere zuständig für die folgenden:
die täglichen Aufgaben des Datenschutzrates,
Kommunikation zwischen dem Datenschutzausschuss, und der Präsident der Kommission,
Kommunikation mit anderen Institutionen und der Öffentlichkeit,
unter Verwendung elektronischer Mittel für die interne und externe Kommunikation,
die Übersetzung von relevanten Informationen,
την προετοιμασία και τη συνέχεια που δίνεται στις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων,
την προετοιμασία, σύνταξη και δημοσίευση γνωμών, αποφάσεων σχετικά με την επίλυση διαφορών μεταξύ εποπτικών αρχών και άλλων κειμένων που εκδίδει το Συμβούλιο Προστασίας Δεδομένων.
Artikel 76
Εμπιστευτικότητα
1.
Δεδομένων το κρίνει αναγκαίο, όπως προβλέπεται στον εσωτερικό κανονισμό του.
Οι εργασίες του Συμβουλίου Προστασίας Δεδομένων οφείλουν να είναι εμπιστευτικές εφόσον το Συμβούλιο Προστασίας
L 119/80 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Η πρόσβαση στα έγγραφα που υποβάλλονται σε μέλη του Συμβουλίου Προστασίας Δεδομένων, εμπειρογνώμονες και εκπροσώπους τρίτων διέπεται από τον κανονισμό (EG) keine. 1049/2001 Europäisches Parlament und Rat (1).
ΚΕΦΑΛΑΙΟ VIII
Προσφυγές, ευθύνη και κυρώσεις
Artikel 77
Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, insbesondere in dem Mitgliedstaat, in dem er seinen gewöhnlichen Wohnsitz oder Arbeitsort hat, oder am Ort der mutmaßlichen Zuwiderhandlung, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.
2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, sowie die Möglichkeit rechtlicher Schritte gemäß Artikel 78.
Artikel 78
Recht auf einen wirksamen Rechtsbehelf gegen eine Prüfungsbehörde
1. Unbeschadet sonstiger administrativer oder nicht administrativer Maßnahmen, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
2. Unbeschadet sonstiger administrativer oder nicht administrativer Maßnahmen, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 und 56 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77.
3. Οι διαδικασίες κατά εποπτικής αρχής κινούνται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατε στημένη η εποπτική αρχή.
4. Όταν κινούνται διαδικασίες κατά απόφασης εποπτικής αρχής, της οποίας προηγήθηκε γνώμη ή απόφαση του Συμβουλίου Προστασίας Δεδομένων στο πλαίσιο του μηχανισμού συνεκτικότητας, η εποπτική αρχή διαβιβάζει στο δικαστήριο τη συγκεκριμένη γνώμη ή απόφαση.
Artikel 79
Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία
1. Unbeschadet etwaiger administrativer oder außergerichtlicher Maßnahmen, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde gemäß Artikel einzureichen 77, Jede betroffene Person hat Anspruch auf einen wirksamen Rechtsbehelf, wenn sie der Ansicht ist, dass ihre Rechte aus dieser Verordnung infolge der Verarbeitung ihrer personenbezogenen Daten, die sie betreffen, unter Verstoß gegen diese Verordnung verletzt wurden..
2. Die Prozesssteuerung oder Prozessor bewegt sich vor den Gerichten des Mitgliedstaats, in dem der Controller oder der Prozessor installiert sind. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.
(1) Regulierung (EG) keine. 1049/2001 Europäisches Parlament und Rat, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ABl L 145 von 31.5.2001, p. 43).
4.5.2016 Amtsblatt der Europäischen Union L 119/81
DAS
Artikel 80
Εκπροσώπηση υποκειμένων των δεδομένων
1. Die betroffene Person hat das Recht, einer gemeinnützigen Organisation zuzuweisen, eine Organisation oder Vereinigung, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet wurde, hat gesetzliche Zwecke, die von allgemeinem Interesse sind und im Bereich des Schutzes der Rechte und Freiheiten der betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind, um die Beschwerde in ihrem Namen einzureichen und die in den Artikeln genannten Rechte auszuüben 77, 78 und 79 in seinem Namen und zur Ausübung des in Artikel genannten Anspruchs auf Entschädigung 82 in seinem Namen, im Recht des Mitgliedstaats vorgesehen.
2. Die Mitgliedstaaten können vorsehen, dass jede Stelle, Organisation oder Verein gemäß Absatz 1 dieses Artikels hat das Recht, unabhängig von einer Belegung der betroffenen Person, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 und 79, wenn sie die Auffassung, dass die Rechte der betroffenen Personen im Rahmen dieser Verordnung als Folge der Verarbeitung verletzt.
Artikel 81
Aussetzung von Verfahren
1. Wenn ein zuständiges Gericht eines Mitgliedstaates Hinweise, dass es Prozesse auf dem gleiche Thema auf derselben durch einen Controller oder Prozessor verarbeitet in einem anderen Mitgliedstaat Gericht anhängig, επικοινωνεί με το αρμόδιο δικαστήριο αυτού του άλλου κράτους μέλους για να επιβεβαιώσει την ύπαρξη τέτοιων διαδικασιών.
2. Wenn bei einem Gericht eines anderen Mitgliedstaats ein Verfahren in Bezug auf denselben Gegenstand in Bezug auf die Verarbeitung durch denselben für die Verarbeitung Verantwortlichen oder den Verarbeiter anhängig ist, Jedes andere zuständige Gericht als das zuerst beschlagnahmte kann das Verfahren aussetzen.
3. Wenn ein solches Verfahren in erster Instanz anhängig ist, Jedes andere Gericht als das zuerst beschlagnahmte kann dies ebenfalls, auf Antrag einer der Parteien, sich für inkompetent erklären, αν το πρώτο επιληφθέν δικαστήριο είναι αρμόδιο για τις εν λόγω προσφυγές και το δίκαιό του επιτρέπει τη συνεκδίκασή τους.
Artikel 82
Δικαίωμα αποζημίωσης και ευθύνη
1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.
3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, wenn das beweist für die Veranstaltung, die zu dem Schaden nicht verantwortlich.
4. Wenn mehrere Steuerungen oder Prozessoren oder beide der Controller und der Prozessor im gleichen Prozess beteiligt und, εάν δυνάμει των παραγράφων 2 und 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, eine wirksame Kompensation der betroffenen Person, um sicherzustellen,.
5. Wenn der Controller oder der Prozessor hat sich ausgezahlt, gemäß Absatz 4, volle Entschädigung für den verursachten Schaden, ο εν λόγω υπεύθυνος ή εκτελών την επεξεργασία δικαιούται να ζητήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους λόγω της ζημίας που προκλήθηκε σύμφωνα με τις προϋποθέσεις της παραγράφου 2.
L 119/82 Amtsblatt der Europäischen Union 4.5.2016
DAS
6. Gerichtsverfahren für das Recht auf Entschädigung vor den zuständigen Gerichten nach dem Recht des Mitgliedstaates gebracht Ausübung gemäß Artikeln 79 Absatz 2.
Artikel 83
Γενικοί όροι επιβολής διοικητικών προστίμων
1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 und 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.
2. Τα διοικητικά πρόστιμα, je nach den Umständen des Einzelfalls, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 Absatz 2 Beweise ein) έως η) και στο άρθρο 58 Absatz 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, unter Berücksichtigung der folgenden:
- ein) die Natur, die Schwere und Dauer des Verstoßes, unter Berücksichtigung der Natur, Rahmen oder Zweck der betreffenden Verarbeitungs, und die Anzahl der betroffenen Personen erhöht durch die Tat und der Grad der Schädigung erlitten,
- b) der Fehler oder Fahrlässigkeit die Verletzung,
- c) alle Aktionen durch die Steuerung oder den Prozessor getroffen, um die Verluste durch die betroffenen Personen erlitten zu mildern,
- d) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 und 32,
- e) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
f) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
- g) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
- die) die Art und Weise, in der die Aufsichtsbehörde über die Zuwiderhandlung informiert wurde, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
- ich) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 Absatz 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
- ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 und
ια) jeder andere erschwerende oder mildernde Faktor, der sich aus den Umständen des Einzelfalls ergibt, wie die erzielten finanziellen Vorteile oder die vermiedenen Verluste, direkt oder indirekt, από την παράβαση.
3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, gemäß Absatz 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:
ein) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 bis 39 und 42 und 43,
b) οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 und 43,
c) οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 Absatz 4.
4.5.2016 Amtsblatt der Europäischen Union L 119/83
DAS
5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, gemäß Absatz 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:
- ein) οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 und 9,
- b) die Rechte der betroffenen Personen nach Artikeln 12 bis 22,
- c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß Artikel 44 bis 49,
- d) alle Verpflichtungen nach dem Recht des Mitgliedstaates erlassen Kapitel IX gemäß §,
- e) μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 Absatz 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 Absatz 1.
6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 Absatz 2 επισύρει, gemäß Absatz 2 dieser Artikel, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 Absatz 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.
8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, einen effektiven gerichtlichen Rechtsschutz einschließlich und die Einhaltung des rechtlichen Gehörs.
9. Wenn das Rechtssystem des Mitgliedstaates nicht vorgesehen Bußgeld, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, Gleichzeitig wird sichergestellt, dass diese Abhilfemaßnahmen wirksam sind und den von den Aufsichtsbehörden verhängten Verwaltungsstrafen gleichwertig sind. Εν πάση περιπτώσει, Die verhängten Geldbußen sind wirksam, αναλογικά και αποτρεπτικά. Diese Mitgliedstaaten teilen der Kommission die Bestimmungen ihrer Gesetze mit, die sie gemäß diesem Absatz erlassen, zu 25 Mai 2018 und, unverzüglich, κάθε επακολουθούντα τροποποιητικό νόμο ή τροποποίησή τους.
Artikel 84
Κυρώσεις
1. Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Diese Sanktionen sind wirksam, verhältnismäßig und abschreckend.
2. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.
KAPITEL IX
Bestimmungen zu besonderen Bearbeitungsfällen
Artikel 85
Verarbeitung und Meinungs- und Informationsfreiheit
1. Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.
L 119/84 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen), Kapitel VI (unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Sonderfälle der Datenverarbeitung), wenn sie notwendig sind, um das Recht auf Schutz personenbezogener Daten mit der Meinungs- und Informationsfreiheit in Einklang zu bringen.
3. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 2 und, unverzüglich, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.
Artikel 86
Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα
Die personenbezogenen Daten zu offiziellen Dokumenten, die von einer Behörde oder einem öffentlichen oder privaten Einrichtung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse ausgeführt werden können von dieser Behörde oder Stelle nach dem Unionsrecht oder jeden Mitgliedstaat regiert serviert Behörde oder Stelle, an kompatible den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten im Rahmen dieser Verordnung.
Artikel 87
Επεξεργασία του εθνικού αριθμού ταυτότητας
Τα κράτη μέλη μπορούν να καθορίζουν περαιτέρω τις ειδικές προϋποθέσεις για την επεξεργασία εθνικού αριθμού ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής. In diesem Fall, ο εθνικός αριθμός ταυτότητας ή οποιοδήποτε άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής χρησιμοποιείται μόνο με τις δέουσες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού.
Artikel 88
Επεξεργασία στο πλαίσιο της απασχόλησης
1. Die Mitgliedstaaten, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, Erfüllung des Arbeitsvertrags, einschließlich der Erfüllung der Verpflichtungen aus dem Gesetz oder aus Tarifverträgen, Management, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, Schutz des Eigentums von Arbeitgebern und Kunden sowie zum Zwecke der Ausübung und des Genusses, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.
2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.
3. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.
Artikel 89
Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς
1. Η επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειταισε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των
4.5.2016 Amtsblatt der Europäischen Union L 119/85
DAS
δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, Diese Zwecke sind erfüllt Katze’ αυτόν τον τρόπο.
2. Wenn personenbezogene Daten für wissenschaftliche oder historische Forschungszwecke oder zu statistischen Zwecken verarbeitet werden, Unionsrecht oder Mitgliedstaat kann von den Rechten abweichen, gemäß den Artikeln 15, 16, 18 und 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 dieser Artikel, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
3. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, Unionsrecht oder Mitgliedstaat kann von den Rechten abweichen, gemäß den Artikeln 15, 16, 18, 19, 20 und 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 dieser Artikel, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 und 3 εξυπηρετεί την ίδια στιγμή και άλλο σκοπό, οι παρεκκλίσεις εφαρμόζονται μόνο στην επεξεργασία για τους σκοπούς που προβλέπουν οι εν λόγω παράγραφοι.
Artikel 90
Υποχρεώσεις τήρησης απορρήτου
1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 Absatz 1 στοιχεία ε) und St.), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, durch das Recht der Union oder der Mitgliedstaaten oder Regeln, die von den zuständigen nationalen Stellen festgelegt, Geheimhaltungspflicht oder andere gleichwertige Verpflichtungen der Vertraulichkeit, falls erforderlich und verhältnismäßig, um das Recht auf Schutz personenbezogener Daten mit der Verpflichtung zur Geheimhaltung in Einklang zu bringen. Diese Regeln gelten nur für personenbezogene Daten, die der für die Verarbeitung Verantwortliche oder Verarbeiter im Rahmen einer von dieser Vertraulichkeitspflicht erfassten Tätigkeit erhalten oder erhalten hat..
2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.
Artikel 91
Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων
1. Εάν σε κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένους κανόνες οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονιστούν με τις διατάξεις του παρόντος κανονισμού.
2. Οι εκκλησίες και θρησκευτικές ενώσεις που εφαρμόζουν ολοκληρωμένους κανόνες σύμφωνα με την παράγραφο 1 dieses Artikels unterliegt der Kontrolle einer unabhängigen Aufsichtsbehörde, die spezifisch sein können, sofern sie die Anforderungen des Kapitels VI dieser Regelung.
ΚΕΦΑΛΑΙΟ X
Κατ’ delegierte Rechtsakte und Exekutivakte
Artikel 92
Ausübung der Ermächtigung
1. Die ausstellende Behörde Kat.-Nr.’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.
L 119/86 Amtsblatt der Europäischen Union 4.5.2016
DAS
2. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 Absatz 8 και στο άρθρο 43 Absatz 8 ανατίθεται στην Επιτροπή επ’ αόριστο από τις 24 Mai 2016.
3. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 Absatz 8 και στο άρθρο 43 Absatz 8 μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Geben Sie treten am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem späteren Zeitpunkt festgelegt darin. Es berührt nicht die Gültigkeit der bereits bestehenden in’ delegierte Rechtsakte.
4. Sobald es annimmt’ delegierten Rechtsakt, die Kommission sie gleichzeitig dem Europäischen Parlament und dem Rat.
5. Κατ’ delegierten Rechtsakt, der gemäß Artikel 12 Absatz 8 και του άρθρου 43 Absatz 8 τίθεται σε ισχύ μόνο εφόσον δεν έχει διατυπωθεί αντίρρηση ούτε από το Ευρωπαϊκό Κοινοβούλιο ούτε από το Συμβούλιο εντός τριών μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ή αν, προτού λήξει αυτή η προθεσμία, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η προθεσμία αυτή παρατείνεται κατά τρεις μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.
Artikel 93
Διαδικασία επιτροπής
1. Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (EU) keine. 182/2011.
- Όποτε γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 der Verordnung (EU) keine. 182/2011.
- Όποτε γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 der Verordnung (EU) keine. 182/2011, σε
συνδυασμό με το άρθρο 5.
ΚΕΦΑΛΑΙΟ XI
Τελικές διατάξεις
Artikel 94
Κατάργηση της οδηγίας 95/46/ΕΚ
- Η οδηγία 95/46/ΕΚ καταργείται από τις 25 Mai 2018.
- Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα
προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 Richtlinie 95/46 / EG, werden an den durch diese Verordnung eingerichteten Europäischen Datenschutzrat verwiesen.
Artikel 95
Verhältnis zur Richtlinie 2002/58 / EG
Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία όσον αφορά την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ.
4.5.2016 Amtsblatt der Europäischen Union L 119/87
DAS
Artikel 96
Σχέση με συμφωνίες που έχουν συναφθεί παλαιότερα
Διεθνείς συμφωνίες που περιλαμβάνουν τη μεταφορά δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τα κράτη μέλη πριν από τις 24 Mai 2016, και οι οποίες είναι συμβατές προς το εφαρμόσιμο πριν από την εν λόγω ημερομηνία ενωσιακό δίκαιο, εξακολουθούν να ισχύουν μέχρις ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
Artikel 97
Εκθέσεις της Επιτροπής
1. Έως τις 25 Mai 2020 και στη συνέχεια κάθε τέσσερα έτη, Die Kommission erstattet dem Europäischen Parlament und dem Rat Bericht über die Bewertung und Überarbeitung dieser Verordnung. Die Berichte werden veröffentlicht.
2. Im Rahmen der in Absatz 1 genannten Bewertungen und Überprüfungen 1, Die Kommission prüft, besondere, Anwendung und Betrieb:
ein) Kapitel V über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unter gebührender Berücksichtigung der gemäß Artikel getroffenen Entscheidungen 45 Absatz 3 dieser Verordnung und Entscheidungen gemäß Artikel 25 Absatz 6 Richtlinie 95/46 / EG,
b) Kapitel VII über Zusammenarbeit und Kohärenz.
- Im Sinne des Absatzes 1, η Επιτροπή μπορεί να ζητεί πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.
- Κατά τη διενέργεια των αξιολογήσεων και αναθεωρήσεων που αναφέρονται στις παραγράφους 1 und 2, η Επιτροπή
λαμβάνει υπόψη τις θέσεις και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων αρμόδιων φορέων ή πηγών.
5. Η Επιτροπή υποβάλλει, notfalls, geeignete Vorschläge zur Änderung dieser Verordnung, insbesondere unter Berücksichtigung Entwicklungen in der Informationstechnologie und im Lichte der Fortschritte in der Informationsgesellschaft.
Artikel 98
Andere Rechtsinstrumente der EU zum Datenschutz
Das Komitee, falls, υποβάλλει νομοθετικές προτάσεις για την τροποποίηση άλλων νομικών πράξεων της Ένωσης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, Um eine einheitliche und konsequente Schutz natürlicher Personen bei der Verarbeitung zu gewährleisten. Dies betrifft insbesondere die Regeln des auf den Schutz natürlicher Personen bei der Verarbeitung von den Organen, Einrichtungen, Ämtern und Agenturen der Union und den freien Verkehr dieser Daten über.
Artikel 99
Έναρξη ισχύος και εφαρμογή
1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2. Τίθεται σε εφαρμογή από τις 25 Mai 2018.
L 119/88
Amtsblatt der Europäischen Union
4.5.2016
DAS
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 27 Απριλίου 2016.
Για το Ευρωπαϊκό Κοινοβούλιο Ο Πρόεδρος
M. SCHULZ
Για το Συμβούλιο
Η Πρόεδρος
J.A. HENNIS-PLASSCHAERT