|
30.12.2008 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 350/60 |
ΑΠΌΦΑΣΗ ΠΛΑΊΣΙΟ 2008/977/ΔΕΥ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ
της 27ης Νοεμβρίου 2008
για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις
ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη:
τη συνθήκη για την Ευρωπαϊκή Ένωση, και ιδίως τα άρθρα 30, 31 και το άρθρο 34 παράγραφος 2 στοιχείο β),
την πρόταση της Επιτροπής,
τη γνώμη του Ευρωπαϊκού Κοινοβουλίου (1),
Εκτιμώντας τα ακόλουθα:
|
(1) |
Η Ευρωπαϊκή Ένωση έχει θέσει ως στόχο τη διατήρηση και την ανάπτυξη της Ένωσης ως χώρου ελευθερίας, ασφάλειας και δικαιοσύνης εντός του οποίου πρέπει να εξασφαλίζεται στους πολίτες υψηλό επίπεδο ασφάλειας με την εκπόνηση κοινής δράσης μεταξύ των κρατών μελών στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις. |
|
(2) |
Η κοινή δράση στον τομέα της αστυνομικής συνεργασίας δυνάμει του άρθρου 30 παράγραφος 1 στοιχείο β) της συνθήκης για την Ευρωπαϊκή Ένωση και η κοινή δράση στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις δυνάμει του άρθρου 31 παράγραφος 1 στοιχείο α) της συνθήκης για την Ευρωπαϊκή Ένωση συνεπάγονται την ανάγκη επεξεργασίας των συναφών πληροφοριών, τηρουμένων των σχετικών διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα. |
|
(3) |
Η νομοθεσία που εμπίπτει στον Τίτλο VI της συνθήκης για την Ευρωπαϊκή Ένωση θα πρέπει να προωθήσει την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις όσον αφορά την αποτελεσματικότητα, τη νομιμότητα και τον σεβασμό των θεμελιωδών δικαιωμάτων και ιδίως των δικαιωμάτων της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι κοινοί κανόνες όσον αφορά την επεξεργασία και την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας με σκοπό την πρόληψη και την καταπολέμηση του εγκλήματος συμβάλλουν στην επίτευξη αμφότερων των στόχων αυτών. |
|
(4) |
Το πρόγραμμα της Χάγης για την ενίσχυση της ελευθερίας, της ασφάλειας και της δικαιοσύνης στην Ευρωπαϊκή Ένωση, το οποίο υιοθετήθηκε από το Ευρωπαϊκό Συμβούλιο στις 4 Νοεμβρίου 2004, τόνισε την ανάγκη καινοτόμου προσέγγισης της διασυνοριακής ανταλλαγής πληροφοριών στον τομέα της επιβολής του νόμου, με την αυστηρή τήρηση ορισμένων βασικών όρων στον τομέα της προστασίας των δεδομένων, η δε Επιτροπή κλήθηκε να υποβάλει σχετικές προτάσεις το αργότερο έως τα τέλη του 2005. Τούτο αντικατοπτρίστηκε στο σχέδιο δράσης του Συμβουλίου και της Επιτροπής με σκοπό την εφαρμογή του προγράμματος της Χάγης για την ενίσχυση της ελευθερίας, της ασφάλειας και της δικαιοσύνης στην Ευρωπαϊκή Ένωση (2). |
|
(5) |
Η ανταλλαγή δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, ιδίως βάσει της αρχής της διαθεσιμότητας των πληροφοριών όπως αυτή ορίζεται στο πρόγραμμα της Χάγης, θα πρέπει να υποστηριχθεί με σαφείς κανόνες που να ενισχύουν την αμοιβαία εμπιστοσύνη μεταξύ των αρμοδίων αρχών και να κατοχυρώνουν ότι οι σχετικές πληροφορίες προστατεύονται κατά τρόπο που αποκλείει οποιαδήποτε διάκριση σε σχέση με τέτοιου είδους συνεργασία μεταξύ των κρατών μελών, εξασφαλίζοντας παράλληλα στο ακέραιο τα θεμελιώδη δικαιώματα των ατόμων. Οι ισχύουσες πράξεις σε ευρωπαϊκό επίπεδο δεν επαρκούν. Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (3) δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις του Τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση, ούτε, σε κάθε περίπτωση, στην επεξεργασία δεδομένων σχετικά με τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους ή τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου. |
|
(6) |
Η παρούσα απόφαση πλαίσιο εφαρμόζεται μόνο στα δεδομένα που έχουν συγκεντρωθεί ή τύχει επεξεργασίας από τις αρμόδιες αρχές για το σκοπό της πρόληψης, της διερεύνησης, της διαπίστωσης ή της δίωξης αξιόποινων πράξεων ή της εκτέλεσης ποινικών κυρώσεων. Η παρούσα απόφαση πλαίσιο αφήνει τα κράτη μέλη να καθορίζουν με μεγαλύτερη ακρίβεια σε εθνικό επίπεδο ποιοι άλλοι σκοποί πρέπει να θεωρούνται ασυμβίβαστοι με το σκοπό για τον οποίον συγκεντρώθηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα. Σε γενικές γραμμές η περαιτέρω επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θα πρέπει να θεωρείται ασυμβίβαστη με τον αρχικό σκοπό της επεξεργασίας. |
|
(7) |
Το πεδίο εφαρμογής της απόφασης πλαισίου περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται μεταξύ των κρατών μελών. Ουδέν συμπέρασμα δύναται να εξαχθεί από αυτόν τον περιορισμό όσον αφορά την αρμοδιότητα της Ένωσης να θεσπίζει πράξεις που αφορούν τη συλλογή και επεξεργασία προσωπικών δεδομένων σε εθνικό επίπεδο ή όσον αφορά τη σκοπιμότητα θέσπισης τέτοιων πράξεων από την Ένωση στο μέλλον. |
|
(8) |
Προς διευκόλυνση της ανταλλαγής των δεδομένων στην Ευρωπαϊκή Ένωση τα κράτη μέλη σκοπεύουν να εξασφαλίζουν ότι οι κανόνες για την προστασία των δεδομένων που ισχύουν κατά την επεξεργασία δεδομένων σε εθνικό επίπεδο συνάδουν με αυτούς που προβλέπονται από την παρούσα απόφαση πλαίσιο. Η παρούσα απόφαση πλαίσιο δεν εμποδίζει τα κράτη μέλη να προβλέπουν, όσον αφορά την επεξεργασία δεδομένων σε εθνικό επίπεδο, διασφαλίσεις αυστηρότερες από εκείνες που η ίδια θεσπίζει. |
|
(9) |
Η παρούσα απόφαση πλαίσιο δεν θα πρέπει να ισχύει για προσωπικά δεδομένα που έχει αποκτήσει κράτος μέλος στο πλαίσιο του πεδίου εφαρμογής της παρούσας απόφασης πλαισίου και τα οποία προέρχονται από αυτό το κράτος μέλος. |
|
(10) |
Η προσέγγιση των νομοθεσιών των κρατών μελών δεν θα πρέπει να οδηγήσει στην αποδυνάμωση της προστασίας των δεδομένων την οποία παρέχουν, αλλά αντίθετα πρέπει να στοχεύει στην κατοχύρωση υψηλού επιπέδου προστασίας εντός της Ένωσης. |
|
(11) |
Είναι αναγκαίο να διευκρινισθούν οι στόχοι της προστασίας των δεδομένων στο πλαίσιο αστυνομικών και δικαστικών δραστηριοτήτων και να καθορισθούν οι κανόνες σχετικά με το σύννομο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, ώστε να εξασφαλίζεται ότι οποιαδήποτε ανταλλάξιμη πληροφορία έχει τύχει απολύτως σύννομης επεξεργασίας, τηρουμένων των θεμελιωδών αρχών σχετικά με την ποιότητα των δεδομένων. Παράλληλα οι νόμιμες δραστηριότητες των αστυνομικών, τελωνειακών, δικαστικών και λοιπών αρμοδίων αρχών δεν θα πρέπει να διακυβεύονται με κανένα τρόπο. |
|
(12) |
Η αρχή της ορθότητας των δεδομένων πρέπει να εφαρμόζεται λαμβανομένων υπόψη της φύσεως και του σκοπού της συγκεκριμένης επεξεργασίας. Για παράδειγμα, στις δικαστικές ιδίως διαδικασίες, τα δεδομένα βασίζονται στην υποκειμενική αντίληψη των προσώπων, σε ορισμένες δε περιπτώσεις δεν χωρεί εξακρίβωση των δεδομένων αυτών. Έτσι, η απαίτηση για ορθότητα δεν μπορεί να αφορά την ορθότητα της δήλωσης αλλά μόνο το γεγονός ότι έγινε μια συγκεκριμένη δήλωση. |
|
(13) |
Η αρχειοθέτηση σε ξεχωριστή συλλογή δεδομένων θα πρέπει να επιτρέπεται μόνον εφόσον τα δεδομένα έχουν πλέον πάψει να ζητούνται και να χρησιμοποιούνται για την πρόληψη, τη διερεύνηση, τη διαπίστωση ή τη δίωξη αξιόποινων πράξεων ή για την εκτέλεση ποινικών κυρώσεων. Η αρχειοθέτηση σε ξεχωριστή συλλογή δεδομένων θα πρέπει επίσης να επιτρέπεται εφόσον τα αρχειοθετημένα δεδομένα έχουν αποθηκευτεί σε τράπεζα δεδομένων μαζί με άλλα δεδομένα κατά τρόπον ώστε να μην μπορούν να χρησιμοποιηθούν πλέον για την πρόληψη, τη διερεύνηση, τη διαπίστωση ή τη δίωξη αξιόποινων πράξεων ή για την εκτέλεση ποινικών κυρώσεων. Η καταλληλότητα της περιόδου αρχειοθέτησης θα πρέπει να εξαρτάται από τους στόχους της αρχειοθέτησης και τα έννομα συμφέροντα των υποκειμένων των δεδομένων. Στην περίπτωση αρχειοθέτησης για ιστορικούς σκοπούς μπορεί να προβλεφθεί πολύ μακρά περίοδος. |
|
(14) |
Τα δεδομένα μπορούν επίσης να διαγράφονται με την καταστροφή του υποθέματος των δεδομένων. |
|
(15) |
Όσον αφορά εσφαλμένα, ελλιπή δεδομένα ή δεδομένα που δεν είναι πλέον ενημερωμένα, τα οποία διαβιβάσθηκαν ή είναι διαθέσιμα σε άλλα κράτη μέλη και έτυχαν περαιτέρω επεξεργασίας από οιονεί δικαστικές αρχές, δηλαδή από αρχές που έχουν την αρμοδιότητα λήψεως αποφάσεων με δεσμευτική ισχύ, η διόρθωσή τους, η διαγραφή ή το κλείδωμα θα πρέπει να πραγματοποιούνται σύμφωνα με το εθνικό δίκαιο. |
|
(16) |
Η εξασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα των προσώπων απαιτεί κοινές διατάξεις για τον καθορισμό του σύννομου και της ποιότητας των δεδομένων που τυγχάνουν επεξεργασίας από τις αρμόδιες αρχές άλλων κρατών μελών. |
|
(17) |
Πρέπει να καθορισθούν σε ευρωπαϊκό επίπεδο οι όροι βάσει των οποίων θα επιτρέπεται στις αρμόδιες αρχές των κρατών μελών να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα που παρέλαβαν από άλλα κράτη μέλη σε αρχές και ιδιώτες σε κράτη μέλη και να τα θέτουν στη διάθεσή τους. Σε πολλές περιπτώσεις η διαβίβαση δεδομένων προσωπικού χαρακτήρα από τις δικαστικές, τις αστυνομικές ή τις τελωνειακές αρχές σε ιδιώτες είναι απαραίτητη για τη δίωξη του εγκλήματος ή την αποτροπή άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας και σοβαρού κινδύνου για τα δικαιώματα των προσώπων, π.χ. προκειμένου να ειδοποιούνται τράπεζες και χρηματοπιστωτικά ιδρύματα για την πλαστογράφηση τίτλων ή, όσον αφορά τα εγκλήματα που σχετίζονται με οχήματα, προκειμένου να διαβιβάζονται δεδομένα προσωπικού χαρακτήρα στις ασφαλιστικές εταιρείες για την πρόληψη της παράνομης διακίνησης κλεμμένων μηχανοκίνητων οχημάτων ή για τη βελτίωση των όρων ανάκτησης κλεμμένων μηχανοκίνητων οχημάτων από το εξωτερικό. Αυτό δεν ισοδυναμεί με μετάθεση αστυνομικών ή δικαστικών καθηκόντων σε ιδιώτες. |
|
(18) |
Οι κανόνες της παρούσας απόφασης πλαισίου που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από τις δικαστικές, τις αστυνομικές ή τις τελωνειακές αρχές σε ιδιώτες δεν εφαρμόζονται στη γνωστοποίηση δεδομένων σε ιδιώτες (όπως δικηγόρους υπεράσπισης και θύματα) στο πλαίσιο ποινικών δικών. |
|
(19) |
Η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία έχουν διαβιβασθεί ή τεθεί στη διάθεση της αρμόδιας αρχής άλλου κράτους μέλους, και δη η περαιτέρω διαβίβαση ή διάθεση των δεδομένων αυτών, θα πρέπει να διέπεται από κοινούς κανόνες σε ευρωπαϊκό επίπεδο. |
|
(20) |
Σε περίπτωση που η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι δυνατή κατόπιν προηγούμενης συναινέσεως του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα, κάθε κράτος μέλος θα πρέπει να μπορεί να καθορίζει τις λεπτομέρειες αυτής τη συναίνεσης, μεταξύ άλλων, για παράδειγμα με γενική συναίνεση για κατηγορίες πληροφοριών ή κατηγορίες περαιτέρω επεξεργασίας. |
|
(21) |
Σε περίπτωση που η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι δυνατή για διοικητικές διαδικασίες, οι διαδικασίες αυτές περιλαμβάνουν επίσης δραστηριότητες εκ μέρους ρυθμιστικών φορέων και φορέων ελέγχου. |
|
(22) |
Οι νόμιμες δραστηριότητες των αστυνομικών, τελωνειακών, δικαστικών και άλλων αρμόδιων αρχών ενδέχεται να απαιτούν την αποστολή δεδομένων σε αρχές τρίτων χωρών ή διεθνείς φορείς που έχουν αναλάβει καθήκοντα πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης αξιόποινων πράξεων ή εκτέλεσης ποινικών κυρώσεων. |
|
(23) |
Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα από ένα κράτος μέλος σε τρίτες χώρες ή διεθνείς φορείς, τα δεδομένα αυτά θα πρέπει καταρχήν να τυγχάνουν του κατάλληλου επιπέδου προστασίας. |
|
(24) |
Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα από ένα κράτος μέλος σε τρίτες χώρες ή διεθνείς φορείς, η εν λόγω διαβίβαση θα πρέπει να γίνεται, καταρχήν, μόνον έπειτα από προηγούμενη συναίνεση του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα. Κάθε κράτος μέλος θα πρέπει να μπορεί να καθορίζει τις λεπτομέρειες αυτής τη συναίνεσης, μεταξύ άλλων, για παράδειγμα με γενική συναίνεση για κατηγορίες πληροφοριών ή για συγκεκριμένες τρίτες χώρες. |
|
(25) |
Για την αποτελεσματική συνεργασία στον τομέα της επιβολής του νόμου επιβάλλεται, στις περιπτώσεις που η φύση της απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτου κράτους είναι τόσο άμεση ώστε να καθιστά αδύνατη την έγκαιρη εκ των προτέρων συναίνεση, η αρμόδια αρχή θα πρέπει να δύναται να διαβιβάζει τα σχετικά προσωπικά δεδομένα στο συγκεκριμένο τρίτο κράτος χωρίς αυτήν την εκ των προτέρων συναίνεση. Το ίδιο ισχύει και στις περιπτώσεις στις οποίες διακυβεύονται άλλα ίσης σπουδαιότητας ζωτικά συμφέροντα κράτους μέλους, για παράδειγμα στην περίπτωση που κρίσιμοι τομείς της υποδομής ενός κράτους μέλους ενδέχεται να αποτελέσουν αντικείμενο άμεσης απειλής ή στην περίπτωση που το χρηματοπιστωτικό σύστημα κράτους μέλους κινδυνεύει να υποστεί σοβαρή διατάραξη. |
|
(26) |
Η ενημέρωση του υποκειμένου των δεδομένων σχετικά με την επεξεργασία των δεδομένων που το αφορούν ενδέχεται να είναι επιβεβλημένη, ιδίως στην περίπτωση πολύ σοβαρής καταπάτησης των δικαιωμάτων του λόγω των μέτρων μυστικής συλλογής δεδομένων, προκειμένου να παρασχεθεί στο υποκείμενο των δεδομένων η δυνατότητα πραγματικής έννομης προστασίας. |
|
(27) |
Τα κράτη μέλη θα πρέπει να εξασφαλίζουν την ενημέρωση του υποκειμένου των δεδομένων για την πραγματική ή ενδεχόμενη συλλογή, επεξεργασία ή διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλο κράτος μέλος για σκοπούς πρόληψης, διερεύνησης, ανίχνευσης και δίωξης αξιόποινων πράξεων ή εκτέλεσης ποινικών κυρώσεων. Οι λεπτομέρειες όσον αφορά το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων και οι σχετικές εξαιρέσεις θα πρέπει να ορίζονται από το εθνικό δίκαιο. Αυτή η υποχρέωση μπορεί να λάβει γενική μορφή, φερ’ ειπείν μέσω του νόμου ή με τη δημοσίευση καταλόγου των πράξεων επεξεργασίας. |
|
(28) |
Για να διασφαλισθεί η προστασία των δεδομένων προσωπικού χαρακτήρα χωρίς να διακυβεύεται ο σκοπός των ποινικών ερευνών, είναι απαραίτητο να καθορισθούν τα δικαιώματα του υποκειμένου των δεδομένων. |
|
(29) |
Ορισμένα κράτη μέλη έχουν προβλέψει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε ποινικές υποθέσεις μέσω συστήματος κατά το οποίο η εθνική αρχή ελέγχου ενεργεί αντί του υποκειμένου των δεδομένων και έχει απεριόριστη πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο, μπορεί δε επίσης να διορθώνει, να διαγράφει ή να ενημερώνει τα ανακριβή δεδομένα. Σε τέτοια περίπτωση έμμεσης πρόσβασης, το εθνικό δίκαιο αυτών των κρατών μελών μπορεί να προβλέψει ότι η εθνική αρχή ελέγχου απλώς θα πληροφορεί το υποκείμενο των δεδομένων ότι πραγματοποιήθηκαν όλες οι απαραίτητες εξακριβώσεις. Ωστόσο, αυτά τα κράτη μέλη προβλέπουν επίσης σε ειδικές περιπτώσεις δυνατότητες άμεσης πρόσβασης του υποκειμένου των δεδομένων, όπως πρόσβαση στο ποινικό μητρώο, παραλαβή αποσπάσματος του οικείου ποινικού μητρώου ή της οικείας κατάθεσης από τις αστυνομικές υπηρεσίες. |
|
(30) |
Πρέπει να καθορισθούν κοινοί κανόνες περί του απορρήτου και της ασφάλειας της επεξεργασίας, της ευθύνης και των κυρώσεων για παράνομη χρήση από τις αρμόδιες αρχές, καθώς και τα ένδικα μέσα που διατίθενται στο υποκείμενο των δεδομένων. Ωστόσο, επαφίεται σε κάθε κράτος μέλος να καθορίσει τη φύση των κανόνων περί αδικοπραξιών και των κυρώσεων που εφαρμόζονται στις παραβάσεις των εσωτερικών διατάξεων σχετικά με την προστασία των δεδομένων. |
|
(31) |
Η παρούσα απόφαση πλαίσιο δεν παρακωλύει την τήρηση της αρχής της δημόσιας πρόσβασης σε επίσημα έγγραφα κατά την εφαρμογή των αρχών που ορίζονται στην παρούσα απόφαση πλαίσιο. |
|
(32) |
Όταν είναι αναγκαία η προστασία προσωπικών δεδομένων σε σχέση με την επεξεργασία τους η οποία, λόγω της έκτασής της ή του είδους της, ενέχει ιδιαίτερους κινδύνους για τα θεμελιώδη δικαιώματα και ελευθερίες, π.χ. αν πρόκειται για επεξεργασία με νέες τεχνολογίες, μηχανισμούς ή διαδικασίες, επιβάλλεται να κατοχυρωθεί ότι οι αρμόδιες εθνικές αρχές ελέγχου καλούνται να γνωμοδοτήσουν πριν από τη συγκρότηση των αρχείων με σκοπό την επεξεργασία αυτών των δεδομένων. |
|
(33) |
Η σύσταση αρχών ελέγχου στα κράτη μέλη, οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία, αποτελεί βασική προϋπόθεση για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας μεταξύ των κρατών μελών. |
|
(34) |
Οι αρχές ελέγχου που έχουν ήδη συσταθεί στα κράτη μέλη δυνάμει της οδηγίας 95/46/ΕΚ θα πρέπει να μπορούν να αναλάβουν επίσης την ευθύνη των καθηκόντων που θα ανατεθούν στις εθνικές αρχές ελέγχου, οι οποίες πρόκειται να συσταθούν δυνάμει της παρούσας οδηγίας. |
|
(35) |
Οι αρχές ελέγχου θα πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, είτε πρόκειται για εξουσίες έρευνας και παρέμβασης, ιδίως στην περίπτωση καταγγελιών εκ μέρους ιδιωτών, είτε πρόκειται για την εξουσία κίνησης δικαστικών διαδικασιών. Οι εν λόγω αρχές ελέγχου οφείλουν να συμβάλλουν στη διαφάνεια της επεξεργασίας των δεδομένων στα κράτη μέλη στα οποία υπάγονται. Πάντως, οι εξουσίες των αρχών αυτών δεν θα πρέπει να συγκρούονται με τους ειδικούς κανόνες που διέπουν τις ποινικές διαδικασίες ούτε με την ανεξαρτησία της δικαστικής εξουσίας. |
|
(36) |
Το άρθρο 47 της συνθήκης για την Ευρωπαϊκή Ένωση προβλέπει ότι καμία διάταξη της παρούσας συνθήκης δεν θίγει τις συνθήκες για την ίδρυση των Ευρωπαϊκών Κοινοτήτων ούτε και τις μετέπειτα συνθήκες και πράξεις που τις έχουν τροποποιήσει ή συμπληρώσει. Αντιστοίχως, η παρούσα απόφαση πλαίσιο δεν θίγει την προστασία των δεδομένων προσωπικού χαρακτήρα που προβλέπει το κοινοτικό δίκαιο και, ειδικότερα, η οδηγία 95/46/ΕΚ, ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (4), καθώς και η οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (5). |
|
(37) |
Η παρούσα απόφαση πλαίσιο δεν θίγει τις διατάξεις περί παρανόμου προσβάσεως στα δεδομένα οι οποίες περιέχονται στην απόφαση πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου, της 24ης Φεβρουαρίου 2005, για τις επιθέσεις κατά των συστημάτων πληροφοριών (6). |
|
(38) |
Η παρούσα απόφαση πλαίσιο δεν θίγει τις ανειλημμένες υποχρεώσεις και δεσμεύσεις των κρατών μελών ή της Ένωσης που απορρέουν από διμερείς ή/και πολυμερείς συμφωνίες με τρίτα κράτη. Οι μελλοντικές συμφωνίες θα πρέπει να συνάδουν με τους κανόνες περί ανταλλαγών με τρίτα κράτη. |
|
(39) |
Διάφορες πράξεις που θεσπίσθηκαν βάσει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση περιέχουν ειδικές διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα τα οποία ανταλλάσσονται ή υφίστανται άλλως επεξεργασία δυνάμει των πράξεων αυτών. Σε ορισμένες περιπτώσεις οι διατάξεις αυτές συνιστούν πλήρη και συνεκτική σειρά κανόνων οι οποίοι καλύπτουν όλες τις κρίσιμες πτυχές της προστασίας των δεδομένων (αρχές ποιότητας των δεδομένων, κανόνες περί ασφάλειας των δεδομένων, ρύθμιση των δικαιωμάτων και διασφαλίσεων των υποκειμένων των δεδομένων, οργάνωση της εποπτείας και ευθύνη) και ρυθμίζουν τα θέματα αυτά πολύ διεξοδικότερα από την παρούσα απόφαση πλαίσιο. Η οικεία σειρά διατάξεων περί προστασίας δεδομένων των πράξεων αυτών, ιδίως εκείνων που ρυθμίζουν τη λειτουργία της Ευρωπόλ, της Eurojust, του Συστήματος Πληροφοριών Σένγκεν (SIS) και του Τελωνειακού Συστήματος Πληροφοριών (ΤΣΠ), καθώς και εκείνων που προβλέπουν την άμεση πρόσβαση των αρχών των κρατών μελών σε ορισμένα συστήματα δεδομένων άλλων κρατών μελών, δεν θίγονται από την παρούσα απόφαση πλαίσιο. Το αυτό ισχύει για τις διατάξεις προστασίας δεδομένων που διέπουν την αυτοματοποιημένη διαβίβαση, μεταξύ κρατών μελών, προφίλ DNA, δεδομένων δακτυλικών αποτυπωμάτων και εθνικών δεδομένων σχετικά με άδειες κυκλοφορίας οχημάτων δυνάμει της απόφασης 2008/615/ΔΕΥ του Συμβουλίου, της 23ης Ιουνίου 2008, για την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος (7). |
|
(40) |
Σε άλλες περιπτώσεις οι διατάξεις περί προστασίας δεδομένων σε πράξεις που έχουν θεσπισθεί δυνάμει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση έχουν πιο περιορισμένο πεδίο εφαρμογής. Συχνά επιβάλλουν ειδικούς όρους στο κράτος μέλος που λαμβάνει πληροφορίες εμπεριέχουσες προσωπικά δεδομένα από άλλα κράτη μέλη όσον αφορά τους σκοπούς για τους οποίους μπορεί να χρησιμοποιήσει τα δεδομένα αυτά, αλλά για άλλα θέματα προστασίας δεδομένων παραπέμπουν στη σύμβαση του Συμβουλίου της Ευρώπης, της 28ης Ιανουαρίου 1981, για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα ή και στο εθνικό δίκαιο. Στο βαθμό που οι διατάξεις των εν λόγω πράξεων οι οποίες επιβάλλουν όρους στα κράτη μέλη που λαμβάνουν τις πληροφορίες όσον αφορά τη χρήση ή περαιτέρω διαβίβαση των προσωπικών δεδομένων είναι πιο περιοριστικές από τις αντίστοιχες διατάξεις της απόφασης πλαισίου, δεν θίγονται ούτε οι διατάξεις αυτές. Ωστόσο, για όλα τα λοιπά θέματα θα πρέπει να ισχύουν οι κανόνες της απόφασης πλαισίου. |
|
(41) |
Η παρούσα απόφαση πλαίσιο δεν θίγει τις διατάξεις της σύμβασης του Συμβουλίου της Ευρώπης για την προστασία των προσώπων έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ή του πρόσθετου πρωτοκόλλου αυτής της σύμβασης, της 8ης Νοεμβρίου 2001, ή τις συμβάσεις του Συμβουλίου της Ευρώπης για τη δικαστική συνεργασία σε ποινικές υποθέσεις. |
|
(42) |
Δεδομένου ότι ο στόχος της παρούσας απόφασης πλαισίου, ήτοι ο καθορισμός κοινών κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, είναι αδύνατον να επιτευχθεί επαρκώς από κάθε κράτος μέλος χωριστά και συνεπώς είναι δυνατόν, λόγω της κλίμακας και των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να εκδώσει μέτρα σύμφωνα με την αρχή της επικουρικότητας την οποία ορίζει το άρθρο 5 της συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας και προβλέπει το άρθρο 2 της συνθήκης για την Ευρωπαϊκή Ένωση. Δυνάμει της αρχής της αναλογικότητας του άρθρου 5 της συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας, η παρούσα απόφαση πλαίσιο δεν υπερβαίνει τα αναγκαία όρια για επίτευξη του στόχου αυτού. |
|
(43) |
Το Ηνωμένο Βασίλειο συμμετέχει στην παρούσα απόφαση πλαίσιο δυνάμει του άρθρου 5 του πρωτοκόλλου για την ενσωμάτωση του κεκτημένου του Σένγκεν στο πλαίσιο της Ευρωπαϊκής Ένωσης, το οποίο έχει προσαρτηθεί στη συνθήκη για την Ευρωπαϊκή Ένωση και στη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και δυνάμει του άρθρου 8 παράγραφος 2 της απόφασης 2000/365/ΕΚ του Συμβουλίου, της 29ης Μαΐου 2000, σχετικά με το αίτημα του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και Βόρειας Ιρλανδίας να συμμετέχει σε ορισμένες από τις διατάξεις του κεκτημένου του Σένγκεν (8). |
|
(44) |
Η Ιρλανδία συμμετέχει στην παρούσα απόφαση πλαίσιο δυνάμει του άρθρου 5 του πρωτοκόλλου για την ενσωμάτωση του κεκτημένου του Σένγκεν στην Ευρωπαϊκή Ένωση, το οποίο έχει προσαρτηθεί στη συνθήκη για την Ευρωπαϊκή Ένωση και στη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και δυνάμει του άρθρου 6 παράγραφος 2 της απόφασης 2002/192/ΕΚ του Συμβουλίου, της 28ης Φεβρουαρίου 2002, σχετικά με το αίτημα της Ιρλανδίας να συμμετέχει σε ορισμένες διατάξεις του κεκτημένου του Σένγκεν (9). |
|
(45) |
Όσον αφορά την Ισλανδία και τη Νορβηγία, η παρούσα απόφαση πλαίσιο συνιστά ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν κατά την έννοια της συμφωνίας που συνήφθη από το Συμβούλιο της Ευρωπαϊκής Ένωσης, τη Δημοκρατία της Ισλανδίας και το Βασίλειο της Νορβηγίας όσον αφορά τη σύνδεση των δύο αυτών κρατών με την υλοποίηση, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (10), πράγμα το οποίο εμπίπτει στον τομέα που αναφέρεται στο άρθρο 1 στοιχεία Η και Θ της απόφασης 1999/437/ΕΚ του Συμβουλίου, σχετικά με ορισμένες λεπτομέρειες εφαρμογής της συμφωνίας αυτής (11). |
|
(46) |
Όσον αφορά την Ελβετία, η παρούσα απόφαση πλαίσιο συνιστά ανάπτυξη των διατάξεων του κεκτημένου Σένγκεν κατά την έννοια της συμφωνίας που συνήφθη μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου Σένγκεν (12), η οποία εμπίπτει στον τομέα που αναφέρεται στο άρθρο 1 στοιχεία Η και Θ της απόφασης 1999/437/ΕΚ του Συμβουλίου, σε συνδυασμό με το άρθρο 3 της απόφασης 2008/149/ΔΕΥ του Συμβουλίου (13), για τη σύναψη της συμφωνίας αυτής εξ ονόματος της Ευρωπαϊκής Ένωσης. |
|
(47) |
Όσον αφορά το Λιχτενστάιν, η παρούσα απόφαση πλαίσιο συνιστά ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν υπό την έννοια του πρωτοκόλλου που έχει συναφθεί μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν, η οποία εμπίπτει στον τομέα του άρθρου 1 σημεία Η και Θ της απόφασης 1999/437/ΕΚ, σε συνδυασμό με το άρθρο 3 της απόφασης 2008/262/ΔΕΥ του Συμβουλίου, για την υπογραφή του πρωτοκόλλου αυτού εξ ονόματος της Ευρωπαϊκής Ένωσης (14). |
|
(48) |
Η παρούσα απόφαση πλαίσιο σέβεται τα θεμελιώδη δικαιώματα και ακολουθεί τις αναγνωρισμένες αρχές, και δη του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (15). Η παρούσα απόφαση πλαίσιο στοχεύει να διασφαλίσει τον πλήρη σεβασμό του δικαιώματος για ιδιωτική ζωή και των αρχών της προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως αντανακλώνται στα άρθρα 7 και 8 του Χάρτη, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ-ΠΛΑΙΣΙΟ:
Άρθρο 1
Σκοπός και πεδίο εφαρμογής
1. Σκοπός της παρούσας απόφασης πλαισίου είναι να διασφαλίσει υψηλό επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, ιδίως δε του δικαιώματός τους για ιδιωτική ζωή έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, όπως προβλέπεται από τον τίτλο VI της συνθήκης για την Ευρωπαϊκή Ένωση, να κατοχυρώσει δε συγχρόνως υψηλό επίπεδο δημόσιας ασφάλειας.
2. Σύμφωνα με την παρούσα απόφαση πλαίσιο, τα κράτη μέλη προστατεύουν τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων, ιδίως δε το δικαίωμά τους για ιδιωτική ζωή, οσάκις για λόγους πρόληψης, διερεύνησης, διαπίστωσης ή δίωξης αξιόποινων πράξεων ή εκτέλεσης ποινικών κυρώσεων, δεδομένα προσωπικού χαρακτήρα:
|
α) |
διαβιβάζονται ή έχουν διαβιβασθεί ή διατεθεί μεταξύ των κρατών μελών· ή |
|
β) |
διαβιβάζονται ή έχουν διαβιβασθεί ή διατεθεί από κράτη μέλη σε αρχές ή συστήματα πληροφοριών τα οποία έχουν συσταθεί δυνάμει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση· ή |
|
γ) |
διαβιβάζονται ή έχουν διαβιβασθεί ή διατεθεί στις αρμόδιες αρχές των κρατών μελών από αρχές ή συστήματα πληροφοριών που έχουν συσταθεί δυνάμει της συνθήκης για την Ευρωπαϊκή Ένωση ή της συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας. |
3. Η παρούσα απόφαση πλαίσιο εφαρμόζεται στην εξ ολοκλήρου ή μερικώς αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.
4. Η παρούσα απόφαση πλαίσιο δεν θίγει τα ζωτικά συμφέροντα εθνικής ασφάλειας και τις ειδικές δραστηριότητες συλλογής πληροφοριών στον τομέα της εθνικής ασφάλειας.
5. Η παρούσα απόφαση πλαίσιο δεν εμποδίζει τα κράτη μέλη να προβλέπουν αυστηρότερες διασφαλίσεις από εκείνες που θεσπίζει η παρούσα απόφαση πλαίσιο, για την προστασία δεδομένων προσωπικού χαρακτήρα, τα οποία συλλέγονται ή τυγχάνουν επεξεργασίας σε εθνικό επίπεδο.
Άρθρο 2
Ορισμοί
Για τους σκοπούς της παρούσας απόφασης πλαισίου, νοούνται ως:
|
α) |
«δεδομένα προσωπικού χαρακτήρα», κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί («το υποκείμενο των δεδομένων»)· θεωρείται ότι μπορεί να εξακριβωθεί το πρόσωπο που μπορεί να προσδιορισθεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη· |
|
β) |
«επεξεργασία δεδομένων προσωπικού χαρακτήρα» και «επεξεργασία», κάθε εργασία ή σειρά εργασιών που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων διαδικασιών και εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η γνωστοποίηση με διαβίβαση, η διάδοση και κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή· |
|
γ) |
«κλείδωμα», η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με σκοπό να περιορισθεί η επεξεργασία τους στο μέλλον· |
|
δ) |
«αρχείο δεδομένων προσωπικού χαρακτήρα» και «αρχείο», κάθε διαρθρωμένη συλλογή δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσιτά υπό συγκεκριμένες προϋποθέσεις, χωρίς να έχει σημασία αν η συλλογή αυτή είναι συγκεντρωμένη, αποκεντρωμένη ή κατανεμημένη σε λειτουργική ή γεωγραφική βάση· |
|
ε) |
«εκτελών την επεξεργασία», κάθε φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας, |
|
στ) |
«παραλήπτης», κάθε φορέας στον οποίο γνωστοποιούνται τα δεδομένα· |
|
ζ) |
«συναίνεση του υποκειμένου των δεδομένων», κάθε δήλωση βουλήσεως ελευθέρας, ρητής και εν πλήρη επιγνώσει, με την οποία το υποκείμενο των δεδομένων συναινεί στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν· |
|
η) |
«αρμόδιες αρχές», οι οργανισμοί ή φορείς που έχουν συσταθεί με νομοθετικές πράξεις του Συμβουλίου δυνάμει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση, καθώς και οι αστυνομικές, τελωνειακές, δικαστικές και άλλες αρμόδιες αρχές των κρατών μελών, στις οποίες επιτρέπεται από την εθνική νομοθεσία να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής της παρούσας απόφασης πλαισίου· |
|
θ) |
«υπεύθυνος της επεξεργασίας», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· |
|
ι) |
«χαρακτηρισμός», η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα, χωρίς σκοπό να περιορισθεί η επεξεργασία τους στο μέλλον· |
|
ια) |
«ανωνυμοποίηση», η αλλοίωση δεδομένων προσωπικού χαρακτήρα κατά τρόπον ώστε τα μεμονωμένα δεδομένα για προσωπικές ή αντικειμενικές καταστάσεις να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο ή σε δυνάμενο να αναγνωρισθεί φυσικό πρόσωπο, παρά μόνο με δυσανάλογα μεγάλη δαπάνη χρόνου, χρήματος και εργατικού δυναμικού. |
Άρθρο 3
Αρχές του συννόμου, της αναλογικότητας και του περιορισμού του σκοπού
1. Τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να συλλέγονται από τις αρμόδιες αρχές μόνο για καθορισμένους, σαφείς και νόμιμους σκοπούς στα πλαίσια των καθηκόντων τους και να υφίστανται επεξεργασία μόνο για τον σκοπό για τον οποίο συλλέχθηκαν. Η επεξεργασία των δεδομένων πρέπει να είναι νόμιμη και κατάλληλη, συναφής προς το θέμα και όχι υπερβολική σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν.
2. Η περαιτέρω επεξεργασία για άλλον σκοπό επιτρέπεται εφόσον:
|
α) |
η επεξεργασία αυτή δεν είναι ασύμβατη προς τον σκοπό για τον οποίο έχουν συλλεγεί τα δεδομένα· |
|
β) |
οι αρμόδιες αρχές είναι εξουσιοδοτημένες να επεξεργάζονται τα εν λόγω δεδομένα σύμφωνα με τις νομοθετικές διατάξεις που ισχύουν για αυτόν τον άλλο σκοπό και |
|
γ) |
η εν λόγω επεξεργασία είναι απαραίτητη και ανάλογη προς τον σκοπό αυτόν. |
Οι αρμόδιες αρχές μπορούν επίσης να επεξεργασθούν περαιτέρω τα διαβιβασθέντα προσωπικά δεδομένα για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς, υπό την προϋπόθεση ότι τα κράτη μέλη προβλέπουν τις αναγκαίες διασφαλίσεις, όπως, π.χ., την ανωνυμοποίηση των δεδομένων.
Άρθρο 4
Διόρθωση, διαγραφή και κλείδωμα
1. Τα δεδομένα προσωπικού χαρακτήρα διορθώνονται εφόσον είναι ανακριβή και, εφόσον υπάρχει δυνατότητα και ανάγκη, συμπληρώνονται και επικαιροποιούνται αναλόγως.
2. Τα δεδομένα προσωπικού χαρακτήρα διαγράφονται ή ανωνυμοποιούνται όταν δεν απαιτούνται πλέον για τους σκοπούς για τους οποίους έγινε η σύννομη συλλογή τους ή η σύννομη περαιτέρω επεξεργασία τους. Η αρχειοθέτηση αυτών των δεδομένων σε ξεχωριστή συλλογή δεδομένων για ενδεδειγμένη περίοδο βάσει της εθνικής νομοθεσίας δεν θίγεται από την παρούσα διάταξη.
3. Εάν συντρέχουν βάσιμοι λόγοι να θεωρείται ότι η διαγραφή τους θα μπορούσε να παραβλάψει τα έννομα συμφέροντα του υποκειμένου των δεδομένων, τα δεδομένα προσωπικού χαρακτήρα δεν διαγράφονται αλλ’ απλώς «κλειδώνονται». Τα «κλειδωμένα» δεδομένα υπόκεινται σε επεξεργασία μόνο για το σκοπό για τον οποίο παρεμποδίσθηκε η διαγραφή τους.
4. Εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή ποινικό μητρώο σχετικό με την έκδοση δικαστικής απόφασης, η διόρθωση, η διαγραφή ή το κλείδωμα πρέπει να εκτελούνται σύμφωνα με τους εθνικούς δικονομικούς κανόνες.
Άρθρο 5
Καθορισμός προθεσμιών διαγραφής και εξέτασης
Για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων προβλέπονται οι δέουσες προθεσμίες. Η μέριμνα για την τήρηση των προθεσμιών αυτών εξασφαλίζεται μέσω δικονομικών μέτρων.
Άρθρο 6
Επεξεργασία που αφορά ειδικές κατηγορίες δεδομένων
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις φιλοσοφικές ή θρησκευτικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία δεδομένων που αναφέρονται στην υγεία και τη σεξουαλική ζωή επιτρέπεται μόνον εφόσον αυτό είναι αυστηρά απαραίτητο και εφόσον η εσωτερική νομοθεσία προβλέπει τις δέουσες διασφαλίσεις.
Άρθρο 7
Αυτοματοποιημένες ατομικές αποφάσεις
Απόφαση η οποία έχει δυσμενείς νομικές συνέπειες για το υποκείμενο των δεδομένων ή του προξενεί σοβαρή ζημία και η οποία προκύπτει από την αυτοματοποιημένη επεξεργασία δεδομένων προς αξιολόγηση συγκεκριμένων πλευρών της προσωπικότητάς του, επιτρέπεται μόνον εφόσον προβλέπεται από νομοθεσία η οποία ορίζει εγγυήσεις για τη διαφύλαξη των εννόμων συμφερόντων του υποκειμένου.
Άρθρο 8
Εξακρίβωση της ποιότητας των δεδομένων που διαβιβάσθηκαν ή διατέθηκαν
1. Οι αρμόδιες αρχές λαμβάνουν κάθε εύλογο μέτρο προκειμένου να προβλεφθεί ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, ελλιπή ή δεν είναι πλέον ενημερωμένα δεν διαβιβάζονται ή διατίθενται. Για το σκοπό αυτό, οι αρμόδιες αρχές ελέγχουν, στο μέτρο του εφικτού, την ποιότητα των δεδομένων προσωπικού χαρακτήρα πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών. Στο μέτρο του δυνατού, σε όλες τις διαβιβάσεις δεδομένων πρέπει να προστίθενται διαθέσιμες πληροφορίες οι οποίες επιτρέπουν στο κράτος μέλος παραλαβής να αξιολογεί το βαθμό ακρίβειας, πληρότητας, επικαιροποίησης και αξιοπιστίας. Εάν τα δεδομένα προσωπικού χαρακτήρα διαβιβάσθηκαν δίχως αίτηση, η παραλήπτρια αρχή εκτιμά πάραυτα εάν τα εν λόγω δεδομένα είναι απαραίτητα για το σκοπό για τον οποίο διαβιβάσθηκαν.
2. Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβασθεί ανακριβή δεδομένα, ή ότι τα δεδομένα διαβιβάσθηκαν παρανόμως, ο παραλήπτης τους οφείλει να το γνωστοποιήσει πάραυτα. Τα δεδομένα αυτά πρέπει να διορθωθούν, να διαγραφούν ή κλειδωθούν αμέσως σύμφωνα με το άρθρο 4.
Άρθρο 9
Προθεσμίες
1. Κατά τη διαβίβαση ή τη διάθεση των δεδομένων, η διαβιβάζουσα αρχή μπορεί να ορίσει, στο πλαίσιο του εθνικού της δικαίου και σύμφωνα με τα άρθρα 4 και 5, τις προθεσμίες για τη φύλαξη των δεδομένων, μετά την παρέλευση των οποίων ο παραλήπτης τους οφείλει να τα διαγράψει ή να τα κλειδώσει, ή να ελέγξει εάν εξακολουθούν να χρειάζονται. Η υποχρέωση αυτή δεν ισχύει αν, κατά το χρόνο παρέλευσης αυτών των προθεσμιών, τα δεδομένα ζητούνται για τρέχουσα έρευνα, δίωξη αξιόποινων πράξεων ή επιβολή ποινικών κυρώσεων.
2. Σε περίπτωση που η διαβιβάζουσα αρχή παρέλειψε να ορίσει προθεσμία σύμφωνα με την παράγραφο 1, ισχύουν οι προθεσμίες σύμφωνα με τα άρθρα 4 και 5 για τη φύλαξη των δεδομένων οι οποίες προβλέπονται από την εθνική νομοθεσία του παραλαμβάνοντος κράτους μέλους.
Άρθρο 10
Καταχώριση και τεκμηρίωση
1. Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα καταχωρίζεται ή τεκμηριώνεται για τους σκοπούς της εξακρίβωσης της νομιμότητας της επεξεργασίας δεδομένων, της αυτοπαρακολούθησης και της εξασφάλισης της ακεραιότητας και ασφάλειας των δεδομένων.
2. Καταχωρίσεις ή τεκμηρίωση που ετοιμάσθηκαν σύμφωνα με την παράγραφο 1 διαβιβάζονται στην αρμόδια αρχή ελέγχου της προστασίας των δεδομένων κατόπιν αιτήσεως αυτής της τελευταίας. Η αρμόδια αρχή ελέγχου χρησιμοποιεί τις πληροφορίες αυτές μόνο για τον έλεγχο της προστασίας των δεδομένων και για την εξασφάλιση της ορθής επεξεργασίας των δεδομένων καθώς και της ακεραιότητας και ασφάλειάς τους.
Άρθρο 11
Επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν ή διατέθηκαν από άλλο κράτος μέλος
Τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται από την αρμόδια αρχή άλλου κράτους μέλους επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις του άρθρου 3 παράγραφος 2, να υφίστανται περαιτέρω επεξεργασία μόνο για τους εξής άλλους σκοπούς από εκείνους για τους οποίους διαβιβάσθηκαν ή διατέθηκαν:
|
α) |
για πρόληψη, διερεύνηση, διαπίστωση ή δίωξη αξιόποινων πράξεων ή για εκτέλεση ποινικών κυρώσεων, διαφορετικών από τις αξιόποινες πράξεις ή κυρώσεις για τις οποίες διαβιβάσθηκαν ή διατέθηκαν τα δεδομένα· |
|
β) |
για άλλες δικαστικές και διοικητικές διαδικασίες οι οποίες έχουν άμεση συνάφεια με την πρόληψη, διερεύνηση, διαπίστωση ή δίωξη αξιόποινων πράξεων ή με την εκτέλεση ποινικών κυρώσεων· |
|
γ) |
για την αποτροπή άμεσου και σοβαρού κινδύνου για τη δημόσια ασφάλεια· ή |
|
δ) |
για κάθε άλλον σκοπό και μόνο με την προηγούμενη συναίνεση του διαβιβάζοντος κράτους μέλους ή με τη συναίνεση του υποκειμένου των δεδομένων, η οποία δίνεται σύμφωνα με το εθνικό δίκαιο. |
Πέραν αυτού, τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να τυγχάνουν περαιτέρω επεξεργασίας από τις αρμόδιες αρχές για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς, εφόσον τα κράτη μέλη προβλέπουν τις δέουσες εγγυήσεις, όπως π.χ. ανωνυμοποίηση των δεδομένων.
Άρθρο 12
Τήρηση εθνικών περιορισμών όσον αφορά την επεξεργασία
1. Σε περίπτωση που σύμφωνα με το δίκαιο του διαβιβάζοντος κράτους μέλους ισχύουν σε ειδικές περιστάσεις ειδικοί περιορισμοί επεξεργασίας κατά την ανταλλαγή δεδομένων μεταξύ αρμοδίων αρχών εντός αυτού του κράτους μέλους, η διαβιβάζουσα αρχή επισημαίνει στον παραλήπτη τους ειδικούς περιορισμούς. Ο παραλήπτης εξασφαλίζει ότι τηρούνται αυτοί οι περιορισμοί όσον αφορά την επεξεργασία.
2. Κατά την εφαρμογή της παραγράφου 1, τα κράτη μέλη δεν εφαρμόζουν περιορισμούς για τις διαβιβάσεις δεδομένων σε άλλα κράτη μέλη ή σε οργανισμούς ή φορείς που δημιουργήθηκαν βάσει του τίτλου VI της συνθήκης της Ευρωπαϊκής Ένωσης εκτός από αυτούς που αφορούν παρόμοιες διαβιβάσεις δεδομένων σε εθνικό επίπεδο.
Άρθρο 13
Διαβίβαση στις αρμόδιες αρχές τρίτων κρατών ή σε διεθνείς φορείς
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα που διαβιβάσθηκαν ή διατέθηκαν από αρμόδια αρχή άλλου κράτους μέλους μπορούν να διαβιβάζονται σε τρίτα κράτη ή σε διεθνείς φορείς μόνον αν:
|
α) |
αυτό είναι απαραίτητο για την πρόληψη, τη διερεύνηση, τη διαπίστωση ή τη δίωξη αξιοποίνων πράξεων ή την εκτέλεση ποινικών κυρώσεων· |
|
β) |
η παραλήπτρια αρχή στο τρίτο κράτος ή ο παραλαμβάνων διεθνής φορέας είναι αρμόδιος για την πρόληψη, διερεύνηση, διαπίστωση ή δίωξη αξιοποίνων πράξεων ή την εκτέλεση ποινικών κυρώσεων· |
|
γ) |
το κράτος μέλος από το οποίο παρελήφθησαν τα δεδομένα δίνει τη συγκατάθεσή του για αυτήν τη διαβίβαση σύμφωνα με τις διατάξεις της νομοθεσίας του και |
|
δ) |
το οικείο τρίτο κράτος ή διεθνής φορέας εξασφαλίζει κατάλληλο επίπεδο προστασίας για την επιδιωκόμενη επεξεργασία των δεδομένων. |
2. Η διαβίβαση χωρίς προηγούμενη συναίνεση η οποία προβλέπεται από την παράγραφο 1 στοιχείο γ) επιτρέπεται μόνον εφόσον η διαβίβαση των δεδομένων είναι ουσιώδους σημασίας για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας ενός κράτους μέλους ή μιας τρίτης χώρας ή κατά ουσιαστικών συμφερόντων κράτους μέλους, και η προηγούμενη συναίνεση δεν μπορεί να δοθεί εγκαίρως. Η αρμόδια για τη διατύπωση της συναίνεσης αρχή ενημερώνεται αμελλητί.
3. Κατά παρέκκλιση από την παράγραφο 1 στοιχείο δ), τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβάζονται εφόσον:
|
α) |
αυτό προβλέπεται από την εθνική νομοθεσία του κράτους μέλους που διαβιβάζει τα δεδομένα:
|
|
β) |
το τρίτο κράτος ή ο παραλαμβάνων διεθνής φορέας παρέχει διασφαλίσεις οι οποίες κρίνονται επαρκείς από το συγκεκριμένο κράτος μέλος σύμφωνα με την εθνική του νομοθεσία. |
4. Η επάρκεια του βαθμού προστασίας που προβλέπεται από την παράγραφο 1 στοιχείο δ) αξιολογείται με γνώμονα το σύνολο των περιστάσεων που περιβάλλουν την πράξη διαβίβασης δεδομένων ή μια σειρά πράξεων διαβίβασης δεδομένων. Ιδιαίτερη βαρύτητα δίδεται στη φύση των δεδομένων, στον σκοπό και τη διάρκεια της προτεινόμενης πράξης ή των πράξεων επεξεργασίας, στο κράτος καταγωγής και το κράτος ή το διεθνή φορέα που αποτελεί τον τελικό προορισμό των δεδομένων, στους κανόνες δικαίου, τόσο γενικούς όσο και τομεακούς, οι οποίοι ισχύουν στην οικεία τρίτη χώρα ή στο πλαίσιο του οικείου διεθνούς φορέα και στους κανόνες δεοντολογίας και τα μέτρα ασφαλείας που εφαρμόζονται στη συγκεκριμένη τρίτη χώρα ή στο πλαίσιο του συγκεκριμένου διεθνούς φορέα.
Άρθρο 14
Διαβίβαση σε ιδιώτες σε κράτη μέλη
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα που έχουν παραληφθεί ή διατεθεί από την αρμόδια αρχή άλλου κράτους μέλους μπορούν να διαβιβάζονται σε ιδιώτες μόνον εφόσον:
|
α) |
η αρμόδια αρχή του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα συγκατατίθεται στη διαβίβαση σύμφωνα με την εθνική του νομοθεσία· |
|
β) |
η διαβίβαση δεν εμποδίζεται από ειδικά έννομα συμφέροντα του υποκειμένου των δεδομένων και |
|
γ) |
η διαβίβαση είναι σε ιδιαίτερες περιπτώσεις ουσιαστικής σημασίας για την αρμόδια αρχή που διαβιβάζει τα δεδομένα στον ιδιώτη με σκοπό:
|
2. Η αρμόδια αρχή που διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε ιδιώτες τους ενημερώνει σχετικά με τους σκοπούς για τους οποίους μπορούν αποκλειστικά να χρησιμοποιηθούν τα δεδομένα.
Άρθρο 15
Ενημέρωση κατόπιν αιτήσεως της αρμόδιας αρχής
Ο παραλήπτης ενημερώνει, κατόπιν αιτήσεως, την αρμόδια αρχή από την οποία διαβιβάσθηκαν ή διατέθηκαν δεδομένα προσωπικού χαρακτήρα σχετικά με την επεξεργασία τους.
Άρθρο 16
Ενημέρωση του υποκειμένου των δεδομένων
1. Τα κράτη μέλη εξασφαλίζουν την ενημέρωση του υποκειμένου των δεδομένων όσον αφορά τη συλλογή ή την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές τους, σύμφωνα με το εθνικό δίκαιο.
2. Σε περίπτωση διαβίβασης ή διάθεσης δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών, κάθε κράτος μέλος δύναται, σύμφωνα με τις διατάξεις του εθνικού του δικαίου όπως προβλέπεται στην παράγραφο 1, να ζητεί από το άλλο κράτος μέλος να μην ενημερώσει το υποκείμενο των δεδομένων. Σε αυτή την περίπτωση το δεύτερο κράτος μέλος δεν ενημερώνει το υποκείμενο των δεδομένων χωρίς την προηγούμενη συναίνεση του πρώτου κράτους μέλους.
Άρθρο 17
Δικαίωμα πρόσβασης
1. Κάθε υποκείμενο των δεδομένων δικαιούται να λαμβάνει, κατόπιν αιτήσεως υποβαλλομένης σε εύλογα διαστήματα, ελεύθερα και απεριόριστα, χωρίς υπερβολική καθυστέρηση ή δαπάνη:
|
α) |
τουλάχιστον την επιβεβαίωση από τον υπεύθυνο της επεξεργασίας ή από την εθνική αρχή ελέγχου ότι έχουν ή όχι διαβιβασθεί ή διατεθεί δεδομένα που το αφορούν καθώς και πληροφορίες σχετικές με τους παραλήπτες ή τις κατηγορίες των παραληπτών στις οποίες έχουν γνωστοποιηθεί τα δεδομένα αυτά, και τη διαβίβαση των υπό επεξεργασία δεδομένων· ή |
|
β) |
τουλάχιστον την επιβεβαίωση από την εθνική αρχή ελέγχου ότι έχουν γίνει όλες οι απαραίτητες εξακριβώσεις. |
2. Τα κράτη μέλη μπορούν να θεσπίζουν νομοθετικά μέτρα για τον περιορισμό της πρόσβασης στις πληροφορίες της παραγράφου 1 στοιχείο α), εφόσον ο εν λόγω περιορισμός αποτελεί, λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου προσώπου, απαραίτητο και αναλογικό μέτρο με σκοπό:
|
α) |
να μην παρεμποδίζονται επίσημες ή νομικές έρευνες ή διαδικασίες· |
|
β) |
να μη θίγονται η πρόληψη, διαπίστωση, διερεύνηση και δίωξη αξιοποίνων πράξεων ή η εκτέλεση ποινικών κυρώσεων· |
|
γ) |
να προστατεύεται η δημόσια ασφάλεια· |
|
δ) |
να προστατεύεται η εθνική ασφάλεια· |
|
ε) |
να προστατεύεται το υποκείμενο των δεδομένων ή των δικαιωμάτων και ελευθεριών άλλων. |
3. Η άρνηση ή ο περιορισμός της πρόσβασης πρέπει να διατυπώνεται γραπτώς προς το υποκείμενο των δεδομένων. Συγχρόνως πρέπει να του κοινοποιούνται και οι πραγματικοί ή οι νομικοί λόγοι στους οποίους στηρίζεται η απόφαση. Αυτή η κοινοποίηση μπορεί να παραληφθεί εφόσον συντρέχει λόγος προβλεπόμενος από την παράγραφο 2 στοιχεία α) έως ε). Σε όλες αυτές τις περιπτώσεις το υποκείμενο των δεδομένων ενημερώνεται ότι μπορεί να ασκήσει προσφυγή ενώπιον της αρμόδιας εθνικής αρχής ελέγχου, ενώπιον δικαστικής αρχής ή ενώπιον δικαστηρίου.
Άρθρο 18
Δικαίωμα διόρθωσης, διαγραφής ή κλειδώματος
1. Το υποκείμενο των δεδομένων έχει δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας να εκτελέσει σύμφωνα με τα άρθρα 4, 8 και 9 τα οικεία καθήκοντα διόρθωσης, διαγραφής ή κλειδώματος δεδομένων προσωπικού χαρακτήρα, τα οποία απορρέουν από την παρούσα απόφαση πλαίσιο. Τα κράτη μέλη καθορίζουν κατά πόσον το υποκείμενο των δεδομένων μπορεί να επικαλεσθεί αυτό το δικαίωμα απευθείας έναντι του υπευθύνου επεξεργασίας ή με τη μεσολάβηση της αρμόδιας εθνικής αρχής ελέγχου. Εάν ο υπεύθυνος επεξεργασίας αρνείται τη διόρθωση, τη διαγραφή ή το κλείδωμα, η άρνηση πρέπει να κοινοποιηθεί εγγράφως στο υποκείμενο των δεδομένων το οποίο πρέπει να ενημερωθεί για τις δυνατότητες που προβλέπει η εθνική νομοθεσία για την κατάθεση καταγγελίας ή προσφυγής. Κατά την εξέταση της προσφυγής ή του ενδίκου μέσου, το υποκείμενο των δεδομένων ενημερώνεται για το κατά πόσον ο υπεύθυνος της επεξεργασίας ενήργησε ορθώς ή όχι. Τα κράτη μέλη μπορούν επίσης να προβλέπουν ότι το υποκείμενο των δεδομένων ενημερώνεται από την αρμόδια εθνική αρχή ελέγχου ότι έχει διενεργηθεί επανεξέταση.
2. Σε περίπτωση που η ορθότητα δεδομένων προσωπικού χαρακτήρα αμφισβητηθεί από το υποκείμενο των δεδομένων και δεν είναι δυνατόν να γνωστοποιηθεί αν τα δεδομένα είναι ορθά ή όχι, πρέπει να γίνει χαρακτηρισμός των δεδομένων.
Άρθρο 19
Δικαίωμα αποζημίωσης
1. Κάθε πρόσωπο που έχει υποστεί ζημία εξαιτίας αθέμιτης επεξεργασίας, ή οποιασδήποτε άλλης πράξης ασυμβίβαστης με τις διατάξεις του εθνικού δικαίου που έχουν εκδοθεί κατ’ εφαρμογή της παρούσας απόφασης πλαισίου, έχει δικαίωμα να ζητήσει αποζημίωση από τον ελεγκτή ή από άλλη αρμόδια σύμφωνα με την εθνική νομοθεσία αρχή.
2. Εάν η αρμόδια αρχή κράτους μέλους παρέσχε δεδομένα προσωπικού χαρακτήρα, ο παραλήπτης δεν μπορεί να επικαλεσθεί την ανακρίβεια των παρασχεθέντων δεδομένων προκειμένου να αποφύγει την ευθύνη του έναντι του ζημιωθέντος σύμφωνα με το εθνικό δίκαιο. Εάν επιδικασθεί αποζημίωση εις βάρος του παραλήπτη λόγω χρήσης ανακριβών δεδομένων τα οποία του διαβιβάσθηκαν, η αρμόδια αρχή που διαβίβασε τα δεδομένα επιστρέφει στον παραλήπτη το ποσό που καταβλήθηκε ως αποζημίωση λαμβάνοντας υπόψη οποιαδήποτε υπαιτιότητα που μπορεί να βαρύνει τον παραλήπτη.
Άρθρο 20
Δικαστική προσφυγή
Υπό την επιφύλαξη διοικητικής προσφυγής η οποία μπορεί να προβλεφθεί ότι θα ασκείται προτού επιληφθεί η δικαστική αρχή, το υποκείμενο των δεδομένων πρέπει να έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εφαρμοστέα εθνική νομοθεσία.
Άρθρο 21
Εμπιστευτικός χαρακτήρας της επεξεργασίας
1. Κάθε πρόσωπο που έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα οποία εμπίπτουν στο πεδίο εφαρμογής της παρούσας απόφασης πλαισίου, μπορεί να τα επεξεργασθεί μόνον ως υπαγόμενο στην αρμόδια αρχή ή κατ’ εντολή της εν λόγω αρχής, εκτός εάν υπάρχει άλλη πρόβλεψη στο νόμο.
2. Τα πρόσωπα που καλούνται να συνεργασθούν με την αρμόδια αρχή ενός κράτους μέλους δεσμεύονται από όλους τους κανόνες περί προστασίας των δεδομένων που ισχύουν για την αρμόδια αρχή.
Άρθρο 22
Ασφάλεια της επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι οι αρμόδιες αρχές οφείλουν να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, ιδίως εάν η επεξεργασία περιλαμβάνει και διαβίβαση των δεδομένων μέσω δικτύου ή τη διάθεση με τη χορήγηση άμεσης αυτοματοποιημένης πρόσβασης, και από κάθε άλλη μορφή παράνομης επεξεργασίας, λαμβάνοντας ιδίως υπόψη τους κινδύνους που συνεπάγεται η επεξεργασία καθώς και τον χαρακτήρα των δεδομένων που πρέπει να προστατευθούν. Τα μέτρα που είναι αναγκαία για την κατοχύρωση βαθμού ασφάλειας ο οποίος να κρίνεται ικανοποιητικός σε σχέση με τους κινδύνους που συνεπάγεται η επεξεργασία καθώς και με τον χαρακτήρα των δεδομένων που πρέπει να προστατευθούν λαμβάνονται με γνώμονα την τεχνολογική εξέλιξη και το σχετικό κόστος εφαρμογής.
2. Όσον αφορά την αυτοματοποιημένη επεξεργασία δεδομένων, κάθε κράτος μέλος εφαρμόζει μέτρα που προορίζονται για:
|
α) |
την απαγόρευση σε κάθε αναρμόδιο πρόσωπο να έχει πρόσβαση στον εξοπλισμό επεξεργασίας δεδομένων προσωπικού χαρακτήρα (έλεγχος πρόσβασης στον εξοπλισμό)· |
|
β) |
την αποτροπή της άνευ αδείας ανάγνωσης, αντιγραφής, τροποποίησης ή απομάκρυνσης των μέσων αποθήκευσης δεδομένων (έλεγχος των μέσων αποθήκευσης δεδομένων)· |
|
γ) |
την αποτροπή της άνευ αδείας εισαγωγής δεδομένων καθώς και του άνευ αδείας ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)· |
|
δ) |
την αποτροπή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας δεδομένων από αναρμόδια πρόσωπα με τη μέθοδο της διαβίβασης δεδομένων (έλεγχος των χρηστών)· |
|
ε) |
τη διασφάλιση ότι οι εξουσιοδοτημένοι χρήστες αυτοματοποιημένων συστημάτων επεξεργασίας δεδομένων δεν διαθέτουν πρόσβαση σε άλλα δεδομένα προσωπικού χαρακτήρα πλην εκείνων που καλύπτονται από το δικαίωμα πρόσβασης που τους αναγνωρίζεται (έλεγχος πρόσβασης δεδομένων)· |
|
στ) |
τη δυνατότητα να εξακριβώνεται και να διαπιστώνεται σε ποιους φορείς διαβιβάσθηκαν ή ενδέχεται να διαβιβασθούν ή να διατεθούν δεδομένα προσωπικού χαρακτήρα με τη βοήθεια του εξοπλισμού διαβίβασης δεδομένων (έλεγχος διαβίβασης)· |
|
ζ) |
τη δυνατότητα να εξακριβώνεται και να διαπιστώνεται εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, επίσης δε πότε και από ποιόν εισήχθησαν (έλεγχος της εισαγωγής δεδομένων)· |
|
η) |
την αποτροπή της άνευ αδείας ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς)· |
|
θ) |
τη διασφάλιση ότι στην περίπτωση βλάβης των λειτουργούντων συστημάτων, θα αποκατασταθεί η εκ νέου λειτουργία τους (αποκατάσταση)· |
|
ι) |
τη διασφάλιση ότι το σύστημα λειτουργεί, ότι θα γνωστοποιείται οποιαδήποτε ελαττωματική λειτουργία του (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα δεν μπορούν να παραποιηθούν από κακή λειτουργία του συστήματος (ακεραιότητα). |
3. Τα κράτη μέλη προβλέπουν ότι ο εκτελών την επεξεργασία μπορεί να διορίζεται μόνον εφόσον παρέχει εχέγγυα ότι λαμβάνει τα απαιτούμενα δυνάμει της παραγράφου 1 τεχνικά και οργανωτικά μέτρα και τηρεί τις οδηγίες που προβλέπει το άρθρο 21. Η αρμόδια αρχή οφείλει επίσης να ελέγχει τον εκτελούντα την επεξεργασία.
4. Τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να υφίστανται επεξεργασία από τον εκτελούντα μόνο βάσει διατάξεων νομοθετικής πράξης ή γραπτής σύμβασης.
Άρθρο 23
Προηγούμενη διαβούλευση
Τα κράτη μέλη εξασφαλίζουν ότι οι αρμόδιες εθνικές αρχές ελέγχου καλούνται να γνωμοδοτήσουν πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πρόκειται να αποτελέσει μέρος ενός νέου αρχείου που θα δημιουργηθεί:
|
α) |
εφόσον πρόκειται να υποστούν επεξεργασία οι ειδικές κατηγορίες δεδομένων του άρθρου 6· ή |
|
β) |
εφόσον το είδος της επεξεργασίας, λόγω ιδίως νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει διαφορετικά ιδιαίτερους κινδύνους για τα θεμελιώδη δικαιώματα και τις θεμελιώδεις ελευθερίες και μάλιστα για την ιδιωτική ζωή των υποκειμένων των δεδομένων. |
Άρθρο 24
Κυρώσεις
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για τη διασφάλιση της πλήρους εφαρμογής των διατάξεων της παρούσας απόφασης πλαισίου και θεσπίζουν ιδίως αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις για την περίπτωση παραβίασης των διατάξεων που θεσπίζονται δυνάμει της παρούσας απόφασης πλαισίου.
Άρθρο 25
Εθνικές αρχές ελέγχου
1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες κρατικές αρχές είναι επιφορτισμένες με την παροχή συμβουλών προς το κράτος μέλος και την εποπτεία της εφαρμογής των ληφθέντων από τα κράτη μέλη μέτρων κατ’ εφαρμογή της παρούσας απόφασης πλαισίου, στο εθνικό του έδαφος. Οι εν λόγω αρχές ενεργούν με απόλυτη ανεξαρτησία κατά την άσκηση των καθηκόντων που τους έχουν ανατεθεί.
2. Κάθε αρχή ελέγχου αναλαμβάνει ειδικότερα:
|
α) |
εξουσίες έρευνας, όπως η εξουσία πρόσβασης σε δεδομένα που αποτελούν αντικείμενο επεξεργασίας και συλλογής κάθε αναγκαίας πληροφορίας για την εκπλήρωση της αποστολής ελέγχου· |
|
β) |
ουσιαστικές εξουσίες παρέμβασης, όπως π.χ. να γνωμοδοτεί πριν από την εκτέλεση επεξεργασιών και να μεριμνά για τη δέουσα δημοσίευση των γνωμοδοτήσεων αυτών, καθώς επίσης να επιτάσσει το κλείδωμα, τη διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα· |
|
γ) |
την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας απόφασης πλαισίου ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές. Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα. |
3. Οποιοσδήποτε μπορεί να απευθύνει σε αρχή ελέγχου αίτηση για προστασία των δικαιωμάτων και των ελευθεριών του κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δόθηκε στην αίτησή του.
4. Τα κράτη μέλη προβλέπουν ότι τα μέλη και το προσωπικό της αρχής ελέγχου δεσμεύονται ωσαύτως από τις διατάξεις περί προστασίας των δεδομένων που ισχύουν για την εκάστοτε αρμόδια αρχή και ότι, ακόμη και μετά την παύση των δραστηριοτήτων τους, δεσμεύονται από την υποχρέωση επαγγελματικού απορρήτου έναντι των εμπιστευτικών πληροφοριών στις οποίες έχουν πρόσβαση.
Άρθρο 26
Σχέσεις προς τις συμβάσεις με τρίτα κράτη
Η παρούσα απόφαση πλαίσιο δεν θίγει τυχόν υποχρεώσεις και δεσμεύσεις των κρατών μελών ή της Ένωσης που απορρέουν από διμερείς ή/και πολυμερείς συμφωνίες με τρίτα κράτη, οι οποίες ισχύουν κατά το χρόνο έκδοσης της απόφασης πλαισίου.
Κατά την εφαρμογή αυτών των συμφωνιών, η διαβίβαση σε τρίτη χώρα δεδομένων προσωπικού χαρακτήρα που αποκτήθηκαν από άλλο κράτος μέλος γίνεται τηρουμένου του άρθρου 13 παράγραφος 1 στοιχείο γ) ή παράγραφος 2 κατά περίπτωση.
Άρθρο 27
Αξιολόγηση
1. Τα κράτη μέλη υποβάλλουν στην Επιτροπή μέχρι τις 27 Νοεμβρίου 2013 έκθεση σχετικά με το ποια εθνικά μέτρα θέσπισαν για να εξασφαλισθεί πλήρης συμμόρφωση με την παρούσα απόφαση πλαίσιο, ειδικότερα δε όσον αφορά εκείνες τις διατάξεις οι οποίες θα έπρεπε να εφαρμόζονται ήδη κατά τη συλλογή δεδομένων. Η Επιτροπή εξετάζει, ειδικότερα, τις επιπτώσεις των διατάξεων αυτών για το πεδίο εφαρμογής της απόφασης πλαισίου, όπως αυτό ορίζεται στο άρθρο 1 παράγραφος 2.
2. Η Επιτροπή υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο εντός ενός έτους σχετικά με το αποτέλεσμα της αξιολόγησης που προβλέπεται από την παράγραφο 1 και συνοδεύει την έκθεσή της με ενδεδειγμένες προτάσεις τροποποιήσεων της παρούσας απόφασης πλαισίου.
Άρθρο 28
Σχέση με προηγούμενες πράξεις της Ένωσης
Όταν σε πράξεις οι οποίες θεσπίσθηκαν δυνάμει του τίτλου VI της συνθήκης για την Ευρωπαϊκή Ένωση, πριν από την έναρξη ισχύος της παρούσας απόφασης πλαισίου και οι οποίες ρυθμίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση των αρμόδιων αρχών των κρατών μελών σε συστήματα πληροφοριών που έχουν δημιουργηθεί σύμφωνα με τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, προβλέπονται ειδικοί όροι όσον αφορά τη χρήση των δεδομένων αυτών από το κράτος μέλος που λαμβάνει τις πληροφορίες, οι ειδικοί αυτοί όροι υπερτερούν των διατάξεων της παρούσας απόφασης πλαισίου οι οποίες αφορούν τη χρησιμοποίηση δεδομένων που έχουν ληφθεί ή καταστεί διαθέσιμα από άλλο κράτος μέλος.
Άρθρο 29
Εφαρμογή
1. Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να συμμορφωθούν με τις διατάξεις της παρούσας απόφασης πλαισίου πριν από τις 27 Νοεμβρίου 2010.
2. Εντός της ίδιας προθεσμίας τα κράτη μέλη διαβιβάζουν στη Γενική Γραμματεία του Συμβουλίου και στην Επιτροπή το κείμενο των διατάξεων με τις οποίες μεταφέρονται στην εθνική τους νομοθεσία οι υποχρεώσεις που επιβάλλει η απόφαση πλαίσιο, καθώς και τις πληροφορίες σχετικά με την αρχή ή τις αρχές ελέγχου που προβλέπει το άρθρο 25. Βάσει εκθέσεως που καταρτίζει η Επιτροπή στηριζόμενη στις πληροφορίες αυτές, το Συμβούλιο εξετάζει, πριν από τις 27 Νοεμβρίου 2011, σε ποιο βαθμό τα κράτη μέλη έλαβαν τα απαραίτητα μέτρα για να συμμορφωθούν προς την παρούσα απόφαση πλαίσιο.
Άρθρο 30
Έναρξη ισχύος
Η παρούσα απόφαση πλαίσιο αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 27 Νοεμβρίου 2008.
Για το Συμβούλιο
Η Πρόεδρος
M. ALLIOT-MARIE
(1) ΕΕ C 125 Ε της 22.5.2008, σ. 154.
(2) ΕΕ C 198 της 12.8.2005, σ. 1.
(3) ΕΕ L 281 της 23.11.1995, σ. 31.
(4) ΕΕ L 8 της 12.1.2001, σ. 1.
(5) ΕΕ L 201 της 31.7.2002, σ. 37.
(6) ΕΕ L 69 της 16.3.2005, σ. 67.
(7) ΕΕ L 210 της 6.8.2008, σ. 1.
(8) ΕΕ L 131 της 1.6.2000, σ. 43.
(9) ΕΕ L 64 της 7.3.2002, σ. 20.
(10) ΕΕ L 176 της 10.7.1999, σ. 36.
(11) ΕΕ L 176 της 10.7.1999, σ. 31.
(12) ΕΕ L 53 της 27.2.2008, σ. 52.
(13) ΕΕ L 53 της 27.2.2008, σ. 50.
(14) ΕΕ L 83 της 26.3.2008, σ. 5.
(15) ΕΕ C 303 της 14.12.2007, σ. 1.