Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 16 παράγραφος 2,
Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών1,
Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία2,
Εκτιμώντας τα ακόλουθα:
(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («ο Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
(2) Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως το δικαίωμά τους στην προστασία δεδομένων προσωπικού χαρακτήρα. Η παρούσα οδηγία σκοπεύει να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης.
(3) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει να γίνεται επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε μια πρωτοφανή κλίμακα για τη διεξαγωγή δραστηριοτήτων όπως η πρόληψη, η διερεύνηση, η ανίχνευση ή η δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων.
(4) H ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους εντός της Ένωσης και της διαβίβασης τέτοιων δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες και διεθνείς οργανισμούς, θα πρέπει να διευκολύνεται με παράλληλη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω εξελίξεις απαιτούν την οικοδόμηση ενός ισχυρού και συνεκτικότερου πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, υποστηριζόμενου από αυστηρή επιβολή της νομοθεσίας.
(5) Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου3 εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Ωστόσο, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως δραστηριότητες στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.
(6) Η απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου4 εφαρμόζεται στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Το πεδίο εφαρμογής της εν λόγω απόφασης-πλαισίου περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή καθίστανται διαθέσιμα μεταξύ κρατών μελών.
(7) Η διασφάλιση συνεκτικής και υψηλής προστασίας δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων και η διευκόλυνση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών των κρατών μελών έχουν καθοριστική σημασία για την αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία. Για το σκοπό αυτόν, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα καθώς και αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες που διέπουν την προστασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.
(8) Το άρθρο 16 παράγραφος 2 ΣΛΕΕ δίνει εντολή στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.
(9) Επί αυτής της βάσης, ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου5 θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.
(10) Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην Τελική Πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ.
(11) Ενδείκνυται, επομένως, οι εν λόγω τομείς να διέπονται από μια οδηγία η οποία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από τις απειλές κατά της δημόσιας ασφαλείας και της αποτροπής τους, με σεβασμό της ειδικής φύσης των εν λόγω δραστηριοτήτων. Στις εν λόγω αρμόδιες αρχές θα πρέπει να περιλαμβάνονται όχι μόνο δημόσιες αρχές, όπως οι δικαστικές αρχές, η αστυνομία ή άλλες αρχές επιβολής του νόμου, αλλά και οποιοσδήποτε άλλος φορέας ή οποιαδήποτε οντότητα στα οποία δίκαιο του κράτους μέλους αναθέτει την άσκηση δημόσιας αρχής και την άσκηση δημόσιων εξουσιών για τους σκοπούς της παρούσας οδηγίας. Όταν ένας τέτοιος φορέας ή οντότητα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για σκοπούς άλλους από αυτούς της παρούσας οδηγίας, εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679. Ο κανονισμός (ΕΕ) 2016/679, ως εκ τούτου, εφαρμόζεται στις περιπτώσεις όπου φορέας ή οντότητα συλλέγει δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς και επεξεργάζεται περαιτέρω τα εν λόγω δεδομένα προκειμένου να συμμορφωθεί σε νομική υποχρέωση στην οποία υπόκειται. Για παράδειγμα για τους σκοπούς της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων τα χρηματοπιστωτικά ιδρύματα διατηρούν ορισμένα δεδομένα προσωπικού χαρακτήρα τα οποία και επεξεργάζονται, και παρέχουν τα δεδομένα αυτά μόνο στις αρμόδιες εθνικές αρχές σε ειδικές περιπτώσεις και σύμφωνα με το δίκαιο του κράτους μέλους. Οι φορείς ή οι οντότητες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό των εν λόγω αρχών εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να δεσμεύονται από σύμβαση ή άλλη νομική πράξη και από τις διατάξεις που ισχύουν για τους εκτελούντες την επεξεργασία σύμφωνα με την παρούσα οδηγία, ενώ δε θίγεται η εφαρμογή του κανονισμού (ΕΕ) 2016/679 για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την επεξεργασία εκτός του πεδίου εφαρμογής της παρούσας οδηγίας.
(12) Οι δραστηριότητες που εκτελούνται από την αστυνομία ή από άλλες αρχές επιβολής του νόμου επικεντρώνονται κυρίως στην πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, περιλαμβανομένων των αστυνομικών δραστηριοτήτων που εκτελούνται χωρίς προηγούμενη γνώση εάν ένα περιστατικό αποτελεί ποινικό αδίκημα. Στις δραστηριότητες αυτές περιλαμβάνεται επίσης η άσκηση αρμοδιότητας με τη λήψη μέτρων καταναγκασμού, όπως οι αστυνομικές δραστηριότητες σε διαδηλώσεις, σημαντικά αθλητικά γεγονότα και ταραχές. Περιλαμβάνουν επίσης την τήρηση του νόμου και της τάξης, ως καθήκον που ανατίθεται στην αστυνομία ή σε άλλες αρχές επιβολής του νόμου όπου αυτό είναι αναγκαίο για την προστασία και την αποτροπή όσον αφορά σε απειλές κατά της δημόσιας ασφάλειας και κατά θεμελιωδών συμφερόντων της κοινωνίας προστατευόμενων από τον νόμο, που ενδέχεται να οδηγήσουν σε διάπραξη ποινικού αδικήματος. Τα κράτη μέλη μπορούν να αναθέτουν στις αρμόδιες αρχές άλλα καθήκοντα που δεν ασκούνται απαραιτήτως για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, κατά τρόπο ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, εφόσον εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, να υπάγεται στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679.
(13) Η αξιόποινη πράξη κατ' εφαρμογή της παρούσας οδηγίας θα πρέπει να αποτελεί αυτοτελή έννοια του δικαίου της Ένωσης, όπως έχει ερμηνευτεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (το «Δικαστήριο»).
(14) Καθώς η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη διάρκεια δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, δραστηριότητες που αφορούν την εθνική ασφάλεια, δραστηριότητες υπηρεσιών ή μονάδων που ασχολούνται με θέματα εθνικής ασφάλειας και η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την εκτέλεση δραστηριοτήτων που εμπίπτουν στο πεδίο του τίτλου V κεφάλαιο 2 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ) δεν θα πρέπει να θεωρούνται δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.
(15) Για τη διασφάλιση του ίδιου επιπέδου προστασίας για τα φυσικά πρόσωπα μέσω νομικώς εκτελεστών δικαιωμάτων σε ολόκληρη την Ένωση και για την αποφυγή αποκλίσεων που εμποδίζουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών, η παρούσα οδηγία θα πρέπει να προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Η προσέγγιση των νομοθεσιών των κρατών μελών δεν θα πρέπει να οδηγήσει στην αποδυνάμωση της παρεχόμενης προστασίας δεδομένων προσωπικού χαρακτήρα, αλλά αντίθετα να στοχεύει στην κατοχύρωση υψηλού επιπέδου προστασίας εντός της Ένωσης. Τα κράτη μέλη δεν θα πρέπει να εμποδίζονται να προβλέπουν ισχυρότερες διασφαλίσεις από αυτές που θεσπίζονται στην παρούσα οδηγία για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε ό,τι αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.
(16) Η παρούσα οδηγία δεν θίγει την αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα. Δυνάμει του κανονισμού (ΕΕ) 2016/679, δεδομένα προσωπικού χαρακτήρα που περιέχονται σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή δημόσιος ή ιδιωτικός φορέας για την εκτέλεση καθήκοντος δημοσίου συμφέροντος μπορούν να κοινολογούνται από την εν λόγω αρχή ή τον φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο φορέας, προκειμένου να συνάδει η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα.
(17) Η προστασία που παρέχει η παρούσα οδηγία θα πρέπει να καλύπτει τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν.
(18) Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να ισχύει τόσο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και για τη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Αρχεία ή σύνολα αρχείων καθώς και τα εξώφυλλά τους, που δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας.
(19) Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου6 εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, τους οργανισμούς και τις υπηρεσίες της Ένωσης. Ο κανονισμός (ΕΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης που εφαρμόζονται σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να προσαρμοστούν στις αρχές και τους κανόνες που θεσπίστηκαν με τον κανονισμό (ΕΕ) 2016/679.
(20) Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προσδιορίζουν με σαφήνεια πράξεις και διαδικασίες επεξεργασίας στους εθνικούς κανόνες περί ποινικών διαδικασιών όσον αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές, ιδίως όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε δικαστικές αποφάσεις ή σε αρχεία σχετικά με ποινικές διαδικασίες.
(21) Οι αρχές προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για να καθοριστεί εάν ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα που είναι ευλόγως πιθανό να χρησιμοποιηθούν, όπως για παράδειγμα, ο διαχωρισμός του είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση ταυτοποίηση του φυσικού προσώπου. Για να διαπιστωθεί εάν κάποια μέσα είναι ευλόγως πιθανό να χρησιμοποιηθούν για την ταυτοποίηση του φυσικού προσώπου θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, και να συνυπολογίζονται η τεχνολογία που είναι διαθέσιμη κατά το χρόνο της επεξεργασίας και οι εξελίξεις της τεχνολογίας. Συνεπώς, οι αρχές προστασίας δεδομένων δε θα πρέπει να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή σε πληροφορίες που δεν σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο.
(22) Οι δημόσιες αρχές στις οποίες κοινολογούνται δεδομένα προσωπικού χαρακτήρα δυνάμει νομικής υποχρέωσης προς την εκτέλεση της επίσημης αποστολής τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες οικονομικών ερευνών, ανεξάρτητες διοικητικές αρχές ή αρχές εποπτείας των χρηματοπιστωτικών αγορών, οι οποίες είναι υπεύθυνες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών, δεν θα πρέπει να θεωρηθούν αποδέκτες, αν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια συγκεκριμένης έρευνας προς το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους. Τα αιτήματα κοινολόγησης που αποστέλλονται από τις δημόσιες αρχές θα πρέπει πάντα να είναι έγγραφα, αιτιολογημένα και να αφορούν στην περίσταση και δεν θα πρέπει να αφορούν το σύνολο ενός συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω δημόσιες αρχές θα πρέπει να είναι σύμφωνη με τους ισχύοντες κανόνες προστασίας των δεδομένων, σύμφωνα με τους σκοπούς της επεξεργασίας.
(23) Τα γενετικά δεδομένα θα πρέπει να ορίζονται ως δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κληρονομημένα ή αποκεκτημένα γενετικά χαρακτηριστικά ενός φυσικού προσώπου τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου και τα οποία προκύπτουν από την ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου, ιδίως από χρωμοσωμική ανάλυση δεσοξυριβονουκλεϊνικού οξέος (DNA) ή ριβονουκλεϊκού οξέος (RNA) ή από την ανάλυση άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών. Δεδομένων της πολυπλοκότητας και του ευαίσθητου χαρακτήρα των γενετικών πληροφοριών, υπάρχει μεγάλος κίνδυνος κατάχρησης και επαναχρησιμοποίησης για διάφορους σκοπούς από τον υπεύθυνο επεξεργασίας. Κάθε διάκριση βάσει γενετικών χαρακτηριστικών θα πρέπει, καταρχήν, να απαγορεύεται.
(24) Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Σε αυτές περιλαμβάνονται και πληροφορίες σχετικά με το φυσικό πρόσωπο αυτό που συλλέγονται κατά τη διαδικασία της εγγραφής του προσώπου για την παροχή υπηρεσιών υγείας ή κατά την παροχή των υπηρεσιών αυτών, όπως αναφέρεται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου7· ένας αριθμός, σύμβολο ή χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την αδιαμφισβήτητη ταυτοποίησή του για σκοπούς υγείας· πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, περιλαμβανομένων των γενετικών δεδομένων και βιολογικών δειγμάτων· και κάθε πληροφορία, π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, για παράδειγμα, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.
(25) Όλα τα κράτη μέλη συνδέονται με τον Διεθνή Οργανισμό Εγκληματολογικής Αστυνομίας (Interpol). Για την εκπλήρωση της αποστολής της, η Interpol λαμβάνει, αποθηκεύει και κυκλοφορεί δεδομένα προσωπικού χαρακτήρα, με σκοπό να παρέχει στις αρμόδιες αρχές συνδρομή κατά την πρόληψη και την καταπολέμηση της διεθνούς εγκληματικότητας. Ενδείκνυται, ως εκ τούτου, να ενισχυθεί η συνεργασία μεταξύ της Ένωσης και της Interpol μέσω της προαγωγής της αποτελεσματικής ανταλλαγής δεδομένων προσωπικού χαρακτήρα, με παράλληλη εξασφάλιση του σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών που αφορούν την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όποτε διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την Ένωση προς την Ιντερπόλ, και προς χώρες που έχουν εντεταλμένα μέλη στην Interpol, θα πρέπει να εφαρμόζεται η παρούσα οδηγία, ιδίως οι διατάξεις σχετικά με τις διεθνείς διαβιβάσεις. Η παρούσα οδηγία θα πρέπει να ισχύει με την επιφύλαξη των ειδικών κανόνων που καθορίζονται στην κοινή θέση 2005/69/ΔΕΥ του Συμβουλίου8 και στην απόφαση 2007/533/ΔΕΥ του Συμβουλίου9.
(26) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά και να πραγματοποιείται μόνο για συγκεκριμένους σκοπούς που προβλέπονται από το νόμο. Η αρχή αυτή καθεαυτή δεν εμποδίζει τις αρχές επιβολής του νόμου να ασκούν δραστηριότητες όπως οι μυστικές έρευνες ή η βιντεοεπιτήρηση. Τέτοιες δραστηριότητες μπορούν να ασκούνται για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, εφόσον ορίζονται από τον νόμο και συνιστούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, με δέουσα συνεκτίμηση των έννομων συμφερόντων του ενδιαφερομένου. Η αρχή της θεμιτής επεξεργασίας για την προστασία των δεδομένων είναι ξεχωριστή έννοια που απορρέει από το δικαίωμα σε δίκαιη δίκη όπως ορίζεται στο άρθρο 47 του Χάρτη και στο άρθρο 6 της Ευρωπαϊκής σύμβασης για την προστασία των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών (ΕΣΔΑ). Θα πρέπει να γνωστοποιούνται στα πρόσωπα οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, καθώς και ο τρόπος άσκησης των δικαιωμάτων τους σε σχέση με την επεξεργασία αυτή. Ειδικότερα, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και σχετικά με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Προς τούτο, θα πρέπει κυρίως να διασφαλίζεται ότι τα συλλεχθέντα δεδομένα προσωπικού χαρακτήρα δεν πλεονάζουν και δεν διατηρούνται περισσότερο από όσο απαιτείται για τον σκοπό για τον οποίο υποβάλλονται σε επεξεργασία. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να εξασφαλιστεί ότι τα δεδομένα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή ή την περιοδική επανεξέτασή τους. Τα κράτη μέλη θα πρέπει να θεσπίσουν κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται πέραν της περιόδου αυτής για λόγους αρχειοθέτησης προς το δημόσιο συμφέρον και επιστημονικής, στατιστικής ή ιστορικής χρήσης.
(27) Για την πρόληψη, διερεύνηση και τη δίωξη ποινικών αδικημάτων, οι αρμόδιες αρχές πρέπει να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα που συλλέγονται στο πλαίσιο της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης συγκεκριμένων ποινικών αδικημάτων και πέραν του πλαισίου αυτού, ώστε να κατανοούν καλύτερα τις εγκληματικές δραστηριότητες και να προβαίνουν σε συσχετισμούς μεταξύ διαφορετικών διαπιστωθέντων ποινικών αδικημάτων.
(28) Για να τηρείται η ασφάλεια σε σχέση με την επεξεργασία και να αποτρέπεται η επεξεργασία κατά παράβαση της παρούσας οδηγίας, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο ώστε να εξασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας και εμπιστευτικότητας, μεταξύ άλλων με την αποτροπή της μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα ή τη χρήση τους και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία, λαμβανομένων υπόψη του επιπέδου της διαθέσιμης τεχνολογίας, του κόστους εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευτούν.
(29) Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς εντός του πεδίου εφαρμογής της παρούσας οδηγίας και δεν θα πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον ίδιο ή άλλον υπεύθυνο επεξεργασίας εντός του πεδίου εφαρμογής της παρούσας οδηγίας, εκτός από αυτόν για τον οποίο έχουν συλλεγεί, η εν λόγω επεξεργασία θα πρέπει να είναι δυνατή υπό την προϋπόθεση ότι η εν λόγω επεξεργασία επιτρέπεται σύμφωνα με τις ισχύουσες νομικές διατάξεις και είναι αναγκαία και ανάλογη προς τον σκοπό αυτόν.
(30) Η αρχή της ακρίβειας των δεδομένων θα πρέπει να εφαρμόζεται έχοντας ως γνώμονα τη φύση και τον σκοπό της εκάστοτε επεξεργασίας. Σε δικαστικές διαδικασίες, ειδικότερα, δηλώσεις οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα βασίζονται στην υποκειμενική αντίληψη φυσικών προσώπων και δεν είναι πάντα επαληθεύσιμες. Ως εκ τούτου, η απαίτηση της ακρίβειας δε θα πρέπει να αφορά στην ορθότητα της δήλωσης, αλλά απλώς στο γεγονός ότι πραγματοποιήθηκε μια συγκεκριμένη δήλωση.
(31) Αναπόσπαστο στοιχείο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν διαφορετικές κατηγορίες υποκειμένων των δεδομένων. Επομένως, όπου αρμόζει και στον βαθμό του εφικτού, θα πρέπει να γίνεται σαφής διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα που αφορούν σε διαφορετικές κατηγορίες υποκειμένων δεδομένων, όπως υπόπτων, προσώπων που έχουν καταδικαστεί για ποινικό αδίκημα, θυμάτων και άλλων, π.χ. μαρτύρων, προσώπων που κατέχουν σχετικές πληροφορίες ή προσώπων επαφής και συνεργών υπόπτων και καταδικασθέντων εγκληματιών. Αυτό δεν θα πρέπει να εμποδίζει την εφαρμογή του δικαιώματος του τεκμηρίου της αθωότητας, όπως κατοχυρώνεται από το Χάρτη και από την ΕΣΔΑ, όπως αυτά ερμηνεύονται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων αντιστοίχως.
(32) Οι αρμόδιες αρχές θα πρέπει να διασφαλίζουν ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ακριβή, πλήρη ή επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Για να διασφαλίζονται η προστασία των φυσικών προσώπων και η ακρίβεια, η πληρότητα ή ο βαθμός επικαιροποίησης και η αξιοπιστία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται, οι αρμόδιες αρχές θα πρέπει, στο μέτρο του δυνατού, να προσθέτουν τις απαραίτητες πληροφορίες σε κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα.
(33) Όπου η παρούσα οδηγία παραπέμπει στη νομοθεσία των κρατών μελών, σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από κοινοβούλιο, με την επιφύλαξη των απαιτήσεων της συνταγματικής τάξης του εκάστοτε κράτους μέλους. Ωστόσο, η εν λόγω νομοθεσία των κρατών μελών, η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένα με σαφήνεια και ακρίβεια και η εφαρμογή τους να είναι προβλέψιμη για όσους υπόκεινται σε αυτά, όπως απαιτείται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Η νομοθεσία των κρατών μελών που ρυθμίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να καθορίζει τουλάχιστον τους στόχους, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της επεξεργασίας και τις διαδικασίες για τη διατήρηση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα και τις διαδικασίες για την καταστροφή τους, παρέχοντας ως εκ τούτου επαρκείς εγγυήσεις κατά του κινδύνου κατάχρησης και αυθαιρεσίας.
(34) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, θα πρέπει να καλύπτει κάθε πράξη ή σύνολο πράξεων που εκτελείται επί δεδομένων προσωπικού χαρακτήρα ή συνόλων δεδομένων προσωπικού χαρακτήρα για αυτούς τους σκοπούς, είτε χρησιμοποιούνται αυτοματοποιημένα μέσα είτε άλλα, όπως η συλλογή, η αρχειοθέτηση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η αλλοίωση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η συσχέτιση ή ο συνδυασμός, ο περιορισμός της επεξεργασίας, η διαγραφή ή η καταστροφή. Ειδικότερα, οι κανόνες της παρούσας οδηγίας θα πρέπει να εφαρμόζονται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παρούσας οδηγίας σε αποδέκτη που δεν υπόκειται στην παρούσα οδηγία. Σε έναν τέτοιο αποδέκτη θα πρέπει να περιλαμβάνεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή κάθε άλλος φορέας στον οποίο κοινολογούνται νομίμως δεδομένα προσωπικού χαρακτήρα από την αρμόδια αρχή. Σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα είχαν αρχικά συλλεγεί από αρμόδια αρχή για έναν από τους σκοπούς της παρούσας οδηγίας, ο κανονισμός (ΕΕ) 2016/679 θα πρέπει να εφαρμόζεται στην επεξεργασία των δεδομένων αυτών για σκοπούς διαφορετικούς από εκείνους της παρούσας οδηγίας, όταν η επεξεργασία αυτή επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο των κρατών μελών. Ειδικότερα, οι κανόνες του κανονισμού (ΕΕ) 2016/679 θα πρέπει να εφαρμόζονται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα για σκοπούς που δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αποδέκτη που δεν είναι ή δεν ενεργεί ως αρμόδια αρχή κατά την έννοια της παρούσας οδηγίας και προς τον οποίο κοινοποιούνται νομίμως δεδομένα προσωπικού χαρακτήρα από αρμόδια αρχή, θα πρέπει να εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679. Κατά την εφαρμογή της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει επίσης να μπορούν να εξειδικεύσουν περαιτέρω τις λεπτομέρειες εφαρμογής των κανόνων του κανονισμού (ΕΕ) 2016/679, υπό τις προϋποθέσεις που προβλέπονται σε αυτόν.
(35) Για να είναι σύννομη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της παρούσας οδηγίας θα πρέπει να είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται προς το δημόσιο συμφέρον από αρμόδια αρχή βάσει του δικαίου της Ένωσης ή των κρατών μελών για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Οι εν λόγω δραστηριότητες θα πρέπει να καλύπτουν για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων. Η εκτέλεση των καθηκόντων πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων η οποία ανατίθεται θεσμικά από τον νόμο στις αρμόδιες αρχές παρέχει σε αυτές τη δυνατότητα να απαιτούν από φυσικά πρόσωπα ή να δίνουν εντολή σε αυτά να συμμορφωθούν προς τα σχετικά αιτήματα. Σε μία τέτοια περίπτωση, η συγκατάθεση του υποκειμένου των δεδομένων όπως ορίζεται στον κανονισμό (ΕΕ) 2016/679 δεν θα πρέπει να παρέχει νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. Όταν το υποκείμενο των δεδομένων υποχρεούται να συμμορφωθεί προς νομική υποχρέωση, δεν έχει ουσιαστική και ελεύθερη επιλογή και, κατά συνέπεια, η αντίδρασή του υποκειμένου των δεδομένων δεν μπορεί να θεωρηθεί ως ελεύθερη δήλωση της βούλησής του. Αυτό δεν θα πρέπει να εμποδίζει τα κράτη μέλη να προβλέπουν με νόμο ότι το υποκείμενο των δεδομένων μπορεί να συμφωνήσει με την επεξεργασία των δικών του δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παρούσας οδηγίας, όπως εξέταση DNA στις ποινικές έρευνες ή την επιτήρηση της θέσης στην οποία αυτός ή αυτή βρίσκεται με ηλεκτρονικές ετικέτες με σκοπό την εκτέλεση των ποινικών κυρώσεων.
(36) Τα κράτη μέλη θα πρέπει να προβλέπουν ότι, όταν το δίκαιο της Ένωσης ή των κρατών μελών στο οποίο υπάγεται η διαβιβάζουσα αρμόδια αρχή προβλέπει την εφαρμογή ειδικών όρων σε περίπτωση που συντρέχουν ειδικές περιστάσεις κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η χρήση κωδικών διαχείρισης, τότε η διαβιβάζουσα αρμόδια αρχή θα πρέπει να ενημερώνει τον αποδέκτη τέτοιων προσωπικών δεδομένων σχετικά με αυτούς τους όρους και με την υποχρέωση τήρησής τους. Οι όροι αυτοί θα μπορούσαν, π.χ. να προβλέπουν την απαγόρευση διαβίβασης των προσωπικών δεδομένων σε άλλους ή την απαγόρευση χρήσης τους για σκοπούς άλλους από αυτούς για τους οποίους διαβιβάστηκαν στον αποδέκτη ή την απαγόρευση μη ενημέρωσης του υποκειμένου των δεδομένων στην περίπτωση περιορισμού του δικαιώματος ενημέρωσης χωρίς πρότερη έγκριση της διαβιβάζουσας αρμόδιας αρχής. Οι υποχρεώσεις αυτές θα πρέπει να ισχύουν για διαβιβάσεις από τη διαβιβάζουσα αρμόδια αρχή προς αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει όρους σε αποδέκτες σε άλλα κράτη μέλη ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν ιδρυθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 ΣΛΕΕ διαφορετικούς από τους όρους που εφαρμόζονται σε παρόμοιες διαβιβάσεις δεδομένων εντός του κράτους μέλους της εν λόγω αρμόδιας αρχής.
(37) Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους μπορεί να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις θεμελιώδεις ελευθερίες. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα θα πρέπει να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, όπου η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν συνεπάγεται ότι η Ένωση αποδέχεται θεωρίες που υποστηρίζουν την ύπαρξη χωριστών ανθρώπινων φυλών. Τέτοια δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία υπόκειται εκ του νόμου σε κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και επιτρέπεται σε περιπτώσεις που προβλέπονται από τον νόμο ή, εάν δεν προβλέπονται ήδη από τον νόμο, η επεξεργασία είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου ή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. Οι κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων μπορούν να περιλαμβάνουν τη δυνατότητα συλλογής των δεδομένων αυτών μόνο σε σχέση με άλλα δεδομένα που αφορούν το συγκεκριμένο φυσικό πρόσωπο, τη δέουσα ασφάλεια των συλλεγόμενων δεδομένων, αυστηρότερους κανόνες σχετικά με την πρόσβαση του προσωπικού της αρμόδιας αρχής στα δεδομένα και την απαγόρευση διαβίβασης των εν λόγω δεδομένων. Η επεξεργασία των εν λόγω δεδομένων θα πρέπει επίσης να επιτρέπεται από τον νόμο όταν το υποκείμενο των δεδομένων έχει συμφωνήσει ρητά σε επεξεργασία που είναι ιδιαίτερα παρεμβατική για αυτό. Ωστόσο, η συγκατάθεση του υποκειμένου των δεδομένων δε θα πρέπει να παρέχει αυτή καθαυτή νομική βάση για την επεξεργασία τέτοιων ευαίσθητων δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.
(38) Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, παράγει δυσμενή έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά. Σε κάθε περίπτωση, αυτή η επεξεργασία θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, όπως η πρόβλεψη για ειδική ενημέρωση του υποκειμένου των δεδομένων, το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, κυρίως το δικαίωμα διατύπωσης της άποψής του, το δικαίωμα να απαιτήσει αιτιολόγηση της απόφασης που ελήφθη κατόπιν της εν λόγω αξιολόγησης και το δικαίωμα αμφισβήτησης της απόφασης. Η κατάρτιση προφίλ που οδηγεί σε διακρίσεις εις βάρος προσώπων με βάση δεδομένα προσωπικού χαρακτήρα, τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα και ελευθερίες, θα πρέπει να απαγορεύεται, υπό τους όρους που προβλέπονται στα άρθρα 21 και 52 του Χάρτη.
(39) Για να είναι δυνατή η άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, κάθε ενημέρωση που του παρέχεται θα πρέπει να είναι εύκολα προσβάσιμη, μεταξύ άλλων και στο δικτυακό τόπο του υπευθύνου επεξεργασίας, και εύκολα κατανοητή, μέσω της χρήσης σαφούς και απλής διατύπωσης. Οι πληροφορίες αυτές θα πρέπει να προσαρμόζονται στις ανάγκες των ευάλωτων ατόμων, όπως των παιδιών.
(40) Θα πρέπει να προβλέπονται ρυθμίσεις για τη διευκόλυνση της άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων βάσει των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, μεταξύ των οποίων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και περιορισμός της επεξεργασίας των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά στα αιτήματα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, εκτός εάν ο υπεύθυνος επεξεργασίας εφαρμόζει περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με την παρούσα οδηγία. Περαιτέρω, εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, όπως όταν το υποκείμενο των δεδομένων ζητεί αδικαιολόγητα και κατ' επανάληψη πληροφορίες ή όταν το υποκείμενο των δεδομένων κάνει κατάχρηση του δικαιώματός του για λήψη πληροφοριών, π.χ. σε περίπτωση παροχής ψευδών ή παραπλανητικών πληροφοριών κατά την υποβολή του αιτήματος, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να επιβάλει εύλογο τέλος ή να αρνηθεί να ανταποκριθεί στο αίτημα.
(41) Όταν ο υπεύθυνος επεξεργασίας ζητεί την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων, οι πληροφορίες αυτές θα πρέπει να υποβάλλονται σε επεξεργασία μόνο για τον συγκεκριμένο αυτό σκοπό και να μην αποθηκεύονται για χρονικό διάστημα μεγαλύτερο από το απαιτούμενο για τον σκοπό αυτό.
(42) Στο υποκείμενο των δεδομένων θα πρέπει να διατίθενται τουλάχιστον οι ακόλουθες πληροφορίες: η ταυτότητα του υπευθύνου επεξεργασίας, η ύπαρξη της πράξης επεξεργασίας, οι σκοποί της επεξεργασίας, το δικαίωμα υποβολής καταγγελίας και το ότι έχει δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα και διόρθωση, διαγραφή ή περιορισμό της. Αυτό μπορεί να γίνει στο δικτυακό τόπο της αρμόδιας αρχής. Επιπλέον, σε ειδικές περιπτώσεις και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για τη νομική βάση της επεξεργασίας και για τη διάρκεια αποθήκευσης των δεδομένων, στον βαθμό που οι πληροφορίες αυτές είναι αναγκαίες, λαμβανομένων υπόψη των ειδικών συνθηκών υπό τις οποίες τα δεδομένα υπόκεινται σε επεξεργασία, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του υποκειμένου των δεδομένων.
(43) Ένα φυσικό πρόσωπο θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συνελέγησαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση της επεξεργασίας και να ελέγχει τη νομιμότητά της. Επομένως, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του γνωστοποιείται ειδικότερα για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων, για πόσο χρόνο γίνεται η επεξεργασία των δεδομένων και ποιοι αποδέκτες λαμβάνουν τα δεδομένα, μεταξύ άλλων και σε τρίτες χώρες. Όταν η εν λόγω γνωστοποίηση περιλαμβάνει πληροφορίες σχετικά με την προέλευση των δεδομένων προσωπικού χαρακτήρα, οι πληροφορίες αυτές δεν θα πρέπει να αποκαλύπτουν την ταυτότητα φυσικών προσώπων, ιδίως δε των εμπιστευτικών πηγών. Προκειμένου το δικαίωμα αυτό να ασκείται δεόντως, αρκεί το υποκείμενο των δεδομένων να έχει στην κατοχή του πλήρη περίληψη των εν λόγω δεδομένων σε κατανοητή μορφή, ήτοι σε μορφή που επιτρέπει στο υποκείμενο των δεδομένων να λάβει γνώση των εν λόγω δεδομένων και να επαληθεύσει την ακρίβειά τους και τη συμμόρφωση της επεξεργασίας τους προς την παρούσα οδηγία, ώστε να μπορεί να ασκήσει τα δικαιώματα που του παρέχει η παρούσα οδηγία. Η εν λόγω σύνοψη μπορεί να λάβει τη μορφή αντιγράφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.
(44) Τα κράτη μέλη θα πρέπει να έχουν το δικαίωμα θέσπισης νομοθετικών μέτρων τα οποία καθυστερούν, περιορίζουν ή παραλείπουν την ενημέρωση των υποκειμένων των δεδομένων ή περιορίζουν εν όλω ή εν μέρει την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που τα αφορούν, στον βαθμό που και εφόσον ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, με δέουσα συνεκτίμηση των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, για την αποφυγή παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, την αποφυγή παρεμπόδισης της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, την προστασία της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. Ο υπεύθυνος επεξεργασίας θα πρέπει να εκτιμά βάσει συγκεκριμένης και ατομικής εξέτασης κάθε περίπτωσης αν το δικαίωμα πρόσβασης πρέπει να περιοριστεί εν όλω ή εν μέρει.
(45) Κάθε άρνηση ή περιορισμός πρόσβασης θα πρέπει καταρχήν να γνωστοποιείται εγγράφως στο υποκείμενο των δεδομένων και να περιλαμβάνει τους αντικειμενικούς ή νομικούς λόγους στους οποίους βασίζεται η απόφαση.
(46) Κάθε περιορισμός των δικαιωμάτων του υποκειμένου των δεδομένων πρέπει να συμμορφώνεται με το Χάρτη και με την ΕΣΔΑ, όπως ερμηνεύονται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων αντίστοιχα, ιδίως δε να σέβεται την ουσία των εν λόγω δικαιωμάτων και ελευθεριών.
(47) Ένα φυσικό πρόσωπο θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, ιδίως σχετικά με πραγματικά περιστατικά, καθώς και το δικαίωμα να ζητεί τη διαγραφή δεδομένων, εάν η επεξεργασία των εν λόγω δεδομένων παραβιάζει την παρούσα οδηγία. Ωστόσο, το δικαίωμα διόρθωσης δεν θα πρέπει να επηρεάζει, π.χ. το περιεχόμενο κατάθεσης μάρτυρα. Ένα φυσικό πρόσωπο θα πρέπει να έχει επίσης το δικαίωμα περιορισμού της επεξεργασίας, όταν αμφισβητεί την ακρίβεια των δεδομένων προσωπικού χαρακτήρα και η ακρίβεια ή ανακρίβεια δεν είναι δυνατόν να διαπιστωθεί ή όταν τα δεδομένα προσωπικού χαρακτήρα επιβάλλεται να διατηρηθούν για σκοπούς απόδειξης. Ειδικότερα, για τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να προβλέπεται, αντί της διαγραφής τους, περιορισμένη πρόσβαση σε περίπτωση που υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι η διαγραφή τους θα μπορούσε να βλάψει τα έννομα συμφέροντα του υποκειμένου των δεδομένων. Στην περίπτωση αυτή, τα δεδομένα περιορισμένης πρόσβασης θα πρέπει να υπόκεινται σε επεξεργασία μόνο για τον σκοπό για τον οποίο παρεμποδίστηκε η διαγραφή τους. Οι μέθοδοι για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορούν να περιλαμβάνουν, μεταξύ άλλων, τη μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, π.χ. για σκοπούς αρχειοθέτησης, ή τη μη διαθεσιμότητα των επιλεγμένων δεδομένων. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, ο περιορισμός της επεξεργασίας θα πρέπει καταρχήν να εξασφαλίζεται με τεχνικά μέσα. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται θα πρέπει να αναγράφεται στο σύστημα κατά τρόπο ώστε να είναι σαφές ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι περιορισμένη. Η διόρθωση αυτή ή η διαγραφή δεδομένων προσωπικού χαρακτήρα ή ο περιορισμός της επεξεργασίας θα πρέπει να κοινοποιείται στους αποδέκτες στους οποίους έχουν κοινολογηθεί τα δεδομένα και στις αρμόδιες αρχές από τις οποίες προήλθαν τα ανακριβή δεδομένα. Οι υπεύθυνοι επεξεργασίας δεν θα πρέπει εξάλλου να διαδίδουν περαιτέρω τα δεδομένα αυτά.
(48) Σε περίπτωση που ο υπεύθυνος επεξεργασίας αρνηθεί σε υποκείμενο δεδομένων το δικαίωμά του για ενημέρωση, πρόσβαση ή διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητήσει έλεγχο της νομιμότητας της επεξεργασίας από την εθνική εποπτική αρχή. Το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για το δικαίωμα αυτό. Όταν η εποπτική αρχή δρα εκ μέρους του υποκειμένου των δεδομένων, θα πρέπει να ενημερώσει το υποκείμενο των δεδομένων τουλάχιστον ότι πραγματοποίησε όλες τις απαραίτητες επαληθεύσεις ή επανεξετάσεις. Η εποπτική αρχή θα πρέπει επίσης να ενημερώσει το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει δικαστική προσφυγή.
(49) Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και ποινικής διαδικασίας ενώπιον δικαστηρίου, τα κράτη μέλη θα πρέπει να μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων ενημέρωσης, πρόσβασης και διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με τους εθνικούς κανόνες περί δικαστικών διαδικασιών.
(50) Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας προς την παρούσα οδηγία. Τα μέτρα αυτά θα πρέπει να λαμβάνουν υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων. Τα μέτρα που λαμβάνονται από τον υπεύθυνο επεξεργασίας θα πρέπει να περιλαμβάνουν την κατάρτιση και εφαρμογή ειδικών εγγυήσεων όσον αφορά τη διαχείριση δεδομένων προσωπικού χαρακτήρα που αφορούν σε ευάλωτα πρόσωπα, όπως σε παιδιά.
(51) Ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ο οποίος διαφέρει ως προς την πιθανότητα επέλευσής του ή τη σοβαρότητά του, είναι δυνατό να προκύπτουν από επεξεργασία δεδομένων η οποία θα μπορούσε να προκαλέσει σωματική, υλική ή ηθική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική ζημία, προσβολή της φήμης, απώλεια της εμπιστευτικότητας δεδομένων που προστατεύονται από επαγγελματικό απόρρητο, μη εξουσιοδοτημένη άρση της ψευδωνυμοποίησης ή σε οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· ή όταν τα υποκείμενα των δεδομένων ενδέχεται να στερηθούν τα δικαιώματα και τις ελευθερίες τους ή τη δυνατότητα άσκησης ελέγχου επί δεδομένων προσωπικού χαρακτήρα που τα αφορούν· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα· όταν γίνεται επεξεργασία γενετικών δεδομένων ή βιομετρικών δεδομένων για την αδιαμφισβήτητη ταυτοποίηση ενός προσώπου ή δεδομένων που αφορούν στην υγεία ή δεδομένων που αφορούν στη σεξουαλική ζωή και στον σεξουαλικό προσανατολισμό ή σε ποινικές καταδίκες και σε αδικήματα ή σε σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση και πρόβλεψη πτυχών που αφορούν στις επιδόσεις στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις ή συμφέροντα, στην αξιοπιστία ή στη συμπεριφορά, στην τοποθεσία ή στις μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων προσώπων, ιδίως παιδιών· όταν η επεξεργασία περιλαμβάνει μεγάλο αριθμό δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων δεδομένων.
(52) Η πιθανότητα επέλευσης και η σοβαρότητα του κινδύνου θα πρέπει να καθορίζονται με αναφορά στη φύση, στο πεδίο εφαρμογής, στο πλαίσιο και στους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται εάν οι πράξεις επεξεργασίας δεδομένων ενέχουν υψηλό κίνδυνο. Ως υψηλός κίνδυνος θεωρείται ο ιδιαίτερος κίνδυνος να θιγούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων.
(53) Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις της οδηγίας. Η εφαρμογή αυτών των μέτρων δεν θα πρέπει να εξαρτάται αποκλειστικά και μόνο από οικονομικές εκτιμήσεις. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς την παρούσα οδηγία, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα που σέβονται ιδίως στις αρχές της προστασίας των δεδομένων από το σχεδιασμό και εξ ορισμού. Εάν ο υπεύθυνος επεξεργασίας έχει διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει της παρούσας οδηγίας, τα αποτελέσματα θα πρέπει να λαμβάνονται υπόψη κατά την εκπόνηση των εν λόγω μέτρων και διαδικασιών. Σε αυτά τα μέτρα θα μπορούσε να συγκαταλέγεται, μεταξύ άλλων, η χρήση της ψευδωνυμοποίησης το συντομότερο δυνατόν. Η χρήση της ψευδωνυμοποίησης για τους σκοπούς της παρούσας οδηγίας μπορεί να λειτουργήσει ως μέσο διευκόλυνσης, ιδίως, της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα εντός του χώρου ελευθερίας, ασφάλειας και δικαιοσύνης.
(54) Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων καθώς και η ευθύνη και η υποχρέωση αποζημίωσης που υπέχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία, μεταξύ άλλων σε σχέση με την παρακολούθηση από τις εποπτικές αρχές και τα μέτρα εποπτικών αρχών, προϋποθέτουν σαφή κατανομή των αρμοδιοτήτων βάσει της παρούσας οδηγίας, περιλαμβανομένης της περίπτωσης κατά την οποία υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό υπευθύνου επεξεργασίας.
(55) Η διενέργεια της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από νομική πράξη περιλαμβανομένης της σύμβασης η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία θα πρέπει να ενεργεί μόνον κατ' εντολή του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία θα πρέπει να λαμβάνει υπόψη την αρχή της προστασίας των δεδομένων από το σχεδιασμό και εξ ορισμού.
(56) Προκειμένου να μπορούν να αποδείξουν συμμόρφωση προς την παρούσα οδηγία, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τηρούν αρχεία σχετικά με όλες τις κατηγορίες των δραστηριοτήτων επεξεργασίας που τελούν υπό την ευθύνη τους. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία θα πρέπει να υποχρεούται να συνεργάζεται με την εποπτική αρχή και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, τα εν λόγω αρχεία ώστε να μπορεί να τα χρησιμοποιεί για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μη αυτοματοποιημένα συστήματα επεξεργασίας θα πρέπει να διαθέτει αποτελεσματικές μεθόδους για την απόδειξη της νομιμότητας της επεξεργασίας, για την αυτοπαρακολούθηση και για την εξασφάλιση της ακεραιότητας των δεδομένων και της ασφάλειας των δεδομένων, όπως π.χ. καταχωρήσεις ή άλλες μορφές αρχείων.
(57) Καταχωρήσεις θα πρέπει να τηρούνται τουλάχιστον για πράξεις σε συστήματα αυτοματοποιημένης επεξεργασίας δεδομένων, όπως συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμό ή διαγραφή. Η ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα θα πρέπει να καταχωρίζεται και η εν λόγω ταυτοποίηση θα πρέπει να καθιστά δυνατή την αιτιολόγηση των πράξεων επεξεργασίας. Οι καταχωρήσεις θα πρέπει να χρησιμοποιούνται αποκλειστικά για τον έλεγχο της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων, καθώς και στο πλαίσιο ποινικών διαδικασιών. Η αυτοπαρακολούθηση περιλαμβάνει επίσης εσωτερικές πειθαρχικές διαδικασίες των αρμοδίων αρχών.
(58) Ο υπεύθυνος επεξεργασίας θα πρέπει να διενεργεί εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, όταν οι πράξεις επεξεργασίας είναι πιθανό να προκαλέσουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων λόγω του χαρακτήρα, της έκτασης ή των σκοπών τους, η οποία θα πρέπει να περιλαμβάνει ειδικότερα τα προβλεπόμενα μέτρα, τις εγγυήσεις και τους μηχανισμούς που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς την παρούσα οδηγία. Οι εκτιμήσεις επιπτώσεων θα πρέπει να καλύπτουν τα σχετικά συστήματα και διεργασίες των πράξεων επεξεργασίας, αλλά όχι μεμονωμένες περιπτώσεις.
(59) Για τη διασφάλιση της ουσιαστικής προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διαβουλεύεται με την εποπτική αρχή σε ορισμένες περιπτώσεις πριν από την επεξεργασία.
(60) Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση της παρούσας οδηγίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και να εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως κρυπτογράφηση. Τα μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, περιλαμβανομένης της εμπιστευτικότητας, με βάση την κατάσταση της τεχνολογίας, το κόστος υλοποίησης σε σχέση με τον κίνδυνο και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευτούν. Κατά την αξιολόγηση των κινδύνων για την ασφάλεια των δεδομένων, θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, ή άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, που θα μπορούσαν να οδηγήσουν σε σωματική, υλική ή ηθική βλάβη. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να διασφαλίζουν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν εκτελείται από μη εξουσιοδοτημένα πρόσωπα.
(61) Η παραβίαση προσωπικών δεδομένων μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή ηθική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των προσωπικών τους δεδομένων, ή περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Επομένως, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί ότι έχει συμβεί παραβίαση δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας θα πρέπει να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, εκτός εάν ο υπεύθυνος επεξεργασίας δύναται να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση των δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Εάν η γνωστοποίηση αυτή δεν μπορεί να επιτευχθεί εντός 72 ωρών, θα πρέπει η γνωστοποίηση να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης, οι δε πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.
(62) Τα πρόσωπα θα πρέπει να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προξενήσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων, προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η ενημέρωση θα πρέπει να περιγράφει τη φύση της παραβίασης των προσωπικών δεδομένων και να περιέχει συστάσεις προς το ενδιαφερόμενο πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Η ενημέρωση στα υποκείμενα των δεδομένων θα πρέπει να γίνεται το συντομότερο δυνατόν, σε στενή συνεργασία με την εποπτική αρχή και ακολουθώντας τις οδηγίες που δίδονται από αυτήν ή άλλες σχετικές αρχές. Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας ενδέχεται να απαιτεί άμεση ενημέρωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερο χρονικό διάστημα για την ενημέρωση. Όταν η αποτροπή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, η αποτροπή της παρεμπόδισης της πρόληψης, ανίχνευσης, διερεύνησης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, η διαφύλαξη της δημόσιας ασφάλειας ή της εθνικής ασφάλειας ή η διαφύλαξη των δικαιωμάτων και των ελευθεριών τρίτων δεν μπορούν να επιτευχθούν με την καθυστέρηση ή τον περιορισμό της γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στον ενδιαφερόμενο, η γνωστοποίηση αυτή μπορεί, σε εξαιρετικές περιπτώσεις, να παραλειφθεί.
(63) Ο υπεύθυνος επεξεργασίας θα πρέπει να ορίσει ένα πρόσωπο το οποίο θα του παρέχει συνδρομή κατά την παρακολούθηση της εσωτερικής συμμόρφωσης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, εξαιρουμένης της περίπτωσης κατά την οποία ένα κράτος μέλος αποφασίζει να εξαιρέσει τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Το πρόσωπο αυτό μπορεί να είναι μέλος του υπάρχοντος προσωπικού του υπευθύνου επεξεργασίας που έχει λάβει ειδική κατάρτιση στο δίκαιο και τις πρακτικές προστασίας των δεδομένων, προκειμένου να αποκτήσει εμπειρογνωσία στον τομέα αυτό. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει καθορίζεται, ιδίως, με γνώμονα την επεξεργασία δεδομένων που διενεργείται και την προστασία που απαιτείται για τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ο υπεύθυνος επεξεργασίας. Μπορεί να ασκεί τα καθήκοντά του είτε με πλήρη είτε με μερική απασχόληση. Υπεύθυνος προστασίας δεδομένων μπορεί να διοριστεί από κοινού από περισσότερους του ενός υπευθύνους επεξεργασίας, με βάση την οργανωτική τους δομή και το μέγεθός τους, π.χ. σε περίπτωση κοινής χρήσης πόρων στις κεντρικές μονάδες. Το πρόσωπο αυτό μπορεί επίσης να διοριστεί σε διαφορετικές θέσεις στο πλαίσιο της δομής των σχετικών υπευθύνων επεξεργασίας. Το πρόσωπο αυτό θα πρέπει να βοηθά τον ελεγκτή και τους υπαλλήλους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω της παροχής ενημέρωσης και συμβουλών, όσον αφορά στη συμμόρφωση με τις σχετικές υποχρεώσεις προστασίας δεδομένων. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων θα πρέπει να είναι σε θέση να εκτελούν τις αρμοδιότητες και τα καθήκοντά τους με ανεξάρτητο τρόπο, σύμφωνα με το δίκαιο του κράτους μέλους.
(64) Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι μια διαβίβαση προς τρίτη χώρα ή προς διεθνή οργανισμό πραγματοποιείται μόνον εάν είναι αναγκαία για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, ο δε υπεύθυνος επεξεργασίας στην τρίτη χώρα ή στον διεθνή οργανισμό είναι αρχή που είναι αρμόδια κατά την έννοια της παρούσας οδηγίας. Διαβίβαση θα πρέπει να πραγματοποιηθεί μόνο από τις αρμόδιες αρχές που ενεργούν ως υπεύθυνοι επεξεργασίας, εκτός αν οι εκτελούντες την επεξεργασία έχουν λάβει ρητή εντολή για τη διαβίβαση από τους υπευθύνους επεξεργασίας. Διαβίβαση τέτοιου είδους μπορεί να πραγματοποιηθεί στις περιπτώσεις στις οποίες η Επιτροπή έχει αποφανθεί ότι η εκάστοτε τρίτη χώρα ή ο διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας ή εάν παρέχονται κατάλληλες εγγυήσεις ή όταν ισχύουν παρεκκλίσεις για ειδικές καταστάσεις. Όταν διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, δεν θα πρέπει να υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων το οποίο προβλέπεται στην Ένωση από την παρούσα οδηγία, περιλαμβανομένων των περιπτώσεων περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή το διεθνή οργανισμό προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην ίδια ή σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό.
(65) Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα από κράτος μέλος σε τρίτες χώρες ή διεθνείς οργανισμούς, η εν λόγω διαβίβαση θα πρέπει να γίνεται, καταρχήν, μόνον έπειτα από προηγούμενη έγκριση του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα. Προς το συμφέρον της συνεργασίας για την αποτελεσματική επιβολή του νόμου, όταν η φύση της απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα κράτους μέλους είναι τόσο άμεση ώστε να είναι αδύνατο να ληφθεί η προηγούμενη έγκριση εγκαίρως, η αρμόδια αρχή θα πρέπει να έχει τη δυνατότητα να διαβιβάσει τα σχετικά δεδομένα προσωπικού χαρακτήρα στη σχετική τρίτη χώρα ή διεθνή οργανισμό χωρίς την εν λόγω προηγούμενη έγκριση. Τα κράτη μέλη θα πρέπει να προβλέπουν ότι οι τυχόν ειδικοί όροι που αφορούν στη διαβίβαση θα πρέπει να γνωστοποιούνται στις τρίτες χώρες ή τους διεθνείς οργανισμούς. Οι περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να υπόκεινται στην εκ των προτέρων έγκριση από την αρμόδια αρχή που πραγματοποίησε την αρχική διαβίβαση. Κατά τη λήψη απόφασης σχετικά με αίτημα έγκρισης περαιτέρω διαβίβασης, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει να λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, μεταξύ άλλων τη σοβαρότητα του ποινικού αδικήματος, τους ειδικούς όρους που αφορούν τη διαβίβαση και τον σκοπό για τον οποίο διαβιβάστηκαν αρχικά τα δεδομένα, τη φύση και τους όρους εκτέλεσης της ποινικής κύρωσης και το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό στους οποίους διαβιβάζονται περαιτέρω δεδομένα προσωπικού χαρακτήρα. Η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει επίσης να μπορεί να εξαρτήσει την περαιτέρω διαβίβαση από ειδικούς όρους. Οι εν λόγω ειδικοί όροι μπορούν να περιγράφονται, π.χ. στους κωδικούς διαχείρισης.
(66) Η Επιτροπή θα πρέπει να μπορεί να αποφασίζει, με ισχύ για ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ένα έδαφος ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός τρίτης χώρας, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά στις τρίτες χώρες ή τους διεθνείς οργανισμούς που γίνεται δεκτό ότι παρέχουν ένα τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις εν λόγω χώρες θα πρέπει να μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ληφθεί ειδική έγκριση, εκτός εάν ένα άλλο κράτος μέλος από το οποίο παρελήφθησαν τα δεδομένα πρέπει να δώσει την έγκρισή του για τη διαβίβαση αυτή.
(67) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, και ειδικότερα την προστασία των ανθρώπινων δικαιωμάτων, η Επιτροπή οφείλει, κατά την αξιολόγηση της τρίτης χώρας, ή εδάφους ή συγκεκριμένου τομέα σε τρίτη χώρα, να συνεκτιμά κατά πόσον ορισμένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, όπως και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα και το γενικό και το κατά τομείς δίκαιο της, μεταξύ άλλων τη νομοθεσία που αφορά στη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και στη δημόσια τάξη και το ποινικό δίκαιο. Κατά τη λήψη της απόφασης περί επάρκειας για έδαφος ή συγκεκριμένο τομέα τρίτης χώρας θα πρέπει να λαμβάνονται υπόψη σαφή και αντικειμενικά κριτήρια, όπως συγκεκριμένες δραστηριότητες επεξεργασίας και το πεδίο εφαρμογής των εφαρμοστέων νομικών προτύπων και της νομοθεσίας που ισχύουν στην τρίτη χώρα. Η τρίτη χώρα θα πρέπει να προσφέρει δεσμεύσεις που εξασφαλίζουν επαρκές επίπεδο προστασίας, κατ' ουσίαν ισοδύναμο με αυτό που προβλέπει η Ένωση, ιδίως όταν η επεξεργασία δεδομένων γίνεται σε έναν ή σε περισσότερους του ενός συγκεκριμένους τομείς. Ειδικότερα, η τρίτη χώρα θα πρέπει να εξασφαλίζει την αποτελεσματική και ανεξάρτητη εποπτεία της προστασίας των δεδομένων και να προβλέπει μηχανισμούς συνεργασίας με τις αρχές προστασίας δεδομένων των κρατών μελών, τα δε υποκείμενα των δεδομένων θα πρέπει να έχουν στη διάθεσή τους αποτελεσματικά και εκτελεστά δικαιώματα, καθώς και τη δυνατότητα άσκησης πραγματικών διοικητικών και δικαστικών προσφυγών.
(68) Πέραν των διεθνών δεσμεύσεων που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή οφείλει επίσης να συνεκτιμά τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς την υλοποίηση αυτών των υποχρεώσεων. Θα πρέπει, ειδικότερα να συνεκτιμάται η προσχώρηση της τρίτης χώρας στη σύμβαση του Συμβουλίου της Ευρώπης, της 28ης Ιανουαρίου 1981, για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο πρόσθετο πρωτόκολλό της. Η Επιτροπή οφείλει να ζητεί τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων που θεσπίστηκε από τον κανονισμό (ΕΕ) 2016/679 (το «συμβούλιο») οσάκις αξιολογεί το επίπεδο προστασίας σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Η Επιτροπή θα πρέπει, επίσης, να συνεκτιμά κάθε σχετική περί επάρκειας απόφαση της Επιτροπής η οποία έχει εκδοθεί σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679.
(69) Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία των αποφάσεων σχετικά με το επίπεδο προστασίας σε τρίτη χώρα, σε έδαφος ή συγκεκριμένο τομέα τρίτης χώρας, ή σε διεθνή οργανισμό. Στο πλαίσιο των αποφάσεων περί επάρκειας, η Επιτροπή θα πρέπει να προβλέψει μηχανισμό περιοδικής επανεξέτασης της λειτουργίας τους. Αυτή η περιοδική επανεξέταση θα πρέπει να γίνεται με διαβούλευση με τη σχετική τρίτη χώρα ή διεθνή οργανισμό και θα πρέπει να λαμβάνει υπόψη όλες τις σχετικές εξελίξεις στην τρίτη χώρα ή τον διεθνή οργανισμό.
(70) Η Επιτροπή θα πρέπει επίσης να μπορεί να αναγνωρίσει ότι τρίτη χώρα, έδαφος ή συγκεκριμένος τομέας εντός τρίτης χώρας, ή διεθνής οργανισμός δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας δεδομένων. Ως εκ τούτου, θα πρέπει να απαγορευτεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα ή τον διεθνή οργανισμό, εκτός εάν πληρούνται οι απαιτήσεις της παρούσας οδηγίας σχετικά με τις διαβιβάσεις μέσω κατάλληλων εγγυήσεων και τις παρεκκλίσεις για ειδικές καταστάσεις. Θα πρέπει να προβλέπονται διαδικασίες για διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών. Η Επιτροπή θα πρέπει, σε εύθετο χρόνο, να ενημερώσει την τρίτη χώρα ή τον διεθνή οργανισμό σχετικά με τους λόγους και να αρχίσει διαβουλεύσεις προς αντιμετώπιση της κατάστασης.
(71) Διαβιβάσεις που δεν βασίζονται σε τέτοια απόφαση περί επάρκειας θα πρέπει να επιτρέπονται μόνον εφόσον έχουν παρασχεθεί κατάλληλες εγγυήσεις με νομικά δεσμευτική πράξη, οι οποίες διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα ή, εάν ο υπεύθυνος επεξεργασίας έχει αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων και με βάση την εν λόγω αξιολόγηση, θεωρεί ότι υπάρχουν κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Νομικά δεσμευτικές πράξεις αυτού του είδους μπορούν π.χ. να είναι οι νομικά δεσμευτικές διμερείς συμφωνίες που έχουν συναφθεί από τα κράτη μέλη, έχουν ενσωματωθεί στην έννομη τάξη τους και μπορούν να εκτελεστούν αναγκαστικώς από τα υποκείμενα των δεδομένων τους, εξασφαλίζοντας συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, μεταξύ άλλων το δικαίωμα να ασκούν πραγματική διοικητική ή δικαστική προσφυγή. Ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να λαμβάνει υπόψη συμφωνίες συνεργασίας που έχουν συναφθεί μεταξύ της Ευρωπόλ ή της Eurojust και τρίτων χωρών οι οποίες επιτρέπουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα, κατά την αξιολόγηση όλων των περιστάσεων που αφορούν στη διαβίβαση των δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να μπορεί να λαμβάνει υπόψη ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα διέπεται από υποχρεώσεις εμπιστευτικότητας και την αρχή της ειδικότητας, διασφαλίζοντας ότι τα δεδομένα δεν θα υποστούν επεξεργασία για άλλους σκοπούς εκτός των σκοπών της διαβίβασης. Επιπλέον, ο υπεύθυνος επεξεργασίας θα πρέπει να λάβει υπόψη ότι τα δεδομένα προσωπικού χαρακτήρα δεν θα χρησιμοποιηθούν για να ζητηθεί θανατική ποινή, να εκδοθεί ή να εκτελεστεί τέτοια απόφαση επιβολής θανατικής ποινής ή οποιαδήποτε μορφή βάναυσης και απάνθρωπης μεταχείρισης. Παρόλο που οι εν λόγω προϋποθέσεις θα μπορούσαν να θεωρηθούν ως κατάλληλες εγγυήσεις για τη διαβίβαση δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να απαιτήσει πρόσθετες εγγυήσεις.
(72) Όταν δεν υπάρχει απόφαση περί επάρκειας ούτε κατάλληλες εγγυήσεις, μια διαβίβαση ή μια κατηγορία διαβιβάσεων μπορεί να πραγματοποιηθεί μόνον σε ειδικές καταστάσεις, εάν είναι αναγκαία για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου ή για τη διασφάλιση έννομων συμφερόντων του υποκειμένου των δεδομένων, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα· για την πρόληψη άμεσης και σοβαρής απειλής κατά της δημόσιας ασφάλειας κράτους μέλους ή τρίτης χώρας· σε μεμονωμένη περίπτωση για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές της δημόσιας ασφάλειας καθώς και της πρόληψής τους· ή σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων. Οι εν λόγω παρεκκλίσεις θα πρέπει να ερμηνεύονται συσταλτικά και να μην επιτρέπουν τακτικές, μαζικές και διαρθρωτικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ούτε τη διαβίβαση μεγάλου όγκου δεδομένων, αλλά να περιορίζονται στα απολύτως απαραίτητα. Οι μεταβιβάσεις αυτές θα πρέπει να είναι τεκμηριωμένες και να διατίθενται στην εποπτική αρχή κατόπιν αιτήματος, προκειμένου να ελεγχθεί η νομιμότητα της διαβίβασης.
(73) Οι αρμόδιες αρχές των κρατών μελών εφαρμόζουν ισχύουσες διμερείς ή πολυμερείς διεθνείς συμφωνίες που έχουν συναφθεί με τρίτες χώρες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, για την ανταλλαγή σχετικών πληροφοριών ώστε να μπορούν να ασκούν τα καθήκοντα που τους ανατίθενται εκ του νόμου. Για τους σκοπούς της παρούσας οδηγίας, αυτή η ανταλλαγή πραγματοποιείται καταρχήν μέσω των αρμόδιων αρχών των ενδιαφερόμενων τρίτων χωρών ή τουλάχιστον με τη συνεργασία τους, μερικές φορές ακόμη και ελλείψει διμερούς ή πολυμερούς διεθνούς συμφωνίας. Ωστόσο, σε μεμονωμένες και ειδικές περιπτώσεις, ενδέχεται οι τακτικές διαδικασίες που απαιτούν επικοινωνία με την αρχή αυτή στην τρίτη χώρα να είναι αναποτελεσματικές ή ακατάλληλες, ιδίως λόγω του ότι η διαβίβαση δεν θα μπορέσει να πραγματοποιηθεί εγκαίρως, ή επειδή η εν λόγω αρχή στην τρίτη χώρα δεν σέβεται το κράτος δικαίου ή τις διεθνείς προδιαγραφές και τα διεθνή πρότυπα για τα ανθρώπινα δικαιώματα· στην περίπτωση αυτή οι αρμόδιες αρχές των κρατών μελών μπορούν να αποφασίσουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα απευθείας σε αποδέκτες εγκατεστημένους σε τρίτες χώρες. Αυτό μπορεί να συμβαίνει όταν συντρέχει επείγουσα ανάγκη να διαβιβαστούν δεδομένα προσωπικού χαρακτήρα για να σωθεί η ζωή προσώπου που κινδυνεύει να καταστεί θύμα αξιόποινης πράξης ή για την αποτροπή επικείμενης διάπραξης εγκλήματος, περιλαμβανομένης της τρομοκρατίας. Αν και η διαβίβαση αυτή μεταξύ αρμόδιων αρχών και αποδεκτών εγκατεστημένων σε τρίτες χώρες θα πρέπει να πραγματοποιείται μόνον σε μεμονωμένες και ειδικές περιπτώσεις, η παρούσα οδηγία θα πρέπει να προβλέπει τους όρους που διέπουν τέτοιες περιπτώσεις. Οι εν λόγω διατάξεις δεν πρέπει να εκλαμβάνονται ως παρεκκλίσεις από οποιεσδήποτε υφιστάμενες διμερείς ή πολυμερείς διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας. Οι κανόνες αυτοί εφαρμόζονται επιπλέον των λοιπών κανόνων της οδηγίας, ειδικότερα δε των κανόνων περί νομιμότητας της επεξεργασίας και του κεφαλαίου V.
(74) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα μπορεί να αυξήσει τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα σχετικά με την προστασία των δεδομένων, για να προστατεύονται έναντι της παράνομης χρήσης ή κοινολόγησης τέτοιων δεδομένων. Ταυτόχρονα, οι εποπτικές αρχές ενδέχεται να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργαστούν σε διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή κατασταλτικές εξουσίες και μη συνεκτικά νομικά καθεστώτα. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ των εποπτικών αρχών προστασίας δεδομένων, ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες με τους διεθνείς ομολόγους τους.
(75) Η ίδρυση εποπτικών αρχών στα κράτη μέλη, οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία, αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας και να συμβάλλουν στη συνεκτική εφαρμογή της σε ολόκληρη την Ένωση, με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή.
(76) Τα κράτη μέλη μπορούν να αναθέτουν σε εποπτική αρχή που έχει ήδη συγκροτηθεί βάσει του κανονισμού (ΕΕ) 2016/679 την ευθύνη για τα καθήκοντα τα οποία πρέπει να ασκούνται από τις εθνικές εποπτικές αρχές που πρέπει να συγκροτηθούν βάσει της παρούσας οδηγίας.
(77) Τα κράτη μέλη θα πρέπει να μπορούν να συγκροτήσουν περισσότερες της μιας εποπτικές αρχές, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους. Σε κάθε εποπτική αρχή θα πρέπει να παρέχονται οι οικονομικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και οι υποδομές οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, περιλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες εποπτικές αρχές σε ολόκληρη την Ένωση. Κάθε εποπτική αρχή θα πρέπει να διαθέτει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος μπορεί να αποτελεί τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού.
(78) Οι εποπτικές αρχές θα πρέπει να υπόκεινται σε ανεξάρτητους μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά στις οικονομικές τους δαπάνες, υπό τον όρο ότι αυτός ο οικονομικός έλεγχος δε θίγει την ανεξαρτησία τους.
(79) Οι γενικές προϋποθέσεις για το μέλος ή τα μέλη της εποπτικής αρχής θα πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται από το κοινοβούλιο ή την κυβέρνηση ή από τον αρχηγό κράτους του οικείου κράτους μέλους, βάσει πρότασης της κυβέρνησης ή μέλους της κυβέρνησης ή του κοινοβουλίου ή τμήματός του, ή από ανεξάρτητο όργανο επιφορτισμένο από το δίκαιο του κράτους μέλους με τον διορισμό μέσω διαφανούς διαδικασίας. Προκειμένου να εξασφαλιστεί η ανεξαρτησία της εποπτικής αρχής, το μέλος ή τα μέλη θα πρέπει να ενεργούν με ακεραιότητα, να απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν θα πρέπει να ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη. Προκειμένου να εξασφαλιστεί η ανεξαρτησία των μελών της εποπτικής αρχής, το προσωπικό θα πρέπει να επιλέγεται από την εποπτική αρχή· η διαδικασία αυτή μπορεί να περιλαμβάνει παρέμβαση από ανεξάρτητο όργανο επιφορτισμένο από το δίκαιο του κράτους μέλους.
(80) Παρότι η παρούσα οδηγία εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων και άλλων δικαστικών αρχών, η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα, ώστε να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Η εν λόγω εξαίρεση θα πρέπει να περιορίζεται στις δικαιοδοτικές δραστηριότητες σε δικαστικές υποθέσεις και να μην εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν δικαστές σύμφωνα με το δίκαιο του κράτους μέλους. Τα κράτη μέλη θα πρέπει επίσης να μπορούν να προβλέπουν ότι η αρμοδιότητα της εποπτικής αρχής μπορεί να μην καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από άλλες ανεξάρτητες δικαστικές αρχές οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, λόγου χάρη από την εισαγγελική αρχή. Σε κάθε περίπτωση, η τήρηση των κανόνων της παρούσας οδηγίας από τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές υπόκειται πάντα σε ανεξάρτητο έλεγχο, σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη.
(81) Κάθε εποπτική αρχή θα πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από υποκείμενα των δεδομένων ή θα πρέπει να τα διαβιβάζει στην αρμόδια εποπτική αρχή. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στην έκταση που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων.
(82) Για να διασφαλιστεί αποτελεσματική, αξιόπιστη και ομοιόμορφη παρακολούθηση και επιβολή της παρούσας οδηγίας σε ολόκληρη την Ένωση, σύμφωνα με τη ΣΛΕΕ όπως αυτή ερμηνεύεται από το Δικαστήριο, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες αποτελεσματικές εξουσίες, μεταξύ των οποίων ερευνητικές, διορθωτικές και συμβουλευτικές εξουσίες, οι οποίες αποτελούν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους. Πάντως, οι εξουσίες των αρχών αυτών δεν θα πρέπει να παραβιάζουν τους συγκεκριμένους κανόνες που διέπουν τις ποινικές διαδικασίες, συμπεριλαμβανομένων της διερεύνησης και της δίωξης ποινικών αδικημάτων, ούτε την ανεξαρτησία της δικαστικής εξουσίας. Με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών που προβλέπει το δίκαιο των κρατών μελών, οι εποπτικές αρχές θα πρέπει να έχουν επίσης την εξουσία να παραπέμπουν παραβάσεις της παρούσας οδηγίας στις δικαστικές αρχές ή να θέτουν σε κίνηση νομικές διαδικασίες. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ειδικότερα, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό ώστε να διασφαλίζει συμμόρφωση προς την παρούσα οδηγία, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί ατομικό μέτρο εις βάρος του και να αποφεύγει περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. Οι εξουσίες έρευνας όσον αφορά την πρόσβαση σε εγκαταστάσεις θα πρέπει να ασκούνται σύμφωνα με τις ειδικές απαιτήσεις του δικαίου των κρατών μελών, όπως η απαίτηση έκδοσης προηγούμενης δικαστικής άδειας. Η έκδοση νομικά δεσμευτικής απόφασης θα πρέπει να υπόκειται σε δικαστικό έλεγχο στο κράτος μέλος της εποπτικής αρχής που εξέδωσε την απόφαση.
(83) Οι εποπτικές αρχές θα πρέπει να συντρέχουν η μια την άλλη στην άσκηση των καθηκόντων τους και να παρέχουν αμοιβαία συνδρομή, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας.
(84) Το συμβούλιο θα πρέπει να συμβάλλει στη συνεκτική εφαρμογή της παρούσας οδηγίας σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή και προωθώντας τη συνεργασία των εποπτικών αρχών σε ολόκληρη την Ένωση.
(85) Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή και να ασκήσει πραγματική δικαστική προσφυγή σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του σύμφωνα με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε καταγγελία, απορρίπτει ή θεωρεί απαράδεκτη εν όλω ή εν μέρει μια καταγγελία ή δεν ενεργεί, ενώ οφείλει να ενεργήσει, για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη του δικαστικού ελέγχου, στην έκταση που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρμόδια εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη εποπτική αρχή, θα πρέπει να παρέχεται ενδιάμεση ενημέρωση στο υποκείμενο των δεδομένων. Προκειμένου να διευκολύνει την υποβολή καταγγελιών, κάθε εποπτική αρχή θα πρέπει να λαμβάνει μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας, το οποίο να μπορεί επίσης να συμπληρωθεί και ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.
(86) Κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα να ασκήσει πραγματική δικαστική προσφυγή ενώπιον του αρμοδίου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που το αφορούν. Οι αποφάσεις αυτές αφορούν ιδίως στην άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή στις περιπτώσεις στις οποίες οι καταγγελίες θεωρούνται απαράδεκτες ή απορρίπτονται. Ωστόσο, το εν λόγω δικαίωμα δεν καλύπτει άλλα μέτρα των εποπτικών αρχών που δεν είναι νομικά δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. Η διαδικασία κατά εποπτικής αρχής θα πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή και να διενεργείται σύμφωνα με το δίκαιο του κράτους μέλους. Τα δικαστήρια αυτά θα πρέπει να ασκούν πλήρη διεθνή δικαιοδοσία η οποία περιλαμβάνει τη δικαιοδοσία να εξετάζουν όλα τα ζητήματα πραγματικά και νομικά σχετικά με τη διαφορά που εκκρεμεί ενώπιόν τους.
(87) Όταν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του υπό την παρούσα οδηγία, θα πρέπει να έχει το δικαίωμα να αναθέσει σε φορέα, ο οποίος αποσκοπεί στην προστασία των δικαιωμάτων και των συμφερόντων των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και έχει συγκροτηθεί σύμφωνα με το δίκαιο κράτους μέλους, να υποβάλει καταγγελία για λογαριασμό του σε εποπτική αρχή και να ασκήσει το δικαίωμα δικαστικής προσφυγής. Το δικαίωμα εκπροσώπησης των υποκειμένων των δεδομένων θα πρέπει να ασκείται με την επιφύλαξη του δικονομικού δικαίου του κράτους μέλους που μπορεί να απαιτεί την υποχρεωτική εκπροσώπηση των υποκειμένων των δεδομένων από δικηγόρο, όπως αυτός ορίζεται από την οδηγία 77/249/ΕΟΚ του Συμβουλίου10, ενώπιον των εθνικών δικαστηρίων.
(88) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας που παραβιάζει τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή από οποιαδήποτε άλλη αρχή αρμόδια δυνάμει του δικαίου του κράτους μέλους. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι της παρούσας οδηγίας. Αυτό δεν επηρεάζει τυχόν αγωγές αποζημιώσεως ασκούμενες λόγω παράβασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Όταν γίνεται αναφορά σε επεξεργασία που είναι παράνομη ή δεν συμμορφώνεται με τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, αυτή καλύπτει και την τυχόν επεξεργασία που παραβιάζει τις εκτελεστικές πράξεις που εκδίδονται κατ' εφαρμογή της παρούσας οδηγίας. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και επαρκή αποζημίωση για τη ζημία που υπέστησαν.
(89) Θα πρέπει να επιβάλλονται κυρώσεις σε κάθε φυσικό ή νομικό πρόσωπο, ιδιωτικού ή δημόσιου δικαίου, το οποίο παραβιάζει την παρούσα οδηγία. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και θα πρέπει να λαμβάνουν κάθε αναγκαίο μέτρο για την επιβολή τους.
(90) Για τη διασφάλιση ενιαίων όρων εφαρμογής της παρούσας οδηγίας θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά στο επαρκές επίπεδο προστασίας που παρέχει μια τρίτη χώρα, μια εδαφική περιοχή ή ένας συγκεκριμένος τομέας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός και στον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, και μεταξύ εποπτικών αρχών και του συμβουλίου. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου11.
(91) Η διαδικασία εξέτασης θα πρέπει να χρησιμοποιηθεί για την έκδοση εκτελεστικών πράξεων σχετικά με το επαρκές επίπεδο προστασίας που παρέχει μια τρίτη χώρα, μια εδαφική περιοχή ή ένας καθορισμένος τομέας εντός αυτής της τρίτης χώρας, ή ένας διεθνής οργανισμός και για τον μορφότυπο και τις διαδικασίες για την αμοιβαία συνδρομή και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών, και μεταξύ εποπτικών αρχών και του συμβουλίου, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής.
(92) Η Επιτροπή θα πρέπει να εκδίδει εκτελεστικές πράξεις που έχουν άμεση εφαρμογή εφόσον, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, εδαφική περιοχή ή καθορισμένο τομέα εντός αυτής της τρίτης χώρας, ή διεθνή οργανισμό που δεν διασφαλίζουν πλέον επαρκές επίπεδο προστασίας, τούτο επιβάλλεται από επιτακτικούς λόγους επείγουσας ανάγκης.
(93) Δεδομένου ότι οι στόχοι της παρούσας οδηγίας, και ειδικότερα η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, και ιδίως του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, όπως και η διασφάλιση της ελεύθερης ανταλλαγής δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 ΣΕΕ. Σύμφωνα με την αρχή της αναλογικότητας όπως διατυπώνεται στο ίδιο άρθρο, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των εν λόγω στόχων.
(94) Δεν θα πρέπει να θιγεί η ισχύς ειδικών διατάξεων των πράξεων της Ένωσης στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, οι οποίες εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας και ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, όπως, π.χ. οι ειδικές διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα που εφαρμόζονται δυνάμει της απόφασης 2008/615/ΔΕΥ του Συμβουλίου12, ή δυνάμει του άρθρου 23 της σύμβασης για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων μεταξύ των κρατών μελών της Ευρωπαϊκής Ένωσης13. Δεδομένου ότι το άρθρο 8 του Χάρτη και το άρθρο 16 ΣΛΕΕ απαιτούν να διασφαλίζεται με συνεκτικό τρόπο σε ολόκληρη την Ένωση η προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα πρέπει να αξιολογήσει την κατάσταση όσον αφορά στη σχέση μεταξύ της παρούσας οδηγίας και των πράξεων που εκδόθηκαν πριν από την ημερομηνία έκδοσης της παρούσας οδηγίας, οι οποίες ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών ή την πρόσβαση συγκεκριμένων αρχών των κρατών μελών σε συστήματα πληροφοριών που θεσπίζονται δυνάμει των Συνθηκών, προκειμένου να εκτιμηθεί η αναγκαιότητα εναρμόνισης των εν λόγω ειδικών διατάξεων με την παρούσα οδηγία. Η Επιτροπή θα πρέπει να υποβάλει προτάσεις με στόχο να εξασφαλιστεί η ύπαρξη συνεκτικών νομικών κανόνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπου αυτό αρμόζει.
(95) Για τη διασφάλιση της συνολικής και συνεκτικής προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, διεθνείς συμφωνίες συναφθείσες από τα κράτη μέλη πριν από την έναρξη ισχύος της παρούσας οδηγίας και οι οποίες συνάδουν προς το εφαρμοστέο πριν από την ημερομηνία αυτή σχετικό ενωσιακό δίκαιο, θα πρέπει να εξακολουθήσουν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
(96) Για τη μεταφορά της παρούσας οδηγίας στο εθνικό δίκαιο, τα κράτη μέλη θα πρέπει να έχουν στη διάθεσή τους χρονικό διάστημα που δεν θα υπερβαίνει τα δύο έτη από την ημερομηνία έναρξης ισχύος της. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία αυτή θα πρέπει να εναρμονιστεί με την παρούσα οδηγία εντός της περιόδου των δύο ετών από την έναρξη ισχύος της παρούσας οδηγίας. Ωστόσο, εφόσον η εν λόγω επεξεργασία συμμορφώνεται με το ενωσιακό δίκαιο που ίσχυε πριν από την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας, οι απαιτήσεις της παρούσας οδηγίας που αφορούν την προηγούμενη διαβούλευση με την εποπτική αρχή δεν θα πρέπει να εφαρμόζονται στις διαδικασίες επεξεργασίας που βρίσκονταν σε εξέλιξη ήδη κατά την ημερομηνία αυτή, δεδομένου ότι οι απαιτήσεις αυτές, από τη φύση τους, πρέπει να ικανοποιούνται πριν από την έναρξη της επεξεργασίας. Όταν τα κράτη μέλη χρησιμοποιούν τη μεγαλύτερη περίοδο εφαρμογής που λήγει επτά έτη μετά την ημερομηνία έναρξης ισχύος της παρούσας οδηγίας, για την εκπλήρωση των υποχρεώσεων καταχώρησης για αυτοματοποιημένα συστήματα επεξεργασίας που έχουν δημιουργηθεί πριν από την ημερομηνία αυτή, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να διαθέτουν αποτελεσματικές μεθόδους για την απόδειξη της νομιμότητας της επεξεργασίας των δεδομένων, την αυτοπαρακολούθηση και τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων, όπως καταχωρήσεις ή άλλες μορφές αρχείων.
(97) Η παρούσα οδηγία δεν θίγει τους κανόνες για την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας, οι οποίοι προβλέπονται στην οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου14.
(98) Η απόφαση-πλαίσιο 2008/977/ΔΕΥ θα πρέπει επομένως να καταργηθεί.
(99) Σύμφωνα με το άρθρο 6α του πρωτοκόλλου αριθ. 21 για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά στον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, το Ηνωμένο Βασίλειο και η Ιρλανδία δεν δεσμεύονται από τους κανόνες που θεσπίζονται στην παρούσα οδηγία, οι οποίοι συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά τη διεξαγωγή δραστηριοτήτων που εμπίπτουν εντός του πεδίου του κεφαλαίου 4 και του κεφαλαίου 5 του τίτλου V του τρίτου μέρους της ΣΛΕΕ εφόσον το Ηνωμένο Βασίλειο και η Ιρλανδία δε δεσμεύονται από τους κανόνες οι οποίοι διέπουν μορφές δικαστικής συνεργασίας σε ποινικές υποθέσεις ή αστυνομικής συνεργασίας στο πλαίσιο των οποίων πρέπει να τηρούνται οι διατάξεις οι οποίες θεσπίζονται βάσει του άρθρου 16 ΣΛΕΕ.
(100) Σύμφωνα με τα άρθρα 2 και 2α του πρωτοκόλλου αριθ. 22 σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, η Δανία δε δεσμεύεται από τους κανόνες που θεσπίζονται με την παρούσα οδηγία ούτε υπόκειται στην εφαρμογή τους που συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά τη διεξαγωγή δραστηριοτήτων που εμπίπτουν εντός του πεδίου του κεφαλαίου 4 και του κεφαλαίου 5 του τίτλου V του τρίτου μέρους της ΣΛΕΕ. Δεδομένου ότι η παρούσα οδηγία αναπτύσσει το κεκτημένο του Σένγκεν, βάσει του τίτλου V του τρίτου μέρους της ΣΛΕΕ, η Δανία πρέπει να αποφασίσει, σύμφωνα με το άρθρο 4 αυτού του πρωτοκόλλου, εντός εξαμήνου μετά την έκδοση της παρούσας οδηγίας, εάν θα την εφαρμόσει στο εθνικό της δίκαιο.
(101) Όσον αφορά στην Ισλανδία και τη Νορβηγία, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία που συνήφθη μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, αφενός, και της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας, αφετέρου, σχετικά με τη σύνδεση των εν λόγω δύο χωρών προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν15.
(102) Όσον αφορά στην Ελβετία, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν16.
(103) Όσον αφορά στο Λιχτενστάιν, η παρούσα οδηγία αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται στο πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν17.
(104) Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη, όπως κατοχυρώνονται στη ΣΛΕΕ, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το δικαίωμα άσκησης πραγματικής προσφυγής και αμερόληπτου δικαστηρίου. Οι περιορισμοί που τίθενται στα ως άνω δικαιώματα είναι σύμφωνοι προς το άρθρο 52 παράγραφος 1 του Χάρτη, καθώς είναι αναγκαίοι για την εκπλήρωση σκοπών γενικού συμφέροντος που αναγνωρίζει η Ένωση ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.
(105) Σύμφωνα με την κοινή πολιτική δήλωση των κρατών μελών και της Επιτροπής της 28ης Σεπτεμβρίου 2011 σχετικά με τα επεξηγηματικά έγγραφα, τα κράτη μέλη ανέλαβαν να συνοδεύουν, σε αιτιολογημένες περιπτώσεις, την κοινοποίηση των μέτρων μεταφοράς στο εθνικό δίκαιο με ένα ή περισσότερα έγγραφα στα οποία θα επεξηγείται η σχέση ανάμεσα στα συστατικά στοιχεία μιας οδηγίας και στα αντίστοιχα μέρη των μέτρων μεταφοράς στο εθνικό δίκαιο. Όσον αφορά στην παρούσα οδηγία, ο νομοθέτης θεωρεί ότι δικαιολογείται η διαβίβαση τέτοιων εγγράφων.
(106) Ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος και γνωμοδότησε στις 7 Μαρτίου 201218.
(107) Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να εφαρμόζουν τις διατάξεις για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων σχετικά με την ενημέρωση, την πρόσβαση και τη διόρθωση, τη διαγραφή και τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο ποινικής διαδικασίας, και τους ενδεχόμενους περιορισμούς στα εν λόγω δικαιώματα, σε εθνικούς κανόνες ποινικής δικονομίας,
- 1. ΕΕ C 391 της 18.12.2012, σ. 127.
- 2. Θέση του Ευρωπαϊκού Κοινοβουλίου, της 12ης Μαρτίου 2014 (δεν έχει δημοσιευτεί ακόμη στην Επίσημη Εφημερίδα), και θέση του Συμβουλίου σε πρώτη ανάγνωση, της 8ης Απριλίου 2016 (δεν έχει δημοσιευτεί ακόμη στην Επίσημη Εφημερίδα). Θέση του Ευρωπαϊκού Κοινοβουλίου της 14ης Απριλίου 2016.
- 3. Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).
- 4. Απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (ΕΕ L 350 της 30.12.2008, σ. 60).
- 5. Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία δεδομένων) (βλέπε σ. 1 της παρούσας Επίσημης Εφημερίδας).
- 6. Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
- 7. Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (ΕΕ L 88 της 4.4.2011, σ. 45).
- 8. Κοινή θέση 2005/69/ΔΕΥ του Συμβουλίου, της 24ης Ιανουαρίου 2005, για την ανταλλαγή ορισμένων δεδομένων με την Interpol (ΕΕ L 27 της 29.1.2005, σ. 61).
- 9. Απόφαση 2007/533/ΔΕΥ του Συμβουλίου, της 12ης Ιουνίου 2007, σχετικά με την εγκατάσταση, τη λειτουργία και τη χρήση του συστήματος πληροφοριών Σένγκεν δεύτερης γενιάς (SIS II) (ΕΕ L 205 της 7.8.2007, σ. 63).
- 10. Οδηγία 77/249/ΕΟΚ του Συμβουλίου, της 22ας Μαρτίου 1977, περί διευκολύνσεως της πραγματικής ασκήσεως της ελεύθερης παροχής υπηρεσιών από δικηγόρους (ΕΕ L 78 της 26.3.1977, σ. 17).
- 11. Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).
- 12. Απόφαση 2008/615/ΔΕΥ του Συμβουλίου, της 23ης Ιουνίου 2008, σχετικά με την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος (ΕΕ L 210 της 6.8.2008, σ. 1).
- 13. Πράξη του Συμβουλίου, της 29ης Μαΐου 2000, με την οποία καταρτίζεται, βάσει του άρθρου 34 της Συνθήκης για την Ευρωπαϊκή Ένωση, η σύμβαση για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων μεταξύ των κρατών μελών της Ευρωπαϊκής Ένωσης (ΕΕ C 197 της 12.7.2000, σ. 1).
- 14. Οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 2011, σχετικά με την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας και την αντικατάσταση της απόφασης-πλαίσιο 2004/68/ΔΕΥ του Συμβουλίου (ΕΕ L 335 της 17.12.2011, σ. 1).
- 15. ΕΕ L 176 της 10.7.1999, σ. 36.
- 16. ΕΕ L 53 της 27.2.2008, σ. 52.
- 17. ΕΕ L 160 της 18.6.2011, σ. 21.
- 18. ΕΕ C 192 της 30.6.2012, σ. 7.
