Σκεπτικό του Συμβουλίου: Θέση (ΕΕ) αριθ. 6/2016 του Συμβουλίου σε πρώτη ανάγνωση ενόψει της έκδοσης κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

(2016/C 159/02)

I.   ΕΙΣΑΓΩΓΗ

Στις 25 Ιανουαρίου 2012, η Επιτροπή πρότεινε διεξοδική μεταρρύθμιση του τομέα της προστασίας δεδομένων, αποτελούμενη από:

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τη θέση του σε πρώτη ανάγνωση επί του προτεινόμενου γενικού κανονισμού για την προστασία δεδομένων στις 12 Μαρτίου 2014 (7427/14).

Το Συμβούλιο συμφώνησε επί γενικής προσέγγισης στις 15 Ιουνίου 2015, δίνοντας, ως εκ τούτου, διαπραγματευτική εντολή στην Προεδρία να ξεκινήσει τριμερείς διαλόγους με το Ευρωπαϊκό Κοινοβούλιο (9565/15).

Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, σε επίπεδο Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων και Επιτροπής Μόνιμων Αντιπροσώπων αντιστοίχως, επιβεβαίωσαν στις 17 και 18 Δεκεμβρίου 2015 αντιστοίχως τη συμφωνία τους επί του συμβιβαστικού κειμένου που προέκυψε από τις διαπραγματεύσεις στο πλαίσιο των τριμερών διαλόγων.

Στις συνεδριάσεις της 12ης Φεβρουαρίου 2016, το Συμβούλιο κατέληξε σε πολιτική συμφωνία επί του σχεδίου κανονισμού (5455/15). Στις 8 Απριλίου 2016, το Συμβούλιο ενέκρινε τη θέση του σε πρώτη ανάγνωση, η οποία συνάδει απόλυτα με το συμβιβαστικό κείμενο του κανονισμού που συμφωνήθηκε στις άτυπες διαπραγματεύσεις μεταξύ του Συμβουλίου και του Ευρωπαϊκού Κοινοβουλίου.

Η Οικονομική και Κοινωνική Επιτροπή γνωμοδότησε επί του κανονισμού το 2012 (ΕΕ C 229, 31.7.2012, σ. 90).

Η Επιτροπή των Περιφερειών γνωμοδότησε επί του κανονισμού (ΕΕ C 391, 18.12.2012, σ. 127).

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων κλήθηκε να γνωμοδοτήσει και έδωσε μια πρώτη γνώμη το 2012 (ΕΕ C 192, 30.6.2012, σ. 7) και μια δεύτερη γνώμη το 2015 (ΕΕ C 301, 12.09.2015, σ. 1-8).

Ο Οργανισμός Θεμελιωδών Δικαιωμάτων υπέβαλε γνώμη την 1η Οκτωβρίου 2012.

II.   ΣΤΟΧΟΣ

Ο γενικός κανονισμός για την προστασία δεδομένων εναρμονίζει τους κανόνες προστασίας δεδομένων στην Ευρωπαϊκή Ένωση. Σκοπός του εν λόγω κανονισμού είναι η ενίσχυση των δικαιωμάτων προστασίας δεδομένων των φυσικών προσώπων, η διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην ενιαία αγορά και η μείωση του διοικητικού φόρτου.

III.   ΑΝΑΛΥΣΗ ΤΗΣ ΘΕΣΗΣ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΣΕ ΠΡΩΤΗ ΑΝΑΓΝΩΣΗ

Α.    Γενικές παρατηρήσεις

Δεδομένου του στόχου του Ευρωπαϊκού Συμβουλίου για επίτευξη συμφωνίας σχετικά με τη μεταρρύθμιση στον τομέα της προστασίας δεδομένων έως τα τέλη του 2015, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο διεξήγαγαν άτυπες διαπραγματεύσεις προκειμένου να εναρμονίσουν τις θέσεις τους. Το κείμενο της θέσης του Συμβουλίου σε πρώτη ανάγνωση σχετικά με τον γενικό κανονισμό για την προστασία δεδομένων αντικατοπτρίζει πλήρως τον συμβιβασμό που επιτεύχθηκε μεταξύ των δύο συννομοθετών, με την υποστήριξη της Ευρωπαϊκής Επιτροπής.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση διατηρεί τους στόχους της οδηγίας 95/46/ΕΚ, ήτοι τη διαφύλαξη των δικαιωμάτων προστασίας δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων. Ταυτόχρονα, επιδιώκει να προσαρμόσει τους κανόνες προστασίας δεδομένων που ισχύουν επί του παρόντος υπό το πρίσμα του ολοένα και αυξανόμενου όγκου δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία ως αποτέλεσμα των τεχνολογικών αλλαγών και της παγκοσμιοποίησης. Προκειμένου να θωρακιστεί ο κανονισμός έναντι μελλοντικών εξελίξεων, οι κανόνες προστασίας δεδομένων στη θέση του Συμβουλίου σε πρώτη ανάγνωση είναι τεχνολογικά ουδέτεροι.

Προκειμένου να διασφαλιστεί ένα συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και να αποτραπούν αποκλίσεις που εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει κυρίως ένα ενιαίο σύνολο κανόνων άμεσα εφαρμοστέων σε όλη την Ένωση. Η εναρμόνιση αυτή θα εξαλείψει τον κατακερματισμό που προκύπτει από τους διαφορετικούς νόμους των κρατών μελών που εφαρμόζουν την οδηγία 95/46. Εντούτοις, προκειμένου να λαμβάνονται υπόψη οι απαιτήσεις συγκεκριμένων περιπτώσεων επεξεργασίας δεδομένων και για τον δημόσιο τομέα, η θέση του Συμβουλίου σε πρώτη ανάγνωση επιτρέπει στα κράτη μέλη να διευκρινίζουν περαιτέρω στο εθνικό τους δίκαιο την εφαρμογή των κανόνων προστασίας δεδομένων που ορίζονται στον κανονισμό.

Η προστασία δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα κατοχυρωμένο στο άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Επιπλέον, το άρθρο 16 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης ορίζει ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, ανεξαρτήτως ιθαγένειας ή κατοικίας, και ότι θα πρέπει να θεσπισθούν κανόνες για τον σκοπό αυτόν και για την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Σε αυτή τη βάση, η θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζει τις αρχές και τους κανόνες προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

Προκειμένου να επιτευχθούν οι στόχοι του κανονισμού, η θέση του Συμβουλίου σε πρώτη ανάγνωση ενισχύει τη λογοδοσία των υπευθύνων επεξεργασίας (αρμόδιοι για τον καθορισμό των σκοπών και των μέσων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα) και των εκτελούντων την επεξεργασία (αρμόδιοι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας), προάγοντας ένα περιβάλλον πραγματικής προστασίας δεδομένων. Στο πλαίσιο αυτό, σε ολόκληρο τον κανονισμό, θεσπίζεται προσέγγιση βάσει κινδύνων, η οποία επιτρέπει τη διαμόρφωση των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία ανάλογα με τον κίνδυνο της επεξεργασίας δεδομένων που εκτελούν. Επιπλέον, κώδικες δεοντολογίας και μηχανισμοί πιστοποίησης συμβάλλουν στη συμμόρφωση με τους κανόνες προστασίας δεδομένων. Με την προσέγγιση αυτή αποφεύγονται οι υπερβολικά ρυθμιστικοί κανόνες και μειώνεται ο διοικητικός φόρτος, χωρίς να δυσχεραίνεται η συμμόρφωση. Επιπλέον, ο αποτρεπτικός χαρακτήρας των πιθανών επιβλητέων κυρώσεων δημιουργεί κίνητρα για τους υπεύθυνους επεξεργασίας ώστε να συμμορφώνονται με τον κανονισμό.

Οι νέοι κανόνες προστασίας δεδομένων που ορίζονται στη θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπουν επίσης ενισχυμένα και εκτελεστά δικαιώματα για τους πολίτες. Έτσι, τα φυσικά πρόσωπα ελέγχουν καλύτερα τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, γεγονός που συμβάλλει στην ενίσχυση της εμπιστοσύνης στις διασυνοριακές επιγραμμικές υπηρεσίες, οι οποίες θα τονώσουν την ενιαία ψηφιακή αγορά. Τα παιδιά χρήζουν ειδικής προστασίας, διότι ενδέχεται να γνωρίζουν λιγότερο τους κινδύνους που συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τα δικαιώματά τους.

Εξάλλου, η θέση του Συμβουλίου σε πρώτη ανάγνωση ενισχύει την ανεξαρτησία των εποπτικών αρχών, εναρμονίζοντας παράλληλα τα καθήκοντα και τις εξουσίες τους. Οι κανόνες συνεργασίας μεταξύ των εποπτικών αρχών και, κατά περίπτωση, με την Επιτροπή σε διασυνοριακές περιπτώσεις - μηχανισμός συνεκτικότητας - θα συμβάλλουν στη συνεκτική εφαρμογή του κανονισμού ανά την Ευρωπαϊκή Ένωση. Έτσι θα αυξηθεί η ασφάλεια δικαίου και θα μειωθεί ο διοικητικός φόρτος. Επιπλέον, ο μονοαπευθυντικός μηχανισμός θα προβλέπει έναν και μόνο συνομιλητή για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία όσον αφορά τις διασυνοριακές τους πράξεις επεξεργασίας, συμπεριλαμβανομένων των δεσμευτικών αποφάσεων στο πλαίσιο της επίλυσης διαφορών από το νεοσυσταθέν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Χάρη στον εν λόγω μηχανισμό, η εφαρμογή του κανονισμού θα είναι συνεκτικότερη. Επιπλέον, θα παρέχεται μεγαλύτερη ασφάλεια δικαίου και θα μειωθεί ο διοικητικός φόρτος.

Τέλος, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ένα συνολικό πλαίσιο για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση προς αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, παρέχοντας νέα εργαλεία σε σύγκριση με την οδηγία 95/46/ΕΚ.

Β.    Βασικά θέματα

Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο, επικουρούμενα από την Ευρωπαϊκή Επιτροπή, στο πλαίσιο άτυπων διαπραγματεύσεων, εναρμόνισαν τις θέσεις τους, οι οποίες καθορίζονται στη γενική προσέγγιση του Συμβουλίου και στη θέση του Κοινοβουλίου σε πρώτη ανάγνωση αντιστοίχως. Η θέση του Συμβουλίου σε πρώτη ανάγνωση σχετικά με τον γενικό κανονισμό για την προστασία δεδομένων αντικατοπτρίζει πλήρως τους συμβιβασμούς που επιτεύχθηκαν. Τα βασικά θέματα της θέσης του Συμβουλίου σε πρώτη ανάγνωση παρατίθενται στη συνέχεια.

1.    Πεδίο εφαρμογής

1.1.   Ουσιαστικό πεδίο εφαρμογής του κανονισμού και διαχωρισμός με την οδηγία περί επιβολής του νόμου

Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι ο γενικός κανονισμός για την προστασία των δεδομένων εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα εν όλω ή εν μέρει με αυτοματοποιημένα μέσα, καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα προσβάσιμων βάσει συγκεκριμένων κριτηρίων ή που πρόκειται να περιληφθούν σε τέτοιο διαρθρωμένο σύνολο. Το ουσιαστικό πεδίο εφαρμογής του γενικού κανονισμού για την προστασία των δεδομένων και το πεδίο εφαρμογής της οδηγίας για την προστασία των δεδομένων στον τομέα της επιβολής του νόμου αλληλοαποκλείονται. Διευκρινίζεται ότι ο κανονισμός δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων, της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια. Αυτή η οριοθέτηση επιτρέπει στις αρχές επιβολής του νόμου, ιδίως στην αστυνομία, να εφαρμόζουν, κατά κανόνα, το καθεστώς προστασίας δεδομένων της οδηγίας, διασφαλίζοντας παράλληλα ένα συνεκτικό και υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα για τα φυσικά πρόσωπα που υπόκεινται σε δραστηριότητες επιβολής του νόμου.

1.2.   Θεσμικά και λοιπά όργανα της ΕΕ

Προκειμένου να διασφαλισθεί ενιαία και συνεκτική προστασία των υποκειμένων των δεδομένων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, η θέση του Συμβουλίου σε πρώτη ανάγνωση διευκρινίζει ότι οι αναγκαίες προσαρμογές του κανονισμού (ΕΚ) αριθ. 45/2001, ο οποίος εφαρμόζεται στα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ, πρέπει να επέλθουν μετά από την έγκριση του γενικού κανονισμού για την προστασία των δεδομένων, ώστε ο εν λόγω κανονισμός να μπορεί να εφαρμόζεται ταυτόχρονα με τον γενικό κανονισμό για την προστασία των δεδομένων.

1.3.   Εξαίρεση της οικιακής δραστηριότητας

Προκειμένου να αποφευχθεί η θέσπιση κανόνων που θα δημιουργούσαν περιττές επιβαρύνσεις για τα άτομα, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι ο κανονισμός δεν εφαρμόζεται σε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας η οποία, ως εκ τούτου, δεν σχετίζεται με επαγγελματική ή εμπορική δραστηριότητα.

1.4.   Εδαφικό πεδίο εφαρμογής

Η θέση του Συμβουλίου σε πρώτη ανάγνωση δημιουργεί ίσους όρους ανταγωνισμού για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία όσον αφορά το εδαφικό πεδίο εφαρμογής, καλύπτοντας όλους τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ανεξαρτήτως εάν είναι εγκατεστημένοι στην Ένωση ή όχι.

Πρώτον, ο κανονισμός ορίζει ότι εφαρμόζονται κανόνες προστασίας δεδομένων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξαρτήτως της διεξαγωγής της επεξεργασίας εντός ή εκτός της Ένωσης. Δεύτερον, προκειμένου να διασφαλιστεί ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία των δεδομένων τους, ο κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων δεδομένων που βρίσκονται στην Ένωση, ακόμα και όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν είναι εγκατεστημένος στην Ένωση, αλλά εφόσον οι δραστηριότητές του επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα δεδομένων στην Ένωση, καθώς και στην παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ευρωπαϊκής Ένωσης. Επιπλέον, ο καθορισμός του πεδίου εφαρμογής κατά τον τρόπο αυτόν ενισχύει την ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας και τα υποκείμενα των δεδομένων (τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία).

Στη θέση του Συμβουλίου σε πρώτη ανάγνωση επίσης διασφαλίζεται ότι για τα υποκείμενα των δεδομένων και τις εποπτικές αρχές υπάρχει σημείο επικοινωνίας στην ΕΕ, σε περίπτωση που οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία δεν είναι εγκατεστημένοι στην Ένωση αλλά καλύπτονται από το πεδίο εφαρμογής του κανονισμού: πρέπει να ορίζουν γραπτώς εκπρόσωπο στην Ένωση. Προς αποφυγή του περιττού διοικητικού φόρτου, αυτή η υποχρέωση δεν ισχύει για επεξεργασία που δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και για επεξεργασία από δημόσια αρχή ή φορέα της τρίτης χώρας.

2.    Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Οι αρχές της προστασίας δεδομένων εφαρμόζονται σε κάθε πληροφορία που αφορά ταυτοποιήσιμο ή ταυτοποιημένο φυσικό πρόσωπο, συμπεριλαμβανομένων των πληροφοριών που δεν μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (ψευδωνυμοποίηση). Σε σύγκριση με την οδηγία 95/46, ο κανονισμός προβλέπει, σε μεγάλο βαθμό, συνέχιση των αρχών που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Ταυτόχρονα, η αρχή της «ελαχιστοποίησης των δεδομένων» έχει προσαρμοστεί ώστε να συνεκτιμάται η ψηφιακή πραγματικότητα και να εξισορροπούνται η προστασία των δεδομένων προσωπικού χαρακτήρα, αφενός, και οι δυνατότητες επεξεργασίας δεδομένων των υπευθύνων επεξεργασίας, αφετέρου.

3.    Νομιμότητα της επεξεργασίας

3.1.   Προϋποθέσεις νομιμότητας

Αποβλέποντας στην παροχή ασφάλειας δικαίου, η θέση του Συμβουλίου σε πρώτη ανάγνωση βασίζεται στην οδηγία 95/46, διευκρινίζοντας ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

Δύο προϋποθέσεις χρήζουν περαιτέρω εξέτασης: η συγκατάθεση και τα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος.

3.1.1.   Συγκατάθεση

Προκειμένου να επιτραπεί η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, το υποκείμενο των δεδομένων μπορεί να συναινέσει στην επεξεργασία με σαφή καταφατική ενέργεια που καταδεικνύει την ελεύθερη, συγκεκριμένη, εν επιγνώσει και σαφή συμφωνία του υποκειμένου των δεδομένων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Η συγκατάθεση αυτή καλύπτει όλες τις δραστηριότητες επεξεργασίας που διενεργούνται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, η συγκατάθεση πρέπει να δίνεται για όλους τους σκοπούς της επεξεργασίας. Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδεικνύει ότι το υποκείμενο των δεδομένων έχει συναινέσει στην πράξη επεξεργασίας. Ως εκ τούτου, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν συνιστούν συγκατάθεση. Το πλαίσιο της έννοιας της συγκατάθεσης διασφαλίζει συνέχιση του κεκτημένου που έχει διαμορφωθεί ως προς τη χρήση αυτής της έννοιας βάσει της οδηγίας 95/46/ΕΚ, συμβάλλοντας παράλληλα στην κοινή κατανόηση και εφαρμογή της συγκατάθεσης σε ολόκληρη την Ευρωπαϊκή Ένωση.

Επιπλέον, αποβλέποντας στη διαφύλαξη των δικαιωμάτων προστασίας δεδομένων του υποκειμένου των δεδομένων, διευκρινίζεται ότι, εάν το υποκείμενο των δεδομένων έχει παράσχει τη συγκατάθεσή του με γραπτή δήλωση που αφορά και άλλα θέματα, οποιοδήποτε μέρος αυτής της δήλωσης συνιστά παράβαση του κανονισμού δεν είναι δεσμευτικό. Επίσης, κατά την εκτίμηση κατά πόσον η συγκατάθεση δίνεται ελεύθερα, πρέπει να λαμβάνεται ιδιαιτέρως υπόψη εάν, μεταξύ άλλων, έχει τεθεί ως προϋπόθεση για την εκτέλεση σύμβασης η συγκατάθεση σε επεξεργασία που δεν είναι αναγκαία για την εκτέλεση της σύμβασης.

Τέλος, προκειμένου να επιτραπούν παρεκκλίσεις από τη γενική απαγόρευση για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει υψηλότερο ελάχιστο όριο σε σχέση με άλλες επεξεργασίες, καθώς το υποκείμενο των δεδομένων πρέπει να συναινέσει ρητώς στην επεξεργασία τέτοιων ευαίσθητων δεδομένων προσωπικού χαρακτήρα.

Όσον αφορά τα παιδιά, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ειδικό καθεστώς προστασίας για τη συγκατάθεση των παιδιών σε σχέση με την παροχή υπηρεσιών της κοινωνίας της πληροφορίας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω του ανώτατου ορίου των 16 ετών είναι σύννομη εάν μπορεί ευλόγως να επαληθευθεί, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, ότι η σχετική συναίνεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού. Τα κράτη μέλη που θεωρούν καταλληλότερη μια μικρότερη ηλικία μπορούν να ορίσουν χαμηλότερο ανώτατο ηλικιακό όριο, υπό την προϋπόθεση ότι δεν είναι κάτω των 13 ετών.

3.1.2.   Έννομο συμφέρον του υπευθύνου επεξεργασίας

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να είναι σύννομη εάν είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει υπεύθυνος επεξεργασίας ή τρίτος. Εντούτοις, τα εν λόγω έννομα συμφέροντα δεν συνιστούν επαρκή λόγο σύννομης επεξεργασίας όταν αυτών υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως όταν το υποκείμενο των δεδομένων είναι παιδί.

Η ύπαρξη έννομου συμφέροντος προϋποθέτει αξιολόγηση, μεταξύ άλλων, της ενδεχόμενης εύλογης πεποίθησης του υποκειμένου των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, ότι μπορεί να πραγματοποιηθεί επεξεργασία για τον σκοπό αυτόν. H επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι διενεργείται χάριν έννομου συμφέροντος. Δεδομένου ότι επαφίεται στον νομοθέτη να προβλέψει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, αυτό δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές κατά την εκτέλεση των καθηκόντων τους.

3.2.   Ειδικοί κανόνες των κρατών μελών για την προσαρμογή της εφαρμογής του κανονισμού

Η θέση του Συμβουλίου σε πρώτη ανάγνωση επιτρέπει στα κράτη μέλη να διατηρήσουν ή να θεσπίσουν ειδικότερες διατάξεις προσαρμογής της εφαρμογής των κανόνων του κανονισμού, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με σκοπό τη συμμόρφωση με νομική υποχρέωση ή εάν είναι απαραίτητα για την εκτέλεση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Προβλέπονται εξάλλου παρεκκλίσεις, ειδικές απαιτήσεις και άλλα μέτρα όσον αφορά συγκεκριμένες πράξεις επεξεργασίας, κατά τις οποίες τα κράτη μέλη εξισορροπούν το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και της πληροφόρησης, την πρόσβαση του κοινού σε επίσημα έγγραφα, την επεξεργασία εθνικών αριθμών μητρώου, την επεξεργασία στο πλαίσιο της απασχόλησης και την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς.

3.3.   Περαιτέρω επεξεργασία

Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι η επεξεργασία για σκοπό πλην εκείνου για τον οποίον συλλέχθηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα είναι σύννομη μόνον όταν η εν λόγω περαιτέρω επεξεργασία συνάδει με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν αρχικά σε επεξεργασία. Εντούτοις, όταν το υποκείμενο των δεδομένων έχει συναινέσει ή όταν η επεξεργασία βασίζεται σε νόμο της Ένωσης ή κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση, ειδικότερα, σημαντικών στόχων γενικών δημόσιων συμφερόντων, ο υπεύθυνος επεξεργασίας μπορεί να επεξεργάζεται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα, ανεξαρτήτως της συμβατότητας των σκοπών. Τα δικαιώματα του υποκειμένου των δεδομένων έχουν ενισχυθεί σε περίπτωση περαιτέρω επεξεργασίας, ιδίως όσον αφορά το δικαίωμα στην πληροφόρηση και το δικαίωμα εναντίωσης σε περαιτέρω επεξεργασία όταν δεν είναι αναγκαία για την εκτέλεση καθήκοντος για λόγους δημόσιου συμφέροντος.

Για να εξακριβωθεί εάν ο σκοπός της περαιτέρω επεξεργασίας συνάδει με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας πρέπει να λάβει υπόψη, μεταξύ άλλων, κάθε διασύνδεση των αρχικών σκοπών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, το πλαίσιο εντός του οποίου έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς τη μελλοντική χρήση τους, τη φύση των δεδομένων προσωπικού χαρακτήρα, τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για το υποκείμενο των δεδομένων και την ύπαρξη κατάλληλων εγγυήσεων για τις πράξεις τόσο της αρχικής όσο και της επιδιωκόμενης περαιτέρω επεξεργασίας.

3.4.   Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

Τα δεδομένα προσωπικού χαρακτήρα που είναι εκ φύσεως ιδιαίτερα ευαίσθητα χρήζουν ειδικής προστασίας, καθώς το πλαίσιο της επεξεργασίας τους μπορεί να επιφέρει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες των ατόμων. Για τον λόγο αυτόν, κατά κανόνα, η θέση του Συμβουλίου σε πρώτη ανάγνωση διατηρεί την προσέγγιση της οδηγίας 95/46 όσον αφορά την απαγόρευση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Κατά παρέκκλιση από τον κανόνα αυτόν, σε ορισμένες, περιοριστικά απαριθμούμενες περιπτώσεις, η επεξεργασία ευαίσθητων δεδομένων επιτρέπεται, για παράδειγμα όταν το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση, όταν η επεξεργασία είναι αναγκαία για λόγους ουσιαστικού δημόσιου συμφέροντος, ή όταν είναι απαραίτητη η επεξεργασία για άλλους σκοπούς, μεταξύ άλλων στον τομέα της υγείας.

Τέλος, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι τα κράτη μέλη μπορούν να θεσπίζουν περαιτέρω όρους, συμπεριλαμβανομένων περιορισμών, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Εντούτοις, οι εν λόγω επιπλέον όροι δεν πρέπει να παρακωλύουν την ελεύθερη κυκλοφορία των δεδομένων εντός της Ένωσης.

4.    Ενίσχυση του ρόλου των υποκειμένων των δεδομένων

4.1.   Εισαγωγή

Η θέση του Συμβουλίου σε πρώτη ανάγνωση ενισχύει τον ρόλο των υποκειμένων των δεδομένων, παρέχοντάς τους ενισχυμένα δικαιώματα προστασίας δεδομένων και προβλέποντας υποχρεώσεις για τους υπευθύνους επεξεργασίας. Στα δικαιώματα του υποκειμένου των δεδομένων περιλαμβάνονται το δικαίωμα στην πληροφόρηση, την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τη διόρθωση, τη διαγραφή δεδομένων προσωπικού χαρακτήρα, περιλαμβανομένου του «δικαιώματος στη λήθη», τον περιορισμό της επεξεργασίας, τη φορητότητα των δεδομένων, την εναντίωση και τη μη υπαγωγή σε απόφαση αποκλειστικά βασιζόμενη σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ. Τα δικαιώματα που υπέστησαν σημαντικές αλλαγές σε σύγκριση με την οδηγία 95/46 εξετάζονται στη συνέχεια.

Οι υπεύθυνοι επεξεργασίας υποχρεούνται να διευκολύνουν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με την αρχή της διαφάνειας, ιδίως παρέχοντας πληροφορίες σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που διενεργούν.

Εντούτοις, εάν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να ταυτοποιήσει ένα υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας των δεδομένων δεν υποχρεούται να αποκτήσει συμπληρωματικές πληροφορίες προκειμένου να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων με μοναδικό σκοπό τη συμμόρφωση προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

Παρά τα εν λόγω δικαιώματα των υποκειμένων των δεδομένων και τις εν λόγω υποχρεώσεις των υπευθύνων επεξεργασίας, η θέση του Συμβουλίου σε πρώτη ανάγνωση διατηρεί την προσέγγιση της οδηγίας 95/46, επιτρέποντας περιορισμούς των γενικών αρχών και των δικαιωμάτων του φυσικού προσώπου, εάν οι περιορισμοί βασίζονται στο δίκαιο της Ένωσης ή κράτους μέλους. Οι εν λόγω περιορισμοί πρέπει να σέβονται την ουσία των θεμελιωδών δικαιωμάτων και των ελευθεριών και να είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για τη διασφάλιση ορισμένων δημόσιων συμφερόντων.

4.2.   Διαφάνεια

Συμφώνως προς την αρχή της διαφάνειας, οι υπεύθυνοι επεξεργασίας πρέπει να παρέχουν πληροφορίες και ανακοινώσεις σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε συνοπτική, κατανοητή και εύκολα προσβάσιμη μορφή, με διαφάνεια και σαφή και απλή διατύπωση, ιδίως για τις πληροφορίες που απευθύνονται σε παιδιά. Οι πληροφορίες πρέπει να παρέχονται γραπτώς ή με άλλα μέσα, όπου ενδείκνυται με ηλεκτρονικά μέσα.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση καθορίζει επίσης προθεσμίες για αιτήματα πληροφόρησης, ανακοίνωσης ή κάθε άλλης ενέργειας από τον υπεύθυνο επεξεργασίας, τα οποία πρέπει να υποβάλλονται, κατά κανόνα, άνευ χρέωσης. Εντούτοις, εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει εύλογο τέλος λαμβάνοντας υπόψη τις διοικητικές δαπάνες για την παροχή των πληροφοριών ή της ανακοίνωσης ή για την εκτέλεση της ζητούμενης ενέργειας, ή μπορεί να αρνηθεί να ενεργήσει επί του αιτήματος. Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

4.3.   Πληροφορίες και ανακοινώσεις που πρέπει να παρέχονται από τον υπεύθυνο επεξεργασίας

Επιδιώκοντας την εξισορρόπηση της επαρκούς πληροφόρησης των υποκειμένων των δεδομένων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν με την αποφυγή επαχθών υποχρεώσεων για τους υπευθύνους επεξεργασίας, η θέση του Συμβουλίου σε πρώτη ανάγνωση περιέχει μια προσέγγιση σε δύο στάδια, προκειμένου να διασφαλίζεται ότι τα υποκείμενα των δεδομένων ενημερώνονται δεόντως, τόσο σε περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων όσο και σε περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα δεν λαμβάνονται από το υποκείμενο των δεδομένων. Στο πρώτο στάδιο, ο υπεύθυνος επεξεργασίας υποχρεούται να παράσχει στο υποκείμενο των δεδομένων, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, τις πληροφορίες που απαριθμούνται στον κανονισμό. Στο δεύτερο στάδιο, ο υπεύθυνος επεξεργασίας πρέπει να παράσχει τις πρόσθετες πληροφορίες που απαριθμούνται στον κανονισμό και είναι αναγκαίες για τη διασφάλιση θεμιτής και αποτελεσματικής επεξεργασίας. Οι υπεύθυνοι επεξεργασίας ενημερώνουν επίσης τα υποκείμενα των δεδομένων όταν προτίθενται να επεξεργαστούν περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίον είχαν συλλεχθεί αρχικά τα δεδομένα προσωπικού χαρακτήρα.

Ο υπεύθυνος επεξεργασίας δεν υποχρεούται να παράσχει τις πληροφορίες που αναφέρονται είτε στο πρώτο είτε στο δεύτερο στάδιο εάν το υποκείμενο των δεδομένων τις διαθέτει ήδη. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν λαμβάνονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας δεν παρέχει καμία πληροφορία στο υποκείμενο των δεδομένων σε περίπτωση που η καταγραφή ή η κοινολόγηση των δεδομένων προσωπικού χαρακτήρα σε τρίτους προβλέπεται ρητώς από τον νόμο, ή όταν η παροχή πληροφοριών στο υποκείμενο των δεδομένων αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογες προσπάθειες.

Τέλος, οι υπεύθυνοι επεξεργασίας υποχρεούνται να κοινοποιούν κάθε διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας σε κάθε αποδέκτη στον οποίον κοινοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται αδύνατο ή προϋποθέτει δυσανάλογη προσπάθεια. Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώσει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

4.4.   Εικονίδια

Βάσει των αρχών της διαφανούς επεξεργασίας, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται για την ύπαρξη της επεξεργασίας και τους σκοπούς της. Σε αυτό το πλαίσιο, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι οι πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων μπορούν να συνοδεύονται από τυποποιημένα εικονίδια. Οι υπεύθυνοι επεξεργασίας μπορούν να αποφασίσουν, σε προαιρετική βάση, εάν η χρήση των εν λόγω τυποποιημένων εικονιδίων θα ωφελούσε την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιούν. Τα εικονίδια πρέπει να παρουσιάζουν συνοπτικά με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο, την σκοπούμενη επεξεργασία. Τα εικονίδια πρέπει να παρέχονται ταυτόχρονα με τις πληροφορίες. Όταν τα εικονίδια διατίθενται ηλεκτρονικά, πρέπει να είναι μηχανικώς αναγνώσιμα. Προκειμένου να συμβάλλει στην τυποποιημένη χρήση εικονιδίων στην ΕΕ, ο κανονισμός εξουσιοδοτεί την Επιτροπή να εκδίδει κατ’ εξουσιοδότηση πράξεις για τον καθορισμό των πληροφοριών που παρουσιάζονται στα εικονίδια και των διαδικασιών παροχής τυποποιημένων εικονιδίων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να γνωμοδοτεί σχετικά με τα εικονίδια που προτείνει η Επιτροπή. Η δυνατότητα έκδοσης κατ’ εξουσιοδότηση πράξεων δεν εμποδίζει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδίδει κατευθυντήριες γραμμές, γνώμες και βέλτιστες πρακτικές σχετικά με τα εικονίδια.

4.5.   Δικαίωμα πρόσβασης

Το υποκείμενο των δεδομένων δικαιούται να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση ως προς την υποβολή σε επεξεργασία ή όχι δεδομένων προσωπικού χαρακτήρα που το αφορούν και, όταν τέτοια δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, δικαιούται να έχει πρόσβαση στις πληροφορίες που απαριθμούνται στον κανονισμό. Υπό το πρίσμα αυτό, ο κανονισμός διευκρινίζει ότι ο υπεύθυνος επεξεργασίας πρέπει να παράσχει, χωρίς επιβάρυνση, αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει εύλογα τέλη για διοικητικά έξοδα. Το δικαίωμα απόκτησης αντιγράφου δεν πρέπει να επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

4.6.   Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Η θέση του Συμβουλίου σε πρώτη ανάγνωση παρέχει το δικαίωμα στα υποκείμενα των δεδομένων να ζητήσουν τη διαγραφή δεδομένων προσωπικού χαρακτήρα που τα αφορούν, εάν η επεξεργασία αυτών των δεδομένων δεν συνάδει με τον κανονισμό ή με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Η αναφορά στο «δικαίωμα στη λήθη» αναγνωρίζει την ανάγκη προσαρμογής του δικαιώματος διαγραφής κυρίως στο ψηφιακό περιβάλλον. Οι υπεύθυνοι επεξεργασίας που έχουν δημοσιοποιήσει δεδομένα προσωπικού χαρακτήρα που το υποκείμενο των δεδομένων επιθυμεί να λησμονηθούν, πρέπει να λαμβάνουν εύλογα μέτρα, συμπεριλαμβανομένων τεχνικών μέτρων, ώστε να ενημερώνουν τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σχετικά με το αίτημα του υποκειμένου των δεδομένων να διαγράψουν αντίγραφα ή αναπαραγωγές αυτών των δεδομένων ή συνδέσμους προς αυτά τα δεδομένα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες διαγραφής συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό.

Το δικαίωμα διαγραφής και η υποχρέωση του υπευθύνου επεξεργασίας να ενημερώνει άλλους υπευθύνους επεξεργασίας σχετικά με το αίτημα διαγραφής δεν ισχύουν στο βαθμό που η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για σκοπούς που απαριθμούνται περιοριστικά στον κανονισμό, όπως το δικαίωμα ελευθερίας της έκφρασης και το δικαίωμα στην ενημέρωση.

4.7.   Δικαίωμα στη φορητότητα των δεδομένων

Στη θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζεται ότι, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται με αυτοματοποιημένα μέσα, τα υποκείμενα των δεδομένων δικαιούνται να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και που αυτά παρείχαν στον υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και μηχανικώς αναγνώσιμο και διαλειτουργικό μορφότυπο, καθώς και να τα διαβιβάζουν σε άλλον υπεύθυνο επεξεργασίας. Επιπλέον, διευκρινίζεται ότι, όπου αυτό είναι τεχνικά εφικτό, τα υποκείμενα των δεδομένων δικαιούνται να ζητούν την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον. Έτσι ενισχύεται περισσότερο ο έλεγχος των υποκειμένων των δεδομένων επί των δεδομένων τους. Εντείνεται επίσης ο ανταγωνισμός μεταξύ των υπευθύνων επεξεργασίας.

Εντούτοις, το εν λόγω δικαίωμα στη φορητότητα των δεδομένων δεν ισχύει για επεξεργασία που απαιτείται για την εκτέλεση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Επιπλέον, όταν ένα σύνολο δεδομένων προσωπικού χαρακτήρα αφορά περισσότερα του ενός υποκείμενα δεδομένων, το δικαίωμα ενός υποκειμένου των δεδομένων να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα δεν θίγει τα δικαιώματα και τις ελευθερίες άλλων.

4.8.   Δικαίωμα εναντίωσης

Σε περιπτώσεις όπου δεδομένα προσωπικού χαρακτήρα ενδέχεται να υποβληθούν νόμιμα σε επεξεργασία επειδή η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας ή για λόγους έννομων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου, το υποκείμενο των δεδομένων δικαιούται να εναντιωθεί στην επεξεργασία οποιουδήποτε δεδομένου προσωπικού χαρακτήρα αφορά την ιδιαίτερη κατάστασή του. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας δεν μπορεί πλέον να υποβάλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν αποδείξει ότι υφίστανται επιτακτικοί και νόμιμοι λόγοι επεξεργασίας οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή λόγοι θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων.

Στο πλαίσιο αυτό, διευκρινίζεται ότι, όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Σε αυτό περιλαμβάνεται η κατάρτιση προφίλ εφόσον σχετίζεται με την εν λόγω απευθείας εμπορική προώθηση. Ως «κατάρτιση προφίλ» νοείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται σε χρήση των δεδομένων αυτών για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου. Όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν πλέον να υποβάλλονται σε επεξεργασία για τους σκοπούς αυτούς. Επίσης, το δικαίωμα αυτό πρέπει να διευκρινίζεται ρητώς και σαφώς στο υποκείμενο των δεδομένων το αργότερο κατά την πρώτη επικοινωνία του υπευθύνου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα με το υποκείμενο των δεδομένων.

Επιπλέον, η θέση του Συμβουλίου σε πρώτη ανάγνωση περιλαμβάνει αναφορά σε επιγραμμικές δυνατότητες περιήγησης υπό συνθήκες μη ανίχνευσης («do-not-track»), διευκρινίζοντας ότι, στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών, το υποκείμενο των δεδομένων μπορεί να ασκήσει το δικαίωμα εναντίωσης με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

4.9.   Αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ

Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία αξιολογεί προσωπικές του πτυχές και παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρεμφερή τρόπο. Παραδείγματα είναι η αυτόματη άρνηση επιγραμμικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικής πρόσληψης χωρίς ανθρώπινη παρέμβαση. Στην εν λόγω αυτοματοποιημένη επεξεργασία μπορεί να περιλαμβάνεται και η κατάρτιση προφίλ. Ωστόσο, το δικαίωμα μη υπαγωγής σε αυτοματοποιημένη επεξεργασία δεν ισχύει όταν:

Ενισχύεται περαιτέρω η θέση του υποκειμένου των δεδομένων, διότι ο υπεύθυνος επεξεργασίας υποχρεούται να του παρέχει, όταν αυτό απαιτείται για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας, πληροφορίες σχετικά με την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και, τουλάχιστον σε αυτές τις περιπτώσεις, χρήσιμες πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

Τέλος, η αυτοματοποιημένη λήψη αποφάσεων και η κατάρτιση προφίλ βάσει ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπονται μόνον υπό συγκεκριμένες προϋποθέσεις, συμπεριλαμβανομένου του δικαιώματος του υποκειμένου των δεδομένων να εναντιωθεί σε μια τέτοια επεξεργασία όταν αυτά τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε περαιτέρω επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εκτός εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος προς το δημόσιο συμφέρον.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δύναται να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές για την περαιτέρω διευκρίνιση των κριτηρίων και των προϋποθέσεων λήψης αποφάσεων που βασίζονται στην κατάρτιση προφίλ.

5.    Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

5.1.   Εισαγωγή

Η θέση του Συμβουλίου σε πρώτη ανάγνωση καθορίζει το νομικό πλαίσιο για την ευθύνη και την υποχρέωση αποζημίωσης για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία εκτελείται από υπεύθυνο επεξεργασίας ή, για λογαριασμό του υπευθύνου επεξεργασίας, από εκτελούντα την επεξεργασία. Σύμφωνα με την αρχή της λογοδοσίας, ο υπεύθυνος επεξεργασίας υποχρεούται να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα και να μπορεί να αποδεικνύει τη συμμόρφωση των πράξεων επεξεργασίας προς τον κανονισμό. Στο πλαίσιο αυτό, ο κανονισμός θεσπίζει κανόνες σχετικά με τις αρμοδιότητες του υπευθύνου επεξεργασίας όσον αφορά τις εκτιμήσεις αντικτύπου, την τήρηση αρχείων επεξεργασίας, τις παραβιάσεις δεδομένων, τον ορισμό υπευθύνου προστασίας δεδομένων, τους κώδικες δεοντολογίας και τους μηχανισμούς πιστοποίησης.

5.2.   Εκτιμήσεις αντικτύπου

Ο υπεύθυνος επεξεργασίας είναι αρμόδιος για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων, προκειμένου να αξιολογείται πότε η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Στη θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζονται οι περιπτώσεις στις οποίες απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων, όπως ορισμένες ειδικές πράξεις επεξεργασίας μεγάλης κλίμακας. Εάν από την εκτίμηση αντικτύπου προκύψει ότι οι πράξεις επεξεργασίας εγκυμονούν υψηλό κίνδυνο τον οποίο ο υπεύθυνος επεξεργασίας δεν μπορεί να μετριάσει με κατάλληλα μέτρα από άποψη διαθέσιμης τεχνολογίας και κόστους εφαρμογής, πρέπει να πραγματοποιείται διαβούλευση με την εποπτική αρχή πριν από την επεξεργασία. Η εποπτική αρχή μπορεί στη συνέχεια να παράσχει συμβουλές στον υπεύθυνο επεξεργασίας και να χρησιμοποιήσει οποιαδήποτε από τις εξουσίες της.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να εκδίδει κατευθυντήριες γραμμές σχετικά με τις πράξεις επεξεργασίας που ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, καθώς και να υποδεικνύει ποια μέτρα μπορεί να επαρκούν στην περίπτωση αυτή για την αντιμετώπιση ενδεχόμενου κινδύνου.

5.3.   Αρχεία δραστηριοτήτων επεξεργασίας

Προκειμένου να καταστούν δυνατοί εκ των υστέρων έλεγχοι από την εποπτική αρχή, ο υπεύθυνος επεξεργασίας ή, εφόσον υπάρχει, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας υπό την ευθύνη τους, μεταξύ άλλων για τις παραβιάσεις δεδομένων. Αποβλέποντας στη μείωση του διοικητικού φόρτου, η υποχρέωση τήρησης αρχείων δεν ισχύει για επιχειρήσεις ή οργανισμούς που απασχολούν λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, δεν είναι περιστασιακή ή περιλαμβάνει ευαίσθητα δεδομένα ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.

5.4.   Παραβιάσεις δεδομένων

Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί να επιφέρει σωματική, υλική ή ηθική βλάβη σε φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των προσωπικών τους δεδομένων ή περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική ζημία, μη εγκεκριμένη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή κάθε άλλο οικονομικό ή κοινωνικό μειονέκτημα για τον ενδιαφερόμενο. Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι οι υπεύθυνοι επεξεργασίας οφείλουν να γνωστοποιούν τις παραβιάσεις δεδομένων στις εποπτικές αρχές, εκτός εάν η παραβίαση δεδομένων δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Οφείλουν επίσης να ανακοινώνουν στα ενδιαφερόμενα υποκείμενα των δεδομένων τις παραβιάσεις που ενδέχεται να ενέχουν υψηλό κίνδυνο. Η γνωστοποίηση προς τις εποπτικές αρχές θα καταστήσει δυνατή την παρέμβασή τους, όπου απαιτείται. Εξάλλου, η ανακοίνωση προς το ενδιαφερόμενο υποκείμενο των δεδομένων θα καταστήσει δυνατή τη λήψη προληπτικών μέτρων από μέρους του.

Αποβλέποντας στη μείωση του διοικητικού φόρτου, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει διαφορετικά όρια για τις γνωστοποιήσεις παραβιάσεων στην εποπτική αρχή και τις ανακοινώσεις στα ενδιαφερόμενα υποκείμενα των δεδομένων, με υψηλότερο όριο για την ανακοίνωση σε σχέση με την γνωστοποίηση. Οι υπεύθυνοι επεξεργασίας υποχρεούνται, από τη στιγμή που θα αντιληφθούν παραβίαση δεδομένων προσωπικού χαρακτήρα, να τη γνωστοποιήσουν στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, ει δυνατόν, το αργότερο εντός 72 ωρών από τη στιγμή που αντιλαμβάνονται την παραβίαση. Εντούτοις, οι υπεύθυνοι επεξεργασίας μπορούν να μην προβούν στην εν λόγω γνωστοποίηση, εάν μπορούν να αποδείξουν ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εκτός από ορισμένες εξαιρέσεις, οι υπεύθυνοι επεξεργασίας υποχρεούνται να ανακοινώνουν την παραβίαση των δεδομένων στα σχετικά υποκείμενα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των εν λόγω υποκειμένων των δεδομένων.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές για τον προσδιορισμό των παραβιάσεων δεδομένων και τον καθορισμό της αδικαιολόγητης καθυστέρησης αφού ο υπεύθυνος επεξεργασίας έχει αντιληφθεί την παραβίαση, καθώς και για τις συγκεκριμένες συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα και τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των ατόμων.

5.5.   Υπεύθυνος προστασίας δεδομένων

Σκοπός του ορισμού υπευθύνου προστασίας δεδομένων είναι η βελτίωση της συμμόρφωσης προς τον κανονισμό. Ως εκ τούτου, ο υπεύθυνος προστασίας δεδομένων πρέπει να είναι πρόσωπο με εξειδικευμένη γνώση του δικαίου και των πρακτικών περί προστασίας δεδομένων και να συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της εσωτερικής συμμόρφωσης προς τον παρόντα κανονισμό. Μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Μπορεί επίσης να ορίζεται ένας μόνον υπεύθυνος προστασίας δεδομένων για όμιλο επιχειρήσεων ή όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή. Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει υποχρεωτικό ορισμό υπευθύνου προστασίας δεδομένων όταν:

5.6.   Κώδικες δεοντολογίας και μηχανισμοί πιστοποίησης

Η θέση του Συμβουλίου σε πρώτη ανάγνωση παρέχει κίνητρα για την εφαρμογή κωδίκων δεοντολογίας και προάγει την ευρύτερη χρήση μηχανισμών πιστοποίησης προστασίας δεδομένων, καθώς και σφραγίδων και σημάτων προστασίας δεδομένων. Οι πρωτοβουλίες αυτές συμβάλλουν στη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, αποφεύγοντας παράλληλα τους υπερβολικά ρυθμιστικούς κανόνες και μειώνοντας τις δαπάνες για τις δημόσιες αρχές που είναι αρμόδιες για την επιβολή της νομοθεσίας. Επιπλέον, οι κώδικες δεοντολογίας μπορούν να λαμβάνουν υπόψη τα ιδιαίτερα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς, καθώς και τις ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων. Οι μηχανισμοί πιστοποίησης και οι σφραγίδες και τα σήματα προστασίας δεδομένων, από την πλευρά τους, συμβάλλουν στη συμμόρφωση προς τον κανονισμό, καθώς τα υποκείμενα των δεδομένων μπορούν εύκολα να αξιολογούν το επίπεδο προστασίας δεδομένων των σχετικών προϊόντων και υπηρεσιών.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση περιλαμβάνει ένα αναλυτικό σύνολο κανόνων σχετικά με κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων που αφήνουν περιθώρια για ιδιωτική πρωτοβουλία, προστατεύοντας παράλληλα τα πρότυπα προστασίας δεδομένων μέσω της συμμετοχής των εποπτικών αρχών.

5.6.1.   Κώδικες δεοντολογίας

Η εποπτική αρχή μπορεί να εγκρίνει κώδικες δεοντολογίας ή τροποποιήσεις ή επεκτάσεις τους. Όταν ένα σχέδιο κώδικα δεοντολογίας αφορά δραστηριότητες επεξεργασίας σε πολλά κράτη μέλη, η αρμόδια εποπτική αρχή πρέπει, πριν από την έγκριση, να υποβάλει σχέδιο κώδικα, τροποποίησης ή επέκτασης στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για γνωμοδότηση.

Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις με τις οποίες αποφασίζει ότι νέοι κώδικες δεοντολογίας και τροποποιήσεις ή επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας που έχουν εγκριθεί από την αρμόδια εποπτική αρχή έχουν γενική ισχύ εντός της Ένωσης.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να ενθαρρύνει την εκπόνηση κωδίκων δεοντολογίας. Πρέπει επίσης να συγκεντρώνει όλους τους εγκεκριμένους κώδικες δεοντολογίας και τις τροποποιήσεις τους σε μητρώο και να τους καθιστά διαθέσιμους στο κοινό με κάθε κατάλληλο μέσο.

5.6.2.   Μηχανισμοί πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων

Η θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζει ότι κάθε κράτος μέλος πρέπει να προβλέπει εάν οι φορείς πιστοποίησης διαπιστεύονται από την εποπτική αρχή ή από τον Εθνικό Οργανισμό Διαπίστευσης. Οι διαπιστευμένοι φορείς πιστοποίησης μπορούν να πιστοποιούν υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία βάσει των κριτηρίων που έχει εγκρίνει η αρμόδια εποπτική αρχή ή, σύμφωνα με τον μηχανισμό συνεκτικότητας, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στη δεύτερη περίπτωση, τα κριτήρια που έχει εγκρίνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορούν να οδηγήσουν σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων. Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο 3 ετών με δυνατότητα ανανέωσης. Ο φορέας πιστοποίησης παρέχει στην εποπτική αρχή τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης. Στη συνέχεια, η εποπτική αρχή μπορεί να απορρίψει ή να κηρύξει άκυρη την εν λόγω πιστοποίηση.

Η Επιτροπή είναι αρμόδια για την έκδοση κατ’ εξουσιοδότηση πράξεων με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να γνωμοδοτεί σχετικά με τις εν λόγω απαιτήσεις. Η Επιτροπή μπορεί επίσης να εκδίδει εκτελεστικές πράξεις περί των τεχνικών προτύπων των μηχανισμών πιστοποίησης και των σφραγίδων και των σημάτων προστασίας δεδομένων, καθώς και των μηχανισμών για την προώθηση και την αναγνώριση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας δεδομένων.

Τέλος, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων.

6.    Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

6.1.   Εισαγωγή

Η διασυνοριακή κυκλοφορία δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι πολύ σημαντική σε ένα περιβάλλον διεθνούς εμπορίου και διασυνοριακής ψηφιακής οικονομίας. Το επίπεδο προστασίας που εγγυάται η Ένωση δεν πρέπει να υπονομεύεται όταν τα δεδομένα προσωπικού χαρακτήρα πολιτών της ΕΕ διαβιβάζονται εκτός της Ένωσης.

Κατά γενική αρχή, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιείται μόνον εάν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία συμμορφώνονται με τις διατάξεις του κανονισμού. Η θέση του Συμβουλίου σε πρώτη ανάγνωση λαμβάνει πλήρως υπόψη τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένης της απόφασής του της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14. Η θέση του Συμβουλίου υποστηρίζει τους διαφορετικούς τρόπους με τους οποίους μπορούν να διεξάγονται οι διασυνοριακές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, ενισχύοντας παράλληλα τις εγγυήσεις τήρησης των δικαιωμάτων προστασίας δεδομένων. Αυτοί οι διαφορετικοί τρόποι διαβίβασης δεδομένων προσωπικού χαρακτήρα είναι αποφάσεις επάρκειας, κατάλληλες εγγυήσεις και παρεκκλίσεις.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση διευκρινίζει ότι κάθε απόφαση δικαστηρίου και κάθε απόφαση διοικητικής αρχής τρίτης χώρας που απαιτεί από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να διαβιβάσει ή να κοινοποιήσει δεδομένα προσωπικού χαρακτήρα μπορεί να αναγνωρισθεί ή να είναι εκτελεστή καθ’ οιονδήποτε τρόπο μόνον εάν βασίζεται σε διεθνή συμφωνία ισχύουσα μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Επιπλέον, στη θέση του Συμβουλίου σε πρώτη ανάγνωση διευκρινίζεται ότι τέτοιες διεθνείς συμφωνίες δεν θίγουν άλλους λόγους διασυνοριακών διαβιβάσεων που προβλέπονται στον κανονισμό.

6.2.   Αποφάσεις επάρκειας

Οι διεθνείς διαβιβάσεις μπορούν να πραγματοποιούνται βάσει απόφασης επάρκειας της Επιτροπής, σύμφωνα με την οποία η τρίτη χώρα ή έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς στην εν λόγω τρίτη χώρα ή ο εν λόγω διεθνής οργανισμός διασφαλίζουν ένα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται η Ένωση. Ως εκ τούτου, παρέχονται ασφάλεια δικαίου και ομοιογένεια σε ολόκληρη την Ένωση.

Η Επιτροπή δύναται να αποφασίσει την ανάκληση απόφασης επάρκειας, κατόπιν ειδοποίησης και πλήρους αιτιολόγησης της απόφασης προς την τρίτη χώρα ή το διεθνή οργανισμό. Η Επιτροπή εκδίδει αποφάσεις επάρκειας και αποφάσεις ανάκλησης αυτών ως εκτελεστικές πράξεις. Οι εκτελεστικές πράξεις πρέπει να προβλέπουν μηχανισμό περιοδικής επανεξέτασης τουλάχιστον κάθε τέσσερα έτη. Η Επιτροπή πρέπει να παρακολουθεί τις εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς που θα μπορούσαν να επηρεάσουν τη λειτουργία των αποφάσεων επάρκειας. Για τους σκοπούς της παρακολούθησης και της διεξαγωγής των περιοδικών επανεξετάσεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις γνώμες και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων σχετικών φορέων και πηγών. Στο πλαίσιο της αξιολόγησης και της επανεξέτασης του κανονισμού, η Επιτροπή πρέπει επίσης, σε τακτά χρονικά διαστήματα, να υποβάλλει έκθεση στο Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο. Τέλος, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να παράσχει στην Επιτροπή γνώμη σχετικά με την αξιολόγηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένης της αξιολόγησης κατά πόσον παύει να διασφαλίζεται επαρκές επίπεδο προστασίας.

Οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν με απόφαση της Επιτροπής. Στο ίδιο πνεύμα, οι άδειες από κράτος μέλος ή εποπτική αρχή βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ και οι αποφάσεις που εκδίδονται από την Επιτροπή βάσει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, από την εποπτική αρχή ή από απόφαση της Επιτροπής αντίστοιχα. Διασφαλίζοντας συνοχή, η θέση του Συμβουλίου σε πρώτη ανάγνωση παρέχει ασφάλεια δικαίου.

6.3.   Κατάλληλες εγγυήσεις

Πέραν των αποφάσεων επάρκειας, οι διασυνοριακές διαβιβάσεις μπορούν επίσης να πραγματοποιούνται εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει λάβει κατάλληλες εγγυήσεις αντιστάθμισης της έλλειψης προστασίας των δεδομένων στην τρίτη χώρα ή τον διεθνή οργανισμό. Οι σχετικές εγγυήσεις μπορεί να συνίστανται σε νομικά δεσμευτικά και εκτελεστά μέσα μεταξύ δημόσιων αρχών ή φορέων, δεσμευτικούς εταιρικούς κανόνες, τυποποιημένες ρήτρες προστασίας δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένες ρήτρες προστασίας δεδομένων που θεσπίζονται από εποπτική αρχή ή συμβατικές ρήτρες που εγκρίνονται από εποπτική αρχή. Υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία σε τρίτη χώρα μπορούν επίσης να παράσχουν τις κατάλληλες εγγυήσεις για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς. Μπορούν να το πράξουν με εγκεκριμένο κώδικα δεοντολογίας και αναλαμβάνοντας δεσμευτικές και εκτελεστές υποχρεώσεις να εφαρμόζουν τις κατάλληλες εγγυήσεις μέσω συμβατικών ή άλλων νομικά δεσμευτικών μέσων, μεταξύ άλλων και όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων. Μπορούν επίσης να το πράξουν με μηχανισμό πιστοποίησης εγκεκριμένο από την αρμόδια εποπτική αρχή, από κοινού με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων και όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

6.4.   Παρεκκλίσεις

Ελλείψει απόφασης επάρκειας ή κατάλληλων εγγυήσεων, μια διαβίβαση ή ένα σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί βάσει των παρεκκλίσεων που προσδιορίζονται διεξοδικά στον κανονισμό. Μία από αυτές τις παρεκκλίσεις αφορά τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας σε περίπτωση που τα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων δεν υπερισχύουν των συμφερόντων αυτών. Αποβλέποντας στην παροχή επαρκών εγγυήσεων για τις διασυνοριακές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, τα έννομα συμφέροντα του υπευθύνου επεξεργασίας οριοθετούνται αυστηρά και μπορούν να προβληθούν μόνον ως έσχατο μέσο (ultimum remedium). Προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή του κανονισμού, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει, με δική του πρωτοβουλία ή κατόπιν αιτήματος της Επιτροπής, να καταρτίζει και να επανεξετάζει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων διαβίβασης δεδομένων ελλείψει απόφασης επάρκειας ή κατάλληλων εγγυήσεων.

7.    Εποπτικές αρχές

7.1.   Ανεξαρτησία

Προκειμένου να προστατεύονται τα θεμελιώδη δικαιώματα και οι ελευθερίες των ατόμων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν και να διευκολύνεται η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, κάθε κράτος μέλος πρέπει να προβλέπει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του κανονισμού στο έδαφός του. Κάθε εποπτική αρχή και τα μέλη της πρέπει να ενεργούν με πλήρη ανεξαρτησία, καθώς και με ακεραιότητα, κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών που έχουν ανατεθεί στην εκάστοτε εποπτική αρχή και τα μέλη της.

Κάθε εποπτική αρχή πρέπει να συμβάλλει στη συνεκτική εφαρμογή του κανονισμού ανά την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές πρέπει να συνεργάζονται μεταξύ τους, με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και με την Επιτροπή. Η συνεκτική εφαρμογή του κανονισμού διασφαλίζεται περαιτέρω με τον προσδιορισμό των αρμοδιοτήτων των εποπτικών αρχών και τον καθορισμό των καθηκόντων και των διερευνητικών, διορθωτικών, αδειοδοτικών και συμβουλευτικών εξουσιών που πρέπει κατ’ ελάχιστον να διαθέτουν οι εποπτικές αρχές.

7.2.   Επαγγελματικό απόρρητο

Η θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζει κανόνες περί επαγγελματικού απορρήτου για τις εποπτικές αρχές και τα μέλη τους. Κατ’ αρχάς, το μέλος ή τα μέλη και το προσωπικό κάθε εποπτικής αρχής δεσμεύονται, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας τους όσο και μετά το πέρας αυτής, όσον αφορά κάθε εμπιστευτική πληροφορία η οποία περιήλθε σε γνώση τους κατά την εκτέλεση των καθηκόντων ή την άσκηση των αρμοδιοτήτων τους. Διευκρινίζεται περαιτέρω ότι, κατά τη διάρκεια της θητείας τους, η υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει ειδικότερα για την αναφορά από φυσικά πρόσωπα παραβάσεων του κανονισμού. Επιπλέον, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων είναι επιφορτισμένο με την έκδοση κατευθυντήριων γραμμών, συστάσεων και βέλτιστων πρακτικών, προκειμένου να θεσπιστούν κοινές διαδικασίες αναφοράς από φυσικά πρόσωπα παραβάσεων του κανονισμού.

8.    Συνεργασία και συνεκτικότητα

8.1.   Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Η θέση του Συμβουλίου σε πρώτη ανάγνωση συστήνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ως όργανο της Ένωσης με νομική προσωπικότητα, το οποίο διασφαλίζει την ορθή και συνεκτική εφαρμογή του κανονισμού. Οι παρεμβάσεις του ανωτέρω Συμβουλίου συνίστανται κυρίως στη γνωμοδότηση, την έκδοση δεσμευτικών αποφάσεων στο πλαίσιο της επίλυσης διαφορών μεταξύ εποπτικών αρχών ή την έκδοση κατευθυντήριων γραμμών για κάθε ζήτημα το οποίο αφορά την εφαρμογή του παρόντος κανονισμού με σκοπό τη διασφάλιση της συνεκτικής επιβολής του κανονισμού.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων απαρτίζεται από τον προϊστάμενο μίας εποπτικής αρχής κάθε κράτους μέλους και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, ή τους αντίστοιχους εκπροσώπους τους. Η Επιτροπή δικαιούται να συμμετέχει χωρίς δικαίωμα ψήφου στις δραστηριότητες και τις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Οι συζητήσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων είναι εμπιστευτικές εφόσον το εν λόγω Συμβούλιο το κρίνει απαραίτητο, όπως προβλέπεται στον εσωτερικό του κανονισμό.

Σε περίπτωση που το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στο πλαίσιο επίλυσης διαφοράς, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει δικαιώματα ψήφου μόνον επί αποφάσεων που αφορούν αρχές και κανόνες που ισχύουν στα θεσμικά όργανα, τους φορείς, τις υπηρεσίες και τους οργανισμούς της Ένωσης και αντιστοιχούν κατ’ ουσίαν στις αρχές και τους κανόνες του κανονισμού.

8.2.   Μηχανισμός συνεκτικότητας

Σε περιπτώσεις διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα όπου εμπλέκονται περισσότερες της μίας εποπτικές αρχές, ο μηχανισμός συνεκτικότητας διασφαλίζει τη λήψη μίας μόνο απόφασης ισχύουσας ανά την Ευρωπαϊκή Ένωση, λαμβάνοντας παράλληλα υπόψη τη γνώμη των διαφόρων ενδιαφερόμενων εποπτικών αρχών. Ως εκ τούτου, ο μηχανισμός συνεκτικότητας ενισχύει την εγγύτητα μεταξύ των υποκειμένων των δεδομένων και της εποπτικής αρχής που λαμβάνει τις αποφάσεις, μέσω της συμμετοχής των «τοπικών» εποπτικών αρχών στη διαδικασία λήψης αποφάσεων. Επιπλέον, σε περίπτωση διαφορών μεταξύ εποπτικών αρχών από διαφορετικά κράτη μέλη, το νεοσύστατο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων είναι αρμόδιο να λαμβάνει δεσμευτικές αποφάσεις.

Οι κανόνες του μηχανισμού συνεκτικότητας δεν εφαρμόζονται όταν η επεξεργασία διενεργείται από δημόσιες αρχές ή ιδιωτικούς φορείς με γνώμονα το δημόσιο συμφέρον. Στις περιπτώσεις αυτές, μόνη αρμόδια εποπτική αρχή είναι η εποπτική αρχή του κράτους μέλους όπου είναι εγκατεστημένοι η δημόσια αρχή ή ο ιδιωτικός φορέας.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι, στο πλαίσιο της αξιολόγησης του κανονισμού από την Επιτροπή, θα εξετάζεται η εφαρμογή του μηχανισμού συνεργασίας και συνεκτικότητας.

9.    Προσφυγές, ευθύνη και κυρώσεις

Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει αναλυτικό σύνολο κανόνων που παρέχουν στα υποκείμενα των δεδομένων πληθώρα δυνατοτήτων προσφυγής, συμπεριλαμβανομένης της αξίωσης αποζημίωσης σε περίπτωση ζημίας λόγω παράβασης του κανονισμού.

9.1.   Δικαίωμα υποβολής καταγγελίας και δικαίωμα δικαστικής προσφυγής

Η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή εάν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν συνάδει με τον παρόντα κανονισμό. Επιπλέον, κάθε υποκείμενο δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά. Έχει επίσης δικαίωμα πραγματικής δικαστικής προσφυγής σε περίπτωση που η εποπτική αρχή δεν εξετάσει την καταγγελία ή δεν παράσχει πληροφορίες για την πρόοδο ή την έκβαση της καταγγελίας.

Κάθε υποκείμενο δεδομένων έχει περαιτέρω το δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, κατά παράβαση του κανονισμού.

Η εγγύτητα μεταξύ υποκειμένου των δεδομένων και εθνικού δικαστηρίου εξασφαλίζεται, καθώς το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει να επανεξεταστεί από το εθνικό του δικαστήριο η απόφαση της αρχής προστασίας δεδομένων που το αφορά, ανεξάρτητα από το κράτος μέλος στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους το οποίο αποτελεί τον τόπο συνήθους διαμονής του υποκειμένου των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.

Τέλος, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα να ασκήσει προσφυγή για ακύρωση αποφάσεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης σύμφωνα με τους όρους που προβλέπονται στο άρθρο 263 της ΣΛΕΕ.

9.2.   Εκπροσώπηση των υποκειμένων των δεδομένων

Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε φορείς, οργανώσεις ή ενώσεις που πληρούν συγκεκριμένα κριτήρια, όπως ο μη κερδοσκοπικός χαρακτήρας των δράσεών τους και η δραστηριοποίησή τους κυρίως στον τομέα της προστασίας δεδομένων, να υποβάλουν καταγγελία για λογαριασμό του και να ασκήσουν για λογαριασμό του τα δικαιώματα δικαστικής προσφυγής και το δικαίωμα αποζημίωσης, εάν αυτό προβλέπεται από το δίκαιο του κράτους μέλους. Τα συγκεκριμένα κριτήρια αποσκοπούν στην αποφυγή της διαμόρφωσης νοοτροπίας εμπορικών αξιώσεων στον τομέα της προστασίας δεδομένων. Επιπλέον, τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε τέτοιος φορέας, οργάνωση ή ένωση έχει το δικαίωμα, στο συγκεκριμένο κράτος μέλος και ανεξαρτήτως της εντολής του υποκειμένου των δεδομένων, να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή και να ασκήσει τα δικαιώματα δικαστικής προσφυγής, εάν θεωρεί ότι τα δικαιώματα υποκειμένου δεδομένων παραβιάστηκαν ως αποτέλεσμα επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση του κανονισμού.

9.3.   Αναστολή των διαδικασιών

Προκειμένου να αποφεύγεται η εξέταση από διαφορετικά δικαστήρια του ίδιου αντικειμένου όσον αφορά επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, κάθε αρμόδιο δικαστήριο πλην του αρχικώς επιληφθέντος δικαστηρίου δύναται να αναστείλει τη διαδικασία ή, κατ’ αίτηση ενός εκ των διαδίκων, να κηρύξει εαυτό αναρμόδιο.

9.4.   Δικαίωμα αποζημίωσης και ευθύνη

Στη θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπεται ότι κάθε υποκείμενο δεδομένων το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παράβασης του κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Προκειμένου να δοθεί στα υποκείμενα των δεδομένων η δυνατότητα να αξιώνουν αποζημίωση σε περίπτωση ζημίας, παρέχοντας ταυτόχρονα ασφάλεια δικαίου στους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ο κανονισμός διευκρινίζει τις ευθύνες τους. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει σε επεξεργασία ευθύνεται για τη ζημία που προκάλεσε. Ο εκτελών την επεξεργασία ευθύνεται μόνον εάν δεν συμμορφώνεται με υποχρεώσεις του κανονισμού που απευθύνονται ειδικά σε εκτελούντες την επεξεργασία ή εάν υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Εντούτοις, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσονται από την ευθύνη εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί η ουσιαστική αποζημίωση του υποκειμένου των δεδομένων. Εντούτοις, εάν υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία έχει καταβάλει πλήρη αποζημίωση για την προκληθείσα ζημία, ο εν λόγω υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δικαιούται να ζητήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μερίδιο της ευθύνης τους για τη ζημία.

9.5.   Κυρώσεις

Αποβλέποντας στη διασφάλιση της συμμόρφωσης προς τον κανονισμό, η θέση του Συμβουλίου σε πρώτη ανάγνωση προβλέπει ότι οι εποπτικές αρχές μπορούν να επιβάλουν διοικητικά πρόστιμα. Τα εν λόγω πρόστιμα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Ένα κράτος μέλος δύναται να καθορίζει τους κανόνες περί δυνατότητας επιβολής και ύψους των διοικητικών προστίμων σε δημόσιες αρχές και φορείς εγκατεστημένους σε αυτό. Εκτός από την επιβολή διοικητικών προστίμων, οι εποπτικές αρχές μπορούν επίσης να αξιοποιούν άλλες διορθωτικές εξουσίες, όπως προειδοποιήσεις ή επιπλήξεις. Αποβλέποντας στην ενίσχυση της εναρμόνισης, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να εκπονεί κατευθυντήριες γραμμές για τις εποπτικές αρχές όσον αφορά την εφαρμογή των διορθωτικών εξουσιών των εποπτικών αρχών και τον καθορισμό των διοικητικών προστίμων.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση περιλαμβάνει κατάλογο κριτηρίων για την εποπτική αρχή, ως προς τη λήψη απόφασης περί επιβολής ή μη διοικητικού προστίμου και, σε περίπτωση θετικής απόφασης, ως προς το ποσό του προστίμου. Τα κριτήρια αυτά συνδέονται, μεταξύ άλλων, με τη φύση, τη βαρύτητα και τη διάρκεια ή τον εκ προθέσεως ή εξ αμελείας χαρακτήρα της παράβασης του κανονισμού. Ο κανονισμός απαριθμεί τις παραβιάσεις και τα αντίστοιχα μέγιστα διοικητικά πρόστιμα. Στο πλαίσιο αυτών των μέγιστων διοικητικών προστίμων, η εποπτική αρχή πρέπει να καθορίζει το κατάλληλο ποσό, ανάλογα με τις συνθήκες της εκάστοτε παραβίασης. Προκειμένου να παρέχεται ασφάλεια δικαίου στους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία και να εναρμονιστούν περισσότερο τα διοικητικά πρόστιμα εντός της Ένωσης, διατηρώντας παράλληλα ένα περιθώριο διακριτικής ευχέρειας των εποπτικών αρχών, οι παραβιάσεις αυτές υποδιαιρούνται σε τρεις κατηγορίες. Οι παραβιάσεις της πρώτης κατηγορίας αφορούν τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία και επισύρουν πρόστιμο έως και 10 000 000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο ποσό είναι υψηλότερο. Η δεύτερη κατηγορία παραβιάσεων αφορά τα δικαιώματα των υποκειμένων των δεδομένων και τις γενικές αρχές και έχει ανώτατο όριο τα 20 000 000 ευρώ ή το 4% του κύκλου εργασιών. Η τρίτη κατηγορία παραβιάσεων αφορά τη μη συμμόρφωση προς εντολή της εποπτικής αρχής και επίσης επισύρει μέγιστο πρόστιμο ύψους 20 000 000 ευρώ ή το 4% του κύκλου εργασιών.

10.    Ειδικές περιπτώσεις επεξεργασίας δεδομένων

10.1.   Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης και πληροφόρησης

Τα κράτη μέλη οφείλουν να προβλέπουν δια νόμου τη συμφιλίωση του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης. Προς διασφάλιση της διαφάνειας όσον αφορά την εξισορρόπηση των εν λόγω δικαιωμάτων, κάθε κράτος μέλος υποχρεούται να κοινοποιεί στην Επιτροπή τις σχετικές διατάξεις της νομοθεσίας του και τις τροποποιήσεις των εν λόγω διατάξεων, καθώς και κάθε νέα σχετική διάταξη.

10.2.   Επεξεργασία στο πλαίσιο της απασχόλησης

Τα κράτη μέλη μπορούν, διά νόμου ή με συλλογικές συμβάσεις, να θεσπίζουν ειδικότερους κανόνες για τη διασφάλιση της προστασίας των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης.

Οι εν λόγω κανόνες πρέπει να περιλαμβάνουν κατάλληλα και ειδικά μέτρα διαφύλαξης της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων. Κάθε κράτος μέλος πρέπει να κοινοποιεί στην Επιτροπή τις σχετικές διατάξεις της νομοθεσίας του, τις τροποποιήσεις αυτών των διατάξεων και κάθε νέα σχετική διάταξη.

10.3.   Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς

Η θέση του Συμβουλίου σε πρώτη ανάγνωση ορίζει ειδικούς κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Οι κανόνες αυτοί αποσκοπούν στην εξισορρόπηση, αφενός, του συμφέροντος στη διαθεσιμότητα δεδομένων προσωπικού χαρακτήρα για την τήρηση αρχείων, την παροχή στατιστικών στοιχείων και τη διεξαγωγή έρευνας, και, αφετέρου, των δικαιωμάτων προστασίας των δεδομένων.

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς πρέπει να υπόκειται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σύμφωνα με τον κανονισμό. Επιτρέπεται στα κράτη μέλη να προβλέπουν, υπό συγκεκριμένες προϋποθέσεις και με την επιφύλαξη κατάλληλων εγγυήσεων για τα υποκείμενα των δεδομένων, προδιαγραφές και παρεκκλίσεις όσον αφορά τις απαιτήσεις πληροφόρησης και τα δικαιώματα διόρθωσης, διαγραφής, το δικαίωμα «στη λήθη», το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης, κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς.

Η θέση του Συμβουλίου σε πρώτη ανάγνωση επιτρέπει επίσης παρέκκλιση από την απαγόρευση της επεξεργασίας ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε περίπτωση επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Η εν λόγω παρέκκλιση επιτρέπεται εάν η επεξεργασία βασίζεται στη νομοθεσία της Ένωσης ή κράτους μέλους και πρέπει να είναι ανάλογη προς τον επιδιωκόμενο στόχο, να σέβεται την ουσία του δικαιώματος στην προστασία δεδομένων και να προβλέπει κατάλληλα και ειδικά μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

11.    Συμφωνίες που έχουν συναφθεί παλαιότερα

Η θέση του Συμβουλίου σε πρώτη ανάγνωση διευκρινίζει ότι διεθνείς συμφωνίες περιλαμβάνουσες διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, συναφθείσες από κράτη μέλη πριν από την έναρξη ισχύος του παρόντος κανονισμού και συμβατές προς το ισχύον ενωσιακό δίκαιο πριν από την έναρξη ισχύος του παρόντος κανονισμού, παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν. Έτσι διασφαλίζεται η ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας και προλαμβάνεται ο περιττός διοικητικός φόρτος για τα κράτη μέλη. Λαμβάνεται επίσης υπόψη ότι τα κράτη μέλη εξαρτώνται από τη συνεργασία με την τρίτη χώρα ή τον διεθνή οργανισμό για την τροποποίηση των υφιστάμενων συμφωνιών.

IV.   ΣΥΜΠΕΡΑΣΜΑ

Η θέση του Συμβουλίου σε πρώτη ανάγνωση αντικατοπτρίζει τον συμβιβασμό που επιτεύχθηκε στις άτυπες διαπραγματεύσεις μεταξύ Συμβουλίου και Ευρωπαϊκού Κοινοβουλίου, με τη συμβολή της Επιτροπής. Το Συμβούλιο καλεί το Ευρωπαϊκό Κοινοβούλιο να εγκρίνει τυπικά τη θέση του Συμβουλίου σε πρώτη ανάγνωση χωρίς τροπολογίες, ώστε να θεσπιστεί το νέο νομοθετικό πλαίσιο της ΕΕ για την προστασία των δεδομένων, το οποίο θα ενισχύσει τα δικαιώματα προστασίας των δεδομένων, διευκολύνοντας παράλληλα την κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην ψηφιακή αγορά.