ГДПР – Заштита приватности

 

ПРАВИЛА

УРЕДБА (Европска унија) 2016/679 ЕВРОПСКИ ПАРЛАМЕНТ И САВЕТА

од 27. априла 2016

о заштити појединаца у вези са обрадом података о личности ио слободном кретању таквих података и којом се укида Директивом 95/46 / ЕЦ (Генералне регулације за приватност)

(Текст са ЕЕА значају)

ЕВРОПСКИ ПАРЛАМЕНТ И САВЕТ ЕВРОПСКЕ УНИЈЕ,
Имајући у виду Уговор о функционисању Европске уније, а посебно члан 16, Имајући у виду предлога Комисије,
Након преноса нацртима законодавних аката са националним парламентима,
Имајући у виду мишљење Европског економског и социјалног комитета (1),
Имајући у виду мишљење Комитета (2),
Поступајући у складу са обичним законодавним поступком (3),
а:

  1. (1) Заштита појединаца у вези са обрадом личних података је основно право. чланак 8 став 1 Повеља о основним правима ('Карта') и члана 16 став 1 Уговор о функционисању Европске уније (ДФЕС) каже да свако има право на заштиту личних података који се односе на њега од.
  2. (2) Принципи и правила о заштити појединаца у вези са обрадом њихових личних података треба, без обзира на националност или место боравка, поштовање основних права и слобода, посебно њиховог права на заштиту личних података. Ова уредба има за циљ да допринесе постизању слободе, сигурности и правде и економске уније, економски и социјални напредак, јачање и приближавање економија у оквиру унутрашњег тржишта и просперитет појединаца.
  3. (3) Директиве 95/46 / ЕЦ Европског парламента и Савета (4) Она настоји да усклади заштиту основних права и слобода појединаца у вези са обрадом активности и да гарантује слободу кретања личних података између држава чланица.
  1. (1) ЕЕЦ229тис31.7.2012, с.90.
  2. (2) ЕЕЦ391тис18.12.2012, с.127.
  3. (3) положај парламента од 12. марта 2014 (још није објављено у Службеном гласнику) и положај Савета

    у првом читању 8. априла 2016 (још није објављено у Службеном гласнику). Европски парламент положај

    14април 2016.

  4. (4) Директиве 95/46 / ЕС Европског парламента и Савета, 24. октобар 1995, о заштити појединаца

    против личних података и о слободном кретању таквих података (ОВ Л 281 од 23.11.1995, стр. 31).

Службени лист Европске уније 4.5.2016

Обрада личних података требало би да послужи човека. Право на заштиту личних података није апсолутно право· Мора се оцењује у односу на својој функцији у друштву и бити у равнотежи са другим фундаменталним правима, складу са принципом пропорционалности. Ова Уредба поштује све основна права и слободе и придржава се принципа признатих Повељом како је наведено у уговорима, посебно, поштовање приватног и породичног живота, кућиште и комуникације, Заштита личних података, слобода мисли, савести и вероисповести, слобода изражавања и информисања, предузетнички слобода, право на дјелотворан правни лијек и на правично суђење и културна, верске и језичка различитост.

Економска и социјална интеграција, што је резултирало са функционисање унутрашњег тржишта, довести до значајног повећања прекограничних токова личног карактера података. Х измене личних података између јавних и приватних субјеката, укључујући физичка лица, удружења и предузећа широм Уније, порасла. Националне власти држава чланица се тражи по закону ЕУ да сарађују и размењују личне податке како би могли да обављају своје дужности или обављају послове у име друге државе чланице органа.

Брз технолошки развој и глобализација су створиле нове изазове за заштиту личних података. Размере прикупљање и размену личних података се значајно повећао. Технологија омогућава обе приватних компанија и јавних власти да искористе личних података на невиђених размјера у остваривању њихових активности. Појединци све открити личне информације и учини их широм света доступан. Технологија се променила како економију и друштвени живот и даље треба да олакшају слободно кретање личних података унутар Уније у и трансфер на трећим земљама и међународним организацијама, истовремено осигуравајући висок ниво заштите личних података.

Ови догађаји захтевају јаку и кохерентан оквир за заштиту података у Унији, ПОДРШКА, започет стриктном применом закона, као што је важно да се створи неопходне поверење које ће омогућити дигитална економија да расте унутрашње тржиште. Појединци би требало да имају контролу над својим личним подацима сопственог карактера. Да ли ће правна сигурност треба ојачати и практична сигурност за појединце, привредни субјекти и јавни органи.

Где ова Уредба даје спецификације или ограничења на правилима закона држава чланица, Државе чланице могу укључити елементе ове уредбе у свом националном законодавству, у потребној мери да се осигура конзистентност и да се разуме националних одредби лицима на која се односе.

Док су циљеви и принципи Директиве 95/46 / ЕЗ остати снажан, Директива није успела да спречи фрагментација примене заштите података широм Уније, правна несигурност и широко распрострањена перцепција јавности да постоје значајни ризици за заштиту појединаца, нарочито у погледу онлине активности. Разлике у степену заштите права и слобода појединаца, посебно право на заштиту података о личности, о обради личних података у државама чланицама, могу ометати слободно кретање личних података широм Уније. стога, Ове разлике могу бити препрека за пословање у Унији, нарушава конкуренција и ометају власти у обављању својих дужности, као што су оне које произилазе из права Европске уније. Ова разлика у нивоима заштите је због одступања у реализацији и примени Директиве 95/46 / ЕЦ.

Да би се осигурао конзистентан и висок ниво заштите појединаца и уклањање препрека за токове личних података унутар Уније, ниво заштите права и слобода појединаца у погледу на обраду тих података морају бити једнаки у свим државама чланицама. То би требало да обезбеди кохерентан и једнообразну примену правила о заштити основних права и слобода појединаца у вези са обрадом података о личности широм Уније. Што се тиче обрада личних података је у складу са законском обавезом, да испуни задатак одвија у јавном интересу или у вршењу службеног ауторитета који у контролеру, Државе чланице треба да буде дозвољено да задрже или уведу националне одредбе да даље дефинишу примену правила овог Правилника. У вези са општим и хоризонталним законима о заштити података у циљу спровођења Директиве 95/46 / ЕЦ, Државе чланице примењују различите законе сектора у областима које захтевају посебне одредбе. Ова Уредба такође предвиђа простор за маневар државама чланицама, како би се прилагоде правила, укључујући и оне које се односе на обраду посебне категорије личних података ("Осетљиве податке"). У овом степену, ова Уредба не искључује право државама чланицама да утврде околности посебним условима обраде, интер алиа, да прецизније услове под којима је обрада личних података законит.

Службени лист Европске уније Л 119/3

 

  1. (11) Ефикасна заштита личних података широм Уније захтева јачање и детаљну дефиницију права подацима субјеката, као и оне обавезе процес појачала раде и одредити обраду личних података, и њихове моћи за праћење и усаглашавање са стандардима заштите података о личности и одговарајуће казне за прекршаје у државама чланицама.
  2. (12) чланак 16 став 2 ДФЕС поверава Европски парламент и Савет за постављање правила за заштиту појединаца у вези са обрадом података о личности и правилима о слободном кретању личних података.
  3. (13) Да би се обезбедио конзистентан ниво заштите за појединце широм Уније и да се избегне празнине које ометају слободно кретање личних података у оквиру унутрашњег тржишта, пропис је потребно који ће штитити правну сигурност и транспарентност за економски субјекти, укључујући мицро, мала и средња предузећа, и обезбеди за појединце у свим државама чланицама исти ниво законско права и обавеза, и одговорности за контролора и процесора, да обезбеди доследну праћење обраду личних података, и еквивалент санкције у свим државама чланицама и ефикасна сарадња између надзорних органа различитих држава чланица. Несметано функционисање унутрашњег тржишта, слободно кретање личних података унутар Уније не би требало да буде ограничен, нити забрањена из разлога повезаних са заштитом појединаца у односу на обраду личних података. Да узме у обзир специфичне ситуације микро, мала и средња предузећа, ова уредба укључује одступање за организације које запошљавају мање од 250 особе у вези са евиденције. додатни, институције и органи Уније, као и земље чланице и своје надзорне органе, требало да узму у обзир специфичне потребе микро, мала и средња предузећа у спровођењу ове уредбе. Концепт микро, мала и средња предузећа треба да се заснива на члану 2 Анекс препоруци 2003/361 / ЕК (1).
  4. (14) Заштита која се овом Уредбом треба да важи за физичка лица, без обзира на националност или пребивалишта, у односу на обраду личних података карактера. Ова Уредба се не односи на обраду личних података који се односе на правна лица, а посебно предузећа основаних као правна лица, укључујући име, Тип и контакт информације о субјекту.
  5. (15) Да би се спречио озбиљан ризик заобилажења, Заштита појединаца мора бити технолошки неутрална и да не зависе од техникама које се користе. Заштита особа треба да се примењује и на обраду личних података и аутоматски помоћу, и у ручном обрадом, ако лични подаци су садржани или су намењене да буду укључени у систем за евидентирање. Датотеке или комплета фајлова, као и њихових поклопаца, које нису структурирани према одређеним критеријумима не падне под оквир ове Уредбе.
  6. (16) Ова Уредба се не односи на заштиту основних права и слобода или слободног кретања личних података који се односе на активности које нису обухваћене у примени области Уније закона о, као активности које се односе на националну безбедност. Ова уредба не примењује се на обраду личних података од стране држава чланица када врше послове везане за заједничку спољну и безбедносну политику Уније.
  7. (17) регулација (ЕК) не. 45/2001 Европски парламент и Савет (2) применити на обраду личних података од стране институција и органа, агенције и службе Уније. регулација (ЕК) не. 45/2001 и осталих правних аката Уније које лични подаци се примјењује на такав обраду карактера, треба да се прилагоди принципима и правилима прописаним у овом правилнику и примењују у светлу овог правилника. Да би се обезбедила јак и кохерентан оквир за заштиту података у Унији, након усвајања ове уредбе треба да следи неопходне адаптације на Уредбе (ЕК) не. 45/2001, како би се омогућило примену истовремено са овом Уредбом.
  8. (18) Ова уредба не примењује се на обраду личних података од стране физичког лица у току јасних личних или домаћинства активности и стога није у вези са било професионално или
  1. (1) Препорука Комисије, 6 мај 2003, относно дефиницију микро, мала и средња предузећа [, Ц(2003) 1422] (ОВ Л 124 од 20.5.2003, стр. 36).
  2. (2) регулација(ЕК)аритх.45 / 2001тоуЕфропаикоуКоиновоулиоукаитоуСимвоулиоу,тис18исДекемвриоу2000, сцхетикаметинпростасиатон појединце у вези са обрадом података о личности од стране институција и органа ио слободном кретању таквих података (ОВ Л 8 од 12.1.2001, стр. 1).

 

Службени лист Европске уније 4.5.2016

 

(19)

комерцијална активност. Лични или кућни активности могу укључивати кореспонденцију и адреса вођење евиденције или друштвене мреже и онлине активности које се бави таквим активностима. међутим, она се неће примењивати на контролорима или процесора који обезбеђују обраду личних података у карактеру таквих личних или домаћим активностима.

Заштита појединаца у вези са обрадом података о личности од стране надлежних органа у сврху спречавања, истрага, детекција или гоњење кривичних дела или извршење кривичних санкција, укључујући осигуравање против претњи јавној безбедности и њихово спречавање и слободном кретању таквих података, предмет посебног правног акта ЕУ. Ова Уредба треба да стога не односи на прераду активности за те намене. међутим, лични подаци обрађују од стране државних органа према овој Уредби треба, када се користи у те сврхе, се регулисати посебним правним актом ЕУ, наиме Директива (Европска унија) 2016/680 Европски парламент и Савет (1). Државе чланице могу пренети надлежним органима у смислу Директиве (Европска унија) 2016/680 задаци који не морају нужно вршили у сврху спречавања, истрага, детекција или гоњење кривичних дела или извршење кривичних санкција, укључујући осигуравање против претњи јавној безбедности и њиховог спречавања, тако да се обрада личних података за ове намене из, ако то спада у домен права Уније, буде унутар обима овог правилника.

Што се тиче обраде личних података од стране тих органа у за потребе у оквиру ове Уредбе, Државе чланице треба да буду у стању да одрже или уведу посебне одредбе које се прилагоди примену правила овог Правилника. Ови прописи могу одредити више прецизно специфичне захтеве за обраду личних података од стране тих органа за те намене, узимајући у обзир уставну, организациона и административна структура одговарајућих држава чланица. Када је обрада личних података од стране приватних лица спадају у делокруг ове Уредбе, ова Уредба треба да обезбиједи могућност за државе чланице да се ограничи законом, под посебним условима, одређене обавезе и права, када такво ограничење представља неопходну и сразмерна мера у демократском друштву да штити посебно важне интересе, укључујући и јавну безбедност и превенцију, истраживање, откривање и гоњење кривичних дела или извршење кривичних санкција, укључујући осигуравање против претњи јавној безбедности и њиховог спречавања. ovo питање, на пример, у борби против прања новца или активности форензичких лабораторија.

Док ова Уредба односи, укључујући, активности судова и других правосудних органа, закон Уније или државе чланице могао да прецизира операције и процедуре обраде у односу на обраду личних података од стране судова и других правосудних органа. Надлежност надзорних органа не би требало да покрије обраду личних података, када су судови делују у своје правосудне својству, како би се осигурала независност правосуђа у вршењу своје судијске функције, укључујући и доношење одлука. Надзор над радом обраду података треба да буде у стању да се доделити одређена тијела у правосудном систему државе чланице, који би требало да посебно обезбеди усклађеност са правилима овог Правилника, у циљу подизања свести чланове правосуђа у погледу својих обавеза по овом Уредбом и да се бави притужбама у вези са наведеним поступцима за обраду података.

Овај Правилник се спроводи без обзира на Директива 2000/31 / ЕЦ Европског парламента и Савета (2), посебно правила о одговорности посредничких услуга постављени у члановима 12 до 15 те Директиве. Ова директива има за циљ да допринесе несметано функционисање унутрашњег тржишта, обезбеђивање слободног кретања услуга информационог друштва међу земљама чланицама.

Свака обрада личних података у оквиру активности контролора објекта или процесор у Унији од треба спровести у складу са овом уредбом, без обзира на то да ли је иста обрада се врши у Унији. Инсталација захтева ефективну и прави остваривање активности кроз стабилне аранжмана. У том смислу, правни облик оваквих аранжмана, да ли Анекс или подружница са правним субјективитетом, То није одлучујућа.

(1) упутство (Европска унија) 2016/680 Европски парламент и Савет, од 27. априла 2016, за заштиту појединаца у вези са обрадом података о личности од стране надлежних органа у сврху спречавања, истрага, детекција или гоњење кривичних дела или извршење кривичних санкција и о слободном кретању таквих података и отмана Оквирна одлука Савета 2008/977 / ЈХА (видети страну 89 овог Службеног листа).

  1. (2) Директива 2000/31 / ЕЦ Европског парламента и Савета, 8. јун 2000, о одређеним правним аспектима услуга информатичког друштва, посебно електронској трговини, на унутрашњем тржишту ("За е-цоммерце Директиве ') (ОВ Л 178 од 17.7.2000, стр. 1).

 

Службени лист Европске уније Л 119/5

 

  1. (23) Како би се осигурало да се појединци не лишени заштите коју имају право према овој Уредби, обрада личних предмета података у Унији од стране контролора или процесора није основано у Унији требало би да буде регулисан овим Правилником, где су прерађивачке дјелатности везане за пружање робе или услуга тих субјеката података, да ли се односе на исплату. Да би се утврдило да ли је такав контролор или процесор нуди робу или услуге носиоцима података у Унији, мора се утврдити да ли је руковалац или процесор је јасно циљ да пружи услуге које се подаци односе у једној или више држава чланица ЕУ. Док је једноставан приступ на сајту контролора, процесор или посредник у Унији или адресу е-поште и друге контакт или употреба језика елемената обично користи у трећу земљу у којој је успостављена контролер није довољан да поткрепи такву намјеру, фактори као што је употреба језика или валуте обично користе у једној или више држава чланица, са могућношћу наручивања производа и услуга на том другом језику, или референтне купци или корисници налазе у Унији може јасно да је контролор података намерава да понуди робу или услуге носиоцима података у Унији.
  2. (24) Лични подаци лица која су у Унији од стране контролора или обрађивача није успостављена у Унији треба да буду покривени овом Уредбом, ако је праћење понашања таквих субјеката података у мери у којој је њихово понашање одвија у оквиру Уније. Да би се одредило да ли активност прераде може се сматрати да прати понашање носиоца података, треба утврдити да ли су појединци праћени на Интернету, укључујући и потенцијал накнадно коришћење обраду личних података техничке природе који се састоји у обликовању "профил" физичког лица, посебно у циљу предузимања одлуке које се тичу њега или за анализу или предвиди личним жељама, понашања и ставови.
  3. (25) Ако закон државе чланице примјењује на основу међународног јавног права, ова Уредба треба да се односе на контролер није успостављена у Унији, као такав, пример, за дипломатској мисији или конзуларном представништву државе чланице.
  4. (26) Принципи заштите података треба да важи за било коју информацију у вези са идентификованом или идентификовати физичко лице. Лични подаци који су псефдонимопоииси, која би се могла приписати појединцу кроз употребу додатних информација, Они треба да буду сматрали информације о идентификацију физичког лица. Да би се утврдило да ли је неко лице препознатљив, Они треба да буду узети у обзир сва средства која су разумно вероватно да се користи, на пример, одвајање, било од стране контролора или треће стране за директну или индиректну идентификацију појединачног идентитета. Да проверите да ли средство разумно вероватно да се користе за проверу идентитета физичког лица, треба узети у обзир све факторе објективне, јер су трошкови и време потребно да се идентификују, узимајући у обзир технологију доступну у време обраде и технологија развоја. Принципи заштите података не би требало да важи за анонимне информације, односно информације које се не односе на идентификоване или се може утврдити физичко лице или личних података су постали анонимни, тако да је идентитет носиоца података не може или не може више да се утврди. Ова уредба је зато третман ове анонимне информације, не укључујући статистичке или истраживачке сврхе.
  5. (27) Ова уредба не примењује се на личне податке покојника. Државе чланице могу предвидети правила за обраду личних података покојника.
  6. (28) Користећи псефдонимопоиисис личним подацима могу да смање ризик за субјекте података и олакшати њихове контролора и процесора да испуни одговарајуће услове о заштити података. Експлицитно увођење "псефдонимопоиисис" овог прописа није намењен да искључе било коју другу меру заштите података.
  7. (29) За стварање подстицаја за псефдонимопоииси приликом обраде личних података, Требало би да буде могуће да се предузму мере псефдонимопоиисис, док омогућавајући генерички анализу, у оквиру истог контролора, када је рекао контролер је узео техничке и организационе мере неопходне, како би се осигурало, за одговарајуће обраду података, примена ове Уредбе и додатне информације о обављању личних података на које се подаци односе у питању су одвојени. Контролор података који обрађује личне податке треба да одреди овлашћена лица у истој контролер.

Службени лист Европске уније 4.5.2016

Појединци могу бити у вези са онлајн идентификаторима ставке, које пружају уређајима, апликације, алати и протоколи, као што су адреса Интернет протокола, ИДС колачи или друге идентификаторе као што је радио фрекуенци идентифицатион тагова. То може да остави трагове који, нарочито у комбинацији са јединственим идентификаторима и других информација добијених од сервера, Они могу да се користе за креирање профила појединаца и препознају свој идентитет.

Јавне власти на коју се лични подаци који су описани у складу са законском обавезом да обављају своје службене дужности, као што су пореске и царинске службе, економска истраживања јединице, независне управне власти или финансијска тржишта органи надлежни за регулисање и надзор тржишта хартија од вредности не треба посматрати као примаоци, ако добију личне податке неопходне за обављање посебан истрагу у јавном интересу, по закону Уније или државе чланице. Захтеви за обелодањивање послате од стране јавних власти треба увек писати, оправдано у датим околностима, а не би требало да укључује целину система филинг или довести до повезивања подношења система. Обрада личних података од стране тих јавних власти мора бити у складу са правилима која се примењују за заштиту података у зависности од потребе прераде.

Сагласност треба обезбедити јасне позитивне енергије који представљају бесплатно, специфичан, експлицитно и информисан показатељ сагласности субјекта података за обраду података у вези с, на пример писмене изјаве, укључујући и електронским путем, или усмена изјава. Ово може укључивати завршетак кутије приликом посете сајт, одабрали техничке аранжмане за услуге информационог друштва или изјава или понашања, који јасно показује, у том контексту, да субјекат података прихвата обраду предлога њиховог личних података. стога, тишина, кутије или неактивност претходно проверава не треба тумачити као пристанак. Сагласност треба да покрије све прераду активности које се спроводе у исту сврху или у исте сврхе. Када обрада има вишеструке сврхе, пристанак треба дати за све ове сврхе. Ако сагласност носиоца података ће бити дат на захтев електронским путем, захтјев мора бити јасно, свеобухватан и не неразумно ремети коришћење услуге коју пружа.

често, То се не може у потпуности одредити сврху обраде личних података за научна истраживања у време прикупљања података. стога, предмети података треба да буду у стању да дају сагласност за одређене области научног истраживања, када су признате етичке стандарде затим за научно-истраживачки рад. Субјекти података треба дозволити да дају свој пристанак само у одређеним областима истраживања или само делове истраживачких програма, до степена дозвољеног његовом наменом.

Као генетски подаци треба дефинисати личне податке повезане са наслијеђеним или апокектимена генетских особина појединца услед биолошког узорка анализе физичког лица, посебно од хромозомске анализе дезоксирибонуклеинске киселине (ДНА) или рибонуклеинска киселина (РНК) или у погледу другог елемента који омогућава да добију еквивалентни информације.

Лични подаци који се односе на здравље треба да садржи све податке који се односе на здравствено стање носиоца података и који откривају информације о прошлости, тренутне или будуће стање физичког или менталног здравља носиоца података. Ово укључује информације о појединцу прикупљене током регистрације за здравствених услуга и пружање њихове као што је дефинисано у Директиви 2011/24 / ЕУ Европског парламента и Савета (1) за појединца у питању· број, симбол или карактеристика идентитета приписује појединцу ради потпуности идентификује особу за здравствене сврхе· информације резултат тестова или анализа делимично или суштине тела, интер алиа генетским подацима и биолошким узорцима и све информације, на пример, на болести, инвалидитет, ризик од болести, медицинска историја, клинички третман или физиолошком или биомедицинска статус носиоца података, без обзира на извор, на пример, лекар или другог стручног здравству, болница, медицинска направа или дијагностички тест ин витро.

Х главна инсталација контролера уније требало би да буде место централне управе у Унији, осим ако одлука о циљевима и средствима обраду личних података добијених у другу установу контролора у Унији, тако да је други објекат ће се сматрати као главни инсталација. Главни успостављање контролера у Унији треба да се одреди према објективним критеријумима и требало би да подразумева ефикасно и прави остваривање активности управљања које одређују главне одлуке у вези са циљевима и средствима прераде кроз стабилне аранжмана. Овај критеријум не би требало да зависи да ли обради

(1) Директива 2011/24 / ЕУ Европског парламента и Савета, 9. март 2011, о примени права пацијената у прекограничној здравственој заштити (ОВ Л 88 од 4.4.2011, стр. 45).

 

Службени лист Европске уније

Лични подаци могу бити у овој локацији. Постојање и употреба техничких средстава и технологија за обраду личних података или обраду активности не се представљају’ СЕ Маин инсталација, стога, не представља одлучујуће критеријуме за главну инсталацију. Главни успостављање процесора треба да буде место централне управе у Унији или, ако нема седиште у Унији, место где су главне прераду активности у Унији. У случајевима када су и контролор и процесор, одговоран главни надзорни орган треба да остане надзорни орган државе чланице у којој је главни оснивање контролера, али надзорник процесора треба посматрати као у питању супервизора и да супервизор треба да учествују у поступку сарадње наведених у овој Уредби. У сваком случају, надзорни органи државе чланице или државе којој процесор има један или више установа не треба посматрати као надзорни органи у питању када нацрт одлука односи само на контролер. Када се обрада врши пословне групе, као главном месту контролу подухват треба узети у обзир да главно мјесто пословања групе, осим ако је циљ и средство прераде су одређене друге компаније.

  1. (37) Група предузећа треба да покрије контролише компанију и предузећа у контролном, где контролише подухват требало би да буде предузимање који може вршити доминантан утицај над другим предузећима под, на пример, својина, финансијско учешће или правила која га или правила о заштити личних података који важе моћ владају. Подухват вршење контроле над обраду личних података повезаних предузећа у треба узети у обзир, заједно са овим компанијама, пословна група.
  2. (38) Деца захтевају посебну заштиту за своје личне податке, као деца могу бити мање свесни ризика, последице и мере заштите и њихова права у односу на обраду личних података. Ова посебна заштита посебно ће бити тачно у коришћењу личних података за маркетинг и креирање профила личности или корисничких профила и прикупља личне податке који се односе на децу приликом коришћења услуга директно нуде на дете. Сагласност родитеља или старатеља не би требало да буде потребно у вези са спречавањем савет или услуга директно доступним дете.
  3. (39) Свака обрада личних података мора бити законит и фер. Требало би да буде јасно да појединци који су лични подаци који се тичу њих прикупљају, полован, Сматра или субмиттед би’ иначе обрађује, и колико лични подаци или ће бити обрађен. Тај принцип захтева да свака информација и комуникација на обраду личних података да буду лако доступни и разумљиви, и користе јасан и једноставан језик. Овај принцип се посебно односи на информише субјекте података о идентитету контролора и потребе прераде и додатне информације како би се осигурала фер и транспарентан процес у вези са овим особама и њихово право да добије потврду и да се постигне комуникација у вези са овим личних података обрађују. Требало би да буде доступан физичких лица у ризику од, pravila, мере заштите и права у вези са обрадом личних података и како да остваре своја права у вези са таквом обрадом. посебно, специфични циљеви личних података прераде треба да буде јасно, правни и Устаљен када је прикупљање личних података. Лични подаци треба да буду адекватни, релевантни и ограничени на оно што је неопходно за потребе њихове обраде. Ово захтијева, посебно како би се осигурало да складиште личних података је ограничена на минимум. Лични подаци треба да се обрађују само ако је сврха обраде не може постићи на други начин. Како би се осигурало да лични подаци се не чувају дуже него што је потребно, контролор треба поставити рокове за њихово отклањање или за њихово периодично прегледа. То би требало да предузму све разумне кораке, обезбедити да личне податке који се нетачни кориговати ор делетед. Лични подаци треба да буду обрађени на начин да се обезбеди одговарајућу заштиту и поверљивост личних података, интер алиа, да спречи неовлашћен приступ таквим личним подацима и опреми користе за обраду или коришћење личних података као такве опреме.
  4. (40) Да буду третирани фер, лични подаци морају обрадити сагласност носиоца података или другом основу, законски, или у овом правилнику или у другим законима Уније или државе чланице као што је поменуто у овом

 

Службени лист Европске уније 4.5.2016

регулација, укључујући и потребу да се испоштује законска обавеза које је контролор предмет, или потреба да се изврши уговор за који је субјекат података његова странка или како би се предузели кораци на захтев носиоца података прије уговора.

Кад год овај пропис се односи на правне основе и законодавне мере, то не мора да захтева закон одобрен од стране парламента, у складу са захтевима у складу са уставног поретка државе чланице. међутим, ово правна основа или законодавне мере треба да буду јасно и прецизно формулисан и његова примена је предвидљива за лица која подлежу ово, према пракси Европског суда правде ("Суд") и Европски суд за људска права.

Када се обрада на основу сагласности носиоца података, контролер мора бити у стању да докаже да је предмет подаци сагласност за операцију прераде. посебно, под писменом изјавом на другом питању, Они треба да буду гаранција да осигура да се подаци односе није свестан ове чињенице и колико је пристао. У складу са Директивом 93/13 / ЕЕЗ (1), Требало би да добије сагласност образац, израђен у унапред контролеру на разумљив и лако доступном облику, јасан и једноставан текст, без неправедан. Да би се сматрати информисани пристанак, субјекат података треба да зна бар идентитет контролора и сврха обраде личних података намењен. Сагласност не треба сматрати слободно с обзиром да је предмет података нема стварну или слободан избор, или неће моћи да одбију или повуку сагласност без штете.

Како би се осигурало да је пристанак дат слободно, пристанак не би требало да обезбеди важећу законску основу за обраду личних података у конкретном случају, када постоји јасна неравнотежа између субјекта података и контролора, посебно када је контролор је јавни ауторитет и стога је мало вероватно да су дали сагласност слободно свим околностима овој конкретној ситуацији. Сагласност се сматра да је слободно дата, ако није дозвољено да дају посебну сагласност на другачији обраду природи података о личности, чак и ако је прикладно у овом случају, или када је извршење уговора, Укључујући матхе- услугу, пристанак, чак и ако је такав пристанак није потребан за такву извршење.

Третман треба да буде законито, неопходно под уговором или уговором о намери.

Када се обрада одвија под законском обавезом према којој је контролор под или када је то неопходно за обављање задатка проводи у јавном интересу или у вршењу службених овлашћења, третман треба да се заснива на закону уније или државе чланице. Ова Уредба не захтева посебан закон за сваки појединачни третман. један закон може бити довољан као основа за више од једне операције обраде на основу законске обавезе на које је контролор субјекат или где је то потребно за обављање задатка проводи у јавном интересу или у вршењу службених овлашћења обрада. такође, дефиниција у сврху прераде треба препустити закону Уније или државе чланице. додатни, овај закон могао да утврди опште услове ове уредбе којим је законито обраду личних података и да усвоје спецификације за одређивање контролера, врста личних података обрађују, одговарајућа података субјекти, ентитети могу коиноло гоунтаи личне податке, објективне ограничења, Период складиштења и друге мере како би се обезбедило законито и праведно процесуирање. такође, Треба препустити закона Уније или закона држава чланица да се дефинише да ли је контролер да испуни дужност обавља у јавном интересу или у вршењу службене власти треба да буде јавни орган или друго правно или физичко лице управља јавно право или, ако је то оправдано због јавног интереса, укључујући и из здравствених разлога, као што су јавно здравље и социјалну заштиту и здравствених услуга за управљање, приватним законом, као стручног тела.

Обрада личних података требало би да се сматра законитим где је потребно да се заштити интерес који је неопходан за живот носиоца података или другог лица. Обрада личних података од виталне интересе другог појединца треба,’

 

(1) Директива 93/13 / ЕОК Савета, 5. априла 1993, о неправедним условима у уговорима закљученим са потрошачима (ОВ Л 95 од 21.4.1993, стр. 29).

4.5.2016

 

 

Принцип се вршити само ако је очигледно да се обрада не може имати још један правни основ. Неке врсте третмана могу се користити и за важних разлога јавног интереса и други за виталних интереса носиоца података, као такав, на пример, када је обрада неопходна за хуманитарне сврхе, укључујући и праћење епидемије и њихово ширење, или у ситуацијама хитне хуманитарне потребе, посебно у случајевима природних и цивилизацијских катастрофа.

  1. (47) Легитимни интереси контролора, укључујући оне контролера која може бити откривени личне податке или трећину, може да обезбеди правни основ за обраду, под условом да не промените интереса или основна права и слободе субјекта података, узимајући у обзир легитимна очекивања носиоца података на основу њиховог односа са контролером. Такав интерес сила на пример јављају када релевантни и одговарајући однос између субјекта података и контролора, као да је предмет података је клијент контролера или у служби. У сваком случају, постојање легитимног интереса би требало пажљиво процене, интер алиа, да ли носиоца података, у вријеме иу контексту прикупљања личних података, разумно је очекивати да се за ту сврху могу се обрађивати. посебно, интереси и основна права носиоца података могло имати предност над интересима контролера, када се лични подаци обрађују у случајевима у којима је субјекат података није разумно очекивати даљу обраду података. Пошто је за законодавство да обезбеди по закону правни основ за обраду личних података од стране државних органа, ово правни основ не би требало да се примењује на третман јавних власти у вршењу њихових дужности. В обрада личних података, у мери у којој то неопходно за сврхе превенције превара, Такође представља легитиман интерес контролора података. обрада В личних података за потребе директног маркетинга може се сматрати да је инстанца легитимног интереса.
  2. (48) Контролори који су чланови групе компанија или институција које су повезане са централним телом може имати легитиман интерес за пренос личних података у пословне групе за унутрашње административне сврхе, укључујући обраду личних купца или подацима запослених. Општи принципи пренос података о личности, у оквиру групе предузећа, на предузећа, основане у трећој земљи нису угрожени.
  3. (49) Обрада личних података, онолико колико је то неопходно и пропорционално ради обезбеђивања мреже и информационе безбедности, односно способност мреже или информационог система да се одупре, на датом нивоу поузданости, случајни догађаји или незаконите или злонамерне радње које угрожавају доступност, аутентичност, интегритет и поверљивост чува или преноси тивенесс личних података, и безбедност услуга које нуде ове мреже и система или доступних преко ових мрежа и система, или нуде од стране јавних власти, одговора тимова хитне у ИТ (БИЛЛ), од тимова интервенција за догађаје који се односе на компјутерску безбедност (ЦСИРТ), од мрежних услуга електронских комуникационих услуга и пружалаца технологија и служби безбедности, То представља легитиман интерес контролора података. То може укључивати, пример, спречавање неовлашћеног приступа електронским комуникационим мрежама и злонамерног дистрибуцију код и заустављања "одбијања напада сервиса" и оштећење компјутерских система и електронских комуникација.
  4. (50) Обрада личних података у друге сврхе осим оних за које је лични подаци су првобитно прикупљени треба дозволити само тамо где обрада је компатибилан са циљевима за које се лични подаци су првобитно прикупљени. У овом случају, постоји посебан правни основ је потребно од тога дозвољено за прикупљање података о личности. Ако је обрада неопходна за обављање задатка проводи у јавном интересу или у вршењу службеног ауторитета који у контролеру, закон унија или држава чланица може одредити и дефинисати задатке и циљеве за које би требало сматрати компатибилан и законито даљу обраду. Даља обрада за архивске разлога који се односе на јавни интерес, за потребе научног или историјског истраживања или за статистичке сврхе треба размотрити у складу незаконите радње обраде. Правни основ предвиђено законом Уније или државе чланице за обраду личних података може да представљају правни основ за даљу обраду. Да би се утврдило да ли је сврха даљу прераду је компатибилан са циљем да се оригиналне прикупљања података о личности, контролер, ако испуњава све услове за законитост првобитне прераде, Требало би узети у обзир, укључујући: било везе између тих циљева и циљева намењени даљу обраду· контекст у којем лични подаци прикупљени, посебно разумна очекивања субјекта података на основу његовог односа са контролером за њихову даљу употребу· природа личних података· τις

 

Службени лист Европске уније 4.5.2016

(51)

последице намењени даљој обради носиоца података· и постојање адекватних гаранција за и оригинал и планираних даљих операција обраде.

Када је предмет података је обезбеђен свој пристанак или прерада на основу закона Уније или државе чланице представља неопходну и сразмерна мера у демократском друштву како би се осигурало, посебан, Главни циљеви у контексту општег интереса, То би требало да омогући контролер да изврши даљу обраду личних података, без обзира на компатибилности сврхе. У сваком случају, То би требало да обезбеди примену принципа прописаним у овом правилнику и, посебно, обавести које се подаци односе на те друге сврхе, а на њиховим правима, укључујући и право на приговор. Означавање могући злочин или претње по јавну безбедност од стране контролора и пренос личних повезаних података надлежном органу у појединачном случају или на више од једног случаја који укључује исто дјело или исте претње јавне безбедности треба сматрати спадају у легитимних интереса извршених од контролора. међутим, Пренос је у легитимном интересу контролора или даљу обраду личних података треба забранити, ако процес није компатибилан са правним, професионална или друга обавезујућа поверљивости.

Лични подаци који су посебно осетљиви у природи у односу на основна права и слободе захтијева посебну заштиту, јер је контекст третмана може да створи озбиљне ризике за основна права и слобода. Ови лични подаци треба да садрже личне податке који открива расно или етничко порекло, где је употреба термина 'расног порекла "у овом правилнику не значи да је Унија прихватила теорије које подржавају постојање посебних људских раса. уређивање фотографија не би требало систематски се сматрати обрада посебне категорије личних података, јер су оне покривене дефиницијом биометријских података само када обрада помоћу специјалних техничких средстава који омогућавају недвосмислену идентификацију или аутентификацију физичког лица. Такви лични подаци не морају бити обрађени, осим ако такав третман је дозвољено у посебним случајевима предвиђеним у овом правилнику, док је закон чланица може прописати посебне одредбе о заштити података, да се прилагоди примену правила овог Правилника у складу са законским обавезама или испуни овај задатак обавља у јавном интересу или у вршењу службеног ауторитета који у контролеру. Поред посебних услова који предмет су обрада, Они треба да примењују опште принципе и других правила ове уредбе, посебно у,Што се тиче услова правних третмана. Изузеци од опште забране личног карактера података који спада у оне посебне категорије треба изричито, укључујући, у случају изричите сагласности носиоца података или у погледу искључени, особено кога се обрада одвија под легитимних активности појединих удружења или фондације, чија је сврха да омогући остваривање основних слобода.

Одступање од забране обраду посебне категорије личних података треба да буде дозвољено где је предвиђено законом уније или државе чланице и уз одговарајуће заштите, за заштиту личних података и друга основна права, ако оправдано због јавног интереса, посебно обрада личних података у области радног права, закон социјалне заштите, укључујући пензије, и за потребе здравствене исправности, праћење и аларм за спречавање или контролу заразних болести и других озбиљних претњи по здравље. Овај изузетак могу бити у здравствене сврхе, укључујући јавно здравље и менаџмент здравствене заштите, посебно у циљу осигурања квалитета и ефикасности трошкова процедура које се користе за измирење потраживања за бенефиције и услуга у систему здравственог осигурања, или за архивирање сврхе у јавном интересу, сврхе научног или историјског истраживања или статистичке сврхе. Такође би требало да буде одступање како би се омогућило обраду таквих личних података када је неопходно да се успостави, тренинг или подршку правни захтеви, или у судском поступку или у било ком административном или екстра-судском поступку.

Обрада посебних категорија личних података који захтевају већу заштиту треба да буде само у сврхе које се односе на здравље, ако је то неопходно за постизање тих циљева, за добробит појединаца и друштва у целини, посебно у контексту система управљања и здравствених услуга и социјалне заштите, укључујући обраду тих података од стране управе и централних националних здравствених власти у циљу контроле квалитета, управљање информацијама и општи национални и локални надзор здравствене заштите или социјалне заштите, и обезбеђивање континуитета здравствене заштите или социјални рад и прекограничне здравствене или здравствено осигурање, за праћење и аларма сврхе или за потребе архивирања у јавном интересу, научна или историјска истраживања или

4.5.2016

Службени лист Европске уније

статистичке сврхе, законом уније или чланица са циљем да служи јавном интересу, као и студија спроведена у јавном интересу у јавном сектору здравства. стога, ова Уредба треба да обезбеди за хармонизацију услова за обраду посебних категорија личних здравља у вези података, у поређењу са инвалидитетом, Посебно када је обрада тих података врши за одређене сврхе у вези са здрављем лица која су под законском обавезом професионалне тајне. закон Уније или државе чланице треба да обезбеде специфичне и адекватне мере за заштиту основних права и личних података појединаца. Државе чланице треба да буду у стању да одрже или уведу додатне услове, укључујући ограничења, о обраду генетских података, биометријски подаци или подаци о здравственим. међутим, ово не би требало да спречи слободно кретање личних података у оквиру Уније, када ти услови се односе на прекограничну обраду тих података.

  1. (54) Обрада посебних категорија личних података може бити неопходно у јавном интересу у области јавног здравља, без сагласности носиоца података. Таква обрада треба да буде предмет одговарајућих и конкретне мере за заштиту права и слободе појединаца. У том контексту, "Јавно здравље" треба тумачити као што је дефинисано у Уредби (ЕК) не. 1338/2008 Европски парламент и Савет (1), односно све елементе повезане са здрављем, наиме здравља, укључујући болести и инвалидитета, детерминанте које утичу на здравље, здравствене потребе, ресурси доступни за здравствену заштиту, пружање здравствене заштите и универзални приступ до њега, и трошкови и финансирање здравствене заштите и узроци смртности. Ови подаци се односе на здравље у јавном интересу не би требало да доведе до обраде личних података у друге сврхе од стране трећих лица у, као што су послодавци или осигуравајућих друштава и банака.
  2. (55) додатни, обрада личних података од стране званичних органа за за постизање циљева званично призната верска удружења, предвидени за уставно право, или међународног јавног права, ствар топоиеитаи јавни интерес.
  3. (56) да ли, под изборних активности, функционисање демократског система у држави чланици ће захтевати од политичких странака личне податке који се односе на политичких ставова грађана, обрада тих података може бити дозвољено из разлога јавног интереса, ако пружају адекватну заштиту.
  4. (57) Ако лични подаци обрађују од стране контролора не дозвољавају контролер за идентификацију физичко лице, Контролор података не би требало бити у обавези да стекну додатне информације, да идентификује носиоца података искључиво у сврху испуњавања било које одредбе овог правилника. међутим, контролор не би требало да одбије да прими додатне информације које је предмет података у циљу подршке остваривања својих права. Идентификација треба да садржи дигитални идентификацију носиоца података, на примјер кроз механизам аутентикације, ас истим информацијама идентификацијске користе носиоца података приликом уласка (Пријавите се) је онлине услуга коју контролора.
  5. (58) Начело транспарентности захтева да било која информација обратио јавности или носиоца података буде кратак, лако доступан и лако разумљив и јасан и једноставан текст и, додатни, где је то могуће, приказ. Такве информације могу бити достављени у електронској форми, на пример, када су намењене за јавност, путем сајта. Ово је нарочито важно у случајевима у којима је мноштво учесника и сложеност технологија отежати предмет података да знају и разумеју ако, од кога и за које сврхе прикупљених личних података који се односе,као у случају онлајн оглашавања. Од деци потребна посебна заштита, свака информација и комуникација, ако је третман има за циљ децу, Потребно је изражена у јасним и једноставним језиком да дете лако може да разуме.
  6. (59) Они треба да обезбеде начине да се омогући носиоца података да оствари своја права према овој Уредби, између осталих механизама којима се траже и, где је то могуће, да се добије бесплатно, посебно, приступ личним подацима и исправно или их избрисати и да остваре право на приговор. Контролер такође треба да обезбеди средства за електронско подношење захтјева, посебно када се лични подаци обрађују електронским путем. Контролор треба бити у обавези да одговори на захтеве носиоца података, без одлагања, а најкасније у року од месец дана и да обезбеди оправдање, када не намеравају да се у складу са свим таквим захтевима.

(1) регулација (ЕК) не. 1338/2008 Европски парламент и Савет, од 16. децембра 2008, о Заједнице статистике о јавном здрављу и безбедности и здравља на раду (ОВ Л 354 од 31.12.2008, стр. 70).

Службени лист Европске уније 4.5.2016

Принципи фер и транспарентан обраду захтева да обавести носиоца података о постојању операције прераде и своје потребе. Контролор треба да обезбеди носиоца података било какве додатне информације које су неопходне да се осигура фер и транспарентан третман, узимајући у обзир специфичне околности и контекст у коме се спроводе на обраду личних података. даље, предмет подаци ће бити последице и шта профил мора да се ажурира ако се утврди. Ако лични подаци које носиоца података, субјекат података треба да буде саопштено да ли у обавези да обезбеди личне податке и за последице, када не дају такве податке. Ова информација се може дати у комбинацији са стандардизованим икона да се стави видно, разумљив и читљив начин битан преглед намењен обради. Ако су иконе су доступне у електронском, Они треба да буду машински читљив.

Информације у вези са обрадом личних података који се односе на предмет података треба дати у збирци носиоца података или, ако су лични подаци примљени из других извора, у разумном року, у зависности од околности сваког случаја. Ако лични подаци могу бити откривени другом примаоцу, субјекат података мора да буде информисан, када се лични подаци објављени по први пут до реципијента. Када контролор жели да обрађује личне податке за друге сврхе осим оне за коју је прикупљено, Контролор података треба да обезбеди носиоца података, пре наведене даља обрада, Информације за ту сврху и друге неопходне информације. Када је порекло личних података не могу бити откривени носиоца података јер су коришћени различити извори, Њима треба дати опште информације.

међутим, није потребно да се наметне обавезу да пруже информације, ако је предмет подаци већ има информацију, ако снимање или откривање личних података изричито прописано законом или ако је пружање информација на које се подаци односе покаже немогућим или би захтевало несразмеран напор. Ово друго би могло бити нарочито, када је третман за архивске сврхе у јавном интересу, за потребе научног или историјског истраживања или статистичке сврхе. веза, Они треба да узме у обзир број предмета података, старост података и свим одговарајућим заштитама уведен.

Субјекат података има право на приступ личним подацима прикупљеним и забринутост и да се лако и у разумним интервалима остваре ово право, да будемо свесни и провери законитост обраде. То укључује и право носиоца података да имају приступ подацима о њиховом здрављу, на пример податке у њиховим медицинским досијеима које садрже такве информације као дијагнозе, Резултати испита, процене од лекару и икаквог третмана или интервенције извршене. стога, сваки носилац података треба да имају право да знају и посебно најављена за коју сврху је обрада личних података, ако је могуће, колико дуго је обрада личних података, примаоци који примају личне податке, Шта логика прати у сваком аутоматску обраду личних података и шта би могло бити последице таквог прераде, барем када је на основу профилисање. Контролор треба да буде у стању да обезбеди даљински приступ безбедног система кроз који је субјекат података добија директан приступ подацима који се односе на њега. Ово право не би требало да негативно утичу на права и слободе других, као што су пословне тајне или права на интелектуалну својину и, посебан, ауторско право заштите софтвера. међутим, Ови фактори не би требало да доведе до ускраћивања било каквих информација на које се подаци односе. Када је процес контролер велике количине информација о предмету података, контролер треба да буде у стању да питате тему, дато пре информација, навести информације или прераде активности у вези са захтевом.

Контролор треба да користи све разумне мере да провери идентитет носиоца података која тражи приступ, посебно у контексту мрежних услуга и он лине идентификатора идентитета. Регулатор не би требало да задрже личне податке само у сврху бити у стању да одговори на потенцијалне захтеве.

Субјекат података има право да тражи исправку личних података који се односе на њега у, и "право на заборав", ако је задржавање тих података прекрши ово правило или закон уније или државе чланице у којој је контролер предмет. посебно, субјекат података треба да имају право да траже брисање и престанак обраду личних података који се односе на њега од, ако је лични подаци више није потребно у односу на сврху за коју су прикупљени или који су доставили у складу’ иначе обрађује, ако је предмет података повуче пристанак за лечење или ако предмет на обраду личних података који се односе на њега или ако обраду личних података који се односе на њега из нису у складу са овом уредбом у’ иначе. Ово право је нарочито важно када је предмет података је обезбеђен свој пристанак као дете, када он није био потпуно свестан

4.5.2016

Службени лист Европске уније

ризици лечења, а касније жели да уклони одређене личне податке, углавном са интернета. Предмет подаци треба да буду у стању да остваре ово право, иако више није дете. међутим, Даље очување личних података мора бити законито где је то потребно за остваривање права на слободу изражавања и информисања, за усаглашавање са законском обавезом, да испуни задатак одвија у јавном интересу или у вршењу службеног ауторитета који у контролеру, јавни интерес у јавном сектору здравства, за архивске сврхе у јавном интересу, за потребе научног или историјског истраживања или статистичке сврхе, или за успостављање, тренинг или подршку правни захтеви.

  1. (66) Да се ​​ојача право да буду заборављени у онлине окружењу, право на брисање треба продужити на такав начин да се потребна контролор који је објавио личне податке да обавести контролора обрађује личне податке како би се избрисао неке везе или копија или репликација тих података лични. Када то ради, рекао је контролор треба да предузимају потребне кораке, с обзиром на технологију доступну и средства на располагању контролора података, укључујући техничке мере, да обавести контролора, који обрађује личне податке на захтев субјекта података.
  2. (67) Методе да ограничи обраду личних података могу укључити, укључујући, привремена кретање изабраних података на други систем за обраду, уклањање доступност одабраних личних података од стране корисника или привремено изношење објављених података са сајта. У аутоматизованих архивирање ограничавају обраду треба у’ принцип да се обезбеди и техничким средствима, тако да лични подаци нису предмет даљег оплемењивања и не може се мењати. Чињеница да је обрада личних података је ограничено биће означен у систему.
  3. (68) Да би се додатно ојача контролу над личним подацима, када је обрада личних података врши аутоматски помоћу, субјекат података треба да буде дозвољено да примају личне податке који се односе на њега који је пружио контролер, структурирани, најчешће користи и машински читљив формату интероперабилан, и проследити их у другу контролер. Контролори података треба да обухвате подстицање нонтаи развити интероперабилних формати омогућавају пренос података преносивост. Ово право треба да се примењује у којој је предмет података је обезбедио личне податке уз сагласност или када је обрада неопходна за извршење уговора. То не би требало применити у којој се обрада на основу овлашћења осим сагласност или договор. Из природе овог права не треба да се врши контролора који прати личне податке у вршењу њихових јавних функција. Стога би требало да се примењују када је обрада личних података потребна за поштовање законске обавезе на које је контролор предмет, или да испуни задатак одвија у јавном интересу или у вршењу службеног ауторитета који у контролеру. Право носиоца података за слање или примање личних података који се односе на њега не би требало да створи обавезу за контролори да усвоје или одрже систем лечења који су компатибилни технички. када, посебан скуп личних података, погођене више од једног података субјекти, право да прима личне податке не би требало да утичу на права и слободе других субјеката података према овој Уредби. додатни, ово право не би требало да доводи у питање право носиоца података да тражи брисање личних података или ограничења овог права, као што је предвиђено овом Уредбом, а посебно не би требало да доведе до брисања личних података у вези субјекта података личног карактера и који је испоручен од њега на основу уговора, обим и ако је то неопходно за обављање овог уговора ове податке. Када је то технички изводљиво, субјекат података треба да имају право да се осигура да се лични подаци преносе директно из једне у другу контролера.
  4. (69) Где лични подаци могу бити легитимно обрадити, јер је неопходно за обављање задатка проводи у јавном интересу или у вршењу службеног ауторитета који се дозвољава контролору или из разлога легитимне интересе контролора или треће стране обрада, сваки предмет подаци треба да имају право да по’ сви они приговор на обраду личних података који се односе на одређену ситуацију. То би требало да буде за контролер да докаже да је императив легитимни интереси могу надјачати интересе или основна права и слободе субјекта података.
  5. (70) Где се лични подаци обрађују у сврху директног маркетинга, субјекат података треба да имају право приговора на такву обраду, укључујући профил обуку у мери у којој је повезан са тим директног маркетинга, било иницијална или за даљу обраду, у било ком тренутку и без накнаде. Ово право мора бити посебно скренута пажња на носиоца података, и јасно је приказано одвојено од било које друге информације.

Службени лист Европске уније 4.5.2016

Предмет подаци треба да имају право да не буду предмет одлуке, што може укључивати неку меру, који оцењују личне аспекте који се односе на њега, добијени искључиво на аутоматску обраду и која производи правно дејство за те особе или значајно утиче у складу са, као аутоматско одбијање онлајн кредитног захтева или праксе електронских запошљавања без људске интервенције. Овај третман укључује "профилисање" који се састоји од било ког облика аутоматске обраде личних података за процену личних аспеката који се односе на физичко лице, посебно анализирамо или предвиђање аспеката перформансе на послу, економска ситуација, здравље, личне склоности или интереси, поузданост или понашање, положај или кретање носиоца података, доколкото правноснажно против такве особе или знатно утиче аналогно. међутим, одлуку на основу овог третмана, укључујући профил тренинг, Треба дозволити када је то изричито предвиђено законом Уније или државе чланице, у којој контролор подлијеже, укључујући и за потребе праћења и превенције преваре и утаје пореза у складу са Правилником, стандарди и препоруке институција Уније и националних надзорних органа и да се обезбеди сигурност и поузданост пружене услуге од стране контролора, или када је то неопходно за закључивање или извршење уговора између субјекта података и контролора или када је предмет података је обезбеђен њихов изричит пристанак. У сваком случају, Таква обрада треба да буду предмет одговарајућим заштитама, који треба да садржи одређену информацију од носиоца података, као и право учвршћује људску интервенцију, право на изражавање мишљења, право да прима разлоге за одлуке у контексту ове процене и право да оспори одлуку. Ова мера не би требало да брине дете.

Да би се осигурала фер и транспарентан процес у односу на носиоца података, узимајући у обзир специфичне околности и контекст у коме се спроводе на обраду личних података, контролор треба да користе одговарајуће математичке или статистичке процедуре за израду профила, да спроведе техничке и организационе мере, да исправи фактора који доводе до нетачности у личним подацима и како би се смањио ризик од грешака, да сигурне личне податке на начин који узима у обзир потенцијалне ризике у вези са интересима и правима носиоца података и на начин који спречава, укључујући, дискриминаторски ефекти против појединаца на основу расне или етничке припадности, политичког мишљења, вере или уверења, Учешће у синдикатима, генетски поремећај или здравствено стање или сексуално Гуиданце, или еквивалентне мере. Аутоматизовано доношење одлука и профилисање на основу посебне категорије личних података треба дозволити само под одређеним условима.

Профилисање подлеже правилима овог закона којим се уређује обраду личних података, као правни основ за обраду података или органа за заштиту. У том контексту, Европски одбор за заштиту података успостављена овом Уредбом ("Заштита одбор података") Требало би бити у стању да дају упутства.

Они могу бити наметнута законом уније или ограничења закон државе чланице на појединим основним принципима и правима на информације, приступ и исправљање или брисање личних података, право на ношење података, право на објекту, одлуке засноване на профилисање, и кршење личних пренос података на носиоца података и на одређеним са њима повезаним обавезе контролора, у мери у којој је то потребно и пропорционално у демократском друштву да штити јавну безбедност, укључујући заштиту људског живота, посебно у случају природних или вештачких катастрофа, превенција, истраге и гоњења кривичних дела или извршење кривичних санкција, укључујући и обезбеђивање против претњи јавној безбедности и њиховог спречавања или етичке повреде у регулисаним професијама, други важни циљеви од општег јавног интереса Уније или државе чланице, нарочито важан економски или финансијски интерес Уније или државе чланице, усклађеност са јавне евиденције у општем интересу, даљу обраду података о личности у архиви да пружи конкретне информације о политичком понашању у бившим ауторитарним режимима или заштите носиоца података или права и слобода других, укључујући социјалне заштите, јавног здравља и хуманитарне сврхе. Ова ограничења треба да буду у складу са условима прописаним у Повељи и Европском конвенцијом за заштиту људских права и основних слобода.

Требало би се утврдила одговорност и надокнаду контролера за сваку обраду личних података обавља од стране контролора или у име контролора. посебно, руковалац треба бити у обавези да правилно спроводи и ефикасно мерење и бити у стању да покаже усклађеност обраде операција са овом Уредбом, укључујући и ефикасности мјера. Ове мере треба да узму у обзир природу, контекст, обим и сврхе обраде и ризик за права и слободе појединаца.

Службени лист Европске уније

 

  1. (75) Ризици права и слобода физичких лица, различитим вероватноће и озбиљност, Они се могу добити из обраду личних података који би могли довести до физичког, физичко или не-физичко оштећење, посебно када је лечење може довести до дискриминације, злоупотребу или крађу идентитета, финансијски губитак, углед оштећења, губитак поверљивости личних података заштићен пословне тајне, незаконито уклањање псефдонимопоиисис, или било који други значајан економски или друштвени недостатак· када би субјекти података бити лишен својих права и слобода или спречен да врши контролу над својим личним подацима· када су подвргнути обради личних података који откривају расно или етничко порекло од, политичка убеђења, вероисповест или филозофска убеђења или учешће у синдикатима и обрађени генетски подаци, подаци који се тичу здравља или података који се односе на сексуални живот или кривичних пресуда или прекршаја и мере безбедности· када лични аспекти потврђене, посебно када покушава да анализира или предвиди аспекте учинка на раду, економска ситуација, здравље, личне склоности или интереси, поузданост или понашање, положај или покрети, да створе или користе личне профиле· када су обрађени лични подаци угрожени појединци, посебно деце· или где је лечење обухвата велику количину личних података и утиче на велики број носиоца података.
  2. (76) Вероватноћа и озбиљност ризика на права и слободе субјекта података треба одредити позивањем на природу, обим, контекст и сврха прераде. Овај ризик треба процењивати на објективној процени, проглашавајући да обрада података операције укључују ризик или висок ризик.
  3. (77) Смернице за спровођење одговарајућих мера и да покаже усклађеност контролора и процесора, посебно у погледу одређивање ризика у вези са третманом, њихова процена у погледу порекла, природа, вероватноће и озбиљности и идентификују најбоље праксе за смањење ризика ће посебно се може обезбедити са одобреним правилима понашања, одобрени сертификати, смернице које Одбора за заштиту података или упутствима под условом ДПО. Одбор за заштиту података може да изда смернице о обраду операције које се сматрају мало вероватно да доведе до високог ризика за права и слободе појединаца, што би значило које мере могу бити довољне у овом случају да се обрати релативни ризик.
  4. (78) Заштита права и слобода појединаца у погледу обраде личних података захтева да одговарајуће техничке и организационе мере како би се осигурало да су захтеви овог правилника. Да би могли да покажу поштовање овог правилника, контролор треба да усвоји интерне политике и спровођење мера које одговарају посебно на принципима заштите података по дизајну и по дефаулту. Такве мере могу да укључе, укључујући, минимизирање обраду личних података, псефдонимопоииси личне податке у најкраћем могућем року, транспарентност у вези са функцијама и обраду личних података, како би се омогућило носиоца података да прати обраду података и да буде у стању контролор ствара и побољшава сигурносне функције. u развоју, дизајн, Избор и употреба апликације, услуге и производи на бази обраде личних података или доле обраду личних података за обављање њихових дужности, продуценти, услуге и апликације треба да буду охрабрени да узму у обзир право на заштиту података, у развоју и дизајнирању тих производа, услуге и апликације, да, узимајући у обзир најновији развој, осигура да ће контролори и процесори моћи да испуни своје обавезе у погледу заштите података. Принципи заштите података по дизајну и по дефаулту треба узети у обзир у јавним набавкама.
  5. (79) Заштита права и слободе субјеката података, као и одговорност и одговорност за штете контролора и врши обраду, укључујући у односу на праћење од стране надзорних органа и контролних мера, То захтева јасну расподелу одговорности према овој Уредби, укључујући случај када контролор утврђује сврхе и средства за обраду заједно са другим контролерима или где се активно оплемењивање обавља у име контролора.
  6. (80) Ако се не успостави контролор или процесор у Унији обраду личних предмета података који су у Унији и обављају обраду активности везане за испоруку робе или услуга, или ће захтевати исплату од особе или не, у овим предметима у Унији или праћење њиховог понашања у мери у којој је њихово понашање одвија у Унији, контролор или процесор треба да одреди представника, осим ако обрада је цасуал, не укључује обраду, великих размера, лични подаци и обрада личних података који се односе на кривична осуда и дјела и вјероватно ће довести у опасност на права и слобода физичких лица, узимајући у обзир обим, контекст, природа и сврха обраде, или ако је контролер је јавни орган или орган. Представник треба да делује у име контролора или процесора и да се може решити сваки супервизор. Представник треба да буде јасно дефинисана

П 119/16

Службени лист Европске уније 4.5.2016

(81)

писано овлашћење контролора или процесора да делује у његово име у вези са њиховим обавезама према овој Уредби. Именовање представника неће утицати на одговорност или одговорност контролора или процесора према овој Уредби. Овај представник би требало да обавља своје дужности у складу са мандатом датим од стране контролора или процесора, интер алиа сарађује са надлежним органима о свим мерама предузетим да се осигура поштовање овог правилника. Именовани представник ће бити предмет поступака извршења у случају непоштовања од стране контролора или процесора.

Да би се осигурало поштовање са захтевима овог правилника у погледу понашања прераде од стране процесора, контролор, где добио обраде процесор активности, контролор треба користити само процесоре који нуде адекватне гаранције, посебно у погледу стручности, кредибилитет и ресурси, да спроведе техничке и организационе мере да испуне захтеве овог правилника, укључујући и оне у вези безбедности обраде. Приступање процесора на одобреном кодекса понашања или одобрене шеме сертификације могу да се користе као доказ да докаже усклађеност са обавезама контролора. Третман процесора мора бити регулисано уговором или другим правним актом, заснована на закону Уније или закона држава чланица, повезивање процесор са контролером, који дефинише обим и трајање третмана, природа и циљеви прераде, врсту личних података и категорије субјеката података о, узимајући у обзир специфичне задатке и одговорности процесора као део прераде да се изврши и ризик за права и слободе субјеката података. Контролер и процесор могу да се одлуче да користе појединачног уговора или стандардне уговорне клаузуле или одобрава директно од стране Комисије или од стране надзорног органа, у складу са механизмом конзистентност и потом одобрена од стране Комисије. По завршетку обраде на име контролора, процесор треба, у зависности од избора контролора, врати или избрисати личне податке, осим ако је потребно за чување личних података у складу са законом уније или закон државе чланице у којој је процесор припада.

Да би могли да покажу поштовање овог правилника, контролор или обрађивач дужан да води евиденцију о обради операцијама под њиховом одговорношћу. Сваки контролор и сваки процесор треба да имају обавезу да сарађују са надзорним органом и да стави на располагање, на захтев, такве евиденције, тако да се може користити за праћење специфичних послова обраде.

Како би се одржала безбедност и да се спречи обраду у супротности са овом Уредбом, контролор или обрађивач треба да процени ризике у обради и спровођење мера за ублажавање тих ризика, као што су кроз шифровање. Ове мере треба да обезбеди одговарајући ниво безбедности, која укључује поверљиве тивенесс, узимајући у обзир најновија достигнућа и трошкове спровођења у односу на ризике и природе личних података које треба заштитити. У процени ризика за безбедност података треба посветити ризицима који проистичу из обраду личних података, попут случајног или незаконитог уништавања, губитак, промена, неовлашћено откривање или приступ личним подацима преносе, складиште или подвргнути стану’ начин припремљена што би могло довести до физичке, физичко или не-физичко оштећење.

У циљу јачања складу са овим правилником, када обрада операције могу довести до високог ризика за права и слободе појединаца, контролер ће бити одговоран за спровођење процене утицаја на заштиту података, проценити, посебно, извор, природа, вероватноћа и озбиљност овог ризика. Резултат процене треба узети у обзир приликом одређивања шта треба предузети акције да покаже да је обрада личних података је у складу са овом уредбом. Ако је процена утицаја на заштиту података указује на то да обрађује операције укључују велики ризик да контролер не може ублажити одговарајућим мјерама у смислу расположиве технологије и трошкови спровођења, Они треба да буду консултовани од стране надзорног органа пре обраде.

Кршење личних података може, ако не баве на адекватан и благовремено, резултат у физичком, физичко или не-физичком оштећењу појединцима, као што је губитак контроле над њиховим личним подацима или ограничавање њихових права, дискриминациони, злоупотребу или крађу идентитета, финансијски губитак, незаконито уклањање псефдонимопоиисис, повреда угледа, губитак поверљивости личних података који су заштићени професионалне тајне или друге важне друштвене или економске штету до појединца. Стога, чим контролер

Службени лист Европске уније

постаје свестан кршење личних података, треба без одлагања, ако је могуће, у 72 сати стеченог знања о случају, откривају кршење личних података надлежном надзорном органу, осим О контролер може доказати, по принципу одговорности, да је кршење личних података није вероватно да ће изазвати опасност по права и слободе појединаца. Ако таква обавештење не може постићи у року од 72 сати, Обавештење мора да буде праћено образложење наводећи разлоге за кашњење и информације могу се постепено испоручује без непотребног одлагања.

  1. (86) Контролор мора одмах обавијестити носиоца података о кршењу личних података, када је кршење личних података је вероватно да ће довести у високом ризику за права и слободе појединца, како би им било дозвољено да предузму неопходне мере предострожности. Обавештење мора да опише природу повреде личних података и препорука од дотичне индивидуе за ублажавање потенцијалних нежељених ефеката. То су предмети података треба да се што је пре могуће, у блиској сарадњи са надзорном органу, поштујући упутства под условом њиме или другим надлежним органима, као што су органи за спровођење закона. на пример, потреба да се ублажи непосредна опасност од губитка захтијева хитну пажњу на које се подаци односе, и потреба да се изврше одговарајуће мере против наставља или сличних повреда података личне природе могу оправдати дужи обавештење.
  2. (87) Потребно је утврдити да ли су спроводе све одговарајуће мере технолошке заштите и организационе мере за непосредну идентификацију било каквих личних повреде података и непосредног обавештавања надзорног органа и носиоца података. Треба напоменути да је обелодањивање је направљен без непотребног одлагања, узимајући у обзир посебно природу и тежину повреде личних података, и последице и неповољни ефекти за носиоца података. Обавештење може да доведе до интервенције од стране надзорног органа, у складу са задацима и овлашћењима дефинисаним у овој Уредби.
  3. (88) При одређивању детаљна правила у вези са форматом и поступцима који се примењују у обавештењу личних повреда података, Они треба да узму у обзир околности такве повреде, укључујући и да ли лични подаци заштићени одговарајућим мерама техничке заштите, ефективно ограничава могућност крађе идентитета или других облика злостављања. додатни, Ова правила и процедуре треба да узму у обзир легитимне интересе органа за спровођење закона, где би рано откривање непотребно ометати истрагу о околностима кршења личних података.
  4. (89) Директиве 95/46 / ЕЗ обезбеђен за општу обавезу да открије личне податке надзорних органа. Иако је ова обавеза подразумева административне и финансијске оптерећења, Није помогло у свим случајевима у циљу заштите личних података. стога, опште обавезе такво обелодањивање, неиздиференциране, Њих треба укинути и заменити са ефикасне процедуре и механизмима који се фокусирају на оне врсте обраде операција које могу довести до високог ризика за права и слободе појединаца због природе, обим, контекст и њихови циљеви. Овакве радње обраде, могу бити оне, посебно, укључујући и употребу нових технологија и нови тип је када је претходно извршила процену утицаја у погледу заштите података од контролора или када је то потребно због времена протеклог од почетне прераде.
  5. (90) У овим случајевима, контролер, пре третмана, треба извршити процену утицаја у вези са заштитом података, проценити одређени вероватноћу и озбиљност високог ризика, узимајући у обзир природу, обим, контекст и сврха обраде и ризика извора. Ова процена утицаја треба да обухвати, посебно, планиране мере, гаранције и механизми који ублажавају тај ризик, обезбеђивање заштите личних података и покаже поштовање овог правилника.
  6. (91) Ово ће бити посебно важи за велике радње обраде размера усмерених на обради велику количину личних података на регионалном, националном или наднационални ниво, што може утицати велики број субјеката података и који ће вероватно резултирати високим ризиком, на пример због њихове осетљивости, када према постојећим технолошким нивоима знања користе нову технологију широко, и друге послове за прераду који доводе до високог ризика за права и слободе субјеката података, посебно када такви акти ометају остваривање права податке субјеката. Такође треба да се спроведе процену утицаја у погледу заштите података када се лични подаци обрађују за долазак у одлукама које се односе на конкретне појединце након систематског и опсежне процене личних аспеката који се односе на обуку појединаца на бази

 

Службени лист Европске уније

профили на основу тих података, или после прераде одређених категорија личних података, биометријски подаци или подаци који се односе на кривична дела и кривична осуда или у вези мере безбедности. процена утицаја на заштиту података је такође потребна за праћење јавно доступне области у великој мери, посебно када се користе за оптоелектронских уређаја или било који други посао кад год надлежни орган сматра да је обрада може довести до високог ризика за права и слободе субјеката података, посебно зато што спречава носиоца података да оствари било које право или користити услугу или уговор или зато што систематски спроводи у великој мери. Обрада личних података не треба сматрати да је главни, ако се обрада односи на личне податке пацијената и лекара, као приватним клијентима, друга професионална здравство или адвокат. У таквим случајевима, процена утицаја на заштиту података не треба да буде обавезно.

Постоје случајеви у којима може бити разумно и економски предмет процене утицаја у вези са заштитом података преко један пројекат, на пример, где државни органи или органи намеравају да успоставе заједничку апликацију или платформу за прераду или ако више контролори планирају да уведу заједничку пријаву или обраду окружење у индустријском сектору или индустрији или за широко користити и хоризонтално активности.

Према верзији законодавства државе чланице основи обављање дужности јавног органа или јавног органа, који регулише акт или серију обраде операција, Државе чланице могу сматрати неопходним да спроведе ову процену пре активности за пречишћавање.

Ако је процена утицаја који се односи на заштиту података указује да третман, без заштите, безбедносне мере и механизме за ублажавање ризика, би довело у велики ризик за права и слободе појединаца и контролора сматра да је ризик не може ублажити разумних мјера у погледу расположиву технологију и трошкове спровођења, треба консултовати од стране надзорног органа прије почетка прераде активности. Овако висок ризик је вероватно да ће доћи од одређеног прераде и одређеном степену обраде и фреквенције, па чак и оштећења или мешање у права и слободе појединца. Надзорни орган треба да одговори на захтев за консултације у датом периоду. међутим, Недостатак реакције надзорног органа у наведеном року не би требало да утиче на било какву интервенцију надзорног органа, у складу са задацима и овлашћењима дефинисаним у овој Уредби, укључујући забрану обраде пословања власти. Као део овог процеса консултовања, може да поднесе надзорном органу резултат процене утицаја на заштиту података које је спроведено у вези са обрадом емисије, посебно мере под условом да се ублажи ризик за права и слободе појединаца.

Процесор би требало да пружи помоћ у контролер, када је то потребно и на захтјев, како би се осигурало поштовање обавеза које произилазе из вршења процене утицаја на заштиту података и претходне консултације надзорног органа.

Консултације са надзорним органом треба да се спроведе током припреме једне законске или регулаторне мјере под којима се обрада личних података, да обезбеди усаглашеност намењене обради са овом Уредбом и, посебно, За ублажавање ризика на које се подаци односе.

Ако се обрада врши јавне власти, искључујући судове или независне судске власти када поступају у своје правосудне надлежности, обезбеђен, приватни сектор, обрада врши контролор чија је основна делатност подразумева обраду операције које захтевају редовно и систематско праћење предмета података у великој мери, или ако се основне активности контролора или процесора су обрада великих посебних категорија личних података и података који се односе на кривична уверења и дјела,

Службени лист Европске уније

особа са искуством у праву и заштиту података пракси би требало да помогне контролер или процесор у праћењу унутрашње складу са овом уредбом. У приватном сектору, основне операције регулатора у вези са основном делатношћу, а не на обраду личних података као помоћна делатност. Неопходан ниво искуства треба одредити нарочито према обраду података спровео заштити која захтева да су лични подаци обрађују од контролора или процесора. Ови службеници за заштиту података, без обзира на то да ли су запослени у контролера, Требало би бити у стању да испуни своје обавезе и дужности на независан начин.

  1. (98) Једињења или друге субјекте који представљају категорије контролора или процесора треба охрабрити за цртање кодова, у границама овог Правилника, да би се олакшало делотворно спровођење ове Уредбе, узимајући у обзир специфичности обраду проводи у одређеним областима и посебних потреба микро, мала и средња предузећа. посебно, Ови кодови могу да регулишу обавезе контролора и процесора, узимајући у обзир ризик да би могло резултирати из третмана на права и слобода појединаца.
  2. (99) Приликом израде кодекса понашања или измену или продужење таквог кода, удружења и друга тијела која представљају категорије контролора или процесора треба да се консултује заинтересоване стране, укључујући субјектима података, где је то могуће, и узимају у обзир било какве коментаре поднетих и те ставове изражене у тим консултацијама.
  3. (100) Да би се побољшала транспарентност и поштовање овог правилника, Они треба да буду подстакнути да успостављају механизме и печате цертификације и сигнале за заштиту података, омогућавајући субјекте података да брзо процени ниво заштите података релевантних производа и услуга.
  4. (101) Лични подаци тече и из земаља изван су ЕУ и међународне организације неопходне за ширење међународне трговине и међународну сарадњу. Експанзија ових токова створио нове изазове и проблеме који се односе на заштиту личних података. међутим, када се лични подаци преносе из Уније са контролорима, процесора или друге прималаца у трећим земљама или међународним организацијама, ниво не сме да наруши заштиту појединаца који гарантује Унији ове Уредбе, укључујући и где даље преноси личних података у треће земље или међународне организације на контролора и процесора у исто или неке треће земље, или друге међународне организације. У сваком случају, трансфери трећим земљама и међународним организацијама може бити обавештени вршити само у потпуном складу са овом Уредбом. Пренос може одвијати само ако, складу са осталим одредбама овог Правилника, контролор или обрађивач мора бити у складу са условима из одредби овог Правилника у погледу преноса личних података трећим земљама или међународним организацијама.
  5. (102) Ова Уредба је без обзира на међународне споразуме између Уније и трећих земаља који регулишу пренос личних података и обезбедити адекватну заштиту за које се подаци односе. Државе чланице могу закључивати међународне споразуме које обезбеђују за пренос личних података трећим земљама или међународним организацијама, уколико се ти споразуми не утиче на одредбе овог правилника или других одредби закона Уније и укључују одговарајући ниво заштите за основна права субјеката података.
  6. (103) Комисија може да одлучи, са ефектом за цијелу Унију, да треће земље, земљишта или специфична сектора у трећој земљи или међународне организације, пружају адекватан ниво заштите података и на тај начин сачувати правну сигурност и једнообразност у целој Унији у погледу треће државе или међународне организације које се сматра да обезбеди такав ниво заштите. У таквим случајевима, лични подаци у тој трећој земљи или међународне организације може се без да захтевате други лиценцу. Комисија може одлучити да укине ову одлуку, на огласној и оправданости изјави за треће државе или међународне организације.
  7. (104) Према основним принципима Уније, посебно заштите људских права, Комисија треба, приликом оцењивања трећу земљу или територију или одређени сектор у трећој земљи, узети у обзир да ли је дати трећа земља поштује владавину права, Приступ правди, и међународне норме и стандарде о људским правима и општим и секторских закона, на, укључујући и закон о јавној безбедности, одбрана и национална безбедност, и јавна политика и кривично право. Верзија одлука адекватност за област земљишта или треће земље треба да буде

 

Службени лист Европске уније

рачун јасне и објективне критеријуме, као специфичне активности за прераду и обим важећим законским стандардима и прописима који су на снази у трећој земљи. Трећа земља мора да понуди гаранције које обезбеђују одговарајући ниво заштите, суштински еквивалентан оном осигурана у Унији, Посебно када је обрада личних података врши се у једној или више специфичних области. посебно, трећа земља треба да обезбеди ефикасну и независну супервизију заштите података и обезбеђује механизме за сарадњу са надлежним органима за заштиту података у државама чланицама, а не субјекти података треба да имају на располагању ефикасно и законско право, и могућност ефикасног управном и судском одштету.

Поред међународних обавеза треће државе или међународне организације, Комисија треба да узме у обзир обавезе које проистичу из њеног учешћа у трећој земљи или међународној организацији у мултилатералним или регионалних система, посебно у вези са заштитом личних података, као примена тих обавеза. треба, посебно, узме у обзир приступања треће земље у Конвенцији Савета Европе од 28. јануара 1981 о заштити лица у односу на аутоматску обраду личних података и додатним протоколом. Комисија би требало да се консултује са Саветом за заштиту података консултовати сваки пут када процене ниво заштите у трећим земљама или међународним организацијама.

Комисија би требало да прати рад одлука на нивоу заштите у трећој земљи, земљишта или ужа треће земље или међународне организације и да прати рад одлука усвојена у складу са чланом 25 став 6 или члан 26 став 4 Директиве 95/46 / ЕЗ. Одлуке знања, Комисија треба да обезбеди периодично прегледа механизам рада. Овај периодични преглед треба да се уради у консултацији са треће државе или међународне организације и треба да узме у обзир све релевантне догађаје у треће земље или међународне организације. За потребе праћења и спровођења периодичне прегледе, Комисија треба да узме у обзир мишљења и закључке Европског парламента и Савета, и други релевантни органи и извори. Комисија би требало да процени, у разумном року, рад скорашњих одлука и пријаве све релевантне закључке Одбора у смислу Уредбе (Европска унија) не. 182/2011 Европски парламент и Савет (1), утврђене овом Уредбом, Европски парламент и Савет.

ИЕпитропимпореинадиапистосеиотимиатритицхора,едафосисигкекрименостомеасмиастритисцхорасиенасдиетхнис тело не осигура адекватан ниво заштите података. стога, Требало би забранити пренос личних података у тој трећој земљи или међународној организацији, осим ако захтевима овог правилника који се односе на трансфере уз одговарајуће заштите, укључујући и обавезујућа корпоративних правила, и о изузецима за посебне ситуације. У овом случају, Они треба да укључе консултације између Комисије и тих трећих земаља или међународних организација. Комисија треба, на време, обавести треће државе или међународне организације на основу и да ступи у консултације како би се решио.

Одсуство одлука адекватност, контролор или обрађивач треба да предузму мере да се надокнади недостатак заштите података у трећој земљи кроз одговарајуће гаранције за носиоца података. Такве одговарајуће мере заштите може да укључује употребу везивања корпоративних правила, стандардне одредбе за заштиту података које је усвојила Комисија, стандардне одредбе за заштиту података, усвојен од стране надзорног органа или уговорних клаузула одобрени од стране надзорног органа. Такве мере заштите треба да обезбеди поштовање услова заштите података и права носиоца података, у светлу прераде унутар Уније, Укључујући матхе- доступност легално право опсежније податке субјеката и праве лекове, као што укључујући и право на дјелотворан административне или судске акције и захтев за накнаду штете, у Унији или у некој трећој земљи. Они треба да се односи посебно складу са општим принципима који регулишу обраду личних података и принципима заштите података од дизајна и подразумевано. Трансфери може да се врши од стране државних органа или институција са јавним овлашћењима или тела трећим земљама или међународним организацијама које имају сличне задатке и одговорности, укључујући према одредбама које треба уградити у управним одредбама, као меморандум, где су ефикасно и легално под условом јаке права за које се подаци односе. Дозвола надлежног надзорног органа треба да се добије ако гаранција обезбеђени у не-правно обавезујући административне поставке.

Способност контролора или процесора да користе стандардне одредбе за заштиту података које је одобрила Комисија или орган ревизије не би требало да спречи контролори или процесоре укључе стандардне клаузуле за заштиту података у ширем уговору, као уговор између процесора и других извршавање

Службени лист Европске уније

обрада, нити да додате друге клаузуле или додатне гаранције, ако нису у супротности, директно или индиректно, одобрења од стране Комисије или надзорни орган или уговорне клаузуле нарушава основна права и слободе субјеката података. Контролори и процесори треба подстицати да обезбеде додатне гаранције до уговорних обавеза су комплементарне са постојећим клаузулама о заштити података.

  1. (110) Група компанија, као и група компанија бави заједничком економске активности, Требало би бити у могућности да искористи одобрених обавезујућих корпоративних правила за своје међународне трансфере из Уније организацијама унутар исте групе предузећа или групе предузећа која се баве у заједничком економске активности, ако су корпоративни правила укључују све основне принципе и права да добију правну заштиту, како би се осигурало одговарајуће гаранције за трансфере или категорија личних преноса података.
  2. (111) Могућност трансфера у неким случајевима бити, када је предмет података је обезбеђен њихов изричит пристанак, ако је пренос је повремено и неопходна у вези са уговором или правног захтева, или у судском поступку или у било ком административном или екстра-судском поступку, укључујући у поступку пред регулаторним телима. Могућност трансфера треба да буде, где важни разлози јавног интереса утврђених законом уније или државе чланице налажу или где је пренос направљен од регистра утврђеног законом и намењен за издвајање информација од јавности или лица која имају легитиман интерес. У овом другом случају, овај пренос не би требало да покрије целину података или целих категорија личних података који се налазе у регистру и, када је намењен регистар за добијање информација од лица која имају легитиман интерес, трансфер би требало да буде само на захтев тих лица или, било да је то пренос примаоци, узимајући у потпуности у обзир интересе и основних права носиоца података.
  3. (112) Ови изузеци треба посебно се односе на пренос података тражи и неопходни за важних разлога јавног интереса, на пример у случајевима међународне размјене података између органа за заштиту конкуренције, пореске или царинске власти, међу финансијским супервизора, између органа надлежних за социјалну сигурност или јавно здравље, на пример, у случају контакта трагање за откривање заразних болести или да би се смањила и / или елиминишу допинг (допинг) спортски. Пренос личних података треба да се сматра законитим где је потребно да се заштити интерес који је од суштинског значаја за виталне интересе носиоца података или другог лица, укључујући физичког интегритета или живот, ако је предмет података није у стању да дају сагласност. Одсуство одлука адекватност, закон уније или закон државе чланице могу, за озбиљне разлога јавног интереса, изричито предвиђа ограничења на пренос одређених категорија података у треће земље или међународне организације. Државе чланице ће обавијестити те одредбе у Комисији. Сваки пренос на међународном хуманитарном кадровској организацији података карактера субјекта који нема правно или физичко способност да дају сагласност, који је дизајниран да испуни обавезу према Женевске конвенције или у складу са међународним хуманитарним правом у оружаним сукобима, Може се сматрати као неопходно за добру ствар од јавног интереса или зато што намерава да виталних интереса носиоца података.
  4. (113) Трансфери који су препознатљиви не понавља и који се односе ограничен број предмета података може такође бити дозвољено због превасходни легитимних интереса извршених од контролора, када су интереси или права и слободе субјекта података не замењују ове интересе када је контролер је оценио све околности пренос података. Контролор треба да посебно у обзир природу личних података, сврха и трајање предложених операција или прераде операција, а ситуација у земљи порекла, трећа земља и земља крајњег одредишта, и пружање услуга одговарајуће гаранције за заштиту основних права и слобода појединаца у вези са заштитом личних података. Ови трансфери треба само бити могуће у случајевима у којима ниједан од друге сврхе преноса. За потребе научног или историјског истраживања или статистичке сврхе, Они треба да узму у обзир легитимна очекивања друштва за повећање знања. Контролор треба да обавести надлежног органа и носиоца података за пренос.
  5. (114) У сваком случају, ако Комисија није добила одлуку адекватност на нивоу заштите података у трећој земљи, контролор или процесор ће морати да пронађе решења која могу ефикасно пружају у вези са обрадом њихових података у Унији до носиоца података и законско право после преноса тих података, да настави да користи основна права и гаранције.

П 119/22 (115)

Службени лист Европске уније 4.5.2016

Неке треће земље донесу законе, прописи и други правни инструменти који тврде да директно регулише обраду активности физичких и правних лица у надлежности држава чланица. Ово може укључивати судске одлуке или одлуке управних органа у трећим земљама које захтевају контролер или процесор за пренос или откривају личне податке који се не заснивају на међународном уговору, нпр Конвенција о узајамној помоћи који је на снази између дотичној земљи и Уније, односно државе чланице молиље. Екстратериторијална примена ових закона, прописи и други правни акти могу да крше међународно право и отежава постизање заштити појединаца зајамчених у Унији овом Уредбом. Трансфери треба дозволити само ако су услови овог Правилника до трансфера у трећим земљама. То може да се деси, укључујући, ако је објављивање потребно за важан основу јавног интереса која је призната у праву уније или државе чланице у којој је контролор предмет.

Покрет прекогранично личних података изван ЕУ можда ставља под већим ризиком способност појединаца да остваре права на заштиту података нарочито за заштиту тефонтаи од неовлашћеног коришћења или откривања таквих информација. истовремено, надзорни органи могу наћи да су у стању да делују по жалбама или да спроведе истрагу у активностима ван својих граница. Њихови напори да заједно раде у прекограничном контексту може бити отежан због недовољних превентивних или корективних овлашћења, контрадикторних правних режима и практичних препрека, као што су недостатак ресурса. стога, постоји потреба да се промовише ближе сарадње између заштиту података надзорним органима, да би се лакше размењују информације и спровести истрагу са својим међународним партнерима. Да развију механизме међународне сарадње како би се олакшало и обезбеде међународну узајамну помоћ у спровођењу прописа о заштити података, Власти комисије и надзорни треба да размењују информације и сарађују у активностима везаним за остваривање својих овлашћења од стране надлежних органа трећих земаља, на основу реципроцитета и у складу са овом уредбом·

Успостављање надзорних органа у државама чланицама, одобрен за обављање своје дужности и користити своја овлашћења у пуну независност, То је основна компонента заштите појединаца у вези са обрадом њихових личних података. Државе чланице треба да буду у стању да успостави још супервизора, у зависности од уставни, организациона и административна структура.

Независност надзорних органа не би требало да значи да су надзорни органи не могу бити предмет инспекције или надзорних механизама у погледу њихових финансијских расхода или судске ревизије.

Ако држава чланица уводи још супервизора, треба да успоставе механизми права, да се осигура делотворно учешће тих надзорних органа у механизму конзистентност. Држава чланица треба да одреди, посебно, надзорни орган који је једини контакт тачка за ефикасно учешће тих органа у механизму, како би се осигурало брзо и глатко сарадњу са другим надзорним органима, Савет за заштиту података и Комисија.

У сваком надзорника треба обезбедити финансијски и људски ресурси, објекти и инфраструктура који су од суштинског значаја за ефикасно обављање својих функција, укључујући и оне које се односе на узајамној помоћи и сарадњи са другим надзорним органима широм Уније. Сваки надзорник треба да има посебан, јавни годишњи буџет, који могу бити део укупног стања или националног буџета.

Општи услови за члана или чланова надзорног органа треба успоставити законом у свакој држави чланици и треба да обезбеди, посебно, да ти чланови именовани, транспарентан процес, или парламент, Влада или шеф државе државе чланице на предлог владе, државна влада, Парламент или део парламента, или од стране независног тела одговорног за ту сврху од стране закона држава чланица. Да би се осигурала независност супервизора, Чланови члан или треба да делује са интегритетом, да се уздрже од било каквих радњи није у складу са својим обавезама и, током свог мандата, Они не би требало да се укључе у било некомпатибилан занимање, профитабилна или не. Надзорни орган мора да има своје особље, изабран од стране надзорног органа или од стране независног тела подесити према закону државе чланице, и бити под искључивом правцу члана или чланова надзорног органа.

Сваки супервизор ће бити одговоран, у држава чланица одговорна, да врши овлашћења и обављање функције додељене у складу са овом Уредбом. Ово би требало да покрије нарочито третман у активностима на успостављању контролора или процесора на територији властите државе чланице, обрада личних података врши јавне власти или приватних тијела које делују у јавном интересу, процессинг која утиче податке леже на територији или прерада извршена од стране

Службени лист Европске уније

контролор или обрађивач није основано у Унији, када циљана предмета података који се налазе на њеној територији. Ово би требало да обухвати баве жалбе поднете од стране носиоца података, Истраживања о спровођењу ове уредбе и промовишу свест јавности о опасности, правила, гаранције и права која се односе на обраду личних података.

  1. (123) Надзорни органи треба да прати примену одредаба овог Правилника и да допринесе досљедна примјена широм Уније, циљу заштите појединаца у односу на обраду личних података и да омогући слободно кретање личних података у оквиру унутрашњег тржишта. За ту сврху, супервизори треба да сарађују међусобно и са Комисијом, без потребе за споразум између држава чланица за узајамну помоћ или за такву сарадњу.
  2. (124) Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα κράτη μέλη ή όταν η επεξεργασία που πραγματο­ ποιείται στο πλαίσιο των δραστηριοτήτων της μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση επηρεάζει ουσιωδώς ή είναι πιθανόν να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη, као орган глава делује као супервизор за главни успостављање контролора или процесора или само инсталације контролора или процесора. То би требало да сарађује са другим надлежнима, јер је контролор или процесор има успостављање на територији државе чланице, јер субјекти података који се налазе на њиховој територији материјално угрожена или зато што је притужба поднета. такође, када је носилац података који не живе у тој држави чланици подноси жалбу, надзорни орган за који је пријава треба да буде забринут супервизор. Као део своје дужности да изда смернице о било ком питању у вези са спровођењем овог Правилника, Савет за заштиту података требало би да изда смернице, посебно критеријуми које треба узети у обзир приликом одређивања да ли такво поступање утиче материјално предмете података у неколико држава чланица и шта представља релевантно и образложено примедбу.
  3. (125) Орган Главни треба да буде овлашћен да обавезујуће одлуке о мерама за спровођење задатака која су јој према овој Уредби. У својству водећег ауторитета, надзорни орган треба да обезбеде активно учешће и координација заинтересованих страна супервизора у процесу доношења одлука. Ако одлука одбацује, у целини или делимично, престанак носиоца података, ова одлука требало би да буде одобрен од стране надзорног органа коме је поднета жалба.
  4. (126) Одлука треба да буде договорен заједнички главни контролор и надзорни органи и треба да буде упућена директору или искључиво инсталације контролора или процесора и бити обавезујући за контролора и процесора. Контролор или процесор треба да предузму неопходне мере како би се осигурало поштивање овог прописа и спровођења одлуке обавештен од стране главног надзорника у главном инсталације контролора или процесора у вези са обрадом активности Унија.
  5. (127) Сваки надзорни орган не поступи као водећа супервизора мора бити надлежан да се бави локалним пословима где је успостављена контролер или процесор у више од једне државе чланице, али предмет третмана јединог прераду која се одвија у једној држави чланици и односи се на субјекте података у тој држави чланици онли, на пример, када је предмет обраде личних података радника у одређеној запошљавање унутар државе чланице. У таквим случајевима, Надзорни орган мора обавијестити главног надзорни орган без одлагања. jednom ажуриран, главни надзорник треба да одлучи да ли да се бави поступка у складу са аранжманом о сарадњи између главног надзорника и другим надзорним органима ("Оне стоп механизам '), или да ли треба да се бави случај на локалном нивоу надзорни орган информисани. Приликом одлучивања да ли да чује случај, главни супервизор треба узети у обзир да ли постоји објекат од контролора или процесора у држави чланици надзорног органа информисани, како би се осигурало ефикасно извршење рјешења против контролора или процесора. када

 

Службени лист Европске уније

Главни надзорни орган одлучи да чује случај, надзорни орган обавестио треба да буде у стању да поднесе предлог одлуке, који би требало да на челу надлежног органа да дође у крајњу рачун приликом припреме предлог одлуке у контексту механизма једном месту.

не би требало да се примењују правила о главни надзорник и механизма један-стоп, где се обрада обавља јавне власти или приватне установе у јавном интересу. У таквим случајевима, једини надзорни орган је надлежан да врши овлашћења која према овој Уредби треба да буде надзорни орган државе чланице у којој се утврди да орган јавне власти или приватно тијело.

Да би се осигурала доследну праћење и спровођење овог правилника широм Уније, надзорни органи треба да имају у свакој држави чланици исте дужности и иста стварну моћ, укључујући истраге овлашћења, корективна овлашћења и санкције, и лиценцирање и саветодавне надлежности, нарочито у случајевима жалбе појединаца, и, не доводећи у питање надлежности тужилаштва у складу са законом државе чланице, моћ да покрену повреде одредаба овог Правилника на правосудним органима и да се ангажују у судским поступцима. Те силе треба да садржи овлашћење да изрекне привремену или коначну обраду ограничавање, укључујући забрањује узимање. Државе чланице могу одредити посебне и друге послове који се односе на заштиту личних података према овој Уредби. Овлашћења надзорних органа треба да се остварује у складу са одговарајућим процедуралних заштитних мера наведених у праву ЕУ и законима држава чланица, непристрасно, поштено и у разумном року. посебно, свака мера мора бити одговарајуће, неопходна и сразмерна, како би се осигурало поштовање овог Правилника, узимајући у обзир околности сваког појединачног случаја, да поштују право да буде саслушан сваку особу пре било појединачне мере против њега и да се избегну непотребне трошкове и велике терете за заинтересованих лица. У истражна овлашћења у погледу приступа објектима треба да се остварује у складу са специфичним захтевима процесног права државе чланице, као што је тражење издавање претходно судског налога. Било правно обавезујући мера надзорног органа треба да буду у писаној форми, бити јасна и недвосмислена, државни надзорни орган који је издао, датум издавања, бити потписан од стране шефа или члана надзорног органа овлашћеног од стране, наведе разлоге за такву меру и право на делотворан правни лек. Ово не треба искључити могућност додатних захтева у складу са процесног права државе чланице. Усвајање одлуке правоснажно који може укључивати, могуће, подлежу судској контроли у држави чланици надзорног органа који је издао пресуду.

Где надзорни орган коме је жалба није био главни надзорник, главни надзорни орган треба да блиско сарађују са надзорним органом коме је притужба поднета у складу са одредбама о одредбама сарадње и повезаности у овој Уредби. У таквим случајевима, главни надзорник треба, предузимање мера суђено да производи правно дејство, као што су административне казне, водећи посебно рачуна о мишљењима надзорног органа коме је притужба поднета и који треба да остане одговорна за обављање било које од држава чланица истраживања на терену у вези са надлежном надзорном органу.

Када други надзорни орган мора дјеловати као главни супервизор за обраду активности контролора или процесора, али ово питање акције или било које кршење односи само прерадом активности контролора или процесора у држави чланици у којој је албу или утврдио да постоје повреде, а ствар не значајно утицати или ће вероватно значајно утичу на субјекте података у другим државама чланицама, надзорни орган који прими жалбу или нађе или је информисан на други начин ситуације које укључују повреде ове Уредбе треба да настави пријатељско поравнање са контролером и, ако се то покаже неуспешним, да остваре пун опсег овлашћења. Ово би требало да обухвати: специфичан третман спроводи на територији држава чланица надзорног органа или у вези са субјектима података на територији те државе чланице· прерада извршена у контексту испоруке добара и услуга које су намењене за основи података у националној територији надзорног органа или прераде који мора бити процењена, узимајући у обзир одговарајуће законске обавезе према закон државе чланице.

Активности за подизање свести по надзорних органа обратио јавности треба да садржи конкретне мере за контролора и процесора, Инцлудед Енон мицро, мала и средња предузећа, и појединаца нарочито у образовању.

Службени лист Европске уније

  1. (133) Супервизори треба да подржавамо једни друге у обављању својих дужности и пружају узајамну помоћ, да обезбеди доследну примену и спровођење ове Уредбе на унутрашњем тржишту. Надзорни орган тражи међусобне помоћи може да привремену меру, ако не добије одговор на захтев за помоћ у року од месец дана од пријема захтева од стране друге супервизора.
  2. (134) Сваки супервизор треба, где је то могуће, да учествује у заједничким операцијама са другим супервизорима. Надзорни орган коме треба тражити захтев да одговори на захтев у одређеном року.
  3. (135) Да би се осигурала доследну примену овог Правилника широм Уније, ће кохерентности механизам треба установити за сарадњу између надзорних органа. Овај механизам треба да се примењује нарочито када надзорни орган намерава да усвоји мере да има правне последице за обраду операције које материјално утичу значајан број предмета података у неколико држава чланица. Такође би требало да се примењују када неки надзорни орган или Комисија тражи руковање предмета под механизма конзистентност. Овај механизам не би требало да прејудицира било какве мере које могу бити предузете од стране Комисије у вршењу својих овлашћења по уговорима.
  4. (136) Када се примењује механизам доследности, Одбор за заштиту података требало би да изда мишљење, у одређеном року, одлучи да ли је већина њених чланова или на захтјев надзорног органа или од стране Комисије. Одбор за заштиту података треба да буде овлашћен да доноси правно обавезујуће одлуке, када постоје разлике између супервизора. За ту сврху, треба да изда, раван’ принцип већином од две трећине својих чланова, правно обавезујуће одлуке у јасно одређеним случајевима у којима постоје опречна мишљења између супервизора, посебно у механизму сарадње између главног надзорника и надзорних органа о меритуму предмета, посебно да ли постоји повреда овог Правилника.
  5. (137) Може постојати хитна потреба за мерама за заштиту права и слободе субјеката података, посебно када постоји ризик да се значајно отежан остваривање права на носиоца података. стога, надзорни орган треба да буде у стању да правилно усвоје привремене мере оправдане на њеној територији са одређеном роком важења који не би требало да прелази три месеца.
  6. (138) Примена овог механизма треба да буде услов за законитост предузетих мера од стране надзорног органа у циљу да производи правно дејство у случајевима у којима његова примена је обавезна. У осталим случајевима прекограничног интереса, механизам сарадње треба да се примењује између водећег органа и релевантних супервизора, Не надзорни органи могу да прибегавају узајамној помоћи и заједничке подухвате, билатерални или мултилатерални, без активирања механизам доследности.
  7. (139) У циљу подстицања доследну примену овог Правилника, Одбор за заштиту података треба успоставити као независно тело Уније. Да би испунили циљеве, Савет за заштиту података има својство правног лица. Одбор за заштиту података треба да буде представљена од стране председника. Треба да замените заштитни групе лица у односу на обраду личних података утврђених Директивом 95/46 / ЕЦ од. Треба састоји од главе надзорног органа из сваке државе чланице и Европске надзорника за заштиту података или њихових представника. Комисија би требало да учествује у њеним активностима Савета за заштиту података без права гласа и супервизор за заштиту Европска података треба да имају посебна права гласа. Одбор за заштиту података треба да допринесе доследну примену овог Правилника у целој Унији, укључујући и пружање савета Комисији, посебно на нивоу заштите у трећим земљама или међународним организацијама, и промовисање сарадње између надзорних органа широм Уније. Одбор за заштиту података би требало да делује самостално у обављању својих дужности.
  8. (140) Одбор за заштиту података треба помагати секретаријат коју пружа Европски надзорник заштите података. Тхе Европски надзорник заштите података особље укључено у обављању поверених послова Одбора за заштиту података према овој Уредби треба да обављају своје дужности искључиво по инструкцијама председника Савета за заштиту података и обавести га о.
  9. (141) Сваки предмет подаци треба да имају право да се жале на једном надзорном органу, посебно у држави чланици пребивалишта, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή

 

Службени лист Европске уније

δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, κάθε εποπτική αρχή θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

Όταν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλος, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριο­ ποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του σε εποπτική αρχή, να ασκήσει το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή, εφόσον προβλέπεται από το δίκαιο κράτους μέλους, το δικαίωμα να λάβει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων. Κράτος μέλος μπορεί να προβλέπει ότι αυτός ο φορέας, οργανισμός ή οργάνωση να έχει το δικαίωμα να υποβάλει σε αυτό το κράτος μέλος καταγγελία, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, και δικαίωμα πραγματικής δικαστικής προσφυγής, όταν έχει λόγους να θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση του παρόντος κανονισμού. Ο εν λόγω φορέας, οργανισμός ή οργάνωση ενδέχεται να μην έχει το δικαίωμα να απαιτεί αποζημίωση για λογαριασμό του υποκειμένου των δεδομένων, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων.

Κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα να ασκήσει προσφυγή για την ακύρωση των αποφάσεων του Συμβουλίου Προστασίας Δεδομένων ενώπιον του Δικαστηρίου σύμφωνα με τους όρους που προβλέπονται στο άρθρο 263 ДФЕС. Ως αποδέκτες των αποφάσεων αυτών, οι ενδιαφερόμενες εποπτικές αρχές που επιθυμούν να τις προσβάλουν πρέπει να ασκήσουν προσφυγή εντός δύο μηνών από την κοινοποίησή τους, σύμφωνα με το άρθρο 263 ДФЕС. Σε περίπτωση που οι αποφάσεις του Συμβουλίου Προστασίας Δεδομένων αφορούν άμεσα και ατομικά έναν υπεύθυνο επεξεργασίας, εκτελούντα την επεξεργασία ή καταγγέλλοντα, αυτοί μπορούν να ασκήσουν προσφυγή για την ακύρωση των αποφάσεων αυτών εντός δύο μηνών από τη δημοσίευση των αποφάσεων αυτών στον διαδικτυακό τόπο του ΣυμβουλίουΠροστασίας Δεδομένων, σύμφωνα με το άρθρο 263 ДФЕС. Mε την επιφύλαξη αυτού του δικαιώματος δυνάμει του άρθρου 263 ДФЕС, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Οι αποφάσεις αυτές αφορούν ειδικότερα την άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή τις περιπτώσεις στις οποίες οι καταγγελίες κρίνονται απαράδεκτες ή απορρίπτονται. међутим, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή και να διεξάγεται σύμφωνα με το δικονομικό δίκαιο του εν λόγω κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη δικαιοδοσία, η οποία θα πρέπει να περιλαμβάνει τη δικαιοδοσία να εξετάζουν όλα τα πραγματικά και νομικά ζητήματα σχετικά με τη διαφορά που εκκρεμεί ενώπιόν τους.

Όταν μια καταγγελία έχει απορριφθεί ή κριθεί απαράδεκτη από εποπτική αρχή, ο καταγγέλλων μπορεί να κινήσει διαδικασία ενώπιον των δικαστηρίων στο ίδιο κράτος μέλος. Στο πλαίσιο των δικαστικών προσφυγών που σχετίζονται με την εφαρμογή του παρόντος κανονισμού, τα εθνικά δικαστήρια τα οποία θεωρούν ότι μια απόφαση επί του ζητήματος είναι αναγκαία για την έκδοση της δικής τους αποφάσεως μπορούν ή, στην περίπτωση που προβλέπεται στο άρθρο 267 ДФЕС, υποχρεούνται να ζητήσουν από το Δικαστήριο την έκδοση προδικαστικής απόφασης επί της ερμηνείας του δικαίου της Ένωσης, συμπεριλαμβανομένου του παρόντος κανονισμού. додатни, όταν μια απόφαση εποπτικής αρχής η οποία εφαρμόζει απόφαση του Συμβουλίου Προστασίας Δεδομένων προσβληθεί ενώπιον εθνικού δικαστηρίου και αμφισβητηθεί το κύρος της απόφασης του Συμβουλίου Προστασίας Δεδομένων, το εν λόγω εθνικό δικαστήριο δεν έχει αρμοδιότητα να κηρύξει άκυρη την απόφαση του Συμβουλίου Προστασίας Δεδομένων αλλά οφείλει να παραπέμψει το ζήτημα του κύρους στο Δικαστήριο σύμφωνα με το άρθρο 267 ΣΛΕΕ όπως ερμηνεύθηκε από το Δικαστήριο, εάν θεωρεί την απόφαση άκυρη. међутим, ένα εθνικό δικαστήριο δεν μπορεί να παραπέμψει το ζήτημα του κύρους μιας απόφασης του Συμβουλίου Προστασίας Δεδομένων κατόπιν αιτήματος φυσικού ή νομικού προσώπου που είχε τη δυνατότητα να ασκήσει προσφυγή ακυρώσεως κατά της αποφάσεως αυτής, ιδίως εάν η απόφαση αυτή το αφορούσε άμεσα και ατομικά, αλλά δεν το έπραξε εντός της προθεσμίας που προβλέπεται από το άρθρο 263 ДФЕС.

Σε περίπτωση που ένα δικαστήριο επιληφθεί διαδικασίας που έχει κινηθεί κατά απόφασης εποπτικής αρχής και έχει λόγους να θεωρεί ότι έχει κινηθεί διαδικασία για την ίδια επεξεργασία, όπως για το ίδιο αντικείμενο όσον αφορά την επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα επεξεργασία ή για την ίδια αιτία, ενώπιον αρμόδιου δικαστηρίου σε άλλο κράτος μέλος, θα πρέπει να επικοινωνεί με το εν λόγω δικαστήριο για να επιβεβαιώσει την ύπαρξη αυτής της συναφούς διαδικασίας. Αν η συναφής διαδικασία εκκρεμεί ενώπιον δικαστηρίου σε άλλο κράτος μέλος, κάθε

Службени лист Европске уније

δικαστήριο εκτός εκείνου που έχει επιληφθεί πρώτο δύναται να αναστείλει τη διαδικασία του ή δύναται, κατόπιν αιτήσεως ενός εκ των διαδίκων, να απεκδυθεί της αρμοδιότητάς του υπέρ του δικαστηρίου που έχει επιληφθεί πρώτο, εφόσον το εν λόγω δικαστήριο έχει δικαιοδοσία για την εν λόγω διαδικασία και το δίκαιό του επιτρέπει τη συνεκδίκαση αυτών των συναφών διαδικασιών. Θεωρούνται συναφείς οι διαδικασίες που συνδέονται μεταξύ τους τόσο στενά, ώστε να υπάρχει συμφέρον να εκδικαστούν και να κριθούν από κοινού, για να αποφευχθεί ο κίνδυνος έκδοσης ασυμβίβαστων μεταξύ τους αποφάσεων, όπως θα συνέβαινε εάν οι υποθέσεις εκδικάζονταν χωριστά.

  1. (145) Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο προσφεύγων θα πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την προσφυγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία διαθέτει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το υποκείμενο των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή κράτους μέλους που ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.
  2. (146) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Επεξεργασία κατά παράβαση του παρόντα κανονισμού συμπεριλαμβάνει επίσης τυχόν επεξεργασία που γίνεται κατά παράβαση των κατεξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται κατ’ спровођење ове Уредбе и закона држава чланица који одређује правила ове Уредбе. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. Σε περίπτωση που υπεύθυνοι επεξεργασίας ή εκτελούντες επεξεργασία συμμετέχουν στην ίδια επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θα πρέπει να ευθύνεται για τη συνολική ζημία. међутим, όταν παραπέμπονται από κοινού ενώπιον της δικαιοσύνης, σύμφωνα με το δίκαιο των κρατών μελών, η αποζημίωση δύναται να καταμεριστεί σύμφωνα με την ευθύνη που φέρει ο κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία για τη ζημία που προκάλεσε η επεξεργασία, υπό την προϋπόθεση ότι διασφαλίζεται η πλήρης και ουσιαστική αποζημίωση του υποκειμένου των δεδομένων που υπέστη τη ζημία. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που κατέβαλε πλήρη αποζημίωση μπορεί ακολούθως να προσφύγει κατά άλλων υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία που συμμετέχουν στην ίδια επεξεργασία.
  3. (147) Σε περίπτωση που ο παρών κανονισμός περιέχει ειδικούς κανόνες δικαιοδοσίας, ιδίως όσον αφορά διαδικασίες με τις οποίες ασκείται δικαστική προσφυγή, μεταξύ άλλων για αποζημίωση, κατά υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία, οι γενικοί κανόνες δικαιοδοσίας όπως οι προβλεπόμενοι στον κανονισμό (Европска унија) не. 1215/2012 Европски парламент и Савет (1) не би требало да утиче на примену ових посебних правила.
  4. (148) У циљу јачања извршење ове Уредбе, санкције, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη, συμπεριλαμ­ βανομένης της πραγματικής δικαστικής προστασίας και της ορθής διαδικασίας.
  5. (149) Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν τους κανόνες περί ποινικών κυρώσεων για παραβάσεις του παρόντος κανονισμού, μεταξύ άλλων για παραβάσεις των εθνικών κανόνων που θεσπίζονται κατεφαρμογή και εντός των ορίων του παρόντος κανονισμού. Οι εν λόγω ποινικές κυρώσεις μπορούν επίσης να συνίστανται σε αποστέρηση από τα οφέλη που αποκτήθηκαν χάριν των παραβάσεων του παρόντος κανονισμού. међутим, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο.
  6. (150) Για την ενίσχυση και την εναρμόνιση των διοικητικών ποινών κατά παραβάσεων του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις, και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, αφού ληφθούν υπόψη όλες οι συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή ειδικότερα στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και στις συνέπειές της και τα μέτρα που λαμβάνονται για τη

(1) регулација(Европска унија)αριθ.1215/2012τουΕυρωπαϊκούΚοινοβουλίουκαιτουΣυμβουλίου,της12ηςΔεκεμβρίου2012,γιατηδιεθνήδικαιοδοσία, την αναγνώριση και την εκτέλεση αποφάσεων σε αστικές και εμπορικές υποθέσεις (ОВ Л 351 од 20.12.2012, стр. 1).

 

Службени лист Европске уније

διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε επιχείρηση, μια επιχείρηση θα πρέπει να νοείται επιχείρηση σύμφωνα με τα άρθρα 101 и 102 ΣΛΕΕ για τους σκοπούς αυτούς. Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε πρόσωπα που δεν είναι επιχειρήσεις, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου. Ο μηχανισμός συνεκτικότητας μπορεί να χρησιμοποιείται επίσης για να προωθήσει μια συνεκτική επιβολή διοικητικών προστίμων. Θα πρέπει να εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές. Η επιβολή διοικητικού προστίμου ή η προειδοποίηση δεν θίγει την εφαρμογή των λοιπών εξουσιών των εποπτικών αρχών ή άλλων κυρώσεων δυνάμει του παρόντος κανονισμού.

Στα νομικά συστήματα της Δανίας και της Εσθονίας δεν προβλέπονται διοικητικά πρόστιμα όπως καθορίζονται στον παρόντα κανονισμό. Οι κανόνες σχετικά με τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπον ώστε στη Δανία το πρόστιμο να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια ως ποινική κύρωση και στην Εσθονία το πρόστιμο να επιβάλλεται από την εποπτική αρχή στο πλαίσιο διαδικασίας για πλημμελήματα, υπό την προϋπόθεση ότι μια τέτοια εφαρμογή των κανόνων σε αυτά τα κράτη μέλη έχει ισοδύναμο αποτέλεσμα με διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. стога, τα αρμόδια εθνικά δικαστήρια θα πρέπει να λαμβάνουν υπόψη τη σύσταση της εποπτικής αρχής από την οποία προέρχεται το πρόστιμο. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.

Όταν ο παρών κανονισμός δεν εναρμονίζει διοικητικές ποινές ή αν είναι αναγκαίο σε άλλες περιπτώσεις, λόγου χάρη σε περιπτώσεις σοβαρών παραβάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόζουν ένα σύστημα αποτελεσματικών, αναλογικών και αποτρεπτικών ποινών. Η φύση των εν λόγω ποινών, ποινικών ή διοικητικών, θα πρέπει να προσδιορίζεται από το δίκαιο των κρατών μελών.

Το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής, πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. стога, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα που να προβλέπουν τις αναγκαίες εξαιρέσεις και παρεκκλίσεις για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Τα κράτη μέλη θα πρέπει να θεσπίσουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, τη συνεργασία και τη συνεκτικότητα και ειδικές περιπτώσεις επεξεργασίας δεδομένων. Όταν οι εν λόγω απαλλαγές ή παρεκκλίσεις διαφέρουν από το ένα κράτος μέλος στο άλλο, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται διασταλτικά οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία.

Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή του παρόντος κανονισμό. Η πρόσβαση του κοινού σε επίσημα έγγραφα μπορεί να θεωρηθεί ως δημόσιο συμφέρον. Τα δεδομένα προσωπικού χαρακτήρα σε έγγραφα που τηρούνται από δημόσια αρχή ή δημόσιο φορέα θα πρέπει να μπορούν να κοινολογούνται δημοσίως από την εν λόγω αρχή ή τον φορέα εάν η κοινολόγηση προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπάγεται η δημόσια αρχή ή ο δημόσιος φορέας. Τα δίκαια αυτά θα πρέπει να συμφιλιώνουν την πρόσβαση του κοινού σε επίσημα έγγραφα και την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα και μπορούν, συνεπώς, να προβλέπουν την αναγκαία συμφιλίωση με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει εν προκειμένω να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από το δίκαιο κράτους μέλους σχετικά με την πρόσβαση του κοινού σε έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1) δεν θίγει και δεν επηρεάζει

Службени лист Европске уније

κατά κανένα τρόπο το επίπεδο προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων του ενωσιακού δικαίου και του δικαίου των κρατών μελών και ιδίως δεν μεταβάλλει τις υποχρεώσεις και τα δικαιώματα που θεσπίζονται στον παρόντα κανονισμό. посебно, η εν λόγω οδηγία δεν θα πρέπει να εφαρμόζεται σε έγγραφα στα οποία η πρόσβαση απαγορεύεται ή περιορίζεται δυνάμει των καθεστώτων πρόσβασης για λόγους προστασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε τμήματα εγγράφων που είναι προσβάσιμα δυνάμει των εν λόγω καθεστώτων και περιέχουν δεδομένα προσωπικού χαρακτήρα η εκ νέου χρήση των οποίων προβλέπεται από το δίκαιο ότι είναι ασυμβίβαστη με το δίκαιο που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

  1. (155) Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.
  2. (156) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις θα πρέπει να διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα που εγγυώνται, посебан, την αρχή της ελαχιστοποίησης των δεδομένων. Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πραγματοποιείται όταν ο υπεύθυνος της επεξεργασίας έχει εκτιμήσει κατά πόσο είναι εφικτό να εκπληρωθούν οι σκοποί αυτοί μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, υπό την προϋπόθεση ότι υπάρχουν κατάλληλες εγγυήσεις (као такав, на пример, η ψευδωνυμοποίηση των δεδομένων). Τα κράτη μέλη θα πρέπει να προβλέπουν κατάλληλες διασφαλίσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, сврхе научног или историјског истраживања или статистичке сврхе. Θα πρέπει να επιτρέπεται στα κράτη μέλη να παρέχουν, υπό συγκεκριμένες προϋποθέσεις και με δέουσες εγγυήσεις για τα υποκείμενα των δεδομένων, προδιαγραφές και παρεκκλίσεις όσον αφορά τις απαιτήσεις πληροφόρησης και τα δικαιώματα διόρθωσης και διαγραφής, το δικαίωμα στη λήθη, το δικαίωμα περιορισμού της επεξεργασίας,το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα αντίταξης κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, сврхе научног или историјског истраживања или статистичке сврхе. Οι εν λόγω προϋποθέσεις και εγγυήσεις ενδέχεται να συνεπάγονται ειδικές διαδικασίες, ώστε τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα αυτά, εφόσον είναι σκόπιμο για τους σκοπούς που επιδιώκονται με τη συγκεκριμένη επεξεργασία, παράλληλα με τεχνικά και οργανωτικά μέτρα που αποσκοπούν στην ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις αρχές της αναλογικότητας και της αναγκαιότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστη­ μονικούς σκοπούς θα πρέπει να συμμορφώνεται επίσης με άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.
  3. (157) Συνδυάζοντας πληροφορίες από μητρώα, οι ερευνητές μπορούν να αποκτούν νέες γνώσεις μεγάλης σημασίας όσον αφορά διαδεδομένες παθολογικές καταστάσεις όπως καρδιαγγειακά νοσήματα, καρκίνος και κατάθλιψη. Βάσει των μητρώων, τα αποτελέσματα των ερευνών μπορούν να ενισχύονται, δεδομένου ότι στηρίζονται σε ευρύτερη πληθυσμιακή βάση. Στις κοινωνικές επιστήμες, η έρευνα βάσει μητρώων δίνει στους ερευνητές τη δυνατότητα να αποκτούν ουσιαστικές γνώσεις για τον μακροπρόθεσμο συσχετισμό ορισμένων κοινωνικών καταστάσεων, όπως η ανεργία και η εκπαίδευση με άλλες συνθήκες διαβίωσης. Τα αποτελέσματα των ερευνών που αποκτώνται μέσω μητρώων παρέχουν αξιόπιστες και ποιοτικές γνώσεις οι οποίες μπορούν να αποτελέσουν τη βάση για την εκπόνηση και εφαρμογή πολιτικής βασισμένης στη γνώση, να βελτιώσουν την ποιότητα ζωής ορισμένων ανθρώπων και να βελτιώσουν την αποτελεσματι­ κότητα των κοινωνικών υπηρεσιών. Με στόχο τη διευκόλυνση της επιστημονικής έρευνας, τα δεδομένα προσωπικού χαρακτήρα μπορούν να υφίστανται επεξεργασία για σκοπούς επιστημονικής έρευνας, υπό τις κατάλληλες προϋποθέσεις και εγγυήσεις που θεσπίζονται στο ενωσιακό δίκαιο ή στο δίκαιο κράτους μέλους.
  4. (158) Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης, ο παρών κανονισμός θα πρέπει επίσης να ισχύει και για την επεξεργασία αυτή, έχοντας κατά νου ότι ο παρών κανονισμός δεν θα πρέπει να ισχύει για τους θανόντες. Δημόσιες αρχές και δημόσιοι ή ιδιωτικοί φορείς που τηρούν αρχεία δημόσιου συμφέροντος θα πρέπει να είναι υπηρεσίες οι οποίες, σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους, υπέχουν εκ του νόμου υποχρέωση να αποκτούν, να διατηρούν, να αξιολογούν, να ταξινομούν, να περιγράφουν, να ανακοινώνουν, να προωθούν, να διαδίδουν και να παρέχουν πρόσβαση σε αρχεία σταθερής αξίας για το γενικό δημόσιο συμφέρον. Στα κράτη μέλη θα πρέπει επίσης να δοθεί το δικαίωμα να προβλέπουν περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης, λόγου χάρη με στόχο την παροχή συγκεκριμένων πληροφοριών σχετικών με πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα, γενοκτονία, εγκλήματα κατά της ανθρωπότητας, ιδίως το Ολοκαύτωμα, ή εγκλήματα πολέμου.

 

Службени лист Европске уније

Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής έρευνας, ο παρών κανονισμός θα πρέπει να ισχύει και για την επεξεργασία αυτή. Για τους σκοπούς του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας θα πρέπει να ερμηνεύεται διασταλτικά, тј обухвата на пример технолошки развој и демонстрацију, фундаментална истраживања, примењена истраживања, и истраживања приватно финансира. додатни, θα πρέπει να λαμβάνει υπόψη τον στόχο της Ένωσης δυνάμει του άρθρου 179 став 1 ΣΛΕΕ για την επίτευξη ενός ευρωπαϊκού χώρου έρευνας. Στους σκοπούς επιστημονικής έρευνας θα πρέπει να περιλαμβάνονται και μελέτες που πραγματοποιούνται για το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Για να ληφθούν υπόψη οι ιδιαιτερότητες της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας, θα πρέπει να ισχύουν ειδικοί όροι ιδίως όσον αφορά τη δημοσίευση ή με άλλο τρόπο δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σκοπών επιστημονικής έρευνας. Εάν το αποτέλεσμα της επιστημονικής έρευνας ειδικότερα στον τομέα της υγείας αιτιολογεί τη λήψη περαιτέρω μέτρων προς το συμφέρον του υποκειμένου των δεδομένων, ισχύουν οι γενικοί κανόνες του παρόντος κανονισμού όσον αφορά τα μέτρα αυτά.

Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς ιστορικής έρευνας, ο παρών κανονισμός θα πρέπει επίσης να ισχύει και για την επεξεργασία αυτή. Συμπεριλαμβάνονται εν προκειμένω η ιστορική έρευνα και η έρευνα για γενεαλογικούς σκοπούς, έχοντας κατά νου ότι ο παρών κανονισμός δεν θα πρέπει να ισχύει για τους θανόντες.

Για τον σκοπό της συγκατάθεσης στη συμμετοχή σε δραστηριότητες επιστημονικής έρευνας στο πλαίσιο κλινικών δοκιμών, θα πρέπει να ισχύουν οι σχετικές διατάξεις του κανονισμού (Европска унија) не. 536/2014 Европски парламент и Савет (1).

Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για στατιστικούς σκοπούς, ο παρών κανονισμός θα πρέπει να ισχύει και για την επεξεργασία αυτή. Το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών θα πρέπει, у границама овог Правилника, να καθορίζει το στατιστικό περιεχόμενο, τον έλεγχο της πρόσβασης, τις προδιαγραφές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και κατάλληλα μέτρα που διασφαλίζουν τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και που αποσκοπούν στην εξασφάλιση του στατιστικού απορρήτου. Ο όρος «στατιστικοί σκοποί» σημαίνει κάθε πράξη συλλογής και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την πραγματοποίηση στατιστικών ερευνών ή για την παραγωγή στατιστικών αποτελεσμάτων. Τα εν λόγω στατιστικά αποτελέσματα μπορούν να χρησιμοποιηθούν περαιτέρω για διάφορους σκοπούς, μεταξύ άλλων και για σκοπούς επιστημονικής έρευνας. Ο στατιστικός σκοπός συνεπάγεται ότι το αποτέλεσμα της επεξεργασίας για στατιστικούς σκοπούς δεν είναι δεδομένα προσωπικού χαρακτήρα αλλά συγκεντρω­ τικά δεδομένα και ότι το αποτέλεσμα αυτό ή τα δεδομένα προσωπικού χαρακτήρα δεν χρησιμοποιούνται προς υποστήριξη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο φυσικό πρόσωπο.

Θα πρέπει να προστατεύονται οι εμπιστευτικές πληροφορίες που συλλέγουν οι ενωσιακές και εθνικές στατιστικές υπηρεσίες για την κατάρτιση επίσημων ευρωπαϊκών και εθνικών στατιστικών. Οι ευρωπαϊκές στατιστικές θα πρέπει να αναπτύσσονται, να καταρτίζονται και να διαδίδονται σύμφωνα με τις στατιστικές αρχές που θεσπίζονται στο άρθρο 338 став 2 ДФЕС, ενώ οι εθνικές στατιστικές θα πρέπει επίσης να συμμορφώνονται με το δίκαιο των κρατών μελών. регулација (ЕК) не. 223/2009 Европски парламент и Савет (2) παρέχει περαιτέρω διευκρι­ νίσεις περί του στατιστικού απορρήτου για τις ευρωπαϊκές στατιστικές.

Όσον αφορά τις εξουσίες των εποπτικών αρχών να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, τα κράτη μέλη μπορούν να θεσπίσουν διά νόμου, у границама овог Правилника, ειδικούς κανόνες προκειμένου να διαφυλάσσονται οι υποχρεώσεις επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις απορρήτου, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου. Αυτό δεν θίγει τις ισχύουσες υποχρεώσεις του κράτους μέλους να θεσπίσει κανόνες περί επαγγελματικού απορρήτου, εφόσον αυτό απαιτείται από το δίκαιο της Ένωσης.

Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το ισχύον συνταγματικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 ДФЕС.

Για την εκπλήρωση των στόχων του παρόντος κανονισμού, δηλαδή την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, посебно, του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα που

  1. (1) регулација (Европска унија) не. 536/2014 Европски парламент и Савет, της 16ης Απριλίου 2014, για τις κλινικές δοκιμές φαρμάκων που προορίζονται για τον άνθρωπο και για την κατάργηση της οδηγίας 2001/20/ΕΚ (ОВ Л 158 од 27.5.2014, стр. 1).
  2. (2) регулација (ЕК) не. 223/2009 Европски парламент и Савет, της 11ης Μαρτίου 2009, σχετικά με τις ευρωπαϊκές στατιστικές και την κατάργηση του κανονισμού (ЕК, Ευρατόμ) не. 1101/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη διαβίβαση στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο, του κανονισμού (ЕК) не. 322/97 του Συμβουλίου σχετικά με τις κοινοτικές στατιστικές και της απόφασης 89/382/ΕΟΚ, Ευρατόμ του Συμβουλίου για τη σύσταση επιτροπής του στατιστικού προγράμματος των Ευρωπαϊκών Κοινοτήτων (ОВ Л 87 од 31.3.2009, стр. 164).

 

Службени лист Европске уније

τα αφορούν, και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ДФЕС. посебно, θα πρέπει να εκδίδονται κατεξουσιοδότηση πράξεις σχετικά με τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, τις πληροφορίες που παρουσιάζονται με τυποποιημένα εικονίδια και τις διαδικασίες για την παροχή τέτοιων εικονιδίων. Είναι ιδιαίτερα σημαντικό να πραγματοποιεί η Επιτροπή τις κατάλληλες διαβουλεύσεις κατά τις προπαρασκευαστικές εργασίες της, μεταξύ άλλων και σε επίπεδο εμπειρογνωμόνων. Η Επιτροπή, κατά την επεξεργασία και κατάρτιση των κατεξουσιοδότηση πράξεων, θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

  1. (167) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όταν προβλέπεται από τον παρόντα κανονισμό. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (Европска унија) не. 182/2011. У том контексту, η Επιτροπή θα πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.
  2. (168) Η διαδικασία εξέτασης θα πρέπει να εφαρμόζεται για την έγκριση εκτελεστικών πράξεων σχετικά με τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, καθώς και μεταξύ εκτελούντων την επεξεργασία· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός· τυποποιημένες ρήτρες για την προστασία· μορφοτύπους και διαδικασίες για την ηλεκτρονική ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.
  3. (169) Η Επιτροπή θα πρέπει να εγκρίνει άμεσα εφαρμοστέες εκτελεστικές πράξεις όταν τα διαθέσιμα στοιχεία αποκαλύπτουν ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας στην εν λόγω τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει επαρκές επίπεδο προστασίας και το απαιτούν επιτακτικοί λόγοι επείγοντος.
  4. (170) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθεί καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, όπως προβλέπεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη του εν λόγω στόχου.
  5. (171) Η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί με τον παρόντα κανονισμό. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία εφαρμογής του παρόντος κανονισμού θα πρέπει να εναρμονιστεί με τον παρόντα κανονισμό εντός δύο ετών από την έναρξη ισχύος του παρόντος κανονισμού. Όταν η επεξεργασία βασίζεται σε συγκατάθεση δυνάμει της οδηγίας 95/46/EΚ, δεν είναι αναγκαία νέα συγκατάθεση του υποκειμένου των δεδομένων, εάν ο τρόπος με τον οποίο έχει δοθεί η συγκατάθεση είναι σύμφωνος με τους όρους του παρόντος κανονισμού, προκειμένου ο υπεύθυνος επεξεργασίας να συνεχίσει την επεξεργασία μετά την ημερομηνία εφαρμογής του παρόντος κανονισμού. Οι αποφάσεις της Επιτροπής και οι εγκρίσεις εποπτικών αρχών που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ μέχρι την τροποποίηση, αντικατάσταση ή κατάργησή τους.
  6. (172) Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 28 став 2 του κανονισμού (ЕК) не. 45/2001, την οποία και διατύπωσε στις 7 Μαρτίου 2012 (1).
  7. (173) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), περιλαμβανομένων των υποχρεώσεων του υπευθύνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Για την αποσαφήνιση της σχέσης μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η εν λόγω οδηγία θα πρέπει να τροποποιηθεί ανάλογα. Μόλις εκδοθεί ο παρών κανονισμός, θα πρέπει να επανεξεταστεί η οδηγία 2002/58/EΚ, ιδίως για να διασφαλιστεί η συνοχή της με τον παρόντα κανονισμό,

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Службени лист Европске уније

ΚΕΦΑΛΑΙΟ I

Γενικές διατάξεις

Άρθρο 1

Αντικείμενο και στόχοι

4.5.2016

EL

1. Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

2. Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3. Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άρθρο 2

Ουσιαστικό πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται στην, у целини или делимично, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

2. α) б)

Ц) Д)

Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα: στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,

από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,

από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,

από αρμόδιες αρχές για τους σκοπούς της πρόληψης, истрага, детекција или гоњење кривичних дела или извршење кривичних санкција, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

3.
Ένωσης, εφαρμόζεται ο κανονισμός (ЕК) не. 45/2001. регулација (ЕК) не. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, посебно правила о одговорности посредничких услуга постављени у члановима 12 до 15 те Директиве.

Άρθρο 3

Εδαφικό πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.

Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της

4.5.2016 Службени лист Европске уније Л 119/33

EL

2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή

б) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

3. Ο παρών κανονισμός εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

Άρθρο 4

Ορισμοί

  1. 1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, директно или индиректно, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
  2. 2) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
  3. 3) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
  4. 4) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, економска ситуација, здравље, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
  5. 5) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, где су додатне информације се одржава одвојено и предмет техничких и организационих мера како би се осигурало да се не могу приписати идентификован или идентификовати физичко лице,
  6. 6) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
  7. 7) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
  8. 8) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
  9. 9) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. међутим, οι δημόσιες αρχές που ενδέχεται να λάβουν

Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

П 119/34

Службени лист Европске уније 4.5.2016

10)

11)

12)

13)

14)

15)

16)

δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματο­ ποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

«τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, специфичан, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, губитак, промена, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβά­ στηκαν, складиште или подвргнути стану’ иначе обрађује,

«γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, посебно, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

«βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλο­ σκοπικά δεδομένα,

«δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

«κύρια εγκατάσταση»:

  1. α) όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,
  2. б) όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,

«εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

«επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,

«όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,

«δεσμευτικοί εταιρικοί κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

17)

18)

19) 20)

21)

«εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

EL

4.5.2016 Службени лист Европске уније Л 119/35

  1. 22) «ενδιαφερόμενη εποπτική αρχή»: εποπτική αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι:
    1. α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής,
    2. б) τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή
    3. Ц) έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή,
  2. 23) «διασυνοριακή επεξεργασία»:
    1. α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκατα­ στάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή
    2. б) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,
  3. 24) «σχετική και αιτιολογημένη ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, где је то могуће, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,
  4. 25) «υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 став 1 στοιχείο β) της οδηγίας (Европска унија) 2015/1535 Европски парламент и Савет (1),
  5. 26) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

    ΚΕΦΑΛΑΙΟ II

    Αρχές

    Άρθρο 5

    Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1. Τα δεδομένα προσωπικού χαρακτήρα:

  1. α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
  2. б) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 став 1 («περιορισμός του σκοπού»),
  3. Ц) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
  4. Д) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

(1) упутство (Европска унија) 2015/1535 Европски парламент и Савет, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ОВ Л 241 од 17.9.2015, стр. 1).

EL

П 119/36 Е)

Ф)

Службени лист Европске уније 4.5.2016

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, за потребе научног или историјског истраживања или статистичке сврхе, σύμφωνα με το άρθρο 89 став 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1

Άρθρο 6

Νομιμότητα της επεξεργασίας

2. («λογοδοσία»).

EL

1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

  1. α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
  2. б) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα καταίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  3. Ц) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
  4. Д) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
  5. Е) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

Ф) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με: α) το δίκαιο της Ένωσης, ή
б) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, укључујући: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των

4.5.2016 Службени лист Европске уније Л 119/37

EL

δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 став 1, контролер, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, укључујући:

  1. α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,
  2. б) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,
  3. Ц) природа личних података, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,
  4. Д) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
  5. Е) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

    Άρθρο 7

    Προϋποθέσεις για συγκατάθεση

1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

4. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, укључујући, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.

Άρθρο 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

1. Όταν εφαρμόζεται το άρθρο 6 став 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, обрада је законито само ако иу мери у којој таква сагласност даје или одобрени од стране особе која има старатељство над дететом.

Државе чланице могу предвидјети законом којим се минимална старосна граница за те сврхе, под условом да је раније доба није испод 13 године.

П 119/38 Службени лист Европске уније 4.5.2016

EL

2. Контролор ће учинити разумне напоре за верификацију ове случајеве да је пристанак под условом или одобрени од стране особе која има старатељство над дететом, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

3. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

Άρθρο 9

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

  1. α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
  2. б) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
  3. Ц) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
  4. Д) η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,
  5. Е) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

Ф) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

  1. ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
  2. η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
  3. θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

4.5.2016 ι)

Службени лист Европске уније Л 119/39

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 став 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

EL

3.
σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, укључујући ограничења, о обраду генетских података, биометријски подаци или подаци о здравственим.

Άρθρο 10

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 став 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.

Άρθρο 11

Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

1. Εάν οι σκοποί για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, να αποκτά ή να επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων αποκλειστικά και μόνο για το σκοπό της συμμόρφωσης προς τον παρόντα κανονισμό.

2. када, στις περιπτώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει σχετικά το υποκείμενο των δεδομένων, εάν είναι δυνατόν. У таквим случајевима, τα άρθρα 15 ως 20 δεν εφαρμόζονται, εκτός εάν το υποκείμενο των δεδομένων, για τον σκοπό της άσκησης των δικαιωμάτων του που απορρέουν από τα εν λόγω άρθρα, παρέχει συμπληρωματικές πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του.

ΚΕΦΑΛΑΙΟ III

Δικαιώματά του υποκειμένου των δεδομένων

Τμήμα 1

Διαφάνεια και ρυθμίσεις

Άρθρο 12

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 и 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 до 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, укључујући, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους

П 119/40 Службени лист Европске уније 4.5.2016

EL

2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 до 22. Στις περιπτώσεις που προβλέπονται στο άρθρο 11 став 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 до 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 до 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής.

5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 и 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 до 22 и члана 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή

б) να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6. Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 до 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 и 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Ако су иконе су доступне у електронском, είναι μηχανικώς αναγνώσιμα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατεξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.

Τμήμα 2

Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

Άρθρο 13

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, контролер, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

  1. α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где је то могуће, του εκπροσώπου του υπευθύνου επεξεργασίας,
  2. б) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, где је то могуће,
  3. Ц) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

4.5.2016 Д)

Е) Ф)

Службени лист Европске уније Л 119/41

εάν η επεξεργασία βασίζεται στο άρθρο 6 став 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,

τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

где је то могуће, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 став 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

EL

2.
δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:

Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, контролер, κατά τη λήψη των

  1. α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
  2. б) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
  3. Ц) όταν η επεξεργασία βασίζεται στο άρθρο 6 став 1 στοιχείο α) ή στο άρθρο 9 став 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
  4. Д) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
  5. Е) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,

Ф) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, укључујући профил тренинг, που αναφέρεται στο άρθρο 22 παράγραφοι 1 и 4 и, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, пре наведене даља обрада, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

4. Οι παράγραφοι 1, 2 и 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες,

Άρθρο 14

Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

  1. α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где је то могуће, του εκπροσώπου του υπευθύνου επεξεργασίας,
  2. б) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, где је то могуће,
  3. Ц) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
  4. Д) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  5. Е) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, могуће,

П 119/42 Службени лист Европске уније 4.5.2016

EL

Ф) где је то могуће, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 став 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

  1. α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
  2. б) εάν η επεξεργασία βασίζεται στο άρθρο 6 став 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
  3. Ц) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
  4. Д) όταν η επεξεργασία βασίζεται στο άρθρο 6 став 1 στοιχείο α) ή στο άρθρο 9 став 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
  5. Е) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

Ф) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, укључујући профил тренинг, που προβλέπεται στο άρθρο 22 παράγραφοι 1 и 4 и, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 и 2:

  1. α) εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία,
  2. б) εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή
  3. Ц) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, Контролор података треба да обезбеди носиоца података, пре наведене даља обрада, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5. Οι παράγραφοι 1 до 4 δεν εφαρμόζονται εάν και εφόσον:

  1. α) το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
  2. б) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, за потребе научног или историјског истраживања или статистичке сврхе, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 став 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. У таквим случајевима, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό,
  3. Ц) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
  4. Д) εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

4.5.2016 Службени лист Европске уније Л 119/43

EL

Άρθρο 15

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

  1. α) τους σκοπούς της επεξεργασίας,
  2. б) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  3. Ц) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
  4. Д) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
  5. Е) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

Ф) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

  1. ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
  2. η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, укључујући профил тренинг, που προβλέπεται στο άρθρο 22 παράγραφοι 1 и 4 и, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.

3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Τμήμα 3

Διόρθωση και διαγραφή

Άρθρο 16

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Άρθρο 17

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ иначе обрађује,

П 119/44 б)

Ц)

Д) Е)

Ф)

Службени лист Европске уније 4.5.2016

το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 став 1 στοιχείο α) ή το άρθρο 9 став 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 став 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 став 2,

τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 став 1.

EL

2.
την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, контролер, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3. α) б)

Ц) Д)

Е)

Οι παράγραφοι 1 и 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,

για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 став 2 στοιχεία η) και θ), καθώς και το άρθρο 9 став 3,

за архивске сврхе у јавном интересу, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 став 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή

για τη θεμελίωση, тренинг или подршку правни захтеви.

Άρθρο 18

Δικαίωμα περιορισμού της επεξεργασίας

Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με

1.
επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της

  1. α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
  2. б) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, ανταυτής, τον περιορισμό της χρήσης τους,
  3. Ц) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
  4. Д) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 став 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

4.5.2016 Службени лист Европске уније Л 119/45

EL

3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

Άρθρο 19

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 став 1 и члана 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

Άρθρο 20

Δικαίωμα στη φορητότητα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, структурирани, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

α) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 став 1 στοιχείο α) ή το άρθρο 9 став 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 став 1 στοιχείο β) и

б) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων. Τμήμα 4

Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Άρθρο 21

Δικαίωμα εναντίωσης

1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 став 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, тренинг или подршку правни захтеви.

2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

П 119/46 Службени лист Европске уније 4.5.2016

EL

4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 и 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 став 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

Άρθρο 22

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, укључујући профил тренинг, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2. α)

б)

Ц)

Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,

επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3.
εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 став 1, εκτός αν ισχύει το άρθρο 9 став 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

Τμήμα 5

Περιορισμοί

Άρθρο 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 до 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 до 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

  1. α) Државна безбедност,
  2. б) одбрана,
  3. Ц) јавна безбедност,

У случајевима из става 2 спис) ц), Контролор података

4.5.2016 Службени лист Европске уније Л 119/47

EL

  1. Д) превенција, истрага, детекција или гоњење кривичних дела или извршење кривичних санкција, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
  2. Е) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, нарочито важан економски или финансијски интерес Уније или државе чланице, συμπεριλαμβανομένων των νομισματικών, δημοσιο­ νομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

Ф) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

  1. ζ) превенција, истрага, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,
  2. η) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),
  3. θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
  4. ι) της εκτέλεσης αστικών αξιώσεων.

2. посебно, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

  1. α) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
  2. б) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  3. Ц) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
  4. Д) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
  5. Е) την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

Ф) τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, узимајући у обзир природу, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

  1. ζ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
  2. η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

    ΚΕΦΑΛΑΙΟ IV

    Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

    Τμήμα 1

    Γενικές υποχρεώσεις

    Άρθρο 24

    Ευθύνη του υπευθύνου επεξεργασίας

1. Λαμβάνοντας υπόψη τη φύση, обим, контекст и сврха прераде, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαι­ ροποιούνται όταν κρίνεται απαραίτητο.

2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.

3. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.

П 119/48 Службени лист Европске уније 4.5.2016

Άρθρο 25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, обим, контекст и сврха прераде, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελε­ σματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. посебно, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 и 2 του παρόντος άρθρου.

Άρθρο 26

Από κοινού υπεύθυνοι επεξεργασίας

1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 и 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2. Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Η ουσία της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.

Άρθρο 27

Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση

1. Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 став 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει γραπτώς εκπρόσωπο στην Ένωση.

2. α)

Η υποχρέωση που καθορίζεται στην παράγραφος 1 του παρόντος άρθρου δεν ισχύει για:

επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 став 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, узимајући у обзир природу, контекст, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, ή

б)

δημόσια αρχή ή φορέα.

EL

4.5.2016 Службени лист Европске уније Л 119/49

EL

3. Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.

4. Ο εκπρόσωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι εποπτικές αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.

5. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Άρθρο 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφα­ λίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

  1. α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
  2. б) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτι­ κότητας,
  3. Ц) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,
  4. Д) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 и 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
  5. Е) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

Ф) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 до 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

  1. ζ) раван’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
  2. η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

П 119/50 Службени лист Европске уније 4.5.2016

EL

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 и 4 του παρόντος άρθρου.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 и 4 του παρόντος άρθρου μπορεί να βασίζεται, у целини или делимично, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 и 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 и 43.

7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 и 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2.

8. Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 и 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 и 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10. Με την επιφύλαξη των άρθρων 82, 83 и 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Άρθρο 29

Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατεντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

Άρθρο 30

Αρχεία των δραστηριοτήτων επεξεργασίας

1. Κάθε υπεύθυνος επεξεργασίας και, где је то могуће, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

  1. α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, где је то могуће, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
  2. б) τους σκοπούς της επεξεργασίας,
  3. Ц) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

4.5.2016 Д)

Е)

Ф) ζ)

Службени лист Европске уније Л 119/51

τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 став 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 став 1.

EL

2.
των
τα εξής:

α)

б) Ц)

Д)

3.

το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, где је то могуће, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,

τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,

όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπερι­ λαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 став 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,

όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 став 1.

Τα αρχεία που αναφέρονται στις παραγράφους 1 и 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

Κάθε εκτελών την επεξεργασία και, где је то могуће, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει

4.
ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, где је то могуће, ο εκπρόσωπος του υπευθύνου επεξεργασίας

5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 и 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 став 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Άρθρο 31

Συνεργασία με την εποπτική αρχή

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, где је то могуће, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.

Τμήμα 2

Ασφάλεια δεδομένων προσωπικού χαρακτήρα

Άρθρο 32

Ασφάλεια επεξεργασίας

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, обим, контекст и сврха прераде, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, укључујући, где је то могуће:

α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

П 119/52 б)

Ц)

Д)

Службени лист Европске уније 4.5.2016

της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

2.
επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, губитак, αλλοίωση, неовлашћено откривање или приступ личним подацима преносе, складиште или подвргнути стану’ иначе обрађује.

3. α)

б)

Ц) Д)

Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 раван’ ελάχιστο:

περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

EL

Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την

3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.

4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατεντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

Άρθρο 33

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, у 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 сати, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

4.
σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Άρθρο 34

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

4.5.2016 Службени лист Европске уније Л 119/53

EL

2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 став 3 στοιχεία β), Ц) και δ).

3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

  1. α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,
  2. б) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
  3. Ц) προϋποθέτει δυσανάλογες προσπάθειες. У овом случају, γίνεται ανταυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Τμήμα 3

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση

Άρθρο 35

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, обим, контекст и сврха прераде, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, пре третмана, εκτίμηση των επιπτώσεων των σχεδια­ ζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:

  1. α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματο­ ποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
  2. б) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 став 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή
  3. Ц) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4. Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.

5. Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.

6. Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 и 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακο­ λούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

П 119/54

Службени лист Европске уније 4.5.2016

EL

7. α)

б) Ц)

Д)

Η εκτίμηση περιέχει τουλάχιστον:

συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, где је то могуће, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 и

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8.
επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10. Όταν η επεξεργασία δυνάμει του άρθρου 6 став 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 до 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

Άρθρο 36

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

2. Όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, и, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3. Κατά τη διαβούλευση με την εποπτική αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική αρχή:

  1. α) где је то могуће, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,
  2. б) τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,
  3. Ц) τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους

Д) где је то могуће, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων,

4.5.2016 Службени лист Европске уније Л 119/55

EL

Е) την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 35, и

Ф) κάθε άλλη πληροφορία που ζητεί η εποπτική αρχή.

4. Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.

5. Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

Τμήμα 4

Υπεύθυνος προστασίας δεδομένων

Άρθρο 37

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

  1. α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
  2. б) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακο­ λούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
  3. Ц) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.

4. Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.

5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.

Άρθρο 38

Θέση του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

П 119/56 Службени лист Европске уније 4.5.2016

EL

2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

1. α)

б)

Ц)

Д) Е)

Άρθρο 39

Καθήκοντα του υπευθύνου προστασίας δεδομένων

Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξερ­ γάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,

παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητο­ ποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,

συνεργάζεται με την εποπτική αρχή,

ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

2.
συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, обим, контекст и сврха прераде.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που

Τμήμα 5

Κώδικες δεοντολογίας και πιστοποίηση

Άρθρο 40

Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, мала и средња предузећа.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:

α) τη θεμιτή και με διαφάνεια επεξεργασία,

4.5.2016 Службени лист Европске уније

П 119/57

EL

  1. б) τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας σε συγκεκριμένα πλαίσια,
  2. Ц) τη συλλογή δεδομένων προσωπικού χαρακτήρα,
  3. Д) την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα,
  4. Е) την ενημέρωση του κοινού και των υποκειμένων των δεδομένων,

Ф) την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων,

  1. ζ) την ενημέρωση και την προστασία των παιδιών και τον τρόπο απόκτησης της συγκατάθεσης του ασκούντος τη γονική μέριμνα του παιδιού,
  2. η) τα μέτρα και τις διαδικασίες που αναφέρονται στα άρθρα 24 и 25 και τα μέτρα για τη διασφάλιση της ασφάλειας της επεξεργασίας που αναφέρεται στο άρθρο 32,
  3. θ) τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές και την ανακοίνωση των εν λόγω παραβιάσεων δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων,
  4. ι) τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, ή

ια) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία, με την επιφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει των άρθρων 77 и 79.

3. Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου και έχουν γενική ισχύ βάσει της παραγράφου 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία μη υπαγόμενους στον παρόντα κανονισμό σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 став 2 στοιχείο ε). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

4. Ο κώδικας δεοντολογίας που αναφέρεται στην παράγράφο 2 του παρόντος άρθρου περιέχει μηχανισμούς που επιτρέπουν στον αναφερόμενο στο άρθρο 41 став 1 φορέα να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.

5. Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Η εποπτική αρχή γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.

6. Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική αρχή καταχωρίζει και δημοσιεύει τον κώδικα.

7. Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, πριν από την έγκριση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης, στη διαδικασία που προβλέπεται στο άρθρο 63 στο Συμβούλιο Προστασίας Δεδομένων, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως προς την παροχή επαρκών εγγυήσεων από αυτόν.

8. Σε περίπτωση που η γνωμοδότηση που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το κώδικα, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις που της υποβλήθηκαν δυνάμει της παραγράφου 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2.

П 119/58 Службени лист Европске уније 4.5.2016

EL

10. Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.

11. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.

Άρθρο 41

Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 и 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.

2. са

α) б)

Ц)

Д)

Лице из става 1 Може се акредитована за праћење код усклађености понашања, ако наведеног носача:

έχει αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη του σε σχέση με το αντικείμενο του κώδικα κατά την κρίση της αρμόδιας εποπτικής αρχής,

έχει καθιερώσει διαδικασίες που του επιτρέπουν την εκτίμηση της επιλεξιμότητας των σχετικών υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία προκειμένου να εφαρμόσουν τον κώδικα, την παρακολούθηση της συμμόρφωσής τους με τις διατάξεις του και την περιοδική επανεξέταση της λειτουργίας του,

έχει θεσπίσει διαδικασίες και δομές για την αντιμετώπιση καταγγελιών περί παραβάσεων του κώδικα ή περί του τρόπου με τον οποίον ο κώδικας έχει εφαρμοστεί ή εφαρμόζεται από έναν υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, и

αποδεικνύει, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις του δεν συνεπάγονται σύγκρουση συμφερόντων.

3.
του παρόντος άρθρου στο Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

Η αρμόδια εποπτική αρχή υποβάλλει τα σχέδια κριτηρίων πιστοποίησης του φορέα όπως αναφέρεται στην παράγραφο 1

4. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής και των διατάξεων του κεφαλαίου VIII, ο φορέας όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου αναλαμβάνει, με την επιφύλαξη κατάλληλων εγγυήσεων, κατάλληλη δράση σε περίπτωση παράβασης του κώδικα από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, περιλαμβανομένης της αναστολής άσκησης καθηκόντων ή της εξαίρεσης του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από τον κώδικα. Ενημερώνει την αρμόδια εποπτική αρχή για τις δράσεις αυτές και για τους λόγους ανάληψής τους.

5. Η αρμόδια εποπτική αρχή ανακαλεί την πιστοποίηση φορέα όπως αναφέρεται στην παράγραφο 1, εάν οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή οι ενέργειες που αναλήφθηκαν από τον φορέα παραβαίνουν τον παρόντα κανονισμό.

6. Το παρόν άρθρο δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς.

Άρθρο 42

Πιστοποίηση

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, мала и средња предузећа.

4.5.2016 Службени лист Европске уније Л 119/59

EL

2. Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 став 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

  1. Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.
  2. Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος

την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.

5. Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 став 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.

6 Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 ή, ανάλογα με την περίπτωση, στην αρμόδια εποπτική αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.

7. Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.

8. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

Άρθρο 43

Φορείς πιστοποίησης

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 и 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 став 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:

α) б)

α) έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,

(1) Kανονισμός (ЕК) не. 765/2008 Европски парламент и Савет, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) не. 339/93 του Συμβουλίου (ОВ Л 218 од 13.8.2008, стр. 30).

την εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 ή 56,

τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ЕК) не. 765/2008 Европски парламент и Савет (1), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρω­ ματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56.

Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο,

2.
μόνο εφόσον:

П 119/60 б)

Ц) Д)

Е)

Службени лист Европске уније 4.5.2016

έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 став 5 και τα οποία έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,

έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,

έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, и

αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.

EL

3.
ποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (ЕК) не. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.

4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.

5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 Они пружају надлежне органе разлози за давање или одузимање сертификације тражена.

6. Захтеви из става 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

7. Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατεξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 став 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2.

ΚΕΦΑΛΑΙΟ V

Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Άρθρο 44

Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 и 2 του παρόντος άρθρου πραγματο­

4.5.2016 Службени лист Европске уније Л 119/61

EL

Άρθρο 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. α)

б)

Ц)

Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, посебно, τα ακόλουθα στοιχεία:

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμ­ βανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται,

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, и

τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3.
εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 став 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 став 6 Директиве 95/46 / ЕЗ.

5. Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 став 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 до 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι

П 119/62 Службени лист Европске уније 4.5.2016

EL

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 став 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.

Άρθρο 46

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

1. Ελλείψει απόφασης δυνάμει του άρθρου 45 став 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

  1. α) ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,
  2. б) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,
  3. Ц) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 став 2,
  4. Д) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2,
  5. Е) εγκεκριμένου κώδικα δεοντολογίας, σύμφωνα με το άρθρο 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ή

Ф) εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

α)

б)

συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή

διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4.
αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

Η εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που

5. Οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 став 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 став 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

Άρθρο 47

Δεσμευτικοί εταιρικοί κανόνες

1. Η αρμόδια εποπτική αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:

α) είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,

4.5.2016 Службени лист Европске уније Л 119/63

EL

  1. б) απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και
  2. Ц) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2. Οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:

  1. α) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,
  2. б) τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,
  3. Ц) τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,
  4. Д) την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,
  5. Е) τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτομα­ τοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,

Ф) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, у целини или делимично, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,

  1. ζ) τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), Е) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 и 14,
  2. η) τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακο­ λούθηση της κατάρτισης και του χειρισμού των καταγγελιών,
  3. θ) τις διαδικασίες καταγγελίας,
  4. ι) τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική αρχή,
  1. ια) τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
  2. ιβ) τον μηχανισμό συνεργασίας με την εποπτική αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),
  3. ιγ) τους μηχανισμούς αναφοράς στην αρμόδια εποπτική αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και
  4. ιδ) την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

П 119/64 Службени лист Европске уније 4.5.2016

EL

3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 став 2.

Άρθρο 48

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή καθοιονδήποτε τρόπο μόνο εάν βασίζεται σε διεθνή συμφωνία, όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης σύμφωνα με το παρόν κεφάλαιο.

Άρθρο 49

Παρεκκλίσεις για ειδικές καταστάσεις

1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 став 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

  1. α) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
  2. б) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
  3. Ц) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
  4. Д) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
  5. Е) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

Ф) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,

ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.

Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 ή 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 и 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

4.5.2016 Службени лист Европске уније Л 119/65

EL

3. Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), б) ц) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστη­ ριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. Одсуство одлука адекватност, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, за озбиљне разлога јавног интереса, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.

Άρθρο 50

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:

  1. α) την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
  2. б) την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,
  3. Ц) τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,
  4. Д) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

    ΚΕΦΑΛΑΙΟ VI

    Ανεξάρτητες εποπτικές αρχές

    Τμήμα 1

    Ανεξάρτητο καθεστώς

    Άρθρο 51

    Εποπτική αρχή

1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακο­ λούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»).

2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.

3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή που θα εκπροσωπεί τις εν λόγω αρχές στο Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των υπόλοιπων αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 63.

4. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, έως τις 25 Μαΐου 2018 и, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

П 119/66 Службени лист Европске уније 4.5.2016

EL

Άρθρο 52

Ανεξαρτησία

1. Κάθε εποπτική αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, током свог мандата, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, профитабилна или не.

4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους απαραίτητους ανθρώπινους, технички и финансијски ресурси и неопходни објекти и инфраструктура за ефикасно обављање функција и вршењу својих овлашћења, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.

Άρθρο 53

Γενικές προϋποθέσεις για τα μέλη της εποπτικής αρχής

1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους πρέπει να διορίζεται με διαφανή διαδικασία από: — το κοινοβούλιό τους,
— την κυβέρνησή τους,
— τον αρχηγό κράτους τους ή

— ανεξάρτητο φορέα στον οποίο έχει ανατεθεί, σύμφωνα με το δίκαιο του κράτους μέλους, ο διορισμός.

2. Κάθε μέλος διαθέτει, ιδίως στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα, τα προσόντα, την εμπειρία και τις δεξιότητες που απαιτούνται για την εκτέλεση των καθηκόντων του και την άσκηση των αρμοδιοτήτων του.

3. Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με το δίκαιο του οικείου κράτους μέλους.

4. Μέλος μπορεί να απολυθεί μόνο σε περίπτωση σοβαρού παραπτώματος ή εάν παύει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

Άρθρο 54

Правила за оснивање надзорног органа

1. Свака држава чланица ће обезбедити законом све од следећег: α) успоставити било надзорни орган,

4.5.2016

Службени лист Европске уније Л 119/67

EL

б) Ц) Д)

Е) Ф)

τα προσόντα και τις προϋποθέσεις επιλεξιμότητας που απαιτούνται για τον διορισμό μέλους κάθε εποπτικής αρχής,

τους κανόνες και τις διαδικασίες για τον διορισμό του μέλους ή των μελών κάθε εποπτικής αρχής,

τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 24 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών,

κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό,

τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών ασυμβίβαστων προς τις υποχρεώσεις αυτές, τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, και τους κανόνες που διέπουν την παύση της απασχόλησης.

2.
κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, у погледу поверљивих информација које је дошло до њиховог знања током обављања својих дужности или вршењу својих овлашћења. Током свог мандата, η εν λόγω υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού.

Τμήμα 2

Αρμοδιότητα, καθήκοντα και εξουσίες

Άρθρο 55

Αρμοδιότητα

1. Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.

2. Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 став 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.

3. Οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.

Άρθρο 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3. Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του

П 119/68 Службени лист Европске уније 4.5.2016

EL

4. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 став 3.

5. Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 и 62.

6. Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Άρθρο 57

Καθήκοντα

1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:

  1. α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
  2. б) προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά,
  3. Ц) συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας,
  4. Д) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
  5. Е) κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, могуће, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη,

Ф) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,

  1. ζ) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού,
  2. η) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,
  3. θ) παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών και των εμπορικών πρακτικών,
  4. ι) θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 28 став 8 και του άρθρου 46 став 2 στοιχείο δ),
  1. ια) καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 став 4,
  2. ιβ) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 став 2,
  3. ιγ) ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 став 1 και διατυπώνει γνώμη και εγκρίνει τέτοιους κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις, σύμφωνα με το άρθρο 40 став 5,
  4. ιδ) подстицати успостављање механизама за сертификацију за заштиту података и печата и жигова за заштиту података у складу са чланом 42 став 1 και εγκρίνει τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 став 5,
  5. ιε) где је то могуће, διενεργεί περιοδική επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 став 7,

4.5.2016 Службени лист Европске уније Л 119/69

EL

ιστ) σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,

  1. ιζ) διενεργεί τη διαπίστευση φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,
  2. ιη) επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 46 став 3,
  3. ιθ) εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47,

κ) συμβάλλει στις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων,

  1. κα) τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 став 2, и
  2. κβ) εκπληρώνεικάθεάλλοκαθήκονσχετικόμετηνπροστασίαδεδομένωνπροσωπικούχαρακτήρα.

2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ) με μέτρα όπως το έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το υποκείμενο των δεδομένων και, где је то могуће, για τον υπεύθυνο προστασίας δεδομένων.

4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

Άρθρο 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

  1. α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
  2. б) να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,
  3. Ц) να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 став 7,
  4. Д) να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,
  5. Е) να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

Ф)