interactive GDPR 2016/0679 EL

α)	υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),

β)

συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),

γ)	είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),

δ)	είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

ε)

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα_προσωπικού_χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα_προσωπικού_χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

στ)

υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Άρθρο 9

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

α)

το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,

β)

η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,

γ)	η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

δ)

η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα_προσωπικού_χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,

ε)	η επεξεργασία αφορά δεδομένα_προσωπικού_χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

στ)	η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

ζ)

η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

η)

η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,

θ)

η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

ι)

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

3. Τα δεδομένα_προσωπικού_χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.

Άρθρο 14

Πληροφορίες που παρέχονται εάν τα δεδομένα_προσωπικού_χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

1. Όταν τα δεδομένα_προσωπικού_χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

α)	την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,

β)	τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση,

γ)	τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα_προσωπικού_χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,

δ)	τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

ε)	τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως,

στ)

κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα_προσωπικού_χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων:

α)	το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα_προσωπικού_χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,

β)	εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,

γ)

την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,

δ)	όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

ε)	το δικαίωμα υποβολής καταγγελίας σε εποπτική_αρχή,

στ)	την πηγή από την οποία προέρχονται τα δεδομένα_προσωπικού_χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,

ζ)

την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2:

α)	εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα_προσωπικού_χαρακτήρα υποβάλλονται σε επεξεργασία,

β)	εάν τα δεδομένα_προσωπικού_χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή

γ)	εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα_προσωπικού_χαρακτήρα γνωστοποιούνται για πρώτη φορά.

4. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα_προσωπικού_χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα_προσωπικού_χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.

5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:

α)	το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,

β)

η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 παράγραφος 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό,

γ)	η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

δ)	εάν τα δεδομένα_προσωπικού_χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

Άρθρο 21

Δικαίωμα εναντίωσης

1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα_προσωπικού_χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

2. Εάν δεδομένα_προσωπικού_χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα_προσωπικού_χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6. Όταν δεδομένα_προσωπικού_χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

Άρθρο 22

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.

2. Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση:

α)	είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων,

β)	επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή

γ)	βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

3. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

Τμήμα 5

Περιορισμοί

Άρθρο 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)	της ασφάλειας του κράτους,

β)	της εθνικής άμυνας,

γ)	της δημόσιας ασφάλειας,

δ)	της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

ε)

άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

στ)	της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

ζ)	της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

η)	της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),

θ)	της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

ι)	της εκτέλεσης αστικών αξιώσεων.

2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

α)	τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

β)	τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)	το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,

δ)	τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,

ε)	την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ)	τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

ζ)	τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και

η)	το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

ΚΕΦΑΛΑΙΟ IV

Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

Τμήμα 1

Γενικές υποχρεώσεις

Άρθρο 36

Προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

2. Όταν η εποπτική_αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 παραβαίνει τον παρόντα κανονισμό, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική_αρχή παρέχει γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, και, όπου απαιτείται, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 58. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική_αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, όπου απαιτείται, τον εκτελούντα την επεξεργασία για την εν λόγω παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης. Οι εν λόγω προθεσμίες μπορούν να αναστέλλονται έως ότου η εποπτική_αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης.

3. Κατά τη διαβούλευση με την εποπτική_αρχή δυνάμει της παραγράφου 1, ο υπεύθυνος επεξεργασίας παρέχει στην εποπτική_αρχή:

α)	κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων,

β)	τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,

γ)	τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό,

δ)	κατά περίπτωση, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων,

ε)	την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων που προβλέπεται στο άρθρο 35, και

στ)	κάθε άλλη πληροφορία που ζητεί η εποπτική_αρχή.

4. Τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα, τα οποία αφορούν την επεξεργασία.

5. Κατά παρέκκλιση από την παράγραφο 1, το δίκαιο του κράτους μέλους μπορεί να απαιτεί από τους υπευθύνους επεξεργασίας να διαβουλεύονται και να λαμβάνουν προηγούμενη άδεια από την εποπτική_αρχή σε σχέση με την επεξεργασία από υπεύθυνο επεξεργασίας για την εκτέλεση καθήκοντος που ασκείται από τον εν λόγω υπεύθυνο προς το δημόσιο συμφέρον, περιλαμβανομένης της επεξεργασίας σε σχέση με την κοινωνική προστασία και τη δημόσια υγεία.

Τμήμα 4

Υπεύθυνος προστασίας δεδομένων

Άρθρο 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:

α)

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα_προσωπικού_χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα_προσωπικού_χαρακτήρα διαβιβάζονται,

β)

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής_οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

γ)	τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής_οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική_αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

5. Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 παράγραφος 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.

Άρθρο 50

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:

α)	την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

β)

την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,

γ)	τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

δ)	την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

ΚΕΦΑΛΑΙΟ VI

Ανεξάρτητες εποπτικές αρχές

Τμήμα 1

Ανεξάρτητο καθεστώς

Άρθρο 51

Εποπτική αρχή

1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (« εποπτική_αρχή»).

2. Κάθε εποπτική_αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.

3. Εάν σε ένα κράτος μέλος συσταθούν περισσότερες της μίας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική_αρχή που θα εκπροσωπεί τις εν λόγω αρχές στο Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των υπόλοιπων αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 63.

4. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 57

Καθήκοντα

1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική_αρχή στο έδαφός της:

α)	παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,

β)	προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά,

γ)	συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας,

δ)	προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

ε)	κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού και, ενδεχομένως, συνεργάζεται για τον σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη,

στ)

χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική_αρχή,

ζ)	συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού,

η)	διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική_αρχή ή άλλη δημόσια αρχή,

θ)	παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών των πληροφοριών και των επικοινωνιών και των εμπορικών πρακτικών,

ι)	θεσπίζει τυποποιημένες συμβατικές ρήτρες του άρθρου 28 παράγραφος 8 και του άρθρου 46 παράγραφος 2 στοιχείο δ),

ια)	καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 παράγραφος 4,

ιβ)	παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 παράγραφος 2,

ιγ)	ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 παράγραφος 1 και διατυπώνει γνώμη και εγκρίνει τέτοιους κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις, σύμφωνα με το άρθρο 40 παράγραφος 5,

ιδ)	ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας των δεδομένων δυνάμει του άρθρου 42 παράγραφος 1 και εγκρίνει τα κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5,

ιε)	κατά περίπτωση, διενεργεί περιοδική επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7,

ιστ)	σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,

ιζ)	διενεργεί τη διαπίστευση φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43,

ιη)	επιτρέπει συμβατικές ρήτρες και διατάξεις του άρθρου 46 παράγραφος 3,

ιθ)	εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47,

κ)	συμβάλλει στις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων,

κα)	τηρεί εσωτερικά αρχεία των παραβάσεων του παρόντος κανονισμού και των μέτρων που λαμβάνονται σύμφωνα με το άρθρο 58 παράγραφος 2, και

κβ)	εκπληρώνει κάθε άλλο καθήκον σχετικό με την προστασία δεδομένων προσωπικού χαρακτήρα.

2. Κάθε εποπτική_αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ) με μέτρα όπως το έντυπο υποβολής καταγγελίας το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

3. Κάθε εποπτική_αρχή ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το υποκείμενο των δεδομένων και, κατά περίπτωση, για τον υπεύθυνο προστασίας δεδομένων.

4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική_αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική_αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

Άρθρο 66

Επείγουσα διαδικασία

1. Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική_αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται, κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας των άρθρων 63, 64 και 65 ή τη διαδικασία του άρθρου 60, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες. Η εποπτική_αρχή ανακοινώνει αμελλητί τα εν λόγω μέτρα, καθώς και την αιτιολόγηση για τη θέσπισή τους, στις υπόλοιπες ενδιαφερόμενες εποπτικές αρχές, στο Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2. Εάν εποπτική_αρχή έχει λάβει μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι απαιτούνται επειγόντως οριστικά μέτρα, μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή επείγουσας δεσμευτικής απόφασης από το Συμβούλιο Προστασίας Δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση.

3. Κάθε εποπτική_αρχή μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή δεσμευτικής απόφασης, ανάλογα με την περίπτωση, από το Συμβούλιο Προστασίας Δεδομένων, όταν δεν έχουν ληφθεί τα κατάλληλα μέτρα από αρμόδια εποπτική_αρχή σε περίπτωση στην οποία απαιτείται επειγόντως η λήψη μέτρων για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση, μεταξύ άλλων και την επείγουσα ανάγκη λήψης μέτρων.

4. Κατά παρέκκλιση από το άρθρο 64 παράγραφος 3 και το άρθρο 65 παράγραφος 2, η επείγουσα γνώμη ή η επείγουσα δεσμευτική απόφαση κατά τις παραγράφους 2 και 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων.

Άρθρο 80

Εκπροσώπηση υποκειμένων των δεδομένων

1. Tο υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική_αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.

Άρθρο 88

Επεξεργασία στο πλαίσιο της απασχόλησης

1. Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

whereas

(3) Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) επιδιώκει την εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.

- = -

(9) Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν ισχυροί, η οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα. Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ.

- = -

(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν εθνικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων του παρόντος κανονισμού. Σε συνδυασμό με το γενικό και οριζόντιο δίκαιο περί προστασίας δεδομένων που αποσκοπεί στην εφαρμογή της οδηγίας 95/46/EΚ, στα κράτη μέλη ισχύουν διάφοροι τομεακοί νόμοι σε τομείς που χρειάζονται ειδικότερες διατάξεις. Ο παρών κανονισμός παρέχει επίσης περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»). Σε αυτόν τον βαθμό, ο παρών κανονισμός δεν αποκλείει το δίκαιο των κρατών μελών να προσδιορίζει τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.

- = -

(16) Ο παρών κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη όταν αυτά εκτελούν δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.

- = -

(47) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα_προσωπικού_χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα_προσωπικού_χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, η εν λόγω νομική βάση δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.
H επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία για τους σκοπούς πρόληψης της απάτης, συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας.
H επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι διενεργείται χάριν έννομου συμφέροντος.

- = -

(51) Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τα εν λόγω δεδομένα_προσωπικού_χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα_προσωπικού_χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Τέτοια δεδομένα_προσωπικού_χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία επιτρέπεται σε ειδικές περιπτώσεις που προβλέπονται στον παρόντα κανονισμό, λαμβάνοντας υπόψη ότι το δίκαιο των κρατών μελών μπορεί να προβλέπει ειδικές διατάξεις για την προστασία των δεδομένων, προκειμένου να προσαρμόζεται η εφαρμογή των κανόνων του παρόντος κανονισμού λόγω συμμόρφωσης προς νομική υποχρέωση ή λόγω εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η εν λόγω επεξεργασία, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.

- = -

(54) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συναίνεση του υποκειμένου των δεδομένων. Η εν λόγω επεξεργασία θα πρέπει να υπόκειται σε κατάλληλα και ειδικά μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Στο πλαίσιο αυτό, η «δημόσια υγεία» θα πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11), δηλαδή ως το σύνολο των στοιχείων που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, περιλαμβανομένων της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται για την υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν, καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Αυτή η επεξεργασία δεδομένων σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές εταιρείες και τράπεζες.

- = -

(69) Όταν δεδομένα_προσωπικού_χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας ή για λόγους έννομων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου μέρους, κάθε υποκείμενο των δεδομένων θα πρέπει να δικαιούται παρ' όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων προσωπικού χαρακτήρα που αφορούν την ιδιαίτερη κατάστασή του. Θα πρέπει να εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι τα επιτακτικά έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

- = -

(73) Μπορούν να επιβληθούν από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους περιορισμοί σχετικά με συγκεκριμένες βασικές αρχές και τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα εναντίωσης, στις αποφάσεις που βασίζονται σε κατάρτιση_προφίλ, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας, περιλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, της τήρησης δημόσιων αρχείων για λόγους γενικού συμφέροντος, της περαιτέρω επεξεργασίας αρχειοθετημένων δεδομένων προσωπικού χαρακτήρα για την παροχή συγκεκριμένων πληροφοριών σχετικών με την πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Οι εν λόγω περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

- = -

(75) Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα_προσωπικού_χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή συμφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα_προσωπικού_χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.

- = -

(78) Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή επεξεργάζονται δεδομένα_προσωπικού_χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών, ώστε, λαμβανομένων υπόψη των τελευταίων εξελίξεων, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.

- = -

(79) Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, μεταξύ άλλων σε σχέση με την παρακολούθηση από τις εποπτικές αρχές και τα μέτρα εποπτικών αρχών, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

- = -

(113) Διαβιβάσεις οι οποίες μπορούν να χαρακτηρισθούν μη επαναλαμβανόμενες και οι οποίες αφορούν περιορισμένο αριθμό υποκειμένων των δεδομένων ενδέχεται να επιτρέπονται επίσης λόγω επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων δεν υπερισχύουν των συμφερόντων αυτών και όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει ιδίως υπόψη τη φύση των δεδομένων προσωπικού χαρακτήρα, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης ή πράξεων επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, και να προβλέπει τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις αυτές θα πρέπει να είναι δυνατές μόνο στις περιπτώσεις στις οποίες δεν συντρέχει κανένας από τους άλλους λόγους μεταβίβασης. Για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει την εποπτική_αρχή και το υποκείμενο των δεδομένων για τη διαβίβαση.

- = -

(137) Ενδέχεται να υπάρχει επείγουσα ανάγκη λήψης μέτρων για την προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σημαντικά η άσκηση δικαιώματος ενός υποκειμένου των δεδομένων. Επομένως, μια εποπτική_αρχή θα πρέπει να μπορεί να θεσπίζει δεόντως αιτιολογημένα προσωρινά μέτρα στο έδαφός της με προσδιορισμένη διάρκεια ισχύος η οποία δεν θα πρέπει να υπερβαίνει τους τρεις μήνες.

- = -

(166) Για την εκπλήρωση των στόχων του παρόντος κανονισμού, δηλαδή την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ΣΛΕΕ. Ειδικότερα, θα πρέπει να εκδίδονται κατ' εξουσιοδότηση πράξεις σχετικά με τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, τις πληροφορίες που παρουσιάζονται με τυποποιημένα εικονίδια και τις διαδικασίες για την παροχή τέτοιων εικονιδίων. Είναι ιδιαίτερα σημαντικό να πραγματοποιεί η Επιτροπή τις κατάλληλες διαβουλεύσεις κατά τις προπαρασκευαστικές εργασίες της, μεταξύ άλλων και σε επίπεδο εμπειρογνωμόνων. Η Επιτροπή, κατά την επεξεργασία και κατάρτιση των κατ' εξουσιοδότηση πράξεων, θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

- = -

(173) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18), περιλαμβανομένων των υποχρεώσεων του υπευθύνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Για την αποσαφήνιση της σχέσης μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η εν λόγω οδηγία θα πρέπει να τροποποιηθεί ανάλογα. Μόλις εκδοθεί ο παρών κανονισμός, θα πρέπει να επανεξεταστεί η οδηγία 2002/58/EΚ, ιδίως για να διασφαλιστεί η συνοχή της με τον παρόντα κανονισμό,

- = -

dal 2004 diritto e informatica