interactive GDPR 2016/0679 EL

1.   Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2.   Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

3.   Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα_προσωπικού_χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4.   Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα_προσωπικού_χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα_προσωπικού_χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

1.   Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2.   Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

3.   Τα δεδομένα_προσωπικού_χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4.   Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.

1.   Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

2.   Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής:

3.   Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

4.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

5.   Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

1.   Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

2.   Όταν η εποπτική_αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική_αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, και, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική_αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική_αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3.   Κατά τη διαβούλευση με την εποπτική_αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική_αρχή:

4.   Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.

5.   Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική_αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

1.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

3.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4.   Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5.   Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

1.   Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

2.   Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του παρόντος κανονισμού, όπως όσον αφορά:

3.   Πέραν της τήρησής τους από υπεύθυνους επεξεργασίας ή εκτελούντες την επεξεργασία υπαγόμενους στον παρόντα κανονισμό, οι κώδικες δεοντολογίας που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου και έχουν γενική ισχύ βάσει της παραγράφου 9 του παρόντος άρθρου μπορούν επίσης να τηρούνται από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία μη υπαγόμενους στον παρόντα κανονισμό σύμφωνα με το άρθρο 3, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο ε). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

4.   Ο κώδικας δεοντολογίας που αναφέρεται στην παράγράφο 2 του παρόντος άρθρου περιέχει μηχανισμούς που επιτρέπουν στον αναφερόμενο στο άρθρο 41 παράγραφος 1 φορέα να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν, με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.

5.   Ενώσεις και άλλοι φορείς που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου και προτίθενται να εκπονήσουν κώδικα δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενο κώδικα υποβάλλουν το σχέδιο κώδικα στην εποπτική_αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55. Η εποπτική_αρχή γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό και εγκρίνει το εν λόγω σχέδιο κώδικα, τροποποίηση ή επέκταση, εάν κρίνει ότι παρέχει επαρκείς κατάλληλες εγγυήσεις.

6.   Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση εγκρίνεται σύμφωνα με την παράγραφο 5 και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η εποπτική_αρχή καταχωρίζει και δημοσιεύει τον κώδικα.

7.   Σε περίπτωση που σχέδιο κώδικα δεοντολογίας αναφέρεται σε δραστηριότητες επεξεργασίας σε διάφορα κράτη μέλη, η εποπτική_αρχή που είναι αρμόδια κατά το άρθρο 55 το υποβάλλει, πριν από την έγκριση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης, στη διαδικασία που προβλέπεται στο άρθρο 63 στο Συμβούλιο Προστασίας Δεδομένων, το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου κώδικα, της τροποποίησης ή της επέκτασης προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως προς την παροχή επαρκών εγγυήσεων από αυτόν.

8.   Σε περίπτωση που η γνωμοδότηση που αναφέρεται στην παράγραφο 7 επιβεβαιώνει ότι το κώδικα, η τροποποίηση ή η επέκταση είναι σύμφωνα προς τον παρόντα κανονισμό ή, στην περίπτωση που αναφέρεται στην παράγραφο 3, παρέχουν επαρκείς εγγυήσεις, το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τη γνώμη του στην Επιτροπή.

9.   Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις που της υποβλήθηκαν δυνάμει της παραγράφου 8 του παρόντος άρθρου έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

10.   Η Επιτροπή διασφαλίζει τη δέουσα δημοσιότητα για τους εγκεκριμένους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 9.

11.   Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας, τις τροποποιήσεις και τις επεκτάσεις σε μητρώο και τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.

1.   Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

2.   Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3.   Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.

4.   Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.

5.   Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική_αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική_αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.

6   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 ή, ανάλογα με την περίπτωση, στην αρμόδια εποπτική_αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.

7.   Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική_αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.

8.   Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

1.   Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους πρέπει να διορίζεται με διαφανή διαδικασία από:

2.   Κάθε μέλος διαθέτει, ιδίως στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα, τα προσόντα, την εμπειρία και τις δεξιότητες που απαιτούνται για την εκτέλεση των καθηκόντων του και την άσκηση των αρμοδιοτήτων του.

3.   Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης, σύμφωνα με το δίκαιο του οικείου κράτους μέλους.

4.   Μέλος μπορεί να απολυθεί μόνο σε περίπτωση σοβαρού παραπτώματος ή εάν παύει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

1.   Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.

2.   Κάθε εποπτική_αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει σε αίτημα άλλης εποπτικής αρχής αμελλητί και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, ιδίως, τη διαβίβαση σχετικών πληροφοριών όσον αφορά τη διενέργεια έρευνας.

3.   Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, μεταξύ αυτών τον σκοπό και τους λόγους υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.

4.   Εποπτική αρχή στην οποία υποβλήθηκε αίτημα δεν αρνείται να συμμορφωθεί προς το αίτημα, παρά μόνο εάν:

5.   Η εποπτική_αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική_αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο των μέτρων που έλαβε για να ανταποκριθεί στο αίτημα. Η εποπτική_αρχή στην οποία υποβλήθηκε το αίτημα εξηγεί τους λόγους για οποιαδήποτε άρνηση συμμόρφωσης προς αίτημα δυνάμει της παραγράφου 4.

6.   Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.

7.   Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα δεν επιβάλλουν τέλος για οποιαδήποτε ενέργεια στην οποία προέβησαν σε συνέχεια αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.

8.   Εάν μια εποπτική_αρχή δεν παράσχει τις αναφερόμενες στην παράγραφο 5 του παρόντος άρθρου πληροφορίες εντός μηνός από την παραλαβή του αιτήματος άλλης εποπτικής αρχής, η εποπτική_αρχή που υπέβαλε το αίτημα δύναται να θεσπίσει προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 55 παράγραφος 1. Στην περίπτωση αυτή, θεωρείται ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων βάσει του άρθρο 66 παράγραφος 1 και απαιτείται επείγουσα δεσμευτική απόφαση του Συμβουλίου Προστασίας Δεδομένων, σύμφωνα με το άρθρο 66 παράγραφος 2.

9.   Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ ελεγκτικών αρχών και μεταξύ ελεγκτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 παράγραφος 2.

1.   Τα καθήκοντα του Προέδρου είναι τα ακόλουθα:

2.   Το Συμβούλιο Προστασίας Δεδομένων καθορίζει στον εσωτερικό κανονισμό του την κατανομή καθηκόντων μεταξύ του Προέδρου και των αναπληρωτών προέδρων.

1.   Tο υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2.   Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική_αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.

1.   Κάθε εποπτική_αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2.   Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

3.   Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4.   Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

5.   Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

6.   Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

7.   Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8.   Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.

9.   Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει επιβολή διοικητικών προστίμων, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική_αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, με την ταυτόχρονη διασφάλιση ότι τα εν λόγω ένδικα μέσα είναι αποτελεσματικά και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Τα εν λόγω κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις των νόμων τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούντα τροποποιητικό νόμο ή τροποποίησή τους.

1.   Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

2.   Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

1.   Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

2.   Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (ειδικές περιπτώσεις επεξεργασίας δεδομένων), εφόσον αυτές είναι αναγκαίες για να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία της έκφρασης και πληροφόρησης.

3.   Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 2 και, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

1.   Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

2.   Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.

3.   Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

1.   Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 παράγραφος 1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα_προσωπικού_χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2.   Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.