Διαδικασία : 2012/0011(COD)
Διαδρομή στην ολομέλεια
Διαδρομή του εγγράφου : A7-0402/2013

Κείμενα που κατατέθηκαν :

A7-0402/2013

Συζήτηση :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Ψηφοφορία :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Κείμενα που εγκρίθηκαν :

P7_TA(2014)0212

ΕΚΘΕΣΗ     ***I
PDF 4102kWORD 6122k
22 Νοεμβρίου 2013
PE 501.927v05-00 A7-0402/2013

σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων

Εισηγητής: Jan Philipp Albrecht

ΤΡΟΠΟΛΟΓΙΕΣ
ΣΧΕΔΙΟ ΝΟΜΟΘΕΤΙΚΟΥ ΨΗΦΙΣΜΑΤΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ
 ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ
 ΓΝΩΜΟΔΟΤΗΣΗ της Επιτροπής Απασχόλησης και Κοινωνικών Υποθέσεων
 ΓΝΩΜΟΔΟΤΗΣΗ της Επιτροπής Βιομηχανίας, ερευνας και Ενέργειας
 ΓΝΩΜΟΔΟΤΗΣΗ της Επιτροπής Εσωτερικής Αγοράς και Προστασίας των Καταναλωτών
 ΓΝΩΜΟΔΟΤΗΣΗ της Επιτροπής Νομικών Θεμάτων
 ΔΙΑΔΙΚΑΣΙΑ

ΣΧΕΔΙΟ ΝΟΜΟΘΕΤΙΚΟΥ ΨΗΦΙΣΜΑΤΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ

σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Συνήθης νομοθετική διαδικασία: πρώτη ανάγνωση)

Το Ευρωπαϊκό Κοινοβούλιο,

–   έχοντας υπόψη την πρόταση της Επιτροπής προς το Κοινοβούλιο και το Συμβούλιο (COM(2012)0011),

–   έχοντας υπόψη το άρθρο 294 παράγραφος 2, το άρθρο 16 παράγραφος 2 και το άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, σύμφωνα με τα οποία του υποβλήθηκε η πρόταση από την Επιτροπή (C7-0025/2012),

–   έχοντας υπόψη το άρθρο 294 παράγραφος 3 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,

–   έχοντας υπόψη τις αιτιολογημένες γνώμες που υποβλήθηκαν, στο πλαίσιο του πρωτοκόλλου αριθ. 2 σχετικά με την εφαρμογή των αρχών της επικουρικότητας και της αναλογικότητας, από τη Βουλή των Αντιπροσώπων του Βασιλείου του Βελγίου, το Γερμανικό Ομοσπονδιακό Συμβούλιο, τη Γερουσία της Γαλλικής Δημοκρατίας, τη Βουλή της Ιταλικής Δημοκρατίας και το Κοινοβούλιο του Βασιλείου της Σουηδίας, με τις οποίες υποστηρίζεται ότι το σχέδιο νομοθετικής πράξης δεν συνάδει προς την αρχή της επικουρικότητας,

–   έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, που εκδόθηκε στις 23 Μαΐου 2012(1),

–   μετά από διαβούλευση με την Επιτροπή των Περιφερειών,

–   έχοντας υπόψη τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, που εκδόθηκε στις 7 Μαρτίου 2012,

–   έχοντας υπόψη τη γνωμοδότηση του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, της 1ης Οκτωβρίου 2012,

–   έχοντας υπόψη το άρθρο 55 του Κανονισμού του,

–   έχοντας υπόψη την έκθεση της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων, καθώς και τις γνωμοδοτήσεις της Επιτροπής Απασχόλησης και Κοινωνικών Υποθέσεων, της Επιτροπής Βιομηχανίας, Έρευνας και Ενέργειας, της Επιτροπής Εσωτερικής Αγοράς και Προστασίας των Καταναλωτών και της Επιτροπής Νομικών Θεμάτων (A7-0402/2013),

1.  εγκρίνει τη θέση του κατά την πρώτη ανάγνωση όπως παρατίθεται κατωτέρω·

2.  ζητεί από την Επιτροπή να του υποβάλει εκ νέου την πρόταση, αν προτίθεται να της επιφέρει σημαντικές τροποποιήσεις ή να την αντικαταστήσει με νέο κείμενο·

3.  αναθέτει στον Πρόεδρό του να διαβιβάσει τη θέση του Κοινοβουλίου στο Συμβούλιο, την Επιτροπή και στα εθνικά κοινοβούλια.

Τροπολογία              1

Πρόταση κανονισμού

Αιτιολογική σκέψη 14

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(14) Ο παρών κανονισμός δεν εξετάζει ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη ροή δεδομένων που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του δικαίου της Ένωσης και δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, που υπάγονται στον κανονισμό (ΕΚ) αριθ. 45/200144, ούτε την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων σε σχέση με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.

(14) Ο παρών κανονισμός δεν εξετάζει ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη ροή δεδομένων που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του δικαίου της Ένωσης. Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1 πρέπει να ευθυγραμμιστεί με τον παρόντα κανονισμό και να εφαρμόζεται σύμφωνα με αυτόν.

____________

______________

44 ΕΕ L 8, 12.1.2001, σ. 1.

1 Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8, 12.1.2001, σ. 1).

Τροπολογία  2

Πρόταση κανονισμού

Αιτιολογική σκέψη 15

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(15) Ο παρών κανονισμός δεν πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο, τα οποία δεδομένα είναι αποκλειστικά προσωπικά ή οικιακά, όπως η αλληλογραφία και η τήρηση διευθύνσεων, και χωρίς κανένα κερδοσκοπικό συμφέρον και, επομένως, χωρίς καμία σύνδεση με επαγγελματική ή εμπορική δραστηριότητα. Η εξαίρεση δεν πρέπει να εφαρμόζεται ούτε σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι παρέχουν τα μέσα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες.

(15) Ο παρών κανονισμός δεν πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο, τα οποία δεδομένα είναι αποκλειστικά προσωπικά, οικιακά ή έχουν σχέση με την οικογένεια, όπως η αλληλογραφία και η τήρηση διευθύνσεων ή μια ιδιωτική πώληση, και χωρίς καμία σύνδεση με επαγγελματική ή εμπορική δραστηριότητα. Ωστόσο, ο παρών κανονισμός πρέπει να εφαρμόζεται σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι παρέχουν τα μέσα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες.

Τροπολογία  3

Πρόταση κανονισμού

Αιτιολογική σκέψη 18

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(18) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των διατάξεων που προβλέπονται στον παρόντα κανονισμό.

(18) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των διατάξεων που προβλέπονται στον παρόντα κανονισμό. Τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία βρίσκονται στην κατοχή δημόσιας αρχής ή δημόσιου φορέα μπορούν να γνωστοποιούνται από την εν λόγω αρχή ή φορέα σύμφωνα με τις νομοθετικές διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την πρόσβαση του κοινού σε επίσημα έγγραφα, οι οποίες ευθυγραμμίζουν το δικαίωμα προστασίας των δεδομένων με το δικαίωμα πρόσβασης του κοινού σε επίσημα έγγραφα και εξισορροπούνται με δίκαιο τρόπο τα ποικίλα εμπλεκόμενα συμφέροντα.

Τροπολογία  4

Πρόταση κανονισμού

Αιτιολογική σκέψη 20

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(20) Για τη διασφάλιση του ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση πρέπει να υπάγεται στον παρόντα κανονισμό, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα ή με την παρακολούθηση της συμπεριφοράς των εν λόγω προσώπων.

(20) Για τη διασφάλιση του ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση πρέπει να υπάγεται στον παρόντα κανονισμό, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών, ανεξαρτήτως του εάν παρέχονται επί πληρωμή ή δωρεάν, στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα ή με την παρακολούθηση των εν λόγω προσώπων. Για να κριθεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας προσφέρει αγαθά ή υπηρεσίες σε αυτού του τύπου πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση, θα πρέπει να εξακριβωθεί αν ο υπεύθυνος επεξεργασίας προδήλως αποσκοπεί να παράσχει υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα που κατοικούν σε ένα ή περισσότερα κράτη μέλη της Ένωσης.

Τροπολογία  5

Πρόταση κανονισμού

Αιτιολογική σκέψη 21

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(21) Για τον καθορισμό του κατά πόσον μια διαδικασία επεξεργασίας μπορεί να θεωρηθεί ότι «παρακολουθεί τη συμπεριφορά» πρόσωπου στο οποίο αναφέρονται τα δεδομένα, πρέπει να εξακριβωθεί το κατά πόσον τα φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο με τεχνικές επεξεργασίας δεδομένων οι οποίες συνίστανται στη διαμόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι στάσεις του.

(21) Για τον καθορισμό του κατά πόσον μια διαδικασία επεξεργασίας μπορεί να θεωρηθεί ότι «παρακολουθεί» τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, πρέπει να εξακριβωθεί το κατά πόσον τα φυσικά πρόσωπα παρακολουθούνται, ανεξάρτητα από την προέλευση των δεδομένων, ή εάν συλλέγονται άλλα δεδομένα για τα πρόσωπα αυτά, συμπεριλαμβανομένων δεδομένων από δημόσια μητρώα και δημόσιες αναγγελίες εντός Ένωσης, τα οποία είναι προσβάσιμα και εκτός Ένωσης, με σκοπό, μεταξύ άλλων, τη χρήση τους ή ενδεχόμενη μεταγενέστερη χρήση τους με τεχνικές επεξεργασίας δεδομένων οι οποίες συνίστανται στη διαμόρφωση ενός «προφίλ», ιδίως με σκοπό να ληφθούν αποφάσεις που αφορούν το εκάστοτε πρόσωπο ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι στάσεις του.

Τροπολογία  6

Πρόταση κανονισμού

Αιτιολογική σκέψη 23

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(23) Οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για τον καθορισμό του κατά πόσον η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την εξακρίβωση της ταυτότητας του φυσικού προσώπου. Οι αρχές της προστασίας των δεδομένων δεν πρέπει να εφαρμόζονται σε δεδομένα που ανωνυμοποιήθηκαν κατά τέτοιο τρόπο ώστε η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην μπορεί πλέον να εξακριβωθεί.

(23) Οι αρχές της προστασίας δεδομένων πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για τον καθορισμό του κατά πόσον η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό να χρησιμοποιηθούν είτε από υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας ή τον εντοπισμού του ατόμου. Για να διαπιστωθεί κατά πόσον κάποια μέσα κρίνεται ευλόγως πιθανό να χρησιμοποιηθούν για εξακρίβωση της ταυτότητας του ατόμου, πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και η διάρκεια του χρόνου που απαιτούνται για την ταυτοποίηση, και να λαμβάνεται υπόψη τόσο η τεχνολογία που είναι διαθέσιμη κατά το χρόνο της επεξεργασίας όσο και η τεχνολογική εξέλιξη. Ως εκ τούτου, οι αρχές της προστασίας των δεδομένων δεν πρέπει να εφαρμόζονται σε ανώνυμα δεδομένα, τα οποία συνιστούν πληροφορίες που δεν αφορούν φυσικό πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για το λόγο αυτό, ο παρών κανονισμός δεν αφορά την επεξεργασία τέτοιων ανώνυμωνδεδομένων, ούτε για στατιστικούς και για ερευνητικούς σκοπούς.

Τροπολογία  7

Πρόταση κανονισμού

Αιτιολογική σκέψη 24

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(24) Όταν χρησιμοποιούν επιγραμμικές υπηρεσίες, τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Ίντερνετ ή αναγνωριστικά cookies. Αυτά μπορεί να αφήνουν ίχνη τα οποία, σε συνδυασμό με μοναδικά αναγνωριστικά ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ των φυσικών προσώπων και την αναγνώριση της ταυτότητάς τους. Επομένως, αναγνωριστικοί αριθμοί, δεδομένα θέσης, επιγραμμικά αναγνωριστικά ταυτότητας ή άλλοι ειδικοί τέτοιοι παράγοντες δεν είναι υποχρεωτικό να θεωρούνται σε κάθε περίπτωση δεδομένα προσωπικού χαρακτήρα.

(24) Ο παρών κανονισμός εφαρμόζεται σε επεξεργασίες που αφορούν αναγνωριστικά ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία, τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Ίντερνετ, αναγνωριστικά cookies και ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων, εκτός εάν τα εν λόγω αναγνωριστικά ταυτότητας δεν αφορούν φυσικό πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί.

Τροπολογία  8

Πρόταση κανονισμού

Αιτιολογική σκέψη 25

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(25) Η συγκατάθεση πρέπει να παρέχεται ρητώς με κάθε προσήκουσα μέθοδο η οποία παρέχει ελεύθερη, ρητή και εν πλήρει επιγνώσει δήλωση της βούλησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω δήλωσης ή σαφούς θετικής ενέργειας από το συγκεκριμένο πρόσωπο, διασφαλίζοντας ότι τα φυσικά πρόσωπα γνωρίζουν ότι παρέχουν τη συγκατάθεσή τους στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σημειώνοντας ένα πλαίσιο όταν επισκέπτονται έναν δικτυακό τόπο ή με κάθε άλλη δήλωση ή συμπεριφορά η οποία υποδεικνύει σαφώς στο πλαίσιο αυτό την αποδοχή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα της προτεινόμενης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επομένως, η σιωπή ή η παράλειψη ενέργειας δε συνιστά συγκατάθεση. Η συγκατάθεση πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο ή τους ίδιους σκοπούς. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρόκειται να δοθεί σε συνέχεια ηλεκτρονικού αιτήματος, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται η συγκατάθεση.

(25) Η συγκατάθεση πρέπει να παρέχεται ρητώς με κάθε προσήκουσα μέθοδο η οποία παρέχει ελεύθερη, ρητή και εν πλήρει επιγνώσει δήλωση της βούλησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω δήλωσης ή σαφούς θετικής ενέργειας ως αποτέλεσμα της επιλογής του συγκεκριμένου προσώπου, διασφαλίζοντας ότι τα φυσικά πρόσωπα γνωρίζουν ότι παρέχουν τη συγκατάθεσή τους στην επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η σαφής θετική αυτή ενέργεια είναι δυνατόν να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου όταν επισκέπτονται έναν δικτυακό τόπο ή κάθε άλλη δήλωση ή συμπεριφορά η οποία υποδεικνύει σαφώς στο πλαίσιο αυτό την αποδοχή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα της προτεινόμενης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επομένως, η σιωπή, η απλή χρήση μιας υπηρεσίας ή η παράλειψη ενέργειας δε συνιστούν συγκατάθεση. Η συγκατάθεση πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο ή τους ίδιους σκοπούς. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρόκειται να δοθεί σε συνέχεια ηλεκτρονικού αιτήματος, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται η συγκατάθεση.

Τροπολογία  9

Πρόταση κανονισμού

Αιτιολογική σκέψη 29

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(29) Τα δεδομένα προσωπικού χαρακτήρα παιδιών απαιτούν ειδική προστασία, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των κινδύνων, των συνεπειών, των εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για τον καθορισμό του πότε ένα φυσικό πρόσωπο είναι παιδί, ο παρών κανονισμός πρέπει να υιοθετήσει τον ορισμό που προβλέπεται στη σύμβαση των Ηνωμένων Εθνών για τα δικαιώματα του παιδιού.

(29) Τα δεδομένα προσωπικού χαρακτήρα παιδιών απαιτούν ειδική προστασία, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των κινδύνων, των συνεπειών, των εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία δεδομένων βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με την προσφορά αγαθών ή υπηρεσιών απευθείας σε παιδί, η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα του παιδιού ή τον νόμιμο αντιπρόσωπό του εφόσον πρόκειται για παιδί ηλικίας κάτω των 13 ετών. Όταν οι αποδέκτες είναι παιδιά, πρέπει να χρησιμοποιείται γλώσσα κατάλληλη για την ηλικία τους. Άλλοι λόγοι νόμιμης επεξεργασίας, όπως λόγοι που αφορούν το δημόσιο συμφέρον πρέπει να συνεχίσουν να ισχύουν, όπως η επεξεργασία σε συνάρτηση με υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε ένα παιδί.

Τροπολογία  10

Πρόταση κανονισμού

Αιτιολογική σκέψη 31

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(31) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του ενδιαφερόμενου προσώπου ή κάποιας άλλης θεμιτής βάσης, η οποία προβλέπεται διά νόμου είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους η οποία αναφέρεται στον παρόντα κανονισμό.

(31) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του ενδιαφερόμενου προσώπου ή κάποιας άλλης θεμιτής βάσης, η οποία προβλέπεται διά νόμου είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους η οποία αναφέρεται στον παρόντα κανονισμό. Σε περίπτωση που ένα παιδί ή ένας ενήλικας δεν διαθέτει δικαιοπρακτική ικανότητα, η σχετική ενωσιακή ή εθνική νομοθεσία πρέπει να καθορίζει τους όρους υπό τους οποίους η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο αυτό.

Τροπολογία  11

Πρόταση κανονισμού

Αιτιολογική σκέψη 32

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(32) Όταν η επεξεργασία βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, εγγυήσεις πρέπει να διασφαλίζουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα γνωρίζει ότι και σε ποιο βαθμό παρέχει τη συγκατάθεσή του.

(32) Όταν η επεξεργασία βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, εγγυήσεις πρέπει να διασφαλίζουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα γνωρίζει ότι και σε ποιο βαθμό παρέχει τη συγκατάθεσή του. Για λόγους συμμόρφωσης με την αρχή της ελαχιστοποίησης των δεδομένων, το βάρος απόδειξης δεν πρέπει να νοείται ως απαίτηση θετικής ταυτοποίησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν η ταυτοποίηση είναι απαραίτητη. Όπως και οι διατάξεις του αστικού δικαίου (π.χ. οδηγία 93/13/ΕΟΚ του Συμβουλίου1), οι πολιτικές για την προστασία των δεδομένων πρέπει να είναι όσο το δυνατόν πιο σαφείς και διαφανείς. Δεν πρέπει να περιέχουν κρυμμένες ή επιζήμιες ρήτρες. Η συγκατάθεση δεν μπορεί να παρέχεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων προσώπων.

 

1 Οδηγία 93/13/ΕΟΚ του Συμβουλίου της 5ης Απριλίου 1993 σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95, 21.4.1993, σ. 29).

Τροπολογία  12

Πρόταση κανονισμού

Αιτιολογική σκέψη 33

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(33) Για τη διασφάλιση της ελεύθερης συγκατάθεσης, πρέπει να διευκρινίζεται ότι η συγκατάθεση δεν συνιστά έγκυρο νομικό λόγο όταν το φυσικό πρόσωπο δεν έχει γνήσια και ελεύθερη επιλογή και δεν είναι ακολούθως σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς αυτό να αποβεί εις βάρος του.

(33) Για τη διασφάλιση της ελεύθερης συγκατάθεσης, πρέπει να διευκρινίζεται ότι η συγκατάθεση δεν συνιστά έγκυρο νομικό λόγο όταν το φυσικό πρόσωπο δεν έχει γνήσια και ελεύθερη επιλογή και δεν είναι ακολούθως σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς αυτό να αποβεί εις βάρος του. Αυτό ισχύει ιδιαίτερα στην περίπτωση που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή η οποία μπορεί να επιβάλει μια υποχρέωση δυνάμει των σχετικών κυριαρχικών εξουσιών της και η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται ελεύθερα. Η χρήση προκαθορισμένων επιλογών τις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα καλείται να τροποποιήσει για να δηλώσει την αντίθεσή του στην επεξεργασία, όπως είναι τα προσυμπληρωμένα τετραγωνίδια, δεν εκφράζει ελεύθερη συγκατάθεση. Η συγκατάθεση για την επεξεργασία πρόσθετων προσωπικών δεδομένων που δεν είναι αναγκαία για την παροχή μιας υπηρεσίας δεν πρέπει να απαιτείται για τη χρήση της υπηρεσίας. Σε περίπτωση ανάκλησης της συγκατάθεσης, αυτό μπορεί να έχει ως αποτέλεσμα τον τερματισμό ή τη μη παροχή μιας υπηρεσίας που εξαρτάται από τα δεδομένα προσωπικού χαρακτήρα. Όταν δεν είναι σαφές εάν ο επιδιωκόμενος σκοπός συνεχίζει να υφίσταται, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει τακτικά το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σχετικά με την επεξεργασία και να ζητεί εκ νέου επιβεβαίωση της συγκατάθεσής του.

Τροπολογία  13

Πρόταση κανονισμού

Αιτιολογική σκέψη 34

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(34) Η συγκατάθεση δεν πρέπει να παρέχει έγκυρο νομικό λόγο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν υπάρχει σαφής ανισορροπία μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας. Αυτό ισχύει ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα τελεί σε σχέση εξάρτησης από τον υπεύθυνο επεξεργασία, μεταξύ άλλων, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον εργοδότη στο πλαίσιο της εργασιακής τους σχέσης. Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή, ανισορροπία στις συγκεκριμένες πράξεις επεξεργασίας δεδομένων υπάρχει μόνον εάν η δημόσια αρχή μπορεί να επιβάλει μια υποχρέωση δυνάμει των σχετικών δημόσιων εξουσιών της και η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται ελεύθερα, λαμβάνοντας υπόψη το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα.

διαγράφεται

Τροπολογία  14

Πρόταση κανονισμού

Αιτιολογική σκέψη 36

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(36) Εάν η επεξεργασία διενεργείται για σκοπούς συμμόρφωσης προς νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η νομική βάση της επεξεργασίας πρέπει να ερείδεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους, ανταποκρινόμενη στις απαιτήσεις του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης σχετικά με οιονδήποτε περιορισμό των δικαιωμάτων και των ελευθεριών. Επίσης, το δίκαιο της Ένωσης ή το εθνικό δίκαιο καθορίζουν κατά πόσον ο υπεύθυνος επεξεργασίας ο οποίος εκτελεί καθήκον που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια διοίκηση ή άλλο φυσικό ή νομικό πρόσωπο του δημοσίου δικαίου ή του ιδιωτικού δικαίου, όπως επαγγελματική οργάνωση.

(36) Εάν η επεξεργασία διενεργείται για σκοπούς συμμόρφωσης προς νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η νομική βάση της επεξεργασίας πρέπει να ερείδεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους, ανταποκρινόμενη στις απαιτήσεις του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης σχετικά με οιονδήποτε περιορισμό των δικαιωμάτων και των ελευθεριών. Αυτό πρέπει να περιλαμβάνει επίσης συλλογικές συμφωνίες των οποίων η γενική ισχύς μπορεί να αναγνωρίζεται από το εθνικό δίκαιο. Επίσης, το δίκαιο της Ένωσης ή το εθνικό δίκαιο καθορίζουν κατά πόσον ο υπεύθυνος επεξεργασίας ο οποίος εκτελεί καθήκον που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια διοίκηση ή άλλο φυσικό ή νομικό πρόσωπο του δημοσίου δικαίου ή του ιδιωτικού δικαίου, όπως επαγγελματική οργάνωση.

Τροπολογία  15

Πρόταση κανονισμού

Αιτιολογική σκέψη 38

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(38) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Κάτι τέτοιο απαιτεί προσεκτική αξιολόγηση ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί, δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην επεξεργασία για λόγους που σχετίζονται με τη συγκεκριμένη κατάστασή του και χωρίς οικονομική επιβάρυνση. Για τη διασφάλιση της διαφάνειας, ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να ενημερώνει ρητώς το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τα έννομα συμφέροντα που επιδιώκονται και για το δικαίωμα αντίταξης, καθώς και να υποχρεούται να τεκμηριώνει τα εν λόγω έννομα συμφέροντα. Δεδομένου ότι ο νομοθέτης πρέπει να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων από τις δημόσιες αρχές, ο συγκεκριμένος νομικός λόγος δεν πρέπει να εφαρμόζεται για την επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.

(38) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, ή, σε περίπτωση κοινοποίησης των δεδομένων, τρίτων στους οποίους διαβιβάζονται αυτά, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι ανταποκρίνονται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας και ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Κάτι τέτοιο απαιτεί προσεκτική αξιολόγηση ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί, δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας. Υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η επεξεργασία που περιορίζεται σε ψευδώνυμα δεδομένα πρέπει να τεκμαίρεται ότι ανταποκρίνεται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην επεξεργασία χωρίς οικονομική επιβάρυνση. Για τη διασφάλιση της διαφάνειας, ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να ενημερώνει ρητώς το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τα έννομα συμφέροντα που επιδιώκονται και για το δικαίωμα αντίταξης, καθώς και να υποχρεούται να τεκμηριώνει τα εν λόγω έννομα συμφέροντα. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα μπορούν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι ο νομοθέτης πρέπει να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων από τις δημόσιες αρχές, ο συγκεκριμένος νομικός λόγος δεν πρέπει να εφαρμόζεται για την επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.

Τροπολογία  16

Πρόταση κανονισμού

Αιτιολογική σκέψη 39

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(39) Η επεξεργασία δεδομένων, στο βαθμό που είναι αυστηρά απαραίτητη για τη διασφάλιση της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να αντέχει, έως ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες διακυβεύουν τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, από δημόσιες αρχές, ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), ομάδες παρέμβασης συμβάντων που αφορούν την ασφάλεια των υπολογιστών (CSIRT), παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. Αυτό μπορεί να περιλαμβάνει, για παράδειγμα, την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων προγραμμάτων και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών.

(39) Η επεξεργασία δεδομένων, στο βαθμό που είναι αυστηρά απαραίτητη και αναλογική για τη διασφάλιση της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να αντέχει σε τυχαία γεγονότα ή κακόβουλες ενέργειες οι οποίες διακυβεύουν τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων, καθώς και της ασφάλειας των σχετικών υπηρεσιών που παρέχονται από τα εν λόγω δίκτυα και συστήματα, από δημόσιες αρχές, ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), ομάδες παρέμβασης συμβάντων που αφορούν την ασφάλεια των υπολογιστών (CSIRT), παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί, σε συγκεκριμένα περιστατικά, έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. Αυτό μπορεί να περιλαμβάνει, για παράδειγμα, την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων προγραμμάτων και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών. Η αρχή αυτή εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της καταχρηστικής πρόσβασης και χρήσης συστημάτων δικτύου ή πληροφόρησης που είναι διαθέσιμα στο κοινό, όπως η κατάρτιση μαύρης λίστας ηλεκτρονικών συσκευών αναγνώρισης.

Τροπολογία  17

Πρόταση κανονισμού

Αιτιολογική σκέψη 39 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(39α) Υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η πρόληψη ή ο περιορισμός των ζημιών για τον υπεύθυνο επεξεργασίας πρέπει να τεκμαίρεται ότι πραγματοποιείται χάριν του εννόμου συμφέροντος του υπεύθυνου επεξεργασίας ή, σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο διαβιβάζονται αυτά, και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Η ίδια αρχή ισχύει και για την επιβολή των νομίμων αξιώσεων κατά του προσώπου στο οποίο αναφέρονται τα δεδομένα, όπως, για παράδειγμα, η είσπραξη οφειλών ή αστικών αποζημιώσεων και τα ένδικα βοηθήματα.

Τροπολογία  18

Πρόταση κανονισμού

Αιτιολογική σκέψη 39 β (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(39β) Υπό τον όρο ότι δεν υπερισχύουν τα συμφέρονται ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα για το σκοπό της άμεσης διάθεσης στην αγορά των ιδίων ή παρομοίων προϊόντων και υπηρεσιών ή για το σκοπό της άμεσης διάθεσης μέσω του ταχυδρομείου στην αγορά πρέπει να τεκμαίρεται ότι πραγματοποιείται χάριν των ευλόγων συμφερόντων του υπεύθυνου επεξεργασίας, ή σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο διαβιβάζονται αυτά και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας, εφόσον παρέχονται σαφείς πληροφορίες σχετικά με το δικαίωμα αντίταξης και την πηγή των δεδομένων προσωπικού χαρακτήρα. Η επεξεργασία δεδομένων σχετικά με επαγγελματικές επαφές πρέπει γενικώς να θεωρείται ότι πραγματοποιείται χάριν των ευλόγων συμφερόντων του υπεύθυνου επεξεργασίας, ή σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο αυτά διαβιβάζονται και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Αυτό πρέπει επίσης να ισχύει και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία το πρόσωπο αυτό έχει προδήλως καταστήσει δημοσίως γνωστά.

Τροπολογία  19

Πρόταση κανονισμού

Αιτιολογική σκέψη 40

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(40) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς πρέπει να επιτρέπεται μόνον εάν η επεξεργασία είναι συμβατή με τους σκοπούς εκείνους για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα, ιδίως εάν η επεξεργασία είναι αναγκαία για ιστορικούς και στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας. Εάν ο άλλος σκοπός δεν είναι συμβατός με τον αρχικό σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα, ο υπεύθυνος επεξεργασίας πρέπει να εξασφαλίζει τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον συγκεκριμένο άλλο σκοπό ή πρέπει να βασίζει την επεξεργασία σε άλλον θεμιτό λόγο σύννομης επεξεργασίας, ιδίως εάν προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλος στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Σε κάθε περίπτωση, πρέπει να εξασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα σχετικά με τους άλλους αυτούς σκοπούς.

διαγράφεται

Τροπολογία  20

Πρόταση κανονισμού

Αιτιολογική σκέψη 41

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(41) Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα ή με την ιδιωτική ζωή χρήζουν ειδικής προστασίας. Τέτοια δικαιώματα δεν πρέπει να υποβάλλονται σε επεξεργασία, παρά μόνον με τη ρητή συγκατάθεση του προσώπου το οποίο αφορούν. Ωστόσο, πρέπει να προβλέπονται ρητώς παρεκκλίσεις από τη συγκεκριμένη απαγόρευση σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων από ορισμένες οργανώσεις ή ιδρύματα σκοπός των οποίων είναι να επιτρέπουν την άσκηση θεμελιωδών ελευθεριών.

διαγράφεται

Τροπολογία  21

Πρόταση κανονισμού

Αιτιολογική σκέψη 42

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(42) Η παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων πρέπει να επιτρέπεται επίσης όταν θεσπίζεται διά νόμου, και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, εφόσον κάτι τέτοιο δικαιολογείται από λόγους δημόσιου συμφέροντος και κυρίως για σκοπούς υγείας, συμπεριλαμβανομένης της δημόσιας υγείας, της κοινωνικής προστασίας και της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης, προκειμένου ιδίως να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας ή για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας.

(42) Η παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων πρέπει να επιτρέπεται επίσης όταν θεσπίζεται διά νόμου, και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, εφόσον κάτι τέτοιο δικαιολογείται από λόγους δημόσιου συμφέροντος και κυρίως για σκοπούς υγείας, συμπεριλαμβανομένης της δημόσιας υγείας, της κοινωνικής προστασίας και της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης, προκειμένου ιδίως να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας, για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας ή για υπηρεσίες αρχείων.

Τροπολογία  22

Πρόταση κανονισμού

Αιτιολογική σκέψη 45

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(45) Εάν τα δεδομένα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να αναγνωρίσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν πρέπει να υποχρεούται να εξασφαλίζει πρόσθετες πληροφορίες προκειμένου να αναγνωρίσει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Σε περίπτωση αιτήματος πρόσβασης, ο υπεύθυνος επεξεργασίας πρέπει να δικαιούται να ζητεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα περισσότερες πληροφορίες οι οποίες θα του επιτρέψουν να εντοπίσει τα δεδομένα προσωπικού χαρακτήρα που ζητεί το εν λόγω πρόσωπο.

(45) Εάν τα δεδομένα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να αναγνωρίσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν πρέπει να υποχρεούται να εξασφαλίζει πρόσθετες πληροφορίες προκειμένου να αναγνωρίσει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Σε περίπτωση αιτήματος πρόσβασης, ο υπεύθυνος επεξεργασίας πρέπει να δικαιούται να ζητεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα περισσότερες πληροφορίες οι οποίες θα του επιτρέψουν να εντοπίσει τα δεδομένα προσωπικού χαρακτήρα που ζητεί το εν λόγω πρόσωπο. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δύναται να παράσχει τα εν λόγω δεδομένα, οι υπεύθυνοι επεξεργασίας δεν πρέπει να έχουν τη δυνατότητα να επικαλούνται έλλειψη πληροφοριών για να απορρίπτουν αιτήματα πρόσβασης.

Τροπολογία  23

Πρόταση κανονισμού

Αιτιολογική σκέψη 47

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(47) Πρέπει να προβλέπονται τρόποι για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του που προβλέπονται από τον παρόντα κανονισμό, συμπεριλαμβανομένων ειδικότερα μηχανισμών υποβολής αιτημάτων -χωρίς οικονομική επιβάρυνση- πρόσβασης σε δεδομένα, διόρθωσης, διαγραφής και άσκησης του δικαιώματος αντίταξης. Ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός καθορισμένης προθεσμίας και να παρέχει αιτιολογία στην περίπτωση που δεν συμμορφώνεται προς το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(47) Πρέπει να προβλέπονται τρόποι για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του που προβλέπονται από τον παρόντα κανονισμό, συμπεριλαμβανομένων ειδικότερα μηχανισμών εξασφάλισης -χωρίς οικονομική επιβάρυνση- πρόσβασης σε δεδομένα, διόρθωσης, διαγραφής και άσκησης του δικαιώματος αντίταξης. Ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός εύλογης προθεσμίας και να παρέχει αιτιολογία στην περίπτωση που δεν συμμορφώνεται προς το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  24

Πρόταση κανονισμού

Αιτιολογική σκέψη 48

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(48) Οι αρχές της θεμιτής και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, για τη διάρκεια αποθήκευσης των δεδομένων, για την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Εάν τα δεδομένα συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες της μη παροχής των εν λόγω δεδομένων.

(48) Οι αρχές της θεμιτής και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, για την ενδεχόμενη διάρκεια αποθήκευσης των δεδομένων για κάθε περίπτωση, εάν τα δεδομένα διαβιβάζονται σε τρίτους ή σε τρίτες χώρες, για την ύπαρξη δυνατότητας αντίταξης και την ύπαρξη δικαιώματος πρόσβασης, για τα κριτήρια που καθορίζουν την εν λόγω διάρκεια, για την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Εάν τα δεδομένα συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες της μη παροχής των εν λόγω δεδομένων. Οι πληροφορίες αυτές πρέπει να δίδονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα μετά την παροχή απλουστευμένων πληροφοριών υπό μορφήν τυποποιημένων εικονιδίων, πράγμα που σημαίνει ότι αυτές πρέπει να είναι εύκολα προσβάσιμες. Αυτό πρέπει επίσης να σημαίνει ότι τα δεδομένα προσωπικού χαρακτήρα τυγχάνουν επεξεργασίας κατά τρόπο που επιτρέπει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να ασκεί αποτελεσματικά τα δικαιώματά του.

Τροπολογία  25

Πρόταση κανονισμού

Αιτιολογική σκέψη 50

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(50) Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση αυτή εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη την ενημέρωση αυτή ή εάν η καταχώριση ή η κοινοποίηση των δεδομένων προβλέπεται ρητώς από τον νόμο ή εάν η παροχή ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποδεικνύεται ανέφικτη ή απαιτεί δυσανάλογες προσπάθειες. Η τελευταία αυτή περίπτωση μπορεί να συμβεί ειδικότερα εάν η επεξεργασία προορίζεται για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας· συναφώς, μπορούν να λαμβάνονται υπόψη ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα, η ηλικία των δεδομένων και τυχόν ληφθέντα αντισταθμιστικά μέτρα.

(50) Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση αυτή εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα γνωρίζει ήδη τις πληροφορίες αυτές ή εάν η καταχώριση ή η κοινοποίηση των δεδομένων προβλέπεται ρητώς από τον νόμο ή εάν η παροχή ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποδεικνύεται ανέφικτη ή απαιτεί δυσανάλογες προσπάθειες.

Τροπολογία  26

Πρόταση κανονισμού

Αιτιολογική σκέψη 51

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(51) Κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς, προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση, ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, το χρονικό διάστημα της επεξεργασίας, τους αποδέκτες που λαμβάνουν τα δεδομένα, τη συλλογιστική για τα δεδομένα που υποβάλλονται σε επεξεργασία και τις δυνητικές συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν πρέπει να επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα πνευματικής ιδιοκτησίας και, ειδικότερα, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(51) Κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς, προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση, ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, το προβλεπόμενο χρονικό διάστημα της επεξεργασίας, τους αποδέκτες που λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, τη γενική συλλογιστική για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τις δυνητικές συνέπειες της εν λόγω επεξεργασίας. Το δικαίωμα αυτό δεν πρέπει να επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα πνευματικής ιδιοκτησίας, για παράδειγμα όσον αφορά το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  27

Πρόταση κανονισμού

Αιτιολογική σκέψη 53

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(53) Κάθε πρόσωπο πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και το «δικαίωμα να λησμονηθεί» εάν η διατήρηση των εν λόγω δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό. Ειδικότερα, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα να ζητούν τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, εάν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, εάν τα πρόσωπα στα οποία αναφέροντα τα δεδομένα αποσύρουν τη συγκατάθεσή τους για την επεξεργασία ή εάν αντιτάσσονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό για οποιονδήποτε άλλο λόγο. Το δικαίωμα αυτό έχει ιδιαίτερη σημασία όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην παιδική του ηλικία, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων πρέπει να επιτρέπεται όταν είναι αναγκαία για ιστορικούς ή στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για την άσκηση του δικαιώματος ελευθερίας έκφρασης, όταν απαιτείται από τον νόμο ή εάν υπάρχει λόγος περιορισμού της επεξεργασίας των δεδομένων αντί της διαγραφής τους.

(53) Κάθε πρόσωπο πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και το «δικαίωμα διαγραφής» εάν η διατήρηση των εν λόγω δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό. Ειδικότερα, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα να ζητούν τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, εάν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, εάν τα πρόσωπα στα οποία αναφέροντα τα δεδομένα αποσύρουν τη συγκατάθεσή τους για την επεξεργασία ή εάν αντιτάσσονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό για οποιονδήποτε άλλο λόγο. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων πρέπει να επιτρέπεται όταν είναι αναγκαία για ιστορικούς ή στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για την άσκηση του δικαιώματος ελευθερίας έκφρασης, όταν απαιτείται από τον νόμο ή εάν υπάρχει λόγος περιορισμού της επεξεργασίας των δεδομένων αντί της διαγραφής τους. Το δικαίωμα διαγραφής δεν πρέπει επίσης να ισχύει όταν η διατήρηση δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή όταν αυτή επιβάλλεται από το νόμο.

Τροπολογία  28

Πρόταση κανονισμού

Αιτιολογική σκέψη 54

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(54) Για να ενισχυθεί το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα «να λησμονηθεί», το δικαίωμα διαγραφής πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους τρίτους που επεξεργάζονται τα εν λόγω δεδομένα ότι ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα του ζήτησε να διαγραφεί κάθε σύνδεσμος ή αντίγραφο ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Για τη διασφάλιση της εν λόγω ενημέρωσης, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων είναι αρμόδιος. Σε σχέση με τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας πρέπει να θεωρείται υπεύθυνος για τη δημοσίευση, εάν αυτός ο ίδιος ενέκρινε τη δημοσίευση από τον τρίτο.

(54) Για να ενισχυθεί το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα «να διαγραφεί», το δικαίωμα διαγραφής πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα χωρίς νόμιμη αιτία να υποχρεούται να προβεί σε όλες τις απαραίτητες ενέργειες για τη διαγραφή των δεδομένων, συμπεριλαμβανομένων και από τρίτους, με την επιφύλαξη ωστόσο του δικαιώματος του προσώπου στο οποίο αναφέρονται τα δεδομένα να ζητήσει αποζημίωση.

Τροπολογία  29

Πρόταση κανονισμού

Αιτιολογική σκέψη 54 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(54α) Μέχρι να υπάρξει σχετική διευκρίνιση, πρέπει να φράσσονται τα δεδομένα που αμφισβητούνται από τα πρόσωπα στα οποία αυτά αναφέρονται και των οποίων δεν είναι δυνατόν να διαπιστωθεί η ακρίβεια.

Τροπολογία  30

Πρόταση κανονισμού

Αιτιολογική σκέψη 55

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(55) Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων τους και το δικαίωμα πρόσβασής τους, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα, εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να λαμβάνουν αντίγραφο των δεδομένων που τα αφορούν εξίσου σε συνήθως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται επίσης να μεταφέρει τα εν λόγω δεδομένα, τα οποία παρέσχε, από μια αυτοματοποιημένη εφαρμογή, όπως ένα κοινωνικό δίκτυο, σε μια άλλη. Αυτό πρέπει να εφαρμόζεται όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα στο αυτοματοποιημένο σύστημα επεξεργασίας, με τη συγκατάθεσή του ή στο πλαίσιο της εκτέλεσης σύμβασης.

(55) Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων τους και το δικαίωμα πρόσβασής τους, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα, εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να λαμβάνουν αντίγραφο των δεδομένων που τα αφορούν εξίσου σε συνήθως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται επίσης να μεταφέρει τα εν λόγω δεδομένα, τα οποία παρέσχε, από μια αυτοματοποιημένη εφαρμογή, όπως ένα κοινωνικό δίκτυο, σε μια άλλη. Οι υπεύθυνοι επεξεργασίας των δεδομένων πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Αυτό πρέπει να εφαρμόζεται όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα στο αυτοματοποιημένο σύστημα επεξεργασίας, με τη συγκατάθεσή του ή στο πλαίσιο της εκτέλεσης σύμβασης. Οι φορείς παροχής υπηρεσιών της κοινωνίας της πληροφορίας δεν πρέπει να καθιστούν τη μεταφορά των εν λόγω δεδομένων υποχρεωτική για την παροχή των υπηρεσιών τους.

Τροπολογία  31

Πρόταση κανονισμού

Αιτιολογική σκέψη 56

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(56) Σε περιπτώσεις στις οποίες δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται ή για λόγους δημόσιου συμφέροντος, άσκησης δημόσιας εξουσίας, ή εξυπηρέτησης εννόμων συμφερόντων του υπευθύνου της επεξεργασίας, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται παρ’ όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων που το αφορούν. Ο υπεύθυνος επεξεργασίας πρέπει να φέρει το βάρος απόδειξης ότι τα έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(56) Σε περιπτώσεις στις οποίες δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται ή για λόγους δημόσιου συμφέροντος, άσκησης δημόσιας εξουσίας, ή εξυπηρέτησης εννόμων συμφερόντων του υπευθύνου της επεξεργασίας, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται παρ’ όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων που το αφορούν, ατελώς και με απλό και αποτελεσματικό τρόπο. Ο υπεύθυνος επεξεργασίας πρέπει να φέρει το βάρος απόδειξης ότι τα έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  32

Πρόταση κανονισμού

Αιτιολογική σκέψη 57

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(57) Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην εν λόγω επεξεργασία ατελώς και με ευχερή και αποτελεσματικό τρόπο.

(57) Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει το δικαίωμα να αντιταχθεί στην επεξεργασία, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει ρητώς το δικαίωμα αυτό στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, με κατανοητό τρόπο και σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση και να το διαχωρίζει σαφώς από άλλες πληροφορίες.

Τροπολογία  33

Πρόταση κανονισμού

Αιτιολογική σκέψη 58

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(58) Κάθε φυσικό πρόσωπο πρέπει να έχει το δικαίωμα να μην υπάγεται σε μέτρο το οποίο βασίζεται σε κατάρτιση προφίλ μέσω αυτοματοποιημένης επεξεργασίας. Ωστόσο, ένα τέτοιο μέτρο πρέπει να επιτρέπεται όταν εγκρίνεται ρητώς διά νόμου, εκτελείται κατά τη σύναψη ή την εκτέλεση σύμβασης ή όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του. Σε κάθε περίπτωση, η επεξεργασία πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της ειδικής ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης και της προϋπόθεσης το εν λόγω μέτρο να μην αφορά παιδί.

(58) Με την επιφύλαξη της νομιμότητας της επεξεργασίας δεδομένων, κάθε φυσικό πρόσωπο πρέπει να έχει το δικαίωμα να αντιταχθεί σε κατάρτιση προφίλ. Η κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που έχουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή τα οποία επηρεάζουν σε μεγάλο βαθμό κατά τον ίδιο τρόπο τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα πρέπει να επιτρέπεται μόνο όταν εγκρίνεται ρητώς διά νόμου, εκτελείται κατά τη σύναψη ή την εκτέλεση σύμβασης ή όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του. Σε κάθε περίπτωση, η επεξεργασία πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της ειδικής ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, του δικαιώματος εξασφάλισης ανθρώπινης εκτίμησης και της προϋπόθεσης το εν λόγω μέτρο να μην αφορά παιδί. Τα μέτρα αυτά δεν πρέπει να έχουν ως αποτέλεσμα την εισαγωγή διακρίσεων έναντι ατόμων βάσει φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκείας ή πεποιθήσεων, συμμετοχής σε συνδικαλιστική οργάνωση, γενετήσιου προσανατολισμού ή ταυτότητας φύλου.

Τροπολογία  34

Πρόταση κανονισμού

Αιτιολογική σκέψη 58 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(58α) Η κατάρτιση προφίλ που στηρίζεται αποκλειστικά στην επεξεργασία ψευδώνυμου δεδομένων πρέπει να τεκμαίρεται ότι δεν επηρεάζει σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Όταν η κατάρτιση προφίλ, είτε βάσει μιας μοναδικής πηγής ψευδώνυμων δεδομένων είτε μιας συλλογής ψευδώνυμων δεδομένων από διάφορες πηγές, επιτρέπει στον υπεύθυνο επεξεργασίας να αποδώσει ψευδώνυμα δεδομένα σε ένα συγκεκριμένο υποκείμενο δεδομένων, τα δεδομένα που έτυχαν επεξεργασίας δεν πρέπει πλέον να θεωρούνται ψευδώνυμα.

Τροπολογία  35

Πρόταση κανονισμού

Αιτιολογική σκέψη 59

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(59) Περιορισμοί σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής ή στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα αντίταξης, στα μέτρα που βασίζονται σε κατάρτιση προφίλ καθώς και στη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας μπορούν να επιβληθούν από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για τη διασφάλιση της δημόσιας ασφάλειας, συμπεριλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, ή της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων. Οι εν λόγω περιορισμοί πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

(59) Περιορισμοί σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής ή στο δικαίωμα πρόσβασης στα δεδομένα και λήψης των δεδομένων, στο δικαίωμα αντίταξης, κατάρτισης προφίλ καθώς και στη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας μπορούν να επιβληθούν από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για τη διασφάλιση της δημόσιας ασφάλειας, συμπεριλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων ειδικών και σαφώς καθορισμένων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, ή της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων. Οι εν λόγω περιορισμοί πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

Τροπολογία  36

Πρόταση κανονισμού

Αιτιολογική σκέψη 60

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(60) Πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης από τον υπεύθυνο επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται είτε από τον υπεύθυνο επεξεργασίας είτε για λογαριασμό του. Ειδικότερα, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει και να υποχρεούται να αποδείξει τη συμμόρφωση κάθε πράξης επεξεργασίας προς τον παρόντα κανονισμό.

(60) Πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης από τον υπεύθυνο επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται είτε από τον υπεύθυνο επεξεργασίας είτε για λογαριασμό του, ιδίως όσον αφορά την τεκμηρίωση, την ασφάλεια των δεδομένων, τις εκτιμήσεις επιπτώσεων, τον υπεύθυνο προστασίας δεδομένων και την εποπτεία από τις αρχές προστασίας δεδομένων. Ειδικότερα, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει και να είναι σε θέση να αποδείξει τη συμμόρφωση κάθε πράξης επεξεργασίας προς τον παρόντα κανονισμό. Αυτό πρέπει να ελέγχεται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές.

Τροπολογία  37

Πρόταση κανονισμού

Αιτιολογική σκέψη 61

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(61) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, τόσο κατά τον σχεδιασμό της επεξεργασίας όσο και κατά την ίδια την επεξεργασία, ώστε να διασφαλίζεται ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού. Για τη διασφάλιση και την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει κατάλληλα μέτρα, τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού.

(61) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, τόσο κατά τον σχεδιασμό της επεξεργασίας όσο και κατά την ίδια την επεξεργασία, ώστε να διασφαλίζεται ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού. Για τη διασφάλιση και την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει κατάλληλα μέτρα, τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού. Η αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό απαιτεί η προστασία των δεδομένων να εντάσσεται σε ολόκληρο τον κύκλο ζωής της τεχνολογίας, από το αρχικό στάδιο του σχεδιασμού, μέχρι την τελική εφαρμογή, χρήση και διάθεση. Αυτό πρέπει επίσης να περιλαμβάνει την ευθύνη για τα αγαθά και τις υπηρεσίες που χρησιμοποιεί ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Η αρχή της προστασίας των δεδομένων εξ ορισμού απαιτεί οι ρυθμίσεις ιδιωτικότητας των υπηρεσιών και προϊόντων να συμμορφώνονται εξ ορισμού με τις γενικές αρχές προστασίας δεδομένων, όπως η ελαχιστοποίηση των δεδομένων και ο περιορισμός του σκοπού.

Τροπολογία  38

Πρόταση κανονισμού

Αιτιολογική σκέψη 62

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(62) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, επίσης σε σχέση με την παρακολούθηση από τις αρχές ελέγχου και τα μέτρα αρχών ελέγχου, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

(62) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, επίσης σε σχέση με την παρακολούθηση από τις αρχές ελέγχου και τα μέτρα αρχών ελέγχου, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας. Η συμφωνία που συνάπτεται μεταξύ των από κοινού υπευθύνων επεξεργασίας πρέπει να ανταποκρίνεται στους αντίστοιχους αποτελεσματικούς ρόλους και τις σχέσεις των από κοινού υπευθύνων επεξεργασίας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, δυνάμει του παρόντος κανονισμού πρέπει να περιλαμβάνει τη δυνατότητα του υπεύθυνου επεξεργασίας δεδομένων να διαβιβάζει τα δεδομένα σε ένα από κοινού υπεύθυνο επεξεργασίας ή σε ένα εκτελούντα την επεξεργασία με σκοπό την επεξεργασία των δεδομένων εξ ονόματός τους.

Τροπολογία  39

Πρόταση κανονισμού

Αιτιολογική σκέψη 63

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(63) Εάν ένας υπεύθυνος επεξεργασίας μη εγκαταστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, του οποίου οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα ή με την παρακολούθηση της συμπεριφοράς τους, ο υπεύθυνος επεξεργασίας πρέπει να ορίσει εκπρόσωπο, εκτός εάν ο υπεύθυνος επεξεργασίας είναι εγκαταστημένος σε τρίτη χώρα η οποία διασφαλίζει επαρκές επίπεδο προστασίας ή ο υπεύθυνος επεξεργασίας είναι μικρή ή μεσαία επιχείρηση ή δημόσια αρχή ή φορέας ή εάν ο υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα. Ο εκπρόσωπος πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας και σε αυτόν μπορεί να απευθύνεται κάθε αρχή ελέγχου.

(63) Εάν ένας υπεύθυνος επεξεργασίας μη εγκαταστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα στην Ένωση, ο υπεύθυνος επεξεργασίας πρέπει να ορίσει εκπρόσωπο, εκτός εάν ο υπεύθυνος επεξεργασίας είναι εγκαταστημένος σε τρίτη χώρα η οποία διασφαλίζει επαρκές επίπεδο προστασίας ή η επεξεργασία αφορά λιγότερα από 5000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών και δεν εκτελείται επί ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, ή είναι δημόσια αρχή ή φορέας ή εάν ο υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα. Ο εκπρόσωπος πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας και σε αυτόν μπορεί να απευθύνεται κάθε αρχή ελέγχου.

Τροπολογία  40

Πρόταση κανονισμού

Αιτιολογική σκέψη 64

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(64) Για τον καθορισμό του κατά πόσον ένας υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά και υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, πρέπει να εξακριβώνεται κατά πόσον είναι εμφανές από τις συνολικές δραστηριότητες του υπευθύνου επεξεργασίας ότι η προσφορά αγαθών και υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι παρεπόμενη δραστηριότητα στις βασικές αυτές δραστηριότητες.

(64) Για τον καθορισμό του κατά πόσον ένας υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά και υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση, πρέπει να εξακριβώνεται κατά πόσον είναι εμφανές από τις συνολικές δραστηριότητες του υπευθύνου επεξεργασίας ότι η προσφορά αγαθών και υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι παρεπόμενη δραστηριότητα στις βασικές αυτές δραστηριότητες.

Τροπολογία  41

Πρόταση κανονισμού

Αιτιολογική σκέψη 65

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(65) Για την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να τεκμηριώνουν κάθε πράξη επεξεργασίας. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε να μπορεί να τη χρησιμοποιήσει για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας.

(65) Για να καταστεί δυνατή η απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να διατηρεί την αναγκαία τεκμηρίωση ώστε να πληρούνται οι απαιτήσεις που θεσπίζει ο παρών κανονισμός. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε να μπορεί να τη χρησιμοποιήσει για την αξιολόγηση της συμμόρφωσης με τον παρόντα κανονισμό. Ωστόσο, θα πρέπει να τονίζεται και να επισημαίνεται εξίσου η χρήση ορθών πρακτικών και η συμμόρφωση, και όχι μόνο η ολοκλήρωση της τεκμηρίωσης.

Τροπολογία  42

Πρόταση κανονισμού

Αιτιολογική σκέψη 66

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(66) Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων. Τα μέτρα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά τη θέσπιση τεχνικών προτύπων και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας, η Επιτροπή πρέπει να προωθεί την τεχνολογική ουδετερότητα, τη διαλειτουργικότητα και την καινοτομία και, όπου συντρέχει περίπτωση, να συνεργάζεται με τρίτες χώρες.

(66) Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων. Τα μέτρα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά τη θέσπιση τεχνικών προτύπων και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας, πρέπει να προωθούνται η τεχνολογική ουδετερότητα, η διαλειτουργικότητα και η καινοτομία και, όπου συντρέχει περίπτωση, πρέπει να ενθαρρύνεται η συνεργασία με τρίτες χώρες.

Τροπολογία  43

Πρόταση κανονισμού

Αιτιολογική σκέψη 67

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(67) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σημαντική οικονομική ζημία και κοινωνική βλάβη -συμπεριλαμβανομένης της υποκλοπής ταυτότητας- για το ενδιαφερόμενο πρόσωπο. Επομένως, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί μια τέτοια παραβίαση, πρέπει να γνωστοποιήσει την παραβίαση στην αρχή ελέγχου αμελλητί και, ει δυνατόν, εντός 24 ωρών. Εάν αυτό δεν μπορεί να επιτευχθεί εντός 24 ωρών, η γνωστοποίηση πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα μπορεί να επηρεασθούν αρνητικά από την παραβίαση πρέπει να ενημερώνονται αμελλητί προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η παραβίαση πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση που έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης του. Η γνωστοποίηση πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι γνωστοποιήσεις στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την αρχή ελέγχου και τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές (π.χ. αρχές επιβολής του νόμου). Για παράδειγμα, η δυνατότητα των προσώπων στα οποία αναφέρονται τα δεδομένα να μετριάσουν έναν άμεσο κίνδυνο βλάβης απαιτεί την άμεση ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά της συνέχισης της παραβίασης ή άλλων παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερη καθυστέρηση.

(67) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σημαντική οικονομική ζημία και κοινωνική βλάβη -συμπεριλαμβανομένης της υποκλοπής ταυτότητας- για το ενδιαφερόμενο πρόσωπο. Επομένως, ο υπεύθυνος επεξεργασίας πρέπει να γνωστοποιήσει την παραβίαση στην αρχή ελέγχου αμελλητί, και, κατά τεκμήριο, το αργότερο εντός 72 ωρών. Κατά περίπτωση, η γνωστοποίηση πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα μπορεί να επηρεασθούν αρνητικά από την παραβίαση πρέπει να ενημερώνονται αμελλητί προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η παραβίαση πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση που έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης του. Η γνωστοποίηση πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι γνωστοποιήσεις στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την αρχή ελέγχου και τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές (π.χ. αρχές επιβολής του νόμου). Για παράδειγμα, η δυνατότητα των προσώπων στα οποία αναφέρονται τα δεδομένα να μετριάσουν έναν άμεσο κίνδυνο βλάβης απαιτεί την άμεση ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά της συνέχισης της παραβίασης ή άλλων παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερη καθυστέρηση.

Τροπολογία  44

Πρόταση κανονισμού

Αιτιολογική σκέψη 71 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(71α) Οι εκτιμήσεις επιπτώσεων συνιστούν την ουσία κάθε αειφόρου πλαισίου προστασίας δεδομένων, διασφαλίζοντας ότι οι επιχειρήσεις γνωρίζουν εξαρχής όλες τις πιθανές συνέπειες των πράξεων επεξεργασίας δεδομένων που εκτελούν. Μια διεξοδική εκτίμηση των επιπτώσεων μπορεί να μειώσει ουσιαστικά τις πιθανότητες παραβίασης δεδομένων ή πράξεων επεξεργασίας που παραβιάζουν την ιδιωτική ζωή. Οι εκτιμήσεις επιπτώσεων ως προς την προστασία των δεδομένων θα πρέπει ως εκ τούτου να λαμβάνουν υπόψη τη συνολική διαχείριση κύκλου ζωής των δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και τη διαγραφή, περιγράφοντας αναλυτικά τις προβλεπόμενες πράξεις επεξεργασίας, τους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τα προβλεπόμενα μέτρα για την αντιμετώπιση των κινδύνων, τις εγγυήσεις, τα μέτρα ασφαλείας και τους μηχανισμούς διασφάλισης συμμόρφωσης με τον παρόντα κανονισμό.

Τροπολογία  45

Πρόταση κανονισμού

Αιτιολογική σκέψη 71 β (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(71β) Οι υπεύθυνοι επεξεργασίας θα πρέπει να εστιάζουν στην προστασία των δεδομένων προσωπικού χαρακτήρα κατά το σύνολο του κύκλου ζωής των δεδομένων, από τη συλλογή έως τη διαγραφή, επενδύοντας εξαρχής σε ένα αειφόρο πλαίσιο διαχείρισης δεδομένων και συμπληρώνοντάς το με έναν μηχανισμό συνολικής συμμόρφωσης.

Τροπολογία  46

Πρόταση κανονισμού

Αιτιολογική σκέψη 73

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(73) Οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων πρέπει να διενεργούνται από δημόσια αρχή ή δημόσιο φορέα, εάν μια τέτοια εκτίμηση δεν έχει ήδη διενεργηθεί στο πλαίσιο της θέσπισης της εθνικής νομοθεσίας στην οποία βασίζεται η άσκηση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων επεξεργασίας.

διαγράφεται

Τροπολογία  47

Πρόταση κανονισμού

Αιτιολογική σκέψη 74

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(74) Εάν η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων υποδεικνύει ότι οι πράξεις επεξεργασίας συνεπάγονται υψηλό βαθμό συγκεκριμένων κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως τον αποκλεισμό φυσικών προσώπων από το δικαίωμά τους, ή λόγω της χρήσης συγκεκριμένων νέων τεχνολογιών, πρέπει να ζητείται η γνώμη της αρχής ελέγχου, πριν από την έναρξη των πράξεων, για μια ριψοκίνδυνη επεξεργασία η οποία ενδέχεται να μην είναι σύμφωνη προς τον παρόντα κανονισμό, η δε αρχή ελέγχου πρέπει να μπορεί να διατυπώσει προτάσεις για την επανόρθωση της κατάστασης αυτής. Μια τέτοια διαβούλευση πρέπει επίσης να λάβει χώρα κατά την προετοιμασία ενός μέτρου από το εθνικό κοινοβούλιο ή ενός μέτρου που βασίζεται σε τέτοιο νομοθετικό μέτρο το οποίο καθορίζει τη φύση της επεξεργασίας και θεσπίζει κατάλληλες εγγυήσεις.

(74) Εάν η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων υποδεικνύει ότι οι πράξεις επεξεργασίας συνεπάγονται υψηλό βαθμό συγκεκριμένων κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως τον αποκλεισμό φυσικών προσώπων από το δικαίωμά τους, ή λόγω της χρήσης συγκεκριμένων νέων τεχνολογιών, πρέπει να ζητείται η γνώμη του υπευθύνου προστασίας δεδομένων ή της αρχής ελέγχου, πριν από την έναρξη των πράξεων, για μια ριψοκίνδυνη επεξεργασία η οποία ενδέχεται να μην είναι σύμφωνη προς τον παρόντα κανονισμό, η δε αρχή ελέγχου πρέπει να μπορεί να διατυπώσει προτάσεις για την επανόρθωση της κατάστασης αυτής. Μια διαβούλευση με την αρχή ελέγχου πρέπει επίσης να λάβει χώρα κατά την προετοιμασία ενός μέτρου από το εθνικό κοινοβούλιο ή ενός μέτρου που βασίζεται σε τέτοιο νομοθετικό μέτρο το οποίο καθορίζει τη φύση της επεξεργασίας και θεσπίζει κατάλληλες εγγυήσεις.

Τροπολογία  48

Πρόταση κανονισμού

Αιτιολογική σκέψη 74 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(74α) Οι εκτιμήσεις επιπτώσεων μπορούν να αποβούν χρήσιμες μόνο εάν οι επιχειρήσεις μεριμνούν για την τήρηση των αρχικών υποσχέσεων που διατυπώνουν σε αυτές. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει επομένως να διενεργούν τακτικούς ελέγχους τήρησης των διατάξεων περί προστασίας δεδομένων που θα αποδεικνύουν ότι οι μηχανισμοί επεξεργασίας δεδομένων που χρησιμοποιούνται συμμορφώνονται προς τις εγγυήσεις που παρέχονται στην εκτίμηση επιπτώσεων για την προστασία δεδομένων. Θα πρέπει επίσης να αποδεικνύει την ικανότητα του υπευθύνου επεξεργασίας να συμμορφώνεται προς τις αυτόνομες επιλογές των προσώπων στα οποία αναφέρονται τα δεδομένα. Επιπροσθέτως, σε περίπτωση που κατά τον επανέλεγχο εντοπιστεί πλημμελής συμμόρφωση, θα πρέπει να αναδειχθεί και να διατυπωθούν συστάσεις για την επίτευξη πλήρους συμμόρφωσης.

Τροπολογία  49

Πρόταση κανονισμού

Αιτιολογική σκέψη 75

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(75) Εάν η επεξεργασία διενεργείται στον δημόσιο τομέα ή εάν, στον ιδιωτικό τομέα, η επεξεργασία διενεργείται από μεγάλη επιχείρηση ή εάν οι βασικές δραστηριότητές της, ανεξάρτητα από το μέγεθος της επιχείρησης, περιλαμβάνουν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση, πρέπει να ορίζεται ένα πρόσωπο το οποίο συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της συμμόρφωσης, σε εσωτερικό επίπεδο, προς τον παρόντα κανονισμό. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με πλήρη ανεξαρτησία.

(75) Εάν η επεξεργασία διενεργείται στον δημόσιο τομέα ή εάν, στον ιδιωτικό τομέα, η επεξεργασία αφορά περισσότερα από 5000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε 12 συναπτούς μήνες, ή εάν οι βασικές δραστηριότητες της επιχείρησης, ανεξάρτητα από το μέγεθός της, περιλαμβάνουν πράξεις επεξεργασίας ευαίσθητων δεδομένων ή πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση, πρέπει να ορίζεται ένα πρόσωπο το οποίο συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της συμμόρφωσης, σε εσωτερικό επίπεδο, προς τον παρόντα κανονισμό. Όταν αποφασίζεται εάν θα υποβληθούν σε επεξεργασία δεδομένα που αναφέρονται σε μεγάλο αριθμό προσώπων, δεν πρέπει να λαμβάνονται υπόψη αρχειοθετημένα δεδομένα που υπάγονται σε περιορισμό τέτοιον ώστε να μην εμπίπτουν στις κανονικές διαδικασίες πρόσβασης και επεξεργασίας δεδομένων από τον υπεύθυνο επεξεργασίας και να μην μπορούν πλέον να τροποποιηθούν. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας και κατά πόσον ασκούν τα καθήκοντά τους σε πλήρες ωράριο ή όχι, πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με πλήρη ανεξαρτησία και να χαίρουν ιδιαίτερης προστασίας έναντι απόλυσης. Η τελική ευθύνη θα πρέπει να εξακολουθεί να βαρύνει τη διοίκηση του οργανισμού. Η γνώμη του υπευθύνου προστασίας δεδομένων πρέπει να ζητείται ιδίως πριν από τον σχεδιασμό, την προμήθεια, την ανάπτυξη και την εγκατάσταση συστημάτων αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ώστε να διασφαλίζονται οι αρχές προστασίας της ιδιωτικής ζωής τόσο εξ ορισμού όσο και από τον σχεδιασμό.

Τροπολογία  50

Πρόταση κανονισμού

Αιτιολογική σκέψη 75 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(75α) Ο υπεύθυνος προστασίας δεδομένων πρέπει να διαθέτει τουλάχιστον τα ακόλουθα προσόντα: ευρεία γνώση του αντικειμένου και της εφαρμογής του νόμου περί προστασίας δεδομένων, συμπεριλαμβανομένων των τεχνικών και οργανωτικών μέτρων και διαδικασιών· τεχνογνωσία όσον αφορά τις τεχνικές απαιτήσεις για την προστασία της ιδιωτικής ζωής τόσο εξ ορισμού όσο και από τον σχεδιασμό καθώς και για την ασφάλεια των δεδομένων· εξειδικευμένες γνώσεις σχετικά με τον τομέα ανάλογες προς το μέγεθος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία καθώς και προς τον βαθμό ευαισθησίας των δεδομένων που υποβάλλονται σε επεξεργασία· ικανότητα διενέργειας επιθεωρήσεων, παροχής συμβουλών, τεκμηρίωσης και ανάλυσης αρχείων καταγραφής· και ικανότητα συνεργασίας με τους εκπροσώπους των εργαζομένων. Ο υπεύθυνος επεξεργασίας πρέπει να παρέχει στον υπεύθυνο προστασίας δεδομένων τη δυνατότητα να συμμετέχει σε ανώτερου επιπέδου κατάρτιση ώστε να διαθέτει συνεχώς τις εξειδικευμένες γνώσεις που απαιτούνται για την εκπλήρωση των καθηκόντων του. Ο ορισμός ως υπευθύνου προστασίας δεδομένων δεν προϋποθέτει αναγκαστικά την πλήρη απασχόληση του αντίστοιχου υπαλλήλου.

Τροπολογία  51

Πρόταση κανονισμού

Αιτιολογική σκέψη 76

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(76) Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, εντός των ορίων του παρόντος κανονισμού, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς.

(76) Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, μετά από διαβούλευση με τον φορέα εκπροσώπησης των εργαζομένων, εντός των ορίων του παρόντος κανονισμού, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς. Οι εν λόγω κώδικες πρέπει να διευκολύνουν τη συμμόρφωση του κλάδου προς τον παρόντα κανονισμό.

Τροπολογία  52

Πρόταση κανονισμού

Αιτιολογική σκέψη 77

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(77) Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας των δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.

(77) Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και τυποποιημένων σημάτων προστασίας των δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως, αξιόπιστα και επαληθεύσιμα το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών. Η «Ευρωπαϊκή σφραγίδα προστασίας δεδομένων» θα πρέπει να καθιερωθεί σε ευρωπαϊκό επίπεδο για να εμπνέει εμπιστοσύνη μεταξύ των προσώπων στα οποία αναφέρονται τα δεδομένα, να δημιουργεί ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας και παράλληλα να παράγει ευρωπαϊκά πρότυπα προστασίας δεδομένων επιτρέποντας σε μη ευρωπαϊκές εταιρείες να εισέρχονται ευκολότερα στις ευρωπαϊκές αγορές μέσω πιστοποίησης.

Τροπολογία  53

Πρόταση κανονισμού

Αιτιολογική σκέψη 79

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(79) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες ρυθμίζουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και περιλαμβάνουν κατάλληλες εγγυήσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

(79) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες ρυθμίζουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και περιλαμβάνουν κατάλληλες εγγυήσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα διασφαλίζοντας επαρκές επίπεδο προστασίας για τα θεμελιώδη δικαιώματα των πολιτών.

Τροπολογία  54

Πρόταση κανονισμού

Αιτιολογική σκέψη 80

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(80) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ σε ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας των δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που θεωρούνται ότι εξασφαλίζουν τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις εν λόγω χώρες μπορούν να πραγματοποιούνται χωρίς να απαιτείται η εξασφάλιση οποιασδήποτε περαιτέρω έγκρισης.

(80) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ σε ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας των δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που θεωρούνται ότι εξασφαλίζουν τέτοιο επίπεδο προστασίας. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και πλήρους αιτιολόγησης προς την τρίτη χώρα.

Τροπολογία  55

Πρόταση κανονισμού

Αιτιολογική σκέψη 82

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(82) Η Επιτροπή μπορεί επίσης να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα πρέπει να απαγορεύεται. Στην περίπτωση αυτή, πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών.

(82) Η Επιτροπή μπορεί επίσης να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας των δεδομένων. Κάθε νομοθετική ρύθμιση, η οποία παρέχει εξωεδαφική πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στην Ένωση χωρίς άδεια δυνάμει της ενωσιακής ή της εθνικής νομοθεσίας, θα πρέπει να θεωρείται ότι συνιστά έλλειψη επαρκούς προστασίας των δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα πρέπει να απαγορεύεται. Στην περίπτωση αυτή, πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών.

Τροπολογία  56

Πρόταση κανονισμού

Αιτιολογική σκέψη 83

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(83) Απουσία απόφασης περί επάρκειας της προστασίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να λάβουν μέτρα για να αντισταθμίσουν την έλλειψη προστασίας των δεδομένων σε μια τρίτη χώρα μέσω κατάλληλων εγγυήσεων για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου ή άλλων κατάλληλων και αναλογικών μέτρων τα οποία δικαιολογούνται υπό το πρίσμα όλων των συνθηκών που περιβάλλουν την πράξη διαβίβασης δεδομένων ή σειρά πράξεων διαβίβασης δεδομένων και εγκρίνονται από αρχή ελέγχου.

(83) Απουσία απόφασης περί επάρκειας της προστασίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να λάβουν μέτρα για να αντισταθμίσουν την έλλειψη προστασίας των δεδομένων σε μια τρίτη χώρα μέσω κατάλληλων εγγυήσεων για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Αυτές οι κατάλληλες εγγυήσεις θα πρέπει να εξασφαλίζουν ότι τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα τυγχάνουν εξίσου σεβασμού όπως και κατά την επεξεργασία εντός της ΕΕ, ιδιαίτερα όσον αφορά τον περιορισμό του σκοπού, το δικαίωμα στην πρόσβαση, τη διόρθωση, τη διαγραφή και την αξίωση αποζημίωσης. Οι εγγυήσεις αυτές εξασφαλίζουν ειδικότερα την τήρηση των αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα και προβλέπουν αποτελεσματικούς μηχανισμούς προσφυγής, εξασφαλίζουν την τήρηση των αρχών προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, και εξασφαλίζουν την ύπαρξη ενός υπεύθυνου προστασίας δεδομένων.

Τροπολογία  57

Πρόταση κανονισμού

Αιτιολογική σκέψη 84

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(84) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων, οι οποίες εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, δεν πρέπει να εμποδίζει τη δυνατότητα των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία να περιλαμβάνουν τις τυποποιημένες ρήτρες προστασίας των δεδομένων σε μια ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες εφόσον δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες που εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.

(84) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων, οι οποίες εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, δεν πρέπει να εμποδίζει τη δυνατότητα των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία να περιλαμβάνουν τις τυποποιημένες ρήτρες προστασίας των δεδομένων σε μια ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες ή επιπλέον εγγυήσεις εφόσον δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες που εγκρίνονται από αρχή ελέγχου, ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Οι τυποποιημένες ρήτρες προστασίας δεδομένων που ενέκρινε η Επιτροπή μπορούν να καλύπτουν διαφορετικές καταστάσεις, συγκεκριμένα τη διαβίβαση των δεδομένων από υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση προς υπεύθυνους επεξεργασίας εκτός Ένωσης και από υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση προς εκτελούντες την επεξεργασία, περιλαμβανομένων και των υπεργολάβων επεξεργασίας, εκτός της Ένωσης. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να ενθαρρύνονται να παράσχουν ακόμα πιο αυστηρές εγγυήσεις μέσω πρόσθετων συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων.

Τροπολογία  58

Πρόταση κανονισμού

Αιτιολογική σκέψη 85

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(85) Ένας όμιλος εταιρειών πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου εταιρικού ομίλου επιχειρήσεων, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν βασικές αρχές και δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

(85) Ένας όμιλος εταιρειών πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου εταιρικού ομίλου επιχειρήσεων, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και όλα τα δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

Τροπολογία  59

Πρόταση κανονισμού

Αιτιολογική σκέψη 86

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(86) Πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις στις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, στις οποίες η διαβίβαση είναι αναγκαία σε σχέση με σύμβαση ή δικαστική διαδικασία, στις οποίες σημαντικοί λόγοι δημόσιου συμφέροντος που προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο, ή στις οποίες η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή πρόσωπα τα οποία έχουν έννομο συμφέρον. Στην τελευταία αυτή περίπτωση, η εν λόγω διαβίβαση δεν πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων που περιέχονται στο μητρώο και όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πρέπει να πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν μπορούν να είναι αποδέκτες της διαβίβασης.

(86) Πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις στις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, στις οποίες η διαβίβαση είναι αναγκαία σε σχέση με σύμβαση ή δικαστική διαδικασία, στις οποίες σημαντικοί λόγοι δημόσιου συμφέροντος που προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο, ή στις οποίες η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή πρόσωπα τα οποία έχουν έννομο συμφέρον. Στην τελευταία αυτή περίπτωση, η εν λόγω διαβίβαση δεν πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων που περιέχονται στο μητρώο και όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πρέπει να πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν μπορούν να είναι αποδέκτες της διαβίβασης, λαμβάνοντας πλήρως υπόψη τα συμφέροντα και τα θεμελιώδη δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα.

Τροπολογία  60

Πρόταση κανονισμού

Αιτιολογική σκέψη 87

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(87) Οι παρεκκλίσεις αυτές πρέπει να εφαρμόζονται ειδικότερα σε αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης, ή σε αρμόδιες αρχές για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων.

(87) Οι παρεκκλίσεις αυτές πρέπει να εφαρμόζονται ειδικότερα σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή για τη δημόσια υγεία, ή σε αρμόδιες δημόσιες αρχές για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων, μεταξύ αυτών και για την πρόληψη του ξεπλύματος χρημάτων και την καταπολέμηση της χρηματοδότησης της τρομοκρατίας. Η διαβίβαση προσωπικών δεδομένων θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου προσώπου, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα για τέτοιους σημαντικούς λόγους δημόσιου συμφέροντος πρέπει να γίνεται μόνο περιστασιακά. Σε κάθε περίπτωση πρέπει να αξιολογούνται προσεκτικά όλες οι περιστάσεις της διαβίβασης.

Τροπολογία  61

Πρόταση κανονισμού

Αιτιολογική σκέψη 88

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(88) Διαβιβάσεις οι οποίες δεν είναι δυνατόν να χαρακτηρισθούν συχνές ή μαζικές ενδέχεται να επιτρέπονται επίσης για τον σκοπό των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, όταν αυτοί έχουν αξιολογήσει όλες τις συνθήκες που περιβάλλουν τη διαβίβαση των δεδομένων. Όταν η επεξεργασία αφορά ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας όσον αφορά την αύξηση της γνώσης.

Όταν η επεξεργασία αφορά ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας όσον αφορά την αύξηση της γνώσης.

Τροπολογία  62

Πρόταση κανονισμού

Αιτιολογική σκέψη 89

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(89) Σε κάθε περίπτωση, εάν η Επιτροπή δεν έλαβε καμία απόφαση σχετικά με το επαρκές επίπεδο προστασίας των δεδομένων σε μια τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να κάνουν χρήση λύσεων οι οποίες παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα την εγγύηση ότι θα συνεχίσουν να επωφελούνται των θεμελιωδών δικαιωμάτων και ελευθεριών όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων.

(89) Σε κάθε περίπτωση, εάν η Επιτροπή δεν έλαβε καμία απόφαση σχετικά με το επαρκές επίπεδο προστασίας των δεδομένων σε μια τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να κάνουν χρήση λύσεων οι οποίες παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα την νομικά δεσμευτική εγγύηση ότι θα συνεχίσουν να επωφελούνται των θεμελιωδών δικαιωμάτων και ελευθεριών όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, στον βαθμό που η επεξεργασία δεν είναι μαζική, επαναλαμβανόμενη και διαρθρωτική. Η εν λόγω εγγύηση πρέπει να συμπεριλαμβάνει χρηματική αποζημίωση σε περίπτωση απώλειας ή μη εξουσιοδοτημένης πρόσβασης ή επεξεργασίας δεδομένων, καθώς και την υποχρέωση, ανεξαρτήτως της εθνικής νομοθεσίας, να παρέχονται από τις δημόσιες αρχές της τρίτης χώρας πλήρη στοιχεία σχετικά με κάθε πρόσβαση στα δεδομένα.

Τροπολογία  63

Πρόταση κανονισμού

Αιτιολογική σκέψη 90

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(90) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομοθετικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις διαδικασίες επεξεργασίας δεδομένων φυσικών και νομικών προσώπων που τελούν υπό τη δικαιοδοσία των κρατών μελών. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Διαβιβάσεις πρέπει να επιτρέπονται μόνον εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει μεταξύ άλλων εάν η γνωστοποίηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Οι προϋποθέσεις υπό τις οποίες συντρέχει σημαντικός λόγος δημόσιου συμφέροντος πρέπει να διευκρινισθούν περαιτέρω από την Επιτροπή σε κατ’ εξουσιοδότηση πράξη.

(90) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομοθετικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις διαδικασίες επεξεργασίας δεδομένων φυσικών και νομικών προσώπων που τελούν υπό τη δικαιοδοσία των κρατών μελών. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Διαβιβάσεις πρέπει να επιτρέπονται μόνον εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει μεταξύ άλλων εάν η γνωστοποίηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Οι προϋποθέσεις υπό τις οποίες συντρέχει σημαντικός λόγος δημόσιου συμφέροντος πρέπει να διευκρινισθούν περαιτέρω από την Επιτροπή σε κατ’ εξουσιοδότηση πράξη. Σε περιπτώσεις όπου οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία έρχονται αντιμέτωποι με αντικρουόμενες απαιτήσεις συμμόρφωσης μεταξύ της δικαιοδοσίας της Ένωσης αφενός και της δικαιοδοσίας τρίτης χώρας αφετέρου, η Επιτροπή θα πρέπει να διασφαλίζει ότι πάντοτε υπερισχύει το δίκαιο της Ένωσης. Η Επιτροπή θα πρέπει να παρέχει καθοδήγηση και συνδρομή προς τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία και θα πρέπει να επιδιώκει την επίλυση της σύγκρουσης δικαιοδοσιών με την εν λόγω τρίτη χώρα.

Τροπολογία  64

Πρόταση κανονισμού

Αιτιολογική σκέψη 92

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(92) Η σύσταση αρχών ελέγχου στα κράτη μέλη οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Τα κράτη μέλη μπορούν να συστήσουν περισσότερες αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους.

(92) Η σύσταση αρχών ελέγχου στα κράτη μέλη οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Τα κράτη μέλη μπορούν να συστήσουν περισσότερες αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Κάθε αρχή διαθέτει επαρκείς χρηματοοικονομικούς και ίδιους πόρους ώστε να εκπληρώνει πλήρως τα καθήκοντά της, λαμβάνοντας υπόψη το μέγεθος του πληθυσμού και τον όγκο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.

Τροπολογία  65

Πρόταση κανονισμού

Αιτιολογική σκέψη 94

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(94) Κάθε αρχή ελέγχου πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, εγκαταστάσεις και υποδομές, οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση.

(94) Κάθε αρχή ελέγχου πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, αποδίδοντας ιδιαίτερη προσοχή στη διασφάλιση επάρκειας όσον αφορά τις τεχνικές και νομικές ικανότητες του προσωπικού, εγκαταστάσεις και υποδομές, οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση.

Τροπολογία  66

Πρόταση κανονισμού

Αιτιολογική σκέψη 95

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(95) Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται είτε από το κοινοβούλιο είτε από την κυβέρνηση του κράτους μέλους, και να περιλαμβάνουν κανόνες για τα προσωπικά προσόντα των μελών και τη θέση τους.

(95) Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται από το κοινοβούλιο ή από την κυβέρνηση του κράτους μέλους με μέριμνα για την ελαχιστοποίηση της πιθανότητας πολιτικής παρέμβασης, και να περιλαμβάνουν κανόνες για τα προσωπικά προσόντα των μελών, την αποφυγή συγκρούσεων συμφερόντων και τη θέση των μελών.

Τροπολογία  67

Πρόταση κανονισμού

Αιτιολογική σκέψη 97

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(97) Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση πραγματοποιείται σε περισσότερα κράτη μέλη, μία και μόνη αρχή ελέγχου πρέπει να είναι αρμόδια τόσο για την παρακολούθηση των δραστηριοτήτων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε ολόκληρη την Ένωση όσο και για τη λήψη των σχετικών αποφάσεων, προκειμένου να αυξάνεται η συνεκτικότητα της εφαρμογής, να παρέχεται ασφάλεια δικαίου και να μειώνεται ο διοικητικός φόρτος για τους εν λόγω υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία.

(97) Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση πραγματοποιείται σε περισσότερα κράτη μέλη, μία και μόνη αρχή ελέγχου πρέπει να λειτουργεί ως μοναδικό σημείο επικοινωνίας με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία σε ολόκληρη την Ένωση καθώς και ως προϊσταμένη αρχή επιφορτισμένη για τον έλεγχό τους και για τη λήψη των σχετικών αποφάσεων, προκειμένου να αυξάνεται η συνεκτικότητα της εφαρμογής, να παρέχεται ασφάλεια δικαίου και να μειώνεται ο διοικητικός φόρτος για τους εν λόγω υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία.

Τροπολογία  68

Πρόταση κανονισμού

Αιτιολογική σκέψη 98

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(98) Η αρμόδια αρχή, η οποία παρέχει αυτή την υπηρεσία μιας στάσης, πρέπει να είναι η αρχή ελέγχου του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν την κύρια εγκατάστασή τους.

(98) Η προϊσταμένη αρχή, η οποία παρέχει αυτή την υπηρεσία μιας στάσης, πρέπει να είναι η αρχή ελέγχου του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ο εκπρόσωπός του έχουν την κύρια εγκατάστασή τους. Σε ορισμένες περιπτώσεις, κατόπιν αιτήματος από αρμόδια αρχή, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δύναται να ορίζει την προϊσταμένη αρχή μέσω του μηχανισμού συνεκτικότητας.

Τροπολογία  69

Πρόταση κανονισμού

Αιτιολογική σκέψη 98 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(98α) Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε άλλο κράτος μέλος πρέπει να μπορούν να υποβάλουν την καταγγελία τους στην αρχή προστασίας δεδομένων της επιλογής τους. Η προϊσταμένη αρχή προστασίας των δεδομένων πρέπει να συντονίζει τις εργασίες της με αυτές των άλλων εμπλεκόμενων αρχών.

Τροπολογία  70

Πρόταση κανονισμού

Αιτιολογική σκέψη 101

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(101) Κάθε αρχή ελέγχου πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται δεδομένα και πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρχή ελέγχου οφείλει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(101) Κάθε αρχή ελέγχου πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται δεδομένα ή από ένωση που ενεργεί υπέρ του δημοσίου συμφέροντος, και πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρχή ελέγχου πρέπει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την οργάνωση για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  71

Πρόταση κανονισμού

Αιτιολογική σκέψη 105

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(105) Για τη διασφάλιση της συνεκτικής εφαρμογής του παρόντος κανονισμού σε ολόκληρη την Ένωση, πρέπει να θεσπισθεί ένας μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των αρχών ελέγχου και με την Επιτροπή. Ο μηχανισμός αυτός πρέπει να εφαρμόζεται ειδικότερα εάν μια αρχή ελέγχου προτίθεται να θεσπίσει ένα μέτρο όσον αφορά πράξεις επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή σχετίζονται με την παρακολούθηση των εν λόγω προσώπων στα οποία αναφέρονται τα δεδομένα ή οι οποίες μπορεί να επηρεάζουν ουσιαστικά την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα. Πρέπει να εφαρμόζεται επίσης εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν την εξέταση της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Ο εν λόγω μηχανισμός δεν πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.

(105) Για τη διασφάλιση της συνεκτικής εφαρμογής του παρόντος κανονισμού σε ολόκληρη την Ένωση, πρέπει να θεσπισθεί ένας μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των αρχών ελέγχου και με την Επιτροπή. Ο μηχανισμός αυτός πρέπει να εφαρμόζεται ειδικότερα εάν μια αρχή ελέγχου προτίθεται να θεσπίσει ένα μέτρο όσον αφορά πράξεις επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή σχετίζονται με την παρακολούθηση των εν λόγω προσώπων στα οποία αναφέρονται τα δεδομένα ή οι οποίες μπορεί να επηρεάζουν ουσιαστικά την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα. Πρέπει να εφαρμόζεται επίσης εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν την εξέταση της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Επιπλέον, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα να εξασφαλίζουν συνεκτικότητα εάν κρίνουν ότι ένα μέτρο μιας αρχής προστασίας δεδομένων κάποιου κράτους μέλους δεν πληροί το εν λόγω κριτήριο. Ο εν λόγω μηχανισμός δεν πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.

Τροπολογία              72

Πρόταση κανονισμού

Αιτιολογική σκέψη 106 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(106α) Για να διασφαλιστεί η συνεκτική εφαρμογή του παρόντος κανονισμού, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί, σε μεμονωμένες περιπτώσεις, να λάβει απόφαση που είναι δεσμευτική για τις αρμόδιες αρχές ελέγχου.

Τροπολογία  73

Πρόταση κανονισμού

Αιτιολογική σκέψη 107

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(107) Για τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό, η Επιτροπή μπορεί να εκδώσει γνώμη επί της υπόθεσης αυτής ή απόφαση, με την οποία αξιώνει από την αρχή ελέγχου την αναστολή του σχεδίου μέτρου.

διαγράφεται

Τροπολογία  74

Πρόταση κανονισμού

Αιτιολογική σκέψη 110

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(110) Πρέπει να συσταθεί Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων στο επίπεδο της Ένωσης, το οποίο πρέπει να αντικαταστήσει την ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Πρέπει να απαρτίζεται από τον προϊστάμενο αρχής ελέγχου κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Η Επιτροπή πρέπει να συμμετέχει στις δραστηριότητές της. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή και προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του.

(110) Πρέπει να συσταθεί Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων στο επίπεδο της Ένωσης, το οποίο πρέπει να αντικαταστήσει την ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Πρέπει να απαρτίζεται από τον προϊστάμενο αρχής ελέγχου κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στα θεσμικά όργανα της Ένωσης και προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση, συμπεριλαμβανομένου του συντονισμού των κοινών πράξεων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενισχύσει τον διάλογο με τα ενδιαφερόμενα μέρη, όπως ενώσεις προσώπων στα οποία αναφέρονται τα δεδομένα, οργανώσεις καταναλωτών, υπευθύνοι επεξεργασίας και άλλοι σχετικοί ενδιαφερόμενοι και εμπειρογνώμονες.

Τροπολογία  75

Πρόταση κανονισμού

Αιτιολογική σκέψη 111

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(111) Κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης δικαστικής προσφυγής, εάν θεωρεί ότι παραβιάζονται τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό ή εάν η αρχή ελέγχου δεν απαντά σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(111) Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης αποτελεσματικής δικαστικής προσφυγής, σύμφωνα με το άρθρο 47 του Χάρτη Θεμελιωδών Δικαιωμάτων, εάν θεωρούν ότι παραβιάζονται τα δικαιώματά τους που απορρέουν από τον παρόντα κανονισμό ή εάν η αρχή ελέγχου δεν απαντά σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  76

Πρόταση κανονισμού

Αιτιολογική σκέψη 112

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(112) Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων προσώπων στα οποία αναφέρονται δεδομένα σε σχέση με την προστασία των δεδομένων τους και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους πρέπει να δικαιούται να υποβάλλει καταγγελία σε αρχή ελέγχου ή να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό προσώπων στα οποία αναφέρονται δεδομένα ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα.

(112) Κάθε φορέας, οργανισμός ή οργάνωση που ενεργεί χάριν του δημοσίου συμφέροντος και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους, πρέπει να δικαιούται να υποβάλλει καταγγελία σε αρχή ελέγχου για λογαριασμό και με τη συγκατάθεση των προσώπων στα οποία αναφέρονται δεδομένα ή να ασκεί το δικαίωμα δικαστικής προσφυγής εάν έχει εξουσιοδοτηθεί από τα πρόσωπα αυτά ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση των διατάξεων του παρόντος κανονισμού.

Τροπολογία              77

Πρόταση κανονισμού

Αιτιολογική σκέψη 114

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(114) Για την ενίσχυση της δικαστικής προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα, σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου είναι εγκαταστημένη σε κράτος μέλος διαφορετικό από εκείνο στο οποίο διαμένει το συγκεκριμένο πρόσωπο, το πρόσωπο αυτό το τελευταίο μπορεί να ζητήσει από οποιονδήποτε φορέα, οργανισμό ή οργάνωση που αποσκοπεί στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, να κινήσει, για λογαριασμό του, διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους.

(114) Για την ενίσχυση της δικαστικής προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα, σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου είναι εγκαταστημένη σε κράτος μέλος διαφορετικό από εκείνο στο οποίο διαμένει το συγκεκριμένο πρόσωπο, το πρόσωπο αυτό μπορεί να εξουσιοδοτήσει οποιονδήποτε φορέα, οργανισμό ή οργάνωση που ενεργεί χάριν του δημοσίου συμφέροντος, να κινήσει διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους.

Τροπολογία  78

Πρόταση κανονισμού

Αιτιολογική σκέψη 115

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(115) Σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου που είναι εγκαταστημένη σε άλλο κράτος μέλος δεν ενεργεί ή λαμβάνει ανεπαρκή μέτρα σε σχέση με μια καταγγελία, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ζητεί από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα μπορεί να αποφασίζει, με την επιφύλαξη δικαστικού ελέγχου, κατά πόσον ενδείκνυται να δώσει συνέχεια στο αίτημα.

(115) Σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου που είναι εγκαταστημένη σε άλλο κράτος μέλος δεν ενεργεί ή λαμβάνει ανεπαρκή μέτρα σε σχέση με μια καταγγελία, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ζητεί από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους. Αυτό δεν ισχύει για πολίτες που διαμένουν εκτός ΕΕ. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα μπορεί να αποφασίζει, με την επιφύλαξη δικαστικού ελέγχου, κατά πόσον ενδείκνυται να δώσει συνέχεια στο αίτημα.

Τροπολογία              79

Πρόταση κανονισμού

Αιτιολογική σκέψη 116

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(116) Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο ενάγων πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την αγωγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαθέτει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή η οποία ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.

(116) Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο ενάγων πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την αγωγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή, ο εκτελών την επεξεργασία διαθέτει εγκατάσταση ή, στην περίπτωση συνήθους διαμονής στην ΕΕ, στο κράτος μέλος στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή της Ένωσης ή κράτους μέλους η οποία ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.

Τροπολογία  80

Πρόταση κανονισμού

Αιτιολογική σκέψη 118

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(118) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως δε εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας.

(118) Κάθε ζημία, είτε χρηματική είτε όχι, την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης μόνο εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας.

Τροπολογία  81

Πρόταση κανονισμού

Αιτιολογική σκέψη 119

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(119) Πρέπει να επιβάλλονται ποινές σε κάθε πρόσωπο, ιδιωτικού ή δημόσιου δικαίου το οποίο δεν συμμορφώνεται προς τον παρόντα κανονισμό. Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι ποινές είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και πρέπει να λαμβάνουν κάθε μέτρο για την επιβολή των ποινών.

(119) Πρέπει να επιβάλλονται ποινές σε κάθε πρόσωπο, ιδιωτικού ή δημόσιου δικαίου το οποίο δεν συμμορφώνεται προς τον παρόντα κανονισμό. Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι ποινές είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και πρέπει να λαμβάνουν κάθε μέτρο για την επιβολή των ποινών. Οι κανόνες για την επιβολή κυρώσεων πρέπει να υπόκεινται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του δικαίου της Ένωσης και του Χάρτη Θεμελιωδών Δικαιωμάτων, συμπεριλαμβανομένων των εγγυήσεων που αφορούν το δικαίωμα στην αποτελεσματική άσκηση ενδίκων μέσων, την τήρηση ορθής διαδικασίας και την τήρηση της αρχής «ne bis in idem».

Τροπολογία  82

Πρόταση κανονισμού

Αιτιολογική σκέψη 119 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(119α) Κατά την εφαρμογή των κυρώσεων, τα κράτη μέλη σέβονται απόλυτα τις δέουσες δικονομικές εγγυήσεις, συμπεριλαμβανομένων αυτών που αφορούν το δικαίωμα στην αποτελεσματική άσκηση ενδίκων μέσων, την τήρηση ορθής διαδικασίας και την τήρηση της αρχής «ne bis in idem».

Τροπολογία  83

Πρόταση κανονισμού

Αιτιολογική σκέψη 121

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(121) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς, ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, πρέπει να πληροί τις προϋποθέσεις της εξαίρεσης από τις απαιτήσεις ορισμένων διατάξεων του παρόντος κανονισμού για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και, ειδικότερα, με το δικαίωμα λήψης ή μετάδοσης πληροφοριών, όπως διασφαλίζεται ειδικότερα στο άρθρο 11 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Αυτό πρέπει να ισχύει ειδικότερα στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες Τύπου. Επομένως, τα κράτη μέλη πρέπει να θεσπίσουν νομοθετικά μέτρα τα οποία πρέπει να προβλέπουν εξαιρέσεις και παρεκκλίσεις οι οποίες είναι αναγκαίες για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Οι εν λόγω εξαιρέσεις και παρεκκλίσεις πρέπει να θεσπίζονται από τα κράτη μέλη σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες αρχές ελέγχου και τη συνεργασία και τη συνεκτικότητα. Ωστόσο, αυτό δεν πρέπει να οδηγήσει τα κράτη μέλη να θεσπίσουν εξαιρέσεις από τις λοιπές διατάξεις του παρόντος κανονισμού. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται ευρέως οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία. Επομένως, τα κράτη μέλη πρέπει να ταξινομούν δραστηριότητες ως «δημοσιογραφικές» για τον σκοπό των εξαιρέσεων και των παρεκκλίσεων που πρόκειται να θεσπισθούν βάσει του παρόντος κανονισμού, εάν αντικείμενο των εν λόγω δραστηριοτήτων είναι η γνωστοποίηση στο κοινό πληροφοριών, γνωμών ή ιδεών, ανεξάρτητα από το μέσο που χρησιμοποιείται για τη μετάδοσή τους. Οι δραστηριότητες δεν πρέπει να περιορίζονται στις επιχειρήσεις μέσων ενημέρωσης και μπορούν να πραγματοποιούνται για κερδοσκοπικούς ή μη κερδοσκοπικούς σκοπούς.

(121) Όπου κρίνεται αναγκαίο, πρέπει να παρέχεται η δυνατότητα εξαιρέσεων ή παρεκκλίσεων από τις απαιτήσεις ορισμένων διατάξεων του παρόντος κανονισμού σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και, ειδικότερα, με το δικαίωμα λήψης ή μετάδοσης πληροφοριών, όπως διασφαλίζεται ειδικότερα στο άρθρο 11 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Επομένως, τα κράτη μέλη πρέπει να θεσπίσουν νομοθετικά μέτρα τα οποία πρέπει να προβλέπουν εξαιρέσεις και παρεκκλίσεις οι οποίες είναι αναγκαίες για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Οι εν λόγω εξαιρέσεις και παρεκκλίσεις πρέπει να θεσπίζονται από τα κράτη μέλη σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες αρχές ελέγχου, τη συνεργασία και τη συνεκτικότητα και σχετικά με τις συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων. Ωστόσο, αυτό δεν πρέπει να οδηγήσει τα κράτη μέλη να θεσπίσουν εξαιρέσεις από τις λοιπές διατάξεις του παρόντος κανονισμού. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται ευρέως οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, ώστε να καλύπτουν όλες τις δραστηριότητες που αποσκοπούν στην η γνωστοποίηση στο κοινό πληροφοριών, γνωμών ή ιδεών, ανεξάρτητα από το μέσο που χρησιμοποιείται για τη μετάδοσή τους, λαμβάνοντας συγχρόνως υπόψη τις τεχνολογικές εξελίξεις. Οι δραστηριότητες δεν πρέπει να περιορίζονται στις επιχειρήσεις μέσων ενημέρωσης και μπορούν να πραγματοποιούνται για κερδοσκοπικούς ή μη κερδοσκοπικούς σκοπούς.

Τροπολογία  84

Πρόταση κανονισμού

Αιτιολογική σκέψη 122 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(122α) Ένα πρόσωπο το οποίο επεξεργάζεται κατ' επάγγελμα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να λαμβάνει, ει δυνατόν, ανωνυμοποιημένα δεδομένα ή ψευδωνυμοποιημένα δεδομένα, ούτως ώστε μόνο ο γενικός ιατρός ή ο ειδικός που έχει ζητήσει την επεξεργασία των εν λόγω δεδομένων να γνωρίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  85

Πρόταση κανονισμού

Αιτιολογική σκέψη 123

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(123) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Στο πλαίσιο αυτό, η «δημόσια υγεία» πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 16ης Δεκεμβρίου 2008 σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία, δηλαδή ως όλα τα στοιχεία που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, συμπεριλαμβανομένης της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται στην υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Η επεξεργασία προσωπικών δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία προσωπικών δεδομένων για άλλους σκοπούς από τρίτους, όπως εργοδότες, ασφαλιστικές εταιρείες και τράπεζες.

(123) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Στο πλαίσιο αυτό, η «δημόσια υγεία» πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1, δηλαδή ως όλα τα στοιχεία που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, συμπεριλαμβανομένης της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται στην υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας.

 

1 Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (ΕΕ L 354, 31.12.2008, σ. 70).

Τροπολογία  86

Πρόταση κανονισμού

Αιτιολογική σκέψη 123 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(123α) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, ως ειδική κατηγορία δεδομένων, ενδέχεται να είναι απαραίτητη για λόγους ιστορικής, στατιστικής ή επιστημονικής έρευνας. Ως εκ τούτου, ο παρών κανονισμός προβλέπει εξαιρέσεις όσον αφορά την απαίτηση παροχής συγκατάθεσης στις περιπτώσεις όπου η έρευνα εξυπηρετεί υψηλά δημόσια συμφέροντα.

Τροπολογία  87

Πρόταση κανονισμού

Αιτιολογική σκέψη 124

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(124) Οι γενικές αρχές για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να εφαρμόζονται επίσης στο πλαίσιο της απασχόλησης. Επομένως, για τη ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, τα κράτη μέλη πρέπει να μπορούν, εντός των ορίων του παρόντος κανονισμού, να θεσπίζουν διά νόμου ειδικούς κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης.

(124) Οι γενικές αρχές για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να εφαρμόζονται επίσης στο πλαίσιο της απασχόλησης και της κοινωνικής ασφάλισης. Τα κράτη μέλη πρέπει να μπορούν να προβαίνουν σε ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης και της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της κοινωνικής ασφάλισης, σύμφωνα με τους κανόνες και τα ελάχιστα πρότυπα που ορίζονται στον παρόντα κανονισμό. Εφόσον σε ένα κράτος μέλος υπάρχει νομική βάση που ρυθμίζει υποθέσεις εργασιακών σχέσεων μέσω συμφωνίας μεταξύ των εκπροσώπων των εργαζομένων και της διοικήσεως της επιχείρησης ή της ελέγχουσας επιχείρησης ενός ομίλου επιχειρήσεων (συλλογική σύμβαση), ή με βάση την οδηγία 2009/38/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1, η επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης μπορεί να ρυθμίζεται και μέσω μιας τέτοιας συμφωνίας.

 

1 Οδηγία 2009/38/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Μαΐου 2009, για τη θέσπιση ευρωπαϊκού συμβουλίου εργαζομένων ή διαδικασίας σε επιχειρήσεις και ομίλους επιχειρήσεων κοινοτικής κλίμακας με σκοπό να ενημερώνονται οι εργαζόμενοι και να ζητείται η γνώμη τους (ΕΕ L 122, 16.5.2009, σ. 28).

Τροπολογία  88

Πρόταση κανονισμού

Αιτιολογική σκέψη 125 α (νέα)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

(125α) Τα δεδομένα προσωπικού χαρακτήρα μπορούν επίσης να υποβληθούν σε περαιτέρω επεξεργασία από τις υπηρεσίες αρχείων, οι οποίες έχουν ως κύριο καθήκον ή νομική υποχρέωση τη συλλογή, την αποθήκευση, την ταξινόμηση, την κοινοποίηση, την αξιοποίηση και τη διάδοση αρχείων για το δημόσιο συμφέρον. Η νομοθεσία των κρατών μελών πρέπει να ευθυγραμμίζει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τις νομοθετικές ρυθμίσεις για τα αρχεία και για την πρόσβαση των πολιτών σε διοικητικές πληροφορίες. Τα κράτη μέλη ενθαρρύνουν την κατάρτιση, ιδίως από την Ευρωπαϊκή Ομάδα Αρχείων, σχεδίου κανόνων που θα εξασφαλίζουν το απόρρητο των δεδομένων έναντι τρίτων καθώς και τη γνησιότητα, την αρτιότητα και την καλή διατήρηση των δεδομένων.

Τροπολογία              89

Πρόταση κανονισμού

Αιτιολογική σκέψη 126

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(126) Για τους σκοπούς του παρόντος κανονισμού, η επιστημονική έρευνα πρέπει να περιλαμβάνει βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα και, επιπλέον, να λαμβάνει υπόψη τον στόχο της Ένωσης βάσει του άρθρου 179 παράγραφος 1 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης για την επίτευξη ενός Ευρωπαϊκού Χώρου Έρευνας.

(126) Για τους σκοπούς του παρόντος κανονισμού, η επιστημονική έρευνα πρέπει να περιλαμβάνει βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα και, επιπλέον, να λαμβάνει υπόψη τον στόχο της Ένωσης βάσει του άρθρου 179 παράγραφος 1 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης για την επίτευξη ενός Ευρωπαϊκού Χώρου Έρευνας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς ή επιστημονικούς σκοπούς καθώς και για σκοπούς επιστημονικής έρευνας δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς, εκτός εάν το υποκείμενο των δεδομένων παρέχει τη συγκατάθεσή του ή η επεξεργασία διενεργείται βάσει του ενωσιακού δικαίου ή του δικαίου ενός κράτους μέλους.

Τροπολογία  90

Πρόταση κανονισμού

Αιτιολογική σκέψη 128

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(128) Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το εθνικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ως εκ τούτου, εάν μια εκκλησία σε ένα κράτος μέλος εφαρμόζει, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένο σύστημα κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι συγκεκριμένοι ισχύοντες κανόνες πρέπει να συνεχίσουν να εφαρμόζονται εφόσον εναρμονισθούν με τον παρόντα κανονισμό. Οι εν λόγω εκκλησίες και οι θρησκευτικές ενώσεις πρέπει να υποχρεούνται να προβλέπουν την ίδρυση μιας πλήρως ανεξάρτητης αρχής ελέγχου.

(128) Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το εθνικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ως εκ τούτου, εάν μια εκκλησία σε ένα κράτος μέλος εφαρμόζει, κατά την έναρξη ισχύος του παρόντος κανονισμού, κατάλληλους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι συγκεκριμένοι ισχύοντες κανόνες πρέπει να συνεχίσουν να εφαρμόζονται εφόσον εναρμονισθούν με τον παρόντα κανονισμό και αναγνωριστεί η συμβατότητά τους με αυτόν.

Τροπολογία  91

Πρόταση κανονισμού

Αιτιολογική σκέψη 129

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(129) Για την εκπλήρωση των στόχων του παρόντος κανονισμού, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, κατ’ εξουσιοδότηση πράξεις πρέπει να εκδοθούν σε σχέση με τη νομιμότητα της επεξεργασίας· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων σε σχέση με τη συγκατάθεση παιδιού· την επεξεργασία ειδικών κατηγοριών δεδομένων· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τις αμοιβές για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πληροφορίες που παρέχονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε σχέση με το δικαίωμα πρόσβασης· το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» και το δικαίωμα διαγραφής· τα μέτρα που βασίζονται στην κατάρτιση προφίλ· τα κριτήρια και τις απαιτήσεις σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας και με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού· τον εκτελούντα την επεξεργασία· τα κριτήρια και τις απαιτήσεις για την τεκμηρίωση και την ασφάλεια της επεξεργασίας· τα κριτήρια και τις απαιτήσεις για τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα και για την κοινοποίησή της στην αρχή ελέγχου και των περιπτώσεων στις οποίες παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να έχει δυσμενείς συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πράξεις που απαιτούν εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων· τα κριτήρια και τις απαιτήσεις για τον καθορισμό υψηλού βαθμού συγκεκριμένων κινδύνων οι οποίοι απαιτούν προηγούμενη διαβούλευση· τον ορισμό και τα καθήκοντα του υπευθύνου προστασίας δεδομένων· τους κώδικες δεοντολογίας· τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης· τα κριτήρια και τις απαιτήσεις για τις διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων· τις παρεκκλίσεις όσον αφορά τις διαβιβάσεις· τις διοικητικές κυρώσεις· την επεξεργασία για σκοπούς υγείας· την επεξεργασία στο πλαίσιο της απασχόλησης και την επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας. Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιήσει κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων. Κατά την επεξεργασία και την κατάρτιση κατ’ εξουσιοδότηση πράξεων, η Επιτροπή πρέπει να εξασφαλίζει ταυτόχρονη, έγκαιρη και δέουσα διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

(129) Για την εκπλήρωση των στόχων του παρόντος κανονισμού, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, κατ’ εξουσιοδότηση πράξεις πρέπει να εκδοθούν σε σχέση με τον προσδιορισμό των προϋποθέσεων για την παροχή πληροφοριών με τη μορφή εικονιδίων· το δικαίωμα διαγραφής των φυσικών προσώπων· τη δήλωση ότι οι κώδικες δεοντολογίας είναι συμβατοί με τον παρόντα κανονισμό· τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα ή ένας διεθνής οργανισμός· τα κριτήρια και τις απαιτήσεις για τις διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων· τις διοικητικές κυρώσεις· την επεξεργασία για για σκοπούς υγείας και την επεξεργασία στο πλαίσιο της απασχόλησης· Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιήσει κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων, και ειδικότερα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Η Επιτροπή, κατά την προετοιμασία και κατάρτιση των κατ’ εξουσιοδότηση πράξεων, θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

Τροπολογία  92

Πρόταση κανονισμού

Αιτιολογική σκέψη 130

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(130) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων στην εφαρμογή του παρόντος κανονισμού πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων διαδικασιών και εντύπων για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης· και το δικαίωμα φορητότητας των δεδομένων· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση· των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας· του τυποποιημένου μορφοτύπου και των διαδικασιών για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των προτύπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των προτύπων και των διαδικασιών για την προηγούμενη έγκριση και την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επιπέδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινολογήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξεων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας. Οι αρμοδιότητες αυτές πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή. Στο πλαίσιο αυτό, η Επιτροπή πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

(130) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων στην εφαρμογή του παρόντος κανονισμού πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων για ειδικές μεθόδους για την εξασφάλιση επαληθεύσιμης συγκατάθεσης σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων εντύπων για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με την άσκηση των δικαιωμάτων τους· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με το δικαίωμα πρόσβασης καθώς και με το δικαίωμα γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με την τεκμηρίωση που διατηρεί ο υπευθύνος επεξεργασίας ή ο εκτελών την επεξεργασία· του τυποποιημένου εντύπου για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την τεκμηρίωση παραβίασης δεδομένων προσωπικού χαρακτήρα· εντύπων για την προηγούμενη διαβούλευση και ενημέρωση της αρχής ελέγχου. Οι αρμοδιότητες αυτές πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1. Στο πλαίσιο αυτό, η Επιτροπή πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

 

1 Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 16ης Φεβρουαρίου 2011 για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή. Στο πλαίσιο αυτό, η Επιτροπή πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

Τροπολογία  93

Πρόταση κανονισμού

Αιτιολογική σκέψη 131

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(131) Η διαδικασία εξέτασης πρέπει να χρησιμοποιείται για τον προσδιορισμό τυποποιημένων εντύπων σε σχέση με τη συγκατάθεση παιδιού· τυποποιημένων διαδικασιών και εντύπων για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας των δεδομένων· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση· των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας· του τυποποιημένου μορφοτύπου και των διαδικασιών για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των προτύπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των προτύπων και των διαδικασιών για την προηγούμενη έγκριση και την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επιπέδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινολογήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξεων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής.

(131) Η διαδικασία εξέτασης πρέπει να χρησιμοποιείται για τον προσδιορισμό τυποποιημένων εντύπων: όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων για ειδικές μεθόδους για την εξασφάλιση επαληθεύσιμης συγκατάθεσης σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων εντύπων για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με την άσκηση των δικαιωμάτων τους· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με το δικαίωμα πρόσβασης καθώς και με το δικαίωμα γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με την τεκμηρίωση που διατηρεί ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία· του τυποποιημένου εντύπου για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την τεκμηρίωση παραβίασης δεδομένων προσωπικού χαρακτήρα· των εντύπων για την προηγούμενη διαβούλευση και ενημέρωση της αρχής ελέγχου, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής.

Τροπολογία  94

Πρόταση κανονισμού

Αιτιολογική σκέψη 132

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(132) Η Επιτροπή πρέπει να εγκρίνει αμέσως εφαρμοστέες εκτελεστικές πράξεις όταν, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, ή έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό που δεν διασφαλίζουν επαρκές επίπεδο προστασίας και αφορούν θέματα που κοινοποιούνται από αρχές ελέγχου στο πλαίσιο του μηχανισμού συνεκτικότητας, το απαιτούν επιτακτικοί λόγοι επείγοντος.

διαγράφεται

Τροπολογία              95

Πρόταση κανονισμού

Αιτιολογική σκέψη 134

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

(134) Η οδηγία 95/46/ΕΚ πρέπει να καταργηθεί με τον παρόντα κανονισμό. Ωστόσο, οι αποφάσεις της Επιτροπής και οι εγκρίσεις αρχών ελέγχου που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ πρέπει να παραμείνουν σε ισχύ.

(134) Η οδηγία 95/46/ΕΚ πρέπει να καταργηθεί με τον παρόντα κανονισμό. Ωστόσο, οι αποφάσεις της Επιτροπής και οι εγκρίσεις αρχών ελέγχου που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ πρέπει να παραμείνουν σε ισχύ. Οι αποφάσεις της Επιτροπής και οι άδειες των αρχών ελέγχου που αφορούν διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με το άρθρο 41 παράγραφος 8 πρέπει να παραμείνουν σε ισχύ για μια μεταβατική περίοδο πέντε ετών μετά την έναρξη ισχύος του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή πριν από τη λήξη της εν λόγω περιόδου.

Τροπολογία  96

Πρόταση κανονισμού

Άρθρο 2

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Πεδίο εφαρμογής

Πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως της μεθόδου επεξεργασίας, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια·

α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης·

β) από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης·

 

γ) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κεφαλαίου 2 της συνθήκης για την Ευρωπαϊκή Ένωση·

γ) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κεφαλαίου 2 του τίτλου V της συνθήκης για την Ευρωπαϊκή Ένωση·

δ) από φυσικό πρόσωπο χωρίς οποιοδήποτε κερδοσκοπικό συμφέρον στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας·

δ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων. Η εξαίρεση αυτή ισχύει επίσης για τη δημοσίευση δεδομένων προσωπικού χαρακτήρα όταν μπορεί εύλογα να αναμένεται ότι η δυνατότητα πρόσβασης παρέχεται μόνο σε έναν περιορισμένο αριθμό προσώπων·

ε) από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

ε) από αρμόδιες δημόσιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

3. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως δε τους κανόνες για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

3. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως δε τους κανόνες για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Τροπολογία  97

Πρόταση κανονισμού

Άρθρο 3

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Γεωγραφικό πεδίο εφαρμογής

Γεωγραφικό πεδίο εφαρμογής

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση.

1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, είτε η επεξεργασία λαμβάνει χώρα στην Ένωση είτε όχι.

2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με

2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση· ή

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση, ασχέτως αν απαιτείται πληρωμή από τα πρόσωπα αυτά, ή

β) την παρακολούθηση της συμπεριφοράς τους.

β) την παρακολούθηση των προσώπων στα οποία αναφέρονται τα δεδομένα.

3. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το εθνικό δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

3. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το εθνικό δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

Τροπολογία  98

Πρόταση κανονισμού

Άρθρο 4

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Ορισμοί

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, νοούνται ως:

Για τους σκοπούς του παρόντος κανονισμού, νοούνται ως:

(1) «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, με μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή από οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, ιδίως βάσει αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόσταση του συγκεκριμένου προσώπου από φυσική, βιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·

 

(2) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο·

(2) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί («πρόσωπο στο οποίο αναφέρονται τα δεδομένα»)· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί θεωρείται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε προσδιοριστικό στοιχείο όπως όνομα, αριθμός ταυτότητας, δεδομένα χώρου, μοναδικό αναγνωριστικό ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την ταυτότητα του προσώπου αυτού από άποψη φυσική, βιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ή από την άποψη του φύλου·

 

(2α) «ψευδώνυμα δεδομένα»: τα προσωπικά δεδομένα τα οποία δεν μπορούν να αποδοθούν σε ένα συγκεκριμένο πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς τη χρήση πρόσθετων πληροφοριών, εφόσον οι πρόσθετες αυτές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για την να διασφαλιστεί ότι δεν μπορούν να αποδοθούν·

 

(2β) «κρυπτογραφημένα δεδομένα»: προσωπικά δεδομένα που, μέσω τεχνολογικών μέτρων προστασίας, καθίστανται ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά·

(3) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, η διαγραφή ή η καταστροφή·

(3) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, η διαγραφή ή η καταστροφή·

 

(3α) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο ή στην ανάλυση ή πρόβλεψη, ιδίως των εργασιακών επιδόσεων, της οικονομικής κατάστασης, του τόπου διαμονής, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του εν λόγω φυσικού προσώπου·

(4) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

(4) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

(5) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους, τις προϋποθέσεις και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι, οι προϋποθέσεις και ο τρόπος της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

(5) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι και ο τρόπος επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

(6) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

(6) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

(7) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

(7) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

 

(7α) «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας, με εξαίρεση το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος της επεξεργασίας, ο εκτελών την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα·

(8) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα»: κάθε δήλωση βουλήσεως, ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·

(8) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα»: κάθε δήλωση βουλήσεως, ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·

(9) «παραβίαση προσωπικών δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

(9) «παραβίαση προσωπικών δεδομένων»: η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

(10) «γενετικά δεδομένα»: όλα τα δεδομένα, οποιουδήποτε τύπου, τα οποία αφορούν τα χαρακτηριστικά φυσικού προσώπου που κληρονομούνται ή αποκτώνται κατά την αρχική προγεννητική ανάπτυξη·

(10) «γενετικά δεδομένα»: όλα τα προσωπικά δεδομένα που σχετίζονται με τα γενετικά χαρακτηριστικά φυσικού προσώπου, τα οποία κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν από ανάλυση βιολογικού δείγματος του εν λόγω προσώπου, ιδίως μέσω χρωμοσωμικής ανάλυσης, ανάλυσης δεσοξυριβοζονουκλεϊνικού οξέος (DNA) ή ριβονουκλεϊκού οξέος (RNA) ή ανάλυσης οποιουδήποτε άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών·

(11) «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα σχετίζονται με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

(11) «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα προσωπικού χαρακτήρα σχετίζονται με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

(12) «δεδομένα που αφορούν την υγεία»: κάθε πληροφορία που σχετίζεται με τη σωματική ή ψυχική υγεία ενός προσώπου ή με την παροχή υγειονομικής περίθαλψης στο φυσικό πρόσωπο·

(12) «δεδομένα που αφορούν την υγεία»: οιαδήποτε δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός προσώπου ή με την παροχή υγειονομικής περίθαλψης στο φυσικό πρόσωπο·

(13) «κύρια εγκατάσταση»: όσον αφορά τον υπεύθυνο επεξεργασίας, ο τόπος της εγκατάστασής του στην Ένωση όπου λαμβάνονται οι βασικές αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα εάν δεν λαμβάνονται αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, κύρια εγκατάσταση είναι ο τόπος στον οποίο εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων υπευθύνου επεξεργασίας σε εγκατάσταση στην Ένωση. Όσον αφορά τον εκτελούντα την επεξεργασία, «κύρια εγκατάσταση» είναι ο τόπος της κεντρικής διοίκησής του στην Ένωση·

(13) «κύρια εγκατάσταση»: ο τόπος της εγκατάστασης της επιχείρησης ή του ομίλου επιχειρήσεων στην Ένωση, είτε πρόκειται για υπεύθυνο επεξεργασίας είτε για εκτελούντα την επεξεργασία, όπου λαμβάνονται οι βασικές αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Μεταξύ άλλων μπορούν να λαμβάνονται υπόψη τα ακόλουθα αντικειμενικά κριτήρια: η έδρα του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία· ο τόπος της οντότητας του ομίλου επιχειρήσεων η οποία βρίσκεται στην καταλληλότερη θέση από άποψη διοικητικών καθηκόντων και διαχειριστικών αρμοδιοτήτων για να ασχοληθεί και να επιβάλει τους κανόνες που ορίζονται στον παρόντα κανονισμό· ο τόπος όπου ασκούνται ουσιαστικές και πραγματικές διοικητικές δραστηριότητες οι οποίες καθορίζουν την επεξεργασία δεδομένων μέσω σταθερών ρυθμίσεων.

(14) «εκπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκαταστημένο στην Ένωση, το οποίο ορίζεται ρητώς από τον υπεύθυνο επεξεργασίας και ενεργεί αντί του υπευθύνου επεξεργασίας, και στο οποίο μπορούν να απευθυνθούν κάθε αρχή ελέγχου και άλλοι φορείς στην Ένωση αντί του υπευθύνου επεξεργασίας, σε σχέση με τις υποχρεώσεις του υπευθύνου επεξεργασίας οι οποίες απορρέουν από τον παρόντα κανονισμό·

(14) «εκπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκαταστημένο στην Ένωση, το οποίο ορίζεται ρητώς από τον υπεύθυνο επεξεργασίας και εκπροσωπεί τον υπεύθυνο επεξεργασίας, σε σχέση με τις υποχρεώσεις του υπευθύνου επεξεργασίας οι οποίες απορρέουν από τον παρόντα κανονισμό·

(15) «επιχείρηση»: κάθε οντότητα η οποία ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τον νομικό της τύπο, συμπεριλαμβανομένων, κυρίως, των φυσικών και νομικών προσώπων, των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·

(15) «επιχείρηση»: κάθε οντότητα η οποία ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τον νομικό της τύπο, συμπεριλαμβανομένων, κυρίως, των φυσικών και νομικών προσώπων, των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·

(16) «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·

(16) «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·

(17) «δεσμευτικοί εταιρικοί κανόνες»: εσωτερικοί κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα τους οποίους εφαρμόζει ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία εγκαταστημένος στο έδαφος κράτους μέλους της Ένωσης για διαβιβάσεις ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός του ομίλου επιχειρήσεων·

(17) «δεσμευτικοί εταιρικοί κανόνες»: εσωτερικοί κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα τους οποίους εφαρμόζει ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία εγκαταστημένος στο έδαφος κράτους μέλους της Ένωσης για διαβιβάσεις ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός του ομίλου επιχειρήσεων·

(18) «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

(18) «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

(19) «αρχή ελέγχου»: δημόσια αρχή την οποία συστήνει ένα κράτος μέλος σύμφωνα με το άρθρο 46.

(19) «αρχή ελέγχου»: δημόσια αρχή την οποία συστήνει ένα κράτος μέλος σύμφωνα με το άρθρο 46.

Τροπολογία  99

Πρόταση κανονισμού

Άρθρο 5

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

1. Τα προσωπικά δεδομένα πρέπει:

1. Τα δεδομένα προσωπικού χαρακτήρα:

α) να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα·

α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (νομιμότητα, αντικειμενικότητα και διαφάνεια)·

β) να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς·

β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς (περιορισμός σκοπού)·

γ) να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· υποβάλλονται σε επεξεργασία μόνον εάν και εφόσον οι σκοποί δεν μπορούν να επιτευχθούν μέσω επεξεργασίας πληροφοριών οι οποίες δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα·

γ) να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· υποβάλλονται σε επεξεργασία μόνον εάν και εφόσον οι σκοποί δεν μπορούν να επιτευχθούν μέσω επεξεργασίας πληροφοριών οι οποίες δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα (ελαχιστοποίηση δεδομένων)·

δ) να είναι ακριβή και να ενημερώνονται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση·

δ) είναι ακριβή και, όταν είναι αναγκαίο, ενημερώνονται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση (ακρίβεια)·

ε) να διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα αυτά υποβάλλονται σε επεξεργασία· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερο χρονικό διάστημα, εφόσον θα υποβληθούν σε επεξεργασία μόνον για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας σύμφωνα με τους κανόνες και τις προϋποθέσεις που προβλέπονται στο άρθρο 83 και εφόσον διενεργείται περιοδική επανεξέταση για να αξιολογηθεί η αναγκαιότητα συνέχισης της αποθήκευσης·

ε) διατηρούνται υπό μορφή που επιτρέπει τον άμεσο ή έμμεσο προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα αυτά υποβάλλονται σε επεξεργασία· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερο χρονικό διάστημα, εφόσον θα υποβληθούν σε επεξεργασία μόνον για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας ή για σκοπούς αρχειοθέτησης σύμφωνα με τους κανόνες και τις προϋποθέσεις που προβλέπονται στα άρθρα 83 και 83α και εφόσον διενεργείται περιοδική επανεξέταση για να αξιολογηθεί η αναγκαιότητα συνέχισης της αποθήκευσης, και, κατά περίπτωση, εφαρμόζονται τεχνικά και οργανωτικά μέτρα για τον περιορισμό της πρόσβασης στα δεδομένα μόνο για τους σκοπούς αυτούς (ελαχιστοποίηση της αποθήκευσης)·

 

εα) υποβάλλονται σε τέτοιου είδους επεξεργασία ώστε να δίνεται ουσιαστικά στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα η δυνατότητα να ασκεί τα δικαιώματά του (αποτελεσματικότητα)·

 

εβ) υποβάλλονται σε τέτοιου είδους επεξεργασία ώστε να προστατεύονται από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (ακεραιότητα)·

στ) να υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει και αποδεικνύει για κάθε πράξη επεξεργασίας τη συμμόρφωση προς τις διατάξεις του παρόντος κανονισμού.

στ) υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει και είναι σε θέση να αποδεικνύει τη συμμόρφωση προς τις διατάξεις του παρόντος κανονισμού (λογοδοσία).

Τροπολογία              100

Πρόταση κανονισμού

Άρθρο 6

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Νομιμότητα της επεξεργασίας

Νομιμότητα της επεξεργασίας

1. Η επεξεργασία προσωπικών δεδομένων είναι σύννομη μόνον εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

1. Η επεξεργασία προσωπικών δεδομένων είναι σύννομη μόνον εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε συγκατάθεση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για έναν ή περισσότερους ειδικούς σκοπούς·

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε συγκατάθεση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για έναν ή περισσότερους ειδικούς σκοπούς·

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του·

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του·

γ) η επεξεργασία είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας·

γ) η η επεξεργασία είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας·

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα·

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα·

ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος δημόσιου συμφέροντος ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας·

ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος δημόσιου συμφέροντος ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας·

στ) η επεξεργασία είναι απαραίτητη για την επίτευξη του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας, υπό τον όρο ότι δεν προέχουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας, ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί. Αυτό δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

στ) η επεξεργασία είναι απαραίτητη για την επίτευξη του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας, ή, σε περίπτωση κοινοποίησης των δεδομένων, ο τρίτος στον οποίο διαβιβάζονται αυτά, και ο οποίος ανταποκρίνεται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας, υπό τον όρο ότι δεν προέχουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας. Αυτό δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας είναι σύννομη με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83.

2. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας είναι σύννομη με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83.

3. Η βάση της επεξεργασίας που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) πρέπει να προβλέπεται:

3. Η βάση της επεξεργασίας που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) πρέπει να προβλέπεται:

α) στο δίκαιο της Ένωσης, ή

α) στο δίκαιο της Ένωσης, ή

β) στη νομοθεσία του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

β) στη νομοθεσία του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

Η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος ή να είναι αναγκαία για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο.

Η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος ή να είναι αναγκαία για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο. Εντός των ορίων του παρόντος κανονισμού, η νομοθεσία των κρατών μελλών πρέπει να παρέχει στοιχεία που θα προσδιορίζουν τη νομιμότητα της επεξεργασίας, ιδίως σε σχέση με τους υπεύθυνους επεξεργασίας, τον σκοπό της επεξεργασίας και τον περιορισμό του σκοπού, τη φύση των δεδομένων και τα πρόσωπα στα οποία αυτά αναφέρονται, τα μέτρα και τις διαδικασίες επεξεργασίας, τους αποδέκτες, καθώς και τη διάρκεια της αποθήκευσης.

4. Εάν ο σκοπός της περαιτέρω επεξεργασίας δεν είναι συμβατός με εκείνον για τον οποίο συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, η επεξεργασία πρέπει να βασίζεται τουλάχιστον σε έναν από τους λόγους που αναφέρονται στην παράγραφο 1 στοιχεία α) έως ε). Αυτό ισχύει ειδικότερα σε οποιαδήποτε αλλαγή όρων και γενικών προϋποθέσεων μιας σύμβασης.

 

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των προϋποθέσεων που αναφέρονται στην παράγραφο 1 στοιχείο στ) σε διάφορους τομείς και καταστάσεις επεξεργασίας, μεταξύ άλλων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά.

 

Τροπολογία  101

Πρόταση κανονισμού

Άρθρο 7

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Προϋποθέσεις συγκατάθεσης

Προϋποθέσεις συγκατάθεσης

1. Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης όσον αφορά την παροχή της συγκατάθεσης του προσώπου στο οποίο αναφέρονται τα δεδομένα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για συγκεκριμένους σκοπούς.

1. Εάν η επεξεργασία διενεργείται κατόπιν συγκατάθεσης, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης όσον αφορά την παροχή της συγκατάθεσης του προσώπου στο οποίο αναφέρονται τα δεδομένα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για συγκεκριμένους σκοπούς.

2. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα παρέχεται στο πλαίσιο έγγραφης δήλωσης η οποία αφορά και άλλο θέμα, η απαίτηση παροχής συγκατάθεσης πρέπει να είναι διακριτή σε σχέση με το εν λόγω άλλο θέμα.

2. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα παρέχεται στο πλαίσιο έγγραφης δήλωσης η οποία αφορά και άλλο θέμα, η απαίτηση παροχής συγκατάθεσης πρέπει να είναι σαφώς διακριτή σε σχέση με το εν λόγω άλλο θέμα. Διατάξεις σχετικά με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα οι οποίες συνιστούν μερική παραβίαση του παρόντος κανονισμού είναι πλήρως άκυρες.

3. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή. Η απόσυρση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίσθηκε στη συγκατάθεση προ της απόσυρσής της.

3. Με την επιφύλαξη άλλων νομικών λόγων για την επεξεργασία των δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή. Η απόσυρση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίσθηκε στη συγκατάθεση προ της απόσυρσής της. Η απόσυρση της συγκατάθεσης πρέπει να είναι εξίσου απλή με τη χορήγησή της. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενημερώνεται από τον υπεύθυνο επεξεργασίας εάν η απόσυρση της συγκατάθεσης μπορεί να έχει ως αποτέλεσμα τη μη συνέχιση των παρεχόμενων υπηρεσιών ή τη λήξη της σχέσης με τον υπεύθυνο επεξεργασίας.

4. Η συγκατάθεση δεν παρέχει νομική βάση για την επεξεργασία, εάν υπάρχει σημαντική ανισορροπία μεταξύ της θέσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας.

4. Η συγκατάθεση έχει ειδικό σκοπό και παύει να ισχύει όταν δεν υφίσταται πλέον ο σκοπός ή όταν η επεξεργασία των δεδομένω προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητη για την επιδίωξη του σκοπού για τον οποίον συνελέγησαν αρχικά τα δεδομένα. Η εκτέλεση μιας σύμβασης ή η παροχή μιας υπηρεσίας δεν εξαρτάται από τη συγκατάθεση στην επεξεργασία ή τη χρήση δεδομένων τα οποία, δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο β), δεν είναι αναγκαία για την εκτέλεση της σύμβασης ή την παροχή της υπηρεσίας.

Τροπολογία              102

Πρόταση κανονισμού

Άρθρο 8

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού

Επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού

1. Για τους σκοπούς του παρόντος κανονισμού, σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω των 13 ετών είναι σύννομη μόνον εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα ή τον κηδεμόνα του παιδιού. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να εξασφαλίσει επαληθεύσιμη συγκατάθεση, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

1. Για τους σκοπούς του παρόντος κανονισμού, σε σχέση με την προσφορά αγαθών ή υπηρεσιών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω των 13 ετών είναι σύννομη μόνον εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα του παιδιού ή τον νόμιμο κηδεμόνα του. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει τη συγκατάθεση αυτή, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, χωρίς να προκληθεί μια περιττή κατά τα λοιπά επεξεργασία προσωπικών δεδομένων.

 

1α. Οι πληροφορίες που παρέχονται σε παιδιά, γονείς και νόμιμους κηδεμόνες προκειμένου να δοθεί συγκατάθεση συμπεριλαμβανομένων και των πληροφοριών σχετικά με τη συλλογή και χρήση προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας, πρέπει να παρέχονται σε γλώσσα σαφή και κατάλληλη για εκείνον προς τον οποίον απευθύνεται.

2. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί κύρους, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

2. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί κύρους, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις μεθόδους εξασφάλισης της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1. Στο πλαίσιο αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

3. Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδώσει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές όσον αφορά τις μεθόδους επαλήθευσης της συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1, σύμφωνα με το άρθρο 66.

4. Η Επιτροπή μπορεί να θεσπίσει πρότυπα έντυπα για ειδικές μεθόδους για την εξασφάλιση της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  103

Πρόταση κανονισμού

Άρθρο 9

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

Ειδικές κατηγορίες δεδομένων

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή ή ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας.

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις, σεξουαλικό προσανατολισμό ή ταυτότητα φύλου, τη συμμετοχή σε συνδικαλιστική οργάνωση και συνδικαλιστικές δραστηριότητες, καθώς και η επεξεργασία γενετικών ή βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή, διοικητικές κυρώσεις, δικαστικές αποφάσεις, ποινικά αδικήματα ή εικαζόμενα αδικήματα, ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας.

2. Η παράγραφος 1 δεν εφαρμόζεται εάν:

2. Η παράγραφος 1 δεν εφαρμόζεται αν εφαρμόζεται μία από τις ακόλουθες διαδικασίες:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην επεξεργασία των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις προϋποθέσεις που προβλέπονται στα άρθρα 7 και 8, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην επεξεργασία των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους ειδικούς σκοπούς, σύμφωνα με τις προϋποθέσεις που προβλέπονται στα άρθρα 7 και 8, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ή

 

αα) η επεξεργασία είναι απαραίτητη για την εφαρμογή ή εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων έπειτα από αίτημα του εν λόγω προσώπου·

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση ειδικών δικαιωμάτων του υπεύθυνου επεξεργασίας στον τομέα του εργατικού δικαίου, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή από το δίκαιο κράτους μέλους προβλέποντας κατάλληλες εγγυήσεις· ή

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση ειδικών δικαιωμάτων του υπευθύνου επεξεργασίας στον τομέα του εργατικού δικαίου, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή από το δίκαιο κράτους μέλους ή από συλλογικές συμβάσεις, προβλέποντας κατάλληλες εγγυήσεις για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, όπως του δικαιώματος στη μη διακριτική μεταχείριση, με την επιφύλαξη των προϋποθέσεων και εγγυήσεων του άρθρου 82· ή

γ) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί, για φυσικούς ή νομικούς λόγους, να παράσχει τη συγκατάθεσή του· ή

γ) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί, για φυσικούς ή νομικούς λόγους, να παράσχει τη συγκατάθεσή του· ή

δ) η επεξεργασία διεξάγεται στο πλαίσιο των νόμιμων δραστηριοτήτων, με κατάλληλες εγγυήσεις, ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των προσώπων στα οποία αναφέρονται· ή

δ) η επεξεργασία διεξάγεται στο πλαίσιο των νόμιμων δραστηριοτήτων, με κατάλληλες εγγυήσεις, ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των προσώπων στα οποία αναφέρονται· ή

ε) η επεξεργασία αφορά προσωπικά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται· ή

ε) η επεξεργασία αφορά προσωπικά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται· ή

στ) η επεξεργασία είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

στ) η επεξεργασία είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

ζ) η επεξεργασία είναι απαραίτητη για την άσκηση καθήκοντος δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

ζ) η επεξεργασία είναι απαραίτητη για την άσκηση καθήκοντος που ασκείται για λόγους υπέρτερου δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

η) η επεξεργασία δεδομένων που αφορούν την υγεία είναι απαραίτητη για σκοπούς υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 81· ή

η) η επεξεργασία δεδομένων που αφορούν την υγεία είναι απαραίτητη για σκοπούς υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 81· ή

θ) η επεξεργασία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83· ή

θ) η επεξεργασία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83· ή

 

θ α) η επεξεργασία είναι απαραίτητη για τις υπηρεσίες αρχείων, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83α· ή

ι) η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας διενεργείται υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση προς νομική ή κανονιστική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που ασκείται για σημαντικούς λόγους δημόσιου συμφέροντος, και στον βαθμό που επιτρέπεται από το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις. Πλήρες μητρώο ποινικών καταδικών τηρείται μόνον υπό τον έλεγχο επίσημης αρχής.

ι) η επεξεργασία δεδομένων που αφορούν διοικητικές κυρώσεις, δικαστικές αποφάσεις, ποινικά αδικήματα, ποινικές καταδίκες, ή σχετικά μέτρα ασφάλειας διενεργείται υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση προς νομική ή κανονιστική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που ασκείται για σημαντικούς λόγους δημόσιου συμφέροντος, και στον βαθμό που επιτρέπεται από το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα. Μητρώα ποινικών καταδικών τηρούνται μόνον υπό τον έλεγχο επίσημης αρχής.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων, των προϋποθέσεων και των κατάλληλων εγγυήσεων για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 και των εξαιρέσεων που προβλέπονται στην παράγραφο 2.

3. Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 και των εξαιρέσεων που προβλέπονται στην παράγραφο 2, σύμφωνα με το άρθρο 66.

Τροπολογία              104

Πρόταση κανονισμού

Άρθρο 10

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Εάν τα δεδομένα που υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να εξακριβώσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να λαμβάνει πρόσθετες πληροφορίες προκειμένου να προσδιορίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον αποκλειστικό σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

1. Εάν τα δεδομένα που υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να εξακριβώσουν άμεσα ή έμμεσα την ταυτότητα ενός φυσικού προσώπου ή αφορούν αποκλειστικά δεδομένα που σχετίζονται με ψευδώνυμα, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα ή δεν λαμβάνει πρόσθετες πληροφορίες προκειμένου να προσδιορίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον αποκλειστικό σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

 

2. Εάν ο υπεύθυνος επεξεργασίας των δεδομένων δεν μπορεί να τηρήσει μια διάταξη του παρόντος κανονισμού λόγω της παραγράφου 1, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να τηρήσει τη συγκεκριμένη αυτή διάταξη του παρόντος κανονισμού. Εάν ο υπεύθυνος επεξεργασίας των δεδομένων δεν μπορεί ανταποκριθεί προς ένα αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα, ενημερώνει σχετικά το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  105

Πρόταση κανονισμού

Άρθρο 10 α (νέο)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

Άρθρο 10α

 

Γενικές αρχές που διέπουν τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα

 

1. Τη βάση της προστασίας δεδομένων αποτελούν σαφή και συγκεκριμένα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τα οποία πρέπει να γίνονται σεβαστά από τον υπεύθυνο της επεξεργασίας των δεδομένων. Οι διατάξεις του παρόντος κανονισμού αποσκοπούν στην ενίσχυση, στην αποσαφήνιση, στη διασφάλιση και, ενδεχομένως, στην κωδικοποίηση των εν λόγω δικαιωμάτων.

 

2. Στα δικαιώματα αυτά περιλαμβάνονται, μεταξύ άλλων, η παροχή σαφών και εύληπτων πληροφοριών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής των δεδομένων, το δικαίωμα λήψης δεδομένων, το δικαίωμα αντίταξης στην κατάρτιση προφίλ, το δικαίωμα υποβολής καταγγελίας στην αρμόδια αρχή προστασίας δεδομένων και το δικαίωμα δικαστικής προσφυγής καθώς και το δικαίωμα σε αποζημίωση για ζημία που προκλήθηκε από παράνομη επεξεργασία. Τα εν λόγω δικαιώματα ασκούνται κατά βάση ατελώς. Ο υπεύθυνος επεξεργασίας απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός εύλογης προθεσμίας.

Τροπολογία  106

Πρόταση κανονισμού

Άρθρο 11

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

1. Ο υπεύθυνος επεξεργασίας διαθέτει διαφανείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

1. Ο υπεύθυνος επεξεργασίας διαθέτει συνεκτικές, διαφανείς, σαφείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

2. Ο υπεύθυνος επεξεργασίας θέτει στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα κάθε πληροφορία και γνωστοποίηση σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, προσαρμοσμένη στο συγκεκριμένο πρόσωπο, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.

2. Ο υπεύθυνος επεξεργασίας θέτει στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα κάθε πληροφορία και γνωστοποίηση σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.

Τροπολογία  107

Πρόταση κανονισμού

Άρθρο 12

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

1. Ο υπεύθυνος επεξεργασίας θεσπίζει διαδικασίες για την παροχή των πληροφοριών που αναφέρονται στο άρθρο 14 και για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα που προβλέπονται στο άρθρο 13 και στα άρθρα 15 έως 19. Ο υπεύθυνος επεξεργασίας προβλέπει ειδικότερα μηχανισμούς για τη διευκόλυνση υποβολής του αιτήματος για τις ενέργειες που αναφέρονται στο άρθρο 13 και στα άρθρα 15 έως 19. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας προβλέπει επίσης μέσα για την υποβολή των αιτημάτων με ηλεκτρονικό τρόπο.

1. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας προβλέπει επίσης, μέσα για την, κατά το δυνατόν, υποβολή των αιτημάτων με ηλεκτρονικό τρόπο.

2. Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς καθυστέρηση, και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος, για το κατά πόσον έχει αναληφθεί οποιαδήποτε ενέργεια σύμφωνα με το άρθρο 13 και τα άρθρα 15 έως 19 και παρέχει τις πληροφορίες που ζητήθηκαν. Η προθεσμία αυτή μπορεί να παραταθεί για έναν ακόμη μήνα, εάν περισσότερα πρόσωπα στα οποία αναφέρονται τα δεδομένα ασκήσουν τα δικαιώματά τους και η συνεργασία τους είναι απαραίτητη σε εύλογο βαθμό για την αποφυγή αδικαιολόγητων και δυσανάλογων προσπαθειών εκ μέρους του υπευθύνου επεξεργασίας. Η ενημέρωση παρέχεται εγγράφως. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

2. Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αμελλητί, και το αργότερο εντός 40 ημερολογιακών ημερών από την παραλαβή του αιτήματος, για το κατά πόσον έχει αναληφθεί οποιαδήποτε ενέργεια σύμφωνα με το άρθρο 13 και τα άρθρα 15 έως 19 και παρέχει τις πληροφορίες που ζητήθηκαν. Η προθεσμία αυτή μπορεί να παραταθεί για έναν ακόμη μήνα, εάν περισσότερα πρόσωπα στα οποία αναφέρονται τα δεδομένα ασκήσουν τα δικαιώματά τους και η συνεργασία τους είναι απαραίτητη σε εύλογο βαθμό για την αποφυγή αδικαιολόγητων και δυσανάλογων προσπαθειών εκ μέρους του υπευθύνου επεξεργασίας. Η ενημέρωση παρέχεται εγγράφως και ο υπεύθυνος επεξεργασίας μπορεί, κατά το δυνατόν, να παρέχει πρόσβαση εξ αποστάσεως σε ασφαλές σύστημα μέσω του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποκτά άμεση πρόσβαση στα δεδομένα που το αφορούν. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, οσάκις αυτό είναι εφικτό, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

3. Εάν ο υπεύθυνος επεξεργασίας αρνείται να ενεργήσει επί του αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την άρνηση και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και άσκησης δικαστικής προσφυγής.

3. Εάν ο υπεύθυνος επεξεργασίας παραλείπει να ενεργήσει επί του αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την παράλειψη αυτή καθώς και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και άσκησης δικαστικής προσφυγής.

4. Η ενημέρωση και οι ενέργειες που εκτελούνται επί των αιτημάτων που αναφέρονται στην παράγραφο 1 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου τέλους για την παροχή της ενημέρωσης ή για την εκτέλεση της ζητούμενης ενέργειας, ή ο υπεύθυνος επεξεργασίας μπορεί να μην εκτελέσει τη ζητούμενη ενέργεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος.

4. Η ενημέρωση και οι ενέργειες που εκτελούνται επί των αιτημάτων που αναφέρονται στην παράγραφο 1 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου εύλογου τέλους λαμβάνοντας υπόψη τις διοικητικές δαπάνες για την παροχή της ενημέρωσης ή για την εκτέλεση της ζητούμενης ενέργειας. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τα τέλη που αναφέρονται στην παράγραφο 4.

 

6. Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα και να προσδιορίσει τυποποιημένες διαδικασίες για την ενημέρωση που προβλέπεται στην παράγραφο 2, συμπεριλαμβανομένου του ηλεκτρονικού μορφοτύπου. Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία              108

Πρόταση κανονισμού

Άρθρο 13

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Δικαιώματα σε σχέση με αποδέκτες

Υποχρέωση γνωστοποίησης σε περίπτωση διόρθωσης και διαγραφής

Ο υπεύθυνος επεξεργασίας κοινοποιεί κάθε διόρθωση ή διαγραφή η οποία διενεργείται σύμφωνα με τα άρθρα 16 και 17 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια.

Ο υπεύθυνος επεξεργασίας κοινοποιεί κάθε διόρθωση ή διαγραφή η οποία διενεργείται σύμφωνα με τα άρθρα 16 και 17 σε κάθε αποδέκτη στον οποίο διαβιβάστηκαν τα δεδομένα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  109

Πρόταση κανονισμού

Άρθρο 13 α (νέο)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

Άρθρο 13α

 

Τυποποιημένες πολιτικές πληροφόρησης

 

1. Σε περίπτωση συλλογής δεδομένων προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, πριν από την παροχή των πληροφοριών σύμφωνα με το άρθρο 14, για τα εξής:

 

α) εάν συλλέγονται περισσότερα δεδομένα προσωπικού χαρακτήρα απ' ό,τι απαιτεί ο συγκεκριμένος σκοπός της επεξεργασίας·

 

β) εάν διατηρούνται περισσότερα δεδομένα προσωπικού χαρακτήρα απ' ό,τι απαιτεί ο συγκεκριμένος σκοπός της επεξεργασίας·

 

γ) εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς άλλους από αυτούς για τους οποίους συλλέχθηκαν·

δ) εάν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται σε τρίτους για εμπορικούς σκοπούς·

 

ε) εάν τα δεδομένα προσωπικού χαρακτήρα πωλούνται ή εκμισθώνονται·

 

στ) εάν τα δεδομένα προσωπικού χαρακτήρα διατηρούνται σε κρυπτογραφημένη μορφή.

 

2. Τα στοιχεία που αναφέρονται στην παράγραφο 1 παρουσιάζονται σύμφωνα με το παράρτημα X σε μορφή πίνακα, με τη χρήση κειμένου και συμβόλων, η οποία περιλαμβάνει τις ακόλουθες τρεις στήλες:

 

α) στην πρώτη στήλη απεικονίζονται γραφήματα που συμβολίζουν τα στοιχεία αυτά·

 

β) στη δεύτερη στήλη παρέχονται σημαντικές πληροφορίες που περιγράφουν τα στοιχεία·

 

γ) στην τρίτη στήλη απεικονίζονται γραφήματα που υποδεικνύουν εάν το συγκεκριμένο στοιχείο είναι ακριβές.

 

3. Οι πληροφορίες που αναφέρονται στις παραγράφους 1 και 2 παρουσιάζονται με ευδιάκριτο και ευανάγνωστο τρόπο και διατυπώνονται σε γλώσσα εύκολα κατανοητή από τους καταναλωτές στα κράτη μέλη στους οποίους απευθύνονται οι πληροφορίες. Εάν τα στοιχεία διατίθενται ηλεκτρονικά, πρέπει να είναι μηχαναγνώσιμα.

 

4. Πρόσθετα στοιχεία δεν παρέχονται. Λεπτομερείς επεξηγήσεις ή περαιτέρω παρατηρήσεις σχετικά με τα στοιχεία που αναφέρονται στην παράγραφο 1 μπορούν να διατεθούν μαζί με άλλες απαιτήσεις πληροφόρησης σύμφωνα με το άρθρο 14.

 

5. Η Επιτροπή, αφού προηγουμένως ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον ακριβέστερο προσδιορισμό των στοιχείων της παραγράφου 1 και του τρόπου παρουσίασής τους σύμφωνα με την παράγραφο 2 και το παράρτημα X.

Τροπολογία  110

Πρόταση κανονισμού

Άρθρο 14

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

1. Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τουλάχιστον τις ακόλουθες πληροφορίες:

1. Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας παρέχει μετά τη διάθεση των στοιχείων σύμφωνα με το άρθρο 13α στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τουλάχιστον τις ακόλουθες πληροφορίες:

α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, ενδεχομένως, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, ενδεχομένως, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συμβατικών όρων και των γενικών προϋποθέσεων, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο β), και των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ)·

β) τους συγκεκριμένους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και πληροφορίες σχετικά με την ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συμβατικών όρων και των γενικών προϋποθέσεων, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο β), και, κατά περίπτωση, πληροφορίες σχετικά με τον τρόπο εφαρμογής και τήρησης των απαιτήσεων του άρθρου 6 παράγραφος 1 στοιχείο στ)·

γ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

γ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·

δ) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

δ) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία ή την απόκτηση των εν λόγω δεδομένων προσωπικού χαρακτήρα·

ε) το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

(ε) το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

στ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

στ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

ζ) όπου συντρέχει περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει τα δεδομένα σε τρίτη χώρα ή διεθνή οργανισμό και το επίπεδο προστασίας που παρέχει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός διά παραπομπής σε απόφαση περί επάρκειας της Επιτροπής·

ζ) όπου συντρέχει περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει τα δεδομένα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής, ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 42, στο άρθρο 43 ή στο άρθρο 44 παράγραφος 1 σημείο η), την παραπομπή στις κατάλληλες εγγυήσεις και στα μέσα για να αποκτηθεί αντίγραφό τους·

 

ζα) κατά περίπτωση, ενημέρωση για την κατάρτιση προφίλ, για τα μέτρα που βασίζονται στην κατάρτιση προφίλ, και για τις προβλεπόμενες συνέπειες της κατάρτισης προφίλ για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα·

 

ζβ) χρήσιμες πληροφορίες σχετικά με τη λογική που διέπει κάθε αυτοματοποιημένη επεξεργασία·

η) κάθε περαιτέρω απαραίτητη πληροφορία προκειμένου να διασφαλίζεται θεμιτή επεξεργασία έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες συλλέγονται τα δεδομένα προσωπικού χαρακτήρα.

η) κάθε περαιτέρω πληροφορία που είναι απαραίτητη προκειμένου να διασφαλίζεται θεμιτή επεξεργασία έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες συλλέγονται ή υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα, συγκεκριμένα την ύπαρξη ορισμένων πράξεων και δραστηριοτήτων επεξεργασίας των δεδομένων για τις οποίες, στο πλαίσιο μίας εκτίμησης επιπτώσεων από την προστασία δεδομένων προσωπικού χαρακτήρα, έχει διαπιστωθεί ότι μπορεί να ενέχουν υψηλό κίνδυνο·

 

ηα) κατά περίπτωση, πληροφορίες σχετικά με το αν τους τελευταίους δώδεκα μήνες διαβιβάστηκαν δεδομένα σε δημόσιες αρχές.

2. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, επιπλέον των πληροφοριών της παραγράφου 1, σχετικά με το κατά πόσον η παροχή δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή εθελοντική, καθώς και για τις ενδεχόμενες συνέπειες της μη παροχής τέτοιων δεδομένων.

2. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, επιπλέον των πληροφοριών της παραγράφου 1, σχετικά με το κατά πόσον η παροχή δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή προαιρετική, καθώς και για τις ενδεχόμενες συνέπειες της μη παροχής τέτοιων δεδομένων.

 

2α. Κατά την απόφασή τους σχετικά με την κοινοποίηση περαιτέρω πληροφοριών που είναι αναγκαίες για να είναι θεμιτή η επεξεργασία βάσει της παραγράφου 1 στοιχείο η), οι υπεύθυνοι επεξεργασίας λαμβάνουν υπόψη τις σχετικές κατευθυντήριες γραμμές του άρθρου 38.

3. Εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, σχετικά με την πηγή από την οποία προέρχονται τα εν λόγω δεδομένα.

3. Εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, σχετικά με την πηγή από την οποία προέρχονται τα συγκεκριμένα δεδομένα. Εάν τα δεδομένα προσωπικού χαρακτήρα προέρχονται από πηγή διαθέσιμη στο κοινό, μπορεί να γίνει μια γενική αναφορά..

4. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3:

4. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3:

α) κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή

α) κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή, εάν αυτό δεν είναι εφικτό, χωρίς αδικαιολόγητη καθυστέρηση· ή

 

αα) κατόπιν αιτήματος ενός φορέα, ενός οργανισμού ή μιας οργάνωσης, όπως αναφέρονται στο άρθρο 73·

β) εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, ή, εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά.

β) εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, ή, εάν προβλέπεται διαβίβαση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα διαβιβάζονται για πρώτη φορά, ή, εάν τα δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται, το αργότερο κατά την πρώτη επικοινωνία με το πρόσωπο αυτό. ή

 

βα) μόνο μετά από αίτημα, εάν τα δεδομένα υποβάλλονται σε επεξεργασία από μικρή ή πολύ μικρή επιχείρηση, η οποία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο ως παρεπόμενη δραστηριότητα·

5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν:

5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3· ή

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3· ή

β) τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών αποδεικνύεται ανέφικτη ή συνεπάγεται δυσανάλογη προσπάθεια· ή

β) τα δεδομένα υποβάλλονται σε επεξεργασία για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας με την επιφύλαξη των προϋποθέσεων και εγγυήσεων των άρθρων 81 και 83, δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών αποδεικνύεται ανέφικτη ή συνεπάγεται δυσανάλογη προσπάθεια και ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τις πληροφορίες ώστε να είναι διαθέσιμες προς όλους· ή

γ) τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η καταχώριση ή η γνωστοποίηση προβλέπονται ρητώς διά νόμου· ή

γ) τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η καταχώριση ή η γνωστοποίηση προβλέπονται ρητώς διά νόμου στον οποίον υπάγεται ο υπεύθυνος επεξεργασίας και ο οποίος προβλέπει κατάλληλα μέτρα για την προστασία των εννόμων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, λαμβάνοντας υπόψη τους κινδύνους που εγκυμονεί η επεξεργασία και η φύση των προσωπικών δεδομένων· ή

δ) τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών θίγει τα δικαιώματα και τις ελευθερίες τρίτων, όπως ορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους σύμφωνα με το άρθρο 21.

δ) τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών θίγει τα δικαιώματα και τις ελευθερίες άλλων φυσικών προσώπων, όπως ορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους σύμφωνα με το άρθρο 21·

 

δα) τα δεδομένα έτυχαν επεξεργασίας κατά την άσκηση του επαγγέλματός του ή έχουν κοινοποιηθεί εμπιστευτικά σε πρόσωπο που υπόκειται σε καθεστώς εμπορικού απορρήτου που ρυθμίζεται από το ενωσιακό ή το εθνικό δίκαιο ή από νομικά προβλεπόμενη υποχρέωση εχεμύθειας, εκτός εάν τα δεδομένα χορηγούνται από το ίδιο το πρόσωπο στο οποίο αναφέρονται.

6. Για την περίπτωση που αναφέρεται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας προβλέπει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

6. Για την περίπτωση που αναφέρεται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας προβλέπει κατάλληλα μέτρα για την προστασία των δικαιωμάτων ή των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

7. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων σχετικά με τις κατηγορίες αποδεκτών που αναφέρονται στην παράγραφο 1 στοιχείο στ), της υποχρέωσης ενημέρωσης σχετικά με τις δυνατότητες πρόσβασης που προβλέπονται στην παράγραφο 1 στοιχείο ζ), των κριτηρίων για τις περαιτέρω απαραίτητες πληροφορίες που προβλέπονται στην παράγραφο 1 στοιχείο η) για συγκεκριμένους τομείς και καταστάσεις, και των προϋποθέσεων και κατάλληλων εγγυήσεων για τις εξαιρέσεις που προβλέπονται στην παράγραφο 5 στοιχείο β). Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

 

8. Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα για την παροχή των πληροφοριών που αναφέρονται στις παραγράφους 1 έως 3, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων, εφόσον απαιτείται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  111

Πρόταση κανονισμού

Άρθρο 15

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Δικαίωμα πρόσβασης και απόκτησης δεδομένων από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει, ανά πάσα στιγμή, κατόπιν αιτήματος, από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις ακόλουθες πληροφορίες:

1. Με την επιφύλαξη του άρθρου 12 παράγραφος 4, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει, ανά πάσα στιγμή, κατόπιν αιτήματος, από τον υπεύθυνο επεξεργασίας, επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και τις ακόλουθες πληροφορίες σε σαφή και κατανοητή γλώσσα:

α) τους σκοπούς της επεξεργασίας·

α) τους σκοπούς της επεξεργασίας κάθε κατηγορίας δεδομένων προσωπικού χαρακτήρα·

β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως σε αποδέκτες σε τρίτες χώρες·

γ) τους αποδέκτες στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες·

δ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

δ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·

ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

στ) το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

στ) το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

ζ) τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους·

 

η) τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον στην περίπτωση των μέτρων που αναφέρονται στο άρθρο 20.

η) τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας.

 

ηα) χρήσιμες πληροφορίες σχετικά με τη λογική που διέπει κάθε αυτοματοποιημένη επεξεργασία·

 

ηβ) τηρουμένου του άρθρου 21, σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε δημόσια αρχή συνεπεία αιτήματος της δημόσιας αρχής, επιβεβαίωση του γεγονότος ότι το αίτημα έχει υποβληθεί·

2. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

2. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονικό και δομημένο μορφότυπο, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό. Με την επιφύλαξη του άρθρου 10, ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα προκειμένου να διαπιστώσει ότι το πρόσωπο που ζητεί πρόσβαση στα δεδομένα είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

 

2α. Όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει παράσχει δεδομένα προσωπικού χαρακτήρα και εάν αυτά υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίσει από τον υπεύθυνο επεξεργασίας αντίγραφο των παρασχεθέντων δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονικό και διαλειτουργικό μορφότυπο συνήθους χρήσης, το οποίο μπορεί να χρησιμοποιεί, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας από τον οποίο αφαιρέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Όπου είναι τεχνικά εφικτό και εφόσον διατίθενται, τα δεδομένα, κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, διαβιβάζονται απευθείας από υπεύθυνο επεξεργασίας σε υπεύθυνο επεξεργασίας.

 

2β. Το παρόν άρθρο εφαρμόζεται με την επιφύλαξη της υποχρέωσης διαγραφής των δεδομένων που δεν είναι πλέον απαραίτητα σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο ε).

 

2γ. Δεν προβλέπεται δικαίωμα πρόσβασης σύμφωνα με τις παραγράφους 1 και 2 όσον αφορά τα δεδομένα κατά την έννοια του άρθρου 14 παράγραφος 5 στοιχείο δα), εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει εξουσιοδότηση να άρει το εν λόγω απόρρητο και ενεργεί αναλόγως.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα του περιεχομένου των δεδομένων αυτών που αναφέρονται στην παράγραφο 1 στοιχείο ζ).

 

4. Η Επιτροπή μπορεί να προσδιορίσει τυποποιημένα έντυπα και διαδικασίες για την υποβολή αιτήματος πρόσβασης και τη χορήγηση πρόσβασης στις πληροφορίες που αναφέρονται στην παράγραφο 1, μεταξύ άλλων για την επαλήθευση της ταυτότητας του προσώπου στο οποίο αναφέρονται τα δεδομένα και για τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο συγκεκριμένο πρόσωπο, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  112

Πρόταση κανονισμού

Άρθρο 17

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Δικαίωμα των φυσικών προσώπων «να λησμονηθούν» και δικαίωμα διαγραφής

Δικαίωμα διαγραφής των φυσικών προσώπων

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και τη μη περαιτέρω διάδοση των εν λόγω δεδομένων, ιδίως σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία διατέθηκαν από το συγκεκριμένο πρόσωπο κατά την παιδική του ηλικία, εάν συντρέχει ένας από τους ακόλουθους λόγους:

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και τη μη περαιτέρω διάδοση των εν λόγω δεδομένων και να ζητήσει από τρίτους τη διαγραφή τυχόν παραπομπών στα συγκεκριμένα δεδομένα ή αντιγράφων ή αναπαραγωγής τους, εάν συντρέχει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία·

α) τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία·

β) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α), ή εάν το χρονικό διάστημα αποθήκευσης για το οποίο παρασχέθηκε συγκατάθεση έληξε, και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων·

β) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α), ή εάν το χρονικό διάστημα αποθήκευσης για το οποίο παρασχέθηκε συγκατάθεση έληξε, και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων·

γ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19·

γ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19·

 

γα) δικαστήριο ή ρυθμιστική αρχή που εδρεύει στην Ένωση έχει αποφανθεί τελεσίδικα ότι τα σχετικά δεδομένα πρέπει να διαγραφούν·

δ) η επεξεργασία των δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό για άλλους λόγους.

δ) τα δεδομένα υπέστησαν παράνομη επεξεργασία·

 

1α. Η εφαρμογή της παραγράφου 1 εξαρτάται από την ικανότητα του υπευθύνου επεξεργασίας δεδομένων να εξακριβώσει ότι το πρόσωπο που ζητεί τη διαγραφή είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2. Εάν ο υπεύθυνος επεξεργασίας που αναφέρεται στην παράγραφο 1 δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα, οφείλει να λάβει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων αρμόδιος είναι ο υπεύθυνος επεξεργασίας για να ενημερώσει τρίτους οι οποίοι επεξεργάζονται τα εν λόγω δεδομένα ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί να διαγραφούν τυχόν σύνδεσμοι ή αντίγραφα ή αναπαραγωγές των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας επέτρεψε τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας θεωρείται υπεύθυνος για τη συγκεκριμένη δημοσίευση.

2. Εάν ο υπεύθυνος επεξεργασίας που αναφέρεται στην παράγραφο 1, διαβίβασε ή δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα χωρίς αιτιολόγηση βάσει του άρθρου 6 παράγραφος 1, λαμβάνει κάθε εύλογο μέτρο για τη διαγραφή των δεδομένων, με την επιφύλαξη του άρθρου 77 και σε σχέση με τρίτους. Ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει, κατά το δυνατόν, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τη συνέχεια που δόθηκε από τους εν λόγω τρίτους.

3. Ο υπεύθυνος επεξεργασίας εκτελεί τη διαγραφή χωρίς καθυστέρηση, εκτός εάν η διατήρηση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη:

3. Ο υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο τρίτος, εκτελεί τη διαγραφή χωρίς καθυστέρηση, εκτός εάν η διατήρηση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη:

α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης σύμφωνα με το άρθρο 80·

α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης σύμφωνα με το άρθρο 80·

β) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 81·

β) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 81·

γ) για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς ιστορικής έρευνας σύμφωνα με το άρθρο 83·

γ) για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς ιστορικής έρευνας σύμφωνα με το άρθρο 83·

δ) για την τήρηση εκ του νόμου υποχρεώσεως διατήρησης των δεδομένων προσωπικού χαρακτήρα την οποία υπέχει ο υπεύθυνος επεξεργασίας από το δίκαιο της Ένωσης ή από τη νομοθεσία κράτους μέλους στην οποία υπάγεται· η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο·

δ) για την τήρηση εκ του νόμου υποχρεώσεως διατήρησης των δεδομένων προσωπικού χαρακτήρα την οποία υπέχει ο υπεύθυνος επεξεργασίας από το δίκαιο της Ένωσης ή από τη νομοθεσία κράτους μέλους στην οποία υπάγεται· η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος, να σέβεται το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο·

ε) στις περιπτώσεις που αναφέρονται στην παράγραφο 4.

ε) στις περιπτώσεις που αναφέρονται στην παράγραφο 4.

4. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν:

4. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα με τέτοιον τρόπο ώστε να μην εμπίπτει στις κανονικές διαδικασίες πρόσβασης και επεξεργασίας δεδομένων και να μην μπορεί πλέον να τροποποιηθεί, εάν:

α) η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για χρονικό διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

α) η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για χρονικό διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

β) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του καθήκοντός του, αλλά πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς·

β) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του καθήκοντός του, αλλά πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς·

γ) η επεξεργασία είναι παράνομη και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους·

γ) η επεξεργασία είναι παράνομη και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους·

 

γα) δικαστήριο ή ρυθμιστική αρχή που εδρεύει στην Ένωση έχει αποφανθεί τελεσίδικα ότι η επεξεργασία των σχετικών δεδομένων πρέπει να περιοριστεί·

δ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί τη μεταφορά των δεδομένων προσωπικού χαρακτήρα σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας σύμφωνα με το άρθρο 18 παράγραφος 2.

δ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί τη μεταφορά των δεδομένων προσωπικού χαρακτήρα σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας σύμφωνα με το άρθρο 15 παράγραφος 2α.

 

δα) το συγκεκριμένο είδος της τεχνολογίας αποθήκευσης, δεν επιτρέπει τη διαγραφή και έχει εγκατασταθεί πριν από την έναρξη ισχύος του παρόντος κανονισμού.

5. Με εξαίρεση την αποθήκευση, τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 4 μπορούν να υποβληθούν σε επεξεργασία μόνον για αποδεικτικούς σκοπούς ή με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για σκοπό δημόσιου συμφέροντος.

5. Με εξαίρεση την αποθήκευση, τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 4 μπορούν να υποβληθούν σε επεξεργασία μόνον για αποδεικτικούς σκοπούς ή με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για σκοπό δημόσιου συμφέροντος.

6. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται δυνάμει της παραγράφου 4, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πριν από την άρση του περιορισμού της επεξεργασίας.

6. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται δυνάμει της παραγράφου 4, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πριν από την άρση του περιορισμού της επεξεργασίας.

7. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες που θεσπίζονται για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή/και για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων.

 

8. Εάν η διαγραφή πραγματοποιηθεί, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα με κανέναν άλλον τρόπο.

8. Εάν η διαγραφή πραγματοποιηθεί, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα με κανέναν άλλον τρόπο.

 

8α. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες που θεσπίζονται για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή/και για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων.

9. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό:

9. Η Επιτροπή, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86, για τον περαιτέρω προσδιορισμό:

α) των κριτηρίων και των απαιτήσεων σχετικά με την εφαρμογή της παραγράφου 1 για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων·

α) των κριτηρίων και των απαιτήσεων σχετικά με την εφαρμογή της παραγράφου 1 για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων·

β) των προϋποθέσεων για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στην παράγραφο 2·

β) των προϋποθέσεων για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στην παράγραφο 2·

γ) των κριτηρίων και των προϋποθέσεων για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στην παράγραφο 4.

γ) των κριτηρίων και των προϋποθέσεων για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στην παράγραφο 4.

Τροπολογία  113

Πρόταση κανονισμού

Άρθρο 18

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Δικαίωμα στη φορητότητα των δεδομένων

διαγράφεται

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να εξασφαλίσει από τον υπεύθυνο επεξεργασίας αντίγραφο των δεδομένων που υποβάλλονται σε επεξεργασία, σε ηλεκτρονικό και δομημένο μορφότυπο συνήθους χρήσης ο οποίος επιτρέπει την περαιτέρω χρήση από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

 

2. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα προσωπικού χαρακτήρα και η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να μεταφέρει τα εν λόγω δεδομένα προσωπικού χαρακτήρα και κάθε άλλη πληροφορία που παρέσχε το εν λόγω πρόσωπο -και που διατηρείται από αυτοματοποιημένο σύστημα επεξεργασίας- σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας, σε ηλεκτρονικό μορφότυπο συνήθους χρήσης, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας από τον οποίο αποσύρονται τα δεδομένα προσωπικού χαρακτήρα.

 

3. Η Επιτροπή μπορεί να προσδιορίσει τον ηλεκτρονικό μορφότυπο που αναφέρεται στην παράγραφο 1 και τα τεχνικά πρότυπα, τους τρόπους και τις διαδικασίες για τη μεταφορά δεδομένων προσωπικού χαρακτήρα δυνάμει της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  114

Πρόταση κανονισμού

Άρθρο 19

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Δικαίωμα αντίταξης

Δικαίωμα αντίταξης

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιτάσσεται, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχεία δ), ε) και στ), εκτός εάν ο υπεύθυνος επεξεργασίας καταδεικνύει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιτάσσεται ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχεία δ) και ε), εκτός εάν ο υπεύθυνος επεξεργασίας καταδεικνύει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιταχθεί ατελώς στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση. Το δικαίωμα αυτό πρέπει να παρέχεται ρητώς στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα με κατανοητό τρόπο και πρέπει να διακρίνεται σαφώς από άλλες πληροφορίες.

2. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται, ανά πάσα στιγμή και χωρίς περαιτέρω αιτιολόγηση, να αντιταχθεί ατελώς, γενικά ή για κάθε συγκεκριμένο σκοπό στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

 

2α. Το δικαίωμα που αναφέρεται στην παράγραφο 2 επισημαίνεται ρητώς στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα με κατανοητό τρόπο και σε κατανοητή μορφή, με τη χρησιμοποίηση σαφούς και απλής διατύπωσης, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά, και διακρίνεται σαφώς από άλλες πληροφορίες.

 

2β. Σε συνάρτηση με τη χρησιμοποίηση υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το δικαίωμα αντίταξης μπορεί να ασκηθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν ένα τεχνικό πρότυπο που επιτρέπει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να εκφράσει σαφώς τις επιθυμίες του.

3. Εάν η αντίταξη γίνει δεκτή δυνάμει των παραγράφων 1 και 2, ο υπεύθυνος επεξεργασίας δεν χρησιμοποιεί πλέον ούτε επεξεργάζεται άλλως πως τα σχετικά δεδομένα προσωπικού χαρακτήρα.

3. Εάν η αντίταξη γίνει δεκτή δυνάμει των παραγράφων 1 και 2, ο υπεύθυνος επεξεργασίας δεν χρησιμοποιεί πλέον ούτε επεξεργάζεται άλλως πως τα σχετικά δεδομένα προσωπικού χαρακτήρα για τους σκοπούς που ορίζονται στην αντίταξη.

(Η τελευταία πρόταση της παραγράφου 2 στο κείμενο της Επιτροπής καθίσταται ως παράγραφος 2α στην τροπολογία του Κοινοβουλίου).

Τροπολογία  115

Πρόταση κανονισμού

Άρθρο 20

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Μέτρα βασισμένα σε κατάρτιση προφίλ

Κατάρτιση προφίλ

1. Κάθε φυσικό πρόσωπο δικαιούται να μην υπάγεται σε μέτρο το οποίο παράγει έννομες συνέπειες για το συγκεκριμένο φυσικό πρόσωπο ή που το επηρεάζει σημαντικά, και το οποίο μέτρο βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το εν λόγω φυσικό πρόσωπο ή την ανάλυση ή την πρόβλεψη ειδικότερα των επιδόσεων στην εργασία, της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του.

1. Με την επιφύλαξη των διατάξεων του άρθρου 6, κάθε φυσικό πρόσωπο δικαιούται να αντιταχθεί στην κατάρτιση προφίλ σύμφωνα με το άρθρο 19. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενημερώνεται με απολύτως ευδιάκριτο τρόπο σχετικά με το δικαίωμα αντίταξης στην κατάρτιση προφίλ.

2. Με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, ένα πρόσωπο μπορεί να υπάγεται σε μέτρο του είδους που αναφέρεται στην παράγραφο 1 μόνον εάν η επεξεργασία:

2. Με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, ένα πρόσωπο μπορεί να υπάγεται σε κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που παράγουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή τα οποία επηρεάζουν εξίσου σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, μόνον εάν η επεξεργασία:

α) πραγματοποιείται στο πλαίσιο της σύναψης ή της εκτέλεσης σύμβασης, εφόσον το αίτημα για τη σύναψη ή την εκτέλεσης της σύμβασης το οποίο υποβλήθηκε από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έγινε δεκτό ή εάν παρασχέθηκαν κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του συγκεκριμένου προσώπου, όπως το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης· ή

α) είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, εφόσον το αίτημα για τη σύναψη ή την εκτέλεσης της σύμβασης το οποίο υποβλήθηκε από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έγινε δεκτό, υπό τον όρο ότι παρασχέθηκαν κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του συγκεκριμένου προσώπου· ή

β) επιτρέπεται ρητώς από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

β) επιτρέπεται ρητώς από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ) βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στο άρθρο 7 και κατάλληλων εγγυήσεων.

γ) βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στο άρθρο 7 και κατάλληλων εγγυήσεων.

3. Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που αφορούν ένα φυσικό πρόσωπο δεν βασίζεται μόνον στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9.

3. Απαγορεύεται η κατάρτιση προφίλ όταν έχει ως αποτέλεσμα την εισαγωγή διακρίσεων έναντι ατόμων βάσει φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκείας ή πεποιθήσεων, συμμετοχής σε συνδικαλιστική οργάνωση, γενετήσιου προσανατολισμού ή ταυτότητας φύλου, ή όταν συνεπάγεται μέτρα που επιφέρουν τα εν λόγω αποτελέσματα. Ο υπεύθυνος επεξεργασίας εφαρμόζει μέτρα αποτελεσματικής προστασίας έναντι πιθανών διακρίσεων που απορρέουν από την κατάρτιση προφίλ. Η κατάρτιση προφίλ δεν βασίζεται μόνον στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9

4. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2, η ενημέρωση που πρέπει να παρέχεται από τον υπεύθυνο επεξεργασίας βάσει του άρθρου 14 περιλαμβάνει πληροφορίες όσον αφορά την ύπαρξη επεξεργασίας για ένα μέτρο του είδους που αναφέρεται στην παράγραφο 1 και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

 

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τα κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα που προβλέπονται στην παράγραφο 2.

5. Η κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που παράγουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή επηρεάζει εξίσου σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, δεν πρέπει να βασίζεται αποκλειστικά ή πρωτίστως σε αυτοματοποιημένη επεξεργασία και πρέπει να περιλαμβάνει μια προσωπική αξιολόγηση, συμπεριλαμβανομένης μιας αιτιολόγησης της απόφασης που ελήφθη στο πλαίσιο της αξιολόγησης αυτής. Τα κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα που προβλέπονται στην παράγραφο 2 περιλαμβάνουν το δικαίωμα σε προσωπική αξιολόγηση και αιτιολόγηση της απόφασης που ελήφθη στο πλαίσιο της εν λόγω αξιολόγησης.

 

5α. Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδώσει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές βάσει του άρθρου 66 παράγραφος 1 στοιχείο β) για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για την κατάρτιση προφίλ, σύμφωνα με το άρθρο 2.

Τροπολογία  116

Πρόταση κανονισμού

Άρθρο 21

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Περιορισμοί

Περιορισμοί

1. Το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στο άρθρο 5 στοιχεία α) έως ε) και στα άρθρα 11 έως 20 και στο άρθρο 32, όταν ένας τέτοιος περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

1. Το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 11 έως 19, και στο άρθρο 32, όταν ένας τέτοιος περιορισμός επιδιώκει ένα σαφώς προσδιορισμένο σκοπό δημόσιου συμφέροντος, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, είναι ανάλογος προς τον επιδιωκόμενο θεμιτό στόχο και σέβεται τα θεμελιώδη δικαιώματα και τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα και αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α) της δημόσιας ασφάλειας,

α) της δημόσιας ασφάλειας,

β) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων·

β) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων·

γ) άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων νομισματικών, δημοσιονομικών και φορολογικών θεμάτων και της προστασίας της σταθερότητας και της ακεραιότητας της αγοράς·

γ) φορολογικών θεμάτων·

δ) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα·

δ) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα·

ε) της παρακολούθησης, του ελέγχου ή κανονιστικού καθήκοντος το οποίο συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α), β), γ) και δ)·

ε) της παρακολούθησης, του ελέγχου ή κανονιστικού καθήκοντος στο πλαίσιο της δραστηριότητας μιας αρμόδιας δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α), β), γ) και δ)·

στ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων.

στ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων.

2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις όσον αφορά τουλάχιστον τους στόχους που επιδιώκονται με την επεξεργασία και τον καθορισμό του υπευθύνου επεξεργασίας.

2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 πρέπει να είναι αναγκαίο και αναλογικό στο πλαίσιο μιας δημοκρατικής κοινωνίας, και να περιέχει συγκεκριμένες διατάξεις όσον αφορά τουλάχιστον:

 

α) τους στόχους που επιδιώκονται με την επεξεργασία·

 

β) τον καθορισμό του υπευθύνου επεξεργασίας·

 

γ) τους ειδικούς σκοπούς και τα μέσα επεξεργασίας·

 

δ) τις διασφαλίσεις για την ανατροπή καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης·

 

ε) το δικαίωμα των προσώπων στα οποία αναφέρονται τα δεδομένα να ενημερώνονται σχετικά με την ύπαρξη περιορισμού.

 

2a. Τα νομοθετικά μέτρα που αναφέρονται στην παράγραφο 1 δεν επιτρέπουν ούτε επιβάλλουν σε ιδιώτες υπευθύνους επεξεργασίας την υποχρέωση να διατηρούν δεδομένα πέραν εκείνων που είναι απολύτως απαραίτητα για τον αρχικό σκοπό.

Το τελευταίο τμήμα της παραγράφου 2 του κειμένου της Επιτροπής έχει καταστεί στοιχείο α) και στοιχείο β) της τροπολογίας του Κοινοβουλίου.

Τροπολογία  117

Πρόταση κανονισμού

Άρθρο 22

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Ευθύνη του υπευθύνου επεξεργασίας

Ευθύνη και υποχρέωση λογοδοσίας του υπευθύνου επεξεργασίας

1. Ο υπεύθυνος επεξεργασίας θεσπίζει πολιτικές και εφαρμόζει κατάλληλα μέτρα ώστε να διασφαλίζει και να μπορεί να αποδείξει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τον παρόντα κανονισμό.

1. Ο υπεύθυνος επεξεργασίας θεσπίζει κατάλληλες πολιτικές και εφαρμόζει κατάλληλα και αποδεδειγμένα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει και να μπορεί να αποδείξει με διαφανή τρόπο ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τον παρόντα κανονισμό, λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, τον χαρακτήρα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την εμβέλεια και το σκοπό της επεξεργασίας, τους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα καθώς και το είδος της οργάνωσης τόσο κατά το χρόνο του καθορισμού των μέσων επεξεργασίας όσο και κατά το χρόνο της επεξεργασίας καθαυτήν.

 

1α. Ο υπεύθυνος επεξεργασίας, έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής, λαμβάνει όλα τα εύλογα μέτρα για την εφαρμογή πολιτικών και διαδικασιών συμμόρφωσης για τον αδιάλειπτο σεβασμό των αυτόνομων επιλογών των προσώπων στα οποία αναφέρονται τα δεδομένα. Οι εν λόγω πολιτικές συμμόρφωσης επανεξετάζονται τουλάχιστον ανά διετία και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2. Τα μέτρα που προβλέπονται στην παράγραφο 1 περιλαμβάνουν ειδικότερα τα ακόλουθα:

 

α) τήρηση της τεκμηρίωσης σύμφωνα με το άρθρο 28·

 

β) εφαρμογή των απαιτήσεων ασφάλειας δεδομένων που προβλέπονται στο άρθρο 30·

 

γ) διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33·

 

δ) συμμόρφωση προς τις απαιτήσεις περί προηγούμενης έγκρισης από την αρχή ελέγχου ή προηγούμενης διαβούλευσης με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφοι 1 και 2·

 

ε) ορισμό υπευθύνου επεξεργασίας δεδομένων δυνάμει του άρθρου 35 παράγραφος 1.

 

3. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς οι οποίοι διασφαλίζουν τον έλεγχο της αποτελεσματικότητας των μέτρων που αναφέρονται στις παραγράφους 1 και 2. Ο εν λόγω έλεγχος διενεργείται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές, εφόσον κάτι τέτοιο συνιστά αναλογικό μέτρο.

3. Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την επάρκεια και την αποτελεσματικότητα των μέτρων που αναφέρονται στις παραγράφους 1 και 2. Οι τακτικές γενικές εκθέσεις των δραστηριοτήτων του υπευθύνου επεξεργασίας, όπως είναι οι υποχρεωτικές εκθέσεις των εισηγμένων στο χρηματιστήριο εταιρειών, περιέχουν συνοπτική περιγραφή των πολιτικών και των μέτρων που αναφέρονται στην παράγραφο 1.

 

3α. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να διαβιβάζει δεδομένα προσωπικού χαρακτήρα εντός ενός ομίλου εταιρειών στην ΕΕ στον οποίο συμμετέχει ο υπεύθυνος επεξεργασίας όταν η επεξεργασία αυτή είναι απαραίτητη για θεμιτούς εσωτερικούς διοικητικούς σκοπούς των συνδεδεμένων επιχειρηματικών τομέων του ομίλου επιχειρήσεων και ένα κατάλληλο επίπεδο προστασίας δεδομένων, καθώς και τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα διασφαλίζονται δυνάμει εσωτερικών διατάξεων περί προστασίας δεδομένων ή αντίστοιχων κωδίκων δεοντολογίας κατά την έννοια του άρθρου 38.

4. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα προβλεπόμενα στην παράγραφο 1 κατάλληλα μέτρα, πέραν των ήδη προβλεπομένων στην παράγραφο 2, των προβλεπόμενων στην παράγραφο 3 προϋποθέσεων και μηχανισμών ελέγχου και των προβλεπόμενων στην παράγραφο 3 κριτηρίων αναλογικότητας, καθώς επίσης για την εξέταση ειδικών μέτρων για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

 

Τροπολογία  118

Πρόταση κανονισμού

Άρθρο 23

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1. Έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος εφαρμογής, ο υπεύθυνος επεξεργασίας οφείλει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

1. Έχοντας υπόψη την κατάσταση της τεχνολογίας, το τρέχον επίπεδο τεχνικών γνώσεων, τις διεθνείς βέλτιστες πρακτικές και τους κινδύνους που ενέχει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας και ενδεχομένως ο εκτελών την επεξεργασία, οφείλουν, τόσο κατά τον καθορισμό των σκοπών και των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ειδικότερα όσον αφορά τις αρχές που θεσπίζονται στο άρθρο 5. Η προστασία δεδομένων ήδη από τον σχεδιασμό λαμβάνει ιδιαίτερα υπόψη τον πλήρη κύκλο ζωής της διαχείρισης δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και τη διαγραφή, εστιάζοντας συστηματικά στις συνολικές διαδικαστικές εγγυήσεις ως προς την ακρίβεια, την εμπιστευτικότητα, την ακεραιότητα, την υλική ασφάλεια και τη διαγραφή των δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας έχει διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33, τα αποτελέσματα λαμβάνονται υπόψη κατά την εκπόνηση των εν λόγω μέτρων και διαδικασιών.

 

1α. Προκειμένου να προωθηθεί μία ευρεία εφαρμογή σε διαφόρους κλάδους της οικονομίας, η προστασία δεδομένων ήδη από τον σχεδιασμό θα πρέπει να αποτελεί προϋπόθεση κατά τις δημόσιες προσκλήσεις υποβολής προσφορών, σύμφωνα με την οδηγία 2004/18/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1 καθώς και σύμφωνα με την οδηγία 2004/17/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου2 (οδηγία για τις επιχειρήσεις κοινής ωφελείας).

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για κάθε συγκεκριμένο σκοπό επεξεργασίας και ότι τα εν λόγω δεδομένα δεν συλλέγονται ούτε διατηρούνται πέραν του ελάχιστου απαραίτητου ορίου για τους σκοπούς αυτούς, από την άποψη τόσο της ποσότητας των δεδομένων όσο και του χρόνου της αποθήκευσής τους. Ειδικότερα, οι εν λόγω μηχανισμοί διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπων.

2. Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για κάθε συγκεκριμένο σκοπό επεξεργασίας και ότι τα εν λόγω δεδομένα δεν συλλέγονται, δεν διατηρούνται ούτε διαδίδονται πέραν του ελάχιστου απαραίτητου ορίου για τους σκοπούς αυτούς, από την άποψη τόσο της ποσότητας των δεδομένων όσο και του χρόνου της αποθήκευσής τους. Ειδικότερα, οι εν λόγω μηχανισμοί διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπων και ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν τη δυνατότητα να ελέγχουν τη διάδοση των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα κατάλληλα μέτρα και τους μηχανισμούς που αναφέρονται στις παραγράφους 1 και 2, ιδίως για τις απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό οι οποίες εφαρμόζονται σε όλους τους τομείς, τα προϊόντα και τις υπηρεσίες.

 

4. Η Επιτροπή μπορεί να θεσπίσει τεχνικά πρότυπα για τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

 

1 Οδηγία 2004/18/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 31ης Μαρτίου 2004, περί συντονισμού των διαδικασιών σύναψης δημόσιων συμβάσεων έργων, προμηθειών και υπηρεσιών (ΕΕ L 134, 30.4.2004, σ. 114).

Οδηγία 2004/17/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 31ης Φεβρουαρίου 2004, περί συντονισμού των διαδικασιών σύναψης συμβάσεων στους τομείς του ύδατος, της ενέργειας, των μεταφορών και των ταχυδρομικών υπηρεσιών (ΕΕ L 134, 30.4.2004, σ. 1).

Τροπολογία  119

Πρόταση κανονισμού

Άρθρο 24

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Από κοινού υπεύθυνοι επεξεργασίας

Από κοινού υπεύθυνοι επεξεργασίας

Εάν ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από κοινού με άλλους, οι από κοινού υπεύθυνοι επεξεργασίας καθορίζουν τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω μεταξύ τους συμφωνίας.

Εάν περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι από κοινού υπεύθυνοι επεξεργασίας καθορίζουν τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω μεταξύ τους συμφωνίας. Η συμφωνία αντανακλά δεόντως τους αντίστοιχους πραγματικούς ρόλους των από κοινού υπευθύνων επεξεργασίας και τις σχέσεις έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα και η ουσία της συμφωνίας τίθεται στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Σε περίπτωση ασάφειας ως προς την ευθύνη, οι υπεύθυνοι επεξεργασίας ευθύνονται από κοινού και εις ολόκληρον.

Τροπολογία  120

Πρόταση κανονισμού

Άρθρο 25

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Εκπρόσωποι υπευθύνων επεξεργασίας μη εγκαταστημένων στην Ένωση

Εκπρόσωποι υπευθύνων επεξεργασίας μη εγκαταστημένων στην Ένωση

1. Στην περίπτωση που αναφέρεται στο άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ορίζει εκπρόσωπο στην Ένωση.

1. Στην περίπτωση που αναφέρεται στο άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ορίζει εκπρόσωπο στην Ένωση.

2. Η υποχρέωση αυτή δεν ισχύει για:

2. Η υποχρέωση αυτή δεν ισχύει για:

α) υπεύθυνο επεξεργασίας εγκαταστημένο σε τρίτη χώρα, εάν η Επιτροπή αποφάσισε ότι η τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων σύμφωνα με το άρθρο 41· ή

α) υπεύθυνο επεξεργασίας εγκαταστημένο σε τρίτη χώρα, εάν η Επιτροπή αποφασίσει ότι η τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων σύμφωνα με το άρθρο 41· ή

β) επιχείρηση η οποία απασχολεί λιγότερα από 250 άτομα· ή

β) υπεύθυνο επεξεργασίας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν λιγότερα από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα εντός χρονικού διαστήματος 12 συναπτών μηνών, η δε επεξεργασία δεν διενεργείται σε σχέση με ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 9 παράγραφος 1, δεδομένα εγκατάστασης ή δεδομένα για παιδιά ή εργαζόμενους σε εκτεταμένα συστήματα αρχειοθέτησης· ή

γ) δημόσια αρχή ή φορέα· ή

γ) δημόσια αρχή ή φορέα· ή

δ) υπεύθυνο επεξεργασίας ο οποίος προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση.

δ) υπεύθυνο επεξεργασίας ο οποίος προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση, εκτός εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αφορά τις ειδικές κατηγορίες προσωπικών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1, δεδομένα εγκατάστασης ή δεδομένα για παιδιά ή εργαζόμενους σε μεγάλα συστήματα αρχειοθέτησης·

3. Ο εκπρόσωπος είναι εγκαταστημένος σε ένα από τα κράτη μέλη στο οποίο διαμένουν τα συγκεκριμένα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με την προσφορά αγαθών ή υπηρεσιών σε αυτά, ή των οποίων η συμπεριφορά παρακολουθείται.

3. Ο εκπρόσωπος είναι εγκαταστημένος σε ένα από τα κράτη μέλη στο οποίο πραγματοποιείται η προσφορά αγαθών ή υπηρεσιών στα πρόσωπα στα οποία αναφέρονται τα δεδομένα ή παρακολουθείται η συμπεριφορά τους.

4. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας δεν θίγει τις αγωγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας.

4. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας δεν θίγει τις αγωγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας.

Τροπολογία  121

Πρόταση κανονισμού

Άρθρο 26

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Εκτελών την επεξεργασία

Εκτελών την επεξεργασία

1. Εάν μια πράξη επεξεργασίας πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με τα τεχνικά μέτρα ασφάλειας και τα οργανωτικά μέτρα τα οποία διέπουν την επεξεργασία που πρόκειται να εκτελεσθεί, και διασφαλίζει τη συμμόρφωση προς τα εν λόγω μέτρα.

1. Εάν η επεξεργασία πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με τα τεχνικά μέτρα ασφάλειας και τα οργανωτικά μέτρα τα οποία διέπουν την επεξεργασία που πρόκειται να εκτελεσθεί, και διασφαλίζει τη συμμόρφωση προς τα εν λόγω μέτρα.

2. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία:

2. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία είναι ελεύθεροι να καθορίζουν τους αντίστοιχους ρόλους και τα αντίστοιχα καθήκοντα όσον αφορά τις απαιτήσεις του παρόντος κανονισμού, και προβλέπουν ότι ο εκτελών την επεξεργασία:

α) ενεργεί μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, ιδίως εάν η διαβίβαση των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται απαγορεύεται·

α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν ορίζεται διαφορετικά από το δίκαιο της Ένωσης ή τη νομοθεσία κράτους μέλους·

β) απασχολεί μόνον υπαλλήλους οι οποίοι έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό νόμιμη υποχρέωση τήρησης εμπιστευτικότητας·

β) απασχολεί μόνον υπαλλήλους οι οποίοι έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό νόμιμη υποχρέωση τήρησης εμπιστευτικότητας·

γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 30·

γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 30·

δ) προσλαμβάνει άλλον εκτελούντα την επεξεργασία μόνον με την προηγούμενη άδεια του υπευθύνου επεξεργασίας·

δ) καθορίζει τους όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία, μόνον με την προηγούμενη άδεια του υπευθύνου επεξεργασίας, εκτός εάν ορίζεται διαφορετικά·

ε) στον βαθμό που αυτό είναι εφικτό, λαμβανομένης υπόψη της φύσης της επεξεργασίας, δημιουργεί, σε συμφωνία με τον υπεύθυνο επεξεργασίας, τις αναγκαίες τεχνικές και οργανωτικές συνθήκες για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που υποβάλλονται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα με στόχο την άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του·

ε) στον βαθμό που αυτό είναι εφικτό, λαμβανομένης υπόψη της φύσης της επεξεργασίας, δημιουργεί, σε συμφωνία με τον υπεύθυνο επεξεργασίας, τις κατάλληλες και λυσιτελείς τεχνικές και οργανωτικές συνθήκες για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που υποβάλλονται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα με στόχο την άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του·

στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 30 έως 34·

στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 30 έως 34, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία·

ζ) παραδίδει όλα τα αποτελέσματα στον υπεύθυνο επεξεργασίας μετά το πέρας της επεξεργασίας και δεν επεξεργάζεται άλλως πως τα δεδομένα προσωπικού χαρακτήρα·

ζ) επιστρέφει όλα τα αποτελέσματα στον υπεύθυνο επεξεργασίας μετά το πέρας της επεξεργασίας, δεν επεξεργάζεται άλλως πως τα δεδομένα προσωπικού χαρακτήρα και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή η νομοθεσία κράτους μέλους απαιτούν την αποθήκευση των δεδομένων·

η) θέτει στη διάθεση του υπευθύνου επεξεργασίας και της αρχής ελέγχου κάθε απαραίτητη πληροφορία για τον έλεγχο της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο.

η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει τις επιτόπιες επιθεωρήσεις·

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τεκμηριώνουν εγγράφως τις εντολές του υπευθύνου επεξεργασίας και τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες αναφέρονται στην παράγραφο 2.

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τεκμηριώνουν εγγράφως τις εντολές του υπευθύνου επεξεργασίας και τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες αναφέρονται στην παράγραφο 2.

 

3α. Οι επαρκείς εγγυήσεις σύμφωνα με την παράγραφο 1 μπορούν να αποδεικνύονται με την τήρηση των κωδίκων δεοντολογίας ή των διαδικασιών πιστοποίησης βάσει των άρθρων 38 ·η 39 του παρόντος κανονισμού.

4. Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των οδηγιών του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας που προβλέπονται στο άρθρο 24.

4. Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των εντολών του υπευθύνου επεξεργασίας, ή καθίσταται καθοριστικό μέρος σε σχέση με τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας οι οποίοι προβλέπονται στο άρθρο 24.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις αρμοδιότητες, τις υποχρεώσεις και τα καθήκοντα που αφορούν τον εκτελούντα την επεξεργασία σύμφωνα με την παράγραφο 1, και των προϋποθέσεων που επιτρέπουν τη διευκόλυνση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ομίλου επιχειρήσεων, ιδίως για τους σκοπούς του ελέγχου και της υποβολής εκθέσεων.

 

Τροπολογία              122

Πρόταση κανονισμού

Άρθρο 28

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Τεκμηρίωση

Τεκμηρίωση

1. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας διατηρεί τεκμηρίωση όλων των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος.

1. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία διατηρεί τεκμηρίωση που είναι αναγκαία για την τήρηση των απαιτήσεων που θεσπίζει ο παρών κανονισμός και την επικαιροποιείται τακτικά.

2. Η τεκμηρίωση περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:

2. Επιπλέον, κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία διατηρούν τεκμηρίωση όσον αφορά τις ακόλουθες πληροφορίες:

α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, και του εκπροσώπου, εφόσον συντρέχει περίπτωση·

α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, και του εκπροσώπου, εφόσον συντρέχει περίπτωση·

β) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας των δεδομένων, εφόσον συντρέχει περίπτωση·

β) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας των δεδομένων, εφόσον συντρέχει περίπτωση·

γ) τους σκοπούς της επεξεργασίας, συμπεριλαμβανομένων των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ)·

 

δ) περιγραφή των κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα και των κατηγοριών δεδομένων προσωπικού χαρακτήρα που τα αφορούν·

 

ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των υπευθύνων επεξεργασίας στους οποίους κοινοποιούνται δεδομένα προσωπικού χαρακτήρα για τα έννομα συμφέροντα τα οποία επιδιώκουν·

ε) το όνομα και τα στοιχεία επικοινωνίας των υπευθύνων επεξεργασίας στους οποίους κοινοποιούνται δεδομένα, εφόσον συντρέχει περίπτωση·

στ) όπου έχει εφαρμογή, τις διαβιβάσεις δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 44 παράγραφος 1 στοιχείο η), της τεκμηρίωσης για τις κατάλληλες εγγυήσεις·

 

ζ) γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

 

η) την περιγραφή των μηχανισμών που αναφέρονται στο άρθρο 22 παράγραφος 3.

 

3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας, θέτουν την τεκμηρίωση στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

 

4. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν εφαρμόζονται στους ακόλουθους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία:

διαγράφεται

α) ένα φυσικό πρόσωπο το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς εμπορικό συμφέρον· ή

 

β) μια επιχείρηση ή έναν οργανισμό που απασχολεί λιγότερα από 250 άτομα και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον ως δραστηριότητα παρεπόμενη στις κύριες δραστηριότητές της.

 

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με την τεκμηρίωση που αναφέρεται στην παράγραφο 1, ώστε να λαμβάνονται ειδικότερα υπόψη οι αρμοδιότητες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία και, εφόσον συντρέχει περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας.

 

6. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα για την τεκμηρίωση που αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  123

Πρόταση κανονισμού

Άρθρο 29 – παράγραφος 1

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου στην άσκηση των καθηκόντων της, ιδίως παρέχοντας τις πληροφορίες που αναφέρονται στο άρθρο 53 παράγραφος 2 στοιχείο α) και παρέχοντας πρόσβαση όπως προβλέπεται στο στοιχείο β) της ίδιας παραγράφου.

1. Ο υπεύθυνος επεξεργασίας και, εφόσον συντρέχει περίπτωση, ο εκτελών την επεξεργασία και ο εκπρόσωπος του υπευθύνου επεξεργασίας συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου στην άσκηση των καθηκόντων της, ιδίως παρέχοντας τις πληροφορίες που αναφέρονται στο άρθρο 53 παράγραφος 2 στοιχείο α) και παρέχοντας πρόσβαση όπως προβλέπεται στο στοιχείο β) της ίδιας παραγράφου.

Τροπολογία  124

Πρόταση κανονισμού

Άρθρο 30

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Ασφάλεια επεξεργασίας

Ασφάλεια επεξεργασίας

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίσουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία και η φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους.

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίσουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους, βάσει των αποτελεσμάτων της εκτίμησης επιπτώσεων όσον αφορά την προστασία δεδομένων σύμφωνα με το άρθρο 33.

 

1α. Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής, η εν λόγω πολιτική ασφαλείας περιλαμβάνει:

 

α) τη δυνατότητα διασφάλισης της επαλήθευσης της ακεραιότητας των δεδομένων προσωπικού χαρακτήρα·

 

β) τη δυνατότητα διασφάλισης απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας των συστημάτων και των υπηρεσιών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σε συνεχή βάση·

 

γ) τη δυνατότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης στα δεδομένα σε περίπτωση φυσικής ή τεχνικής βλάβης με αντίκτυπο στη διαθεσιμότητα, την ακεραιότητα και το απόρρητο των πληροφοριακών συστημάτων και υπηρεσιών·

 

δ) στην περίπτωση της επεξεργασίας ευαίσθητων δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα άρθρα 8 και 9, επιπρόσθετα μέτρα ασφαλείας για τη διασφάλιση της επίγνωσης της κατάστασης των κινδύνων και τη δυνατότητα λήψης προληπτικών, διορθωτικών και ανακουφιστικών μέτρων σε σχεδόν πραγματικό χρόνο για την αντιμετώπιση των τρωτών σημείων ή των βλαβών που εντοπίζονται και θα μπορούσαν να συνεπάγονται κίνδυνο για τα δεδομένα·

 

ε) μια διαδικασία για τον τακτικό έλεγχο, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των εφαρμοζόμενων πολιτικών, διαδικασιών και σχεδίων ασφαλείας για τη διασφάλιση διαρκούς αποτελεσματικότητας.

2. Κατόπιν αξιολόγησης των κινδύνων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν τα μέτρα που αναφέρονται στην παράγραφο 1 για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά της τυχαίας ή παράνομης καταστροφής ή της τυχαίας απώλειας, καθώς και για την αποφυγή κάθε παράνομης μορφής επεξεργασίας, ιδίως δε κάθε μη εξουσιοδοτημένης κοινοποίησης, διάδοσης ή πρόσβασης ή αλλοίωσης των δεδομένων προσωπικού χαρακτήρα.

2. Τα μέτρα που αναφέρονται στην παράγραφο 1 πρέπει τουλάχιστον να:

 

α) εξασφαλίζουν ότι πρόσβαση σε προσωπικά δεδομένα μπορεί να έχει μόνον εξουσιοδοτημένο προσωπικό για αυστηρά νομίμως εγκεκριμένους σκοπούς·

 

β) προστατεύουν τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και από μη εγκεκριμένη ή παράνομη αποθήκευση, επεξεργασία, πρόσβαση ή αποκάλυψη· και

 

γ) διασφαλίζουν την εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τα τεχνικά και οργανωτικά μέτρα που αναφέρονται στις παραγράφους 1 και 2, συμπεριλαμβανομένου του ορισμού της κατάστασης της τεχνολογίας, για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων, λαμβάνοντας ιδίως υπόψη τις εξελίξεις στην τεχνολογία και τις λύσεις για την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό και την προστασία των δεδομένων εξ ορισμού, εκτός εάν τυγχάνει εφαρμογής η παράγραφος 4.

3. Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) σχετικά με τα τεχνικά και οργανωτικά μέτρα που αναφέρονται στις παραγράφους 1 και 2, συμπεριλαμβανομένου του ορισμού της κατάστασης της τεχνολογίας, για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων, λαμβάνοντας ιδίως υπόψη τις εξελίξεις στην τεχνολογία και τις λύσεις για την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό και την προστασία των δεδομένων εξ ορισμού.

4. Η Επιτροπή μπορεί να εκδίδει, εάν απαιτείται, εκτελεστικές πράξεις για τον προσδιορισμό των απαιτήσεων που προβλέπονται στις παραγράφους 1 και 2 σε διάφορες καταστάσεις, και ιδίως για:

 

α) την αποφυγή κάθε μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα·

 

β) την αποφυγή κάθε μη εξουσιοδοτημένης κοινοποίησης, ανάγνωσης, αντιγραφής, τροποποίησης, διαγραφής ή αφαίρεσης δεδομένων προσωπικού χαρακτήρα·

 

γ) τη διασφάλιση του ελέγχου της νομιμότητας των πράξεων επεξεργασίας.

 

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

(Η παράγραφος 2 του κειμένου της Επιτροπής διατηρείται εν μέρει στο στοιχείο β) της τροπολογίας του Κοινοβουλίου)

Τροπολογία  125

Πρόταση κανονισμού

Άρθρο 31

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

Κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας κοινοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, ει δυνατόν, το αργότερο εντός 24 ωρών από τη στιγμή που την πληροφορείται. Η κοινοποίηση στην αρχή ελέγχου συνοδεύεται από αιτιολογία στις περιπτώσεις στις οποίες δεν πραγματοποιείται εντός 24 ωρών.

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας κοινοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί.

2. Δυνάμει του άρθρου 26 παράγραφος 2 στοιχείο στ), ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως μετά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

2. Ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μετά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

3. Η κοινοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

3. Η κοινοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

α) να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, των κατηγοριών και του πλήθους των σχετικών αρχείων δεδομένων·

α) να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, των κατηγοριών και του πλήθους των σχετικών αρχείων δεδομένων·

β) να γνωστοποιεί την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

β) να γνωστοποιεί την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

γ) να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

γ) να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ) να περιγράφει τις συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ) να περιγράφει τις συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

ε) να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα.

ε) να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να μετριάζει τις συνέπειές της.

Εάν είναι αναγκαίο, οι πληροφορίες μπορούν να παρέχονται σταδιακά.

4. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση πρέπει να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

4. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση πρέπει να είναι επαρκής ώστε να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο και το άρθρο 30. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

 

4α. Η αρχή ελέγχου διατηρεί δημόσιο μητρώο των τύπων παραβιάσεων που κοινοποιούνται.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη διαπίστωση της παραβίασης των δεδομένων προσωπικού χαρακτήρα που αναφέρεται στις παραγράφους 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να κοινοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

5. Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) σχετικά με τη διαπίστωση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στις παραγράφους 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να κοινοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

6. Η Επιτροπή μπορεί να θεσπίσει τον τυποποιημένο μορφότυπο για την εν λόγω γνωστοποίηση στην αρχή ελέγχου, τις εφαρμοστέες διαδικασίες στην απαίτηση κοινοποίησης, καθώς και τη μορφή και τους τρόπους της τεκμηρίωσης που αναφέρεται στην παράγραφο 4, συμπεριλαμβανομένων των προθεσμιών για τη διαγραφή των πληροφοριών που περιέχονται σε αυτήν. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  126

Πρόταση κανονισμού

Άρθρο 32

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει, μετά την κοινοποίηση που αναφέρεται στο άρθρο 31, να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αμελλητί.

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα, την ιδιωτική ζωή, τα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει, μετά την κοινοποίηση που αναφέρεται στο άρθρο 31, να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αμελλητί.

2. Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1, περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 31 παράγραφος 3 στοιχεία β) και γ).

Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1 είναι ολοκληρωμένη και χρησιμοποιεί σαφή και απλή διατύπωση. Περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 31 παράγραφος 3 στοιχεία β), γ) και δ) καθώς και πληροφορίες σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένου του δικαιώματος αποζημίωσης.

3. Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο ικανοποιητικό για την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα τα οποία αφορά η παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

3. Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο ικανοποιητικό για την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα τα οποία αφορά η παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

4. Με την επιφύλαξη της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εάν ο υπεύθυνος επεξεργασίας δεν έχει ακόμη ειδοποιήσει το συγκεκριμένο πρόσωπο για την παραβίαση των δεδομένων του προσωπικού χαρακτήρα, η αρχή ελέγχου δύναται, αφού εξετάσει τις ενδεχόμενες δυσμενείς συνέπειες της παραβίασης, να απαιτήσει από τον υπεύθυνο επεξεργασίας να το πράξει.

4. Με την επιφύλαξη της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εάν ο υπεύθυνος επεξεργασίας δεν έχει ακόμη ειδοποιήσει το συγκεκριμένο πρόσωπο για την παραβίαση των δεδομένων του προσωπικού χαρακτήρα, η αρχή ελέγχου δύναται, αφού εξετάσει τις ενδεχόμενες δυσμενείς συνέπειες της παραβίασης, να απαιτήσει από τον υπεύθυνο επεξεργασίας να το πράξει.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενής συνέπειες στα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1.

Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενής συνέπειες στα δεδομένα προσωπικού χαρακτήρα, στην ιδιωτική ζωή, στα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα που αναφέρονται στην παράγραφο 1.

6. Η Επιτροπή μπορεί να θεσπίσει τον μορφότυπο της κοινοποίησης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1, και τις εφαρμοστέες διαδικασίες στην εν λόγω κοινοποίηση. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  127

Πρόταση κανονισμού

Άρθρο 32 α (νέο)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

Άρθρο 32α

 

Τήρηση της αρχής περί κινδύνου

 

1. Ο υπεύθυνος επεξεργασίας ή, ενδεχομένως, ο εκτελών την επεξεργασία πραγματοποιεί ανάλυση κινδύνου όσον αφορά τις δυνητικές επιπτώσεις της σκοπούμενης επεξεργασίας δεδομένων στα δικαιώματα και τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, προκειμένου να αξιολογήσει εάν οι επεξεργασίες στις οποίες προβαινει εγκυμονούν κινδύνους.

 

2. Οι επεξεργασίες που ενδέχεται να παρουσιάσουν τέτοιους κινδύνους είναι οι ακόλουθες:

 

α) επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν πάνω από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών·

 

β) επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως αναφέρονται στο άρθρο 9 παράγραφος 1, δεδομένων θέσης ή δεδομένων για παιδιά ή για εργαζομένους σε συστήματα αρχειοθέτησης μεγάλης κλίμακας·

 

γ) κατάρτιση προφίλ, βάσει του οποίου λαμβάνονται μέτρα τα οποία παράγουν έννομες συνέπειες που αφορούν ή επηρεάζουν κατά παρόμοιο τρόπο σημαντικά το φυσικό πρόσωπο·

 

δ) επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την παροχή υγειονομικής περίθαλψης, επιδημιολογικές έρευνες ή μελέτες για ψυχικές ή λοιμώδεις νόσους, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα σε σχέση με συγκεκριμένα φυσικά πρόσωπα ·

 

ε) αυτοματοποιημένη παρακολούθηση δημόσια προσπελάσιμων χώρων σε μεγάλη κλίμακα·

 

στ) άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με τον υπεύθυνο προστασίας των δεδομένων ή με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφος 2 στοιχείο β)·

 

ζ) η πιθανότητα ότι η παραβίαση των δεδομένων προσωπικού χαρακτήρα μπορεί να επηρεάσει αρνητικά την προστασία των δεδομένων προσωπικού χαρακτήρα, την ιδιωτική ζωή, τα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα·

 

η) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα·

 

θ) τα δεδομένα προσωπικού χαρακτήρα καθίστανται προσιτά σε ένα μεγάλο αριθμό προσώπων, ο οποίος λογικά δεν αναμένεται να είναι περιορισμένος.

 

3. Σύμφωνα με το αποτέλεσμα της ανάλυσης κινδύνου:

 

α) εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α) ή β), οι υπεύθυνοι επεξεργασίας που δεν είναι εγκατεστημένοι στην Ένωση ορίζουν έναν εκπρόσωπο στην Ένωση σύμφωνα με τις απαιτήσεις και τις εξαιρέσεις του άρθρου 25·

 

β) εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α), β) ή η), ο υπεύθυνος επεξεργασίας ορίζει έναν υπεύθυνο προστασίας δεδομένων σύμφωνα με τις απαιτήσεις και τις εξαιρέσεις του άρθρου 35·

 

γ) εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α), β), γ), δ), ε), στ), ζ) ή η), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων σχετικά με την προστασία δεδομένων δυνάμει του άρθρου 33·

 

δ) εάν υφίστανται οι πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχείο στ), ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων ή, σε περίπτωση που δεν έχει διοριστεί υπεύθυνος προστασίας δεδομένων, της αρχής ελέγχου σύμφωνα με το άρθρο 34.

 

4. Η ανάλυση κινδύνων επανεξετάζεται μετά από ένα έτος το αργότερο, ή αμελλητί, εάν μεταβληθούν ουσιωδώς η φύση, η έκταση ή οι στόχοι των πράξεων επεξεργασίας δεδομένων. Σε περίπτωση που, σύμφωνα με την παράγραφο 3 στοιχείο γ), ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η ανάλυση κινδύνου τεκμηριώνεται.

Τροπολογία  128

Πρόταση κανονισμού

Κεφάλαιο IV – Τμήμα 3 – τίτλος

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΗΓΟΥΜΕΝΗ ΕΓΚΡΙΣΗ

ΔΙΑΧΕΙΡΗΣΗ ΤΟΥ ΚΥΚΛΟΥ ΖΩΗΣ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Τροπολογία  129

Πρόταση κανονισμού

Άρθρο 33

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

1. Εάν οι πράξεις επεξεργασίας ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

1. Εάν απαιτείται δυνάμει του άρθρου 32α παράγραφος 3 στοιχείο γ), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, ειδικότερα δε σχετικά με το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. Μία μόνο εκτίμηση αρκεί για την κάλυψη δέσμης παρόμοιων πράξεων επεξεργασίας οι οποίες παρουσιάζουν παρόμοιους κινδύνους.

2. Οι ακόλουθες πράξεις επεξεργασίας ειδικότερα ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στην παράγραφο 1:

 

α) συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου, για παράδειγμα με στόχο την ανάλυση ή την πρόβλεψη ειδικότερα της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του φυσικού προσώπου, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία και βάσει της οποίας λαμβάνονται μέτρα τα οποία παράγουν έννομες συνέπειες που αφορούν ή επηρεάζουν σημαντικά το φυσικό πρόσωπο·

 

β) πληροφορίες σχετικά με τη σεξουαλική ζωή, την υγεία, τη φυλή και την εθνοτική καταγωγή ή την παροχή υγειονομικής περίθαλψης, επιδημιολογικές έρευνες ή μελέτες για ψυχικές ή λοιμώδεις νόσους, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα σε σχέση με συγκεκριμένα φυσικά πρόσωπα ·

 

γ) παρακολούθηση δημόσια προσπελάσιμων χώρων, ιδίως με τη χρήση οπτικοηλεκτρονικών συσκευών (επιτήρηση με βίντεο) σε μεγάλη κλίμακα·

 

δ) επεξεργασία δεδομένων προσωπικού χαρακτήρα σε συστήματα αρχειοθέτησης μεγάλης κλίμακας, τα οποία περιέχουν δεδομένα για παιδιά, γενετικά δεδομένα ή βιομετρικά δεδομένα·

 

ε) άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφος 2 στοιχείο β).

 

3. Η εκτίμηση περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων, εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και άλλων ενδιαφερόμενων προσώπων.

3. Η εκτίμηση αναφέρεται στη διαχείριση ολόκληρου του κύκλου ζωής των δεδομένων προσωπικού χαρακτήρα από τη συλλογή τους έως την επεξεργασία και τη διαγραφή τους. Η εκτίμηση αυτή περιέχει τουλάχιστον :

 

α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών της επεξεργασίας και, ενδεχομένως, των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας·

 

β) αξιολόγηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς·

 

γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, συμπεριλαμβανομένου του κινδύνου η πράξη να ενέχει ή να ενισχύει διακρίσεις·

 

δ) περιγραφή των μέτρων που προβλέπονται για την αντιμετώπιση των κινδύνων και τη μείωση του όγκου των δεδομένων προσωπικού χαρακτήρα που υπόκειται σε επεξεργασία·

 

ε) κατάλογο των εγγυήσεων, των μέτρων ασφαλείας και των μηχανισμών, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα, όπως η χρήση ψευδωνύμου, και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και άλλων ενδιαφερόμενων προσώπων·

 

στ) γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

 

ζ) επεξήγηση των πρακτικών που εφαρμόστηκαν για την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού δυνάμει του άρθρου 23·

 

η) κατάλογο των αποδεκτών ή των κατηγοριών αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

 

θ) κατά περίπτωση, κατάλογο των προβλεπόμενων διαβιβάσεων δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 44 παράγραφος 1 στοιχείο η), την τεκμηρίωση για τις κατάλληλες εγγυήσεις·

 

ι) εκτίμηση του πλαισίου της επεξεργασίας δεδομένων.

 

3α. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν ορίσει έναν υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα, τότε ο εν λόγω υπεύθυνος πρέπει να συμμετέχει στη διαδικασία εκτίμησης των επιπτώσεων.

 

3β. Η εκτίμηση τεκμηριώνεται και θεσπίζεται ένα χρονοδιάγραμμα τακτικών περιοδικών ελέγχων της συμμόρφωσης σχετικά με την προστασία δεδομένων δυνάμει του άρθρου 33α παράγραφος 1. Η εκτίμηση επικαιροποιείται αμελλητί, εάν τα πορίσματα του ελέγχου της συμμόρφωσης σχετικά με την προστασία δεδομένων που αναφέρεται στο άρθρο 33α εντοπίσουν πλημμελή συμμόρφωση. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθώς και ο εκπρόσωπος του υπεύθυνου επεξεργασίας, εάν υπάρχει, θέτουν την εκτίμηση στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

4. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

 

5. Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή δημόσιος φορέας και εάν η επεξεργασία απορρέει από νομική υποχρέωση δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) η οποία προβλέπει κανόνες και διαδικασίες για τις πράξεις επεξεργασίας και ρυθμίζεται από το δίκαιο της Ένωσης, οι παράγραφοι 1 έως 4 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη θεωρούν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

 

6. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τις πράξεις επεξεργασίας που μπορεί να ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στις παραγράφους 1 και 2, καθώς και των απαιτήσεων για την εκτίμηση που αναφέρεται στην παράγραφο 3, συμπεριλαμβανομένων των προϋποθέσεων για επεκτασιμότητα, επαλήθευση και δυνατότητα ελέγχου. Στο πλαίσιο αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

 

7. Η Επιτροπή μπορεί να προσδιορίζει πρότυπα και διαδικασίες για την εκτέλεση, την επαλήθευση και τον έλεγχο της εκτίμησης που αναφέρεται στην παράγραφο 3. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

(Μέρος της παραγράφου 3 στο κείμενο της Επιτροπής γίνεται στοιχεία α), γ), δ) και ε) στην τροπολογία του Κοινοβουλίου)

Τροπολογία  130

Πρόταση κανονισμού

Άρθρο 33 α (νέο)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

Άρθρο 33α

 

Έλεγχος της τήρησης της συμμόρφωσης για την προστασία δεδομένων

 

1. Το αργότερο δύο χρόνια μετά από την διενέργεια εκτίμησης επιπτώσεων δυνάμει του άρθρου 33 παράγραφος 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν έλεγχο της συμμόρφωσης. Ο εν λόγω έλεγχος της συμμόρφωσης θα αποδεικνύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με την εκτίμηση των επιπτώσεων σχετικά με την προστασία δεδομένων.

 

2. Ο έλεγχος της συμμόρφωσης θα διενεργείται τακτικά τουλάχιστον μία φορά ανά δύο έτη, ή αμέσως μόλις επέλθει μεταβολή όσον αφορά τους ειδικούς κινδύνους που σχετίζονται κατά τις πράξεις επεξεργασίας.

 

3. Όταν τα πορίσματα του ελέγχου της συμμόρφωσης εντοπίζουν πλημμελή συμμόρφωση, η αναθεώρηση της συμμόρφωσης θα περιέχει συστάσεις σχετικά με τον τρόπο επίτευξης πλήρους συμμόρφωσης.

 

4. Ο έλεγχος της συμμόρφωσης και οι συστάσεις που περιέχει, τεκμηριώνονται. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθώς και ο εκπρόσωπος του υπευθύνου επεξεργασίας, εάν υπάρχει, θέτουν τον έλεγχο της συμμόρφωσης στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

 

5. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν ορίσει έναν υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα, τότε ο εν λόγω υπεύθυνος πρέπει να συμμετέχει στη διαδικασία ελέγχου της συμμόρφωσης.

Τροπολογία  131

Πρόταση κανονισμού

Άρθρο 34

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Προηγούμενη έγκριση και προηγούμενη διαβούλευση

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ανάλογα με την περίπτωση, εξασφαλίζουν έγκριση από την αρχή ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θεσπίζει συμβατικές ρήτρες, όπως προβλέπεται στο άρθρο 42 παράγραφος 2 στοιχείο δ), ή δεν παρέχει κατάλληλες εγγυήσεις σε νομικά δεσμευτική πράξη, όπως προβλέπεται στο άρθρο 42 παράγραφος 5, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό.

 

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, ζητούν τη γνώμη της αρχής ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν:

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, ζητούν τη γνώμη του υπευθύνου προστασίας δεδομένων ή, σε περίπτωση που δεν έχει διοριστεί υπεύθυνος προστασίας δεδομένων, της αρχής ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν:

α) η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η οποία προβλέπεται στο άρθρο 33, υποδεικνύει ότι οι πράξεις επεξεργασίας ενδέχεται, λόγω της φύσης, της έκτασης ή του σκοπού τους, να ενέχουν υψηλό βαθμό συγκεκριμένων κινδύνων· ή

α) η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η οποία προβλέπεται στο άρθρο 33, υποδεικνύει ότι οι πράξεις επεξεργασίας ενδέχεται, λόγω της φύσης, της έκτασης ή του σκοπού τους, να ενέχουν υψηλό βαθμό συγκεκριμένων κινδύνων· ή

β) η αρχή ελέγχου θεωρεί απαραίτητη τη διενέργεια προηγούμενης διαβούλευσης για πράξεις επεξεργασίας οι οποίες ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες λόγω της φύσης, της έκτασης ή/και των σκοπών τους και προσδιορίζονται σύμφωνα με την παράγραφο 4.

β) ο υπεύθυνος προστασίας δεδομένων ή η αρχή ελέγχου θεωρούν απαραίτητη τη διενέργεια προηγούμενης διαβούλευσης για πράξεις επεξεργασίας οι οποίες ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες λόγω της φύσης, της έκτασης ή/και των σκοπών τους και προσδιορίζονται σύμφωνα με την παράγραφο 4.

3. Εάν φρονεί ότι η σχεδιαζόμενη επεξεργασία δεν είναι σύμφωνη προς τον παρόντα κανονισμό, και ιδίως εάν οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, η αρχή ελέγχου απαγορεύει τη σχεδιαζόμενη επεξεργασία και διατυπώνει κατάλληλες προτάσεις για την επανόρθωση της μη συμμόρφωσης.

3. Εάν η αρμόδια αρχή ελέγχου καθορίσει στο πλαίσιο της αρμοδιότητάς της ότι η σχεδιαζόμενη επεξεργασία δεν είναι σύμφωνη προς τον παρόντα κανονισμό, και ιδίως εάν οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, απαγορεύει τη σχεδιαζόμενη επεξεργασία και διατυπώνει κατάλληλες προτάσεις για την επανόρθωση της μη συμμόρφωσης.

4. Η αρχή ελέγχου καταρτίζει και δημοσιοποιεί κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 2 στοιχείο β). Η αρχή ελέγχου κοινοποιεί τους εν λόγω καταλόγους στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

4. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καταρτίζει και δημοσιοποιεί κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 2.

5. Εάν ο κατάλογος που προβλέπεται στην παράγραφο 4 περιλαμβάνει δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή με την παρακολούθηση της συμπεριφοράς τους ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, τότε η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 πριν από την έκδοση του καταλόγου.

 

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχουν στην αρχή ελέγχου την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων η οποία προβλέπεται στο άρθρο 33 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην αρχή ελέγχου να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του προσώπου στο οποίο αυτά αναφέρονται και τις σχετικές εγγυήσεις.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχουν στην αρχή ελέγχου, κατόπιν αιτήματος, την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33 και οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην αρχή ελέγχου να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του προσώπου στο οποίο αυτά αναφέρονται και τις σχετικές εγγυήσεις.

7. Τα κράτη μέλη ζητούν τη γνώμη της αρχής ελέγχου κατά την επεξεργασία νομοθετικού μέτρου το οποίο πρόκειται να θεσπισθεί από το εθνικό κοινοβούλιο ή μέτρου βασισμένου σε ένα τέτοιο νομοθετικό μέτρο, το οποίο ορίζει τη φύση της διαδικασίας, προκειμένου να διασφαλίζεται συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

7. Τα κράτη μέλη ζητούν τη γνώμη της αρχής ελέγχου κατά την επεξεργασία νομοθετικού μέτρου το οποίο πρόκειται να θεσπισθεί από το εθνικό κοινοβούλιο ή μέτρου βασισμένου σε ένα τέτοιο νομοθετικό μέτρο, το οποίο ορίζει τη φύση της διαδικασίας, προκειμένου να διασφαλίζεται συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τον καθορισμό του υψηλού βαθμού συγκεκριμένου κινδύνου που αναφέρεται στην παράγραφο 2 στοιχείο α).

 

9. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα και διαδικασίες για τις προηγούμενες εγκρίσεις και διαβουλεύσεις που αναφέρονται στις παραγράφους 1 και 2, καθώς και τυποποιημένα έντυπα και διαδικασίες για την ενημέρωση των αρχών ελέγχου δυνάμει της παραγράφου 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία              132

Πρόταση κανονισμού

Άρθρο 35

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Ορισμός του υπευθύνου προστασίας δεδομένων

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα· ή

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα· ή

β) η επεξεργασία διενεργείται από επιχείρηση η οποία απασχολεί τουλάχιστον 250 άτομα· ή

β) η επεξεργασία διενεργείται από νομικό πρόσωπο και αφορά πάνω από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών· ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα.

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα· ή

 

δ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται στην επεξεργασία ειδικών κατηγοριών δεδομένων δυνάμει του άρθρου 9 παράγραφος 1, δεδομένων θέσης ή δεδομένων για παιδιά ή για άτομα που εργάζονται σε συστήματα αρχειοθέτησης μεγάλης κλίμακας·

2. Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο β), ένας όμιλος επιχειρήσεων μπορεί να διορίσει έναν μοναδικό υπεύθυνο προστασίας δεδομένων.

2. Ένας όμιλος επιχειρήσεων μπορεί να διορίσει έναν κύριο υπεύθυνο προστασίας δεδομένων, εφόσον διασφαλίζεται ότι από κάθε εγκατάσταση υπάρχει εύκολη πρόσβαση σε έναν υπεύθυνο προστασίας δεδομένων.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για περισσότερες από τις οντότητές της (του), λαμβάνοντας υπόψη την οργανωτική δομή της δημόσιας αρχής ή του δημόσιου φορέα.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για περισσότερες από τις οντότητές της (του), λαμβάνοντας υπόψη την οργανωτική δομή της δημόσιας αρχής ή του δημόσιου φορέα.

4. Σε άλλες περιπτώσεις εκτός από τις αναφερόμενες στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων.

4. Σε άλλες περιπτώσεις εκτός από τις αναφερόμενες στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων.

5. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν τον υπεύθυνο προστασίας δεδομένων βάσει επαγγελματικών προσόντων και ιδίως πείρας στο δίκαιο και στις πρακτικές προστασίας των δεδομένων και ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37. Το αναγκαίο επίπεδο πείρας καθορίζεται ειδικότερα ανάλογα με την επεξεργασία δεδομένων που διενεργείται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

5. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν τον υπεύθυνο προστασίας δεδομένων βάσει επαγγελματικών προσόντων και ιδίως πείρας στο δίκαιο και στις πρακτικές προστασίας των δεδομένων και ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37. Το αναγκαίο επίπεδο πείρας καθορίζεται ειδικότερα ανάλογα με την επεξεργασία δεδομένων που διενεργείται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι κάθε άλλο επαγγελματικό καθήκον του υπευθύνου προστασίας δεδομένων είναι συμβατό προς τα καθήκοντα και τις αρμοδιότητες του προσώπου ως υπευθύνου προστασίας δεδομένων και δεν συνεπάγονται σύγκρουση συμφερόντων.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι κάθε άλλο επαγγελματικό καθήκον του υπευθύνου προστασίας δεδομένων είναι συμβατό προς τα καθήκοντα και τις αρμοδιότητες του προσώπου ως υπευθύνου προστασίας δεδομένων και δεν συνεπάγονται σύγκρουση συμφερόντων.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας των δεδομένων για διάστημα τουλάχιστον δύο ετών. Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί εκ νέου για περαιτέρω θητείες. Κατά τη διάρκεια της θητείας του, ο υπεύθυνος προστασίας δεδομένων μπορεί να απομακρυνθεί από τη θέση του μόνον εάν δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας των δεδομένων για διάστημα τουλάχιστον τεσσάρων ετών εάν πρόκειται για εργαζόμενο ή δύο ετών εάν πρόκειται για εξωτερικό πάροχος υπηρεσιών. Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί εκ νέου για περαιτέρω θητείες. Κατά τη διάρκεια της θητείας του, ο υπεύθυνος προστασίας δεδομένων μπορεί να απομακρυνθεί από τη θέση του μόνον εάν δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

8. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι υπάλληλος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

8. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι υπάλληλος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

9. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στην αρχή ελέγχου και στο κοινό.

9. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στην αρχή ελέγχου και στο κοινό.

10. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιούνται να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων που τα αφορούν και να ζητούν να ασκήσουν τα δικαιώματα που απορρέουν από τον παρόντα κανονισμό.

10. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιούνται να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων που τα αφορούν και να ζητούν να ασκήσουν τα δικαιώματα που απορρέουν από τον παρόντα κανονισμό.

11. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που αναφέρονται στην παράγραφο 1 στοιχείο γ), καθώς και των κριτηρίων σχετικά με τα επαγγελματικά προσόντα του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 5.

 

Τροπολογία  133

Πρόταση κανονισμού

Άρθρο 36

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Θέση του υπευθύνου προστασίας δεδομένων

Θέση του υπευθύνου προστασίας δεδομένων

1. Ο ελεγκτής ή ο επεξεργαστής διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία προσωπικών δεδομένων.

1. Ο ελεγκτής ή ο επεξεργαστής διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία προσωπικών δεδομένων.

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων ασκεί τις αρμοδιότητες και τα καθήκοντά του ανεξάρτητα και δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στη διοίκηση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων ασκεί τις αρμοδιότητες και τα καθήκοντά του ανεξάρτητα και δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στην εκτελεστική διοίκηση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν ένα εκτελεστικό διοικητικό στέλεχος το οποίο είναι υπεύθυνο για την τήρηση των διατάξεων του παρόντος κανονισμού.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του και παρέχουν υπαλλήλους, εγκαταστάσεις, εξοπλισμό και κάθε άλλο πόρο απαραίτητο για την άσκηση των αρμοδιοτήτων και των καθηκόντων που αναφέρονται στο άρθρο 37.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του και παρέχουν όλα τα μέσα, που συμπεριλαμβάνουν υπαλλήλους, εγκαταστάσεις, εξοπλισμό και κάθε άλλο πόρο απαραίτητο για την άσκηση των αρμοδιοτήτων και των καθηκόντων που αναφέρονται στο άρθρο 37, και για τη διατήρηση των επαγγελματικών γνώσεών του.

 

4. Οι υπεύθυνοι προστασίας δεδομένων δεσμεύονται από απόρρητο σχετικά με την ταυτότητα των προσώπων στα οποία αναφέρονται τα δεδομένα και σχετικά με τις συνθήκες που επιτρέπουν την αναγνώριση των προσώπων στα οποία αναφέρονται τα δεδομένα, εκτός εάν απαλλάσσονται από την υποχρέωση αυτή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

Τροπολογία  134

Πρόταση κανονισμού

Άρθρο 37

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Καθήκοντα του υπευθύνου προστασίας δεδομένων

Καθήκοντα του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτουν στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτουν στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:

α) να ενημερώνει και να πληροφορεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

α) να ευαισθητοποιεί, να ενημερώνει και να πληροφορεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τεχνικά και οργανωτικά μέτρα και διαδικασίες, και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

(b) να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

(b) να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

γ) να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τον παρόντα κανονισμό·

γ) να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τον παρόντα κανονισμό·

δ) να διασφαλίζει ότι τηρείται η τεκμηρίωση που προβλέπεται στο άρθρο 28·

δ) να διασφαλίζει ότι τηρείται η τεκμηρίωση που προβλέπεται στο άρθρο 28·

ε) να παρακολουθεί την τεκμηρίωση και τις κοινοποιήσεις των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 31 και 32·

ε) να παρακολουθεί την τεκμηρίωση και τις κοινοποιήσεις των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 31 και 32·

στ) να παρακολουθεί τη διενέργεια της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και την αίτηση περί προηγούμενης έγκρισης ή προηγούμενης διαβούλευσης, εφόσον απαιτείται δυνάμει των άρθρων 33 και 34·

στ) να παρακολουθεί τη διενέργεια της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και την αίτηση περί προηγούμενης διαβούλευσης, εφόσον απαιτείται δυνάμει των άρθρων 32α, 33 και 34·

ζ) να παρακολουθεί την απάντηση της αρχής ελέγχου σε αιτήματα και, στο πλαίσιο της αρμοδιότητας του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με πρωτοβουλία του υπευθύνου προστασίας δεδομένων·

ζ) να παρακολουθεί την απάντηση της αρχής ελέγχου σε αιτήματα και, στο πλαίσιο της αρμοδιότητας του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με πρωτοβουλία του υπευθύνου προστασίας δεδομένων·

η) να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με δική του πρωτοβουλία.

η) να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με δική του πρωτοβουλία.

 

θ) να επαληθεύει τη συμμόρφωση προς τον παρόντα κανονισμό στο πλαίσιο του μηχανισμού προηγούμενης διαβούλευσης που ορίζεται στο άρθρο 34·

 

ι) να ενημερώνει τους εκπροσώπους των εργαζομένων σχετικά με την επεξεργασία των δεδομένων των εργαζομένων.

2. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τα καθήκοντα, την πιστοποίηση, το καθεστώς, τις αρμοδιότητες και τους πόρους του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 1.

 

Τροπολογία  135

Πρόταση κανονισμού

Άρθρο 38

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Κώδικες δεοντολογίας

Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι αρχές ελέγχου και η Επιτροπή παροτρύνουν την εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας δεδομένων, ιδίως όσον αφορά:

1. Τα κράτη μέλη, οι αρχές ελέγχου και η Επιτροπή παροτρύνουν την εκπόνηση κωδίκων δεοντολογίας ή την έγκριση κωφίκων δεοντολογίας που εκπονούνται από μία αρχή ελέγχου προκειμένου να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας δεδομένων, ιδίως όσον αφορά:

α) τη θεμιτή και διαφανή επεξεργασία των δεδομένων·

α) τη θεμιτή και διαφανή επεξεργασία των δεδομένων·

 

αα) τον σεβασμό των δικαιωμάτων του καταναλωτή·

β) τη συλλογή δεδομένων·

β) τη συλλογή δεδομένων·

γ) την ενημέρωση του κοινού και των προσώπων στα οποία αναφέρονται τα δεδομένα·

γ) την ενημέρωση του κοινού και των προσώπων στα οποία αναφέρονται τα δεδομένα·

δ) τα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους·

δ) τα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους·

ε) την ενημέρωση και την προστασία των παιδιών·

ε) την ενημέρωση και την προστασία των παιδιών·

στ) τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς·

στ) τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς·

ζ) τους μηχανισμούς παρακολούθησης και διασφάλισης της συμμόρφωσης προς τον κώδικα από τους υπευθύνους επεξεργασίας που τον εφαρμόζουν·

ζ) τους μηχανισμούς παρακολούθησης και διασφάλισης της συμμόρφωσης προς τον κώδικα από τους υπευθύνους επεξεργασίας που τον εφαρμόζουν·

η) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα δυνάμει των άρθρων 73 και 75.

η) εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα δυνάμει των άρθρων 73 και 75.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε ένα κράτος μέλος, οι οποίοι προτίθενται να εκπονήσουν κώδικες δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, μπορούν να τους υποβάλουν για γνωμοδότηση στην αρχή ελέγχου του συγκεκριμένου κράτους μέλους. Η αρχή ελέγχου μπορεί να γνωμοδοτήσει σχετικά με το κατά πόσον το σχέδιο κώδικα δεοντολογίας είναι σύμφωνο προς τον παρόντα κανονισμό. Η αρχή ελέγχου ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τα εν λόγω σχέδια.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε ένα κράτος μέλος, οι οποίοι προτίθενται να εκπονήσουν κώδικες δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, μπορούν να τους υποβάλουν για γνωμοδότηση στην αρχή ελέγχου του συγκεκριμένου κράτους μέλους. Η αρχή ελέγχου γνωμοδοτεί αμελλητί σχετικά με το κατά πόσον η επεξεργασία στο πλαίσιο του σχεδίου κώδικα δεοντολογίας είναι σύμφωνη προς τον παρόντα κανονισμό. Η αρχή ελέγχου ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τα εν λόγω σχέδια.

3. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας σε περισσότερα κράτη μέλη μπορούν να υποβάλουν σχέδια κωδίκων δεοντολογίας και τροποποιήσεις ή επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας στην Επιτροπή.

3. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε περισσότερα κράτη μέλη μπορούν να υποβάλουν σχέδια κωδίκων δεοντολογίας και τροποποιήσεις ή επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας στην Επιτροπή.

4. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις με τις οποίες αποφασίζει ότι οι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας της Ένωσης που της υποβλήθηκαν δυνάμει της παραγράφου 3 έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

4. Η Επιτροπή, αφού ζητήσει γνωμοδότηση από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86, με τις οποίες αποφασίζει ότι οι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας της Ένωσης που της υποβλήθηκαν δυνάμει της παραγράφου 3 συνάδουν με τον παρόντα κανονισμό και έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις παρέχουν στα πρόσωπα, στα οποία αναφέρονται τα δεδομένα, δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας.

5. Η Επιτροπή διασφαλίζει κατάλληλη δημοσιότητα για τους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 4.

5. Η Επιτροπή διασφαλίζει κατάλληλη δημοσιότητα για τους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 4.

Τροπολογία  136

Πρόταση κανονισμού

Άρθρο 39

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Πιστοποίηση

Πιστοποίηση

1. Τα κράτη μέλη και η Επιτροπή παροτρύνουν, ιδίως σε ευρωπαϊκό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, σφραγίδων και σημάτων προστασίας δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων που παρέχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία. Οι μηχανισμοί πιστοποίησης προστασίας δεδομένων συμβάλλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά των διάφορων τομέων και πράξεων επεξεργασίας.

 

 

1α. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να ζητήσει από κάθε αρχή ελέγχου στην Ένωση ένα εύλογο τέλος, λαμβάνοντας υπόψη το διοικητικό κόστος μιας πιστοποίησης ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα διεξάγεται σύμφωνα με τον παρόντα κανονισμό και ειδικότερα με τις αρχές που θεσπίζονται στα άρθρα 5, 23 και 30, τις υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία καθώς και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

 

1β. Η πιστοποίηση είναι εθελοντική, προσιτή οικονομικά και διαθέσιμη μέσω διαφανούς και μη περίπλοκης διαδικασίας.

 

1γ. Οι αρχές ελέγχου και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συνεργάζονται στο πλαίσιο του μηχανισμού συνοχής, σύμφωνα με το άρθρο 57, προκειμένου να διασφαλίσουν μια εναρμονισμένη διαδικασία πιστοποίησης όσον αφορά την προστασία δεδομένων, συμπεριλαμβανομένης της εναρμόνισης των τελών εντός της Ένωσης.

 

1δ. Κατά τη διάρκεια της διαδικασίας πιστοποίησης, η αρχή ελέγχου μπορεί να παράσχει διαπίστευση σε εξειδικευμένους τρίτους ελεγκτές να διεξαγάγουν έλεγχο επί του υπευθύνου επεξεργασίας ή του εκτελούντα την επεξεργασία. Οι τρίτοι ελεγκτές διαθέτουν επαρκώς εκπαιδευμένο προσωπικό, είναι αμερόληπτοι και δεν εμπλέκονται σε συγκρούσεις συμφερόντων όσον αφορά τα καθήκοντά τους. Οι αρχές ελέγχου ανακαλούν τη διαπίστευση όταν πιθανολογείται ότι ο ελεγκτής δεν εκπληρώνει ορθά τα καθήκοντα του. Η τελική πιστοποίηση χορηγείται από την αρχή ελέγχου.

 

1ε. Οι αρχές ελέγχου χορηγούν στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία για τους οποίους ο έλεγχος πιστοποιεί ότι η επεξεργασία των προσωπικών δεδομένων συμμορφούται προς τον παρόντα κανονισμό, το τυποποιημένο σήμα προστασίας δεδομένων με την ονομασία «ευρωπαϊκή σφραγίδα προστασίας δεδομένων».

,

1στ. Η «ευρωπαϊκή σφραγίδα προστασίας δεδομένων» ισχύει για όσο διάστημα οι πράξεις επεξεργασίας των δεδομένων που εξασφαλίζει ο πιστοποιημένος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εξακολουθούν να συνάδουν πλήρως με τον παρόντα κανονισμό.

 

1ζ. Με την επιφύλαξη της παραγράφου 1στ, η πιστοποίηση έχει μέγιστη ισχύ πέντε ετών.

 

1η. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καταρτίζει δημόσιο ηλεκτρονικό μητρώο στο οποίο το κοινό μπορεί να λάβει γνώση του συνόλου των πιστοποιητικών που έχουν εκδοθεί στο εκάστοτε κράτος μέλος, είτε είναι σε ισχύ είτε όχι.

 

1θ. Το Ευρωπαϊκό Συμβούλιο προστασίας δεδομένων μπορεί με δική του πρωτοβουλία να πιστοποιήσει ότι ένα τεχνικό πρότυπο για τη βελτίωση της προστασίας δεδομένων είναι συμβατό με τον παρόντα κανονισμό.

2. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους μηχανισμούς πιστοποίησης προστασίας των δεδομένων που αναφέρονται στην παράγραφο 1, συμπεριλαμβανομένων των προϋποθέσεων σχετικά με τη χορήγηση και την απόσυρση, και των απαιτήσεων για την αναγνώριση στην Ένωση και σε τρίτες χώρες.

2. Αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, και μετά από διαβούλευση με τα ενδιαφερόμενα μέρη, ιδίως τη βιομηχανία και μη κυβερνητικές οργανώσεις, η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους μηχανισμούς πιστοποίησης προστασίας των δεδομένων που αναφέρονται στις παραγράφους 1α έως 1η, συμπεριλαμβανομένων των απαιτήσεων διαπίστευσης ελεγκτών, των προϋποθέσεων σχετικά με τη χορήγηση και την απόσυρση, και των απαιτήσεων για την αναγνώριση και προώθηση στην Ένωση και σε τρίτες χώρες. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας.

3. Η Επιτροπή μπορεί να θεσπίζει τεχνικά πρότυπα για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων καθώς και μηχανισμούς για την προώθηση και την αναγνώριση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  137

Πρόταση κανονισμού

Άρθρο 41

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Διαβιβάσεις με απόφαση περί επάρκειας

Διαβιβάσεις με απόφαση περί επάρκειας

1. Μια διαβίβαση μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί καμία περαιτέρω έγκριση.

1. Μια διαβίβαση μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί ειδική έγκριση.

2. Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη τα ακόλουθα στοιχεία:

2. Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη τα ακόλουθα στοιχεία:

α) το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, τα ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

α) το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, καθώς επίσης και την εφαρμογή της εν λόγω νομοθεσίας, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, τα νομολογιακά προηγούμενα, τα ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

β) την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

β) την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής κυρώσεων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

γ) τις διεθνείς δεσμεύσεις που έχουν αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός.

γ) τις διεθνείς δεσμεύσεις που έχουν αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός, ειδικότερα κάθε νομικά δεσμευτική σύμβαση ή νομικό μέσο όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή μπορεί να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν κατάλληλο επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 προκειμένου να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν κατάλληλο επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις προβλέπουν μια ρήτρα λήξης ισχύος εφόσον αφορούν ένα τομέα επεξεργασίας και ανακαλούνται, σύμφωνα με την παράγραφο 5, εφόσον δεν διασφαλίζεται πλέον ένα επαρκές επίπεδο προστασίας σύμφωνα με τον παρόντα κανονισμό.

4. Η εκτελεστική πράξη προσδιορίζει τη γεωγραφική και τομεακή εφαρμογή της καθώς και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

4. Η κατ’ εξουσιοδότηση πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

 

4α. Η Επιτροπή παρακολουθεί, σε συνεχή βάση, τις εξελίξεις που μπορούν να επηρεάσουν τις παραμέτρους που απαριθμούνται στην παράγραφο 2 σε τρίτες χώρες και διεθνείς οργανισμούς, για τις οποίες έχουν εκδοθεί κατ’ εξουσιοδότηση πράξεις δυνάμει της παραγράφου 3.

5. Η Επιτροπή μπορεί να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2, ή, σε εξαιρετικά επείγουσες περιπτώσεις για φυσικά πρόσωπα όσον αφορά το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 87 παράγραφος 3.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 προκειμένου να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός δεν διασφαλίζουν ή δεν διασφαλίζουν πλέον κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται.

6. Εάν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα, ή σε έδαφος ή σε τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή στον διεθνή οργανισμό απαγορεύεται, με την επιφύλαξη των άρθρων 42 έως 44. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

6. Εάν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα, ή σε έδαφος ή σε τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή στον διεθνή οργανισμό απαγορεύεται, με την επιφύλαξη των άρθρων 42 έως 44. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

 

6α. Πριν από την έκδοση κατ’ εξουσιοδότηση πράξης σύμφωνα με τις παραγράφους 3 και 5, η Επιτροπή ζητεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να γνωμοδοτήσει σχετικά με την επάρκεια του επιπέδου προστασίας. Για τον σκοπό αυτό, η Επιτροπή παρέχει στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, του εδάφους ή του τομέα επεξεργασίας εντός της τρίτης χώρας ή του διεθνούς οργανισμού.

7. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και διεθνών οργανισμών όπου αποφασίζει ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

7. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και διεθνών οργανισμών όπου αποφασίζει ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

8. Οι αποφάσεις που εκδόθηκαν από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή.

8. Οι αποφάσεις που εκδόθηκαν από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως πέντε έτη μετά την έναρξη ισχύος του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή πριν από το τέλος της εν λόγω περιόδου.

Τροπολογία  138

Πρόταση κανονισμού

Άρθρο 42

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Διαβιβάσεις μέσω κατάλληλων εγγυήσεων

Διαβιβάσεις μέσω κατάλληλων εγγυήσεων

1. Εάν η Επιτροπή δεν λάβει καμία απόφαση δυνάμει του άρθρου 41, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη.

1. Εάν η Επιτροπή δεν λάβει καμία απόφαση δυνάμει του άρθρου 41 ή αποφασίσει ότι μια τρίτη χώρα, ή μια περιοχή ή ένας τομέας επεξεργασίας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός δεν εξασφαλίζει επαρκές επίπεδο προστασίας σύμφωνα με το άρθρο 41 παράγραφος 5, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν μπορούν να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα, σε έδαφος ή σε διεθνή οργανισμό εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 παρέχονται, ειδικότερα, μέσω:

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 παρέχονται, ειδικότερα, μέσω:

α) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 43· ή

α) δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 43· ή

 

αα) μιας ισχύουσας «ευρωπαϊκής σφραγίδας προστασίας δεδομένων» για τον υπεύθυνο επεξεργασίας και τον αποδέκτη σύμφωνα με το άρθρο 39 παράγραφος 1ε· ή

β) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2· ή

 

γ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από αρχή ελέγχου σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 όταν κηρύσσονται γενικά ισχυρές από την Επιτροπή δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο β)· ή

γ) τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από αρχή ελέγχου σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 όταν κηρύσσονται γενικά ισχυρές από την Επιτροπή δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο β)· ή

δ) συμβατικών ρητρών που συνάπτονται μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του αποδέκτη των δεδομένων, οι οποίες εγκρίνονται από αρχή ελέγχου σύμφωνα με την παράγραφο 4.

δ) συμβατικών ρητρών που συνάπτονται μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του αποδέκτη των δεδομένων, οι οποίες εγκρίνονται από αρχή ελέγχου σύμφωνα με την παράγραφο 4.

3. Διαβίβαση η οποία βασίζεται σε τυποποιημένες ρήτρες προστασίας δεδομένων ή δεσμευτικούς εταιρικούς κανόνες, όπως αναφέρεται στην παράγραφο 2 στοιχεία α), β) ή γ), δεν απαιτεί περαιτέρω έγκριση.

3. Διαβίβαση η οποία βασίζεται σε τυποποιημένες ρήτρες προστασίας δεδομένων, στην «ευρωπαϊκή σφραγίδα προστασίας δεδομένων» ή σε δεσμευτικούς εταιρικούς κανόνες, όπως αναφέρεται στην παράγραφο 2 στοιχεία α), αα) ή γ), δεν απαιτεί ειδική έγκριση.

4. Εάν η διαβίβαση βασίζεται σε συμβατικές ρήτρες, όπως αναφέρεται στην παράγραφο 2 στοιχείο δ) του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση των συμβατικών ρητρών από την αρχή ελέγχου σύμφωνα με το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή σε άλλα κράτη μέλη ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

4. Εάν η διαβίβαση βασίζεται σε συμβατικές ρήτρες, όπως αναφέρεται στην παράγραφο 2 στοιχείο δ) του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση των συμβατικών ρητρών από την αρχή ελέγχου. Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή σε άλλα κράτη μέλη ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

5. Εάν οι κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα δεν προβλέπονται σε νομικά δεσμευτική πράξη, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση για τη διαβίβαση, ή για μια σειρά διαβιβάσεων, ή για τη συμπερίληψη διατάξεων σε διοικητικές συμφωνίες οι οποίες παρέχουν τη βάση για την εν λόγω διαβίβαση. Η εν λόγω έγκριση της αρχής ελέγχου πρέπει να είναι σύμφωνη προς το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή σε άλλα κράτη μέλη ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57. Οι εγκρίσεις αρχής ελέγχου βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ, έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την εν λόγω αρχή ελέγχου.

5. Οι εγκρίσεις αρχής ελέγχου βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ για δύο χρόνια μετά τη θέση σε ισχύ του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την εν λόγω αρχή ελέγχου πριν από το τέλος της περιόδου αυτής.

Τροπολογία              139

Πρόταση κανονισμού

Άρθρο 43

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων

Διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων

1. Η αρχή ελέγχου εγκρίνει, σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 58, δεσμευτικούς εταιρικούς κανόνες, υπό τον όρο ότι

1. Η αρχή ελέγχου εγκρίνει, σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 58, δεσμευτικούς εταιρικούς κανόνες, υπό τον όρο ότι

α) είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε μέλος και επιβάλλονται από κάθε μέλος στον όμιλο επιχειρήσεων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, περιλαμβανομένων των υπαλλήλων τους·

α) είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε μέλος και επιβάλλονται από κάθε μέλος στον όμιλο επιχειρήσεων του υπευθύνου επεξεργασίας ή των εξωτερικών υπεργολάβων που εμπίπτουν στο πεδίο εφαρμογής των δεσμευτικών εταιρικών κανόνων, περιλαμβανομένων των υπαλλήλων τους·

β) απονέμουν ρητώς δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα·

β) απονέμουν ρητώς δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα·

γ) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

γ) πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

 

1α. Σε σχέση με δεδομένα στον τομέα της απασχόλησης, οι εκπρόσωποι των εργαζομένων ενημερώνονται και, σύμφωνα με τις νομοθετικές διατάξεις και πρακτικές της Ένωσης ή των κρατών μελών, συμμετέχουν στην εκπόνηση δεσμευτικών εταιρικών κανόνων, σύμφωνα με το άρθρο 43.

2. Οι δεσμευτικοί εταιρικοί κανόνες προσδιορίζουν κατ’ ελάχιστο:

2. Οι δεσμευτικοί εταιρικοί κανόνες προσδιορίζουν κατ’ ελάχιστο:

α) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων και των μελών του·

α) τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων και των μελών του και των εξωτερικών υπεργολάβων που εμπίπτουν στο πεδίο εφαρμογής των δεσμευτικών εταιρικών κανόνων·

β) τις διαβιβάσεις ή τις σειρές διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των τύπων επεξεργασίας και των σκοπών της, του τύπου προσώπων στα οποία αναφέρονται τα δεδομένα που επηρεάζονται, και την εν λόγω τρίτη χώρα ή τις τρίτες χώρες·

β) τις διαβιβάσεις ή τις σειρές διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των τύπων επεξεργασίας και των σκοπών της, του τύπου προσώπων στα οποία αναφέρονται τα δεδομένα που επηρεάζονται, και την εν λόγω τρίτη χώρα ή τις τρίτες χώρες·

γ) τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά·

γ) τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά·

δ) τις γενικές αρχές προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ποιότητα των δεδομένων, τη νομική βάση για την επεξεργασία, την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, μέτρα ώστε να διασφαλίζεται η ασφάλεια των δεδομένων, καθώς και τις απαιτήσεις σχετικά με περαιτέρω διαβιβάσεις σε οργανισμούς οι οποίοι δεν δεσμεύονται από τις πολιτικές·

δ) τις γενικές αρχές προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους διατήρησης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, μέτρα ώστε να διασφαλίζεται η ασφάλεια των δεδομένων, καθώς και τις απαιτήσεις σχετικά με περαιτέρω διαβιβάσεις σε οργανισμούς οι οποίοι δεν δεσμεύονται από τις πολιτικές·

ε) τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και τα μέσα για την άσκηση των εν λόγω δικαιωμάτων, συμπεριλαμβανομένου του δικαιώματος να μην υπάγονται σε μέτρο βασισμένο στην κατάρτιση προφίλ σύμφωνα με το άρθρο 20, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας αρχής ελέγχου και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 75, της εξασφάλισης επανόρθωσης και, ανάλογα με την περίπτωση, της αποζημίωσης για παραβίαση των δεσμευτικών εταιρικών κανόνων·

ε) τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και τα μέσα για την άσκηση των εν λόγω δικαιωμάτων, συμπεριλαμβανομένου του δικαιώματος να μην υπάγονται σε μέτρο βασισμένο στην κατάρτιση προφίλ σύμφωνα με το άρθρο 20, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας αρχής ελέγχου και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 75, της εξασφάλισης επανόρθωσης και, ανάλογα με την περίπτωση, της αποζημίωσης για παραβίαση των δεσμευτικών εταιρικών κανόνων·

στ) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκαταστημένος στο έδαφος κράτους μέλους για τυχόν παραβιάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε μέλος του ομίλου επιχειρήσεων το οποίο δεν είναι εγκαταστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να εξαιρεθούν από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνον εάν αποδείξουν ότι το συγκεκριμένο μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας·

στ) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας που είναι εγκαταστημένος στο έδαφος κράτους μέλους για τυχόν παραβιάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε μέλος του ομίλου επιχειρήσεων το οποίο δεν είναι εγκαταστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας μπορεί να εξαιρεθεί από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνον εάν αποδείξει ότι το συγκεκριμένο μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας·

ζ) τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες, και ιδίως τις διατάξεις που αναφέρονται στα σημεία δ), ε) και στ) της παρούσας παραγράφου, προς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 11·

ζ) τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες, και ιδίως τις διατάξεις που αναφέρονται στα σημεία δ), ε) και στ) της παρούσας παραγράφου, προς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 11·

η) τα καθήκοντα του υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 35, συμπεριλαμβανομένης της παρακολούθησης της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες στον όμιλο επιχειρήσεων, καθώς και της παρακολούθησης της κατάρτισης και του χειρισμού των καταγγελιών·

η) τα καθήκοντα του υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 35, συμπεριλαμβανομένης της παρακολούθησης της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες στον όμιλο επιχειρήσεων, καθώς και της παρακολούθησης της κατάρτισης και του χειρισμού των καταγγελιών·

θ) τους μηχανισμούς στον όμιλο επιχειρήσεων οι οποίοι στοχεύουν στη διασφάλιση του ελέγχου της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες·

θ) τους μηχανισμούς στον όμιλο επιχειρήσεων οι οποίοι στοχεύουν στη διασφάλιση του ελέγχου της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες·

ι) τους μηχανισμούς για την αναφορά και την καταχώριση αλλαγών στις πολιτικές και την αναφορά των εν λόγω αλλαγών στην αρχή ελέγχου·

ι) τους μηχανισμούς για την αναφορά και την καταχώριση αλλαγών στις πολιτικές και την αναφορά των εν λόγω αλλαγών στην αρχή ελέγχου·

ια) τον μηχανισμό συνεργασίας με την αρχή ελέγχου ώστε να διασφαλίζεται συμμόρφωση από κάθε μέλος του ομίλου επιχειρήσεων, ιδίως θέτοντας στη διάθεση της αρχής ελέγχου τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο θ) της παρούσας παραγράφου.

ια) τον μηχανισμό συνεργασίας με την αρχή ελέγχου ώστε να διασφαλίζεται συμμόρφωση από κάθε μέλος του ομίλου επιχειρήσεων, ιδίως θέτοντας στη διάθεση της αρχής ελέγχου τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο θ) της παρούσας παραγράφου.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου, ιδίως όσον αφορά τα κριτήρια για την έγκρισή τους, την εφαρμογή της παραγράφου 2 στοιχεία β), δ), ε) και στ) στους δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας, και των περαιτέρω απαραίτητων απαιτήσεων ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό του μορφότυπου, των διαδικασιών, των κριτηρίων και των απαιτήσεων σχετικά με τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου, ιδίως όσον αφορά τα κριτήρια για την έγκρισή τους, συμπεριλαμβανομένης της διαφάνειας για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, την εφαρμογή της παραγράφου 2 στοιχεία β), δ), ε) και στ) στους δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας, και των περαιτέρω απαραίτητων απαιτήσεων ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα.

4. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και αρχών ελέγχου για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

 

Τροπολογία  140

Πρόταση κανονισμού

Άρθρο 43 α (νέο)

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

 

Άρθρο 43α

 

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

 

1. Με την επιφύλαξη μιας συμφωνίας περί αμοιβαίας νομικής συνδρομής ή μιας διεθνούς συμφωνίας μεταξύ της αιτούσης τρίτης χώρας και της Ένωσης ή κράτους μέλους, δεν αναγνωρίζεται ούτε εκτελείται, σε καμία περίπτωση, απόφαση δικαστηρίου ή διαιτητικής αρχής τρίτης χώρας βάσει της οποίας απαιτείται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα.

 

2. Σε περίπτωση που βάσει απόφασης δικαστηρίου ή διοικητικής αρχής τρίτης χώρας ζητείται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας, κοινοποιεί αμελλητί στην αρχή ελέγχου το αίτημα και λαμβάνει προηγούμενη έγκριση από την αρχή ελέγχου για τη διαβίβαση ή τη γνωστοποίηση.

 

3. Η αρχή ελέγχου εκτιμά τη συμβατότητα της αιτούμενης κοινοποίησης προς τον κανονισμό και ιδίως κατά πόσον η κοινοποίηση είναι αναγκαία και σύννομη με βάση το άρθρο 44 παράγραφος 1 στοιχεία δ) και ε) και άρθρο 44 παράγραφος 5. Εάν θίγονται πρόσωπα στα οποία αναφέρονται τα δεδομένα από άλλα κράτη μέλη, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

 

4. Η αρχή ελέγχου ενημερώνει την αρμόδια εθνική αρχή για το αίτημα. Με την επιφύλαξη του άρθρου 21, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ενημερώνει επίσης τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σχετικά με το αίτημα και σχετικά με τη χορήγηση άδειας από την αρχή ελέγχου και, κατά περίπτωση, ενημερώνει τα πρόσωπα στα οποία αναφέρονται τα δεδομένα εάν τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν σε δημόσιες αρχές κατά τη διάρκεια των τελευταίων 12 συναπτών μηνών, σύμφωνα με το άρθρο 14 παράγραφος 1 στοιχείο ηα).

Τροπολογία  141

Πρόταση κανονισμού

Άρθρο 44

Κείμενο που προτείνει η Επιτροπή

Τροπολογία

Παρεκκλίσεις

Παρεκκλίσεις

1. Απουσία απόφασης περί επάρκειας δυνάμει του άρθρου 41 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 42, μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον:

1. Απουσία απόφασης περί επάρκειας δυνάμει του άρθρου 41 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 42, μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατατέθηκε στη σχεδιαζόμενη διαβίβαση, αφού ενημερώθηκε για τους κινδύνους των εν λόγω διαβιβάσεων λόγω της απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων· ή

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατατέθηκε στη σχεδιαζόμενη διαβίβαση, αφού ενημερώθηκε για τους κινδύνους των εν λόγω διαβιβάσεων λόγω της απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων· ή

β) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του ελεγκτή ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

β) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του ελεγκτή ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, η οποία συνάφθηκε προς όφελος του προσώπου στο οποίο αναφέρονται τα δεδομένα μεταξύ του ελεγκτή και άλλου φυσικού ή νομικού προσώπου· ή

γ) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, η οποία συνάφθηκε προς όφελος του προσώπου στο οποίο αναφέρονται τα δεδομένα μεταξύ του ελεγκτή και άλλου φυσικού ή νομικού προσώπου· ή

δ) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος· ή

δ) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος· ή

ε) η διαβίβαση είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

ε) η διαβίβαση είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

στ) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν είναι φυσικά ή νομικά ικανό να παράσχει τη συγκατάθεσή του· ή

ή) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν είναι φυσικά ή νομικά ικανό να παράσχει τη συγκατάθεσή του· ή

ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε γενικά από το ευρύ κοινό είτε από οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών · ή

ζ) η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε γενικά από το ευρύ κοινό είτε από οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.

ή) η διαβίβαση είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, και δεν μπορεί να χαρακτηρισθεί συχνή ή μαζική, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησαν όλες τις συνθήκες που περιβάλλουν την πράξη διαβίβασης δεδομένων ή τη σειρά πράξεων διαβίβασης δεδομένων και βάσει της αξιολόγησης αυτής παρέχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.

 

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν πρόκειται να είναι οι αποδέκτες.

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν πρόκειται να είναι οι αποδέκτες.

3. Εάν η επεξεργασία βασίζεται στην παράγραφο 1 στοιχείο η), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνουν ιδιαίτερα υπόψη τη φύση των δεδομένων, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης (ή των πράξεων) επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, καθώς και τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.