interactive GDPR 2016/0679 EL

1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα_αρχειοθέτησης.

2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)	στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,

β)	από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,

γ)	από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,

δ)	από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

3. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Άρθρο 4

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

« δεδομένα_προσωπικού_χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

« επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα_προσωπικού_χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

3)	«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

« κατάρτιση_προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

« ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

6)	« σύστημα_αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

8)	«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα_προσωπικού_χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

« αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα_προσωπικού_χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα_προσωπικού_χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

10)

« τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα,

11)

« συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα_προσωπικού_χαρακτήρα που το αφορούν,

12)	« παραβίαση_δεδομένων_προσωπικού_χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

13)

« γενετικά_δεδομένα»: τα δεδομένα_προσωπικού_χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

14)

« βιομετρικά_δεδομένα»: δεδομένα_προσωπικού_χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

15)	« δεδομένα_που_αφορούν_την_υγεία»: δεδομένα_προσωπικού_χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

16)

« κύρια_εγκατάσταση»:

α)

όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια_εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,

β)

όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,

17)

« εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,

18)	« επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,

19)	« όμιλος_επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,

20)

« δεσμευτικοί_εταιρικοί_κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

21)	« εποπτική_αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

22)

«ενδιαφερόμενη εποπτική_αρχή»: εποπτική_αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι:

α)	ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής,

β)	τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή

γ)	έχει υποβληθεί καταγγελία στην εν λόγω εποπτική_αρχή,

23)

«διασυνοριακή επεξεργασία»:

α)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή

β)	η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,

24)

« σχετική_και_αιτιολογημένη_ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,

25)	« υπηρεσία_της_κοινωνίας_των_πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19),

26)	« διεθνής_οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.

ΚΕΦΑΛΑΙΟ II

Αρχές

Άρθρο 6

Νομιμότητα της επεξεργασίας

1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)	το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β)	η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ)	η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

δ)	η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε)	η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ)

η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:

α)	το δίκαιο της Ένωσης, ή

β)	το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα_προσωπικού_χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα_προσωπικού_χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα_προσωπικού_χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

α)	τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα_προσωπικού_χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

β)	το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα_προσωπικού_χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,

γ)

τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα_προσωπικού_χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,

δ)	τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

ε)	την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

Άρθρο 9

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

α)

το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,

β)

η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,

γ)	η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

δ)

η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα_προσωπικού_χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,

ε)	η επεξεργασία αφορά δεδομένα_προσωπικού_χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

στ)	η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

ζ)

η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

η)

η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,

θ)

η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

ι)

η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίουτης Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

3. Τα δεδομένα_προσωπικού_χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.

Άρθρο 12

Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22. Στις περιπτώσεις που προβλέπονται στο άρθρο 11 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 έως 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική_αρχή και άσκησης δικαστικής προσφυγής.

5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

α)	να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή

β)	να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

6. Με την επιφύλαξη του άρθρου 11, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

7. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92 για τον καθορισμό των πληροφοριών που πρέπει να παρουσιάζονται με τα εικονίδια και των διαδικασιών για την παροχή τυποποιημένων εικονιδίων.

Τμήμα 2

Ενημέρωση και πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα

Άρθρο 23

Περιορισμοί

1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)	της ασφάλειας του κράτους,

β)	της εθνικής άμυνας,

γ)	της δημόσιας ασφάλειας,

δ)	της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,

ε)

άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

στ)	της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

ζ)	της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

η)	της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),

θ)	της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

ι)	της εκτέλεσης αστικών αξιώσεων.

2. Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις τουλάχιστον, ανάλογα με την περίπτωση, όσον αφορά:

α)	τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

β)	τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)	το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,

δ)	τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,

ε)	την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,

στ)	τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,

ζ)	τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και

η)	το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

ΚΕΦΑΛΑΙΟ IV

Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

Τμήμα 1

Γενικές υποχρεώσεις

Άρθρο 25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα_προσωπικού_χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα_προσωπικού_χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.

Άρθρο 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α)

επεξεργάζεται τα δεδομένα_προσωπικού_χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β)	διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα_προσωπικού_χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ)	λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,

δ)	τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

ε)

λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ)	συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ)

κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα_προσωπικού_χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η)

θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου.

6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43.

7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

8. Μια εποπτική_αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.

Άρθρο 42

Πιστοποίηση

1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

2. Πέραν της εφαρμογής τους από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που υπόκεινται στον παρόντα κανονισμό, οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του παρόντος άρθρου μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ). Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας.

4. Η πιστοποίηση σύμφωνα με το παρόν άρθρο δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών που είναι αρμόδιες σύμφωνα με το άρθρο 55 ή 56.

5. Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική_αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική_αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.

6 Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που υποβάλλει την επεξεργασία του στον μηχανισμό πιστοποίησης παρέχει στον φορέα πιστοποίησης που αναφέρεται στο άρθρο 43 ή, ανάλογα με την περίπτωση, στην αρμόδια εποπτική_αρχή κάθε πληροφορία και πρόσβαση στις δραστηριότητες επεξεργασίας που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης.

7. Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται οι σχετικές απαιτήσεις. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική_αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις για την πιστοποίηση.

8. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

Άρθρο 43

Φορείς πιστοποίησης

1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική_αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 παράγραφος 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:

α)	την εποπτική_αρχή που είναι αρμόδια δυνάμει των άρθρων 55 ή 56,

β)

τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την εποπτική_αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56.

2. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο, μόνο εφόσον:

α)	έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,

β)	έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφος 5 και τα οποία έχουν εγκριθεί από την εποπτική_αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,

γ)	έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,

δ)

έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και

ε)	αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.

3. Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική_αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (ΕΚ) αριθ. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.

4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.

5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης.

6. Οι απαιτήσεις της παραγράφου 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική_αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.

7. Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική_αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

ΚΕΦΑΛΑΙΟ V

Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Άρθρο 46

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

1. Ελλείψει απόφασης δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα_προσωπικού_χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

2. Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 μπορούν να προβλέπονται, χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής, μέσω:

α)	ενός νομικά δεσμευτικού και εκτελεστού μέσου μεταξύ δημόσιων αρχών ή φορέων,

β)	δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 47,

γ)	τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που προβλέπεται στο άρθρο 93 παράγραφος 2,

δ)	τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από εποπτική_αρχή και εγκρίνονται από την Επιτροπή σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2,

ε)	εγκεκριμένου κώδικα δεοντολογίας, σύμφωνα με το άρθρο 40, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ή

στ)	εγκεκριμένου μηχανισμού πιστοποίησης, σύμφωνα με το άρθρο 42, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

3. Με την επιφύλαξη της άδειας από την αρμόδια εποπτική_αρχή, οι κατάλληλες εγγυήσεις της παραγράφου 1 μπορούν επίσης να παρέχονται ιδίως μέσω:

α)	συμβατικών ρητρών μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή του αποδέκτη των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό ή

β)	διατάξεων προς συμπερίληψη σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή φορέων οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4. Η εποπτική_αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 στις περιπτώσεις που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου.

5. Οι άδειες από κράτος μέλος ή εποπτική_αρχή βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εν λόγω εποπτική_αρχή. Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής εκδοθείσα σύμφωνα με την παράγραφο 2 του παρόντος άρθρου.

Άρθρο 47

Δεσμευτικοί εταιρικοί κανόνες

1. Η αρμόδια εποπτική_αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:

α)	είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,

β)	απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και

γ)	πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2. Οι δεσμευτικοί_εταιρικοί_κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:

α)	τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,

β)	τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,

γ)	τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,

δ)

την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,

ε)

τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,

στ)

την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,

ζ)	τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), ε) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 και 14,

η)

τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακολούθηση της κατάρτισης και του χειρισμού των καταγγελιών,

θ)	τις διαδικασίες καταγγελίας,

ι)

τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική_αρχή,

ια)	τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική_αρχή,

ιβ)

τον μηχανισμό συνεργασίας με την εποπτική_αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),

ιγ)

τους μηχανισμούς αναφοράς στην αρμόδια εποπτική_αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και

ιδ)	την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα.

3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Άρθρο 49

Παρεκκλίσεις για ειδικές καταστάσεις

1. Σε περίπτωση απουσίας απόφασης επάρκειας δυνάμει του άρθρου 45 παράγραφος 3 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, περιλαμβανομένων των εταιρικών δεσμευτικών κανόνων, η διαβίβαση ή το σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό πραγματοποιείται μόνο εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

α)	το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις για το υποκείμενο των δεδομένων λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,

β)	η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,

γ)	η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,

δ)	η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,

ε)	η διαβίβαση είναι απαραίτητη για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

στ)	η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,

ζ)

η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε στο ευρύ κοινό είτε σε οποιοδήποτε πρόσωπο μπορεί να επικαλεστεί έννομο συμφέρον, αλλά μόνο εφόσον πληρούνται στην εκάστοτε περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών.

Όταν η διαβίβαση δεν μπορεί να βασιστεί σε διάταξη του άρθρου 45 ή 46, περιλαμβανομένων των διατάξεων σχετικά με δεσμευτικούς εταιρικούς κανόνες, και δεν ισχύει καμία από τις παρεκκλίσεις για ειδική κατάσταση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου, η διαβίβαση σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν η διαβίβαση δεν είναι επαναλαμβανόμενη, αφορά μόνο περιορισμένο αριθμό υποκειμένων των δεδομένων, είναι απαραίτητη για τους σκοπούς επιτακτικών έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας των οποίων δεν υπερισχύουν τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων και ο υπεύθυνος επεξεργασίας έχει εκτιμήσει όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση των δεδομένων και έχει παράσχει, βάσει της εν λόγω εκτίμησης, τις δέουσες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική_αρχή για τη διαβίβαση. Ο υπεύθυνος επεξεργασίας, πέραν από την παροχή πληροφοριών που αναφέρονται στα άρθρα 13 και 14, ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και σχετικά με τα επιτακτικά έννομα συμφέροντα που επιδιώκονται.

2. Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 πρώτο εδάφιο στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνο κατόπιν αιτήματος των εν λόγω προσώπων ή μόνο εάν πρόκειται να είναι οι αποδέκτες.

3. Η παράγραφος 1 πρώτο εδάφιο στοιχεία α), β) και γ) και η παράγραφος 1 δεύτερο εδάφιο δεν εφαρμόζονται σε δραστηριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

4. Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 πρώτο εδάφιο στοιχείο δ) αναγνωρίζεται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

5. Ελλείψει απόφασης επάρκειας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί, για σοβαρούς λόγους δημόσιου συμφέροντος, να προβλέπει ρητώς περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό. Τα κράτη μέλη κοινοποιούν τις σχετικές διατάξεις στην Επιτροπή.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία καταχωρίζει την εκτίμηση, καθώς και τις κατάλληλες εγγυήσεις που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 1 του παρόντος άρθρου, στα αρχεία που αναφέρονται στο άρθρο 30.

Άρθρο 58

Εξουσίες

1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

α)	να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,

β)	να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,

γ)	να προβαίνει σε επανεξέταση των πιστοποιήσεων που εκδίδονται σύμφωνα με το άρθρο 42 παράγραφος 7,

δ)	να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού,

ε)	να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα_προσωπικού_χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της,

στ)	να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους.

2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α)	να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β)	να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ)	να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε)	να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση_δεδομένων_προσωπικού_χαρακτήρα στο υποκείμενο των δεδομένων,

στ)	να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

ζ)

να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα_προσωπικού_χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

η)	να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

θ)	να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι)	να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:

α)	να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36,

β)

να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,

γ)	να επιτρέπει την επεξεργασία που αναφέρεται στο άρθρο 36 παράγραφος 5, εάν το δίκαιο του κράτους μέλους απαιτεί αυτήν την προηγούμενη έγκριση,

δ)	να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά δυνάμει του άρθρου 40 παράγραφος 5,

ε)	να παρέχει διαπίστευση σε φορείς πιστοποίησης σύμφωνα με το άρθρο 43,

στ)	να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης σύμφωνα με το άρθρο 42 παράγραφος 5,

ζ)	να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων του άρθρου 28 παράγραφος 8 και του άρθρου 46 παράγραφος 2 στοιχείο δ),

η)	να επιτρέπει συμβατικές ρήτρες του άρθρου 46 παράγραφος 3 στοιχείο α),

θ)	να επιτρέπει διοικητικές ρυθμίσεις που αναφέρονται στο άρθρο 46 παράγραφος 3 στοιχείο β),

ι)	να εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 47.

4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική_αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.

6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική_αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.

Άρθρο 70

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1. Το Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή, κατά περίπτωση, κατόπιν αιτήματος της Επιτροπής, ιδίως:

α)	παρακολουθεί και διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού στις περιπτώσεις που προβλέπονται στα άρθρα 64 και 65, με την επιφύλαξη των καθηκόντων των εθνικών εποπτικών αρχών,

β)	συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού,

γ)	συμβουλεύει την Επιτροπή σχετικά με τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες,

δ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στο άρθρο 17 παράγραφος 2,

ε)

εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού,

στ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση_προφίλ δυνάμει του άρθρου 22 παράγραφος 2,

ζ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου σχετικά με τη διαπίστωση των παραβίασεων των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στο άρθρο 33 παράγραφοι 1 και 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υποχρεούται να κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα,

η)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34 παράγραφος 1,

θ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που βασίζονται σε δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και των περαιτέρω αναγκαίων απαιτήσεων, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47,

ια)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τους σκοπούς του περαιτέρω προσδιορισμού των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 49 παράγραφος 1,

ιβ)	εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά την εφαρμογή των μέτρων που αναφέρονται στο άρθρο 58 παράγραφοι 1, 2 και 3 και τον καθορισμό διοικητικών προστίμων δυνάμει του άρθρου 83,

ιγ)	εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία ε) και στ),

ιδ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για την εκπόνηση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού βάσει του άρθρου 54 παράγραφος 2,

ιε)	ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων δυνάμει των άρθρων 40 και 42,

ιστ)

εκτελεί τη διαπίστευση των φορέων πιστοποίησης και την περιοδική επανεξέτασή της δυνάμει του άρθρου 43 και τηρεί δημόσιο μητρώο των διαπιστευμένων φορέων σύμφωνα με το άρθρο 43 παράγραφος 6 και των διαπιστευμένων υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία που είναι εγκατεστημένοι σε τρίτες χώρες σύμφωνα με το άρθρο 42 παράγραφος 7,

ιζ)	προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 παράγραφος 3 προκειμένου για τη διαπίστευση των φορέων πιστοποίησης σύμφωνα με το άρθρο 42,

ιη)	γνωμοδοτεί στην Επιτροπή σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθροου 43 παράγραφος 8,

ιθ)	γνωμοδοτεί στην Επιτροπή σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 παράγραφος 7,

κ)

παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσο μια τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας. Για τον σκοπό αυτό, η Επιτροπή παρέχει στο Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, όσον αφορά την εν λόγω τρίτη χώρα, το έδαφος ή τον συγκεκριμένο τομέα ή τον διεθνή οργανισμό,

κα)

εκδίδει γνώμες για σχέδια αποφάσεων των εποπτικών αρχών δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 64 παράγραφος 1 και για ζητήματα που υποβάλλονται σύμφωνα με το άρθρο 64 παράγραφος 2 και εκδίδει δεσμευτικές αποφάσεις δυνάμει του άρθρου 65, μεταξύ άλλων στις περιπτώσεις που αναφέρονται στο άρθρο 66,

κβ)	προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών,

κγ)	προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς,

κδ)	προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων ανά τον κόσμο,

κε)	γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 παράγραφος 9 και

κστ)	διατηρεί δημόσια προσβάσιμο ηλεκτρονικό μητρώο των αποφάσεων που λαμβάνονται από τις εποπτικές αρχές και τα δικαστήρια για ζητήματα που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

2. Όταν η Επιτροπή ζητεί τη συμβουλή του Συμβουλίου Προστασίας Δεδομένων, μπορεί να αναφέρει ενδεικτικά προθεσμία, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3. Το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 93 και τις δημοσιοποιεί.

4. Όπου είναι σκόπιμο, το Συμβούλιο Προστασίας Δεδομένων ζητεί τη γνώμη των ενδιαφερόμενων μέρων και τους δίνει την ευκαιρία να υποβάλουν παρατηρήσεις μέσα σε εύλογη προθεσμία. Το Συμβούλιο Προστασίας Δεδομένων, με την επιφύλαξη του άρθρου 76, κοινοποιεί τα αποτελέσματα της διαβούλευσης.

Άρθρο 88

Επεξεργασία στο πλαίσιο της απασχόλησης

1. Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

Άρθρο 90

Υποχρεώσεις τήρησης απορρήτου

1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 παράγραφος 1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα_προσωπικού_χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

whereas

(21) Ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8), ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας. Η εν λόγω οδηγία έχει ως στόχο τη συμβολή στην ομαλή λειτουργία της εσωτερικής αγοράς, διασφαλίζοντας την ελεύθερη κυκλοφορία των υπηρεσιών της κοινωνίας της πληροφορίας μεταξύ των κρατών μελών.

- = -

(51) Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Τα εν λόγω δεδομένα_προσωπικού_χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα_προσωπικού_χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Η επεξεργασία φωτογραφιών δεν θα πρέπει συστηματικά να θεωρείται ότι είναι επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, καθώς αυτές καλύπτονται από τον ορισμό των βιομετρικών δεδομένων μόνο σε περίπτωση επεξεργασίας μέσω ειδικών τεχνικών μέσων που επιτρέπουν την αδιαμφισβήτητη ταυτοποίηση ή επαλήθευση της ταυτότητας ενός φυσικού προσώπου. Τέτοια δεδομένα_προσωπικού_χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία επιτρέπεται σε ειδικές περιπτώσεις που προβλέπονται στον παρόντα κανονισμό, λαμβάνοντας υπόψη ότι το δίκαιο των κρατών μελών μπορεί να προβλέπει ειδικές διατάξεις για την προστασία των δεδομένων, προκειμένου να προσαρμόζεται η εφαρμογή των κανόνων του παρόντος κανονισμού λόγω συμμόρφωσης προς νομική υποχρέωση ή λόγω εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η εν λόγω επεξεργασία, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.

- = -

(55) Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές με σκοπό την επίτευξη σκοπών επίσημα αναγνωρισμένων θρησκευτικών ενώσεων, οι οποίοι προβλέπονται στο συνταγματικό ή το διεθνές δημόσιο δίκαιο, πραγματοποιείται για λόγους δημόσιου συμφέροντος.

- = -

(56) Εάν, στο πλαίσιο εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων προσωπικού χαρακτήρα σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, εφόσον προβλέπονται κατάλληλες εγγυήσεις.

- = -

(59) Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα προβολής αντιρρήσεων. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα_προσωπικού_χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα.

- = -

(68) Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων του προσωπικού χαρακτήρα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων θα πρέπει να έχει επίσης τη δυνατότητα να λαμβάνει τα δεδομένα_προσωπικού_χαρακτήρα που το αφορούν και που έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας των δεδομένων θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικούς μορφότυπους που επιτρέπουν τη φορητότητα των δεδομένων. Το εν λόγω δικαίωμα θα πρέπει να εφαρμόζεται σε περίπτωση που το υποκείμενο των δεδομένων παρέσχε τα δεδομένα_προσωπικού_χαρακτήρα με τη συγκατάθεσή του ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης. Δεν θα πρέπει να εφαρμόζεται όταν η επεξεργασία βασίζεται σε άλλη νομική βάση πλην συγκατάθεσης ή σύμβασης. Από τη φύση του το δικαίωμα αυτό δεν θα πρέπει να ασκείται κατά υπευθύνων επεξεργασίας που επεξεργάζονται δεδομένα_προσωπικού_χαρακτήρα κατά την άσκηση των δημόσιων καθηκόντων τους. Δεν θα πρέπει συνεπώς να εφαρμόζεται όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Το δικαίωμα του υποκειμένου των δεδομένων να διαβιβάζει ή να λαμβάνει δεδομένα_προσωπικού_χαρακτήρα που το αφορούν δεν θα πρέπει να δημιουργεί υποχρέωση των υπευθύνων επεξεργασίας να υιοθετούν ή να διατηρούν συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη. Όταν, σε συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα, θίγονται περισσότερα του ενός υποκείμενα των δεδομένων, το δικαίωμα λήψης των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θίγει τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό. Επιπλέον, το δικαίωμα αυτό δεν θα πρέπει να θίγει το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ούτε τους περιορισμούς του εν λόγω δικαιώματος, όπως προβλέπονται στον παρόντα κανονισμό και ειδικότερα δεν θα πρέπει να συνεπάγεται διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και τα οποία έχουν παρασχεθεί από αυτό για την εκτέλεση σύμβασης, στον βαθμό και εφόσον τα δεδομένα αυτά είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Όταν είναι τεχνικά εφικτό, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να εξασφαλίζει ότι τα δεδομένα_προσωπικού_χαρακτήρα διαβιβάζονται απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον.

- = -

(94) Εάν η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία, χωρίς διασφαλίσεις, μέτρα και μηχανισμούς ασφάλειας για να μετριαστεί ο κίνδυνος, θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν είναι δυνατόν να μετριαστεί με εύλογα μέτρα όσον αφορά τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να διενεργείται διαβούλευση με την εποπτική_αρχή πριν από την έναρξη των δραστηριοτήτων επεξεργασίας. Ο εν λόγω υψηλός κίνδυνος είναι πιθανόν να προκύψει από ορισμένες μορφές επεξεργασίας και ορισμένο βαθμό και συχνότητα επεξεργασίας, με αποτέλεσμα ακόμη και ζημία ή επέμβαση στα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Η εποπτική_αρχή θα πρέπει να ανταποκρίνεται στο αίτημα για διαβούλευση σε ορισμένο χρονικό διάστημα. Ωστόσο, η απουσία αντίδρασης της εποπτικής αρχής εντός της εν λόγω προθεσμίας δεν θα πρέπει να θίγει την όποια παρέμβαση της εποπτικής αρχής, σύμφωνα με τα καθήκοντα και τις εξουσίες της που ορίζονται στον παρόντα κανονισμό, περιλαμβανομένης της εξουσίας απαγόρευσης πράξεων επεξεργασίας. Στο πλαίσιο της εν λόγω διαδικασίας διαβούλευσης, μπορεί να υποβάλλεται στην εποπτική_αρχή το αποτέλεσμα της εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων που διεξάγεται σε σχέση με την επίμαχη επεξεργασία, ιδίως δε τα μέτρα που προβλέπονται για τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

- = -

(107) Η Επιτροπή μπορεί να διαπιστώσει ότι μια τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας μιας τρίτης χώρας ή ένας διεθνής_οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις του παρόντος κανονισμού σχετικά με διαβιβάσεις υπό την επιφύλαξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων, και σχετικά με παρεκκλίσεις για ειδικές καταστάσεις. Στην περίπτωση αυτή, θα πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώνει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίζει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.

- = -

(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι διαβιβάσεις μπορούν να διενεργούνται επίσης από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς σε τρίτες χώρες ή με διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια της αρμόδιας εποπτικής αρχής θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις.

- = -

(130) Όταν η εποπτική_αρχή προς την οποία υποβλήθηκε η καταγγελία δεν είναι η επικεφαλής εποπτική_αρχή, η επικεφαλής εποπτική_αρχή θα πρέπει να συνεργάζεται στενά με την εποπτική_αρχή προς την οποία υποβλήθηκε η καταγγελία σύμφωνα με τις διατάξεις περί συνεργασίας και συνεκτικότητας που προβλέπονται στον παρόντα κανονισμό. Σε τέτοιες περιπτώσεις, η επικεφαλής εποπτική_αρχή θα πρέπει, όταν λαμβάνει μέτρα προορισμένα να παράγουν έννομες συνέπειες, όπως η επιβολή διοικητικών προστίμων, να λαμβάνει ιδιαιτέρως υπόψη τις απόψεις της εποπτικής αρχής προς την οποία υποβλήθηκε η καταγγελία και η οποία θα πρέπει να παραμένει αρμόδια να διενεργεί τυχόν έρευνα στο έδαφος του κράτους μέλους της σε σύνδεση με την αρμόδια εποπτική_αρχή.

- = -

(143) Κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα να ασκήσει προσφυγή για την ακύρωση των αποφάσεων του Συμβουλίου Προστασίας Δεδομένων ενώπιον του Δικαστηρίου σύμφωνα με τους όρους που προβλέπονται στο άρθρο 263 ΣΛΕΕ. Ως αποδέκτες των αποφάσεων αυτών, οι ενδιαφερόμενες εποπτικές αρχές που επιθυμούν να τις προσβάλουν πρέπει να ασκήσουν προσφυγή εντός δύο μηνών από την κοινοποίησή τους, σύμφωνα με το άρθρο 263 ΣΛΕΕ. Σε περίπτωση που οι αποφάσεις του Συμβουλίου Προστασίας Δεδομένων αφορούν άμεσα και ατομικά έναν υπεύθυνο επεξεργασίας, εκτελούντα την επεξεργασία ή καταγγέλλοντα, αυτοί μπορούν να ασκήσουν προσφυγή για την ακύρωση των αποφάσεων αυτών εντός δύο μηνών από τη δημοσίευση των αποφάσεων αυτών στον διαδικτυακό τόπο του ΣυμβουλίουΠροστασίας Δεδομένων, σύμφωνα με το άρθρο 263 ΣΛΕΕ.
Mε την επιφύλαξη αυτού του δικαιώματος δυνάμει του άρθρου 263 ΣΛΕΕ, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Οι αποφάσεις αυτές αφορούν ειδικότερα την άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική_αρχή ή τις περιπτώσεις στις οποίες οι καταγγελίες κρίνονται απαράδεκτες ή απορρίπτονται. Ωστόσο, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική_αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική_αρχή και να διεξάγεται σύμφωνα με το δικονομικό δίκαιο του εν λόγω κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη δικαιοδοσία, η οποία θα πρέπει να περιλαμβάνει τη δικαιοδοσία να εξετάζουν όλα τα πραγματικά και νομικά ζητήματα σχετικά με τη διαφορά που εκκρεμεί ενώπιόν τους.

- = -

(151) Στα νομικά συστήματα της Δανίας και της Εσθονίας δεν προβλέπονται διοικητικά πρόστιμα όπως καθορίζονται στον παρόντα κανονισμό. Οι κανόνες σχετικά με τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπον ώστε στη Δανία το πρόστιμο να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια ως ποινική κύρωση και στην Εσθονία το πρόστιμο να επιβάλλεται από την εποπτική_αρχή στο πλαίσιο διαδικασίας για πλημμελήματα, υπό την προϋπόθεση ότι μια τέτοια εφαρμογή των κανόνων σε αυτά τα κράτη μέλη έχει ισοδύναμο αποτέλεσμα με διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Ως εκ τούτου, τα αρμόδια εθνικά δικαστήρια θα πρέπει να λαμβάνουν υπόψη τη σύσταση της εποπτικής αρχής από την οποία προέρχεται το πρόστιμο. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.

- = -

(155) Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα_προσωπικού_χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

- = -

dal 2004 diritto e informatica