GDPR – Политика конфиденциальности

 

ПОЛОЖЕНИЕ

РЕГУЛИРОВАНИЕ (Евросоюз) 2016/679 ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ

27 апреля 2016

о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отменяющая Директивы 95/46 / EC (Общие Положение о конфиденциальности)

(Текст ЕЭЗ)

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОСОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза, и, в частности, статьи 16, Принимая во внимание предложение Комиссии,
После передачи проекта законодательного акта в национальных парламентах,
Принимая во внимание мнение Европейского экономического и социального комитета (1),
Принимая во внимание мнение Комитета (2),
Действуя в соответствии с обычной законодательной процедурой, (3),
в то время как:

  1. (1) Защита физических лиц в отношении обработки персональных данных является фундаментальным правом. статья 8 пункт 1 Хартия основных прав («Карта») и статьи 16 пункт 1 Договор о функционировании Европейского Союза (TFEU) гласит, что каждый имеет право на защиту персональных данных о нем.
  2. (2) Принципы и правила о защите физических лиц в отношении обработки их персональных данных должны, независимо от национальности и места жительства, уважение основных прав и свобод, в частности, их права на защиту персональных данных. Настоящее Положение направлено на содействие достижению свободы, безопасности и справедливости и экономического союза, экономический и социальный прогресс, укрепление и конвергенция экономик на внутреннем рынке и процветание лиц.
  3. (3) Директива 95/46 / ЕС Европейского парламента и Совета (4) Она стремится к гармонизации защиты основных прав и свобод физических лиц в отношении обработки деятельности и обеспечить свободное движение личных данных между государствами-членами.
  1. (1) EEC229tis31.7.2012, s.90.
  2. (2) EEC391tis18.12.2012, s.127.
  3. (3) Позиция парламента от 12 марта 2014 (еще не опубликовано в Официальном журнале) и позиция Совета

    в первом чтении 8 апреля 2016 (еще не опубликовано в Официальном журнале). Европейская позиция парламента

    14апреля 2016.

  4. (4) Директива 95/46 / EK Европейского Парламента и Совета, 24 октября 1995, о защите лиц

    против личных данных и о свободном перемещении таких данных (OJ L 281 из 23.11.1995, р. 31).

Официальный журнал Европейского Союза 4.5.2016

Обработка персональных данных должна быть разработана, чтобы служить человеку. Право на защиту персональных данных не является абсолютным правом· Он должен быть оценен в отношении его функции в обществе и быть сбалансирован с другими основными правами, соответствии с принципом пропорциональности. Настоящее Положение уважает все основные права и свободы, а также соблюдает принципы, признанные Уставом, закрепленные в договорах, в частности, уважение частной и семейной жизни, Корпус и связь, Защита персональных данных, свобода мысли, совести и религии, свобода выражения мнений и информации, свобода предпринимательства, право на эффективное средство правовой защиты и на справедливое судебное разбирательство и культурное, религиозное и языковое разнообразие.

Экономическая и социальная интеграция, которые в результате операции внутреннего рынка, приводит к значительному увеличению трансграничных потоков данных личного характера. H обмен персональных данных между государственными и частными субъектами, в том числе физических лиц, объединения и предприятия по всему Союзу, увеличилась. Национальные органы государств-членов в соответствии с законодательством ЕС сотрудничать и обмениваться персональными данными, чтобы они могли выполнять свои обязанности или выполнять задачи от имени другого государства-члена органа.

Быстрые технологические изменения и глобализация создают новые проблемы для защиты персональных данных. Масштаб сбора и обмена персональных данных значительно возрос. Технология позволяет как частным компаниям и государственным органам использования персональных данных в беспрецедентных масштабах в погоне за их деятельностью. Лица, чаще раскрывать личную информацию и сделать ее доступной по всему миру. Технологии изменили как экономику и социальную жизнь и должны дополнительно облегчить свободное движение личных данных в рамках Союза и передачи в третьи страны и международные организации, обеспечивая при этом высокий уровень защиты персональных данных.

Эти изменения требуют сильной и более согласованной основы защиты данных в Союзе, Поддержка tiated путем строгого применения закона, как это важно, чтобы создать необходимое доверие, которое позволит цифровой экономике расти на протяжении внутреннего рынка. Люди должны иметь контроль над своими личными данными собственного характера. Будет ли правовая охрана должна быть усилена и практическая определенность для физических лиц, экономические операторы и государственные органы.

Там, где это регулирование содержит спецификацию или ограничение норм права государств-членов, Государства-члены могут включать элементы настоящих Правил в их национальном законодательстве, в объем, необходимый для обеспечения последовательности и следует понимать национальные положения для лиц, к которым они относятся.

Хотя цели и принципы Директивы 95/46 / ЕС остаются сильными, Директива не удалось предотвратить фрагментацию применения защиты данных на всей территории Союза, правовая неопределенность и широкое общественное мнение, что существуют значительные риски для защиты лиц,, в частности в отношении деятельности в Интернете. Различия в уровне защиты прав и свобод лиц,, в частности право на защиту персональных данных, в отношении обработки персональных данных в государствах-членах, может препятствовать свободному движению личных данных на всей территории Союза. поэтому, Эти различия могут быть препятствием для ведения бизнеса в Союзе, искажать конкуренцию и препятствует органам в выполнении их обязанностей, такие как те, вытекающие из права Европейского Союза. Это различие в уровнях защиты связано с расхождениями в реализации и применения Директивы 95/46 / EC.

Для того, чтобы обеспечить последовательный и высокий уровень защиты людей и устранение препятствий на пути потоки персональных данных в рамках Союза, уровень защиты прав и свободы человека в отношении обработки таких данных должен быть эквивалентным во всех государствах-членах. Оно должно обеспечить последовательное и единообразное применение правил о защите основных прав и свобод физических лиц в отношении обработки персональных данных на всей территории Союза. Что касается обработки персональных данных в соответствии с юридическим обязательством, выполнить задачу, проводимую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер, Государства-члены должны иметь возможность сохранять или вводить национальные положения для дальнейшего определения применения норм настоящих Правил. В сочетании с общими и горизонтальных законов о защите данных, направленных на реализацию Директивы 95/46 / ЕС, Государства-члены применяют различные законы по секторам в тех областях, которые требуют конкретных положений. Настоящее Положение также предоставляет пространство для маневра для государств-членов, для того, чтобы адаптировать правила, в том числе относящиеся к обработке специальных категорий персональных данных («Конфиденциальные данные»). В этой степени, настоящий Регламент не исключает права государств-членов для определения обстоятельств, особых условий обработки, в частности, чтобы более точно определить условия, при которых обработка персональных данных является законным.

Официальный журнал Европейского Союза L 119/3

 

  1. (11) Эффективная защита персональных данных по всему Союзу требует укреплений и детального определения прав субъектов данных, а также те, усилитель обязательства предпоса работает и определяет обработку персональных данных, и их соответствующие полномочия для мониторинга и обеспечения соблюдения стандартов защиты персональных данных и соответствующие штрафы за нарушения в государствах-членах.
  2. (12) статья 16 пункт 2 TFEU ​​вверяет Европейский парламент и Совет, чтобы установить правила по защите физических лиц в отношении обработки персональных данных и правил о свободном перемещении личных данных.
  3. (13) Для того, чтобы обеспечить соответствующий уровень защиты для людей по всему Союзу и избежать пробелов, которые препятствуют свободному движению личных данных на внутреннем рынке, регулирование требуется, который будет гарантировать правовую определенность и прозрачность для экономических агентов, в том числе микро, малые и средние предприятия, и обеспечить для физических лиц во всех государствах-членах на том же уровне юридически осуществимых прав и обязанностей, и обязанности для контроллеров и процессоров, для обеспечения постоянного контроля за обработкой персональных данных, и эквивалентные санкции во всех государствах-членах и эффективное сотрудничество между контролирующими органами различных государств-членов. Бесперебойное функционирование внутреннего рынка, свободное перемещение личных данных в рамках Союза не должно быть ограничено, не запрещено по причинам, связанным с защитой лиц, в отношении обработки персональных данных. Для того, чтобы принять во внимание конкретной ситуации микро-, малые и средние предприятия, это регулирование включает в себя отступление для организаций, использующих менее 250 лица, в отношении учета. дополнительный, институты и органы Союза, а также государства-члены и их надзорные органы, рекомендуется принимать во внимание специфические потребности микро-, малые и средние предприятия в реализации настоящих Правил. Понятие микро-, малые и средние предприятия должны быть основаны на статье 2 Приложение к Рекомендации 2003/361 / EC (1).
  4. (14) Защита, обеспечиваемая настоящим Правилам, должны применяться к физическим лицам, независимо от национальности или места жительства, в отношении обработки личного характера данных. Настоящее Положение не распространяется на обработку персональных данных, касающихся юридических лиц, так и в отдельных предприятий, созданных в качестве юридических лиц, включая имя, тип и контактная информация лица.
  5. (15) Для того, чтобы предотвратить серьезный риск обхода, Защита отдельных лиц должна быть технологически нейтральной и не зависит от методов, используемых. Защита лиц, должна применяться как к обработке персональных данных с помощью автоматизированных средств, и ручной обработки, если личные данные содержатся или должны быть включены в систему подачи. Файлы и наборы файлов, а также их обложки, которые не структурированы в соответствии с определенными критериями, не должны попадать под действие настоящих Правил.
  6. (16) Настоящие Правила не применяются к защите основных прав и свобод или свободного перемещения персональных данных, относящихся к деятельности, не указанных в приложении поля закона Союза, в деятельности, связанной с национальной безопасностью. Настоящие Правила не распространяются на обработку персональных данных государств-членов, когда они осуществляют деятельность, связанную с общей внешней политикой и политикой безопасности Союза.
  7. (17) регулирование (ЕС) нет. 45/2001 Европейский парламент и Совет (2) применительно к обработке персональных данных учреждениями и органами, агентства и услуги Союза. регулирование (ЕС) нет. 45/2001 а также другие правовые акты Союза, личные данные применимы к такой обработке символов должен быть адаптирован к принципам и правилам, изложенным в настоящих Правилах, и применяются в свете настоящих Правил. Для обеспечения прочной и последовательной основы защиты данных в Союзе, после принятия настоящих Правил, должны выполнить необходимые приспособления для регулирования (ЕС) нет. 45/2001, чтобы разрешить приложению одновременно с настоящими Правилами.
  8. (18) Настоящие Правила не распространяются на обработку персональных данных физическим лицом в ходе чисто личной или бытовой деятельности и, следовательно, без связи с какой-либо профессиональной или
  1. (1) Рекомендация Комиссии, 6 мая 2003, относительно определения микро-, малые и средние предприятия [С(2003) 1422] (OJ L 124 из 20.5.2003, р. 36).
  2. (2) регулирование(ЕС)arith.45 / 2001touEfropaikouKoinovoulioukaitouSymvouliou,tis18isDekemvriou2000, schetikametinprostasiaton лиц в отношении обработки персональных данных учреждений и органами и о свободном перемещении таких данных (OJ L 8 из 12.1.2001, р. 1).

 

Официальный журнал Европейского Союза 4.5.2016

 

(19)

коммерческая деятельность. Личные или домашняя работа может включать в себя переписку и адрес делопроизводство или социальных сетей и онлайн-активность в такой деятельности. однако, она должна применяться к контроллерам или процессорам, которые обеспечивают обработку персональных данных в характере такой личной или внутренней деятельность.

Защита физических лиц в отношении обработки персональных данных компетентных органов в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их предупреждений и свободного перемещения таких данных, при условии соблюдения определенного правового акта ЕС. Поэтому Настоящие Правила не должны применяться к деятельности по обработке для этих целей. однако, персональные данные, обрабатываемые государственными органами в соответствии с настоящими Правилами должны, когда они использовали для этих целей, регулируются конкретным правовым актом ЕС, а именно Директива (Евросоюз) 2016/680 Европейский парламент и Совет (1). Государства-члены могут наделять компетентные органы в значении Директивы (Евросоюз) 2016/680 Задачи, которые не обязательно тренировались в целях профилактики, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их профилактика, так что обработка персональных данных для этих целей, если он подпадает под действие закона Союза, в пределах объема настоящего Положения.

Что касается обработки персональных данных этих органов для целей в рамках настоящих Правил, Государства-члены должны быть в состоянии поддерживать или вводить специальные положения, чтобы адаптировать применение правил настоящих Правил. Эти правила могут более точно указать конкретные требования к обработке персональных данных от этих органов для этих целей, принимая во внимание конституционный, организационно-административная структура соответствующих государств-членов. Когда обработка персональных данных частных лиц, подпадающих под действием настоящих Правил, это регулирование должно предусматривать возможность для государств-членов, чтобы ограничить законом, в особых условиях, определенные обязательства и права, когда такое ограничение является необходимой и соразмерной мерой в демократическом обществе для защиты особо важных интересов, в том числе общественной безопасности и профилактики, исследование, выявление и преследование за совершение уголовных преступлений или исполнение уголовных наказаний, включая обеспечение от угроз общественной безопасности и их профилактика. Этот вопрос, например, в борьбе с отмыванием денег или деятельности судебно-медицинских лабораторий.

Хотя это регулирование применяется, включая, деятельность судов и других судебных органов, Закон Союза или государства-члены могли бы определить операции и процедуры обработки по отношению к обработке персональных данных судов и других судебных органов. К компетенции надзорных органов не должна охватывать обработку персональных данных, когда суды действуют в своем судебном качестве, для обеспечения независимости судебной системы при осуществлении своих судебных функций, в том числе принятия решений. Контроль операций по обработке данных должны быть в состоянии быть отнесены к конкретным органам в судебной системе государства-члена, которые должны, в частности, обеспечить соблюдение правил настоящих Правил, для информирования сотрудников судебных органов в отношении своих обязательств в соответствии с настоящим Положением и рассмотрения жалоб в отношении указанных процедур обработки данных.

Настоящие Правила применяются без ущерба для положений Директивы 2000/31 / EC Европейского парламента и Совета (2), в частности, правила, касающиеся ответственности посреднических услуг изложены в статьях 12 до 15 этой Директивы. Эта Директива призвана способствовать нормальному функционированию внутреннего рынка, обеспечивая свободное движение услуг информационного общества между государствами-членами.

Любая обработка персональных данных в рамках деятельности контроллера объекта или процессор в Союзе должен проводиться в соответствии с настоящими Правилами, независимо от того, выполняется та же обработка в Союзе. Установка требует эффективного и реального осуществления деятельности через стабильные механизмы. В связи с этим, правовая форма таких соглашений, ли приложение или дочерняя правосубъектность, Это не является решающим.

(1) инструкция (Евросоюз) 2016/680 Европейский парламент и Совет, 27 апреля 2016, для защиты физических лиц в отношении обработки персональных данных компетентных органов в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных наказаний и о свободном перемещении таких данных и отменив Рамочное решение Совета 2008/977 / ПВД (см 89 этого Официальном вестнике).

  1. (2) Директива 2000/31 / EC Европейского парламента и Совета, 8 июня 2000, о некоторых правовых аспектах услуг информационного общества, в частности электронной торговли, на внутреннем рынке («Для Директивы по электронной коммерции") (OJ L 178 из 17.7.2000, р. 1).

 

Официальный журнал Европейского Союза L 119/5

 

  1. (23) Для того, чтобы люди не были лишены защиты, они имеют право на основании настоящих Правил, обработка персональных данных субъектов в Союзе контроллера или процессор не установлена ​​в Союзе должен регулироваться настоящими Правилами, где деятельность по обработке связаны с предоставлением товаров или услуг таких субъектов данных, ли связанные с оплатой. Для того, чтобы определить, предлагает ли такой контроллер или процессор товаров или услуг субъектам данных в Союзе, она должна быть определена, если контроллер или процессор явно предназначен для предоставления услуг субъектам данных в одном или нескольких государствах-членах ЕС. В то время как простая доступность на сайте контроллера, процессор или посредник в Союзе или адрес электронной почты и других контактов или использование элементов языка, как правило, используется в третьей стране, где установлен контроллер не является достаточным для обоснования такого намерения, такие факторы, как использование языка или валюты обычно используется в одном или нескольких государствах-членах, с возможностью заказа товаров и услуг на этом другом языке, или ссылки на клиенты или пользователи, находящиеся в Союзе может дать понять, что контроллер данных намерен предложить товары или услуги субъектам данных в Союзе.
  2. (24) Личные данные лиц, которые находятся в Союзе контроллер или процессор не устанавливается в Союзе также должны быть охвачены настоящим Положением, если контроль за поведением таких субъектов данных в той степени, что их поведение происходит в рамках Союза. Для того, чтобы определить, является ли деятельность обработки можно рассматривать как контролировать поведение субъекта данных, оно должно быть установлено, являются ли лицо, отслеживается в Интернете, в том числе потенциал последующего использования обработки персональных данных технического характера, которая заключается в формировании «профиль» физического лица, в частности, для того, чтобы принимать решения, касающиеся его или анализировать и предсказывать личные предпочтения, поведения и отношения.
  3. (25) Если закон государства-члена применяется в силу международного публичного права, настоящего Положения, должны также применяться к контроллеру, не прописан в Союзе, такие как, пример, для дипломатического представительства или консульского учреждения государства-члена.
  4. (26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Личные данные, которые были psefdonymopoiisi, которые можно было бы отнести к индивидууму за счет использования дополнительной информации, Их следует рассматривать информацию о идентифицируемом физическом лице. Для того, чтобы определить, является ли лицо идентифицируемым, Они должны быть приняты из всех средств, которые с достаточной степенью вероятности можно использовать, например, разделение, либо контроллер или третья сторона за прямую или косвенную идентификацию индивидуальной идентичности. Для того, чтобы увидеть, если какие-либо средства, достаточно вероятно, будут использоваться для проверки личности физического лица, следует учитывать все объективные факторы, как стоимость и время, необходимое для идентификации, с учетом технологий, имеющихся на момент событий обработки и технологии. Принципы защиты данных должны, следовательно, не относятся к анонимной информации, то есть информация, которая не связана с идентифицированных или идентифицируемых физическое лицо или персональные данные были предоставлены анонимно, так что личность субъекта данных не может не или больше не может быть установлено. Таким образом, это положение является обработкой такой анонимной информации, не в том числе для статистических или научных целей.
  5. (27) Настоящие Правила не распространяются на личные данные умерших. Государства-члены могут предусмотреть правила обработки персональных данных умерших.
  6. (28) Использование psefdonymopoiisis персональных данных могут снизить риски для субъектов данных и облегчить их контроллеры и процессоры для удовлетворения соответствующих требований по защите данных. Явное введение «psefdonymopoiisis» настоящее правило не предназначено, чтобы исключить какие-либо другие меры защит данных.
  7. (29) Для того, чтобы создать стимулы для psefdonymopoiisi при обработке персональных данных, Должна быть обеспечена возможность принять меры psefdonymopoiisis, позволяя при этом общий анализ, в пределах того же контроллера, когда упомянутый контроллер приняты технические и организационные меры, необходимые, для обеспечения, для соответствующей обработки данных, применение настоящих Правил и дополнительная информация о выполнении персональных данных субъекта данных заинтересованных хранятся отдельно. Контроллер данных, который обрабатывает персональные данные должны назначать уполномоченных лиц в пределах одного контроллера.

Официальный журнал Европейского Союза 4.5.2016

Физические лица могут быть связаны с интернет-идентификаторов элементов, которые предусмотрены устройства, приложений, инструменты и протоколы, такие как интернет-протокол адреса, Идентификаторы печенье или другие идентификаторы, такие как радиочастотная идентификация. Они могут оставить следы, которые, особенно в сочетании с уникальными идентификаторами и другой информацией, полученных с помощью серверов, Они могут быть использованы для создания профилей людей и признать их идентичность.

Государственные органы, которым персональные данные, раскрываемые в соответствии с юридическим обязательством выполнять свои служебные обязанности, такие как налоговые и таможенные органы, экономические исследовательские подразделения, независимые административные органы или финансовые рынки органы, ответственные за регулирование и надзор за рынками ценных бумаг, не должны рассматриваться в качестве получателей, если они получают персональные данные, необходимые для проведения специального расследования в интересах общества, в соответствии с законодательством Союза или государства-члена. Запросы к раскрытию информации, посланные государственными органами всегда должны быть написаны, оправданно при таких обстоятельствах и не должен включать в себя полноту системы подачи или привести к связыванию систем подачи. Обработка персональных данных этих государственных органы, должна соблюдать правила защиты данных применяются в зависимости от целей обработки.

Согласие должно быть обеспечено с чистой положительной энергией, которые составляют бесплатно, специфические, явное и осознанное указание согласия субъекта данных для обработки данных, касающейся его, например, путем письменного заявления, в том числе с помощью электронных средств, или устное заявление. Это может включать в себя завершение коробки при посещении веб-сайта, выбрать требуемые технические меры для услуг информационного общества или утверждение или поведение, которое явно указывает на, в этом контексте, что субъект данных принимает обработку заявки их персональных данных. поэтому, тишина, предварительно проверили коробки или бездействие не должны быть истолкованы как согласие. Согласие должно охватывать все виды деятельности по обработке, осуществляемой в одной и той же цели, или для тех же целей. Когда обработка имеет несколько целей, Согласие должно быть дано для всех этих целей. Если согласие субъекта данных будет предоставлено по запросу в электронном виде, запрос должен быть ясно, всесторонние и необоснованно не мешать использование сервиса, который предоставляется.

часто, Она не может быть полностью определена цель обработки персональных данных для научных исследований на момент сбора данных. поэтому, субъекты данных должны быть в состоянии дать свое согласие на определенные направления научных исследований, когда признанные этические стандарты следует для научных исследований. Субъекты данных должны иметь возможность дать свое согласие только в определенных областях научных исследований или только части научно-исследовательских программ, в той степени, допускаемой по прямому назначению.

Поскольку генетические данные должны быть определены личные данные, связанные с наследственными или apokektimena генетических характеристик индивида в результате биологического анализа проб физического лица, особенно из хромосомного анализа дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновая кислота (РНК) или относительно другого элемента, что позволяет получить эквивалентную информацию.

Личные данные, касающиеся здоровья, должны включать в себя все данные, относящиеся к состоянию здоровья субъекта данных и которые раскрывают информацию о прошлом, текущее или будущее состояние физического или психического здоровья субъекта данных. Это включает в себя информацию о личности, собранные во время регистрации медицинских услуг и их предоставления, как это определено в Директиве 2011/24 / ЕС Европейского парламента и Совета (1) к личности в вопросе· ряд, символ или характеристика личности отнести к личности, с тем, чтобы полностью идентифицировать лицо для целей здоровья· Информация, поступающая из тестов или анализов частично или субстанции тела, в частности, с помощью генетических данных и биологических образцов и любой информации, например, по болезни, инвалидность, риск заболевания, история болезни, Клиническое лечение или физиологический или биомедицинский статус субъекта данных, независимо от его источника, например, врачом или другим профессиональным здравоохранения, больница, медицинский прибор или диагностический тест в пробирке.

H основная установка Союза контроллера должна быть местом центрального управления в Союзе, если не указаны решения о целях и способами обработки персональных данных, полученных в другом учреждении контроллера в Союзе, так что другой объект будет рассматриваться в качестве основной установки. Основное создание контроллера в Союзе должно определяться в соответствии с объективными критериями и должны подразумевать эффективное и реальное осуществление деятельности по управлению, которые определяют основные решения, касающиеся целей и средств обработки посредством устойчивых механизмов. Этот критерий не должен зависеть от того, при обработке

(1) Директива 2011/24 / ЕС Европейского парламента и Совета, 9 марта 2011, о применении прав пациентов в приграничном здравоохранении (OJ L 88 из 4.4.2011, р. 45).

 

Официальный журнал Европейского Союза

Персональные данные могут быть в этом месте. Существование и использование технических средств и технологий для обработки персональных данных или обработки деятельности не конституироваться’ Основная установка себе, поэтому, не является решающим критерием для основной установки. Основное создание процессора должно быть местом центрального управления в Союзе или, если он не имеет головной офис в Союзе, место, где основные операции обработки в Союзе. В тех случаях, когда оба контроллера и процессор, ответственный главный надзорный орган должен оставаться надзорным органом государства-члена, где основным учреждением контроллера, но супервизор процессора следует рассматривать как заинтересованный наблюдатель, и что руководитель должен участвовать в процедуре о сотрудничестве, изложенный в настоящих Правилах. В любом случае, надзорные органы государства-члена или государств, где процессор имеет один или несколько учреждений не следует рассматривать как надзорные органы обеспокоены, когда проект решения относится только к контроллеру. Когда обработка осуществляется бизнес-группы, в качестве основного места управления обязательство следует считать основным местом бизнес-группы, если цель и средства обработки не определяются другой компанией.

  1. (37) Группа предприятий должна охватывать управляющей компании и компании, она контролирует, где контроль предприятие должно быть обязательство, которое может оказывать доминирующее влияние на других предприятиях в рамках, например, собственности, финансовое участие или правила, которые регулируют его или правила защиты персональных данных, применяющие силу. Проведение осуществления контроля за обработкой персональных данных, связанных предприятий следует рассматривать, вместе с этими компаниями, бизнес-группы.
  2. (38) Дети нуждаются в особой защите их персональных данных, так как дети могут быть менее осведомлены о рисках, Последствия и гарантии и их права в отношении обработки персональных данных. Это специальная защита будет особенно верно в использовании личных данных для маркетинга или создания профилей личности или профилей пользователей и собирать личные данные, касающиеся ребенок при использовании услуг, непосредственно предлагаемых к ребенку. Согласие родителя или опекун не должно быть необходимым в связи с консультациями или услугами по профилактике, непосредственно доступных для ребенка.
  3. (39) Любая обработка персональных данных должна быть законной и справедливой. Это должно быть ясно лиц, персональные данные, касающиеся их собирают, используемый, рассмотренная или представленный’ в противном случае обрабатывается, и в какой степени личные данные или будут обрабатываться. Этот принцип требует, чтобы любая информация и коммуникация на обработку своих персональных данных, чтобы быть легко доступной и понятной, а также использовать простой и ясный язык. Этот принцип относится, в частности, для информирования субъектов данных о личности контроллера и целях обработки и получении дополнительной информации в целях обеспечения справедливого и прозрачного процесса в отношении этих лиц и их право на получение подтверждения и для достижения сообщения, относящееся к этим персональным данным обрабатывается. Вы должны быть доступны для физических лиц, рискует быть, правила, гарантии и права в отношении обработки персональных данных и как осуществлять свои права в отношении такой обработки. особенно, Персональные данные, конкретные цели обработки должно быть ясно,, правовые и детерминированный, когда сбор персональных данных. Личные данные должны быть адекватными, и ограничивается тем, что необходимо для целей их обработки. Это требует, в частности, для того, чтобы хранение личных данных ограничивается до минимума. Личные данные должны быть обработаны, только если цель обработки не может быть достигнуто с помощью других средств. Для того, чтобы убедиться, что персональные данные не хранятся дольше, чем это необходимо, контроллер должен установить сроки для их удаления или для их периодического обзора. Он должен принять все разумные меры, чтобы гарантировать, что персональные данные, которые являются неточными быть исправлены или удалены. Личные данные должны быть обработаны таким образом, чтобы обеспечить надлежащую защиту и конфиденциальность персональных данных, в частности, для предотвращения несанкционированного доступа к таким личным данным и к оборудованию, используемому для обработки или использовать персональные данные и такого оборудования.
  4. (40) Лечиться довольно, персональные данные должны быть обработаны с согласия субъекта данных или другой основе, закон, или в настоящих Правилах или в других законодательных актах Союза или государства-члена, как указано в этом

 

Официальный журнал Европейского Союза 4.5.2016

регулирование, включая необходимость соблюдения правовых обязательств, к которым контроллер подлежит, или необходимости исполнения договора, к которому субъект данных является стороной или для того, чтобы принять меры по просьбе субъекта данных перед сжиматься.

Всякий раз, когда это правило относится к правовой основе или законодательным мерам, это не обязательно требует законодательства, утвержденного парламент, при условии соблюдения требований в соответствии с конституционным порядком государства-члена. однако, эта правовая основа или законодательная мера должна быть сформулирована четко и точно, и его применение предсказуемы для лиц, подпадающих под действие настоящего, в соответствии с практикой Европейского Суда («Суд») и Европейский суд по правам человека.

Когда обработка основана на согласии субъекта данных, контроллер должен быть в состоянии доказать, что субъект данных дал согласие на операцию обработки. конкретно, на основании письменного заявления по другому вопросу, Они должны быть гарантии для обеспечения того, чтобы субъект данных осведомлен об этом факте и в какой степени согласие. В соответствии с Директивой 93/13 / EEC (1), Вы должны быть предоставлены формы согласия, подготовлено заранее контроллер в понятной и доступной форме, ясно и просто формулировка, без несправедливой. Для того, чтобы рассматривать информированное согласие, субъект данных должен знать, по крайней мере, идентификатор контроллера и цель обработки персональных данных, предназначенные. Согласие не следует рассматривать как дарованное, если субъект данных не имеет никакой реальной или свободный выбор или не быть в состоянии отказаться или отозвать свое согласие без ущерба.

Для того, чтобы гарантировать, что согласие дано свободно, согласие не должно предоставить действующую правовую базу для обработки персональных данных в каждом конкретном случае, когда существует явный дисбаланс между субъектом данных и контроллером, особенно там, где контроллер является органом государственной власти, и поэтому вряд ли дали согласие свободно все обстоятельства этой конкретной ситуации. Согласие считается не было дано свободно, если не разрешено давать отдельное согласие на различную обработку природы персональных данных, даже если это уместно в данном случае, или когда исполнение договора, В том числе матема- услуги, согласие, даже если такое согласие не является необходимым для такого исполнения.

Лечение должно быть законным, необходимым в соответствии с договором или договором о намерениях.

Когда обработка осуществляются в соответствии с юридическим обязательством, к которому контроллер под или когда это необходимо для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, Лечение должно быть основано на законе Союза или государства-члена. Настоящие Правила не требуют специального закона для каждого индивидуального лечения. один закон может быть достаточным основанием для более чем одной операции обработки на основе правового обязательства, к которому контроллер подлежит или где обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий. также, определение целей переработки следует оставить на усмотрение закона Союза или государства-члена. дополнительный, этот закон может определить общие условия настоящих Правил, регулирующих законной обработку персональных данных и принять спецификации для определения контроллера, вид личных данных обрабатываются, соответствующие субъекты данных, субъекты могут koinolo gountai персональных данных, объективные ограничения, срок хранения и другие меры по обеспечению законного и справедливого обработки. также, Это должно быть оставлено законом Союза или законодательством государств-членов, чтобы определить является ли контроллер для выполнения обязанности, выполняемую в интересах общества или при исполнении служебных полномочий должен быть государственный орган или другое физическое или юридическое лицо, регулируется публичное право или, если это оправдано соображениями общественного интереса, в том числе по состоянию здоровья, такие как здравоохранение и социальная защита и медицинские услуги по управлению, частное право, как профессиональный орган.

Обработка персональных данных также следует считать правомерным, где это необходимо для защиты интересов, которая необходима для жизни субъекта данных или другого лица. Обработка персональных данных жизненных интересов другого человека, должна,’

 

(1) Директива 93/13 / ЕОК Совета, 5 апреля 1993, на несправедливых условиях в договорах, заключаемых с потребителями (OJ L 95 из 21.4.1993, р. 29).

4.5.2016

 

 

принцип будет осуществляться только в том случае, очевидно, что обработка не может иметь другую правовую основу. Некоторые виды лечения могут быть использованы как для важных причин, представляющих общественный интерес, а другой для жизненно важных интересов субъекта данных, такие как, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемии и их распространения, или в ситуациях срочной гуманитарной необходимости, особенно в тех случаях, природных и техногенных катастроф.

  1. (47) Законные интересы контроллера, в том числе и из контроллера, который может быть раскрыт личные данные или треть, может обеспечить правовую основу для обработки, при условии, что они не отменяют интересы или основные права и свободы субъекта данных, принимая во внимание законные ожидания субъектов данных на основе их отношений с контроллером. Такой интерес, например, может произойти, если нет уместно и целесообразно соотношение между субъектом данных и контроллером, как если субъект данных является клиентом контроллера или в службе. В любом случае, наличие законного интереса необходимо будет тщательно проанализировать, в частности, в отношении того субъекта данных, в то время и в контексте сбора персональных данных, разумно ожидать, что для этой цели может быть обработана. конкретно, интересы и основные права субъекта данных могут иметь приоритет над интересами контроллера, когда персональные данные обрабатываются в тех случаях, когда субъект данных не разумно ожидать дальнейшую обработку данных. Так как для законодательной власти обеспечить законодательно-правовую базу для обработки персональных данных органов государственной власти, эта правовая основа не должна применяться к лечению со стороны государственных органов при исполнении ими своих обязанностей. Обработка Н персональных данных, в той степени, строго необходимо в целях предотвращения мошенничества, также представляют собой законный интерес контроллера данных. обработка H персональных данных для целей прямого маркетинга можно считать, что экземпляр законного интереса.
  2. (48) Контроллеры, которые являются членами группы компаний или организаций, связанных с центральным органом могут иметь законный интерес к передаче персональных данных в рамках бизнес-группы для внутренних административных целей, включая обработку личного клиента или данных о сотрудниках. Общие принципы передачи личных данных, в группе компаний, к предприятию, учрежденному в третьей стране, не затрагивается.
  3. (49) Обработка персональных данных, поскольку является строго необходимым и соразмерным для целей обеспечения сетевой и информационной безопасности, то есть способность сети или информационной системы противостоять, на заданном уровне доверия, случайные события или незаконные или злонамеренные действия, которые ставят под угрозой доступности, подлинность, целостность и конфиденциальность храниться или передаваться тивность, своевременность персональных данных, и безопасность услуг, предоставляемых эти сети и системы или доступных через эту сеть и системы, или предлагаемые государственными органами, Чрезвычайные группы реагирования в области ИТ (CERT), от команд вмешательства для событий, связанных с компьютерной безопасностью (CSIRT), от сетевых провайдеров услуг электронных коммуникаций и поставщиков технологий и служб безопасности, Он представляет собой законный интерес контроллера данных. Это может включать в себя, пример, предотвращение несанкционированного доступа к электронным сетям связи и распространения вредоносного кода и остановки «отказ в обслуживании» и повреждения компьютерных систем и электронных коммуникаций.
  4. (50) Обработка персональных данных, отличных от тех, по которым персональные данные были первоначально собраны должно быть разрешено только тогда, когда обработка является совместимым с целями, для которых личные данные были первоначально собранных целей. В этом случае, нет отдельной правовой основы не требуется, допускаемые для сбора персональных данных. Если обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, возложенных на контроллер, Закон Союза или государства-члены может определить и определить задачи и цели, для которых они должны считаться совместимой и правомерной дальнейшей обработкой. Дальнейшая обработка архивных причинам, связанным с общественными интересами, для целей научных или исторических исследований или для статистических целей следует считать совместимой противоправной операцию обработки. Правовая основа предусмотренного законодательства Союза или государства-члена для обработки персональных данных также может представлять собой правовую основу для дальнейшей обработки. Для того, чтобы определить, является ли целью дальнейшей обработки совместит с целью первоначального сбора персональных данных, контроллер, если она отвечает всем требованиям законности первичной обработки, Вы должны принять во внимание, включая: любые связи между этими целями и задачами предполагаемой дальнейшей обработки· контекст, в котором собраны персональные данные, особенно разумные ожидания субъекта данных на основе его отношений с контроллером для их дальнейшего использования· природа персональных данных· τις

 

Официальный журнал Европейского Союза 4.5.2016

(51)

последствия предполагаемой дальнейшей обработки данных субъектов· а также наличие достаточных гарантий как оригинальные и предполагаемая дальнейших операции по обработке.

Когда субъект данных предоставил свое согласие или обработку на основе закона Союза или государства-члена является необходимой и соразмерной мерой в демократическом обществе для обеспечения, частности, Основные задачи в контексте интереса широкой общественности, Это должно позволить контроллеру осуществлять дальнейшую обработку персональных данных, независимо от совместимости целей. В любом случае, Это должно обеспечить применение принципов, изложенных в настоящих Правилах и, особенно, сообщить субъекту данные о тех, других целях и их права, в том числе права на объект. Пометка возможных преступлений или угрозы общественной безопасности с помощью контроллера и передач персональных данных связанных с компетентным органом в каждом конкретном случае или более одного случаев с участием того же правонарушения или одни и те же угрозы для общественной безопасности его следует рассматривать как подпадающие под законных интересов, преследуемых контроллером. однако, Передачи находится в пределах законного интереса контроллера или дальнейшей обработки персональных данных должна быть запрещена, если процесс не совместим с правовой, профессиональное или иное связаны обязательство конфиденциальности.

Личные данные, которые особенно чувствительны в природе в отношении основных прав и свобод, требующих особой защиты, потому что контекст лечения может создать серьезные риски для основных прав и свобод. Эти персональные данные должны включать в себя персональные данные выявления расовой или этнической принадлежности, где использование термина «расового происхождения» в настоящих Правилах не означает, что Союз принял теории, которые поддерживают существование отдельных человеческих рас. Редактирование фотографий не должно систематически рассматриваться как обработка специальных категорий персональных данных, поскольку они подпадают под определение биометрических данных только тогда, когда обработка с помощью специальных технических средств, позволяющих однозначно идентифицировать или аутентификации физического лица. Такие персональные данные не должны быть обработаны, если такое лечение не допускается в особых случаях, предусмотренных в настоящих Правилах, в то время как закон государства-члены могут установить конкретные положения о защите данных, адаптировать применение правил настоящих Правил соблюдать правовые обязательства или выполнить эту задачу, выполняемую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер. Помимо специфических требований, которые подлежат такая обработка, Они должны применяться общие принципы и другие нормы настоящих Правил, в частности, в,Что касается правовых условий лечения. Исключения из общего запрета личного характера данных, подпадающего этих конкретных категорий должны быть прямо предусмотрено, включая, в случае явно выраженного согласия субъекта данных или в отношении инвалидов, особенно если обработка осуществляется в рамках законной деятельности определенных ассоциаций и фондов, чья цель состоит в том, чтобы обеспечить осуществление основных свобод.

Отступления от запрета на обработку специальных категорий персональных данных, также должно быть разрешено, если это предусмотрено законодательством Союза или государства-члена и при условии соблюдения соответствующих гарантий, для защиты персональных данных и других основных прав, если это оправдано соображениями общественного интереса, в частности, обработка персональных данных в сфере трудового права, закон социальной защиты, включая пенсии, и в целях безопасности для здоровья, мониторинга и сигнализации для предотвращения или борьбы с инфекционными заболеваниями и другими серьезными угрозами для здоровья. Это исключение может быть сделано в медицинских целях, в том числе общественного здравоохранения и управления здравоохранением, в частности, в целях обеспечения качества и эффективности затрат на процедуры, используемые для урегулирования претензий на пособия и услуги в системе обязательного медицинского страхования, или для архивирования целей в интересах общества, Цели научного или исторического исследования или статистических целей. Он также должен быть отходом разрешить обработку таких персональных данных, когда необходимо установить, подготовки или поддержки юридических претензий, либо в судебном разбирательстве или в каком-либо административном или внесудебном процессе.

Обработка специальных категорий персональных данных, которые требуют более высокой степени защиты должна быть сделана только для целей, связанных со здоровьем, если это необходимо для достижения этих целей, в интересах отдельных лиц и общества в целом, в частности, в контексте управления и медицинских систем обслуживания и социальной помощи, включая обработку таких данных руководства и центральные органы здравоохранения с целью контроля качества, управление информацией и в целом на национальном и местном надзор здравоохранения или социальной помощи, и обеспечение непрерывности медицинской помощи или социальной работы и приграничному здравоохранения или медицинской безопасности, для целей мониторинга и сигнализации или для архивирования в интересах общества, научные или исторические исследования или

4.5.2016

Официальный журнал Европейского Союза

статистических целей, законодательством Союза или государств-членов с целью служить общественным интересам, а также исследования, проведенные в интересах общества в сфере общественного здравоохранения. следовательно, это регулирование должно предусматривать гармонизированные условия для обработки специальных категорий персональных данных, касающееся здравоохранения, по сравнению с ограниченными возможностями, особенно если обработка этих данных осуществляется для определенных целей, касающихся здоровья лиц, находящихся под юридическим обязательством профессиональной тайны. Το δίκαιο της Ένωσης ή των κρατών μελών θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, биометрические данные или данные, касающиеся здоровья. однако, это не должно препятствовать свободному движению личных данных в рамках Союза, когда эти условия применяются к приграничному обработке таких данных.

  1. (54) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, без согласия субъекта данных. Такая обработка должна быть предметом надлежащих и конкретных мер, направленных на защиту прав и свобод граждан. В этом контексте, «Общественного здравоохранения» следует толковать, как это определено в Постановлении (ЕС) нет. 1338/2008 Европейский парламент и Совет (1), то есть все элементы, связанные со здоровьем, а именно здоровье, в том числе заболеваемости и инвалидности, детерминанты, влияющие на здоровье, потребности здравоохранения, ресурсы, выделяемые на здравоохранение, оказание медицинской помощи и обеспечения всеобщего доступа к нему, а также расходы и финансирование медицинской помощи и причины смертности. Эти данные, касающиеся здоровья в интересах общества не должны приводить к обработке персональных данных для других целей третьих лиц, такие как работодатели или страховые компании и банки.
  2. (55) дополнительный, обработка персональных данных официальных органов для достижения целей, официально признанная религиозных объединений, изложенный в конституционном законе или международном публичном праве, вещь topoieitai общественного интереса.
  3. (56) ли, в рамках деятельности по проведению выборов, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων προσωπικού χαρακτήρα σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, εφόσον προβλέπονται κατάλληλες εγγυήσεις.
  4. (57) Εάν τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα πρέπει να υποχρεούται να αποκτά συμπληρωματικές πληροφορίες, для идентификации субъекта данных с единственной целью соблюдения какого-либо положения настоящих Правил. однако, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται να λάβει συμπληρωματικές πληροφορίες που παρέχει το υποκείμενο των δεδομένων με σκοπό την υποστήριξη της άσκησης των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση του υποκειμένου των δεδομένων, λόγου χάρη μέσω μηχανισμού επαλήθευσης της ταυτότητας, όπως είναι τα ίδια διακριτικά στοιχεία τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων κατά την είσοδο (log-in) онлайн сервис обеспечивается контроллером.
  5. (58) Принцип прозрачности требует, чтобы любая информация, адресованное общественности или субъекта данных краток, легко доступны и легко понять и ясно и просто формулировки и, дополнительный, где это уместно, изображение. Такая информация может быть предоставлена ​​в электронном виде, например, если они предназначены для общественности, через веб-сайт. Это особенно важно в тех случаях, когда множество участников и сложность технологии делают его трудным для субъекта данных, чтобы знать и понять,, кем и с какой целью собранных персональных данных, касающихся,как и в случае интернет-рекламы. Так как дети нуждаются в особой защите, каждая информация и связь, если лечение направлено на детях, Она должна быть выражена четко и простым языком, что ребенок может легко понять.
  6. (59) Они должны обеспечивать способы, позволяющие субъекту данных осуществлять свои права в соответствии с настоящими Правилами, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, где это уместно, να αποκτάται δωρεάν, особенно, Доступ к личным данным и исправить или удалить их и осуществлять право на объект. Контроллер должен также предоставить средства для электронной подачи заявок, особенно когда персональные данные обрабатываются в электронном виде. Контроллер должен быть обязан отвечать на запросы субъекта данных без задержки и не позднее одного месяца и обосновать, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα.

(1) регулирование (ЕС) нет. 1338/2008 Европейский парламент и Совет, της 16ης Δεκεμβρίου 2008, по статистике Сообщества в области общественного здравоохранения и охраны здоровья и безопасности труда (OJ L 354 из 31.12.2008, р. 70).

Официальный журнал Европейского Союза 4.5.2016

Принципы справедливой и прозрачной обработки требуют, чтобы сообщить субъекту данных о существовании операции обработки и ее целей. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, принимая во внимание конкретные обстоятельства и контекст, в котором она выполняется обработка персональных данных. далее, Субъект данных будут последствия и что профиль должен быть обновлен, если установлено. Если персональные данные, предоставленные субъектом данных, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, когда он не дает такие данные. Эта информация может быть представлена ​​в сочетании со стандартными иконками, которые будут размещены на видном, понятным и читаемым образом существенный обзор предполагаемой обработки. Если иконки доступны в электронном виде, Они должны быть машиночитаемой.

Информация в отношении обработки персональных данных, относящихся к предмету данных должна быть представлена ​​в коллекции субъекта данных или, если персональные данные, полученные от другого источника, в течение разумного периода времени, в зависимости от обстоятельств каждого дела. Если личные данные могут быть переданы другому получателю, субъект данных должен быть проинформирован, когда личные данные раскрыты впервые получатель. Когда контроллер планирует обрабатывать персональные данные для других целей, кроме тех, для которых она была собрана, контроллер данных должен предоставить субъекту данных, перед указанным дальнейшей обработкой, Информация для этой цели и другой необходимой информации. Когда происхождение персональных данных не может быть раскрыто субъекту данные, поскольку различные источники были использованы, Они должны быть приведены общие сведения.

однако, нет необходимости вводить обязательство предоставлять информацию, если субъект данных уже имеет информацию, если запись или раскрытие персональных данных прямо предусмотрено законом или если предоставление информации субъекту данных оказывается невозможным или потребует чрезмерных усилий. Последнее может быть особенно, когда обработка для архивных целей в интересах общества, для целей научных или исторических исследований или статистических целей. соединение, Они должны принимать во внимание количество субъектов данных, возраст данных и любых соответствующих гарантий введены.

Субъект данных имеет право на доступ персональных данных, собранные и заботу и осуществлять это право легко и с разумными интервалами, чтобы быть в курсе и проверить законность обработки. Это включает в себя право субъектов данных на доступ к данным, касающимся их здоровья, например, данные в их медицинских записей, содержащих такую ​​информацию, как диагноз, результаты экзамена, Оценки по лечащим врачам и какого-либо лечения или вмешательств, оказываемых. поэтому, каждый субъект данных должен иметь право знать и особенно объявлено, что цель обработки персональных данных, если это возможно, как долго обработка персональных данных, Получатели, которые получают персональные данные, Какая логика следует в любой автоматической обработке персональных данных и какие могут быть последствия такой обработки, по крайней мере, на основе профилирования. Контроллер должен быть в состоянии обеспечить удаленный доступ к защищенной системе, через которую субъект данных получает прямой доступ к данным, касающимся его. Это право не должно негативно повлиять на права и свободы других лиц, такие как профессиональная тайна или права на интеллектуальную собственность и, частности, авторское право защиты программного обеспечения. однако, Эти факторы не должны приводить к отказу в предоставлении какой-либо информации субъекту данных. Когда контроллер процесс большое количество информации о субъекте данных, контроллер должен иметь возможность задать тему, с учетом априорной информации, указать информацию или обработки деятельности, связанной с запросом.

Контроллер должен использовать все разумные меры для проверки личности субъекта данных, который запрашивает доступ, в частности, в контексте онлайн-сервисов и онлайн-идентификаторов идентичности. Контроллер не должен сохранять личные данные для единственной цели, чтобы быть в состоянии реагировать на потенциальные просьбы.

Субъект данных имеет право требовать коррекции персональных данных, относящихся к нему, и «право на забвение», если сохранение таких данных нарушает настоящие Правила или закон Союза или государства-члена, где контроллер подлежит. особенно, субъект данных должен иметь право потребовать удаления и прекращения обработки персональных данных, относящихся к нему, если персональные данные больше не нужно в отношении целей, для которых они собираются или передаются в соответствии’ в противном случае обрабатывается, если субъект данных отзывает согласие на лечение или если объект на обработку персональных данных в отношении к нему, или если обработке персональных данных, относящихся к нему, не в соответствии с настоящими Правилами в’ в противном случае. Это право особенно важно, когда субъект данных предоставил свое согласие в детстве, когда он не был полностью в курсе

4.5.2016

Официальный журнал Европейского Союза

риски лечения, а потом хочет, чтобы удалить определенные личные данные, главным образом из Интернета. Субъект данных должен быть в состоянии осуществить это право, даже если она уже не ребенок. однако, дальнейшее сохранение персональных данных должно быть законным, где это необходимо для осуществления права на свободу выражения мнений и информации, для соблюдения юридических обязательств, выполнить задачу, проводимую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер, общественный интерес в сфере общественного здравоохранения, для архивных целей в интересах общества, для целей научных или исторических исследований или статистических целей, или для установления, подготовки или поддержки юридических претензий.

  1. (66) Для того, чтобы усилить право быть забытым в онлайновой среде, право на стирание также должно быть расширено таким образом, что контроллер, который опубликовал персональные данные будет обязан информировать Контроллеры технологических процессов таких персональные данные для того, чтобы стереть любые ссылки или копирования или репликации этих данных личный. Когда она делает это, что контроллер должен предпринять разумные шаги, с учетом технологии, доступные и средства доступны для контроллера данных, в том числе технических мер, информировать контроллеры, которые обрабатывают персональные данные по требованию субъекта данных.
  2. (67) Методы, используемые для ограничения обработки персональных данных могут включать в себя, включая, временное перемещение выбранных данных в другую систему обработки, удаление доступности выбранных персональных данных пользователей или временного удаления опубликованных данных с сайта. В автоматизированных системах подачи ограничивающих обработки должны в’ Принцип быть обеспечен с помощью технических средств, так что личные данные не подлежат дальнейшую операцию обработки и не могут быть изменены. Тот факт, что обработка персональных данных ограничена будет указано в системе.
  3. (68) В целях дальнейшего усиления контроля над персональными данными, когда обработка персональных данных осуществляется с помощью автоматизированных средств, субъект данных также должен иметь возможность получать личные данные, относящиеся к нему, который предоставил контроллер, структурированное, широко используется и машиночитаемый формат совместимых, и пересылать их на другой контроллер. Контроллеры данных должны включать в себя поощрение nontai разработки совместимых форматов позволяют портативность данных. Это право должно применяться, если субъект данных при условии, что персональные данные с согласием или если обработка необходима для исполнения договора. Она не должна применяться, когда обработка основана на иных, чем согласие или договор полномочий. От природы этого права не должно осуществляться контроллерами, которые обрабатывают персональные данные в исполнении своих общественных обязанностей. Поэтому она должна применяться там, где обработка персональных данных необходима для соблюдения юридических обязательств, к которым контроллер подлежит, или выполнить какую-либо задачу, проводимой в интересах общества или при исполнении служебных полномочий, возложенных на контроллер. Право субъекта данных для передачи или приема персональных данных, относящихся к нему не должен создавать обязательства диспетчеров принимать или поддерживать системы очистки, которые совместимы технически. когда, определенный набор личных данных, затрагиваемые более одного субъекты данных, право на получение персональных данных не должен затрагивать права и свободы других субъектов данных в соответствии с настоящим Положением. дополнительный, это право не должно наносить ущерба праву субъекта данных, чтобы запросить удаление личных данных или ограничения этого права, как это предусмотрено в настоящих Правилах, и, в частности, не должен приводить к удалению персональных данных в отношении субъекта данных личного характера и которое было поставлено им в соответствии с договором, степень и если эти данные необходимы для выполнения настоящего договора. Когда это технически возможно, субъект данных должен иметь право гарантировать, что личные данные передаются непосредственно от одного контроллера на другой.
  4. (69) Если персональные данные могут законно обрабатываться, так как обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, возложенных на контроллере или по причинам законных интересов контролера или третьей стороны, любой субъект данных должен иметь право на пар’ все они возражают против обработки личных данных, относящихся к конкретной ситуации. Это должно быть для контроллера, чтобы доказать, что императивные законные интересы могут переопределять интересы или основные права и свободы субъекта данных.
  5. (70) Если персональные данные обрабатываются для целей прямого маркетинга, субъект данных должен иметь право на объект такой обработки, в том числе и профильное обучение в той степени, которая связана с этой прямой маркетинг, ли первоначальное или для дальнейшей обработки, в любое время и без оплаты. Это право должно быть специально доведено до сведения субъекта данных, и ясно показано отдельно от любой другой информации.

Официальный журнал Европейского Союза 4.5.2016

Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει κάποιο μέτρο, которые оценивают личные аспекты, связанные с ним, получен исключительно автоматизированной обработки и которая производит юридические последствия для этого человека или существенно влияет соответственно, όπως η αυτόματη άρνηση επιγραμμικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Эта процедура включает в себя «профилирование», который состоит из какой-либо формы автоматизированной обработки персональных данных для оценки личных аспектов, связанных с физическим лицом, особенно анализа или прогнозирования аспекты производительности на рабочем месте, экономическая ситуация, здоровье, личные предпочтения или интересы, надежность или поведение, положение или движение субъекта данных, поскольку в законную силу в отношении такого лица или существенно влияет аналогично. однако, решение, основанное на этом лечении, включая профильное обучение, Это должно быть разрешено, если прямо не предусмотрено законом Союза или государства-члена, в котором контроллер подлежит, в том числе для целей мониторинга и предотвращения мошенничества и уклонения от уплаты налогов в соответствии с Положением, стандарты и рекомендации институтов Союза и национальных надзорных органов, а также обеспечить безопасность и надежность услуг, предоставляемых контроллером, или, когда это необходимо для заключения или исполнения договора между субъектом данных и контроллер или когда субъект данных при условии их явного согласия. В любом случае, такая обработка должна быть с учетом соответствующих гарантий, которая должна включать в себя конкретную информацию о субъекте данных и право, обеспечивающее вмешательство человека, право выражения мнения, право на получение причины принятого решения в контексте этой оценки и право оспаривать решение. Эта мера не должна касаться ребенка.

В целях обеспечения справедливого и прозрачного процесса в отношении субъекта данных, принимая во внимание конкретные обстоятельства и контекст, в котором она выполняется обработка персональных данных, контроллер должен использовать соответствующие математические или статистические процедуры для составления профиля, для реализации технических и организационных мер,, исправить факторы, которые приводят к неточностям в личных данных и свести к минимуму риск возникновения ошибок, сделать безопасные персональные данные таким образом, что принимает во внимание потенциальные риски, связанные с интересами и правами субъекта данных и таким образом, что предотвращает, включая, дискриминационные последствия в отношении лиц, на основе расового или этнического происхождения, политическое мнение, религии или убеждений, участие в профсоюзах, генетическое заболевание или состояние здоровья или сексуальной Guidance, или эквивалентные им меры. Η αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ που βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνο υπό ειδικές προϋποθέσεις.

Профилирование в соответствии с правилами настоящих Правил, регулирующих обработку персональных данных, как правовые основания для обработки или данных органов охраны. В этом контексте, Совет Европы о защите данных установлено настоящим Положением («Совет по защите данных») Вы должны быть в состоянии дать указание.

Они могут быть установлены законом Союза или ограничением права государств-членов на некоторых основополагающих принципах и права на информацию, доступ и исправление или уничтожение персональных данных, право на переносимость данных, право на объект, решения, основанные на профилирование, и нарушение личной передачи данных субъекта данных и на некоторых соответствующих обязательства контроллеров, в той степени, которая является необходимым и соразмерным в демократическом обществе для обеспечения общественной безопасности, включая защиту человеческой жизни, особенно в случае природных или техногенных катастроф, профилактика, расследование и судебное преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их предупреждения или нарушений этических норм в регулируемых профессиях, другие важные цели общенародных интересов Союза или государства-члена, в частности, является важными экономическими или финансовыми интересами Союза или государств-члена, соблюдение публичных записей в общих интересах, της περαιτέρω επεξεργασίας αρχειοθετημένων δεδομένων προσωπικού χαρακτήρα για την παροχή συγκεκριμένων πληροφοριών σχετικών με την πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Эти ограничения должны быть в соответствии с требованиями, изложенными в Уставе и Европейской конвенции о защите прав человека и основных свобод.

Он должен установить ответственность и компенсацию контроллера для любой обработки персональных данных, выполняемых контроллером или от имени контроллера. конкретно, контроллер должен быть обязан надлежащим образом осуществлять и эффективно оценивать и быть в состоянии продемонстрировать соответствие технологических операций с настоящими Правилами, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, масштабы и цели обработки и риск прав и свобод личности.

Официальный журнал Европейского Союза

 

  1. (75) Риски для прав и свобод физических лиц, различной вероятности и тяжести, Они могут быть получены в результате обработки персональных данных, которые могут привести к физическому, физическое или не физическое повреждение, особенно, когда лечение может привести к дискриминации, злоупотребления или кражи личных данных, финансовый убыток, ущерб репутации, потеря конфиденциальности личных данных защищены профессиональной тайны, незаконное изъятие psefdonymopoiisis, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль за их персональных данных· когда подвергается обработке персональных данных, раскрывающих расовой или этнического происхождения, политические убеждения, религии или философские убеждения, участие в профсоюзах и переработанные генетические данные, данные, касающиеся здоровья или данных, относящихся к сексуальной жизни или судимостей или преступлений, связанных и меры безопасности· когда личные аспекты оценивали, особенно при попытке анализировать и предсказывать аспекты производительности при работе, экономическая ситуация, здоровье, личные предпочтения или интересы, надежность или поведение, положение или движение, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.
  2. (76) Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, контекст и цель обработки. Этот риск должен быть оценен на объективной оценке, объявляя ли операции по обработке данных включают в себя риск или высокий риск.
  3. (77) Руководство по осуществлению соответствующих мер, а также для демонстрации соответствия контроллера и процессора, в частности, в отношении определения рисков, связанных с лечением, их оценка с точки зрения происхождения, природа, вероятность и степень тяжести и определить оптимальные методы уменьшения рисков, в частности, могут быть предоставлены с утвержденными кодами поведения, утвержденные сертификаты, рекомендации, представленные Советом по защите данных или инструкций при условии, DPO. Совет по защите данных может также выдавать директивы по операциям обработки, которые считаются вряд ли приведет к высокому риску прав и свобод человека и гражданина, который указывает на то, какие меры могут быть достаточными в данном случае для решения относительного риска.
  4. (78) Защита прав и свобод человека в отношении обработки персональных данных требует, чтобы соответствующие технические и организационные меры по обеспечению соблюдения требований настоящих Правил. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, контроллер должен принять внутреннюю политику и осуществлять меры, которые отвечают, в частности принципов защиты данных по конструкции и по умолчанию. Такие меры могут включать в себя, включая, сводя к минимуму обработку персональных данных, psefdonymopoiisi личные данные как можно скорее, прозрачность в отношении функций и обработки персональных данных, чтобы позволить субъекту данные контролировать обработку данных и быть в состоянии контроллера создает и улучшает функцию безопасности. Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, услуг и продуктов на основе обработки персональных данных или вниз обработки персональных данных для выполнения ими своих обязанностей, производители, услуг и приложений, следует поощрять принимать во внимание право на защиту данных, в разработке и проектировании таких продуктов, услуги и приложения, что, принимая во внимание последние события, обеспечение того, чтобы контроллеры и процессоры будут иметь возможность выполнять свои обязательства в отношении защиты данных. Принципы защиты данных по конструкции и по умолчанию также должны быть приняты во внимание при осуществлении государственных закупок.
  5. (79) Защита прав и свобод субъектов данных, а также ответственность и ответственность за ущерб, контроллеры и исполняющей обработку, в том числе в отношении контроля со стороны надзорных органов и надзорных мер, Это требует четкого распределения обязанностей в соответствии с настоящим Положением, включая случай, когда контроллер определяет цели и средства обработки совместно с другими контроллерами или когда операция обработки осуществляется от имени контроллера.
  6. (80) Если контроллер или процессор не установлен в Союзе обработка персональных данных субъектов, которые в Союзе и выполнение мероприятий по обработке, связанные с поставкой товаров или услуг, или требовать компенсации от лица или нет, по этим предметам в Союзе или контроль за их поведением в той степени, что их поведение имеет место в Союзе, контроллер или процессор должен назначить представителя, если обработка не является случайной, не включает в себя обработку, большой масштаб, персональные данные или обработки персональных данных, относящихся к судимостей и правонарушений, и, скорее всего, приведет к опасности для прав и свобод физических лиц, принимая во внимание области видимости, το πλαίσιο, характер и цели обработки, или если контроллер является государственным органом или органом. Представитель должен действовать от имени контроллера или процессора, и которые могут быть адресованы каждому руководителю. Представитель должен быть четко определен

L 119/16

Официальный журнал Европейского Союза 4.5.2016

(81)

γραπτή εντολή του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να ενεργεί εξ ονόματός του όσον αφορά τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού. Назначение представителя не влияет на ответственность или ответственность контроллера или процессор в соответствии с настоящим Положением. Этот представитель должен выполнять свои функции в соответствии с мандатом, предоставленным контроллером или процессором, среди прочего, сотрудничать с компетентными органами каких-либо мер, принятых в целях обеспечения соблюдения настоящих Правил. Назначенный представитель будет зависеть от принудительных процедур в случае несоблюдения контроллера или процессор.

Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπευθύνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, контроллер должен использовать только процессоры, которые предлагают адекватные гарантии, в частности, с точки зрения опыта, доверие и ресурсы, для реализации технических и организационных мер по выполнению требований настоящих Правил, в том числе по безопасности обработки. Присоединение процессора к утвержденному кодексу поведения или одобренной схема сертификации может быть использовано в качестве доказательств, чтобы доказать соответствие с обязательствами контроллера. Обработка процессора должна регулироваться договором или иным правовым актом, основанный на законе Союза или законодательством государств-членов, подключения процессора к контроллеру, который определяет объем и продолжительность лечения, характер и цели обработки, вид личных данных и категорий субъектов данных, принимая во внимание конкретные задачи и функции процессора в рамках обработки будет осуществляться и риск для прав и свобод субъектов данных. Контроллер и процессор может выбрать, чтобы использовать индивидуальный контракт или стандартные условия договора или одобрен непосредственно Комиссией или контролирующего органа в соответствии с механизмом, консистенция и впоследствии одобрен Комиссией. После завершения обработки от имени контроллера, процессор должен, в зависимости от выбора контроллера, вернуть или удалить личные данные, если это не требуется для хранения персональных данных в соответствии с законодательством Союза или законодательством государства-члена, которому принадлежит процессору.

Для того, чтобы быть в состоянии продемонстрировать соблюдение настоящих Правил, контроллер или процессор должен вести учет операций обработки под их ответственность. Каждый контроллер и каждый процессор должны быть обязаны сотрудничать с надзорным органом и делают доступным, по требованию, такие записи, поэтому он может быть использован для мониторинга конкретных операций по обработке.

Для обеспечения безопасности и предотвращение обработки в нарушении настоящих Правил, контроллер или процессор должен оценить риски, связанные с обработкой и осуществлять меры по снижению этих рисков, например, с помощью шифрования. Эти меры должны обеспечить надлежащий уровень безопасности, которая включает в себя конфиденциальную тивность, своевременность, принимая во внимание последние события и стоимость реализации по отношению к рискам и природы персональных данных должны быть защищены. При оценке риска для безопасности данных следует уделять рискам, связанным с обработкой персональных данных, такие как случайное или незаконное уничтожение,, потеря, изменение, несанкционированное раскрытие или доступ к личным данным, передаваемым, сохранены или подвергнуты плоским’ обработаны иным образом, который может привести к физическому, физическое или не физическое повреждение.

Для того, чтобы укрепить соблюдение настоящих Правил при обработке операций может привести к высокому риску прав и свобод человека и гражданина, контроллер будет отвечать за проведение оценки воздействия на защите данных, для оценки, особенно, источник, природа, вероятность и серьезность этого риска. Результатом оценки должны быть приняты во внимание при определении того, какие действия следует предпринять, чтобы продемонстрировать, что обработка персональных данных осуществляется в соответствии с настоящими Правилами. Если оценка воздействия на защиту данных указывает на то, что обработка операций сопряжено с высоким риском, что контроллер не может быть смягчено путем принятия соответствующих мер с точки зрения имеющихся технологий и затрат на внедрение, Они должны проконсультироваться с органом надзора перед обработкой.

Нарушение личных данных может, если не будет решена в адекватной и своевременной, результат в физическом, физический или не физический вред лицам,, такие как потеря контроля над их личными данными или ограничение их права, дискриминационный, злоупотребления или кражи личных данных, финансовый убыток, незаконное изъятие psefdonymopoiisis, ущерб репутации, потеря конфиденциальности личных данных, защищенных от профессиональной тайны или другими важным социальным или экономическим невыгодным для заинтересованного лица. следовательно, как только контроллер

Официальный журнал Европейского Союза

становится известно о нарушении личных данных, должен без задержки, если это возможно, в 72 часы приобретенных знаний о событии, раскрывать нарушения личных данных компетентного надзорный орган, если о контроллер не может доказать,, в соответствии с принципом подотчетности, что нарушение личных данных не может вызвать опасность для прав и свобод личности. Если такое уведомление не может быть достигнуто в течение 72 часов, Уведомление должно сопровождаться обоснованием с указанием причины задержки и информации может быть постепенно поставляется без неоправданной задержки.

  1. (86) Контроллер должен немедленно уведомить субъект данных о нарушении персональных данных, когда нарушение персональных данных может привести к высокому риску прав и свобод личности, для того, чтобы иметь возможность принять необходимые меры предосторожности. В уведомлении должны описать характер нарушения личных данных и рекомендаций по заинтересованному лицу, чтобы смягчить возможные негативные последствия. Эти субъекты данных должны быть сделаны как можно скорее, в тесном сотрудничестве с надзорным органом, соблюдая указания, предоставляемых им или другими соответствующими органами, таких, как сотрудники правоохранительных органов. например, необходимость смягчения неизбежного риска потери требует немедленного уведомления субъектов данных, а также необходимость осуществления соответствующих мер против продолжения или подобных нарушений данных личного характера может служить основанием дольше уведомления.
  2. (87) Следует удостовериться в том, были ли они реализованы все необходимые меры технологической защиты и организационные меры для немедленной идентификации любого личного нарушения данных и незамедлительного уведомления контролирующего органа и субъекта данных. Следует отметить, что раскрытие было сделано без излишней задержки, принимая во внимание, в частности, характер и серьезность нарушения личных данных, а также последствия и побочные эффекты для субъекта данных. Уведомление может привести к вмешательству контролирующего органа, в соответствии с задачами и полномочиями, определенными в настоящих Правилах.
  3. (88) Устанавливая подробные правила, касающиеся формат и процедуры, применимый к уведомлению о персональных данных нарушений, Они должны принимать во внимание обстоятельства такого нарушения, в том числе ли защищены персональные данные с помощью соответствующих технических средств защиты, эффективно ограничивая вероятность мошенничества или других форм жестокого обращения. дополнительный, эти правила и процедуры должны учитывать законные интересы правоохранительных органов, где раннее раскрытие может неоправданно препятствовать расследованию обстоятельств нарушения личных данных.
  4. (89) Директива 95/46 / ЕС предусматривает общее обязательство раскрывать личные данные в надзорные органы. Хотя это обязательство влечет за собой административное и финансовое бремя, Это не помогло, во всех случаях для улучшения защиты персональных данных. поэтому, общие обязательства такое раскрытие, недифференцированный, Они должны быть отменены и заменены на эффективные процедуры и механизмы, которые фокусируются на тех типах операций обработки, которые могут привести к высокому риску прав и свобод человека и гражданина в силу характера, сфера, контекст и их цели. Эти виды операций обработки могут быть те,, особенно, в том числе использования новых технологий или нового типа, когда он ранее проводил оценку воздействия в отношении защиты данных от контроллера или когда они необходимы из-за время, прошедшее от первичной обработки.
  5. (90) В этих случаях, контроллер, до лечения, следует провести оценку воздействия в отношении защиты данных, оценить конкретную вероятность и тяжесть высокого риска, принимая во внимание природу, степень, Контекст и назначение источников обработки и риски. Такая оценка воздействия должна включать в себя, особенно, планируемые мероприятия, гарантии и механизмы, которые уменьшают этот риск, обеспечение защиты персональных данных и продемонстрировать соблюдение настоящих Правил.
  6. (91) Это будет особенно актуально для крупных операций обработки масштаба, направленных на обработку значительного количества персональных данных на региональном, национальный или наднациональный уровень, которые могут повлиять на большое количество субъектов данных и которая может привести к высокому риску, например, из-за их чувствительности, когда в соответствии с существующим технологическим уровнем знаний используется новая технология широко, и другие операции обработки, которые приводят к высокому риску прав и свобод субъектов данных, в частности, когда такие действия препятствуют осуществлению прав субъектов данных. Кроме того, следует проводить оценку воздействия в отношении защиты данных, когда персональные данные обрабатываются в наступающих решения, касающиеся конкретных лицо, после систематической и тщательной оценки личных аспектов, связанных с обучением лиц, на основе

 

Официальный журнал Европейского Союза

профили на основе этих данных, или после обработки определенных категорий персональных данных, биометрические данные или данные, относящиеся к преступлениям и судимостей или связанные с ними меры безопасности. Оценка воздействия на защите данных также необходима для мониторинга общедоступных зон в больших масштабах, особенно при использовании для оптоэлектронных устройств или любой другой работы, если компетентный орган сочтет, что обработка может привести к высокому риску прав и свобод субъектов данных, в частности потому, что не позволяет субъектам данных осуществлять какие-либо права или использовать услугу или контракт или потому, что систематически проводят в больших масштабах. Обработка персональных данных не должно считаться основным, если обработка относится к персональным данным пациентов и врачей как частных клиентов, других профессиональных медицинских или адвокат. В таких случаях, оценка воздействия защиты данных не должна быть обязательной.

Есть случаи, когда это может быть разумным и экономическим субъектом оценки воздействия в отношении защиты данных, превышающего один проект, например, когда государственные органы или органы намерены создать общее приложение или обработку платформу или более контроллеры планируют ввести общую заявку или среду обработки для промышленного сектора или отрасли или для широко используемой горизонтальной активности.

По версии законодательству государства-члена, лежащего в основе исполнения обязанностей государственного органа или государственного органа, который регулирует действие или ряд операций по обработке, Государства-члены могут счесть необходимым провести эту оценку до лечебных мероприятий.

Если оценка воздействия, связанные с защитой данных позволяет предположить, что лечение, без гарантий, меры безопасности и механизмы для снижения риска, может привести к высокому риску прав и свобод человека и контроллер считает, что риск не может быть смягчено путем разумных мер в отношении имеющихся технологий и стоимость реализации, следует проконсультироваться с надзорным органом до начала деятельности по переработке. Такой высокий риск, вероятно, произойдут от определенной обработки и в определенной степени обработки и частот, так что даже повреждение или вмешательство прав и свобод личности. Надзорный орган должен ответить на запрос на консультацию в течение определенного периода. однако, Отсутствие реакции контролирующего органа в течение указанного срока не должно затрагивать какое-либо вмешательства контролирующего органа, в соответствии с задачами и полномочиями, определенными в настоящих Правилах, включая запрещение обработки операций власти. В рамках этого процесса консультаций, может быть представлен в надзорный орган результата оценки воздействия на защите данных, проведенной в связи с обработкой выпуска, в частности, меры, при условии, чтобы снизить риск для прав и свобод личности.

Процессор должен оказывать помощь контроллеру, при необходимости и по запросу, в целях обеспечения соблюдения обязательств, вытекающих из проведения оценки воздействия на защите данных и предварительных консультациях контролирующего органа.

Консультации с органом надзора также должны быть выполнены во время подготовки законодательной или нормативной меры в соответствии с которым обработка персональных данных, для обеспечения соответствия предполагаемой обработки с настоящими Правилами и, особенно, Для снижения рисков для субъекта данных.

Если обработка осуществляется государственным органом, за исключением судов или независимые судебные органы, действуя в их судебной компетенции, при условии, частный сектор, обработка, выполняемая контроллер, основная деятельность которых связана операция обработки, которые требуют регулярного и систематического мониторинга субъектов данных в крупном масштабе, или если основные действия контроллера или процессор масштабны обработки специальных категорий персональных данных и данных, касающихся судимости и правонарушения,

Официальный журнал Европейского Союза

люди с опытом работы в области права и защиты данных практики должны помогать контроллеру или процессору в мониторинге внутренних соответствии с настоящими Правилами. В частном секторе, основные операции контроллера, связанный с основной деятельностью, а не обработку персональных данных в качестве вспомогательной деятельности. Необходимый уровень опыта должен быть определен, в частности, в соответствии с обработкой данных, осуществляемой защитой, которые требуют, чтобы персональные данные обрабатываются контроллером или процессор. Эти сотрудники по защите данных, независимо от того, являются ли они сотрудниками контроллера, Вы должны быть в состоянии выполнять свои обязательства и обязанности независимым образом.

  1. (98) Соединения или другие объекты, которые представляют категорию контроллеров или процессоры следует поощрять рисовать коды, в рамках настоящих Правил, в целях содействия эффективного осуществления настоящих Правил, принимая во внимание специфические характеристики обработки, проводимой в определенных областях и конкретных потребностей микро-, малые и средние предприятия. конкретно, οι εν λόγω κώδικες δεοντολογίας θα μπορούσαν να ρυθμίζουν τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, принимая во внимание риск, который может возникнуть в результате обращения к правам и свободам лиц.
  2. (99) При составлении кодекса поведения или изменения или расширения такого кода, ассоциации и другие органы, представляющие категории контроллеров или процессоров должны проконсультироваться с заинтересованными сторонами, в том числе по субъектам данных, где это возможно, и принимать во внимание любые замечания, представленные и эти мнения, высказанные в ходе этих консультаций.
  3. (100) В целях повышения прозрачности и соблюдения настоящих Правил, θα πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας των δεδομένων, επιτρέποντας στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.
  4. (101) Οι ροές δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Расширение этих потоков создают новые проблемы и проблемы, связанные с защитой персональных данных. однако, когда личные данные передаются из Союза к контроллерам, процессоры или другие получатели в третьих странах или международных организациях, Уровень не должен подрывать защиту лиц, который гарантирует Союзу настоящие Правила, в том числе, где дальнейшие переводы личных данных в третьи страны или международной организации контроллеров и процессоров в той же или другой третьей страны или другой международной организации. В любом случае, переводы в третьи страны и международные организации могут быть уведомлены осуществляются только в полном соответствии с настоящими Правилами. Передача может происходить только тогда, когда, в соответствии с другими положениями настоящих Правил, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.
  5. (102) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και προβλέπουν κατάλληλες εγγυήσεις για τα υποκείμενα των δεδομένων. Государства-члены могут заключать международные договоры, предусматривающие передачу персональных данных третьим странам или международным организациям, поскольку эти соглашения не затрагивают положения настоящих Правил или других положения закона Союза и включают в себя соответствующий уровень защиты основных прав субъектов данных.
  6. (103) Комиссия может принять решение, с эффектом для всего Союза, что в третьей стране, почвы или конкретный сектор в третьей стране или международной организации, предлагают адекватный уровень защиты данных и тем самым сохранить правовую определенность и единообразие на всей территории Союза в отношении третьей страны или международной организации, которая считается обеспечить такой уровень защиты. В таких случаях, личные данные в этой третьей стране или международной организации, может быть выполнены без необходимости запрашивать другую лицензию. Комиссия может также принять решение об отмене этого решения, на уведомление и обоснование заявления на третьей страны или международной организации.
  7. (104) В соответствии с основными принципами Союза, в частности, защита прав человека, Комиссия должна, при оценке третьей страны или территории или конкретного сектора в третьей стране, принимать во внимание уважает ли данная третья страна законности, Доступ к правосудию, и международные нормы и стандарты в области прав человека, а также общие и отраслевые законы, по, в том числе законодательства о государственной безопасности, обороны и национальной безопасности, и государственная политика и уголовное право. Решение Адекватность Версия для поля почвы или в третьей стране должно быть

 

Официальный журнал Европейского Союза

составляют четкие и объективные критерии, В качестве конкретных мероприятий по обработке и объема применимых правовых норм и законодательства в третьей стране. Третья страна должна предложить гарантии, которые обеспечивают адекватный уровень защиты, по существу, эквивалентно тому, что обеспечивается в Союзе, особенно если обработка персональных данных осуществляется в одном или нескольких конкретных областях. конкретно, третья страна должна обеспечить эффективный независимый контроль защиты данных и предоставляет механизмы для взаимодействия с органами по защите данных в государствах-членах, не субъекты данных должны иметь в своем распоряжении эффективно и юридически закрепленное право, а также возможность эффективной административной и судебной помощи.

Помимо международных обязательств третьей страны или международной организации, Комиссия должна учитывать обязательства, вытекающие из ее участия в третьей стране или международной организации, в рамках многосторонних или региональных системах, в частности, в отношении защиты персональных данных, как применение таких обязательств. должен, особенно, учитывать присоединения третьей страны в Конвенции Совета Европы от 28 января 1981 о защите частных лиц в отношении автоматизированной обработки персональных данных и Дополнительного протокола. Комиссия должна консультироваться с Советом по защите данных консультируются всякий раз при оценке уровня защиты третьих стран или международных организаций.

Комиссия должна следить за работой решений на уровне защиты в третьей стране, почвы или удельная площадь третьей страны или международной организации, а также контролировать работу решений, принятых в соответствии со статьей 25 пункт 6 или статьи 26 пункт 4 Директива 95/46 / EC. Решения квалификации, Комиссия должна предусматривать периодический обзор работы. Этот периодический обзор следует проводить в консультации с третьей страной или международной организации, и следует принимать во внимание все соответствующие изменения в третьей стране или международной организации. Для целей мониторинга и проведение периодических обзоров, Комиссия должна принять во внимание мнения и выводы Европейского Парламента и Совета, и другие соответствующие органы и источники. Комиссия должна оценить, в течение разумного периода времени, работа последних решений и сообщать о любых соответствующих выводах Комитета по смыслу Правил (Евросоюз) нет. 182/2011 Европейский парламент и Совет (1), в порядке, установленном настоящим Положением, Европейский парламент и Совет.

IEpitropimporeinadiapistoseiotimiatritichora,edafosisygkekrimenostomeasmiastritischorasienasdiethnis корпус не обеспечивает адекватный уровень защиты данных. поэтому, Он должен запретить передачу персональных данных в этой третьей стране или международной организации, если не требования настоящих Правил, касающихся трансферты с учетом соответствующих гарантий, включая обязательные корпоративные правила, и исключения для особых ситуаций. В этом случае, Они должны включать в себя проведение консультаций между Комиссией и такими третьими странами или международными организациями. Комиссия должна, своевременно, информировать третью страну или международную организацию на основании и вступать в консультации для урегулирования ситуации.

Решение Адекватность Отсутствие, контроллер или процессор должен принять меры, чтобы компенсировать отсутствие защиты данных в третьей стране через соответствующие гарантии для субъекта данных. Такие соответствующие меры предосторожности могут включать в себя использование обязательных корпоративных правил, Стандартные положения о защите данных, принятые Комиссией, Стандартные положения о защите данных, принятые надзорным органом или договорных положений утверждаются наблюдательным органом. Такие гарантии должны обеспечивать соблюдение требований по защите данных и право субъектов данных, в свете обработки в рамках Союза, В том числе матема- наличие юридически прав Robust субъектов данных и реальные средства правовой защиты, такие, как включающие в себя право на эффективное административное или судебное действие и требования о возмещении, в Союзе или в третьей стране. Они должны быть связаны, в частности, в соответствии с общими принципами, регулирующими обработку персональных данных и принципов защиты данных по конструкции и по умолчанию. Переводы также могут осуществляться государственными органами или учреждениями, с органами государственной власти или органами в третьи страны или международные организации, которые имеют аналогичные задачи или обязанности, в том числе в соответствии с положениями, которые будут включены в административные механизмы, как меморандум, где они эффективны и законно при условии сильного права субъектов данных. Разрешение компетентного органа надзора должно быть получено, если гарантии предусмотрены в юридически обязательном административные настройки.

Способность контроллера или процессора, чтобы использовать стандартные положения о защите данных, утвержденных Комиссией или органом аудита не должно препятствовать контроллеры или процессоры включают стандартные положения о защите данных в более широком договоре, как контракт между процессором и другими выполнения

Официальный журнал Европейского Союза

обработка, ни добавить другие положения или дополнительные гарантии, если они не противоречат, прямо или косвенно, для утверждения Комиссии или надзорный орган или договорные положения нарушают основные права и свободы субъектов данных. Контроллеры и процессоры должны быть предложены предоставить дополнительные гарантии в рамках договорных обязательств, являются дополнением к существующим положениям о защите данных.

  1. (110) Группа компаний, а также группа компаний, занимающихся совместной экономической деятельности, Вы должны быть в состоянии использовать утвержденных обязательных корпоративных правил для международных переводов из Союза организаций в рамках одной и той же группы компаний или группы компаний, занимающихся совместной экономической деятельности, если такие корпоративные правила включают в себя все основные принципы и права на получение правовой защиты, обеспечить надлежащие меры безопасности для передачи или категорий персональных данных переводов.
  2. (111) Возможность перевода в некоторых случаях могут быть сделаны, когда субъект данных при условии их явного согласия, если передача является случайной и необходимой в связи с договором или судебным иском, либо в судебном разбирательстве или в каком-либо административном или внесудебном процессе, в том числе в производстве до регулирующих органов. Возможность перевода также должна быть, где важные причины общественных интересов устанавливаются законом Союза или государства-членов этого требует или когда передача осуществляется из реестра, установленного законом и предназначенная для получения информации от общественности или лиц, имеющих законный интерес. В последнем случае, эта передача не должна охватывать всю совокупность данных или целых категорий персональных данных, содержащихся в реестре и, когда регистр предназначен для получения информации от лиц, имеющих законный интерес, передача должна осуществляться только по просьбе этих лиц или, будь то те передачи получателей, с полным учетом интересов и основных прав субъекта данных.
  3. (112) Эти отступления должны, в частности, относятся к передаче данных с просьбой и необходимых для важных причин, представляющих общественный интерес, например, в случаях международного обмена данных между органами по вопросам конкуренции, налоговые или таможенные органы, среди финансовых руководителей, между учреждениями, отвечающими за социальное обеспечение и здравоохранение, например, в случае контакта трассировки для обнаружения инфекционных заболеваний или для того, чтобы уменьшить и / или устранить легирование (легирование) спортивный. Передача персональных данных также следует считать правомерным, где это необходимо для защиты интересов, который имеет важное значение для жизненно важных интересов субъекта данных или другого лица,, в том числе и для физической целостности или жизни, если субъект данных не в состоянии дать согласие. Решение Адекватность Отсутствие, Союз закон или закон государства-члена может, по серьезным причинам, представляющим общественный интерес, явно предусматривает ограничения на передачу определенных категорий данных в третьей стране или международной организации. Государства-члены должны уведомить эти положения Комиссии. Любая передача международного гуманитарного персонала организации данных характера субъекта, который не имеет естественную или правоспособностью давать согласие, который предназначен для выполнения обязанностей в соответствии с Женевскими конвенциями или соблюдать нормы международного гуманитарного права во время вооруженных конфликтов, Это может рассматриваться как необходимые для хорошего дела общественного интереса или потому, что она намерена жизненно важных интересов субъекта данных.
  4. (113) Переводы, которые идентифицируемые разовые и которые касаются ограниченного числа субъектов данных также может быть разрешено за счетом преобладающих законных интересов, преследуемого контроллер, когда интересы или права и свободы субъекта данных не отменяют эти интересы, когда контроллер оценил все обстоятельства передачи данных. Контроллер должен обратить особое внимание на характере личных данных, цель и продолжительность предлагаемых операций или операций по обработке, и ситуация в стране происхождения, третья страна и страна конечного назначения, и предоставлять услуги, соответствующие гарантии для защиты основных прав и свобод физических лиц в отношении защиты персональных данных. Эти переводы должны быть возможны только в тех случаях, когда ни одна из других целей передачи. Для целей научных или исторических исследований или статистических целей, Они должны учитывать законные ожидания общества для повышения знаний. Контроллер должен информировать надзорный орган и субъект данных для передачи.
  5. (114) В любом случае, если Комиссия не получила решение о достаточности уровня защиты данных в третьей стране, контроллер или процессор должен будет найти решение, которые могут обеспечить в отношении обработки их данных в Союзе субъектов данных эффективны и юридически закрепленное право после передачи таких данных, продолжать пользоваться основными правами и гарантиями.

L 119/22 (115)

Официальный журнал Европейского Союза 4.5.2016

Некоторые третьи страны принимают законы, нормативные акты и иные правовые акты, которые направлены непосредственно регулируют деятельность по обработке физических и юридических лиц, находящихся под юрисдикцией государств-членов. Это может включать в себя судебные решения или решения административных органов в третьих странах, которые требуют контроллера или процессора для передачи или раскрывать персональные данные, которые не основаны на международном соглашении, например, Конвенция о взаимной правовой помощи в силе между соответствующей страной и Союзом или государствами-членом, запрашивающей. Экстерриториальное применение этих законов, нормативные и иные правовые акты могут нарушать международное право и препятствовать достижению защиты лиц, гарантированных в Союзе настоящего Положения. Перевод должен быть разрешен, только если условия настоящих Правил на переводы в третьи страны. Это может произойти, включая, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστα­ τεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. поэтому, υπάρχει ανάγκη να προωθηθεί η στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας των δεδομένων, ώστε να διευκολύνονται να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους. Для разработки механизмов международного сотрудничества в целях содействия и обеспечения международной взаимной помощи в обеспечении соблюдения законодательства о защите данных, Комиссия и надзорные органы должны обмениваться информацией и сотрудничать в деятельности, связанной с осуществлением своих полномочий компетентными органами третьих стран, на основе взаимности и в соответствии с настоящими Правилами·

Создание надзорных органов в государствах-членах, уполномоченный выполнять свои обязанности и осуществлять свои полномочия в полной независимости, Она является важным компонентом защиты физических лиц в отношении обработки их персональных данных. Государства-члены должны иметь возможность устанавливать больше контролеров, в зависимости от конституционного, организационно-управленческая структура.

Независимость надзорных органов не должно означать, что надзорные органы не могут быть предметом механизмов проверки или контроля с точки зрения их финансовых расходов или судебного рассмотрения.

В случае, если государство-член вводит больше контролеров, следует создать механизмы по праву, для обеспечения эффективного участия этих надзорных органов в механизме консистенции. Государство-член должно назначить, особенно, контролирующий орган, который является единственной точкой контакта для эффективного участия этих органов в механизме, чтобы обеспечить быстрое и беспрепятственное сотрудничество с другими контролирующими органами, Совет по защите данных и комиссии.

В каждом супервизоре должны быть предоставлены финансовые и людские ресурсы, объектов и инфраструктуры, которые необходимы для эффективного выполнения своих функций, в том числе касающегося взаимной помощи и сотрудничество с другими контролирующими органами по всему Союзу. Каждый руководитель должен иметь отдельный, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί τμήμα τού συνολικού κρατικού ή εθνικού προϋπολογισμού.

Οι γενικές προϋποθέσεις για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, особенно, ότι τα εν λόγω μέλη θα διορίζονται, με διαφανή διαδικασία, είτε από το κοινοβούλιο, την κυβέρνηση ή τον αρχηγό κράτους του κράτους μέλους βάσει προτάσεως της κυβέρνησης, μέλους της κυβέρνησης, του κοινοβουλίου ή τμήματος του κοινοβουλίου, είτε από ανεξάρτητο όργανο επιφορτισμένο προς τούτο από το δίκαιο των κρατών μελών. Προκειμένου να διασφαλισθεί η ανεξαρτησία των εποπτικών αρχών, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν θα πρέπει να ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη. Η εποπτική αρχή θα πρέπει να διαθέτει δικό της προσωπικό, το οποίο επιλέγεται από την εποπτική αρχή ή από ανεξάρτητο φορέα που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους, και να τελεί υπό την αποκλειστική καθοδήγηση του μέλους ή των μελών της εποπτικής αρχής.

Κάθε εποπτική αρχή θα πρέπει να είναι αρμόδια, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, να ασκεί τις εξουσίες και να εκτελεί τα καθήκοντα που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Αυτό θα πρέπει να καλύπτει ιδίως την επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο έδαφος του δικού του κράτους μέλους, обработка персональных данных осуществляется государственными органами или частными организациями, действующими в интересах общества, обработка, которая влияет на исходные данные на территории или переработки осуществляется

Официальный журнал Европейского Союза

Контроллер или процессор не установлен в Союзе, когда целевые субъекты данных, проживающих на ее территории. Это должно включать в себя рассмотрение жалоб, представленных субъектом данных, Исследования по реализации настоящего Положения, и повышение осведомленности общественности об опасностях, правила, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

  1. (123) Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή, χωρίς να απαιτείται κάποια συμφωνία μεταξύ των κρατών μελών για την παροχή αμοιβαίας συνδρομής ή για τέτοια συνεργασία.
  2. (124) Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα κράτη μέλη ή όταν η επεξεργασία που πραγματο­ ποιείται στο πλαίσιο των δραστηριοτήτων της μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση επηρεάζει ουσιωδώς ή είναι πιθανόν να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη, ως επικεφαλής αρχή ενεργεί η εποπτική αρχή για την κύρια εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή για τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Θα πρέπει να συνεργάζεται με τις άλλες ενδιαφερόμενες αρχές, διότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση στο έδαφος του κράτους μέλους τους, потому что субъекты данных, проживающие на их территориях существенного влияния или потому, что жалоба была подана. также, когда субъект данных, которые не проживают в этом государстве-члене подает жалобу, надзорный орган, к которому приложение должно также быть обеспокоены супервизор. В рамках своих обязанностей выдавать директивы по любому вопросу, связанному с выполнением настоящих Правил, Совет по защите данных должен быть в состоянии давать руководящие указания, в частности, критерии, которые следует принимать во внимание при определении, влияет ли такое лечение материально субъектов данных в нескольких государствах-членах и что представляет собой актуальную и мотивированное возражение.
  3. (125) Главный орган должен быть уполномочен принимать обязательные решения о мерах по выполнению задач, возложенных на него в соответствии с настоящим Положением. В своем качестве ведущего органа, η εποπτική αρχή θα πρέπει να μεριμνά για την ενεργό συμμετοχή και τον συντονισμό των ενδιαφε­ ρόμενων εποπτικών αρχών κατά τη διαδικασία λήψης αποφάσεων. Όταν η απόφαση απορρίπτει, полностью или частично, прекращение субъекта данных, это решение должно быть одобрено наблюдательным органом, которому была подана жалоба.
  4. (126) Решение должно быть согласовано совместно с главным руководителем и надзорные органы, и должны быть адресованы к основному или единственной установке контроллера или процессора и быть обязательные для контроллера и процессора. Контроллер или процессор должен принять необходимые меры для обеспечения соблюдения этого регулирования и осуществлением решения уведомлены главным руководителем в основной установке контроллера или процессоре в отношении деятельности по обработке Союз.
  5. (127) Каждый контролирующий орган не выступает в качестве руководителя ведущего должен быть компетентным, чтобы иметь дело с местными делами, где контроллер или процессор устанавливается в более чем одном государстве-члене, но объект обработки только обработки, которая происходит в одном государстве-члене, и относится к субъектам данных в этом государстве-члене только, например, когда субъект обработки персональных данных работников в частности занятости в государстве-члене. В таких случаях, η εποπτική αρχή θα πρέπει να ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Αφού ενημερωθεί, η επικεφαλής εποπτική αρχή θα πρέπει να αποφασίζει εάν θα επιληφθεί της υπόθεσης σύμφωνα με τη διάταξη σχετικά με τη συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και άλλων ενδιαφερόμενων εποπτικών αρχών («μηχανισμός μίας στάσης»), ή εάν θα πρέπει να επιληφθεί της υπόθεσης σε τοπικό επίπεδο η εποπτική αρχή που την ενημέρωσε. Όταν αποφασίζει εάν θα επιληφθεί της υπόθεσης, главный надзорный орган должен принять во внимание, есть ли объект контроллера или процессор в государстве-члене надзорного органа сообщил,, в целях обеспечения эффективного исполнения решения от контроллера или процессора. когда

 

Официальный журнал Европейского Союза

Главный надзорный орган принимает решение о рассмотрении дела, надзорный орган сообщил, должен быть в состоянии представить проект решения, который должен возглавить наблюдательный орган принять максимальную счет при подготовке проекта решения в контексте механизма один-стоп.

Правила на главном руководитель и механизме один-стоп не должны применяться, когда обработка осуществляются государственными органами или частными учреждениями в интересах общества. В таких случаях, единственный контролирующий орган правомочен осуществлять полномочия, возложенные в соответствии с настоящим Положением, должен быть надзорным органом государства-члена, где оно установлено, что государственный орган или частная организация.

Для обеспечения постоянного контроля за соблюдением настоящих Правил, в течение всего Союза, Надзорные органы должны иметь в каждом государстве-члене одни и те же обязанности и те же реальные полномочия, в том числе следственных полномочий, корректирующие полномочия и санкции, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, без ущерба для полномочий судебного преследования в соответствии с законодательством государства-члена, власть ссылаться на нарушения положений настоящих Правил в судебные органы и участвовать в судебных разбирательствах. Эти полномочия должны также включать в себя право налагать временные или окончательные обработки ограничения, в том числе запрета на принятие. Государства-члены могут назначить определенные другие задачи, связанные с защитой персональных данных в соответствии с настоящим Положением. Полномочия контролирующих органов должны осуществляться в соответствии с надлежащими процессуальными гарантиями, установленными в законодательстве ЕС и законодательством государств-членов, беспристрастно, справедливо и в течение разумного периода времени. особенно, каждая мера должна соответствовать, необходимым и соразмерным, в целях обеспечения соблюдения настоящих Правил, с учетом обстоятельств каждого конкретного случая, уважать право быть услышанным каждому человеку, прежде чем какой-либо отдельной меры против него, и, чтобы избежать ненужных затрат и чрезмерное бремя на лиц, заинтересованных. Следственные полномочия в отношении доступа в помещение должны осуществляться в соответствии с конкретными требованиями процессуального права государства-члена, такие как требование предварительного судебного выдачи разрешения. Любые юридически обязательные меры надзорного органа должны быть сделаны в письменной форме, быть четким и недвусмысленным, государственный надзорный орган, выдавший, дата выдачи, быть подписан руководителем или членом контролирующего органа уполномоченных им, изложить причины, по мере и право на эффективное средство правовой защиты. Это не должно исключать возможность дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязательного решения, которое может включать в себя, возможно, может быть предметом судебного контроля в государстве-члене контролирующего органа, выдавшего решение.

Если контролирующий орган, к которому жалоба не была ведущим супервизор, главный надзорный орган должен тесно сотрудничать с наблюдательным органом, которому была подана жалоба в соответствии с положениями, касающимися обеспечения сотрудничества и согласованности в настоящих Правилах. В таких случаях, главный руководитель должен, принятие мер предназначенные для создания правовых последствий, такие как административные штрафы, обратить особое внимание мнения контролирующего органа, к которому было подана жалоба, и которые должны оставаться ответственными за проведение какого-либо из государств-членов исследования на местах в связи с компетентным надзорным органом.

Когда другой надзорный орган должен выступать в качестве главного руководителя для обработки деятельности контроллера или процессора, но этот вопрос действия или любого нарушение касается только перерабатывающих деятельностей контроллера или процессора в государстве-члене, где была подана жалоба или нашла какое-либо нарушение, и этот вопрос не оказывает существенное влияние или могут оказать существенное влияние на субъектах данных в других государствах-членах, контролирующий орган, который принимает жалобу или находит или информируются в противном случае ситуаций, связанные с нарушениями настоящих Правил, должен проводить дружественное урегулирование с контроллером и, εάν αυτό αποδειχθεί ανεπιτυχές, να ασκεί το πλήρες εύρος των εξουσιών της. Τούτο θα πρέπει να περιλαμβάνει: специфическое лечение осуществляется на территории государства-члена контролирующего органа либо в отношении данных субъектов на территории этого государства-члена· Обработка осуществляется в контексте поставки товаров и услуг, предназначенный специально для основных данных на национальной территории, контролирующий орган или обработок, которые должны быть оценены, принимая во внимание соответствующие правовые обязательства в соответствии с законодательством государства-члена.

Мероприятия по повышению осведомленности по надзорным органам, предназначенных для общественности, должны будет включать конкретные меры для контроллеров и процессоров, В комплекте Enon микро, малые и средние предприятия, и лица, в частности, в сфере образования.

Официальный журнал Европейского Союза

  1. (133) Надзорные органы должны поддерживать друг друга в выполнении своих обязанностей и оказывать друг другу взаимную помощь, обеспечить последовательное применение и соблюдение настоящих Правил на внутреннем рынке. Наблюдательный орган просьбы о взаимной помощи может принять обеспечительные меры, если он не получит ответ на просьбу о помощи в течение одного месяца с момента получения запроса от другого руководителя.
  2. (134) Каждый руководитель должен, где это уместно, участвовать в совместных операциях с другими органами надзора. Надзорный орган, к которому следует требовать просьба ответить на запрос в течение определенного периода времени.
  3. (135) Для обеспечения последовательного применения настоящих Правил, в течение всего Союза, будет когерентности механизм должен быть создан для сотрудничества между надзорными органами. Ο εν λόγω μηχανισμός θα πρέπει να εφαρμόζεται ειδικότερα όταν μια εποπτική αρχή σκοπεύει να θεσπίσει μέτρο που πρόκειται να παραγάγει έννομες συνέπειες όσον αφορά πράξεις επεξεργασίας που επηρεάζουν ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα κράτη μέλη. Θα πρέπει να εφαρμόζεται επίσης όταν κάποια ενδιαφερόμενη εποπτική αρχή ή η Επιτροπή ζητούν τον χειρισμό της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Ο εν λόγω μηχανισμός δεν θα πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.
  4. (136) При применении механизма согласованности, Совет по защите данных должен выдать заключение, в течение определенного периода, решить, если это большинство его членов или по требованию контролирующего органа или Комиссии. Совет по защите данных также должен быть уполномочен издавать юридически обязательные решения, когда существует различие между руководителями. Για τον σκοπό αυτό, должен выдать, квартира’ принцип большинством в две трети его членов, юридически обязательные решения в четко определенных случаях, когда существуют противоречивые мнения между надзорными органами, ιδίως στο πλαίσιο του μηχανισμού συνεργασίας μεταξύ της επικεφαλής εποπτικής αρχής και των ενδιαφερόμενων εποπτικών αρχών επί της ουσίας της υποθέσεως, в частности, есть ли нарушение настоящих Правил.
  5. (137) Там может быть острая необходимость в принятии мер по защите прав и свобод субъектов данных, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σημαντικά η άσκηση δικαιώματος ενός υποκειμένου των δεδομένων. поэтому, надзорный орган должен быть в состоянии должным образом принять временные меры оправданных на своей территории с определенным сроком действия, который не должен превышать три месяцев.
  6. (138) Применение этого механизма должно быть условием для законности мер, принятых наблюдательным органом для того, чтобы иметь юридическую силу в тех случаях, когда его применение является обязательным. В других случаях приграничном интереса, Механизм сотрудничества должен применяться между Ведущим органом и соответствующими надзорными органами, не надзорные органы могут прибегнуть к взаимной помощи и совместным предприятиям, двусторонний или многосторонний, без срабатывания механизма непротиворечивости.
  7. (139) В целях содействия последовательного осуществления настоящих Правил, Совет по защите данных должен быть создан как независимый орган Союза. Для достижения целей, Совет по защите данных является юридическим лицом. Совет по защите данных должен быть представлен его Председателем. Вы должны заменить защитную группу лиц, в отношении обработки персональных данных, установленных в соответствии с Директивой 95/46 / EC. Он должен состоять из руководителя контролирующего органа от каждого государства-члена и Европейского инспектора по защите данных или их соответствующих представителей. Комиссия должна участвовать в его деятельности Совета по защите данных без права голоса и инспектор по защите данных Европейских должен иметь специальные права голоса. Совет по защите данных должен способствовать последовательному применению настоящих Правил, в течение всего Союза, включая предоставление рекомендаций Комиссии, в частности, на уровне защиты в третьих странах или международных организациях, и содействие сотрудничеству между контролирующими органами по всему Союзу. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του.
  8. (140) Совет по защите данных следует оказывать помощь секретариата, предоставленный Европейский инспектор по защите данных. Персонал Европейской защиты данных супервизора, участвующих в выполнении задач, возложенных на Совет по защите данных на основании настоящих Правил, должны выполнять свои обязанности исключительно по поручению Председателя Совета по защите данных и информировать его о.
  9. (141) Каждый субъект данных должен иметь право на подачу жалобы одного контролирующего органа, особенно в государстве-члене обычного места жительства, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, если он считает, что нарушены его права, предусмотренные настоящими Правилами, или если контролирующий орган не действует по жалобе, полностью или частично отклонить или объявить жалобу неприемлемой или

 

Официальный журнал Европейского Союза

Он не действует и должен действовать, чтобы защитить права субъекта данных. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Надзорный орган должен информировать субъекта данных о ходе и результатах жалобы в разумные сроки. Если случай требует дальнейшего изучения или координации с другим надзорным органом, необходимо предусмотреть промежуточный обновят данные, подлежащие. Для того, чтобы облегчить подачу жалоб, каждый контролирующий орган должен принимать такие меры, как предоставление Формы жалобы, которая может быть завершена в электронном виде, без учета других средств связи.

Когда субъект данных считает, что нарушены его права в соответствии с настоящим Положением, Вы должны иметь право назначать некоммерческую организацию, орган или организация, зарегистрированная в соответствии с законодательством государства-члена, Она имеет уставные цели, которые в интересах общества и активных корней в области защиты персональных данных, жалуются на его имени руководителя, осуществлять право на судебном процессе от имени субъекта данных или, если это предусмотрено законодательством государства-члена, право на получение компенсации от имени данных субъектов. Государство-член может предусмотреть, что этот орган, οργανισμός ή οργάνωση να έχει το δικαίωμα να υποβάλει σε αυτό το κράτος μέλος καταγγελία, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, και δικαίωμα πραγματικής δικαστικής προσφυγής, όταν έχει λόγους να θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση του παρόντος κανονισμού. тело, учреждение или организация не может иметь право требовать компенсации от имени субъекта данных, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων.

Любое физическое или юридическое лицо имеет право подать в суд об отмене решения Совета по защите данных перед судом в соответствии с условиями, изложенными в статье 263 TFEU. Как получатели этих решений, надзорные органы, которые хотят обижать должны подать апелляцию в течение двух месяцев с момента их уведомления, в соответствии со статьей 263 TFEU. Если решения Совета по защите данных непосредственно и индивидуально касается контроллера, процессор или жалоба, они могут подать иск об отмене этих решений в течение двух месяцев с момента публикации этих решений на веб-сайте SymvouliouProstasias данных, в соответствии со статьей 263 TFEU. С учетом этого права в соответствии со статьей 263 TFEU, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Эти решения, касающиеся, в частности, осуществление полномочий следствия и процессуальных и лицензионных полномочий контролирующего органа или в тех случаях, когда жалобы считаются неприемлемыми или отклоненные. однако, эффективное средство правовой защиты не распространяется на меры, которые руководители не являются юридически обязательными, такие мнения или советы, предоставляемые контролирующим органом. Иск против контролирующего органа должны быть переданы в суд государства-члена, где созданы и проводятся в соответствии с процессуальным законодательством этого государства-члена надзорный орган. Эти суды должны осуществлять полную юрисдикцию, который должен включать в себя полномочие рассматривать все фактические и юридические вопросы, касающиеся дела в ожидании перед ними.

Όταν μια καταγγελία έχει απορριφθεί ή κριθεί απαράδεκτη από εποπτική αρχή, ο καταγγέλλων μπορεί να κινήσει διαδικασία ενώπιον των δικαστηρίων στο ίδιο κράτος μέλος. Στο πλαίσιο των δικαστικών προσφυγών που σχετίζονται με την εφαρμογή του παρόντος κανονισμού, τα εθνικά δικαστήρια τα οποία θεωρούν ότι μια απόφαση επί του ζητήματος είναι αναγκαία για την έκδοση της δικής τους αποφάσεως μπορούν ή, στην περίπτωση που προβλέπεται στο άρθρο 267 TFEU, вынуждено просить суд о вынесении предварительного постановления о толковании права Европейского Союза, в том числе настоящих Правил. дополнительный, когда решение надзорный орган, реализующий Решение Совета Приватность оспорено в национальном суде и оспаривал законность решения Совета по защите данных, что национальный суд не имеет полномочий, чтобы объявить недействительным решение Совета по защите данных, но он должен передать вопрос о действительности в Суд в соответствии со статьей 267 TFEU ​​в интерпретации Суда, если он считает, что решение недействительным. однако, ένα εθνικό δικαστήριο δεν μπορεί να παραπέμψει το ζήτημα του κύρους μιας απόφασης του Συμβουλίου Προστασίας Δεδομένων κατόπιν αιτήματος φυσικού ή νομικού προσώπου που είχε τη δυνατότητα να ασκήσει προσφυγή ακυρώσεως κατά της αποφάσεως αυτής, ιδίως εάν η απόφαση αυτή το αφορούσε άμεσα και ατομικά, αλλά δεν το έπραξε εντός της προθεσμίας που προβλέπεται από το άρθρο 263 TFEU.

Σε περίπτωση που ένα δικαστήριο επιληφθεί διαδικασίας που έχει κινηθεί κατά απόφασης εποπτικής αρχής και έχει λόγους να θεωρεί ότι έχει κινηθεί διαδικασία για την ίδια επεξεργασία, όπως για το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία ή για την ίδια αιτία, ενώπιον αρμόδιου δικαστηρίου σε άλλο κράτος μέλος, θα πρέπει να επικοινωνεί με το εν λόγω δικαστήριο για να επιβεβαιώσει την ύπαρξη αυτής της συναφούς διαδικασίας. Αν η συναφής διαδικασία εκκρεμεί ενώπιον δικαστηρίου σε άλλο κράτος μέλος, κάθε

Официальный журнал Европейского Союза

δικαστήριο εκτός εκείνου που έχει επιληφθεί πρώτο δύναται να αναστείλει τη διαδικασία του ή δύναται, по просьбе одной из сторон, отказаться от юрисдикции в пользу суда первой рассматривающим, если этот суд обладает юрисдикцией для этой процедуры и ее закон допускает ОБЪЕДИНЕНИЕ этих процедур, связанных. Рассмотренные соответствующие процедуры, связанные друг с другом настолько тесно, что это целесообразно судить и судить вместе, чтобы избежать риска несовместимых решений, как было бы, если отдельное производство.

  1. (145) Для процедур внутри контроллера или процессора, заявитель должен быть в состоянии выбрать возбуждать дела в судах государства-члена, где контроллер или процессор имеет учреждение или в государстве-члене проживания субъекта данных, если контроллер не является органом государственной власти государства-члена, действующего в осуществлении государственных полномочий.
  2. (146) Любой ущерб, понесенные лицом, в результате обработки в нарушение настоящих Правил, должны быть компенсированы контроллером или процессором. Контроллер или процессор должен быть освобожден от ответственности за ущерб, если они могут доказать, что они не несут никакой ответственности за ущерб,. Понятие ущерба должно быть широко интерпретировано в свете дела таким образом, чтобы в полной мере принимать во внимание цели настоящих Правил. Это не влияет на какие-либо претензии о возмещении ущерба, Практикующие за нарушение других норм права Союза или государств-членов. Обработанные в нарушении настоящих Правил, должен также включать в себя любое обращение в нарушении плоско’ делегированы и реализации актов, принятых в соответствии’ осуществление настоящих Правил и законодательства государств-членов, который определяет правила настоящих Правил. Субъекты данных должны получать полную и эффективную компенсацию за причиненный ущерб. Если контроллеры или процессоры участвуют в этом процессе, каждый контроллер данных или процессор должен нести ответственность за полную потерю. однако, когда отнесено правосудием, в соответствии с законодательством государств-членов, компенсация может быть распределена в зависимости от ответственности каждого контроллера данных или процессора за ущерб, причиненный в результате обработки, υπό την προϋπόθεση ότι διασφαλίζεται η πλήρης και ουσιαστική αποζημίωση του υποκειμένου των δεδομένων που υπέστη τη ζημία. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που κατέβαλε πλήρη αποζημίωση μπορεί ακολούθως να προσφύγει κατά άλλων υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία που συμμετέχουν στην ίδια επεξεργασία.
  3. (147) Σε περίπτωση που ο παρών κανονισμός περιέχει ειδικούς κανόνες δικαιοδοσίας, ιδίως όσον αφορά διαδικασίες με τις οποίες ασκείται δικαστική προσφυγή, μεταξύ άλλων για αποζημίωση, κατά υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία, οι γενικοί κανόνες δικαιοδοσίας όπως οι προβλεπόμενοι στον κανονισμό (Евросоюз) нет. 1215/2012 Европейский парламент и Совет (1) δεν θα πρέπει να θίγουν την εφαρμογή αυτών των ειδικών κανόνων.
  4. (148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, в дополнение или вместо соответствующих мер, необходимых надзорным органом в соответствии с настоящими Правилами. В случае незначительного нарушения, или штраф, который может быть наложен будет представлять собой несоразмерное бремя частных лиц, может быть наложен штраф, а не выговор. Тем не менее, они должны быть надлежащим образом приняты во внимание природу, тяжесть и продолжительность нарушения, намеренный характер нарушения, предпринятые действия по снижению вреда, степень ответственности или каких-либо других соответствующих предыдущих преступлений, путь, в котором надзорный орган информируется о нарушении, соблюдение мер против контроллера или процессора, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, должно быть предметом надлежащих процессуальных гарантий в соответствии с общими принципами права ЕС и Устав, symperilam CD- эффективной судебной защиты и должного процесса.
  5. (149) Государства-члены должны установить правила о наказаниях за нарушение настоящих Правил, в том числе за нарушение национальных правил, принятых в’ применение и в рамках настоящих Правил. Οι εν λόγω ποινικές κυρώσεις μπορούν επίσης να συνίστανται σε αποστέρηση από τα οφέλη που αποκτήθηκαν χάριν των παραβάσεων του παρόντος κανονισμού. однако, Уголовные штрафы за нарушение таких национальных правил и административных санкции не должны приводить к нарушению принципа пе бис в IDEM, в интерпретации Суда.
  6. (150) Для укрепления и гармонизации административных санкций в отношении нарушений настоящих Правил, каждый контролирующий орган должен иметь право налагать административные штрафы. Настоящие Правила должны быть указаны нарушения, и потолок, а также критерии для определения соответствующих административных штрафов, который должен быть определен компетентным органом в каждом отдельном случае, принимая во внимание все соответствующие обстоятельства сложившейся ситуации, с учетом особенно в природе, тяжесть и продолжительность нарушения и его последствий, а также меры, принятые для

(1) регулирование(Евросоюз)arith.1215 / 2012touEfropaikouKoinovoulioukaitouSymvouliou,tis12isDekemvriou2012, giatidiethnidikaiodosia, признание и исполнение судебных решений по гражданским и коммерческим делам (OJ L 351 из 20.12.2012, р. 1).

 

Официальный журнал Европейского Союза

обеспечение выполнения обязательств, вытекающих из настоящих Правил, а также для предотвращения или смягчения последствий нарушения. Если штрафы наложены на предприятие, бизнес должен означать обязательство в соответствии со статьями 101 και 102 TFEU ​​для этих целей. Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε πρόσωπα που δεν είναι επιχειρήσεις, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, и экономическое положение человека, при рассмотрении соответствующей суммы штрафа. Механизм консистенции также может быть использован для содействия последовательного исполнения административных штрафов. Θα πρέπει να εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές. Наложение административного штрафа или предупреждения не влияют на применение других полномочий контролирующих органов или других санкций в соответствии с настоящими Правилами.

В правовых системах, Дании и Эстонии не предусмотрены штрафы, как это определено в настоящих Правилах. Правила, касающиеся административных штрафов могут применяться таким образом, чтобы Дании штраф, наложенный компетентными национальными судами в качестве уголовного наказания в Эстонии и штрафа, наложенного надзорным органом в производстве по проступкам, при условии, что такое применение правил в тех государствах-членах, имеющих эквивалентное действие штрафах, налагаемых контролирующими органами. поэтому, компетентные национальные суды должны принимать во внимание рекомендацию контролирующего органа, от которого штрафа. в любом случае, штрафы должны быть эффективными, соразмерные и.

При этом Правила не гармонизировать административные санкции или при необходимости в других случаях, например, в случае серьезных нарушений настоящих Правил, Государства-члены должны внедрить систему эффективных, соразмерные и сдерживающие санкции. Характер этих наказаний, уголовный или административный, Это должно быть определено в соответствии с законодательством государств-членов.

Закон государств-членов должны согласовать правила, регулирующие свободу выражения мнений и информации, включая журналистику, университет, художественное или литературное выражение, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, если необходимо согласовать право на защиту персональных данных, имеющим право на свободу выражения мнений и информации, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. поэтому, Государства-члены должны принять законодательные меры для обеспечения необходимых исключений и отступления для балансировки этих основных прав. Государства-члены должны ввести такие исключения и отступления на общих принципах, права субъекта данных, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, сотрудничество и согласованность и конкретные ситуации обработки данных. Если такие исключения или исключения отличаются от одного государства-члена к другому, следует применять закон государства-члена, в котором контроллер подлежит. Для того, чтобы отразить важность права на свободу слова в любом демократическом обществе, необходимо толковать в широком смысле понятия, относящееся к указанной свободе, таких как журналистика.

Такое регулирование позволяет учитывать принцип публичного доступа к официальным документам в применении настоящих Правил. Доступ общественности к официальным документам, можно рассматривать как общественный интерес. Личные данные в документах, проводимых органами государственной власти или государственным органом должны быть раскрыты публично этим органом или органом, если раскрытие информации предусмотрены законодательством Союза или государства-члена законом, которому государственный орган подлежит или государственный орган. Такие законы должны согласовать доступ общественности к официальным документам и повторное использование информации государственного сектора с правом защиты персональных данных и может, συνεπώς, να προβλέπουν την αναγκαία συμφιλίωση με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει εν προκειμένω να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από το δίκαιο κράτους μέλους σχετικά με την πρόσβαση του κοινού σε έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1) δεν θίγει και δεν επηρεάζει

Официальный журнал Европейского Союза

κατά κανένα τρόπο το επίπεδο προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων του ενωσιακού δικαίου και του δικαίου των κρατών μελών και ιδίως δεν μεταβάλλει τις υποχρεώσεις και τα δικαιώματα που θεσπίζονται στον παρόντα κανονισμό. конкретно, η εν λόγω οδηγία δεν θα πρέπει να εφαρμόζεται σε έγγραφα στα οποία η πρόσβαση απαγορεύεται ή περιορίζεται δυνάμει των καθεστώτων πρόσβασης για λόγους προστασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε τμήματα εγγράφων που είναι προσβάσιμα δυνάμει των εν λόγω καθεστώτων και περιέχουν δεδομένα προσωπικού χαρακτήρα η εκ νέου χρήση των οποίων προβλέπεται από το δίκαιο ότι είναι ασυμβίβαστη με το δίκαιο που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

  1. (155) В национальном законодательстве или коллективных договорах, включая «трудовые соглашения, Конкретные правила могут быть приняты для обработки персональных данных работников в контексте занятости, в частности, условия, при которых личные данные в контексте занятости могут быть обработаны на основе согласия работника, для целей набора, выполнение трудового договора, включая выполнение обязательств, предусмотренных законом или коллективным договором, управление, планирование и организация работы, Равенство и разнообразие в рабочем месте и охране здоровья и безопасности на рабочем месте, и для целей тренировки и удовольствия, индивидуально или коллективно, Права и льготы, связанные с трудоустройством в целях прекращения трудовых отношений.
  2. (156) Обработка персональных данных для архивных целей в интересах общества, исторические или научные исследования или статистические цели должны быть предметом соответствующих гарантий прав и свободы субъекта данных в соответствии с настоящими Правилами. Эти гарантии должны обеспечивать, чтобы технические и организационные меры, которые гарантируют установленные, частности, принцип минимизации данных. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος της επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (такие как, например, η ψευδωνυμοποίηση των δεδομένων). Государства-члены должны предусмотреть соответствующие гарантии на обработку персональных данных для архивных целей в интересах общества, Цели научного или исторического исследования или статистических целей. Это должно позволить государствам-членам обеспечить, при определенных обстоятельствах и с соответствующими гарантиями для субъектов данных, требования и исключение, касающееся требования к информации и право исправления и удаления, право быть забытым, может ограничить обработку,право на переносимость данных и право возражать против обработки персональных данных для архивных целей в интересах общества, Цели научного или исторического исследования или статистических целей. Οι εν λόγω προϋποθέσεις και εγγυήσεις ενδέχεται να συνεπάγονται ειδικές διαδικασίες, ώστε τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα αυτά, εφόσον είναι σκόπιμο για τους σκοπούς που επιδιώκονται με τη συγκεκριμένη επεξεργασία, παράλληλα με τεχνικά και οργανωτικά μέτρα που αποσκοπούν στην ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις αρχές της αναλογικότητας και της αναγκαιότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστη­ μονικούς σκοπούς θα πρέπει να συμμορφώνεται επίσης με άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.
  3. (157) Συνδυάζοντας πληροφορίες από μητρώα, οι ερευνητές μπορούν να αποκτούν νέες γνώσεις μεγάλης σημασίας όσον αφορά διαδεδομένες παθολογικές καταστάσεις όπως καρδιαγγειακά νοσήματα, καρκίνος και κατάθλιψη. Βάσει των μητρώων, τα αποτελέσματα των ερευνών μπορούν να ενισχύονται, δεδομένου ότι στηρίζονται σε ευρύτερη πληθυσμιακή βάση. Στις κοινωνικές επιστήμες, исследования, основанные на использовании регистров дают исследователям возможность приобрести необходимые знания для долгосрочной корреляции определенных социальных ситуаций, такие как безработица и образование с другими условиями жизни. Результаты исследований, полученные через регистры обеспечивают надежные и качественные знания, которые могут служить основой для разработки и осуществления политики, основанной на знаниях, улучшить качество жизни некоторых людей и повышение эффективности социальных услуг. С целью научного исследования, личные данные могут быть обработаны для целей научных исследований, при наличии соответствующих условий и гарантий, изложенные в законе Союза или государства-члена права.
  4. (158) Если персональные данные обрабатываются в архивных целях, Это правило должно также применяться к такой обработке, имея в виду, что это правило не должно применяться к умершим. Государственные органы и общественные или частные организации поддерживают файлы общественных интересов должны быть услуги,, в соответствии с законодательством Союза или законодательством государства-члена, провел уставные обязательства по приобретению, для поддержания, оценить, классифицировать, описывать, общаться, содействовать, να διαδίδουν και να παρέχουν πρόσβαση σε αρχεία σταθερής αξίας για το γενικό δημόσιο συμφέρον. Государства-члены также должны быть предоставлено право предоставлять дальнейшую обработку персональных данных для архивных целей, например, для того, чтобы предоставить конкретную информацию о политическом поведении в бывших авторитарных режимах, геноцид, преступления против человечности, особенно Холокоста, или военные преступления.

 

Официальный журнал Европейского Союза

Если персональные данные обрабатываются для целей научных исследований, Это правило должно применяться к этому лечению. Для целей настоящих Правил, обработка персональных данных для целей научных исследований, следует толковать широко, т.е. включающий, например, технологического развития и демонстрации, фундаментальные исследования, прикладные исследования и частные средства исследования. дополнительный, следует принимать во внимание цель Союза в соответствии со статьей 179 пункт 1 TFEU ​​для достижения европейского исследовательского пространства. В научных исследованиях должны включать исследования, проводимые в интересах общества в сфере общественного здравоохранения. Для того, чтобы принять во внимание особенности персональных данных для целей научных исследований, особые условия должны применяться, в частности, в отношении публикации или иного разглашения персональных данных в контексте научно-исследовательских целей. Если результат научных исследований, в частности, в секторе здравоохранения оправдывает дальнейшие действия в интересах субъекта данных, общие правила, применимые к настоящим Правилам в отношении мер.

Если персональные данные обрабатываются для исторических исследовательских целей, Это правило должно также применяться к такой обработке. Включите здесь исторические исследования и исследования для генеалогических целей, имея в виду, что это правило не должно применяться к умершим.

Для согласия на участие в научных исследованиях в клинических испытаниях, следует применять соответствующие положения Правил (Евросоюз) нет. 536/2014 Европейский парламент и Совет (1).

Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για στατιστικούς σκοπούς, Это правило должно применяться к этому лечению. Το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών θα πρέπει, в рамках настоящих Правил, να καθορίζει το στατιστικό περιεχόμενο, управление доступом, τις προδιαγραφές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και κατάλληλα μέτρα που διασφαλίζουν τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και που αποσκοπούν στην εξασφάλιση του στατιστικού απορρήτου. Ο όρος «στατιστικοί σκοποί» σημαίνει κάθε πράξη συλλογής και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την πραγματοποίηση στατιστικών ερευνών ή για την παραγωγή στατιστικών αποτελεσμάτων. Τα εν λόγω στατιστικά αποτελέσματα μπορούν να χρησιμοποιηθούν περαιτέρω για διάφορους σκοπούς, μεταξύ άλλων και για σκοπούς επιστημονικής έρευνας. Ο στατιστικός σκοπός συνεπάγεται ότι το αποτέλεσμα της επεξεργασίας για στατιστικούς σκοπούς δεν είναι δεδομένα προσωπικού χαρακτήρα αλλά συγκεντρω­ τικά δεδομένα και ότι το αποτέλεσμα αυτό ή τα δεδομένα προσωπικού χαρακτήρα δεν χρησιμοποιούνται προς υποστήριξη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο φυσικό πρόσωπο.

Будет ли конфиденциальная информация, собранная ЕС и национальными статистических управления должна быть защищена для подготовки официального ЕС и национальной статистики. Европейская статистика должна быть разработана, они разработаны и распространены в соответствии со статистическими принципами, изложенными в статье 338 пункт 2 TFEU, в то время как национальные статистические данные также должны соответствовать законодательству государств-членов. регулирование (ЕС) нет. 223/2009 Европейский парламент и Совет (2) Он обеспечивает дополнительный diefkri niseis о конфиденциальности статистической информации по европейской статистике.

Что касается полномочий надзорных органов в целях обеспечение контроллера или доступ процессора персональных данных и доступа к его помещению, Государства-члены могут принять закон, в рамках настоящих Правил, особые правила в целях сохранения профессиональных обязанностей секретности или других обязательств эквивалента секретности, в объем, необходимый для компрометации защиты персональных данных права характера с обязательством профессиональной тайны. Это не наносит ущерба существующим обязательствам государства-члены принять правила профессиональной тайны, где в соответствии с законодательством ЕС.

Это Правило уважает и не наносит ущерб статуса согласно действующему конституционному закону церквей и религиозных объединений или общин, в государствах-членах, как это признается в статье 17 TFEU.

Для выполнения целей настоящих Правил, а именно защита основных прав и свобод человека и, особенно, του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα που

  1. (1) регулирование (Евросоюз) нет. 536/2014 Европейский парламент и Совет, της 16ης Απριλίου 2014, για τις κλινικές δοκιμές φαρμάκων που προορίζονται για τον άνθρωπο και για την κατάργηση της οδηγίας 2001/20/ΕΚ (OJ L 158 из 27.5.2014, р. 1).
  2. (2) регулирование (ЕС) нет. 223/2009 Европейский парламент и Совет, της 11ης Μαρτίου 2009, σχετικά με τις ευρωπαϊκές στατιστικές και την κατάργηση του κανονισμού (ЕС, Ευρατόμ) нет. 1101/2008 Европейский парламент и Совет по передаче в Статистическом бюро Европейских сообществ субъекта данных в статистическую конфиденциальность, регулирование (ЕС) нет. 322/97 Совет по статистике Сообщества, и решение 89/382 / ЕЕС, Евратом создания комитета Европейской статистической программы (OJ L 87 из 31.3.2009, р. 164).

 

Официальный журнал Европейского Союза

беспокойство, и обеспечение свободы передвижения в личных данных Союза, будет власть принимать акты должны быть переданы Комиссии в соответствии со статьей 290 TFEU. конкретно, Они должны быть приняты в’ делегированные акты, касающиеся критерии и требования к механизмам сертификации, информация, представленная в стандартных иконок и процедур для предоставления таких иконок. Это особенно важно, чтобы Комиссия проводить соответствующие консультации, в ходе подготовительной работы, в том числе на уровне экспертов. Комиссия, при подготовке и втягивания’ делегированные акты, должны обеспечивать одновременное, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

  1. (167) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όταν προβλέπεται από τον παρόντα κανονισμό. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (Евросоюз) нет. 182/2011. В этом контексте, η Επιτροπή θα πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.
  2. (168) Процедура экспертизы должна применяться для принятия исполнителей актов в отношении стандартных договорных условий между контроллерами и процессорами, а также между процессорами· коды· технические стандарты и механизмы сертификации· соответствующий уровень защиты в третьей стране, грунт или конкретный сектор в этой третьей страны или международной организации,· Стандартные условия для защиты· форматы и процедуры для электронного обмена информацией между контроллерами, процессоры и контролирующие органы для обвязки корпоративных правил· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.
  3. (169) Комиссия должна немедленно принять применимые реализующие акты, где имеющиеся данные свидетельствуют о том, что третьи страны, почвы или конкретный сектор в третьей стране или международном органе не обеспечивает адекватный уровень защиты и требуют веской актуальности.
  4. (170) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, а именно для обеспечения эквивалентного уровня защиты лиц, и свободного движения личных данных во всем Союзе, не может быть в достаточной степени достигнута государствами-членами, может, однако,, Причина масштаба или последствия предлагаемого действия, может быть лучше достигнута на уровне Союза, Союз может принять меры, соответствии с принципом субсидиарности, как это предусмотрено в статье 5 Договора о Европейском Союзе (ДФЭ). В соответствии с принципом пропорциональности, при условии, в этой статье, настоящий Регламент не выходит за рамки того, что необходимо для достижения этой цели.
  5. (171) Директива 95/46 / ЕС должен быть отменен настоящим Положением. Обработка уже ведется на дату применения настоящих Правил, должны быть приведены в соответствие с настоящими Правилами в течение двух лет с момента вступления в силу настоящих Правил. Когда обработка основана на согласии в соответствии с Директивой 95/46 / EC, нет необходимости нового согласия субъекта данных, если путь, в котором было получено согласие в соответствии с положениями настоящих Правил, заказать контроллер для продолжения обработки после даты применения настоящих Правил. Комиссии решения и супервайзеры разрешение, выданное в соответствии с Директивой 95/46 / ЕС будет оставаться в силе до тех пор поправки, заменить или удалить их.
  6. (172) Мы консультировались с ЕС о защите данных супервизора в соответствии со статьей 28 пункт 2 регулирование (ЕС) нет. 45/2001, который он поставил на 7 марш 2012 (1).
  7. (173) Настоящие Правила должны применяться ко всем вопросам, касающимся защиты прав и основных свобод в связи с обработкой персональных данных и которые не подпадают под конкретные обязательства с той же целью, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), включая обязательство контроллера и права лиц,. Для выяснения отношений между настоящими Правилами и Директива 2002/58 / EC, что Директива должна быть соответствующим образом изменена. После принятия этого правила, Вы должны пересмотреть директивы 2002/58 / EC, в частности, для обеспечения его соответствия настоящих Правил,

ПРИНЯЛИ ЭТО РЕГУЛИРОВАНИЕ:

Официальный журнал Европейского Союза

Глава I

общие положения

статья 1

Цели и задачи

4.5.2016

EL

1. Настоящее Положение устанавливает правила, касающиеся защиты лиц в отношении обработки персональных данных и правил о свободном перемещении личных данных.

2. Настоящее Положение защищает основные права и свободы физических лиц, и в частности их право на защиту персональных данных.

3. Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

статья 2

Основная сфера деятельности

1. Настоящие Правила применяются к, полностью или частично, Автоматизированная обработка персональных данных, и ручная обработка таких данных, включенных или которые должны быть включены в систему подачи.

2. α) б)

с) d)

Настоящие Правила не распространяются на обработку персональных данных: при деятельности, которая выходит за рамки закона Союза,

Государства-члены при осуществлении деятельности, которые входят в сферу капитала 2 V ДФЭ Название,

физическое лицо в ходе чисто личной или бытовой деятельности,

компетентными органами в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

3.
Ένωσης, εφαρμόζεται ο κανονισμός (ЕС) нет. 45/2001. регулирование (ЕС) нет. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, в частности, правила, касающиеся ответственности посреднических услуг изложены в статьях 12 до 15 этой Директивы.

статья 3

Εδαφικό πεδίο εφαρμογής

1. Настоящие Правила применяются к обработке персональных данных в контексте деятельности в создании контроллера или процессоре в Союзе, независимо от того, выполняется обработка в рамках Союза.

Для обработки персональных данных учреждений, органы, ведомства и учреждения

4.5.2016 Официальный журнал Европейского Союза L 119/33

EL

2. Настоящие Правила применяются к обработке персональных данных субъектов данных, которые находятся в Союзе контроллера или процессор не установлено в Союзе, если деятельность по переработке, связанной с:

α) поставки товаров или услуг по этим предметам в базе Союза, является ли оплата требуется субъекты данных, или

б) контроль за их поведением, в той степени, что это поведение имеет место в рамках Союза.

3. Настоящие Правила применяются к обработке персональных данных контроллера не установлен в Союзе, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

статья 4

Ορισμοί

  1. 1) «δεδομένα προσωπικού χαρακτήρα»: любая информация, относящаяся к идентифицированным или идентифицируемым физическим лицом («Данные»)· идентифицируемости индивид одна личность которого может быть проверена, прямо или косвенно, в частности, со ссылкой на ID элемента аутентификации, такие как имя, идентификационный номер, в данных о местоположении, онлайн идентификатор или одного или нескольких факторов, характерных для физического, нормальный, генетический, психологический, экономической, культурная или социальная идентичность этого индивида,
  2. 2) «Обработка»: любое действие или ряд действий, совершаемых или без автоматических средств, персональные данные или наборы персональных данных символов, такие как сбор, регистрация, организация, структура, экономить, адаптации или вариации, восстановление, поиск информации, использование, раскрытие посредством передачи, распространение или иное предоставление, корреляция или комбинация, ограничение, удаления или уничтожения,
  3. 3) «Ограничение обработки»: маркировка сохраненных персональных данных с целью ограничения их обработки в будущем,
  4. 4) «Профилирование»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, особенно для анализа или прогнозирования аспектов, связанных с показателями работы, экономическая ситуация, здоровье, личные предпочтения, интересы, надежность, поведение, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
  5. 5) «ψευδωνυμοποίηση»: обработка персональных данных, так что данные больше не может быть отнесены к идентифицированному субъекту данных без использования дополнительной информации, где такая дополнительная информация хранится отдельно и с учетом технических и организационных мер для обеспечения того, что они не могут быть отнесены к идентифицированным или идентифицируемым физическим лицом,
  6. 6) «Подача системы»: любой структурированный набор личных данных, который доступен по конкретным критериям, либо централизованной, децентрализованной или дисперсной на функциональной или географической основе,
  7. 7) «Контроллер»: физическое или юридическое лицо,, публичная власть, учреждение или другое юридическое лицо, самостоятельно или совместно с другими, определить цели и средства обработки персональных данных· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, контроллер или конкретные критерии для его назначения может быть предусмотрен законом Союза или законодательством государства-члена,
  8. 8) «Процессор»: физическое или юридическое лицо,, публичная власть, агентство или иной орган, который обрабатывает персональные данные от имени контроллера,
  9. 9) «Получатель»: физическое или юридическое лицо,, публичная власть, учреждение или другое юридическое лицо, который раскрыл персональные данные, или нет третьего. однако, государственные органы могут принимать

Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

L 119/34

Официальный журнал Европейского Союза 4.5.2016

10)

11)

12)

13)

14)

15)

16)

персональные данные конкретного расследования в соответствии с законодательством Союза или государства-члена не рассматривается в качестве получателей· обработка таких данных этими государственными органами осуществляется в соответствии с правилами защиты данных в зависимости от целей обработки,

«Третья сторона»: любое физическое или юридическое лицо,, публичная власть, отдел или агентство, за исключением субъекта данных, контроллер, процессор и лиц,, под непосредственным руководством контроллера или процессора, Они имеют право на обработку персональных данных,

«Согласие» субъект данных: каждый признак умысла, бесплатно, специфические, Явный и осознанное, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, обрабатывать персональные данные, относящиеся,

«Личные данные нарушения»: нарушение безопасности приводит к случайному или незаконному уничтожению, потеря, изменение, несанкционированное раскрытие или доступ к личным данным, которые были переданы, сохранены или подвергнуты плоским’ в противном случае обрабатывается,

«Генетические данные»: персональные данные, относящиеся к индивидуальным генетическим характеристикам наследственным или приобретенным, как они появляются, особенно, биологического анализа проб личности и которые предоставляют уникальную информацию о физиологии и здоровья этого человека,

«βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, такие, как лица изображений, или данные пальца назначения,

«Данные о здоровье»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

«κύρια εγκατάσταση»:

  1. α) когда дело доходит до контроллера с сайтами в более чем одном государстве-члене, место центрального управления Союза, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,
  2. б) когда речь идет о процессоре с сайтами в более чем одном государстве-члене, место центрального управления Союза или, если процессор не имеет центрального управления в Союзе, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, постольку, поскольку процессор является предметом особых требований в соответствии с настоящим Положением,

«Представитель»: физическое или юридическое лицо, учрежденное в Союзе, определены в письменном виде контроллера или процессора в соответствии со статьей 27 и представляет собой контроллер или процессор в качестве их соответствующих обязательств в соответствии с настоящим Положением,

«Бизнес»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, в том числе партнерства или ассоциации, регулярно занимающихся хозяйственной деятельностью,

«Группа предприятий»: контрольное предприятие и его контролируемые предприятия, которые,

«Связующие корпоративные правила»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

17)

18)

19) 20)

21)

«εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

EL

4.5.2016 Официальный журнал Европейского Союза L 119/35

  1. 22) «ενδιαφερόμενη εποπτική αρχή»: Орган надзора в отношении обработки персональных данных, потому что:
    1. α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής,
    2. б) субъекты данных, проживающие в государстве-члене этого контролирующего органа являются или могут быть в значительной степени зависит от работы или
    3. с) Он подал жалобу в надзорный орган,
  2. 23) «Крест обработка»:
    1. α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκατα­ στάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή
    2. б) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,
  3. 24) «σχετική και αιτιολογημένη ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, или за соблюдение настоящих Правил предлагаемое действие по отношению к контроллеру или процессор, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, где это уместно, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,
  4. 25) «υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 пункт 1 στοιχείο β) της οδηγίας (Евросоюз) 2015/1535 Европейский парламент и Совет (1),
  5. 26) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

    ΚΕΦΑΛΑΙΟ II

    Αρχές

    статья 5

    Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1. Τα δεδομένα προσωπικού χαρακτήρα:

  1. α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
  2. б) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 пункт 1 («περιορισμός του σκοπού»),
  3. с) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
  4. d) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

(1) инструкция (Евросоюз) 2015/1535 Европейский парламент и Совет, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (OJ L 241 из 17.9.2015, р. 1).

EL

L 119/36 ε)

στ)

Официальный журнал Европейского Союза 4.5.2016

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, для целей научных или исторических исследований или статистических целей, в соответствии со статьей 89 пункт 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1

статья 6

Νομιμότητα της επεξεργασίας

2. («λογοδοσία»).

EL

1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

  1. α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
  2. б) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα καταίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  3. с) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
  4. d) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
  5. ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με: α) το δίκαιο της Ένωσης, или
б) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, включая: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των

4.5.2016 Официальный журнал Европейского Союза L 119/37

EL

δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 пункт 1, контроллер, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, включая:

  1. α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,
  2. б) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,
  3. с) природа персональных данных, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, в соответствии со статьей 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, в соответствии со статьей 10,
  4. d) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
  5. ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

    статья 7

    Προϋποθέσεις για συγκατάθεση

1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

4. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, включая, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.

статья 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

1. Όταν εφαρμόζεται το άρθρο 6 пункт 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.

L 119/38 Официальный журнал Европейского Союза 4.5.2016

EL

2. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

статья 9

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

  1. α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
  2. б) обработка необходима для выполнения обязательств и осуществления некоторых прав контролера или субъекта данных в области трудового права и права социального обеспечения и социальной защиты, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
  3. с) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
  4. d) η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,
  5. ε) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

στ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

  1. ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
  2. η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
  3. θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, или

4.5.2016 ι)

Официальный журнал Европейского Союза L 119/39

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 пункт 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

EL

3.
σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, биометрические данные или данные, касающиеся здоровья.

статья 10

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 пункт 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.

статья 11

Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

1. Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για το σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.

2. когда, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. В таких случаях, τα άρθρα 15 ως 20 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.

ΚΕΦΑΛΑΙΟ III

Δικαιώματά του υποκειμένου των δεδομένων

Τμήμα 1

Διαφάνεια και ρυθμίσεις

статья 12

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 до 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, включая, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους

L 119/40 Официальный журнал Европейского Союза 4.5.2016

EL

2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 до 22. В случаях, предусмотренных в статье 11 пункт 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 до 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 до 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής.

5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 до 22 и статьи 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, или

б) να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6. Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 до 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Если иконки доступны в электронном виде, είναι μηχανικώς αναγνώσιμα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατεξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.

Τμήμα 2

Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

статья 13

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, контроллер, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

  1. α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где это уместно, του εκπροσώπου του υπευθύνου επεξεργασίας,
  2. б) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, где это уместно,
  3. с) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

4.5.2016 d)

ε) στ)

Официальный журнал Европейского Союза L 119/41

εάν η επεξεργασία βασίζεται στο άρθρο 6 пункт 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,

τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

где это уместно, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 или 47 ή στο άρθρο 49 пункт 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

EL

2.
δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:

Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, контроллер, κατά τη λήψη των

  1. α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
  2. б) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
  3. с) όταν η επεξεργασία βασίζεται στο άρθρο 6 пункт 1 στοιχείο α) ή στο άρθρο 9 пункт 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
  4. d) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
  5. ε) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,

στ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, включая профильное обучение, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Когда контроллер планирует обрабатывать персональные данные для любых целей, кроме тех, для которых личные данные, собранные, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, перед указанным дальнейшей обработкой, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

4. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες,

статья 14

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

  1. α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где это уместно, του εκπροσώπου του υπευθύνου επεξεργασίας,
  2. б) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, где это уместно,
  3. с) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
  4. d) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  5. ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, возможно,

L 119/42 Официальный журнал Европейского Союза 4.5.2016

EL

στ) где это уместно, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 или 47 ή στο άρθρο 49 пункт 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

  1. α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
  2. б) εάν η επεξεργασία βασίζεται στο άρθρο 6 пункт 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
  3. с) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
  4. d) όταν η επεξεργασία βασίζεται στο άρθρο 6 пункт 1 στοιχείο α) ή στο άρθρο 9 пункт 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
  5. ε) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

στ) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, включая профильное обучение, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:

  1. α) εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,
  2. б) εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, или
  3. с) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, контроллер данных должен предоставить субъекту данных, перед указанным дальнейшей обработкой, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5. Οι παράγραφοι 1 до 4 δεν εφαρμόζονται εάν και εφόσον:

  1. α) το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
  2. б) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, для целей научных или исторических исследований или статистических целей, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 пункт 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. В таких случаях, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό,
  3. с) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
  4. d) εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

4.5.2016 Официальный журнал Европейского Союза L 119/43

EL

статья 15

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

  1. α) τους σκοπούς της επεξεργασίας,
  2. б) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  3. с) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
  4. d) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
  5. ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

  1. ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
  2. η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, включая профильное обучение, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.

3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Τμήμα 3

Διόρθωση και διαγραφή

статья 16

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

статья 17

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ в противном случае обрабатывается,

L 119/44 б)

с)

d) ε)

στ)

Официальный журнал Европейского Союза 4.5.2016

το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 пункт 1 στοιχείο α) ή το άρθρο 9 пункт 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 пункт 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 пункт 2,

τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 пункт 1.

EL

2.
την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, контроллер, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3. α) б)

с) d)

ε)

Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,

για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 пункт 2 στοιχεία η) και θ), καθώς και το άρθρο 9 пункт 3,

для архивных целей в интересах общества, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 пункт 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, или

για τη θεμελίωση, подготовки или поддержки юридических претензий.

статья 18

Δικαίωμα περιορισμού της επεξεργασίας

Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με

1.
επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της

  1. α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
  2. б) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, ανταυτής, τον περιορισμό της χρήσης τους,
  3. с) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
  4. d) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 пункт 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

4.5.2016 Официальный журнал Европейского Союза L 119/45

EL

3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

статья 19

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 пункт 1 и статьи 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

статья 20

Δικαίωμα στη φορητότητα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, структурированное, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

α) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 пункт 1 στοιχείο α) ή το άρθρο 9 пункт 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 пункт 1 στοιχείο β) και

б) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων. Τμήμα 4

Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

статья 21

Δικαίωμα εναντίωσης

1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 пункт 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, подготовки или поддержки юридических претензий.

2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

L 119/46 Официальный журнал Европейского Союза 4.5.2016

EL

4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 пункт 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

статья 22

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, включая профильное обучение, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2. α)

б)

с)

Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,

επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3.
εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 пункт 1, εκτός αν ισχύει το άρθρο 9 пункт 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

Τμήμα 5

Περιορισμοί

статья 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 до 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 до 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

  1. α) της ασφάλειας του κράτους,
  2. б) της εθνικής άμυνας,
  3. с) της δημόσιας ασφάλειας,

Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων

4.5.2016 Официальный журнал Европейского Союза L 119/47

EL

  1. d) профилактика, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
  2. ε) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, в частности, является важными экономическими или финансовыми интересами Союза или государств-члена, συμπεριλαμβανομένων των νομισματικών, δημοσιο­ νομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

στ) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

  1. ζ) профилактика, исследование, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,
  2. η) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),
  3. θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
  4. ι) της εκτέλεσης αστικών αξιώσεων.

2. конкретно, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

  1. α) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
  2. б) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  3. с) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
  4. d) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
  5. ε) την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ) τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, принимая во внимание природу, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

  1. ζ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
  2. η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

    ΚΕΦΑΛΑΙΟ IV

    Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

    Τμήμα 1

    Γενικές υποχρεώσεις

    статья 24

    Ευθύνη του υπευθύνου επεξεργασίας

1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, контекст и цель обработки, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαι­ ροποιούνται όταν κρίνεται απαραίτητο.

2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.

3. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.

L 119/48 Официальный журнал Европейского Союза 4.5.2016

статья 25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, контекст и цель обработки, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελε­ σματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. конкретно, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.

статья 26

Από κοινού υπεύθυνοι επεξεργασίας

1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2. Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.

статья 27

Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση

1. Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 пункт 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει γραπτώς εκπρόσωπο στην Ένωση.

2. α)

Η υποχρέωση που καθορίζεται στην παράγραφος 1 του παρόντος άρθρου δεν ισχύει για:

επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 пункт 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, принимая во внимание природу, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, или

б)

δημόσια αρχή ή φορέα.

EL

4.5.2016 Официальный журнал Европейского Союза L 119/49

EL

3. Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.

4. Ο εκπρόσωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι εποπτικές αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.

5. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

статья 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφα­ λίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, вид личных данных и категорий субъектов данных и обязательств и прав контроллера. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

  1. α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
  2. б) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτι­ κότητας,
  3. с) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,
  4. d) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
  5. ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 до 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

  1. ζ) квартира’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
  2. η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

L 119/50 Официальный журнал Европейского Союза 4.5.2016

EL

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, полностью или частично, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.

7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2.

8. Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

статья 29

Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατεντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

статья 30

Αρχεία των δραστηριοτήτων επεξεργασίας

1. Κάθε υπεύθυνος επεξεργασίας και, где это уместно, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

  1. α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где это уместно, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
  2. б) τους σκοπούς της επεξεργασίας,
  3. с) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

4.5.2016 d)

ε)

στ) ζ)

Официальный журнал Европейского Союза L 119/51

τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 пункт 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 пункт 1.

EL

2.
των
τα εξής:

α)

б) с)

d)

3.

το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, где это уместно, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,

τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 пункт 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 пункт 1.

Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

Κάθε εκτελών την επεξεργασία και, где это уместно, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει

4.
ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, где это уместно, ο εκπρόσωπος του υπευθύνου επεξεργασίας

5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 пункт 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

статья 31

Συνεργασία με την εποπτική αρχή

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, где это уместно, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.

Τμήμα 2

Ασφάλεια δεδομένων προσωπικού χαρακτήρα

статья 32

Ασφάλεια επεξεργασίας

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, контекст и цель обработки, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, включая, где это уместно:

α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

L 119/52 б)

с)

d)

Официальный журнал Европейского Союза 4.5.2016

της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2.
επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, потеря, αλλοίωση, несанкционированное раскрытие или доступ к личным данным, передаваемым, сохранены или подвергнуты плоским’ в противном случае обрабатывается.

3. α)

б)

с) d)

Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 квартира’ ελάχιστο:

περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

EL

Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την

3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.

4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατεντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

статья 33

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, в 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 часов, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

4.
σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

статья 34

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, контроллер сразу же объявляет о нарушении персональных данных субъекта данных.

4.5.2016 Официальный журнал Европейского Союза L 119/53

EL

2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 пункт 3 στοιχεία β), с) και δ).

3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

  1. α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,
  2. б) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
  3. с) προϋποθέτει δυσανάλογες προσπάθειες. В этом случае, γίνεται ανταυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Τμήμα 3

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση

статья 35

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, контекст и цель обработки, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, до лечения, εκτίμηση των επιπτώσεων των σχεδια­ ζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:

  1. α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματο­ ποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
  2. б) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 пункт 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 или
  3. с) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4. Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.

5. Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.

6. Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακο­ λούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

L 119/54

Официальный журнал Европейского Союза 4.5.2016

EL

7. α)

б) с)

d)

Η εκτίμηση περιέχει τουλάχιστον:

συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, где это уместно, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8.
επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10. Όταν η επεξεργασία δυνάμει του άρθρου 6 пункт 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 до 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

статья 36

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

2. В случае, если надзорный орган считает, что предполагаемый процесс, упомянутый в пункте 1 нарушение настоящих Правил, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, και, όπου απαιτείται, процессор, и может использовать любые полномочия, упомянутые в статье 58. Этот период может быть продлен на шесть недель, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, процессор для такого продления в течение одного месяца с момента получения запроса консультаций, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3. Κατά τη διαβούλευση με την εποπτική αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική αρχή:

  1. α) где это уместно, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,
  2. б) τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,
  3. с) τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους

d) где это уместно, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων,

4.5.2016 Официальный журнал Европейского Союза L 119/55

EL

ε) την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 35, και

στ) κάθε άλλη πληροφορία που ζητεί η εποπτική αρχή.

4. Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.

5. Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

Τμήμα 4

Υπεύθυνος προστασίας δεδομένων

статья 37

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

  1. α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
  2. б) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακο­ λούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, или
  3. с) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.

4. Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.

5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.

статья 38

Θέση του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

L 119/56 Официальный журнал Европейского Союза 4.5.2016

EL

2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

1. α)

б)

с)

d) ε)

статья 39

Обязанности по защите данных

DPO имеет по крайней мере следующие задачи:

ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξερ­ γάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,

παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητο­ ποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,

συνεργάζεται με την εποπτική αρχή,

ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

2.
συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, контекст и цель обработки.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που

Τμήμα 5

Κώδικες δεοντολογίας και πιστοποίηση

статья 40

Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, малые и средние предприятия.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:

α) τη θεμιτή και με διαφάνεια επεξεργασία,

4.5.2016 Официальный журнал Европейского Союза

L 119/57

EL

  1. б) τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας σε συγκεκριμένα πλαίσια,
  2. с) τη συλλογή δεδομένων προσωπικού χαρακτήρα,
  3. d) την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα,
  4. ε) την ενημέρωση του κοινού και των υποκειμένων των δεδομένων,

στ) την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων,

  1. ζ) την ενημέρωση και την προστασία των παιδιών και τον τρόπο απόκτησης της συγκατάθεσης του ασκούντος τη γονική μέριμνα του παιδιού,
  2. η) τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 και 25 και τα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας που αναφέρεται στο άρθρο 32,
  3. θ) τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την ανακοίνωση των εν λόγω παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων,
  4. ι) τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, или

ια) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει των άρθρων 77 και 79.

3. Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου και έχουν γενική ισχύ βάσει της παραγράφου 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία μη υπαγόμενους στον παρόντα κανονισμό σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 пункт 2 στοιχείο ε). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

4. Ο κώδικας δεοντολογίας που αναφέρεται στην παράγράφο 2 του παρόντος άρθρου περιέχει μηχανισμούς που επιτρέπουν στον αναφερόμενο στο άρθρο 41 пункт 1 φορέα να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 или 56.

5. Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Η εποπτική αρχή γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.

6. Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή καταχωρίζει και δημοσιεύει τον κώδικα.

7. Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, πριν από την έγκριση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης, στη διαδικασία που προβλέπεται στο άρθρο 63 στο Συμβούλιο Προστασίας Δεδομένων, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως προς την παροχή επαρκών εγγυήσεων από αυτόν.

8. Σε περίπτωση που η γνωμοδότηση που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το κώδικα, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις που της υποβλήθηκαν δυνάμει της παραγράφου 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2.

L 119/58 Официальный журнал Европейского Союза 4.5.2016

EL

10. Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.

11. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.

статья 41

Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.

2. с

α) б)

с)

d)

Ο φορέας όπως αναφέρεται στην παράγραφο 1 μπορεί να είναι διαπιστευμένος για την παρακολούθηση της συμμόρφωσης κώδικα δεοντολογίας, εφόσον ο εν λόγω φορέας:

έχει αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη του σε σχέση με το αντικείμενο του κώδικα κατά την κρίση της αρμόδιας εποπτικής αρχής,

έχει καθιερώσει διαδικασίες που του επιτρέπουν την εκτίμηση της επιλεξιμότητας των σχετικών υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία προκειμένου να εφαρμόσουν τον κώδικα, την παρακολούθηση της συμμόρφωσής τους με τις διατάξεις του και την περιοδική επανεξέταση της λειτουργίας του,

έχει θεσπίσει διαδικασίες και δομές για την αντιμετώπιση καταγγελιών περί παραβάσεων του κώδικα ή περί του τρόπου με τον οποίον ο κώδικας έχει εφαρμοστεί ή εφαρμόζεται από έναν υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και

αποδεικνύει, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις του δεν συνεπάγονται σύγκρουση συμφερόντων.

3.
του παρόντος άρθρου στο Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

Η αρμόδια εποπτική αρχή υποβάλλει τα σχέδια κριτηρίων πιστοποίησης του φορέα όπως αναφέρεται στην παράγραφο 1

4. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής και των διατάξεων του κεφαλαίου VIII, ο φορέας όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου αναλαμβάνει, με την επιφύλαξη κατάλληλων εγγυήσεων, κατάλληλη δράση σε περίπτωση παράβασης του κώδικα από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, περιλαμβανομένης της αναστολής άσκησης καθηκόντων ή της εξαίρεσης του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από τον κώδικα. Ενημερώνει την αρμόδια εποπτική αρχή για τις δράσεις αυτές και για τους λόγους ανάληψής τους.

5. Η αρμόδια εποπτική αρχή ανακαλεί την πιστοποίηση φορέα όπως αναφέρεται στην παράγραφο 1, если условия сертификации не выполняются или не более не выполняются или действия, предпринятые учреждением, противоречащей это положение.

6. Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς.

статья 42

Πιστοποίηση

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, малые и средние предприятия.

4.5.2016 Официальный журнал Европейского Союза L 119/59

EL

2. Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, в соответствии со статьей 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 пункт 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

  1. Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.
  2. Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος

την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 или 56.

5. Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 пункт 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.

6 Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 или, ανάλογα με την περίπτωση, στην αρμόδια εποπτική αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.

7. Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.

8. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

статья 43

Φορείς πιστοποίησης

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 пункт 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:

α) б)

α) έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,

(1) Kανονισμός (ЕС) нет. 765/2008 Европейский парламент и Совет, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) нет. 339/93 του Συμβουλίου (OJ L 218 из 13.8.2008, р. 30).

την εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 или 56,

τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ЕС) нет. 765/2008 Европейский парламент и Совет (1), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρω­ ματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 или 56.

Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο,

2.
μόνο εφόσον:

L 119/60 б)

с) d)

ε)

Официальный журнал Европейского Союза 4.5.2016

έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 пункт 5 και τα οποία έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 или 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,

έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,

έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και

αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.

EL

3.
ποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 или 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (ЕС) нет. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.

4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.

5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης.

6. Οι απαιτήσεις της παραγράφου 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

7. Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατεξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 пункт 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2.

ΚΕΦΑΛΑΙΟ V

Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

статья 44

Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματο­

4.5.2016 Официальный журнал Европейского Союза L 119/61

EL

статья 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. α)

б)

с)

Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, особенно, τα ακόλουθα στοιχεία:

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμ­ βανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3.
εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 пункт 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 пункт 6 Директива 95/46 / EC.

5. Комиссия, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 пункт 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 до 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

Комиссия, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι

L 119/62 Официальный журнал Европейского Союза 4.5.2016

EL

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 пункт 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 или 5 του παρόντος άρθρου.

статья 46

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

1. Ελλείψει απόφασης δυνάμει του άρθρου 45 пункт 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

  1. α) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,
  2. б) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,
  3. с) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 пункт 2,
  4. d) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2,
  5. ε) εγκεκριμένου κώδικα δεοντολογίας, в соответствии со статьей 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, или

στ) εγκεκριμένου μηχανισμού πιστοποίησης, в соответствии со статьей 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

α)

б)

συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή

διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4.
αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που

5. Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 пункт 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 пункт 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

статья 47

Δεσμευτικοί εταιρικοί κανόνες

1. Η αρμόδια εποπτική αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:

α) είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,

4.5.2016 Официальный журнал Европейского Союза L 119/63

EL

  1. б) απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και
  2. с) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2. Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:

  1. α) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,
  2. б) τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,
  3. с) τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,
  4. d) την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,
  5. ε) τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,

στ) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, полностью или частично, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,

  1. ζ) τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), ε) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 και 14,
  2. η) τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακο­ λούθηση της κατάρτισης και του χειρισμού των καταγγελιών,
  3. θ) τις διαδικασίες καταγγελίας,
  4. ι) τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική αρχή,
  1. ια) τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
  2. ιβ) τον μηχανισμό συνεργασίας με την εποπτική αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),
  3. ιγ) τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και
  4. ιδ) την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

L 119/64 Официальный журнал Европейского Союза 4.5.2016

EL

3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 пункт 2.

статья 48

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Каждый суд и каждое решение административного органа третьей страны требуется контроллер данных или процессор для передачи или передает личные данные могут быть признаны или подлежат исполнению в’ οιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.

статья 49

Παρεκκλίσεις για ειδικές καταστάσεις

1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 пункт 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

  1. α) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, после информирования о потенциальных рисках, таких трансфертов для субъекта данных в решении об адекватности и отсутствия соответствующих гарантиях,
  2. б) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
  3. с) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом,
  4. d) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
  5. ε) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

στ) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,

ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.

Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 или 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 και 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

4.5.2016 Официальный журнал Европейского Союза L 119/65

EL

3. Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), б) και γ) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστη­ ριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. Решение Адекватность Отсутствие, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, по серьезным причинам, представляющим общественный интерес, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.

статья 50

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:

  1. α) την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
  2. б) την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,
  3. с) τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
  4. d) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

    ΚΕΦΑΛΑΙΟ VI

    Ανεξάρτητες εποπτικές αρχές

    Τμήμα 1

    Ανεξάρτητο καθεστώς

    статья 51

    Εποπτική αρχή

1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακο­ λούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»).

2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.

3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή που θα εκπροσωπεί τις εν λόγω αρχές στο Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των υπόλοιπων αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 63.

4. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

L 119/66 Официальный журнал Европейского Союза 4.5.2016

EL

статья 52

Ανεξαρτησία

1. Κάθε εποπτική αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.

статья 53

Γενικές προϋποθέσεις για τα μέλη της εποπτικής αρχής

1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους πρέπει να διορίζεται με διαφανή διαδικασία από: — το κοινοβούλιό τους,
— την κυβέρνησή τους,
— τον αρχηγό κράτους τους ή

— ανεξάρτητο φορέα στον οποίο έχει ανατεθεί, σύμφωνα με το δίκαιο του κράτους μέλους, ο διορισμός.

2. Κάθε μέλος διαθέτει, ιδίως στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα, τα προσόντα, την εμπειρία και τις δεξιότητες που απαιτούνται για την εκτέλεση των καθηκόντων του και την άσκηση των αρμοδιοτήτων του.

3. Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με το δίκαιο του οικείου κράτους μέλους.

4. Μέλος μπορεί να απολυθεί μόνο σε περίπτωση σοβαρού παραπτώματος ή εάν παύει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

статья 54

Κανόνες για τη σύσταση της εποπτικής αρχής

1. Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα: α) τη σύσταση κάθε εποπτικής αρχής,

4.5.2016

Официальный журнал Европейского Союза L 119/67

EL

б) с) d)

ε) στ)

τα προσόντα και τις προϋποθέσεις επιλεξιμότητας που απαιτούνται για τον διορισμό μέλους κάθε εποπτικής αρχής,

τους κανόνες και τις διαδικασίες για τον διορισμό του μέλους ή των μελών κάθε εποπτικής αρχής,

τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 24 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών,

κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό,

τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών ασυμβίβαστων προς τις υποχρεώσεις αυτές, τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, και τους κανόνες που διέπουν την παύση της απασχόλησης.

2.
κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, όσον αφορά τις εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των αρμοδιοτήτων τους. Κατά τη διάρκεια της θητείας τους, η εν λόγω υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού.

Τμήμα 2

Αρμοδιότητα, καθήκοντα και εξουσίες

статья 55

Αρμοδιότητα

1. Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.

2. Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 пункт 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.

3. Οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.

статья 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3. Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του

L 119/68 Официальный журнал Европейского Союза 4.5.2016

EL

4. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 пункт 3.

5. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62.

6. Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

статья 57

обязанности

1. Без ущерба для других задач, определенных в настоящих Правилах, каждый контролирующий орган на своей территории:

  1. α) контролирует и обеспечивает применение настоящих Правил,
  2. б) способствует повышению осведомленности и понимания рисков, правила, гарантии и права, связанные с обработкой. Особое внимание уделяется деятельности, специально ориентированных на детей,
  3. с) советует, σύμφωνα με το δίκαιο του κράτους μέλους, национальный парламент, государственные и другие учреждения и органы о законодательных и административных мерах, связанных с защитой прав и свобод физических лиц в отношении обработки,
  4. d) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
  5. ε) κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, возможно, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη,

στ) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,

  1. ζ) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού,
  2. η) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,
  3. θ) παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών και των εμπορικών πρακτικών,
  4. ι) θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 28 пункт 8 και του άρθρου 46 пункт 2 στοιχείο δ),
  1. ια) καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 пункт 4,
  2. ιβ) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 пункт 2,
  3. ιγ) ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 пункт 1 και διατυπώνει γνώμη και εγκρίνει τέτοιους κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις, в соответствии со статьей 40 пункт 5,
  4. ιδ) ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας των δεδομένων δυνάμει του άρθρου 42 пункт 1 και εγκρίνει τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 пункт 5,
  5. ιε) где это уместно, διενεργεί περιοδική επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 пункт 7,

4.5.2016 Официальный журнал Европейского Союза L 119/69

EL

ιστ) σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,

  1. ιζ) διενεργεί τη διαπίστευση φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,
  2. ιη) επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 46 пункт 3,
  3. ιθ) утвердить обязательные корпоративные правила в соответствии со статьей 47,

Мистер) вносит свой вклад в деятельность Совета по защите данных,

  1. Мисс) держать внутренние записи нарушений настоящих Правил и меры, принятые в соответствии со статьей 58 пункт 2, και
  2. v) εκπληρώνεικάθεάλλοκαθήκονσχετικόμετηνπροστασίαδεδομένωνπροσωπικούχαρακτήρα.

2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ) με μέτρα όπως το έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, без учета других средств связи.

3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το υποκείμενο των δεδομένων και, где это уместно, για τον υπεύθυνο προστασίας δεδομένων.

4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

статья 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

  1. α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
  2. б) να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,
  3. с) να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 пункт 7,
  4. d) να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,
  5. ε) να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

στ) να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

  1. α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,
  2. б) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,
  3. с) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

L 119/70 d)

ε)

στ) ζ)

η)

θ)

ι) 3. α)

б)

с)

d) ε) στ) ζ)

η) θ) ι)

Официальный журнал Европейского Союза 4.5.2016

να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,

να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 пункт 2 και του άρθρου 19,

να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36,

να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

να επιτρέπει την επεξεργασία που αναφέρεται στο άρθρο 36 пункт 5, εάν το δίκαιο του κράτους μέλους απαιτεί αυτήν την προηγούμενη έγκριση,

να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά δυνάμει του άρθρου 40 пункт 5,

να παρέχει διαπίστευση σε φορείς πιστοποίησης σύμφωνα με το άρθρο 43,

να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 пункт 5,

να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 пункт 8 και του άρθρου 46 пункт 2 στοιχείο δ),

να επιτρέπει συμβατικές ρήτρες του άρθρου 46 пункт 3 στοιχείο α),
να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 пункт 3 στοιχείο β), να εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47.

EL

4.
περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις,

5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, где это уместно, να κινεί ή να μετέχει κατάλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.

6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.

статья 59

Εκθέσεις δραστηριοτήτων

Κάθε εποπτική αρχή καταρτίζει ετήσια έκθεση των δραστηριοτήτων της, η οποία μπορεί να περιλαμβάνει κατάλογο των τύπων των κοινοποιημένων παραβάσεων και το είδος των μέτρων που λήφθηκαν σύμφωνα με το άρθρο 58 пункт 2. Οι εν λόγω εκθέσεις υποβάλλονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές, όπως ορίζεται από το δίκαιο του κράτους μέλους. Καθίσταται διαθέσιμη στο κοινό, στην Επιτροπή και στο Συμβούλιο Προστασίας Δεδομένων.

4.5.2016

Официальный журнал Европейского Союза

L 119/71

EL

ΚΕΦΑΛΑΙΟ VII

Συνεργασία και συνεκτικότητα

Τμήμα 1

Συνεργασία

статья 60

Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών

1.
σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσουν μεταξύ τους κάθε συναφή πληροφορία.

2. Η επικεφαλής εποπτική αρχή μπορεί να ζητεί ανά πάσα στιγμή από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή δυνάμει του άρθρου 61 και μπορεί να διεξάγει κοινές επιχειρήσεις δυνάμει του άρθρου 62, ιδίως για την εκτέλεση ερευνών ή για την παρακολούθηση της εφαρμογής μέτρου που αφορά υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε άλλο κράτος μέλος.

3. Η επικεφαλής εποπτική αρχή ανακοινώνει χωρίς καθυστέρηση τις συναφείς πληροφορίες για το θέμα αυτό στις άλλες ενδιαφερόμενες εποπτικές αρχές. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.

4. Εάν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές, εντός προθεσμίας τεσσάρων εβδομάδων από την αίτηση γνωμοδότησης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, προβάλλει σχετική και αιτιολογημένη ένσταση για το σχέδιο απόφασης, η επικεφαλής εποπτική αρχή, εάν δεν ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι σχετική ή αιτιολογημένη, υποβάλλει το ζήτημα στον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

5. Εάν η επικεφαλής εποπτική αρχή σκοπεύει να ακολουθήσει τη διατυπωθείσα σχετική και αιτιολογημένη ένσταση,