Έχοντας υπόψη:
τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 286,
την πρόταση της Επιτροπής1,
τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής2,
Αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251 της συνθήκης3,
Εκτιμώντας τα ακόλουθα:
(1) Το άρθρο 286 της συνθήκης ορίζει ότι, οι κοινοτικές πράξεις για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία αυτών, εφαρμόζονται στα όργανα και τους οργανισμούς της Κοινότητας.
(2) Ένα πλήρες σύστημα προστασίας των δεδομένων προσωπικού χαρακτήρα απαιτεί όχι μόνο την παροχή δικαιωμάτων στα υποκείμενα των δεδομένων και την επιβολή υποχρεώσεων στους φορείς που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, αλλά και την πρόβλεψη κατάλληλων κυρώσεων για τους παραβάτες καθώς και μιας ανεξάρτητης εποπτικής αρχής.
(3) Το άρθρο 286, παράγραφος 2 της συνθήκης προβλέπει τη σύσταση ανεξάρτητου εποπτικού οργάνου, επιφορτισμένου με την παρακολούθηση της εφαρμογής των εν λόγω κοινοτικών πράξεων στα όργανα και τους οργανισμούς της Κοινότητας.
(4) Το άρθρο 286 παράγραφος 2 της συνθήκης προβλέπει, εξάλλου, τη θέσπιση κάθε άλλης χρήσιμης διάταξης, ανάλογα με την περίπτωση.
(5) Εν προκειμένω, απαιτείται ένας κανονισμός προκειμένου να δοθούν στα πρόσωπα νομικώς προστατευόμενα δικαιώματα, να καθορισθούν οι υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων στο πλαίσιο των οργάνων και οργανισμών της Κοινότητας, και να συσταθεί μια ανεξάρτητη εποπτική αρχή, υπεύθυνη για την εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας.
(6) Ζητήθηκε η γνώμη της ομάδας προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία έχει συσταθεί δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών4.
(7) Τα πρόσωπα που μπορούν να προστατεύονται είναι εκείνα των οποίων δεδομένα προσωπικού χαρακτήρα επεξεργάζονται τα όργανα ή οι οργανισμοί της Κοινότητας σε οιοδήποτε πλαίσιο, παραδείγματος χάριν, διότι τα πρόσωπα αυτά απασχολούνται από αυτά τα όργανα ή τους οργανισμούς.
(8) Οι αρχές της προστασίας των δεδομένων θα πρέπει να ισχύουν για όλες τις πληροφορίες που αφορούν ένα πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί για να κριθεί κατά πόσον είναι δυνατή η εξακρίβωση της ταυτότητας ενός προσώπου, είναι σκόπιμο να λαμβάνονται υπόψη όλα τα μέσα που είναι δυνατό να χρησιμοποιήσει ευλόγως ο υπεύθυνος της επεξεργασίας ή οποιοδήποτε άλλο πρόσωπο για να εξακριβώσει την ταυτότητα του εν λόγω προσώπου οι αρχές της προστασίας δεν θα πρέπει να ισχύουν για τα δεδομένα τα οποία έχουν καταστεί επαρκώς ανώνυμα ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του υποκείμενου των δεδομένων.
(9) Η οδηγία 95/46/ΕΚ επιβάλλει στα κράτη μέλη να εξασφαλίζουν την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ούτως ώστε να εξασφαλίζεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Κοινότητα.
(10) Η οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Δεκεμβρίου 1997, περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα5, διευκρινίζει και συμπληρώνει την οδηγία 95/46/ΕΚ σε ό,τι αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των τηλεπικοινωνιών.
(11) Διάφορες άλλες κοινοτικές διατάξεις, ιδίως στον τομέα της αμοιβαίας συνδρομής μεταξύ των εθνικών διοικήσεων και της Επιτροπής, αποβλέπουν ομοίως στη διευκρίνιση και τη συμπλήρωση της οδηγίας 95/46/ΕΚ στους οικείους τομείς.
(12) Είναι απαραίτητο να διασφαλιστεί στο σύνολο της Κοινότητας η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
(13) Σκοπός είναι να διασφαλισθεί τόσο η ουσιαστική τήρηση των κανόνων προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, όσο και η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών και των οργάνων και οργανισμών της Κοινότητας, ή μεταξύ των οργάνων και οργανισμών της Κοινότητας, στο πλαίσιο της άσκησης των αντίστοιχων αρμοδιοτήτων τους.
(14) Θα πρέπει, για το σκοπό αυτό, να θεσπισθούν αναγκαστικές διατάξεις όσον αφορά τα όργανα και τους οργανισμούς της Κοινότητας οι εν λόγω διατάξεις θα πρέπει να ισχύουν για κάθε είδους επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία διενεργούν όλα τα όργανα και όλοι οι οργανισμοί της Κοινότητας, στο μέτρο που η επεξεργασία αυτή εκτελείται για την άσκηση δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του κοινοτικού δικαίου.
(15) Όταν η επεξεργασία αυτή διενεργείται από τα όργανα και τους οργανισμούς της Κοινότητας για την άσκηση δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, ιδίως εκείνων που προβλέπονται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση, η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών εξασφαλίζεται, τηρουμένου του άρθρου 6 της συνθήκης για την Ευρωπαϊκή Ένωση. Η πρόσβαση στα έγγραφα, συμπεριλαμβανομένων των όρων πρόσβασης στα έγγραφα που περιέχουν δεδομένα προσωπικού χαρακτήρα, διέπεται από τις ρυθμίσεις που έχουν θεσπιστεί δυνάμει του άρθρου 255 της συνθήκης ΕΚ το πεδίο εφαρμογής του οποίου εκτείνεται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση.
(16) Οι διατάξεις αυτές δεν εφαρμόζονται σε φορείς που έχουν συσταθεί εκτός του κοινοτικού πλαισίου και ο ευρωπαίος επόπτης προστασίας δεδομένων δεν είναι αρμόδιος να παρακολουθεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους φορείς αυτούς.
(17) Η αποτελεσματικότητα της προστασίας των προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσα στην Ένωση, προϋποθέτει τη συνεκτικότητα των κανόνων και των διαδικασιών που εφαρμόζονται ως προς το θέμα αυτό στις δραστηριότητες που υπάγονται σε διαφορετικά νομικά πλαίσια. Η εκπόνηση θεμελιωδών αρχών που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα της δικαστικής συνεργασίας επί ποινικών υποθέσεων και της αστυνομικής και τελωνειακής συνεργασίας και η σύσταση μιας γραμματείας για τις κοινές εποπτικές αρχές, τις οποίες εισάγουν η σύμβαση Ευρωπόλ, η σύμβαση για τη χρήση της πληροφορικής στον τομέα των τελωνείων και η σύμβαση Σένγκεν, αποτελούν, προς τούτο, το πρώτο στάδιο.
(18) Ο παρών κανονισμός δεν θα πρέπει να θίγει τα δικαιώματα και τις υποχρεώσεις των κρατών μελών βάσει των οδηγιών 95/46/ΕΚ και 97/66/ΕΚ και δεν αποσκοπεί στην τροποποίηση των πρακτικών και διαδικασιών οι οποίες έχουν καθιερωθεί νομίμως από τα κράτη μέλη στον τομέα της εθνικής ασφάλειας, της προάσπισης της τάξης καθώς και της πρόληψης, ανίχνευσης, έρευνας και δίωξης των αξιόποινων πράξεων, τηρουμένων των διατάξεων του πρωτοκόλλου περί προνομίων και ασυλιών των Ευρωπαϊκών Κοινοτήτων και του διεθνούς δικαίου.
(19) Τα όργανα και οι οργανισμοί της Κοινότητας απευθύνονται στις αρμόδιες αρχές των κρατών μελών, όταν κρίνουν ότι πρέπει να πραγματοποιηθούν παρακολουθήσεις επικοινωνιών στα δίκτυα τηλεπικοινωνιών τους, σύμφωνα με τις ισχύουσες εθνικές διατάξεις.
(20) Οι διατάξεις που εφαρμόζονται στα όργανα και τους οργανισμούς της Κοινότητας θα πρέπει να αντιστοιχούν προς εκείνες οι οποίες διέπουν την εναρμόνιση των εθνικών νομοθεσιών ή την εφαρμογή άλλων κοινοτικών πολιτικών, ιδίως στον τομέα της αμοιβαίας συνδρομής. Παρόλα αυτά, είναι δυνατόν να απαιτούνται διευκρινίσεις και συμπληρωματικές διατάξεις για την πραγμάτωση της προστασίας στην περίπτωση των επεξεργασιών δεδομένων προσωπικού χαρακτήρα που πραγματοποιούν τα όργανα και οι οργανισμοί της Κοινότητας.
(21) Αυτό ισχύει εξίσου για τα δικαιώματα των προσώπων τα δεδομένα των οποίων υφίστανται επεξεργασία, για τις υποχρεώσεις των οργάνων και οργανισμών της Κοινότητας που είναι υπεύθυνα για την επεξεργασία, και για τις εξουσίες που ανατίθενται στην ανεξάρτητη εποπτική αρχή η οποία είναι επιφορτισμένη να μεριμνά για την προσήκουσα εφαρμογή του παρόντος κανονισμού.
(22) Τα δικαιώματα που παρέχονται στο υποκείμενο των δεδομένων και η άσκηση των δικαιωμάτων αυτών δεν θα πρέπει να θίγουν τις υποχρεώσεις που επιβάλλονται στον υπεύθυνο της επεξεργασίας.
(23) Η ανεξάρτητη εποπτική αρχή ασκεί τα εποπτικά της καθήκοντα σύμφωνα με τη συνθήκη και σεβόμενη τα ανθρώπινα δικαιώματα και τις θεμελιώδεις ελευθερίες. Διενεργεί τις έρευνές της τηρουμένου του πρωτοκόλλου περί προνομίων και ασυλιών και του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό των Κοινοτήτων αυτών.
(24) Θα πρέπει να ληφθούν τα τεχνικά μέτρα που απαιτούνται για να καταστεί δυνατή η πρόσβαση στα μητρώα επεξεργασίας που τηρούν οι υπεύθυνοι προστασίας δεδομένων μέσω της ανεξάρτητης εποπτικής αρχής.
(25) Οι αποφάσεις της ανεξάρτητης εποπτικής αρχής σχετικά με τις εξαιρέσεις, τις εγγυήσεις, τις άδειες και τους όρους που αφορούν τις επεξεργασίες δεδομένων, όπως ορίζονται στον παρόντα κανονισμό, θα πρέπει να δημοσιεύονται στην έκθεση πεπραγμένων. Ανεξάρτητα από την ετήσια δημοσίευση της έκθεσης πεπραγμένων, η ανεξάρτητη εποπτική αρχή μπορεί να δημοσιεύει εκθέσεις για ειδικά θέματα.
(26) Ορισμένες επεξεργασίες που ενδέχεται να παρουσιάζουν ιδιαίτερο κίνδυνο όσον αφορά τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, υπόκεινται στον προκαταρκτικό έλεγχο της ανεξάρτητης εποπτικής αρχής. Η γνώμη που διατυπώνεται στα πλαίσια του προκαταρκτικού αυτού ελέγχου, συμπεριλαμβανομένης της γνώμης που προκύπτει από την έλλειψη απάντησης εντός της προβλεπομένης προθεσμίας, θα πρέπει να μην προδικάσει τη μεταγενέστερη άσκηση των εξουσιών της ανεξάρτητης εποπτικής αρχής σε σχέση με την εν λόγω επεξεργασία.
(27) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκτέλεση καθήκοντος που ασκούν χάριν του δημόσιου συμφέροντος τα όργανα και οι οργανισμοί της Κοινότητας, περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που είναι αναγκαία για τη διαχείριση και τη λειτουργία των εν λόγω οργάνων και οργανισμών.
(28) Σε ορισμένες περιπτώσεις, ενδείκνυται να προβλεφθεί ότι η επεξεργασία δεδομένων θα πρέπει να επιτρέπεται βάσει κοινοτικών διατάξεων ή πράξεων μεταφοράς κοινοτικών διατάξεων. Ωστόσο, όταν τέτοιες διατάξεις δεν υφίστανται και εν αναμονή της θεσπίσεώς τους, ο ευρωπαίος επόπτης προστασίας των δεδομένων μπορεί, μεταβατικά, να επιτρέπει την επεξεργασία τέτοιων δεδομένων με την υιοθέτηση καταλλήλων εγγυήσεων. Εν προκειμένω, λαμβάνει ιδίως υπ' όψη τις διατάξεις που έχουν θεσπίσει τα κράτη μέλη για τη ρύθμιση ανάλογων περιπτώσεων.
(29) Οι περιπτώσεις αυτές αφορούν την επεξεργασία δεδομένων τα οποία δηλώνουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία δεδομένων σχετικά με την υγεία ή τη σεξουαλική ζωή και τα οποία είναι αναγκαία προκειμένου να γίνονται σεβαστές οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας σε θέματα εργατικού δικαίου ή για σημαντικό λόγο δημοσίου συμφέροντος. Πρόκειται επίσης για την επεξεργασία δεδομένων σχετικά με αδικήματα, ποινικές καταδίκες ή μέτρα ασφαλείας ή ακόμα για την άδεια να υπαχθεί ένα υποκείμενο δεδομένων σε απόφαση η οποία παράγει νομικά αποτελέσματα έναντι αυτού ή το θίγει σε σημαντικό βαθμό, και έχει ληφθεί μόνο βάσει μιας αυτοματοποιημένης επεξεργασίας δεδομένων, η οποία έχει σκοπό να αξιολογήσει ορισμένες πτυχές της προσωπικότητάς του.
(30) Ενδέχεται να χρειάζεται ο έλεγχος των δικτύων υπολογιστών που λειτουργούν υπό την ευθύνη των οργάνων και των οργανισμών της Κοινότητας, προκειμένου να αποτρέπεται η τυχόν μη επιτρεπόμενη χρήση τους ο ευρωπαίος επόπτης προστασίας δεδομένων καθορίζει το αν και υπό ποιους όρους αυτό είναι δυνατόν.
(31) Η ευθύνη για την παραβίαση του παρόντος κανονισμού διέπεται από το άρθρο 288 δεύτερο εδάφιο της συνθήκης.
(32) Ένας ή πλείονες υπεύθυνοι για την προστασία των δεδομένων μεριμνούν, στο πλαίσιο κάθε οργάνου ή οργανισμού της Κοινότητας, για την εφαρμογή των διατάξεων του παρόντος κανονισμού και συμβουλεύουν τους υπευθύνους της επεξεργασίας κατά την εκτέλεση των υποχρεώσεών τους.
(33) Σύμφωνα με το οικείο άρθρο 21, ο κανονισμός (ΕΚ) αριθ. 322/97 του Συμβουλίου, της 17ης Φεβρουαρίου 1997, περί κοινοτικών στατιστικών6, εφαρμόζεται υπό την επιφύλαξη της οδηγίας 95/46/ΕΚ.
(34) Σύμφωνα με το οικείο άρθρο 8 παράγραφος 8, ο κανονισμός (ΕΚ) αριθ. 2533/98 του Συμβουλίου, της 23ης Νοεμβρίου 1998, όσον αφορά τη συλλογή στατιστικών πληροφοριών από την Ευρωπαϊκή Κεντρική Τράπεζα7, εφαρμόζεται υπό την επιφύλαξη της οδηγίας 95/46/ΕΚ.
(35) Σύμφωνα με το οικείο άρθρο 1 παράγραφος 2, ο κανονισμός (ΕΟΚ, Ευρατόμ) αριθ. 1588/90 του Συμβουλίου, της 11ης Ιουνίου 1990, σχετικά με τη διαβίβαση στη στατιστική Υπηρεσία των Ευρωπαϊκών Κοινοτήτων πληροφοριών που καλύπτονται από το στατιστικό απόρρητο8, δεν παρεκκλίνει από τις ειδικές κοινοτικές ή εθνικές διατάξεις που άπτονται της διαφύλαξης άλλων απορρήτων εκτός του στατιστικού.
(36) Ο παρών κανονισμός δεν αποβλέπει να περιορίσει τη διακριτική ευχέρεια των κρατών μελών κατά την κατάρτιση της εθνικής τους νομοθεσίας στον τομέα της προστασίας δεδομένων, που θεσπίζεται δυνάμει του άρθρου 32 της οδηγίας 95/46/ΕΚ, σύμφωνα με το άρθρο 249 της συνθήκης,
- 1. ΕΕ C 376 Ε της 28.12.1999, σ. 24.
- 2. ΕΕ C 51 της 23.2.2000, σ. 48.
- 3. Γνώμη του Ευρωπαϊκού Κοινοβουλίου της 14ης Νοεμβρίου 2000 και απόφαση του Συμβουλίου της 30ής Νοεμβρίου 2000.
- 4. ΕΕ L 281 της 23.11.1995, σ. 31.
- 5. ΕΕ L 24 της 30.1.1998, σ. 1.
- 6. ΕΕ L 52 της 22.2.1997, σ. 1.
- 7. ΕΕ L 318 της 27.11.1998, σ. 8.
- 8. ΕΕ L 151, 15.6.1990, σ. 1· κανονισμός όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 322/97 (ΕΕ L 52 της 22.2.1997, σ. 1).
