interactive GDPR 2016/0679 EL

1. Η αρμόδια εποπτική_αρχή εγκρίνει δεσμευτικούς εταιρικούς κανόνες σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63, υπό τον όρο ότι:

α)	είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε οικείο μέλος και επιβάλλονται από κάθε οικείο μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, περιλαμβανομένων των υπαλλήλων τους,

β)	απονέμουν ρητώς εκτελεστά δικαιώματα στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και

γ)	πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2. Οι δεσμευτικοί_εταιρικοί_κανόνες που αναφέρονται στην παράγραφο 1 διευκρινίζουν τουλάχιστον:

α)	τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και κάθε μέλους του,

β)	τις διαβιβάσεις δεδομένων ή το σύνολο των διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον τύπο επεξεργασίας και τους σκοπούς της, τον τύπο των υποκειμένων των δεδομένων που επηρεάζονται και τον καθορισμό της εν λόγω τρίτης χώρας ή τρίτων χωρών,

γ)	τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά,

δ)

την εφαρμογή των γενικών αρχών προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ελαχιστοποίηση των δεδομένων, τις περιορισμένες περιόδους αποθήκευσης, την ποιότητα των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα μέτρα διασφάλισης της ασφάλειας των δεδομένων, καθώς και την εφαρμογή των απαιτήσεων σχετικά με περαιτέρω διαβιβάσεις σε φορείς που δεν δεσμεύονται από τους δεσμευτικούς εταιρικούς κανόνες,

ε)

τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά την επεξεργασία και τα μέσα άσκησης των εν λόγω δικαιωμάτων, περιλαμβανομένων του δικαιώματος μη υπαγωγής σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ σύμφωνα με το άρθρο 22, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας εποπτικής αρχής και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 79, καθώς και της εξασφάλισης επανόρθωσης και, όπου απαιτείται, αποζημίωσης για παράβαση των δεσμευτικών εταιρικών κανόνων,

στ)

την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνο αποδεικνύοντας ότι το εν λόγω μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας,

ζ)	τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες προς τα υποκείμενα των δεδομένων, ιδίως τις διατάξεις που αναφέρονται στα στοιχεία δ), ε) και στ) της παρούσας παραγράφου, επιπλέον των άρθρων 13 και 14,

η)

τα καθήκοντα κάθε υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 37 ή οποιουδήποτε προσώπου ή οντότητας επιφορτισμένων με την παρακολούθηση της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, καθώς και με την παρακολούθηση της κατάρτισης και του χειρισμού των καταγγελιών,

θ)	τις διαδικασίες καταγγελίας,

ι)

τους μηχανισμούς εντός του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα για τον έλεγχο της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες. Οι εν λόγω μηχανισμοί περιλαμβάνουν ελέγχους για την προστασία των δεδομένων και μεθόδους διασφάλισης διορθωτικών δράσεων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Τα αποτελέσματα του ελέγχου αυτού πρέπει να ανακοινώνονται στο πρόσωπο ή την οντότητα που αναφέρονται στο στοιχείο η) και στο διοικητικό συμβούλιο της ελέγχουσας επιχείρησης του ομίλου επιχειρήσεων ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ενώ επίσης πρέπει να παρέχονται κατόπιν αιτήματος στην αρμόδια εποπτική_αρχή,

ια)	τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική_αρχή,

ιβ)

τον μηχανισμό συνεργασίας με την εποπτική_αρχή, ώστε να διασφαλίζεται η συμμόρφωση κάθε μέλους του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, ιδίως θέτοντας στη διάθεση της εποπτικής αρχής τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο ι),

ιγ)

τους μηχανισμούς αναφοράς στην αρμόδια εποπτική_αρχή κάθε νομικής απαίτησης στην οποία ένα μέλος του ομίλου επιχειρήσεων, ή του ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα υπόκειται σε τρίτη χώρα και η οποία ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από τους δεσμευτικούς εταιρικούς κανόνες και

ιδ)	την κατάλληλη εκπαίδευση στην προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα_προσωπικού_χαρακτήρα.

3. Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.

Άρθρο 50

Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι εποπτικές αρχές λαμβάνουν κατάλληλα μέτρα για:

α)	την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

β)

την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω ειδοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,

γ)	τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα,

δ)	την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής περί προστασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε συγκρούσεις δικαιοδοσίας με τρίτες χώρες.

ΚΕΦΑΛΑΙΟ VI

Ανεξάρτητες εποπτικές αρχές

Τμήμα 1

Ανεξάρτητο καθεστώς

Άρθρο 52

Ανεξαρτησία

1. Κάθε εποπτική_αρχή εκτελεί τα καθήκοντά της και ασκεί τις εξουσίες της σύμφωνα με τον παρόντα κανονισμό με πλήρη ανεξαρτησία.

2. Το μέλος ή τα μέλη κάθε εποπτικής αρχής εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με τον παρόντα κανονισμό χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.

3. Το μέλος ή τα μέλη κάθε εποπτικής αρχής απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Συμβούλιο Προστασίας Δεδομένων.

5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από το μέλος ή τα μέλη της ενδιαφερόμενης εποπτικής αρχής.

6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική_αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς, δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι μπορούν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.

Άρθρο 61

Αμοιβαία συνδρομή

1. Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.

2. Κάθε εποπτική_αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει σε αίτημα άλλης εποπτικής αρχής αμελλητί και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, ιδίως, τη διαβίβαση σχετικών πληροφοριών όσον αφορά τη διενέργεια έρευνας.

3. Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, μεταξύ αυτών τον σκοπό και τους λόγους υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.

4. Εποπτική αρχή στην οποία υποβλήθηκε αίτημα δεν αρνείται να συμμορφωθεί προς το αίτημα, παρά μόνο εάν:

α)	δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για μέτρα που πρέπει να εκτελέσει ή

β)	η συμμόρφωση προς το αίτημα θα παραβίαζε τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται η εποπτική_αρχή που λαμβάνει το αίτημα.

5. Η εποπτική_αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική_αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο των μέτρων που έλαβε για να ανταποκριθεί στο αίτημα. Η εποπτική_αρχή στην οποία υποβλήθηκε το αίτημα εξηγεί τους λόγους για οποιαδήποτε άρνηση συμμόρφωσης προς αίτημα δυνάμει της παραγράφου 4.

6. Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.

7. Οι εποπτικές αρχές στις οποία υποβλήθηκε αίτημα δεν επιβάλλουν τέλος για οποιαδήποτε ενέργεια στην οποία προέβησαν σε συνέχεια αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.

8. Εάν μια εποπτική_αρχή δεν παράσχει τις αναφερόμενες στην παράγραφο 5 του παρόντος άρθρου πληροφορίες εντός μηνός από την παραλαβή του αιτήματος άλλης εποπτικής αρχής, η εποπτική_αρχή που υπέβαλε το αίτημα δύναται να θεσπίσει προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 55 παράγραφος 1. Στην περίπτωση αυτή, θεωρείται ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων βάσει του άρθρο 66 παράγραφος 1 και απαιτείται επείγουσα δεσμευτική απόφαση του Συμβουλίου Προστασίας Δεδομένων, σύμφωνα με το άρθρο 66 παράγραφος 2.

9. Η Επιτροπή μπορεί, μέσω εκτελεστικών πράξεων, να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ ελεγκτικών αρχών και μεταξύ ελεγκτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93 παράγραφος 2.

Άρθρο 70

Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1. Το Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή, κατά περίπτωση, κατόπιν αιτήματος της Επιτροπής, ιδίως:

α)	παρακολουθεί και διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού στις περιπτώσεις που προβλέπονται στα άρθρα 64 και 65, με την επιφύλαξη των καθηκόντων των εθνικών εποπτικών αρχών,

β)	συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού,

γ)	συμβουλεύει την Επιτροπή σχετικά με τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες,

δ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στο άρθρο 17 παράγραφος 2,

ε)

εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού,

στ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση_προφίλ δυνάμει του άρθρου 22 παράγραφος 2,

ζ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου σχετικά με τη διαπίστωση των παραβίασεων των δεδομένων προσωπικού χαρακτήρα και τον καθορισμό της αμελλητί δράσης που αναφέρεται στο άρθρο 33 παράγραφοι 1 και 2 και σχετικά με τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία υποχρεούται να κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα,

η)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση_δεδομένων_προσωπικού_χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που αναφέρονται στο άρθρο 34 παράγραφος 1,

θ)

εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που βασίζονται σε δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας και των περαιτέρω αναγκαίων απαιτήσεων, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των οικείων υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 47,

ια)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για τους σκοπούς του περαιτέρω προσδιορισμού των κριτηρίων και των απαιτήσεων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 49 παράγραφος 1,

ιβ)	εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά την εφαρμογή των μέτρων που αναφέρονται στο άρθρο 58 παράγραφοι 1, 2 και 3 και τον καθορισμό διοικητικών προστίμων δυνάμει του άρθρου 83,

ιγ)	εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στα στοιχεία ε) και στ),

ιδ)	εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο ε) της παρούσας παραγράφου για την εκπόνηση κοινών διαδικασιών για την αναφορά από φυσικά πρόσωπα παραβάσεων του παρόντος κανονισμού βάσει του άρθρου 54 παράγραφος 2,

ιε)	ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων δυνάμει των άρθρων 40 και 42,

ιστ)

εκτελεί τη διαπίστευση των φορέων πιστοποίησης και την περιοδική επανεξέτασή της δυνάμει του άρθρου 43 και τηρεί δημόσιο μητρώο των διαπιστευμένων φορέων σύμφωνα με το άρθρο 43 παράγραφος 6 και των διαπιστευμένων υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία που είναι εγκατεστημένοι σε τρίτες χώρες σύμφωνα με το άρθρο 42 παράγραφος 7,

ιζ)	προσδιορίζει τις απαιτήσεις που αναφέρονται στο άρθρο 43 παράγραφος 3 προκειμένου για τη διαπίστευση των φορέων πιστοποίησης σύμφωνα με το άρθρο 42,

ιη)	γνωμοδοτεί στην Επιτροπή σχετικά με τις απαιτήσεις πιστοποίησης που αναφέρονται στο άρθροου 43 παράγραφος 8,

ιθ)	γνωμοδοτεί στην Επιτροπή σχετικά με τα εικονίδια που αναφέρονται στο άρθρο 12 παράγραφος 7,

κ)

παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσο μια τρίτη χώρα, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής_οργανισμός δεν διασφαλίζει πλέον επαρκές επίπεδο προστασίας. Για τον σκοπό αυτό, η Επιτροπή παρέχει στο Συμβούλιο Προστασίας Δεδομένων όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, όσον αφορά την εν λόγω τρίτη χώρα, το έδαφος ή τον συγκεκριμένο τομέα ή τον διεθνή οργανισμό,

κα)

εκδίδει γνώμες για σχέδια αποφάσεων των εποπτικών αρχών δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 64 παράγραφος 1 και για ζητήματα που υποβάλλονται σύμφωνα με το άρθρο 64 παράγραφος 2 και εκδίδει δεσμευτικές αποφάσεις δυνάμει του άρθρου 65, μεταξύ άλλων στις περιπτώσεις που αναφέρονται στο άρθρο 66,

κβ)	προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών,

κγ)	προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς,

κδ)	προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων ανά τον κόσμο,

κε)	γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε επίπεδο Ένωσης σύμφωνα με το άρθρο 40 παράγραφος 9 και

κστ)	διατηρεί δημόσια προσβάσιμο ηλεκτρονικό μητρώο των αποφάσεων που λαμβάνονται από τις εποπτικές αρχές και τα δικαστήρια για ζητήματα που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

2. Όταν η Επιτροπή ζητεί τη συμβουλή του Συμβουλίου Προστασίας Δεδομένων, μπορεί να αναφέρει ενδεικτικά προθεσμία, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3. Το Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 93 και τις δημοσιοποιεί.

4. Όπου είναι σκόπιμο, το Συμβούλιο Προστασίας Δεδομένων ζητεί τη γνώμη των ενδιαφερόμενων μέρων και τους δίνει την ευκαιρία να υποβάλουν παρατηρήσεις μέσα σε εύλογη προθεσμία. Το Συμβούλιο Προστασίας Δεδομένων, με την επιφύλαξη του άρθρου 76, κοινοποιεί τα αποτελέσματα της διαβούλευσης.

Άρθρο 75

Γραμματεία

1. Το Συμβούλιο Προστασίας Δεδομένων επικουρείται από γραμματεία, η οποία παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

2. Η γραμματεία ασκεί τα καθήκοντά της αποκλειστικά βάσει των εντολών του Προέδρου του Συμβουλίου Προστασίας Δεδομένων.

3. Το προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού υπόκειται σε χωριστές ιεραρχικές βαθμίδες από το προσωπικό το οποίο συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στον Ευρωπαϊκό Επόπτη Προστασίας Δεδομένων.

4. Κατά περίπτωση, το Συμβούλιο Προστασίας Δεδομένων και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων καταρτίζουν και δημοσιεύουν υπόμνημα συνεργασίας για την εφαρμογή του παρόντος άρθρου, με το οποίο καθορίζονται οι όροι συνεργασίας τους και το οποίο εφαρμόζεται στο προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην άσκηση των καθηκόντων που ανατίθενται στο Συμβούλιο Προστασίας Δεδομένων βάσει του παρόντος κανονισμού.

5. Η γραμματεία παρέχει αναλυτική, διοικητική και υλικοτεχνική στήριξη στο Συμβούλιο Προστασίας Δεδομένων.

6. Η γραμματεία είναι ιδίως υπεύθυνη για τα ακόλουθα:

α)	τις καθημερινές εργασίες του Συμβουλίου Προστασίας Δεδομένων,

β)	την επικοινωνία μεταξύ των μελών του Συμβουλίου Προστασίας Δεδομένων, του Προέδρου του και της Επιτροπής,

γ)	την επικοινωνία με άλλα όργανα και με το κοινό,

δ)	τη χρήση ηλεκτρονικών μέσων για την εσωτερική και την εξωτερική επικοινωνία,

ε)	τη μετάφραση σχετικών πληροφοριών,

στ)	την προετοιμασία και τη συνέχεια που δίνεται στις συνεδριάσεις του Συμβουλίου Προστασίας Δεδομένων,

ζ)	την προετοιμασία, σύνταξη και δημοσίευση γνωμών, αποφάσεων σχετικά με την επίλυση διαφορών μεταξύ εποπτικών αρχών και άλλων κειμένων που εκδίδει το Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Κάθε εποπτική_αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α)	η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

β)	ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

γ)	οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,

δ)	ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,

ε)	τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

στ)	ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

ζ)	οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

η)	ο τρόπος με τον οποίο η εποπτική_αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,

θ)	σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,

ι)	η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 και

ια)	κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α)	οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43,

β)	οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 και 43,

γ)	οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 παράγραφος 4.

5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α)	οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 και 9,

β)	τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22,

γ)	η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 έως 49,

δ)	οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX,

ε)	μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική_αρχή δυνάμει του άρθρου 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1.

6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.

9. Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει επιβολή διοικητικών προστίμων, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική_αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, με την ταυτόχρονη διασφάλιση ότι τα εν λόγω ένδικα μέσα είναι αποτελεσματικά και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Τα εν λόγω κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις των νόμων τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούντα τροποποιητικό νόμο ή τροποποίησή τους.

Άρθρο 85

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

2. Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (ειδικές περιπτώσεις επεξεργασίας δεδομένων), εφόσον αυτές είναι αναγκαίες για να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία της έκφρασης και πληροφόρησης.

3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 2 και, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

Άρθρο 97

Εκθέσεις της Επιτροπής

1. Έως τις 25 Μαΐου 2020 και στη συνέχεια κάθε τέσσερα έτη, η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.

2. Στο πλαίσιο των αξιολογήσεων και των αναθεωρήσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, ειδικότερα, την εφαρμογή και λειτουργία:

α)

του κεφαλαίου V περί μεταφοράς των δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, λαμβάνοντας δεόντως υπόψη τις αποφάσεις που εκδίδονται σύμφωνα με το άρθρο 45 παράγραφος 3 του παρόντος κανονισμού και τις αποφάσεις που εκδίδονται βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ,

β)	του κεφαλαίου VII για τη συνεργασία και τη συνεκτικότητα.

3. Για τον σκοπό της παραγράφου 1, η Επιτροπή μπορεί να ζητεί πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.

4. Κατά τη διενέργεια των αξιολογήσεων και αναθεωρήσεων που αναφέρονται στις παραγράφους 1 και 2, η Επιτροπή λαμβάνει υπόψη τις θέσεις και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων αρμόδιων φορέων ή πηγών.

5. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση του παρόντος κανονισμού, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας.

whereas

(13) Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (5).

- = -

(36) H κύρια_εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις για τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση, οπότε η εν λόγω άλλη εγκατάσταση θα πρέπει να θεωρείται ως η κύρια_εγκατάσταση. Η κύρια_εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να καθορίζεται σύμφωνα με αντικειμενικά κριτήρια και θα πρέπει να συνεπάγεται την ουσιαστική και πραγματική άσκηση δραστηριοτήτων διαχείρισης οι οποίες καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς και τα μέσα της επεξεργασίας μέσω σταθερών ρυθμίσεων. Το εν λόγω κριτήριο δεν θα πρέπει να εξαρτάται από το εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στον συγκεκριμένο τόπο. Η ύπαρξη και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή δραστηριοτήτων επεξεργασίας δεν αποτελούν αφ' εαυτών κύρια_εγκατάσταση και, επομένως, δεν συνιστούν καθοριστικά κριτήρια της κύριας εγκατάστασης. Η κύρια_εγκατάσταση του εκτελούντος την επεξεργασία θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν αυτός δεν έχει κεντρική διοίκηση στην Ένωση, ο τόπος όπου πραγματοποιούνται οι βασικές δραστηριότητες επεξεργασίας στην Ένωση. Σε περιπτώσεις που αφορούν τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία, αρμόδια επικεφαλής εποπτική_αρχή θα πρέπει να παραμένει η εποπτική_αρχή του κράτους μέλους όπου βρίσκεται η κύρια_εγκατάσταση του υπευθύνου επεξεργασίας, αλλά η εποπτική_αρχή του εκτελούντος την επεξεργασία θα πρέπει να θεωρείται ως ενδιαφερόμενη εποπτική_αρχή και η εν λόγω εποπτική_αρχή θα πρέπει να μετέχει στη διαδικασία συνεργασίας που προβλέπει ο παρών κανονισμός. Σε κάθε περίπτωση, οι εποπτικές αρχές του κράτους μέλους ή των κρατών μελών όπου ο εκτελών την επεξεργασία έχει μία ή περισσότερες εγκαταστάσεις δεν θα πρέπει να θεωρούνται ως ενδιαφερόμενες εποπτικές αρχές όταν το σχέδιο απόφασης αφορά μόνο τον υπεύθυνο επεξεργασίας. Όταν η επεξεργασία διενεργείται από όμιλο επιχειρήσεων, ως κύρια_εγκατάσταση της ελέγχουσας επιχείρησης θα πρέπει να θεωρείται η κύρια_εγκατάσταση του ομίλου επιχειρήσεων, εκτός εάν οι σκοποί και τα μέσα της επεξεργασίας καθορίζονται από άλλη επιχείρηση.

- = -

(86) Ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων για παραβίαση_δεδομένων_προσωπικού_χαρακτήρα, όταν αυτή η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, προκειμένου να του επιτραπεί να λάβει τις αναγκαίες προφυλάξεις. Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοίνωσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την ελεγκτική αρχή, τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές, όπως αρχές επιβολής του νόμου. Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας θα απαιτούσε την άμεση ανακοίνωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων προσωπικού χαρακτήρα μπορεί να δικαιολογεί περισσότερο χρόνο για την ανακοίνωση.

- = -

(101) Οι ροές δεδομένων προσωπικού χαρακτήρα από και προς χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η διόγκωση των ροών αυτών δημιούργησε νέες προκλήσεις και μελήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα_προσωπικού_χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο διασφαλίζει στην Ένωση ο παρών κανονισμός, μεταξύ άλλων και στις περιπτώσεις περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό προς υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες και διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό. Διαβίβαση θα μπορούσε να πραγματοποιηθεί μόνο εάν, με την επιφύλαξη των άλλων διατάξεων του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τηρεί τους όρους των διατάξεων του παρόντος κανονισμού σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.

- = -

(104) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, ιδίως με την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση της τρίτης χώρας ή ενός εδάφους ή ενός συγκεκριμένου τομέα σε μια τρίτη χώρα, να συνεκτιμά κατά πόσο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιό της, μεταξύ άλλων τη νομοθεσία που αφορά τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. Η έκδοση απόφασης επάρκειας για ένα έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να συνεκτιμά σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει εγγυήσεις που να διασφαλίζουν ένα κατάλληλο επίπεδο προστασίας, ουσιωδώς ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης, ιδίως όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σε έναν ή διαφόρους συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να διασφαλίζει την αποτελεσματική ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και νομικώς ισχυρά δικαιώματα, καθώς και τη δυνατότητα άσκησης αποτελεσματικών διοικητικών και δικαστικών προσφυγών.

- = -

(116) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα εκτός της Ένωσης θέτει ενδεχομένως σε μεγαλύτερο κίνδυνο την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι εποπτικές αρχές μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς εξουσίες πρόληψης ή αποκατάστασης, από αντιφατικά νομικά καθεστώτα και από πρακτικά εμπόδια, όπως η απουσία πόρων. Επομένως, υπάρχει ανάγκη να προωθηθεί η στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας των δεδομένων, ώστε να διευκολύνονται να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους. Για να αναπτυχθούν διεθνείς μηχανισμοί συνεργασίας με σκοπό τη διευκόλυνση και την παροχή διεθνούς αμοιβαίας συνδρομής για την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα, η Επιτροπή και οι εποπτικές αρχές θα πρέπει να ανταλλάσσουν πληροφορίες και να συνεργάζονται σε δραστηριότητες σχετικές με την άσκηση των αρμοδιοτήτων τους με τις αρμόδιες αρχές τρίτων χωρών, βάσει της αρχής της αμοιβαιότητας και σύμφωνα με τον παρόντα κανονισμό·

- = -

(119) Όταν ένα κράτος μέλος συστήνει περισσότερες εποπτικές αρχές, θα πρέπει να θεσπίζει διά νόμου μηχανισμούς, ώστε να διασφαλίζεται η αποτελεσματική συμμετοχή των εποπτικών αυτών αρχών στον μηχανισμό συνεκτικότητας. Το συγκεκριμένο κράτος μέλος θα πρέπει να ορίζει, ιδίως, την εποπτική_αρχή η οποία αποτελεί το ενιαίο σημείο επικοινωνίας για την αποτελεσματική συμμετοχή των εν λόγω αρχών στον μηχανισμό, ώστε να διασφαλίζεται ταχεία και εύρυθμη συνεργασία με άλλες εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και την Επιτροπή.

- = -

(120) Σε κάθε εποπτική_αρχή θα πρέπει να παρέχονται οι οικονομικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και οι υποδομές τα οποία είναι αναγκαία για την αποτελεσματική άσκηση των καθηκόντων της, περιλαμβανομένων εκείνων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες εποπτικές αρχές σε ολόκληρη την Ένωση. Κάθε εποπτική_αρχή θα πρέπει να διαθέτει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί τμήμα τού συνολικού κρατικού ή εθνικού προϋπολογισμού.

- = -

(123) Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή, χωρίς να απαιτείται κάποια συμφωνία μεταξύ των κρατών μελών για την παροχή αμοιβαίας συνδρομής ή για τέτοια συνεργασία.

- = -

(127) Κάθε εποπτική_αρχή που δεν ενεργεί ως η επικεφαλής εποπτική_αρχή θα πρέπει να είναι αρμόδια να επιλαμβάνεται τοπικών υποθέσεων όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, αλλά το αντικείμενο της συγκεκριμένης επεξεργασίας αφορά μόνο επεξεργασία που πραγματοποιείται σε ένα μόνο κράτος μέλος και αφορά υποκείμενα των δεδομένων σε αυτό το κράτος μέλος μόνο, παραδείγματος χάριν, όταν το αντικείμενο αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στο συγκεκριμένο πλαίσιο απασχόλησης ενός κράτους μέλους. Στις περιπτώσεις αυτές, η εποπτική_αρχή θα πρέπει να ενημερώνει περί αυτού την επικεφαλής εποπτική_αρχή χωρίς καθυστέρηση. Αφού ενημερωθεί, η επικεφαλής εποπτική_αρχή θα πρέπει να αποφασίζει εάν θα επιληφθεί της υπόθεσης σύμφωνα με τη διάταξη σχετικά με τη συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και άλλων ενδιαφερόμενων εποπτικών αρχών («μηχανισμός μίας στάσης»), ή εάν θα πρέπει να επιληφθεί της υπόθεσης σε τοπικό επίπεδο η εποπτική_αρχή που την ενημέρωσε. Όταν αποφασίζει εάν θα επιληφθεί της υπόθεσης, η επικεφαλής εποπτική_αρχή θα πρέπει να λαμβάνει υπόψη εάν υπάρχει εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε, ώστε να διασφαλιστεί η αποτελεσματική επιβολή της απόφασης έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Όταν η επικεφαλής εποπτική_αρχή αποφασίζει να επιληφθεί της υπόθεσης, η εποπτική_αρχή που την ενημέρωσε θα πρέπει να έχει τη δυνατότητα να υποβάλλει σχέδιο απόφασης, το οποίο θα πρέπει η επικεφαλής εποπτική_αρχή να λαμβάνει ιδιαιτέρως υπόψη κατά την προετοιμασία του σχεδίου απόφασης στο πλαίσιο του εν λόγω μηχανισμού μίας στάσης.

- = -

(130) Όταν η εποπτική_αρχή προς την οποία υποβλήθηκε η καταγγελία δεν είναι η επικεφαλής εποπτική_αρχή, η επικεφαλής εποπτική_αρχή θα πρέπει να συνεργάζεται στενά με την εποπτική_αρχή προς την οποία υποβλήθηκε η καταγγελία σύμφωνα με τις διατάξεις περί συνεργασίας και συνεκτικότητας που προβλέπονται στον παρόντα κανονισμό. Σε τέτοιες περιπτώσεις, η επικεφαλής εποπτική_αρχή θα πρέπει, όταν λαμβάνει μέτρα προορισμένα να παράγουν έννομες συνέπειες, όπως η επιβολή διοικητικών προστίμων, να λαμβάνει ιδιαιτέρως υπόψη τις απόψεις της εποπτικής αρχής προς την οποία υποβλήθηκε η καταγγελία και η οποία θα πρέπει να παραμένει αρμόδια να διενεργεί τυχόν έρευνα στο έδαφος του κράτους μέλους της σε σύνδεση με την αρμόδια εποπτική_αρχή.

- = -

(135) Για να διασφαλιστεί συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, θα πρέπει να θεσπισθεί μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των εποπτικών αρχών. Ο εν λόγω μηχανισμός θα πρέπει να εφαρμόζεται ειδικότερα όταν μια εποπτική_αρχή σκοπεύει να θεσπίσει μέτρο που πρόκειται να παραγάγει έννομες συνέπειες όσον αφορά πράξεις επεξεργασίας που επηρεάζουν ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα κράτη μέλη. Θα πρέπει να εφαρμόζεται επίσης όταν κάποια ενδιαφερόμενη εποπτική_αρχή ή η Επιτροπή ζητούν τον χειρισμό της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Ο εν λόγω μηχανισμός δεν θα πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.

- = -

(136) Κατά την εφαρμογή του μηχανισμού συνεκτικότητας, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εκδίδει γνώμη, εντός καθορισμένης προθεσμίας, εφόσον αποφασίσει κάτι τέτοιο η πλειοψηφία των μελών του ή εφόσον του ζητηθεί από κάποια ενδιαφερόμενη εποπτική_αρχή ή από την Επιτροπή. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει επίσης να εξουσιοδοτηθεί να εκδίδει νομικώς δεσμευτικές αποφάσεις όταν υπάρχουν διαφορές μεταξύ εποπτικών αρχών. Για τον σκοπό αυτό, θα πρέπει να εκδίδει, κατ' αρχήν με πλειοψηφία δύο τρίτων των μελών του, νομικά δεσμευτικές αποφάσεις σε σαφώς καθορισμένες περιπτώσεις όπου υπάρχουν αντικρουόμενες απόψεις μεταξύ εποπτικών αρχών, ιδίως στο πλαίσιο του μηχανισμού συνεργασίας μεταξύ της επικεφαλής εποπτικής αρχής και των ενδιαφερόμενων εποπτικών αρχών επί της ουσίας της υποθέσεως, ιδίως για το αν υπάρχει παράβαση του παρόντος κανονισμού.

- = -

(138) Η εφαρμογή του εν λόγω μηχανισμού θα πρέπει να αποτελεί προϋπόθεση για το σύννομο του μέτρου που λαμβάνει εποπτική_αρχή με σκοπό να παραγάγει έννομα αποτελέσματα στις περιπτώσεις στις οποίες η εφαρμογή του είναι υποχρεωτική. Σε άλλες περιπτώσεις διασυνοριακού ενδιαφέροντος, θα πρέπει να εφαρμόζεται ο μηχανισμός συνεργασίας μεταξύ της επικεφαλής αρχής και των ενδιαφερομένων εποπτικών αρχών, οι δε ενδιαφερόμενες εποπτικές αρχές θα μπορούσαν να προσφεύγουν σε αμοιβαία συνδρομή και κοινές επιχειρήσεις, σε διμερή ή πολυμερή βάση, χωρίς να ενεργοποιούν τον μηχανισμό συνεκτικότητας.

- = -

(139) Προκειμένου να προαγάγει τη συνεκτική εφαρμογή του παρόντος κανονισμού, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να συσταθεί ως ανεξάρτητος φορέας της Ένωσης. Για να εκπληρώσει τους στόχους του, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να έχει νομική προσωπικότητα. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εκπροσωπείται από τον πρόεδρό του. Θα πρέπει να αντικαταστήσει την ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Θα πρέπει να απαρτίζεται από τον προϊστάμενο εποπτικής αρχής από κάθε κράτος μέλος και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τους αντίστοιχους εκπροσώπους τους. Η Επιτροπή θα πρέπει να συμμετέχει στις δραστηριότητές του Συμβουλίου Προστασίας Δεδομένων χωρίς δικαίωμα ψήφου και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να έχει ειδικά δικαιώματα ψήφου. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή, ιδίως για το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς, και προωθώντας τη συνεργασία των εποπτικών αρχών σε ολόκληρη την Ένωση. Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του.

- = -

(153) Το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής, πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης θα πρέπει να υπόκειται σε παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. Αυτό θα πρέπει να ισχύει ειδικότερα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες τύπου. Επομένως, τα κράτη μέλη θα πρέπει να θεσπίσουν νομοθετικά μέτρα που να προβλέπουν τις αναγκαίες εξαιρέσεις και παρεκκλίσεις για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Τα κράτη μέλη θα πρέπει να θεσπίσουν τέτοιες εξαιρέσεις και παρεκκλίσεις σχετικά με τις γενικές αρχές, τα δικαιώματα του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες εποπτικές αρχές, τη συνεργασία και τη συνεκτικότητα και ειδικές περιπτώσεις επεξεργασίας δεδομένων. Όταν οι εν λόγω απαλλαγές ή παρεκκλίσεις διαφέρουν από το ένα κράτος μέλος στο άλλο, θα πρέπει να εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται διασταλτικά οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία.

- = -

dal 2004 diritto e informatica