EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02016L0680-20160504
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA
Consolidated text: Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου
Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου
02016L0680 — EL — 04.05.2016 — 000.002
Το κείμενο αυτό αποτελεί απλώς εργαλείο τεκμηρίωσης και δεν έχει καμία νομική ισχύ. Τα θεσμικά όργανα της Ένωσης δεν φέρουν καμία ευθύνη για το περιεχόμενό του. Τα αυθεντικά κείμενα των σχετικών πράξεων, συμπεριλαμβανομένων των προοιμίων τους, είναι εκείνα που δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και είναι διαθέσιμα στο EUR-Lex. Αυτά τα επίσημα κείμενα είναι άμεσα προσβάσιμα μέσω των συνδέσμων που περιέχονται στο παρόν έγγραφο
|
ΟΔΗΓΙΑ (EE) 2016/680 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 (ΕΕ L 119 της 4.5.2016, σ. 89) |
Διορθώνεται από:
ΟΔΗΓΙΑ (EE) 2016/680 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
της 27ης Απριλίου 2016
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου
ΚΕΦΑΛΑΙΟ I
Γενικές διατάξεις
Άρθρο 1
Αντικείμενο και στόχοι
1. Η παρούσα οδηγία θεσπίζει τους κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
2. Σύμφωνα με την παρούσα οδηγία, τα κράτη μέλη:
α) προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα· και
β) διασφαλίζουν ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών εντός της Ένωσης, εφόσον η ανταλλαγή αυτή απαιτείται από το ενωσιακό δίκαιο ή το δίκαιο των κρατών μελών, δεν μπορεί να περιοριστεί ούτε να απαγορευτεί για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
3. Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προβλέπουν ισχυρότερες διασφαλίσεις από αυτές που θεσπίζονται σε αυτή για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε ό,τι αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.
Άρθρο 2
Πεδίο εφαρμογής
1. Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1.
2. Η παρούσα οδηγία εφαρμόζεται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
3. Η παρούσα οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης·
β) από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης.
Άρθρο 3
Ορισμοί
Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:
|
1) |
«δεδομένα προσωπικού χαρακτήρα» : κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου· |
|
2) |
«επεξεργασία» : κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή· |
|
3) |
«περιορισμός της επεξεργασίας» : η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον· |
|
4) |
«κατάρτιση προφίλ» : οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν στην απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου· |
|
5) |
«ψευδωνυμοποίηση» : η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο· |
|
6) |
«σύστημα αρχειοθέτησης» : κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση· |
|
7) |
«αρμόδια αρχή» : α) κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· ή β) κάθε άλλος οργανισμός ή φορέας στον οποίο το δίκαιο κράτους μέλους αναθέτει ρόλο δημόσιας αρχής και την εκτέλεση δημόσιων εξουσιών για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· |
|
8) |
«υπεύθυνος επεξεργασίας» : η αρμόδια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους· |
|
9) |
«εκτελών την επεξεργασία» : το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας· |
|
10) |
«αποδέκτης» : το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας· |
|
11) |
«παραβίαση δεδομένων προσωπικού χαρακτήρα» : η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία· |
|
12) |
«γενετικά δεδομένα» : τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου· |
|
13) |
«βιομετρικά δεδομένα» : δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα· |
|
14) |
«δεδομένα που αφορούν στην υγεία» : δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του· |
|
15) |
«εποπτική αρχή» : ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 41· |
|
16) |
«διεθνής οργανισμός» : οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών. |
ΚΕΦΑΛΑΙΟ II
Βασικές αρχές
Άρθρο 4
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία·
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·
γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·
δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνονται όλα τα εύλογα μέτρα που διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας·
ε) διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία·
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
2. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας για οποιονδήποτε σκοπό προβλεπόμενο στο άρθρο 1 παράγραφος 1 άλλο από εκείνον για τον οποίο συλλέγονται τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται στο μέτρο που:
α) ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα για τον σκοπό αυτόν σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους· και
β) η επεξεργασία είναι απαραίτητη και ανάλογη προς τον εν λόγω άλλο σκοπό, σύμφωνα με το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
3. Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας μπορεί να περιλαμβάνει την αρχειοθέτηση για λόγους δημοσίου συμφέροντος, την επιστημονική, στατιστική ή ιστορική επεξεργασία, για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1, με την επιφύλαξη των κατάλληλων διασφαλίσεων υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
4. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη συμμόρφωση με τις παραγράφους 1, 2 και 3 και είναι σε θέση να το αποδείξει.
Άρθρο 5
Προθεσμίες αποθήκευσης και επανεξέτασης
Τα κράτη μέλη προβλέπουν κατάλληλες προθεσμίες για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων προσωπικού χαρακτήρα. Η μέριμνα για την τήρηση των προθεσμιών αυτών εξασφαλίζεται μέσω δικονομικών μέτρων.
Άρθρο 6
Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων
Τα κράτη μέλη, κατά περίπτωση και στον βαθμό του εφικτού, προβλέπουν ότι ο υπεύθυνος επεξεργασίας διακρίνει σαφώς μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών υποκειμένων, παραδείγματος χάριν:
α) προσώπων σε σχέση με τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα·
β) προσώπων τα οποία καταδικάστηκαν για ποινικό αδίκημα·
γ) θυμάτων ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα ποινικού αδικήματος· και
δ) άλλων μερών ως προς ποινικό αδίκημα, όπως προσώπων που ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικά αδικήματα ή σε επακόλουθη ποινική διαδικασία ή προσώπων που μπορούν να παράσχουν πληροφορίες σχετικά με ποινικά αδικήματα, ή προσώπων επικοινωνίας ή συνεργών των προσώπων που αναφέρονται στα στοιχεία α) και β).
Άρθρο 7
Διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα και της επαλήθευσης της ποιότητας των δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά περιστατικά διακρίνονται, στον βαθμό του εφικτού, από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις.
2. Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές λαμβάνουν κάθε εύλογο μέτρο προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Για τον σκοπό αυτό, κάθε αρμόδια αρχή ελέγχει, στο μέτρο του εφικτού, την ποιότητα των δεδομένων προσωπικού χαρακτήρα πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών. Σε κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα επισυνάπτονται, στο μέτρο του δυνατού, οι αναγκαίες πληροφορίες που επιτρέπουν στην αρμόδια αρχή που παραλαμβάνει τα δεδομένα να αξιολογήσει την ακρίβεια, την πληρότητα, την αξιοπιστία των δεδομένων προσωπικού χαρακτήρα, καθώς και τον βαθμό επικαιροποίησής τους.
3. ►C2 Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν παρανόμως, τούτο πρέπει να γνωστοποιηθεί πάραυτα στον αποδέκτη τους. ◄ Στην περίπτωση αυτή, τα δεδομένα προσωπικού χαρακτήρα διορθώνονται, διαγράφονται ή περιορίζεται η επεξεργασία σύμφωνα με το άρθρο 16.
Άρθρο 8
Νομιμότητα της επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι η επεξεργασία είναι σύννομη μόνον εάν και στον βαθμό που είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από αρχή αρμόδια για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1 και βασίζεται στο δίκαιο της Ένωσης ή των κρατών μελών.
2. Το δίκαιο κράτους μέλους που ρυθμίζει την επεξεργασία στο πλαίσιο της παρούσας οδηγίας καθορίζει τουλάχιστον τους στόχους της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας.
Άρθρο 9
Ειδικοί όροι επεξεργασίας
1. Δεδομένα προσωπικού χαρακτήρα που συγκεντρώνονται από αρμόδιες αρχές για τους σκοπούς του άρθρου 1 παράγραφος 1 δεν υφίστανται επεξεργασία για σκοπούς άλλους από αυτούς του άρθρου 1 παράγραφος 1, εκτός εάν αυτή η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών μελών. Όταν τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για τέτοιους άλλους σκοπούς, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.
2. Σε περίπτωση που οι αρμόδιες αρχές είναι επιφορτισμένες από το δίκαιο του κράτους μέλους με την εκτέλεση καθηκόντων διαφορετικών από εκείνων που εκτελούνται για τους σκοπούς του άρθρου 1 παράγραφος 1, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679 στην επεξεργασία που διενεργείται για τους εν λόγω σκοπούς, που περιλαμβάνουν την αρχειοθέτηση για λόγους δημοσίου συμφέροντος, τη χρήση για επιστημονικούς, στατιστικούς ή ιστορικούς λόγους, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.
3. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπάγεται η διαβιβάζουσα αρμόδια αρχή προβλέπει ειδικούς όρους υπό ειδικές περιστάσεις κατά την επεξεργασία, η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη των εν λόγω δεδομένων προσωπικού χαρακτήρα σχετικά με αυτούς τους όρους και την υποχρέωση τήρησής τους.
4. Τα κράτη μέλη προβλέπουν ότι η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους όρους της παραγράφου 3 στους αποδέκτες σε άλλα κράτη μέλη ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 ΣΛΕΕ, εκτός από εκείνους που ισχύουν για ανάλογες διαβιβάσεις δεδομένων εντός του κράτους μέλους της διαβιβάζουσας αρμόδιας αρχής.
Άρθρο 10
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν στην υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό επιτρέπονται μόνο όταν είναι απολύτως αναγκαίες, με την επιφύλαξη των κατάλληλων διασφαλίσεων για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και εφόσον:
α) επιτρέπονται από το δίκαιο της Ένωσης ή των κρατών μελών·
β) επιβάλλονται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου· ή
γ) η επεξεργασία αυτή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων.
Άρθρο 11
Αυτοματοποιημένη ατομική λήψη αποφάσεων
1. Τα κράτη μέλη προβλέπουν ότι απαγορεύεται η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή θίγει αυτό σε μεγάλο βαθμό, εκτός εάν επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών μελών στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει κατάλληλες διασφαλίσεις υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, τουλάχιστον δε το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπεύθυνου επεξεργασίας.
2. Οι αποφάσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10, εκτός εάν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Η κατάρτιση προφίλ που έχει ως αποτέλεσμα διακρίσεις εις βάρος φυσικών προσώπων με βάση τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10 απαγορεύεται σύμφωνα με το δίκαιο της Ένωσης.
ΚΕΦΑΛΑΙΟ III
Δικαιώματα του υποκειμένου των δεδομένων
Άρθρο 12
Γνωστοποίηση και τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που μνημονεύεται στο άρθρο 13 και παρέχει κάθε γνωστοποίηση βάσει των άρθρων 11, 14 έως 18 και 31 σχετικά με την επεξεργασία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Οι πληροφορίες παρέχονται με κάθε κατάλληλο μέσο, μεταξύ άλλων και με ηλεκτρονικά μέσα. Κατά γενικό κανόνα, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις πληροφορίες με την ίδια μορφή που υποβλήθηκε η αίτηση.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων δυνάμει των άρθρων 11 και 14 έως 18.
3. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για τη συνέχεια που δίδεται στο αίτημά του.
4. Τα κράτη μέλη προβλέπουν ότι οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 13 και κάθε ενημέρωση και ενέργεια βάσει των άρθρων 11, 14 έως 18 και 31 παρέχονται χωρίς οικονομική επιβάρυνση. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί:
α) να επιβάλει την καταβολή κάποιου εύλογου τέλους ανάλογα με τις διοικητικές δαπάνες για την παροχή των πληροφοριών ή τη γνωστοποίηση ή την εκτέλεση της ζητούμενης ενέργειας· ή
β) να αρνηθεί να απαντήσει στο αίτημα.
Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.
5. Εάν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα του άρθρου 14 ή 16, ο υπεύθυνος επεξεργασίας δύναται να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
Άρθρο 13
Ενημέρωση που διατίθεται ή δίδεται στο υποκείμενο των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τουλάχιστον τις ακόλουθες πληροφορίες:
α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας·
β) τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, κατά περίπτωση·
γ) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·
δ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και τα στοιχεία επικοινωνίας με την εποπτική αρχή·
ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν στο εν λόγω πρόσωπο.
2. Πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, τα κράτη μέλη προβλέπουν με νομοθετική διάταξη ότι ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, σε συγκεκριμένες περιπτώσεις, τις ακόλουθες συμπληρωματικές πληροφορίες, προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του:
α) τη νομική βάση της επεξεργασίας·
β) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·
γ) όπου συντρέχει περίπτωση, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς·
δ) εφόσον κρίνεται σκόπιμο, συμπληρωματικές πληροφορίες, ιδιαίτερα όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται εν αγνοία του υποκειμένου των δεδομένων.
3. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα σχετικά με την καθυστέρηση, τον περιορισμό ή την παράλειψη της παροχής των πληροφοριών στο υποκείμενο των δεδομένων βάσει της παραγράφου 2, εφόσον και στον βαθμό που ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·
β) την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·
γ) την προστασία της δημόσιας ασφάλειας·
δ) την προστασία της εθνικής ασφάλειας·
ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.
4. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα ώστε να καθορίζουν κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει στα μέτρα που αναφέρονται σε οποιοδήποτε από τα σημεία της παραγράφου 3.
Άρθρο 14
Δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων
Με την επιφύλαξη του άρθρου 15, τα κράτη μέλη προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση του κατά πόσον δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται ή όχι σε επεξεργασία και, εφόσον συμβαίνει αυτό, να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και τις ακόλουθες πληροφορίες:
α) τους σκοπούς και τη νομική βάση για την επεξεργασία·
β) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα των οποίων γίνεται επεξεργασία·
γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς·
δ) εφόσον είναι δυνατόν, το προβλεπόμενο χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·
ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση, ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν στο υποκείμενο των δεδομένων·
στ) το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή και τα στοιχεία επικοινωνίας με την εποπτική αρχή·
ζ) τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά στην προέλευσή τους.
Άρθρο 15
Περιορισμοί του δικαιώματος πρόσβασης
1. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, στον βαθμό και για το χρονικό διάστημα που ένας τέτοιος μερικός ή πλήρης περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό:
α) την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·
β) την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·
γ) την προστασία της δημόσιας ασφάλειας·
δ) την προστασία της εθνικής ασφάλειας·
ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.
2. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα ώστε να καθορίζουν κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται εν όλω ή εν μέρει που προβλέπονται στην παράγραφο 1 στοιχεία α) έως ε).
3. Στις περιπτώσεις των παραγράφων 1 και 2, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για κάθε άρνηση ή περιορισμό πρόσβασης και για τους λόγους της άρνησης ή του περιορισμού. Η ενημέρωση αυτή μπορεί να παραλείπεται εάν η παροχή των σχετικών πληροφοριών υπονομεύει έναν από τους σκοπούς της παραγράφου 1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία προς εποπτική αρχή ή να ασκήσει δικαστική προσφυγή.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφαση. Οι πληροφορίες αυτές τίθενται στη διάθεση των εποπτικών αρχών.
Άρθρο 16
Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμού ως προς την επεξεργασία
1. Τα κράτη μέλη προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να εξασφαλίζει από τον υπεύθυνο επεξεργασίας, χωρίς άσκοπη καθυστέρηση, τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τον σκοπό της επεξεργασίας, τα κράτη μέλη προβλέπουν ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και μέσω της παροχής συμπληρωματικής δήλωσης.
2. Τα κράτη μέλη προβλέπουν την υποχρέωση του υπεύθυνου επεξεργασίας να διαγράφει δεδομένα προσωπικού χαρακτήρα χωρίς άσκοπη καθυστέρηση και προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς άσκοπη καθυστέρηση, εάν η επεξεργασία παραβιάζει τα τις διατάξεις που θεσπίζονται δυνάμει των άρθρων 4, 8 ή 10 ή εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν προκειμένου να τηρηθεί εκ του νόμου υποχρέωση του υπευθύνου επεξεργασίας.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, εάν:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητηθεί από το υποκείμενο των δεδομένων και δεν μπορεί να διαπιστωθεί το κατά πόσον αυτά είναι ακριβή ή ανακριβή·
β) επιβάλλεται να διατηρηθούν τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απόδειξης.
Εάν η επεξεργασία περιορίζεται δυνάμει του στοιχείου α) του πρώτου εδαφίου, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν από την άρση του περιορισμού της επεξεργασίας.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για κάθε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας και για τους λόγους της άρνησης. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα τα οποία περιορίζουν, εν όλω ή εν μέρει, την υποχρέωση παροχής της εν λόγω ενημέρωσης, στον βαθμό και για το χρονικό διάστημα που ο εν λόγω περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, λαμβανομένων δεόντως υπόψη των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με στόχο:
α) την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών·
β) την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων·
γ) την προστασία της δημόσιας ασφάλειας·
δ) την προστασία της εθνικής ασφάλειας·
ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία προς εποπτική αρχή ή να ασκήσει δικαστική προσφυγή.
5. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας γνωστοποιεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα στην αρμόδια αρχή από την οποία προέρχονται τα ανακριβή δεδομένα προσωπικού χαρακτήρα.
6. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που τα δεδομένα προσωπικού χαρακτήρα διορθώθηκαν ή διαγράφηκαν ή περιορίστηκε η επεξεργασία τους σύμφωνα με τις παραγράφους 1, 2 και 3, ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες και ότι οι αποδέκτες διορθώνουν ή διαγράφουν τα δεδομένα προσωπικού χαρακτήρα ή περιορίζουν την επεξεργασία των υπ' ευθύνη τους δεδομένων προσωπικού χαρακτήρα.
Άρθρο 17
Άσκηση δικαιωμάτων από το υποκείμενο των δεδομένων και επαλήθευση από την εποπτική αρχή
1. Στις περιπτώσεις που αναφέρονται στο άρθρο 13 παράγραφος 3, το άρθρο 15 παράγραφος 3 και το άρθρο 16 παράγραφος 4, τα κράτη μέλη θεσπίζουν μέτρα που προβλέπουν ότι τα δικαιώματα του υποκειμένου των δεδομένων είναι επίσης δυνατόν να ασκούνται μέσω της αρμόδιας εποπτικής αρχής.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητα να ασκήσει τα δικαιώματά του μέσω της εποπτικής αρχής δυνάμει της παραγράφου 1.
3. Όταν ασκείται το δικαίωμα που αναφέρεται στην παράγραφο 1, η εποπτική αρχή γνωστοποιεί στο υποκείμενο των δεδομένων τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από την εποπτική αρχή. Η εποπτική αρχή ενημερώνει επίσης το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει δικαστική προσφυγή.
Άρθρο 18
Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες
Τα κράτη μέλη μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων τα οποία αναφέρονται στα άρθρα 13, 14 και 16 πραγματοποιείται σύμφωνα με το δίκαιο του κράτους μέλους, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο ή φάκελο υπόθεσης που υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας.
ΚΕΦΑΛΑΙΟ IV
Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Άρθρο 19
Υποχρεώσεις του υπεύθυνου επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας καθώς και της πιθανότητας και της σοβαρότητας του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει τα κατάλληλα μέτρα και είναι σε θέση να αποδείξει ότι η επεξεργασία διενεργείται σύμφωνα με την παρούσα οδηγία. Αυτά τα μέτρα πρέπει να επανεξετάζονται και να επικαιροποιούνται, εφόσον είναι αναγκαίο.
2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.
Άρθρο 20
Προστασία των δεδομένων από το σχεδιασμό και εξ ορισμού
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας καθώς και της πιθανότητας και της σοβαρότητας του κινδύνου που θέτει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η χρήση ψευδωνύμου, τα οποία έχουν σχεδιαστεί για την εφαρμογή των αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, με αποτελεσματικό τρόπο και να ενσωματώσει τις αναγκαίες διασφαλίσεις κατά την επεξεργασία, προκειμένου να πληρούνται οι απαιτήσεις της παρούσας οδηγίας και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Η υποχρέωση αυτή ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, το χρονικό διάστημα αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα μέτρα αυτά διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
Άρθρο 21
Από κοινού υπεύθυνοι επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για την τήρηση της παρούσας οδηγίας, ιδίως όσον αφορά στην άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και στα αντίστοιχα καθήκοντα τους όσον αφορά στην παροχή των πληροφοριών που αναφέρονται στο άρθρο 13, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Η συμφωνία ορίζει το σημείο επικοινωνίας για τα υποκείμενα των δεδομένων. Τα κράτη μέλη μπορούν να ορίζουν ποιος από τους από κοινού υπευθύνους επεξεργασίας μπορεί να ενεργεί ως ενιαίο σημείο επικοινωνίας για τα υποκείμενα των δεδομένων ώστε να ασκούν τα δικαιώματά τους.
2. Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, τα κράτη μέλη μπορούν να προβλέπουν ότι το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του βάσει των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας όσον αφορά και σε σχέση με κάθε έναν από τους υπευθύνους επεξεργασίας.
Άρθρο 22
Εκτελών την επεξεργασία
1. Τα κράτη μέλη προβλέπουν ότι, όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις της παρούσας οδηγίας και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή έγκριση του υπεύθυνου επεξεργασίας. Στην περίπτωση γενικής γραπτής έγκρισης, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν στην προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
3. Τα κράτη μέλη προβλέπουν ότι η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη, υπαγόμενη στο δίκαιο της Ένωσης ή των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Η εν λόγω σύμβαση ή νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
α) ενεργεί μόνον κατ' εντολή του υπεύθυνου επεξεργασίας·
β) εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα νόμιμη υποχρέωση τήρησης εμπιστευτικότητας·
γ) επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων·
δ) κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους απαιτούν την αποθήκευση των δεδομένων προσωπικού χαρακτήρα·
ε) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο·
στ) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 3 για την πρόσληψη άλλου εκτελούντος την επεξεργασία.
4. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στην παράγραφο 3 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
5. Εάν ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση της παρούσας οδηγίας, τους στόχους και τα μέσα επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία.
Άρθρο 23
Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία
Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα δεν τα επεξεργάζεται παρά μόνον κατ' εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Άρθρο 24
Αρχεία των δραστηριοτήτων επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το αρχείο αυτό περιλαμβάνει τις ακόλουθες πληροφορίες:
α) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων·
β) τους σκοπούς της επεξεργασίας·
γ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών τρίτων χωρών ή διεθνών οργανισμών·
δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα·
ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·
στ) όπου συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό·
ζ) αναφορά της νομικής βάσης της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·
η) εφόσον είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα·
θ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που μνημονεύονται στο άρθρο 29 παράγραφος 1.
2. Τα κράτη μέλη προβλέπουν ότι κάθε εκτελών την επεξεργασία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται εκ μέρους του υπεύθυνου επεξεργασίας, το οποίο και περιλαμβάνει τα ακόλουθα:
α) το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων·
β) τις κατηγορίες επεξεργασίας που διεξάγεται εκ μέρους κάθε υπεύθυνου επεξεργασίας·
γ) κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας·
δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που μνημονεύονται στο άρθρο 29 παράγραφος 1.
3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς μεταξύ άλλων σε ηλεκτρονική μορφή.
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής, κατόπιν αιτήματος.
Άρθρο 25
Καταχωρήσεις
1. Τα κράτη μέλη προβλέπουν ότι τηρούνται καταχωρίσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήματα αυτοματοποιημένης επεξεργασίας: συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμό και διαγραφή. Οι καταχωρήσεις της αναζήτησης πληροφοριών και της κοινολόγησης επιτρέπουν τον προσδιορισμό της αιτιολόγησης και της ημερομηνίας και της ώρας των εν λόγω πράξεων και, στο βαθμό του εφικτού, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, καθώς και της ταυτότητας των αποδεκτών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
2. Οι καταχωρήσεις χρησιμοποιούνται αποκλειστικά για την επαλήθευση της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο ποινικών διαδικασιών.
3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία στη διάθεση της εποπτικής αρχής, κατόπιν αιτήματος.
Άρθρο 26
Συνεργασία με την εποπτική αρχή
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή κατά την άσκηση των καθηκόντων της.
Άρθρο 27
Εκτίμηση των επιπτώσεων στην προστασία των δεδομένων
1. Όταν ένας τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών της επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Η εκτίμηση που αναφέρεται στην παράγραφο 1 περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων αυτών, εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς την παρούσα οδηγία, λαμβανομένων υπόψη των δικαιωμάτων και των έννομων συμφερόντων των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
Άρθρο 28
Προηγούμενη διαβούλευση με την εποπτική αρχή
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με την εποπτική αρχή πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:
α) από εκτίμηση των επιπτώσεων στην προστασία των δεδομένων σύμφωνα με το άρθρο 27 προκύπτει ότι η επεξεργασία θα προκαλέσει μεγάλο κίνδυνο εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του κινδύνου· ή
β) ο τύπος επεξεργασίας, ιδίως κατά τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
2. Τα κράτη μέλη προβλέπουν ότι διενεργείται διαβούλευση με την εποπτική αρχή κατά την εκπόνηση προτάσεων νομοθετικών μέτρων που πρόκειται να εγκριθούν από εθνικά κοινοβούλια ή κανονιστικών μέτρων που βασίζονται σε τέτοια νομοθετικά μέτρα και τα οποία συνδέονται με την επεξεργασία.
3. Τα κράτη μέλη προβλέπουν ότι η εποπτική αρχή μπορεί να καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 1.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διαβιβάζει στην εποπτική αρχή την εκτίμηση των επιπτώσεων στην προστασία των δεδομένων σύμφωνα με το άρθρο 27 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην εποπτική αρχή να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τις σχετικές εγγυήσεις.
5. Τα κράτη μέλη προβλέπουν ότι, όταν η εποπτική αρχή φρονεί ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου θα παραβίαζε την παρούσα οδηγία, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, η εποπτική αρχή παρέχει, εντός έξι εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, γραπτώς συμβουλές στον υπεύθυνο επεξεργασίας και, κατά περίπτωση, στον εκτελούντα την επεξεργασία, ενώ δύναται να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της που αναφέρονται στο άρθρο 47. Η συγκεκριμένη προθεσμία μπορεί να παραταθεί κατά έναν μήνα, λαμβάνοντας υπόψη την πολυπλοκότητα που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία. Η εποπτική αρχή ενημερώνει τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, τον εκτελούντα την επεξεργασία για την ενδεχόμενη παράταση εντός ενός μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης.
Άρθρο 29
Ασφάλεια επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και του κινδύνου ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, ιδίως όσον αφορά στην επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 10.
2. Σε σχέση με την αυτοματοποιημένη επεξεργασία, κάθε κράτος μέλος προβλέπει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν εκτίμησης των κινδύνων, μέτρα με σκοπό:
α) την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό)·
β) την αποφυγή της μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων)·
γ) την αποφυγή της μη επιτρεπόμενης εισαγωγής δεδομένων προσωπικού χαρακτήρα και του μη επιτρεπόμενου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·
δ) την αποφυγή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·
ε) την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα)·
στ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·
ζ) την εξασφάλιση ότι μπορεί να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα προσωπικού χαρακτήρα (έλεγχος εισαγωγής)·
η) την αποφυγή μη επιτρεπόμενης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς)·
θ) την εξασφάλιση ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση)·
ι) την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα).
Άρθρο 30
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
1. Τα κράτη μέλη προβλέπουν ότι, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην εποπτική αρχή την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, εφόσον είναι δυνατόν, το αργότερο εντός 72 ωρών από τη στιγμή που την αντελήφθη, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανόν να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών συνοδεύεται από τους λόγους της καθυστέρησης.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ' ελάχιστον:
α) να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση πλήθους των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα·
β) να γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλιστούν περισσότερες πληροφορίες·
γ) να περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·
δ) να περιγράφει τα μέτρα που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
4. Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
5. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα που μνημονεύεται στην παράγραφο 1, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης. Η εν λόγω τεκμηρίωση πρέπει να επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
6. Τα κράτη μέλη προβλέπουν ότι, στις περιπτώσεις που η παραβίαση δεδομένων αφορά σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι πληροφορίες που αναφέρονται στην παράγραφο 3 γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς αδικαιολόγητη καθυστέρηση.
Άρθρο 31
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2. Η γνωστοποίηση στο υποκείμενο των δεδομένων, η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα του άρθρου 30 παράγραφος 3 στοιχεία β), γ) και δ).
3. Η γνωστοποίηση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας εφήρμοσε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, ειδικότερα δε εκείνα που καθιστούν αδύνατη την κατανόηση των δεδομένων προσωπικού χαρακτήρα από όσους δε διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα·
β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στην παράγραφο 1 μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων· ή
γ) προϋποτίθενται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να εφαρμόζεται παρόμοιο μέτρο ώστε τα υποκείμενα των δεδομένων να ενημερώνονται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή, έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, μπορεί να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιοσδήποτε από τους όρους που αναφέρονται στην παράγραφο 3.
5. Η γνωστοποίηση στο υποκείμενο των δεδομένων που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου μπορεί να καθυστερήσει, να περιοριστεί ή να παραλειφθεί, υπό τους όρους και για τους λόγους που αναφέρονται στο άρθρο 13 παράγραφος 3.
Άρθρο 32
Ορισμός του υπεύθυνου προστασίας δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διορίζει υπεύθυνο προστασίας δεδομένων. Τα κράτη μέλη μπορούν να εξαιρούν από την υποχρέωση αυτή τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
2. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 34.
3. Ένας μοναδικός υπεύθυνος προστασίας δεδομένων μπορεί να διοριστεί για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους.
4. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας δημοσιεύει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα γνωστοποιεί στην εποπτική αρχή.
Άρθρο 33
Θέση του υπεύθυνου προστασίας δεδομένων
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας υποστηρίζει τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 34, παρέχοντάς του τους αναγκαίους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και για τη διατήρηση της εμπειρογνωμοσύνης του.
Άρθρο 34
Καθήκοντα του υπεύθυνου προστασίας δεδομένων
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας αναθέτει στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:
α) να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας και τους υπαλλήλους που διενεργούν επεξεργασία για τις υποχρεώσεις τους σύμφωνα με την παρούσα οδηγία και άλλες διατάξεις του δικαίου της Ένωσης ή των κρατών μελών σχετικά με την προστασία των δεδομένων·
β) να παρακολουθεί τη συμμόρφωση με την παρούσα οδηγία, με άλλες διατάξεις του δικαίου της Ένωσης ή των κρατών μελών σχετικά με την προστασία των δεδομένων και με τις πολιτικές του υπεύθυνου επεξεργασίας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·
γ) να παρέχει συμβουλές, έπειτα από σχετικό αίτημα, όσον αφορά στην εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και να παρακολουθεί τις επιδόσεις σύμφωνα με το άρθρο 27·
δ) να συνεργάζεται με την εποπτική αρχή·
ε) να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 28, και να διαβουλεύεται, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
ΚΕΦΑΛΑΙΟ V
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες η διεθνείς οργανισμούς
Άρθρο 35
Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα
1. Τα κράτη μέλη προβλέπουν ότι κάθε διαβίβαση, από αρμόδιες αρχές, δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων των περαιτέρω διαβιβάσεων προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί μόνον υπό την προϋπόθεση της τήρησης των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, μόνον εφόσον πληρούνται οι όροι που ορίζονται στο παρόν κεφάλαιο και συγκεκριμένα:
α) η διαβίβαση είναι αναγκαία για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1·
β) τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε υπεύθυνο επεξεργασίας σε τρίτη χώρα ή διεθνή οργανισμό που αποτελεί αρμόδια αρχή για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1·
γ) σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται ή καθίστανται διαθέσιμα από άλλο κράτος μέλος, το εν λόγω κράτος μέλος έχει δώσει προηγουμένως την έγκρισή του για τη διαβίβαση σύμφωνα με το εθνικό του δίκαιο·
δ) η Επιτροπή έχει προβεί σε απόφαση περί επάρκειας δυνάμει του άρθρου 36 ή, ελλείψει τέτοιας απόφασης, όταν έχουν παρασχεθεί ή υπάρχουν κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 37 ή, ελλείψει τόσο απόφασης περί επάρκειας δυνάμει του άρθρου 36όσο και κατάλληλων εγγυήσεων σύμφωνα με το άρθρο 37, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 38· και
ε) σε περίπτωση περαιτέρω διαβίβασης σε άλλη τρίτη χώρα ή διεθνή οργανισμό, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση ή άλλη αρμόδια αρχή στο ίδιο κράτος μέλος επιτρέπει την περαιτέρω διαβίβαση, αφού λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, συμπεριλαμβανομένων της σοβαρότητας του ποινικού αδικήματος, των σκοπών για τους οποίους διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και του επιπέδου προστασίας των δεδομένων στην τρίτη χώρα ή τον διεθνή οργανισμό στα οποία διαβιβάζονται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα.
2. Τα κράτη μέλη προβλέπουν ότι οι διαβιβάσεις χωρίς την προηγούμενη έγκριση άλλου κράτους μέλους σύμφωνα με την παράγραφο 1 στοιχείο γ) επιτρέπονται μόνον εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα κράτους μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί εγκαίρως. Η αρχή που είναι υπεύθυνη για την παροχή της προηγούμενης έγκρισης ενημερώνεται χωρίς καθυστέρηση.
3. Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται για να εξασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζει η παρούσα οδηγία.
Άρθρο 36
Διαβιβάσεις με απόφαση περί επάρκειας
1. Τα κράτη μέλη προβλέπουν ότι διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, εδαφική περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική έγκριση.
2. Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ειδικότερα, τα ακόλουθα στοιχεία:
α) το κράτος δικαίου, τον σεβασμό των ανθρώπινων δικαιωμάτων και των θεμελιωδών ελευθεριών, τη σχετική νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά στη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών στα δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή της νομοθεσίας αυτής, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφαλείας, συμπεριλαμβανομένων των κανόνων περί περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε άλλη τρίτη χώρα ή διεθνή οργανισμό, που τηρούνται στην εν λόγω χώρα ή διεθνή οργανισμό, τη νομολογία και επίσης τα αποτελεσματικά και εκτελεστά δικαιώματα των υποκειμένων των δεδομένων και αποτελεσματικά διοικητικά και δικαστικά μέσα προσφυγής για τα υποκείμενα των δεδομένων των οποίων διαβιβάζονται δεδομένα προσωπικού χαρακτήρα·
β) την ύπαρξη και την αποτελεσματική λειτουργία μιας ή περισσότερων ανεξάρτητων εποπτικών αρχών στην τρίτη χώρα ή στην οποία ή στις οποίες υπόκειται ένας διεθνής οργανισμός, με ευθύνη τη διασφάλιση και την επιβολή της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων, περιλαμβανομένων κατάλληλων εξουσιών για την επιβολή κυρώσεων, για την παροχή συνδρομής και ενημέρωσης στα υποκείμενα των δεδομένων κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις εποπτικές αρχές της Ένωσης και των κρατών μελών· και
γ) τις διεθνείς δεσμεύσεις που έχει αναλάβει η σχετική τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις καθώς και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα.
3. Η Επιτροπή, αφού εξετάσει την επάρκεια του επιπέδου προστασίας, μπορεί να αποφασίσει με εκτελεστική πράξη ότι εξασφαλίζεται επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου από τρίτη χώρα, έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Η εκτελεστική πράξη προβλέπει μηχανισμό περιοδικής επανεξέτασης, τουλάχιστον ανά τετραετία, η οποία λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό. Η εκτελεστική πράξη προσδιορίζει την εδαφική και τομεακή εφαρμογή της καθώς και, κατά περίπτωση, την ή τις εποπτικές αρχές που αναφέρονται στην παράγραφο 2 στοιχείο β) του παρόντος άρθρου. Η εκτελεστική πράξη εκδίδεται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
4. Η Επιτροπή παρακολουθεί, σε τακτική βάση, τις εξελίξεις που μπορούν να επηρεάσουν τη λειτουργία των αποφάσεων οι οποίες εκδίδονται δυνάμει της παραγράφου 3 σε τρίτες χώρες και διεθνείς οργανισμούς.
5. Η Επιτροπή αποφασίζει, βάσει διαθέσιμων πληροφοριών, ιδίως μετά την επανεξέταση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ότι μια τρίτη χώρα, μια εδαφική περιοχή ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ένας διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, στο μέτρο του δυνατού, καταργεί, τροποποιεί ή αναστέλλει την απόφαση που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου με εκτελεστικές πράξεις χωρίς αναδρομική ισχύ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
Για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, η Επιτροπή εκδίδει εκτελεστικές πράξεις που έχουν άμεση εφαρμογή σύμφωνα με τη διαδικασία στην οποία παραπέμπει το άρθρο 58 παράγραφος 3.
6. Η Επιτροπή αρχίζει διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης απόρροια της οποίας αποτελεί η απόφαση που έχει ληφθεί δυνάμει της παραγράφου 5.
7. Τα κράτη μέλη προβλέπουν ότι μια απόφαση σύμφωνα με την παράγραφο 5 δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στο έδαφος ή στον ένα ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή στον εν λόγω διεθνή οργανισμό σύμφωνα με τα άρθρα 37 και 38.
8. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και στον ιστότοπό της κατάλογο των τρίτων χωρών, εδαφών και συγκεκριμένων τομέων σε τρίτη χώρα, καθώς και διεθνών οργανισμών, για τους οποίους έχει αποφασίσει ότι διασφαλίζεται ή δε διασφαλίζεται πλέον επαρκές επίπεδο προστασίας.
Άρθρο 37
Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις
1. Ελλείψει απόφασης δυνάμει του άρθρου 36 παράγραφος 3, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή σχετικά με τις κατηγορίες διαβιβάσεων δυνάμει της παραγράφου 1 στοιχείο β).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 στοιχείο β) τεκμηριώνεται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Άρθρο 38
Παρεκκλίσεις για ειδικές καταστάσεις
1. Ελλείψει απόφασης περί επάρκειας δυνάμει του άρθρου 36 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 37, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον η διαβίβαση είναι αναγκαία:
α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου·
β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·
γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας·
δ) σε μεμονωμένες περιπτώσεις για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1· ή
ε) σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων οι οποίες σχετίζονται με τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1.
2. Τα δεδομένα προσωπικού χαρακτήρα δεν διαβιβάζονται εάν η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων υπερισχύουν του δημοσίου συμφέροντος για τη διαβίβαση που ορίζεται στην παράγραφο 1 στοιχεία δ) και ε).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και το χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
Άρθρο 39
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες
1. Κατά παρέκκλιση από το άρθρο 35 παράγραφος 1 στοιχείο β) και με την επιφύλαξη τυχόν διεθνούς συμφωνίας που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, το δίκαιο της Ένωσης ή των κρατών μελών μπορεί να προβλέπει τη δυνατότητα των αρμοδίων αρχών που αναφέρονται στο άρθρο 3 σημείο 7) στοιχείο α), σε μεμονωμένες και ειδικές περιπτώσεις, να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας προς αποδέκτες εγκατεστημένους σε τρίτες χώρες αλλά μόνον όταν τηρούνται οι υπόλοιπες διατάξεις της παρούσας οδηγίας και πληρούνται όλοι οι ακόλουθοι όροι:
α) η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση καθήκοντος της διαβιβάζουσας αρμόδιας αρχής όπως προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για τους σκοπούς που ορίζονται στο άρθρο 1 παράγραφος 1·
β) η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του σχετικού υποκειμένου των δεδομένων δεν υπερισχύουν του δημοσίου συμφέροντος που απαιτεί τη διαβίβαση στη συγκεκριμένη περίπτωση·
γ) η διαβιβάζουσα αρμόδια αρχή θεωρεί ότι η διαβίβαση προς αρχή αρμόδια για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1 στην τρίτη χώρα είναι αναποτελεσματική ή ακατάλληλη, ιδίως διότι δεν μπορεί να επιτευχθεί σε εύθετο χρόνο·
δ) η αρχή που είναι αρμόδια για τους σκοπούς που αναφέρονται στο άρθρο 1 παράγραφος 1 στην τρίτη χώρα ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση, εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο· και
ε) η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη για τον συγκεκριμένο σκοπό ή σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον τελευταίο αυτό υπό τον όρο ότι η εν λόγω επεξεργασία είναι απαραίτητη.
2. Η διεθνής συμφωνία που αναφέρεται στην παράγραφο 1 μπορεί να είναι οποιαδήποτε ισχύουσα διμερής ή πολυμερής διεθνής συμφωνία ανάμεσα σε κράτη μέλη και τρίτες χώρες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.
3. Η διαβιβάζουσα αρμόδια αρχή ενημερώνει την εποπτική αρχή σχετικά με τις διαβιβάσεις δυνάμει του παρόντος άρθρου.
4. Μια διαβίβαση που βασίζεται στην παράγραφο 1 τεκμηριώνεται.
Άρθρο 40
Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα
Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και τα κράτη μέλη λαμβάνουν κατάλληλα μέτρα με σκοπό:
α) την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα·
β) την παροχή διεθνούς αμοιβαίας συνδρομής για την επιβολή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω γνωστοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών·
γ) τη συμμετοχή των εκάστοτε ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα·
δ) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που αφορούν στην προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων για θέματα συγκρούσεων δικαιοδοσίας με τρίτες χώρες.
ΚΕΦΑΛΑΙΟ VI
Ανεξάρτητες εποπτικές αρχές
Άρθρο 41
Εποπτική αρχή
1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής της παρούσας οδηγίας, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (εποπτική αρχή).
2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση. Για τον σκοπό αυτό, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.
3. Τα κράτη μέλη δύνανται να προβλέπουν ότι εποπτική αρχή που ιδρύεται δυνάμει του κανονισμού (ΕΕ) 2016/679 μπορεί να είναι η εποπτική αρχή που αναφέρεται στην παρούσα οδηγία και να αναλαμβάνει την ευθύνη για τα καθήκοντα της εποπτικής αρχής που ιδρύεται δυνάμει της παραγράφου 1 του παρόντος άρθρου.
4. Εάν σε κράτος μέλος ιδρυθούν περισσότερες της μιας εποπτικές αρχές, το εν λόγω κράτος μέλος ορίζει την εποπτική αρχή η οποία εκπροσωπεί τις εν λόγω αρχές στο συμβούλιο που αναφέρεται στο άρθρο 51.
Άρθρο 42
Ανεξαρτησία
1. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή ενεργεί με πλήρη ανεξαρτησία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της σύμφωνα με την παρούσα οδηγία.
2. Τα κράτη μέλη προβλέπουν ότι το μέλος ή τα μέλη των εποπτικών αρχών τους εκτελούν τα καθήκοντά τους και ασκούν τις εξουσίες τους σύμφωνα με την παρούσα οδηγία χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.
3. Τα μέλη των εποπτικών αρχών των κρατών μελών απέχουν από κάθε πράξη που είναι ασύμβατη με τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασύμβατο επάγγελμα, επικερδές ή μη.
4. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή διαθέτει τους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις εγκαταστάσεις και υποδομές που απαιτούνται για την ουσιαστική εκτέλεση των καθηκόντων και άσκηση των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο συμβούλιο.
5. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή επιλέγει και διαθέτει δικό της προσωπικό το οποίο διοικείται αποκλειστικά από το μέλος ή τα μέλη της οικείας εποπτικής αρχής.
6. Κάθε κράτος μέλος διασφαλίζει ότι κάθε εποπτική αρχή υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της και διαθέτει χωριστούς και δημόσιους ετήσιους προϋπολογισμούς, οι οποίοι είναι δυνατόν να αποτελούν τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.
Άρθρο 43
Γενικοί όροι για τα μέλη της εποπτικής αρχής
1. Τα κράτη μέλη προβλέπουν ότι κάθε μέλος των εποπτικών αρχών τους διορίζεται μέσω διαφανούς διαδικασίας, από
— το κοινοβούλιό τους,
— την κυβέρνησή τους,
— τον αρχηγό του κράτους τους,
— ανεξάρτητο φορέα στον οποίο έχει ανατεθεί ο διορισμός σύμφωνα με το δίκαιο του κράτους μέλους.
2. Κάθε μέλος διαθέτει τα προσόντα, την πείρα και τις δεξιότητες, ιδίως στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, που απαιτούνται για την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών του.
3. Τα καθήκοντα ενός μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με το δίκαιο του οικείου κράτους μέλους.
4. Ένα μέλος μπορεί να απολυθεί μόνο σε περιπτώσεις σοβαρού παραπτώματος ή εφόσον δεν πληροί πλέον τους όρους που απαιτούνται για την άσκηση των καθηκόντων του.
Άρθρο 44
Κανόνες για την ίδρυση της εποπτικής αρχής
1. Κάθε κράτος μέλος προβλέπει διά νόμου όλα τα ακόλουθα:
α) την ίδρυση κάθε εποπτικής αρχής·
β) τα προσόντα και τους όρους επιλεξιμότητας που απαιτούνται για τον διορισμό ως μέλους κάθε εποπτικής αρχής·
γ) τους κανόνες και τις διαδικασίες για τον διορισμό των μελών κάθε εποπτικής αρχής·
δ) τη διάρκεια της θητείας του μέλους ή των μελών κάθε εποπτικής αρχής, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά τις 6 Μαΐου 2016, μέρος του οποίου μπορεί να αφορά σε συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της εποπτικής αρχής μέσω διαδικασίας τμηματικών διορισμών·
ε) κατά πόσον και για πόσες θητείες το μέλος ή τα μέλη κάθε εποπτικής αρχής είναι επιλέξιμα για επαναδιορισμό·
στ) τους όρους που ρυθμίζουν τις υποχρεώσεις του μέλους ή των μελών και των υπαλλήλων κάθε εποπτικής αρχής, την απαγόρευση πράξεων, επαγγελματικών δραστηριοτήτων και παροχών που δεν είναι συμβατές με τις υποχρεώσεις αυτές τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής και κανόνες που διέπουν την παύση της απασχόλησης.
2. Το μέλος ή τα μέλη και οι υπάλληλοι κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας τους όσο και μετά το πέρας αυτής, όσον αφορά σε τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των εξουσιών τους. Κατά τη διάρκεια της θητείας του μέλους, η υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ιδίως για τις καταγγελίες ιδιωτών όσον αφορά σε παραβάσεις της παρούσας οδηγίας.
Άρθρο 45
Αρμοδιότητα
1. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με την παρούσα οδηγία στο έδαφος του κράτους μέλους της.
2. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας από δικαστήρια τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Κάθε κράτος μέλος μπορεί να προβλέπει ότι οι εποπτικές αρχές του δεν είναι αρμόδιες να εποπτεύουν πράξεις επεξεργασίας άλλων ανεξάρτητων δικαστικών αρχών οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.
Άρθρο 46
Καθήκοντα
1. Κάθε κράτος μέλος προβλέπει ότι, εντός της επικρατείας του, κάθε εποπτική αρχή:
α) παρακολουθεί και επιβάλλει την εφαρμογή της παρούσας οδηγίας και των εκτελεστικών μέτρων της·
β) προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία·
γ) συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας·
δ) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει της παρούσας οδηγίας·
ε) κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει της παρούσας οδηγίας και, ενδεχομένως, συνεργάζεται για το σκοπό αυτό με τις εποπτικές αρχές σε άλλα κράτη μέλη·
στ) χειρίζεται τις καταγγελίες που υποβάλλονται από υποκείμενο δεδομένων ή από φορέα, οργανισμό ή ένωση που εκπροσωπεί το υποκείμενο των δεδομένων σύμφωνα με το άρθρο 55, ερευνά, στο μέτρο του δυνατού, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή·
ζ) ελέγχει τη νομιμότητα της επεξεργασίας δυνάμει του άρθρου 17 και ενημερώνει το υποκείμενο των δεδομένων εντός εύλογου χρονικού διαστήματος για την έκβαση του ελέγχου σύμφωνα με την παράγραφο 3 του εν λόγω άρθρου ή για τους λόγους για τους οποίους δεν διενεργήθηκε ο έλεγχος·
η) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής της παρούσας οδηγίας·
θ) διενεργεί έρευνες σχετικά με την εφαρμογή της παρούσας οδηγίας, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή·
ι) παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν επιπτώσεις στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και των επικοινωνιών·
ια) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 28· και
ιβ) συμβάλλει στις δραστηριότητες του συμβουλίου.
2. Κάθε εποπτική αρχή διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο 1 στοιχείο στ), με μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.
3. Κάθε εποπτική αρχή ασκεί τα καθήκοντά της χωρίς οικονομική επιβάρυνση για το υποκείμενο των δεδομένων και για τον υπεύθυνο προστασίας δεδομένων.
4. Εάν ένα αίτημα είναι προδήλως αβάσιμο ή υπερβολικό, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του, η εποπτική αρχή μπορεί να επιβάλει εύλογη χρέωση βάσει των διοικητικών δαπανών της ή μπορεί να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης ότι το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό.
Άρθρο 47
Εξουσίες
1. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει αποτελεσματικές ερευνητικές εξουσίες. Οι εν λόγω εξουσίες περιλαμβάνουν τουλάχιστον την εξουσία να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της.
2. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει αποτελεσματικές διορθωτικές εξουσίες όπως, για παράδειγμα:
α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν την τις διατάξεις που θεσπίζονται δυνάμει της παρούσα οδηγία·
β) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις που θεσπίζονται δυνάμει της παρούσα οδηγία, όπου αρμόζει, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων, ή περιορισμού της επεξεργασίας δυνάμει του άρθρου 16·
γ) να επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας.
3. Κάθε κράτος μέλος προβλέπει διά νόμου ότι κάθε εποπτική αρχή του έχει τις πραγματικές συμβουλευτικές εξουσίες να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 28 και να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιό της, την κυβέρνησή της ή, σύμφωνα με το εθνικό της δίκαιο, προς άλλα όργανα και οργανισμούς καθώς και προς το κοινό για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα.
4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης αποτελεσματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και των κρατών μελών σύμφωνα με τον Χάρτη.
5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβάσεις διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλον τρόπο σε νομικές διαδικασίες, για την επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας.
Άρθρο 48
Καταγγελίες παραβάσεων
Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές καθιερώνουν αποτελεσματικούς μηχανισμούς για να ενθαρρύνουν την εμπιστευτική αναφορά παραβάσεων της παρούσας οδηγίας.
Άρθρο 49
Εκθέσεις δραστηριοτήτων
Κάθε εποπτική αρχή εκπονεί ετήσια έκθεση δραστηριοτήτων, η οποία μπορεί να περιλαμβάνει κατάλογο των τύπων των γνωστοποιημένων παραβάσεων και των ειδών των επιβαλλόμενων κυρώσεων. Οι εκθέσεις αυτές υποβάλλονται στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές, όπως ορίζεται από το δίκαιο του κράτους μέλους. Τίθενται στη διάθεση του κοινού, της Επιτροπής και του συμβουλίου.
ΚΕΦΑΛΑΙΟ VII
Συνεργασία
Άρθρο 50
Αμοιβαία συνδρομή
1. Κάθε κράτος μέλος προβλέπει ότι οι κάθε εποπτική αρχή παρέχει η μία στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή ώστε να υλοποιήσουν και να εφαρμόσουν την παρούσα οδηγία με συνεκτικό τρόπο και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία των εν λόγω αρχών. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, π.χ. αιτήματα για διαβουλεύσεις, ελέγχους και έρευνες.
2. Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για την ανταπόκριση στο αίτημα άλλης εποπτικής αρχής χωρίς άσκοπη καθυστέρηση και το αργότερο ένα μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα είναι δυνατόν να περιλαμβάνουν, ειδικότερα, τη διαβίβαση σχετικών πληροφοριών όσον αφορά στη διενέργεια έρευνας.
3. Τα αιτήματα παροχής συνδρομής περιέχουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένων του σκοπού του αιτήματος και των λόγων υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.
4. Εποπτική αρχή στην οποία υποβάλλεται αίτημα παροχής συνδρομής δεν αρνείται να συμμορφωθεί προς αυτό το αίτημα, παρά μόνον εάν:
α) δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει· ή
β) η συμμόρφωση προς το αίτημα θα παραβίαζε την παρούσα οδηγία ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται η εποπτική αρχή που παραλαμβάνει το αίτημα.
5. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα ενημερώνει την εποπτική αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα. Η εποπτική αρχή στην οποία υποβλήθηκε το αίτημα εξηγεί τους λόγους για τους οποίους αρνείται να ανταποκριθεί στο αίτημα βάσει της παραγράφου 4.
6. Οι εποπτικές αρχές στις οποίες υποβλήθηκε το αίτημα παρέχουν, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.
7. Οι εποπτικές αρχές στις οποίες υποβλήθηκε το αίτημα δεν επιβάλλουν κανένα τέλος για οποιαδήποτε ενέργεια αναλαμβάνεται από αυτές κατόπιν αιτήματος αμοιβαίας συνδρομής. Οι εποπτικές αρχές δύνανται να συμφωνούν μεταξύ τους κανόνες σχετικούς με αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.
8. Η Επιτροπή μπορεί να προσδιορίσει, με εκτελεστικές πράξεις, τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, καθώς και μεταξύ εποπτικών αρχών και του συμβουλίου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 58 παράγραφος 2.
Άρθρο 51
Καθήκοντα του συμβουλίου
1. Το συμβούλιο, το οποίο ιδρύεται με τον κανονισμό (ΕΕ) 2016/679, ασκεί όσον αφορά την επεξεργασία, εντός του πεδίου εφαρμογής της παρούσας οδηγίας, τα ακόλουθα καθήκοντα:
α) συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης της παρούσας οδηγίας·
β) εξετάζει, με δική του πρωτοβουλία, κατόπιν αιτήματος ενός από τα μέλη του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά στην εφαρμογή της παρούσας οδηγίας και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές, με σκοπό να ενθαρρύνει τη συνεκτική εφαρμογή της παρούσας οδηγίας·
γ) εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά στην εφαρμογή των μέτρων του άρθρου 47 παράγραφοι 1 και 3·
δ) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο β) της παρούσας παραγράφου για τον καθορισμό των παραβιάσεων δεδομένων προσωπικού χαρακτήρα και καθορίζει την αδικαιολόγητη καθυστέρηση που αναφέρεται στο άρθρο 30 παράγραφοι 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να γνωστοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα·
ε) εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σύμφωνα με το στοιχείο β) της παρούσας παραγράφου όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων που αναφέρονται στο άρθρο 31 παράγραφος 1·
στ) εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών·
ζ) παρέχει στην Επιτροπή γνωμοδότηση για την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα, εδαφική περιοχή ή ένα ή περισσότερους συγκεκριμένους τομείς, σε διεθνή οργανισμό, συμπεριλαμβανομένης της εκτίμησης του κατά πόσον η εν λόγω τρίτη χώρα, εδαφική περιοχή, συγκεκριμένος τομέας ή διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας·
η) προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ των εποπτικών αρχών·
θ) προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ εποπτικών αρχών και, κατά περίπτωση, με τις εποπτικές αρχές τρίτων χωρών ή με διεθνείς οργανισμούς·
ι) προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με το δίκαιο και την πρακτική στον τομέα της προστασίας δεδομένων με τις εποπτικές αρχές προστασίας δεδομένων παγκοσμίως.
Ως προς το στοιχείο ζ) του πρώτου εδαφίου, η Επιτροπή παρέχει στο συμβούλιο όλη την απαραίτητη τεκμηρίωση, συμπεριλαμβανομένης της αλληλογραφίας με την κυβέρνηση της τρίτης χώρας, την εδαφική περιοχή ή τον ειδικό τομέα στην τρίτη χώρα ή με τον διεθνή οργανισμό.
2. Όταν η Επιτροπή ζητεί τη συμβουλή του συμβουλίου, μπορεί να ορίσει προθεσμία, ανάλογα με τον επείγοντα χαρακτήρα του θέματος.
3. Το συμβούλιο διαβιβάζει τις γνώμες, τις κατευθυντήριες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή του άρθρου 58 παράγραφος 1 και τις δημοσιοποιεί.
4. Η Επιτροπή ενημερώνει το συμβούλιο για τα μέτρα που λαμβάνει κατόπιν των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το συμβούλιο.
ΚΕΦΑΛΑΙΟ VIII
Προσφυγές, ευθύνη και κυρώσεις
Άρθρο 52
Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
1. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή δικαστικής προσφυγής, τα κράτη μέλη προβλέπουν ότι κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνον εποπτική αρχή, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας.
2. Τα κράτη μέλη προβλέπουν ότι, εάν η καταγγελία δεν υποβληθεί στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 45 παράγραφος 1, η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία τη διαβιβάζει στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση. Το υποκείμενο των δεδομένων ενημερώνεται για τη διαβίβαση.
3. Τα κράτη μέλη προβλέπουν ότι η εποπτική αρχή στην οποία υποβάλλεται η καταγγελία παρέχει περαιτέρω συνδρομή κατόπιν αιτήματος του υποκειμένου των δεδομένων.
4. Το υποκείμενο των δεδομένων ενημερώνεται από την αρμόδια εποπτική αρχή για την πρόοδο και την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 53.
Άρθρο 53
Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά εποπτικής αρχής
1. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής, τα κράτη μέλη προβλέπουν ότι κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
2. Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο δεδομένων έχει δικαίωμα αποτελεσματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 45 παράγραφος 1 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 52.
3. Τα κράτη μέλη προβλέπουν ότι η διαδικασία κατά εποπτικής αρχής κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η εποπτική αρχή.
Άρθρο 54
Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία
Με την επιφύλαξη οποιασδήποτε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 52, τα κράτη μέλη προβλέπουν ότι τα υποκείμενα των δεδομένων έχουν δικαίωμα αποτελεσματικής δικαστικής προσφυγής εάν θεωρούν ότι τα δικαιώματά τους που απορρέουν από διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν κατά παράβαση των εν λόγω διατάξεων.
Άρθρο 55
Εκπροσώπηση υποκειμένων των δεδομένων
Σύμφωνα με το δικονομικό δίκαιο των κρατών μελών, τα κράτη μέλη προβλέπουν ότι το υποκείμενο των δεδομένων έχει δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, με καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον, και το οποίο δρα στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 52, 53 και 54 για λογαριασμό του.
Άρθρο 56
Δικαίωμα αποζημίωσης
Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο που έχει υποστεί υλική ζημία ή ηθική βλάβη εξαιτίας αθέμιτης επεξεργασίας ή οποιασδήποτε άλλης πράξης που παραβιάζει τις διατάξεις του εθνικού δικαίου που έχουν εκδοθεί κατ' εφαρμογή της παρούσας οδηγίας έχει δικαίωμα να λάβει αποζημίωση για τη ζημία την οποία υπέστη από τον υπεύθυνο επεξεργασίας ή από άλλη αρμόδια αρχή σύμφωνα με το δίκαιο του κράτους μέλους.
Άρθρο 57
Κυρώσεις
Τα κράτη μέλη ορίζουν τους κανόνες για τις κυρώσεις που επιβάλλονται σε περίπτωση παραβίασης των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και λαμβάνουν κάθε απαραίτητο μέτρο για να εξασφαλίσουν την εφαρμογή τους. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.
ΚΕΦΑΛΑΙΟ IX
Εκτελεστικές πράξεις
Άρθρο 58
Διαδικασία επιτροπής
1. Η Επιτροπή επικουρείται από την επιτροπή που συστήνεται βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
2. Όταν γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.
3. Όταν γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5.
ΚΕΦΑΛΑΙΟ X
Τελικές διατάξεις
Άρθρο 59
Κατάργηση της απόφασης-πλαισίου 2008/977/ΔΕΥ
1. Η απόφαση-πλαίσιο 2008/977/ΔΕΥ καταργείται από τις 6 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη απόφαση που αναφέρεται στην παράγραφο 1 νοούνται ως παραπομπές στην παρούσα οδηγία.
Άρθρο 60
Νομικές πράξεις της Ένωσης που ήδη ισχύουν
Δε θίγονται οι ειδικές διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα οι οποίες περιέχονται σε νομικές πράξεις της Ένωσης άρχισαν να ισχύουν στις 6 Μαΐου 2016 ή πριν από την εν λόγω ημερομηνία στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, και ρυθμίζουν την επεξεργασία μεταξύ κρατών μελών και την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών θεσπισθέντα δυνάμει των Συνθηκών εντός του πεδίου εφαρμογής της παρούσας οδηγίας.
Άρθρο 61
Σχέση με προηγουμένως συναφθείσες διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας
Οι διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τα κράτη μέλη πριν από τις 6 Μαΐου 2016 και οι οποίες είναι συμβατές προς το εφαρμόσιμο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
Άρθρο 62
Εκθέσεις της Επιτροπής
1. Το αργότερο έως τις 6 Μαΐου 2022 και στη συνέχεια κάθε τέσσερα έτη, η Επιτροπή υποβάλλει έκθεση σχετικά με την αξιολόγηση και επανεξέταση της παρούσας οδηγίας στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.
2. Στο πλαίσιο των αξιολογήσεων και επανεξετάσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, ειδικότερα, την εφαρμογή και λειτουργία των διατάξεων του κεφαλαίου V σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς, ιδίως όσον αφορά σε αποφάσεις που λαμβάνονται σύμφωνα με τα άρθρα 36 παράγραφος 3 και 39.
3. Για τους σκοπούς των παραγράφων 1 και 2, η Επιτροπή μπορεί να ζητήσει πληροφορίες από τα κράτη μέλη και τις εποπτικές αρχές.
4. Κατά τη διενέργεια των αξιολογήσεων και επανεξετάσεων που αναφέρονται στις παραγράφους 1 και 2, η Επιτροπή λαμβάνει υπόψη τις θέσεις και τα πορίσματα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και άλλων αρμοδίων φορέων ή πηγών.
5. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση της παρούσας οδηγίας, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας.
6. Έως τις 6 Μαΐου 2019, η Επιτροπή επανεξετάζει άλλες νομικές πράξεις που έχουν εκδοθεί από την Ένωση και ρυθμίζουν την επεξεργασία από τις αρμόδιες αρχές για τους σκοπούς που προβλέπονται στο άρθρο 1 παράγραφος 1, συμπεριλαμβανομένων των πράξεων που αναφέρονται στο άρθρο 60, προκειμένου να αξιολογήσει την αναγκαιότητα ευθυγράμμισής τους με την παρούσα οδηγία και να διατυπώσει, εφόσον απαιτείται, τις αναγκαίες προτάσεις για την τροποποίηση των εν λόγω πράξεων ώστε να διασφαλίζεται συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας.
Άρθρο 63
Μεταφορά στο εθνικό δίκαιο
1. Τα κράτη μέλη θεσπίζουν και δημοσιεύουν, το αργότερο έως τις 6 Μαΐου 2018, τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν προς την παρούσα οδηγία. Κοινοποιούν αμέσως στην Επιτροπή το κείμενο των εν λόγω διατάξεων. Τα κράτη μέλη εφαρμόζουν τις διατάξεις αυτές από τις 6 Μαΐου 2018.
Όταν τα κράτη μέλη θεσπίζουν τις εν λόγω διατάξεις, αυτές περιέχουν παραπομπή στην παρούσα οδηγία ή συνοδεύονται από την παραπομπή αυτή κατά την επίσημη δημοσίευσή τους. Ο τρόπος της παραπομπής αποφασίζεται από τα κράτη μέλη.
2. Κατά παρέκκλιση από την παράγραφο 1, τα κράτη μέλη μπορούν να προβλέπουν ότι, κατ' εξαίρεση, όταν αυτό απαιτεί δυσανάλογη προσπάθεια, τα αυτοματοποιημένα συστήματα επεξεργασίας που έχουν συσταθεί πριν από τις 6 Μαΐου 2016 συμμορφώνονται με το άρθρο 25 παράγραφος 1 έως τις 6 Μαΐου 2023.
3. Κατά παρέκκλιση από τις παραγράφους 1 και 2 του παρόντος άρθρου, ένα κράτος μέλος μπορεί, σε εξαιρετικές περιπτώσεις, να διασφαλίσει τη συμμόρφωση αυτοματοποιημένου συστήματος επεξεργασίας, που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, με το άρθρο 25 παράγραφος 1 εντός ορισμένου χρονικού διαστήματος μετά τη λήξη της προθεσμίας που αναφέρεται στην παράγραφο 2 του παρόντος άρθρου, εάν διαφορετικά η συμμόρφωση αυτή θα προκαλούσε σοβαρά προβλήματα για τη λειτουργία του εν λόγω αυτοματοποιημένου συστήματος επεξεργασίας. Το ενδιαφερόμενο κράτος μέλος αιτιολογεί στην Επιτροπή τις δυσκολίες αυτές και το καθοριζόμενο χρονικό διάστημα εντός του οποίου θα διασφαλίσει τη συμμόρφωση του συγκεκριμένου αυτοματοποιημένου συστήματος επεξεργασίας σύμφωνα με το άρθρο 25 παράγραφος 1. Το καθοριζόμενο χρονικό διάστημα σε καμία περίπτωση δεν μπορεί να υπερβεί τις 6 Μαΐου 2026.
4. Τα κράτη μέλη κοινοποιούν στην Επιτροπή το κείμενο των βασικών διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που καλύπτει η παρούσα οδηγία.
Άρθρο 64
Έναρξη ισχύος
Η παρούσα οδηγία αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Άρθρο 65
Αποδέκτες
Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.