interactive GDPR 2016/0679 EL

1.   Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζει γραπτώς εκπρόσωπο στην Ένωση.

2.   Η υποχρέωση που καθορίζεται στην παράγραφος 1 του παρόντος άρθρου δεν ισχύει για:

α)

επεξεργασία η οποία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, ή

β)	δημόσια αρχή ή φορέα.

3.   Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα_προσωπικού_χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται.

4.   Ο εκπρόσωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι εποπτικές αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, για όλα τα θέματα που σχετίζονται με την επεξεργασία, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό.

5.   Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν θίγει τις προσφυγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

1.   Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2.   Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3.   Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α)

επεξεργάζεται τα δεδομένα_προσωπικού_χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β)	διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ)	λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,

δ)	τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

ε)

λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ)	συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ)

κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα_προσωπικού_χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η)

θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4.   Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5.   Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6.   Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.

7.   Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

8.   Μια εποπτική_αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9.   Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10.   Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

1.   Προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:

α)

όταν, στην περίπτωση που αναφέρεται στο άρθρο 60 παράγραφος 4, η ενδιαφερόμενη εποπτική_αρχή έχει διατυπώσει σχετική_και_αιτιολογημένη_ένσταση ως προς σχέδιο απόφασης της επικεφαλής αρχής ή η επικεφαλής αρχή έχει απορρίψει την εν λόγω ένσταση ως μη σχετική ή αιτιολογημένη. Η δεσμευτική απόφαση αφορά όλα τα θέματα που αποτελούν το αντικείμενο της σχετικής και αιτιολογημένης ένστασης, ιδίως όταν υπάρχει παράβαση του παρόντος κανονισμού,

β)	όταν υπάρχουν αντικρουόμενες απόψεις σχετικά με το ποια από τις ενδιαφερόμενες εποπτικές αρχές είναι αρμόδια για την κύρια_εγκατάσταση,

γ)

εάν μια αρμόδια εποπτική_αρχή δεν ζητήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 64 παράγραφος 1 ή δεν ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων που εκδίδεται δυνάμει του άρθρου 64. Στην περίπτωση αυτή, κάθε ενδιαφερόμενη εποπτική_αρχή ή η Επιτροπή μπορεί να ανακοινώσει το θέμα στο Συμβούλιο Προστασίας Δεδομένων.

2.   Η απόφαση που αναφέρεται στην παράγραφο 1 εκδίδεται εντός μηνός από την παραπομπή του θέματος με πλειοψηφία δύο τρίτων των μελών του Συμβουλίου Προστασίας Δεδομένων. Η συγκεκριμένη προθεσμία μπορεί να παραταθεί κατά έναν ακόμα μήνα, λόγω της πολυπλοκότητας του αντικειμένου. Η αναφερόμενη στην παράγραφο 1 απόφαση είναι αιτιολογημένη και απευθύνεται στην επικεφαλής εποπτική_αρχή και όλες τις ενδιαφερόμενες εποπτικές αρχές και είναι δεσμευτική για αυτές.

3.   Όταν το Συμβούλιο Προστασίας Δεδομένων δεν είναι σε θέση να λάβει απόφαση εντός της προθεσμίας που αναφέρεται στην παράγραφο 2, εκδίδει την απόφασή του εντός δύο εβδομάδων από τη λήξη του δεύτερου μήνα που αναφέρεται στην παράγραφο 2 με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Όταν τα μέλη του Συμβουλίου Προστασίας Δεδομένων δεν συμφωνούν, η απόφαση αυτή εκδίδεται με την ψήφο του Προέδρου του.

4.   Οι ενδιαφερόμενες εποπτικές αρχές δεν εκδίδουν απόφαση σχετικά με το θέμα που υποβάλλεται στο Συμβούλιο Προστασίας Δεδομένων βάσει της παραγράφου 1 κατά τη διάρκεια των προθεσμιών που αναφέρονται στις παραγράφους 2 και 3.

5.   Ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, την απόφαση που αναφέρεται στην παράγραφο 1 προς τις ενδιαφερόμενες εποπτικές αρχές. Ενημερώνει σχετικά την Επιτροπή. Η απόφαση δημοσιεύεται χωρίς καθυστέρηση στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων, αφού η εποπτική_αρχή κοινοποιήσει την τελική απόφαση που αναφέρεται στην παράγραφο 6.

6.   Η επικεφαλής εποπτική_αρχή ή, ανάλογα με την περίπτωση, η εποπτική_αρχή στην οποία υποβλήθηκε η καταγγελία λαμβάνει την τελική της απόφαση επί τη βάσει της απόφασης που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο ένα μήνα αφού το Συμβούλιο Προστασίας Δεδομένων έχει κοινοποιήσει την απόφασή του. Η επικεφαλής εποπτική_αρχή ή, ανάλογα με την περίπτωση, η εποπτική_αρχή στην οποία υποβλήθηκε η καταγγελία ενημερώνει το Συμβούλιο Προστασίας Δεδομένων για την ημερομηνία κατά την οποία η τελική της απόφαση κοινοποιείται στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και στο υποκείμενο των δεδομένων αντίστοιχα. Η τελική απόφαση των ενδιαφερόμενων εποπτικών αρχών λαμβάνεται σύμφωνα με τους όρους του άρθρου 60 παράγραφοι 7, 8 και 9. Η τελική απόφαση παραπέμπει στην απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου και διευκρινίζει ότι η απόφαση που αναφέρεται στην εν λόγω παράγραφο θα δημοσιευθεί στον ιστότοπο του Συμβουλίου Προστασίας Δεδομένων σύμφωνα με την παράγραφο 5 του παρόντος άρθρου. Στην τελική απόφαση επισυνάπτεται η απόφαση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου.