ΚΟΙΝΗ ΘΕΣΗ (ΕΚ) αριθ. 1/95 η οποία καθορίστηκε από το Συμβούλιο στις 20 Φεβρουαρίου 1995 για τη θέσπιση της οδηγίας 95/. . ./EK του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της . . . για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (95/C 93/01)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 100 Α,

την πρόταση της Επιτροπής (1),

τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής (2),

αποφασίζοντας με τη διαδικασία του άρθρου 189 Β της συνθήκης (3),

Εκτιμώντας:

ότι οι στόχοι της Κοινότητας που διατυπώνονται στη συνθήκη, όπως τροποποιήθηκε από την Ενιαία Ευρωπαϊκή Πράξη, συνίστανται στην επίτευξη όλο και μεγαλύτερης ενότητας μεταξύ των ευρωπαϊκών λαών, στην ανάπτυξη στενότερων σχέσεων μεταξύ των κρατών μελών της Κοινότητας, στην εξασφάλιση, μέσω κοινής προσπάθειας, της οικονομικής και κοινωνικής προόδου, με την κατάργηση των φραγμών που χωρίζουν την Ευρώπη, στην προώθηση της συνεχούς βελτίωσης των συνθηκών διαβίωσης των λαών, στη διατήρηση και την εδραίωση της ειρήνης και της ελευθερίας και στην προώθηση της δημοκρατίας με βάση τα θεμελιώδη δικαιώματα που αναγνωρίζονται από τα συντάγματα και τους νόμους των κρατών μελών, καθώς και από την ευρωπαϊκή σύμβαση περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών 7

ότι τα συστήματα επεξεργασίας δεδομένων υπηρετούν τον άνθρωπο 7 ότι πρέπει, ανεξαρτήτως ιθαγένιας ή κατοικίας των φυσικών προσώπων, να σέβονται τις θεμελιώδεις ελευθερίες και τα δικαιώματά τους, και ιδίως την ιδιωτική ζωή, και να συμβάλλουν στην οικονομική και κοινωνική πρόοδο, στην ανάπτυξη των συναλλαγών, καθώς και στην ευημερία του ατόμου 7

ότι, για την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς στην οποία, σύμφωνα με το άρθρο 7 Α της συνθήκης, εξασφαλίζεται η ελεύθερη κυκλοφορία εμπορευμάτων, προσώπων, υπηρεσιών και κεφαλαίων, απαιτείται όχι μόνο η δυνατότητα κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών, αλλά και η προστασία των θεμελιωδών δικαιωμάτων του ατόμου 7

ότι στην Κοινότητα γίνεται όλο και συχνότερη προσφυγή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στους διάφορους τομείς των οικονομικών και κοινωνικών δραστηριοτήτων 7 ότι η πρόοδος της πληροφορικής διευκολύνει σημαντικά την επεξεργασία και την ανταλλαγή αυτών των δεδομένων 7

ότι η οικονομική και κοινωνική ολοκλήρωση που απορρέει από την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς κατά την έννοια του άρθρου 7 Α της συνθήκης συνεπάγονται, κατ' ανάγκη, αισθητή αύξηση της διασυνοριακής ροής δεδομένων προσωπικού χαρακτήρα μεταξύ όλων των πρωταγωνιστών της οικονομικής και κοινωνικής ζωής των κρατών μελών, ιδιώτες ή Δημόσιο 7 ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ επιχειρήσεων που είναι εγκατεστημένες στα διάφορα κράτη μέλη πρόκειται να αναπτυχθεί 7 ότι οι διοικήσεις των διαφόρων κρατών μελών καλούνται, κατ' εφαρμογή του κοινοτικού δικαίου, να συνεργάζονται και να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα προκειμένου να εκπληρώνουν την αποστολή τους ή να ασκούν καθήκοντα για λογαριασμό διοικητικής αρχής άλλου κράτους μέλους, στο πλαίσιο του χώρου δίχως σύνορα τον οποίο περιλαμβάνει η εσωτερική αγορά 7

ότι, εξάλλου, η ενίσχυση της επιστημονικής και τεχνικής συνεργασίας, καθώς και η συντονισμένη εισαγωγή νέων δικτύων τηλεπικοινωνιών στην Κοινότητα απαιτούν και διευκολύνουν τη διασυνοριακή κυκλοφορία δεδομένων προσωπικού χαρακτήρα 7

ότι οι διαφορές που υπάρχουν στα κράτη μέλη ως προς το επίπεδο προστασίας των δικαιωμάτων και ελευθεριών του ατόμου, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, είναι δυνατόν να εμποδίζουν τη διαβίβαση των δεδομένων αυτών από το έδαφος ενός στο έδαφος άλλου κράτους μέλους 7 ότι οι διαφορές αυτές ενδέχεται να φέρουν εμπόδια στην άσκηση πολλών οικονομικών δραστηριοτήτων σε κοινοτικό επίπεδο, να νοθεύσουν τον ανταγωνισμό και να δυσχεράνουν το έργο των διοικητικών αρχών στο πεδίο εφαρμογής του κοινοτικού δικαίου 7 ότι αυτές οι διαφορές προστασίας οφείλονται στις αποκλίσεις των εθνικών νομοθετικών, κανονιστικών και διοικητικών διατάξεων 7

ότι, για την εξάλειψη των εμποδίων στην κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, πρέπει να υπάρχει ίσος βαθμός προστασίας των δικαιωμάτων και ελευθεριών του ατόμου έναντι της επεξεργασίας των δεδομένων αυτών σε όλα τα κράτη μέλη 7 ότι η υλοποίηση αυτού του στόχου, ουσιώδης για την εσωτερική αγορά, δεν μπορεί να επιτευχθεί μόνον μέσω των ενεργειών των κρατών μελών, λαμβανομένων ιδίως υπόψη της έκτασης των υφιστάμενων αποκλίσεων μεταξύ των οικείων εθνικών νομοθεσιών, καθώς και της ανάγκης συντονισμού των νομοθεσιών των κρατών μελών, προκειμένου η διασυνοριακή ροή των δεδομένων προσωπικού χαρακτήρα να ρυθμίζεται με συνέπεια και σύμφωνα με τον στόχο της εσωτερικής αγοράς κατά την έννοια του άρθρου 7 Α της συνθήκης 7 ότι είναι, ως εκ τούτου, απαραίτητη η παρέμβαση της Κοινότητας ώστε να υπάρξει προσέγγιση των νομοθεσιών 7

ότι λόγω της ισοδύναμης προστασίας που θα προκύψει από την προσέγγιση των εθνικών νομοθεσιών, τα κράτη μέλη δεν θα μπορούν πλέον να εμποδίσουν τη μεταξύ τους ελεύθερη κυκλοφορία των στοιχείων προσωπικού χαρακτήρα για λόγους της προστασίας των δικαιωμάτων και της ελευθερίας των φυσικών προσώπων, και κυρίως της ιδιωτικής ζωής 7 ότι τα κράτη μέλη θα διαθέτουν περιθώριο χειρισμού το οποίο, στα πλαίσια της εφαρμογής της οδηγίας, θα μπορεί να χρησιμοποιείται από τους οικονομικούς και κοινωνικούς εταίρους 7 ότι θα μπορούν, συνεπώς, να προσδιορίζουν, στην εθνική τους νομοθεσία, τους γενικούς όρους θεμιτής επεξεργασίας των δεδομένων, προσπαθώντας να βελτιώσουν την προστασία που παρέχει η ισχύουσα νομοθεσία τους 7 ότι, εντός των ορίων του περιθωρίου και σύμφωνα με το κοινοτικό δίκαιο, ενδέχεται να προκύψουν διαφορές όσον αφορά την εφαρμογή της οδηγίας που θα μπορούσαν να έχουν επιπτώσεις στην κυκλοφορία των δεδομένων τόσο στο εσωτερικό ενός κράτους μέλους όσο και στην Κοινότητα 7

ότι στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων, και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών, καθώς και στις γενικές αρχές του κοινοτικού δικαίου 7 ότι, για το λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένιση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα 7

ότι οι αρχές περί προστασίας των δικαιωμάτων και των ελευθεριών του ατόμου, και ιδίως της ιδιωτικής ζωής, που περιέχονται στην παρούσα οδηγία, διευκρινίζουν και επεκτείνουν τις αρχές που περιλαμβάνονται στη σύμβαση της 28ης Ιανουαρίου 1981 του Συμβουλίου της Ευρώπης περί προστασίας των προσώπων έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα 7

ότι οι αρχές περί προστασίας πρέπει να εφαρμόζονται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον οι δραστηριότητες του υπευθύνου της επεξεργασίας εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου 7 ότι πρέπει να εξαιρούνται οι επεξεργασίες που εκτελούνται από φυσικό πρόσωπο για την άσκηση αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων, όπως οι επεξεργασίες οι σχετικές με την αλληλογραφία και την τήρηση καταλόγων διευθύνσεων 7

ότι οι δραστηριότητες που αναφέρονται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την ασφάλεια του κράτους και οι δραστηριότητες του κράτους στον ποινικό τομέα δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, με την επιφύλαξη των υποχρεώσεων που βαρύνουν τα κράτη μέλη δυνάμει του άρθρου 56 παράγραφος 2 και των άρθρων 57 και 100 Α της συνθήκης 7 ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, αναγκαία για την οικονομική ευημερία του κράτους, δεν εμπίπτει στην παρούσα οδηγία όταν αφορά ζητήματα κρατικής ασφάλειας 7

ότι, λόγω της σημασίας που έχει λάβει στα πλαίσια της κοινωνίας της πληροφόρησης η ανάπτυξη τεχνικών για τη συλλογή, τη διαβίβαση, το χειρισμό, την καταχώριση, τη διατήρηση ή την ανακοίνωση δεδομένων ήχου και εικόνας που αφόρουν φυσικά πρόσωπα, η παρούσα οδηγία θα πρέπει να εφαρμόζεται στις επεξεργασίες των σχετικών δεδομένων 7

ότι οι επεξεργασίες των δεδομένων αυτών καλύπτονται από την παρούσα οδηγία μόνον εφόσον είναι αυτοματοποιημένες ή εφόσον τα δεδομένα περιλαμβάνονται ή προορίζονται να περιληφθούν σε αρχείο διαρθρωμένο σύμφωνα με ειδικά, όσον αφορά τα πρόσωπα, κριτήρια, ώστε να είναι ευχερής η πρόσβαση στα εν λόγω δεδομένα προσωπικού χαρακτήρα 7

ότι οι επεξεργασίες δεδομένων ήχου και εικόνας, όπως και της επιτήρησης μέσω βίντεο, δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας εφόσον εκτελούνται για λόγους δημόσιας ασφάλειας, άμυνας, ασφαλείας του κράτους ή για την άσκηση ποινικών αρμοδιοτήτων ή άλλων δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου 7

ότι, όσον αφορά την επεξεργασία ήχου και εικόνας στα πλαίσια δημοσιογραφίας ή λογοτεχνικής ή καλλιτεχνικής έκφρασης, και ιδίως στον οπτικοακουστικό τομέα, οι αρχές της οδηγίας εφαρμόζονται περιοριστικώς σύμφωνα με τις διατάξεις του άρθρου 9 7

ότι, προκειμένου να αποφευχθεί ο αποκλεισμός ενός προσώπου από την δυνάμει της παρούσας οδηγίας προστασία, είναι απαραίτητο κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στην Κοινότητα να τηρεί τη νομοθεσία ενός από τα κράτη μέλη 7 ότι είναι σκόπιμο οι επεξεργασίες που εκτελούνται από πρόσωπα ενεργούντα υπό τον έλεγχο του υπευθύνου της επεξεργασίας ο οποίος είναι εγκατεστημένος σε κράτος μέλος να υπόκεινται στην νομοθεσία του κράτους αυτού 7

ότι η εγκατάσταση στο έδαφος κράτους μέλους περιλαμβάνει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος 7 ότι η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα εν προκειμένω 7 ότι, όταν ένας μόνο υπεύθυνος επεξεργασίας είναι εγκατεστημένος στο έδαφος πλειόνων κρατών μελών, ιδίως μέσω θυγατρικής, πρέπει να εξασφαλίζει, κυρίως για να αποφεύγονται οι καταστρατηγήσεις, ότι κάθε κατάστημά του πληροί τις απαιτήσεις τις οποίες προβλέπει η οικεία εθνική νομοθεσία 7

ότι η εγκατάσταση σε τρίτη χώρα του υπευθύνου της επεξεργασίας δεν πρέπει να αποτελεί εμπόδιο στην προστασία των προσώπων που προβλέπεται από την παρούσα οδηγία 7 ότι, στην περίπτωση αυτή, ενδείκνυται οι εκτελούμενες επεξεργασίες να υπάγονται στη νομοθεσία του κράτους μέλους στο οποίο βρίσκονται τα μέσα που χρησιμοποιούνται για την επεξεργασία και να παρέχονται εγγυήσεις ώστε τα δικαιώματα και οι υποχρεώσεις που προβλέπονται από την παρούσα οδηγία, να γίνονται πράγματι σεβαστά 7

ότι η παρούσα οδηγία δεν προδικάζει τους κανόνες της εδαφικότητας που ισχύουν στον τομέα του ποινικού δικαίου 7

ότι τα κράτη μέλη θα προσδιορίσουν στη νομοθεσία τους ή κατά την έναρξη ισχύος των διατάξεων που θεσπίζονται κατ' εφαρμογή της παρούσας οδηγίας, τις γενικές προϋποθέσεις σύμφωνα με τις οποίες είναι θεμιτή η επεξεργασία 7 ότι ιδίως το άρθρο 5, σε συνδυασμό με τα άρθρα 7 και 8, επιτρέπει στα κράτη μέλη να προβλέπουν, πέραν των γενικών κανόνων, ειδικές προϋποθέσεις για την επεξεργασία δεδομένων σε συγκεκριμένους τομείς και για τις διάφορες κατηγορίες δεδομένων που αναφέρονται στο άρθρο 8 7

ότι τα κράτη μέλη δύνανται να διασφαλίσουν την πραγμάτωση της προστασίας των προσώπων τόσο με γενικό νόμο περί προστασίας των προσώπων κατά της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όσο και με τομεακούς νόμους, όπως π.χ. οι νόμοι περί στατιστικής υπηρεσίας 7

ότι οι νομοθεσίες περί προστασίας των νομικών προσώπων κατά της επεξεργασίας δεδομένων τους δεν υπόκεινται στην παρούσα οδηγία 7

ότι οι αρχές της προστασίας δέον να εκφράζονται, αφενός, στις υποχρεώσεις τις οποίες υπέχουν πρόσωπα, δημόσιες αρχές, επιχειρήσεις ή φορείς υπεύθυνοι για την επεξεργασία, όσον αφορά ιδίως την ποιότητα των δεδομένων, την ασφάλεια της τεχνικής, την κοινοποίηση στην αρχή ελέγχου, τις συνθήκες υπό τις οποίες μπορεί να εκτελεσθεί η επεξεργασία, και, αφετέρου, με τα δικαιώματα που παρέχονται στα πρόσωπα, τα δεδομένα των οποίων αποτελούν αντικείμενο της επεξεργασίας, προκειμένου να ενημερώνονται επί των δεδομένων, να μπορούν να έχουν πρόσβαση σε αυτά, να μπορούν να ζητούν τη διόρθωσή τους ή ακόμη να αντιτάσσονται στην επεξεργασία τους 7

ότι οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί 7 ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να ληφθεί υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου 7 ότι οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται 7 ότι οι κώδικες δεοντολογίας κατά την έννοια του άρθρου 27 μπορούν να αποτελέσουν χρήσιμο μέσο για την παροχή στοιχείων ως προς τον τρόπο κατά τον οποίον τα δεδομένα μπορούν να καταστούν ανώνυμα και να φυλάσσονται με μορφή που δεν επιτρέπει πλέον να εξακριβωθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται 7

ότι η προστασία του ατόμου πρέπει να ισχύει τόσο για την αυτοματοποιημένη όσο και για την διά της χειρός επεξεργασία δεδομένων 7 ότι το πεδίο εφαρμογής της προστασίας αυτής δεν πρέπει, πράγματι, να εξαρτάται από τις χρησιμοποιούμενες τεχνικές, δεδομένου ότι αυτό θα δημιουργούσε σοβαρούς κινδύνους καταστρατήγησης 7 ότι, ωστόσο, όσον αφορά την διά χειρός επεξεργασία, καλύπτονται από την οδηγία μόνον τα αρχεία και όχι οι φάκελοι που δεν είναι διαρθρωμένοι 7 ότι, ιδίως, το περιεχόμενο ενός αρχείου πρέπει να είναι διαρθρωμένο σύμφωνα με ειδικά κριτήρια, ώστε να επιτρέπεται η ευχερής πρόσβαση των ατόμων στα δεδομένα προσωπικού χαρακτήρα 7 ότι, σύμφωνα με τον ορισμό του άρθρου 2 στοιχείο γ), τα διάφορα κριτήρια για τον καθορισμό των στοιχείων ενός διαρθρωμένου συνόλου δεδομένων προσωπικού χαρακτήρα και τα διάφορα κριτήρια που διέπουν την πρόσβαση στο σύνολο αυτό, μπορούν να θεσπίζονται από κάθε κράτος μέλος 7 ότι, συνεπώς, ένας φάκελος ή σύνολο φακέλων, καθώς και το εξώφυλλό τους, εφόσον δεν είναι διαρθρωμένα σύμφωνα με ειδικά κριτήρια, δεν εμπίπτουν στην παρούσα οδηγία 7

ότι οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να εκτελείται κατά τρόπο θεμιτό και σύννομο έναντι των ενδιαφερομένων προσώπων 7 ότι πρέπει, ιδίως, να αφορά δεδομένα πρόσφορα και συναφή προς τους επιδιωκόμενους στόχους και όχι περιττά 7 ότι οι στόχοι αυτοί πρέπει να είναι σαφείς και νόμιμοι και να προσδιορίζονται κατά τη συλλογή των δεδομένων 7 ότι οι στόχοι των επεξεργασιών που έπονται της συλλογής δεν πρέπει να είναι ασυμβίβαστοι προς τους αρχικούς στόχους 7

ότι η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν πρέπει γενικά να θεωρείται ασυμβίβαστη με τους σκοπούς για τους οποίους έχουν προηγουμένως συλλεχθεί τα δεδομένα, εφόσον τα κράτη μέλη παρέχουν επαρκείς εγγυήσεις 7 ότι οι εγγυήσεις αυτές πρέπει, ιδίως, να αποκλείουν τη χρήση των δεδομένων για τη λήψη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο πρόσωπο 7

ότι, για να είναι θεμιτή η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει, επιπλέον, να διενεργείται με τη συναίνεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή να είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης που δεσμεύει το εν λόγω πρόσωπο ή την εκπλήρωση αποστολής δημοσίου συμφέροντος ή την άσκηση εξουσίας ή ακόμη την πραγμάτωση εννόμου συμφέροντος προσώπου, υπό τον όρο ότι δεν υπερισχύουν το συμφέρον ή τα δικαιώματα και οι ελευθερίες του εν λόγω προσώπου 7 ότι, ειδικότερα, προκειμένου να εξασφαλιστεί η ισορροπία των εν λόγω συμφερόντων παράλληλα με τον αποτελεσματικό ανταγωνισμό, τα κράτη μέλη μπορούν να προσδιορίζουν τις προϋποθέσεις υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα μπορούν να χρησιμοποιούνται και να ανακοινώνονται σε τρίτους στα πλαίσια νόμιμης τρέχουσας διαχείρισης στις επιχειρήσεις ή άλλους οργανισμούς 7 ότι, επίσης, μπορούν να προσδιορίζουν τις προϋποθέσεις υπό τις οποίες μπορούν να ανακοινώνονται σε τρίτους τα δεδομένα προσωπικού χαρακτήρα για εμπορικούς ή διαφημιστικούς σκοπούς που επιδιώκονται είτε από εμπορικό φορέα είτε από φιλανθρωπικό σωματείο ή άλλα σωματεία ή ενώσεις, λόγου χάρη πολιτικού χαρακτήρα, με την επιφύλαξη των διατάξεων που επιτρέπουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αντιταχθούν χωρίς αιτιολογία και άνευ δαπάνης στην επεξεργασία των δεδομένων που τα αφορούν 7

ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να θεωρείται ως θεμιτή όταν πραγματοποιείται με σκοπό την προστασία ουσιώδους βιοτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα 7

ότι εναπόκειται στις εθνικές νομοθεσίες να προσδιορίσουν εάν ο υπεύθυνος της επεξεργασίας στον οποίο έχει ανατεθεί αποστολή δημοσίου συμφέροντος ή εμπίπτουσα στην άσκηση δημοσίας εξουσίας πρέπει να είναι δημόσια διοίκηση ή άλλο πρόσωπο δημοσίου ή ιδιωτικού δικαίου, όπως ένας επαγγελματικός σύλλογος 7

ότι, εξάλλου, τα δεδομένα που εκ φύσεως ενδέχεται να θίξουν τις θεμελιώδεις ελευθερίες ή την ιδιωτική ζωή δεν πρέπει να καθίστανται αντικείμενο επεξεργασίας, εκτός αν υπάρχει ρητή συναίνεση του προσώπου στο οποίο αναφέρονται 7 ότι, ωστόσο, πρέπει να προβλέπεται ρητά η δυνατότητα παρέκκλισης από αυτήν την απαγόρευση λόγω ειδικών αναγκών, ιδίως όταν η επεξεργασία πραγματοποιείται για ορισμένους λόγους υγείας από άτομα υπέχοντα υποχρέωση επαγγελματικού απορρήτου ή για νόμιμες δραστηριότητες από ορισμένα σωματεία ή ιδρύματα, σκοπός των οποίων είναι να επιτρέψουν την άσκηση θεμελιωδών ελευθεριών 7

ότι, για λόγους σημαντικού δημόσιου συμφέροντος, θα πρέπει να επιτρέπεται στα κράτη μέλη να παρεκκλίνουν από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων σε τομείς όπως η δημόσια υγεία, η κοινωνική προστασία, ιδίως όσον αφορά την ποιότητα και την αποδοτικότητα στις διαδικασίες που ακολουθούνται για να εξετάζονται οι αιτήσεις παροχών και υπηρεσιών στα πλαίσια του καθεστώτος ιατροφαρμακευτικής ασφάλισης, η επιστημονική έρευνα, καθώς και η δημόσια στατιστική 7 ότι εναπόκειται, ωστόσο, στα κράτη μέλη να προβλέψουν ειδικές και πρόσφορες κατάλληλες εγγυήσεις ώστε να προστατεύονται τα θεμελιώδη δικαιώματα και η ιδιωτική ζωή των προσώπων 7

ότι, επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για σκοπούς, που καθορίζονται στο συνταγματικό ή το δημόσιο διεθνές δίκαιο, επίσημα αναγνωρισμένων θρησκευτικών οργανώσεων εκτελείται για λόγους σημαντικού δημοσίου συμφέροντος 7

ότι όταν, προκειμένου περί εκλογών, η λειτουργία του δημοκρατικού συστήματος απαιτεί από τα πολιτικά κόμματα να συλλέγουν δεδομένα σχετικά με τα πολιτικά φρονήματα διαφόρων προσώπων, η επεξεγασία τέτοιων δεδομένων δύναται να επιτραπεί για λόγους ουσιωδών δημοσίων συμφερόντων, υπό την προϋπόθεση ότι θεσπίζονται οι προσήκουσες εγγυήσεις 7

ότι, ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς, καθώς και για καλλιτεχνική ή λογοτεχνική έκφραση, ιδίως στον οπτικοακουστικό τομέα, πρέπει να προβλέπονται εξαιρέσεις και περιορισμοί από τις διατάξεις της παρούσας οδηγίας οι οποίοι είναι αναγκαίοι για το συμβιβασμό των θεμελιωδών δικαιωμάτων του προσώπου με την ελευθερία της έκφρασης, και ιδίως την ελευθερία να λαμβάνει κανείς ή να παρέχει πληροφορίες, όπως αυτή κατοχυρώνεται στο άρθρο 10 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. Κατά συνέπεια, εναπόκειται στα κράτη μέλη, προκειμένου για την ιεράρχηση των θεμελιωδών δικαιωμάτων, να θεσπίσουν τις αναγκαίες εξαιρέσεις και περιορισμούς όσον αφορά τους εν γένει κανόνες νομιμότητας της επεξεργασίας των δεδομένων, τα μέτρα διαβίβασης των δεδομένων σε τρίτες χώρες, καθώς και τις αρμοδιότητες των υπηρεσιών ελέγχου. Αυτό δεν θα πρέπει, εντούτοις, να παράσχει στα κράτη μέλη αφορμή για να προβλέπουν εξαιρέσεις από τα μέτρα που εγγυώνται την ασφάλεια της επεξεργασίας. Θα πρέπει ωσαύτως να μεταβιβαστούν εκ των υστέρων ορισμένες αρμοδιότητες τουλάχιστον στην αρμόδια επί του τομέα αρχή ελέγχου, όπως φερ' ειπείν να δημοσιεύει έκθεση σε τακτά διαστήματα ή να προσφεύγει στις δικαστικές αρχές 7

ότι η σύννομη επεξεργασία των δεδομένων προϋποθέτει ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να πληροφορούνται την ύπαρξη της επεξεργασίας και να έχουν πραγματική και ολοκληρωμένη ενημέρωση σχετικά με τις συνθήκες της συλλογής, εφόσον τα δεδομένα συλλέγονται από αυτά 7

ότι ορισμένες επεξεργασίες αφορούν δεδομένα τα οποία ο υπεύθυνος δεν συνέλεξε απευθείας από το πρόσωπο στο οποίο αναφέρονται 7 ότι, εξάλλου, τα δεδομένα μπορούν να ανακοινωθούν νομίμως σε τρίτο ακόμη και όταν η ανακοίνωση αυτή δεν είχε προβλεφθεί κατά τη συλλογή τους από το πρόσωπο στο οποίο αναφέρονται 7 ότι, σε όλες αυτές τις περιπτώσεις, η ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρέπει να προγραματοποιείται κατά την καταγραφή των δεδομένων ή, το αργότερο, κατά την πρώτη ανακοίνωσή τους σε τρίτο 7

ότι, ωστόσο, δεν είναι ανάγκη να επιβληθεί η υποχρέωση αυτή εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ήδη ενημερωθεί 7 ότι η υποχρέωση αυτή δεν προβλέπεται ρητώς από το νόμο όταν η ενημέρωσή του αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογες προσπάθειες, όπως μπορεί να συμβεί με τις επεξεργασίες για ιστορικούς, στατιστικούς, ή επιστημονικούς σκοπούς 7 εν προκειμένω, είναι δυνατόν να εξετάζονται ο αριθμός των ενδιαφερομένων, η ηλικία των δεδομένων, καθώς και τα αντισταθμιστικά μέτρα που μπορούν να ληφθούν 7

ότι κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης στα δεδομένα που το αφορούν και τα οποία αποτελούν αντικείμενο επεξεργασίας, προκειμένου να βεβαιώνεται ιδίως για την ακρίβειά τους και το θεμιτό χαρακτήρα της επεξεργασίας τους 7 ότι, για τους ίδιους λόγους, κάθε πρόσωπο πρέπει να έχει επιπλέον το δικαίωμα να γνωρίζει τη λογική που υπαγορεύει την αυτοματοποιημένη επεξεργασία των δεδομένων που το αφορούν, τουλάχιστον στην περίπτωση των αυτοματοποιημένων αποφάσεων που αναφέρονται στο άρθρο 15 παράγραφος 1 7 ότι το δικαίωμα αυτό δεν πρέπει να θίγει την πνευματική ιδιοκτησία, ιδίως το δικαίωμα του δημιουργού που προστατεύει το λογισμικό 7 ότι αυτό δεν πρέπει, ωστόσο, να καταλήγει στην άρνηση κάθε ενημέρωσης του ενδιαφερομένου προσώπου 7

ότι τα κράτη μέλη μπορούν, προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή προκειμένου να προστατευθούν τα δικαιώματα και οι ελευθερίες τρίτων, να περιορίσουν τα δικαιώματα πρόσβασης και πληροφόρησης 7 ότι μπορούν, για παράδειγμα να διευκρινίζουν ότι η πρόσβαση σε δεδομένα ιατρικής φύσεως μπορεί να γίνεται μόνο μέσω επαγγελματία στον κλάδο της υγείας 7

ότι τα κράτη μέλη μπορούν να επιβάλλουν περιορισμούς των δικαιωμάτων πρόσβασης και ενημέρωσης και ορισμένων υποχρεώσεων του υπευθύνου της επεξεργασίας, εφόσον είναι απολύτως αναγκαίοι για τη διαφύλαξη της εθνικής ασφάλειας, της άμυνας, της δημόσιας ασφάλειας, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους της Ένωσης, καθώς και για την έρευνα και δίωξη ποινικών παραβάσεων και παραβάσεων δεοντολογίας των νομικά κατοχυρωμένων επαγγελμάτων 7 ότι πρέπει να απαριθμηθούν, ως εξαιρέσεις και περιορισμοί, οι αποστολές ελέγχου, επιθεώρησης ή ρύθμισης που είναι αναγκαίες στους τελευταίους τρεις προαναφερθέντες τομείς όσον αφορά τη δημόσια ασφάλεια, το οικονομικό ή χρηματοοικονομικό συμφέρον και την καταστολή ποινικών αδικημάτων 7 ότι η απαρίθμηση αποστολών που αφορούν τους τρεις αυτούς τομείς δεν θίγει τη νομιμότητα εξαιρέσεων και περιορισμών για λόγους ασφάλειας του κράτους ή άμυνας 7

ότι τα κράτη μέλη ενδέχεται να υποχρεωθούν, βάσει κοινοτικής νομοθεσίας, να παρεκκλίνουν της παρούσας οδηγίας σχετικά με το δικαίωμα πρόσβασης, την ενημέρωση και την ποιότητα των δεδομένων, προκειμένου να επιτύχουν ορισμένους από τους ανωτέρω στόχους 7

ότι, στην περίπτωση που τα δεδομένα θα μπορούσαν να υποστούν θεμιτή επεξεργασία λόγω δημοσίου συμφέροντος, της άσκησης δημόσιας εξουσίας ή ατομικών έννομων συμφερόντων, κάθε πρόσωπο θα πρέπει να δικαιούται να αντιτάσσεται για υπέρτερους νόμιμους λόγους που ανάγονται στην ειδική του κατάσταση και να αποκλείει από την επεξεργασία τα δεδομένα που το αφορούν 7 ότι τα κράτη μέλη έχουν, πάντως, την ευχέρεια να θεσπίζουν αντίθετες εθνικές διατάξεις 7

ότι η προστασία των δικαιωμάτων και ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών μέτρων και οργάνωσης κατά τη στιγμή τόσο της σύλληψης των τεχνικών επεξεργασίας όσο και της εκτέλεσης της επεξεργασίας, προκειμένου ιδίως να υπάρξουν εγγυήσεις για την ασφάλειά τους και να εμποδίζεται έτσι κάθε μη επιτρεπόμενη επεξεργασία 7 ότι εναπόκειται στα κράτη μέλη να μεριμνούν για την τήρηση των μέτρων αυτών εκ μέρους των υπευθύνων της επεξεργασίας 7 ότι τα μέτρα αυτά πρέπει να εξασφαλίζουν ενδεδειγμένο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνικής και το κόστος της εφαρμογής έναντι των κινδύνων που εμφανίζουν οι επεξεργασίες και της φύσης των προς προστασία δεδομένων 7

ότι όταν ένα μήνυμα που περιέχει δεδομένα προσωπικού χαρακτήρα μεταβιβάζεται μέσω υπηρεσίας τηλεπικοινωνιών ή ηλεκτρονικού ταχυδρομείου, μοναδικός στόχος των οποίων είναι η μεταβίβαση μηνυμάτων αυτού του τύπου, ως υπεύθυνος για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μήνυμα θα θεωρείται το πρόσωπο από το οποίο προέρχεται το μήνυμα και όχι το πρόσωπο που παρέχει την υπηρεσία μεταβίβασης 7 ότι, πάντως, τα πρόσωπα που παρέχουν αυτές τις υπηρεσίες θα θεωρούνται κατά κανόνα ως υπεύθυνοι για την επεξεργασία των επιπλέον δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητα για τη λειτουργία της υπηρεσίας 7

ότι η κοινοποίηση στην αρχή ελέγχου αποβλέπει στη διασφάλιση της δημοσιότητας των σκοπών της επεξεργασίας, καθώς και των κύριων χαρακτηριστικών τους, με προοπτική τον έλεγχό τους υπό το φώς των εθνικών διατάξεων κατ' εφαρμογή της παρούσας οδηγίας 7

ότι, προς αποφυγή απρόσφορων διοικητικών διατυπώσεων, τα κράτη μέλη πρέπει να προβλέψουν εξαιρέσεις ή απλουστεύσεις κατά την κοινοποίηση των επεξεργασιών που δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, εφόσον οι επεξεργασίες αυτές είναι σύμφωνες με πράξη που έχει θεσπιστεί από κράτος μέλος ορίζουσα τα όριά τους 7 ότι εξαιρέσεις ή απλουστεύσεις μπορούν επίσης να προβλέπονται από τα κράτη μέλη όταν πρόσωπο που ορίζεται από τον υπεύθυνο της επεξεργασίας βεβαιώνεται ότι οι πραγματοποιούμενες επεξεργασίες δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα 7 ότι το πρόσωπο που είναι επιφορτισμένο με το έργο αυτό, είτε είναι υπάλληλος του υπευθύνου της επεξεργασίας είτε εξωτερικός συνεργάτης, πρέπει να ασκεί τα καθήκοντά του με πλήρη ανεξαρτησία 7

ότι η εξαίρεση ή η απλούστευση μπορούν να προβλέπονται, ειδικότερα, για τις επεξεργασίες μοναδικό αντικείμενο των οποίων είναι η τήρηση μητρώων τα οποία προορίζονται, σύμφωνα με το εθνικό δίκαιο, για την ενημέρωση του κοινού και είναι προσιτά στο κοινό ή σε οποιοδήποτε πρόσωπο που μπορεί να επικαλεσθεί έννομο συμφέρον 7

ότι, ωστόσο, η απλούστευση της υποχρέωσης κοινοποίησης ή η εξαίρεση από αυτήν δεν απαλλάσσει τον υπεύθυνο της επεξεργασίας από καμία άλλη υποχρέωση που απορρέει από την παρούσα οδηγία 7

ότι ο εκ των υστέρων έλεγχος εκ μέρους των αρμοδίων αρχών πρέπει γενικά να θεωρείται ως επαρκές μέτρο 7

ότι τα κράτη μέλη μπορούν να πραγματώσουν τη προστασία των προσώπων τόσο με γενικό νόμο περί προστασίας των προσώπων κατά τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα, είτε με ειδικό νόμο, π.χ. περί της στατιστικής υπηρεσίας 7

ότι, πάντως, ορισμένες επεξεργασίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους από άποψη δικαιωμάτων και ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα, λόγω της φύσεως, της έκτασης ή του σκοπού τους, που μπορεί να είναι, λόγου χάρη, ο αποκλεισμός προσώπων από την απόλαυση ενός δικαιώματος, μιας παροχής ή συμβάσεως, ή λόγω της ιδιαίτερης χρήσης νέας τεχνολογίας 7 ότι τα κράτη μέλη, εάν το επιθυμούν, μπορούν να προσδιορίζουν στη νομοθεσία τους τους κινδύνους αυτούς 7

ότι, σε σχέση με το σύνολο των εκτελούμενων επεξεργασιών, ο αριθμός των επεξεργασιών που παρουσιάζουν ιδιαίτερους κινδύνους θα πρέπει να είναι πολύ περιορισμένος 7 ότι τα κράτη μέλη πρέπει να προβλέπουν για τις επεξεργασίες αυτές έλεγχο από την αρχή ελέγχου ή από το πρόσωπο που είναι επιφορτισμένο με την προστασία των δεδομένων, σε συνεργασία με την αρχή ελέγχου, ο οποίος θα προηγείται της επεξεργασίας 7 ότι μετά τον έλεγχο, η αρχή ελέγχου μπορεί, σύμφωνα με την εθνική της νομοθεσία, να δώσει γνώμη ή έγκριση όσον αφορά την επεξεργασία των δεδομένων 7 ότι μια τέτοια εξέταση μπορεί επίσης να διενεργηθεί στα πλαίσια της προπαρασκευής νομοθετικού μέτρου θεσπιζομένου από το εθνικό κοινοβούλιο ή βάσει τέτοιου μέτρου, το οποίο καθορίζει τη φύση της επεξεργασίας και τις κατάλληλες εγγυήσεις 7

ότι, στην περίπτωση κατά την οποία ο υπεύθυνος της επεξεργασίας δεν σέβεται τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, οι εθνικές νομοθεσίες πρέπει να προβλέπουν τη δυνατότητα προσφυγής ενώπιον δικαστηρίου 7 ότι οι ζημιές τις οποίες ενδέχεται να υποστούν τα πρόσωπα από αθέμιτη επεξεργασία πρέπει να αποκαθίστανται από τον υπεύθυνο της επεξεργασίας, ο οποίος μπορεί να απαλλαγεί από την ευθύνη του μόνον αν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός, ιδίως λόγω πταίσματος του ενδιαφερομένου ή ανωτέρας βίας 7 ότι πρέπει να εφαρμόζονται κυρώσεις έναντι κάθε προσώπου, είτε ιδιωτικού είτε δημοσίου δικαίου, το οποίο δεν τηρεί τις εθνικές διατάξεις που έχουν θεσπιστεί κατ' εφαρμογή της παρούσας οδηγίας 7

ότι η διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την ανάπτυξη των διεθνών συναλλαγών 7 ότι η προστασία των προσώπων την οποία εγγυάται στην Κοινότητα η παρούσα οδηγία δεν αντιτίθεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες που παρέχουν ικανοποιητικό επίπεδο προστασίας 7 ότι το ικανοποιητικό επίπεδο της προστασίας που παρέχεται από τρίτη χώρα πρέπει να κρίνεται υπό το φως όλων των περιστάσεων των σχετικών με μια διαβίβαση ή μια κατηγορία διαβιβάσεων 7

ότι, αντίθετα, όταν μια τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται 7

ότι πρέπει να προβλέπονται εξαιρέσεις σε ορισμένες περιπτώσεις, όταν το ενδιαφερόμενο πρόσωπο έχει δώσει τη συναίνεσή του ή όταν η διαβίβαση είναι απαραίτητη σε συνάρτηση με σύμβαση ή δικαστική υπόθεση ή για την προστασία δημοσίου συμφέροντος, π.χ. σε διεθνείς διαβιβάσεις δεδομένων μεταξύ φορολογικών ή τελωνειακών αρχών υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλειας, ή όταν η διαβίβαση γίνεται από μητρώο που έχει συσταθεί διά νόμου και προορίζεται για έρευνες από το κοινό ή πρόσωπα που έχουν έννομο συμφέρον 7 ότι η διαβίβαση αυτή δεν πρέπει να αφορά το σύνολο ή κατηγορίες των δεδομένων του σχετικού μητρώου 7 ότι, εφόσον ένα μητρώο προορίζεται για έρευνες από πρόσωπα που έχουν έννομο συμφέρον, η διαβίβαση πρέπει να είναι δυνατή μόνο κατ' αίτηση των προσώπων αυτών ή όταν παραλήπτες είναι τα εν λόγω πρόσωπα 7

ότι μπορούν να ληφθούν ειδικά μέτρα προκειμένου να καλυφθεί η ανεπάρκεια της προστασίας σε τρίτη χώρα, όταν ο υπεύθυνος της επεξεργασίας παρέχει τις κατάλληλες εγγυήσεις 7 ότι πρέπει, εξάλλου, να προβλέπονται διαδικασίες διαπραγματεύσεων μεταξύ Κοινότητας και των εν λόγω τρίτων χωρών 7

ότι, σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες μπορούν να πραγματοποιούνται μόνον εφόσον τηρούνται απολύτως οι διατάξεις που έχουν θεσπίσει τα κράτη μέλη κατ' εφαρμογή της παρούσας οδηγίας, και ιδίως του άρθρου 8 7

ότι τα κράτη μέλη και η Επιτροπή πρέπει, στους τομείς της αρμοδιότητάς τους, να ενθαρρύνουν τους επαγγελματικούς κύκλους να καταρτίζουν κοινοτικούς κώδικες δεοντολογίας, ώστε να διευκολυνθεί, λαμβανομένων υπόψη των ιδιομορφιών της επεξεργασίας σε ορισμένους τομείς, η εφαρμογή της παρούσας οδηγίας σύμφωνα με τις εθνικές διατάξεις που θεσπίζονται προς το σκοπό αυτό 7

ότι η σύσταση σε κάθε κράτος μέλος ανεξαρτήτων αρχών ελέγχου αποτελεί ουσιώδες στοιχείο της προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα 7

ότι οι αρχές αυτές πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, μεταξύ των οποίων και εξουσίες διεξαγωγής έρευνας ή παρέμβασης, ειδικότερα σε περίπτωση ατομικών προσφυγών, καθώς και την ικανότητα του παρίστασθαι ενώπιον του δικαστηρίου 7 ότι η ίδια αυτή αρχή πρέπει να συμβάλλει στη διαφάνεια των επεξεργασιών που εκτελούνται στο κράτος μέλος στο οποίο υπάγεται 7

ότι οι αρχές των διαφόρων κρατών μελών καλούνται να παρέχουν αμοιβαία συνδρομή κατά την εκτέλεση των καθηκόντων τους, ώστε οι κανόνες προστασίας να τηρούνται πλήρως στην Ευρωπαϊκή Ένωση 7

ότι, σε κοινοτικό επίπεδο, πρέπει να συσταθεί μία ομάδα προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα η οποία θα πρέπει να ασκεί τα καθήκοντά της με πλήρη ανεξαρτησία 7 ότι, λαμβανομένου υπόψη του ειδικού της χαρακτήρα, η ομάδα πρέπει να συμβουλεύει την Επιτροπή και να συμβάλλει κυρίως στην ομοιογενή εφαρμογή των εθνικών κανόνων που θεσπίζονται κατ' εφαρμογή της παρούσας οδηγίας 7

ότι, για τη διαβίβαση δεδομένων προς τρίτες χώρες, η εφαρμογή της παρούσας οδηγίας προϋποθέτει ότι θα δοθούν εκτελεστικές αρμοδιότητες στην Επιτροπή και θα συσταθεί διαδικασία σύμφωνα με τις διατυπώσεις που ορίζονται στην απόφαση 87/373/EOK του Συμβουλίου (4) 7

ότι οι αρχές της παρούσας οδηγίας περί προστασίας των δικαιωμάτων και των ελευθεριών των προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα μπορούν να συμπληρώνονται ή να διευκρινίζονται, ιδίως για ορισμένους τομείς, με ειδικούς κανόνες σύμφωνους προς τις αρχές αυτές 7

ότι είναι σκόπιμο να δοθεί στα κράτη μέλη προθεσμία, μη δυνάμενη να υπερβεί τα τρία έτη από της ενάρξεως ισχύος των εθνικών μέτρων, για τη μεταφορά στο εθνικό δίκαιο της παρούσας οδηγίας, προκειμένου να μπορέσουν να εφαρμόσουν σταδιακά, στο σύνολο των ήδη εκτελουμένων επεξεργασιών, τις εν λόγω νέες εθνικές διατάξεις 7 ότι, για να επιτευχθεί καλή σχέση κόστους-αποτελεσματικότητας κατά την εφαρμογή των διατάξεων αυτών, τα κράτη μέλη μπορούν να προβλέψουν συμπληρωματική περίοδο, που θα λήγει δώδεκα έτη μετά την ημερομηνία έκδοσης της παρούσας οδηγίας, προκειμένου να συμμορφωθούν προς ορισμένες διατάξεις της οδηγίας τα χειρόγραφα αρχεία τα οποία θα υπάρχουν ήδη κατά την ημερομηνία αυτή 7 ότι, όταν τα δεδομένα που περιέχονται στα αρχεία αυτά υφίστανται διά χειρός επεξεργασία που φέρει αποτελέσματα εντός της συμπληρωματικής μεταβατικής περιόδου, η συμμόρφωση προς τις προαναφερόμενες διατάξεις πρέπει να πραγματοποιείται κατά την εκτέλεση της επεξεργασίας 7

ότι δεν απαιτείται νέα συναίνεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για να μπορεί ο υπεύθυνος να συνεχίσει, μετά την έναρξη ισχύος των εθνικών διατάξεων που θεσπίζονται κατ' εφαρμογή της παρούσας οδηγίας, επεξεργασία ευαίσθητων δεδομένων απαιτούμενη για την εκτέλεση συμβάσεως η οποία έχει συναφθεί ελεύθερα και εν γνώσει πριν από την έναρξη ισχύος των εν λόγω διατάξεων 7

ότι η παρούσα οδηγία δεν εμποδίζει ένα κράτος μέλος να ρυθμίζει τις δραστηριότητες εμπορικής ή διαφημιστικής έρευνας που έχουν για προορισμό τους καταναλωτές οι οποίοι κατοικούν στο έδαφός του, εφόσον αυτή η ρύθμιση δεν αφορά την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα 7

ότι η οδηγία επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των κανόνων της,

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Στόχος της οδηγίας

1. Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2. Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.

Άρθρο 2

Ορισμοί

Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:

α) «δεδομένα προσωπικού χαρακτήρα», κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί («το πρόσωπο στο οποίο αναφέρονται τα δεδομένα») 7 ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική ή κοινωνική 7

β) «επεξεργασία δεδομένων προσωπικού χαρακτήρα» («επεξεργασία»), κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η κατεργασία ή η τροποποίηση, η εξαγωγή, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, η δέσμευση, η διαγραφή ή η καταστροφή 7

γ) «αρχείο δεδομένων προσωπικού χαρακτήρα» («αρχείο»), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα προσιτών με βάση συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο κατά λειτουργικό ή γεωγραφικό τρόπο 7

δ) «υπεύθυνος της επεξεργασίας», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από εθνικό ή το κοινοτικό δίκαιο 7

ε) «εκτελών την επεξεργασία», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας 7

στ) «τρίτοι», το φυσικό ή νομικό πρόσωπο, η δημόσια αχρή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο εκτελών την επεξεργασία, καθώς και τα πρόσωπα που, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα 7

ζ) «αποδέκτης», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο ανακοινώνονται τα δεδομένα, είτε πρόκειται για τρίτο είτε όχι. Ωστόσο, οι αρχές στις οποίες ενδέχεται να ανακοινωθούν δεδομένα στα πλαίσια ειδικής ερευνητικής αποστολής δεν θεωρούνται ως αποδέκτες 7

η) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα», κάθε βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

Άρθρο 3

Πεδίο εφαρμογής

1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχεία.

2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

- η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της συνθήκης για την Ευρωπαϊκή Ένωση, και εν πάση περιπτώσει στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια και οικονομική ευημερία του κράτους και τις δραστηριότητες του κράτους σε τομέα του ποινικού δικαίου,

- η οποία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων.

Άρθρο 4

Εφαρμοστέο εθνικό δίκαιο

1. Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α) η οποία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία 7

β) ο υπεύθυνος της οποίας δεν είναι εγκατεστημένος στο έδαφος του κράτους μέλους, αλλά σε τόπο όπου εφαρμόζεται η εθνική του νομοθεσία δυνάμει του δημοσίου διεθνούς δικαίου 7

γ) ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της Κοινότητας και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στο έδαφος του εν λόγω κράτους μέλους, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση από το έδαφος της Ευρωπαϊκής Κοινότητας.

2. Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο γ), ο υπεύθυνος της επεξεργασίας πρέπει να υποδείξει έναν αντιπρόσωπο εγκατεστημένο στο έδαφος του εν λόγω κράτους μέλους. Δεν θίγεται η τυχόν άσκηση αγωγής κατά του ιδίου του υπευθύνου της επεξεργασίας.

ΚΕΦΑΛΑΙΟ II ΓΕΝΙΚΕΣ ΠΡΟΫΠΟΘΕΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗ ΘΕΜΙΤΗ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 5

Τα κράτη μέλη καθορίζουν, εντός των ορίων του παρόντος κεφαλαίου, τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.

Τμήμα I Αρχές που πρέπει να τηρούνται ως προς την ποιότητα των δεδομένων

Άρθρο 6

1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α) να υφίστανται σύννομη και θεμιτή επεξεργασία 7

β) να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η μεταγενέστερη επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θεωρείται ασυμβίβαστη, εφόσον τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις 7

γ) να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία 7

δ) να είναι ακριβή και, εφόσον χρειάζεται, να ενημερώνονται 7 πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα ανακριβή ή ελλιπή σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται κατόπιν επεξεργασία, να διαγράφονται ή να διορθώνονται 7

ε) να διατηρούνται με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται μόνο κατά τη διάρκεια περιόδου που δεν υπερβαίνει την απαιτούμενη για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή για τους οποίους αργότερα υφίστανται επεξεργασία. Τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται πέραν της περιόδου αυτής για σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς.

2. Εναπόκειται στον υπεύθυνο της επεξεργασίας να εξασφαλίσει την τήρηση της παραγράφου 1.

Τμήμα II Αρχές σχετικά με τις βάσεις της επεξεργασίας δεδομένων

Άρθρο 7

Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του, ή

β) είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του, ή

γ) είναι απαραίτητα για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας, ή

δ) είναι απαραίτητη για τη διαφύλαξη βιοτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή

ε) είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος ή εμπίπτοντος στην άσκηση δημοσίας εξουσίας, το οποίο έχει ανατεθεί στον υπεύθυνο της επεξεργασίας ή στον τρίτο στον οποίο ανακοινώνονται τα δεδομένα, ή

στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1 παράγραφος 1 της παρούσας οδηγίας.

Τμήμα III Ειδικές κατηγορίες επεξεργασίας

Άρθρο 8

Επεξεργασία ειδικών κατηγοριών δεδομένων

1. Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και την υγεία και τη σεξουαλική ζωή.

2. Η παράγραφος 1 δεν ισχύει εφόσον:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει ρητά τη συγκατάθεσή του για την επεξεργασία, εκτός αν η νομοθεσία του κράτους μέλους ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση της παραγράφου 1, ή

β) η επεξεργασία είναι απαραίτητη προκειμένου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας στον τομέα του εργατικού δικαίου, στο βαθμό που το επιτρέπει η εθνική νομοθεσία η οποία προβλέπει επαρκείς εγγυήσεις, ή

γ) η επεξεργασία είναι απαραίτητη για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, αν ο ενδιαφερόμενος τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του, ή

δ) την επεξεργασία πραγματοποιεί ίδρυμα, σωματείο ή οποιοσδήποτε άλλος φορέας μη κερδοσκοπικός ο οποίος επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, εφόσον η επεξεργασία αφορά μόνον τα μέλη του ή πρόσωπα με τα οποία το ίδρυμα, το σωματείο ή ο φορέας διατηρεί, ως εκ του σκοπού του, τακτικές επαφές, και τα δεδομένα ανακοινώνονται σε τρίτους μόνον με τη συγκατάθεση των προσώπων στα οποία αναφέρονται, ή

ε) η επεξεργασία αφορά δεδομένα τα οποία προδήλως δημοσιοποιούνται από το πρόσωπο στο οποίο αναφέρονται ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου.

3. Η παράγραφος 1 δεν ισχύει εφόσον η επεξεργασία των δεδομένων τα οποία απαριθμεί είναι απαραίτητη για την ιατρική πρόληψη ή διάγνωση, την παροχή ιατροφαρμακευτικής αγωγής ή τη διαχείριση των ιατροφαρμακευτικών υπηρεσιών, η δε επεξεργασία των δεδομένων εκτελείται από κατ' επάγγελμα θεράποντα της υγείας υποκείμενο στο επαγγελματικό απόρρητο το οποίο προβλέπει το εθνικό δίκαιο ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση.

4. Εφόσον παρέχονται οι δέουσες εγγύησεις, τα κράτη μέλη δύνανται, όταν συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος, να θεσπίσουν και άλλες παρεκκλίσεις εκτός από τις προβλεπόμενες στην παράγραφο 2, είτε με εθνική νομοθετική διάταξη είτε με απόφαση της αρχής ελέγχου.

5. Η επεξεργασία δεδομένων σχετικών με παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής, ή εάν το εθνικό δίκαιο προβλέπει επαρκείς και ειδικές εγγυήσεις, με την επιφύλαξη ενδεχομένων παρεκκλίσεων τις οποίες ορίζει το κράτος μέλος επί τη βάσει εθνικών διατάξεων που παρέχουν τις ενδεδειγμένες ειδικές προς τούτο εγγυήσεις. Πάντως, η τήρηση πλήρους ποινικού μητρώου επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής.

Τα κράτη μέλη δύνανται να προβλέπουν ότι οι επεξεργασίες δεδομένων συναφών με διοικητικές ή δικαστικές αποφάσεις πρέπει ομοίως να εκτελούνται υπό τον έλεγχο της δημόσιας αρχής.

6. Οι παρεκκλίσεις από την παράγραφο 1 που προβλέπονται στις παραγράφους 4 και 5 κοινοποιούνται στην Επιτροπή.

7. Τα κράτη μέλη καθορίζουν τους όρους υπό τους οποίους επιτρέπεται η επεξεργασία του εθνικού αναγνωριστικού αριθμού ταυτότητας ή άλλων γενικότερων αναγνωριστικών της ταυτότητας στοιχείων.

Άρθρο 9

Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης

Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται αποκλειστικώς για δημοσιογραφικούς ή για καλλιτεχνική ή λογοτεχνική έκφραση, τα κράτη μέλη προβλέπουν τις εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις του παρόντος κεφαλαίου και του κεφαλαίου IV που αποδεικνύονται αναγκαίες προκειμένου το δικαίωμα της ιδιωτικής ζωής να συμβιβάζεται με τους κανόνες περί ελευθερίας έκφρασης.

Τμήμα IV Ενημέρωση του ενδιαφερομένου προσώπου

Άρθρο 10

Ενημέρωση σε περίπτωση συλλογής δεδομένων από το πρόσωπο στο οποίο αναφέρονται

Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί σχετικά:

α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7

β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα 7

γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:

- τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,

- το κατά πόσον η παροχή των δεδομένων είναι υποχρεωτική ή όχι, καθώς και τις ενδεχόμενες συνέπειες της άρνησης παροχής τους,

- την ύπαρξη δικαιώματος πρόσβασης στα συγκεκριμένα δεδομένα και δικαιώματος διόρθωσής τους,

εφόσον οι πληροφορίες αυτές είναι απαραίτητες λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Άρθρο 11

Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση καταχώρισής τους ή ανακοίνωσής τους σε τρίτους

1. Όταν τα δεδομένα δεν έχουν συλλεγεί από το πρόσωπο το οποίο αφορούν, τα κράτη μέλη προβλέπουν ότι, ευθύς ως καταχωριθούν τα δεδομένα ή, εάν προβλέπεται ανακοίνωσή τους σε τρίτους, το αργότερο κατά την πρώτη ανακοίνωσή τους, ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τις ακόλουθες πληροφορίες, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί:

α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7

β) τους σκοπούς της επεξεργασίας 7

γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:

- τις κατηγορίες των σχετικών δεδομένων,

- τους αποδέκτες ή τις κατηγορίες αποδεκτών,

- την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που το αφορούν, και δικαιώματος διόρθωσής τους,

εφόσον οι πληροφορίες αυτές είναι απαραίτητες λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται θεμιτή επεξεργασία, έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2. Οι διατάξεις της παραγράφου 1 δεν εφαρμόζονται όταν, ιδίως για επεξεργασία για σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας, η ενημέρωση του ενδιαφερομένου αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογες προσπάθειες ή εάν η καταχώριση ή η ανακοίνωση επιβάλλεται ρητώς από το νόμο. Στις περιπτώσεις αυτές, τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις.

Τμήμα V Δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Άρθρο 12

Δικαίωμα πρόσβασης

Τα κράτη μέλη εγγυώνται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα το δικαίωμα να λαμβάνουν από τον υπεύθυνο της επεξεργασίας:

1. ελεύθερα και χωρίς καταναγκασμό, σε εύλογα διαστήματα και χωρίς υπερβολική καθυστέρηση ή έξοδα:

- την επιβεβαίωση σχετικά με το εάν υπάρχει ή όχι επεξεργασία δεδομένων που τα αφορούν καθώς και πληροφορίες, τουλάχιστον σχετικά με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων υπό επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών στις οποίες ανακοινώνονται τα δεδομένα αυτά,

- τη γνωστοποίηση, με εύληπτο τρόπο, των δεδομένων υπό επεξεργασία, καθώς και των διαθέσιμών πληροφοριών σχετικά με την προέλευσή των,

- την ενημέρωση σχετικά με τη λογική που βασίζει κάθε αυτοματοποιημένη επεξεργασία των δεδομένων τα οποία αναφέρονται στα πρόσωπα αυτά, τουλάχιστον στην περίπτωση των αυτοματοποιημένων αποφάσεων του άρθρου 15 παράγραφος 1 7

2. κατά περίπτωση, τη διόρθωση, τη διαγραφή ή τη δέσμευση των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις της παρούσας οδηγίας, λόγω ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων 7

3. την ενημέρωση των τρίτων, στους οποίους έχουν ανακοινωθεί τα δεδομένα, για οποιαδήποτε διόρθωση, διαγραφή ή δέσμευση διενεργούμενη σύμφωνα με την παράγραφο 2, εφόσον αυτό δεν αποδεικνύεται αδύνατον ή δεν προϋποθέτει δυσανάλογες προσπάθειες.

Τμήμα VI Εξαιρέσεις και περιορισμοί

Άρθρο 13

Εξαιρέσεις και περιορισμοί

1. Τα κράτη μέλη μπορούν να περιορίζουν νομοθετικώς το πεδίο των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1, του άρθρου 10, του άρθρου 11 παράγραφος 1 και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:

α) της ασφάλειας του κράτους 7

β) της άμυνας 7

γ) της δημόσιας ασφάλειας 7

δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων 7

ε) σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων 7

στ) αποστολής ελέγχου, επιθεώρησης ή ρυθμιστικών καθηκόντων που συνδέεται, έστω και ευκαιριακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία γ), δ) και ε) 7

ζ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.

2. Υπό την επιφύλαξη των καταλλήλων νομικών εγγυήσεων, και ιδίως εκείνων που ορίζουν ότι τα δεδομένα δεν επιτρέπεται να χρησιμοποιηθούν για μέτρα ή αποφάσεις σχετικές με συγκεκριμένα πρόσωπα, τα κράτη μέλη μπορούν, ιδίως όταν σαφώς ελλείπει κάθε κίνδυνος να θιγεί η ιδιωτική ζωή του ενδιαφερομένου, να περιορίσουν νομοθετικώς τα δικαιώματα εκ του άρθρου 12 όταν η επεξεργασία δεδομένων γίνεται αποκλειστικά για επιστημονική έρευνα ή όταν εναποθηκεύονται υπό μορφή στοιχείων προσωπικού χαρακτήρα επί διάστημα μη υπερβαίνον το αναγκαίο προς κατάρτιση στατιστικών και μόνο.

Τμήμα VII Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Άρθρο 14

Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα

Τα κράτη μέλη αναγνωρίζουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα το δικαίωμα:

α) τουλάχιστον στις περιπτώσεις του άρθρου 7 στοιχεία ε) και στ), να αντιτάσσεται ανά πάσα στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν, εκτός εάν στην εθνική νομοθεσία ορίζεται άλλως. Σε περίπτωση αιτιολογημένης αντίταξης, η επεξεργασία δεν μπορεί πλέον να αφορά τα δεδομένα αυτά 7

β) να επιτυγχάνει, κατ' αίτησή του και δωρεάν, τη δέσμευση των δεδομένων προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί στα πλαίσια έρευνας μέσω του ταχυδρομείου, ή

να ενημερώνεται πριν από την πρώτη ανακοίνωση των δεδομένων προσωπικού χαρακτήρα σε τρίτους ή τη χρησιμοποίησή τους για λογαριασμό τρίτων με σκοπό τη διεξαγωγή έρευνας μέσω του ταχυδρομείου και να του παρέχεται ρητά το δικαίωμα να αντιταχθεί δωρεάν πριν την ανακοίνωση ή τη χρησιμοποίηση.

Τα κράτη μέλη μεριμνούν ώστε οι ενδιαφερόμενοι να γνωρίζουν την ύπαρξη του δικαίωματος που αναφέρεται στο πρώτο τμήμα του παρόντος στοιχείου β).

Άρθρο 15

Αυτοματοποιημένες ατομικές αποφάσεις

1. Τα κράτη μέλη παρέχουν σε κάθε πρόσωπο το δικαίωμα να μην συμμορφωθεί με απόφαση που παράγει νομικά αποτελέσματα έναντι αυτού ή το θίγει σημαντικά, εφόσον η εν λόγω απόφαση βασίζεται αποκλειστικώς σε αυτοματοποιημένη επεξεργασία που αξιολογεί ορισμένες πτυχές της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η αξιοπιστία του, η σταθερότητά του, η διαγωγή του κ.λπ.

2. Τα κράτη μέλη προβλέπουν, με την επιφύλαξη άλλων άρθρων της παρούσας οδηγίας, ότι ένα πρόσωπο μπορεί να υποχρεωθεί να συμμορφωθεί με μία από τις αποφάσεις που αναφέρονται στην παράγραφο 1, εάν η εν λόγω απόφαση:

α) έχει ληφθεί στο πλαίσιο της σύναψης ή της εκτέλεσης συμβάσεως, εφόσον το σχετικό αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα έχει ικανοποιηθεί, ή όταν πρόσφορα μέτρα, στα οποία περιλαμβάνεται η δυνατότητα να αναπτύξει την άποψή του, κατοχυρώνουν το έννομο συμφέρον του, ή

β) επιτρέπεται από νόμο που καθορίζει τα μέτρα τα οποία κατοχυρώνουν το έννομο συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Τμήμα VIII Απόρρητο και ασφάλεια της επεξεργασίας

Άρθρο 16

Απόρρητο της επεξεργασίας

Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, περιλαμβανομένου του ιδίου του εκτελούντος την επεξεργασία, και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μπορεί να τα επεξεργασθεί μόνο κατ' εντολή του υπευθύνου της επεξεργασίας, εκτός εάν υποχρεούται από το νόμο.

Άρθρο 17

Ασφάλεια της επεξεργασίας

1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία από την τυχαία ή αθέμιτη καταστροφή, την τυχαία απώλεια, την αλλοίωση, την απαγορευμένη διάδοση ή πρόσβαση, ιδίως εάν η επεξεργασία συμπεριλαμβάνει και διαβίβαση των δεδομένων μέσω δικτύου, και από κάθε άλλη μορφή αθέμιτης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, ένα επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που απορρέουν από την επεξεργασία και τη φύση των προστατευομένων δεδομένων.

2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας οφείλει, σε περίπτωση επεξεργασίας για λογαριασμό του, να επιλέγει προς εκτέλεση της επεξεργασίας πρόσωπο το οποίο παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα τεχνικής ασφάλειας και οργάνωσης της επεξεργασίας και να εξασφαλίζει την τήρηση των μέτρων αυτών.

3. Η εκτέλεση επεξεργασίας μέσω άλλου προσώπου πρέπει να διέπεται από σύμβαση ή δικαιοπραξία που συνδέει τον εκτελούντα με τον υπεύθυνο της επεξεργασίας και προβλέπει ιδίως:

- ότι ο εκτελών την επεξεργασία ενεργεί μόνον κατ' εντολή του υπευθύνου της επεξεργασίας,

- ότι οι υποχρεώσεις που προβλέπονται στην παράγραφο 1, όπως ορίζονται από τη νομοθεσία του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εκτελών την επεξεργασία, βαρύνουν και τον εκτελούντα την επεξεργασία.

4. Για αποδεικτικούς λόγους, τα τμήματα της σύμβασης ή δικαιοπραξίας που αφορούν την προστασία των δεδομένων και τις απαιτήσεις σχετικά με τα μέτρα που προβλέπονται στην παράγραφο 1 καταρτίζονται εγγράφως ή σε άλλη ανάλογη μορφή.

Τμήμα IX Κοινοποίηση

Άρθρο 18

Η υποχρέωση κοινοποίησης προς την αρχή ελέγχου

1. Τα κράτη μέλη προβλέπουν ότι η κοινοποίηση πραγματοποιείται από τον υπεύθυνο της επεξεργασίας ή από τον τυχόν αντιπρόσωπό του προς την αρχή ελέγχου του άρθρου 28, πριν από την εκτέλεση μιας επεξεργασίας ή συνόλου επεξεργασιών, αυτοματοποιημένων εν όλω ή εν μέρει, με στόχο την επίτευξη ενός ή περισσότερων συναφών σκοπών.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι η κοινοποίηση απλουστεύεται ή αποτελεί αντικείμενο εξαιρέσεως μόνο στις ακόλουθες περιπτώσεις και υπό τους ακόλουθους όρους:

- εφόσον, για κατηγορίες επεξεργασιών μη δυναμένων να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, λαμβανομένων υπόψη των υπό επεξεργασία δεδομένων, καθορίζουν τους σκοπούς της επεξεργασίας, τα δεδομένα ή τις κατηγορίες των δεδομένων υπό επεξεργασία, την ή τις κατηγορίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τον αποδέκτη ή τις κατηγορίες αποδεκτών στους οποίους πρόκειται να ανακοινωθούν τα δεδομένα και τη διάρκεια αποθήκευσης των δεδομένων ή/και,

- εφόσον ο υπεύθυνος της επεξεργασίας ορίζει, σύμφωνα με το εθνικό δίκαιο στο οποίο υπόκειται, έναν υπεύθυνο για την προστασία των δεδομένων προσωπικού χαρακτήρα, ο οποίος έχει ως καθήκον ιδίως:

- να διασφαλίζει, κατ' ανεξάρτητο τρόπο, την εσωτερική εφαρμογή των εθνικών διατάξεων που θεσπίζονται κατ' εφαρμογήν της παρούσας οδηγίας,

- να τηρεί μητρώο των επεξεργασιών που εκτελούνται από τον υπεύθυνο της επεξεργασίας, όπου περιλαμβάνονται οι πληροφορίες που αναφέρονται στο άρθρο 21 παράγραφος 2,

ώστε να εξασφαλίζεται κατ' αυτόν τον τόπο ότι η επεξεργασία δεν δύναται να θίξει τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.

3. Τα κράτη μέλη μπορούν να προβλέπουν ότι η παράγραφος 1 δεν εφαρμόζεται στην επεξεργασία με μοναδικό αντικείμενο την τήρηση μητρώου το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό για έρευνες είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον.

4. Τα κράτη μέλη μπορούν να εξαιρούν από την υποχρέωση κοινοποίησης ή να ορίσουν απλοποιημένη κοινοποίηση όταν πρόκειται για τις επεξεργασίες που προβλέπονται στο άρθρο 8 παράγραφος 2 στοιχείο δ).

5. Τα κράτη μέλη μπορούν να προβλέπουν ότι όλες οι μη αυτοματοποιημένες επεξεργασίες δεδομένων προσωπικού χαρακτήρα, ή ορισμένες εξ αυτών, κοινοποιούνται κατά τρόπο ενδεχομένως απλουστευμένο.

Άρθρο 19

Περιεχόμενο της κοινοποίησης

1. Τα κράτη μέλη καθορίζουν τις πληροφορίες που πρέπει να περιλαμβάνονται στην κοινοποίηση. Αυτές περιλαμβάνουν τουλάχιστον:

α) το όνομα και τη διεύθυνση του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7

β) τον ή τους σκοπούς της επεξεργασίας 7

γ) περιγραφή της ή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των δεδομένων ή των κατηγοριών δεδομένων που αφορούν τα πρόσωπα αυτά 7

δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ενδέχεται να ανακοινωθούν τα δεδομένα 7

ε) την προβλεπόμενη διαβίβαση δεδομένων προς τρίτες χώρες 7

στ) γενική περιγραφή που επιτρέπει να εκτιμηθεί κατά πόσον ενδείκνυνται τα μέτρα που έχουν ληφθεί ώστε να διασφαλίζεται η ασφάλεια της επεξεργασίας κατ' εφαρμογή του άρθρου 17.

2. Τα κράτη μέλη καθορίζουν τις διαδικασίες με τις οποίες κοινοποιούνται στην αρχή ελέγχου οι μεταβολές που επηρεάζουν τις αναφερόμενες στην παράγραφο 1 πληροφορίες.

Άρθρο 20

Προηγούμενοι έλεγχοι

1. Τα κράτη μέλη ορίζουν τις επεξεργασίες που ενέχουν ειδικούς κινδύνους για τα δικαιώματα και τις ελευθερίες των ενδιαφερομένων και μεριμνούν ώστε οι επεξεργασίες να ελέγχονται πριν την εφαρμογή τους.

2. Οι προηγούμενοι αυτοί έλεγχοι διενεργούνται από την ελέγχουσα αρχή μετά την παραλαβή της σχετικής κοινοποιήσης του υπευθύνου της επεξεργασίας ή του υπευθύνου για την προστασία των δεδομένων, οι οποίοι σε περίπτωση αμφιβολίας πρέπει να συμβουλεύονται την αρχή αυτή.

3. Τα κράτη μέλη μπορούν επίσης να διενεργούν τον έλεγχο αυτό στα πλαίσια της προπαρασκευής νομοθετικού μέτρου του Κοινοβουλίου ή μέτρου βασιζομένου επ' αυτό, το οποίο καθορίζει τη φύση της επεξεργασίας και τις κατάλληλες εγγυήσεις.

Άρθρο 21

Δημοσιότητα των επεξεργασιών

1. Τα κράτη μέλη λαμβάνουν μέτρα που διασφαλίζουν τη δημοσιότητα των επεξεργασιών.

2. Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου τηρεί το μητρώο των επεξεργασιών που κοινοποιούνται δυνάμει του άρθρου 18.

Το μητρώο περιλαμβάνει τουλάχιστον τις πληροφορίες που απαριθμούνται στο άρθρο 19 παράγραφος 1 στοιχεία α) έως ε).

Οποιοσδήποτε μπορεί να συμβουλεύεται το μητρώο.

3. Τα κράτη μέλη προβλέπουν, όσον αφορά τις επεξεργασίες που δεν υπόκεινται σε κοινοποίηση, ότι ο υπεύθυνος της επεξεργασίας ή άλλος φορέας οριζόμενος από τα κράτη μέλη κοινοποιεί καταλλήλως τουλάχιστον τις πληροφορίες που αναφέρονται στο άρθρο 19 παράγραφος 1 στοιχεία α) έως ε), σε όποιο πρόσωπο το ζητήσει.

Τα κράτη μέλη μπορούν να προβλέπουν ότι η παρούσα διάταξη δεν εφαρμόζεται στις επεξεργασίες που έχουν ως μοναδικό αντικείμενο την τήρηση μητρώου το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον.

ΚΕΦΑΛΑΙΟ III ΕΝΔΙΚΑ ΜΕΣΑ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 22

Μέσα προσφυγής

Με την επιφύλαξη ενδεχόμενης άσκησης διοικητικής προσφυγής, ιδίως ενώπιον της αρχής ελέγχου που αναφέρεται στο άρθρο 28, προτού επιληφθεί η δικαστική αρχή, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.

Άρθρο 23

Ευθύνη

1. Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο θιγόμενο από αθέμιτη επεξεργασία ή κάθε άλλη ενέργεια που δεν συμβιβάζεται με τις εθνικές διατάξεις εφαρμογής της παρούσας οδηγίας έχει δικαίωμα αποκατάστασης της επελθούσας ζημίας από τον υπεύθυνο της επεξεργασίας.

2. Ο υπεύθυνος της επεξεργασίας μπορεί να απαλλαγεί της ευθύνης αυτής, εν μέρει ή εν όλω, εάν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός.

Άρθρο 24

Κυρώσεις

Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και προβλέπουν, ιδίως, κυρώσεις για παράβαση των διατάξεων εφαρμογής της.

ΚΕΦΑΛΑΙΟ IV ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ

Άρθρο 25

Αρχές

1. Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

2. Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβάνομένων υπόψη όλων των περιστάσεων που επηρεάζουν μία διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων 7 ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκειά της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία οσάκις θεωρούν ότι μία τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2.

4. Όταν η Επιτροπή διαπιστώνει, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μία τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε να αποφευχθεί οποιαδήποτε διαβίβαση τέτοιου είδους δεδομένων προς την εν λόγω τρίτη χώρα.

5. Η Επιτροπή αρχίζει την κατάλληλη στιγμή διαπραγματεύσεις ώστε να επανορθωθεί η κατάσταση που προκύπτει από τη διαπίστωση που έχει γίνει κατ' εφαρμογήν της παραγράφου 4.

6. Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μία τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.

Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.

Άρθρο 26

Παρεκκλίσεις

1. Κατά παρέκκλιση από το άρθρο 25, και με την επιφύλαξη αντιθέτων διατάξεων της εθνικής νομοθεσίας που διέπουν κατ' ιδίαν περιπτώσεις, τα κράτη μέλη προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2, μπορεί να πραγματοποιηθεί εφόσον:

1) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητώς στη διαβίβαση, ή

2) η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων κατ' αίτηση του προσώπου αυτού, ή

3) η διαβίβαση είναι απαραίτητη για τη συνομολόγηση ή την εκτέλεση σύμβασης που έχει συναφθεί ή πρόκειται να συναφθεί μεταξύ του υπευθύνου επεξεργασίας και τρίτου προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή

4) η διαβίβαση είναι απαραίτητη για τη διασφάλιση σημαντικού δημοσίου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώματος ενώπιον του δικαστήριου, ή

5) η διαβίβαση είναι απαραίτητη για τη διασφάλιση βιοτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή

6) η διαβίβαση πραγματοποιείται από δημόσιο μητρώο το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι σχετικές νόμιμες προϋποθέσεις.

2. Με την επιφύλαξη της παραγράφου 1, ένα κράτος μέλος μπορεί να επιτρέπει μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2 εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις περί την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων και την άσκηση των σχετικών δικαιωμάτων 7 οι εγγυήσεις μπορούν, ιδίως, να απορρέουν από κατάλληλες συμβατικές ρήτρες.

3. Το κράτος μέλος ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη για τις άδειες που χορηγεί κατ' εφαρμογήν της παραγράφου 2.

Εάν διατυπωθεί από άλλο κράτος μέλος ή την Επιτροπή ένσταση δεόντως αιτιολογημένη από άποψη προστασίας της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, η Επιτροπή θεσπίζει τα κατάλληλα μέτρα με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2.

Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.

4. Εάν η Επιτροπή αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι ορισμένες τυποποιημένες συμβατικές ρήτρες παρέχουν τις επαρκείς εγγυήσεις που αναφέρονται στην παράγραφο 2, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να συμμορφωθούν προς την απόφαση της Επιτροπής.

ΚΕΦΑΛΑΙΟ V ΚΩΔΙΚΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ

Άρθρο 27

1. Τα κράτη μέλη και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν να συμβάλουν, ανάλογα με τις τομεακές ιδιομορφίες, στην ορθή εφαρμογή των εθνικών διατάξεων που θεσπίζουν τα κράτη μέλη κατ' εφαρμογή της παρούσας οδηγίας.

2. Τα κράτη μέλη προβλέπουν ότι τα επαγγελματικά σωματεία και λοιπές οργανώσεις, οι οποίες εκπροσωπούν άλλες κατηγορίες υπευθύνων επεξεργασίας που έχουν εκπονήσει σχέδια εθνικών κωδικών ή σκοπεύουν να τροποποιήσουν ή να παρατείνουν ισχύοντες εθνικούς κώδικες, μπορούν να τους υποβάλουν προς εξέταση στην εθνική αρχή.

Τα κράτη μέλη προβλέπουν ότι η αρχή αυτή ελέγχει, μεταξύ άλλων, εάν τα υποβαλλόμενα σχέδια είναι σύμφωνα προς τις εθνικές διατάξεις που έχουν θεσπισθεί κατ' εφαρμογή της παρούσας οδηγίας. Εφόσον το κρίνει, η εν λόγω αρχή συγκεντρώνει τις παρατηρήσεις προσώπων στα οποία αναφέρονται τα δεδομένα, ή των αντιπροσώπων τους.

3. Τα σχέδια κοινοτικών κωδίκων, καθώς και οι τροποποιήσεις ή παρατάσεις ισχυόντων κοινοτικών κωδίκων, μπορούν να υποβάλλονται στην ομάδα που αναφέρεται στο άρθρο 29. Η ομάδα αυτή αποφασίζει, μεταξύ άλλων, κατά πόσον τα υποβαλλόμενα σχέδια είναι σύμφωνα προς τις εθνικές διατάξεις που έχουν θεσπισθεί κατ' εφαρμογή της παρούσας οδηγίας. Εφόσον το κρίνει σκόπιμο, συγκεντρώνει τις παρατηρήσεις των προσώπων στα οποία αναφέρονται τα δεδομένα, ή των αντιπροσώπων τους. Η Επιτροπή μπορεί να εξασφαλίσει τη δέουσα δημοσιότητα στους κώδικες που εγκρίθηκαν από την ομάδα.

ΚΕΦΑΛΑΙΟ VI ΑΡΧΗ ΕΛΕΓΧΟΥ ΚΑΙ ΟΜΑΔΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 28

Αρχή ελέγχου

1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ' εφαρμογή της παρούσας οδηγίας.

Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.

2. Κάθε κράτος μέλος προβλέπει ότι ζητείται η γνώμη των αρχών ελέγχου κατά την κατάρτιση των διοικητικών ή κανονιστικών μέτρων που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι τηε επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

3. Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

- μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικάιωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,

- αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, ακόμα να απαγορεύει προσωρινά ή οριστικά την επεξεργασία, την εξουσία να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή την εξουσία να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,

- την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων εφαρμογής της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.

Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.

4. Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.

Κάθε πρόσωπο μπορεί, ιδίως, να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της παρούσας οδηγίας. Ο αιτών πληροφορείται εν πάση περιπτώσει ότι έχει διενεργηθεί έλεγχος.

5. Κάθε αρχή ελέγχου υποβάλλει τακτικά έκθεση δραστηριοτήτων, η οποία δημοσιεύεται.

6. Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί από αρχή άλλου κράτους μέλους να ασκήσει τις δικές της εξουσίες.

Οι αρχές ελέγχου έχουν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή χρήσιμων πληροφοριών.

7. Τα κράτη μέλη προβλέπουν ότι τα μέλη και οι υπάλληλοι των αρχών ελέγχου δεσμεύονται ακόμα και μετά την παύση των δραστηριοτήτων τους από το επαγγελματικό απόρρητο, όσον αφορά τις εμπιστευτικές πληροφορίες στις οποίες έχουν πρόσβαση.

Άρθρο 29

Ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

1. Συνιστάται ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ονομαζόμενη εφεξής «η ομάδα».

Η ομάδα αυτή έχει συμβουλευτικό χαρακτήρα και είναι ανεξάρτητη.

2. Η ομάδα απαρτίζεται από έναν αντιπρόσωπο της ή των αρχών ελέγχου που έχει ορίσει κάθε κράτος μέλος, έναν αντιπρόσωπο της ή των αρχών που έχουν συσταθεί για τα κοινοτικά όργανα και φορείς, καθώς και έναν αντιπρόσωπο της Επιτροπής.

Κάθε μέλος της ομάδας διορίζεται από το θεσμικό όργανο, την αρχή ή τις αρχές που εκπροσωπεί. Όταν ένα κράτος μέλος ορίζει περισσότερες αρχές ελέγχου, αυτές διορίζουν κοινό αντιπρόσωπο. Το ίδιο ισχύει όσον αφορά τις αρχές που έχουν συσταθεί για τα κοινοτικά όργανα και φορείς.

3. Η ομάδα λαμβάνει τις αποφάσεις της με απλή πλειοψηφία των αντιπροσώπων των αρχών ελέγχου.

4. Η ομάδα εκλέγει τον πρόεδρό της. Η διάρκεια της θητείας του προέδρου είναι διετής. Η θητεία είναι ανανεώσιμη.

5. Τη γραμματεία της ομάδας αναλαμβάνει η Επιτροπή.

6. Η ομάδα καταρτίζει τον εσωτερικό της κανονισμό.

7. Η ομάδα εξετάζει τα θέματα που εγγράφονται στην ημερήσια διάταξη από τον πρόεδρό της, είτε κατόπιν πρωτοβουλίας του, είτε κατόπιν αιτήσεως αντιπροσώπου των αρχών ελέγχου, ή της Επιτροπής.

Άρθρο 30

1. Η ομάδα έχει ως αποστολή:

α) να εξετάζει οποιοδήποτε θέμα σχετικό με την εφαρμογή των εθνικών διατάξεων που έχουν θεσπισθεί κατ' εφαρμογή της παρούσας οδηγίας, ώστε να συμβάλλει στην ομοιόμορφη εφαρμογή τους 7

β) να δίνει στην Επιτροπή τη γνώμη της σχετικά με το επίπεδο προστασίας στην Κοινότητα και στις τρίτες χώρες 7

γ) να συμβουλεύει την Επιτροπή για κάθε σχέδιο τροποποιήσεως της παρούσας οδηγίας, κάθε σχέδιο συμπληρωματικών ή ειδικών μέτρων που πρέπει να ληφθούν για τη διασφάλιση των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και για κάθε άλλο σχέδιο κοινοτικών μέτρων που έχουν επιπτώσεις επί αυτών των δικαιωμάτων και ελευθεριών 7

δ) να γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε κοινοτικό επίπεδο.

2. Αν η ομάδα διαπιστώσει αποκλίσεις μεταξύ της νομοθεσίας ή της πρακτικής των κρατών μελών, οι οποίες μπορεί ενδεχομένως να αποβούν επιζήμιες για την ισοτιμία της προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα, ενημερώνει σχετικά την Επιτροπή.

3. Η ομάδα μπορεί να εκδίδει με δική της πρωτοβουλία συστάσεις για κάθε θέμα που αφορά την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα.

4. Οι γνώμες και οι συστάσεις της ομάδας διαβιβάζονται στην Επιτροπή και στη συμβουλευτική επιτροπή του άρθρου 31.

5. Η Επιτροπή ενημερώνει την ομάδα σχετικά με τη συνέχεια που δίδεται στις γνώμες και συστάσεις. Συντάσσει για το σκοπό αυτό έκθεση που διαβιβάζεται επίσης στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Η έκθεση αυτή δημοσιεύεται.

6. Η ομάδα συντάσσει ετήσια έκθεση σχετικά με την κατάσταση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα και στις τρίτες χώρες, την οποία κοινοποιεί στην Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Η έκθεση αυτή δημοσιεύεται.

ΚΕΦΑΛΑΙΟ VII ΚΟΙΝΟΤΙΚΑ ΜΕΤΡΑ ΕΚΤΕΛΕΣΗΣ

Άρθρο 31

Η επιτροπή

1. Η Επιτροπή επικουρείται από επιτροπή, η οποία απαρτίζεται από εκπροσώπους των κρατών μελών και προεδρεύεται από τον αντιπρόσωπο της Επιτροπής.

2. Ο αντιπρόσωπος της Επιτροπής υποβάλλει στην επιτροπή σχέδιο των ληπτέων μέτρων. Η επιτροπή διατυπώνει τη γνώμη της για το σχέδιο αυτό μέσα σε προθεσμία που μπορεί να ορίσει ο πρόεδρος, ανάλογα με το επείγον του θέματος.

Η γνώμη εγκρίνεται με την πλειοψηφία που προβλέπεται στο άρθρο 148 παράγραφος 2 της συνθήκης. Κατά τις ψηφοφορίες στα πλαίσια της επιτροπής, οι ψήφοι των αντιπροσώπων των κρατών μελών σταθμίζονται όπως ορίζεται στο προαναφερόμενο άρθρο. Ο πρόεδρος δεν συμμετέχει στην ψηφοφορία.

Η Επιτροπή θεσπίζει τα προτεινόμενα μέτρα όταν συμφωνούν με τη γνώμη της επιτροπής.

Όταν τα προτεινόμενα μέτρα δεν συμφωνούν με τη γνώμη της επιτροπής ή εάν δεν εκδοθεί γνώμη, η Επιτροπή υποβάλλει αμελλητί στο Συμβούλιο πρόταση για τα ληπτέα μέτρα. Το Συμβούλιο αποφασίζει με ειδική πλειοψηφία.

Εάν, μετά τη λήξη προθεσμίας τριών μηνών από την ημερομηνία υποβολής στο Συμβούλιο, το Συμβούλιο δεν έχει αποφασίσει, τα προτεινόμενα μέτρα θεσπίζονται από την Επιτροπή.

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 32

1. Τα κράτη μέλη θέτουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την παρούσα οδηγία το αργότερο εντός τριών ετών από την έκδοση της οδηγίας.

Όταν τα κράτη μέλη θεσπίζουν τις εν λόγω διατάξεις, αυτές περιέχουν παραπομπή στην παρούσα οδηγία ή συνοδεύονται από σχετική παραπομπή κατά την επίσημη δημοσίευσή τους. Ο τρόπος παραπομπής αποφασίζεται από τα κράτη μέλη.

2. Τα κράτη μέλη εξασφαλίζουν ότι οι επεξεργασίες που είχαν αρχίσει ήδη κατά την ημερομηνία της έναρξης ισχύος των εθνικών διατάξεων που θεσπίζονται προς εκτέλεση της παρούσας οδηγίας συμμορφώνονται προς τις διατάξεις αυτές εντός τριών ετών από την ημερομηνία αυτή.

Κατά παρέκκλιση από το προηγούμενο εδάφιο, τα κράτη μέλη μπορούν να προβλέψουν ότι οι επεξεργασίες δεδομένων που περιέχονται ήδη σε χειρόγραφα αρχεία κατά την ημερομηνία της έναρξης ισχύος των εθνικών διατάξεων εκτέλεσης της παρούσας οδηγίας πρέπει να συμμορφωθούν προς τα άρθρα 6, 7 και 8 της παρούσας οδηγίας εντός δώδεκα ετών από την ημερομηνία έκδοσής της. Τα κράτη μέλη επιτρέπουν εν πάση περιπτώσει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να επιτυγχάνει, κατόπιν αιτήσεώς του, τη διόρθωση, διαγραφή ή δέσμευση των ελλιπών ή ανακριβών δεδομένων ή των δεδομένων που έχουν αποθηκευθεί κατά τρόπο ασυμβίβαστο προς τους νόμιμους σκοπούς τους οποίους επιδιώκει ο υπεύθυνος της επεξεργασίας.

3. Κατά παρέκκλιση από την παράγραφο 2, τα κράτη μέλη μπορούν να προβλέψουν, με την επιφύλαξη κατάλληλων εγγυήσεων, ότι τα δεδομένα που αποθηκεύονται αποκλειστικά προς το σκοπό της ιστορικής έρευνας δεν χρειάζεται να συμμορφωθούν προς τα άρθρα 6, 7 και 8 της παρούσας οδηγίας.

4. Τα κράτη μέλη ανακοινώνουν στην Επιτροπή τα κείμενα των διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.

Άρθρο 33

Περιοδικώς και για πρώτη φορά τρία το πολύ χρόνια μετά τη χρονική στιγμή περί της οποίας το άρθρο 32 παράγραφος 1, η Επιτροπή υποβάλει στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έκθεση σχετικά με την εφαρμογή της παρούσας οδηγίας, η οποία συνοδεύεται, κατά περίπτωση, από κατάλληλες προτάσεις τροποποιήσεων. Η έκθεση αυτή δημοσιεύεται.

Η Επιτροπή θα εξετάσει ιδίως την εφαρμογή της παρούσας οδηγίας στις επεξεργασίες δεδομένων ήχου και εικόνας που αφορούν φυσικά πρόσωπα και θα υποβάλει, ενδεχομένως, κατάλληλες προτάσεις, λαμβάνοντας υπόψη της τις εξελίξεις της πληροφορικής και τις εργασίες για την κοινωνία της πληροφόρησης.

Άρθρο 34

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

. . .

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

Για το Συμβούλιο

Ο Πρόεδρος

(1) ΕΕ αριθ. C 277 της 5. 11. 1990, σ. 3, και ΕΕ αριθ. C 311 της 27. 11. 1992, σ. 30.

(2) ΕΕ αριθ. C 159 της 17. 6. 1991, σ. 38.

(3) Γνώμη του Ευρωπαϊκού Κοινοβουλίου της . . . (δεν δημοσιεύθηκε ακόμη στην Επίσημη Εφημερίδα), κοινή θέση του Συμβουλίου της . . . (δεν δημοσιεύθηκε ακόμη στην Επίσημη Εφημερίδα) και απόφαση του Ευρωπαϊκού Κοινοβουλίου της . . . (δεν δημοσιεύθηκε ακόμη στην Επίσημη Εφημερίδα).

(4) ΕΕ αριθ. L 197 της 18. 7. 1987, σ. 33.

ΣΚΕΠΤΙΚΟ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

I. Εισαγωγή

Στις 18 Ιουλίου 1990, η Επιτροπή υπέβαλε πρόταση οδηγίας σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, πρόταση βασιζόμενη στα άρθρα 100 Α και 113 της συνθήκης.

Το Ευρωπαϊκό Κοινοβούλιο γνωμοδότησε, σε πρώτη ανάγνωση, στις 11 Μαρτίου 1992 και πρότεινε αρκετές τροποποιήσεις στην πρόταση της Επιτροπής.

Η Οικονομική και Κοινωνική Επιτροπή γνωμοδότησε στις 24 Απριλίου 1991.

Η Επιτροπή, έχοντας υπόψη αυτές τις γνωμοδοτήσεις, υπέβαλε στις 15 Οκτωβρίου 1992 τροποποιημένη πρόταση οδηγίας.

Στις 20 Φεβρουαρίου 1995, το Συμβούλιο καθόρισε κοινή θέση, σύμφωνα με το άρθρο 189 Β παράγραφος 2 της συνθήκης.

II. Στόχος

Η πρόταση οδηγίας αποτελεί μέρος του σαφούς και σταθερού νομικού πλαισίου που απαιτείται για την ανάπτυξη της κοινωνίας της πληροφορίας κατά τρόπο αποδεκτό από τον ευρωπαίο πολίτη.

Ο στόχος της, πιο συγκεκριμένα, είναι να εξασφαλισθεί η ελεύθερη κυκλοφορία των προσωπικών δεδομένων στο εσωτερικό της Κοινότητας και να εξαλειφθούν οι στρεβλώσεις του ανταγωνισμού και οι κίνδυνοι μετατοπίσεων οικονομικών δραστηριοτήτων που ενδέχεται να ανακύψουν, θεσπίζοντας σε όλα τα κράτη μέλη αντίστοιχη υψηλού επιπέδου προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η προστασία υψηλού επιπέδου εξασφαλίζεται, αφενός, από τις υποχρεώσεις που βαρύνουν τα πρόσωπα, τις δημόσιες αρχές, τις συνεταιριστικές επιχειρήσεις ή οργανώσεις, οι οποίες αναλαμβάνουν υπ' ευθύνη τους την επεξεργασία, και, αφετέρου, από τα δικαιώματα που παρέχονται στα φυσικά πρόσωπα των οποίων τα προσωπικά στοιχεία υφίστανται επεξεργασία.

Οι υποχρεώσεις των υπευθύνων αφορούν, ιδιαίτερα, την ποιότητα των δεδομένων των οποίων η χρήση πρέπει να ανταποκρίνεται σε συγκεκριμένο και θεμιτό σκοπό όσον αφορά το θεμέλιο της επεξεργασίας. Ένα εξ αυτών των θεμελίων μπορεί να είναι η συγκατάθεση των εν λόγω προσώπων, η τεχνική ασφάλεια όσον αφορά την απαγόρευση της μη εγκεκριμένης πρόσβασης στα αρχεία, η κοινοποίηση της επεξεργασίας στην εθνική αρχή ελέγχου.

Τα δικαιώματα που παρέχονται στα φυσικά πρόσωπα συνίστανται στο δικαίωμα να τηρούνται ενήμερα σε διάφορες περιστάσεις για την επεξεργασία των δεδομένων που τα αφορούν, να δύνανται να γνωρίζουν αυτά τα δεδομένα, να ζητούν τη διόρθωσή τους σε περίπτωση που είναι εσφαλμένα, και να μπορούν ακόμη και να αντιτάσσονται στην επεξεργασία.

III. Ανάλυση της κοινής θέσης

Α. Γενικές παρατηρήσεις

Η κοινή θέση λαμβάνει κατά πολύ υπόψη τις ανησυχίες που εξέφρασε το Ευρωπαϊκό Κοινοβούλιο κατά την πρώτη εξέταση.

Περιλαμβάνει μάλιστα μια σημαντική τροποποίηση που είχε προτείνει το Ευρωπαϊκό Κοινοβούλιο, δηλαδή να εγκαταλειφθεί η τυπική διάκριση ανάμεσα στους κανόνες που εφαρμόζονται στον δημόσιο τομέα και τους κανόνες που εφαρμόζονται στον ιδιωτικό τομέα, πράγμα που οδηγεί σε πλήρη αναδιάρθρωση του κειμένου (τροπολογίες αριθ. 7 έως 29, 39 έως 41, 118, 119).

Η κοινή θέση ερείδεται επίσης στην ιδέα του Κοινοβουλίου, δηλαδή όσον αφορά την εφαρμογή της προστασίας, να επιλεγεί ευρεία έννοια που να καλύπτει τις διάφορες χρήσεις των δεδομένων. Προς τούτο, επελέγη η έννοια της επεξεργασίας. Η έννοια του αρχείου δεν χρησιμοποιείται πλέον παρά μόνον για τα δεδομένα που έχουν καταγραφεί με το χέρι. Το Ευρωπαϊκό Κοινοβούλιο είχε όντως θεωρήσει ότι η έννοια του αρχείου είναι ξεπερασμένη και ανίσχυρη στο πλαίσιο της εξέλιξης της ηλεκτρονικής επεξεργασίας και των τηλεπικοινωνιών.

Εξάλλου, πολλές τροποποιήσεις είτε είναι χρήσιμες διευκρινίσεις ή συντακτικές απλουστεύσεις είτε εισάγουν κάποιες ελαστικότητες οι οποίες, ενώ εγγυώνται αντίστοιχο επίπεδο προστασίας στα κράτη μέλη, δεν οδηγούν σε μείωση του επιπέδου προστασίας, επειδή επιτρέπουν αποτελεσματική και μη γραφειοκρατική εφαρμογή των γενικών αρχών, ανάλογα με τις άπειρες ιδιαιτερότητες της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Τέλος, εφιστάται η προσοχή στο γεγονός ότι το Συμβούλιο και η Επιτροπή έκριναν ότι το άρθρο 100 Α αποτελεί επαρκή νομική βάση για την οδηγία, και συνεπώς απέρριψαν το άρθρο 113, το οποίο είχε επίσης προτείνει ως νομική βάση η Επιτροπή στην τροποποιημένη πρότασή της. Πράγματι, το Συμβούλιο έκρινε ότι τα άρθρα 25 και 26 της οδηγίας, τα οποία αφορούν τη μεταφορά δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, δεν επιδιώκουν στόχο εμπορικής πολιτικής, αλλά μάλλον αναλύονται ως απλό συμπλήρωμα των άλλων άρθρων της οδηγίας, με τα οποία είναι άρρηκτα συνδεδεμένα, αφού στόχος τους είναι να εξασφαλίσουν κάποια «στεγανότητα» του συστήματος, εμποδίζοντας οιαδήποτε «χαλαρότητα» όσον αφορά τη μεταφορά των δεδομένων σε τρίτες χώρες.

Β. Ειδικές παρατηρήσεις

1. Τροπολογίες του Ευρωπαϊκού Κοινοβουλίου, οι οποίες ελήφθησαν υπόψη για τον καθορισμό της κοινής θέσης

i) Ορισμοί (άρθρο 2):

Η φάση της συλλογής των δεδομένων, καθώς και οι διάφορες μορφές ανακοίνωσής τους, περιελήφθησαν στον ορισμό της επεξεργασίας (τροπολογίες αριθ. 10, 15, 16, 34).

Διευκρινίσθηκε ο ορισμός των δεδομένων προσωπικού χαρακτήρα (τροπολογία αριθ. 12).

Εισήχθησαν οι ορισμοί του «τρίτου» και του «εκτελούντος την επεξεργασία» (τροπολογίες αριθ. 18, 134).

ii) Αρχές σχετικές με την ποιότητα των δεδομένων (άρθρο 6):

Για τα δεδομένα που διατηρούνται χάριν ιστορικών, στατιστικών ή επιστημονικών σκοπών, καθιερώνεται παρέκκλιση από την αρχή της ανώτατης διάρκειας διατήρησης των δεδομένων, ανάλογα με τους σκοπούς της επεξεργασίας τους (τροπολογία αριθ. 60).

Ο σκοπός της συλλογής πρέπει να είναι γνωστός πριν από την πραγματοποίησή της (τροπολογία αριθ. 59).

iii) Επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 8):

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, που πραγματοποιείται από μη κερδοσκοπικές οργανώσεις, και οργανώσεις πολιτικού, φιλοσοφικού, θρησκευτικού ή συνδικαλιστικού χαρακτήρα, απολαύουν ειδικής παρεκκλίσεως, όταν αφορούν ευαίσθητα δεδομένα των μελών τους, των οποίων η επεξεργασία έπρεπε άλλως να απαγορεύεται (τροπολογία αριθ. 149).

Η επιθυμία του Ευρωπαϊκού Κοινοβουλίου να εισαχθεί μεγαλύτερη ελαστικότητα στην επεξεργασία των δεδομένων που αφορούν παραβάσεις, ποινική καταδίκη κ.λπ. καλύπτεται από το σημερινό κείμενο (τροπολογία αριθ. 65).

Εναπόκειται στα κράτη μέλη να καθορίσουν τις προϋποθέσεις υπό τις οποίες είναι δυνατόν να υποστεί επεξεργασία ο εθνικός αναγνωριστικός αριθμός ταυτότητας ή κάθε άλλο στοιχείο αναγνωριστικό της ταυτότητας (τροπολογία αριθ. 65).

iv) Δικαιώματα του ενδιαφερομένου προσώπου (άρθρα 10, 11, 12, 14, 15, 22):

Έχουν ενισχυθεί και διευκρινισθεί τα δικαιώματα του ενδιαφερομένου προσώπου και δηλαδή:

- το δικαίωμα πληροφόρησής του επεκτείνεται στην προέλευση των δεδομένων, καθώς επίσης και στη λογική στην οποία βασίζονται ορισμένες αυτοματοποιημένες επεξεργασίες δεδομένων (τροπολογίες αριθ. 46, 48),

- πρέπει να είναι δυνατή η άσκηση του δικαιώματος πρόσβασης χωρίς οιονδήποτε καταναγκασμό τρίτων (τροπολογία αριθ. 132),

- το δικαίωμα εναντιώσεως μπορεί να ασκηθεί ανά πάσα στιγμή, και κυρίως έναντι της επεξεργασίας για λόγους ερευνών (τροπολογίες αριθ. 30, 145),

- οι δυνατότητες προσφυγής που πρέπει να προβλέψουν τα κράτη μέλη επεκτάθηκαν σε όλα τα δικαιώματα που εξασφαλίζει η οδηγία. Σημειωτέον, σ' αυτό το πλαίσιο, ότι η απαίτηση του Ευρωπαϊκού Κοινοβουλίου να εφαρμόζονται οι κυρώσεις και στους υπεύθυνους του δημόσιου τομέα περιλαμβάνεται στην 55η αιτιολογική σκέψη (τροπολογίες αριθ. 52, 77).

v) Κοινοποίηση της επεξεργασίας και προληπτικός έλεγχος από τις αρχές ελέγχου (άρθρα 18, 19 και 20):

Προκειμένου να περιορισθεί η γραφειοκρατία και να βελτιωθεί η αποτελεσματικότητα, η διαδικασία κοινοποίησης κατέστη πιο επιλεκτική. Παρέχονται στα κράτη μέλη δυνατότητες παρέκκλισης από την υποχρέωση κοινοποίησης ή απλούστευσης της κοινοποίησης, κυρίως στις περιπτώσεις στις οποίες η επεξεργασία δεν περιέχει τον κίνδυνο να θιγούν τα δικαιώματα και οι ελευθερίες των ενδιαφερομένων ή όταν η επεξεργασία πραγματοποιείται από ένωση πολιτικής, φιλοσοφικής, θρησκευτικής ή συνδικαλιστικής φύσης (τροπολογία αριθ. 149). Αυτές οι εξαιρέσεις ή απλουστεύσεις μπορούν να αφορούν, στην πράξη, πολλά είδη επεξεργασίας (ιδίως εκείνα που προβλέπονται στην τροπολογία αριθ. 23 του Ευρωπαϊκού Κοινοβουλίου).

Εξάλλου, συμπεριελήφθη η αρχή της εξέτασης από τις αρχές ελέγχου πριν από την εφαρμογή της επεξεργασίας που ενέχει συγκεκριμένους κινδύνους όσον αφορά τα δικαιώματα και τις ελευθερίες. Παραδείγματα τέτοιας επεξεργασίας, στην οποία αναφέρεται το Ευρωπαϊκό Κοινοβούλιο, περιλαμβάνονται ενδεικτικά στο αιτιολογικό (τροπολογίες αριθ. 40, 42, 118 και 199).

Αυτή η προσέγγιση πρέπει να επιτρέψει στα κράτη μέλη να προσαρμόσουν τις διαδικασίες στις εθνικές ιδιαιτερότητες που συνδέονται αναπόφευκτα με τις πολλαπλές πρακτικές και τις διαφορές όσον αφορά την ανάπτυξη της επεξεργασίας δεδομένων.

Διατηρήθηκε η δυνατότητα του κοινού να συμβουλεύεται το μητρώο κοινοποιημένων περιπτώσεων επεξεργασίας που τηρούν οι αρχές ελέγχου (τροπολογίες αριθ. 37, 39).

vi) Κώδικες συμπεριφοράς (άρθρο 27):

Επιβεβαιώθηκε η παρότρυνση για την εκπόνηση κωδίκων συμπεριφοράς τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο με την προοπτική της εφαρμογής των αρχών της οδηγίας προσαρμοσμένων στις ιδιαιτερότητες των διαφόρων τομέων. Εξάλλου, οι αρχές ελέγχου, η ομάδα προστασίας των προσώπων που αναφέρεται στο άρθρο 29 και τα ενδιαφερόμενα πρόσωπα ή εκπρόσωπός τους μπορούν να συμμετάσχουν στην εκπόνηση αυτών των κωδίκων (τροπολογίες αριθ. 72, 91).

vii) Αρχές ελέγχου (άρθρο 28):

Το κράτος μέλος πρέπει να προβλέπει μία ή περισσότερες αρχές ελέγχου, προκειμένου να ληφθεί υπόψη κυρίως η ομοσπονδιακή δομή ορισμένων κρατών μελών, οι οποίες είναι επιφορτισμένες με την εποπτεία της εφαρμογής των μέτρων που λαμβάνονται κατ' εφαρμογή της οδηγίας (τροπολογία αριθ. 84). Οι εξουσίες των αρχών ελέγχου εκτείνονται ενδεχομένως έως και στη διαταγή σφράγισης, διαγραφής ή απαγόρευσης της επεξεργασίας των δεδομένων (τροπολογία αριθ. 86). Οι αρχές ελέγχου οφείλουν να δημοσιεύουν την περιοδική έκθεσή τους (τροπολογία αριθ. 87).

viii) Η ομάδα προστασίας των προσώπων (άρθρο 29):

Διατηρήθηκαν τα ακόλουθα καθήκοντα που πρότεινε το Ευρωπαϊκό Κοινοβούλιο:

- γνώμη σχετικά με την εφαρμογή των εθνικών μέτρων που λαμβάνονται κατ' εφαρμογή της οδηγίας,

- γνώμη σχετικά με το επίπεδο προστασίας στην Κοινότητα και στις τρίτες χώρες, καθώς και σχετικά με τα ληπτέα μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών των προσώπων,

- δυνατότητα διατύπωσης γνώμης εξ ιδίας πρωτοβουλίας.

Από πλευράς της, η Επιτροπή πρέπει να συντάσσει και να δημοσιεύει έκθεση για να ενημερώνει την ομάδα ως προς τη συνέχεια που έδωσε σ' αυτές τις γνώμες. Η έκθεση αυτή διαβιβάζεται επίσης στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο (τροπολογίες αριθ. 90, 91, 92).

ix) Τελικές διατάξεις (άρθρο 36):

Η έκθεση που απευθύνει κατά διαστήματα η Επιτροπή στο Συμβούλιο και στο Ευρωπαϊκό Κοινοβούλιο πρέπει να δημοσιεύεται (τροπολογία αριθ. 95).

2. Άλλες τροποποιήσεις της πρότασης οι οποίες συμπεριελήφθησαν στην κοινή θέση του Συμβουλίου

i) Ορισμοί (άρθρο 2):

Συμπεριελήφθη ορισμός του αποδέκτη, ο οποίος είναι χρήσιμος για την εξασφάλιση της διαφάνειας της επεξεργασίας έναντι των ενδιαφερομένων προσώπων.

ii) Δεδομένα τα οποία περιλαμβάνονται σε μη αυτοματοποιημένα αρχεία (άρθρα 2 και 33):

Προκειμένου να διευκολυνθεί η εφαρμογή της οδηγίας στα κράτη μέλη τα οποία δεν προβλέπουν έως τώρα τα μη αυτοματοποιημένα δεδομένα, προβλέφθηκε δωδεκαετής μεταβατική περίοδος για την εφαρμογή ορισμένων διατάξεων της οδηγίας.

iii) Εφαρμοστέο εθνικό δίκαιο (άρθρο 4):

Το Συμβούλιο επιβεβαίωσε το κριτήριο του συνδέσμου, κλασικό όσον αφορά ζητήματα της εσωτερικής αγοράς, που πρότεινε η Επιτροπή, δηλαδή του τόπου εγκατάστασης του υπευθύνου της επεξεργασίας. Εξάλλου, έδωσε χρήσιμες διευκρινίσεις για την έννοια της εγκατάστασης του υπευθύνου επεξεργασίας (19η αιτιολογική σκέψη) για τις υποχρεώσεις ασφαλείας που επιβάλλονται στον εκτελούντα την επεξεργασία στο άρθρο 17 και για τις αρμοδιότητες των ελεγκτικών αρχών όσον αφορά τις πράξεις επεξεργασίας που πραγματοποιούνται στο έδαφός τους στο άρθρο 28.

iv) Επεξεργασία ευαίσθητων στοιχείων (άρθρο 8):

Έχουν προστεθεί εξαιρέσεις στην απαγόρευση των στοιχείων που αναφέρονται στην φυλετική ή εθνική προέλευση, στις πεποιθήσεις, την υγεία ή τη σεξουαλική ζωή, προκειμένου να καλύψουν τις δικαιολογημένες ανάγκες, κυρίως στον ιατρικό τομέα και τους χώρους εργασίας, με την επιφύλαξη ότι θα θεσπισθούν οι ενδεδειγμένες εγγυήσεις.

Οι παρεκκλίσεις που θα θεσπιστούν για λόγους σημαντικού δημοσίου συμφέροντος, καθώς και αυτές που σχετίζονται με τους κανόνες που διέπουν την επεξεργασία των ποινικών στοιχείων, πρέπει να κοινοποιούνται στην Επιτροπή.

v) Ελευθερία έκφρασης (άρθρο 9):

Το Συμβούλιο επιβεβαίωσε την προσέγγιση της Επιτροπής, η οποία αποβλέπει στο να συμπεριληφθούν οι επεξεργασίες για δημοσιογραφικούς λόγους στο πεδίο εφαρμογής της οδηγίας. Εκτός των επεξεργασιών αυτών, οι επεξεργασίες που πραγματοποιούνται για λόγους καλλιτεχνικής ή λογοτεχνικής έκφρασης πρέπει να απολαύουν ενός ιδιαίτερου καθεστώτος, που θα αποτελεί τον απαραίτητο συγκερασμό στον τομέα αυτόν μεταξύ της ελευθερίας έκφρασης και της προστασίας της ιδιωτικής ζωής. Το εν λόγω καθεστώς θα τεθεί σε εφαρμογή από τα κράτη μέλη.

vi) Επεξεργασίες χάριν στατιστικών, ιστορικών και επιστημονικών σκοπών:

Ενώ διατηρεί το χαρακτήρα της οδηγίας ως οδηγίας-πλαίσιο, το Συμβούλιο πρόσθεσε χρήσιμες διευκρινίσεις στην παρέκκλιση η οποία εισήχθη για τη μέγιστη διάρκεια διατήρησης των δεδομένων για στατιστικούς, ιστορικούς ή επιστημονικούς λόγους [άρθρο 6 παράγραφος 1 στοιχείο ε)], ιδίως στο άρθρο 6 παράγραφος 1 στοιχείο β) ως προς το συμβιβάσιμο των επεξεργασιών για τους σκοπούς αυτούς προς εκείνες τις επεξεργασίες δεδομένων συλλεγέντων για άλλους σκοπούς, καθώς και στο άρθρο 11 για την πληροφόρηση των προσώπων. Το πεδίο της προαιρετικής παρεκκλίσεως από το δικαίωμα πρόσβασης στα δεδομένα τα οποία υφίστανται επεξεργασία προς τους σκοπούς αυτούς έχει επεκταθεί (άρθρο 13 παράγραφος 2).

vii) Διαφάνεια των επεξεργασιών (άρθρα 10, 11 και 12):

Οι υποχρεώσεις σχετικά με την πληροφόρηση των ενδιαφερομένων προσώπων ως προς την επεξεργασία των δεδομένων τους έχουν καταστεί πλέον ελαστικές για να ληφθεί υπόψη η πληθώρα των περιστάσεων στις οποίες μπορούν να πραγματοποιηθούν τέτοιες επεξεργασίες (άρθρα 10 και 11). Εξάλλου, η υποχρέωση η οποία επιβάλλεται στα κράτη μέλη να εγγυηθούν σε κάθε πρόσωπο το δικαίωμα να γνωρίζει την ύπαρξη μιας τέτοιας επεξεργασίας, το οποίο προβλέπονταν στο παλαιό άρθρο 10 της τροποποιημένης πρότασης, έχει περιληφθεί στο άρθρο 21 υπό μορφή μιας υποχρέωσης να εξασφαλίζεται η δημοσιότητα των επεξεργασιών.

viii) Εξαιρέσεις και περιορισμοί (άρθρο 13, παλαιό άρθρο 14):

Οι εξαιρέσεις ή περιορισμοί οι οποίοι προβλέπονται στα άρθρα σχετικά με τις υποχρεώσεις πληροφόρησης και τη διαφάνεια των επεξεργασιών (παλαιά άρθρα 11, 12 και 21, που αντιστοιχούν στα νέα άρθρα 10, 11 και 21), τα οποία παρέπεμπαν στο άρθρο 14, αρχικώς επιφυλαχθέν στις παρεκκλίσεις από το δικαίωμα πρόσβασης, έχουν εισαχθεί σ' αυτό το παλαιό άρθρο.

Το πεδίο των εξαιρέσεων και περιορισμών, προς χάριν συμφερόντων προβλεπομένων στο άρθρο αυτό, έχει επεκταθεί στην αρχή της σκοπιμότητας την οποία θέτει το άρθρο 6.

Διευκρινίστηκε ακόμη ότι οι εξαιρέσεις και περιορισμοί πρέπει να προβλέπονται από νομοθετικό μέτρο.

Το αντισταθμιστικό μέτρο το οποίο συνιστά ο έλεγχος από την αρχή ελέγχου, τη αιτήσει του ενδιαφερομένου, σε περίπτωση περιορισμού του δικαιώματος πρόσβασης, έχει συμπεριληφθεί στο άρθρο 28.

ix) Ασφάλεια των επεξεργασιών (άρθρα 16 και 17):

Οι διατάξεις για τον εμπιστευτικό χαρακτήρα έχουν καταγραφεί σε χωριστό άρθρο (άρθρο 16). Εκείνες της ασφαλείας οι οποίες βαρύνουν τόσο τον υπεύθυνο της επεξεργασίας όσο και τον εκτελούντα την επεξεργασία (άρθρο 17) έχουν απλουστευθεί από συντακτική άποψη. Έχει εισαχθεί η αρχή να λαμβάνονται υπόψη οι δαπάνες των ληπτέων μέτρων, ενώ διατηρείται το κριτήριο κινδύνου για να εκτιμάται το πρόσφορον των ληφθέντων μέτρων.

x) Κοινοποίηση και προληπτικός έλεγχος (άρθρα 18, 19 και 20):

Όσον αφορά την κοινοποίηση, εκτός της δυνατότητας εξαιρέσεων για κατηγορίες επεξεργασιών που δεν μπορούν να θίξουν τα δικαιώματα και τις ελευθερίες των ενδιαφερομένων προσώπων (πρόταση της Επιτροπής) καθίστανται δυνατές παρεκκλίσεις όταν έχει ορισθεί αντιπρόσωπος επιφορτισμένος με τα περιγραφόμενα καθήκοντα, ο οποίος εγγυάται ότι οι επεξεργασίες δεν θα θίξουν τα δικαιώματα και τις ελευθερίες των ενδιαφερομένων προσώπων.

Όσον αφορά τον προληπτικό έλεγχο των επεξεργασιών που παρουσιάζει κινδύνους ιδιαίτερους όσον αφορά τα δικαιώματα και τις ελευθερίες των ενδιαφερομένων προσώπων, η εξέταση αυτή μπορεί να πραγματοποιηθεί είτε από την αρχή ελέγχου (πρόταση της Επιτροπής) είτε από τον αντιπρόσωπο σε συνεργασία με την αρχή ελέγχου. Σύμφωνα με το εθνικό τους δίκαιο, οι αρχές ελέγχου μπορούν να εκφέρουν γνώμη ή να χορηγήσουν άδεια μετά τον προληπτικό έλεγχο.

Αυτοί οι κανόνες κοινοποίησης και ελέγχου συνιστούν συμβιβαστική λύση, στο μέτρο που διασφαλίζουν την ισοτιμία δύο μορφών διαδικασιών που απέδειξαν την αξία τους στα κράτη μέλη.

xi) Τρίτες χώρες (άρθρα 25 και 26):

Το Συμβούλιο επιβεβαίωσε τη συμφωνία του με τη γενική προσέγγιση που προτείνει η Επιτροπή, δηλαδή την αρχή ότι υπάρχει ικανοποιητικό επίπεδο προστασίας στις τρίτες χώρες και ότι τα κράτη μέλη μεριμνούν για την τήρηση της αρχής αυτής. Ωστόσο, προβλέπονται διατάξεις που διασφαλίζουν την ομοιογένεια της εφαρμογής της κοινοτικής πολιτικής επί του θέματος αυτού. Το Συμβούλιο επέφερε διευκρινίσεις για τα στοιχεία που θα λαμβάνονται υπόψη κατά την αξιολόγηση του επιπέδου προστασίας, καθώς και τις παρεκκλίσεις που θα πρέπει να προβλεφθούν.

xii) Αρχές ελέγχου (άρθρο 28):

Προβλέπονται συστηματικές διαβουλεύσεις με τις αρχές ελέγχου κατά την κατάρτιση των κανονιστικών ή διοικητικών εθνικών μέτρων. Η εξουσία παρέμβασης των αρχών ελέγχου περιγράφεται μόνον ενδεικτικά, ούτως ώστε τα κράτη μέλη να διαθέτουν την αναγκαία για τον τομέα αυτόν ελαστικότητα. Τέλος, επήλθαν διευκρινίσεις σχετικά με τη συνεργασία μεταξύ των αρχών ελέγχου όσον αφορά τις διασυνοριακές διελεύσεις.

xiii) Επιτροπή (άρθρο 31):

Όσον αφορά τη διαβίβαση δεδομένων προς τις τρίτες χώρες, η οποία απαιτεί την παροχή εκτελεστικών αρμοδιοτήτων στην Επιτροπή, το Συμβούλιο επέλεξε τη διαδικασία III εκδοχή α) που προβλέπεται από το άρθρο 2 της απόφασης 87/373/EOK της 13ης Ιουλίου 1987.

xiv) Τελικές διατάξεις (άρθρα 32 και 33):

Εκτός του καθορισμού των ανωτέρω μεταβατικών μέτρων για τη συμμόρφωση των χειρογράφων αρχείων, κρίθηκε αναγκαίο να αυξηθεί η προθεσμία που παρέχεται για τη μεταφορά της οδηγίας στις εθνικές νομοθεσίες σε τρία έτη από την έκδοσή της.

Προκειμένου να ληφθούν υπόψη οι τεχνικές εξελίξεις, ιδίως στο πλαίσιο της ανάπτυξης της κοινωνίας των πληροφοριών, η Επιτροπή εξετάζει ιδιαιτέρως στην περιοδική της έκθεση την εφαρμογή της οδηγίας κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό μορφή ήχων και εικόνων.