interactive GDPR 2016/0679 EL

1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα_αρχειοθέτησης.

2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)	στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,

β)	από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,

γ)	από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,

δ)	από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

3. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Άρθρο 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

α)	να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,

β)	να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,

γ)	να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7,

δ)	να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,

ε)	να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα_προσωπικού_χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

στ)	να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α)	να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β)	να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε)	να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση_δεδομένων_προσωπικού_χαρακτήρα στο υποκείμενο των δεδομένων,

στ)	να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

ζ)

να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα_προσωπικού_χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

η)	να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

θ)	να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι)	να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

α)	να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36,

β)

να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

γ)	να επιτρέπει την επεξεργασία που αναφέρεται στο άρθρο 36 παράγραφος 5, εάν το δίκαιο του κράτους μέλους απαιτεί αυτήν την προηγούμενη έγκριση,

δ)	να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά δυνάμει του άρθρου 40 παράγραφος 5,

ε)	να παρέχει διαπίστευση σε φορείς πιστοποίησης σύμφωνα με το άρθρο 43,

στ)	να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5,

ζ)	να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 παράγραφος 8 και του άρθρου 46 παράγραφος 2 στοιχείο δ),

η)	να επιτρέπει συμβατικές ρήτρες του άρθρου 46 παράγραφος 3 στοιχείο α),

θ)	να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο β),

ι)	να εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47.

4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική_αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.

6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική_αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.

Άρθρο 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Κάθε εποπτική_αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α)	η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

β)	ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

γ)	οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,

δ)	ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,

ε)	τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

στ)	ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

ζ)	οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

η)	ο τρόπος με τον οποίο η εποπτική_αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,

θ)	σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,

ι)	η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 και

ια)	κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α)	οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43,

β)	οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 και 43,

γ)	οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 παράγραφος 4.

5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α)	οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 και 9,

β)	τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22,

γ)	η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 έως 49,

δ)	οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX,

ε)	μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική_αρχή δυνάμει του άρθρου 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1.

6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.

9. Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει επιβολή διοικητικών προστίμων, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική_αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, με την ταυτόχρονη διασφάλιση ότι τα εν λόγω ένδικα μέσα είναι αποτελεσματικά και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Τα εν λόγω κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις των νόμων τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούντα τροποποιητικό νόμο ή τροποποίησή τους.

Άρθρο 99

Έναρξη ισχύος και εφαρμογή

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 27 Απριλίου 2016.

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

M. SCHULZ

Για το Συμβούλιο

Η Πρόεδρος

J.A. HENNIS-PLASSCHAERT

(1) ΕΕ C 229 της 31.7.2012, σ. 90.

(2) ΕΕ C 391 της 18.12.2012, σ. 127.

(3) Θέση του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 (δεν έχει δημοσιευθεί ακόμη στην Επίσημη Εφημερίδα) και θέση του Συμβουλίου σε πρώτη ανάγνωση της 8ης Απριλίου 2016 (δεν έχει δημοσιευθεί ακόμη στην Επίσημη Εφημερίδα). Θέση του Ευρωπαϊκού Κοινοβουλίου της 14ης Απριλίου 2016.

(4) Οδηγία 95/46/EK του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).

(5) Σύσταση της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων [C(2003) 1422] (ΕΕ L 124 της 20.5.2003, σ. 36).

(6) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).

(7) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαισίου 2008/977/ΔΕΥ του Συμβουλίου (βλέπε σελίδα 89 της παρούσας Επίσημης Εφημερίδας).

(8) Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο») (ΕΕ L 178 της 17.7.2000, σ. 1).

(9) Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (ΕΕ L 88 της 4.4.2011, σ. 45).

(10) Οδηγία 93/13/EOK του Συμβουλίου, της 5ης Απριλίου 1993, σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95 της 21.4.1993, σ. 29).

(11) Κανονισμός (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (ΕΕ L 354 της 31.12.2008, σ. 70).

(12) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).

(13) Κανονισμός (ΕΕ) αριθ. 1215/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2012, για τη διεθνή δικαιοδοσία, την αναγνώριση και την εκτέλεση αποφάσεων σε αστικές και εμπορικές υποθέσεις (ΕΕ L 351 της 20.12.2012, σ. 1).

(14) Οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Νοεμβρίου 2003, για την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα (ΕΕ L 345 της 31.12.2003, σ. 90).

(15) Κανονισμός (ΕΕ) αριθ. 536/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Απριλίου 2014, για τις κλινικές δοκιμές φαρμάκων που προορίζονται για τον άνθρωπο και για την κατάργηση της οδηγίας 2001/20/ΕΚ (ΕΕ L 158 της 27.5.2014, σ. 1).

(16) Κανονισμός (ΕΚ) αριθ. 223/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2009, σχετικά με τις ευρωπαϊκές στατιστικές και την κατάργηση του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1101/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη διαβίβαση στη Στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο, του κανονισμού (ΕΚ) αριθ. 322/97 του Συμβουλίου σχετικά με τις κοινοτικές στατιστικές και της απόφασης 89/382/ΕΟΚ, Ευρατόμ του Συμβουλίου για τη σύσταση επιτροπής του στατιστικού προγράμματος των Ευρωπαϊκών Κοινοτήτων (ΕΕ L 87 της 31.3.2009, σ. 164).

(17) ΕΕ C 192 της 30.6.2012, σ. 7.

(18) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).

(19) Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1).

(20) Kανονισμός (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αριθ. 339/93 του Συμβουλίου (ΕΕ L 218 της 13.8.2008, σ. 30).

(21) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43).

whereas

(17) Ο κανονισμός (EΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, οργανισμούς και υπηρεσίες της Ένωσης. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης οι οποίες είναι εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να προσαρμοστούν στις αρχές και τους κανόνες που θεσπίζονται στον παρόντα κανονισμό και να εφαρμόζονται υπό το πρίσμα του παρόντος κανονισμού. Για να εξασφαλιστεί ένα ισχυρό και συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, μετά την έκδοσή του παρόντος κανονισμού θα πρέπει να ακολουθήσουν οι αναγκαίες προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001, ώστε να καταστεί δυνατή η εφαρμογή ταυτόχρονα με τον παρόντα κανονισμό.

- = -

(53) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που χρήζουν υψηλότερης προστασίας θα πρέπει να γίνεται μόνο για σκοπούς που σχετίζονται με την υγεία, εφόσον αυτό είναι απαραίτητο για την επίτευξη των εν λόγω στόχων, προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης των υπηρεσιών και συστημάτων υγειονομικής περίθαλψης και κοινωνικής μέριμνας, μεταξύ άλλων και της επεξεργασίας των δεδομένων αυτών από τις διαχειριστικές και τις κεντρικές εθνικές υγειονομικές αρχές για τον σκοπό του ποιοτικού ελέγχου, της διαχείρισης των πληροφοριών και της συνολικής εθνικής και τοπικής εποπτείας του συστήματος υγείας ή κοινωνικής μέριμνας, και της εξασφάλισης της συνέχειας της υγειονομικής περίθαλψης ή κοινωνικής μέριμνας και της διασυνοριακής υγειονομικής περίθαλψης ή της υγειονομικής ασφάλειας, για σκοπούς παρακολούθησης και συναγερμού ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, βάσει του δικαίου της Ένωσης ή των κρατών μελών και με απώτερο στόχο την εξυπηρέτηση του δημόσιου συμφέροντος, καθώς και για μελέτες που διενεργούνται προς το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Συνεπώς, ο παρών κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία των εν λόγω δεδομένων πραγματοποιείται για ορισμένους σκοπούς που αφορούν την υγεία από πρόσωπα που υπέχουν νομική υποχρέωση τήρησης επαγγελματικού απορρήτου. Το δίκαιο της Ένωσης ή των κρατών μελών θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Ωστόσο, αυτό δεν θα πρέπει να εμποδίζει την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, όταν οι όροι αυτοί εφαρμόζονται στη διασυνοριακή επεξεργασία των δεδομένων αυτών.

- = -

(115) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες να απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να μεταβιβάσει ή να κοινολογήσει δεδομένα_προσωπικού_χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

- = -

(118) Η ανεξαρτησία των εποπτικών αρχών δεν θα πρέπει να σημαίνει ότι οι εποπτικές αρχές δεν μπορούν να υπόκεινται σε μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά τις χρηματοοικονομικές τους δαπάνες ή σε δικαστικό έλεγχο.

- = -

(129) Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και κυρώσεις, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών δυνάμει του δικαίου του κράτους μέλους, την εξουσία να παραπέμπουν παραβάσεις των διατάξεων του παρόντος κανονισμού στις δικαστικές αρχές και να παίρνουν μέρος σε νομικές διαδικασίες. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Τα κράτη μέλη μπορούν να ορίσουν ειδικότερα άλλα καθήκοντα σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ιδίως, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί μεμονωμένο μέτρο εις βάρος του και να μην προκαλεί περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. Οι ερευνητικές εξουσίες όσον αφορά πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με τις ειδικές απαιτήσεις του δικονομικού δικαίου του κράτους μέλους, όπως η απαίτηση έκδοσης προηγούμενης δικαστικής έγκρισης. Κάθε νομικά δεσμευτικό μέτρο της εποπτικής αρχής θα πρέπει να υποβάλλεται γραπτώς, να είναι σαφές και απερίφραστο, να αναφέρει την εποπτική_αρχή που το εξέδωσε, την ημερομηνία έκδοσής του, να φέρει την υπογραφή του προϊσταμένου ή μέλους της εποπτικής αρχής εξουσιοδοτημένου εκ μέρους του, να αναφέρει τους λόγους για τη λήψη του μέτρου και το δικαίωμα πραγματικής προσφυγής. Τούτο δεν θα πρέπει να αποκλείει τη δυνατότητα πρόσθετων απαιτήσεων σύμφωνα με το δικονομικό δίκαιο του κράτους μέλους. Η έκδοση νομικά δεσμευτικής απόφασης συνεπάγεται ότι μπορεί, ενδεχομένως, να αποτελέσει αντικείμενο δικαστικού ελέγχου στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση.

- = -

(131) Όταν άλλη εποπτική_αρχή πρέπει να ενεργήσει ως επικεφαλής εποπτική_αρχή για δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, αλλά το συγκεκριμένο αντικείμενο της προσφυγής ή η τυχόν παράβαση αφορά μόνο δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος όπου υποβλήθηκε η καταγγελία ή διαπιστώθηκε η τυχόν παράβαση και το θέμα δεν επηρεάζει σημαντικά ή δεν είναι πιθανό να επηρεάσει σημαντικά υποκείμενα των δεδομένων σε άλλα κράτη μέλη, η εποπτική_αρχή που λαμβάνει μία καταγγελία ή διαπιστώνει ή πληροφορείται με άλλον τρόπο καταστάσεις που συνεπάγονται παραβάσεις του παρόντος κανονισμού θα πρέπει να επιδιώκει φιλικό διακανονισμό με τον υπεύθυνο επεξεργασίας και, εάν αυτό αποδειχθεί ανεπιτυχές, να ασκεί το πλήρες εύρος των εξουσιών της. Τούτο θα πρέπει να περιλαμβάνει: την ειδική επεξεργασία η οποία διενεργείται στο έδαφος του κράτους μέλους της εποπτικής αρχής ή όσον αφορά υποκείμενα των δεδομένων στο έδαφος του εν λόγω κράτους μέλους· την επεξεργασία η οποία διενεργείται στο πλαίσιο προσφοράς αγαθών ή υπηρεσιών απευθυνόμενων ειδικά σε υποκείμενα των δεδομένων στην επικράτεια του κράτους μέλους της εποπτικής αρχής ή την επεξεργασία η οποία πρέπει να εκτιμηθεί, λαμβάνοντας υπόψη τις αντίστοιχες νομικές υποχρεώσεις βάσει του δικαίου του κράτους μέλους.

- = -

(148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική_αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική_αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη, συμπεριλαμβανομένης της πραγματικής δικαστικής προστασίας και της ορθής διαδικασίας.

- = -

dal 2004 diritto e informatica