interactive GDPR 2016/0679 EL

« δεδομένα_προσωπικού_χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

« επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα_προσωπικού_χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

3)	«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

« κατάρτιση_προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

« ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

6)	« σύστημα_αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

8)	«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα_προσωπικού_χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

« αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα_προσωπικού_χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα_προσωπικού_χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

10)

« τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα,

11)

« συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα_προσωπικού_χαρακτήρα που το αφορούν,

12)	« παραβίαση_δεδομένων_προσωπικού_χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

13)

« γενετικά_δεδομένα»: τα δεδομένα_προσωπικού_χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

14)

« βιομετρικά_δεδομένα»: δεδομένα_προσωπικού_χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

15)	« δεδομένα_που_αφορούν_την_υγεία»: δεδομένα_προσωπικού_χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

16)

« κύρια_εγκατάσταση»:

α)

όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια_εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,

β)

όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,

17)

« εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

18)	« επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,

19)	« όμιλος_επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,

20)

« δεσμευτικοί_εταιρικοί_κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

21)	« εποπτική_αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

22)

«ενδιαφερόμενη εποπτική_αρχή»: εποπτική_αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι:

α)	ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής,

β)	τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή

γ)	έχει υποβληθεί καταγγελία στην εν λόγω εποπτική_αρχή,

23)

«διασυνοριακή επεξεργασία»:

α)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή

β)	η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,

24)

« σχετική_και_αιτιολογημένη_ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,

25)	« υπηρεσία_της_κοινωνίας_των_πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19),

26)	« διεθνής_οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

ΚΕΦΑΛΑΙΟ II

Αρχές

Άρθρο 33

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική_αρχή

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική_αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική_αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση_δεδομένων_προσωπικού_χαρακτήρα.

3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ' ελάχιστο:

α)

περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β)	ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ)	περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ)	περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση_δεδομένων_προσωπικού_χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση_δεδομένων_προσωπικού_χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική_αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Άρθρο 34

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ).

3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

α)

ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα_προσωπικού_χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα_προσωπικού_χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,

β)	ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

γ)	προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ' αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική_αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Τμήμα 3

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση

Άρθρο 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική_αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική_αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική_αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3. Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική_αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική_αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική_αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

4. Σε περίπτωση που η επικεφαλής εποπτική_αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική_αρχή που ενημέρωσε την επικεφαλής εποπτική_αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική_αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 παράγραφος 3.

5. Σε περίπτωση που η επικεφαλής εποπτική_αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική_αρχή που ενημέρωσε την επικεφαλής εποπτική_αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62.

6. Η επικεφαλής εποπτική_αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Άρθρο 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

α)	να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,

β)	να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,

γ)	να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7,

δ)	να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,

ε)	να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα_προσωπικού_χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

στ)	να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α)	να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β)	να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε)	να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση_δεδομένων_προσωπικού_χαρακτήρα στο υποκείμενο των δεδομένων,

στ)	να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

ζ)

να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα_προσωπικού_χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

η)	να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

θ)	να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι)	να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

α)	να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36,

β)

να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

γ)	να επιτρέπει την επεξεργασία που αναφέρεται στο άρθρο 36 παράγραφος 5, εάν το δίκαιο του κράτους μέλους απαιτεί αυτήν την προηγούμενη έγκριση,

δ)	να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά δυνάμει του άρθρου 40 παράγραφος 5,

ε)	να παρέχει διαπίστευση σε φορείς πιστοποίησης σύμφωνα με το άρθρο 43,

στ)	να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5,

ζ)	να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 παράγραφος 8 και του άρθρου 46 παράγραφος 2 στοιχείο δ),

η)	να επιτρέπει συμβατικές ρήτρες του άρθρου 46 παράγραφος 3 στοιχείο α),

θ)	να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο β),

ι)	να εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47.

4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική_αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.

6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική_αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.

Άρθρο 70

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1. Το Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή, κατά περίπτωση, κατόπιν αιτήματος της Επιτροπής, ιδίως:

α)	παρακολουθεί και διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού στις περιπτώσεις που προβλέπονται στα άρθρα 64 και 65, με την επιφύλαξη των καθηκόντων των εθνικών εποπτικών αρχών,

β)	συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού,

γ)	συμβουλεύει την Επιτροπή σχετικά με τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες,

δ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στο άρθρο 17 παράγραφος 2,

ε)

εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού,

στ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση_προφίλ δυνάμει του άρθρου 22 παράγραφος 2,

ζ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου σχετικά με τη διαπίστωση των παραβίασεων των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στο άρθρο 33 παράγραφοι 1 και 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υποχρεούται να κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα,

η)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34 παράγραφος 1,

θ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που βασίζονται σε δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και των περαιτέρω αναγκαίων απαιτήσεων, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47,

ια)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τους σκοπούς του περαιτέρω προσδιορισμού των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 49 παράγραφος 1,

ιβ)	εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά την εφαρμογή των μέτρων που αναφέρονται στο άρθρο 58 παράγραφοι 1, 2 και 3 και τον καθορισμό διοικητικών προστίμων δυνάμει του άρθρου 83,

ιγ)	εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία ε) και στ),

ιδ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για την εκπόνηση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού βάσει του άρθρου 54 παράγραφος 2,

ιε)	ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων δυνάμει των άρθρων 40 και 42,

ιστ)

εκτελεί τη διαπίστευση των φορέων πιστοποίησης και την περιοδική επανεξέτασή της δυνάμει του άρθρου 43 και τηρεί δημόσιο μητρώο των διαπιστευμένων φορέων σύμφωνα με το άρθρο 43 παράγραφος 6 και των διαπιστευμένων υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία που είναι εγκατεστημένοι σε τρίτες χώρες σύμφωνα με το άρθρο 42 παράγραφος 7,

ιζ)	προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 παράγραφος 3 προκειμένου για τη διαπίστευση των φορέων πιστοποίησης σύμφωνα με το άρθρο 42,

ιη)	γνωμοδοτεί στην Επιτροπή σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθροου 43 παράγραφος 8,

ιθ)	γνωμοδοτεί στην Επιτροπή σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 παράγραφος 7,

κ)

παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσο μια τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας. Για τον σκοπό αυτό, η Επιτροπή παρέχει στο Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, όσον αφορά την εν λόγω τρίτη χώρα, το έδαφος ή τον συγκεκριμένο τομέα ή τον διεθνή οργανισμό,

κα)

εκδίδει γνώμες για σχέδια αποφάσεων των εποπτικών αρχών δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 64 παράγραφος 1 και για ζητήματα που υποβάλλονται σύμφωνα με το άρθρο 64 παράγραφος 2 και εκδίδει δεσμευτικές αποφάσεις δυνάμει του άρθρου 65, μεταξύ άλλων στις περιπτώσεις που αναφέρονται στο άρθρο 66,

κβ)	προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών,

κγ)	προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς,

κδ)	προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων ανά τον κόσμο,

κε)	γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 παράγραφος 9 και

κστ)	διατηρεί δημόσια προσβάσιμο ηλεκτρονικό μητρώο των αποφάσεων που λαμβάνονται από τις εποπτικές αρχές και τα δικαστήρια για ζητήματα που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

2. Όταν η Επιτροπή ζητεί τη συμβουλή του Συμβουλίου Προστασίας Δεδομένων, μπορεί να αναφέρει ενδεικτικά προθεσμία, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3. Το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 93 και τις δημοσιοποιεί.

4. Όπου είναι σκόπιμο, το Συμβούλιο Προστασίας Δεδομένων ζητεί τη γνώμη των ενδιαφερόμενων μέρων και τους δίνει την ευκαιρία να υποβάλουν παρατηρήσεις μέσα σε εύλογη προθεσμία. Το Συμβούλιο Προστασίας Δεδομένων, με την επιφύλαξη του άρθρου 76, κοινοποιεί τα αποτελέσματα της διαβούλευσης.

Άρθρο 82

Δικαίωμα αποζημίωσης και ευθύνη

1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

4. Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 και 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.

5. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει καταβάλει, σύμφωνα με την παράγραφο 4, πλήρη αποζημίωση για τη ζημία που προκάλεσε, ο εν λόγω υπεύθυνος ή εκτελών την επεξεργασία δικαιούται να ζητήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους λόγω της ζημίας που προκλήθηκε σύμφωνα με τις προϋποθέσεις της παραγράφου 2.

6. Οι δικαστικές διαδικασίες για την άσκηση του δικαιώματος αποζημίωσης υποβάλλονται ενώπιον των αρμόδιων δικαστηρίων δυνάμει του δικαίου του κράτους μέλους που αναφέρεται στο άρθρο 79 παράγραφος 2.

whereas

(73) Μπορούν να επιβληθούν από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους περιορισμοί σχετικά με συγκεκριμένες βασικές αρχές και τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα εναντίωσης, στις αποφάσεις που βασίζονται σε κατάρτιση_προφίλ, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για την κατοχύρωση της δημόσιας ασφάλειας, περιλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, της τήρησης δημόσιων αρχείων για λόγους γενικού συμφέροντος, της περαιτέρω επεξεργασίας αρχειοθετημένων δεδομένων προσωπικού χαρακτήρα για την παροχή συγκεκριμένων πληροφοριών σχετικών με την πολιτική συμπεριφορά σε πρώην απολυταρχικά καθεστώτα ή της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων, συμπεριλαμβανομένων της κοινωνικής προστασίας, της δημόσιας υγείας και των ανθρωπιστικών σκοπών. Οι εν λόγω περιορισμοί θα πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

- = -

(85) Η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική_αρχή, εκτός εάν o υπεύθυνος επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, η γνωστοποίηση θα πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

- = -

(86) Ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων για παραβίαση_δεδομένων_προσωπικού_χαρακτήρα, όταν αυτή η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του επιτραπεί να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοίνωσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την ελεγκτική αρχή, τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου. Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας θα απαιτούσε την άμεση ανακοίνωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων προσωπικού χαρακτήρα μπορεί να δικαιολογεί περισσότερο χρόνο για την ανακοίνωση.

- = -

(87) Θα πρέπει να εξακριβώνεται κατά πόσον έχουν τεθεί σε εφαρμογή όλα τα κατάλληλα μέτρα τεχνολογικής προστασίας και οργανωτικά μέτρα για τον άμεσο εντοπισμό κάθε παραβίασης δεδομένων προσωπικού χαρακτήρα και την άμεση ενημέρωση της εποπτικής αρχής και του υποκειμένου των δεδομένων. Θα πρέπει να διαπιστώνεται ότι η κοινοποίηση πραγματοποιήθηκε χωρίς αδικαιολόγητη καθυστέρηση, λαμβανομένων υπόψη ιδίως της φύσης και της σοβαρότητας της παραβίασης δεδομένων προσωπικού χαρακτήρα, καθώς και των συνεπειών και των δυσμενών αποτελεσμάτων της για το υποκείμενο των δεδομένων. Η γνωστοποίηση αυτή μπορεί να οδηγεί σε παρέμβαση της εποπτικής αρχής, σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό.

- = -

(88) Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στην γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να λαμβάνονται δεόντως υπόψη οι συνθήκες της εν λόγω παραβίασης, περιλαμβανομένου του κατά πόσον τα δεδομένα_προσωπικού_χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο υποκλοπής ταυτότητας ή άλλων μορφών κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και διαδικασίες θα πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρχών επιβολής του νόμου, όταν η πρόωρη κοινολόγηση μπορεί να εμποδίσει χωρίς λόγο τη διερεύνηση των συνθηκών μιας παραβίασης δεδομένων προσωπικού χαρακτήρα.

- = -

(146) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Επεξεργασία κατά παράβαση του παρόντα κανονισμού συμπεριλαμβάνει επίσης τυχόν επεξεργασία που γίνεται κατά παράβαση των κατ' εξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται κατ' εφαρμογή του παρόντος κανονισμού και του δικαίου των κρατών μελών που εξειδικεύει τους κανόνες του παρόντος κανονισμού. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. Σε περίπτωση που υπεύθυνοι επεξεργασίας ή εκτελούντες επεξεργασία συμμετέχουν στην ίδια επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θα πρέπει να ευθύνεται για τη συνολική ζημία. Ωστόσο, όταν παραπέμπονται από κοινού ενώπιον της δικαιοσύνης, σύμφωνα με το δίκαιο των κρατών μελών, η αποζημίωση δύναται να καταμεριστεί σύμφωνα με την ευθύνη που φέρει ο κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία για τη ζημία που προκάλεσε η επεξεργασία, υπό την προϋπόθεση ότι διασφαλίζεται η πλήρης και ουσιαστική αποζημίωση του υποκειμένου των δεδομένων που υπέστη τη ζημία. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία που κατέβαλε πλήρη αποζημίωση μπορεί ακολούθως να προσφύγει κατά άλλων υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία που συμμετέχουν στην ίδια επεξεργασία.

- = -

(149) Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν τους κανόνες περί ποινικών κυρώσεων για παραβάσεις του παρόντος κανονισμού, μεταξύ άλλων για παραβάσεις των εθνικών κανόνων που θεσπίζονται κατ' εφαρμογή και εντός των ορίων του παρόντος κανονισμού. Οι εν λόγω ποινικές κυρώσεις μπορούν επίσης να συνίστανται σε αποστέρηση από τα οφέλη που αποκτήθηκαν χάριν των παραβάσεων του παρόντος κανονισμού. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο.

- = -

dal 2004 diritto e informatica