interactive GDPR 2016/0679 EL

α)	υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),

β)

συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),

γ)	είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),

δ)	είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

ε)

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα_προσωπικού_χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα_προσωπικού_χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

στ)

υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Άρθρο 6

Νομιμότητα της επεξεργασίας

1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)	το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β)	η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ)	η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

δ)	η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε)	η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ)

η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:

α)	το δίκαιο της Ένωσης, ή

β)	το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα_προσωπικού_χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα_προσωπικού_χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα_προσωπικού_χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

α)	τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα_προσωπικού_χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

β)	το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα_προσωπικού_χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,

γ)

τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα_προσωπικού_χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,

δ)	τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

ε)	την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

Άρθρο 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)	της ασφάλειας του κράτους,

β)	της εθνικής άμυνας,

γ)	της δημόσιας ασφάλειας,

δ)	της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

ε)

άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

στ)	της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

ζ)	της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

η)	της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),

θ)	της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

ι)	της εκτέλεσης αστικών αξιώσεων.

2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

α)	τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

β)	τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)	το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,

δ)	τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,

ε)	την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ)	τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

ζ)	τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και

η)	το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

ΚΕΦΑΛΑΙΟ IV

Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

Τμήμα 1

Γενικές υποχρεώσεις

Άρθρο 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:

α)

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα_προσωπικού_χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα_προσωπικού_χαρακτήρα διαβιβάζονται,

β)

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής_οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

γ)	τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής_οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική_αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

5. Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 παράγραφος 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.

Άρθρο 76

Εμπιστευτικότητα

1. Οι εργασίες του Συμβουλίου Προστασίας Δεδομένων οφείλουν να είναι εμπιστευτικές εφόσον το Συμβούλιο Προστασίας Δεδομένων το κρίνει αναγκαίο, όπως προβλέπεται στον εσωτερικό κανονισμό του.

2. Η πρόσβαση στα έγγραφα που υποβάλλονται σε μέλη του Συμβουλίου Προστασίας Δεδομένων, εμπειρογνώμονες και εκπροσώπους τρίτων διέπεται από τον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (21).

ΚΕΦΑΛΑΙΟ VIII

Προσφυγές, ευθύνη και κυρώσεις

Άρθρο 90

Υποχρεώσεις τήρησης απορρήτου

1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 παράγραφος 1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα_προσωπικού_χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

whereas

(39) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα_προσωπικού_χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα_προσωπικού_χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα_προσωπικού_χαρακτήρα θα πρέπει να είναι επαρκή και συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα να περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα_προσωπικού_χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα_προσωπικού_χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο, ώστε να διασφαλίζεται ότι τα δεδομένα_προσωπικού_χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα_προσωπικού_χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα_προσωπικού_χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού.

- = -

(62) Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση παροχής πληροφοριών, εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες, εάν η καταχώριση ή η κοινολόγηση των δεδομένων προσωπικού χαρακτήρα προβλέπεται ρητώς από τον νόμο ή εάν η παροχή πληροφοριών στο υποκείμενο των δεδομένων αποδεικνύεται ανέφικτη ή θα απαιτούσε δυσανάλογη προσπάθεια. Το τελευταίο θα μπορούσε να είναι ειδικότερα, όταν η επεξεργασία γίνεται για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Συναφώς, θα πρέπει να λαμβάνονται υπόψη ο αριθμός των υποκειμένων των δεδομένων, η ηλικία των δεδομένων και τυχόν κατάλληλες εγγυήσεις που θεσπίστηκαν.

- = -

(73) Μπορούν να επιβληθούν από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους περιορισμοί σχετικά με συγκεκριμένες βασικές αρχές και τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα εναντίωσης, στις αποφάσεις που βασίζονται σε κατάρτιση_προφίλ, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας, περιλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, της τήρησης δημόσιων αρχείων για λόγους γενικού συμφέροντος, της περαιτέρω επεξεργασίας αρχειοθετημένων δεδομένων προσωπικού χαρακτήρα για την παροχή συγκεκριμένων πληροφοριών σχετικών με την πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Οι εν λόγω περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

- = -

(97) Εάν η επεξεργασία διενεργείται από δημόσια αρχή, εξαιρουμένων των δικαστηρίων ή των ανεξάρτητων δικαστικών αρχών όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα, εφόσον, στον ιδιωτικό τομέα, η επεξεργασία διενεργείται από υπεύθυνο επεξεργασίας του οποίου οι βασικές δραστηριότητες περιλαμβάνουν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα, ένα πρόσωπο με ειδικές γνώσεις στο δίκαιο και στις πρακτικές προστασίας των δεδομένων θα πρέπει να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία κατά την παρακολούθηση της εσωτερικής συμμόρφωσης προς τον παρόντα κανονισμό. Στον ιδιωτικό τομέα, οι βασικές δραστηριότητες ενός υπευθύνου επεξεργασίας αφορούν τις κύριες δραστηριότητές του και όχι την επεξεργασία δεδομένων προσωπικού χαρακτήρα ως παρεπόμενη δραστηριότητα. Το αναγκαίο επίπεδο εμπειρίας θα πρέπει να καθορίζεται ειδικότερα ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα_προσωπικού_χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο.

- = -

(129) Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και κυρώσεις, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών δυνάμει του δικαίου του κράτους μέλους, την εξουσία να παραπέμπουν παραβάσεις των διατάξεων του παρόντος κανονισμού στις δικαστικές αρχές και να παίρνουν μέρος σε νομικές διαδικασίες. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Τα κράτη μέλη μπορούν να ορίσουν ειδικότερα άλλα καθήκοντα σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ιδίως, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί μεμονωμένο μέτρο εις βάρος του και να μην προκαλεί περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. Οι ερευνητικές εξουσίες όσον αφορά πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με τις ειδικές απαιτήσεις του δικονομικού δικαίου του κράτους μέλους, όπως η απαίτηση έκδοσης προηγούμενης δικαστικής έγκρισης. Κάθε νομικά δεσμευτικό μέτρο της εποπτικής αρχής θα πρέπει να υποβάλλεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την εποπτική_αρχή που το εξέδωσε, την ημερομηνία έκδοσής του, να φέρει την υπογραφή του προϊσταμένου ή μέλους της εποπτικής αρχής εξουσιοδοτημένου εκ μέρους του, να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής. Τούτο δεν θα πρέπει να αποκλείει τη δυνατότητα πρόσθετων απαιτήσεων σύμφωνα με το δικονομικό δίκαιο του κράτους μέλους. Η έκδοση νομικά δεσμευτικής απόφασης συνεπάγεται ότι μπορεί, ενδεχομένως, να αποτελέσει αντικείμενο δικαστικού ελέγχου στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση.

- = -

(152) Όταν ο παρών κανονισμός δεν εναρμονίζει διοικητικές ποινές ή αν είναι αναγκαίο σε άλλες περιπτώσεις, λόγου χάρη σε περιπτώσεις σοβαρών παραβάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόζουν ένα σύστημα αποτελεσματικών, αναλογικών και αποτρεπτικών ποινών. Η φύση των εν λόγω ποινών, ποινικών ή διοικητικών, θα πρέπει να προσδιορίζεται από το δίκαιο των κρατών μελών.

- = -

(153) Το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής, πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. Επομένως, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα που να προβλέπουν τις αναγκαίες εξαιρέσεις και παρεκκλίσεις για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Τα κράτη μέλη θα πρέπει να θεσπίσουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, τη συνεργασία και τη συνεκτικότητα και ειδικές περιπτώσεις επεξεργασίας δεδομένων. Όταν οι εν λόγω απαλλαγές ή παρεκκλίσεις διαφέρουν από το ένα κράτος μέλος στο άλλο, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται διασταλτικά οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία.

- = -

(164) Όσον αφορά τις εξουσίες των εποπτικών αρχών να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, τα κράτη μέλη μπορούν να θεσπίσουν διά νόμου, εντός των ορίων του παρόντος κανονισμού, ειδικούς κανόνες προκειμένου να διαφυλάσσονται οι υποχρεώσεις επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις απορρήτου, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου. Αυτό δεν θίγει τις ισχύουσες υποχρεώσεις του κράτους μέλους να θεσπίσει κανόνες περί επαγγελματικού απορρήτου, εφόσον αυτό απαιτείται από το δίκαιο της Ένωσης.

- = -

dal 2004 diritto e informatica