(Συνήθης νομοθετική διαδικασία: πρώτη ανάγνωση)

Το Ευρωπαϊκό Κοινοβούλιο,

–  έχοντας υπόψη την πρόταση της Επιτροπής προς το Κοινοβούλιο και το Συμβούλιο (COM(2012)0010),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 2 και το άρθρο 16 παράγραφος 2 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, σύμφωνα με τα οποία του υποβλήθηκε η πρόταση από την Επιτροπή (C7-0024/2012),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 3 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,

–  έχοντας υπόψη τις αιτιολογημένες γνώμες που υποβλήθηκαν από το Γερμανικό Ομοσπονδιακό Συμβούλιο και το Κοινοβούλιο του Βασιλείου της Σουηδίας, στο πλαίσιο του πρωτοκόλλου αριθ. 2 σχετικά με την εφαρμογή των αρχών της επικουρικότητας και της αναλογικότητας, με τις οποίες υποστηρίζεται ότι το σχέδιο νομοθετικής πράξης δεν συνάδει προς την αρχή της επικουρικότητας,

–  έχοντας υπόψη τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων της 7ης Μαρτίου 2012(1),

–  έχοντας υπόψη τη γνώμη του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης της 1ης Οκτωβρίου 2012,

–  έχοντας υπόψη το άρθρο 55 του Κανονισμού του,

–  έχοντας υπόψη την έκθεση της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων και τη γνωμοδότηση της Επιτροπής Νομικών Θεμάτων (A7-0403/2013),

1.  εγκρίνει τη θέση του σε πρώτη ανάγνωση όπως παρατίθεται κατωτέρω·

2.  ζητεί από την Επιτροπή να του υποβάλει εκ νέου την πρόταση, αν προτίθεται να της επιφέρει σημαντικές τροποποιήσεις ή να την αντικαταστήσει με νέο κείμενο·

3.  αναθέτει στον Πρόεδρό του να διαβιβάσει τη θέση του Κοινοβουλίου στο Συμβούλιο, στην Επιτροπή και στα εθνικά κοινοβούλια.

(1) ΕΕ C 192 της 30.6.2012, σ. 7.

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων(1),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία(2),

Εκτιμώντας τα ακόλουθα:

(1)  Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το άρθρο 8 παράγραφος 2 του Χάρτη ορίζει ότι η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο. [Τροπολογία 1]

(2)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα προορίζεται να εξυπηρετεί τον άνθρωπο· οι αρχές και οι κανόνες που διέπουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των φυσικών προσώπων, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως δε το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Η επεξεργασία θα πρέπει να συμβάλλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης.

(3)  Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων αυξήθηκε εντυπωσιακά. Η τεχνολογία επιτρέπει σε αρμόδιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτόγνωρη κλίμακα για την επιδίωξη των δραστηριοτήτων τους.

(4)  Αυτό απαιτεί τη διευκόλυνση της ελεύθερης ροής δεδομένων, όπου είναι αναγκαίο και αναλογικό, μεταξύ αρμόδιων αρχών εντός της Ένωσης και της διαβίβασης δεδομένων προς τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι εξελίξεις αυτές απαιτούν την οικοδόμηση ενός ισχυρού και πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενου από ισχυρή επιβολή της νομοθεσίας. [Τροπολογία 2]

(5)  Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(3) εφαρμόζεται σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Ωστόσο, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την άσκηση δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης, π.χ. δραστηριοτήτων στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(6)  Η απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου(4) εφαρμόζεται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Το πεδίο εφαρμογής της εν λόγω απόφασης πλαισίου περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή καθίστανται διαθέσιμα μεταξύ κρατών μελών.

(7)  Η διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων και η διευκόλυνση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών των κρατών μελών είναι καθοριστικής σημασίας προκειμένου να διασφαλίζεται αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και αστυνομική συνεργασία. Για τον σκοπό αυτό, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα και των υποχρεώσεων εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, αλλά και αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες που διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη. [Τροπολογία 3]

(8)  Το άρθρο 16 παράγραφος 2 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ορίζει ότι το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο θα πρέπει να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων τους προσωπικού χαρακτήρα. [Τροπολογία 4]

(9)  Στη βάση αυτή, ο κανονισμός (ΕΕ) αριθ. …/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία των δεδομένων) θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

(10)  Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην Τελική Πράξη της Διακυβερνητικής Διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η Διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των τομέων αυτών, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας βάσει του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

(11)  Επομένως, μια ειδική επί μέρους οδηγία θα πρέπει να καλύπτει τα ειδικά χαρακτηριστικά των εν λόγω τομέων και να θεσπίσει τους κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων. [Τροπολογία 5]

(12)  Για τη διασφάλιση του ίδιου επιπέδου προστασίας για τα φυσικά πρόσωπα μέσω νομικώς εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και την αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμόδιων αρχών, η παρούσα οδηγία θα πρέπει να προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(13)  Η παρούσα οδηγία επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού σε επίσημα έγγραφα κατά την εφαρμογή των διατάξεών της.

(14)  Η προστασία που παρέχει η παρούσα οδηγία θα πρέπει να αφορά τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(15)  Η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές· διαφορετικά, δημιουργείται σοβαρός κίνδυνος καταστρατήγησης. Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη χειροκίνητη επεξεργασία, εφόσον τα δεδομένα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα αρχεία ή τα σύνολα αρχείων καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας. Η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια, ή σε δεδομένα που τυγχάνουν επεξεργασίας από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, όπως η Ευρωπόλ ή η Eurojust. Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(5) και οι ειδικές νομικές πράξεις που εφαρμόζονται στους οργανισμούς, τα όργανα ή τις υπηρεσίες της Ένωσης θα πρέπει να ευθυγραμμισθούν με την παρούσα οδηγία και να εφαρμόζονται σύμφωνα με την παρούσα οδηγία. [Τροπολογία 6]

(16)  Οι αρχές της προστασίας θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για να διαπιστωθεί κατά πόσον η ταυτότητα ενός φυσικού προσώπου μπορεί να εξακριβωθεί, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την εξακρίβωση ή τον προσδιορισμό της ταυτότητας του φυσικού προσώπου. Οι αρχές της προστασίας των δεδομένων δεν θα πρέπει να εφαρμόζονται σε δεδομένα που ανωνυμοποιήθηκαν κατά τέτοιο τρόπο ώστε η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην μπορεί πλέον να εξακριβωθεί. Η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται σε ανώνυμα δεδομένα, ήτοι οιαδήποτε δεδομένα δεν μπορούν να σχετισθούν άμεσα ή έμμεσα, μεμονωμένα ή σε συνδυασμό με συναφή δεδομένα, με ένα φυσικό πρόσωπο. Με δεδομένη τη σημασία των εξελίξεων που σημειώνονται στο πλαίσιο της κοινωνίας της πληροφορίας, των τεχνικών που χρησιμοποιούνται για τον εντοπισμό, τη μετάδοση, το χειρισμό, την καταγραφή, την αποθήκευση ή την κοινοποίηση των δεδομένων θέσης που αφορούν φυσικά πρόσωπα, τα οποία ενδέχεται να χρησιμοποιηθούν για διαφορετικούς σκοπούς, συμπεριλαμβανομένης της παρακολούθησης ή της κατάρτισης προφίλ, η παρούσα οδηγία θα πρέπει να εφαρμόζεται στην επεξεργασία που αφορά τέτοιου είδους δεδομένα προσωπικού χαρακτήρα. [Τροπολογία 7]

(16α)  Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα πρόσωπα τα οποία αφορά. Ειδικότερα, οι συγκεκριμένοι σκοποί για τους οποίους υποβάλλονται σε επεξεργασία θα πρέπει να είναι σαφείς και νόμιμοι και να καθορίζονται κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό απαιτεί ειδικότερα περιορισμό των συλλεχθέντων δεδομένων και της χρονικής περιόδου αποθήκευσής τους στο ελάχιστο δυνατόν. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνον εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο για να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή διορθώνονται ή διαγράφονται. Προκειμένου να διασφαλισθεί ότι τα δεδομένα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή ή την περιοδική επανεξέτασή τους. [Τροπολογία 8]

(17)  Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θα πρέπει να περιλαμβάνουν, ειδικότερα, όλα τα δεδομένα που σχετίζονται με την κατάσταση της υγείας του προσώπου στο οποίο αναφέρονται τα δεδομένα· πληροφορίες σχετικά με την εγγραφή του φυσικού προσώπου για την παροχή υπηρεσιών υγείας· πληροφορίες σχετικά με πληρωμές ή με την επιλεξιμότητα του συγκεκριμένου φυσικού προσώπου για υπηρεσίες ιατροφαρμακευτικής περίθαλψης· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας το οποίο αποδίδεται σε ένα φυσικό πρόσωπο με σκοπό τη μοναδική ταυτοποίησή του για σκοπούς υγείας· κάθε σχετική με το φυσικό πρόσωπο πληροφορία που συλλέχθηκε κατά την παροχή υπηρεσιών υγείας στο φυσικό πρόσωπο· πληροφορίες οι οποίες προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, συμπεριλαμβανομένων βιολογικών δειγμάτων· την ταυτοποίηση ενός προσώπου ως παρόχου υπηρεσιών ιατροφαρμακευτικής περίθαλψης στο φυσικό πρόσωπο· ή κάθε πληροφορία π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή την πραγματική βιολογική ή βιοϊατρική κατάσταση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ανεξαρτήτως πηγής, όπως π.χ. από ιατρό ή άλλον επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

(18)  Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι θεμιτή και σύννομη σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά. Ειδικότερα, οι συγκεκριμένοι σκοποί για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία πρέπει να είναι σαφείς. [Τροπολογία 9]

(19)  Για την πρόληψη, τη διερεύνηση και τη δίωξη ποινικών αδικημάτων, οι αρμόδιες αρχές πρέπει να διατηρούν και να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, τα οποία συλλέγονται στο πλαίσιο της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης συγκεκριμένων ποινικών αδικημάτων, πέραν του πλαισίου αυτού με στόχο την καλύτερη κατανόηση των εγκληματικών φαινομένων και τάσεων, τη συγκέντρωση απόρρητων πληροφοριών για δίκτυα οργανωμένης εγκληματικότητας και τη διαπίστωση συσχετισμών μεταξύ διαφορετικών αδικημάτων που ανιχνεύονται. [Τροπολογία 10]

(20)  Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τον σκοπό της συλλογής τους. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να μην είναι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ορθά διορθώνονται ή διαγράφονται. [Τροπολογία 11]

(20α)  Το απλό γεγονός ότι δύο σκοποί άπτονται αμφότεροι της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων δεν σημαίνει απαραίτητα ότι είναι συμβατοί μεταξύ τους. Εντούτοις, υπάρχουν περιπτώσεις στις οποίες περαιτέρω επεξεργασία για σκοπούς μη συμβατούς θα πρέπει να είναι δυνατή εάν κρίνεται αναγκαία για τη συμμόρφωση προς υποχρέωση την οποία ο υπεύθυνος επεξεργασίας υπέχει εκ του νόμου, για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου ή για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας. Τα κράτη μέλη θα πρέπει συνεπώς να είναι σε θέση να εγκρίνουν εθνικούς νόμους που προβλέπουν παρόμοιες παρεκκλίσεις στον βαθμό που κάτι τέτοιο είναι απολύτως αναγκαίο. Αυτοί οι εθνικοί νόμοι θα πρέπει να περιέχουν επαρκείς εγγυήσεις. [Τροπολογία 12]

(21)  Η αρχή της ακρίβειας των δεδομένων θα πρέπει να εφαρμόζεται με γνώμονα τη φύση και τον σκοπό της εκάστοτε επεξεργασίας. Σε δικαστικές διαδικασίες, ειδικότερα, δηλώσεις οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα βασίζονται στην υποκειμενική αντίληψη φυσικών προσώπων και, σε μερικές περιπτώσεις, δεν είναι πάντοτε επαληθεύσιμες. Ως εκ τούτου, η απαίτηση της ακρίβειας δεν θα πρέπει να αφορά την ορθότητα της δήλωσης, αλλά απλώς το γεγονός ότι πραγματοποιήθηκε μια συγκεκριμένη δήλωση.

(22)  Κατά την ερμηνεία και την εφαρμογή των γενικών αρχών που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, πρέπει να λαμβάνονται υπόψη οι ιδιαιτερότητες του τομέα, συμπεριλαμβανομένων των συγκεκριμένων στόχων που επιδιώκονται. [Τροπολογία 13]

(23)  Αναπόσπαστο στοιχείο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν διαφορετικές κατηγορίες προσώπων στα οποία αναφέρονται τα δεδομένα. Επομένως, στον βαθμό του εφικτού, θα πρέπει να γίνεται σαφής διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα, όπως ύποπτοι, πρόσωπα που έχουν καταδικασθεί για ποινικό αδίκημα, θύματα και τρίτοι, π.χ. μάρτυρες, πρόσωπα που κατέχουν σχετικές πληροφορίες ή πρόσωπα επικοινωνίας και συνεργούς υπόπτων και καταδικασθέντων εγκληματιών. Ειδικοί κανόνες σχετικά με τις συνέπειες αυτής της κατηγοριοποίησης θα πρέπει να προβλέπονται από τα κράτη μέλη, οι οποίοι λαμβάνουν υπόψη τους διαφορετικούς σκοπούς για τους οποίους συγκεντρώνονται δεδομένα και προβλέπουν ειδικές εγγυήσεις για πρόσωπα τα οποία δεν είναι ύποπτα για διάπραξη ποινικού αδικήματος, ή δεν έχουν καταδικαστεί για ποινικό αδίκημα. [Τροπολογία 14]

(24)  Στον βαθμό του εφικτού, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να διακρίνονται ανάλογα με τον βαθμό ακρίβειας και αξιοπιστίας τους. Τα πραγματικά περιστατικά θα πρέπει να διακρίνονται από τις προσωπικές εκτιμήσεις προκειμένου να διασφαλίζεται τόσο η προστασία των φυσικών προσώπων όσο και η ποιότητα και η αξιοπιστία των πληροφοριών που επεξεργάζονται οι αρμόδιες αρχές.

(25)  Για να είναι σύννομη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπεται μόνον όταν είναι απαραίτητη για τη συμμόρφωση προς υποχρέωση την οποία υπέχει εκ του νόμου ο υπεύθυνος επεξεργασίας, για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον από αρμόδια αρχή βάσει του νόμου ή για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, ή για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας της νομοθεσίας της Ένωσης ή των κρατών μελών που θα πρέπει να περιλαμβάνει ρητές και λεπτομερείς διατάξεις τουλάχιστον όσον αφορά τους στόχους, τα δεδομένα προσωπικού χαρακτήρα, τους ειδικούς σκοπούς και τα μέσα, να ορίζει ή να επιτρέπει τον ορισμό του υπευθύνου επεξεργασίας, τις διαδικασίες που πρέπει να τηρούνται, τη χρήση και τους περιορισμούς του πεδίου εφαρμογής τυχόν διακριτικής ευχέρειας που παραχωρείται στις αρμόδιες αρχές σε σχέση με τις δραστηριότητες επεξεργασίας. [Τροπολογία 15]

(25α)  Τα δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τον σκοπό της συλλογής τους. Περαιτέρω επεξεργασία από τις αρμόδιες αρχές για σκοπό που εμπίπτει στο πεδίο εφαρμογής της παρούσας οδηγίας και δεν είναι συμβατός με τον αρχικό σκοπό θα πρέπει να επιτρέπεται μόνο σε ειδικές περιπτώσεις όπου αυτού του είδους η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με μια νομική υποχρέωση, βάσει της νομοθεσίας της Ένωσης ή κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας, ή για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου ή για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας. Το γεγονός ότι τα δεδομένα υπόκεινται σε επεξεργασία για σκοπό επιβολής του νόμου δεν συνεπάγεται απαραιτήτως ότι ο σκοπός αυτός είναι συμβατός με τον αρχικό σκοπό. Η έννοια της συμβατής χρήσης πρέπει να ερμηνεύεται συσταλτικά. [Τροπολογία 16]

(25β)  Δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία κατά παράβαση των εθνικών διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας δεν θα πρέπει να υπόκεινται σε περαιτέρω επεξεργασία. [Τροπολογία 17]

(26)  Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα και ευάλωτα σε σχέση με τα θεμελιώδη δικαιώματα ή με την ιδιωτική ζωή, συμπεριλαμβανομένων των γενετικών δεδομένων, χρήζουν ειδικής προστασίας. Τέτοια δεδομένα δεν θα πρέπει να υποβάλλονται σε επεξεργασία παρά μόνον εάν η επεξεργασία επιτρέπεται είναι ρητώς απαραίτητη για την άσκηση καθήκοντος που εκτελείται υπέρ του δημοσίου συμφέροντος, βάσει νόμου νομοθεσίας της Ένωσης ή κράτους μέλους ο οποίος προβλέπει κατάλληλα μέτρα για τη διαφύλαξη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή εάν η επεξεργασία είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, ή εάν η επεξεργασία αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται. Ευαίσθητα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνον εάν συμπληρώνουν άλλα δεδομένα προσωπικού χαρακτήρα που έχουν ήδη υποστεί επεξεργασία για σκοπούς επιβολής. Οιαδήποτε παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων θα πρέπει να ερμηνεύεται συσταλτικά και να μην οδηγεί σε συχνή, μαζική ή διαρθρωτική επεξεργασία δεδομένων προσωπικού χαρακτήρα. [Τροπολογία 18]

(26α)  Η επεξεργασία γενετικών δεδομένων θα πρέπει να επιτρέπεται μόνον αν υπάρχει γενετική σύνδεση που προκύπτει κατά τη διάρκεια ποινικής έρευνας ή δικαστικής διαδικασίας. Τα γενετικά δεδομένα θα πρέπει να αποθηκεύονται μόνο για όσο διάστημα είναι απολύτως αναγκαίο για τους σκοπούς τέτοιου είδους ερευνών και διαδικασιών, ενώ τα κράτη μέλη μπορούν να προβλέπουν μεγαλύτερο χρόνο αποθήκευσης υπό τις προϋποθέσεις που ορίζονται στην παρούσα οδηγία. [Τροπολογία 19]

(27)  Κάθε φυσικό πρόσωπο θα πρέπει να έχει το δικαίωμα να μην υπάγεται σε μέτρο το οποίο βασίζεται αποκλειστικά σε αυτοματοποιημένη εν μέρει ή πλήρως σε κατάρτιση προφίλ μέσω αυτοματοποιημένης επεξεργασίας. Αυτού του είδους η επεξεργασία, εάν το μέτρο η οποία παράγει δυσμενείς έννομες συνέπειες για το εν λόγω πρόσωπο, ή το επηρεάζει σε σημαντικό βαθμό, θα πρέπει να απαγορεύεται, εκτός εάν αυτές επιτρέπονται επιτρέπεται διά νόμου και με την επιφύλαξη κατάλληλων μέτρων για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, περιλαμβανομένου του δικαιώματος ουσιαστικής ενημέρωσης σχετικά με τη συλλογιστική που χρησιμοποιήθηκε στην κατάρτιση προφίλ. Αυτού του είδους η επεξεργασία δεν θα πρέπει σε καμιά περίπτωση να περιλαμβάνει ή να δημιουργεί ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα ή να εισάγει διακρίσεις βάσει τέτοιων δεδομένων. [Τροπολογία 20]

(28)  Για να είναι δυνατή η άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, κάθε ενημέρωση που του παρέχεται θα πρέπει να είναι εύκολα προσπελάσιμη και ευνόητη, μεταξύ άλλων, μέσω της χρήσης σαφούς και απλής διατύπωσης. Η ενημέρωση αυτή θα πρέπει να είναι προσαρμοσμένη στις ανάγκες του προσώπου στο οποίο αναφέρονται τα δεδομένα, ιδίως όταν απευθύνεται ειδικά σε παιδιά. [Τροπολογία 21]

(29)  Θα πρέπει να προβλέπονται ρυθμίσεις για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του βάσει της παρούσας οδηγίας, συμπεριλαμβανομένων μηχανισμών υποβολής αιτημάτων, χωρίς οικονομική επιβάρυνση, για πρόσβαση σε δεδομένα, διόρθωση και διαγραφή τους. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά αμελλητί χωρίς καθυστέρηση σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα και εντός ενός μηνός από τη λήψη του αιτήματος. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας θα πρέπει να προβλέπει μέσα για την υποβολή των αιτημάτων με ηλεκτρονικό τρόπο. [Τροπολογία 22]

(30)  Η αρχή της θεμιτής και διαφανούς επεξεργασίας απαιτεί να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, τη νομική βάση της, για τη διάρκεια αποθήκευσης των δεδομένων, για την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Επιπλέον, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να ενημερώνεται για το αν υπάρχει κατάρτιση προφίλ και τι επιδιώκει αυτό. Εάν τα δεδομένα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες σε περίπτωση μη παροχής των εν λόγω δεδομένων. [Τροπολογία 23]

(31)  Η ενημέρωση σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να του παρέχεται κατά τη συλλογή ή, εάν τα δεδομένα δεν παρέχονται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα υποβάλλονται σε επεξεργασία.

(32)  Κάθε πρόσωπο θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και πρέπει να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, τη νομική βάση, το χρονικό διάστημα της επεξεργασίας και τους αποδέκτες που λαμβάνουν τα δεδομένα, μεταξύ άλλων σε τρίτες χώρες, τις κατανοητές πληροφορίες σχετικά με τη συλλογιστική που εφαρμόστηκε σε οιαδήποτε αυτοματοποιημένη επεξεργασία και τη σημασία και τις προβλεπόμενες συνέπειές της, και το δικαίωμα να υποβάλει καταγγελία προς την αρχή ελέγχου, καθώς και τα στοιχεία επικοινωνίας αυτής. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να δικαιούνται να λάβουν αντίγραφο των δεδομένων προσωπικού χαρακτήρα που τα αφορούν τα οποία υποβάλλονται σε επεξεργασία. [Τροπολογία 24]

(33)  Τα κράτη μέλη θα πρέπει να έχουν το δικαίωμα θέσπισης νομοθετικών μέτρων τα οποία καθυστερούν, ή περιορίζουν ή παραλείπουν την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα ή την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που τα αφορούν, στον βαθμό που και εφόσον ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβάνοντας δεόντως υπόψη τα θεμελιώδη δικαιώματα και τα έννομα συμφέροντα του ενδιαφερομένου, για την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, την αποφυγή παρεμπόδισης της πρόληψης, ανίχνευσης, διερεύνησης και δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, την προστασία της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή την προστασία του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων. Ο υπεύθυνος επεξεργασίας θα πρέπει να εκτιμά βάσει συγκεκριμένης και μεμονωμένης εξέτασης κάθε περίπτωσης χωριστά εάν θα πρέπει να ισχύσει μερικός ή πλήρης περιορισμός του δικαιώματος πρόσβασης. [Τροπολογία 25]

(34)  Κάθε άρνηση ή περιορισμός πρόσβασης θα πρέπει να γνωστοποιείται εγγράφως στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένων των πραγματικών ή νομικών λόγων στους οποίους βασίζεται η απόφαση.

(34α)  Τυχόν περιορισμός των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα πρέπει να συμμορφώνεται με τον Χάρτη και με την Ευρωπαϊκή Σύμβαση για τα Δικαιώματα του Ανθρώπου, όπως διευκρινίζεται από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων, και ιδίως να σέβεται την ουσία των δικαιωμάτων και των ελευθεριών. [Τροπολογία 26]

(35)  Εάν τα κράτη μέλη θεσπίσουν νομοθετικά μέτρα τα οποία περιορίζουν εν όλω ή εν μέρει το δικαίωμα πρόσβασης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να έχει το δικαίωμα να ζητήσει από την αρμόδια εθνική αρχή ελέγχου να ελέγξει τη νομιμότητα της επεξεργασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να ενημερώνεται για το δικαίωμα αυτό. Όταν το δικαίωμα πρόσβασης ασκείται από την αρχή ελέγχου για λογαριασμό του προσώπου στο οποίο αναφέρονται τα δεδομένα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να ενημερώνεται από την αρχή ελέγχου οπωσδήποτε για την πραγματοποίηση όλων των αναγκαίων επαληθεύσεων από την αρχή ελέγχου και για το αποτέλεσμα όσον αφορά τη νομιμότητα της σχετικής επεξεργασίας. Η αρχή ελέγχου θα πρέπει επίσης να ενημερώσει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για το δικαίωμά του να ασκήσει δικαστική προσφυγή. [Τροπολογία 27]

(36)  Κάθε πρόσωπο θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα ή δεδομένων που έχουν υποστεί παράνομη επεξεργασία και το αφορούν καθώς και το δικαίωμα να ζητεί τη διαγραφή δεδομένων, εάν η επεξεργασία των εν λόγω δεδομένων δεν είναι σύμφωνη προς τις βασικές αρχές διατάξεις που προβλέπονται στην παρούσα οδηγία. Η διόρθωση αυτή, η συμπλήρωση ή διαγραφή θα πρέπει να κοινοποιείται στους αποδέκτες στους οποίους έχουν γνωστοποιηθεί τα δεδομένα και στους τρίτους από τους οποίους προήλθαν τα ανακριβή δεδομένα. Οι υπεύθυνοι επεξεργασίας δεν θα πρέπει να διαδίδουν περαιτέρω τα δεδομένα αυτά. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας, η διόρθωση, τα δικαιώματα ενημέρωσης, πρόσβασης, διαγραφής και περιορισμού της επεξεργασίας μπορούν να εκτελούνται σύμφωνα με τους εθνικούς κανόνες για τις δικαστικές διαδικασίες. [Τροπολογία 28]

(37)  Θα πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης από τον υπεύθυνο επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται είτε από τον υπεύθυνο επεξεργασίας είτε για λογαριασμό του. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει και να είναι υποχρεωμένος να μπορεί να αποδεικνύει τη συμμόρφωση των πράξεων κάθε πράξης επεξεργασίας προς τους κανόνες που θεσπίζονται δυνάμει της παρούσας οδηγίας. [Τροπολογία 29]

(38)  Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις της παρούσας οδηγίας. Για να διασφαλίζεται η συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει πολιτικές και να εφαρμόζει κατάλληλα μέτρα τα οποία να ικανοποιούν ειδικότερα τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού.

(39)  Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία απαιτούν σαφή ανάθεση των αρμοδιοτήτων που απορρέουν από την παρούσα οδηγία, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να έχει δικαίωμα να ασκεί τα δικαιώματά του δυνάμει της παρούσας οδηγίας σε σχέση και έναντι καθενός από τους από κοινού υπεύθυνους επεξεργασίας. [Τροπολογία 30]

(40)  Οι δραστηριότητες επεξεργασίας θα πρέπει να τεκμηριώνονται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία προκειμένου να παρακολουθείται η συμμόρφωση προς την παρούσα οδηγία. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία θα πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε αυτή να μπορεί να χρησιμεύσει για την παρακολούθηση των πράξεων επεξεργασίας.

(40α)  Κάθε πράξη επεξεργασίας δεδομένων προσωπικού χαρακτήρα θα πρέπει να καταγράφεται ούτως ώστε να καταστεί δυνατός ο έλεγχος της νομιμότητας της επεξεργασίας των δεδομένων, η αυτοπαρακολούθηση και η διασφάλιση της ακεραιότητας και της δέουσας ασφάλειας των δεδομένων. Το εν λόγω αρχείο θα πρέπει να διατίθεται κατόπιν αιτήματος στην αρχή ελέγχου με σκοπό την παρακολούθηση της συμμόρφωσης προς τους κανόνες που ορίζονται στην παρούσα οδηγία. [Τροπολογία 31]

(40β)  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διενεργεί εκτίμηση επιπτώσεων σε σχέση με την προστασία των δεδομένων, όταν οι πράξεις επεξεργασίας είναι πιθανό να ενέχουν ειδικούς κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω του χαρακτήρα, της έκτασης ή των σκοπών τους, η οποία θα πρέπει να περιλαμβάνει ειδικότερα τα προβλεπόμενα μέτρα, τις εγγυήσεις και τους μηχανισμούς που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς την παρούσα οδηγία. Οι εκτιμήσεις επιπτώσεων θα πρέπει να αφορούν τα σχετικά συστήματα και διεργασίες των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αλλά όχι μεμονωμένες περιπτώσεις. [Τροπολογία 32]

(41)  Για τη διασφάλιση της ουσιαστικής προστασίας των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα μέσω προληπτικών ενεργειών, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διαβουλεύεται με την αρχή ελέγχου σε ορισμένες περιπτώσεις πριν από την επεξεργασία. Επιπλέον, όταν εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων καταδεικνύει ότι πράξεις επεξεργασίας ενδέχεται να ενέχουν υψηλό βαθμό ειδικών κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, η αρχή ελέγχου θα πρέπει να είναι σε θέση να αποτρέπει, πριν από την έναρξη των πράξεων, μια πράξη που ενέχει κινδύνους, η οποία δεν συνάδει με την παρούσα οδηγία, και να υποβάλει προτάσεις για την επανόρθωση της κατάστασης αυτής. Μια τέτοια διαβούλευση μπορεί επίσης να λάβει χώρα κατά την εκπόνηση μέτρου από το εθνικό κοινοβούλιο ή μέτρου που βασίζεται σε νομοθετικό μέτρο το οποίο καθορίζει τη φύση της επεξεργασίας και θεσπίζει κατάλληλες εγγυήσεις. [Τροπολογία 33]

(41α)  Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση της παρούσας οδηγίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους εγγενείς κινδύνους της επεξεργασίας και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων. Τα μέτρα αυτά θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά τη θέσπιση τεχνικών προτύπων και οργανωτικών μέτρων με σκοπό τη διασφάλιση της ασφάλειας της επεξεργασίας, θα πρέπει να προωθείται η τεχνολογική ουδετερότητα. [Τροπολογία 34]

(42)  Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σημαντική οικονομική ζημία και κοινωνική βλάβη, συμπεριλαμβανομένης ζημίας στη φήμη του ενδιαφερόμενου φυσικού προσώπου της υποκλοπής ταυτότητας, για το ενδιαφερόμενο φυσικό πρόσωπο. Επομένως, μόλις ο υπεύθυνος της επεξεργασίας αντιληφθεί μια τέτοια παραβίαση, οφείλει να γνωστοποιήσει την παραβίαση στην αρμόδια εθνική αρχή. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα ή η ιδιωτική ζωή μπορεί να επηρεασθούν αρνητικά από την παραβίαση θα πρέπει να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Μια παραβίαση θα πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή ενός φυσικού προσώπου όταν μπορεί να έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η κοινοποίηση θα πρέπει να περιλαμβάνει πληροφορίες σχετικά με τα μέτρα που ελήφθησαν από τον πάροχο για την αντιμετώπιση της παραβίασης, καθώς και συστάσεις προς τους θιγόμενους συνδρομητές ή ιδιώτες. Οι κοινοποιήσεις προς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να γίνονται όσο το δυνατόν ταχύτερα και σε στενή συνεργασία με την αρχή ελέγχου, τηρώντας παράλληλα τις οδηγίες αυτής. [Τροπολογία 35]

(43)  Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να λαμβάνονται δεόντως υπόψη οι περιστάσεις της παραβίασης, συμπεριλαμβανομένου του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και οι διαδικασίες θα πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρμόδιων αρχών σε περιπτώσεις στις οποίες η πρόωρη γνωστοποίηση μπορεί να εμποδίσει αδικαιολόγητα τη διερεύνηση των περιστάσεων μιας παραβίασης.

(44)  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να ορίσει ένα πρόσωπο το οποίο θα συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση και την κατάδειξη της συμμόρφωσης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας. Εάν περισσότερες οντότητες της αρμόδιας αρμόδιες αρχές ενεργούν υπό την εποπτεία μιας κεντρικής αρχής μπορούν να διορίσουν από κοινού τουλάχιστον η εν λόγω κεντρική αρχή θα πρέπει να ορίσει έναν τέτοιο υπεύθυνο προστασίας δεδομένων. Οι υπεύθυνοι προστασίας δεδομένων πρέπει να είναι σε θέση να εκτελούν τις αρμοδιότητες και τα καθήκοντά τους ανεξάρτητα και αποτελεσματικά, ιδίως μέσω της θέσπισης κανόνων για την αποφυγή της σύγκρουσης συμφερόντων με άλλα καθήκοντα που εκτελεί ο υπεύθυνος προστασίας δεδομένων. [Τροπολογία 36]

(45)  Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι μια διαβίβαση προς τρίτη χώρα πραγματοποιείται μόνον εάν η συγκεκριμένη διαβίβαση είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, ο δε υπεύθυνος επεξεργασίας στην τρίτη χώρα ή στον διεθνή οργανισμό είναι αρμόδια δημόσια αρχή κατά την έννοια της παρούσας οδηγίας. Διαβίβαση μπορεί να πραγματοποιηθεί στις περιπτώσεις στις οποίες η Επιτροπή έχει αποφανθεί ότι η εκάστοτε τρίτη χώρα ή ο διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας ή εάν παρέχονται κατάλληλες εγγυήσεις, ή όταν παρέχονται κατάλληλες εγγυήσεις με τη μορφή νομικά δεσμευτικής πράξης. Δεδομένα που έχουν διαβιβαστεί σε αρμόδιες δημόσιες αρχές σε τρίτες χώρες δεν θα πρέπει να τυγχάνουν περαιτέρω επεξεργασίας για λόγους άλλους από εκείνους για τους οποίους διαβιβάστηκαν. [Τροπολογία 37]

(45α)  Περαιτέρω διαβιβάσεις από αρμόδιες αρχές σε τρίτες χώρες ή από διεθνείς οργανισμούς στους οποίους έχουν διαβιβαστεί δεδομένα προσωπικού χαρακτήρα θα πρέπει να επιτρέπονται μόνον εφόσον η περαιτέρω διαβίβαση είναι απαραίτητη για τον ίδιο ειδικό σκοπό με την αρχική διαβίβαση και εφόσον ο δεύτερος αποδέκτης είναι επίσης αρμόδια δημόσια αρχή. Περαιτέρω διαβιβάσεις δεν θα πρέπει να επιτρέπονται για σκοπούς εν γένει επιβολής του νόμου. Η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει να έχει συμφωνήσει για την περαιτέρω διαβίβαση. [Τροπολογία 38]

(46)  Η Επιτροπή μπορεί να αποφασίζει με ισχύ για ολόκληρη την Ένωση ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας εντός τρίτης χώρας, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που γίνεται δεκτό ότι παρέχουν ένα τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τις εν λόγω χώρες μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να εξασφαλισθεί καμία περαιτέρω έγκριση.

(47)  Σύμφωνα με τις θεμελιώδεις αρχές στις οποίες βασίζεται η Ένωση, και ειδικότερα την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή οφείλει να λαμβάνει υπόψη με ποιον τρόπο μια δεδομένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα.

(48)  Η Επιτροπή θα πρέπει επίσης να μπορεί να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας εντός τρίτης χώρας, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τη συγκεκριμένη τρίτη χώρα θα πρέπει να απαγορεύεται εκτός εάν βασίζεται σε διεθνή συμφωνία, σε κατάλληλες εγγυήσεις ή σε παρέκκλιση. Θα πρέπει να προβλέπονται διαδικασίες για διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Ωστόσο, μια τέτοια απόφαση της Επιτροπής δεν θίγει τη δυνατότητα πραγματοποίησης διαβιβάσεων βάσει κατάλληλων εγγυήσεων που εξασφαλίζονται μέσω νομικά δεσμευτικών πράξεων ή βάσει παρέκκλισης η οποία προβλέπεται στην παρούσα οδηγία. [Τροπολογία 39]

(49)  Διαβιβάσεις που δεν βασίζονται σε τέτοια απόφαση περί επάρκειας θα πρέπει να επιτρέπονται μόνον εφόσον έχουν παρασχεθεί κατάλληλες εγγυήσεις με νομικά δεσμευτική πράξη, οι οποίες διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ή εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησε όλες τις περιστάσεις που περιβάλλουν την πράξη διαβίβασης δεδομένων ή τη σειρά πράξεων διαβίβασης δεδομένων και, βάσει της εν λόγω αξιολόγησης, θεωρεί ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Σε περιπτώσεις στις οποίες δεν υπάρχουν λόγοι που να επιτρέπουν μια διαβίβαση, παρεκκλίσεις πρέπει να επιτρέπονται εάν είναι αναγκαίες για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου ή για τη διασφάλιση έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα εάν το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα προβλέπει κάτι τέτοιο, ή εάν είναι απαραίτητες για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας, ή σε μεμονωμένες περιπτώσεις για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, ή σε μεμονωμένες περιπτώσεις για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων. [Τροπολογία 40]

(49α)  Σε περιπτώσεις στις οποίες δεν δικαιολογείται διαβίβαση, θα πρέπει να επιτρέπονται παρεκκλίσεις εάν είναι αναγκαίες για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου ή για τη διασφάλιση έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα εάν το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα προβλέπει κάτι τέτοιο, ή εάν είναι απαραίτητες για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας, ή σε μεμονωμένες περιπτώσεις για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, ή σε μεμονωμένες περιπτώσεις για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων. Οι εν λόγω παρεκκλίσεις θα πρέπει να ερμηνεύονται συσταλτικά και να μην επιτρέπουν τακτικές, μαζικές και διαρθρωτικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ούτε και τη διαβίβαση μεγάλου όγκου δεδομένων που θα πρέπει να περιορίζονται στα απολύτως απαραίτητα. Επιπλέον, η απόφαση διαβίβασης θα πρέπει να λαμβάνεται από δεόντως εξουσιοδοτημένο πρόσωπο και η εν λόγω διαβίβαση θα πρέπει να τεκμηριώνεται και να διατίθεται στην αρχή ελέγχου κατόπιν αιτήματος προκειμένου να διαπιστωθεί ο σύννομος χαρακτήρας της διαβίβασης. [Τροπολογία 41]

(50)  Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα μπορεί να επαυξάνει τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης τέτοιων δεδομένων. Ταυτόχρονα, οι αρχές ελέγχου μπορεί να διαπιστώσουν ότι δεν μπορούν να δώσουν συνέχεια σε καταγγελίες ούτε να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή κατασταλτικές εξουσίες ή μη συνεκτικά νομικά καθεστώτα. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ αρχών ελέγχου της προστασίας δεδομένων, ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες με τους διεθνείς ομολόγους τους.

(51)  Η ίδρυση αρχών ελέγχου στα κράτη μέλη, οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία, αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Οι αρχές ελέγχου θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Για τον σκοπό αυτό, οι αρχές ελέγχου θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή. [Τροπολογία 42]

(52)  Τα κράτη μέλη μπορούν να αναθέτουν σε αρχή ελέγχου που έχει ήδη συσταθεί στα κράτη μέλη βάσει του κανονισμού (ΕΕ) αριθ. …/2014 την ευθύνη για τα καθήκοντα τα οποία πρέπει να ασκούνται από τις εθνικές αρχές ελέγχου που πρέπει να συσταθούν βάσει της παρούσας οδηγίας.

(53)  Τα κράτη μέλη θα πρέπει να μπορούν να συστήσουν περισσότερες της μίας αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Κάθε αρχή ελέγχου θα πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, εγκαταστάσεις και υποδομές, συμπεριλαμβανομένων τεχνικών δυνατοτήτων, εμπειρίας και δεξιοτήτων, ούτως ώστε να είναι σε θέση να ασκήσει αποτελεσματικά τα καθήκοντά της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση. [Τροπολογία 43]

(54)  Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται είτε από το κοινοβούλιο είτε από την κυβέρνηση του κράτους μέλους, κατόπιν διαβούλευσης με το κοινοβούλιο, και να περιλαμβάνουν κανόνες για τα ατομικά προσόντα των μελών και τη θέση τους. [Τροπολογία 44]

(55)  Παρότι η παρούσα οδηγία εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων, η αρμοδιότητα των αρχών ελέγχου δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτά ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Ωστόσο, η εξαίρεση αυτή θα πρέπει να περιορίζεται σε πραγματικές δικαιοδοτικές δραστηριότητες σε δικαστικές υποθέσεις και να μην εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν δικαστές σύμφωνα με το εθνικό δίκαιο.

(56)  Για τη διασφάλιση της συνεκτικής παρακολούθησης και επιβολής της παρούσας οδηγίας σε ολόκληρη την Ένωση, οι αρχές ελέγχου θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, συμπεριλαμβανομένων πραγματικών εξουσιών διερεύνησης, εξουσίας πρόσβασης σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλες τις πληροφορίες που είναι αναγκαίες για την εκτέλεση κάθε εποπτικής λειτουργίας, εξουσίας πρόσβασης σε κάθε εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία, συμπεριλαμβανομένου τον εξοπλισμό και το μέσο επεξεργασίας δεδομένων, και νομικά δεσμευτικής παρέμβασης, λήψης αποφάσεων και επιβολής κυρώσεων, ιδίως σε περιπτώσεις καταγγελιών από φυσικά πρόσωπα, και συμμετοχής σε νομικές διαδικασίες. [Τροπολογία 45]

(57)  Κάθε αρχή ελέγχου θα πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται δεδομένα και θα πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στη συγκεκριμένη περίπτωση. Η αρχή ελέγχου θα πρέπει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(58)  Οι αρχές ελέγχου θα πρέπει να συνδράμουν η μια την άλλη στην άσκηση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας. Κάθε αρχή ελέγχου θα πρέπει να είναι έτοιμη να συμμετάσχει σε κοινές ενέργειες. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα θα πρέπει να υποχρεούται να απαντά εντός καθορισμένης προθεσμίας στο αίτημα. [Τροπολογία 46]

(59)  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο συστήνεται με τον κανονισμό (ΕΕ) αριθ. …/2014, θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση, μεταξύ άλλων συμβουλεύοντας την Επιτροπή και τα θεσμικά όργανα της Ένωσης, προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση, και να γνωμοδοτεί στην Επιτροπή κατά την εκπόνηση των κατ’ εξουσιοδότηση και των εκτελεστικών πράξεων βάσει της παρούσας οδηγίας. [Τροπολογία 47]

(60)  Κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα θα πρέπει να έχει δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης δικαστικής προσφυγής, εάν θεωρεί ότι παραβιάζονται τα δικαιώματά του που απορρέουν από την παρούσα οδηγία ή εάν η αρχή ελέγχου δεν δίδει συνέχεια σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(61)  Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων προσώπων στα οποία αναφέρονται δεδομένα, σε σχέση με την προστασία των δεδομένων τους, ενεργεί υπέρ του δημοσίου συμφέροντος και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους θα πρέπει να δικαιούται να υποβάλλει καταγγελία ή να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό προσώπων στα οποία αναφέρονται δεδομένα, εφόσον εξουσιοδοτηθεί δεόντως από αυτά, ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από τυχόν καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα. [Τροπολογία 48]

(62)  Κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που το αφορά. Η διαδικασία κατά αρχής ελέγχου θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

(63)  Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, προκειμένου να είναι ουσιαστικές, επιτρέπουν την ταχεία λήψη μέτρων για την επανόρθωση ή την αποφυγή παράβασης της παρούσας οδηγίας.

(64)  Κάθε ζημία, περιλαμβανομένης της ηθικής βλάβης, την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης μόνο εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας. [Τροπολογία 49]

(65)  Θα πρέπει να επιβάλλονται κυρώσεις σε κάθε φυσικό ή νομικό πρόσωπο, ιδιωτικού ή δημόσιου δικαίου, το οποίο δεν συμμορφώνεται προς την παρούσα οδηγία. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και πρέπει να λαμβάνουν κάθε αναγκαίο μέτρο για την εφαρμογή τους.

(65α)  Απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς άλλες αρχές ή ιδιώτες στην Ένωση εκτός εάν η διαβίβαση είναι σύμφωνη με τον νόμο, ο αποδέκτης είναι εγκατεστημένος σε κράτος μέλος, δεν υπάρχουν έννομα ειδικά συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα που να αποτρέπουν τη διαβίβαση και η διαβίβαση είναι αναγκαία σε μια συγκεκριμένη περίπτωση για τον υπεύθυνο επεξεργασίας που διαβιβάζει τα δεδομένα είτε για την εκτέλεση καθήκοντος που του έχει ανατεθεί από τον νόμο είτε για την αποτροπή άμεσου και σοβαρού κινδύνου κατά της δημόσιας ασφάλειας, ή την πρόληψη σοβαρής βλάβης σε σχέση με τα δικαιώματα των φυσικών προσώπων. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει τον αποδέκτη σχετικά με τον σκοπό της επεξεργασίας και την αρχή ελέγχου σχετικά με τη διαβίβαση. Ο αποδέκτης θα πρέπει επίσης να ενημερώνεται σχετικά με τους περιορισμούς της επεξεργασίας και να εξασφαλίζει ότι τηρούνται. [Τροπολογία 50]

(66)  Για την εκπλήρωση των στόχων της παρούσας οδηγίας, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, θα πρέπει να εκδοθούν κατ’ εξουσιοδότηση πράξεις με σκοπό τον περαιτέρω προσδιορισμό των κριτηρίων και προϋποθέσεων για πράξεις επεξεργασίας που απαιτούν εκτίμηση επιπτώσεων σε σχέση με γνωστοποιήσεις παραβίασης την προστασία των δεδομένων, προσωπικού χαρακτήρα στην αρχή ελέγχου των κριτηρίων και απαιτήσεων για παραβίαση δεδομένων και όσον αφορά το επαρκές επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός. Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιεί κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων, ιδίως με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Κατά την επεξεργασία και την κατάρτιση κατ’ εξουσιοδότηση πράξεων, η Επιτροπή θα πρέπει να εξασφαλίζει ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. [Τροπολογία 51]

(67)  Για τη διασφάλιση ομοιόμορφων προϋποθέσεων εφαρμογής της παρούσας οδηγίας όσον αφορά την τεκμηρίωση από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία, την ασφάλεια της επεξεργασίας, ιδίως σε σχέση με τα πρότυπα κρυπτογράφησης, και τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα σε αρχή ελέγχου, και το επαρκές επίπεδο προστασίας που παρέχουν μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή(6). [Τροπολογία 52]

(68)  Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιείται για τη θέσπιση μέτρων όσον αφορά την τεκμηρίωση από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία, την ασφάλεια της επεξεργασίας, και τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα σε αρχή ελέγχου και το επαρκές επίπεδο προστασίας που παρέχουν μια τρίτη χώρα ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής. [Τροπολογία 53]

(69)  Η Επιτροπή πρέπει να εκδίδει αμέσως εφαρμοστέες εκτελεστικές πράξεις όταν, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, ή έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή διεθνή οργανισμό που δεν διασφαλίζουν επαρκές επίπεδο προστασίας, το απαιτούν επιτακτικοί λόγοι επείγοντος. [Τροπολογία 54]

(70)  Δεδομένου ότι οι στόχοι της παρούσας οδηγίας, και ειδικότερα η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως του δικαιώματός τους στην προστασία των δεδομένων τους προσωπικού χαρακτήρα, όπως και η διασφάλιση της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, αλλά μάλλον μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει θεσπίζει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, η οποία προβλέπεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, η παρούσα οδηγία δεν υπερβαίνει το μέτρο που είναι αναγκαίο για την επίτευξη των ανωτέρω εν λόγω στόχων. Τα κράτη μέλη μπορούν να προβλέπουν αυστηρότερα πρότυπα από αυτά που θεσπίζονται με την παρούσα οδηγία. [Τροπολογία 55]

(71)  Η απόφαση πλαίσιο 2008/977/ΔΕΥ θα πρέπει να καταργηθεί με την παρούσα οδηγία.

(72)  Δεν θα πρέπει να θιγεί η ισχύς των ειδικών διατάξεων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων που περιέχονται σε πράξεις της Ένωσης οι οποίες εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών. Δεδομένου ότι το άρθρο 8 του Χάρτη και το άρθρο 16 ΣΛΕΕ συνεπάγονται ότι το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να διασφαλίζεται με συνεκτικό και ομοιόμορφο τρόπο σε ολόκληρη την Ένωση, η Επιτροπή θα πρέπει, εντός δύο ετών από την έναρξη ισχύος της παρούσας οδηγίας, να αξιολογήσει την κατάσταση όσον αφορά τη σχέση μεταξύ της παρούσας οδηγίας και των πράξεων που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, προκειμένου να εκτιμηθεί η αναγκαιότητα εναρμόνισης των εν λόγω ειδικών διατάξεων με την παρούσα οδηγία και θα πρέπει να υποβάλει κατάλληλες προτάσεις με σκοπό τη διασφάλιση συνεκτικών και ομοιόμορφων νομικών κανόνων που θα σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές ή την πρόσβαση καθορισμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, καθώς και με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων εντός του πεδίου εφαρμογής της παρούσας οδηγίας. [Τροπολογία 56]

(73)  Για τη διασφάλιση της συνολικής και συνεκτικής προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, διεθνείς συμφωνίες συναφθείσες από την Ένωση ή από τα κράτη μέλη πριν από την έναρξη ισχύος της παρούσας οδηγίας θα πρέπει να τροποποιηθούν σύμφωνα με την παρούσα οδηγία. [Τροπολογία 57]

(74)  Η παρούσα οδηγία δεν θίγει τους κανόνες για την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας, οι οποίοι προβλέπονται στην οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(7).

(75)  Σύμφωνα με το άρθρο 6α του πρωτοκόλλου αριθ. 21 για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά τον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες που θεσπίζονται στην παρούσα οδηγία, εφόσον το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες οι οποίοι διέπουν μορφές δικαστικής συνεργασίας σε ποινικές υποθέσεις ή αστυνομικής συνεργασίας στο πλαίσιο των οποίων πρέπει να τηρούνται οι διατάξεις οι οποίες θεσπίζονται βάσει του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

(76)  Σύμφωνα με τα άρθρα 2 και 2α του πρωτοκόλλου αριθ. 22 σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, η Δανία δεν δεσμεύεται από την παρούσα οδηγία ούτε υπόκειται στην εφαρμογή της. Δεδομένου ότι η παρούσα οδηγία αναπτύσσει το κεκτημένο του Σένγκεν, βάσει του τρίτου μέρους του τίτλου V της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, η Δανία αποφασίζει, σύμφωνα με το άρθρο 4 του πρωτοκόλλου, εντός εξαμήνου μετά την έκδοση της παρούσας οδηγίας, εάν θα την εφαρμόσει στο εθνικό της δίκαιο. [Τροπολογία 58]

(77)  Όσον αφορά την Ισλανδία και τη Νορβηγία, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία που συνάφθηκε μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, αφενός, και της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας, αφετέρου, σχετικά με τη σύνδεση των εν λόγω δύο χωρών προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν(8).

(78)  Όσον αφορά την Ελβετία, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν(9).

(79)  Όσον αφορά το Λιχτενστάιν, η παρούσα οδηγία αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στο πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετική Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεντημένου του Σένγκεν(10).

(80)  Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη, όπως κατοχυρώνονται στη Συνθήκη, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου. Οι περιορισμοί που τίθενται στα ως άνω δικαιώματα είναι σύμφωνοι προς το άρθρο 52 παράγραφος 1 του Χάρτη, καθώς είναι αναγκαίοι για την εκπλήρωση σκοπών γενικού συμφέροντος που αναγνωρίζει η Ένωση ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

(81)  Σύμφωνα με την κοινή πολιτική δήλωση της 28ης Σεπτεμβρίου 2011 των κρατών μελών και της Επιτροπής σχετικά με τα επεξηγηματικά έγγραφα(11), τα κράτη μέλη ανέλαβαν να συνοδεύσουν, σε αιτιολογημένες περιπτώσεις, την κοινοποίηση των μέτρων μεταφοράς στο εθνικό δίκαιο με ένα ή περισσότερα έγγραφα στα οποία θα επεξηγείται η σχέση ανάμεσα στα συστατικά στοιχεία μιας οδηγίας και στα αντίστοιχα μέρη των νομικών πράξεων μεταφοράς στο εθνικό δίκαιο. Όσον αφορά την παρούσα οδηγία, ο νομοθέτης θεωρεί ότι δικαιολογείται η διαβίβαση τέτοιων εγγράφων.

(82)  Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να εφαρμόζουν τις διατάξεις για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με την ενημέρωση, την πρόσβαση, τη διόρθωση, τη διαγραφή και τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν τα οποία υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής διαδικασίας, και τους ενδεχόμενους περιορισμούς στα εν λόγω δικαιώματα, σε εθνικούς κανόνες ποινικής δικονομίας,

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και στόχοι

1.  Η παρούσα οδηγία θεσπίζει τους κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και τις προϋποθέσεις για την ελεύθερη κυκλοφορία των εν λόγω δεδομένων προσωπικού χαρακτήρα.

2.  Σύμφωνα με την παρούσα οδηγία, τα κράτη μέλη:

α)  προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων τους προσωπικού χαρακτήρα και της ιδιωτικής ζωής τους· και

β)  διασφαλίζουν την απουσία περιορισμού ή απαγόρευσης της ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές εντός της Ένωσης για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2α.  Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προβλέπουν αυστηρότερα πρότυπα από εκείνα που θεσπίζει η παρούσα οδηγία. [Τροπολογία 59]

Άρθρο 2

Πεδίο εφαρμογής

1.  Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1.

2.  Η παρούσα οδηγία εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

3.  Η παρούσα οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)   στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια·

β)  από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης. [Τροπολογία 60]

Άρθρο 3

Ορισμοί

Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:

1)  «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, με μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή από οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, ιδίως βάσει αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ή βάσει ενός ή περισσοτέρων παραμέτρων που χαρακτηρίζουν την υπόσταση του συγκεκριμένου προσώπου από σωματική, βιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική άποψη·

2)  «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο η ταυτότητα του οποίου είναι γνωστή ή μπορεί να εξακριβωθεί («πρόσωπο στο οποίο αναφέρονται τα δεδομένα»)· πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί είναι εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε προσδιοριστικό στοιχείο όπως όνομα, αριθμός ταυτότητας, δεδομένα θέσης, μοναδικό αναγνωριστικό ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ή σε σχέση με το φύλο ταυτότητα του προσώπου αυτού·

2α)  «ψευδώνυμα δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που δεν μπορούν να αποδοθούν σε ένα συγκεκριμένο πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς τη χρήση πρόσθετων πληροφοριών, εφόσον οι πρόσθετες αυτές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για να εξασφαλισθεί ότι δεν μπορούν να αποδοθούν·

3)  «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·

3α)   «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών πτυχών που αφορούν ένα φυσικό πρόσωπο ή στην ανάλυση ή πρόβλεψη, ιδίως, των εργασιακών επιδόσεων, της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του εν λόγω φυσικού προσώπου·

4)  «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·

5)  «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

6)  «υπεύθυνος επεξεργασίας»: η αρμόδια δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς, τις προϋποθέσεις και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί, οι προϋποθέσεις και ο τρόπος της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

7)  «εκτελών την επεξεργασία»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

8)  «αποδέκτης»: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

9)  «παραβίαση προσωπικών δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

10)  «γενετικά δεδομένα»: όλα τα δεδομένα, οποιουδήποτε τύπου, τα οποία αφορούν τα χαρακτηριστικά φυσικού προσώπου που κληρονομούνται ή αποκτώνται κατά την αρχική προγεννητική ανάπτυξη·

11)  «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα προσωπικού χαρακτήρα σχετίζονται με σωματικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

12)  «δεδομένα που αφορούν την υγεία»: κάθε πληροφορία οποιαδήποτε δεδομένα προσωπικού χαρακτήρα που σχετίζεται με τη σωματική ή ψυχική υγεία ενός ατόμου ή με την παροχή υπηρεσιών υγείας σε αυτό·

13)  «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

14)  «αρμόδιες αρχές»: κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων·

15)  «αρχή ελέγχου»: δημόσια αρχή την οποία συγκροτεί ένα κράτος μέλος σύμφωνα με το άρθρο 39. [Τροπολογία 61]

ΚΕΦΑΛΑΙΟ II

ΑΡΧΕΣ

Άρθρο 4

Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α)  να υποβάλλονται σε θεμιτή και σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα·

β)  να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς·

γ)  να είναι κατάλληλα, και συναφή καθώς και όχι υπερβολικά να περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· υποβάλλονται σε επεξεργασία μόνον εάν και εφόσον οι σκοποί δεν μπορούν να επιτευχθούν μέσω επεξεργασίας πληροφοριών οι οποίες δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα·

δ)  να είναι ακριβή και, όταν απαιτείται, να επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση·

ε)  να διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία·

στ)  να υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει και είναι σε θέση να καταδεικνύει τη συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας·

στα)  να υποβάλλονται σε τέτοιου είδους επεξεργασία ώστε να δίνεται, ουσιαστικά, στο άτομο στο οποίο αναφέρονται τα δεδομένα η δυνατότητα να ασκεί τα δικαιώματά του όπως περιγράφονται στα άρθρα 10 έως 17·

στβ)  να υποβάλλονται σε επεξεργασία κατά τρόπον ώστε να προστατεύονται από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα·

στγ)   να υποβάλλονται σε επεξεργασία μόνον από δεόντως εξουσιοδοτημένα μέλη του προσωπικού των αρμόδιων αρχών που τα χρειάζονται για την εκτέλεση των καθηκόντων τους. [Τροπολογία 62]

Άρθρο 4α

Πρόσβαση σε δεδομένα που έτυχαν αρχικής επεξεργασίας για σκοπούς άλλους από εκείνους που αναφέρονται στο άρθρο 1 παράγραφος 1

1.  Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές μπορούν να έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που έτυχαν αρχικής επεξεργασίας για σκοπούς άλλους από εκείνους που αναφέρονται στο άρθρο 1 παράγραφος 1 μόνον εάν αυτό επιτρέπεται συγκεκριμένα από το δίκαιο της Ένωσης ή κράτους μέλους που πρέπει να πληροί τις απαιτήσεις του άρθρου 7 παράγραφος 1α) και να προβλέπει ότι:

α)  η πρόσβαση επιτρέπεται μόνο σε δεόντως εξουσιοδοτημένα μέλη του προσωπικού των αρμόδιων αρχών κατά την εκτέλεση των καθηκόντων τους όταν, σε συγκεκριμένη περίπτωση, υπάρχουν εύλογοι λόγοι να πιστεύεται ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα συμβάλει σε ουσιαστικά στην πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή στην εκτέλεση ποινικών κυρώσεων·

β)  οι αιτήσεις παροχής πρόσβασης πρέπει να είναι γραπτές και να αναφέρουν τους νομικούς λόγους στους οποίους στηρίζονται·

γ)  η γραπτή αίτηση πρέπει να είναι τεκμηριωμένη· και

δ)  εφαρμόζονται κατάλληλες εγγυήσεις για να διασφαλισθεί η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Οι εγγυήσεις αυτές δεν θίγουν και είναι συμπληρωματικές προς τις ειδικές προϋποθέσεις πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, όπως η δικαστική άδεια, σύμφωνα με το δίκαιο του κράτους μέλους.

2.  Πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που βρίσκονται στην κατοχή ιδιωτών ή άλλων δημόσιων αρχών επιτρέπεται μόνον για τη διερεύνηση ή δίωξη ποινικών αδικημάτων σύμφωνα με απαιτήσεις αναγκαιότητας και αναλογικότητας που θα καθορίζεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, με πλήρη συμμόρφωση προς το άρθρο 7α. [Τροπολογία 63]

Άρθρο 4β

Χρονικά όρια αποθήκευσης και επανεξέτασης

1.  Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία σύμφωνα με την παρούσα οδηγία διαγράφονται από τις αρμόδιες αρχές όταν δεν είναι πλέον αναγκαία για τους σκοπούς για τους οποίους έτυχαν επεξεργασίας.

2.  Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές θεσπίζουν μηχανισμούς που διασφαλίζουν τον ορισμό χρονικών ορίων, σύμφωνα με το άρθρο 4, για τη διαγραφή των δεδομένων προσωπικού χαρακτήρα και την περιοδική επανεξέταση της ανάγκης αποθήκευσης των δεδομένων, συμπεριλαμβανομένου του καθορισμού περιόδων αποθήκευσης για τις διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα. Θεσπίζονται διαδικαστικά μέτρα που διασφαλίζουν την τήρηση των εν λόγω χρονικών ορίων ή των διαστημάτων περιοδικής επανεξέτασης. [Τροπολογία 64]

Άρθρο 5

Διάκριση μεταξύ διαφορετικών κατηγοριών Διαφορετικές κατηγορίες προσώπων στα οποία αναφέρονται τα δεδομένα

1.  Τα κράτη μέλη προβλέπουν ότι, στον βαθμό του εφικτού, οι αρμόδιες αρχές μπορούν, για τους σκοπούς του άρθρου 1 παράγραφος 1, να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα των ακόλουθων διαφορετικών κατηγοριών υποκειμένων και ο υπεύθυνος επεξεργασίας διακρίνει σαφώς κάνει σαφή διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών αυτών των κατηγοριών υποκειμένων, π.χ.:

α)  προσώπων σε σχέση με τα οποία υπάρχουν σοβαροί εύλογοι λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα·

β)  προσώπων τα οποία καταδικάσθηκαν για ποινικό αδίκημα έγκλημα·

γ)  θυμάτων ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να πέσουν θύματα ποινικού αδικήματος· και

δ)  τρίτων ως προς ποινικό αδίκημα, όπως προσώπων που ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικά αδικήματα ή σε επακόλουθη ποινική διαδικασία ή προσώπων που μπορούν να παράσχουν πληροφορίες σχετικά με ποινικά αδικήματα, ή προσώπων επικοινωνίας ή συνεργών των προσώπων που αναφέρονται στα στοιχεία α) και β). και

ε)  προσώπων που δεν υπάγονται σε καμία από τις ως άνω αναφερόμενες κατηγορίες.

2.  Δεδομένα προσωπικού χαρακτήρα άλλων υποκειμένων των δεδομένων από εκείνους οι οποίοι αναφέρονται στην παράγραφο 1 μπορούν να υποβάλλονται σε επεξεργασία μόνο:

α)  εφόσον κρίνεται απαραίτητο για την διερεύνηση ή τη δίωξη συγκεκριμένου ποινικού αδικήματος προκειμένου να αξιολογηθεί κατά πόσο τα δεδομένα έχουν ενδιαφέρον για μία από τις κατηγορίες που αναφέρονται στην παράγραφο 1· ή

β)  όταν η εν λόγω επεξεργασία είναι απαραίτητη για στοχοθετημένους, προληπτικούς λόγους ή για τους σκοπούς ποινικής διερεύνησης, υπό την αποκλειστική προϋπόθεση ότι ο εν λόγω σκοπός είναι νόμιμος, καλά διατυπωμένος και συγκεκριμένος και η επεξεργασία περιορίζεται αυστηρά στην αξιολόγηση του ενδιαφέροντος που έχουν τα δεδομένα για μία από τις κατηγορίες που αναφέρονται στην παράγραφο 1. Η επεξεργασία αυτή υπόκειται σε τακτικό έλεγχο ανά έξι μήνες τουλάχιστον και οιαδήποτε περαιτέρω χρήση απαγορεύεται.

3.  Τα κράτη μέλη προβλέπουν ότι επιπρόσθετοι περιορισμοί και εγγυήσεις, σύμφωνα με το δίκαιο κράτους μέλους, εφαρμόζονται στην περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα που αναφέρονται στα πρόσωπα που καλύπτονται από την παράγραφο 1 στοιχεία γ) και δ). [Τροπολογία 65]

Άρθρο 6

Διαφορετικοί βαθμοί ακρίβειας και αξιοπιστίας δεδομένων προσωπικού χαρακτήρα

1.  Τα κράτη μέλη διασφαλίζουν ότι, στον βαθμό του εφικτού, οι διαφορετικές κατηγορίες προβλέπουν ότι η ακρίβεια και η αξιοπιστία δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία διακρίνονται ανάλογα με τον βαθμό ακρίβειας και αξιοπιστίας τους είναι εξασφαλισμένες.

2.  Τα κράτη μέλη διασφαλίζουν, στον βαθμό του εφικτού, ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά περιστατικά διακρίνονται από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις, σύμφωνα με τον βαθμό ακρίβειας και αξιοπιστίας τους.

2α.  Τα κράτη μέλη διασφαλίζουν ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ακριβή, πλήρη ή επικαιροποιημένα δεν διαβιβάζονται ούτε τίθενται στη διάθεση των ενδιαφερομένων. Προς το σκοπό αυτό, οι αρμόδιες αρχές αξιολογούν την ποιότητα των δεδομένων προσωπικού χαρακτήρα, πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών. Σε κάθε διαβίβαση δεδομένων επισυνάπτονται στο μέτρο του δυνατού πληροφορίες που επιτρέπουν στο κράτος μέλος που παραλαμβάνει τα δεδομένα να αξιολογήσει την ακρίβεια, την πληρότητα, τον επίκαιρο χαρακτήρα και την αξιοπιστία των δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα δεν διαβιβάζονται αν δεν ζητηθεί από αρμόδια αρχή, πράγμα που ισχύει ιδίως για δεδομένα που ήταν αρχικά στην κατοχή ιδιωτών.

2β.  Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβασθεί ανακριβή δεδομένα, ή ότι τα δεδομένα διαβιβάσθηκαν παρανόμως, ο αποδέκτης τους πρέπει να ενημερωθεί πάραυτα. Ο αποδέκτης υποχρεούται να διορθώσει αμελλητί τα δεδομένα σύμφωνα με την παράγραφο 1 και το άρθρο 15 ή να τα διαγράψει σύμφωνα με το άρθρο 16. [Τροπολογία 66]

Άρθρο 7

Νομιμότητα επεξεργασίας

1.  Τα κράτη μέλη προβλέπουν ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν και στο μέτρο που αυτή βασίζεται στο δίκαιο της Ένωσης ή κράτους μέλους για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1 και είναι απαραίτητη:

α)  για την εκτέλεση καθήκοντος που ασκείται από αρμόδια αρχή βάσει νόμου για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1· ή

β)  για τη συμμόρφωση προς υποχρέωση την οποία ο υπεύθυνος επεξεργασίας υπέχει εκ του νόμου· ή

γ)  για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

δ)  για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας.

1α.  Το δίκαιο κράτους μέλους που διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παρούσας οδηγίας περιέχει ρητές και λεπτομερείς διατάξεις που προσδιορίζουν τουλάχιστον:

α)  τους σκοπούς της επεξεργασίας·

β)  τα δεδομένα προσωπικού χαρακτήρα που θα υποβληθούν σε επεξεργασία·

γ)  τους συγκεκριμένους σκοπούς και τα μέσα της επεξεργασίας·

δ)  τον διορισμό του υπευθύνου επεξεργασίας ή τα συγκεκριμένα κριτήρια για τον διορισμό του·

ε)  τις κατηγορίες των δεόντως εξουσιοδοτημένων μελών του προσωπικού των αρχών που είναι αρμόδιες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα·

στ)  τη διαδικασία που πρέπει να τηρείται για την επεξεργασία·

ζ)  τη χρήση που μπορεί να γίνει στα ληφθέντα δεδομένα προσωπικού χαρακτήρα·

η)  τους περιορισμούς της έκτασης τυχόν διακριτικής ευχέρειας που παραχωρείται στις αρμόδιες αρχές σε σχέση με τις δραστηριότητες επεξεργασίας. [Τροπολογία 67]

Άρθρο 7α

Περαιτέρω επεξεργασία για ασυμβίβαστους σκοπούς

1.  Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε περαιτέρω επεξεργασία για σκοπό άλλον από εκείνον που ορίζεται στο άρθρο 1 παράγραφος 1, ο οποίος δεν είναι συμβατός με τους σκοπούς για τους οποίους συνελέγησαν αρχικά τα δεδομένα, εάν και στον βαθμό που:

α)  ο σκοπός είναι αυστηρά απαραίτητος και αναλογικός σε μια δημοκρατική κοινωνία και απαιτείται από το δίκαιο της Ένωσης ή κράτους μέλους για νόμιμο, καλά καθορισμένο και συγκεκριμένο σκοπό·

β)  η επεξεργασία περιορίζεται αυστηρά σε χρονικό διάστημα που δεν υπερβαίνει τον απαραίτητο για την συγκεκριμένη πράξη επεξεργασίας χρόνο·

γ)  οιαδήποτε περαιτέρω χρήση για άλλους σκοπούς απαγορεύεται.

Πριν από οιαδήποτε επεξεργασία, το κράτος μέλος προβαίνει σε διαβούλευση με την αρμόδια εθνική αρχή ελέγχου και διενεργεί εκτίμηση επιπτώσεων σε σχέση με την προστασία των δεδομένων.

2.  Πέραν των προϋποθέσεων του άρθρου 7 παράγραφος 1α, το δίκαιο κράτους μέλους που επιτρέπει την περαιτέρω επεξεργασία, όπως ορίζεται στην παράγραφο 1, περιέχει ρητές και λεπτομερείς διατάξεις που προσδιορίζουν τουλάχιστον:

α)  τους συγκεκριμένους σκοπούς και τα μέσα της εν λόγω επεξεργασίας·

β)  ότι η πρόσβαση επιτρέπεται μόνο σε δεόντως εξουσιοδοτημένα μέλη του προσωπικού των αρμόδιων αρχών κατά την εκτέλεση των καθηκόντων τους όταν, σε συγκεκριμένη περίπτωση, υπάρχουν εύλογοι λόγοι να πιστεύεται ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα συμβάλλει ουσιαστικά στην πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή στην εκτέλεση ποινικών κυρώσεων· και

γ)  ότι θεσπίζονται κατάλληλες εγγυήσεις προκειμένου να διασφαλισθεί η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Τα κράτη μέλη μπορούν να απαιτούν να υπόκειται η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα σε πρόσθετες προϋποθέσεις, όπως η δικαστική άδεια, σύμφωνα με το εθνικό τους δίκαιο.

3.  Τα κράτη μέλη μπορούν επίσης να επιτρέπουν την περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς υπό την προϋπόθεση ότι θεσπίζουν κατάλληλες εγγυήσεις, όπως η ανωνυμία των δεδομένων. [Τροπολογία 68]

Άρθρο 8

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1.  Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλή ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις, γενετήσιο προσανατολισμό ή φύλο, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικών και συνδικαλιστικές δραστηριότητες, και την επεξεργασία βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή.

2.  Η παράγραφος 1 δεν εφαρμόζεται εάν:

α)  η επεξεργασία επιτρέπεται από νόμο, ο οποίος προβλέπει κατάλληλες εγγυήσεις είναι απολύτως αναγκαία και αναλογική για την εκτέλεση καθήκοντος από τις αρμόδιες αρχές για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1, βάσει νομοθεσίας της Ένωσης ή κράτους μέλους που προβλέπει ειδικά και κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένης ειδικής άδειας από δικαστική αρχή, εάν απαιτείται από το εθνικό δίκαιο· ή

β)  η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

γ)  η επεξεργασία αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται, υπό την προϋπόθεση ότι είναι σημαντικά και απολύτως απαραίτητα για τον σκοπό που επιδιώκεται σε συγκεκριμένη περίπτωση. [Τροπολογία 69]

Άρθρο 8α

Επεξεργασία γενετικών δεδομένων για τον σκοπό ποινικής έρευνας ή δικαστικής διαδικασίας

1.  Τα κράτη μέλη διασφαλίζουν ότι τα γενετικά δεδομένα μπορούν να χρησιμοποιηθούν μόνο για την εξακρίβωση γενετικής σύνδεσης στο πλαίσιο της παροχής αποδεικτικών στοιχείων, της πρόληψης απειλής κατά της δημόσιας ασφάλειας ή της αποτροπής της διάπραξης συγκεκριμένου ποινικού αδικήματος. Τα γενετικά δεδομένα δεν μπορούν να χρησιμοποιηθούν για τη διαπίστωση άλλων χαρακτηριστικών, τα οποία μπορεί να συνδέονται γενετικά.

2.  Τα κράτη μέλη προβλέπουν ότι γενετικά δεδομένα ή πληροφορίες που απορρέουν από την ανάλυση των δεδομένων αυτών μπορούν να διατηρούνται μόνο για όσο διάστημα είναι αναγκαίο για τους σκοπούς για τους οποίους υπόκεινται σε επεξεργασία τα δεδομένα και, όταν το εμπλεκόμενο πρόσωπο έχει καταδικαστεί για σοβαρά αδικήματα στρεφόμενα κατά της ζωής, της ακεραιότητας ή της ασφάλειας προσώπων, υπόκεινται σε αυστηρές περιόδους αποθήκευσης που πρέπει να καθορίζονται από το δίκαιο κράτους μέλους.

3.  Τα κράτη μέλη διασφαλίζουν ότι τα γενετικά δεδομένα ή οι πληροφορίες που απορρέουν από την ανάλυσή τους αποθηκεύονται για μεγαλύτερες περιόδους μόνον όταν τα γενετικά δεδομένα δεν μπορούν να αποδοθούν σε φυσικό πρόσωπο, ιδίως όταν ανακαλύπτονται σε τόπο εγκλήματος. [Τροπολογία 70]

Άρθρο 9

Μέτρα βασισμένα σε κατάρτιση προφίλ και αυτοματοποιημένη επεξεργασία

1.  Τα κράτη μέλη προβλέπουν την απαγόρευση μέτρων που παράγουν δυσμενείς έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή θίγουν σε μεγάλο βαθμό το εν λόγω πρόσωπο, τα οποία μέτρα βασίζονται αποκλειστικά εν μέρει ή πλήρως σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται, εκτός εάν επιτρέπονται από νόμο ο οποίος θεσπίζει επίσης μέτρα για την κατοχύρωση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.  Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν μπορεί να βασίζεται αποκλειστικά στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 8.

2α.  Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό τον προσδιορισμό της ταυτότητας του προσώπου στο οποίο αναφέρονται τα δεδομένα χωρίς αρχική υποψία ότι αυτό έχει διαπράξει ή πρόκειται να διαπράξει ποινικό αδίκημα, θεωρείται νόμιμη μόνο στον βαθμό που αυτό είναι αυστηρά αναγκαίο για τη διερεύνηση σοβαρού ποινικού αδικήματος ή για την πρόληψη σαφούς και επικείμενου κινδύνου, με βάση αντικειμενικές ενδείξεις, κατά της δημόσιας ασφάλειας, της ύπαρξης του κράτους ή της ανθρώπινης ζωής.

2β.  Απαγορεύεται σε κάθε περίπτωση η κατάρτιση προφίλ το οποίο, είτε εκ προθέσεως είτε όχι, έχει ως αποτέλεσμα την εισαγωγή διακρίσεων έναντι ατόμων βάσει φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκείας ή πεποιθήσεων, συμμετοχής σε συνδικαλιστική οργάνωση, γενετήσιου προσανατολισμού, ή το οποίο, είτε εκ προθέσεως είτε όχι, οδηγεί σε μέτρα που επιφέρουν ανάλογο αποτέλεσμα. [Τροπολογία 71]

Άρθρο 9α

Γενικές αρχές για τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Τα κράτη μέλη εξασφαλίζουν ότι τα θεμέλια της προστασίας δεδομένων είναι σαφή και εμπεριέχουν αδιαφιλονίκητα δικαιώματα για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα τα οποία γίνονται σεβαστά από τον υπεύθυνο της επεξεργασίας των δεδομένων. Οι διατάξεις του παρούσας οδηγίας αποσκοπούν στην ενίσχυση, στην αποσαφήνιση, στη διασφάλιση και, κατά περίπτωση, στην κωδικοποίηση των εν λόγω δικαιωμάτων.

2.  Τα κράτη μέλη εξασφαλίζουν ότι τα δικαιώματα αυτά περιλαμβάνουν, μεταξύ άλλων, την παροχή σαφών και εύληπτων πληροφοριών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής των δεδομένων, το δικαίωμα λήψης δεδομένων, το δικαίωμα υποβολής καταγγελίας στην αρμόδια αρχή προστασίας δεδομένων και το δικαίωμα δικαστικής προσφυγής καθώς και το δικαίωμα σε αποζημίωση για ζημία που προκλήθηκε από παράνομη επεξεργασία. Τα εν λόγω δικαιώματα γενικά ασκούνται ατελώς. Ο υπεύθυνος επεξεργασίας απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός εύλογης προθεσμίας. [Τροπολογία 72]

ΚΕΦΑΛΑΙΟ III

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ

Άρθρο 10

Τρόπος άσκησης των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο ώστε να διαθέτει περιεκτικές, διαφανείς, σαφείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

2.  Τα κράτη μέλη προβλέπουν ότι κάθε ενημέρωση και κάθε κοινοποίηση σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παρέχεται από τον υπεύθυνο επεξεργασίας στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα σε κατανοητή μορφή, με τη χρήση σαφούς και απλής διατύπωσης, ιδίως όταν πρόκειται για ενημέρωση που απευθύνεται ειδικά σε παιδιά.

3.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο ώστε να θεσπίζει διαδικασίες για την παροχή των πληροφοριών που αναφέρονται στο άρθρο 11 και για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα που προβλέπονται στα άρθρα 12 έως 17. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας προβλέπει μέσα για την υποβολή των αιτημάτων με ηλεκτρονικό τρόπο.

4.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τη συνέχεια που δίδεται στο αίτημά του αμελλητί χωρίς καθυστέρηση, και σε κάθε περίπτωση το αργότερο εντός ενός μηνός από τη λήψη του αιτήματος. Η ενημέρωση παρέχεται γραπτώς. Όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή.

5.  Τα κράτη μέλη προβλέπουν ότι η ενημέρωση και οι ενέργειες που εκτελούνται από τον υπεύθυνο επεξεργασίας σε συνέχεια των αιτημάτων που αναφέρονται στις παραγράφους 3 και 4 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι κακόβουλα προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους ή του μεγέθους ή του όγκου του αιτήματος, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου εύλογου τέλους λαμβάνοντας υπόψη τις διοικητικές δαπάνες για την παροχή της ενημέρωσης ή για την εκτέλεση της ζητούμενης ενέργειας, ή ο υπεύθυνος επεξεργασίας μπορεί να μην εκτελέσει τη ζητούμενη ενέργεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του κακόβουλου προδήλως υπερβολικού χαρακτήρα του αιτήματος.

5α.  Τα κράτη μέλη μπορούν να προβλέπουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει άμεσα το δικαίωμά του κατά του υπεύθυνου επεξεργασίας ή μέσω της αρμόδιας αρχής ελέγχου. Όταν η αρχή ελέγχου ενεργεί κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, η αρχή ελέγχου ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τις διενεργηθείσες εξακριβώσεις. [Τροπολογία 73]

Άρθρο 11

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν συγκεκριμένο υποκείμενο, τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα απαραίτητα μέτρα για να παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα οπωσδήποτε τις ακόλουθες πληροφορίες:

α)  την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

β)  τη νομική βάση και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·

γ)  το χρονικό διάστημα για το οποίο θα αποθηκευθούν τα δεδομένα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

δ)  την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο·

ε)  το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου που αναφέρεται στο άρθρο 39 και τα στοιχεία επικοινωνίας της εν λόγω αρχής·

στ)  τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς και πληροφορίες σχετικά με το ποιος επιτρέπεται να έχει πρόσβαση στα δεδομένα αυτά δυνάμει της νομοθεσίας της εν λόγω τρίτης χώρας ή των κανόνων του εν λόγω διεθνούς οργανισμού, την ύπαρξη ή την απουσία απόφασης περί επάρκειας από την Επιτροπή ή όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 35 ή 36, τα μέσα για να αποκτηθεί αντίγραφο των κατάλληλων εγγυήσεων που χρησιμοποιήθηκαν για τη διαβίβαση·

στα)  όταν ο υπεύθυνος επεξεργασίας δεδομένων επεξεργάζεται δεδομένα προσωπικού χαρακτήρα όπως προβλέπεται στο άρθρο 9 παράγραφος 1, πληροφορίες σχετικά με την ύπαρξη επεξεργασίας για μέτρο του είδους που αναφέρεται στο άρθρο 9 παράγραφος 1 και τα επιδιωκόμενα αποτελέσματα της εν λόγω επεξεργασίας για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, πληροφορίες σχετικά με τη συλλογιστική που χρησιμοποιήθηκε στην κατάρτιση προφίλ και το δικαίωμα να διενεργηθεί αξιολόγηση από άνθρωπο·

στβ)  πληροφορίες σχετικά με μέτρα ασφάλειας που λαμβάνονται για την προστασία των δεδομένων προσωπικού χαρακτήρα·

ζ)  κάθε περαιτέρω πληροφορία η οποία είναι απαραίτητη για τη διασφάλιση της θεμιτής επεξεργασίας έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα.

2.  Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, επιπλέον των πληροφοριών της παραγράφου 1, σχετικά με το κατά πόσον η παροχή δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή εθελοντική, καθώς και για τις ενδεχόμενες συνέπειες της μη παροχής τέτοιων δεδομένων.

3.  Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στην παράγραφο 1:

α)  κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται· ή

β)  εάν τα δεδομένα προσωπικού χαρακτήρα δεν παρέχονται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα υποβάλλονται σε επεξεργασία.

4.  Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία καθυστερούν, ή περιορίζουν ή παραλείπουν την παροχή των πληροφοριών στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, σε συγκεκριμένη περίπτωση, στον βαθμό που και εφόσον ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου προσώπου, με σκοπό:

α)  την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·

β)  την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·

γ)  την προστασία της δημόσιας ασφάλειας·

δ)  την προστασία της εθνικής ασφάλειας·

ε)  την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

5.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας εκτιμά, σε κάθε επί μέρους περίπτωση, μέσω συγκεκριμένης και ατομικής εξέτασης, κατά πόσον ισχύει μερικός ή πλήρης περιορισμός για έναν από τους λόγους που αναφέρονται στην παράγραφο 4. Τα κράτη μέλη μπορούν διά νόμου να καθορίζουν επίσης κατηγορίες επεξεργασίας δεδομένων οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στις εξαιρέσεις που προβλέπονται στην παράγραφο 4 στοιχεία α), β), γ) και δ). [Τροπολογία 74]

Άρθρο 12

Δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία τη διόρθωση ή συμπλήρωση δεδομένων προσωπικού χαρακτήρα που το αφορούν. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται όντως σε επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις ακόλουθες πληροφορίες, εάν δεν έχουν ήδη παρασχεθεί:

—α)  κοινοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους και, κατά περίπτωση, εύληπτων πληροφοριών σχετικά με την συλλογιστική που εφαρμόστηκε σε οποιαδήποτε αυτοματοποιημένη επεξεργασία·

—αα)  τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον στην περίπτωση των μέτρων που αναφέρονται στο άρθρο 9·

α)  τους σκοπούς της επεξεργασίας καθώς και τη νομική βάση για την επεξεργασία·

β)  τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

γ)  τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες·

δ)  το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

ε)  την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση, τη διαγραφή ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο·

στ)  το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας της εν λόγω αρχής.

ζ)  κοινοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους.

2.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να λαμβάνει από τον υπεύθυνο επεξεργασίας αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό. [Τροπολογία 75]

Άρθρο 13

Περιορισμοί του δικαιώματος πρόσβασης

1.  Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, ανάλογα με την περίπτωση, το δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα στον βαθμό που και για όσο διάστημα ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά απολύτως αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου προσώπου, με σκοπό:

α)  την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·

β)  την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·

γ)  την προστασία της δημόσιας ασφάλειας·

δ)  την προστασία της εθνικής ασφάλειας·

ε)  την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

2.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας εκτιμά, σε κάθε επί μέρους περίπτωση, μέσω συγκεκριμένης και ατομικής εξέτασης, κατά πόσον ισχύει μερικός ή πλήρης περιορισμός για έναν από τους λόγους που αναφέρονται στην παράγραφο 1. Τα κράτη μέλη μπορούν επίσης να καθορίζουν διά νόμου κατηγορίες επεξεργασίας δεδομένων οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στις εξαιρέσεις που προβλέπονται στην παράγραφο 1 στοιχεία α) έως δ).

3.  Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 και 2, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς αδικαιολόγητη καθυστέρηση για κάθε άρνηση ή περιορισμό πρόσβασης, για τους λόγους την εμπεριστατωμένη αιτιολόγηση της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής. Οι πληροφορίες σχετικά με τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφαση μπορεί να παραλείπονται εάν η παροχή τέτοιων πληροφοριών υπονομεύει έναν από τους σκοπούς που αναφέρονται στην παράγραφο 1.

4.  Τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει την εκτίμηση που αναφέρεται στην παράγραφο 2, καθώς και τους λόγους για τους οποίους παραλείπεται περιορίζεται η κοινοποίηση των πραγματικών ή νομικών λόγων επί των οποίων βασίζεται η απόφαση. Οι πληροφορίες αυτές τίθενται στη διάθεση των εθνικών αρχών ελέγχου. [Τροπολογία 76]

Άρθρο 14

Τρόπος άσκησης του δικαιώματος πρόσβασης

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να ζητεί, ανά πάσα στιγμή, ειδικότερα στις περιπτώσεις που αναφέρονται στο άρθρο στα άρθρα 12 και 13, από την αρχή ελέγχου να ελέγξει τη νομιμότητα της επεξεργασίας.

2.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για το δικαίωμα να ζητήσει την παρέμβαση της αρχής ελέγχου δυνάμει της παραγράφου 1.

3.  Όταν ασκείται το δικαίωμα που αναφέρεται στην παράγραφο 1, η αρχή ελέγχου ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα οπωσδήποτε για το ότι η αρχή ελέγχου διενήργησε όλες τις αναγκαίες επαληθεύσεις, καθώς και σχετικά με το αποτέλεσμα του ελέγχου της νομιμότητας της σχετικής επεξεργασίας. Η αρχή ελέγχου ενημερώνει επίσης το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για το δικαίωμά του να ασκήσει δικαστική προσφυγή.

3α.  Τα κράτη μέλη μπορούν να προβλέπουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκεί άμεσα το δικαίωμα αυτό κατά του υπεύθυνου επεξεργασίας ή μέσω της αρμόδιας εθνικής αρχής ελέγχου.

3β.  Τα κράτη μέλη εξασφαλίζουν ότι παρέχεται εύλογη προθεσμία στον υπεύθυνο επεξεργασίας για να απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 77]

Άρθρο 15

Δικαίωμα διόρθωσης και συμπλήρωσης

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διόρθωση ή τη συμπλήρωση δεδομένων προσωπικού χαρακτήρα που το αφορούν και τα οποία είναι ανακριβή. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα ή ελλιπή, μεταξύ άλλων υπό τη μορφή συμπληρωματικής ή διορθωτικής δήλωσης.

2.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εγγράφως, με εμπεριστατωμένη αιτιολόγηση για κάθε άρνηση διόρθωσης ή συμπλήρωσης της επεξεργασίας, για τους λόγους της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής.

2α.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας κοινοποιεί οιαδήποτε διόρθωση σε κάθε αποδέκτη στον οποίο έχουν κοινολογηθεί τα δεδομένα, εκτός εάν αυτό αποδειχθεί αδύνατο ή περιλαμβάνει δυσανάλογη προσπάθεια.

2β.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας κοινοποιεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα στον τρίτο από τον οποίο προέρχονται τα ανακριβή δεδομένα προσωπικού χαρακτήρα.

2γ.  Τα κράτη μέλη προβλέπουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκεί το δικαίωμα αυτό και μέσω της αρμόδιας εθνικής αρχής ελέγχου. [Τροπολογία 78]

Άρθρο 16

Δικαίωμα διαγραφής

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν εάν η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις που θεσπίζονται δυνάμει του άρθρου 4 στοιχεία α) έως ε), του άρθρου 7 και του άρθρου 8 σύμφωνα με τα άρθρα 4, 6 και 7 έως 8 της παρούσας οδηγίας.

2.  Ο υπεύθυνος επεξεργασίας προβαίνει στη διαγραφή αμελλητί. Ο υπεύθυνος επεξεργασίας δεν διαδίδει περαιτέρω τα δεδομένα αυτά.

3.  Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας επισημαίνει τα δεδομένα περιορίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εάν:

α)  η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

β)  τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς προσκόμισης αποδείξεων ή για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου ατόμου.

γ)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους.

3α.  Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται σύμφωνα με την παράγραφο 3, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πριν από την άρση του περιορισμού της επεξεργασίας.

4.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εγγράφως, με εμπεριστατωμένη αιτιολόγηση, για κάθε άρνηση διαγραφής ή επισήμανσης περιορισμού της επεξεργασίας, για τους λόγους της άρνησης και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και επιδίωξης δικαστικής προσφυγής.

4α.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας κοινοποιεί στους αποδέκτες στους οποίους έχουν σταλεί τα δεδομένα αυτά οιαδήποτε διαγραφή ή περιορισμό διενεργήθηκε σύμφωνα με την παράγραφο 1, εκτός εάν αυτό αποδειχθεί αδύνατο ή περιλαμβάνει δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σχετικά με τους εν λόγω τρίτους.

4β.  Τα κράτη μέλη μπορούν να προβλέπουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκεί άμεσα το δικαίωμα αυτό κατά του υπεύθυνου επεξεργασίας ή μέσω της αρμόδιας εθνικής αρχής ελέγχου. [Τροπολογία 79]

Άρθρο 17

Δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε ποινικές έρευνες και διαδικασίες

Τα κράτη μέλη μπορούν να προβλέπουν ότι τα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας, τα οποία αναφέρονται στα άρθρα 11 έως 16, ασκούνται σύμφωνα με τους εθνικούς κανόνες περί δικαστικής διαδικασίας εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο το οποίο υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας ή διαδικασίας.

ΚΕΦΑΛΑΙΟ IV

ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1

ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Άρθρο 18

Ευθύνη του υπευθύνου επεξεργασίας

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας θεσπίζει πολιτικές και εφαρμόζει κατάλληλα μέτρα ώστε να διασφαλίζει και να είναι σε θέση να καταδεικνύει, με διαφάνεια, για κάθε πράξη επεξεργασίας, ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία.

2.  Τα μέτρα που προβλέπονται στην παράγραφο 1 περιλαμβάνουν, ειδικότερα, τα ακόλουθα:

α)  τήρηση της τεκμηρίωσης δυνάμει του άρθρου 23·

αα)  διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 25α·

β)  συμμόρφωση προς τις απαιτήσεις προηγούμενης διαβούλευσης δυνάμει του άρθρου 26·

γ)  εφαρμογή των απαιτήσεων για την ασφάλεια των δεδομένων οι οποίες προβλέπονται στο άρθρο 27·

δ)  διορισμό υπευθύνου επεξεργασίας δεδομένων δυνάμει του άρθρου 30·

δα)  κατάρτιση και εφαρμογή ειδικών εγγυήσεων όσον αφορά την διαχείριση δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά, όποτε αυτό αποδεικνύεται σκόπιμο.

3.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς οι οποίοι διασφαλίζουν τον έλεγχο της επάρκειας και της αποτελεσματικότητας των μέτρων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου. Ο εν λόγω έλεγχος διενεργείται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές, εφόσον κάτι τέτοιο συνιστά αναλογικό μέτρο. [Τροπολογία 80]

Άρθρο 19

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.  Τα κράτη μέλη προβλέπουν ότι, έχοντας υπόψη την κατάσταση της τεχνολογίας, και το κόστος εφαρμογής το τρέχον επίπεδο τεχνικών γνώσεων, τις διεθνείς βέλτιστες πρακτικές και τους κινδύνους που συνεπάγεται η επεξεργασία δεδομένων, ο υπεύθυνος επεξεργασίας εφαρμόζει και ο εκτελών την επεξεργασία εάν υπάρχει εφαρμόζουν, τόσο κατά τον καθορισμό των σκοπών και των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπον ώστε η επεξεργασία να πληροί τις απαιτήσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ιδιαίτερα σε σχέση με τις αρχές που καθορίζονται στο άρθρο 4. Η προστασία δεδομένων ήδη από τον σχεδιασμό λαμβάνει ιδιαίτερα υπόψη τον πλήρη κύκλο ζωής της διαχείρισης δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και τη διαγραφή, εστιάζοντας συστηματικά σε εκτεταμένες διαδικαστικές εγγυήσεις ως προς την ακρίβεια, την εμπιστευτικότητα, την ακεραιότητα, την υλική ασφάλεια και τη διαγραφή των δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας έχει διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων δυνάμει του άρθρου 25α, τα αποτελέσματα λαμβάνονται υπόψη κατά την εκπόνηση των εν λόγω μέτρων και διαδικασιών.

2.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για κάθε επί μέρους σκοπό της επεξεργασίας και ότι τα εν λόγω δεδομένα δεν συλλέγονται ούτε διατηρούνται ή διαδίδονται πέραν του ελάχιστου απαραίτητου ορίου για τους σκοπούς της επεξεργασίας αυτούς, τόσο από την άποψη της ποσότητας των δεδομένων όσο και του χρόνου αποθήκευσής τους. Ειδικότερα, οι εν λόγω μηχανισμοί διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπων και ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν τη δυνατότητα να ελέγχουν τη διανομή των δικών τους δεδομένων προσωπικού χαρακτήρα. [Τροπολογία 81]

Άρθρο 20

Από κοινού υπεύθυνοι επεξεργασίας

1.  Τα κράτη μέλη προβλέπουν ότι, εάν ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από κοινού με άλλους, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν, με γραπτή συμφωνία δεσμευτικού χαρακτήρα, τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς άσκησης των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω νομικά δεσμευτικής μεταξύ τους συμφωνίας.

2.  Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκεί τα δικαιώματά του δυνάμει της παρούσας οδηγίας σε σχέση και έναντι καθενός από οιουσδήποτε δύο ή περισσότερους από κοινού υπεύθυνους επεξεργασίας, εκτός εάν έχει ενημερωθεί ποιος από τους δύο από κοινού υπεύθυνους επεξεργασίας είναι αρμόδιος σύμφωνα με την παράγραφο 1. [Τροπολογία 82]

Άρθρο 21

Εκτελών την επεξεργασία

1.  Τα κράτη μέλη προβλέπουν ότι, εάν μια πράξη επεξεργασίας πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπον ώστε η επεξεργασία να πληροί τις απαιτήσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ιδίως σε σχέση με τα τεχνικά μέτρα ασφάλειας και τα οργανωτικά μέτρα που διέπουν την επεξεργασία που πρέπει να πραγματοποιηθεί και για τη διασφάλιση της συμμόρφωσης με τα εν λόγω μέτρα.

2.  Τα κράτη μέλη προβλέπουν ότι η εκτέλεση της επεξεργασίας από εκτελούντα μέσω εκτελούντος την επεξεργασία διέπεται υποχρεωτικά από σύμβαση ή δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία:

α)   ενεργεί μόνον κατ’ εντολή του υπευθύνου επεξεργασίας ιδίως εάν η διαβίβαση των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται απαγορεύεται·

β)  απασχολεί μόνο προσωπικό που έχει συμφωνήσει να δεσμεύεται από υποχρέωση εμπιστευτικότητας ή υπόκειται σε νομικά κατοχυρωμένη υποχρέωση εμπιστευτικότητας·

γ)  λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 27·

δ)  χρησιμοποιεί τις υπηρεσίες άλλου εκτελούντος την επεξεργασία μόνο με την άδεια του υπευθύνου επεξεργασίας και, ως εκ τούτου, ενημερώνει τον υπεύθυνο επεξεργασίας σχετικά με την πρόθεσή του να χρησιμοποιήσει τις υπηρεσίες άλλου εκτελούντος την επεξεργασία εγκαίρως ώστε ο υπεύθυνος επεξεργασίας να έχει τη δυνατότητα να διατυπώσει αντιρρήσεις·

ε)  στον βαθμό που είναι εφικτό, λαμβανομένης υπόψη της φύσης της επεξεργασίας, εγκρίνει, σε συμφωνία με τον υπεύθυνο επεξεργασίας, τις αναγκαίες τεχνικές και οργανωτικές προϋποθέσεις για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που υποβάλλονται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα με στόχο την άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του·

στ)  επικουρεί τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 25α έως 29·

ζ)  επιστρέφει όλα τα αποτελέσματα στον υπεύθυνο επεξεργασίας μετά το πέρας της επεξεργασίας και δεν επεξεργάζεται άλλως πως τα δεδομένα προσωπικού χαρακτήρα και διαγράφει τα υπάρχοντα αντίγραφα εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους απαιτεί την αποθήκευσή τους·

η)  θέτει στη διάθεση του υπευθύνου επεξεργασίας και της αρχής ελέγχου κάθε απαραίτητη πληροφορία για την επαλήθευση της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο·

θ)  λαμβάνει υπόψη την αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

2α.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τεκμηριώνουν εγγράφως τις εντολές του υπευθύνου επεξεργασίας και την υποχρέωση του εκτελούντος την επεξεργασία οι οποίες αναφέρονται στην παράγραφο 2.

3.  Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των εντολών του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας οι οποίοι προβλέπονται στο άρθρο 20. [Τροπολογία 83]

Άρθρο 22

Επεξεργασία υπό την εποπτεία του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία

1.  Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας ή εφόσον υπέχει τέτοια υποχρέωση με βάση το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

1α.  Όταν ο εκτελών την επεξεργασία είναι ή καθίσταται καθοριστικό μέρος σε σχέση με τους σκοπούς, τα μέσα ή τις μεθόδους επεξεργασίας των δεδομένων ή δεν ενεργεί αποκλειστικά βάσει των οδηγιών του υπευθύνου επεξεργασίας, θεωρείται από κοινού υπεύθυνος επεξεργασίας δυνάμει του άρθρου 20. [Τροπολογία 84]

Άρθρο 23

Τεκμηρίωση

1.  Τα κράτη μέλη προβλέπουν ότι κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία διατηρεί τεκμηρίωση όλων των συστημάτων και διαδικασιών επεξεργασίας που τελούν υπό την ευθύνη του.

2.  Η τεκμηρίωση περιέχει οπωσδήποτε τις ακόλουθες πληροφορίες:

α)  το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία·

αα)  νομικά δεσμευτική συμφωνία, στην περίπτωση από κοινού υπευθύνων για την επεξεργασία· κατάσταση των εκτελούντων την επεξεργασία και των δραστηριοτήτων που επιτελούνται από τους εκτελούντες την επεξεργασία·

β)  τους σκοπούς της επεξεργασίας·

βα)  αναφορά των μερών του οργανισμού στον οποίο ανήκει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και στον οποίο έχει ανατεθεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα για συγκεκριμένο σκοπό·

ββ)  περιγραφή της κατηγορίας ή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των δεδομένων ή κατηγοριών δεδομένων που αναφέρονται σε αυτά·

γ)  τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

γα)  κατά περίπτωση, πληροφορίες σχετικά με την ύπαρξη κατάρτισης προφίλ, μέτρων που βασίζονται σε κατάρτιση προφίλ και μηχανισμών διατύπωσης αντιρρήσεων στην κατάρτιση προφίλ·

γβ)  κατανοητές πληροφορίες σχετικά με τη συλλογιστική κάθε αυτοματοποιημένης επεξεργασίας·

δ)  τις διαβιβάσεις δεδομένων προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένου προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και τους νομικούς λόγους βάσει των οποίων διαβιβάζονται τα δεδομένα· όταν η διαβίβαση βασίζεται στα άρθρα 35 ή 36 της παρούσας οδηγίας, παρέχεται ουσιαστική εξήγηση·

δα)  τις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

δβ)  τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο άρθρο 18 παράγραφος 1·

δγ)  αναφορά της νομικής βάσης της πράξης επεξεργασίας για την οποία προορίζονται τα δεδομένα.

3.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθιστούν θέτουν την τεκμηρίωση διαθέσιμη στο σύνολό της στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματος, στην αρχή ελέγχου. [Τροπολογία 85]

Άρθρο 24

Τήρηση αρχείων

1.  Τα κράτη μέλη διασφαλίζουν ότι τηρούνται αρχεία τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας: συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, συνδυασμός ή διαγραφή. Τα αρχεία αναζήτησης πληροφοριών και κοινολόγησης καταδεικνύουν ειδικότερα τον σκοπό, την ημερομηνία και την ώρα των εν λόγω πράξεων και, στον βαθμό του εφικτού, την ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, και την ταυτότητα των αποδεκτών των εν λόγω δεδομένων.

2.  Τα αρχεία χρησιμοποιούνται μόνον για σκοπούς επαλήθευσης της νομιμότητας της επεξεργασίας δεδομένων, αυτοπαρακολούθησης και διασφάλισης της ακεραιότητας και της ασφάλειας των δεδομένων ή για σκοπούς ελέγχου, είτε από τον υπεύθυνο προστασίας δεδομένων είτε από την αρχή προστασίας δεδομένων.

2α.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματος. [Τροπολογία 86]

Άρθρο 25

Συνεργασία με την αρχή ελέγχου

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου για την άσκηση των καθηκόντων της, ιδίως παρέχοντας όλες τις πληροφορίες που είναι απαραίτητες για την άσκηση των καθηκόντων της αρχής ελέγχου αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο α) και παρέχοντας πρόσβαση όπως προβλέπεται στο άρθρο 46 παράγραφος 2 στοιχείο β).

2.  Ως απόκριση στην άσκηση των εξουσιών της αρχής ελέγχου βάσει του άρθρου 46 παράγραφος 1 στοιχεία α) και β), ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία απαντούν στην αρχή ελέγχου εντός εύλογης προθεσμίας η οποία προσδιορίζεται από την αρχή ελέγχου. Η απάντηση περιλαμβάνει περιγραφή των ληφθέντων μέτρων και των επιτευχθέντων αποτελεσμάτων, ως απόκριση στις παρατηρήσεις της αρχής ελέγχου. [Τροπολογία 87]

Άρθρο 25α

Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργεί εκτίμηση επιπτώσεων των συστημάτων και διαδικασιών επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα, όταν οι πράξεις επεξεργασίας ενέχουν πιθανώς συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης τους, της έκτασης ή των σκοπών τους, πριν από νέες πράξεις επεξεργασίας ή το νωρίτερο δυνατόν στην περίπτωση υφισταμένων πράξεων επεξεργασίας.

2.  Ειδικότερα, οι ακόλουθες πράξεις επεξεργασίας είναι πιθανό να ενέχουν συγκεκριμένους κινδύνους όπως αναφέρονται στην παράγραφο 1:

α)  επεξεργασία δεδομένων προσωπικού χαρακτήρα σε συστήματα αρχειοθέτησης μεγάλης κλίμακας για τους σκοπούς της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων και εκτέλεσης ποινικών κυρώσεων·

β)  επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως εμφαίνεται στο άρθρο 8, δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά και βιομετρικών δεδομένων και δεδομένων θέσης για τους σκοπούς της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων και της εκτέλεσης ποινικών κυρώσεων·

γ)  αξιολόγηση των πτυχών προσωπικού χαρακτήρα που αφορούν φυσικό πρόσωπο ή προορίζονται για την ανάλυση ή την πρόληψη ειδικότερα της συμπεριφοράς του φυσικού προσώπου, που βασίζεται σε αυτοματοποιημένη επεξεργασία και ενδέχεται να οδηγήσει σε μέτρα που θα έχουν νομικές επιπτώσεις για το εν λόγω φυσικό πρόσωπο ή να το επηρεάσουν σημαντικά·

δ)  παρακολούθηση δημόσια προσπελάσιμων χώρων, ιδίως με τη χρήση οπτικοηλεκτρονικών συσκευών (επιτήρηση με βίντεο)· ή

ε)  άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με την αρχή ελέγχου δυνάμει του άρθρου 26 παράγραφος 1.

3.  Η εκτίμηση περιέχει τουλάχιστον:

α)  συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας·

β)  εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε σχέση με τους σκοπούς·

γ)  εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα και τα προβλεπόμενα μέτρα για την αντιμετώπιση των κινδύνων αυτών και την ελαχιστοποίηση του όγκου των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία·

δ)  μέτρα ασφαλείας και μηχανισμούς για να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να καταδεικνύεται η συμμόρφωση προς τις διατάξεις που θεσπίζονται σύμφωνα με την παρούσα οδηγία, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων·

ε)  γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

στ)  κατά περίπτωση, κατάλογο των σχεδιαζόμενων διαβιβάσεων δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, περιλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 36 παράγραφος 2, την τεκμηρίωση για τις κατάλληλες εγγυήσεις.

4.  Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει ορίσει υπεύθυνο προστασίας δεδομένων, αυτός συμμετέχει στη διεργασία της εκτίμησης των επιπτώσεων.

5.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διαβουλεύεται με το κοινό σχετικά με τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας του δημοσίου συμφέροντος ή της ασφάλειας των πράξεων επεξεργασίας.

6.  Με την επιφύλαξη της προστασίας του δημοσίου συμφέροντος ή της ασφάλειας των πράξεων επεξεργασίας, η εκτίμηση καθίσταται εύκολα προσπελάσιμη από το κοινό.

7.  Η Επιτροπή εξουσιοδοτείται να εκδίδει, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τις πράξεις επεξεργασίας που πιθανώς ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στις παραγράφους 1 και 2, καθώς και των απαιτήσεων για την εκτίμηση που αναφέρεται στην παράγραφο 3, συμπεριλαμβανομένων των προϋποθέσεων για επεκτασιμότητα, επαλήθευση και δυνατότητα ελέγχου. [Τροπολογία 88]

Άρθρο 26

Προηγούμενη διαβούλευση με την αρχή ελέγχου

1.  Τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με την αρχή ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν:

α)  πρόκειται να υποβληθούν σε επεξεργασία ειδικές κατηγορίες δεδομένων οι οποίες αναφέρονται στο άρθρο 8 η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η οποία προβλέπεται στο άρθρο 25α, υποδεικνύει ότι οι πράξεις επεξεργασίας ενδέχεται, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, να ενέχουν υψηλό βαθμό συγκεκριμένων κινδύνων· ή

β)  ο τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει άλλους ειδικούς η αρχή ελέγχου θεωρεί απαραίτητη τη διενέργεια προηγούμενης διαβούλευσης για συγκεκριμένες πράξεις επεξεργασίας, οι οποίες πιθανώς ενέχουν συγκεκριμένους κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες, ιδίως για την προστασία των δεδομένων προσωπικού χαρακτήρα, των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους.

1α.  Εάν η αρχή ελέγχου εκτιμά σύμφωνα με την αρμοδιότητά της ότι η σχεδιαζόμενη επεξεργασία δεν συμμορφώνεται προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, και ιδίως εάν οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, η αρχή ελέγχου απαγορεύει τη σχεδιαζόμενη επεξεργασία και διατυπώνει κατάλληλες προτάσεις για την επανόρθωση αυτής της έλλειψης συμμόρφωσης.

2.  Τα κράτη μέλη δύνανται να προβλέπουν ότι η αρχή ελέγχου, μετά από διαβουλεύσεις με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 1 στοιχείο β).

2α.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχουν στην αρχή ελέγχου την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων σύμφωνα με το άρθρο 25α, και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία, η οποία επιτρέπει στην αρχή ελέγχου να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του προσώπου στο οποίο αυτά αναφέρονται και τις σχετικές εγγυήσεις.

2β.  Εάν η αρχή ελέγχου φρονεί ότι η σχεδιαζόμενη επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ή ότι οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, η αρχή αυτή διατυπώνει κατάλληλες προτάσεις για την επανόρθωση αυτής της έλλειψης συμμόρφωσης.

2γ.  Τα κράτη μέλη μπορούν να διαβουλεύονται με την αρχή ελέγχου κατά την εκπόνηση νομοθετικού μέτρου, το οποίο πρόκειται να εγκριθεί από το εθνικό κοινοβούλιο ή μέτρου βασισμένου σε ένα τέτοιο νομοθετικό μέτρο, το οποίο ορίζει τη φύση της διαδικασίας, προκειμένου να διασφαλίζεται συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς την παρούσα οδηγία και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. [Τροπολογία 89]

ΤΜΗΜΑ 2

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Άρθρο 27

Ασφάλεια επεξεργασίας

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες ώστε να διασφαλίζουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία και τη φύση των δεδομένων που πρέπει να προστατευθούν, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους.

2.  Σε σχέση με την αυτοματοποιημένη επεξεργασία δεδομένων, κάθε κράτος μέλος προβλέπει ότι ο υπεύθυνος της επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν αξιολόγησης των κινδύνων, μέτρα με σκοπό:

α)  την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας δεδομένων που χρησιμοποιείται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (έλεγχος πρόσβασης σε εξοπλισμό)·

β)  την αποφυγή της μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων)·

γ)  την αποφυγή της μη επιτρεπόμενης εισαγωγής δεδομένων και του μη επιτρεπόμενου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·

δ)  την αποφυγή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας δεδομένων από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·

ε)  την εξασφάλιση ότι πρόσωπα εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας δεδομένων έχουν πρόσβαση μόνον σε δεδομένα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα)·

στ)  την εξασφάλιση ότι είναι δυνατό να επαληθευθεί και να εξακριβωθεί σε ποιους φορείς διαβιβάσθηκαν ή διατέθηκαν ή ενδέχεται να διαβιβασθούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·

ζ)  την εξασφάλιση ότι μπορεί να επαληθευθεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας δεδομένων, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα (έλεγχος εισαγωγής)·

η)  την αποφυγή μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς)·

θ)  την εξασφάλιση ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση)·

ι)  την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα)·

ια)  την εξασφάλιση ότι στην περίπτωση της επεξεργασίας ευαίσθητων δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 8, πρέπει να λαμβάνονται πρόσθετα μέτρα ασφαλείας για να διασφαλίζεται η αντίληψη των καταστάσεων κινδύνου και η δυνατότητα λήψης προληπτικών, διορθωτικών και ελαφρυντικών μέτρων σε σχεδόν πραγματικό χρόνο για την αντιμετώπιση των τρωτών σημείων ή των βλαβών που ανιχνεύονται και θα μπορούσαν να συνεπάγονται κίνδυνο για τα δεδομένα.

2α.  Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία μπορεί να διορίζεται μόνον εφόσον παρέχει εχέγγυα ότι λαμβάνει τα απαιτούμενα δυνάμει της παραγράφου 1 τεχνικά και οργανωτικά μέτρα και τηρεί τις οδηγίες που προβλέπει το άρθρο 21 παράγραφος 2 στοιχείο α). Η αρμόδια αρχή ελέγχει τον εκτελούντα την επεξεργασία εν προκειμένω.

3.  Η Επιτροπή μπορεί να εκδίδει, εάν απαιτείται, εκτελεστικές πράξεις για την εξειδίκευση των απαιτήσεων που προβλέπονται στις παραγράφους 1 και 2 σε διάφορες καταστάσεις, ιδίως σε σχέση με τα πρότυπα κρυπτογράφησης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2. [Τροπολογία 90]

Άρθρο 28

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

1.  Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, ει δυνατόν, το αργότερο εντός 24 ωρών από τη στιγμή που την αντελήφθη. Ο υπεύθυνος επεξεργασίας παρέχει, κατόπιν αιτήματος, στην αρχή ελέγχου εμπεριστατωμένη αιτιολόγηση στις σε περιπτώσεις στις οποίες η γνωστοποίηση δεν πραγματοποιείται εντός 24 ωρών οιασδήποτε καθυστέρησης.

2.  Ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως μόλις αντιληφθεί παραβίαση μετά τη διαπίστωση της παραβίασης δεδομένων προσωπικού χαρακτήρα.

3.  Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

α)  να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, και των κατηγοριών και του αριθμού των σχετικών αρχείων δεδομένων·

β)  να διευκρινίζει την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων που αναφέρεται στο άρθρο 30 ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

γ)  να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ)  να περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

ε)  να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να μετριάζει τις συνέπειές της.

Σε περίπτωση που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες χωρίς αδικαιολόγητη καθυστέρηση, ο υπεύθυνος επεξεργασίας μπορεί να συμπληρώσει την κοινοποίηση σε δεύτερη φάση.

4.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης. Η εν λόγω τεκμηρίωση πρέπει να είναι επαρκής ώστε να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

4α.  Η αρχή ελέγχου τηρεί δημόσιο μητρώο των τύπων παραβιάσεων που γνωστοποιήθηκαν.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη διαπίστωση της παραβίασης δεδομένων που αναφέρεται στις παραγράφους 1 και 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να γνωστοποιούν την παραβίαση δεδομένων προσωπικού χαρακτήρα.

6.  Η Επιτροπή μπορεί να θεσπίσει τυποποιημένο μορφότυπο για την εν λόγω γνωστοποίηση στην αρχή ελέγχου, τις εφαρμοστέες διαδικασίες στην απαίτηση γνωστοποίησης, καθώς και τη μορφή και τον τρόπο της τεκμηρίωσης που αναφέρεται στην παράγραφο 4, συμπεριλαμβανομένων των προθεσμιών που ισχύουν για τη διαγραφή των πληροφοριών που περιέχονται σε αυτήν. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2. [Τροπολογία 91]

Άρθρο 29

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1.  Τα κράτη μέλη προβλέπουν ότι, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα, ή την ιδιωτική ζωή, τα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί, μετά τη γνωστοποίηση που αναφέρεται στο άρθρο 28, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2.  Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα η οποία αναφέρεται στην παράγραφο 1 είναι περιεκτική και χρησιμοποιεί σαφή και απλή διατύπωση. Περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχει οπωσδήποτε τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 28 παράγραφος 3 στοιχεία β), και γ) και δ) και πληροφορίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων, περιλαμβανομένου του δικαιώματος αποζημίωσης.

3.  Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο που πείθει την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα προσωπικού χαρακτήρα τα οποία αφορά η συγκεκριμένη παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας πρέπει να καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

3α.  Με την επιφύλαξη της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εάν ο υπεύθυνος επεξεργασίας δεν έχει ακόμη ειδοποιήσει το συγκεκριμένο πρόσωπο για την παραβίαση των δεδομένων του προσωπικού χαρακτήρα, η αρχή ελέγχου δύναται, αφού εξετάσει τις ενδεχόμενες δυσμενείς συνέπειες της παραβίασης, να απαιτήσει από τον υπεύθυνο επεξεργασίας να το πράξει.

4.  Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να καθυστερήσει, ή να περιορισθεί ή να παραλειφθεί για τους λόγους που αναφέρονται στο άρθρο 11 παράγραφος 4. [Τροπολογία 92]

ΤΜΗΜΑ 3

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 30

Διορισμός του υπευθύνου προστασίας δεδομένων

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διορίζει υπεύθυνο προστασίας δεδομένων.

2.  Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα άσκησης των καθηκόντων που αναφέρονται στο άρθρο 32. Το αναγκαίο επίπεδο εμπειρογνωσίας καθορίζεται ειδικότερα ανάλογα με την επεξεργασία δεδομένων που διενεργείται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

2α.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι κάθε άλλο επαγγελματικό καθήκον του υπευθύνου προστασίας δεδομένων είναι συμβατό προς τα καθήκοντα και τις αρμοδιότητες του προσώπου αυτού ως υπευθύνου προστασίας δεδομένων και δεν συνεπάγεται σύγκρουση συμφερόντων.

2β.  Ο υπεύθυνος προστασίας δεδομένων διορίζεται για περίοδο τουλάχιστον τεσσάρων ετών και μπορεί να διορισθεί εκ νέου για περαιτέρω θητείες. Κατά τη διάρκεια της θητείας του, ο υπεύθυνος προστασίας δεδομένων μπορεί να απομακρυνθεί από τη θέση του μόνον εάν δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

2γ.  Τα κράτη μέλη προβλέπουν το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να επικοινωνεί με τον υπεύθυνο προστασίας δεδομένων σχετικά με όλα τα ζητήματα που συνδέονται με την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

3.  Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί για περισσότερες οντότητες, λαμβανομένης υπόψη της οργανωτικής δομής της αρμόδιας αρχής.

3α.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στην αρχή ελέγχου και στο κοινό. [Τροπολογία 93]

Άρθρο 31

Θέση του υπευθύνου προστασίας δεδομένων

1.  Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων διαθέτει τα μέσα για να εκτελεί τις αρμοδιότητες και τα καθήκοντα που αναφέρονται στο άρθρο 32 αποτελεσματικά και ανεξάρτητα, και ότι δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του.

2α.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του και παρέχουν όλα τα μέσα, μεταξύ άλλων προσωπικό, εγκαταστάσεις, εξοπλισμό, συνεχή επαγγελματική κατάρτιση και κάθε άλλο πόρο που είναι απαραίτητος για την άσκηση των αρμοδιοτήτων και των καθηκόντων που αναφέρονται στο άρθρο 32, αλλά και για τη διατήρηση των επαγγελματικών του γνώσεων. [Τροπολογία 94]

Άρθρο 32

Καθήκοντα του υπευθύνου προστασίας δεδομένων

Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτει στον υπεύθυνο προστασίας δεδομένων οπωσδήποτε τα ακόλουθα καθήκοντα:

α)  να εντείνει την ευαισθητοποίηση, να ενημερώνει και να διαφωτίζει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους οι οποίες απορρέουν από τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, ιδίως σε σχέση με τεχνικά και οργανωτικά μέτρα και διαδικασίες, και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

β)  να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης ευθυνών, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

γ)  να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας·

δ)  να διασφαλίζει ότι τηρείται η τεκμηρίωση που αναφέρεται στο άρθρο 23·

ε)  να παρακολουθεί την τεκμηρίωση, τη γνωστοποίηση και την κοινοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 28 και 29·

στ)  να παρακολουθεί την εφαρμογή της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και την αίτηση περί προηγούμενης διαβούλευσης προς την αρχή ελέγχου, εφόσον απαιτείται δυνάμει του άρθρου 26 παράγραφος 1·

ζ)  να παρακολουθεί την απάντηση σε αιτήματα της αρχής ελέγχου και, στο πλαίσιο των αρμοδιοτήτων του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με δική του πρωτοβουλία·

η)  να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε σχέση με ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με πρωτοβουλία του υπευθύνου προστασίας δεδομένων. [Τροπολογία 95]

ΚΕΦΑΛΑΙΟ V

ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Άρθρο 33

Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα

1.  Τα κράτη μέλη προβλέπουν ότι κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της περαιτέρω διαβίβασης προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί μόνον εφόσον:

α)  η συγκεκριμένη διαβίβαση είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων· και

αα)  τα δεδομένα διαβιβάζονται σε υπεύθυνο επεξεργασίας σε τρίτη χώρα ή διεθνή οργανισμό που είναι δημόσια αρχή αρμόδια για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1· και

αβ)  οι προϋποθέσεις που καθορίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή διεθνή οργανισμό προς άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό· και

β)  οι προϋποθέσεις που καθορίζονται στο παρόν κεφάλαιο άλλες διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία· και

βα)  το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων που εγγυάται η παρούσα οδηγία στην Ένωση δεν υπονομεύεται· και

ββ)  η Επιτροπή έχει αποφασίσει βάσει των προϋποθέσεων και της διαδικασίας που αναφέρονται στο άρθρο 34 ότι η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός διασφαλίζει κατάλληλο επίπεδο προστασίας· ή

βγ)  παρατίθενται κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη, όπως αναφέρεται στο άρθρο 35.

2.  Τα κράτη μέλη προβλέπουν ότι οι περαιτέρω διαβιβάσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου μπορούν να πραγματοποιούνται μόνον εφόσον, εκτός από τους όρους που προβλέπει η εν λόγω παράγραφος:

α)  η περαιτέρω διαβίβαση απαιτείται για τον ίδιο ειδικό σκοπό που ίσχυε για την αρχική διαβίβαση· και

β)  η αρμόδια αρχή που πραγματοποίησε την αρχική διαβίβαση εγκρίνει την περαιτέρω διαβίβαση. [Τροπολογία 96]

Άρθρο 34

Διαβιβάσεις με απόφαση περί επάρκειας

1.  Τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό επιτρέπεται να πραγματοποιηθεί εάν η Επιτροπή έχει αποφανθεί, σύμφωνα με το άρθρο 41 του κανονισμού (ΕΕ) …./2012 ή σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, ότι η τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ο διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί καμία περαιτέρω ειδική έγκριση.

2.  Εάν δεν υπάρχει απόφαση εκδοθείσα σύμφωνα με το άρθρο 41 του κανονισμού (ΕΕ) …./2012, η Επιτροπή αξιολογεί την επάρκεια Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, εξετάζοντας η Επιτροπή λαμβάνει υπόψη τα ακόλουθα στοιχεία:

α)  το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, καθώς και την εκτέλεση αυτής της νομοθεσίας και τα μέτρα ασφαλείας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, τα νομολογιακά προηγούμενα καθώς και τα ουσιαστικά και εκτελεστά δικαιώματα, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση και των οποίων δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

β)  την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, υπεύθυνων για τη διασφάλιση της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής κυρώσεων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

γ)  τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός, ειδικότερα κάθε νομικά δεσμευτική σύμβαση ή νομικό μέσο σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα.

3.  Η Επιτροπή μπορεί εξουσιοδοτείται να εκδίδει, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 για να αποφασίσει, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2.

4.  Η εκτελεστική κατ’ εξουσιοδότηση πράξη προσδιορίζει τη γεωγραφική και τομεακή εφαρμογή της και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

4α.  Η Επιτροπή παρακολουθεί διαρκώς τις εξελίξεις που θα μπορούσαν να επηρεάσουν την εκπλήρωση των στοιχείων που αναφέρονται στην παράγραφο 2 σε τρίτες χώρες και διεθνείς οργανισμούς σε σχέση με τους οποίους έχει εκδοθεί κατ’ εξουσιοδότηση πράξη δυνάμει της παραγράφου 3.

5.  Η Επιτροπή μπορεί εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 για να αποφασίσει, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός, δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά και εκτελεστά δικαιώματα, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως δε για εκείνα τα πρόσωπα των οποίων δεδομένα προσωπικού χαρακτήρα διαβιβάζονται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 57 παράγραφος 2 ή, σε εξαιρετικά επείγουσες περιπτώσεις όσον αφορά το δικαίωμα των φυσικών προσώπων στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 57 παράγραφος 3.

6.  Τα κράτη μέλη διασφαλίζουν ότι, εάν όταν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5, σύμφωνα με την οποία απαγορεύεται κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την εν λόγω τρίτη χώρα, ή προς έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή προς τον διεθνή οργανισμό, η εν λόγω απόφαση δεν θίγει τις διαβιβάσεις που προβλέπονται στο άρθρο 35 παράγραφος 1 ή πραγματοποιούνται σύμφωνα με το άρθρο 36. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

7.  Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και των διεθνών οργανισμών για τα οποία έχει αποφανθεί ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

8.  Η Επιτροπή παρακολουθεί την εφαρμογή των εκτελεστικών κατ’ εξουσιοδότηση πράξεων που αναφέρονται στις παραγράφους 3 και 5. [Τροπολογία 97]

Άρθρο 35

Διαβιβάσεις βάσει κατάλληλων εγγυήσεων

1.  Εάν η Επιτροπή δεν έχει λάβει καμία απόφαση δυνάμει του άρθρου 34 ή αποφασίσει ότι μια τρίτη χώρα, τα κράτη μέλη προβλέπουν ότι διαβίβαση δεδομένων ή ένα έδαφος εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός δεν εξασφαλίζει επαρκές επίπεδο προστασίας σύμφωνα με το άρθρο 34 παράγραφος 5, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα προς αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον: μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη.

α)  παρασχέθηκαν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή

β)  ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και συνεπέρανε ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2.  Η απόφαση για διαβιβάσεις σύμφωνα με την παράγραφο 1 στοιχείο β) πρέπει να λαμβάνεται από δεόντως εξουσιοδοτημένους υπαλλήλους. Οι εν λόγω διαβιβάσεις πρέπει να τεκμηριώνονται, η δε τεκμηρίωση πρέπει να διατίθεται στην αρχή ελέγχου, κατόπιν αιτήματος εγκρίνονται από την αρχή ελέγχου πριν από τη διαβίβαση. [Τροπολογία 98]

Άρθρο 36

Παρεκκλίσεις

1.  Σε περίπτωση που η Επιτροπή λάβει απόφαση σύμφωνα με το άρθρο 34 παράγραφος 5 ότι δεν υφίσταται επαρκές επίπεδο προστασίας, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στην ενδιαφερόμενη τρίτη χώρα ή στον ενδιαφερόμενο διεθνή οργανισμό δεν πραγματοποιείται, εφόσον, στη συγκεκριμένη περίπτωση, τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα για την πρόληψη της διαβίβασης υπερτερούν έναντι του δημοσίου συμφέροντος που συνίσταται στη διαβίβαση των δεδομένων.

2.  Κατά παρέκκλιση από τα άρθρα 34 και 35, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό επιτρέπεται να πραγματοποιηθεί μόνον εφόσον:

α)  η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου· ή

β)  η διαβίβαση είναι απαραίτητη για την προστασία έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, εφόσον το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα προβλέπει κάτι τέτοιο· ή

γ)  η διαβίβαση των δεδομένων είναι απαραίτητη για την πρόληψη άμεσης και σοβαρής απειλής στη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας· ή

δ)  η διαβίβαση είναι απαραίτητη σε μεμονωμένες περιπτώσεις για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· ή

ε)  η διαβίβαση είναι απαραίτητη σε μεμονωμένες περιπτώσεις για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων οι οποίες σχετίζονται με την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη συγκεκριμένου ποινικού αδικήματος ή την εκτέλεση συγκεκριμένης ποινικής κύρωσης.

2α.  Η επεξεργασία βάσει της παραγράφου 2 πρέπει να διαθέτει νομική βάση που στηρίζεται σε νομοθεσία της Ένωσης ή του κράτους μέλους στην οποία υπόκειται ο υπεύθυνος επεξεργασίας· η νομοθεσία αυτή πρέπει να ανταποκρίνεται σε σκοπό δημοσίου συμφέροντος ή να είναι αναγκαία για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο.

2β.  Όλες οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που αποφασίζονται κατά παρέκκλιση πρέπει να αιτιολογούνται δεόντως και να περιορίζονται στα απολύτως απαραίτητα, και δεν επιτρέπονται συχνές μαζικές διαβιβάσεις δεδομένων.

2γ.  Η απόφαση για διαβιβάσεις σύμφωνα με την παράγραφο 2 πρέπει να λαμβάνεται από δεόντως εξουσιοδοτημένο προσωπικό. Οι διαβιβάσεις αυτές πρέπει να τεκμηριώνονται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της αρχής ελέγχου κατόπιν αιτήματος, συμπεριλαμβάνοντας την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα. [Τροπολογία 99]

Άρθρο 37

Ειδικές προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα

Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα για τυχόν περιορισμούς της επεξεργασίας και λαμβάνει κάθε εύλογο μέτρο ώστε να διασφαλίζει ότι οι εν λόγω περιορισμοί γίνονται σεβαστοί. Ο υπεύθυνος επεξεργασίας κοινοποιεί στον αποδέκτη των δεδομένων προσωπικού χαρακτήρα οιαδήποτε επικαιροποίηση, διόρθωση ή διαγραφή δεδομένων, ο δε αποδέκτης με τη σειρά του προβαίνει στην αντίστοιχη κοινοποίηση σε περίπτωση κατά την οποία τα δεδομένα έχουν διαβιβασθεί περαιτέρω. [Τροπολογία 100]

Άρθρο 38

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

1.  Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και τα κράτη μέλη λαμβάνουν κατάλληλα μέτρα με σκοπό:

α)  την ανάπτυξη αποτελεσματικών μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση διασφάλιση της επιβολής της νομοθεσίας που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα· [Τροπολογία 101]

β)  την παροχή διεθνούς αμοιβαίας συνδρομής στον τομέα της επιβολής της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω κοινοποίησης, παραπομπής καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών·

γ)  τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα·

δ)  την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα·

δα)  την αποσαφήνιση και διενέργεια διαβουλεύσεων για θέματα συγκρούσεων δικαιοδοσίας με τρίτες χώρες. [Τροπολογία 102]

2.  Για τους σκοπούς της παραγράφου 1, η Επιτροπή λαμβάνει κατάλληλα μέτρα ώστε να προαγάγει τη σχέση με τρίτες χώρες και διεθνείς οργανισμούς, και ιδίως με τις αρχές ελέγχου τους, εφόσον η Επιτροπή έχει αποφανθεί ότι παρέχουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 34 παράγραφος 3.

Άρθρο 38α

Έκθεση της Επιτροπής

Η Επιτροπή υποβάλλει έκθεση για την εφαρμογή των άρθρων 33 έως 38 στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο σε τακτά χρονικά διαστήματα. Η πρώτη έκθεση υποβάλλεται το αργότερο τέσσερα έτη μετά την έναρξη ισχύος της παρούσας οδηγίας. Για τον σκοπό αυτό, η Επιτροπή δύναται να ζητήσει από τα κράτη μέλη και από τις αρχές ελέγχου πληροφορίες, οι οποίες παρέχονται χωρίς αδικαιολόγητη καθυστέρηση. Οι εκθέσεις δημοσιοποιούνται. [Τροπολογία 103]

ΚΕΦΑΛΑΙΟ VI

ΑΝΕΞΑΡΤΗΤΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ

ΤΜΗΜΑ 1

ΑΝΕΞΑΡΤΗΤΟ ΚΑΘΕΣΤΩΣ

Άρθρο 39

Αρχή ελέγχου

1.  Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και τη διευκόλυνση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για τον σκοπό αυτό, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή.

2.  Τα κράτη μέλη δύνανται να προβλέπουν ότι η αρχή ελέγχου που ιδρύεται στα κράτη μέλη δυνάμει του κανονισμού (ΕΕ) αριθ. …/2014 αναλαμβάνει την ευθύνη για τα καθήκοντα της αρχής ελέγχου που ιδρύεται δυνάμει της παραγράφου 1 του παρόντος άρθρου.

3.  Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας αρχές ελέγχου, το εν λόγω κράτος μέλος ορίζει την αρχή ελέγχου η οποία ενεργεί ως ενιαίο σημείο επικοινωνίας για την αποτελεσματική συμμετοχή των εν λόγω αρχών στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 40

Ανεξαρτησία

1.  Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται με πλήρη ανεξαρτησία, με την επιφύλαξη των συμφωνιών συνεργασίας δυνάμει του Κεφαλαίου VII της παρούσας οδηγίας. [Τροπολογία 104]

2.  Κάθε κράτος μέλος προβλέπει ότι τα μέλη της αρχής ελέγχου, κατά την άσκηση των καθηκόντων τους, δεν ζητούν ούτε λαμβάνουν εντολές από οποιονδήποτε, και διατηρούν απόλυτη ανεξαρτησία και αμεροληψία. [Τροπολογία 105]

3.  Τα μέλη της αρχής ελέγχου απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4.  Τα μέλη της αρχής ελέγχου συμπεριφέρονται, μετά το πέρας της θητείας τους, με ακεραιότητα και διακριτικότητα όσον αφορά την αποδοχή διορισμών και παροχών.

5.  Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική άσκηση των καθηκόντων και των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της ενεργού συμμετοχής στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

6.  Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει δικούς της υπαλλήλους οι οποίοι διορίζονται και διοικούνται από τον προϊστάμενο της αρχής ελέγχου.

7.  Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της. Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου διαθέτει χωριστούς ετήσιους προϋπολογισμούς. Οι προϋπολογισμοί δημοσιοποιούνται.

Άρθρο 41

Γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου

1.  Τα κράτη μέλη προβλέπουν ότι τα μέλη της αρχής ελέγχου πρέπει να διορίζονται από το κοινοβούλιο ή από την κυβέρνηση του οικείου κράτους μέλους.

2.  Τα μέλη επιλέγονται μεταξύ προσώπων των οποίων η ανεξαρτησία είναι πέραν πάσης αμφιβολίας και των οποίων η πείρα και οι δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων τους είναι αποδεδειγμένες.

3.  Τα καθήκοντα κάθε μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με την παράγραφο 5.

4.  Ένα μέλος μπορεί να αποπεμφθεί ή να στερηθεί το δικαίωμα σε σύνταξη ή σε άλλες υποκατάστατες παροχές με απόφαση του αρμόδιου εθνικού δικαστηρίου, εάν το μέλος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή κριθεί ένοχο για σοβαρό παράπτωμα.

5.  Σε περίπτωση λήξης της θητείας ή παραίτησης μέλους, το μέλος εξακολουθεί να ασκεί τα καθήκοντά του έως τον διορισμό νέου μέλους.

Άρθρο 42

Κανόνες σχετικά με την ίδρυση της αρχής ελέγχου

Κάθε κράτος μέλος προβλέπει διά νόμου:

α)  την ίδρυση και το καθεστώς της αρχής ελέγχου σύμφωνα με τα άρθρα 39 και 40·

β)  τα προσόντα, την πείρα και τις δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων των μελών της αρχής ελέγχου·

γ)  τους κανόνες και τις διαδικασίες για τον διορισμό των μελών της αρχής ελέγχου, καθώς και τους κανόνες σχετικά με πράξεις ή επαγγέλματα που δεν συμβιβάζονται με τα καθήκοντα της θέσης·

δ)  τη διάρκεια της θητείας των μελών της αρχής ελέγχου, η οποία δεν μπορεί να είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά την έναρξη ισχύος της παρούσας οδηγίας, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα·

ε)  κατά πόσον τα μέρη της αρχής ελέγχου είναι επιλέξιμα για επαναδιορισμό·

στ)  τους κανονισμούς και τις κοινές προϋποθέσεις που διέπουν τα καθήκοντα των μελών και των υπαλλήλων της αρχής ελέγχου·

ζ)  τους κανόνες και τις διαδικασίες για την παύση των καθηκόντων των μελών της αρχής ελέγχου, μεταξύ άλλων, όταν τα μέλη δεν πληρούν πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων τους ή έχουν κριθεί ένοχα για σοβαρό παράπτωμα.

Άρθρο 43

Επαγγελματικό απόρρητο

Τα κράτη μέλη προβλέπουν ότι τα μέλη και οι υπάλληλοι της αρχής ελέγχου δεσμεύονται, τόσο κατά τη διάρκεια όσο και μετά τη λήξη της θητείας τους και σε συμμόρφωση με την εθνική νομοθεσία και πρακτική, από το επαγγελματικό απόρρητο όσον αφορά τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την άσκηση των επίσημων καθηκόντων τους, ενόσω επιτελούσαν τα καθήκοντά τους με ανεξάρτητο και διαφανή τρόπο, όπως ορίζει η παρούσα οδηγία. [Τροπολογία 106]

ΤΜΗΜΑ 2

ΚΑΘΗΚΟΝΤΑ ΚΑΙ ΕΞΟΥΣΙΕΣ

Άρθρο 44

Αρμοδιότητα

1.  Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου είναι αρμόδια να εκτελεί τα καθήκοντά της και να ασκεί, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, τις εξουσίες που της απονέμονται σύμφωνα με την παρούσα οδηγία. [Τροπολογία 107]

2.  Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας δικαστηρίων τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους ιδιότητας.

Άρθρο 45

Καθήκοντα

1.  Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου:

α)  παρακολουθεί και διασφαλίζει την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και των εκτελεστικών μέτρων της·

β)  εξετάζει τις καταγγελίες που υποβάλλονται από κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ή από ένωση που εκπροσωπεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία έχει εξουσιοδοτηθεί δεόντως από αυτό σύμφωνα με το άρθρο 50, ερευνά, στο μέτρο που ενδείκνυται, την υπόθεση και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την ένωση για την πρόοδο και για την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη αρχή ελέγχου·

γ)  ελέγχει τη νομιμότητα της επεξεργασίας δεδομένων δυνάμει του άρθρου 14, και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εντός εύλογου χρονικού διαστήματος για την έκβαση του ελέγχου ή για τους λόγους για τους οποίους ο έλεγχος δεν διενεργήθηκε·

δ)  παρέχει αμοιβαία συνδρομή σε άλλες αρχές ελέγχου και διασφαλίζει τη συνεκτικότητα της εφαρμογής και της επιβολής των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας·

ε)  διενεργεί έρευνες, επιθεωρήσεις και ελέγχους ιδία πρωτοβουλία ή βάσει καταγγελίας ή κατόπιν αιτήματος άλλης αρχής ελέγχου και ενημερώνει το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εφόσον το εν λόγω πρόσωπο έχει υποβάλει καταγγελία, για την έκβαση των ερευνών εντός εύλογου χρονικού διαστήματος·

στ)  παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και επικοινωνιών·

ζ)  παρέχει τη γνώμη της, κατόπιν αιτήματος οργάνων και φορέων των κρατών μελών, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

η)  παρέχει τη γνώμη της σχετικά με τις πράξεις επεξεργασίας που αναφέρονται στο άρθρο 26·

θ)  συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

2.  Κάθε αρχή ελέγχου προωθεί την ενημέρωση του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ειδική προσοχή αποδίδεται σε δραστηριότητες που αφορούν ειδικά παιδιά.

3.  Κατόπιν αιτήματος, η αρχή ελέγχου συμβουλεύει κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα κατά την άσκηση των δικαιωμάτων που προβλέπονται σε διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας και, εφόσον συντρέχει περίπτωση, συνεργάζεται με τις αρχές ελέγχου άλλων κρατών μελών για τον σκοπό αυτό.

4.  Για τις καταγγελίες που αναφέρονται στην παράγραφο 1 στοιχείο β), η αρχή ελέγχου παρέχει ένα έντυπο υποβολής καταγγελίας, το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

5.  Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

6.  Εάν τα αιτήματα είναι κακόβουλα προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η αρχή ελέγχου μπορεί να επιβάλει ένα εύλογο τέλος ή να μην προβεί στην ενέργεια που ζητεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Το εν λόγω τέλος δεν υπερβαίνει το κόστος εκτέλεσης της απαιτούμενης ενέργειας. Η αρχή ελέγχου φέρει το βάρος απόδειξης του κακόβουλου προδήλως υπερβολικού χαρακτήρα του αιτήματος. [Τροπολογία 108]

Άρθρο 46

Εξουσίες

1.  Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου πρέπει να διαθέτει ειδικότερα έχει την εξουσία:

α)  εξουσίες έρευνας, π.χ. εξουσίες πρόσβασης σε δεδομένα τα οποία αποτελούν αντικείμενο πράξεων επεξεργασίας και εξουσίες συλλογής όλων των πληροφοριών που απαιτούνται για την άσκηση των ελεγκτικών της καθηκόντων να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα τον επεξεργασία για εικαζόμενη παραβίαση των διατάξεων που ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, εφόσον συντρέχει περίπτωση, να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να επανορθώσει την εν λόγω παραβίαση, με συγκεκριμένο τρόπο, με σκοπό τη βελτίωση της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα·

β)  ουσιαστικές εξουσίες παρέμβασης, π.χ. έκδοση γνωμών πριν από τη διενέργεια επεξεργασίας και διασφάλιση της κατάλληλης δημοσίευσης των εν λόγω γνωμών, έκδοση εντολής περιορισμού, διαγραφής ή καταστροφής δεδομένων, επιβολή προσωρινής ή οριστικής απαγόρευσης της επεξεργασίας, παροχή προειδοποίησης ή επίπληξης προς τον υπεύθυνο επεξεργασίας ή παραπομπή του θέματος στα εθνικά κοινοβούλια ή άλλους πολιτικούς θεσμούς να δίνει εντολή στον υπεύθυνο επεξεργασίας να συμμορφώνεται με τα αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα για την άσκηση των δικαιωμάτων του βάσει της παρούσας οδηγίας, περιλαμβανομένων εκείνων που προβλέπονται στα άρθρα 12 έως 17, όταν τα αιτήματα αυτά έχουν απορριφθεί κατά παράβαση των εν λόγω διατάξεων·

γ)  την εξουσία κίνησης νομικής διαδικασίας εάν παραβιάσθηκαν οι διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή γνωστοποίησης της παραβίασης στις δικαστικές αρχές να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να παρέχει πληροφορίες σύμφωνα με το άρθρο 10 παράγραφοι 1 και 2 και τα άρθρα 11, 28 και 29·

δ)  να διασφαλίζει τη συμμόρφωση προς τις γνωμοδοτήσεις σε σχέση με τις προηγούμενες διαβουλεύσεις που αναφέρονται στο άρθρο 26·

ε)  να προειδοποιεί ή να εφιστά την προσοχή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία·

στ)  να δίνει εντολή διόρθωσης, διαγραφής ή καταστροφής όλων των δεδομένων όταν υποβλήθηκαν σε επεξεργασία κατά παράβαση των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, και εντολή κοινοποίησης των ενεργειών αυτών σε τρίτους στους οποίους γνωστοποιήθηκαν τα δεδομένα·

ζ)  να επιβάλλει προσωρινή ή οριστική απαγόρευση της επεξεργασίας·

η)  να αναστέλλει τις ροές δεδομένων προς αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό·

θ)  να ενημερώνει τα εθνικά κοινοβούλια, την κυβέρνηση ή άλλους δημόσιους φορείς καθώς και το κοινό εν προκειμένω.

2.  Κάθε αρχή ελέγχου διαθέτει εξουσία διεξαγωγής έρευνας ώστε να εξασφαλίζει από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία:

α)  πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την άσκηση των καθηκόντων ελέγχου της·

β)  πρόσβαση σε οποιαδήποτε εγκατάστασή του, συμπεριλαμβανομένου κάθε εξοπλισμό και μέσο επεξεργασίας δεδομένων, σύμφωνα με το εθνικό δίκαιο, όταν υπάρχουν εύλογοι λόγοι να πιστεύεται ότι εκεί πραγματοποιείται δραστηριότητα κατά παράβαση των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, με την επιφύλαξη δικαστικής άδειας εφόσον απαιτείται από το εθνικό δίκαιο.

3.  Με την επιφύλαξη του άρθρου 43, τα κράτη μέλη προβλέπουν ότι δεν εκδίδονται πρόσθετες απαιτήσεις απορρήτου κατόπιν αιτήματος των αρχών ελέγχου.

4.  Τα κράτη μέλη μπορούν να προβλέπουν ότι απαιτείται πρόσθετος έλεγχος ασφαλείας σύμφωνα με το εθνικό δίκαιο για την πρόσβαση σε πληροφορίες με διαβάθμιση σε επίπεδο ΕΜΠΙΣΤΕΥΤΙΚΟ ΕΕ ή ανώτερο. Εάν δεν απαιτείται πρόσθετος έλεγχος ασφαλείας σύμφωνα με το εθνικό δίκαιο του κράτους μέλους της σχετικής αρχής ελέγχου, αυτό πρέπει να αναγνωρίζεται από όλα τα υπόλοιπα κράτη μέλη.

5.  Κάθε αρχή ελέγχου έχει την εξουσία να εφιστά την προσοχή των δικαστικών αρχών σε παραβιάσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να συμμετέχει σε νομικές διαδικασίες, καθώς και να ασκεί αγωγές υπόψη του αρμόδιου δικαστηρίου δυνάμει του άρθρου 53 παράγραφος 2.

6.  Κάθε αρχή ελέγχου έχει την εξουσία να επιβάλλει ποινές σε σχέση με διοικητικά παραπτώματα. [Τροπολογία 109]

Άρθρο 46α

Αναφορά παραβάσεων

1.  Τα κράτη μέλη προβλέπουν ότι οι αρχές ελέγχου λαμβάνουν υπόψη τις οδηγίες που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 66 παράγραφος 4β του κανονισμού (ΕΕ) αριθ. …/2014 και καθιερώνουν αποτελεσματικούς μηχανισμούς για να ενθαρρύνουν την εμπιστευτική αναφορά παραβιάσεων της παρούσας οδηγίας.

2.  Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές καθιερώνουν αποτελεσματικούς μηχανισμούς για να ενθαρρύνουν την εμπιστευτική αναφορά παραβάσεων της παρούσας οδηγίας. [Τροπολογία 110]

Άρθρο 47

Έκθεση δραστηριοτήτων

Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου εκπονεί ετήσια έκθεση για τις δραστηριότητές της τουλάχιστον ανά διετία. Η έκθεση υποβάλλεται στην Επιτροπή και στο Ευρωπαϊκό Συμβούλιο τίθεται στη διάθεση του κοινού, του αντίστοιχου κοινοβουλίου, της Επιτροπής και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Περιλαμβάνει πληροφορίες σχετικά με τον βαθμό στον οποίο οι αρμόδιες αρχές στο πλαίσιο της δικαιοδοσίας τους έχουν αξιολογήσει δεδομένα που κατέχουν ιδιώτες για τη διερεύνηση ή δίωξη ποινικών αδικημάτων. [Τροπολογία 111]

ΚΕΦΑΛΑΙΟ VII

ΣΥΝΕΡΓΑΣΙΑ

Άρθρο 48

Αμοιβαία συνδρομή

1.  Τα κράτη μέλη προβλέπουν ότι οι αρχές ελέγχου παρέχουν η μια στην άλλη αμοιβαία συνδρομή για τη θέση σε ισχύ και την εφαρμογή με συνεκτικό τρόπο των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, π.χ. αιτήματα περί προηγούμενης διαβούλευσης, ελέγχου και έρευνας.

2.  Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει στο αίτημα άλλης αρχής ελέγχου. Τα μέτρα αυτά μπορούν να περιλαμβάνουν ειδικότερα τη διαβίβαση σχετικών πληροφοριών ή μέτρα επιβολής με σκοπό τη διακοπή ή την απαγόρευση πράξεων επεξεργασίας που είναι αντίθετες προς την παρούσα οδηγία χωρίς καθυστέρηση και το αργότερο εντός ενός μήνα από τη λήψη του αιτήματος.

2α.  Το αίτημα παροχής συνδρομής περιέχει όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού του αιτήματος και των λόγων υποβολής του. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο σε σχέση με το θέμα για το οποίο ζητήθηκαν.

2β.  Αρχή ελέγχου στην οποία υποβάλλεται αίτημα παροχής συνδρομής δεν μπορεί να αρνηθεί να συμμορφωθεί προς αυτό, παρά μόνον εάν:

α)  δεν είναι αρμόδια να ασχοληθεί με το αίτημα· ή

β)  η συμμόρφωση προς το αίτημα δεν συμβιβάζεται με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.

3.  Η αρχή ελέγχου στην οποία υποβλήθηκε το αίτημα ενημερώνει την αρχή ελέγχου που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο ή για τα μέτρα που λήφθηκαν προς ικανοποίηση του αιτήματος της αρχής που υπέβαλε το αίτημα.

3α.  Οι αρχές ελέγχου παρέχουν τις πληροφορίες που ζητούνται από άλλες αρχές ελέγχου με ηλεκτρονικά μέσα και εντός της συντομότερης δυνατής προθεσμίας, χρησιμοποιώντας τυποποιημένο μορφότυπο.

3β.  Κανένα τέλος δεν επιβάλλεται για οιαδήποτε ενέργεια πραγματοποιείται σε συνέχεια αιτήματος αμοιβαίας συνδρομής. [Τροπολογία 112]

Άρθρο 48α

Κοινές ενέργειες

1.  Τα κράτη μέλη προβλέπουν ότι, προκειμένου να ενισχυθεί η συνεργασία και η παροχή αμοιβαίας συνδρομής, οι αρχές ελέγχου μπορούν να λαμβάνουν από κοινού μέτρα επιβολής και να εκτελούν άλλες κοινές ενέργειες στο πλαίσιο των οποίων συγκεκριμένα μέλη του προσωπικού των αρχών ελέγχου άλλων κρατών μελών συμμετέχουν σε ενέργειες εντός της επικράτειας ενός κράτους μέλους.

2.  Τα κράτη μέλη προβλέπουν ότι σε περιπτώσεις στις οποίες τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή άλλα κράτη μέλη ενδέχεται να επηρεαστούν από ενέργειες επεξεργασίας, η αρμόδια αρχή ελέγχου μπορεί να κληθεί να συμμετέχει στις κοινές ενέργειες. Η αρμόδια αρχή ελέγχου μπορεί να καλέσει την αρχή ελέγχου σε καθένα από τα εν λόγω κράτη μέλη να λάβει μέρος στην αντίστοιχη ενέργεια και, σε περίπτωση που κληθεί, απαντά αμελλητί στο αίτημα αρχής ελέγχου να συμμετάσχει στις ενέργειες.

3.  Τα κράτη μέλη θεσπίζουν τις πρακτικές πτυχές συγκεκριμένων δράσεων συνεργασίας. [Τροπολογία 113]

Άρθρο 49

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο ιδρύεται με τον κανονισμό (ΕΕ) αριθ. …/2012 2014, ασκεί, στο πλαίσιο του πεδίου εφαρμογής της παρούσας οδηγίας, τα ακόλουθα καθήκοντα σε σχέση με την επεξεργασία:

α)  συμβουλεύει την Επιτροπή τα θεσμικά όργανα της Ένωσης για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης της παρούσας οδηγίας·

β)  εξετάζει, κατόπιν αιτήματος της Επιτροπής, του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου ή με ίδια πρωτοβουλία ή με πρωτοβουλία ενός εκ των μελών της, κάθε ζήτημα το οποίο αφορά την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και εκδίδει κατευθυντήρες γραμμές, συστάσεις και βέλτιστες πρακτικές οι οποίες απευθύνονται στις αρχές ελέγχου, με σκοπό να παροτρύνει τη συνεκτική εφαρμογή των εν λόγω διατάξεων, μεταξύ άλλων σχετικά με τη χρήση των εξουσιών επιβολής·

γ)  εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο στοιχείο β) και υποβάλλει τακτικά έκθεση στην Επιτροπή επ’ αυτών·

δ)  γνωμοδοτεί στην Επιτροπή σχετικά με το επίπεδο προστασίας σε τρίτες χώρες ή διεθνείς οργανισμούς·

ε)  προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και πρακτικών μεταξύ των αρχών ελέγχου, συμπεριλαμβανομένου του συντονισμού των κοινών ενεργειών και άλλων κοινών δραστηριοτήτων όταν λάβει σχετική απόφαση κατόπιν αιτήματος μίας ή περισσότερων αρχών ελέγχου·

στ)  προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές προσωπικού μεταξύ αρχών ελέγχου, καθώς και, κατά περίπτωση, με τις αρχές ελέγχου τρίτων χωρών ή διεθνών οργανισμών·

ζ)  προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης με τις αρχές ελέγχου της προστασίας δεδομένων ανά τον κόσμο, μεταξύ άλλων όσον αφορά τη νομοθεσία και την πρακτική στον τομέα της προστασίας των δεδομένων·

ζα)  γνωμοδοτεί στην Επιτροπή κατά την εκπόνηση των κατ’ εξουσιοδότηση και των εκτελεστικών πράξεων δυνάμει της παρούσας οδηγίας.

2.  Σε περίπτωση που το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο ή η Επιτροπή ζητεί τη συμβουλή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, μπορεί να τάξει προθεσμία εντός της οποίας αυτό το τελευταίο πρέπει να παράσχει την εν λόγω συμβουλή, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήρες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή που αναφέρεται στο άρθρο 57 παράγραφος 1, και τις δημοσιοποιεί.

4.  Η Επιτροπή ενημερώνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για τα μέτρα που λαμβάνει σε συνέχεια των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. [Τροπολογία 114]

ΚΕΦΑΛΑΙΟ VIII

ΜΕΣΑ ΠΑΡΟΧΗΣ ΕΝΝΟΜΗΣ ΠΡΟΣΤΑΣΙΑΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 50

Δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου

1.  Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών μέσων παροχής έννομης προστασίας, τα κράτη μέλη προβλέπουν το δικαίωμα κάθε προσώπου στο οποίο αναφέρονται δεδομένα να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.

2.  Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν ενεργεί υπέρ του δημοσίου συμφέροντος και που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους για λογαριασμό ενός ή περισσότερων προσώπων στα οποία αναφέρονται δεδομένα, εάν θεωρεί ότι τα βάσει της παρούσας οδηγίας δικαιώματα προσώπου στο οποίο αναφέρονται τα δεδομένα παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο οργανισμός ή η οργάνωση πρέπει να εξουσιοδοτούνται δεόντως από το πρόσωπο ή τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. [Τροπολογία 115]

3.  Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που αναφέρεται στην παράγραφο 2 να υποβάλει, ανεξάρτητα από τυχόν καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι έχει σημειωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

Άρθρο 51

Δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα δικαστικής προσφυγής κάθε φυσικού ή νομικού προσώπου κατά αποφάσεων αρχής ελέγχου που το αφορούν.

2.  Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο στο οποίο αναφέρονται δεδομένα έχει δικαίωμα δικαστικής προσφυγής με αίτημα να υποχρεωθεί η αρχή ελέγχου να ενεργήσει επί καταγγελίας, ελλείψει απόφασης απαραίτητης για την προστασία των δικαιωμάτων του ή εάν η αρχή ελέγχου δεν ενημερώσει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας δυνάμει του άρθρου 45 παράγραφος 1 στοιχείο β).

3.  Τα κράτη μέλη προβλέπουν ότι η διαδικασία κατά αρχής ελέγχου κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

3α.  Τα κράτη μέλη διασφαλίζουν ότι οι τελικές αποφάσεις του δικαστηρίου που αναφέρονται στο παρόν άρθρο θα εκτελεσθούν. [Τροπολογία 116]

Άρθρο 52

Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

1.  Με την επιφύλαξη τυχόν διαθέσιμης διοικητικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε αρχή ελέγχου, τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φυσικού προσώπου να ασκήσει δικαστική προσφυγή εάν θεωρεί ότι τα δικαιώματά του τα οποία προβλέπονται σε διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας παραβιάσθηκαν συνεπεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν κατά παράβαση των εν λόγω διατάξεων.

1α.  Τα κράτη μέλη διασφαλίζουν ότι οι τελικές αποφάσεις του δικαστηρίου που αναφέρονται στο παρόν άρθρο θα εκτελεσθούν. [Τροπολογία 117]

Άρθρο 53

Κοινοί κανόνες για δικαστικές διαδικασίες

1.  Τα κράτη μέλη προβλέπουν το δικαίωμα κάθε φορέα, οργανισμού ή οργάνωσης που αναφέρεται στο άρθρο 50 παράγραφος 2 να ασκεί τα δικαιώματα που αναφέρονται στα άρθρα 51, και 52 για λογαριασμό ενός ή περισσότερων προσώπων και 54 όταν εξουσιοδοτείται από ένα ή περισσότερα πρόσωπα στα οποία αναφέρονται δεδομένα. [Τροπολογία 118]

2.  Τα κράτη μέλη προβλέπουν ότι κάθε αρχή ελέγχου έχει δικαίωμα να κινεί νομική διαδικασία και να ασκεί προσφυγή ενώπιον δικαστηρίου προκειμένου να επιβάλλει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή να διασφαλίζει τη συνεκτικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. [Τροπολογία 119]

3.  Τα κράτη μέλη διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων οι οποίες είναι διαθέσιμες βάσει του εθνικού δικαίου επιτρέπουν την ταχεία λήψη μέτρων, συμπεριλαμβανομένων των ασφαλιστικών μέτρων, με σκοπό την παύση κάθε εικαζόμενης παραβίασης και την αποφυγή περαιτέρω βλάβης των σχετικών συμφερόντων.

Άρθρο 54

Ευθύνη και δικαίωμα αποζημίωσης

1.  Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο το οποίο υπέστη ζημία, συμπεριλαμβανομένης της ηθικής βλάβης, ως αποτέλεσμα παράνομης πράξης επεξεργασίας ή πράξης ασυμβίβαστης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας δικαιούται να αξιώσει αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. [Τροπολογία 120]

2.  Εάν στην επεξεργασία εμπλέκονται περισσότεροι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται από κοινού και εις ολόκληρον για ολόκληρο το ποσό της ζημίας.

3.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απαλλαγεί από την ευθύνη αυτή, εν όλω ή εν μέρει, εάν αποδείξει ότι δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας.

Άρθρο 55

Κυρώσεις

Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις κυρώσεις που εφαρμόζονται στις παραβάσεις των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και λαμβάνουν κάθε απαραίτητο μέτρο προκειμένου να διασφαλίζεται η εφαρμογή τους. Οι προβλεπόμενες κυρώσεις πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

ΚΕΦΑΛΑΙΟ VIIIα

Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτους

Άρθρο 55α

Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλες αρχές ή ιδιώτες στην Ένωση

1.  Τα κράτη μέλη διασφαλίζουν ότι ο υπεύθυνος επεξεργασίας δεν διαβιβάζει ούτε αναθέτει στον εκτελούντα την επεξεργασία να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε φυσικό ή νομικό πρόσωπο που δεν υπόκειται στις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, εκτός εάν:

α)  η διαβίβαση συμμορφώνεται προς το δίκαιο της Ένωσης ή κράτους μέλους· και

β)  ο αποδέκτης είναι εγκατεστημένος σε κράτος μέλος της Ευρωπαϊκής Ένωσης· και

γ)  η διαβίβαση δεν εμποδίζεται από ειδικά έννομα συμφέροντα του υποκειμένου των δεδομένων· και

δ)  η διαβίβαση είναι αναγκαία σε μια συγκεκριμένη περίπτωση για τον υπεύθυνο επεξεργασίας που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα με σκοπό:

i)  την εκπλήρωση καθήκοντος που του έχει νομίμως ανατεθεί· ή

ii)  την αποτροπή άμεσου και σοβαρού κινδύνου για τη δημόσια ασφάλεια· ή

iii)  την πρόληψη σοβαρής προσβολής των δικαιωμάτων μεμονωμένων προσώπων.

2.  Ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τον αποκλειστικό σκοπό για τον οποίο μπορούν να υποβληθούν σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα.

3.  Ο υπεύθυνος επεξεργασίας ενημερώνει την αρχή ελέγχου για τις διαβιβάσεις αυτές.

4.  Ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τυχόν περιορισμούς της επεξεργασίας και διασφαλίζει την τήρηση των εν λόγω περιορισμών. [Τροπολογία 121]

ΚΕΦΑΛΑΙΟ IX

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Άρθρο 56

Άσκηση της εξουσιοδότησης

1.  Η εξουσία έκδοσης να εκδίδει κατ’ εξουσιοδότηση πράξεων πράξεις ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που καθορίζονται στο παρόν άρθρο τους όρους του παρόντος άρθρου.

2.  Η εξουσιοδότηση που αναφέρεται στο άρθρο προβλεπόμενη στα άρθρα 25α παράγραφος 7, 28 παράγραφος 5, 34 παράγραφος 3 και 34 παράγραφος 5 εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή για αόριστη χρονική περίοδο αόριστο χρονικό διάστημα από την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας.

3.  Η εξουσιοδότηση που αναφέρεται στο άρθρο προβλέπεται στα άρθρα 25α παράγραφος 7, 28 παράγραφος 5, 34 παράγραφος 3 και 34 παράγραφος 5 μπορεί να ανακληθεί οποτεδήποτε ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή από το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευση επομένη της δημοσίευσης της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει το κύρος των ήδη εν ισχύι κατ’ εξουσιοδότηση πράξεων.

4.  Μόλις εκδώσει μια κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα ταυτοχρόνως στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5.  Κάθε Η κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου των άρθρων 25α παράγραφος 7, 28 παράγραφος 5, 34 παράγραφος 3 και 34 παράγραφος 5 τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο εντός δύο έξι μηνών από την κοινοποίηση της πράξης ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και το στο Συμβούλιο ή εάν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν προβάλλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο έξι μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου. [Τροπολογία 122]

Άρθρο 56α

Προθεσμίες για την έγκριση των κατ’ εξουσιοδότηση πράξεων

Η Επιτροπή εγκρίνει τις κατ’ εξουσιοδότηση πράξεις δυνάμει των άρθρων 25α παράγραφος 7 και 28 παράγραφος 5 [έξι μήνες πριν από την ημερομηνία που αναφέρεται στο άρθρο 62 παράγραφος 1]. Η Επιτροπή μπορεί να παρατείνει το διάστημα που αναφέρεται σε αυτήν την παράγραφο κατά έξι μήνες. [Τροπολογία 123]

Άρθρο 57

Διαδικασία επιτροπής

1.  Η Ευρωπαϊκή Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.  Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3.  Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5. [Τροπολογία 124]

ΚΕΦΑΛΑΙΟ X

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 58

Καταργήσεις

1.  Η απόφαση πλαίσιο 2008/977/ΔΕΥ καταργείται.

2.  Οι παραπομπές στην καταργούμενη απόφαση πλαίσιο που αναφέρεται στην παράγραφο 1 λογίζονται ως παραπομπές στην παρούσα οδηγία.

Άρθρο 59

Σχέση με προηγουμένως εκδοθείσες πράξεις της Ένωσης για τη δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία

Δεν θίγονται οι ειδικές διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, οι οποίες περιέχονται σε πράξεις της Ένωσης που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών και την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών θεσπισθέντα δυνάμει των Συνθηκών εντός του πεδίου εφαρμογής της παρούσας οδηγίας.

Άρθρο 60

Σχέση με προηγουμένως συναφθείσες διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας

Διεθνείς συμφωνίες οι οποίες συνήφθησαν από τα κράτη μέλη της πριν από την έναρξη ισχύος της παρούσας οδηγίας τροποποιούνται, όπου απαιτείται, εντός πέντε ετών από την έναρξη ισχύος της παρούσας οδηγίας.

Άρθρο 61

Αξιολόγηση

1.  Η Επιτροπή, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, αξιολογεί την εφαρμογή και την εκτέλεση της παρούσας οδηγίας. Συντονίζει σε στενή συνεργασία με τα κράτη μέλη και περιλαμβάνει επισκέψεις κατόπιν προειδοποιήσεως αλλά και αιφνιδιαστικές. Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο πρέπει να ενημερώνονται καθ’ όλη την διαδικασία και να έχουν πρόσβαση σε όλα τα σχετικά έγγραφα.

2.  Η Επιτροπή επανεξετάζει εντός τριών δύο ετών από την έναρξη ισχύος της παρούσας οδηγίας άλλες πράξεις που εκδίδονται από την Ευρωπαϊκή Ένωση οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και ιδίως τις πράξεις που εκδίδονται από την Ένωση και αναφέρονται στο άρθρο 59, προκειμένου να αξιολογήσει την αναγκαιότητα ευθυγράμμισής τους με την παρούσα οδηγία και διατυπώνει, εφόσον απαιτείται, τις αναγκαίες προτάσεις για την τροποποίηση των εν λόγω πράξεων ώστε να διασφαλίζεται συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και διατυπώνει κατάλληλες προτάσεις με σκοπό να διασφαλίσει συνεκτικούς και ομοιόμορφους νομικούς κανόνες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων εντός του πεδίου εφαρμογής της παρούσας οδηγίας.

2α.  Η Επιτροπή υποβάλει εντός δύο ετών από την έναρξη ισχύος της παρούσας οδηγίας κατάλληλες προτάσεις αναθεώρησης του εφαρμοστέου νομικού πλαισίου για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων με σκοπό τη διασφάλιση συνεκτικών και ομοιόμορφων νομικών κανόνων σχετικά με το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

3.  Η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την επανεξέταση της παρούσας οδηγίας δυνάμει της παραγράφου 1 στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο σε τακτά χρονικά διαστήματα. Οι πρώτες εκθέσεις υποβάλλονται το αργότερο τέσσερα έτη μετά την έναρξη ισχύος της παρούσας οδηγίας. Οι επακόλουθες εκθέσεις υποβάλλονται στη συνέχεια κάθε τέσσερα έτη. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση της παρούσας οδηγίας και την εναρμόνιση άλλων νομικών πράξεων. Οι εκθέσεις δημοσιοποιούνται. [Τροπολογία 125]

Άρθρο 62

Μεταφορά στο εθνικό δίκαιο

1.  Τα κράτη μέλη θεσπίζουν και δημοσιεύουν, το αργότερο έως ...(12), τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν προς την παρούσα οδηγία. Ανακοινώνουν αμέσως στην Επιτροπή το κείμενο των εν λόγω διατάξεων.

Τα κράτη μέλη εφαρμόζουν τις διατάξεις αυτές από ...*.

Όταν τα κράτη μέλη θεσπίζουν τις εν λόγω διατάξεις, αυτές περιέχουν αναφορά στην παρούσα οδηγία ή συνοδεύονται από την αναφορά αυτή κατά την επίσημη δημοσίευσή τους. Ο τρόπος της αναφοράς αποφασίζεται από τα κράτη μέλη.

2.  Τα κράτη μέλη ανακοινώνουν στην Επιτροπή το κείμενο των βασικών διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που καλύπτει η παρούσα οδηγία.

Άρθρο 63

Έναρξη ισχύος

Η παρούσα οδηγία αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Άρθρο 64

Αποδέκτες

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

...,

Για το Ευρωπαϊκό Κοινοβούλιο Για το Συμβούλιο

Ο Πρόεδρος Ο Πρόεδρος

(1) ΕΕ C 192 της 30.6.2012, σ. 7. (2) Θέση του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014. (3) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31). (4) Απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (ΕΕ L 350 της 30.12.2008, σ. 60). (5) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (EE L 8 της 12.1.2001, σ. 1). (6) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13). (7) Οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 2011, σχετικά με την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας και την αντικατάσταση της απόφασης-πλαίσιο 2004/68/ΔΕΥ του Συμβουλίου (ΕΕ L 335 της 17.12.2011, σ. 1). (8) ΕΕ L 176 της 10.7.1999, σ. 36. (9) ΕΕ L 53 της 27.2.2008, σ. 52. (10) ΕΕ L 160 της 18.6.2011, σ. 21. (11) ΕΕ C 369, 17.12.2011, σ. 14. (12) Δύο έτη από την έναρξη ισχύος της παρούσας οδηγίας.