(Συνήθης νομοθετική διαδικασία: πρώτη ανάγνωση)

Το Ευρωπαϊκό Κοινοβούλιο,

–  έχοντας υπόψη την πρόταση της Επιτροπής προς το Κοινοβούλιο και το Συμβούλιο (COM(2012)0011),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 2, το άρθρο 16 παράγραφος 2 και το άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, σύμφωνα με τα οποία του υποβλήθηκε η πρόταση από την Επιτροπή (C7-0025/2012),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 3 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,

–  έχοντας υπόψη τις αιτιολογημένες γνώμες που υποβλήθηκαν από τη Βουλή των Αντιπροσώπων του Βασιλείου του Βελγίου, το Γερμανικό Ομοσπονδιακό Συμβούλιο, τη Γερουσία της Γαλλικής Δημοκρατίας, το Κοινοβούλιο της Ιταλικής Δημοκρατίας και το Κοινοβούλιο του Βασιλείου της Σουηδίας, στο πλαίσιο του πρωτοκόλλου αριθ. 2 σχετικά με την εφαρμογή των αρχών της επικουρικότητας και της αναλογικότητας, με τις οποίες υποστηρίζεται ότι το σχέδιο νομοθετικής πράξης δεν συνάδει προς την αρχή της επικουρικότητας,

–  έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, που εκδόθηκε στις 23 Μαΐου 2012(1),

–  αφού ζήτησε τη γνώμη της Επιτροπής των Περιφερειών,

–  έχοντας υπόψη τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, που εκδόθηκε στις 7 Μαρτίου 2012(2),

–  έχοντας υπόψη τη γνωμοδότηση του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, της 1ης Οκτωβρίου 2012,

–  έχοντας υπόψη το άρθρο 55 του Κανονισμού του,

–  έχοντας υπόψη την έκθεση της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων, καθώς και τις γνωμοδοτήσεις της Επιτροπής Απασχόλησης και Κοινωνικών Υποθέσεων, της Επιτροπής Βιομηχανίας, Έρευνας και Ενέργειας, της Επιτροπής Εσωτερικής Αγοράς και Προστασίας των Καταναλωτών και της Επιτροπής Νομικών Θεμάτων (A7-0402/2013),

1.  εγκρίνει τη θέση του κατά την πρώτη ανάγνωση όπως παρατίθεται κατωτέρω·

2.  ζητεί από την Επιτροπή να του υποβάλει εκ νέου την πρόταση, αν προτίθεται να της επιφέρει σημαντικές τροποποιήσεις ή να την αντικαταστήσει με νέο κείμενο·

3.  αναθέτει στον Πρόεδρό του να διαβιβάσει τη θέση του Κοινοβουλίου στο Συμβούλιο, την Επιτροπή και στα εθνικά κοινοβούλια.

(1) ΕΕ C 229 της 31.7.2012, σ. 90. (2) ΕΕ C 192 της 30.6.2012, σ. 7.

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2 και το άρθρο 114 παράγραφος 1,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής(1),

Αφού ζήτησε τη γνώμη της Επιτροπής των Περιφερειών,

Έχοντας υπόψη τη γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων(2),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία(3),

Εκτιμώντας τα ακόλουθα:

(1)  Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

(2)  Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα προορίζεται να εξυπηρετεί τον άνθρωπο. Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των φυσικών προσώπων, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, και συγκεκριμένα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Η επεξεργασία θα πρέπει να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενίσχυση και στη σύγκλιση των οικονομιών στην εσωτερική αγορά και στην ευημερία των φυσικών προσώπων.

(3)  Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(4) επιδιώκει την εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και τη διασφάλιση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.

(4)  Η οικονομική και κοινωνική ολοκλήρωση, η οποία προέκυψε από τη λειτουργία της εσωτερικής αγοράς, έχει ως αποτέλεσμα σημαντική αύξηση των διασυνοριακών ροών. Η ανταλλαγή δεδομένων μεταξύ οικονομικών και κοινωνικών, δημόσιων και ιδιωτικών, παραγόντων σε ολόκληρη την Ένωση αυξήθηκε. Οι εθνικές αρχές των κρατών μελών καλούνται από το δίκαιο της Ένωσης να συνεργάζονται και να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα προκειμένου να μπορούν να εκτελούν τις υποχρεώσεις τους ή να ασκούν καθήκοντα για λογαριασμό αρχής άλλου κράτους μέλους.

(5)  Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της ανταλλαγής και της συλλογής δεδομένων αυξήθηκε εντυπωσιακά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτόγνωρη κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα καθιστούν ολοένα και περισσότερο δημόσια διαθέσιμες προσωπικές πληροφορίες παγκοσμίως. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και απαιτεί την περαιτέρω διευκόλυνση της ελεύθερης ροής δεδομένων εντός της Ένωσης και της διαβίβασης σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.

(6)  Οι εξελίξεις αυτές απαιτούν την οικοδόμηση ενός ισχυρού και πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενου από αυστηρή εφαρμογή της νομοθεσίας, δεδομένης της σημασίας να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, ενώ θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.

(7)  Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν έγκυροι, η οδηγία δεν κατάφερε να αποτρέψει τον κατακερματισμό στον τρόπο με τον οποίο εφαρμόζεται η προστασία των δεδομένων σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου και τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, οι οποίοι συνδέονται ειδικότερα με την επιγραμμική δραστηριότητα. Αν το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων -και ειδικότερα του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα – που αναγνωρίζεται στα κράτη μέλη όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι διαφορετικό, αυτό ενδέχεται να εμποδίζει την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των υποχρεώσεών τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ.

(8)  Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

(9)  Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τη λεπτομερή περιγραφή των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και των υποχρεώσεων εκείνων που επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αλλά επίσης αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και αντίστοιχες κυρώσεις για τους παραβάτες στα κράτη μέλη.

(10)  Το άρθρο 16 παράγραφος 2 της Συνθήκης αναθέτει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών.

(11)  Για τη διασφάλιση συνεκτικού επιπέδου προστασίας για τα φυσικά πρόσωπα σε ολόκληρη την Ένωση και την αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, συμπεριλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει το ίδιο επίπεδο δικαστικά απαιτητών δικαιωμάτων για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη και το ίδιο επίπεδο υποχρεώσεων και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλίζεται συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και αποτελεσματική συνεργασία των αρχών ελέγχου των διάφορων κρατών μελών. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει διάφορες παρεκκλίσεις. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, τα κράτη μέλη και οι αρχές ελέγχου των κρατών μελών παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στη σύσταση 2003/361/ΕΚ της Επιτροπής(5).

(12)  Η προστασία που παρέχει ο παρών κανονισμός αφορά τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όσον αφορά την επεξεργασία δεδομένων που αφορούν νομικά πρόσωπα, και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, συμπεριλαμβανομένης της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου, η παρεχόμενη από τον παρόντα κανονισμό προστασία δεν θα πρέπει να τυγχάνει επίκλησης. Αυτό θα πρέπει να ισχύει επίσης όταν η επωνυμία του νομικού προσώπου περιέχει τα ονόματα ενός ή περισσότερων φυσικών προσώπων.

(13)  Η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές διότι, διαφορετικά, δημιουργείται σοβαρός κίνδυνος καταστρατήγησης. Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα περιέχονται ή προορίζονται να περιληφθούν σε αρχείο. Τα αρχεία ή τα σύνολα αρχείων καθώς και οι συνοδευτικές σελίδες τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.

(14)  Ο παρών κανονισμός δεν εξετάζει ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη ροή δεδομένων που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του δικαίου της Ένωσης και δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, που υπάγονται στον κανονισμό . Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(6), ούτε την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων σε σχέση με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης. θα πρέπει να ευθυγραμμιστεί με τον παρόντα κανονισμό και να εφαρμόζεται σύμφωνα με αυτόν. [Τροπολογία 1]

(15)  Ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο, τα οποία δεδομένα είναι αποκλειστικά προσωπικά ή, οικιακά ή έχουν σχέση με την οικογένεια, όπως η αλληλογραφία και η τήρηση διευθύνσεων ή μια ιδιωτική πώληση, και χωρίς κανένα κερδοσκοπικό συμφέρον και, επομένως, χωρίς καμία σύνδεση με επαγγελματική ή εμπορική δραστηριότητα. Η εξαίρεση δεν Ωστόσο, ο παρών κανονισμός θα πρέπει να εφαρμόζεται ούτε σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι παρέχουν τα μέσα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες. [Τροπολογία 2]

(16)  Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και η ελεύθερη κυκλοφορία των δεδομένων αυτών, αποτελεί αντικείμενο συγκεκριμένης νομικής πράξης σε επίπεδο Ένωσης. Επομένως, ο παρών κανονισμός δεν θα πρέπει να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα που υποβάλλονται σε επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού, όταν χρησιμοποιούνται για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, θα πρέπει να ρυθμίζονται από την ειδικότερη νομική πράξη σε επίπεδο Ένωσης (οδηγία 2014/.../ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών).

(17)  Ο παρών κανονισμός θα πρέπει να εφαρμόζεται με την επιφύλαξη της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(7), και ιδίως των κανόνων για τη ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

(18)  Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των διατάξεων που προβλέπονται στον παρόντα κανονισμό. Τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία βρίσκονται στην κατοχή δημόσιας αρχής ή δημόσιου φορέα μπορούν να γνωστοποιούνται από την εν λόγω αρχή ή φορέα σύμφωνα με τις νομοθετικές διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την πρόσβαση του κοινού σε επίσημα έγγραφα, οι οποίες ευθυγραμμίζουν το δικαίωμα προστασίας των δεδομένων με το δικαίωμα πρόσβασης του κοινού σε επίσημα έγγραφα και εξισορροπούνται με δίκαιο τρόπο τα ποικίλα εμπλεκόμενα συμφέροντα. [Τροπολογία 3]

(19)  Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση εντός μιας εγκατάστασης θα πρέπει να διεξάγεται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το κατά πόσον η ίδια η επεξεργασία πραγματοποιείται εντός ή εκτός της Ένωσης. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερής ρύθμισης. Ο νομικός τύπος της ρύθμισης αυτής, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας σε σχέση με το συγκεκριμένο ζήτημα.

(20)  Για τη διασφάλιση του ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση θα πρέπει να υπάγεται στον παρόντα κανονισμό, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών, ανεξαρτήτως του εάν παρέχονται επί πληρωμή ή δωρεάν, στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα ή με την παρακολούθηση της συμπεριφοράς των εν λόγω προσώπων. Για να κριθεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας προσφέρει αγαθά ή υπηρεσίες σε αυτού του τύπου πρόσωπα στην Ένωση, θα πρέπει να εξακριβωθεί αν ο υπεύθυνος επεξεργασίας προδήλως αποσκοπεί να παράσχει υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε ένα ή περισσότερα κράτη μέλη της Ένωσης. [Τροπολογία 4]

(21)  Για τον καθορισμό του κατά πόσον μια διαδικασία επεξεργασίας μπορεί να θεωρηθεί ότι «παρακολουθεί τη συμπεριφορά» πρόσωπου στο οποίο τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, θα πρέπει να εξακριβωθεί το κατά πόσον τα φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο ανεξάρτητα από την προέλευση των δεδομένων, ή εάν συλλέγονται άλλα δεδομένα για τα πρόσωπα αυτά, συμπεριλαμβανομένων δεδομένων από δημόσια μητρώα και δημόσιες αναγγελίες εντός Ένωσης, τα οποία είναι προσβάσιμα και εκτός Ένωσης, με σκοπό, μεταξύ άλλων, τη χρήση τους ή ενδεχόμενη μεταγενέστερη χρήση τους με τεχνικές επεξεργασίας δεδομένων οι οποίες συνίστανται στη διαμόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι στάσεις του. [Τροπολογία 5]

(22)  Εάν το εθνικό δίκαιο ενός κράτους μέλους εφαρμόζεται δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός θα πρέπει να εφαρμόζεται επίσης και σε υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, όπως, για παράδειγμα, στη διπλωματική αποστολή ή στην προξενική αρχή ενός κράτους μέλους.

(23)  Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά φυσικό πρόσωπο κατονομαζόμενο το οποίο κατονομάζεται ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για τον καθορισμό του κατά πόσον η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. ή τον εντοπισμού του ατόμου. Για να διαπιστωθεί κατά πόσον κάποια μέσα κρίνεται ευλόγως πιθανό να χρησιμοποιηθούν για εξακρίβωση της ταυτότητας του ατόμου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και η διάρκεια του χρόνου που απαιτούνται για την ταυτοποίηση, και να λαμβάνεται υπόψη τόσο η τεχνολογία που είναι διαθέσιμη κατά το χρόνο της επεξεργασίας όσο και η τεχνολογική εξέλιξη. Ως εκ τούτου, οι αρχές της προστασίας των δεδομένων δεν θα πρέπει να εφαρμόζονται σε ανώνυμα δεδομένα που ανωνυμοποιήθηκαν κατά τέτοιο τρόπο ώστε η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην μπορεί πλέον να εξακριβωθεί, τα οποία συνιστούν πληροφορίες που δεν αφορούν φυσικό πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για το λόγο αυτό, ο παρών κανονισμός δεν αφορά την επεξεργασία τέτοιων ανώνυμωνδεδομένων, ούτε για στατιστικούς και για ερευνητικούς σκοπούς. [Τροπολογία 6]

(24)  Όταν χρησιμοποιούν επιγραμμικές υπηρεσίες, τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε επεξεργασίες που αφορούν αναγνωριστικά ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Ίντερνετ ή αναγνωριστικά cookies και ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων, εκτός εάν τα εν λόγω αναγνωριστικά ταυτότητας δεν αφορούν φυσικό πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Αυτά μπορεί να αφήνουν ίχνη τα οποία, σε συνδυασμό με μοναδικά αναγνωριστικά ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ των φυσικών προσώπων και την αναγνώριση της ταυτότητάς τους. Επομένως, αναγνωριστικοί αριθμοί, δεδομένα θέσης, επιγραμμικά αναγνωριστικά ταυτότητας ή άλλοι ειδικοί τέτοιοι παράγοντες δεν είναι υποχρεωτικό να θεωρούνται σε κάθε περίπτωση δεδομένα προσωπικού χαρακτήρα. [Τροπολογία 47]

(25)  Η συγκατάθεση θα πρέπει να παρέχεται ρητώς με κάθε προσήκουσα μέθοδο η οποία παρέχει ελεύθερη, ρητή και εν πλήρει επιγνώσει δήλωση της βούλησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω δήλωσης ή σαφούς θετικής ενέργειας από το συγκεκριμένο πρόσωπο ως αποτέλεσμα της επιλογής του συγκεκριμένου προσώπο, διασφαλίζοντας ότι τα φυσικά πρόσωπα γνωρίζουν ότι παρέχουν τη συγκατάθεσή τους στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σημειώνοντας ένα πλαίσιο. Η σαφής θετική αυτή ενέργεια είναι δυνατόν να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου όταν επισκέπτονται έναν δικτυακό τόπο ή με κάθε άλλη δήλωση ή συμπεριφορά η οποία υποδεικνύει σαφώς στο πλαίσιο αυτό την αποδοχή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα της προτεινόμενης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επομένως, η σιωπή, η απλή χρήση μιας υπηρεσίας ή η παράλειψη ενέργειας δε θα πρέπει να συνιστά συνιστούν συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο ή τους ίδιους σκοπούς. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρόκειται να δοθεί σε συνέχεια ηλεκτρονικού αιτήματος, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται η συγκατάθεση. [Τροπολογία 8]

(26)  Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θα πρέπει να περιλαμβάνουν ειδικότερα όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του προσώπου στο οποίο αναφέρονται τα δεδομένα· πληροφορίες σχετικά με την εγγραφή του φυσικού προσώπου για την παροχή υπηρεσιών υγείας· πληροφορίες σχετικά με πληρωμές ή με την επιλεξιμότητα του συγκεκριμένου φυσικού προσώπου για υπηρεσίες υγειονομικής περίθαλψης· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας το οποίο αποδίδεται σε ένα φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίησή του για σκοπούς υγείας· κάθε σχετική με το φυσικό πρόσωπο πληροφορία που συλλέχθηκε κατά την παροχή υγειονομικής περίθαλψης στο εν λόγω πρόσωπο· πληροφορίες οι οποίες προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, συμπεριλαμβανομένων βιολογικών δειγμάτων· την ταυτοποίηση ενός προσώπου ως παρόχου υπηρεσιών υγειονομικής περίθαλψης στο φυσικό πρόσωπο· ή κάθε πληροφορία π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή την πραγματική φυσιολογική ή βιοϊατρική κατάσταση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ανεξαρτήτως πηγής, όπως π.χ. από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

(27)  Η κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να καθορίζεται σύμφωνα με αντικειμενικά κριτήρια, και θα πρέπει να σημαίνει την ουσιαστική και πραγματική άσκηση δραστηριοτήτων διαχείρισης οι οποίες καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας μέσω σταθερής ρύθμισης. Το κριτήριο αυτό δεν θα πρέπει να εξαρτάται από το κατά πόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται πράγματι στον συγκεκριμένο τόπο· η ύπαρξη και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή δραστηριοτήτων επεξεργασίας δεν αποτελούν αφ’ εαυτές τέτοια κύρια εγκατάσταση και, επομένως, δεν είναι καθοριστικά κριτήρια της κύριας εγκατάστασης. Η κύρια εγκατάσταση του εκτελούντος την επεξεργασία θαπρέπει να είναι ο τόπος της κεντρικής διοίκησής του στην Ένωση.

(28)  Ο όμιλος επιχειρήσεων θα πρέπει να καλύπτει την ελέγχουσα επιχείρηση και τις ελεγχόμενες επιχειρήσεις της, όπου η ελέγχουσα επιχείρηση θα πρέπει να είναι η επιχείρηση η οποία μπορεί να ασκεί κυρίαρχη επιρροή στις άλλες επιχειρήσεις δυνάμει, για παράδειγμα, κυριότητας, οικονομικής συμμετοχής ή των κανόνων που τη διέπουν ή της εξουσίας εφαρμογής κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα.

(29)  Τα δεδομένα προσωπικού χαρακτήρα παιδιών απαιτούν ειδική προστασία, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των κινδύνων, των συνεπειών, των εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για τον καθορισμό του πότε ένα φυσικό πρόσωπο είναι παιδί, ο παρών κανονισμός πρέπει να υιοθετήσει τον ορισμό που προβλέπεται στη σύμβαση των Ηνωμένων Εθνών για τα δικαιώματα του παιδιού. Εάν η επεξεργασία δεδομένων βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με την προσφορά αγαθών ή υπηρεσιών απευθείας σε παιδί, η συγκατάθεση θα πρέπει να παρέχεται ή εγκρίνεται από τον γονέα του παιδιού ή τον νόμιμο αντιπρόσωπό του εφόσον πρόκειται για παιδί ηλικίας κάτω των 13 ετών. Όταν οι αποδέκτες είναι παιδιά, θα πρέπει να χρησιμοποιείται γλώσσα κατάλληλη για την ηλικία τους. Άλλοι λόγοι νόμιμης επεξεργασίας, όπως λόγοι που αφορούν το δημόσιο συμφέρον θα πρέπει να συνεχίσουν να ισχύουν, όπως η επεξεργασία σε συνάρτηση με υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε ένα παιδί. [Τροπολογία 9]

(30)  Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά. Ειδικότερα, οι συγκεκριμένοι σκοποί για τους οποίους υποβάλλονται σε επεξεργασία θα πρέπει να είναι σαφείς και νόμιμοι και να καθορίζονται κατά τον χρόνο συλλογής των δεδομένων. Τα δεδομένα θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι τα δεδομένα που συλλέγονται δεν είναι υπερβολικά και ότι το διάστημα αποθήκευσης των δεδομένων περιορίζεται στο ελάχιστο δυνατόν. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνον εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ορθά διορθώνονται ή διαγράφονται. Για τη διασφάλιση του ότι τα δεδομένα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους.

(31)  Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του ενδιαφερόμενου προσώπου ή κάποιας άλλης θεμιτής βάσης, η οποία προβλέπεται διά νόμου είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους η οποία αναφέρεται στον παρόντα κανονισμό. Σε περίπτωση που ένα παιδί ή ένας ενήλικας δεν διαθέτει δικαιοπρακτική ικανότητα, η σχετική ενωσιακή ή εθνική νομοθεσία θα πρέπει να καθορίζει τους όρους υπό τους οποίους η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο αυτό. [Τροπολογία 10]

(32)  Όταν η επεξεργασία βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας θα πρέπει να φέρει το βάρος απόδειξης ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, εγγυήσεις θα πρέπει να διασφαλίζουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα γνωρίζει ότι και σε ποιο βαθμό παρέχει τη συγκατάθεσή του. Για λόγους συμμόρφωσης με την αρχή της ελαχιστοποίησης των δεδομένων, το βάρος απόδειξης δεν θα πρέπει να νοείται ως απαίτηση θετικής ταυτοποίησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν η ταυτοποίηση είναι απαραίτητη. Όπως και οι διατάξεις του αστικού δικαίου (π.χ. οδηγία 93/13/ΕΟΚ του Συμβουλίου(8)), οι πολιτικές για την προστασία των δεδομένων θα πρέπει να είναι όσο το δυνατόν πιο σαφείς και διαφανείς. Δεν θα πρέπει να περιέχουν κρυμμένες ή επιζήμιες ρήτρες. Η συγκατάθεση δεν μπορεί να παρέχεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων προσώπων. [Τροπολογία 11]

(33)  Για τη διασφάλιση της ελεύθερης συγκατάθεσης, θα πρέπει να διευκρινίζεται ότι η συγκατάθεση δεν συνιστά έγκυρο νομικό λόγο όταν το φυσικό πρόσωπο δεν έχει γνήσια και ελεύθερη επιλογή και δεν είναι ακολούθως σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς αυτό να αποβεί εις βάρος του. Αυτό ισχύει ιδιαίτερα στην περίπτωση που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή η οποία μπορεί να επιβάλει μια υποχρέωση δυνάμει των σχετικών κυριαρχικών εξουσιών της και η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται ελεύθερα. Η χρήση προκαθορισμένων επιλογών τις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα καλείται να τροποποιήσει για να δηλώσει την αντίθεσή του στην επεξεργασία, όπως είναι τα προσυμπληρωμένα τετραγωνίδια, δεν εκφράζει ελεύθερη συγκατάθεση. Η συγκατάθεση για την επεξεργασία πρόσθετων προσωπικών δεδομένων που δεν είναι αναγκαία για την παροχή μιας υπηρεσίας δεν θα πρέπει να απαιτείται για τη χρήση της υπηρεσίας. Σε περίπτωση ανάκλησης της συγκατάθεσης, αυτό μπορεί να έχει ως αποτέλεσμα τον τερματισμό ή τη μη παροχή μιας υπηρεσίας που εξαρτάται από τα δεδομένα προσωπικού χαρακτήρα. Όταν δεν είναι σαφές εάν ο επιδιωκόμενος σκοπός συνεχίζει να υφίσταται, ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει τακτικά το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σχετικά με την επεξεργασία και να ζητεί εκ νέου επιβεβαίωση της συγκατάθεσής του. [Τροπολογία 12]

(34)  Η συγκατάθεση δεν πρέπει να παρέχει έγκυρο νομικό λόγο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν υπάρχει σαφής ανισορροπία μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας. Αυτό ισχύει ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα τελεί σε σχέση εξάρτησης από τον υπεύθυνο επεξεργασία, μεταξύ άλλων, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον εργοδότη στο πλαίσιο της εργασιακής τους σχέσης. Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή, ανισορροπία στις συγκεκριμένες πράξεις επεξεργασίας δεδομένων υπάρχει μόνον εάν η δημόσια αρχή μπορεί να επιβάλει μια υποχρέωση δυνάμει των σχετικών δημόσιων εξουσιών της και η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται ελεύθερα, λαμβάνοντας υπόψη το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 13]

(35)  Η επεξεργασία θα πρέπει επίσης να είναι σύννομη εφόσον είναι αναγκαία στο πλαίσιο σύμβασης ή πρόθεσης σύναψης σύμβασης.

(36)  Εάν η επεξεργασία διενεργείται για σκοπούς συμμόρφωσης προς νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η νομική βάση της επεξεργασίας θα πρέπει να ερείδεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους, ανταποκρινόμενη στις απαιτήσεις του Χάρτη σχετικά με οιονδήποτε περιορισμό των δικαιωμάτων και των ελευθεριών. Αυτό θα πρέπει να περιλαμβάνει επίσης συλλογικές συμφωνίες των οποίων η γενική ισχύς μπορεί να αναγνωρίζεται από το εθνικό δίκαιο. Επίσης, το δίκαιο της Ένωσης ή το εθνικό δίκαιο καθορίζουν κατά πόσον ο υπεύθυνος επεξεργασίας ο οποίος εκτελεί καθήκον που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια διοίκηση ή άλλο φυσικό ή νομικό πρόσωπο του δημοσίου δικαίου ή του ιδιωτικού δικαίου, όπως επαγγελματική οργάνωση. [Τροπολογία 14]

(37)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι απαραίτητη για την προστασία ζωτικού συμφέροντος για τη ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(38)  Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, ή, σε περίπτωση κοινοποίησης των δεδομένων, τρίτων στους οποίους διαβιβάζονται αυτά, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι ανταποκρίνονται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας και ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Κάτι τέτοιο απαιτεί προσεκτική αξιολόγηση ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί, δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας. Υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η επεξεργασία που περιορίζεται σε ψευδώνυμα δεδομένα θα πρέπει να τεκμαίρεται ότι ανταποκρίνεται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να έχει το δικαίωμα να αντιταχθεί στην επεξεργασία για λόγους που σχετίζονται με τη συγκεκριμένη κατάστασή του και χωρίς οικονομική επιβάρυνση. Για τη διασφάλιση της διαφάνειας, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να ενημερώνει ρητώς το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τα έννομα συμφέροντα που επιδιώκονται και για το δικαίωμα αντίταξης, καθώς και να υποχρεούται να τεκμηριώνει τα εν λόγω έννομα συμφέροντα. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα μπορούν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι ο νομοθέτης πρέπει να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων από τις δημόσιες αρχές, ο συγκεκριμένος νομικός λόγος δεν θα πρέπει να εφαρμόζεται για την επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους. [Τροπολογία 15]

(39)  Η επεξεργασία δεδομένων, στο βαθμό που είναι αυστηρά απαραίτητη και αναλογική για τη διασφάλιση της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να αντέχει, έως ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες διακυβεύουν τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν παρέχονται από τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, από δημόσιες αρχές, ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), ομάδες παρέμβασης συμβάντων που αφορούν την ασφάλεια των υπολογιστών (CSIRT), παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. Αυτό μπορεί να περιλαμβάνει, για παράδειγμα, την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων προγραμμάτων και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών. Η αρχή αυτή εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της καταχρηστικής πρόσβασης και χρήσης συστημάτων δικτύου ή πληροφόρησης που είναι διαθέσιμα στο κοινό, όπως η κατάρτιση μαύρης λίστας ηλεκτρονικών συσκευών αναγνώρισης. [Τροπολογία 16]

(39α)  Υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η πρόληψη ή ο περιορισμός των ζημιών για τον υπεύθυνο επεξεργασίας θα πρέπει να τεκμαίρεται ότι πραγματοποιείται χάριν του εννόμου συμφέροντος του υπεύθυνου επεξεργασίας ή, σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο διαβιβάζονται αυτά, και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Η ίδια αρχή ισχύει και για την επιβολή των νομίμων αξιώσεων κατά του προσώπου στο οποίο αναφέρονται τα δεδομένα, όπως, για παράδειγμα, η είσπραξη οφειλών ή αστικών αποζημιώσεων και τα ένδικα βοηθήματα. [Τροπολογία 17]

(39β)  Υπό τον όρο ότι δεν υπερισχύουν τα συμφέρονται ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα για το σκοπό της άμεσης διάθεσης στην αγορά των ιδίων ή παρομοίων προϊόντων και υπηρεσιών ή για το σκοπό της άμεσης διάθεσης μέσω του ταχυδρομείου στην αγορά θα πρέπει να τεκμαίρεται ότι πραγματοποιείται χάριν των ευλόγων συμφερόντων του υπεύθυνου επεξεργασίας, ή σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο διαβιβάζονται αυτά και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας, εφόσον παρέχονται σαφείς πληροφορίες σχετικά με το δικαίωμα αντίταξης και την πηγή των δεδομένων προσωπικού χαρακτήρα. Η επεξεργασία δεδομένων σχετικά με επαγγελματικές επαφές θα πρέπει γενικώς να θεωρείται ότι πραγματοποιείται χάριν των ευλόγων συμφερόντων του υπεύθυνου επεξεργασίας, ή σε περίπτωση κοινοποίησης των δεδομένων, του τρίτου στον οποίο αυτά διαβιβάζονται και ότι εκπληρούνται οι θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας. Αυτό θα πρέπει επίσης να ισχύει και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία το πρόσωπο αυτό έχει προδήλως καταστήσει δημοσίως γνωστά. [Τροπολογία 18]

(40)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς πρέπει να επιτρέπεται μόνον εάν η επεξεργασία είναι συμβατή με τους σκοπούς εκείνους για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα, ιδίως εάν η επεξεργασία είναι αναγκαία για ιστορικούς και στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας. Εάν ο άλλος σκοπός δεν είναι συμβατός με τον αρχικό σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα, ο υπεύθυνος επεξεργασίας πρέπει να εξασφαλίζει τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον συγκεκριμένο άλλο σκοπό ή πρέπει να βασίζει την επεξεργασία σε άλλον θεμιτό λόγο σύννομης επεξεργασίας, ιδίως εάν προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλος στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Σε κάθε περίπτωση, πρέπει να εξασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα σχετικά με τους άλλους αυτούς σκοπούς. [Τροπολογία 19]

(41)  Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα ή με την ιδιωτική ζωή χρήζουν ειδικής προστασίας. Τέτοια δικαιώματα δεν πρέπει να υποβάλλονται σε επεξεργασία, παρά μόνον με τη ρητή συγκατάθεση του προσώπου το οποίο αφορούν. Ωστόσο, πρέπει να προβλέπονται ρητώς παρεκκλίσεις από τη συγκεκριμένη απαγόρευση σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων από ορισμένες οργανώσεις ή ιδρύματα σκοπός των οποίων είναι να επιτρέπουν την άσκηση θεμελιωδών ελευθεριών. [Τροπολογία 20]

(42)  Η παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων θα πρέπει να επιτρέπεται επίσης όταν θεσπίζεται διά νόμου, και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, εφόσον κάτι τέτοιο δικαιολογείται από λόγους δημόσιου συμφέροντος και κυρίως για σκοπούς υγείας, συμπεριλαμβανομένης της δημόσιας υγείας, της κοινωνικής προστασίας και της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης, προκειμένου ιδίως να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας ή για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας ή για υπηρεσίες αρχείων. [Τροπολογία 21]

(43)  Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για την επίτευξη στόχων, προβλεπόμενων στο συνταγματικό ή στο δημόσιο διεθνές δίκαιο, επίσημα αναγνωρισμένων θρησκευτικών οργανισμών διενεργείται για λόγους δημόσιου συμφέροντος.

(44)  Εάν στο πλαίσιο εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος απαιτεί σε ένα κράτος μέλος τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, υπό τον όρο ότι θεσπίζονται κατάλληλες εγγυήσεις.

(45)  Εάν τα δεδομένα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να αναγνωρίσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να υποχρεούται να εξασφαλίζει πρόσθετες πληροφορίες προκειμένου να αναγνωρίσει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Σε περίπτωση αιτήματος πρόσβασης, ο υπεύθυνος επεξεργασίας θα πρέπει να δικαιούται να ζητεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα περισσότερες πληροφορίες οι οποίες θα του επιτρέψουν να εντοπίσει τα δεδομένα προσωπικού χαρακτήρα που ζητεί το εν λόγω πρόσωπο. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δύναται να παράσχει τα εν λόγω δεδομένα, οι υπεύθυνοι επεξεργασίας δεν θα πρέπει να έχουν τη δυνατότητα να επικαλούνται έλλειψη πληροφοριών για να απορρίπτουν αιτήματα πρόσβασης. [Τροπολογία 22]

(46)  Η αρχή της διαφάνειας απαιτεί κάθε ενημέρωση η οποία απευθύνεται στο κοινό ή στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να είναι εύκολα προσιτή και εύκολα κατανοητή και να χρησιμοποιείται απλή διατύπωση. Αυτό έχει ιδιαίτερη σημασία όταν σε περιπτώσεις, όπως η επιγραμμική διαφήμιση, η πληθώρα των συμμετεχόντων και η πολυπλοκότητα των χρησιμοποιούμενων τεχνολογιών καθιστούν δύσκολο για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να γνωρίζει και να κατανοεί εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που το αφορούν, από ποιον και για ποιον σκοπό. Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία αφορά ειδικά παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα ώστε το παιδί να μπορεί να την κατανοεί εύκολα.

(47)  Θα πρέπει να προβλέπονται τρόποι για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του που προβλέπονται από τον παρόντα κανονισμό, συμπεριλαμβανομένων ειδικότερα μηχανισμών υποβολής αιτημάτων εξασφάλισης -χωρίς οικονομική επιβάρυνση- πρόσβασης σε δεδομένα, διόρθωσης, διαγραφής και άσκησης του δικαιώματος αντίταξης. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός καθορισμένης εύλογης προθεσμίας και να παρέχει αιτιολογία στην περίπτωση που δεν συμμορφώνεται προς το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 23]

(48)  Οι αρχές της θεμιτής και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, για την ενδεχόμενη διάρκεια αποθήκευσης των δεδομένων, για κάθε περίπτωση, εάν τα δεδομένα διαβιβάζονται σε τρίτους ή σε τρίτες χώρες, για την ύπαρξη δυνατότητας αντίταξης και την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Εάν τα δεδομένα συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες της μη παροχής των εν λόγω δεδομένων. Οι πληροφορίες αυτές θα πρέπει να δίδονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα μετά την παροχή απλουστευμένων πληροφοριών υπό μορφήν τυποποιημένων εικονιδίων, πράγμα που σημαίνει ότι αυτές πρέπει να είναι εύκολα προσβάσιμες. Αυτό θα πρέπει επίσης να σημαίνει ότι τα δεδομένα προσωπικού χαρακτήρα τυγχάνουν επεξεργασίας κατά τρόπο που επιτρέπει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να ασκεί αποτελεσματικά τα δικαιώματά του. [Τροπολογία 24]

(49)  Η ενημέρωση σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να παρέχεται κατά τη συλλογή ή, εάν τα δεδομένα δεν συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα επιτρέπεται να κοινοποιηθούν σε άλλον αποδέκτη, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να ενημερώνεται όταν τα δεδομένα κοινοποιούνται για πρώτη φορά στον εν λόγω αποδέκτη.

(50)  Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση αυτή εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη την ενημέρωση αυτή γνωρίζει ήδη τις πληροφορίες αυτές ή εάν η καταχώριση ή η κοινοποίηση των δεδομένων προβλέπεται ρητώς από τον νόμο ή εάν η παροχή ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποδεικνύεται ανέφικτη ή απαιτεί δυσανάλογες προσπάθειες. Η τελευταία αυτή περίπτωση μπορεί να συμβεί ειδικότερα εάν η επεξεργασία προορίζεται για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας· συναφώς, μπορούν να λαμβάνονται υπόψη ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα, η ηλικία των δεδομένων και τυχόν ληφθέντα αντισταθμιστικά μέτρα. [Τροπολογία 25]

(51)  Κάθε πρόσωπο θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς, προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση, ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, το προβλεπόμενο χρονικό διάστημα της επεξεργασίας, τους αποδέκτες που λαμβάνουν τα δεδομένα, τη γενική συλλογιστική για τα δεδομένα που υποβάλλονται σε επεξεργασία και τις δυνητικές συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα πνευματικής ιδιοκτησίας και, ειδικότερα, για παράδειγμα όσον αφορά το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 26]

(52)  Ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κάθε εύλογο μέτρο για να επαληθεύει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα το οποίο ζητεί πρόσβαση, ιδίως στο πλαίσιο επιγραμμικών υπηρεσιών και επιγραμμικών αναγνωριστικών ταυτότητας. Ο υπεύθυνος επεξεργασίας δεν θα πρέπει να διατηρεί δεδομένα προσωπικού χαρακτήρα με μοναδικό σκοπό να μπορεί να αποκρίνεται σε δυνητικά αιτήματα.

(53)  Κάθε πρόσωπο θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και το «δικαίωμα να λησμονηθεί διαγραφής» εάν η διατήρηση των εν λόγω δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό. Ειδικότερα, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να έχουν το δικαίωμα να ζητούν τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, εάν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, εάν τα πρόσωπα στα οποία αναφέροντα τα δεδομένα αποσύρουν τη συγκατάθεσή τους για την επεξεργασία ή εάν αντιτάσσονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό για οποιονδήποτε άλλο λόγο. Το δικαίωμα αυτό έχει ιδιαίτερη σημασία όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην παιδική του ηλικία, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων θα πρέπει να επιτρέπεται όταν είναι αναγκαία για ιστορικούς ή στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για την άσκηση του δικαιώματος ελευθερίας έκφρασης, όταν απαιτείται από τον νόμο ή εάν υπάρχει λόγος περιορισμού της επεξεργασίας των δεδομένων αντί της διαγραφής τους. Το δικαίωμα διαγραφής δεν θα πρέπει επίσης να ισχύει όταν η διατήρηση δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή όταν αυτή επιβάλλεται από το νόμο. [Τροπολογία 27]

(54)  Για να ενισχυθεί το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα «να λησμονηθεί διαγραφεί», το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα χωρίς νόμιμη αιτία θα πρέπει να υποχρεούται να ενημερώνει τους τρίτους που επεξεργάζονται τα εν λόγω δεδομένα ότι ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα του ζήτησε να διαγραφεί κάθε σύνδεσμος ή αντίγραφο ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Για τη διασφάλιση της εν λόγω ενημέρωσης, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων είναι αρμόδιος. Σε σχέση με τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας πρέπει να θεωρείται υπεύθυνος για τη δημοσίευση, εάν αυτός ο ίδιος ενέκρινε τη δημοσίευση από τον τρίτο προβεί σε όλες τις απαραίτητες ενέργειες για τη διαγραφή των δεδομένων, συμπεριλαμβανομένων και από τρίτους, με την επιφύλαξη ωστόσο του δικαιώματος του προσώπου στο οποίο αναφέρονται τα δεδομένα να ζητήσει αποζημίωση. [Τροπολογία 28]

(54α)  Μέχρι να υπάρξει σχετική διευκρίνιση, θα πρέπει να φράσσονται τα δεδομένα που αμφισβητούνται από τα πρόσωπα στα οποία αυτά αναφέρονται και των οποίων δεν είναι δυνατόν να διαπιστωθεί η ακρίβεια. [Τροπολογία 29]

(55)  Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων τους και το δικαίωμα πρόσβασής τους, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να έχουν το δικαίωμα, εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να λαμβάνουν αντίγραφο των δεδομένων που τα αφορούν εξίσου σε συνήθως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να δικαιούται επίσης να μεταφέρει τα εν λόγω δεδομένα, τα οποία παρέσχε, από μια αυτοματοποιημένη εφαρμογή, όπως ένα κοινωνικό δίκτυο, σε μια άλλη. Οι υπεύθυνοι επεξεργασίας των δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Αυτό θα πρέπει να εφαρμόζεται όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα στο αυτοματοποιημένο σύστημα επεξεργασίας, με τη συγκατάθεσή του ή στο πλαίσιο της εκτέλεσης σύμβασης. Οι φορείς παροχής υπηρεσιών της κοινωνίας της πληροφορίας δεν θα πρέπει να καθιστούν τη μεταφορά των εν λόγω δεδομένων υποχρεωτική για την παροχή των υπηρεσιών τους. [Τροπολογία 30]

(56)  Σε περιπτώσεις στις οποίες δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται ή για λόγους δημόσιου συμφέροντος, άσκησης δημόσιας εξουσίας, ή εξυπηρέτησης εννόμων συμφερόντων του υπευθύνου της επεξεργασίας, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει να δικαιούται παρ’ όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων που το αφορούν, ατελώς και με απλό και αποτελεσματικό τρόπο. Ο υπεύθυνος επεξεργασίας θα πρέπει να φέρει το βάρος απόδειξης ότι τα έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 31]

(57)  Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην εν λόγω επεξεργασία ατελώς και με ευχερή και αποτελεσματικό τρόπο, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει ρητώς το δικαίωμα αυτό στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, με κατανοητό τρόπο και σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση και θα πρέπει να το διαχωρίζει σαφώς από άλλες πληροφορίες. [Τροπολογία 32]

(58)  Με την επιφύλαξη της νομιμότητας της επεξεργασίας δεδομένων, κάθε φυσικό πρόσωπο θα πρέπει να έχει το δικαίωμα να μην υπάγεται σε μέτρο το οποίο βασίζεται να αντιταχθεί σε κατάρτιση προφίλ μέσω αυτοματοποιημένης επεξεργασίας. Ωστόσο, ένα τέτοιο μέτρο. Η κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που έχουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή τα οποία επηρεάζουν σε μεγάλο βαθμό κατά τον ίδιο τρόπο τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα θα πρέπει να επιτρέπεται μόνο όταν εγκρίνεται ρητώς διά νόμου, εκτελείται κατά τη σύναψη ή την εκτέλεση σύμβασης ή όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του. Σε κάθε περίπτωση, η επεξεργασία θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της ειδικής ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης εκτίμησης και της προϋπόθεσης το εν λόγω μέτρο δεν θα πρέπει να αφορά παιδί. Τα μέτρα αυτά δεν θα πρέπει να έχουν ως αποτέλεσμα την εισαγωγή διακρίσεων έναντι ατόμων βάσει φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκείας ή πεποιθήσεων, συμμετοχής σε συνδικαλιστική οργάνωση, γενετήσιου προσανατολισμού ή ταυτότητας φύλου. [Τροπολογία 33]

(58α)   Η κατάρτιση προφίλ που στηρίζεται αποκλειστικά στην επεξεργασία ψευδώνυμου δεδομένων θα πρέπει να τεκμαίρεται ότι δεν επηρεάζει σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Όταν η κατάρτιση προφίλ, είτε βάσει μιας μοναδικής πηγής ψευδώνυμων δεδομένων είτε μιας συλλογής ψευδώνυμων δεδομένων από διάφορες πηγές, επιτρέπει στον υπεύθυνο επεξεργασίας να αποδώσει ψευδώνυμα δεδομένα σε ένα συγκεκριμένο υποκείμενο δεδομένων, τα δεδομένα που έτυχαν επεξεργασίας δεν θα πρέπει πλέον να θεωρούνται ψευδώνυμα. [Τροπολογία 34]

(59)  Περιορισμοί σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής ή στο δικαίωμα φορητότητας πρόσβασης στα δεδομένα και λήψης των δεδομένων, στο δικαίωμα αντίταξης, στα μέτρα που βασίζονται σε κατάρτιση κατάρτισης προφίλ καθώς και στη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας μπορούν να επιβληθούν από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για τη διασφάλιση της δημόσιας ασφάλειας, συμπεριλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων ειδικών και σαφώς καθορισμένων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, ή της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων. Οι εν λόγω περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. [Τροπολογία 35]

(60)  Θα πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης εκ μέρους του υπευθύνου επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας, ιδίως όσον αφορά την τεκμηρίωση, την ασφάλεια των δεδομένων, τις εκτιμήσεις επιπτώσεων, τον υπεύθυνο προστασίας δεδομένων και την εποπτεία από τις αρχές προστασίας δεδομένων. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει και να υποχρεούται είναι σε θέση να αποδείξει τη συμμόρφωση κάθε πράξης επεξεργασίας προς τον παρόντα κανονισμό. Αυτό θα πρέπει να ελέγχεται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές. [Τροπολογία 36]

(61)  Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προϋποθέτει τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, τόσο κατά τον σχεδιασμό της επεξεργασίας όσο και κατά την ίδια την επεξεργασία, ώστε να διασφαλίζεται ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού. Για τη διασφάλιση και την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει κατάλληλα μέτρα, τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού. Η αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό απαιτεί η προστασία των δεδομένων να εντάσσεται σε ολόκληρο τον κύκλο ζωής της τεχνολογίας, από το αρχικό στάδιο του σχεδιασμού, μέχρι την τελική εφαρμογή, χρήση και διάθεση. Αυτό θα πρέπει επίσης να περιλαμβάνει την ευθύνη για τα αγαθά και τις υπηρεσίες που χρησιμοποιεί ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Η αρχή της προστασίας των δεδομένων εξ ορισμού απαιτεί οι ρυθμίσεις ιδιωτικότητας των υπηρεσιών και προϊόντων θα πρέπει να συμμορφώνονται εξ ορισμού με τις γενικές αρχές προστασίας δεδομένων, όπως η ελαχιστοποίηση των δεδομένων και ο περιορισμός του σκοπού. [Τροπολογία 37]

(62)  Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, επίσης σε σχέση με την παρακολούθηση από τις αρχές ελέγχου και τα μέτρα αρχών ελέγχου, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας. Η συμφωνία που συνάπτεται μεταξύ των από κοινού υπευθύνων επεξεργασίας θα πρέπει να ανταποκρίνεται στους αντίστοιχους αποτελεσματικούς ρόλους και τις σχέσεις των από κοινού υπευθύνων επεξεργασίας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, δυνάμει του παρόντος κανονισμού θα πρέπει να περιλαμβάνει τη δυνατότητα του υπεύθυνου επεξεργασίας δεδομένων να διαβιβάζει τα δεδομένα σε ένα από κοινού υπεύθυνο επεξεργασίας ή σε ένα εκτελούντα την επεξεργασία με σκοπό την επεξεργασία των δεδομένων εξ ονόματός τους. [Τροπολογία 38]

(63)  Εάν ένας υπεύθυνος επεξεργασίας μη εγκαταστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, του οποίου οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα ή με την παρακολούθηση της συμπεριφοράς τους, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίσει εκπρόσωπο, εκτός εάν ο υπεύθυνος επεξεργασίας είναι εγκαταστημένος σε τρίτη χώρα η οποία διασφαλίζει επαρκές επίπεδο προστασίας ή ο υπεύθυνος επεξεργασίας είναι μικρή ή μεσαία επιχείρηση ή η επεξεργασία αφορά λιγότερα από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών και δεν εκτελείται επί ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, ή είναι δημόσια αρχή ή φορέας ή εάν ο υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα. Ο εκπρόσωπος θα πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας και σε αυτόν μπορεί να απευθύνεται κάθε αρχή ελέγχου. [Τροπολογία 39]

(64)  Για τον καθορισμό του κατά πόσον ένας υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά και υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, θα πρέπει να εξακριβώνεται κατά πόσον είναι εμφανές από τις συνολικές δραστηριότητες του υπευθύνου επεξεργασίας ότι η προσφορά αγαθών και υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι παρεπόμενη δραστηριότητα στις βασικές αυτές δραστηριότητες. [Τροπολογία 40]

(65)  Για την να καταστεί δυνατή ηαπόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τεκμηριώνουν κάθε πράξη επεξεργασίας διατηρεί την αναγκαία τεκμηρίωση ώστε να πληρούνται οι απαιτήσεις που θεσπίζει ο παρών κανονισμός. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία θα πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε να μπορεί να τη χρησιμοποιήσει για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας αξιολόγηση της συμμόρφωσης με τον παρόντα κανονισμό. Ωστόσο, θα πρέπει να τονίζεται και να επισημαίνεται εξίσου η χρήση ορθών πρακτικών και η συμμόρφωση, και όχι μόνο η ολοκλήρωση της τεκμηρίωσης. [Τροπολογία 41]

(66)  Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων. Τα μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά τη θέσπιση τεχνικών προτύπων και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας, η Επιτροπή πρέπει να προωθεί την θα πρέπει να προωθούνται η τεχνολογική ουδετερότητα, τη η διαλειτουργικότητα και την η καινοτομία και, όπου συντρέχει περίπτωση, να συνεργάζεται θα πρέπει να ενθαρρύνεται η συνεργασία με τρίτες χώρες. [Τροπολογία 42]

(67)  Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σημαντική οικονομική ζημία και κοινωνική βλάβη, συμπεριλαμβανομένης της υποκλοπής ταυτότητας, για το ενδιαφερόμενο φυσικό πρόσωπο. Επομένως, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί μια τέτοια παραβίαση, θα πρέπει να γνωστοποιήσει την παραβίαση στην αρχή ελέγχου αμελλητί και, ει δυνατόν, εντός 24 ωρών. Εάν αυτό δεν μπορεί να επιτευχθεί εντός 24 ωρών κατά τεκμήριο, το αργότερο εντός 72 ωρών. Κατά περίπτωση, η γνωστοποίηση θα πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα μπορεί να επηρεασθούν αρνητικά από την παραβίαση πρέπει να ενημερώνονται αμελλητί προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η παραβίαση θα πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται εάν μπορεί να έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης του. Η γνωστοποίηση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι γνωστοποιήσεις στα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την αρχή ελέγχου και τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές (π.χ. αρχές επιβολής του νόμου). Για παράδειγμα, η δυνατότητα των προσώπων στα οποία αναφέρονται τα δεδομένα να μετριάσουν έναν άμεσο κίνδυνο βλάβης απαιτεί την άμεση ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά της συνέχισης της παραβίασης ή άλλων παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερη καθυστέρηση. [Τροπολογία 43]

(68)  Για να καθορισθεί κατά πόσον μια παραβίαση δεδομένων προσωπικού χαρακτήρα γνωστοποιείται αμελλητί στην αρχή ελέγχου και στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, θα πρέπει να εξακριβώνεται κατά πόσον ο υπεύθυνος επεξεργασίας θέσπισε και εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και οργανωτικά μέτρα ώστε να διαπιστώνεται αμέσως κατά πόσον έλαβε χώρα παραβίαση δεδομένων προσωπικού χαρακτήρα και να ενημερώνονται αμέσως η αρχή ελέγχου και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, προτού επέλθει ζημία σε προσωπικά και οικονομικά συμφέροντα, λαμβάνοντας υπόψη ειδικότερα τη φύση και τη σοβαρότητα της παραβίασης δεδομένων προσωπικού χαρακτήρα καθώς και τις συνέπειες και τα δυσμενή αποτελέσματά της για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(69)  Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στην γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να λαμβάνονται δεόντως υπόψη οι συνθήκες της παραβίασης, συμπεριλαμβανομένου του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο υποκλοπής ταυτότητας ή άλλων μορφών κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και οι διαδικασίες θα πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρχών επιβολής του νόμου σε περιπτώσεις στις οποίες η πρόωρη γνωστοποίηση μπορεί να εμποδίσει χωρίς λόγο τη διερεύνηση των συνθηκών μιας παραβίασης.

(70)  Η οδηγία 95/46/ΕΚ προέβλεπε γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις αρχές ελέγχου. Παρότι η υποχρέωση αυτή συνεπάγεται διοικητικό και οικονομικό φόρτο, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, μια τέτοια γενική υποχρέωση κοινοποίησης χωρίς διαφοροποιήσεις θα πρέπει να καταργηθεί και να αντικατασταθεί με αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται σε εκείνες τις πράξεις επεξεργασίας που ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή του σκοπού τους. Σε αυτές τις περιπτώσεις θα πρέπει να διενεργείται εκτίμηση επιπτώσεων όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, πριν από την επεξεργασία, η οποία θα πρέπει να περιλαμβάνει ειδικότερα τα προβλεπόμενα μέτρα, τις εγγυήσεις και τους μηχανισμούς που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό.

(71)  Αυτό θα πρέπει να ισχύει ειδικότερα για νεοσυσταθέντα αρχεία μεγάλης κλίμακας, στόχος των οποίων είναι η επεξεργασία σημαντικής ποσότητας δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, τα οποία μπορεί να επηρεάζουν μεγάλο αριθμό προσώπων στα οποία αναφέρονται τα δεδομένα.

(71α)  Οι εκτιμήσεις επιπτώσεων συνιστούν την ουσία κάθε αειφόρου πλαισίου προστασίας δεδομένων, διασφαλίζοντας ότι οι επιχειρήσεις γνωρίζουν εξαρχής όλες τις πιθανές συνέπειες των πράξεων επεξεργασίας δεδομένων που εκτελούν. Μια διεξοδική εκτίμηση των επιπτώσεων μπορεί να μειώσει ουσιαστικά τις πιθανότητες παραβίασης δεδομένων ή πράξεων επεξεργασίας που παραβιάζουν την ιδιωτική ζωή. Οι εκτιμήσεις επιπτώσεων ως προς την προστασία των δεδομένων θα πρέπει ως εκ τούτου να λαμβάνουν υπόψη τη συνολική διαχείριση κύκλου ζωής των δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και τη διαγραφή, περιγράφοντας αναλυτικά τις προβλεπόμενες πράξεις επεξεργασίας, τους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τα προβλεπόμενα μέτρα για την αντιμετώπιση των κινδύνων, τις εγγυήσεις, τα μέτρα ασφαλείας και τους μηχανισμούς διασφάλισης συμμόρφωσης με τον παρόντα κανονισμό. [Τροπολογία 44]

(71β)  Οι υπεύθυνοι επεξεργασίας θα πρέπει να εστιάζουν στην προστασία των δεδομένων προσωπικού χαρακτήρα κατά το σύνολο του κύκλου ζωής των δεδομένων, από τη συλλογή έως τη διαγραφή, επενδύοντας εξαρχής σε ένα αειφόρο πλαίσιο διαχείρισης δεδομένων και συμπληρώνοντάς το με έναν μηχανισμό συνολικής συμμόρφωσης. [Τροπολογία 45]

(72)  Υπάρχουν περιπτώσεις στις οποίες ενδέχεται να είναι λογικό και οικονομικό το αντικείμενο μιας εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων θα πρέπει να υπερβαίνει ένα μεμονωμένο σχέδιο, για παράδειγμα εάν δημόσιες αρχές ή φορείς σκοπεύουν να εγκαθιδρύσουν μια κοινή εφαρμογή ή πλατφόρμα επεξεργασίας ή εάν περισσότεροι υπεύθυνοι επεξεργασίας σχεδιάζουν να θεσπίσουν μια κοινή εφαρμογή ή ένα περιβάλλον επεξεργασίας σε έναν τομέα ή ένα τμήμα κλάδου ή για μια ευρέως χρησιμοποιούμενη οριζόντια δραστηριότητα.

(73)  Οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων πρέπει να διενεργούνται από δημόσια αρχή ή δημόσιο φορέα, εάν μια τέτοια εκτίμηση δεν έχει ήδη διενεργηθεί στο πλαίσιο της θέσπισης της εθνικής νομοθεσίας στην οποία βασίζεται η άσκηση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων επεξεργασίας. [Τροπολογία 46]

(74)  Εάν η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων υποδεικνύει ότι οι πράξεις επεξεργασίας συνεπάγονται υψηλό βαθμό συγκεκριμένων κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως τον αποκλεισμό φυσικών προσώπων από το δικαίωμά τους, ή λόγω της χρήσης συγκεκριμένων νέων τεχνολογιών, θα πρέπει να ζητείται η γνώμη του υπευθύνου προστασίας δεδομένων ή της αρχής ελέγχου, πριν από την έναρξη των πράξεων, για μια ριψοκίνδυνη επεξεργασία η οποία ενδέχεται να μην είναι σύμφωνη προς τον παρόντα κανονισμό, η δε αρχή ελέγχου θα πρέπει να μπορεί να διατυπώσει προτάσεις για την επανόρθωση της κατάστασης αυτής. Μια τέτοια διαβούλευση με την αρχή ελέγχου θα πρέπει επίσης να λάβει χώρα κατά την προετοιμασία ενός μέτρου από το εθνικό κοινοβούλιο ή ενός μέτρου που βασίζεται σε τέτοιο νομοθετικό μέτρο το οποίο καθορίζει τη φύση της επεξεργασίας και θεσπίζει κατάλληλες εγγυήσεις. [Τροπολογία 47]

(74α)  Οι εκτιμήσεις επιπτώσεων μπορούν να αποβούν χρήσιμες μόνο εάν οι επιχειρήσεις μεριμνούν για την τήρηση των αρχικών υποσχέσεων που διατυπώνουν σε αυτές. Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει επομένως να διενεργούν τακτικούς ελέγχους τήρησης των διατάξεων περί προστασίας δεδομένων που θα αποδεικνύουν ότι οι μηχανισμοί επεξεργασίας δεδομένων που χρησιμοποιούνται συμμορφώνονται προς τις εγγυήσεις που παρέχονται στην εκτίμηση επιπτώσεων για την προστασία δεδομένων. Θα πρέπει επίσης να αποδεικνύει την ικανότητα του υπευθύνου επεξεργασίας να συμμορφώνεται προς τις αυτόνομες επιλογές των προσώπων στα οποία αναφέρονται τα δεδομένα. Επιπροσθέτως, σε περίπτωση που κατά τον επανέλεγχο εντοπιστεί πλημμελής συμμόρφωση, θα πρέπει να αναδειχθεί και να διατυπωθούν συστάσεις για την επίτευξη πλήρους συμμόρφωσης. [Τροπολογία 48]

(75)  Εάν η επεξεργασία διενεργείται στον δημόσιο τομέα ή εάν, στον ιδιωτικό τομέα, η επεξεργασία διενεργείται από μεγάλη επιχείρηση αφορά περισσότερα από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε 12 συναπτούς μήνες, ή εάν οι βασικές δραστηριότητες της επιχείρησης, ανεξάρτητα από το μέγεθος της επιχείρησης, περιλαμβάνουν πράξεις επεξεργασίας ευαίσθητων δεδομένων ή πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση, θα πρέπει να ορίζεται ένα πρόσωπο το οποίο συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της συμμόρφωσης, σε εσωτερικό επίπεδο, προς τον παρόντα κανονισμό. Όταν αποφασίζεται εάν θα υποβληθούν σε επεξεργασία δεδομένα που αναφέρονται σε μεγάλο αριθμό προσώπων, δεν θα πρέπει να λαμβάνονται υπόψη αρχειοθετημένα δεδομένα που υπάγονται σε περιορισμό τέτοιον ώστε να μην εμπίπτουν στις κανονικές διαδικασίες πρόσβασης και επεξεργασίας δεδομένων από τον υπεύθυνο επεξεργασίας και να μην μπορούν πλέον να τροποποιηθούν. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας και κατά πόσον ασκούν τα καθήκοντά τους σε πλήρες ωράριο ή όχι, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με πλήρη ανεξαρτησία και να χαίρουν ιδιαίτερης προστασίας έναντι απόλυσης. Η τελική ευθύνη θα πρέπει να εξακολουθεί να βαρύνει τη διοίκηση του οργανισμού. Η γνώμη του υπευθύνου προστασίας δεδομένων θα πρέπει να ζητείται ιδίως πριν από τον σχεδιασμό, την προμήθεια, την ανάπτυξη και την εγκατάσταση συστημάτων αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ώστε να διασφαλίζονται οι αρχές προστασίας της ιδιωτικής ζωής τόσο εξ ορισμού όσο και από τον σχεδιασμό. [Τροπολογία 49]

(75α)  Ο υπεύθυνος προστασίας δεδομένων θα πρέπει να διαθέτει τουλάχιστον τα ακόλουθα προσόντα: ευρεία γνώση του αντικειμένου και της εφαρμογής του νόμου περί προστασίας δεδομένων, συμπεριλαμβανομένων των τεχνικών και οργανωτικών μέτρων και διαδικασιών· τεχνογνωσία όσον αφορά τις τεχνικές απαιτήσεις για την προστασία της ιδιωτικής ζωής τόσο εξ ορισμού όσο και από τον σχεδιασμό καθώς και για την ασφάλεια των δεδομένων· εξειδικευμένες γνώσεις σχετικά με τον τομέα ανάλογες προς το μέγεθος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία καθώς και προς τον βαθμό ευαισθησίας των δεδομένων που υποβάλλονται σε επεξεργασία· ικανότητα διενέργειας επιθεωρήσεων, παροχής συμβουλών, τεκμηρίωσης και ανάλυσης αρχείων καταγραφής· και ικανότητα συνεργασίας με τους εκπροσώπους των εργαζομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στον υπεύθυνο προστασίας δεδομένων τη δυνατότητα να συμμετέχει σε ανώτερου επιπέδου κατάρτιση ώστε να διαθέτει συνεχώς τις εξειδικευμένες γνώσεις που απαιτούνται για την εκπλήρωση των καθηκόντων του. Ο ορισμός ως υπευθύνου προστασίας δεδομένων δεν προϋποθέτει αναγκαστικά την πλήρη απασχόληση του αντίστοιχου υπαλλήλου. [Τροπολογία 50]

(76)  Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας θα πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, μετά από διαβούλευση με τον φορέα εκπροσώπησης των εργαζομένων, εντός των ορίων του παρόντος κανονισμού, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς. Οι εν λόγω κώδικες θα πρέπει να διευκολύνουν τη συμμόρφωση του κλάδου προς τον παρόντα κανονισμό. [Τροπολογία 51]

(77)  Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, θα πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και τυποποιημένων σημάτων προστασίας των δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως, αξιόπιστα και επαληθεύσιμα το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών. Η «Ευρωπαϊκή σφραγίδα προστασίας δεδομένων» θα πρέπει να καθιερωθεί σε ευρωπαϊκό επίπεδο για να εμπνέει εμπιστοσύνη μεταξύ των προσώπων στα οποία αναφέρονται τα δεδομένα, να δημιουργεί ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας και παράλληλα να παράγει ευρωπαϊκά πρότυπα προστασίας δεδομένων επιτρέποντας σε μη ευρωπαϊκές εταιρείες να εισέρχονται ευκολότερα στις ευρωπαϊκές αγορές μέσω πιστοποίησης. [Τροπολογία 52]

(78)  Οι διασυνοριακές ροές δεδομένων προσωπικού χαρακτήρα είναι αναγκαίες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η αύξηση των ροών αυτών δημιούργησε νέες προκλήσεις και ανησυχίες όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε τρίτες χώρες ή σε διεθνείς οργανισμούς, το επίπεδο προστασίας των φυσικών προσώπων το οποίο εγγυάται στην Ένωση ο παρών κανονισμός δεν θα πρέπει να υπονομεύεται. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες μπορούν να διενεργούνται μόνον σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό.

(79)  Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες ρυθμίζουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και περιλαμβάνουν κατάλληλες εγγυήσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα διασφαλίζοντας επαρκές επίπεδο προστασίας για τα θεμελιώδη δικαιώματα των πολιτών. [Τροπολογία 53]

(80)  Η Επιτροπή μπορεί να αποφασίζει, με ισχύ σε ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας των δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που θεωρούνται ότι εξασφαλίζουν τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις εν λόγω χώρες μπορούν να πραγματοποιούνται χωρίς να απαιτείται η εξασφάλιση οποιασδήποτε περαιτέρω έγκρισης. Η Επιτροπή δύναται επίσης να αποφασίσει την ανάκληση της εν λόγω απόφασης, κατόπιν ειδοποίησης και πλήρους αιτιολόγησης προς την τρίτη χώρα. [Τροπολογία 54]

(81)  Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, και ειδικότερα την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας, να λαμβάνει υπόψη με ποιον τρόπο μια δεδομένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα.

(82)  Η Επιτροπή μπορεί επίσης να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας των δεδομένων. Κάθε νομοθετική ρύθμιση, η οποία παρέχει εξωεδαφική πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στην Ένωση χωρίς άδεια δυνάμει της ενωσιακής ή της εθνικής νομοθεσίας, θα πρέπει να θεωρείται ότι συνιστά έλλειψη επαρκούς προστασίας των δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα θα πρέπει να απαγορεύεται. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. [Τροπολογία 55]

(83)  Απουσία απόφασης περί επάρκειας της προστασίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λάβουν μέτρα για να αντισταθμίσουν την έλλειψη προστασίας των δεδομένων σε μια τρίτη χώρα μέσω κατάλληλων εγγυήσεων για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου ή άλλων κατάλληλων και αναλογικών μέτρων τα οποία δικαιολογούνται υπό το πρίσμα όλων των συνθηκών που περιβάλλουν την πράξη διαβίβασης δεδομένων ή σειρά πράξεων διαβίβασης δεδομένων και εγκρίνονται από αρχή ελέγχου. Αυτές οι κατάλληλες εγγυήσεις θα πρέπει να εξασφαλίζουν ότι τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα τυγχάνουν εξίσου σεβασμού όπως και κατά την επεξεργασία εντός της ΕΕ, ιδιαίτερα όσον αφορά τον περιορισμό του σκοπού, το δικαίωμα στην πρόσβαση, τη διόρθωση, τη διαγραφή και την αξίωση αποζημίωσης. Οι εγγυήσεις αυτές θα πρέπει να εξασφαλίζουν ειδικότερα την τήρηση των αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα και προβλέπουν αποτελεσματικούς μηχανισμούς προσφυγής, εξασφαλίζουν την τήρηση των αρχών προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, και εξασφαλίζουν την ύπαρξη ενός υπεύθυνου προστασίας δεδομένων. [Τροπολογία 56]

(84)  Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων, οι οποίες εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, δεν θα πρέπει να εμποδίζει τη δυνατότητα των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία να περιλαμβάνουν τις τυποποιημένες ρήτρες προστασίας των δεδομένων σε μια ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες ή επιπλέον εγγυήσεις εφόσον δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες που εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Οι τυποποιημένες ρήτρες προστασίας δεδομένων που ενέκρινε η Επιτροπή μπορούν να καλύπτουν διαφορετικές καταστάσεις, συγκεκριμένα τη διαβίβαση των δεδομένων από υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην Ένωση προς υπεύθυνους επεξεργασίας εκτός Ένωσης και από υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην Ένωση προς εκτελούντες την επεξεργασία, περιλαμβανομένων και των υπεργολάβων επεξεργασίας, εκτός της Ένωσης. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να ενθαρρύνονται να παράσχουν ακόμα πιο αυστηρές εγγυήσεις μέσω πρόσθετων συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις υφιστάμενες ρήτρες προστασίας δεδομένων. [Τροπολογία 57]

(85)  Ένας όμιλος εταιρειών θα πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου εταιρικού ομίλου επιχειρήσεων, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα. [Τροπολογία 58]

(86)  Θα πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις στις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, στις οποίες η διαβίβαση είναι αναγκαία σε σχέση με σύμβαση ή δικαστική διαδικασία, στις οποίες σημαντικοί λόγοι δημόσιου συμφέροντος που προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο, ή στις οποίες η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή πρόσωπα τα οποία έχουν έννομο συμφέρον. Στην τελευταία αυτή περίπτωση, η εν λόγω διαβίβαση δεν θα πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων που περιέχονται στο μητρώο και όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση θα πρέπει να πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν μπορούν να είναι αποδέκτες της διαβίβασης, λαμβάνοντας πλήρως υπόψη τα συμφέροντα και τα θεμελιώδη δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα. [Τροπολογία 59]

(87)  Οι παρεκκλίσεις αυτές θα πρέπει να εφαρμόζονται ειδικότερα σε αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή για τη δημόσια υγεία, ή σε αρμόδιες δημόσιες αρχές για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων, μεταξύ αυτών και για την πρόληψη του ξεπλύματος χρημάτων και την καταπολέμηση της χρηματοδότησης της τρομοκρατίας. Η διαβίβαση προσωπικών δεδομένων θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου προσώπου, εάν το υποκείμενο των δεδομένων δεν είναι σε θέση να δώσει συγκατάθεση. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα για τέτοιους σημαντικούς λόγους δημόσιου συμφέροντος θα πρέπει να γίνεται μόνο περιστασιακά. Σε κάθε περίπτωση θα πρέπει να αξιολογούνται προσεκτικά όλες οι περιστάσεις της διαβίβασης. [Τροπολογία 60]

(88)  Διαβιβάσεις οι οποίες δεν είναι δυνατόν να χαρακτηρισθούν συχνές ή μαζικές ενδέχεται να επιτρέπονται επίσης για τον σκοπό των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, όταν αυτοί έχουν αξιολογήσει όλες τις συνθήκες που περιβάλλουν τη διαβίβαση των δεδομένων. Όταν η επεξεργασία αφορά ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας όσον αφορά την αύξηση της γνώσης. [Τροπολογία 61]

(89)  Σε κάθε περίπτωση, εάν η Επιτροπή δεν έλαβε καμία απόφαση σχετικά με το επαρκές επίπεδο προστασίας των δεδομένων σε μια τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να κάνουν χρήση λύσεων οι οποίες παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα την νομικά δεσμευτική εγγύηση ότι θα συνεχίσουν να επωφελούνται των θεμελιωδών δικαιωμάτων και ελευθεριών όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, στον βαθμό που η επεξεργασία δεν είναι μαζική, επαναλαμβανόμενη και διαρθρωτική. Η εν λόγω εγγύηση θα πρέπει να συμπεριλαμβάνει χρηματική αποζημίωση σε περίπτωση απώλειας ή μη εξουσιοδοτημένης πρόσβασης ή επεξεργασίας δεδομένων, καθώς και την υποχρέωση, ανεξαρτήτως της εθνικής νομοθεσίας, να παρέχονται από τις δημόσιες αρχές της τρίτης χώρας πλήρη στοιχεία σχετικά με κάθε πρόσβαση στα δεδομένα. [Τροπολογία 62]

(90)  Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομοθετικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις διαδικασίες επεξεργασίας δεδομένων φυσικών και νομικών προσώπων που τελούν υπό τη δικαιοδοσία των κρατών μελών. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Διαβιβάσεις θα πρέπει να επιτρέπονται μόνον εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει μεταξύ άλλων εάν η γνωστοποίηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Οι προϋποθέσεις υπό τις οποίες συντρέχει σημαντικός λόγος δημόσιου συμφέροντος θα πρέπει να διευκρινισθούν περαιτέρω από την Επιτροπή σε κατ’ εξουσιοδότηση πράξη. Σε περιπτώσεις όπου οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία έρχονται αντιμέτωποι με αντικρουόμενες απαιτήσεις συμμόρφωσης μεταξύ της δικαιοδοσίας της Ένωσης αφενός και της δικαιοδοσίας τρίτης χώρας αφετέρου, η Επιτροπή θα πρέπει να διασφαλίζει ότι πάντοτε υπερισχύει το δίκαιο της Ένωσης. Η Επιτροπή θα πρέπει να παρέχει καθοδήγηση και συνδρομή προς τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία και θα πρέπει να επιδιώκει την επίλυση της σύγκρουσης δικαιοδοσιών με την εν λόγω τρίτη χώρα. [Τροπολογία 63]

(91)  Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα αυξάνει ενδεχομένως τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή οινοποίησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι αρχές ελέγχου μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν στο διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή διορθωτικές εξουσίες, μη συνεκτικά νομικά καθεστώτα και πρακτικά εμπόδια, όπως η απουσία πόρων. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ των αρχών ελέγχου της προστασίας των δεδομένων ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους.

(92)  Η σύσταση αρχών ελέγχου στα κράτη μέλη οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Τα κράτη μέλη μπορούν να συστήσουν περισσότερες αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Κάθε αρχή διαθέτει επαρκείς χρηματοοικονομικούς και ίδιους πόρους ώστε να εκπληρώνει πλήρως τα καθήκοντά της, λαμβάνοντας υπόψη το μέγεθος του πληθυσμού και τον όγκο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. [Τροπολογία 64]

(93)  Εάν ένα κράτος μέλος συστήνει περισσότερες αρχές ελέγχου, θα πρέπει να θεσπίζει διά νόμου μηχανισμούς ώστε να διασφαλίζεται η ουσιαστική συμμετοχή των εν λόγω αρχών ελέγχου στον μηχανισμό συνεκτικότητας. Το συγκεκριμένο κράτος μέλος θα πρέπει να ορίζει, ειδικότερα, την αρχή ελέγχου η οποία αποτελεί το ενιαίο σημείο επικοινωνίας για την ουσιαστική συμμετοχή των εν λόγω αρχών στον μηχανισμό, ώστε να διασφαλίζεται ταχεία και εύρυθμη συνεργασία με άλλες αρχές ελέγχου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και την Επιτροπή.

(94)  Κάθε αρχή ελέγχου θα πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, αποδίδοντας ιδιαίτερη προσοχή στη διασφάλιση επάρκειας όσον αφορά τις τεχνικές και νομικές ικανότητες του προσωπικού, εγκαταστάσεις και υποδομές, οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση. [Τροπολογία 65]

(95)  Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται είτε από το κοινοβούλιο είτε ή από την κυβέρνηση του κράτους μέλους με μέριμνα για την ελαχιστοποίηση της πιθανότητας πολιτικής παρέμβασης, και να περιλαμβάνουν κανόνες για τα προσωπικά προσόντα των μελών, την αποφυγή συγκρούσεων συμφερόντων και τη θέση τους των μελών. [Τροπολογία 66]

(96)  Οι αρχές ελέγχου θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεκτική εφαρμογή του σε ολόκληρη την Ένωση προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και να διευκολύνεται η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι αρχές ελέγχου θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή.

(97)  Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση πραγματοποιείται σε περισσότερα κράτη μέλη, μία και μόνη αρχή ελέγχου θα πρέπει να είναι αρμόδια τόσο για την παρακολούθηση των δραστηριοτήτων του υπευθύνου λειτουργεί ως μοναδικό σημείο επικοινωνίας με τον υπεύθυνο επεξεργασίας ή του εκτελούντος τον εκτελούντα την επεξεργασία σε ολόκληρη την Ένωση όσο καθώς και ως προϊσταμένη αρχή επιφορτισμένη για τον έλεγχό τους και για τη λήψη των σχετικών αποφάσεων, προκειμένου να αυξάνεται η συνεκτικότητα της εφαρμογής, να παρέχεται ασφάλεια δικαίου και να μειώνεται ο διοικητικός φόρτος για τους εν λόγω υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία. [Τροπολογία 67]

(98)  Η αρμόδια προϊσταμένη αρχή, η οποία παρέχει αυτή την υπηρεσία μιας στάσης, θα πρέπει να είναι η αρχή ελέγχου του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ο εκπρόσωπός του έχουν την κύρια εγκατάστασή τους. Σε ορισμένες περιπτώσεις, κατόπιν αιτήματος από αρμόδια αρχή, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δύναται να ορίζει την προϊσταμένη αρχή μέσω του μηχανισμού συνεκτικότητας. [Τροπολογία 68]

(98α)  Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε άλλο κράτος μέλος θα πρέπει να μπορούν να υποβάλουν την καταγγελία τους στην αρχή προστασίας δεδομένων της επιλογής τους. Η προϊσταμένη αρχή προστασίας των δεδομένων θα πρέπει να συντονίζει τις εργασίες της με αυτές των άλλων εμπλεκόμενων αρχών. [Τροπολογία 69]

(99)  Παρότι ο παρών κανονισμός εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων, η αρμοδιότητα των αρχών ελέγχου δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Ωστόσο, η εξαίρεση αυτή θα πρέπει να περιορίζεται αυστηρά σε αμιγώς δικαιοδοτικές δραστηριότητες στο πλαίσιο δικαστικών υποθέσεων και δεν εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν οι δικαστές σύμφωνα με το εθνικό δίκαιο.

(100)  Για τη διασφάλιση της συνεκτικής παρακολούθησης και επιβολής του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι αρχές ελέγχου θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, συμπεριλαμβανομένων εξουσιών διερεύνησης, νομικά δεσμευτικής παρέμβασης, λήψης αποφάσεων και επιβολής κυρώσεων, ιδίως σε περιπτώσεις καταγγελιών από φυσικά πρόσωπα, και συμμετοχής σε νομικές διαδικασίες. Οι εξουσίες διερεύνησης των αρχών ελέγχου όσον αφορά την πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με το δίκαιο της Ένωσης και το εθνικό δίκαιο. Αυτό αφορά ειδικότερα την απαίτηση εξασφάλισης προηγούμενης δικαστικής έγκρισης.

(101)  Κάθε αρχή ελέγχου θα πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή από ένωση που ενεργεί υπέρ του δημοσίου συμφέροντος, και θα πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρχή ελέγχου οφείλει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την οργάνωση για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 70]

(102)  Οι δραστηριότητες ευαισθητοποίησης από τις αρχές ελέγχου οι οποίες απευθύνονται στο κοινό θα πρέπει να περιλαμβάνουν συγκεκριμένα μέτρα για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, συμπεριλαμβανομένων πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, καθώς και για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

(103)  Οι αρχές ελέγχου θα πρέπει να αλληλοϋποστηρίζονται κατά την άσκηση των καθηκόντων τους, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή του παρόντος κανονισμού στην εσωτερική αγορά.

(104)  Κάθε αρχή ελέγχου θα πρέπει να έχει δικαίωμα συμμετοχής σε κοινές πράξεις μεταξύ αρχών ελέγχου. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα θα πρέπει να υποχρεούται να απαντά στο αίτημα εντός καθορισμένης προθεσμίας.

(105)  Για τη διασφάλιση της συνεκτικής εφαρμογής του παρόντος κανονισμού σε ολόκληρη την Ένωση, θα πρέπει να θεσπισθεί ένας μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των αρχών ελέγχου και με την Επιτροπή. Ο μηχανισμός αυτός θα πρέπει να εφαρμόζεται ειδικότερα εάν μια αρχή ελέγχου προτίθεται να θεσπίσει ένα μέτρο όσον αφορά πράξεις επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή σχετίζονται με την παρακολούθηση των εν λόγω προσώπων στα οποία αναφέρονται τα δεδομένα ή οι οποίες μπορεί να επηρεάζουν ουσιαστικά την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα. Θα πρέπει να εφαρμόζεται επίσης εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν την εξέταση της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Επιπλέον, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να έχουν το δικαίωμα να εξασφαλίζουν συνεκτικότητα εάν κρίνουν ότι ένα μέτρο μιας αρχής προστασίας δεδομένων κάποιου κράτους μέλους δεν πληροί το εν λόγω κριτήριο. Ο εν λόγω μηχανισμός δεν θα πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών. [Τροπολογία 71]

(106)  Κατά την εφαρμογή του μηχανισμού συνεκτικότητας, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εκδίδει γνώμη, εντός καθορισμένης προθεσμίας, εφόσον αποφασίσει κάτι τέτοιο η απλή πλειοψηφία των μελών της ή εφόσον της ζητηθεί κάτι τέτοιο από οποιαδήποτε αρχή ελέγχου ή από την Επιτροπή.

(106α)  Για να διασφαλιστεί η συνεκτική εφαρμογή του παρόντος κανονισμού, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί, σε μεμονωμένες περιπτώσεις, να λάβει απόφαση που είναι δεσμευτική για τις αρμόδιες αρχές ελέγχου. [Τροπολογία 72]

(107)  Για τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό, η Επιτροπή μπορεί να εκδώσει γνώμη επί της υπόθεσης αυτής ή απόφαση, με την οποία αξιώνει από την αρχή ελέγχου την αναστολή του σχεδίου μέτρου. [Τροπολογία 73]

(108)  Ενδέχεται να υπάρχει επείγουσα ανάγκη λήψης μέτρων για την προστασία των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σημαντικά η άσκηση δικαιώματος του συγκεκριμένου προσώπου. Επομένως, μια αρχή ελέγχου θα πρέπει να είναι σε θέση να θεσπίζει προσωρινά μέτρα, με προσδιορισμένη διάρκεια ισχύος, κατά την εφαρμογή του μηχανισμού συνεκτικότητας.

(109)  Η εφαρμογή του εν λόγω μηχανισμού θα πρέπει να αποτελεί προϋπόθεση για τη νομική ισχύ και την επιβολή της αντίστοιχης απόφασης από αρχή ελέγχου. Σε άλλες περιπτώσεις διασυνοριακού ενδιαφέροντος, ενδέχεται να παρασχεθεί αμοιβαία συνδρομή και να διεξαχθούν από κοινού έρευνες από τις ενδιαφερόμενες αρχές ελέγχου, σε διμερή ή πολυμερή βάση, χωρίς να ενεργοποιηθεί ο μηχανισμός συνεκτικότητας.

(110)  Θα πρέπει να συσταθεί Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων στο επίπεδο της Ένωσης, η οποία θα πρέπει να αντικαταστήσει την ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Θα πρέπει να απαρτίζεται από τον προϊστάμενο αρχής ελέγχου κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Η Επιτροπή πρέπει να συμμετέχει στις δραστηριότητές της. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή στα θεσμικά όργανα της Ένωσης και προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση, συμπεριλαμβανομένου του συντονισμού των κοινών πράξεων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων της. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενισχύσει τον διάλογο με τα ενδιαφερόμενα μέρη, όπως ενώσεις προσώπων στα οποία αναφέρονται τα δεδομένα, οργανώσεις καταναλωτών, υπεύθυνοι επεξεργασίας και άλλοι σχετικοί ενδιαφερόμενοι και εμπειρογνώμονες. [Τροπολογία 74]

(111)  Κάθε πρόσωπο στο οποίο Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα πρέπει να έχει έχουν δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης αποτελεσματικής δικαστικής προσφυγής, σύμφωνα με το άρθρο 47 του Χάρτη, εάν θεωρεί θεωρούν ότι παραβιάζονται τα δικαιώματά του τους που απορρέουν από τον παρόντα κανονισμό ή εάν η αρχή ελέγχου δεν απαντά σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 75]

(112)  Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων προσώπων στα οποία αναφέρονται δεδομένα σε σχέση με την προστασία των δεδομένων τους ενεργεί χάριν του δημοσίου συμφέροντος και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους θα πρέπει να δικαιούται να υποβάλλει καταγγελία σε αρχή ελέγχου για λογαριασμό και με τη συγκατάθεση των προσώπων στα οποία αναφέρονται δεδομένα ή να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό προσώπων στα οποία αναφέρονται δεδομένα εάν έχει εξουσιοδοτηθεί από τα πρόσωπα αυτά ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα των διατάξεων του παρόντος κανονισμού. [Τροπολογία 76]

(113)  Κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που τα αφορά. Η διαδικασία κατά αρχής ελέγχου θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

(114)  Για την ενίσχυση της δικαστικής προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα, σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου είναι εγκαταστημένη σε κράτος μέλος διαφορετικό από εκείνο στο οποίο διαμένει το συγκεκριμένο πρόσωπο, το πρόσωπο αυτό το τελευταίο μπορεί να ζητήσει από εξουσιοδοτήσει οποιονδήποτε φορέα, οργανισμό ή οργάνωση που αποσκοπεί στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα ενεργεί χάριν του δημοσίου συμφέροντος, να κινήσει, για λογαριασμό του, διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους. [Τροπολογία 77]

(115)  Σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου που είναι εγκαταστημένη σε άλλο κράτος μέλος δεν ενεργεί ή λαμβάνει ανεπαρκή μέτρα σε σχέση με μια καταγγελία, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ζητεί από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους. Αυτό δεν ισχύει για πολίτες που διαμένουν εκτός ΕΕ. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα μπορεί να αποφασίζει, με την επιφύλαξη δικαστικού ελέγχου, κατά πόσον ενδείκνυται να δώσει συνέχεια στο αίτημα. [Τροπολογία 78]

(116)  Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο ενάγων θα πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την αγωγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαθέτει εγκατάσταση ή, στην περίπτωση συνήθους διαμονής στην ΕΕ, στο κράτος μέλος στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή της Ένωσης ή κράτους μέλους η οποία ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της. [Τροπολογία 79]

(117)  Εάν υπάρχουν ενδείξεις ότι εκκρεμεί παράλληλη διαδικασία ενώπιον των δικαστηρίων διαφορετικών κρατών μελών, τα δικαστήρια θα πρέπει να υποχρεούνται να ειδοποιούν το ένα το άλλο. Τα δικαστήρια θα πρέπει να έχουν τη δυνατότητα αναστολής της εξέτασης μιας υπόθεσης εάν εκκρεμεί παράλληλη υπόθεση σε άλλο κράτος μέλος. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, προκειμένου να είναι ουσιαστικές, θα πρέπει να επιτρέπουν την ταχεία λήψη μέτρων για την επανόρθωση ή την αποφυγή παράβασης του παρόντος κανονισμού.

(118)  Κάθε ζημία, είτε χρηματική είτε όχι την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης μόνο εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως δε εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας. [Τροπολογία 80]

(119)  Θα πρέπει να επιβάλλονται ποινές σε κάθε πρόσωπο, ιδιωτικού ή δημόσιου δικαίου το οποίο δεν συμμορφώνεται προς τον παρόντα κανονισμό. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι ποινές θα πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και θα πρέπει να λαμβάνουν κάθε μέτρο για την επιβολή των ποινών. Οι κανόνες για την επιβολή κυρώσεων θα πρέπει να υπόκεινται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του δικαίου της Ένωσης και του Χάρτη, συμπεριλαμβανομένων των εγγυήσεων που αφορούν το δικαίωμα στην αποτελεσματική άσκηση ενδίκων μέσων, την τήρηση ορθής διαδικασίας και την τήρηση της αρχής «ne bis in idem». [Τροπολογία 81]

(119α)  Κατά την εφαρμογή των κυρώσεων, τα κράτη μέλη θα πρέπει να σέβονται απόλυτα τις δέουσες δικονομικές εγγυήσεις, συμπεριλαμβανομένων αυτών που αφορούν το δικαίωμα στην αποτελεσματική άσκηση ενδίκων μέσων, την τήρηση ορθής διαδικασίας και την τήρηση της αρχής «ne bis in idem». [Τροπολογία 82]

(120)  Για την ενίσχυση και την εναρμόνιση των διοικητικών κυρώσεων κατά παραβάσεων του παρόντος κανονισμού, κάθε αρχή ελέγχου θα πρέπει να έχει την εξουσία να επιβάλλει κυρώσεις για διοικητικά παραπτώματα. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τα παραπτώματα αυτά καθώς και το ανώτατο όριο για τα σχετικά διοικητικά πρόστιμα, τα οποία θα πρέπει να καθορίζονται σε κάθε μεμονωμένη περίπτωση αναλογικά προς τη συγκεκριμένη κατάσταση, λαμβάνοντας δεόντως υπόψη ειδικότερα τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης. Ο μηχανισμός συνεκτικότητας μπορεί να χρησιμοποιείται επίσης για την αντιμετώπιση αποκλίσεων στην επιβολή διοικητικών κυρώσεων.

(121)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς, ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, πρέπει να πληροί τις προϋποθέσεις της εξαίρεσης Όπου κρίνεται αναγκαίο, θα πρέπει να παρέχεται η δυνατότητα εξαιρέσεων ή παρεκκλίσεων από τις απαιτήσεις ορισμένων διατάξεων του παρόντος κανονισμού σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και, ειδικότερα, με το δικαίωμα λήψης ή μετάδοσης πληροφοριών, όπως διασφαλίζεται ειδικότερα στο άρθρο 11 του Χάρτη. Αυτό πρέπει να ισχύει ειδικότερα στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες Τύπου. Επομένως, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα τα οποία θα πρέπει να προβλέπουν εξαιρέσεις και παρεκκλίσεις οι οποίες είναι αναγκαίες για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Οι εν λόγω εξαιρέσεις και παρεκκλίσεις θα πρέπει να θεσπίζονται από τα κράτη μέλη σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες αρχές ελέγχου, και τη συνεργασία και τη συνεκτικότητα και σχετικά με τις συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων. Ωστόσο, αυτό δεν θα πρέπει να οδηγήσει τα κράτη μέλη να θεσπίσουν εξαιρέσεις από τις λοιπές διατάξεις του παρόντος κανονισμού. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται ευρέως οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία. Επομένως, τα κράτη μέλη πρέπει να ταξινομούν δραστηριότητες ως «δημοσιογραφικές» για τον σκοπό των εξαιρέσεων και των παρεκκλίσεων που πρόκειται να θεσπισθούν βάσει του παρόντος κανονισμού, εάν αντικείμενο των εν λόγω δραστηριοτήτων είναι η ώστε να καλύπτουν όλες τις δραστηριότητες που αποσκοπούν στην γνωστοποίηση στο κοινό πληροφοριών, γνωμών ή ιδεών, ανεξάρτητα από το μέσο που χρησιμοποιείται για τη μετάδοσή τους, λαμβάνοντας συγχρόνως υπόψη τις τεχνολογικές εξελίξεις. Οι δραστηριότητες δεν θα πρέπει να περιορίζονται στις επιχειρήσεις μέσων ενημέρωσης και μπορούν να πραγματοποιούνται για κερδοσκοπικούς ή μη κερδοσκοπικούς σκοπούς. [Τροπολογία 83]

(122)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, ως ειδική κατηγορία δεδομένων που χρήζει υψηλότερης προστασίας, μπορεί να δικαιολογείται συχνά μέσω ποικίλλων θεμιτών λόγων προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της εξασφάλισης της συνέχειας της διασυνοριακής υγειονομικής περίθαλψης. Επομένως, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού που αφορούν την υγεία, με την επιφύλαξη ειδικών και κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα θεμελιώδη δικαιώματα και τα δεδομένα προσωπικού χαρακτήρα των φυσικών προσώπων. Αυτό περιλαμβάνει το δικαίωμα των φυσικών προσώπων να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση.

(122α)  Ένα πρόσωπο το οποίο επεξεργάζεται κατ’ επάγγελμα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θα πρέπει να λαμβάνει, ει δυνατόν, ανωνυμοποιημένα δεδομένα ή ψευδωνυμοποιημένα δεδομένα, ούτως ώστε μόνο ο γενικός ιατρός ή ο ειδικός που έχει ζητήσει την επεξεργασία των εν λόγω δεδομένων να γνωρίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 84]

(123)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(9)της 16ης Δεκεμβρίου 2008 σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία, δηλαδή ως όλα τα στοιχεία που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, συμπεριλαμβανομένης της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται στην υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες, ασφαλιστικές εταιρείες και τράπεζες. [Τροπολογία 85]

(123α)   Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, ως ειδική κατηγορία δεδομένων, ενδέχεται να είναι απαραίτητη για λόγους ιστορικής, στατιστικής ή επιστημονικής έρευνας. Ως εκ τούτου, ο παρών κανονισμός προβλέπει εξαιρέσεις όσον αφορά την απαίτηση παροχής συγκατάθεσης στις περιπτώσεις όπου η έρευνα εξυπηρετεί υψηλά δημόσια συμφέροντα. [Τροπολογία 86]

(124)  Οι γενικές αρχές για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα θα πρέπει να εφαρμόζονται επίσης στο πλαίσιο της απασχόλησης. Επομένως, για τη και της κοινωνικής ασφάλισης. Τα κράτη μέλη θα πρέπει να μπορούν να προβαίνουν σε ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, τα κράτη μέλη πρέπει να μπορούν, εντός των ορίων του παρόντος κανονισμού, να θεσπίζουν διά νόμου ειδικούς κανόνες για την επεξεργασία και της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης στο πλαίσιο της κοινωνικής ασφάλισης, σύμφωνα με τους κανόνες και τα ελάχιστα πρότυπα που ορίζονται στον παρόντα κανονισμό. Εφόσον σε ένα κράτος μέλος υπάρχει νομική βάση που ρυθμίζει υποθέσεις εργασιακών σχέσεων μέσω συμφωνίας μεταξύ των εκπροσώπων των εργαζομένων και της διοικήσεως της επιχείρησης ή της ελέγχουσας επιχείρησης ενός ομίλου επιχειρήσεων (συλλογική σύμβαση), ή με βάση την οδηγία 2009/38/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(10), η επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης μπορεί να ρυθμίζεται και μέσω μιας τέτοιας συμφωνίας. [Τροπολογία 87]

(125)  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας θα πρέπει, προκειμένου να είναι σύννομη, να σέβεται επίσης άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.

(125α)  Τα δεδομένα προσωπικού χαρακτήρα μπορούν επίσης να υποβληθούν σε περαιτέρω επεξεργασία από τις υπηρεσίες αρχείων, οι οποίες έχουν ως κύριο καθήκον ή νομική υποχρέωση τη συλλογή, την αποθήκευση, την ταξινόμηση, την κοινοποίηση, την αξιοποίηση και τη διάδοση αρχείων για το δημόσιο συμφέρον. Η νομοθεσία των κρατών μελών θα πρέπει να ευθυγραμμίζει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τις νομοθετικές ρυθμίσεις για τα αρχεία και για την πρόσβαση των πολιτών σε διοικητικές πληροφορίες. Τα κράτη μέλη θα πρέπει να ενθαρρύνουν την κατάρτιση, ιδίως από την Ευρωπαϊκή Ομάδα Αρχείων, σχεδίου κανόνων που θα εξασφαλίζουν το απόρρητο των δεδομένων έναντι τρίτων καθώς και τη γνησιότητα, την αρτιότητα και την καλή διατήρηση των δεδομένων. [Τροπολογία 88]

(126)  Για τους σκοπούς του παρόντος κανονισμού, η επιστημονική έρευνα θα πρέπει να περιλαμβάνει βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα και, επιπλέον, θα πρέπει να λαμβάνει υπόψη τον στόχο της Ένωσης βάσει του άρθρου 179 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης για την επίτευξη ενός Ευρωπαϊκού Χώρου Έρευνας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς ή επιστημονικούς σκοπούς καθώς και για σκοπούς επιστημονικής έρευνας δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς, εκτός εάν το υποκείμενο των δεδομένων παρέχει τη συγκατάθεσή του ή η επεξεργασία διενεργείται βάσει του ενωσιακού δικαίου ή του δικαίου ενός κράτους μέλους. [Τροπολογία 89]

(127)  Όσον αφορά τις εξουσίες των αρχών ελέγχου να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις του, τα κράτη μέλη μπορούν να θεσπίσουν διά νόμου, εντός των ορίων του παρόντος κανονισμού, ειδικούς κανόνες προκειμένου να διαφυλάσσονται οι υποχρεώσεις επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις απορρήτου, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου.

(128)  Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το εθνικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ως εκ τούτου, εάν μια εκκλησία σε ένα κράτος μέλος εφαρμόζει, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένο σύστημα κανόνων κατάλληλους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι συγκεκριμένοι ισχύοντες κανόνες θα πρέπει να συνεχίσουν να εφαρμόζονται εφόσον εναρμονισθούν με τον παρόντα κανονισμό και αναγνωριστεί η συμβατότητά τους με αυτόν. Οι εν λόγω εκκλησίες και οι θρησκευτικές ενώσεις πρέπει να υποχρεούνται να προβλέπουν την ίδρυση μιας πλήρως ανεξάρτητης αρχής ελέγχου. [Τροπολογία 90]

(129)  Για την εκπλήρωση των στόχων του παρόντος κανονισμού, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, κατ’ εξουσιοδότηση πράξεις θα πρέπει να εκδοθούν σε σχέση με τη νομιμότητα της επεξεργασίας· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων σε σχέση με τη συγκατάθεση παιδιού· την επεξεργασία ειδικών κατηγοριών δεδομένων· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τις αμοιβές για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πληροφορίες που παρέχονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε σχέση με το δικαίωμα πρόσβασης· για την παροχή πληροφοριών με τη μορφή εικονιδίων· το δικαίωμα διαγραφής των φυσικών προσώπων· «να λησμονηθούν» και το δικαίωμα διαγραφής· τα μέτρα που βασίζονται στην κατάρτιση προφίλ· τα κριτήρια και τις απαιτήσεις σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας και με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού· τον εκτελούντα την επεξεργασία· τα κριτήρια και τις απαιτήσεις για την τεκμηρίωση και την ασφάλεια της επεξεργασίας· τα κριτήρια και τις απαιτήσεις για τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα και για την κοινοποίησή της στην αρχή ελέγχου και των περιπτώσεων στις οποίες παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να έχει δυσμενείς συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πράξεις που απαιτούν εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων· τα κριτήρια και τις απαιτήσεις για τον καθορισμό υψηλού βαθμού συγκεκριμένων κινδύνων οι οποίοι απαιτούν προηγούμενη διαβούλευση· τον ορισμό και τα καθήκοντα του υπευθύνου προστασίας δεδομένων· τους· τη δήλωση ότι οι κώδικες δεοντολογίας είναι συμβατοί με τον παρόντα κανονισμό· τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα ή ένας διεθνής οργανισμός· τα κριτήρια και τις απαιτήσεις για τις διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων· τις παρεκκλίσεις όσον αφορά τις διαβιβάσεις· τις διοικητικές κυρώσεις· την επεξεργασία για σκοπούς υγείας και την επεξεργασία στο πλαίσιο της απασχόλησης και την επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας. Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιήσει κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων, και ειδικότερα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Κατά την επεξεργασία και την κατάρτιση κατ’ εξουσιοδότηση πράξεων, η Επιτροπή θα πρέπει να εξασφαλίζει ταυτόχρονη, έγκαιρη και δέουσα διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. [Τροπολογία 91]

(130)  Για τη διασφάλιση ομοιόμορφων προϋποθέσεων στην εφαρμογή του παρόντος κανονισμού θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων για ειδικές μεθόδους για την εξασφάλιση επαληθεύσιμης συγκατάθεσης σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων διαδικασιών και εντύπων για την άσκηση των δικαιωμάτων για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με την άσκηση των δικαιωμάτων τους· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας των δεδομένων καθώς και με το δικαίωμα γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση · των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας που διατηρεί ο υπευθύνος επεξεργασίας ή ο εκτελών την επεξεργασία· του τυποποιημένου μορφοτύπου και των διαδικασιών εντύπου για τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των πρότυπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των και την τεκμηρίωση παραβίασης δεδομένων προσωπικού χαρακτήρα· εντύπων και των διαδικασιών για την προηγούμενη έγκριση και την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επιπέδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινοποιήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας και ενημέρωση της αρχής ελέγχου. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή(11). Στο πλαίσιο αυτό, η Επιτροπή θα πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. [Τροπολογία 92]

(131)  Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιείται για τον προσδιορισμό τυποποιημένων εντύπων: όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων για ειδικές μεθόδους για την εξασφάλιση επαληθεύσιμης συγκατάθεσης σε σχέση με τη συγκατάθεση την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων διαδικασιών και εντύπων για την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα σχετικά με άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα τους· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας των δεδομένων καθώς και με το δικαίωμα γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση· των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας που διατηρεί ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία· του τυποποιημένου μορφοτύπου και των διαδικασιών εντύπου για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την γνωστοποίηση τεκμηρίωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των προτύπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των προτύπων και των διαδικασιών για την προηγούμενη έγκριση και των εντύπωση για την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επίπεδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινολογήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξεων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας και την ενημέρωση της αρχής, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής. [Τροπολογία 93]

(132)  Η Επιτροπή πρέπει να εγκρίνει αμέσως εφαρμοστέες εκτελεστικές πράξεις όταν, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, ή έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό που δεν διασφαλίζουν επαρκές επίπεδο προστασίας και αφορούν θέματα που κοινοποιούνται από αρχές ελέγχου στο πλαίσιο του μηχανισμού συνεκτικότητας, το απαιτούν επιτακτικοί λόγοι επείγοντος. [Τροπολογία 94]

(133)  Δεδομένου ότι οι στόχοι του παρόντος κανονισμού, και ειδικότερα η διασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και ελεύθερης ροής δεδομένων σε ολόκληρη την Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, η οποία προβλέπεται στο άρθρο 5 της συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη των εν λόγω στόχων.

(134)  Η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί με τον παρόντα κανονισμό. Ωστόσο, οι αποφάσεις της Επιτροπής και οι εγκρίσεις αρχών ελέγχου που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ θα πρέπει να παραμείνουν σε ισχύ. Οι αποφάσεις της Επιτροπής και οι άδειες των αρχών ελέγχου που αφορούν διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με το άρθρο 41 παράγραφος 8 θα πρέπει να παραμείνουν σε ισχύ για μια μεταβατική περίοδο πέντε ετών μετά την έναρξη ισχύος του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή πριν από τη λήξη της εν λόγω περιόδου. [Τροπολογία 95]

(135)  Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως αυτές περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(12), συμπεριλαμβανομένων των υποχρεώσεων του υπευθύνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Για την αποσαφήνιση της σχέσης μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η οδηγία θα πρέπει να τροποποιηθεί ανάλογα.

(136)  Όσον αφορά την Ισλανδία και τη Νορβηγία, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου, κατά την έννοια της συμφωνίας που συνήφθη μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας σχετικά με τη σύνδεση των εν λόγω χωρών προς τη θέση σε ισχύ, την εφαρμογή και την περαιτέρω ανάπτυξη του κεκτημένου Σένγκεν(13).

(137)  Όσον αφορά την Ελβετία, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου. κατά την έννοια της συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν(14).

(138)  Όσον αφορά το Λιχτενστάιν, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου, κατά την έννοια του πρωτοκόλλου μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετική Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεντημένου του Σένγκεν(15).

(139)  Εν όψει του γεγονότος ότι, όπως υπογράμμισε το Δικαστήριο της Ευρωπαϊκής Ένωσης, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα, αλλά πρέπει να εξετάζεται σε σχέση με τη λειτουργία του στην κοινωνία και να εξισορροπείται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας, ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη, όπως κατοχυρώνονται στις Συνθήκες, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου καθώς και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία,

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και στόχοι

1.  Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία αυτών των δεδομένων.

2.  Ο παρών κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3.  Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άρθρο 2

Καθ’ ύλην πεδίο εφαρμογής

1.  Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως της μεθόδου επεξεργασίας, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

2.  Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)  στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια·

β)  από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης·

γ)  από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κεφαλαίου 2 του τίτλου V της Συνθήκης για την Ευρωπαϊκή Ένωση·

δ)  από φυσικό πρόσωπο χωρίς οποιοδήποτε κερδοσκοπικό συμφέρον στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας προσωπικών ή οικιακών δραστηριοτήτων. Η εξαίρεση αυτή ισχύει επίσης για τη δημοσίευση δεδομένων προσωπικού χαρακτήρα όταν μπορεί εύλογα να αναμένεται ότι η δυνατότητα πρόσβασης παρέχεται μόνο σε έναν περιορισμένο αριθμό προσώπων·

ε)  από αρμόδιες δημόσιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

3.  Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως δε τους κανόνες για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας. [Τροπολογία 96]

Άρθρο 3

Γεωγραφικό πεδίο εφαρμογής

1.  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, είτε η επεξεργασία λαμβάνει χώρα στην Ένωση είτε όχι.

2.  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με

α)  την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση, ασχέτως αν απαιτείται πληρωμή από τα πρόσωπα αυτά, ή

β)  την παρακολούθηση της συμπεριφοράς τους των προσώπων στα οποία αναφέρονται τα δεδομένα.

3.  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το εθνικό δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου. [Τροπολογία 97]

Άρθρο 4

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

1)  «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, με μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή από οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, ιδίως βάσει αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόσταση του συγκεκριμένου προσώπου από φυσική, βιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·

2)  «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί («πρόσωπο στο οποίο αναφέρονται τα δεδομένα»)· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί θεωρείται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε προσδιοριστικό στοιχείο όπως όνομα, αριθμός ταυτότητας, δεδομένα χώρου, μοναδικό αναγνωριστικό ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την ταυτότητα του προσώπου αυτού από άποψη φυσική, βιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ή από την άποψη του φύλου·

2α)  «ψευδώνυμα δεδομένα»: τα προσωπικά δεδομένα τα οποία δεν μπορούν να αποδοθούν σε ένα συγκεκριμένο πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς τη χρήση πρόσθετων πληροφοριών, εφόσον οι πρόσθετες αυτές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για την να διασφαλιστεί ότι δεν μπορούν να αποδοθούν·

2β)  «κρυπτογραφημένα δεδομένα»: προσωπικά δεδομένα που, μέσω τεχνολογικών μέτρων προστασίας, καθίστανται ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά·

3)  «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, η διαγραφή ή η καταστροφή·

3α)  «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών πτυχών σχετικά με ένα φυσικό πρόσωπο ή στην ανάλυση ή πρόβλεψη, ιδίως των εργασιακών επιδόσεων, της οικονομικής κατάστασης, του τόπου διαμονής, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του εν λόγω φυσικού προσώπου·

4)  «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

5)  «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους, τις προϋποθέσεις και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι, οι προϋποθέσεις και ο τρόπος της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

6)  «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

7)  «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

7α)  «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας, με εξαίρεση το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος της επεξεργασίας, ο εκτελών την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα·

8)  «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα»: κάθε δήλωση βουλήσεως, ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·

9)  «παραβίαση προσωπικών δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

10)  «γενετικά δεδομένα»: όλα τα προσωπικά δεδομένα , οποιουδήποτε τύπου, τα οποία αφορούν που σχετίζονται με τα γενετικά τα χαρακτηριστικά φυσικού προσώπου που κληρονομούνται ή αποκτώνται κατά την αρχική προγεννητική ανάπτυξη τα οποία κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν από ανάλυση βιολογικού δείγματος του εν λόγω προσώπου, ιδίως μέσω χρωμοσωμικής ανάλυσης, ανάλυσης δεσοξυριβοζονουκλεϊνικού οξέος (DNA) ή ριβονουκλεϊκού οξέος (RNA) ή ανάλυσης οποιουδήποτε άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών·

11)  «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα προσωπικού χαρακτήρα σχετίζονται με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

12)  «δεδομένα που αφορούν την υγεία»: κάθε πληροφορία που σχετίζεται οιαδήποτε δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός προσώπου ή με την παροχή υγειονομικής περίθαλψης στο φυσικό πρόσωπο·

13)  «κύρια εγκατάσταση»: όσον αφορά τον υπεύθυνο επεξεργασίας, ο τόπος της εγκατάστασής του ο τόπος της εγκατάστασης της επιχείρησης ή του ομίλου επιχειρήσεων στην Ένωση, είτε πρόκειται για υπεύθυνο επεξεργασίας είτε για εκτελούντα την επεξεργασία, όπου λαμβάνονται οι βασικές αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα· εάν δεν λαμβάνονται αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, κύρια εγκατάσταση είναι ο τόπος στον οποίο εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων υπευθύνου επεξεργασίας σε εγκατάσταση στην Ένωση. Όσον αφορά τον εκτελούντα την επεξεργασία, «κύρια εγκατάσταση» είναι ο τόπος της κεντρικής διοίκησής του στην Ένωση· Μεταξύ άλλων μπορούν να λαμβάνονται υπόψη τα ακόλουθα αντικειμενικά κριτήρια: η έδρα του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία· ο τόπος της οντότητας του ομίλου επιχειρήσεων η οποία βρίσκεται στην καταλληλότερη θέση από άποψη διοικητικών καθηκόντων και διαχειριστικών αρμοδιοτήτων για να ασχοληθεί και να επιβάλει τους κανόνες που ορίζονται στον παρόντα κανονισμό· ο τόπος όπου ασκούνται ουσιαστικές και πραγματικές διοικητικές δραστηριότητες οι οποίες καθορίζουν την επεξεργασία δεδομένων μέσω σταθερών ρυθμίσεων.

14)  «εκπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκαταστημένο στην Ένωση, το οποίο ορίζεται ρητώς από τον υπεύθυνο επεξεργασίας και ενεργεί αντί του υπευθύνου επεξεργασίας, και στο οποίο μπορούν να απευθυνθούν κάθε αρχή ελέγχου και άλλοι φορείς στην Ένωση αντί του υπευθύνου εκπροσωπεί τον υπεύθυνο επεξεργασίας, σε σχέση με τις υποχρεώσεις του υπευθύνου επεξεργασίας οι οποίες απορρέουν από τον παρόντα κανονισμό·

15)  «επιχείρηση»: κάθε οντότητα η οποία ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τον νομικό της τύπο, συμπεριλαμβανομένων, κυρίως, των φυσικών και νομικών προσώπων, των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·

16)  «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·

17)  «δεσμευτικοί εταιρικοί κανόνες»: εσωτερικοί κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα τους οποίους εφαρμόζει ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία εγκαταστημένος στο έδαφος κράτους μέλους της Ένωσης για διαβιβάσεις ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός του ομίλου επιχειρήσεων·

18)  «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

19)  «αρχή ελέγχου»: δημόσια αρχή την οποία συστήνει ένα κράτος μέλος σύμφωνα με το άρθρο 46. [Τροπολογία 98]

ΚΕΦΑΛΑΙΟ II

ΑΡΧΕΣ

Άρθρο 5

Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α)  να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (νομιμότητα, αντικειμενικότητα και διαφάνεια)·

β)  να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς (περιορισμός σκοπού)·

γ)  να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· υποβάλλονται σε επεξεργασία μόνον εάν και εφόσον οι σκοποί δεν μπορούν να επιτευχθούν μέσω επεξεργασίας πληροφοριών οι οποίες δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα (ελαχιστοποίηση δεδομένων)·

δ)  να είναι ακριβή και, όταν είναι αναγκαίο, ενημερώνονται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση (ακρίβεια)·

ε)  να διατηρούνται υπό μορφή που επιτρέπει τον άμεσο ή έμμεσο προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα αυτά υποβάλλονται σε επεξεργασία· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερο χρονικό διάστημα, εφόσον θα υποβληθούν σε επεξεργασία μόνον για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας ή για σκοπούς αρχειοθέτησης σύμφωνα με τους κανόνες και τις προϋποθέσεις που προβλέπονται στο άρθρο στα άρθρα 83 και 83α και εφόσον διενεργείται περιοδική επανεξέταση για να αξιολογηθεί η αναγκαιότητα συνέχισης της αποθήκευσης, και, κατά περίπτωση, εφαρμόζονται τεχνικά και οργανωτικά μέτρα για τον περιορισμό της πρόσβασης στα δεδομένα μόνο για τους σκοπούς αυτούς (ελαχιστοποίηση της αποθήκευσης)·

εα)  υποβάλλονται σε τέτοιου είδους επεξεργασία ώστε να δίνεται ουσιαστικά στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα η δυνατότητα να ασκεί τα δικαιώματά του (αποτελεσματικότητα)·

εβ)  υποβάλλονται σε τέτοιου είδους επεξεργασία ώστε να προστατεύονται από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (ακεραιότητα)·

στ)  να υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει και είναι σε θέση να αποδεικνύει για κάθε πράξη επεξεργασίας τη συμμόρφωση προς τις διατάξεις του παρόντος κανονισμού (λογοδοσία). [Τροπολογία 99]

Άρθρο 6

Νομιμότητα της επεξεργασίας

1.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε συγκατάθεση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για έναν ή περισσότερους ειδικούς σκοπούς·

β)  η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του·

γ)  η επεξεργασία είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας·

δ)  η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα·

ε)  η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος δημόσιου συμφέροντος ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας·

στ)  η επεξεργασία είναι απαραίτητη για την επίτευξη του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας, ή, σε περίπτωση κοινοποίησης των δεδομένων, ο τρίτος στον οποίο διαβιβάζονται αυτά, και ο οποίος ανταποκρίνεται στις θεμιτές προσδοκίες του προσώπου στο οποίο αναφέρονται τα δεδομένα βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας, υπό τον όρο ότι δεν προέχουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας, ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί. Αυτό δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας είναι σύννομη με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83.

3.  Η βάση της επεξεργασίας που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) πρέπει να προβλέπεται:

α)  στο δίκαιο της Ένωσης, ή

β)  στη νομοθεσία του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

Η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος ή να είναι αναγκαία για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο. Εντός των ορίων του παρόντος κανονισμού, η νομοθεσία των κρατών μελλών πρέπει να παρέχει στοιχεία που θα προσδιορίζουν τη νομιμότητα της επεξεργασίας, ιδίως σε σχέση με τους υπεύθυνους επεξεργασίας, τον σκοπό της επεξεργασίας και τον περιορισμό του σκοπού, τη φύση των δεδομένων και τα πρόσωπα στα οποία αυτά αναφέρονται, τα μέτρα και τις διαδικασίες επεξεργασίας, τους αποδέκτες, καθώς και τη διάρκεια της αποθήκευσης.

4.  Εάν ο σκοπός της περαιτέρω επεξεργασίας δεν είναι συμβατός με εκείνον για τον οποίο συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, η επεξεργασία πρέπει να βασίζεται τουλάχιστον σε έναν από τους λόγους που αναφέρονται στην παράγραφο 1 στοιχεία α) έως ε). Αυτό ισχύει ειδικότερα σε οποιαδήποτε αλλαγή όρων και γενικών προϋποθέσεων μιας σύμβασης.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των προϋποθέσεων που αναφέρονται στην παράγραφο 1 στοιχείο στ) σε διάφορους τομείς και καταστάσεις επεξεργασίας, μεταξύ άλλων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά. [Τροπολογία 100]

Άρθρο 7

Προϋποθέσεις συγκατάθεσης

1.  Εάν η επεξεργασία διενεργείται κατόπιν συγκατάθεσης, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης όσον αφορά την παροχή της συγκατάθεσης του προσώπου στο οποίο αναφέρονται τα δεδομένα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για συγκεκριμένους σκοπούς.

2.  Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα παρέχεται στο πλαίσιο έγγραφης δήλωσης η οποία αφορά και άλλο θέμα, η απαίτηση παροχής συγκατάθεσης πρέπει να είναι σαφώς διακριτή σε σχέση με το εν λόγω άλλο θέμα. Διατάξεις σχετικά με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα οι οποίες συνιστούν μερική παραβίαση του παρόντος κανονισμού είναι πλήρως άκυρες.

3.  Με την επιφύλαξη άλλων νομικών λόγων για την επεξεργασία των δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή. Η απόσυρση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίσθηκε στη συγκατάθεση προ της απόσυρσής της. Η απόσυρση της συγκατάθεσης πρέπει να είναι εξίσου απλή με τη χορήγησή της. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενημερώνεται από τον υπεύθυνο επεξεργασίας εάν η απόσυρση της συγκατάθεσης μπορεί να έχει ως αποτέλεσμα τη μη συνέχιση των παρεχόμενων υπηρεσιών ή τη λήξη της σχέσης με τον υπεύθυνο επεξεργασίας.

4.  Η συγκατάθεση δεν παρέχει νομική βάση για την επεξεργασία, εάν υπάρχει σημαντική ανισορροπία μεταξύ της θέσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας έχει ειδικό σκοπό και παύει να ισχύει όταν δεν υφίσταται πλέον ο σκοπός ή όταν η επεξεργασία των δεδομένω προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητη για την επιδίωξη του σκοπού για τον οποίον συνελέγησαν αρχικά τα δεδομένα. Η εκτέλεση μιας σύμβασης ή η παροχή μιας υπηρεσίας δεν εξαρτάται από τη συγκατάθεση στην επεξεργασία ή τη χρήση δεδομένων τα οποία, δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο β), δεν είναι αναγκαία για την εκτέλεση της σύμβασης ή την παροχή της υπηρεσίας. [Τροπολογία 101]

Άρθρο 8

Επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού

1.  Για τους σκοπούς του παρόντος κανονισμού, σε σχέση με την προσφορά αγαθών ή υπηρεσιών της κοινωνίας της πληροφορίας απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω των 13 ετών είναι σύννομη μόνον εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα ή τον νόμιμο κηδεμόνα του παιδιού. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να εξασφαλίσει επαληθεύσιμη επαληθεύσει τη συγκατάθεση αυτή, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, χωρίς να προκληθεί μια περιττή κατά τα λοιπά επεξεργασία προσωπικών δεδομένων.

1α.  Οι πληροφορίες που παρέχονται σε παιδιά, γονείς και νόμιμους κηδεμόνες προκειμένου να δοθεί συγκατάθεση συμπεριλαμβανομένων και των πληροφοριών σχετικά με τη συλλογή και χρήση προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας, θα πρέπει να παρέχονται σε γλώσσα σαφή και κατάλληλη για εκείνον προς τον οποίον απευθύνεται.

2.  Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί κύρους, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδώσει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές όσον αφορά τις μεθόδους εξασφάλισης της επαληθεύσιμης επαλήθευσης της συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1, σύμφωνα με το άρθρο 66. Για τον σκοπό αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για πολύ μικρές, μικρές και μεσαίες επιχειρήσεις.

4.  Η Επιτροπή μπορεί να θεσπίσει πρότυπα έντυπα για ειδικές μεθόδους για την εξασφάλιση της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 102]

Άρθρο 9

Επεξεργασία ειδικών κατηγοριών Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

1.  Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις, σεξουαλικό προσανατολισμό ή ταυτότητα φύλου, τη συμμετοχή σε συνδικαλιστική οργάνωση και συνδικαλιστικές δραστηριότητες, καθώς και η επεξεργασία γενετικών ή βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή ή, διοικητικές κυρώσεις, δικαστικές αποφάσεις, ποινικά αδικήματα ή εικαζόμενα αδικήματα, ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας.

2.  Η παράγραφος 1 δεν εφαρμόζεται εάν αν εφαρμόζεται μία από τις ακόλουθες διαδικασίες:

α)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην επεξεργασία των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους ειδικούς σκοπούς, σύμφωνα με τις προϋποθέσεις που προβλέπονται στα άρθρα 7 και 8, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή

αα)  η επεξεργασία είναι απαραίτητη για την εφαρμογή ή εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων έπειτα από αίτημα του εν λόγω προσώπου· ή

β)  η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση ειδικών δικαιωμάτων του υπευθύνου επεξεργασίας στον τομέα του εργατικού δικαίου, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή από το δίκαιο κράτους μέλους ή από συλλογικές συμβάσεις προβλέποντας κατάλληλες εγγυήσεις για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, όπως του δικαιώματος στη μη διακριτική μεταχείριση, με την επιφύλαξη των προϋποθέσεων και εγγυήσεων του άρθρου 82· ή

γ)  η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί, για φυσικούς ή νομικούς λόγους, να παράσχει τη συγκατάθεσή του· ή

δ)  η επεξεργασία διεξάγεται στο πλαίσιο των νόμιμων δραστηριοτήτων, με κατάλληλες εγγυήσεις, ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των προσώπων στα οποία αναφέρονται· ή

ε)  η επεξεργασία αφορά προσωπικά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται· ή

στ)  η επεξεργασία είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

ζ)  η επεξεργασία είναι απαραίτητη για την άσκηση καθήκοντος που ασκείται για λόγους υπέρτερου δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

η)  η επεξεργασία δεδομένων που αφορούν την υγεία είναι απαραίτητη για σκοπούς υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 81· ή

θ)  η επεξεργασία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83· ή

θα)  η επεξεργασία είναι απαραίτητη για τις υπηρεσίες αρχείων, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83α· ή

ι)  η επεξεργασία δεδομένων που αφορούν διοικητικές κυρώσεις, δικαστικές αποφάσεις, ποινικά αδικήματα, ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας διενεργείται υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση προς νομική ή κανονιστική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που ασκείται για σημαντικούς λόγους δημόσιου συμφέροντος, και στον βαθμό που επιτρέπεται από το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις. Πλήρες μητρώο για τα θεμελιώδη δικαιώματα και τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα. Μητρώα ποινικών καταδικών τηρείται τηρούνται μόνον υπό τον έλεγχο επίσημης αρχής.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων, των προϋποθέσεων και των κατάλληλων εγγυήσεων Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 και των εξαιρέσεων που προβλέπονται στην παράγραφο 2, σύμφωνα με το άρθρο 66. [Τροπολογία 103]

Άρθρο 10

Επεξεργασία η οποία δεν επιτρέπει την εξακρίβωση της ταυτότητας

1.  Εάν τα δεδομένα που υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να εξακριβώσει ή στον εκτελούντα την επεξεργασία να εξακριβώσουν άμεσα ή έμμεσα την ταυτότητα ενός φυσικού προσώπου ή αφορούν αποκλειστικά δεδομένα που σχετίζονται με ψευδώνυμα, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα ή δεν υποχρεούται να λαμβάνει πρόσθετες πληροφορίες προκειμένου να προσδιορίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον αποκλειστικό σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

2.  Εάν ο υπεύθυνος επεξεργασίας των δεδομένων δεν μπορεί να τηρήσει μια διάταξη του παρόντος κανονισμού λόγω της παραγράφου 1, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να τηρήσει τη συγκεκριμένη αυτή διάταξη του παρόντος κανονισμού. Εάν ο υπεύθυνος επεξεργασίας των δεδομένων δεν μπορεί ανταποκριθεί προς ένα αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα, ενημερώνει σχετικά το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 104]

Άρθρο 10α

Γενικές αρχές που διέπουν τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα

1.  Τη βάση της προστασίας δεδομένων αποτελούν σαφή και συγκεκριμένα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τα οποία πρέπει να γίνονται σεβαστά από τον υπεύθυνο της επεξεργασίας των δεδομένων. Οι διατάξεις του παρόντος κανονισμού αποσκοπούν στην ενίσχυση, στην αποσαφήνιση, στη διασφάλιση και, ενδεχομένως, στην κωδικοποίηση των εν λόγω δικαιωμάτων.

2.  Στα δικαιώματα αυτά περιλαμβάνονται, μεταξύ άλλων, η παροχή σαφών και εύληπτων πληροφοριών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής των δεδομένων, το δικαίωμα λήψης δεδομένων, το δικαίωμα αντίταξης στην κατάρτιση προφίλ, το δικαίωμα υποβολής καταγγελίας στην αρμόδια αρχή προστασίας δεδομένων και το δικαίωμα δικαστικής προσφυγής καθώς και το δικαίωμα σε αποζημίωση για ζημία που προκλήθηκε από παράνομη επεξεργασία. Τα εν λόγω δικαιώματα ασκούνται κατά βάση ατελώς. Ο υπεύθυνος επεξεργασίας απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός εύλογης προθεσμίας. [Τροπολογία 105]

ΚΕΦΑΛΑΙΟ III

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ

ΤΜΗΜΑ 1

ΔΙΑΦΑΝΕΙΑ ΚΑΙ ΤΡΟΠΟΙ ΑΣΚΗΣΗΣ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ

Άρθρο 11

Διαφανής ενημέρωση και κοινοποίηση

1.  Ο υπεύθυνος επεξεργασίας διαθέτει συνεκτικές, διαφανείς, σαφείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

2.  Ο υπεύθυνος επεξεργασίας θέτει στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα κάθε πληροφορία και γνωστοποίηση σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, προσαρμοσμένη στο συγκεκριμένο πρόσωπο, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. [Τροπολογία 106]

Άρθρο 12

Διαδικασίες και μηχανισμοί για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Ο υπεύθυνος επεξεργασίας θεσπίζει διαδικασίες για την παροχή των πληροφοριών που αναφέρονται στο άρθρο 14 και για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα που προβλέπονται στο άρθρο 13 και στα άρθρα 15 έως 19. Ο υπεύθυνος επεξεργασίας προβλέπει ειδικότερα μηχανισμούς για τη διευκόλυνση υποβολής του αιτήματος για τις ενέργειες που αναφέρονται στο άρθρο 13 και στα άρθρα 15 έως 19. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας προβλέπει επίσης μέσα για την, κατά το δυνατόν, υποβολή των αιτημάτων με ηλεκτρονικό τρόπο.

2.  Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς καθυστέρηση αμελλητί, και το αργότερο εντός ενός μηνός 40 ημερολογιακών ημερών από την παραλαβή του αιτήματος, για το κατά πόσον έχει αναληφθεί οποιαδήποτε ενέργεια σύμφωνα με το άρθρο 13 και τα άρθρα 15 έως 19 και παρέχει τις πληροφορίες που ζητήθηκαν. Η προθεσμία αυτή μπορεί να παραταθεί για έναν ακόμη μήνα, εάν περισσότερα πρόσωπα στα οποία αναφέρονται τα δεδομένα ασκήσουν τα δικαιώματά τους και η συνεργασία τους είναι απαραίτητη σε εύλογο βαθμό για την αποφυγή αδικαιολόγητων και δυσανάλογων προσπαθειών εκ μέρους του υπευθύνου επεξεργασίας. Η ενημέρωση παρέχεται εγγράφως και ο υπεύθυνος επεξεργασίας μπορεί, κατά το δυνατόν, να παρέχει πρόσβαση εξ αποστάσεως σε ασφαλές σύστημα μέσω του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποκτά άμεση πρόσβαση στα δεδομένα που το αφορούν. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή, οσάκις αυτό είναι εφικτόεκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

3.  Εάν ο υπεύθυνος επεξεργασίας αρνείται παραλείπει να ενεργήσει επί του αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την άρνηση παράλειψη αυτή καθώς και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και άσκησης δικαστικής προσφυγής.

4.  Η ενημέρωση και οι ενέργειες που εκτελούνται επί των αιτημάτων που αναφέρονται στην παράγραφο 1 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου ευλόγου τέλους λαμβάνοντας υπόψη τις διοικητικές δαπάνες για την παροχή της ενημέρωσης ή για την εκτέλεση της ζητούμενης ενέργειας, ή ο υπεύθυνος επεξεργασίας μπορεί να μην εκτελέσει τη ζητούμενη ενέργεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τα τέλη που αναφέρονται στην παράγραφο 4.

6.  Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα και να προσδιορίσει τυποποιημένες διαδικασίες για την ενημέρωση που προβλέπεται στην παράγραφο 2, συμπεριλαμβανομένου του ηλεκτρονικού μορφοτύπου. Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 107]

Άρθρο 13

Δικαιώματα σε σχέση με αποδέκτες Υποχρέωση γνωστοποίησης σε περίπτωση διόρθωσης και διαγραφής

Ο υπεύθυνος επεξεργασίας κοινοποιεί κάθε διόρθωση ή διαγραφή η οποία διενεργείται σύμφωνα με τα άρθρα 16 και 17 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν διαβιβάστηκαν τα δεδομένα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 108]

Άρθρο 13α

Τυποποιημένες πολιτικές πληροφόρησης

1.  Σε περίπτωση συλλογής δεδομένων προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο αυτό, πριν από την παροχή των πληροφοριών σύμφωνα με το άρθρο 14, για τα εξής:

α)  εάν συλλέγονται περισσότερα δεδομένα προσωπικού χαρακτήρα απ' ό,τι απαιτεί ο συγκεκριμένος σκοπός της επεξεργασίας·

β)  εάν διατηρούνται περισσότερα δεδομένα προσωπικού χαρακτήρα απ' ό,τι απαιτεί ο συγκεκριμένος σκοπός της επεξεργασίας·

γ)  εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς άλλους από αυτούς για τους οποίους συλλέχθηκαν·

δ)  εάν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται σε τρίτους για εμπορικούς σκοπούς·

ε)  εάν τα δεδομένα προσωπικού χαρακτήρα πωλούνται ή εκμισθώνονται·

στ)  εάν τα δεδομένα προσωπικού χαρακτήρα διατηρούνται σε κρυπτογραφημένη μορφή.

2.  Τα στοιχεία που αναφέρονται στην παράγραφο 1 παρουσιάζονται σύμφωνα με το παράρτημα του παρόντος κανονισμού σε μορφή πίνακα, με τη χρήση κειμένου και συμβόλων, η οποία περιλαμβάνει τις ακόλουθες τρεις στήλες:

α)  στην πρώτη στήλη απεικονίζονται γραφήματα που συμβολίζουν τα στοιχεία αυτά·

β)  στη δεύτερη στήλη παρέχονται σημαντικές πληροφορίες που περιγράφουν τα στοιχεία·

γ)  στην τρίτη στήλη απεικονίζονται γραφήματα που υποδεικνύουν εάν το συγκεκριμένο στοιχείο είναι ακριβές.

3.  Οι πληροφορίες που αναφέρονται στις παραγράφους 1 και 2 παρουσιάζονται με ευδιάκριτο και ευανάγνωστο τρόπο και διατυπώνονται σε γλώσσα εύκολα κατανοητή από τους καταναλωτές στα κράτη μέλη στους οποίους απευθύνονται οι πληροφορίες. Εάν τα στοιχεία διατίθενται ηλεκτρονικά, πρέπει να είναι μηχαναγνώσιμα.

4.  Πρόσθετα στοιχεία δεν παρέχονται. Λεπτομερείς επεξηγήσεις ή περαιτέρω παρατηρήσεις σχετικά με τα στοιχεία που αναφέρονται στην παράγραφο 1 μπορούν να διατεθούν μαζί με άλλες απαιτήσεις πληροφόρησης σύμφωνα με το άρθρο 14.

5.  Η Επιτροπή, αφού προηγουμένως ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον ακριβέστερο προσδιορισμό των στοιχείων της παραγράφου 1 και του τρόπου παρουσίασής τους σύμφωνα με την παράγραφο 2 και το παράρτημα του παρόντος κανονισμού. [Τροπολογία 109]

ΤΜΗΜΑ 2

ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΠΡΟΣΒΑΣΗ ΣΤΑ ΔΕΔΟΜΕΝΑ

Άρθρο 14

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.  Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας παρέχει μετά τη διάθεση των στοιχείων σύμφωνα με το άρθρο 13α στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τουλάχιστον τις ακόλουθες πληροφορίες:

α)  την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, ενδεχομένως, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

β)  τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και πληροφορίες σχετικά με την ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συμβατικών όρων και των γενικών προϋποθέσεων, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο β), και των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο , κατά περίπτωση, πληροφορίες σχετικά με τον τρόπο εφαρμογής και τήρησης των απαιτήσεων του άρθρου 6 παράγραφος 1 στοιχείο στ)·

γ)  το χρονικό διάστημα για το οποίο θα αποθηκευθούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·

δ)  την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία ή την απόκτηση των εν λόγω δεδομένων προσωπικού χαρακτήρα·

ε)  το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

στ)  τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

ζ)  όπου συντρέχει περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει τα δεδομένα σε τρίτη χώρα ή διεθνή οργανισμό και το επίπεδο προστασίας που παρέχει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός διά παραπομπής σε απόφαση την ύπαρξη ή την απουσία απόφασης περί επάρκειας της Επιτροπής, ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 42 ή 43, την παραπομπή στις κατάλληλες εγγυήσεις και στα μέσα για να αποκτηθεί αντίγραφό τους·

ζα)  κατά περίπτωση, ενημέρωση για την κατάρτιση προφίλ, για τα μέτρα που βασίζονται στην κατάρτιση προφίλ, και για τις προβλεπόμενες συνέπειες της κατάρτισης προφίλ για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα·

ζβ)  χρήσιμες πληροφορίες σχετικά με τη λογική που διέπει κάθε αυτοματοποιημένη επεξεργασία·

η)  κάθε περαιτέρω απαραίτητη πληροφορία που είναι απαραίτητη προκειμένου να διασφαλίζεται θεμιτή επεξεργασία έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες συλλέγονται ή υποβάλλονται τα δεδομένα προσωπικού χαρακτήρα, συγκεκριμένα την ύπαρξη ορισμένων πράξεων και δραστηριοτήτων επεξεργασίας των δεδομένων για τις οποίες, στο πλαίσιο μίας εκτίμησης επιπτώσεων από την προστασία δεδομένων προσωπικού χαρακτήρα, έχει διαπιστωθεί ότι μπορεί να ενέχουν υψηλό κίνδυνο·

ηα)  κατά περίπτωση, πληροφορίες σχετικά με το αν τους τελευταίους δώδεκα μήνες διαβιβάστηκαν δεδομένα σε δημόσιες αρχές.

2.  Εάν τα δεδομένα προσωπικού χαρακτήρα χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, για το κατά πόσον η χορήγηση δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή εθελοντική προαιρετική, καθώς και για τις ενδεχόμενες συνέπειες της μη χορήγησης τέτοιων δεδομένων.

2α.   Κατά την απόφασή τους σχετικά με την κοινοποίηση περαιτέρω πληροφοριών που είναι αναγκαίες για να είναι θεμιτή η επεξεργασία βάσει της παραγράφου 1 στοιχείο η), οι υπεύθυνοι επεξεργασίας λαμβάνουν υπόψη τις σχετικές κατευθυντήριες γραμμές του άρθρου 34.

3.  Εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, σχετικά με την πηγή από την οποία προέρχονται τα εν λόγω συγκεκριμένα δεδομένα. Εάν τα δεδομένα προσωπικού χαρακτήρα προέρχονται από πηγή διαθέσιμη στο κοινό, μπορεί να γίνει μια γενική αναφορά.

4.  Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3:

α)  κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή, εάν αυτό δεν είναι εφικτό, χωρίς αδικαιολόγητη καθυστέρηση· ή

αα)  κατόπιν αιτήματος ενός φορέα, ενός οργανισμού ή μιας οργάνωσης, όπως αναφέρονται στο άρθρο 73·

β)  εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, ή, εάν προβλέπεται γνωστοποίηση διαβίβαση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά το αργότερο όταν τα δεδομένα διαβιβάζονται για πρώτη φορά, ή, εάν τα δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται, το αργότερο κατά την πρώτη επικοινωνία με το πρόσωπο αυτό· ή

βα)  μόνο μετά από αίτημα, εάν τα δεδομένα υποβάλλονται σε επεξεργασία από μικρή ή πολύ μικρή επιχείρηση, η οποία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο ως παρεπόμενη δραστηριότητα.

5.  Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν:

α)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3· ή

β)  τα δεδομένα υποβάλλονται σε επεξεργασία για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας με την επιφύλαξη των προϋποθέσεων και εγγυήσεων των άρθρων 81 και 83, δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών αποδεικνύεται ανέφικτη ή συνεπάγεται δυσανάλογη προσπάθεια και ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τις πληροφορίες ώστε να είναι διαθέσιμες προς όλους· ή

γ)  τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η καταχώριση ή η γνωστοποίηση προβλέπονται ρητώς διά νόμου στον οποίον υπάγεται ο υπεύθυνος επεξεργασίας και ο οποίος προβλέπει κατάλληλα μέτρα για την προστασία των εννόμων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, λαμβάνοντας υπόψη τους κινδύνους που εγκυμονεί η επεξεργασία και η φύση των προσωπικών δεδομένων· ή

δ)  τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών θίγει τα δικαιώματα και τις ελευθερίες τρίτων άλλων φυσικών προσώπων, όπως ορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους σύμφωνα με το άρθρο 21· ή

δα)  τα δεδομένα έτυχαν επεξεργασίας κατά την άσκηση του επαγγέλματός του ή έχουν κοινοποιηθεί εμπιστευτικά σε πρόσωπο που υπόκειται σε καθεστώς εμπορικού απορρήτου που ρυθμίζεται από το ενωσιακό ή το εθνικό δίκαιο ή από νομικά προβλεπόμενη υποχρέωση εχεμύθειας, εκτός εάν τα δεδομένα χορηγούνται από το ίδιο το πρόσωπο στο οποίο αναφέρονται.

6.  Για την περίπτωση που αναφέρεται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας προβλέπει κατάλληλα μέτρα για την προστασία των δικαιωμάτων ή των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

7.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων σχετικά με τις κατηγορίες αποδεκτών που αναφέρονται στην παράγραφο 1 στοιχείο στ), της υποχρέωσης ενημέρωσης σχετικά με τις δυνατότητες πρόσβασης που προβλέπονται στην παράγραφο 1 στοιχείο ζ), των κριτηρίων για τις περαιτέρω απαραίτητες πληροφορίες που προβλέπονται στην παράγραφο 1 στοιχείο η) για συγκεκριμένους τομείς και καταστάσεις, και των προϋποθέσεων και κατάλληλων εγγυήσεων για τις εξαιρέσεις που προβλέπονται στην παράγραφο 5 στοιχείο β). Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

8.  Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα για την παροχή των πληροφοριών που αναφέρονται στις παραγράφους 1 έως 3, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων, εφόσον απαιτείται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 110]

Άρθρο 15

Δικαίωμα πρόσβασης του προσώπου και απόκτησης δεδομένων από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1.  Με την επιφύλαξη του άρθρου 12 παράγραφος 4, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει, ανά πάσα στιγμή, κατόπιν αιτήματος, από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει, καθώς και τις ακόλουθες πληροφορίες σε σαφή και κατανοητή γλώσσα:

α)  τους σκοπούς της επεξεργασίας κάθε κατηγορίας δεδομένων προσωπικού χαρακτήρα·

β)  τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

γ)  τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως σε αποδέκτες συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες·

δ)  το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·

ε)  την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

στ)  το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

ζ)  τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους·

η)  τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον στην περίπτωση των μέτρων που αναφέρονται στο άρθρο 20·

ηα)  χρήσιμες πληροφορίες σχετικά με τη λογική που διέπει κάθε αυτοματοποιημένη επεξεργασία·

ηβ)  τηρουμένου του άρθρου 21, σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε δημόσια αρχή συνεπεία αιτήματος της δημόσιας αρχής, επιβεβαίωση του γεγονότος ότι το αίτημα έχει υποβληθεί.

2.  Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή ηλεκτρονικό και δομημένο μορφότυπο, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό. Με την επιφύλαξη του άρθρου 10, ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα προκειμένου να διαπιστώσει ότι το πρόσωπο που ζητεί πρόσβαση στα δεδομένα είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2α.  Όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει παράσχει δεδομένα προσωπικού χαρακτήρα και εάν αυτά υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίσει από τον υπεύθυνο επεξεργασίας αντίγραφο των παρασχεθέντων δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονικό και διαλειτουργικό μορφότυπο συνήθους χρήσης, το οποίο μπορεί να χρησιμοποιεί, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας από τον οποίο αφαιρέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Όπου είναι τεχνικά εφικτό και εφόσον διατίθενται, τα δεδομένα, κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, διαβιβάζονται απευθείας από υπεύθυνο επεξεργασίας σε υπεύθυνο επεξεργασίας.

2β.  Το παρόν άρθρο εφαρμόζεται με την επιφύλαξη της υποχρέωσης διαγραφής των δεδομένων που δεν είναι πλέον απαραίτητα σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο ε).

2γ.  Δεν προβλέπεται δικαίωμα πρόσβασης σύμφωνα με τις παραγράφους 1 και 2 όσον αφορά τα δεδομένα κατά την έννοια του άρθρου 14 παράγραφος 5 στοιχείο δα), εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει εξουσιοδότηση να άρει το εν λόγω απόρρητο και ενεργεί αναλόγως.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα του περιεχομένου των δεδομένων αυτών που αναφέρονται στην παράγραφο 1 στοιχείο ζ).

4.  Η Επιτροπή μπορεί να προσδιορίσει τυποποιημένα έντυπα και διαδικασίες για την υποβολή αιτήματος πρόσβασης και τη χορήγηση πρόσβασης στις πληροφορίες που αναφέρονται στην παράγραφο 1, μεταξύ άλλων για την επαλήθευση της ταυτότητας του προσώπου στο οποίο αναφέρονται τα δεδομένα και για τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο συγκεκριμένο πρόσωπο, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 111]

ΤΜΗΜΑ 3

ΔΙΟΡΘΩΣΗ ΚΑΙ ΔΙΑΓΡΑΦΗ

Άρθρο 16

Δικαίωμα διόρθωσης

Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση δεδομένων προσωπικού χαρακτήρα που το αφορούν τα οποία είναι ανακριβή. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων παρέχοντας πρόσθετη διορθωτική δήλωση.

Άρθρο 17

Δικαίωμα διαγραφής των φυσικών προσώπων «να λησμονηθούν» και δικαίωμα διαγραφής

1.  Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και τη μη περαιτέρω διάδοση των εν λόγω δεδομένων, ιδίως σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία διατέθηκαν από το συγκεκριμένο πρόσωπο κατά την παιδική του ηλικία και να ζητήσει από τρίτους τη διαγραφή τυχόν παραπομπών στα συγκεκριμένα δεδομένα ή αντιγράφων ή αναπαραγωγής τους, εάν συντρέχει ένας από τους ακόλουθους λόγους:

α)  τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία·

β)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α), ή εάν το χρονικό διάστημα αποθήκευσης για το οποίο παρασχέθηκε συγκατάθεση έληξε, και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων·

γ)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19·

γα)  δικαστήριο ή ρυθμιστική αρχή που εδρεύει στην Ένωση έχει αποφανθεί τελεσίδικα ότι τα σχετικά δεδομένα πρέπει να διαγραφούν·

δ)  η επεξεργασία των δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό για άλλους λόγους τα δεδομένα υπέστησαν παράνομη επεξεργασία.

1α.  Η εφαρμογή της παραγράφου 1 εξαρτάται από την ικανότητα του υπευθύνου επεξεργασίας δεδομένων να εξακριβώσει ότι το πρόσωπο που ζητεί τη διαγραφή είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2.  Εάν ο υπεύθυνος επεξεργασίας που αναφέρεται στην παράγραφο 1, διαβίβασε ή δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα, οφείλει να λάβει χωρίς αιτιολόγηση βάσει του άρθρου 6 παράγραφος 1, λαμβάνει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων αρμόδιος είναι ο υπεύθυνος επεξεργασίας για να ενημερώσει τρίτους οι οποίοι επεξεργάζονται τα εν λόγω δεδομένα ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί να διαγραφούν τυχόν σύνδεσμοι ή αντίγραφα ή αναπαραγωγές των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας επέτρεψε τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας θεωρείται υπεύθυνος για τη συγκεκριμένη δημοσίευση για τη διαγραφή των δεδομένων, με την επιφύλαξη του άρθρου 77 και σε σχέση με τρίτους. Ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει, κατά το δυνατόν, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τη συνέχεια που δόθηκε από τους εν λόγω τρίτους.

3.  Ο υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο τρίτος, εκτελεί τη διαγραφή χωρίς καθυστέρηση, εκτός εάν η διατήρηση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη:

α)  για την άσκηση του δικαιώματος ελευθερίας της έκφρασης σύμφωνα με το άρθρο 80·

β)  για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 81·

γ)  για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς ιστορικής έρευνας σύμφωνα με το άρθρο 83·

δ)  για την τήρηση εκ του νόμου υποχρεώσεως διατήρησης των δεδομένων προσωπικού χαρακτήρα την οποία υπέχει ο υπεύθυνος επεξεργασίας από το δίκαιο της Ένωσης ή από τη νομοθεσία κράτους μέλους στην οποία υπάγεται· η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο·

ε)  στις περιπτώσεις που αναφέρονται στην παράγραφο 4.

4.  Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα με τέτοιον τρόπο ώστε να μην εμπίπτει στις κανονικές διαδικασίες πρόσβασης και επεξεργασίας δεδομένων και να μην μπορεί πλέον να τροποποιηθεί, εάν:

α)  η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για χρονικό διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

β)  ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του καθήκοντός του, αλλά πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς·

γ)  η επεξεργασία είναι παράνομη και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους·

γα)  δικαστήριο ή ρυθμιστική αρχή που εδρεύει στην Ένωση έχει αποφανθεί τελεσίδικα ότι η σχετική επεξεργασία πρέπει να περιοριστεί·

δ)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί τη μεταφορά των δεδομένων προσωπικού χαρακτήρα σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας σύμφωνα με το άρθρο 18 15 παράγραφος 2 2α·

δα)  το συγκεκριμένο είδος της τεχνολογίας αποθήκευσης, δεν επιτρέπει τη διαγραφή και έχει εγκατασταθεί πριν από την έναρξη ισχύος του παρόντος κανονισμού.

5.  Με εξαίρεση την αποθήκευση, τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 4 μπορούν να υποβληθούν σε επεξεργασία μόνον για αποδεικτικούς σκοπούς ή με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για σκοπό δημόσιου συμφέροντος.

6.  Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται δυνάμει της παραγράφου 4, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πριν από την άρση του περιορισμού της επεξεργασίας.

7.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες που θεσπίζονται για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή/και για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων.

8.  Εάν η διαγραφή πραγματοποιηθεί, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα με κανέναν άλλον τρόπο.

8α.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες που θεσπίζονται για τη διαγραφή δεδομένων προσωπικού χαρακτήρα και/ή για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων.

9.  Η Επιτροπή, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό:

α)  των κριτηρίων και των απαιτήσεων σχετικά με την εφαρμογή της παραγράφου 1 για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων·

β)  των προϋποθέσεων για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στην παράγραφο 2·

γ)  των κριτηρίων και των προϋποθέσεων για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στην παράγραφο 4. [Τροπολογία 112]

Άρθρο 18

Δικαίωμα στη φορητότητα των δεδομένων

1.  Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να εξασφαλίσει από τον υπεύθυνο επεξεργασίας αντίγραφο των δεδομένων που υποβάλλονται σε επεξεργασία, σε ηλεκτρονικό και δομημένο μορφότυπο συνήθους χρήσης ο οποίος επιτρέπει την περαιτέρω χρήση από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2.  Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα προσωπικού χαρακτήρα και η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να μεταφέρει τα εν λόγω δεδομένα προσωπικού χαρακτήρα και κάθε άλλη πληροφορία που παρέσχε το εν λόγω πρόσωπο -και που διατηρείται από αυτοματοποιημένο σύστημα επεξεργασίας- σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας, σε ηλεκτρονικό μορφότυπο συνήθους χρήσης, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας από τον οποίο αποσύρονται τα δεδομένα προσωπικού χαρακτήρα.

3.  Η Επιτροπή μπορεί να προσδιορίσει τον ηλεκτρονικό μορφότυπο που αναφέρεται στην παράγραφο 1 και τα τεχνικά πρότυπα, τους τρόπους και τις διαδικασίες για τη μεταφορά δεδομένων προσωπικού χαρακτήρα δυνάμει της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 113]

ΤΜΗΜΑ 4

ΔΙΚΑΙΩΜΑ ΑΝΤΙΤΑΞΗΣ ΚΑΙ ΚΑΤΑΡΤΙΣΗ ΠΡΟΦΙΛ

Άρθρο 19

Δικαίωμα αντίταξης

1.  Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιτάσσεται, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχεία δ), και ε) και στ), εκτός εάν ο υπεύθυνος επεξεργασίας καταδεικνύει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.  Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται, ανά πάσα στιγμή και χωρίς περαιτέρω αιτιολόγηση, να αντιταχθεί ατελώς, γενικά ή για κάθε συγκεκριμένο σκοπό στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση. Το δικαίωμα αυτό πρέπει να παρέχεται ρητώς στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα με κατανοητό τρόπο και πρέπει να διακρίνεται σαφώς από άλλες πληροφορίες.

2α.   Το δικαίωμα που αναφέρεται στην παράγραφο 2 επισημαίνεται ρητώς στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα με κατανοητό τρόπο και σε κατανοητή μορφή, με τη χρησιμοποίηση σαφούς και απλής διατύπωσης, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά, και διακρίνεται σαφώς από άλλες πληροφορίες.

2β.  Σε συνάρτηση με τη χρησιμοποίηση υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το δικαίωμα αντίταξης μπορεί να ασκηθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν ένα τεχνικό πρότυπο που επιτρέπει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να εκφράσει σαφώς τις επιθυμίες του.

3.  Εάν η αντίταξη γίνει δεκτή δυνάμει των παραγράφων 1 και 2, ο υπεύθυνος επεξεργασίας δεν χρησιμοποιεί πλέον ούτε επεξεργάζεται άλλως πως τα σχετικά δεδομένα προσωπικού χαρακτήρα για τους σκοπούς που ορίζονται στην αντίταξη. [Τροπολογία 114]

Άρθρο 20

Μέτρα βασισμένα σε Κατάρτιση προφίλ

1.  Με την επιφύλαξη των διατάξεων του άρθρου 6, κάθε φυσικό πρόσωπο δικαιούται να μην υπάγεται σε μέτρο το οποίο παράγει έννομες συνέπειες για το συγκεκριμένο φυσικό πρόσωπο ή που το επηρεάζει σημαντικά, και το οποίο μέτρο βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το εν λόγω φυσικό πρόσωπο ή την ανάλυση ή την πρόβλεψη ειδικότερα των επιδόσεων στην εργασία, της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του αντιταχθεί στην κατάρτιση προφίλ σύμφωνα με το άρθρο 19. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενημερώνεται με απολύτως ευδιάκριτο τρόπο σχετικά με το δικαίωμα αντίταξης στην κατάρτιση προφίλ.

2.  Με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, ένα πρόσωπο μπορεί να υπάγεται σε μέτρο του είδους που αναφέρεται στην παράγραφο 1 κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που παράγουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή τα οποία επηρεάζουν εξίσου σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, μόνον εάν η επεξεργασία:

α)  πραγματοποιείται στο πλαίσιο της σύναψης ή της εκτέλεσης είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, εφόσον το αίτημα για τη σύναψη ή την εκτέλεσης της σύμβασης το οποίο υποβλήθηκε από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έγινε δεκτό ή εάν, υπό τον όρο ότι παρασχέθηκαν κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του συγκεκριμένου προσώπου, όπως το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης· ή

β)  επιτρέπεται ρητώς από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ)  βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στο άρθρο 7 και κατάλληλων εγγυήσεων.

3.  Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που αφορούν ένα φυσικό πρόσωπο Απαγορεύεται η κατάρτιση προφίλ όταν έχει ως αποτέλεσμα την εισαγωγή διακρίσεων έναντι ατόμων βάσει φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκείας ή πεποιθήσεων, συμμετοχής σε συνδικαλιστική οργάνωση, γενετήσιου προσανατολισμού ή ταυτότητας φύλου, ή όταν συνεπάγεται μέτρα που επιφέρουν τα εν λόγω αποτελέσματα. Ο υπεύθυνος επεξεργασίας εφαρμόζει μέτρα αποτελεσματικής προστασίας έναντι πιθανών διακρίσεων που απορρέουν από την κατάρτιση προφίλ. Η κατάρτιση προφίλ δεν βασίζεται μόνον στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9.

4.  Στις περιπτώσεις που αναφέρονται στην παράγραφο 2, η ενημέρωση που πρέπει να παρέχεται από τον υπεύθυνο επεξεργασίας βάσει του άρθρου 14 περιλαμβάνει πληροφορίες όσον αφορά την ύπαρξη επεξεργασίας για ένα μέτρο του είδους που αναφέρεται στην παράγραφο 1 και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με Η κατάρτιση προφίλ, η οποία οδηγεί σε μέτρα που παράγουν έννομες συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή επηρεάζει εξίσου σε μεγάλο βαθμό τα συμφέροντα, τα δικαιώματα ή τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, δεν πρέπει να βασίζεται αποκλειστικά ή πρωτίστως σε αυτοματοποιημένη επεξεργασία και πρέπει να περιλαμβάνει μια προσωπική αξιολόγηση, συμπεριλαμβανομένης μιας αιτιολόγησης της απόφασης που ελήφθη στο πλαίσιο της αξιολόγησης αυτής. Τα κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα που προβλέπονται στην παράγραφο 2 περιλαμβάνουν το δικαίωμα σε προσωπική αξιολόγηση και αιτιολόγηση της απόφασης που ελήφθη στο πλαίσιο της εν λόγω αξιολόγησης.

5α.  Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδώσει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές βάσει του άρθρου 66 παράγραφος 1 στοιχείο β) για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για την κατάρτιση προφίλ, σύμφωνα με το άρθρο 2. [Τροπολογία 115]

ΤΜΗΜΑ 5

ΠΕΡΙΟΡΙΣΜΟΙ

Άρθρο 21

Περιορισμοί

1.  Το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στο άρθρο 5 στοιχεία α) έως ε) και στα άρθρα 11 έως 20 19 και στο άρθρο 32, όταν ένας τέτοιος περιορισμός συνιστά επιδιώκει ένα σαφώς προσδιορισμένο σκοπό δημόσιου συμφέροντος, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, είναι ανάλογος προς τον επιδιωκόμενο θεμιτό στόχο και σέβεται τα θεμελιώδη δικαιώματα και τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα και αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)  της δημόσιας ασφάλειας·

β)  της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων·

γ)  άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων νομισματικών, δημοσιονομικών και φορολογικών θεμάτων και της προστασίας της σταθερότητας και της ακεραιότητας της αγοράς·

δ)  της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα·

ε)  της παρακολούθησης, του ελέγχου ή κανονιστικού καθήκοντος το οποίο συνδέεται, έστω περιστασιακά, με την άσκηση στο πλαίσιο της δραστηριότητας μιας αρμόδιας δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α), β), γ) και δ)·

στ)  της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων.

2.  Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 πρέπει να είναι αναγκαίο και αναλογικό στο πλαίσιο μιας δημοκρατικής κοινωνίας, και να περιέχει συγκεκριμένες διατάξεις όσον αφορά τουλάχιστον τους στόχους που επιδιώκονται με την επεξεργασία και τον καθορισμό του υπευθύνου επεξεργασίας.:

α)   τους στόχους που επιδιώκονται με την επεξεργασία·

β)   τον καθορισμό του υπευθύνου επεξεργασίας·

γ)  τους ειδικούς σκοπούς και τα μέσα επεξεργασίας·

δ)  τις διασφαλίσεις για την ανατροπή καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης·

ε)  το δικαίωμα των προσώπων στα οποία αναφέρονται τα δεδομένα να ενημερώνονται σχετικά με την ύπαρξη περιορισμού.

2a.  Τα νομοθετικά μέτρα που αναφέρονται στην παράγραφο 1 δεν επιτρέπουν ούτε επιβάλλουν σε ιδιώτες υπευθύνους επεξεργασίας την υποχρέωση να διατηρούν δεδομένα πέραν εκείνων που είναι απολύτως απαραίτητα για τον αρχικό σκοπό. [Τροπολογία 116]

ΚΕΦΑΛΑΙΟ IV

ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1

ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Άρθρο 22

Ευθύνη και υποχρέωση λογοδοσίας του υπευθύνου επεξεργασίας

1.  Ο υπεύθυνος επεξεργασίας θεσπίζει κατάλληλες πολιτικές και εφαρμόζει κατάλληλα και αποδεδειγμένα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει και να μπορεί να αποδείξει με διαφανή τρόπο ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τον παρόντα κανονισμό, λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, τον χαρακτήρα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την εμβέλεια και το σκοπό της επεξεργασίας, τους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα καθώς και το είδος της οργάνωσης τόσο κατά το χρόνο του καθορισμού των μέσων επεξεργασίας όσο και κατά το χρόνο της επεξεργασίας καθαυτήν.

1α.  Ο υπεύθυνος επεξεργασίας, έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής, λαμβάνει όλα τα εύλογα μέτρα για την εφαρμογή πολιτικών και διαδικασιών συμμόρφωσης για τον αδιάλειπτο σεβασμό των αυτόνομων επιλογών των προσώπων στα οποία αναφέρονται τα δεδομένα. Οι εν λόγω πολιτικές συμμόρφωσης επανεξετάζονται τουλάχιστον ανά διετία και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.  Τα μέτρα που προβλέπονται στην παράγραφο 1 περιλαμβάνουν ειδικότερα τα ακόλουθα:

α)  τήρηση της τεκμηρίωσης σύμφωνα με το άρθρο 28·

β)  εφαρμογή των απαιτήσεων ασφάλειας δεδομένων που προβλέπονται στο άρθρο 30·

γ)  διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33·

δ)  συμμόρφωση προς τις απαιτήσεις περί προηγούμενης έγκρισης από την αρχή ελέγχου ή προηγούμενης διαβούλευσης με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφοι 1 και 2·

ε)  ορισμό υπευθύνου επεξεργασίας δεδομένων δυνάμει του άρθρου 35 παράγραφος 1.

3.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς οι οποίοι διασφαλίζουν τον έλεγχο της αποτελεσματικότητας πρέπει να είναι σε θέση να αποδείξει την επάρκεια και την αποτελεσματικότητα των μέτρων που αναφέρονται στις παραγράφους 1 και 2. Ο εν λόγω έλεγχος διενεργείται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές, εφόσον κάτι τέτοιο συνιστά αναλογικό μέτρο. Οι τακτικές γενικές εκθέσεις των δραστηριοτήτων του υπευθύνου επεξεργασίας, όπως είναι οι υποχρεωτικές εκθέσεις των εισηγμένων στο χρηματιστήριο εταιρειών, περιέχουν συνοπτική περιγραφή των πολιτικών και των μέτρων που αναφέρονται στην παράγραφο 1.

3α.  Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να διαβιβάζει δεδομένα προσωπικού χαρακτήρα εντός ενός ομίλου εταιρειών στην ΕΕ στον οποίο συμμετέχει ο υπεύθυνος επεξεργασίας όταν η επεξεργασία αυτή είναι απαραίτητη για θεμιτούς εσωτερικούς διοικητικούς σκοπούς των συνδεδεμένων επιχειρηματικών τομέων του ομίλου επιχειρήσεων και ένα κατάλληλο επίπεδο προστασίας δεδομένων, καθώς και τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα διασφαλίζονται δυνάμει εσωτερικών διατάξεων περί προστασίας δεδομένων ή αντίστοιχων κωδίκων δεοντολογίας κατά την έννοια του άρθρου 38.

4.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα προβλεπόμενα στην παράγραφο 1 κατάλληλα μέτρα, πέραν των ήδη προβλεπομένων στην παράγραφο 2, των προβλεπόμενων στην παράγραφο 3 προϋποθέσεων και μηχανισμών ελέγχου και των προβλεπόμενων στην παράγραφο 3 κριτηρίων αναλογικότητας, καθώς επίσης για την εξέταση ειδικών μέτρων για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. [Τροπολογία 117]

Άρθρο 23

Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.  Έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος εφαρμογής , το τρέχον επίπεδο τεχνικών γνώσεων, τις διεθνείς βέλτιστες πρακτικές και τους κινδύνους που ενέχει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας οφείλει και ενδεχομένως ο εκτελών την επεξεργασία, οφείλουν, τόσο κατά τον καθορισμό των σκοπών και των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, να εφαρμόζει εφαρμόζουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, ειδικότερα όσον αφορά τις αρχές που θεσπίζονται στο άρθρο 5. Η προστασία δεδομένων ήδη από τον σχεδιασμό λαμβάνει ιδιαίτερα υπόψη τον πλήρη κύκλο ζωής της διαχείρισης δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και τη διαγραφή, εστιάζοντας συστηματικά στις συνολικές διαδικαστικές εγγυήσεις ως προς την ακρίβεια, την εμπιστευτικότητα, την ακεραιότητα, την υλική ασφάλεια και τη διαγραφή των δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας έχει διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33, τα αποτελέσματα λαμβάνονται υπόψη κατά την εκπόνηση των εν λόγω μέτρων και διαδικασιών.

1α.  Προκειμένου να προωθηθεί μία ευρεία εφαρμογή σε διαφόρους κλάδους της οικονομίας, η προστασία δεδομένων ήδη από τον σχεδιασμό θα πρέπει να αποτελεί προϋπόθεση κατά τις δημόσιες προσκλήσεις υποβολής προσφορών, σύμφωνα με την οδηγία 2004/18/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(16) καθώς και σύμφωνα με την οδηγία 2004/17/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(17) (οδηγία για τις επιχειρήσεις κοινής ωφελείας).

2.  Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για κάθε συγκεκριμένο σκοπό επεξεργασίας και ότι τα εν λόγω δεδομένα δεν συλλέγονται ούτε, δεν διατηρούνται ούτε διαδίδονται πέραν του ελάχιστου απαραίτητου ορίου για τους σκοπούς αυτούς, από την άποψη τόσο της ποσότητας των δεδομένων όσο και του χρόνου της αποθήκευσής τους. Ειδικότερα, οι εν λόγω μηχανισμοί διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπωνκαι ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν τη δυνατότητα να ελέγχουν τη διάδοση των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα κατάλληλα μέτρα και τους μηχανισμούς που αναφέρονται στις παραγράφους 1 και 2, ιδίως για τις απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό οι οποίες εφαρμόζονται σε όλους τους τομείς, τα προϊόντα και τις υπηρεσίες.

4.  Η Επιτροπή μπορεί να θεσπίσει τεχνικά πρότυπα για τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 118]

Άρθρο 24

Από κοινού υπεύθυνοι επεξεργασίας

Εάν ο υπεύθυνος περισσότεροι υπεύθυνοι επεξεργασίας καθορίζει καθορίζουν από κοινού τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από κοινού με άλλους, οι από κοινού υπεύθυνοι επεξεργασίας καθορίζουν τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω μεταξύ τους συμφωνίας. Η συμφωνία αντανακλά δεόντως τους αντίστοιχους πραγματικούς ρόλους των από κοινού υπευθύνων επεξεργασίας και τις σχέσεις έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα και η ουσία της συμφωνίας τίθεται στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Σε περίπτωση ασάφειας ως προς την ευθύνη, οι υπεύθυνοι επεξεργασίας ευθύνονται από κοινού και εις ολόκληρον. [Τροπολογία 119]

Άρθρο 25

Εκπρόσωποι υπευθύνων επεξεργασίας μη εγκαταστημένων στην Ένωση

1.  Στην περίπτωση που αναφέρεται στο άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ορίζει εκπρόσωπο στην Ένωση.

2.  Η υποχρέωση αυτή δεν ισχύει για:

α)  υπεύθυνο επεξεργασίας εγκαταστημένο σε τρίτη χώρα, εάν η Επιτροπή αποφάσισε ότι η τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων σύμφωνα με το άρθρο 41· ή

β)  επιχείρηση η οποία απασχολεί λιγότερα από 250 άτομα υπεύθυνο επεξεργασίας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν λιγότερα από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα εντός χρονικού διαστήματος 12 συναπτών μηνών, η δε επεξεργασία δεν διενεργείται σε σχέση με ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 9 παράγραφος 1, δεδομένα εγκατάστασης ή δεδομένα για παιδιά ή εργαζόμενους σε εκτεταμένα συστήματα αρχειοθέτησης· ή

γ)  δημόσια αρχή ή φορέα· ή

δ)  υπεύθυνο επεξεργασίας ο οποίος προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, εκτός εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αφορά τις ειδικές κατηγορίες προσωπικών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1, δεδομένα εγκατάστασης ή δεδομένα για παιδιά ή εργαζόμενους σε μεγάλα συστήματα αρχειοθέτησης.

3.  Ο εκπρόσωπος είναι εγκαταστημένος σε ένα από τα κράτη μέλη στο οποίο διαμένουν τα συγκεκριμένα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με την πραγματοποιείται η προσφορά αγαθών ή υπηρεσιών σε αυτά, ή των οποίων η συμπεριφορά παρακολουθείται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα ή παρακολουθείται η συμπεριφορά τους.

4.  Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας δεν θίγει τις αγωγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας. [Τροπολογία 120]

Άρθρο 26

Εκτελών την επεξεργασία

1.  Εάν μια πράξη επεξεργασίας η επεξεργασία πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με τα τεχνικά μέτρα ασφάλειας και τα οργανωτικά μέτρα τα οποία διέπουν την επεξεργασία που πρόκειται να εκτελεσθεί, και διασφαλίζει τη συμμόρφωση προς τα εν λόγω μέτρα.

2.  Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα . Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία είναι ελεύθεροι να καθορίζουν τους αντίστοιχους ρόλους και τα αντίστοιχα καθήκοντα όσον αφορά τις απαιτήσεις του παρόντος κανονισμού, και προβλέπουν ότι ο εκτελών την επεξεργασία:

α)  ενεργεί επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, ιδίως εάν η διαβίβαση των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται απαγορεύεται εκτός εάν ορίζεται διαφορετικά από το δίκαιο της Ένωσης ή τη νομοθεσία κράτους μέλους·

β)  απασχολεί μόνον υπαλλήλους οι οποίοι έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό νόμιμη υποχρέωση τήρησης εμπιστευτικότητας·

γ)  λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 30·

δ)  προσλαμβάνει άλλον εκτελούντα καθορίζει τους όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία μόνον με την προηγούμενη άδεια του υπευθύνου επεξεργασίας, εκτός εάν ορίζεται διαφορετικά·

ε)  στον βαθμό που αυτό είναι εφικτό, λαμβανομένης υπόψη της φύσης της επεξεργασίας, δημιουργεί, σε συμφωνία με τον υπεύθυνο επεξεργασίας, τις αναγκαίες κατάλληλες και λυσιτελείς τεχνικές και οργανωτικές συνθήκες για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που υποβάλλονται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα με στόχο την άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του·

στ)  συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 30 έως 34, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία·

ζ)  παραδίδει επιστρέφει όλα τα αποτελέσματα στον υπεύθυνο επεξεργασίας μετά το πέρας της επεξεργασίας και, δεν επεξεργάζεται άλλως πως τα δεδομένα προσωπικού χαρακτήρα και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή η νομοθεσία κράτους μέλους απαιτούν την αποθήκευση των δεδομένων·

η)  θέτει στη διάθεση του υπευθύνου επεξεργασίας και της αρχής ελέγχου κάθε απαραίτητη πληροφορία για τον έλεγχο προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει τις επιτόπιες επιθεωρήσεις.

3.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τεκμηριώνουν εγγράφως τις εντολές του υπευθύνου επεξεργασίας και τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες αναφέρονται στην παράγραφο 2.

3α.  Οι επαρκείς εγγυήσεις σύμφωνα με την παράγραφο 1 μπορούν να αποδεικνύονται με την τήρηση των κωδίκων δεοντολογίας ή των διαδικασιών πιστοποίησης βάσει των άρθρων 38 ·η 39 του παρόντος κανονισμού.

4.  Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των οδηγιών του υπευθύνου επεξεργασίας, ή καθίσταται καθοριστικό μέρος σε σχέση με τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας που προβλέπονται στο άρθρο 24.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις αρμοδιότητες, τις υποχρεώσεις και τα καθήκοντα που αφορούν τον εκτελούντα την επεξεργασία σύμφωνα με την παράγραφο 1, και των προϋποθέσεων που επιτρέπουν τη διευκόλυνση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ομίλου επιχειρήσεων, ιδίως για τους σκοπούς του ελέγχου και της υποβολής εκθέσεων. [Τροπολογία 121]

Άρθρο 27

Επεξεργασία υπό την εποπτεία του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή τη νομοθεσία κράτους μέλους.

Άρθρο 28

Τεκμηρίωση

1.  Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας διατηρεί τεκμηρίωση όλων των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος που είναι αναγκαία για την τήρηση των απαιτήσεων που θεσπίζει ο παρών κανονισμός και την επικαιροποιείται τακτικά.

2.  Η Επιπλέον, κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία διατηρούν τεκμηρίωση περιέχει τουλάχιστον όσον αφορά τις ακόλουθες πληροφορίες:

α)  το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, και του εκπροσώπου, εφόσον συντρέχει περίπτωση·

β)  το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας των δεδομένων, εφόσον συντρέχει περίπτωση·

γ)  τους σκοπούς της επεξεργασίας, συμπεριλαμβανομένων των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ)·

δ)  περιγραφή των κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα και των κατηγοριών δεδομένων προσωπικού χαρακτήρα που τα αφορούν·

ε)  τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων το όνομα και τα στοιχεία επικοινωνίας των υπευθύνων επεξεργασίας στους οποίους κοινοποιούνται δεδομένα προσωπικού χαρακτήρα για τα έννομα συμφέροντα τα οποία επιδιώκουν, εφόσον συντρέχει περίπτωση.

στ)  όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 44 παράγραφος 1 στοιχείο η), της τεκμηρίωσης για τις κατάλληλες εγγυήσεις·

ζ)  γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

η)  την περιγραφή των μηχανισμών που αναφέρονται στο άρθρο 22 παράγραφος 3.

3.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας, θέτουν την τεκμηρίωση στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

4.  Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν εφαρμόζονται στους ακόλουθους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία:

α)  ένα φυσικό πρόσωπο το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς εμπορικό συμφέρον· ή

β)  μια επιχείρηση ή έναν οργανισμό που απασχολεί λιγότερα από 250 άτομα και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον ως δραστηριότητα παρεπόμενη στις κύριες δραστηριότητές της.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με την τεκμηρίωση που αναφέρεται στην παράγραφο 1, ώστε να λαμβάνονται ειδικότερα υπόψη οι αρμοδιότητες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία και, εφόσον συντρέχει περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας.

6.  Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα για την τεκμηρίωση που αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 122]

Άρθρο 29

Συνεργασία με την αρχή ελέγχου

1.  Ο υπεύθυνος επεξεργασίας και, εφόσον συντρέχει περίπτωση, ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου στην άσκηση των καθηκόντων της, ιδίως παρέχοντας τις πληροφορίες που αναφέρονται στο άρθρο 53 παράγραφος 2 στοιχείο α) και παρέχοντας πρόσβαση όπως προβλέπεται στο στοιχείο β) της ίδιας παραγράφου.

2.  Ως απόκριση στην άσκηση των εξουσιών της αρχής ελέγχου βάσει του άρθρου 53 παράγραφος 2, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία απαντούν στην αρχή ελέγχου εντός εύλογης προθεσμίας, η οποία προσδιορίζεται από αυτήν. Η απάντηση περιλαμβάνει περιγραφή των ληφθέντων μέτρων και των επιτευχθέντων αποτελεσμάτων, ως απόκριση στις παρατηρήσεις της αρχής ελέγχου. [Τροπολογία 123]

ΤΜΗΜΑ 2

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Άρθρο 30

Ασφάλεια επεξεργασίας

1.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίσουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία και η φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους, βάσει των αποτελεσμάτων της εκτίμησης επιπτώσεων όσον αφορά την προστασία δεδομένων σύμφωνα με το άρθρο 33.

1α.  Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής, η εν λόγω πολιτική ασφαλείας περιλαμβάνει:

α)  τη δυνατότητα διασφάλισης της επαλήθευσης της ακεραιότητας των δεδομένων προσωπικού χαρακτήρα·

β)  τη δυνατότητα διασφάλισης απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας των συστημάτων και των υπηρεσιών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σε συνεχή βάση·

γ)  τη δυνατότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης στα δεδομένα σε περίπτωση φυσικής ή τεχνικής βλάβης με αντίκτυπο στη διαθεσιμότητα, την ακεραιότητα και το απόρρητο των πληροφοριακών συστημάτων και υπηρεσιών·

δ)  στην περίπτωση της επεξεργασίας ευαίσθητων δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα άρθρα 8 και 9, επιπρόσθετα μέτρα ασφαλείας για τη διασφάλιση της επίγνωσης της κατάστασης των κινδύνων και τη δυνατότητα λήψης προληπτικών, διορθωτικών και ανακουφιστικών μέτρων σε σχεδόν πραγματικό χρόνο για την αντιμετώπιση των τρωτών σημείων ή των βλαβών που εντοπίζονται και θα μπορούσαν να συνεπάγονται κίνδυνο για τα δεδομένα·

ε)  μια διαδικασία για τον τακτικό έλεγχο, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των εφαρμοζόμενων πολιτικών, διαδικασιών και σχεδίων ασφαλείας για τη διασφάλιση διαρκούς αποτελεσματικότητας.

2.  Κατόπιν αξιολόγησης των κινδύνων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν ·Τα μέτρα που αναφέρονται στην παράγραφο 1 για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά της τυχαίας ή παράνομης καταστροφής ή της τυχαίας απώλειας, καθώς και για την αποφυγή κάθε παράνομης μορφής επεξεργασίας, ιδίως δε κάθε μη εξουσιοδοτημένης κοινοποίησης, διάδοσης ή πρόσβασης ή αλλοίωσης των δεδομένων προσωπικού χαρακτήρα.πρέπει τουλάχιστον να:

α)  εξασφαλίζουν ότι πρόσβαση σε προσωπικά δεδομένα μπορεί να έχει μόνον εξουσιοδοτημένο προσωπικό για αυστηρά νομίμως εγκεκριμένους σκοπούς·

β)  προστατεύουν τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και από μη εγκεκριμένη ή παράνομη αποθήκευση, επεξεργασία, πρόσβαση ή αποκάλυψη· και

γ)  διασφαλίζουν την εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) σχετικά με τα τεχνικά και οργανωτικά μέτρα που αναφέρονται στις παραγράφους 1 και 2, συμπεριλαμβανομένου του ορισμού της κατάστασης της τεχνολογίας, για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων, λαμβάνοντας ιδίως υπόψη τις εξελίξεις στην τεχνολογία και τις λύσεις για την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό και την προστασία των δεδομένων εξ ορισμού, εκτός εάν τυγχάνει εφαρμογής η παράγραφος 4.

4.  Η Επιτροπή μπορεί να εκδίδει, εάν απαιτείται, εκτελεστικές πράξεις για τον προσδιορισμό των απαιτήσεων που προβλέπονται στις παραγράφους 1 και 2 σε διάφορες καταστάσεις, και ιδίως για:

α)  την αποφυγή κάθε μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα·

β)  την αποφυγή κάθε μη εξουσιοδοτημένης κοινοποίησης, ανάγνωσης, αντιγραφής, τροποποίησης, διαγραφής ή αφαίρεσης δεδομένων προσωπικού χαρακτήρα·

γ)  τη διασφάλιση του ελέγχου της νομιμότητας των πράξεων επεξεργασίας.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 124]

Άρθρο 31

Κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

1.  Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας κοινοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, ει δυνατόν, το αργότερο εντός 24 ωρών από τη στιγμή που την πληροφορείται. Η κοινοποίηση στην αρχή ελέγχου συνοδεύεται από αιτιολογία στις περιπτώσεις στις οποίες δεν πραγματοποιείται εντός 24 ωρών.

2.  Δυνάμει του άρθρου 26 παράγραφος 2 στοιχείο στ), Ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως αμελλητί μετά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

3.  Η κοινοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

α)  να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, των κατηγοριών και του πλήθους των σχετικών αρχείων δεδομένων·

β)  να γνωστοποιεί την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

γ)  να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ)  να περιγράφει τις συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

ε)  να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να μετριάζει τις συνέπειές της.

Εάν είναι αναγκαίο, οι πληροφορίες μπορούν να παρέχονται σταδιακά.

4.  Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση πρέπει να είναι επαρκής ώστε να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο και το άρθρο 30. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

4α.  Η αρχή ελέγχου διατηρεί δημόσιο μητρώο των τύπων παραβιάσεων που κοινοποιούνται.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) σχετικά με τη διαπίστωση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσηςπου αναφέρεται στις παραγράφους 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να κοινοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

6.  Η Επιτροπή μπορεί να θεσπίσει τον τυποποιημένο μορφότυπο για την εν λόγω γνωστοποίηση στην αρχή ελέγχου, τις εφαρμοστέες διαδικασίες στην απαίτηση κοινοποίησης, καθώς και τη μορφή και τους τρόπους της τεκμηρίωσης που αναφέρεται στην παράγραφο 4, συμπεριλαμβανομένων των προθεσμιών για τη διαγραφή των πληροφοριών που περιέχονται σε αυτήν. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 125]

Άρθρο 32

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1.  Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα ή, την ιδιωτική ζωή, τα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει, μετά την κοινοποίηση που αναφέρεται στο άρθρο 31, να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αμελλητί.

2.  Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1 είναι ολοκληρωμένη και χρησιμοποιεί σαφή και απλή διατύπωση., Περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 31 παράγραφος 3 στοιχεία β) και ,γ) και δ) καθώς και πληροφορίες σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένου του δικαιώματος αποζημίωσης.

3.  Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο ικανοποιητικό για την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα τα οποία αφορά η παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

4.  Με την επιφύλαξη της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εάν ο υπεύθυνος επεξεργασίας δεν έχει ακόμη ειδοποιήσει το συγκεκριμένο πρόσωπο για την παραβίαση των δεδομένων του προσωπικού χαρακτήρα, η αρχή ελέγχου δύναται, αφού εξετάσει τις ενδεχόμενες δυσμενείς συνέπειες της παραβίασης, να απαιτήσει από τον υπεύθυνο επεξεργασίας να το πράξει.

5.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων το καθήκον να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β)όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενής συνέπειες στα δεδομένα προσωπικού χαρακτήρα, στην ιδιωτική ζωή, στα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα που αναφέρονται στην παράγραφο 1.

6.  Η Επιτροπή μπορεί να θεσπίσει τον μορφότυπο της κοινοποίησης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1, και τις εφαρμοστέες διαδικασίες στην εν λόγω κοινοποίηση. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 126]

Άρθρο 32α

Ανάλυση κινδύνου

1.  Ο υπεύθυνος επεξεργασίας ή, ενδεχομένως, ο εκτελών την επεξεργασία πραγματοποιεί ανάλυση κινδύνου όσον αφορά τις δυνητικές επιπτώσεις της σκοπούμενης επεξεργασίας δεδομένων στα δικαιώματα και τις ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα, προκειμένου να αξιολογήσει εάν οι επεξεργασίες στις οποίες προβαίνει εγκυμονούν κινδύνους.

2.  Οι επεξεργασίες που ενδέχεται να παρουσιάσουν τέτοιους κινδύνους είναι οι ακόλουθες:

α)  επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν πάνω από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών·

β)  επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως αναφέρονται στο άρθρο 9 παράγραφος 1, δεδομένων θέσης ή δεδομένων για παιδιά ή για εργαζομένους σε συστήματα αρχειοθέτησης μεγάλης κλίμακας·

γ)  κατάρτιση προφίλ, βάσει του οποίου λαμβάνονται μέτρα τα οποία παράγουν έννομες συνέπειες που αφορούν ή επηρεάζουν κατά παρόμοιο τρόπο σημαντικά το φυσικό πρόσωπο·

δ)  επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την παροχή υγειονομικής περίθαλψης, επιδημιολογικές έρευνες ή μελέτες για ψυχικές ή λοιμώδεις νόσους, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα σε σχέση με συγκεκριμένα φυσικά πρόσωπα ·

ε)  αυτοματοποιημένη παρακολούθηση δημόσια προσπελάσιμων χώρων σε μεγάλη κλίμακα·

στ)  άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με τον υπεύθυνο προστασίας των δεδομένων ή με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφος 2 στοιχείο β)·

ζ)  η πιθανότητα ότι η παραβίαση των δεδομένων προσωπικού χαρακτήρα μπορεί να επηρεάσει αρνητικά την προστασία των δεδομένων προσωπικού χαρακτήρα, την ιδιωτική ζωή, τα δικαιώματα ή τα έννομα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα·

η)  οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα·

θ)  τα δεδομένα προσωπικού χαρακτήρα καθίστανται προσιτά σε ένα μεγάλο αριθμό προσώπων, ο οποίος λογικά δεν αναμένεται να είναι περιορισμένος.

3.  Σύμφωνα με το αποτέλεσμα της ανάλυσης κινδύνου:

α)  εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α) ή β), οι υπεύθυνοι επεξεργασίας που δεν είναι εγκατεστημένοι στην Ένωση ορίζουν έναν εκπρόσωπο στην Ένωση σύμφωνα με τις απαιτήσεις και τις εξαιρέσεις του άρθρου 25·

β)  εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α), β) ή η), ο υπεύθυνος επεξεργασίας ορίζει έναν υπεύθυνο προστασίας δεδομένων σύμφωνα με τις απαιτήσεις και τις εξαιρέσεις του άρθρου 35·

γ)  εάν υφίσταται κάποια από τις πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχεία α), β), γ), δ), ε), στ), ζ) ή η), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων σχετικά με την προστασία δεδομένων δυνάμει του άρθρου 33·

δ)  εάν υφίστανται οι πράξεις επεξεργασίας που αναφέρονται στην παράγραφο 2 στοιχείο στ), ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων ή, σε περίπτωση που δεν έχει διοριστεί υπεύθυνος προστασίας δεδομένων, της αρχής ελέγχου σύμφωνα με το άρθρο 34.

4.  Η ανάλυση κινδύνων επανεξετάζεται μετά από ένα έτος το αργότερο, ή αμελλητί, εάν μεταβληθούν ουσιωδώς η φύση, η έκταση ή οι στόχοι των πράξεων επεξεργασίας δεδομένων. Σε περίπτωση που, σύμφωνα με την παράγραφο 3 στοιχείο γ), ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η ανάλυση κινδύνου τεκμηριώνεται. [Τροπολογία 127]

ΤΜΗΜΑ 3

ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΙΑΧΕΙΡΗΣΗ ΤΟΥ ΚΥΚΛΟΥ ΖΩΗΣ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΗΓΟΥΜΕΝΗ ΕΓΚΡΙΣΗ [Τροπολογία 128]

Άρθρο 33

Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

1.  Εάν οι πράξεις επεξεργασίας ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους απαιτείται δυνάμει του άρθρου 32α παράγραφος 3 στοιχείο γ), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, ειδικότερα δε σχετικά με το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. Μία μόνο εκτίμηση αρκεί για την κάλυψη δέσμης παρόμοιων πράξεων επεξεργασίας οι οποίες παρουσιάζουν παρόμοιους κινδύνους.

2.  Οι ακόλουθες πράξεις επεξεργασίας ειδικότερα ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στην παράγραφο 1:

α)  συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου, για παράδειγμα με στόχο την ανάλυση ή την πρόβλεψη ειδικότερα της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του φυσικού προσώπου, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία και βάσει της οποίας λαμβάνονται μέτρα τα οποία παράγουν έννομες συνέπειες που αφορούν ή επηρεάζουν σημαντικά το φυσικό πρόσωπο·

β)  πληροφορίες σχετικά με τη σεξουαλική ζωή, την υγεία, τη φυλή και την εθνοτική καταγωγή ή την παροχή υγειονομικής περίθαλψης, επιδημιολογικές έρευνες ή μελέτες για ψυχικές ή λοιμώδεις νόσους, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα σε σχέση με συγκεκριμένα φυσικά πρόσωπα ·

γ)  παρακολούθηση δημόσια προσπελάσιμων χώρων, ιδίως με τη χρήση οπτικοηλεκτρονικών συσκευών (επιτήρηση με βίντεο) σε μεγάλη κλίμακα·

δ)  επεξεργασία δεδομένων προσωπικού χαρακτήρα σε συστήματα αρχειοθέτησης μεγάλης κλίμακας, τα οποία περιέχουν δεδομένα για παιδιά, γενετικά δεδομένα ή βιομετρικά δεδομένα·

ε)  άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφος 2 στοιχείο β).

3.  Η εκτίμηση αναφέρεται στη διαχείριση ολόκληρου του κύκλου ζωής των δεδομένων προσωπικού χαρακτήρα από τη συλλογή τους έως την επεξεργασία και τη διαγραφή τους. Η εκτίμηση αυτή περιέχει τουλάχιστον: γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων, εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και άλλων ενδιαφερόμενων προσώπων.

α)  συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών της επεξεργασίας και, ενδεχομένως, των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας·

β)  αξιολόγηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς·

γ)  εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, συμπεριλαμβανομένου του κινδύνου η πράξη να ενέχει ή να ενισχύει διακρίσεις·

δ)  περιγραφή των μέτρων που προβλέπονται για την αντιμετώπιση των κινδύνων και τη μείωση του όγκου των δεδομένων προσωπικού χαρακτήρα που υπόκειται σε επεξεργασία·

ε)  κατάλογο των εγγυήσεων, των μέτρων ασφαλείας και των μηχανισμών, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα, όπως η χρήση ψευδωνύμου, και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και άλλων ενδιαφερόμενων προσώπων·

στ)  γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

ζ)  επεξήγηση των πρακτικών που εφαρμόστηκαν για την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού δυνάμει του άρθρου 23·

η)  κατάλογο των αποδεκτών ή των κατηγοριών αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

θ)  κατά περίπτωση, κατάλογο των προβλεπόμενων διαβιβάσεων δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού·

ι)  εκτίμηση του πλαισίου της επεξεργασίας δεδομένων.

3α.  Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν ορίσει έναν υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα, τότε ο εν λόγω υπεύθυνος πρέπει να συμμετέχει στη διαδικασία εκτίμησης των επιπτώσεων.

3β.  Η εκτίμηση τεκμηριώνεται και θεσπίζεται ένα χρονοδιάγραμμα τακτικών περιοδικών ελέγχων της συμμόρφωσης σχετικά με την προστασία δεδομένων δυνάμει του άρθρου 33α παράγραφος 1. Η εκτίμηση επικαιροποιείται αμελλητί, εάν τα πορίσματα του ελέγχου της συμμόρφωσης σχετικά με την προστασία δεδομένων που αναφέρεται στο άρθρο 33α εντοπίσουν πλημμελή συμμόρφωση. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθώς και ο εκπρόσωπος του υπεύθυνου επεξεργασίας, εάν υπάρχει, θέτουν την εκτίμηση στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

4.  Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

5.  Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή δημόσιος φορέας και εάν η επεξεργασία απορρέει από νομική υποχρέωση δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) η οποία προβλέπει κανόνες και διαδικασίες για τις πράξεις επεξεργασίας και ρυθμίζεται από το δίκαιο της Ένωσης, οι παράγραφοι 1 έως 4 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη θεωρούν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

6.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τις πράξεις επεξεργασίας που μπορεί να ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στις παραγράφους 1 και 2, καθώς και των απαιτήσεων για την εκτίμηση που αναφέρεται στην παράγραφο 3, συμπεριλαμβανομένων των προϋποθέσεων για επεκτασιμότητα, επαλήθευση και δυνατότητα ελέγχου. Στο πλαίσιο αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

7.  Η Επιτροπή μπορεί να προσδιορίζει πρότυπα και διαδικασίες για την εκτέλεση, την επαλήθευση και τον έλεγχο της εκτίμησης που αναφέρεται στην παράγραφο 3. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 129]

Άρθρο 33α

Έλεγχος της τήρησης της συμμόρφωσης για την προστασία δεδομένων

1.  Το αργότερο δύο χρόνια μετά από την διενέργεια εκτίμησης επιπτώσεων δυνάμει του άρθρου 33 παράγραφος 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν έλεγχο της συμμόρφωσης. Ο εν λόγω έλεγχος της συμμόρφωσης θα αποδεικνύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με την εκτίμηση των επιπτώσεων σχετικά με την προστασία δεδομένων.

2.  Ο έλεγχος της συμμόρφωσης θα διενεργείται τακτικά τουλάχιστον μία φορά ανά δύο έτη, ή αμέσως μόλις επέλθει μεταβολή όσον αφορά τους ειδικούς κινδύνους που σχετίζονται κατά τις πράξεις επεξεργασίας.

3.  Όταν τα πορίσματα του ελέγχου της συμμόρφωσης εντοπίζουν πλημμελή συμμόρφωση, η αναθεώρηση της συμμόρφωσης θα περιέχει συστάσεις σχετικά με τον τρόπο επίτευξης πλήρους συμμόρφωσης.

4.  Ο έλεγχος της συμμόρφωσης και οι συστάσεις που περιέχει, τεκμηριώνονται. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία καθώς και ο εκπρόσωπος του υπευθύνου επεξεργασίας, εάν υπάρχει, θέτουν τον έλεγχο της συμμόρφωσης στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

5.  Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν ορίσει έναν υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα, τότε ο εν λόγω υπεύθυνος πρέπει να συμμετέχει στη διαδικασία ελέγχου της συμμόρφωσης. [Τροπολογία 130]

Άρθρο 34

Προηγούμενη έγκριση και προηγούμενη διαβούλευση

1.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ανάλογα με την περίπτωση, εξασφαλίζουν έγκριση από την αρχή ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θεσπίζει συμβατικές ρήτρες, όπως προβλέπεται στο άρθρο 42 παράγραφος 2 στοιχείο δ), ή δεν παρέχει κατάλληλες εγγυήσεις σε νομικά δεσμευτική πράξη, όπως προβλέπεται στο άρθρο 42 παράγραφος 5, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό.

2.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, ζητούν τη γνώμη του υπευθύνου προστασίας δεδομένων ή, σε περίπτωση που δεν έχει διοριστεί υπεύθυνος προστασίας δεδομένων, της αρχής ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν:

α)  η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η οποία προβλέπεται στο άρθρο 33, υποδεικνύει ότι οι πράξεις επεξεργασίας ενδέχεται, λόγω της φύσης, της έκτασης ή του σκοπού τους, να ενέχουν υψηλό βαθμό συγκεκριμένων κινδύνων· ή

β)  ο υπεύθυνος προστασίας δεδομένων ή η αρχή ελέγχου θεωρεί απαραίτητη τη διενέργεια προηγούμενης διαβούλευσης για πράξεις επεξεργασίας οι οποίες ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες λόγω της φύσης, της έκτασης ή/και των σκοπών τους και προσδιορίζονται σύμφωνα με την παράγραφο 4.

3.  Εάν φρονεί η αρμόδια αρχή ελέγχου καθορίσει στο πλαίσιο της αρμοδιότητάς της ότι η σχεδιαζόμενη επεξεργασία δεν είναι σύμφωνη προς τον παρόντα κανονισμό, και ιδίως εάν οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, η αρχή ελέγχου απαγορεύει τη σχεδιαζόμενη επεξεργασία και διατυπώνει κατάλληλες προτάσεις για την επανόρθωση της μη συμμόρφωσης.

4.  Η αρχή ελέγχου Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καταρτίζει και δημοσιοποιεί κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 2 στοιχείο β). Η αρχή ελέγχου κοινοποιεί τους εν λόγω καταλόγους στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

5.  Εάν ο κατάλογος που προβλέπεται στην παράγραφο 4 περιλαμβάνει δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή με την παρακολούθηση της συμπεριφοράς τους ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, τότε η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 πριν από την έκδοση του καταλόγου.

6.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχουν στην αρχή ελέγχου, κατόπιν αιτήματος, την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων η οποία προβλέπεται στο άρθρο 33 δυνάμει του άρθρου 33 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην αρχή ελέγχου να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του προσώπου στο οποίο αυτά αναφέρονται και τις σχετικές εγγυήσεις.

7.  Τα κράτη μέλη ζητούν τη γνώμη της αρχής ελέγχου κατά την επεξεργασία νομοθετικού μέτρου το οποίο πρόκειται να θεσπισθεί από το εθνικό κοινοβούλιο ή μέτρου βασισμένου σε ένα τέτοιο νομοθετικό μέτρο, το οποίο ορίζει τη φύση της διαδικασίας, προκειμένου να διασφαλίζεται συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

8.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τον καθορισμό του υψηλού βαθμού συγκεκριμένου κινδύνου που αναφέρεται στην παράγραφο 2 στοιχείο α).

9.  Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα και διαδικασίες για τις προηγούμενες εγκρίσεις και διαβουλεύσεις που αναφέρονται στις παραγράφους 1 και 2, καθώς και τυποποιημένα έντυπα και διαδικασίες για την ενημέρωση των αρχών ελέγχου δυνάμει της παραγράφου 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 131]

ΤΜΗΜΑ 4

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 35

Ορισμός του υπευθύνου προστασίας δεδομένων

1.  Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α)  η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα· ή

β)  η επεξεργασία διενεργείται από επιχείρηση η οποία απασχολεί τουλάχιστον 250 άτομα νομικό πρόσωπο και αφορά πάνω από 5 000 πρόσωπα στα οποία αναφέρονται τα δεδομένα σε χρονικό διάστημα 12 συναπτών μηνών· ή

γ)  οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα· ή

δ)  οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται στην επεξεργασία ειδικών κατηγοριών δεδομένων δυνάμει του άρθρου 9 παράγραφος 1, δεδομένων θέσης ή δεδομένων για παιδιά ή για άτομα που εργάζονται σε συστήματα αρχειοθέτησης μεγάλης κλίμακας.

2.  Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο β), Ένας όμιλος επιχειρήσεων μπορεί να διορίσει έναν μοναδικό κύριο υπεύθυνο προστασίας δεδομένων, εφόσον διασφαλίζεται ότι από κάθε εγκατάσταση υπάρχει εύκολη πρόσβαση σε έναν υπεύθυνο προστασίας δεδομένων.

3.  Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για περισσότερες από τις οντότητές της (του), λαμβάνοντας υπόψη την οργανωτική δομή της δημόσιας αρχής ή του δημόσιου φορέα.

4.  Σε άλλες περιπτώσεις εκτός από τις αναφερόμενες στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων.

5.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν τον υπεύθυνο προστασίας δεδομένων βάσει επαγγελματικών προσόντων και ιδίως πείρας στο δίκαιο και στις πρακτικές προστασίας των δεδομένων και ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37. Το αναγκαίο επίπεδο πείρας καθορίζεται ειδικότερα ανάλογα με την επεξεργασία δεδομένων που διενεργείται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

6.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι κάθε άλλο επαγγελματικό καθήκον του υπευθύνου προστασίας δεδομένων είναι συμβατό προς τα καθήκοντα και τις αρμοδιότητες του προσώπου ως υπευθύνου προστασίας δεδομένων και δεν συνεπάγονται σύγκρουση συμφερόντων.

7.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας των δεδομένων για διάστημα τουλάχιστον δύο τεσσάρων ετών εάν πρόκειται για εργαζόμενο ή δύο ετών εάν πρόκειται για εξωτερικό πάροχος υπηρεσιών. Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί εκ νέου για περαιτέρω θητείες. Κατά τη διάρκεια της θητείας του, ο υπεύθυνος προστασίας δεδομένων μπορεί να απομακρυνθεί από τη θέση του μόνον εάν δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

8.  Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι υπάλληλος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

9.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στην αρχή ελέγχου και στο κοινό.

10.  Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιούνται να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων που τα αφορούν και να ζητούν να ασκήσουν τα δικαιώματα που απορρέουν από τον παρόντα κανονισμό.

11.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που αναφέρονται στην παράγραφο 1 στοιχείο γ), καθώς και των κριτηρίων σχετικά με τα επαγγελματικά προσόντα του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 5. [Τροπολογία 132]

Άρθρο 36

Θέση του υπευθύνου προστασίας δεδομένων

1.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων ασκεί τις αρμοδιότητες και τα καθήκοντά του ανεξάρτητα και δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στην εκτελεστική διοίκηση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν ένα εκτελεστικό διοικητικό στέλεχος το οποίο είναι υπεύθυνο για την τήρηση των διατάξεων του παρόντος κανονισμού.

3.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του και παρέχουν όλα τα μέσα, που συμπεριλαμβάνουν υπαλλήλους, εγκαταστάσεις, εξοπλισμό και κάθε άλλο πόρο απαραίτητο για την άσκηση των αρμοδιοτήτων και των καθηκόντων που αναφέρονται στο άρθρο 37, και για τη διατήρηση των επαγγελματικών γνώσεών του.

4.  Οι υπεύθυνοι προστασίας δεδομένων δεσμεύονται από απόρρητο σχετικά με την ταυτότητα των προσώπων στα οποία αναφέρονται τα δεδομένα και σχετικά με τις συνθήκες που επιτρέπουν την αναγνώριση των προσώπων στα οποία αναφέρονται τα δεδομένα, εκτός εάν απαλλάσσονται από την υποχρέωση αυτή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. [Τροπολογία 133]

Άρθρο 37

Καθήκοντα του υπευθύνου προστασίας δεδομένων

1.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτουν στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:

α)  να ευαισθητοποιεί, να ενημερώνει και να πληροφορεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τεχνικά και οργανωτικά μέτρα και διαδικασίες, και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

β)  να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

γ)  να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τον παρόντα κανονισμό·

δ)  να διασφαλίζει ότι τηρείται η τεκμηρίωση που προβλέπεται στο άρθρο 28·

ε)  να παρακολουθεί την τεκμηρίωση και τις κοινοποιήσεις των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 31 και 32·

στ)  να παρακολουθεί τη διενέργεια της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και την αίτηση περί προηγούμενης έγκρισης ή προηγούμενης διαβούλευσης, εφόσον απαιτείται δυνάμει των άρθρων 32α, 33 και 34·

ζ)  να παρακολουθεί την απάντηση της αρχής ελέγχου σε αιτήματα και, στο πλαίσιο της αρμοδιότητας του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με πρωτοβουλία του υπευθύνου προστασίας δεδομένων·

η)  να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με δική του πρωτοβουλία·

θ)  να επαληθεύει τη συμμόρφωση προς τον παρόντα κανονισμό στο πλαίσιο του μηχανισμού προηγούμενης διαβούλευσης που ορίζεται στο άρθρο 34·

ι)  να ενημερώνει τους εκπροσώπους των εργαζομένων σχετικά με την επεξεργασία των δεδομένων των εργαζομένων.

2.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τα καθήκοντα, την πιστοποίηση, το καθεστώς, τις αρμοδιότητες και τους πόρους του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 1. [Τροπολογία 134]

ΤΜΗΜΑ 5

ΚΩΔΙΚΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΚΑΙ ΠΙΣΤΟΠΟΙΗΣΗ

Άρθρο 38

Κώδικες δεοντολογίας

1.  Τα κράτη μέλη, οι αρχές ελέγχου και η Επιτροπή παροτρύνουν την εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν ή την έγκριση κωδίκων δεοντολογίας που εκπονούνται από μία αρχή ελέγχου προκειμένου να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας δεδομένων, ιδίως όσον αφορά:

α)  τη θεμιτή και διαφανή επεξεργασία των δεδομένων·

αα)  τον σεβασμό των δικαιωμάτων του καταναλωτή·

β)  τη συλλογή δεδομένων·

γ)  την ενημέρωση του κοινού και των προσώπων στα οποία αναφέρονται τα δεδομένα·

δ)  τα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους·

ε)  την ενημέρωση και την προστασία των παιδιών·

στ)  τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς·

ζ)  τους μηχανισμούς παρακολούθησης και διασφάλισης της συμμόρφωσης προς τον κώδικα από τους υπευθύνους επεξεργασίας που τον εφαρμόζουν·

η)  εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα δυνάμει των άρθρων 73 και 75.

2.  Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε ένα κράτος μέλος, οι οποίοι προτίθενται να εκπονήσουν κώδικες δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, μπορούν να τους υποβάλουν για γνωμοδότηση στην αρχή ελέγχου του συγκεκριμένου κράτους μέλους. Η αρχή ελέγχου μπορεί να γνωμοδοτήσει γνωμοδοτεί αμελλητί σχετικά με το κατά πόσον το σχέδιο η επεξεργασία στο πλαίσιο του σχεδίου κώδικα δεοντολογίας είναι σύμφωνο σύμφωνη προς τον παρόντα κανονισμό. Η αρχή ελέγχου ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τα εν λόγω σχέδια.

3.  Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε περισσότερα κράτη μέλη μπορούν να υποβάλουν σχέδια κωδίκων δεοντολογίας και τροποποιήσεις ή επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας στην Επιτροπή.

4.  Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις , αφού ζητήσει γνωμοδότηση από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86, με τις οποίες αποφασίζει ότι οι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας της Ένωσης που της υποβλήθηκαν δυνάμει της παραγράφου 3 συνάδουν με τον παρόντα κανονισμό και έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις παρέχουν στα πρόσωπα, στα οποία αναφέρονται τα δεδομένα, δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας.

5.  Η Επιτροπή διασφαλίζει κατάλληλη δημοσιότητα για τους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 4. [Τροπολογία 135]

Άρθρο 39

Πιστοποίηση

1.  Τα κράτη μέλη και η Επιτροπή παροτρύνουν, ιδίως σε ευρωπαϊκό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, σφραγίδων και σημάτων προστασίας δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων που παρέχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία. Οι μηχανισμοί πιστοποίησης προστασίας δεδομένων συμβάλλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά των διάφορων τομέων και πράξεων επεξεργασίας.

1α.  Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να ζητήσει από κάθε αρχή ελέγχου στην Ένωση ένα εύλογο τέλος, λαμβάνοντας υπόψη το διοικητικό κόστος μιας πιστοποίησης ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα διεξάγεται σύμφωνα με τον παρόντα κανονισμό και ειδικότερα με τις αρχές που θεσπίζονται στα άρθρα 5, 23 και 30, τις υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία καθώς και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

1β.   Η πιστοποίηση είναι εθελοντική, προσιτή οικονομικά και διαθέσιμη μέσω διαφανούς και μη περίπλοκης διαδικασίας.

1γ.  Οι αρχές ελέγχου και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συνεργάζονται στο πλαίσιο του μηχανισμού συνοχής, σύμφωνα με το άρθρο 57, προκειμένου να διασφαλίσουν μια εναρμονισμένη διαδικασία πιστοποίησης όσον αφορά την προστασία δεδομένων, συμπεριλαμβανομένης της εναρμόνισης των τελών εντός της Ένωσης.

1δ.  Κατά τη διάρκεια της διαδικασίας πιστοποίησης, η αρχή ελέγχου μπορεί να παράσχει διαπίστευση σε εξειδικευμένους τρίτους ελεγκτές να διεξαγάγουν έλεγχο επί του υπευθύνου επεξεργασίας ή του εκτελούντα την επεξεργασία. Οι τρίτοι ελεγκτές διαθέτουν επαρκώς εκπαιδευμένο προσωπικό, είναι αμερόληπτοι και δεν εμπλέκονται σε συγκρούσεις συμφερόντων όσον αφορά τα καθήκοντά τους. Οι αρχές ελέγχου ανακαλούν τη διαπίστευση όταν πιθανολογείται ότι ο ελεγκτής δεν εκπληρώνει ορθά τα καθήκοντα του. Η τελική πιστοποίηση χορηγείται από την αρχή ελέγχου.

1ε.  Οι αρχές ελέγχου χορηγούν στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία για τους οποίους ο έλεγχος πιστοποιεί ότι η επεξεργασία των προσωπικών δεδομένων συμμορφούται προς τον παρόντα κανονισμό, το τυποποιημένο σήμα προστασίας δεδομένων με την ονομασία «ευρωπαϊκή σφραγίδα προστασίας δεδομένων».

1στ.  Η «ευρωπαϊκή σφραγίδα προστασίας δεδομένων» ισχύει για όσο διάστημα οι πράξεις επεξεργασίας των δεδομένων που εξασφαλίζει ο πιστοποιημένος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εξακολουθούν να συνάδουν πλήρως με τον παρόντα κανονισμό.

1ζ.  Με την επιφύλαξη της παραγράφου 1στ, η πιστοποίηση έχει μέγιστη ισχύ πέντε ετών.

1η.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καταρτίζει δημόσιο ηλεκτρονικό μητρώο στο οποίο το κοινό μπορεί να λάβει γνώση του συνόλου των πιστοποιητικών που έχουν εκδοθεί στο εκάστοτε κράτος μέλος, είτε είναι σε ισχύ είτε όχι.

1θ.  Το Ευρωπαϊκό Συμβούλιο προστασίας δεδομένων μπορεί με δική του πρωτοβουλία να πιστοποιήσει ότι ένα τεχνικό πρότυπο για τη βελτίωση της προστασίας δεδομένων είναι συμβατό με τον παρόντα κανονισμό.

2.  Αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, και μετά από διαβούλευση με τα ενδιαφερόμενα μέρη, ιδίως τη βιομηχανία και μη κυβερνητικές οργανώσεις, η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους μηχανισμούς πιστοποίησης προστασίας των δεδομένων που αναφέρονται στην παράγραφο 1 στις παραγράφους 1α έως 1η, συμπεριλαμβανομένων των απαιτήσεων διαπίστευσης ελεγκτών, των προϋποθέσεων σχετικά με τη χορήγηση και την απόσυρση, και των απαιτήσεων για την αναγνώριση στην Ένωση και σε τρίτες χώρες. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας.

3.  Η Επιτροπή μπορεί να θεσπίσει τεχνικά πρότυπα για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων καθώς και μηχανισμούς για την προώθηση και την αναγνώριση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 136]

ΚΕΦΑΛΑΙΟ V

ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Άρθρο 40

Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή έναν διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλον διεθνή οργανισμό.

Άρθρο 41

Διαβιβάσεις με απόφαση περί επάρκειας

1.  Μια διαβίβαση μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί καμία περαιτέρω ειδική έγκριση.

2.  Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη τα ακόλουθα στοιχεία:

α)  το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, καθώς επίσης και την εφαρμογή της εν λόγω νομοθεσίας, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, τα νομολογιακά προηγούμενα, τα ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

β)  την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής κυρώσεων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

γ)  τις διεθνείς δεσμεύσεις που έχουν αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός, ειδικότερα κάθε νομικά δεσμευτική σύμβαση ή νομικό μέσο όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.

3.  Η Επιτροπή μπορεί εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 προκειμένου να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν κατάλληλο επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. Οι εν λόγω κατ’ εξουσιοδότηση πράξεις προβλέπουν μια ρήτρα λήξης ισχύος εφόσον αφορούν ένα τομέα επεξεργασίας και ανακαλούνται, σύμφωνα με την παράγραφο 5, εφόσον δεν διασφαλίζεται πλέον ένα επαρκές επίπεδο προστασίας σύμφωνα με τον παρόντα κανονισμό.

4.  Η εκτελεστική κατ’ εξουσιοδότηση πράξη προσδιορίζει τη γεωγραφική εδαφική και τομεακή εφαρμογή της καθώς και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

4α.  Η Επιτροπή παρακολουθεί, σε συνεχή βάση, τις εξελίξεις που μπορούν να επηρεάσουν τις παραμέτρους που απαριθμούνται στην παράγραφο 2 σε τρίτες χώρες και διεθνείς οργανισμούς, για τις οποίες έχουν εκδοθεί κατ’ εξουσιοδότηση πράξεις δυνάμει της παραγράφου 3.

5.  Η Επιτροπή μπορεί εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 προκειμένου να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός δεν διασφαλίζουν ή δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2, ή, σε εξαιρετικά επείγουσες περιπτώσεις για φυσικά πρόσωπα όσον αφορά το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 87 παράγραφος 3.

6.  Εάν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα, ή σε έδαφος ή σε τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή στον διεθνή οργανισμό απαγορεύεται, με την επιφύλαξη των άρθρων 42 έως 44. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

6α.  Πριν από την έκδοση κατ’ εξουσιοδότηση πράξης σύμφωνα με τις παραγράφους 3 και 5, η Επιτροπή ζητεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να γνωμοδοτήσει σχετικά με την επάρκεια του επιπέδου προστασίας. Για τον σκοπό αυτό, η Επιτροπή παρέχει στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, του εδάφους ή του τομέα επεξεργασίας εντός της τρίτης χώρας ή του διεθνούς οργανισμού.

7.  Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και διεθνών οργανισμών όπου αποφασίζει ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

8.  Οι αποφάσεις που εκδόθηκαν από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου πέντε έτη μετά την έναρξη ισχύος του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή. [Τροπολογία 137]

Άρθρο 42

Διαβιβάσεις μέσω κατάλληλων εγγυήσεων

1.  Εάν η Επιτροπή δεν λάβει καμία απόφαση δυνάμει του άρθρου 41, ή αποφασίσει ότι μια τρίτη χώρα, ή μια περιοχή ή ένας τομέας επεξεργασίας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός δεν εξασφαλίζει επαρκές επίπεδο προστασίας σύμφωνα με το άρθρο 41 παράγραφος 5, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα, σε έδαφος ή σε διεθνή οργανισμό μόνον εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη.

2.  Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 παρέχονται, ειδικότερα, μέσω:

α)  δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 43· ή

αα)  μιας ισχύουσας «ευρωπαϊκής σφραγίδας προστασίας δεδομένων» για τον υπεύθυνο επεξεργασίας και τον αποδέκτη σύμφωνα με το άρθρο 39 παράγραφος 1ε· ή

β)  τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2· ή

γ)  τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από αρχή ελέγχου σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 όταν κηρύσσονται γενικά ισχυρές από την Επιτροπή δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο β)· ή

δ)  συμβατικών ρητρών που συνάπτονται μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του αποδέκτη των δεδομένων, οι οποίες εγκρίνονται από αρχή ελέγχου σύμφωνα με την παράγραφο 4.

3.  Διαβίβαση η οποία βασίζεται σε τυποποιημένες ρήτρες προστασίας δεδομένων, στην «ευρωπαϊκή σφραγίδα προστασίας δεδομένων» ή δεσμευτικούς εταιρικούς κανόνες, όπως αναφέρεται στην παράγραφο 2 στοιχεία α), αα), β) ή γ), δεν απαιτεί περαιτέρω ειδική έγκριση.

4.  Εάν η διαβίβαση βασίζεται σε συμβατικές ρήτρες, όπως αναφέρεται στην παράγραφο 2 στοιχείο δ) του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση των συμβατικών ρητρών από την αρχή ελέγχου σύμφωνα με το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή άλλα κράτη μέλη, ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

5.  Εάν οι κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα δεν προβλέπονται σε νομικά δεσμευτική πράξη, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση για τη διαβίβαση, ή για μια σειρά διαβιβάσεων, ή για τη συμπερίληψη διατάξεων σε διοικητικές συμφωνίες οι οποίες παρέχουν τη βάση για την εν λόγω διαβίβαση. Η εν λόγω έγκριση της αρχής ελέγχου πρέπει να είναι σύμφωνη προς το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή σε άλλα κράτη μέλη ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57. Οι εγκρίσεις αρχής ελέγχου βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ, έως ότου για δύο χρόνια μετά τη θέση σε ισχύ του παρόντος κανονισμού, εκτός εάν τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την εν λόγω αρχή ελέγχου πριν από το τέλος της περιόδου αυτής. [Τροπολογία 138]

Άρθρο 43

Διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων

1.  Η αρχή ελέγχου εγκρίνει, σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 58, δεσμευτικούς εταιρικούς κανόνες, υπό τον όρο ότι

α)  είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε μέλος και επιβάλλονται από κάθε μέλος στον όμιλο επιχειρήσεων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή των εξωτερικών υπεργολάβων που εμπίπτουν στο πεδίο εφαρμογής των δεσμευτικών εταιρικών κανόνων, περιλαμβανομένων των υπαλλήλων τους·

β)  απονέμουν ρητώς δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα·

γ)  πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

1α.  Σε σχέση με δεδομένα στον τομέα της απασχόλησης, οι εκπρόσωποι των εργαζομένων ενημερώνονται και, σύμφωνα με τις νομοθετικές διατάξεις και πρακτικές της Ένωσης ή των κρατών μελών, συμμετέχουν στην εκπόνηση δεσμευτικών εταιρικών κανόνων, σύμφωνα με το άρθρο 43.

2.  Οι δεσμευτικοί εταιρικοί κανόνες προσδιορίζουν κατ’ ελάχιστο:

α)  τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων και των μελών του και των εξωτερικών υπεργολάβων που εμπίπτουν στο πεδίο εφαρμογής των δεσμευτικών εταιρικών κανόνων·

β)  τις διαβιβάσεις ή τις σειρές διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των τύπων επεξεργασίας και των σκοπών της, του τύπου προσώπων στα οποία αναφέρονται τα δεδομένα που επηρεάζονται, και την εν λόγω τρίτη χώρα ή τις τρίτες χώρες·

γ)  τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά·

δ)  τις γενικές αρχές προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους διατήρησης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, μέτρα ώστε να διασφαλίζεται η ασφάλεια των δεδομένων, καθώς και τις απαιτήσεις σχετικά με περαιτέρω διαβιβάσεις σε οργανισμούς οι οποίοι δεν δεσμεύονται από τις πολιτικές·

ε)  τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και τα μέσα για την άσκηση των εν λόγω δικαιωμάτων, συμπεριλαμβανομένου του δικαιώματος να μην υπάγονται σε μέτρο βασισμένο στην κατάρτιση προφίλ σύμφωνα με το άρθρο 20, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας αρχής ελέγχου και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 75, της εξασφάλισης επανόρθωσης και, ανάλογα με την περίπτωση, της αποζημίωσης για παραβίαση των δεσμευτικών εταιρικών κανόνων·

στ)  την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκαταστημένος στο έδαφος κράτους μέλους για τυχόν παραβιάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε μέλος του ομίλου επιχειρήσεων το οποίο δεν είναι εγκαταστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να εξαιρεθούν μπορεί να εξαιρεθεί από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνον εάν αποδείξουν αποδείξει ότι το συγκεκριμένο μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας·

ζ)  τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες, και ιδίως τις διατάξεις που αναφέρονται στα σημεία δ), ε) και στ) της παρούσας παραγράφου, προς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 11·

η)  τα καθήκοντα του υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 35, συμπεριλαμβανομένης της παρακολούθησης της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες στον όμιλο επιχειρήσεων, καθώς και της παρακολούθησης της κατάρτισης και του χειρισμού των καταγγελιών·

θ)  τους μηχανισμούς στον όμιλο επιχειρήσεων οι οποίοι στοχεύουν στη διασφάλιση του ελέγχου της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες·

ι)  τους μηχανισμούς για την αναφορά και την καταχώριση αλλαγών στις πολιτικές και την αναφορά των εν λόγω αλλαγών στην αρχή ελέγχου·

ια)  τον μηχανισμό συνεργασίας με την αρχή ελέγχου ώστε να διασφαλίζεται συμμόρφωση από κάθε μέλος του ομίλου επιχειρήσεων, ιδίως θέτοντας στη διάθεση της αρχής ελέγχου τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο θ) της παρούσας παραγράφου.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό του μορφότυπου, των διαδικασιών, των κριτηρίων και των απαιτήσεων σχετικά με τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου, ιδίως όσον αφορά τα κριτήρια για την έγκρισή τους, συμπεριλαμβανομένης της διαφάνειας για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, την εφαρμογή της παραγράφου 2 στοιχεία β), δ), ε) και στ) στους δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας, και των περαιτέρω απαραίτητων απαιτήσεων ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα.

4.  Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και αρχών ελέγχου για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 139]

Άρθρο 43α

Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

1.  Με την επιφύλαξη μιας συμφωνίας περί αμοιβαίας νομικής συνδρομής ή μιας διεθνούς συμφωνίας μεταξύ της αιτούσης τρίτης χώρας και της Ένωσης ή κράτους μέλους, δεν αναγνωρίζεται ούτε εκτελείται, σε καμία περίπτωση, απόφαση δικαστηρίου ή διαιτητικής αρχής τρίτης χώρας βάσει της οποίας απαιτείται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα.

2.  Σε περίπτωση που βάσει απόφασης δικαστηρίου ή διοικητικής αρχής τρίτης χώρας ζητείται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας, κοινοποιεί αμελλητί στην αρχή ελέγχου το αίτημα και λαμβάνει προηγούμενη έγκριση από την αρχή ελέγχου για τη διαβίβαση ή τη γνωστοποίηση.

3.  Η αρχή ελέγχου εκτιμά τη συμβατότητα της αιτούμενης κοινοποίησης προς τον παρόντα κανονισμό και ιδίως κατά πόσον η κοινοποίηση είναι αναγκαία και σύννομη με βάση το άρθρο 44 παράγραφος 1 στοιχεία δ) και ε) και άρθρο 44 παράγραφος 5. Εάν θίγονται πρόσωπα στα οποία αναφέρονται τα δεδομένα από άλλα κράτη μέλη, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

4.  Η αρχή ελέγχου ενημερώνει την αρμόδια εθνική αρχή για το αίτημα. Με την επιφύλαξη του άρθρου 21, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ενημερώνει επίσης τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σχετικά με το αίτημα και σχετικά με τη χορήγηση άδειας από την αρχή ελέγχου και, κατά περίπτωση, ενημερώνει τα πρόσωπα στα οποία αναφέρονται τα δεδομένα εάν τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν σε δημόσιες αρχές κατά τη διάρκεια των τελευταίων 12 συναπτών μηνών, σύμφωνα με το άρθρο 14 παράγραφος 1 στοιχείο ηα). [Τροπολογία 140]

Άρθρο 44

Παρεκκλίσεις

1.  Απουσία απόφασης περί επάρκειας δυνάμει του άρθρου 41 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 42, μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον:

α)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατατέθηκε στη σχεδιαζόμενη διαβίβαση, αφού ενημερώθηκε για τους κινδύνους των εν λόγω διαβιβάσεων λόγω της απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων· ή

β)  η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ)  η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, η οποία συνάφθηκε προς όφελος του προσώπου στο οποίο αναφέρονται τα δεδομένα μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου· ή

δ)  η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος· ή

ε)  η διαβίβαση είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

στ)  η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν είναι φυσικά ή νομικά ικανό να παράσχει τη συγκατάθεσή του· ή

ζ)  η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε γενικά από το ευρύ κοινό είτε από οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών. · ή

η)  η διαβίβαση είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, και δεν μπορεί να χαρακτηρισθεί συχνή ή μαζική, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησαν όλες τις συνθήκες που περιβάλλουν την πράξη διαβίβασης δεδομένων ή τη σειρά πράξεων διαβίβασης δεδομένων και βάσει της αξιολόγησης αυτής παρέχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.

2.  Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν πρόκειται να είναι οι αποδέκτες.

3.  Εάν η επεξεργασία βασίζεται στην παράγραφο 1 στοιχείο η), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνουν ιδιαίτερα υπόψη τη φύση των δεδομένων, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης (ή των πράξεων) επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, καθώς και τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.

4.  Η παράγραφος 1 στοιχεία β), και γ) και η) δεν εφαρμόζεται σε δραστηριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

5.  Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 στοιχείο δ) πρέπει να αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

6.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τεκμηριώνουν την αξιολόγηση καθώς και τις παρεχόμενες κατάλληλες εγγυήσεις, οι οποίες αναφέρονται στην παράγραφο 1 στοιχείο η) του παρόντος άρθρου, στην τεκμηρίωση που αναφέρεται στο άρθρο 28, και ενημερώνουν την αρχή ελέγχου για τη διαβίβαση.

7.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδώσει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το άρθρο 66 παράγραφος 1 στοιχείο β) για τον περαιτέρω προσδιορισμό των «σημαντικών λόγων δημόσιου συμφέροντος» κατά την έννοια της παραγράφου 1 στοιχείο δ) καθώς και των κριτηρίων και των απαιτήσεων σχετικά με τις κατάλληλες εγγυήσεις οι οποίες αναφέρονται στην παράγραφο 1 στοιχείο η) σχετικά με τη διαβίβαση των δεδομένων βάσει της παραγράφου 1. [Τροπολογία 141]

Άρθρο 45

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

1.  Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι αρχές ελέγχου λαμβάνουν κατάλληλα μέτρα για:

α)  την ανάπτυξη αποτελεσματικών μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση διασφάλιση της επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα· [Τροπολογία 142]

β)  την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω κοινοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών·

γ)  τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·

δ)  την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής για την προστασία των δεδομένων προσωπικού χαρακτήρα·

δα)  την παροχή διευκρινίσεων και συμβουλών σχετικά με συγκρούσεις αρμοδιοτήτων με τρίτες χώρες. [Τροπολογία 143]

2.  Για τους σκοπούς της παραγράφου 1, η Επιτροπή λαμβάνει κατάλληλα μέτρα για να προαγάγει τη σχέση με τρίτες χώρες και διεθνούς οργανισμούς, και ιδίως τις αρχές ελέγχου τους, εφόσον η Επιτροπή αποφασίσει ότι παρέχουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 41 παράγραφος 3.

Άρθρο 45α

Έκθεση της Επιτροπής

Η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ανά τακτά χρονικά διαστήματα, το αργότερο τέσσερα χρόνια μετά την ημερομηνία που αναφέρεται στο άρθρο 91 παράγραφος 1, έκθεση σχετικά με την εφαρμογή των άρθρων 40 έως 45. Για τον σκοπό αυτό η Επιτροπή δύναται να ζητήσει από τα κράτη μέλη και από τις αρχές ελέγχου πληροφορίες, οι οποίες παρέχονται αμελλητί. Η έκθεση δημοσιεύεται. [Τροπολογία 144]

ΚΕΦΑΛΑΙΟ VI

ΑΝΕΞΑΡΤΗΤΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ

ΤΜΗΜΑ 1

ΑΝΕΞΑΡΤΗΤΟ ΚΑΘΕΣΤΩΣ

Άρθρο 46

Αρχή ελέγχου

1.  Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού και συμβάλλουν στη συνεκτική εφαρμογή του σε ολόκληρη την Ένωση, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και τη διευκόλυνση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για τους σκοπούς αυτούς, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή.

2.  Εάν σε ένα κράτος μέλος ιδρυθούν περισσότερες αρχές ελέγχου, το συγκεκριμένο κράτος μέλος ορίζει την αρχή ελέγχου η οποία λειτουργεί ως ενιαίο σημείο επικοινωνίας για την ουσιαστική συμμετοχή των εν λόγω αρχών στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των λοιπών αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 57.

3.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 47

Ανεξαρτησία

1.  Η αρχή ελέγχου ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται με πλήρη ανεξαρτησία και αμεροληψία, με την επιφύλαξη των ρυθμίσεων περί συνεργασίας και συνοχής σύμφωνα με το κεφάλαιο VII του παρόντος κανονισμού. [Τροπολογία 145]

2.  Κατά την άσκηση των καθηκόντων τους, τα μέλη της αρχής ελέγχου δεν ζητούν ούτε λαμβάνουν οδηγίες από οποιονδήποτε.

3.  Τα μέλη της αρχής ελέγχου απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4.  Τα μέλη της αρχής ελέγχου συμπεριφέρονται, μετά το πέρας της θητείας τους, με ακεραιότητα και διακριτικότητα όσον αφορά την αποδοχή διορισμών και παροχών.

5.  Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους, τις αναγκαίες εγκαταστάσεις και υποδομές για την ουσιαστική άσκηση των καθηκόντων και των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

6.  Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει δικούς της υπαλλήλους οι οποίοι διορίζονται και διοικούνται από τον προϊστάμενο της αρχής ελέγχου.

7.  Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της. Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου διαθέτει χωριστούς ετήσιους προϋπολογισμούς. Οι προϋπολογισμοί δημοσιοποιούνται.

7α.  Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου λογοδοτεί στο εθνικό κοινοβούλιο για λόγους δημοσιονομικού ελέγχου. [Τροπολογία 146]

Άρθρο 48

Γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου

1.  Τα κράτη μέλη προβλέπουν ότι τα μέλη της αρχής ελέγχου διορίζονται από το κοινοβούλιο ή από την κυβέρνηση του οικείου κράτους μέλους.

2.  Τα μέλη επιλέγονται μεταξύ προσώπων των οποίων η ανεξαρτησία είναι πέραν πάσης αμφιβολίας και των οποίων η πείρα και οι δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων τους, ιδίως στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, είναι αποδεδειγμένες.

3.  Τα καθήκοντα κάθε μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με την παράγραφο 5.

4.  Ένα μέλος μπορεί να απομακρυνθεί ή να στερηθεί το δικαίωμα στη σύνταξη ή άλλες υποκατάστατες παροχές από αρμόδιο εθνικό δικαστήριο, εάν το μέλος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή κριθεί ένοχο για σοβαρό παράπτωμα.

5.  Εάν η θητεία του λήξει ή το μέλος παραιτηθεί, το μέλος συνεχίζει να ασκεί τα καθήκοντά του έως ότου διορισθεί νέο μέλος.

Άρθρο 49

Κανόνες για τη σύσταση της αρχής ελέγχου

Κάθε κράτος μέλος προβλέπει διά νόμου, εντός των ορίων του παρόντος κανονισμού:

α)  τη σύσταση και το καθεστώς της αρχής ελέγχου·

β)  τα προσόντα, την πείρα και τις δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων των μελών της αρχής ελέγχου·

γ)  τους κανόνες και τις διαδικασίες για τον διορισμό των μελών της αρχής ελέγχου, καθώς και τους κανόνες σχετικά με πράξεις ή επαγγέλματα που δεν συμβιβάζονται με τα καθήκοντα της θέσης·

δ)  τη διάρκεια της θητείας των μελών της αρχής ελέγχου, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά την έναρξη ισχύος του παρόντος κανονισμού, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της αρχής ελέγχου μέσω διαδικασίας τμηματικών διορισμών·

ε)  κατά πόσον τα μέρη της αρχής ελέγχου είναι επιλέξιμα για επαναδιορισμό·

στ)  τους κανονισμούς και τις κοινές προϋποθέσεις που ρυθμίζουν τα καθήκοντα των μελών και των υπαλλήλων της αρχής ελέγχου·

ζ)  τους κανόνες και τις διαδικασίες για την παύση των καθηκόντων των μελών της αρχής ελέγχου, μεταξύ άλλων στην περίπτωση που δεν πληρούν πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων τους ή εάν κριθούν ένοχοι για σοβαρό παράπτωμα.

Άρθρο 50

Επαγγελματικό απόρρητο

Τα μέλη και οι υπάλληλοι της αρχής ελέγχου δεσμεύονται, σύμφωνα με την εθνική νομοθεσία και πρακτική, τόσο κατά τη διάρκεια όσο και μετά τη λήξη της θητείας τους, από να τηρούν το επαγγελματικό απόρρητο όσον αφορά τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την άσκηση των επίσημων καθηκόντων τους, καθώς και να επιτελούν τα καθήκοντα τους με ανεξάρτητο και διαφανή τρόπο, όπως ορίζει ο παρών κανονισμός. [Τροπολογία 147]

ΤΜΗΜΑ 2

ΚΑΘΗΚΟΝΤΑ ΚΑΙ ΕΞΟΥΣΙΕΣ

Άρθρο 51

Αρμοδιότητα

1.  Κάθε αρχή ελέγχου ασκεί, με την επιφύλαξη των άρθρων 73 και 74, τα καθήκοντα που της ανατίθενται στο πλαίσιο του παρόντος κανονισμού και ασκεί, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, τις εξουσίες που της απονέμονται σύμφωνα με τον παρόντα κανονισμό. Η επεξεργασία δεδομένων εκ μέρους δημόσιας αρχής εποπτεύεται μόνο από την αρχή ελέγχου του οικείου κράτους μέλους. [Τροπολογία 148]

2.  Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκαταστημένος σε περισσότερα κράτη μέλη, η αρχή ελέγχου της κύριας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια για τον έλεγχο των δραστηριοτήτων επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε όλα τα κράτη μέλη, με την επιφύλαξη των διατάξεων του κεφαλαίου VII του παρόντος κανονισμού. [Τροπολογία 149]

3.  Η αρχή ελέγχου δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας δικαστηρίων τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους ιδιότητας.

Άρθρο 52

Καθήκοντα

1.  Η αρχή ελέγχου:

α)  παρακολουθεί και διασφαλίζει την εφαρμογή του παρόντος κανονισμού·

β)  εξετάζει τις καταγγελίες που υποβάλλονται από κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή από ένωση που εκπροσωπεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 73, ερευνά, στο μέτρο που ενδείκνυται, την υπόθεση και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την ένωση για την πρόοδο και για την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη αρχή ελέγχου· [Τροπολογία 150]

γ)  ανταλλάσσει πληροφορίες με άλλες αρχές ελέγχου και παρέχει αμοιβαία συνδρομή σε άλλες αρχές ελέγχου και διασφαλίζει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού·

δ)  διενεργεί έρευνες ιδία πρωτοβουλία ή βάσει καταγγελίας ή συγκεκριμένης και τεκμηριωμένης πληροφορίας περί παράνομης επεξεργασίας ή κατόπιν αιτήματος άλλης αρχής ελέγχου και ενημερώνει το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υπέβαλε καταγγελία στη συγκεκριμένη αρχή ελέγχου, για την έκβαση των διερευνήσεων εντός εύλογου χρονικού διαστήματος· [Τροπολογία 151]

ε)  παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και επικοινωνιών και των εμπορικών πρακτικών·

στ)  παρέχει τη γνώμη της, κατόπιν αιτήματος οργάνων και φορέων των κρατών μελών, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

ζ)  εγκρίνει και συμμετέχει σε διαβουλεύσεις σχετικά με τις πράξεις επεξεργασίας που αναφέρονται στο άρθρο 34·

η)  εκδίδει γνώμη σχετικά με τα σχέδια κωδίκων δεοντολογίας δυνάμει του άρθρου 38 παράγραφος 2·

θ)  εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 43·

ι)  συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων·

ια)  πιστοποιεί υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία δυνάμει του άρθρου 39. [Τροπολογία 152]

2.  Κάθε αρχή ελέγχου προωθεί την ενημέρωση του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και με τα κατάλληλα μέτρα προστασίας των δεδομένων προσωπικού χαρακτήρα. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά. [Τροπολογία 153]

2α.  Οι αρχές ελέγχου από κοινού με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων προωθούν την ενημέρωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που άπτονται της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Η διαδικασία περιλαμβάνει την τήρηση μητρώου κυρώσεων και παραβιάσεων. Στο εν λόγω μητρώο θα πρέπει να καταγράφονται εξίσου όλες οι προειδοποιήσεις και κυρώσεις με τον πλέον αναλυτικό τρόπο καθώς και η διευθέτηση των παραβιάσεων. Κάθε αρχή ελέγχου παρέχει στους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία σε πολύ μικρές, μικρές και μεσαίες επιχειρήσεις, κατόπιν αιτήματος, γενικές πληροφορίες σχετικά με τις ευθύνες και τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού. [Τροπολογία 154]

3.  Κατόπιν αιτήματος, η αρχή ελέγχου συμβουλεύει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων του που απορρέουν από τον παρόντα κανονισμό και, εφόσον συντρέχει περίπτωση, συνεργάζεται με τις αρχές ελέγχου σε άλλα κράτη μέλη για τον σκοπό αυτό.

4.  Για τις καταγγελίες που αναφέρονται στην παράγραφο 1 στοιχείο β), η αρχή ελέγχου παρέχει ένα έντυπο υποβολής καταγγελίας, το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

5.  Η αρχή ελέγχου ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

6.  Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η αρχή ελέγχου μπορεί να επιβάλλει την καταβολή κάποιου εύλογου τέλους ή να μην προβεί στην ενέργεια που ζητεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Το ύψος του εν λόγω τέλους δεν υπερβαίνει το κόστος εκτέλεσης της απαιτούμενης ενέργειας. Η αρχή ελέγχου φέρει το βάρος απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος. [Τροπολογία 155]

Άρθρο 53

Εξουσίες

1.  Σύμφωνα με τον παρόντα κανονισμό, κάθε αρχή ελέγχου έχει την εξουσία:

α)  να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα τον επεξεργασία για εικαζόμενη παραβίαση των διατάξεων που ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, εφόσον συντρέχει περίπτωση, να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να επανορθώσει την εν λόγω παραβίαση, με συγκεκριμένο τρόπο, με σκοπό τη βελτίωση της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή να επιβάλλει στον υπεύθυνο επεξεργασίας την υποχρέωση να γνωστοποιήσει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα την παραβίασης των δεδομένων προσωπικού χαρακτήρα·

β)  να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνονται προς τα αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα για την άσκηση των δικαιωμάτων που προβλέπονται στον παρόντα κανονισμό·

γ)  να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση στον εκπρόσωπο, να παράσχουν κάθε πληροφορία η οποία έχει σημασία για την εκτέλεση των καθηκόντων της·

δ)  να διασφαλίζει τη συμμόρφωση προς τις προηγούμενες εγκρίσεις και τις προηγούμενες διαβουλεύσεις που αναφέρονται στο άρθρο 34·

ε)  να προειδοποιεί ή να εφιστά την προσοχή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία·

στ)  να δίνει εντολή διόρθωσης, διαγραφής ή καταστροφής όλων των δεδομένων όταν υποβλήθηκαν σε επεξεργασία κατά παράβαση των διατάξεων του παρόντος κανονισμού, και εντολή κοινοποίησης των ενεργειών αυτών σε τρίτους των οποίων τα δεδομένα γνωστοποιήθηκαν·

ζ)  να επιβάλλει προσωρινή ή οριστική απαγόρευση της επεξεργασίας·

η)  να αναστέλλει τις ροές δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό·

θ)  να εκδίδει γνώμες για κάθε ζήτημα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα·

θα)  να πιστοποιεί υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία δυνάμει του άρθρου 39·

ι)  να ενημερώνει το εθνικό κοινοβούλιο, την κυβέρνηση ή άλλους πολιτικούς οργανισμούς, καθώς και το κοινό για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα·

ια)  να θεσπίζει αποτελεσματικούς μηχανισμούς για να ενθαρρύνει την εμπιστευτική αναφορά παραβιάσεων του παρόντος κανονισμού, λαμβάνοντας υπόψη τις κατευθυντήριες γραμμές που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 66 παράγραφος 4β.

2.  Κάθε αρχή ελέγχου διαθέτει εξουσία διεξαγωγής έρευνας ώστε να εξασφαλίζει, χωρίς προηγούμενη ανακοίνωση, από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία:

α)  πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλα τα έγγραφα και όλες τις πληροφορίες που απαιτούνται για την άσκηση των καθηκόντων της·

β)  πρόσβαση στις εγκαταστάσεις του, συμπεριλαμβανομένου του εξοπλισμού και των μέσων επεξεργασίας δεδομένων, εάν υπάρχουν εύλογες υπόνοιες ότι διεξάγεται σε αυτές δραστηριότητα κατά παράβαση του παρόντος κανονισμού.

Οι εξουσίες που αναφέρονται στο στοιχείο β) ασκούνται σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο των κρατών μελών.

3.  Κάθε αρχή ελέγχου έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και να συμμετέχει σε νομικές διαδικασίες, ιδίως δυνάμει του άρθρου 74 παράγραφος 4 και του άρθρου 75 παράγραφος 2.

4.  Κάθε αρχή ελέγχου έχει την εξουσία να επιβάλλει κυρώσεις για διοικητικά παραπτώματα, και ιδίως εκείνα που αναφέρονται στο άρθρο 79 παράγραφοι 4, 5 και 6 σύμφωνα με το άρθρο 79. Η εξουσία αυτή ασκείται κατά τρόπο αποτελεσματικό, αναλογικό και αποτρεπτικό. [Τροπολογία 156]

Άρθρο 54

Έκθεση δραστηριοτήτων

Κάθε αρχή ελέγχου οφείλει να εκπονεί ετήσια έκθεση για τις δραστηριότητές της τουλάχιστον ανά διετία. Η έκθεση υποβάλλεται στο εθνικό αντίστοιχο κοινοβούλιο και καθίσταται διαθέσιμη στο κοινό, στην Επιτροπή και στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. [Τροπολογία 157]

Άρθρο 54α

Επικεφαλής αρχή

1.  Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκαταστημένος σε περισσότερα κράτη μέλη, ή σε περίπτωση που υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα των κατοίκων διαφόρων κρατών μελών, η αρχή ελέγχου της κύριας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία λειτουργεί ως προϊσταμένη αρχή υπεύθυνη για την εποπτεία των πράξεων επεξεργασίας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε όλα τα κράτη μέλη, σύμφωνα με τις διατάξεις του κεφαλαίου VII του παρόντος κανονισμού.

2.  Η προϊσταμένη αρχή λαμβάνει τα κατάλληλα μέτρα για την εποπτεία των πράξεων επεξεργασίας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τους οποίους είναι υπεύθυνη μόνο μετά από διαβούλευση με όλες τις αρμόδιες αρχές ελέγχου, κατά την έννοια του άρθρου 51 παράγραφος 1, με σκοπό να επιτύχει συναίνεση. Για τον σκοπό αυτόν υποβάλλει ειδικότερα οποιαδήποτε σχετική πληροφορία και πραγματοποιεί διαβουλεύσεις με τις λοιπές αρχές προτού εγκρίνει κάποιο μέτρο που πρόκειται να έχει νομικές συνέπειες για τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία κατά την έννοια του άρθρου 51 παράγραφος 1. Η προϊσταμένη αρχή λαμβάνει κυρίως υπόψη τις γνωμοδοτήσεις των εμπλεκομένων αρχών. Η προϊσταμένη αρχή είναι η μόνη αρχή που είναι αρμόδια να αποφασίσει για μέτρα που αναπτύσσουν έννομα αποτελέσματα όσον αφορά τις δραστηριότητες επεξεργασίας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τους οποίους είναι υπεύθυνη.

3.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει, μετά από αίτηση μιας αρμόδιας αρχής ελέγχου, μια γνώμη σχετικά με τον προσδιορισμό της προϊσταμένης αρχής που είναι αρμόδια για τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, στις περιπτώσεις στις οποίες:

α)  δεν προκύπτει από τα πραγματικά περιστατικά της υπόθεσης που βρίσκεται η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία· ή

β)  οι αρμόδιες αρχές δεν συμφωνούν για το ποια αρχή ελέγχου θα λειτουργήσει ως προϊσταμένη αρχή· ή

γ)  ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην Ένωση, και από τις πράξεις επεξεργασίας στο πλαίσιο εφαρμογής του παρόντος κανονισμού θίγονται κάτοικοι διαφόρων κρατών μελών.

3α.  Όταν ο υπεύθυνος επεξεργασίας δρα και ως εκτελών την επεξεργασία, η αρχή ελέγχου της κύριας εγκατάστασης του υπεύθυνου επεξεργασίας λειτουργεί ως προϊσταμένη αρχή όσον αφορά την εποπτεία των δραστηριοτήτων επεξεργασίας.

4.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να ορίσει την προϊσταμένη αρχή. [Τροπολογία 158]

ΚΕΦΑΛΑΙΟ VII

ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ

ΤΜΗΜΑ 1

ΣΥΝΕΡΓΑΣΙΑ

Άρθρο 55

Αμοιβαία συνδρομή

1.  Οι αρχές ελέγχου παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή για τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού με συνεκτικό τρόπο, θεσπίζουν δε μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου και διεξαγωγής ερευνών, όπως αιτήματα περί προηγούμενης έγκρισης και προηγούμενης διαβούλευσης, ελέγχου και άμεσης ενημέρωσης για την κίνηση υποθέσεων και τις επακόλουθες εξελίξεις στις περιπτώσεις όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένοι σε πολλά κράτη μέλη ή εάν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ενδέχεται να επηρεάζονται από πράξεις επεξεργασίας. Η προϊσταμένη αρχή όπως ορίζεται στο άρθρο 54α διασφαλίζει τον συντονισμό με τις εμπλεκόμενες αρχές ελέγχου και λειτουργεί ως ενιαίο σημείο επικοινωνίας για τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. [Τροπολογία 161]

2.  Κάθε αρχή ελέγχου λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει στο αίτημα άλλης αρχής ελέγχου χωρίς καθυστέρηση και το αργότερο έναν μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, ειδικότερα, τη διαβίβαση σχετικών πληροφοριών σχετικά με την πορεία μιας έρευνας ή τα μέτρα επιβολής για την παύση ή την απαγόρευση πράξεων επεξεργασίας που αντίκεινται στον παρόντα κανονισμό.

3.  Το αίτημα παροχής συνδρομής περιέχει όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένων του σκοπού του αιτήματος και των λόγων υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνον σε σχέση με το θέμα για το οποίο ζητήθηκαν.

4.  Αρχή ελέγχου στην οποία υποβάλλεται αίτημα παροχής συνδρομής δεν μπορεί να αρνηθεί να συμμορφωθεί προς αυτό, παρά μόνον εάν:

α)  δεν είναι αρμόδια για τον χειρισμό του αιτήματος· ή

β)  η συμμόρφωση προς το αίτημα δεν συμβιβάζεται με τις διατάξεις του παρόντος κανονισμού.

5.  Η αρχή ελέγχου στην οποία υποβλήθηκε το αίτημα ενημερώνει την αρχή ελέγχου που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο ή για τα μέτρα που λήφθηκαν για την ικανοποίηση του αιτήματος της αρχής που υπέβαλε το αίτημα.

6.  Οι αρχές ελέγχου παρέχουν τις πληροφορίες που ζητούνται από άλλες αρχές ελέγχου με ηλεκτρονικά μέσα και εντός της συντομότερης δυνατής προθεσμίας, χρησιμοποιώντας έναν τυποποιημένο μορφότυπο.

7.  Κανένα τέλος δεν επιβάλλεται στην αιτούσα αρχή ελέγχου για οποιαδήποτε ενέργεια λαμβάνεται σε συνέχεια αιτήματος αμοιβαίας συνδρομής. [Τροπολογία 160]

8.  Εάν η αρχή ελέγχου δεν ενεργήσει εντός προθεσμίας ενός μηνός στο αίτημα άλλης αρχής ελέγχου, η αρχή ελέγχου που υπέβαλε το αίτημα είναι αρμόδια να λάβει προσωρινά μέτρα στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 51 παράγραφος 1, και υποβάλλει το θέμα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 57. Εάν δεν είναι δυνατόν να ληφθεί οριστικό μέτρο επειδή δεν έχει ολοκληρωθεί ακόμη η παροχή συνδρομής, η αιτούσα αρχή ελέγχου μπορεί να λάβει προσωρινά μέτρα σύμφωνα με το άρθρο 53 στο έδαφος του κράτους μέλους στο οποίο ανήκει. [Τροπολογία 161]

9.  Η αρχή ελέγχου προσδιορίζει την περίοδο ισχύος του εν λόγω προσωρινού μέτρου, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Η αρχή ελέγχου κοινοποιεί αμελλητί τα εν λόγω μέτρα, παρέχοντας πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 57. [Τροπολογία 162]

10.  Η Επιτροπή Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένωνμπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες της εγκατάστασης την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ αρχών ελέγχου και μεταξύ αρχών ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 163]

Άρθρο 56

Κοινές πράξεις αρχών ελέγχου

1.  Για να εντείνουν τη συνεργασία και την αμοιβαία συνδρομή, οι αρχές ελέγχου εκτελούν κοινά καθήκοντα έρευνας, κοινά μέτρα επιβολής και άλλες κοινές πράξεις στις οποίες συμμετέχουν ορισμένα μέλη ή υπάλληλοι από αρχές ελέγχου άλλων κρατών μελών.

2.  Σε περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ενδέχεται να επηρεάζονται από πράξεις επεξεργασίας, μια αρχή ελέγχου από καθένα από τα εν λόγω κράτη μέλη δικαιούται να συμμετέχει στα κοινά καθήκοντα έρευνας ή στις κοινές πράξεις, ανάλογα με την περίπτωση. Η αρμόδια αρχή ελέγχου καλεί Η προϊσταμένη αρχή όπως ορίζεται στο άρθρο 54α εμπλέκειτις αρχές ελέγχου των εν λόγω κρατών μελών να λάβουν μέρος στα αντίστοιχα καθήκοντα έρευνας ή στις αντίστοιχες κοινές πράξεις και απαντά αμελλητί στο αίτημα αρχής ελέγχου να συμμετάσχει στις πράξεις. Η προϊσταμένη αρχή λειτουργεί ως ενιαίο σημείο επικοινωνίας για τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. [Τροπολογία 164]

3.  Κάθε αρχή ελέγχου μπορεί, ως αρχή ελέγχου υποδοχής, σε συμφωνία με το εθνικό της δίκαιο, και με την έγκριση της αρχής ελέγχου απόσπασης, να απονέμει εκτελεστικές εξουσίες, συμπεριλαμβανομένων καθηκόντων έρευνας, στα μέλη ή στους υπαλλήλους της αρχής ελέγχου απόσπασης που συμμετέχουν σε κοινές πράξεις ή, εφόσον το επιτρέπει το δίκαιο της αρχής ελέγχου υποδοχής, να επιτρέπει στα μέλη ή στους υπαλλήλους της αρχής ελέγχου απόσπασης να ασκούν τις εκτελεστικές εξουσίες τους σύμφωνα με το δίκαιο της αρχής ελέγχου απόσπασης. Οι εν λόγω εκτελεστικές εξουσίες μπορούν να ασκούνται μόνον υπό την καθοδήγηση και, κατά κανόνα, παρουσία μελών ή υπαλλήλων της αρχής ελέγχου υποδοχής. Τα μέλη ή οι υπάλληλοι της αρχής ελέγχου απόσπασης υπάγονται στο εθνικό δίκαιο της αρχής ελέγχου υποδοχής. Η αρχή ελέγχου υποδοχής αναλαμβάνει την ευθύνη για τις πράξεις τους.

4.  Οι αρχές ελέγχου θεσπίζουν τις πρακτικές πτυχές συγκεκριμένων δράσεων συνεργασίας.

5.  Εάν μια αρχή ελέγχου δεν συμμορφώνεται εντός προθεσμίας ενός μηνός προς την υποχρέωση που προβλέπεται στην παράγραφο 2, οι λοιπές αρχές ελέγχου είναι αρμόδιες να θεσπίσουν προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 51 παράγραφος 1.

6.  Η αρχή ελέγχου προσδιορίζει την περίοδο ισχύος του προσωρινού μέτρου που αναφέρεται στην παράγραφο 5, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Η αρχή ελέγχου κοινοποιεί αμελλητί τα εν λόγω μέτρα, παρέχοντας πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή και υποβάλλει το θέμα στον μηχανισμό που αναφέρεται στο άρθρο 57.

ΤΜΗΜΑ 2

ΣΥΝΕΚΤΙΚΟΤΗΤΑ

Άρθρο 57

Μηχανισμός συνεκτικότητας

Για τους σκοπούς που περιγράφονται στο άρθρο 46 παράγραφος 1, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή μέσω του μηχανισμού συνεκτικότητας ο οποίος προβλέπεται στο παρόν τμήμα τόσο επί θεμάτων γενικής εφαρμογής όσο και σε μεμονωμένες περιπτώσεις σύμφωνα με τις διατάξεις του παρόντος τμήματος. [Τροπολογία 165]

Άρθρο 58

Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων Συνέπεια επί θεμάτων γενικής εφαρμογής

1.  Προτού μια αρχή ελέγχου θεσπίσει ένα μέτρο το οποίο αναφέρεται στην παράγραφο 2, η εν λόγω αρχή ελέγχου κοινοποιεί το σχέδιο μέτρου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2.  Η υποχρέωση που προβλέπεται στην παράγραφο 1 εφαρμόζεται σε μέτρο το οποίο προορίζεται να έχει έννομες συνέπειες και το οποίο:

α)  σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή με την παρακολούθηση της συμπεριφοράς τους· ή

β)  μπορεί να επηρεάζει σημαντικά την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην Ένωση· ή

γ)  αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται σε προηγούμενη διαβούλευση δυνάμει του άρθρου 34 παράγραφος 5· ή

δ)  αποσκοπεί στον καθορισμό των τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 2 στοιχείο γ)· ή

ε)  αποσκοπεί στην έγκριση των συμβατικών ρητρών που αναφέρονται στο άρθρο 42 παράγραφος 2 στοιχείο δ)· ή

στ)  αποσκοπεί στην έγκριση δεσμευτικών εταιρικών κανόνων κατά την έννοια του άρθρου 43.

3.  Κάθε αρχή ελέγχου ή το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να ζητήσει την εξέταση οποιουδήποτε θέματος γενικής εφαρμογής στο πλαίσιο του μηχανισμού συνεκτικότητας, ιδίως εάν μια αρχή ελέγχου δεν υποβάλλει ένα σχέδιο μέτρου το οποίο αναφέρεται στην παράγραφο 2 ή δεν συμμορφώνεται προς τις υποχρεώσεις αμοιβαίας συνδρομής σύμφωνα με το άρθρο 55 ή κοινών πράξεων σύμφωνα με το άρθρο 56.

4.  Για τη διασφάλιση της ορθής και συνεκτικής εφαρμογής του παρόντος κανονισμού, η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε θέματος γενικής εφαρμογής στο πλαίσιο του μηχανισμού συνεκτικότητας.

5.  Οι αρχές ελέγχου και η Επιτροπή κοινοποιούν αμελλητί ηλεκτρονικά κάθε σχετική πληροφορία, συμπεριλαμβανομένης, ανάλογα με την περίπτωση, της σύνοψης των πραγματικών περιστατικών, του σχεδίου μέτρου και των λόγων για τους οποίους η εφαρμογή του εν λόγω μέτρου είναι αναγκαία, χρησιμοποιώντας τυποποιημένο μορφότυπο.

6.  Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει πάραυτα αμελλητί με ηλεκτρονικό τρόπο τα μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και την Επιτροπή για κάθε σχετική πληροφορία που του κοινοποιείται, χρησιμοποιώντας τυποποιημένο μορφότυπο. Ο πρόεδρος γραμματέας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων παρέχει μεταφράσεις των σχετικών πληροφοριών, εφόσον απαιτείται.

6α.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εγκρίνει γνώμη σχετικά με τα θέματα που αναφέρονται στην παράγραφο 2.

7.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη επί του θέματος, εφόσον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποφασίσει κάτι τέτοιο με απλή πλειοψηφία των μελών της ή εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν κάτι τέτοιο εντός μίας εβδομάδας από την παροχή των σχετικών πληροφοριών σύμφωνα με την παράγραφο 5. Η γνώμη εκδίδεται εντός προθεσμίας ενός μηνός με απλή πλειοψηφία των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει, αμελλητί, την αρχή ελέγχου που αναφέρεται, ανάλογα με την περίπτωση, στις παραγράφους 1 και 3, την Επιτροπή και την αρμόδια αρχή ελέγχου βάσει του άρθρου 51 για τη γνώμη, και τη δημοσιοποιεί μπορεί να αποφασίσει με απλή πλειοψηφία εάν θα εγκρίνει γνώμη επί οιουδήποτε θέματος που του υπεβλήθη δυνάμει των παραγράφων 3 και 4 λαμβάνοντας υπόψη τα εξής:

α)  κατά πόσον το θέμα παρουσιάζει νέα στοιχεία, λαμβανομένων υπόψη των νομικών ή αντικειμενικών εξελίξεων, ιδίως στον τομέα της τεχνολογίας των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας· και

β)  κατά πόσον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει εκδώσει γνώμη επί του ιδίου θέματος.

8.  Η αρχή ελέγχου που αναφέρεται στην παράγραφο 1 και η αρμόδια αρχή ελέγχου βάσει του άρθρου 51 λαμβάνουν υπόψη τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την ενημέρωσή τους σχετικά με τη γνώμη από τον πρόεδρο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ανακοινώνουν ηλεκτρονικά σε αυτόν και στην Επιτροπή κατά πόσον διατηρούν ή τροποποιούν το σχέδιο μέτρου και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο μέτρου, χρησιμοποιώντας τυποποιημένο μορφότυπο. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εγκρίνει γνωμοδοτήσεις σύμφωνα με τις παραγράφους 6α και 7 με απλή πλειοψηφία των μελών του. Οι γνωμοδοτήσεις αυτές δημοσιεύονται. [Τροπολογία 166]

Άρθρο 58α

Συνοχή σε μενομωμένες περιπτώσεις

1.  Πριν από τη λήψη μέτρων τα οποία αναπτύσσουν έννομες συνέπειες κατά την έννοια του άρθρου 54α, η προϊσταμένη αρχή κοινοποιεί όλες τις συναφείς πληροφορίες και υποβάλλει το σχέδιο μέτρων σε όλες τις άλλες αρμόδιες αρχές. Η προϊσταμένη αρχή δεν εγκρίνει το μέτρο εάν μία αρμόδια αρχή διαμηνύσει εντός τριών εβδομάδων ότι διατηρεί σοβαρές επιφυλάξεις για το μέτρο.

2.  Όταν μία αρμόδια αρχή έχει διατυπώσει σοβαρές επιφυλάξεις για ένα σχέδιο μέτρου της προϊσταμένης αρχής ή όταν η προϊσταμένη αρχή δεν υποβάλει σχέδιο μέτρου σύμφωνα με την παράγραφο 1 ή δεν ανταποκρίνεται στις υποχρεώσεις αμοιβαίας συνδρομής σύμφωνα με το άρθρο 55 ή κοινών δράσεων σύμφωνα με το άρθρο 56, το ζήτημα εξετάζεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

3.  Η προϊσταμένη αρχή και/ή άλλες εμπλεκόμενες δημόσιες αρχές και η Επιτροπή διαβιβάζουν αμελλητί με ηλεκτρονικό τρόπο στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και χρησιμοποιώντας ένα τυποποιημένο μορφότυπο όλες τις συναφείς πληροφορίες στις οποίες συμπεριλαμβάνονται, κατά περίπτωση, μια συνοπτική παρουσίαση των πραγματικών περιστατικών, το σχέδιο μέτρου, οι λόγοι που επιτάσσουν τη λήψη του μέτρου αυτού, οι επιφυλάξεις που διατυπώθηκαν κατά του μέτρου αυτού και οι απόψεις άλλων ενδιαφερόμενων αρχών ελέγχου.

4.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξετάζει το ζήτημα, λαμβάνοντας υπόψη τις συνέπειες του σχεδίου μέτρου της προϊσταμένης αρχής για τα θεμελιώδη δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα και αποφασίζει με απλή πλειοψηφία των μελών του εάν θα εκδώσει μια γνώμη επί του θέματος εντός δύο εβδομάδων από τη λήψη των συναφών πληροφοριών σύμφωνα με την παράγραφο 3.

5.  Σε περίπτωση που το ·Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποφασίσει να εκδώσει γνωμοδότηση, η γνωμοδότηση αυτή εκδίδεται και δημοσιεύεται εντός δύο εβδομάδων.

6.  Η προϊσταμένη αρχή λαμβάνει υπόψη τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την ενημέρωσή της σχετικά με τη γνώμη από τον πρόεδρο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ανακοινώνει ηλεκτρονικά σε αυτόν και στην Επιτροπή κατά πόσον διατηρεί ή τροποποιεί το σχέδιο μέτρου και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο μέτρου, χρησιμοποιώντας τυποποιημένο μορφότυπο. Όταν η προϊσταμένη αρχή δεν προτίθεται να ακολουθήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων παρέχει σχετική αιτιολόγηση.

7.  Σε περίπτωση που το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξακολουθεί να αντιτίθεται στο μέτρο της αρχής ελέγχου όπως αναφέρεται στην παράγραφο 5, δύναται, εντός μηνός, να εγκρίνει με πλειοψηφία δύο τρίτων ένα μέτρο το οποίο είναι δεσμευτικό για την αρχή ελέγχου. [Τροπολογία 167]

Άρθρο 59

Γνώμη της Επιτροπής

1.  Εντός δέκα εβδομάδων από την έγερση θέματος βάσει του άρθρου 58, ή το αργότερο εντός έξι εβδομάδων στην περίπτωση του άρθρου 61, η Επιτροπή μπορεί να εκδώσει γνώμη προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού, σε σχέση με θέματα που εγέρθηκαν δυνάμει του άρθρου 58 ή του άρθρου 61.

2.  Εάν η Επιτροπή εκδώσει γνώμη σύμφωνα με την παράγραφο 1, η ενδιαφερόμενη αρχή ελέγχου οφείλει να λάβει στον μέγιστο βαθμό υπόψη τη γνώμη της Επιτροπής και να ενημερώσει την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων κατά πόσον προτίθεται να διατηρήσει ή να τροποποιήσει το σχέδιο μέτρου.

3.  Κατά τη διάρκεια της περιόδου που αναφέρεται στην παράγραφο 1, η αρχή ελέγχου δεν μπορεί να εγκρίνει το σχέδιο μέτρου.

4.  Εάν η ενδιαφερόμενη αρχή ελέγχου προτίθεται να μην εφαρμόσει τη γνώμη της Επιτροπής, ενημερώνει σχετικά την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εντός της προθεσμίας που αναφέρεται στην παράγραφο 1 παρέχοντας αιτιολόγηση. Στην περίπτωση αυτή, το σχέδιο μέτρου δεν εγκρίνεται για έναν ακόμη μήνα. [Τροπολογία 168]

Άρθρο 60

Αναστολή σχεδίου μέτρου

1.  Εντός προθεσμίας ενός μηνός από την κοινοποίηση που αναφέρεται στο άρθρο 59 παράγραφος 4, και εφόσον η Επιτροπή έχει σοβαρές αμφιβολίες για το κατά πόσον το σχέδιο μέτρου θα διασφαλίσει την ορθή εφαρμογή του παρόντος κανονισμού ή θα έχει, αντιθέτως, ως αποτέλεσμα τη μη συνεκτική εφαρμογή του, η Επιτροπή μπορεί να εκδώσει αιτιολογημένη απόφαση με την οποία απαιτεί από την αρχή ελέγχου να αναστείλει την έγκριση του σχεδίου μέτρου, λαμβάνοντας υπόψη τη γνώμη που εξέδωσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 58 παράγραφος 7 ή του άρθρου 61 παράγραφος 2, εάν αυτό κρίνεται απαραίτητο προκειμένου:

α)  να επιτευχθεί συμβιβασμός των αποκλινουσών θέσεων της αρχής ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εάν αυτό φαίνεται ακόμη εφικτό· ή

β)  να θεσπισθεί ένα μέτρο δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο α).

2.  Η Επιτροπή προσδιορίζει τη διάρκεια της αναστολής η οποία δεν υπερβαίνει τους 12 μήνες.

3.  Κατά τη διάρκεια της περιόδου που αναφέρεται στην παράγραφο 2, η αρχή ελέγχου δεν μπορεί να εγκρίνει το σχέδιο μέτρου. [Τροπολογία 169]

Άρθρο 60α

Ενημέρωση του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

Η Επιτροπή ενημερώνει τακτικά το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, τουλάχιστον ανά εξάμηνο, με βάση μια έκθεση του προέδρου του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τις υποθέσεις που εξετάστηκαν στο πλαίσιο του μηχανισμού συνεκτικότητας και εκθέτει σε αυτή τα συμπεράσματα στα οποία κατέληξαν η Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σχετικά με την εξασφάλιση της ενιαίας εκτέλεσης και εφαρμογής του παρόντος κανονισμού. [Τροπολογία 170]

Άρθρο 61

Επείγουσα διαδικασία

1.  Σε εξαιρετικές περιπτώσεις, όταν μια αρχή ελέγχου θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σοβαρά η άσκηση δικαιώματος των προσώπων αυτών μέσω της μεταβολής της υφιστάμενης κατάστασης, για να αποφευχθούν σημαντικά προβλήματα ή για άλλους λόγους, δύναται, κατά παρέκκλιση από τη διαδικασία που αναφέρεται στο άρθρο 58 58α, να εγκρίνει χωρίς καθυστέρηση προσωρινά μέτρα με ορισμένη διάρκεια ισχύος. Η αρχή ελέγχου οφείλει να κοινοποιήσει τα εν λόγω μέτρα πάραυτα με πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή. [Τροπολογία 171]

2.  Εάν μια αρχή ελέγχου λάβει ένα μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι πρέπει να ληφθούν επειγόντως οριστικά μέτρα, μπορεί να ζητήσει επείγουσα γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, παρέχοντας τους λόγους για το αίτημα έκδοσης γνώμης, καθώς και για την επείγουσα ανάγκη λήψης οριστικών μέτρων.

3.  Κάθε αρχή ελέγχου μπορεί να ζητήσει επείγουσα γνώμη, όταν η αρμόδια αρχή ελέγχου δεν λάβει τα κατάλληλα μέτρα σε μια κατάσταση στην οποία υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα, παρέχοντας τους λόγους για το αίτημα έκδοσης γνώμης, καθώς και για την επείγουσα ανάγκη λήψης μέτρων.

4.  Κατά παρέκκλιση από το άρθρο 58 παράγραφος 7, Η επείγουσα γνώμη που αναφέρεται στις παραγράφους 2 και 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. [Τροπολογία 172]

Άρθρο 62

Εκτελεστικές πράξεις

1.  Η Επιτροπή, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, μπορεί να εκδίδει εκτελεστικές πράξεις γενικής εφαρμογής,προκειμένου:

α)  να αποφασίζει για την ορθή εφαρμογή του παρόντος κανονισμού σύμφωνα με τους στόχους και τις απαιτήσεις του σε σχέση με θέματα που κοινοποιούνται από τις αρχές ελέγχου δυνάμει του άρθρου 58 ή του άρθρου 61, σε σχέση με θέμα για το οποίο εκδόθηκε αιτιολογημένη απόφαση δυνάμει του άρθρου 60 παράγραφος 1, ή σε σχέση με θέμα για το οποίο μια αρχή ελέγχου δεν υποβάλει σχέδιο μέτρου και η εν λόγω αρχή ελέγχου δήλωσε ότι δεν προτίθεται να εφαρμόσει τη γνώμη της Επιτροπής η οποία εγκρίθηκε δυνάμει του άρθρου 59·

β)  να αποφασίζει, εντός της προθεσμίας που αναφέρεται στο άρθρο 59 παράγραφος 1, κατά πόσον αποδίδει γενική ισχύ σε σχέδια τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 58 42 παράγραφος 2 στοιχείο δ)·

γ)  να προσδιορίζει τον μορφότυπο και τις διαδικασίες για την εφαρμογή του μηχανισμού συνεκτικότητας που αναφέρεται στο παρόν τμήμα·

δ)  να προσδιορίζει τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ αρχών ελέγχου και μεταξύ αρχών ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, και ιδίως τον τυποποιημένο μορφότυπο που αναφέρεται στο άρθρο 58 παράγραφοι 5, 6 και 8.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

2.  Για δεόντως αιτιολογημένους επιτακτικούς και επείγοντες λόγους που σχετίζονται με τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα στις περιπτώσεις που αναφέρονται στην παράγραφο 1 στοιχείο α), η Επιτροπή εκδίδει αμέσως εφαρμοστέες εκτελεστικές πράξεις σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 87 παράγραφος 3. Οι πράξεις αυτές παραμένουν σε ισχύ για μέγιστο διάστημα 12 μηνών.

3.  Η απουσία μέτρου ή η έκδοση μέτρου στο πλαίσιο του παρόντος τμήματος δεν θίγει κανένα άλλο μέτρο που μπορεί να λάβει η Επιτροπή βάσει των Συνθηκών. [Τροπολογία 173]

Άρθρο 63

Εκτέλεση

1.  Για τους σκοπούς του παρόντος κανονισμού, εκτελεστό μέτρο της αρχής ελέγχου ενός κράτους μέλους εκτελείται σε όλα τα ενδιαφερόμενα κράτη μέλη.

2.  Εάν μια αρχή ελέγχου δεν υποβάλει σχέδιο μέτρου στον μηχανισμό συνεκτικότητας κατά παράβαση του άρθρου 58 παράγραφοι 1 έως 5 και 2, ή λαμβάνει ένα μέτρο παρά τη διατύπωση σοβαρών επιφυλάξεων σύμφωνα με το άρθρο 58α παράγραφος 1, το μέτρο της αρχής ελέγχου δεν είναι νομικά ισχυρό ούτε εκτελεστό. [Τροπολογία 174]

ΤΜΗΜΑ 3

ΕΥΡΩΠΑΪΚο συμβουλιο ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 64

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

1.  Με τον παρόντα κανονισμό συστήνεται Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

2.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων απαρτίζεται από τον προϊστάμενο μίας αρχής ελέγχου κάθε κράτους μέλους και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

3.  Εάν σε ένα κράτος μέλος υπάρχουν περισσότερες αρχές ελέγχου επιφορτισμένες με την παρακολούθηση της εφαρμογής των διατάξεων βάσει του παρόντος κανονισμού, οι αρχές ελέγχου ορίζουν τον προϊστάμενο μίας εκ των εν λόγω αρχών ως κοινό εκπρόσωπο.

4.  Η Επιτροπή δικαιούται να συμμετέχει στις δραστηριότητες και στις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και ορίζει έναν εκπρόσωπο. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή για όλες τις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Άρθρο 65

Ανεξαρτησία

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του δυνάμει των άρθρων 66 και 67.

2.  Με την επιφύλαξη των αιτημάτων της Επιτροπής που αναφέρονται στο άρθρο 67 παράγραφος 1 στοιχείο β) και στο άρθρο 66 παράγραφος 2, κατά την άσκηση των καθηκόντων του το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δεν ζητεί ούτε λαμβάνει οδηγίες από οποιονδήποτε.

Άρθρο 66

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή κατόπιν αιτήματος του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής, ειδικότερα:

α)  συμβουλεύει την Επιτροπή τα ευρωπαϊκά θεσμικά όργανα για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού·

β)  εξετάζει, με δική του πρωτοβουλία ή κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου ή της Επιτροπής, κάθε ζήτημα το οποίο αφορά την εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήρες γραμμές, συστάσεις και βέλτιστες πρακτικές οι οποίες απευθύνονται στις αρχές ελέγχου, με σκοπό να παροτρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων και όσον αφορά την άσκηση των εξουσιών επιβολής·

γ)  εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο στοιχείο β) και υποβάλλει τακτικά έκθεση στην Επιτροπή επ’ αυτών·

δ)  εκδίδει γνώμες για σχέδια αποφάσεων των αρχών ελέγχου δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 57·

δα)  γνωμοδοτεί για το ποια αρχή θα πρέπει να είναι η προϊσταμένη δυνάμει του άρθρου 54α παράγραφος 3·

ε)  προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και πρακτικών μεταξύ των αρχών ελέγχου, συμπεριλαμβανομένου του συντονισμού των κοινών επιχειρήσεων και άλλων κοινών δραστηριοτήτων, όταν αποφασίζει κατόπιν αιτήματος μίας ή περισσότερων αρχών ελέγχου·

στ)  προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ αρχών ελέγχου και, κατά περίπτωση, με τις αρχές ελέγχου τρίτων χωρών ή διεθνών οργανισμών·

ζ)  προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας των δεδομένων με τις αρχές ελέγχου της προστασίας των δεδομένων ανά τον κόσμο·

ζα)  διατυπώνει τη γνώμη του προς την Επιτροπή κατά την προετοιμασία των εκτελεστικών και κατ’ εξουσιοδότηση πράξεων βάσει του παρόντος κανονισμού·

ζβ)  γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 38 παράγραφος 4·

ζγ)  γνωμοδοτεί επί των κριτηρίων και των απαιτήσεων σχετικά με τους μηχανισμούς πιστοποίησης της προστασίας των δεδομένων, σύμφωνα με το άρθρο 39 παράγραφος 2·

ζδ)  διατηρεί δημόσιο ηλεκτρονικό μητρώο για τα έγκυρα και μη πιστοποιητικά σύμφωνα με το άρθρο 39 παράγραφος 1η·

ζε)  παρέχει συνδρομή στις εθνικές αρχές ελέγχου εφόσον το ζητήσουν·

ζστ)  εγκρίνει και δημοσιεύει κατάλογο πράξεων επεξεργασίας που υπόκεινται σε προηγούμενη διαβούλευση δυνάμει του άρθρου 34·

ζζ)  τηρεί μητρώο των κυρώσεων που επέβαλε η αρμόδια αρχή ελέγχου στους υπεύθυνους επεξεργασίας ή στους εκτελούντες την επεξεργασία.

2.  Όταν το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο ή η Επιτροπή ζητεί τη συμβουλή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, μπορεί να τάσσει μπορούν να τάσσουν προθεσμία εντός της οποίας το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να παράσχει την εν λόγω συμβουλή, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήρες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή καθώς και στην επιτροπή που αναφέρεται στο άρθρο 87, και τις δημοσιοποιεί.

4.  Η Επιτροπή ενημερώνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για τα μέτρα που λαμβάνει σε συνέχεια των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

4α.  Όπου είναι σκόπιμο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ζητεί τη γνώμη των ενδιαφερομένων μέρων και τους δίνει την ευκαιρία να υποβάλουν παρατηρήσεις μέσα σε εύλογη προθεσμία. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, με την επιφύλαξη του άρθρου 72, κοινοποιεί τα αποτελέσματα της διαβούλευσης.

4β.  Ανατίθεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με την παράγραφο 1 στοιχείο β) προκειμένου να θεσπιστούν κοινές διαδικασίες για τη λήψη και τη διερεύνηση πληροφοριών περί εικαζόμενης παράνομης επεξεργασίας και για τη διαφύλαξη του εμπιστευτικού χαρακτήρα των πληροφοριών και την προστασία των πηγών των πληροφοριών που ελήφθησαν. [Τροπολογία 175]

Άρθρο 67

Εκθέσεις

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενημερώνει τακτικά και εγκαίρως το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή για την έκβαση των δραστηριοτήτων της. Εκπονεί ετήσια έκθεση τουλάχιστον ανά διετία για την κατάσταση όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ένωση και σε τρίτες χώρες.

Η έκθεση περιλαμβάνει εξέταση της πρακτικής εφαρμογής των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο άρθρο 66 παράγραφος 1 στοιχείο γ). [Τροπολογία 176]

2.  Η έκθεση δημοσιοποιείται και διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή.

Άρθρο 68

Διαδικασία

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποφασίζει με απλή πλειοψηφία των μελών του, εκτός εάν ορίζεται άλλως στον εσωτερικό κανονισμό του. [Τροπολογία 177]

2.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εγκρίνει τον εσωτερικό κανονισμό του και οργανώνει τις λειτουργικές ρυθμίσεις του. Ειδικότερα, προβλέπει τη συνέχιση της άσκησης των καθηκόντων όταν η θητεία ενός μέλους λήγει ή ένα μέλος παραιτείται, τη σύσταση υποομάδων για συγκεκριμένα ζητήματα ή τομείς, και τις διαδικασίες του σε σχέση με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

Άρθρο 69

Πρόεδρος

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκλέγει έναν πρόεδρο και τουλάχιστον δύο αναπληρωτές προέδρους μεταξύ των μελών του. Ένας αναπληρωτής πρόεδρος είναι ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, εκτός εάν έχει εκλεγεί πρόεδρος. [Τροπολογία 178]

2.  Η διάρκεια της θητείας του προέδρου και των αναπληρωτών προέδρων είναι πέντε έτη και είναι ανανεώσιμη.

2α.  Η θέση του προέδρου είναι θέση πλήρους απασχόλησης. [Τροπολογία 179]

Άρθρο 70

Καθήκοντα του προέδρου

1.  Τα καθήκοντα του προέδρου είναι τα ακόλουθα:

α)  να συγκαλεί τις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και να καταρτίζει την ημερήσια διάταξή τους·

β)  να διασφαλίζει την έγκαιρη άσκηση των καθηκόντων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ιδίως σε σχέση με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

2.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καθορίζει τον καταμερισμό των καθηκόντων μεταξύ του προέδρου και των αναπληρωτών προέδρων στον εσωτερικό κανονισμό της.

Άρθρο 71

Γραμματεία

1.  Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαθέτει γραμματεία. Τη γραμματεία παρέχει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

2.  Η γραμματεία παρέχει αναλυτική, νομική, διοικητική και υλικοτεχνική στήριξη στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων υπό τη διεύθυνση του προέδρου. [Τροπολογία 180]

3.  Η γραμματεία είναι ειδικότερα υπεύθυνη για τα ακόλουθα:

α)  τις καθημερινές εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων·

β)  την επικοινωνία μεταξύ των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, του προέδρου του και της Επιτροπής, καθώς και την επικοινωνία με άλλα όργανα και με το κοινό·

γ)  τη χρήση ηλεκτρονικών μέσων για την εσωτερική και την εξωτερική επικοινωνία·

δ)  τη μετάφραση σχετικών πληροφοριών·

ε)  την προετοιμασία και τη συνέχεια που δίνεται στις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων·

στ)  την προετοιμασία, την κατάρτιση και τη δημοσίευση γνωμών και άλλων κειμένων που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 72

Εμπιστευτικότητα

1.  Οι εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων μπορούν, εφόσον είναι απαραίτητο, να είναι εμπιστευτικές εκτός εάν προβλέπεται κάτι διαφορετικό στον κανονισμό του. Οι ημερήσιες διατάξεις των συνεδριάσεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων δημοσιεύονται. [Τροπολογία 181]

2.  Τα έγγραφα που υποβάλλονται σε μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εμπειρογνώμονες και εκπροσώπους τρίτων είναι εμπιστευτικά, εκτός εάν παρασχεθεί πρόσβαση στα εν λόγω έγγραφα σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(18) ή εάν το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τα δημοσιοποιήσει άλλως πως.

3.  Τα μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, καθώς και οι εμπειρογνώμονες και οι εκπρόσωποι τρίτων, υποχρεούνται να σέβονται τις υποχρεώσεις εμπιστευτικότητας που προβλέπονται στο παρόν άρθρο. Ο πρόεδρος διασφαλίζει ότι οι εμπειρογνώμονες και οι εκπρόσωποι τρίτων ενημερώνονται για τις απαιτήσεις εμπιστευτικότητας που τους επιβάλλονται.

ΚΕΦΑΛΑΙΟ VIII

ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 73

Δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου

1.  Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών και του μηχανισμού συνεκτικότητας, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου σε οποιοδήποτε κράτος μέλος, εάν θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό.

2.  Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την προστασία των δεδομένων τους προσωπικού χαρακτήρα ενεργεί χάριν του δημοσίου συμφέροντος και έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους για λογαριασμό ενός ή περισσότερων εκ των εν λόγω προσώπων, εφόσον θεωρεί ότι τα δικαιώματά του/τους τα οποία απορρέουν από τον παρόντα κανονισμό παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

3.  Ανεξάρτητα από την καταγγελία του ενδιαφερομένου προσώπου, κάθε φορέας, οργανισμός ή οργάνωση που αναφέρεται στην παράγραφο 2 δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι υπήρξε παραβίαση δεδομένων προσωπικού χαρακτήρα του παρόντος κανονισμού. [Τροπολογία 182]

Άρθρο 74

Δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου

1.  Με την επιφύλαξη κάθε άλλης διοικητικής ή εξωδικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που το αφορούν.

2.  Με την επιφύλαξη κάθε άλλης διοικητικής ή μη εξωδικαστικής προσφυγής, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δικαίωμα δικαστικής προσφυγής, υποχρεώνοντας την αρχή ελέγχου να ενεργήσει επί καταγγελίας, απουσία απόφασης απαραίτητης για την προστασία των δικαιωμάτων του ή εάν η αρχή ελέγχου δεν το ενημερώσει εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας δυνάμει του άρθρου 52 παράγραφος 1 στοιχείο β).

3.  Η διαδικασία κατά αρχής ελέγχου κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

4.  Με την επιφύλαξη του μηχανισμού συνεκτικότητας, το πρόσωπο στο οποίο αναφέροντα τα δεδομένα, το οποίο επηρεάζεται από απόφαση αρχής ελέγχου κράτους μέλους διαφορετικού από εκείνο στο οποίο έχει τη συνήθη διαμονή του, μπορεί να ζητήσει από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία για λογαριασμό του κατά της αρμόδιας αρχής ελέγχου του άλλου κράτους μέλους.

5.  Τα κράτη μέλη εκτελούν τις οριστικές αποφάσεις των δικαστηρίων οι οποίες αναφέρονται στο παρόν άρθρο. [Τροπολογία 183]

Άρθρο 75

Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

1.  Με την επιφύλαξη οποιασδήποτε διαθέσιμης διοικητικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε αρχή ελέγχου που αναφέρεται στο άρθρο 73, κάθε φυσικό πρόσωπο έχει δικαίωμα δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν κατά παράβαση του παρόντος κανονισμού.

2.  Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή της Ένωσης ή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της. [Τροπολογία 184]

3.  Εάν εκκρεμεί διαδικασία στο πλαίσιο του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 58, η οποία αφορά το ίδιο μέτρο, την ίδια απόφαση ή την ίδια πρακτική, το δικαστήριο μπορεί να αναστείλει τη διαδικασία που κινήθηκε ενώπιόν του, εκτός εάν ο επείγων χαρακτήρας της υπόθεσης για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν επιτρέπει την αναμονή της έκβασης της διαδικασίας στο πλαίσιο του μηχανισμού συνεκτικότητας.

4.  Τα κράτη μέλη εκτελούν τις οριστικές αποφάσεις των δικαστηρίων οι οποίες αναφέρονται στο παρόν άρθρο.

Άρθρο 76

Κοινοί κανόνες για τις δικαστικές διαδικασίες

1.  Κάθε φορέας, οργανισμός ή οργάνωση που αναφέρεται στο άρθρο 73 παράγραφος 2 έχει δικαίωμα να ασκεί τα δικαιώματα που αναφέρονται στα άρθρα 74 και, 75 και 77 εάν έχει εξουσιοδοτηθεί από ένα ή περισσότερα πρόσωπα για λογαριασμό ενός ή περισσότερων προσώπων στα οποία αναφέρονται τα δεδομένα. [Τροπολογία 185]

2.  Κάθε αρχή ελέγχου έχει δικαίωμα να παρίσταται και να ασκεί αγωγή ενώπιον δικαστηρίου, προκειμένου να επιβάλει την τήρηση των διατάξεων του παρόντος κανονισμού ή να διασφαλίσει τη συνεκτικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

3.  Εάν αρμόδιο δικαστήριο σε ένα κράτος μέλος έχει βάσιμους λόγους να πιστεύει ότι διεξάγεται παράλληλη διαδικασία σε άλλο κράτος μέλος, επικοινωνεί με το αρμόδιο δικαστήριο του άλλου κράτους μέλους για να επιβεβαιώσει την ύπαρξη μιας τέτοιας παράλληλης διαδικασίας.

4.  Εάν η εν λόγω παράλληλη διαδικασία σε άλλο κράτος μέλος αφορά το ίδιο μέτρο, την ίδια απόφαση ή την ίδια πρακτική, το δικαστήριο μπορεί να αναστείλει τη διαδικασία.

5.  Τα κράτη μέλη διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, οι οποίες είναι διαθέσιμες βάσει του εθνικού δικαίου, επιτρέπουν την ταχεία λήψη μέτρων, συμπεριλαμβανομένων των προσωρινών, με σκοπό την παύση κάθε εικαζόμενης παραβίασης και την αποφυγή περαιτέρω βλάβης των σχετικών συμφερόντων.

Άρθρο 77

Δικαίωμα αποζημίωσης και ευθύνη

1.  Κάθε πρόσωπο το οποίο υπέστη ζημία, συμπεριλαμβανομένης της μη χρηματικής βλάβης, ως αποτέλεσμα παράνομης πράξης επεξεργασίας ή πράξης ασυμβίβαστης προς τον παρόντα κανονισμό δικαιούται αποζημίωσης να ζητήσει αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. [Τροπολογία 186]

2.  Εάν στην επεξεργασία εμπλέκονται περισσότεροι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία κάθε ένας από τους εν λόγω υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία ευθύνεται αλληλεγγύως και εις ολόκληρον για το συνολικό ποσό της ζημίας, εκτός εάν έχουν προβεί στη σύναψη κατάλληλης γραπτής συμφωνίας για τον προσδιορισμό των ευθυνών, σύμφωνα με το άρθρο 24. [Τροπολογία 187]

3.  Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να απαλλαγούν από την ευθύνη αυτή, εν όλω ή εν μέρει, εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξουν ότι δεν ευθύνονται για το γενεσιουργό γεγονός της ζημίας.

Άρθρο 78

Ποινικές κυρώσεις

1.  Τα κράτη μέλη θεσπίζουν τους κανόνες για τις ποινικές κυρώσεις που εφαρμόζονται στις παραβάσεις των διατάξεων του παρόντος κανονισμού και λαμβάνουν κάθε απαραίτητο μέτρο προκειμένου να διασφαλίζεται η εφαρμογή τους, μεταξύ άλλων σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν συμμορφώθηκε προς την υποχρέωσή του να ορίσει εκπρόσωπο. Οι προβλεπόμενες ποινικές κυρώσεις πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

2.  Εάν ο υπεύθυνος επεξεργασίας έχει ορίσει εκπρόσωπο, οι ενδεχόμενες ποινικές κυρώσεις εφαρμόζονται στον εκπρόσωπο, με την επιφύλαξη τυχόν κυρώσεων οι οποίες μπορεί να επιβληθούν κατά του υπευθύνου επεξεργασίας.

3.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 79

Διοικητικές κυρώσεις

1.  Κάθε αρχή ελέγχου εξουσιοδοτείται να επιβάλει διοικητικές κυρώσεις σύμφωνα με το παρόν άρθρο. Οι αρχές ελέγχου συνεργάζονται μεταξύ τους σύμφωνα με τα άρθρα 46 και 57 προκειμένου να διασφαλισθεί ένα εναρμονισμένο επίπεδο κυρώσεων εντός της Ένωσης.

2.  Η διοικητική κύρωση είναι σε κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. Το ύψος του διοικητικού προστίμου καθορίζεται λαμβάνοντας δεόντως υπόψη τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, τον δόλο ή την αμέλεια που προκάλεσε την παράβαση, τον βαθμό ευθύνης του φυσικού ή νομικού προσώπου και τις προηγούμενες παραβάσεις του εν λόγω προσώπου, τα τεχνικά και οργανωτικά μέτρα και τις διαδικασίες που εφαρμόζονται δυνάμει του άρθρου 23 και τον βαθμό συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παραβίασης.

2α.  Σε όποιον δεν συμμορφώνεται με τις υποχρεώσεις που προβλέπονται στον παρόντα κανονισμό, η αρχή ελέγχου επιβάλλει τουλάχιστον μία από τις ακόλουθες κυρώσεις:

α)  έγγραφη προειδοποίηση σε περίπτωση πρώτης και άνευ δόλου παράβασης·

β)  τακτικούς περιοδικούς ελέγχους για την προστασία των δεδομένων·

γ)  πρόστιμο ύψους έως 100 000 000 EUR, ή, σε περίπτωση επιχείρησης, έως 5 % του ετήσιου παγκόσμιου κύκλου εργασιών της, αναλόγως του ποιο ποσό είναι υψηλότερο.

2β.  Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν στην κατοχή τους έγκυρη «ευρωπαϊκή σφραγίδα προστασίας δεδομένων» δυνάμει του άρθρου 39, επιβάλλεται πρόστιμο, σύμφωνα με την παράγραφο 2α στοιχείο γ) μόνο σε περίπτωση μη συμμόρφωσης εκ δόλου ή εξ αμελείας.

2γ.  Κατά την επιβολή διοικητικών κυρώσεων λαμβάνονται υπόψη οι ακόλουθοι παράγοντες:

α)  η φύση, η βαρύτητα και η διάρκεια της μη συμμόρφωσης,

β)  η εκ δόλου ή εξ αμελείας πρόκληση της παράβασης,

γ)  ο βαθμός ευθύνης του φυσικού ή νομικού προσώπου και οι προηγούμενες παραβάσεις εκ μέρους του,

δ)  ο επαναλαμβανόμενος χαρακτήρας της παράβασης,

ε)  ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

στ)  οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

ζ)  το ύψος της ζημίας, συμπεριλαμβανομένης της μη χρηματικής βλάβης, την οποία υπέστησαν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα,

η)  οι ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να περιορίσει τη ζημία που υπέστησαν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα,

θ)  τα άμεσα ή έμμεσα σκοπούμενα ή αποκτηθέντα οικονομικά πλεονεκτήματα ή οι αποφευχθείσες απώλειες λόγω της παράβασης,

ι)  ο βαθμός στον οποίο εφαρμόζονται τα τεχνικά και οργανωτικά μέτρα και οι διαδικασίες δυνάμει των κάτωθι άρθρων:

i)  Άρθρο 23 - Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

ii)  Άρθρο 30 – Ασφάλεια επεξεργασίας

iii)  Άρθρο 33 – Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

iv)  Άρθρο 33α – Έλεγχος της τήρησης των διατάξεων περί προστασίας δεδομένων

v)  Άρθρο 35 - Ορισμός του υπευθύνου προστασίας δεδομένων

ια)  η άρνηση συνεργασίας με την αρχή ελέγχου ή η παρακώλυση των επιθεωρήσεων, ελέγχων και επαληθεύσεων που αυτή διεξάγει σύμφωνα με το άρθρο 53,

ιβ)  κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης.

3.  Σε περίπτωση πρώτης και άνευ δόλου παράβασης του παρόντος κανονισμού, μπορεί να παρασχεθεί έγγραφη προειδοποίηση και να μην επιβληθεί καμία κύρωση, εάν:

α)  ένα φυσικό πρόσωπο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς εμπορικό συμφέρον· ή

β)  μια επιχείρηση ή ένας οργανισμός που απασχολεί λιγότερα από 250 άτομα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον ως δραστηριότητα παρεπόμενη στις κύριες δραστηριότητές της.

4.  Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 250 000 ευρώ, ή σε περίπτωση επιχείρησης, έως 0,5 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή από αμέλεια:

α)  δεν προβλέπει τους μηχανισμούς για την υποβολή αιτημάτων από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα ή δεν απαντά αμέσως ή δεν απαντά σύμφωνα με τον απαιτούμενο μορφότυπο στα πρόσωπα στα οποία αναφέρονται τα δεδομένα δυνάμει του άρθρου 12 παράγραφοι 1 και 2·

β)  επιβάλλει τέλος για την παροχή ενημέρωσης ή απαντήσεων στα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά παράβαση του άρθρου 12 παράγραφος 4.

5.  Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 500 000 ευρώ, ή σε περίπτωση επιχείρησης, έως 1 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή αμέλεια:

α)  δεν παρέχει ενημέρωση ή παρέχει ελλιπή ενημέρωση ή δεν παρέχει ενημέρωση με επαρκώς διαφανή τρόπο στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δυνάμει του άρθρου 11, του άρθρου 12 παράγραφος 3 και του άρθρου 14·

β)  δεν παρέχει πρόσβαση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή δεν διορθώνει δεδομένα προσωπικού χαρακτήρα δυνάμει των άρθρων 15 και 16 ή δεν κοινοποιεί τις σχετικές πληροφορίες στον αποδέκτη δυνάμει του άρθρου 13·

γ)  δεν συμμορφώνεται προς το δικαίωμα των προσώπων στα οποία αναφέρονται τα δεδομένα να λησμονηθούν ή το δικαίωμα διαγραφής ή δεν θεσπίζει μηχανισμούς ώστε να διασφαλίζεται η τήρηση προθεσμιών ή δεν λαμβάνει όλα τα απαραίτητα μέτρα για να ενημερώσει τρίτους ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί να διαγραφεί κάθε σύνδεσμος, ή αντίγραφο ή αναπαραγωγή των δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 17·

δ)  δεν παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονικό μορφότυπο ή εμποδίζει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μεταφέρει τα δεδομένα προσωπικού χαρακτήρα σε άλλη εφαρμογή κατά παράβαση του άρθρου 18·

ε)  δεν καθορίζει ή δεν καθορίζει επαρκώς τις αντίστοιχες αρμοδιότητες με τους από κοινού υπευθύνους επεξεργασίας δυνάμει του άρθρου 24·

στ)  δεν τηρεί ή δεν τηρεί επαρκώς την τεκμηρίωση δυνάμει του άρθρου 28, του άρθρου 31 παράγραφος 4 και του άρθρου 44 παράγραφος 3·

ζ)  δεν συμμορφώνεται, στις περιπτώσεις στις οποίες δεν πρόκειται για ειδικές κατηγορίες δεδομένων, δυνάμει των άρθρων 80, 82 και 83 προς τους κανόνες που αφορούν την ελευθερία της έκφρασης ή προς τους κανόνες σχετικά με την επεξεργασία στο πλαίσιο της απασχόλησης ή προς τις προϋποθέσεις σχετικά με την επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας.

6.  Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 1 000 000 ευρώ ή σε περίπτωση επιχείρησης, έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή αμέλεια:

α)  επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς ή με ανεπαρκή νομική βάση για την επεξεργασία ή δεν συμμορφώνεται προς τις προϋποθέσεις της συγκατάθεσης δυνάμει των άρθρων 6, 7 και 8·

β)  επεξεργάζεται ειδικές κατηγορίες δεδομένων κατά παράβαση των άρθρων 9 και 81·

γ)  δεν σέβεται το δικαίωμα αντίταξης ή τις απαιτήσεις που προβλέπονται στο άρθρο 19 ·

δ)  δεν συμμορφώνεται προς τις προϋποθέσεις που αφορούν τα μέτρα που βασίζονται σε κατάρτιση προφίλ δυνάμει του άρθρου 20·

ε)  δεν θεσπίζει εσωτερικές πολιτικές ή δεν εφαρμόζει κατάλληλα μέτρα για τη διασφάλιση και την απόδειξη συμμόρφωσης δυνάμει των άρθρων 22, 23 και 30·

στ)  δεν ορίζει εκπρόσωπο δυνάμει του άρθρου 25·

ζ)  επεξεργάζεται ή δίνει εντολή για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά παράβαση των υποχρεώσεων που αφορούν την επεξεργασία για λογαριασμό υπευθύνου επεξεργασίας δυνάμει των άρθρων 26 και 27·

η)  δεν ειδοποιεί ούτε ενημερώνει για παραβίαση δεδομένων προσωπικού χαρακτήρα ή δεν ενημερώνει εμπρόθεσμα ή πλήρως για παραβίαση δεδομένων την αρχή ελέγχου ή το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δυνάμει των άρθρων 31 και 32·

θ)  δεν διενεργεί εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς προηγούμενη έγκριση της αρχής ελέγχου ή προηγούμενη διαβούλευση με την αρχή ελέγχου δυνάμει των άρθρων 33 και 34·

ι)  δεν ορίζει υπεύθυνο προστασίας δεδομένων ούτε διασφαλίζει τις προϋποθέσεις για την άσκηση των καθηκόντων δυνάμει των άρθρων 35, 36 και 37·

ια)  κάνει κατάχρηση σφραγίδας ή σήματος προστασίας δεδομένων κατά την έννοια του άρθρου 39·

ιβ)  διενεργεί ή δίνει εντολή για τη διενέργεια διαβίβασης δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό, η οποία δεν επιτρέπεται βάσει απόφασης περί επάρκειας ή με κατάλληλες εγγυήσεις ή μέσω παρέκκλισης δυνάμει των άρθρων 40 έως 44·

ιγ)  δεν συμμορφώνεται προς εντολή ή προς προσωρινή ή οριστική απαγόρευση της επεξεργασίας ή προς αναστολή της ροής δεδομένων που επιβάλλει η αρχή ελέγχου δυνάμει του άρθρου 53 παράγραφος 1·

ιδ)  δεν συμμορφώνεται προς τις υποχρεώσεις παροχής συνδρομής ή απάντησης ή παροχής σχετικών πληροφοριών ή πρόσβασης σε εγκαταστάσεις στην αρχή ελέγχου δυνάμει του άρθρου 28 παράγραφος 3, του άρθρου 29, του άρθρου 34 παράγραφος 6 και του άρθρου 53 παράγραφος 2·

ιε)  δεν συμμορφώνεται προς τους κανόνες για την προστασία του επαγγελματικού απορρήτου δυνάμει του άρθρου 84.

7.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για την επικαιροποίηση των απόλυτων ποσών των διοικητικών προστίμων που αναφέρονται στις παραγράφους 4, 5 και 6 στην παράγραφο 2α, λαμβάνοντας υπόψη τα κριτήρια και τους παράγοντες που αναφέρονται στην παράγραφο 2 στις παραγράφους 2 και 2γ. [Τροπολογία 188]

ΚΕΦΑΛΑΙΟ IX

ΔΙΑΤΑΞΕΙΣ ΠΟΥ ΑΦΟΡΟΥΝ ΕΙΔΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 80

Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης

1.  Τα κράτη μέλη προβλέπουν, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται αποκλειστικά για δημοσιογραφικούς σκοπούς ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις σχετικά με τις γενικές αρχές που περιέχονται στο κεφάλαιο II, με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα που περιέχονται στο κεφάλαιο III, με τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία που περιέχονται στο κεφάλαιο IV, με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς που περιέχονται στο κεφάλαιο V, με τις ανεξάρτητες αρχές ελέγχου που περιέχονται στο κεφάλαιο VI, και με τη συνεργασία και τη συνεκτικότητα που περιέχονται στο κεφάλαιο VII, και με τις συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων που προβλέπονται στο παρόν κεφάλαιο, όποτε αυτό είναι απαραίτητο, για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τους κανόνες που διέπουν την ελευθερία έκφρασης, σύμφωνα με τον Χάρτη. [Τροπολογία 189]

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

Άρθρο 80α

Πρόσβαση σε έγγραφα

1.  Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε έγγραφα που κατέχει δημόσια αρχή ή δημόσιος φορέας μπορούν να κοινοποιούνται από αυτήν την αρχή ή αυτόν τον φορέα, σύμφωνα με τη νομοθεσία της Ένωσης ή του κράτους μέλους για την πρόσβαση του κοινού στα επίσημα έγγραφα, η οποία συμβιβάζει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα.

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2, τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, και την ενημερώνει αμελλητί για κάθε επακόλουθη τροποποίησή τους. [Τροπολογία 190]

Άρθρο 81

Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία

1.  Εντός των ορίων του παρόντος κανονισμού και σύμφωνα Σύμφωνα με τους κανόνες που ορίζονται στον παρόντα κανονισμό και, ιδίως, με το άρθρο 9 παράγραφος 2 στοιχείο η), η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να βασίζεται στο δίκαιο της Ένωσης ή σε δίκαιο κράτους μέλους το οποίο προβλέπει κατάλληλα, συνεκτικά και συγκεκριμένα μέτρα για την προστασία των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα και να είναι απαραίτητη, στο βαθμό που αυτά είναι απαραίτητα και αναλογικά και των οποίων το αποτέλεσμα είναι προβλέψιμο από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για:

α)  σκοπούς προληπτικής ή επαγγελματικής ιατρικής, ιατρικής διάγνωσης, παροχής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών υπηρεσιών και εφόσον τα εν λόγω δεδομένα υποβάλλονται σε επεξεργασία από επαγγελματία του τομέα της υγείας, με την επιφύλαξη της υποχρέωσης τήρησης επαγγελματικού απορρήτου, ή άλλο πρόσωπο το οποίο υπέχει επίσης αντίστοιχη υποχρέωση εμπιστευτικότητας βάσει του δικαίου κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς· ή

β)  λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία κατά σοβαρών διασυνοριακών απειλών της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας, μεταξύ άλλων, για φαρμακευτικά προϊόντα ή ιατρικές συσκευές, και εφόσον την επεξεργασία των εν λόγω δεδομένων αναλαμβάνει ένα άτομο που τηρεί πλήρη εμπιστευτικότητα· ή

γ)  άλλους λόγους δημόσιου συμφέροντος σε τομείς όπως η κοινωνική προστασία, ιδίως με σκοπό να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων σχετικά με παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας και της παροχής υπηρεσιών υγείας. Η εν λόγω επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορά την υγεία για λόγους δημόσιου συμφέροντος δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέχει τη συγκατάθεσή του ή η επεξεργασία διενεργείται βάσει του ενωσιακού ή του εθνικού δικαίου.

1α.  Όταν οι σκοποί που αναφέρονται στα στοιχεία α) έως γ) της παραγράφου 1 μπορούν να επιτευχθούν χωρίς τη χρήση δεδομένων προσωπικού χαρακτήρα, τα δεδομένα αυτά δεν χρησιμοποιούνται για τους εν λόγω σκοπούς, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατατίθεται στη χρησιμοποίηση αυτή ή η επεξεργασία διενεργείται βάσει του δικαίου ενός κράτους μέλους.

1β.  Στις περιπτώσεις στις οποίες ζητείται η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για την επεξεργασία ιατρικών δεδομένων που προορίζονται αποκλειστικά για σκοπούς έρευνας στον τομέα της δημόσιας υγείας, η συγκατάθεση μπορεί να παρέχεται για μία ή περισσότερες παρόμοιες ειδικές έρευνες. Ωστόσο, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.

1γ.  Για τη συγκατάθεση στη συμμετοχή σε επιστημονικές έρευνες στο πλαίσιο κλινικών μελετών, εφαρμόζονται οι σχετικές διατάξεις της οδηγίας 2001/20/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(19).

2.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία η οποία είναι απαραίτητη για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, όπως τα μητρώα ασθενών που συστήνονται για τη βελτίωση των διαγνώσεων και τη διαφοροποίηση μεταξύ παρόμοιων τύπων ασθενειών και την εκπόνηση μελετών για θεραπείες, επιτρέπεται μόνο με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα και υπόκειται στις προϋποθέσεις και στις εγγυήσεις που αναφέρονται στο άρθρο 83.

2α.  Η νομοθεσία των κρατών μελών μπορεί να προβλέπει εξαιρέσεις όσον αφορά την απαίτηση να παρέχεται συγκατάθεσης για τη διεξαγωγή έρευνας, σύμφωνα με την παράγραφο 2, η οποία εξυπηρετεί υπέρτερα δημόσια συμφέροντα, εάν η εν λόγω έρευνα δεν είναι δυνατόν να διεξαχθεί με άλλο τρόπο. Τα σχετικά δεδομένα ανωνυμοποιούνται ή, εάν αυτό δεν είναι εφικτό για τους σκοπούς της έρευνας, ψευδωνυμοποιούνται βάσει των υψηλότερων τεχνικών προτύπων, και λαμβάνονται όλα τα απαραίτητα μέτρα για την πρόληψη μιας αδικαιολόγητης επανασύνδεσης με την ταυτότητα των προσώπων στα οποία αναφέρονται τα δεδομένα. Ωστόσο, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται ανά πάσα στιγμή να αποσύρει τη συγκατάθεσή του, σύμφωνα με το άρθρο 19.

3.  Η Επιτροπή, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό άλλων λόγων του δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας όπως αναφέρεται στην παράγραφο 1 στοιχείο β) καθώς και των κριτηρίων και των απαιτήσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στην παράγραφο 1 του υπέρτερου δημόσιου συμφέροντος στον τομέα της έρευνας, κατά την έννοια της παραγράφου 2α.

3α.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2, τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1 και την ενημερώνει αμελλητί για κάθε επακόλουθη τροποποίησή τους. [Τροπολογία 191]

Άρθρο 82

Ελάχιστα πρότυπα για την επεξεργασία δεδομένων στο πλαίσιο της απασχόλησης

1.  Εντός των ορίων του παρόντος κανονισμού, Τα κράτη μέλη, σύμφωνα με τους κανόνες που ορίζονται στον παρόντα κανονισμό, και λαμβάνοντας υπόψη την αρχή της αναλογικότητας, μπορούν να θεσπίζουν διά νόμου με νομοθετικές διατάξεις ειδικούς κανόνες που ρυθμίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως, και μεταξύ άλλων, για σκοπούς πρόσληψης, και αίτησης για εργασία εντός του ομίλου επιχειρήσεων, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή και από συλλογικές συμβάσεις, σύμφωνα με την εθνική νομοθεσία και πρακτική, διαχείρισης, προγραμματισμού και οργάνωσης της εργασίας, υγείας και ασφάλειας στην εργασία, και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση, και για σκοπούς καταγγελίας της σχέσης απασχόλησης. Τα κράτη μέλη μπορούν να προβλέπουν συλλογικές συμφωνίες για την περαιτέρω συγκεκριμενοποίηση των διατάξεων του άρθρου αυτού.

1α.  Ο σκοπός της επεξεργασίας των εν λόγω δεδομένων πρέπει να συνδέεται με τον λόγο για τον οποίο συγκεντρώθηκαν και να περιορίζεται στο πλαίσιο της απασχόλησης. Δεν επιτρέπονται η κατάρτιση προφίλ ή η χρήση για δευτερεύοντες σκοπούς.

1β.  Η συγκατάθεση ενός εργαζομένου δεν παρέχει νομική βάση για την επεξεργασία δεδομένων από τον εργοδότη, αν αυτή δεν έχει δοθεί ελεύθερα.

1γ.  Με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι διατάξεις των κρατών μελών, οι οποίες αναφέρονται στην παράγραφο 1, περιλαμβάνουν τουλάχιστον τα ακόλουθα ελάχιστα πρότυπα:

α)  η επεξεργασία δεδομένων εργαζομένου εν αγνοία του εργαζομένου δεν επιτρέπεται. Κατά παρέκκλιση από την πρώτη πρόταση, τα κράτη μέλη μπορούν να προβλέπουν διά νόμου, ο οποίος ορίζει τις δέουσες προθεσμίες με τη λήξη των οποίων διαγράφονται τα δεδομένα, το ενδεχόμενο αυτό να επιτρέπεται, εφόσον τεκμηριώνεται η υποψία ότι ο εργαζόμενος έχει διαπράξει αξιόποινη πράξη ή άλλη βαριά παράβαση καθήκοντος στο πλαίσιο της εργασιακής σχέσης, η διερεύνηση είναι αναγκαία για να διαλευκανθεί το ζήτημα και ο τρόπος και η έκταση της έρευνας είναι απαραίτητοι και ανάλογοι σε σχέση με τον επιδιωκόμενο σκοπό. Η ιδιωτική σφαίρα και ο ιδιωτικός βίος των εργαζομένων διαφυλάσσονται ανά πάσα στιγμή. Η διενέργεια της έρευνας εναπόκειται στις αρμόδιες αρχές·

β)  απαγορεύεται η ανοικτή οπτικο-ηλεκτρονική και/ή ακουστικο-ηλεκτρονική παρακολούθηση των τμημάτων της επιχείρησης στα οποία δεν έχει πρόσβαση το κοινό και τα οποία εξυπηρετούν κατ’ εξοχήν τους υπαλλήλους για προσωπικές ανάγκες, ιδίως σε τουαλέτες, αποδυτήρια, εντευκτήρια και κοιτώνες. Η κρυφή παρακολούθηση απαγορεύεται σε κάθε περίπτωση·

γ)  αν επιχειρήσεις ή αρχές στο πλαίσιο ιατρικών εξετάσεων ή/και δοκιμών καταλληλότητας διερευνούν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, εξηγούν εκ των προτέρων στον υποψήφιο ή στον υπάλληλο για ποιο σκοπό χρησιμοποιούνται αυτά τα δεδομένα και διασφαλίζουν ότι εν συνεχεία θα τους κοινοποιηθούν μαζί με τα αποτελέσματα και επιπλέον θα τους δοθεί σχετική εξήγηση , αν το ζητήσουν. Απαγορεύεται για λόγους αρχής η συλλογή δεδομένων με σκοπό γενετικές δοκιμές και αναλύσεις·

δ)  το αν και σε ποιο βαθμό η χρήση τηλεφώνων, ηλεκτρονικού ταχυδρομείου, Διαδικτύου και άλλων τηλεπικοινωνιακών υπηρεσιών επιτρέπεται και για ιδιωτικούς σκοπούς μπορεί να ρυθμίζεται μέσω συλλογικής συμβάσεως. Αν δεν υφίσταται ρύθμιση μέσω συλλογικής συμβάσεως, ο εργοδότης συνάπτει επ’ αυτού με τον εργαζόμενο σχετική συμφωνία. Εφόσον επιτρέπεται ιδιωτική χρήση, επιτρέπεται η επεξεργασία των αντίστοιχων δεδομένων κίνησης ιδίως για την ασφάλεια των δεδομένων, τη διασφάλιση της νόμιμης χρήσης τηλεπικοινωνιακών δικτύων και τηλεπικοινωνιακών υπηρεσιών και την κατάρτιση λογαριασμών.

Κατά παρέκκλιση από την τρίτη πρόταση, τα κράτη μέλη μπορούν να προβλέπουν διά νόμου, ο οποίος ορίζει τις δέουσες προθεσμίες με τη λήξη των οποίων διαγράφονται τα δεδομένα, το ενδεχόμενο αυτό να επιτρέπεται, εφόσον τεκμηριώνεται η υποψία ότι ο εργαζόμενος έχει διαπράξει αξιόποινη πράξη ή άλλη βαριά παράβαση καθήκοντος στο πλαίσιο της εργασιακής σχέσης, η διερεύνηση είναι αναγκαία για να διαλευκανθεί το ζήτημα και ο τρόπος και η έκταση της έρευνας δεν είναι περιττοί και δυσανάλογοι σε σχέση με τον επιδιωκόμενο σκοπό. Η ιδιωτική σφαίρα και ο ιδιωτικός βίος των εργαζομένων διαφυλάσσονται ανά πάσα στιγμή. Η διενέργεια της έρευνας εναπόκειται στις αρμόδιες αρχές·

ε)  Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων, ιδίως ευαίσθητα δεδομένα όπως οι πολιτικές πεποιθήσεις, η συμμετοχή και δραστηριότητες σε σωματεία, δεν επιτρέπεται επ’ ουδενί να χρησιμοποιούνται για να καταγράφονται εργαζόμενοι σε «μαύρες λίστες», να υποβάλλονται σε έλεγχο ή να αποκλείονται από μελλοντική απασχόληση. Απαγορεύεται η επεξεργασία, η χρήση σε επαγγελματικό πλαίσιο, η κατάρτιση και η διαβίβαση μαύρων λιστών εργαζομένων ή άλλες μορφές διακρίσεων. Τα κράτη μέλη διεξάγουν ελέγχους και επιβάλλουν ανάλογες κυρώσεις σύμφωνα με το άρθρο 79 παράγραφος 6 προκειμένου να εξασφαλίσουν την αποτελεσματική εφαρμογή του στοιχείου ε).

1δ.  Επιτρέπεται η ανταλλαγή και επεξεργασία προσωπικών δεδομένων εργαζομένου μεταξύ νομικά ανεξάρτητων επιχειρήσεων εντός ομίλου επιχειρήσεων, και με επαγγελματίες που παρέχουν νομικές και φορολογικές συμβουλές, εφόσον έχει απτή σχέση με τη λειτουργία της επιχείρησης, χρησιμοποιείται για τη διεκπεραίωση ειδικών εργασιακών ή διοικητικών διαδικασιών και δεν αντιστρατεύεται τα προστατευτέα συμφέροντα και τα θεμελιώδη δικαιώματα του προσώπου το οποίο αφορούν. Σε περίπτωση που τα δεδομένα του εργαζομένου διαβιβάζονται σε τρίτη χώρα και/ή σε διεθνή οργανισμό, εφαρμόζεται το κεφάλαιο V.

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1 των παραγράφων 1 και 1β, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει, αφού ζητήσει τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις εγγυήσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στην παράγραφο 1. [Τροπολογία 192]

Άρθρο 82α

Επεξεργασία στο πλαίσιο της κοινωνικής ασφάλισης

1.  Τα κράτη μέλη δύνανται να εγκρίνουν, σύμφωνα με τις διατάξεις του παρόντος κανονισμού, ειδικούς νομοθετικούς κανόνες που καθορίζουν τις προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τους δημόσιους οργανισμούς και τις υπηρεσίες κοινωνικής ασφάλισης, εφόσον διεξάγονται για λόγους δημοσίου συμφέροντος.

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2, τις διατάξεις που θεσπίζει δυνάμει της παραγράφου 1 και την ενημερώνει αμελλητί για κάθε επακόλουθη τροποποίησή τους. [Τροπολογία 193]

Άρθρο 83

Επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας

1.  Εντός των ορίων του παρόντος κανονισμού Σύμφωνα με τους κανόνες που θεσπίζει ο παρών κανονισμός, δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας μόνον εάν:

α)  οι σκοποί αυτοί δεν μπορούν να εκπληρωθούν άλλως πως μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση του προσώπου στα οποία αναφέρονται·

β)  τα δεδομένα που επιτρέπουν την απόδοση πληροφοριών σε πρόσωπο στο οποίο αναφέρονται, κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί, τηρούνται χωριστά από τις λοιπές πληροφορίες εφόσον οι σκοποί αυτοί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο σύμφωνα με τα υψηλότερα τεχνικά πρότυπα και λαμβάνονται όλα τα απαραίτητα μέτρα προκειμένου να αποφευχθεί μία παράνομη επανασύνδεση με την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.  Φορείς οι οποίοι διεξάγουν ιστορική, στατιστική ή επιστημονική έρευνα μπορούν να δημοσιεύουν ή να δημοσιοποιούν άλλως πως δεδομένα προσωπικού χαρακτήρα μόνον εάν:

α)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, σύμφωνα με τις προϋποθέσεις που προβλέπονται στο άρθρο 7·

β)  η δημοσίευση δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την παρουσίαση πορισμάτων έρευνας ή για τη διευκόλυνση έρευνας στον βαθμό που τα συμφέροντα ή τα θεμελιώδη δικαιώματα ή οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν υπερισχύουν των εν λόγω συμφερόντων·

γ)  το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δημοσιοποίησε τα δεδομένα.

3.  Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στις παραγράφους 1 και 2, καθώς και τυχόν απαραίτητων περιορισμών στα δικαιώματα ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και πρόσβασης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, αναφέροντας λεπτομερώς τις προϋποθέσεις και τις εγγυήσεις για τα δικαιώματα του εν λόγω προσώπου υπό τις συνθήκες αυτές. [Τροπολογία 194]

Άρθρο 83α

Επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες αρχείων

1.  Τα δεδομένα προσωπικού χαρακτήρα μπορούν, και πέραν της απαιτούμενης για την εκπλήρωση των σκοπών της αρχικής επεξεργασίας για τους οποίους έχουν συλλεχθεί χρονικής διάρκειας, να αποτελέσουν αντικείμενο επεξεργασίας από τις υπηρεσίες αρχείων, οι οποίες έχουν ως κύριο καθήκον ή νομική υποχρέωση τη συλλογή, την αποθήκευση, την ταξινόμηση, την κοινοποίηση, την αξιοποίηση και τη διάδοση αρχείων χάριν του δημοσίου συμφέροντος, ιδίως ενόψει της κατοχύρωσης των δικαιωμάτων των ατόμων ή για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς. Τα καθήκοντα αυτά ασκούνται σύμφωνα με τους κανόνες που θεσπίζουν τα κράτη μέλη στον τομέα της πρόσβασης, της γνωστοποίησης και της διάδοσης διοικητικών εγγράφων ή εγγράφων αρχείου, καθώς και σύμφωνα με τις διατάξεις του παρόντος κανονισμού που αφορούν ιδίως τη συγκατάθεση και το δικαίωμα αντίταξης.

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2, τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, και την ενημερώνει αμελλητί για κάθε επακόλουθη τροποποίησή τους. [Τροπολογία 195]

Άρθρο 84

Υποχρεώσεις τήρησης απορρήτου

1.  Εντός των ορίων του παρόντος κανονισμού Σύμφωνα με τους κανόνες που θεσπίζονται στον παρόντα κανονισμό, τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες εξασφαλίζουν ότι ισχύουν ειδικοί κανόνες για τον καθορισμό των εξουσιών έρευνας των αρχών ελέγχου, οι οποίες προβλέπονται στο άρθρο 53 παράγραφος 2, σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του εθνικού δικαίου ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνον σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν από ή εξασφάλισαν στο πλαίσιο δραστηριότητας η οποία καλύπτεται από την εν λόγω υποχρέωση απορρήτου. [Τροπολογία 196]

2.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 85

Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

1.  Εάν σε ένα κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, πλήρες σύνολο κανόνων κατάλληλους κανόνες οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονισθούν με τις διατάξεις του παρόντος κανονισμού.

2.  Οι εκκλησίες και οι θρησκευτικές ενώσεις οι οποίες εφαρμόζουν πλήρες σύνολο κανόνων κατάλληλους κανόνες σύμφωνα με την παράγραφο 1 προβλέπουν την ίδρυση ανεξάρτητης αρχής ελέγχου σύμφωνα με το κεφάλαιο VI του παρόντος κανονισμού εξασφαλίζουν πιστοποιητικό συμβατότητας σύμφωνα με το άρθρο 38. [Τροπολογία 197]

Άρθρο 85α

Σεβασμός των θεμελιωδών δικαιωμάτων

Με τον παρόντα κανονισμό δεν μεταβάλλεται η υποχρέωση σεβασμού των θεμελιωδών δικαιωμάτων και θεμελιωδών νομικών αρχών, όπως κατοχυρώνονται με το άρθρο 6 της ΣΕΕ. [Τροπολογία 198]

Άρθρο 85β

Τυποποιημένα έντυπα

1.  Η Επιτροπή, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων, θεσπίζει τυποποιημένα έντυπα για:

α)  τις ειδικές μεθόδους εξασφάλισης της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στο άρθρο 8 παράγραφος 1,

β)  την ενημέρωση που αναφέρεται στο άρθρο 12 παράγραφος 2, συμπεριλαμβανομένου του ηλεκτρονικού μορφοτύπου,

γ)  την παροχή των πληροφοριών που αναφέρονται στο άρθρο 14 παράγραφοι 1 έως 3,

δ)  την υποβολή αιτήματος πρόσβασης και τη χορήγηση πρόσβασης στις πληροφορίες που αναφέρονται στο άρθρο 15 παράγραφος 1, μεταξύ άλλων για τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα,

ε)  την τεκμηρίωση που αναφέρεται στο άρθρο 28 παράγραφος 1,

στ)  τις κοινοποιήσεις παραβιάσεων σύμφωνα με το άρθρο 31 προς την αρχή ελέγχου και την τεκμηρίωση που αναφέρεται το άρθρο 31 παράγραφος 4,

ζ)  τις προηγούμενες διαβουλεύσεις που αναφέρονται στο άρθρο 34, καθώς και για την ενημέρωση των αρχών ελέγχου σύμφωνα με το άρθρο 34 παράγραφος 6.

2.  Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

3.  Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2. [Τροπολογία 199]

ΚΕΦΑΛΑΙΟ X

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Άρθρο 86

Άσκηση της εξουσιοδότησης

1.  Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.

2.  Η εξουσιοδότηση εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων που αναφέρεται στο άρθρο 6 παράγραφος 5, στο άρθρο 8 παράγραφος 3, στο άρθρο 9 παράγραφος 3, στο άρθρο 12 παράγραφος 5, στο άρθρο 14 παράγραφος 7, στο άρθρο 15 παράγραφος 3 στο άρθρο 13α παράγραφος 5, στο άρθρο 17 παράγραφος 9, στο άρθρο 20 παράγραφος 6, στο άρθρο 22 παράγραφος 4, στο άρθρο 23 παράγραφος 3, στο άρθρο 26 παράγραφος 5, στο άρθρο 28 παράγραφος 5, στο άρθρο στο άρθρο 30 παράγραφος 3, στο άρθρο 31 παράγραφος 5, στο άρθρο 32 παράγραφος 5, στο άρθρο 33 παράγραφος 6, στο άρθρο 34 παράγραφος 8, στο άρθρο 35 παράγραφος 11, στο άρθρο 37 παράγραφος 2 στο άρθρο 38α παράγραφος 4, στο άρθρο 39 παράγραφος 2, στο άρθρο 41 παράγραφος 3, στο άρθρο 41 παράγραφος 5, στο άρθρο 43 παράγραφος 3, στο άρθρο 44 παράγραφος 7, στο άρθρο 79 παράγραφος 6, στο άρθρο 81 παράγραφος 3, και στο άρθρο 82 παράγραφος 3 και στο άρθρο 83 παράγραφος 3 ανατίθεται στην Επιτροπή για αόριστη χρονική περίοδο από την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού. [Τροπολογία 200]

3.  Η εξουσιοδότηση που αναφέρεται στο άρθρο 6 παράγραφος 5, στο άρθρο 8 παράγραφος 3, στο άρθρο 9 παράγραφος 3, στο άρθρο 12 παράγραφος 5, στο άρθρο 14 παράγραφος 7, στο άρθρο 15 παράγραφος 3, στο άρθρο 13α παράγραφος 5, στο άρθρο 17 παράγραφος 9, στο άρθρο 20 παράγραφος 6, στο άρθρο 22 παράγραφος 4, στο άρθρο 23 παράγραφος 3, στο άρθρο 26 παράγραφος 5, στο άρθρο 28 παράγραφος 5, στο άρθρο 30 παράγραφος 3, στο άρθρο 31 παράγραφος 5, στο άρθρο 32 παράγραφος 5, στο άρθρο 33 παράγραφος 6, στο άρθρο 34 παράγραφος 8, στο άρθρο 35 παράγραφος 11, στο άρθρο 37 παράγραφος 2, στο άρθρο 38 παράγραφος 4, στο άρθρο 39 παράγραφος 2, στο άρθρο 41 παράγραφος 3, στο άρθρο 41 παράγραφος 5, στο άρθρο 43 παράγραφος 3, στο άρθρο 44 παράγραφος 7, στο άρθρο 79 παράγραφος 6 7, στο άρθρο 81 παράγραφος 3, και στο άρθρο 82 παράγραφος 3 και στο άρθρο 83 παράγραφος 3 μπορεί να ανακληθεί οποτεδήποτε από το Ευρωπαϊκό Κοινοβούλιο ή από το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευση της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει το κύρος των ήδη εν ισχύι κατ’ εξουσιοδότηση πράξεων. [Τροπολογία 201]

4.  Μόλις εκδώσει κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5.  Κάθε κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 6 παράγραφος 5, του άρθρου 8 παράγραφος 3, του άρθρου 9 παράγραφος 3, του άρθρου 12 παράγραφος 5, του άρθρου 14 παράγραφος 7, του άρθρου 15 παράγραφος 3, του άρθρου 13α παράγραφος 5, του άρθρου 17 παράγραφος 9, του άρθρου 20 παράγραφος 6, του άρθρου 22 παράγραφος 4, του άρθρου 23 παράγραφος 3, του άρθρου 26 παράγραφος 5, του άρθρου 28 παράγραφος 5, του άρθρου 30 παράγραφος 3, του άρθρου 31 παράγραφος 5, του άρθρου 32 παράγραφος 5, του άρθρου 33 παράγραφος 6, του άρθρου 34 παράγραφος 8, του άρθρου 35 παράγραφος 11, του άρθρου 37 παράγραφος 2, του άρθρου 38 παράγραφος 4, του άρθρου 39 παράγραφος 2, του άρθρου 41 παράγραφος 3, του άρθρου 41 παράγραφος 5, του άρθρου 43 παράγραφος 3, του άρθρου 44 παράγραφος 7, του άρθρου 79 παράγραφος 6 7, του άρθρου 81 παράγραφος 3, και του άρθρου 82 παράγραφος 3 και του άρθρου 83 παράγραφος 3 τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο εντός δύο έξι μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο έξι μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου. [Τροπολογία 202]

Άρθρο 87

Διαδικασία επιτροπής

1.  Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.  Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3.  Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5. [Τροπολογία 203]

ΚΕΦΑΛΑΙΟ XI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 88

Κατάργηση της οδηγίας 95/46/ΕΚ

1.  Η οδηγία 95/46/ΕΚ καταργείται.

2.  Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που συστάθηκε με το άρθρο 29 της οδηγίας 95/46/ΕΚ θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.

Άρθρο 89

Σχέση με την οδηγία 2002/58/ΕΚ και τροποποίησή της

1.  Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ.

2.  Το άρθρο 1 παράγραφος 2, καθώς και τα άρθρα 4 και 15 της οδηγίας 2002/58/ΕΚ διαγράφεται διαγράφονται. [Τροπολογία 204]

2α.   Η Επιτροπή υποβάλλει αμελλητί και έως την ημερομηνία που ορίζεται στο άρθρο 91 παράγραφος 2 το αργότερο, πρόταση αναθεώρησης του νομικού πλαισίου που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες προκειμένου να προσαρμοστεί η νομοθεσία με τον παρόντα κανονισμό και να εξασφαλισθούν συνεκτικές και ενιαίες νομοθετικές διατάξεις σχετικά με το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση. [Τροπολογία 205]

Άρθρο 89α

Σχέση με τον κανονισμό (ΕΚ) αριθ. 45/2001 και τροποποίησή του

1.  Οι διατάξεις που θεσπίζονται στον παρόντα κανονισμό εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης σε συνάρτηση με θέματα που δεν υπόκεινται στους συμπληρωματικούς κανόνες του κανονισμού (ΕΚ) αριθ. 45/2001.

2.  Η Επιτροπή υποβάλλει αμελλητί και το αργότερο έως την ημερομηνία που ορίζεται στο άρθρο 91 παράγραφος 2, πρόταση αναθεώρησης του νομικού πλαισίου που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. [Τροπολογία 206]

Άρθρο 90

Αξιολόγηση

Η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στην Επιτροπή ανά τακτά χρονικά διαστήματα. Η πρώτη έκθεση υποβάλλεται το αργότερο τέσσερα έτη μετά την έναρξη ισχύος του παρόντος κανονισμού. Οι επακόλουθες εκθέσεις υποβάλλονται στη συνέχεια κάθε τέσσερα έτη. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση του παρόντος κανονισμού και την εναρμόνιση άλλων νομικών πράξεων, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας. Οι εκθέσεις δημοσιοποιούνται.

Άρθρο 91

Έναρξη ισχύος και εφαρμογή

1.  Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.  Τίθεται σε εφαρμογή από...(20).

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

...,

Για το Ευρωπαϊκό Κοινοβούλιο Για το Συμβούλιο

Ο Πρόεδρος Ο Πρόεδρος

Παράρτημα 1 - Παρουσίαση των στοιχείων που αναφέρονται στο άρθρο 13 α (νέο)

1)  Έχοντας υπόψη τις διαστάσεις που αναφέρονται στο σημείο 6, θα πρέπει να προβλέπονται τα εξής στοιχεία:

2)  Οι ακόλουθες λέξεις στις γραμμές στη δεύτερη στήλη του πίνακα στο σημείο 1 με τίτλο «ΟΥΣΙΩΔΕΙΣ ΠΛΗΡΟΦΟΡΙΕΣ" θα πρέπει να αναγράφονται με έντονους χαρακτήρες:

α)  η λέξη «συλλέγονται» στην πρώτη γραμμή της δεύτερης στήλης·

β)  η λέξη «διατηρούνται» στη δεύτερη γραμμή της δεύτερης στήλης·

γ)  η λέξη «υποβάλλονται σε επεξεργασία» στην τρίτη γραμμή της δεύτερης στήλης·

δ)  η λέξη «γνωστοποιούνται» στην τέταρτη γραμμή της δεύτερης στήλης·

ε)  η λέξη «πωλούνται και εκμισθώνονται» στην πέμπτη γραμμή της δεύτερης στήλης·

στ)  οι λέξεις «μη κρυπτογραφημένη» στην έκτη γραμμή της δεύτερης στήλης·

3)  Έχοντας υπόψη τις διαστάσεις που αναφέρονται στο σημείο 6, οι γραμμές στην τρίτη στήλη του πίνακα στο σημείο 1 με τίτλο «ΠΛΗΡΟΥΤΑΙ», θα πρέπει να συμπληρωθούν με ένα από τα κάτωθι δύο γραφήματα σύμφωνα με τις προϋποθέσεις που ορίζονται δυνάμει του σημείου 4:

α)

β)

4)  

α)  Εάν τα προσωπικά δεδομένα δεν συλλέγονται πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η πρώτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3α.

β)  Εάν τα προσωπικά δεδομένα συλλέγονται πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η πρώτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

γ)  Εάν τα προσωπικά δεδομένα δεν διατηρούνται πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η δεύτερη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3α.

δ)  Εάν τα προσωπικά δεδομένα διατηρούνται πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η δεύτερη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

ε)  Εάν τα προσωπικά δεδομένα δεν υποβάλλονται σε επεξεργασία πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η τρίτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

στ)  Εάν τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία πέρα του ελάχιστου απαραίτητου ορίου για κάθε ειδικό σκοπό της επεξεργασίας, η τρίτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

ζ)  Εάν τα προσωπικά δεδομένα δεν γνωστοποιούνται σε τρίτους για εμπορικούς σκοπούς, η τέταρτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3α.

η)  Εάν τα προσωπικά δεδομένα γνωστοποιούνται σε τρίτους για εμπορικούς σκοπούς, η τέταρτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

θ)  Εάν τα προσωπικά δεδομένα πωλούνται ή εκμισθώνονται, η πέμπτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3α.

ι)  Εάν τα προσωπικά δεδομένα πωλούνται ή εκμισθώνονται, η πέμπτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

ια)  Εάν τα προσωπικά δεδομένα δεν διατηρούνται σε μη κρυπτογραφημένη μορφή, η έκτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

ιβ)  Εάν τα προσωπικά δεδομένα διατηρούνται σε μη κρυπτογραφημένη μορφή, η έκτη γραμμή της τρίτης στήλης του πίνακα στο σημείο 1 περιέχει το γράφημα που αναφέρεται στο σημείο 3β.

5)  Τα χρώματα αναφοράς των γραφημάτων στο σημείο 1 σε Pantone είναι Black Pantone No 7547 και Red Pantone No 485. Το χρώμα αναφοράς του γραφήματος στο σημείο 3α σε Pantone είναι Green Pantone No 370. Το χρώμα αναφοράς του γραφήματος στο σημείο 3β σε Pantone είναι Green Pantone No 485.

6)  Οι διαστάσεις που παρατίθενται στο κάτωθι βαθμονομημένο σχέδιο θα πρέπει να τηρούνται, ακόμη και εάν ο πίνακας υπόκειται σε σμίκρυνση ή σε μεγέθυνση.

[Τροπολογία 207]

(1) ΕΕ C 229 της 31.7.2012, σ. 90. (2) ΕΕ C 192 της 30.6.2012, σ. 7. (3) Θέση του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014. (4) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31). (5) Σύσταση 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (ΕΕ L 124 της 20.5.2003, σ. 36). (6) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1). (7) Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 8ης Ιουνίου 2000 για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο») (ΕΕ L 178της 17.7.2000, σ. 1). (8) Οδηγία 93/13/ΕΟΚ του Συμβουλίου της 5ης Απριλίου 1993 σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95 της 21.4.1993, σ. 29). (9) Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (ΕΕ L 354 της 31.12.2008, σ. 70). (10) Οδηγία 2009/38/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Μαΐου 2009, για τη θέσπιση ευρωπαϊκού συμβουλίου εργαζομένων ή διαδικασίας σε επιχειρήσεις και ομίλους επιχειρήσεων κοινοτικής κλίμακας με σκοπό να ενημερώνονται οι εργαζόμενοι και να ζητείται η γνώμη τους (ΕΕ L 122 της 16.5.2009, σ. 28). (11) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13). (12) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37). (13) ΕΕ L 176 της 10.7.1999, σ. 36. (14) ΕΕ L 53 της 27.2.2008, σ. 52 . (15) ΕΕ L 160 της 18.6.2011, σ. 21. (16) Οδηγία 2004/18/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 31ης Μαρτίου 2004, περί συντονισμού των διαδικασιών σύναψης δημόσιων συμβάσεων έργων, προμηθειών και υπηρεσιών (ΕΕ L 134 της 30.4.2004, σ. 114). (17) Οδηγία 2004/17/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 31ης Μαρτίου 2004, περί συντονισμού των διαδικασιών σύναψης συμβάσεων στους τομείς του ύδατος, της ενέργειας, των μεταφορών και των ταχυδρομικών υπηρεσιών (ΕΕ L 134 της 30.4.2004, σ. 1). (18) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43). (19) Οδηγία 2001/20/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Απριλίου 2001, για την προσέγγιση των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών όσον αφορά την εφαρμογή ορθής κλινικής πρακτικής κατά τις κλινικές δοκιμές φαρμάκων προοριζομένων για τον άνθρωπο (ΕΕ L 121 της 1.5.2001, σ. 34) (20) Δύο έτη από την έναρξη ισχύος του παρόντος κανονισμού.