interactive GDPR 2016/0679 EL

« δεδομένα_προσωπικού_χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

« επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα_προσωπικού_χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

3)	«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

« κατάρτιση_προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

« ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

6)	« σύστημα_αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

8)	«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα_προσωπικού_χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

« αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα_προσωπικού_χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα_προσωπικού_χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

10)

« τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα,

11)

« συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα_προσωπικού_χαρακτήρα που το αφορούν,

12)	« παραβίαση_δεδομένων_προσωπικού_χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

13)

« γενετικά_δεδομένα»: τα δεδομένα_προσωπικού_χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

14)

« βιομετρικά_δεδομένα»: δεδομένα_προσωπικού_χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

15)	« δεδομένα_που_αφορούν_την_υγεία»: δεδομένα_προσωπικού_χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

16)

« κύρια_εγκατάσταση»:

α)

όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια_εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,

β)

όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,

17)

« εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

18)	« επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,

19)	« όμιλος_επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,

20)

« δεσμευτικοί_εταιρικοί_κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

21)	« εποπτική_αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

22)

«ενδιαφερόμενη εποπτική_αρχή»: εποπτική_αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι:

α)	ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής,

β)	τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή

γ)	έχει υποβληθεί καταγγελία στην εν λόγω εποπτική_αρχή,

23)

«διασυνοριακή επεξεργασία»:

α)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή

β)	η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,

24)

« σχετική_και_αιτιολογημένη_ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,

25)	« υπηρεσία_της_κοινωνίας_των_πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19),

26)	« διεθνής_οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

ΚΕΦΑΛΑΙΟ II

Αρχές

Άρθρο 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α)

επεξεργάζεται τα δεδομένα_προσωπικού_χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β)	διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ)	λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,

δ)	τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

ε)

λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ)	συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ)

κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα_προσωπικού_χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η)

θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.

7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

8. Μια εποπτική_αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Άρθρο 35

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:

α)

συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,

β)	μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή

γ)	συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4. Η εποπτική_αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική_αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.

5. Η εποπτική_αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική_αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.

6. Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική_αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

7. Η εκτίμηση περιέχει τουλάχιστον:

α)	συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

β)	εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

γ)	εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και

δ)

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8. Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10. Όταν η επεξεργασία δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

Άρθρο 45

Διαβιβάσεις βάσει απόφαση επάρκειας

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια.

2. Κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως, τα ακόλουθα στοιχεία:

α)

το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα_προσωπικού_χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία, καθώς και ουσιαστικά και εκτελεστά δικαιώματα υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων τα δεδομένα_προσωπικού_χαρακτήρα διαβιβάζονται,

β)

την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων εποπτικών αρχών οι οποίες βρίσκονται στην εν λόγω τρίτη χώρα ή στις οποίες υπόκειται ένας διεθνής_οργανισμός, υπεύθυνων να διασφαλίζουν και να επιβάλουν τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένων επαρκών εξουσιών επιβολής, να συνδράμουν και να συμβουλεύουν τα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και να συνεργάζονται με τις εποπτικές αρχές των κρατών μελών, και

γ)	τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής_οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα.

3. Η Επιτροπή, αφού εκτιμήσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, στην οποία συνεκτιμώνται όλες οι σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της, καθώς και, όπου συντρέχει περίπτωση, την εποπτική_αρχή ή τις αρχές που αναφέρονται στο στοιχείο β) της παραγράφου 2 του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2.

4. Η Επιτροπή παρακολουθεί σε συνεχή βάση εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία αποφάσεων που εκδίδονται σύμφωνα με την παράγραφο 3 του παρόντος άρθρου και αποφάσεων που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

5. Η Επιτροπή, όταν οι υπάρχουσες πληροφορίες αποκαλύπτουν, κυρίως κατόπιν της επανεξέτασης που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας σε τρίτη χώρα ή διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, καταργεί, τροποποιεί ή αναστέλλει, στον βαθμό που είναι αναγκαίο, την απόφαση της παραγράφου 3 του παρόντος άρθρου μέσω εκτελεστικών πράξεων χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις άμεσης εφαρμογής σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 93 παράγραφος 3.

6. Η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας είναι η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.

7. Η απόφαση σύμφωνα με την παράγραφο 5 του παρόντος άρθρου δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή σε έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό σύμφωνα με τα άρθρα 46 έως 49.

8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και των διεθνών οργανισμών, για τα οποία έχει αποφασίσει ότι διασφαλίζεται ή δεν διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.

9. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 3 ή 5 του παρόντος άρθρου.

Άρθρο 52

Ανεξαρτησία

1. Κάθε εποπτική_αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.

Άρθρο 56

Αρμοδιότητα της επικεφαλής εποπτικής αρχής

1. Με την επιφύλαξη του άρθρου 55, η εποπτική_αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική_αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2. Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική_αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3. Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική_αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική_αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική_αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

4. Σε περίπτωση που η επικεφαλής εποπτική_αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική_αρχή που ενημέρωσε την επικεφαλής εποπτική_αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική_αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 παράγραφος 3.

5. Σε περίπτωση που η επικεφαλής εποπτική_αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική_αρχή που ενημέρωσε την επικεφαλής εποπτική_αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62.

6. Η επικεφαλής εποπτική_αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Άρθρο 92

Άσκηση της εξουσιοδότησης

1. Η εξουσία έκδοσης κατ' εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.

2. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 παράγραφος 8 και στο άρθρο 43 παράγραφος 8 ανατίθεται στην Επιτροπή επ' αόριστο από τις 24 Μαΐου 2016.

3. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 παράγραφος 8 και στο άρθρο 43 παράγραφος 8 μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει την εγκυρότητα των ήδη ισχυουσών κατ' εξουσιοδότηση πράξεων.

4. Μόλις εκδώσει κατ' εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5. Κατ' εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 12 παράγραφος 8 και του άρθρου 43 παράγραφος 8 τίθεται σε ισχύ μόνο εφόσον δεν έχει διατυπωθεί αντίρρηση ούτε από το Ευρωπαϊκό Κοινοβούλιο ούτε από το Συμβούλιο εντός τριών μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ή αν, προτού λήξει αυτή η προθεσμία, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η προθεσμία αυτή παρατείνεται κατά τρεις μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

whereas

(19) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, αποτελεί το αντικείμενο ειδικής ενωσιακής νομικής πράξης. Ο παρών κανονισμός δεν θα πρέπει συνεπώς να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα_προσωπικού_χαρακτήρα που υφίστανται επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού θα πρέπει, όταν χρησιμοποιούνται για αυτούς τους σκοπούς, να ρυθμίζονται από ειδικότερη ενωσιακή νομική πράξη, δηλαδή την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7). Τα κράτη μέλη μπορούν να αναθέτουν στις αρμόδιες αρχές κατά την έννοια της οδηγίας (ΕΕ) 2016/680 καθήκοντα που δεν ασκούνται απαραιτήτως για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, ούτως ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, εφόσον εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, να υπάγεται στο πεδίο εφαρμογής του παρόντος κανονισμού.

- = -

(41) Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο») και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.

- = -

(42) Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιο βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου (10), θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα_προσωπικού_χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.

- = -

(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα_προσωπικού_χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα_προσωπικού_χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα_προσωπικού_χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

- = -

(60) Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα_προσωπικού_χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα_προσωπικού_χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.

- = -

(67) Μέθοδοι με τις οποίες περιορίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την αφαίρεση της προσβασιμότητας των επιλεγμένων δεδομένων προσωπικού χαρακτήρα από τους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ' αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα_προσωπικού_χαρακτήρα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα.

- = -

(79) Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, μεταξύ άλλων σε σχέση με την παρακολούθηση από τις εποπτικές αρχές και τα μέτρα εποπτικών αρχών, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, περιλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

- = -

(81) Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπευθύνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση του εκτελούντος την επεξεργασία σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωσή του με τις υποχρεώσεις του υπευθύνου επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από εποπτική_αρχή σύμφωνα με τον μηχανισμό συνεκτικότητας και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας εξ ονόματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπευθύνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα_προσωπικού_χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει τα δεδομένα_προσωπικού_χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπάγεται ο εκτελών την επεξεργασία.

- = -

(93) Στο πλαίσιο της έκδοσης του νομοθετήματος κράτους μέλους στο οποίο βασίζεται η άσκηση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη ή σειρά πράξεων επεξεργασίας, τα κράτη μέλη μπορούν να κρίνουν αναγκαία τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

- = -

(113) Διαβιβάσεις οι οποίες μπορούν να χαρακτηρισθούν μη επαναλαμβανόμενες και οι οποίες αφορούν περιορισμένο αριθμό υποκειμένων των δεδομένων ενδέχεται να επιτρέπονται επίσης λόγω επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων δεν υπερισχύουν των συμφερόντων αυτών και όταν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει ιδίως υπόψη τη φύση των δεδομένων προσωπικού χαρακτήρα, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης ή πράξεων επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, και να προβλέπει τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι διαβιβάσεις αυτές θα πρέπει να είναι δυνατές μόνο στις περιπτώσεις στις οποίες δεν συντρέχει κανένας από τους άλλους λόγους μεταβίβασης. Για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, θα πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας για αύξηση της γνώσης. Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει την εποπτική_αρχή και το υποκείμενο των δεδομένων για τη διαβίβαση.

- = -

(121) Οι γενικές προϋποθέσεις για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ιδίως, ότι τα εν λόγω μέλη θα διορίζονται, με διαφανή διαδικασία, είτε από το κοινοβούλιο, την κυβέρνηση ή τον αρχηγό κράτους του κράτους μέλους βάσει προτάσεως της κυβέρνησης, μέλους της κυβέρνησης, του κοινοβουλίου ή τμήματος του κοινοβουλίου, είτε από ανεξάρτητο όργανο επιφορτισμένο προς τούτο από το δίκαιο των κρατών μελών. Προκειμένου να διασφαλισθεί η ανεξαρτησία των εποπτικών αρχών, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν θα πρέπει να ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη. Η εποπτική_αρχή θα πρέπει να διαθέτει δικό της προσωπικό, το οποίο επιλέγεται από την εποπτική_αρχή ή από ανεξάρτητο φορέα που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους, και να τελεί υπό την αποκλειστική καθοδήγηση του μέλους ή των μελών της εποπτικής αρχής.

- = -

(162) Όταν δεδομένα_προσωπικού_χαρακτήρα υφίστανται επεξεργασία για στατιστικούς σκοπούς, ο παρών κανονισμός θα πρέπει να ισχύει και για την επεξεργασία αυτή. Το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών θα πρέπει, εντός των ορίων του παρόντος κανονισμού, να καθορίζει το στατιστικό περιεχόμενο, τον έλεγχο της πρόσβασης, τις προδιαγραφές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και κατάλληλα μέτρα που διασφαλίζουν τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και που αποσκοπούν στην εξασφάλιση του στατιστικού απορρήτου. Ο όρος «στατιστικοί σκοποί» σημαίνει κάθε πράξη συλλογής και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την πραγματοποίηση στατιστικών ερευνών ή για την παραγωγή στατιστικών αποτελεσμάτων. Τα εν λόγω στατιστικά αποτελέσματα μπορούν να χρησιμοποιηθούν περαιτέρω για διάφορους σκοπούς, μεταξύ άλλων και για σκοπούς επιστημονικής έρευνας. Ο στατιστικός σκοπός συνεπάγεται ότι το αποτέλεσμα της επεξεργασίας για στατιστικούς σκοπούς δεν είναι δεδομένα_προσωπικού_χαρακτήρα αλλά συγκεντρωτικά δεδομένα και ότι το αποτέλεσμα αυτό ή τα δεδομένα_προσωπικού_χαρακτήρα δεν χρησιμοποιούνται προς υποστήριξη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο φυσικό πρόσωπο.

- = -

dal 2004 diritto e informatica