ΥΠΗΡΕΣΙΕΣ GDPR / DPO
Κρυπτογράφηση Δεδομένων
Η βασική λογική πίσω από την κρυπτογράφηση δεδομένων είναι εξαιρετικά απλή.
Αφορά το πώς να “μεταμφιέσουμε” μια πληροφορία (ένα κείμενο, έναν αριθμό, ένα αρχείο), έτσι ώστε να μην βγαίνει κανένα απολύτως νόημα στα μάτια τρίτων.
Μόνο όποιος έχει το “κλειδί” της κρυπτογράφησης θα μπορεί να διαβάσει την αρχική πληροφορία.
Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer-DPO)
Οι εταιρείες και οι οργανισμοί οφείλουν να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση της εταιρείας ή του οργανισμού με τον νόμο, ενώ παράλληλα είναι ο ΜΟΝΑΔΙΚΟΣ σύνδεσμος επικοινωνίας της εταιρείας ή του οργανισμού με την αρμόδια εποπτική Αρχή
Ποιοι υποχρεούνται να διορίσουν DPO;
Όλες οι εταιρείες και οι δημόσιοι οργανισμοί και ΔΕΚΟ, εκτός δικαστηρίων, που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
Κάθε εταιρεία ή οργανισμός του οποίου η βασική δραστηριότητα συνιστά: Τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
Ο DPO μπορεί να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37-38-39).
Παραδείγματα εταιρειών και οργανισμών που έχουν υποχρέωση διορισμού DPO:
Εταιρείες Τηλεπικοινωνιών
Πάροχοι ηλεκτρονικού ταχυδρομείου
Εταιρείες Μισθοδοσίας
Ασφαλιστικές
Τράπεζες
Εταιρείες Υπηρεσιών Υγείας
Εμπορικές εταιρείες
E-shop
Διαφημιστικές εταιρείες
Σωματεία, σύλλογοι και κόμματα
Όλες οι εταιρείες που έχουν προσωπικά δεδομένα υπαλλήλων, προμηθευτών, κ.α
Μπορεί μια εταιρεία να ορίσει ως DPO έναν από τους υπαλλήλους της;
Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ θα υπάρχει σύγκρουση συμφερόντων.
Αν ο ρόλος ενός υπαλλήλου στην εταιρεία περιλαμβάνει και το να ορίζει τον σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν μπορεί να διορισθεί DPO της εταιρείας.
Μερικά ενδεικτικά παραδείγματα σύγκρουσης συμφερόντων παρατηρούνται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO,
Επικεφαλής IT, HR, Οικονομικών, Marketing, κ.α.. Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε όποιες βαθμίδες και σε όποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική δομή της εκάστοτε εταιρείας.
GDPR ευχή ή κατάρα για τις επιχειρήσεις;
Ένα εργαλείο που μας παρέχει ασφάλεια
Μετά από πολλές συζητήσεις που είχαν ξεκινήσει το 2012, έρχεται τελικά σήμερα ο GDPR.
Με απλά λόγια, πρόκειται για ένα σύνολο κανονισμών της Ευρωπαϊκής Επιτροπής το οποίο παρέχει τη δυνατότητα στους πολίτες να έχουν μεγαλύτερο έλεγχο στα προσωπικά τους δεδομένα και επιβάλλει παράλληλα πιο αυστηρούς κανόνες χρησιμοποίησής τους από τις επιχειρήσεις.
Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τον GDPR τον Απρίλιο του 2016 και από τις 25 Μαϊου 2018 οι επιχειρήσεις οφείλουν να τον εφαρμόσουν στην λειτουργία τους, με τον έναν ή τον άλλον τρόπο.
Αυτό σημαίνει αυστηρά, πως οι επιχειρήσεις οφείλουν να είναι απολύτως σίγουρες πως όλες οι πληροφορίες-δεδομένα που συγκεντρώνουν, συλλέγονται με νόμιμο τρόπο ο οποίος εναρμονίζεται με τον Κανονισμό.
Οι επιχειρήσεις οφείλουν να σέβονται τα προσωπικά δεδομένα των κατόχων τους, να μπορούν να τα προστατεύουν καθώς και να δίνουν πρόσβαση ανάκλησης και διαγραφής αυτών από τον ίδιο τον χρήστη όταν το ζητήσει αυτός.
Σε περίπτωση αποτυχίας της προστασίας ή παράνομης συλλογής δεδομένων, θα υπάρχουν πολύ βαριά πρόστιμα.
Είναι πολύ σημαντικό να επισημάνουμε πως ο GDPR υποχρεώνει όλες τις εταιρείες εντός και εκτός της ΕΕ να συμμορφωθούν, καθώς εαν μια εταιρεία βρίσκεται εκτός της ΕΕ αλλά έχει πελάτες-υπαλλήλους εντός
Ευρώπης, ή προσφέρει αγαθά-υπηρεσίες εντός ΕΕ, πρέπει και αυτή να συμμορφωθεί στον νέο Κανονισμό. Επομένως, ο GDPR έρχεται να αλλάξει την παγκόσμια αγορά.
Για το εαν και πώς ο GDPR θα επηρεάσει τις επιχειρήσεις, η Ευρωπαϊκή Επιτροπή αναφέρει ότι “με την ενοποίηση των κανόνων της Ευρώπης για την προστασία των δεδομένων, οι νομοθέτες δημιουργούν μια επιχειρηματική ευκαιρία και ενθαρρύνουν την καινοτομία”.
Στην πραγματικότητα είναι μια εξαιρετική ευκαιρία για τις εταιρείες να ξανασκεφτούν τη στρατηγική τους και να υλοποιήσουν καμπάνιες με πολύ στοχευμένο και πιστό κοινό, το οποίο θα τις ακολουθεί και θα θέλει να μαθαίνει για/από αυτές.
Με τον τρόπο αυτό, κατηγοριοποιούμε όλοι, ευκολότερα, το κοινό μας και εστιάζουμε την επικοινωνία μας σε συγκεκριμένα ενδιαφέροντα, πληροφορίες και δεδομένα.
Το ίδιο marketing και email marketing για όλους δεν πουλάει πια. Δίνοντας το δικαίωμα στον χρήστη, βάσει ρυθμίσεων, να δηλώνει από μόνος του τι θέλει να λαμβάνει και τι όχι, έχουμε ακόμα ένα δεδομένο στα χέρια μας για το χρησιμοποιήσουμε κατάλληλα σε μελλοντικές μας καμπάνιες.
Τελευταίο αλλά εξίσου σημαντικό είναι η διαφάνεια, η οποία πρέπει να αποτελεί το Α και το Ω των αλλαγών που θα γίνουν.
Η σχέση επικοινωνίας πρέπει να χτίζεται πάνω στην εμπιστοσύνη και ακριβώς αυτό πρέπει να αποπνέει η νέα πολιτική που θα ακολουθήσει μια εταιρεία με τους πελάτες της. Πρέπει να είναι ειλικρινής σχετικά με το ποιά είναι, τι κάνει και να κάνει τον χρήστη να αισθάνεται ασφαλής μέσα στην επιχείρησή δίνοντάς της τα στοιχεία του.
Σχέση GDPR και πολιτών
Το πιο σημαντικό στοιχείο από τον GDPR είναι πως οι πολίτες θα μπορούν να έχουν πλήρη πρόσβαση στα προσωπικά τους δεδομένα και θα μπορούν να ενημερώνονται άμεσα για το αν και πότε αυτά
παραβιάζονται, καθώς σε περίπτωση παραβίασης, η εκάστοτε επιχείρηση οφείλει να ενημερώνει τόσο τον πελάτη-κάτοχο των προσωπικών δεδομένων όσο και την Αρχή Προστασίας Δεδομένων.
Ακόμη, ο πολίτης-χρήστης διατηρεί ανελλιπώς το δικαίωμα ενημέρωσης του από την εταιρεία για την κατάσταση των προσωπικών του δεδομένων. Αν αλλάξει γνώμη, έχει Δικαίωμα στη Λήθη, όπου μπορεί να ζητήσει να διαγραφούν όλα τα προσωπικά του δεδομένα.
Παραβίαση Προσωπικών Δεδομένων
Σε περίπτωση παραβίασης προσωπικών δεδομένων ( όνομα, διεύθυνση, ιατρικό αρχείο, τραπεζικά στοιχεία, αριθμός μητρώου ή ταυτότητας κ.α ), η κάθε επιχείρηση οφείλει να ενημερώσει τον κάτοχο των δεδομένων άμεσα ώστε να περιοριστεί η ζημιά.
Η επιχείρηση οφείλει να ενημερώσει την Αρχή Προστασίας Δεδομένων εντός 72 ωρών. Επίσης, η επιχείρηση πρέπει να ενημερώσει απευθείας τα θύματα διότι μόνο ένα δελτίο Τύπου ή μια γενική ανακοίνωση στη σελίδα της δεν την καλύπτουν και θα προκύψουν βαρύτατες κυρώσεις.
Κυρώσεις
Όπως καταλαβαίνουμε ο GDPR δεν είναι παιχνίδι. Είναι ένας σοβαρός Κανονισμός που επιβάλλει σημαντικές ποινές σε περίπτωση μη συμμόρφωσης, ανάλογα με το μέγεθος της ζημιάς.
Συγκεκριμένα, τα πρόστιμα κυμαίνονται από 10-20 εκατομμύρια ευρώ έως 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης για παραβίαση των προσωπικών δεδομένων.
Επομένως, εαν ένας πελάτης ζητήσει τα δεδομένα του και δεν τα λάβει – αν υπάρξει παράνομη συγκέντρωση πληροφοριών ή μεταφορά προσωπικών δεδομένων προς τρίτους – ο GDPR θα είναι εκεί για να τιμωρήσει αυτές τις επιχειρήσεις.
Τα αποτελέσματα του GDPR θα φανούν σε βάθος χρόνου.
Υπηρεσία Outsource DPO (Outsource Data Protection Officer – Εξωτερικός συνεργάτης στη θέση του Υπεύθυνου Προστασίας Δεδομένων) απο την SBBC ΟΜΙΛΟΣ ΥΠΗΡΕΣΙΏΝ Α.Ε
O νέος Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR 679/2016) σας υποχρεώνει να έχετε έναν Υπεύθυνο Προστασίας Προσωπικών Δεδομένων ( Data Protection Officer – DPO). Αυτός μπορεί να είναι ένας εξωτερικός συνεργάτης – πάροχος υπηρεσιών (outsource DPO), που θα διασφαλίσει τα δικά σας συμφέροντα σε περίπτωση
αντιδικίας με κάποιον τρίτο. Τα οφέλη είναι πολλά για την δική σας επιχείρηση διότι καταργείται με τον τρόπο αυτό το ασυμβίβαστο στην περίπτωση που θα είχατε ως DPO έναν δικό σας υπάλληλο.
Η επιλογή της υπηρεσίας μας Outsource DPO σημαίνει για εσάς εξασφάλιση, διότι μπορείτε να βασιστείτε στην τεχνογνωσία και την εμπειρία πιστοποιημένων συνεργατών μας DPO σε θέματα ανάληψης κινδύνων.
Οι απαιτούμενοι τομείς του GDPR στους οποίους διαθέτει εμπειρία και τεχνογνωσία ο Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι:
Βusiness – (λήψη και παρακολούθηση απαιτούμενων οργανωτικών μέτρων)
Technical – IT Security (λήψη και παρακολούθηση απαιτούμενων τεχνικών μέτρων)
Legal – (συμμόρφωση με τις νομικές απαιτήσεις του GDPR)
Οι υπηρεσίες Outsource DPO της SBBC ΟΜΙΛΟΣ ΥΠΗΡΕΣΙΩΝ Α.Ε περιλαμβάνουν :
1) Δημιουργία πρωτοκόλλου λειτουργίας της εταιρείας ή του οργανισμού στα πλαίσια του GDPR
2) Ενημέρωση του προσωπικού σχετικά με τις απαιτήσεις του GDPR
3) Παροχή συμβουλών προς τον οργανισμό σχετικά με την συμμόρφωσή του με το GDPR
4) Συντονισμό της ομάδας GDPR (GDPR Team) του οργανισμού
5) Αξιολόγηση και επικαιροποίηση της μελέτης συμμόρφωσης
6) Παρακολούθηση των αποκλίσεων με το GDPR
7) Ενημέρωση της Διοίκησης για τον βαθμό συμμόρφωσης
8) Αποθήκευση και φύλαξη των προσωπικών σας δεδομένων με κρυπτογραφημένο BacKup σε δικό μας χώρο
9) Προτάσεις για την λήψη διορθωτικών μέτρων (τεχνικών και οργανωτικών) για την μείωση του κινδύνου
10) Καταγραφή των συμβάντων παραβίασης και αναφοράς τους προς την Αρχή Προστασίας Προσωπικών Δεδομένων (και προς τα υποκείμενα, εφ’ όσον απαιτηθεί)
11) Συνεργασία με την Αρχή Προστασίας Προσωπικών Δεδομένων όπου και όταν αυτό απαιτείται.
Η υπηρεσία Outsource DPO περιλαμβάνει την παροχή υπηρεσιών υποστήριξης τόσο στον χώρο της εταιρείας ή του οργανισμού όσο και απομακρυσμένα, μέσω τηλεφώνου ή e-mail. Κατά διαστήματα γίνεται από την πλευρά μας μια υπενθύμιση και ενημέρωση για την σωστή λειτουργία όλων των μέτρων προστασίας που έχουν ληφθεί.
Επειδή συνήθως οι εταιρείες και οι οργανισμοί έχουν την ανάγκη μεγαλύτερης υποστήριξης στα αρχικά στάδια της συμμόρφωσης με τον κανονισμό (GDPR Compliance), μπορεί να υιοθετηθεί μια ευέλικτη προσέγγιση που να συνδυάζει περισσότερες εργατοώρες στον χώρο της εταιρείας ή του οργανισμού στην αρχή και στην συνέχεια απομακρυσμένη υποστήριξη. Κάθε χρόνο γίνεται μια επιβεβαίωση την ορθής λειτουργίας όλων των μέτρων προστασίας των προσωπικών δεδομένων και εξετάζουμε τυχόν νέες προσθήκες GDPR.
ΔΙΑΒΑΣΤΕ ΕΔΩ ΟΛΗ ΤΗΝ ΝΟΜΟΘΕΣΙΑ
31995L0046
Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
Επίσημη Εφημερίδα αριθ. L 281 της 23/11/1995 σ. 0031 – 0050
ΟΔΗΓΙΑ 95/46/ΕΚ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
της 24ης Οκτωβρίου 1995
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη:
τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 100 Α,
την πρόταση της Επιτροπής (1),
τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής (2),
Αποφασίζοντας με τη διαδικασία του άρθρου 189 Β της συνθήκης (3),
Εκτιμώντας:
(1) ότι οι στόχοι της Κοινότητας που διατυπώνονται στη συνθήκη, όπως τροποποιήθηκε με την Ενιαία Ευρωπαϊκή Πράξη, συνίστανται στην επίτευξη όλο και μεγαλύτερης ενότητας μεταξύ των ευρωπαϊκών λαών, στην ανάπτυξη στενότερων σχέσεων μεταξύ των χωρών της Κοινότητας, στην εξασφάλιση, μέσω κοινής προσπάθειας, της οικονομικής και κοινωνικής προόδου, με την κατάργηση των φραγμών που χωρίζουν την Ευρώπη, στην προώθηση της συνεχούς βελτίωσης των συνθηκών διαβίωσης των λαών, στη διατήρηση και την εδραίωση της ειρήνης και της ελευθερίας και στην προώθηση της δημοκρατίας με βάση τα θεμελιώδη δικαιώματα που αναγνωρίζονται από τα συντάγματα και τους νόμους των κρατών μελών καθώς και την ευρωπαϊκή σύμβαση περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών 7
(2) ότι τα συστήματα επεξεργασίας δεδομένων υπηρετούν τον άνθρωπο 7 ότι πρέπει, ανεξαρτήτως ιθαγένειας ή κατοικίας των φυσικών προσώπων, να σέβονται τις θεμελιώδεις ελευθερίες και τα δικαιώματά τους, και ιδίως την ιδιωτική ζωή, και να συμβάλλουν στην οικονομική και κοινωνική πρόοδο, στην ανάπτυξη των εμπορικών συναλλαγών καθώς και στην ευημερία του ατόμου 7
(3) ότι για την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς στην οποία, σύμφωνα με το άρθρο 7 Α της συνθήκης, εξασφαλίζεται η ελεύθερη κυκλοφορία εμπορευμάτων, προσώπων, υπηρεσιών και κεφαλαίων, απαιτείται όχι μόνο η δυνατότητα κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών αλλά και η προστασία των θεμελιωδών δικαιωμάτων του ατόμου 7
(4) ότι στην Κοινότητα γίνεται όλο και συχνότερη προσφυγή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στους διάφορους τομείς των οικονομικών και κοινωνικών δραστηριοτήτων 7 ότι η πρόοδος της πληροφορικής διευκολύνει σημαντικά την επεξεργασία και την ανταλλαγή αυτών των δεδομένων 7
(5) ότι η οικονομική και κοινωνική ολοκλήρωση που απορρέει από την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς κατά την έννοια του άρθρου 7 Α της συνθήκης συνεπάγονται κατ’ ανάγκη αισθητή αύξηση της διασυνοριακής ροής δεδομένων προσωπικού χαρακτήρα μεταξύ όλων των πρωταγωνιστών της οικονομικής και κοινωνικής ζωής των κρατών μελών, ιδιώτες ή Δημόσιο 7 ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ επιχειρήσεων που είναι εγκατεστημένες στα διάφορα κράτη μέλη βρίσκεται σε ανέλιξη 7 ότι οι διοικήσεις των διαφόρων κρατών μελών καλούνται, κατ’ εφαρμογή του κοινοτικού δικαίου, να συνεργάζονται και να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα προκειμένου να εκπληρώνουν την αποστολή τους ή να ασκούν καθήκοντα για λογαριασμό διοικητικής αρχής άλλου κράτους μέλους, στο πλαίσιο του χώρου δίχως σύνορα τον οποίο περιλαμβάνει η εσωτερική αγορά 7
(6) ότι, εξάλλου, η ενίσχυση της επιστημονικής και τεχνικής συνεργασίας, καθώς και η συντονισμένη εισαγωγή νέων δικτύων τηλεπικοινωνιών στην Κοινότητα απαιτούν και διευκολύνουν τη διασυνοριακή κυκλοφορία δεδομένων προσωπικού χαρακτήρα 7
(7) ότι οι διαφορές που υπάρχουν στα κράτη μέλη ως προς το επίπεδο προστασίας των δικαιωμάτων και ελευθεριών του ατόμου, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι δυνατόν να εμποδίζουν τη διαβίβαση των δεδομένων αυτών από το έδαφος ενός στο έδαφος άλλου κράτους μέλους 7 ότι οι διαφορές αυτές ενδέχεται συνεπώς να φέρουν εμπόδια στην άσκηση πολλών οικονομικών δραστηριοτήτων σε κοινοτικό επίπεδο, να νοθεύσουν τον ανταγωνισμό και να δυσχεράνουν το έργο των διοικητικών αρχών στο πεδίο εφαρμογής του κοινοτικού δικαίου 7 ότι αυτές οι διαφορές προστασίας οφείλονται στις αποκλίσεις των εθνικών νομοθετικών, κανονιστικών και διοικητικών διατάξεων 7
(8) ότι για την εξάλειψη των εμποδίων στην κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, πρέπει να υπάρχει ίσος βαθμός προστασίας των δικαιωμάτων και ελευθεριών του ατόμου έναντι της επεξεργασίας των δεδομένων αυτών σε όλα τα κράτη μέλη 7 ότι η υλοποίηση αυτού του στόχου που είναι ζωτικός για την εσωτερική αγορά, δεν μπορεί να επιτευχθεί μόνον μέσω των ενεργειών των κρατών μελών, λαμβανομένων ιδίως υπόψη της έκτασης των υφιστάμενων αποκλίσεων μεταξύ των οικείων εθνικών νομοθεσιών καθώς και της ανάγκης συντονισμού των νομοθεσιών των κρατών μελών, προκειμένου η διασυνοριακή ροή των δεδομένων προσωπικού χαρακτήρα να ρυθμίζεται με συνέπεια και σύμφωνα με τον στόχο της εσωτερικής αγοράς κατά την έννοια του άρθρου 7Α της συνθήκης 7 ότι είναι, ως εκ τούτου, απαραίτητη η παρέμβαση της Κοινότητας ώστε να υπάρξει προσέγγιση των νομοθεσιών 7
(9) ότι, λόγω της ισοδύναμης προστασίας που θα προκύψει από την προσέγγιση των εθνικών νομοθεσιών, τα κράτη μέλη δεν θα μπορούν πλέον να εμποδίζουν την μεταξύ τους ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα για λόγους προστασίας των δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και κυρίως της ιδιωτικής ζωής 7 ότι τα κράτη μέλη θα διαθέτουν περιθώριο χειρισμού το οποίο, στα πλαίσια της εφαρμογής της οδηγίας, θα μπορεί να χρησιμοποιείται επίσης από τους οικονομικούς και κοινωνικούς εταίρους 7 ότι θα μπορούν συνεπώς να προσδιορίζουν, στην εθνική τους νομοθεσία, τους γενικούς όρους θεμιτής επεξεργασίας των δεδομένων 7 ότι πράττοντας τούτο τα κράτη μέλη θα προσπαθήσουν να βελτιώσουν την προστασία που παρέχει η ισχύουσα νομοθεσία τους 7 ότι, εντός των ορίων του περιθωρίου και σύμφωνα με το κοινοτικό δίκαιο, ενδέχεται να προκύψουν διαφορές όσον αφορά την εφαρμογή της οδηγίας, που θα μπορούσαν να έχουν επιπτώσεις στην κυκλοφορία των δεδομένων τόσο στο εσωτερικό ενός κράτους μέλους όσο και στην Κοινότητα 7
(10) ότι στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών καθώς και στις γενικές αρχές του κοινοτικού δικαίου 7 ότι, για το λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα 7
(11) ότι οι αρχές περί προστασίας των δικαιωμάτων και των ελευθεριών του ατόομυ, και ιδίως της ιδιωτικής ζωής, που περιέχονται στην παρούσα οδηγία, διευκρινίζουν και επεκτείνουν τις αρχές που περιλαμβάνονται στη σύμβαση της 28ης Ιανουαρίου 1991 του Συμβουλίου της Ευρώπης περί προστασίας των προσώπων έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα 7
(12) ότι οι αρχές περί προστασίας πρέπει να εφαρμόζονται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα εφόσον οι δραστηριότητες του υπευθύνου της επεξεργασίας εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου 7 ότι πρέπει να εξαιρούνται οι επεξεργασίες που εκτελούνται από φυσικό πρόσωπο για την άσκηση αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων, όπως οι επεξεργασίες οι σχετικές με την αλληλογραφία και την τήρηση καταλόγων διευθύνσεων 7
(13) ότι οι δραστηριότητες που αναφέρονται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την ασφάλεια του κράτους ή οι δραστηριότητες του κράτους στον ποινικό τομέα δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, με την επιφύλαξη των υποχρεώσεων που βαρύνουν τα κράτη μέλη δυνάμει του άρθρου 56 παράγραφος 2 και του άρθρων 57 και 100 Α της συνθήκης 7 ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, αναγκαία για την οικονομική ευημερία του κράτους, δεν εμπίπτει στην παρούσα οδηγία όταν αφορά ζητήματα κρατικής ασφάλειας 7
(14) ότι, λόγω της σημασίας που έχει λάβει στα πλαίσια της κοινωνίας της πληροφόρησης η ανάπτυξη τεχνικών για τη συλλογή, τη διαβίβαση, το χειρισμό, την καταχώρηση, την αποθήκευση ή την ανακοίνωση δεδομένων ήχου και εικόνας που αφορούν φυσικά πρόσωπα, η παρούσα οδηγία θα πρέπει να εφαρμόζεται στις επεξεργασίες των σχετικών δεδομένων 7
(15) ότι οι επεξεργασίες των δεδομένων αυτών καλύπτονται από την παρούσα οδηγία μόνον εφόσον είναι αυτοματοποιημένες ή εφόσον τα δεδομένα περιλαμβάνονται ή προορίζονται να περιληφθούν σε αρχείο διαρθρωμένο σύμφωνα με ειδικά, όσον αφορά τα πρόσωπα, κριτήρια, ώστε να είναι ευχερής η πρόσβαση στα εν λόγω δεδομένα προσωπικού χαρακτήρα 7
(16) ότι οι επεξεργασίες δεδομένων ήχου και εικόνας, όπως και της επιτήρησης μέσω βίντεο, δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας εφόσον εκτελούνται για λόγους δημόσιας ασφάλειας, άμυνας, ασφαλείας του κράτους ή για την άσκηση ποινικών αρμοδιοτήτων ή άλλων δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου 7
(17) ότι όσον αφορά την επεξεργασία ήχου και εικόνας στα πλαίσια δημοσιογραφίας ή λογοτεχνικής ή καλλιτεχνικής έκφρασης, και ιδίως στον οπτικοακουστικό τομέα, οι αρχές της οδηγίας εφαρμόζονται περιοριστικώς σύμφωνα με τις διατάξεις του άρθρου 9 7
(18) ότι, προκειμένου να αποφευχθεί ο αποκλεισμός ενός προσώπου από την δυνάμει της παρούσας οδηγίας προστασία, είναι απαραίτητο κάθε πεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στην Κοινότητα να τηρεί τη νομοθεσία ενός από τα κράτη μέλη 7 ότι είναι σκόπιμο οι επεξεργασίες που εκτελούνται από πρόσωπα ενεργούντα υπό τον έλεγχο του υπευθύνου της επεξεργασίας ο οποίος είναι εγκατεστημένος σε κράτος μέλος να υπόκεινται στη νομοθεσία του κράτους αυτού 7
(19) ότι η εγκατάσταση στο έδαφος κράτους μέλους περιλαμβάνει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος 7 ότι η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα εν προκειμένω 7 ότι, όταν ένας μόνον υπεύθυνος επεξεργασίας είναι εγκατεστημένος στο έδαφος πλειόνων κρατών μελών, ιδίως μέσω θυγατρικής, πρέπει να εξασφαλίζει, κυρίως για να αποφεύγονται οι καταστρατηγήσεις, ότι κάθε κατάστημά του πληροί τις απαιτήσεις τις οποίες προβλέπει η οικεία εθνική νομοθεσία 7
(20) ότι η εγκατάσταση σε τρίτη χώρα του υπευθύνου της επεξεργασίας δεν πρέπει να αποτελεί εμπόδιο στην προστασία των προσώπων που προβλέπεται από την παρούσα οδηγία 7 ότι, στην περίπτωση αυτή, ενδείκνυται οι εκτελούμενες επεξεργασίες να υπάγοναι στη νομοθεσία του κράτους μέλους στο οποίο βρίσκονται τα μέσα που χρησιμοποιούνται για την επεξεργασία και να παρέχονται εγγυήσεις ώστε τα δικαιώματα και οι υποχρεώσεις που προβλέπονται από την παρούσα οδηγία να γίνονται πράγματι σεβαστά 7
(21) ότι η παρούσα οδηγία δεν θίγει τους κανόνες της εδαφικότητας που ισχύουν στον τομέα του ποινικού δικαίου 7
(22) ότι, ιδίως, τα κράτη μέλη θα προσδιορίσουν επακριβέστερα στη νομοθεσία τους ή κατά την έναρξη ισχύος των διατάξεων που θεσπίζονται κατ’ εφαρμογήν της παρούσας οδηγίας, τις γενικές προϋποθέσεις σύμφωνα με τις οποίες είναι θεμιτή η επεξεργασία 7 ότι ιδίως το άρθρο 5, σε συνδυασμό με τα άρθρα 7 και 8, επιτρέπει στα κράτη μέλη να προβλέπουν, πέραν των γενικών κανόνων, ειδικές προϋποθέσεις για την επεξεργασία δεδομένων σε συγκεκριμένους τομείς και για τις διάφορες κατηγορίες δεδομένων που αναφέρονται στο άρθρο 8 7
(23) ότι τα κράτη μέλη δύνανται να διασφαλίσουν την πραγμάτωση της προστασίας των προσώπων τόσο με γενικό νόμο περί προστασίας των προσώπων κατά της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όσο και με τομεακούς νόμους, όπως π.χ. οι νόμοι περί στατιστικής υπηρεσίας 7
(24) ότι οι νομοθεσίες περί προστασίας των νομικών προσώπων κατά της επεξεργασίας δεδομένων που τα αφορούν δεν θίγονται από την παρούσα οδηγία 7
(25) ότι οι αρχές της προστασίας δέον να εκφράζονται, αφενός, στις υποχρεώσεις τις οποίες υπέχουν πρόσωπα, δημόσιες αρχές, επιχειρήσεις ή άλλοι φορείς υπεύθυνοι για την επεξεργασία, όσον αφορά ιδίως την ποιότητα των δεδομένων, την ασφάλεια της τεχνικής, την κοινοποίηση στην αρχή ελέγχου, τις συνθήκες υπό τις οποίες μπορεί να εκτελεσθεί η επεξεργασία και, αφετέρου, με τα δικαιώματα που παρέχονται στα πρόσωπα, τα δεδομένα των οποίων αποτελούν αντικείμενο της επεξεργασίας, προκειμένου να ενημερώνονται επί των δεδομένων, να μπορούν να έχουν πρόσβαση σε αυτά, να ζητούν τη διόρθωσή τους ή ακόμη να αντιτάσσονται στην επεξεργασία τους 7
(26) ότι οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία του αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί 7 ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου 7 ότι οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται 7 ότι οι κώδικες δεοντολογίας κατά την έννοια του άρθρου 27 μπορούν να αποτελέσουν χρήσιμο μέσο για την παροχή στοιχείων ως προς τον τρόπο κατά τον οποίο τα δεδομένα μπορούν να καταστούν ανώνυμα και να φυλάσσονται με μορφή που δεν επιτρέπει πλέον να εξακριβωθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται 7
(27) ότι η προστασία του ατόμου πρέπει να ισχύει τόσο για την αυτοματοποιημένη όσο και για την διά της χειρός επεξεργασία δεδομένων 7 ότι το πεδίο εφαρμογής της προστασίας αυτής δεν πρέπει πράγματι να εξαρτάται από τις χρησιμοποιούμενες τεχνικές, δεδομένου ότι αυτό θα δημιουργούσε σοβαρούς κινδύνους καταστρατήγησης 7 ότι, ωστόσο, όσον αφορά την διά χειρός επεξεργασία, καλύπτονται από την οδηγία μόνον τα αρχεία και όχι οι μη διαρθρωμένοι φάκελοι 7 ότι, ιδίως, το περιεχόμενο ενός αρχείου πρέπει να είναι δαρθρωμένο σύμφωνα με ειδικά κριτήρια ώστε να επιτρέπεται η ευχερής πρόσβαση των ατόμων στα δεδομένα προσωπικού χαρακτήρα 7 ότι, σύμφωνα με τον ορισμό του άρθρου 2 στοιχείο γ), τα διάφορα κριτήρια για τον καθορισμό των στοιχείων ενός διαρθρωμένου συνόλου δεδομένων προσωπικού χαρακτήρα και τα διάφορα κριτήρια που διέπουν την πρόσβαση στο σύνολο αυτό, μπορούν να θεσπίζονται από κάθε κράτος μέλος 7 ότι συνεπώς ένας φάκελος ή σύνολο φακέλων, καθώς και το εξώφυλλό τους, εφόσον δεν είναι διαρθρωμένοι σύμφωνα με ειδικά κριτήρια, δεν εμπίπτουν σε καμία περίπτωση στην παρούσα οδηγία 7
(28) ότι οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να εκτελείται κατά τρόπο θεμιτό και σύννομο έναντι των ενδιαφερομένων προσώπων 7 ότι πρέπει ιδίως να αφορά δεδομένα κατάλληλα και συναφή προς τους επιδιωκόμενους στόχους και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται 7 ότι οι στόχοι αυτοί πρέπει ναι είναι σαφείς και νόμιμοι και να καθορίζονται κατά τη συλλογή των δεδομένων 7 ότι οι στόχοι των επεξεργασιών που έπονται της συλλογής δεν πρέπει να είναι ασυμβίβαστοι προς τους αρχικούς στόχους 7
(29) ότι η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν πρέπει γενικά να θεωρείται ασυμβίβαστη με τους σκοπούς για τους οποίους έχουν προηγουμένως συλλεχθεί τα δεδομένα, εφόσον τα κράτη μέλη παρέχουν επαρκείς εγγυήσεις 7 ότι οι εγγυήσεις αυτές πρέπει ιδίως να αποκλείουν τη χρήση των δεδομένων για τη λήψη μέτρων ή αποφάσεων που αφορούν συγκεκριμένο πρόσωπο 7
(30) ότι, για να είναι νόμιμη η επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει επιπλέον να διενεργείται με τη συναίνεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή να είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης που δεσμεύει το εν λόγω πρόσωπο ή την εκπλήρωση υποχρέωσης εκ του νόμου ή την εκτέλεση αποστολής δημοσίου συμφέροντος ή έργου εμπίπτοντος στην άσκηση δημόσιας εξουσίας ή ακόμη την πραγμάτωση εννόμου συμφέροντος φυσικού ή νομικού προσώπου, υπό τον όρο ότι δεν προέχουν το συμφέρον ή τα δικαιώματα και οι ελευθερίες του εν λόγω προσώπου 7 ότι, ειδικότερα, προκείμενου να εξασφαλιστεί η ισορροπία των εν λόγω συμφερόντων παράλληλα με τη διασφάλιση αποτελεσματικού ανταγωνισμού, τα κράτη μέλη μπορούν να προσδιορίζουν τις προϋποθέσεις υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα μπορούν να χρησιμοποιούνται και να ανακοινώνονται σε τρίτους στα πλαίσια νόμιμης συνήθους δραστηριότητας στις επιχειρήσεις ή άλλους οργανισμούς 7 ότι επίσης μπορούν να προσδιορίζουν τις προϋποθέσεις υπό τις οποίες μπορούν να ανακοινώνονται σε τρίτους τα δεδομένα προσωπικού χαρακτήρα για εμπορικούς ή διαφημιστικούς σκοπούς που επιδιώκονται είτε από εμπορικούς φορείς είτε από φιλανθρωπικά σωματεία ή άλλες οργανώσεις ή ενώσεις, λ.χ. πολιτικού χαρακτήρα, με την επιφύλαξη των διατάξεων που επιτρέπουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αντιταχθούν χωρίς αιτιολόγηση και άνευ δαπάνης στην επεξεργασία των δεδομένων που τα αφορούν 7
(31) ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να θεωρείται ως σύννομη όταν πραγματοποιείται με σκοπό την προστασία ουσιώδους βιοτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα 7
(32) ότι εναπόκειται στις εθνικές νομοθεσίες να καθορίσουν εάν ο υπεύθυνος της επεξεργασίας στον οποίο έχει ανατεθεί αποστολή δημοσίου συμφέροντος ή εμπίπτουσα στην άσκηση δημοσίας εξουσίας πρέπει να είναι δημόσια διοικητική αρχή ή άλλο πρόσωπο δημοσίου ή ιδιωτικού δικαίου, όπως μια επαγγελματική ένωση 7
(33) ότι, εξάλλου, τα δεδομένα που εκ φύσεως ενδέχεται να θίξουν τις θεμελιώδεις ελευθερίες ή την ιδιωτική ζωή δεν πρέπει να καθίστανται αντικείμενο επεξεργασίας, εκτός αν υπάρχει ρητή συναίνεση του προσώπου στο οποίο αναφέρονται 7 ότι, ωστόσο, πρέπει να προβλέπεται ρητά η δυνατότητα παρέκκλισης από αυτήν την απαγόρευση λόγω ειδικών αναγκών, ιδίως όταν η επεξεργασία πραγματοποιείται για ορισμένους λόγους υγείας από άτομα υπέχοντα υποχρέωση επαγγελματικού απορρήτου ή για νόμιμες δραστηριότητες από ορισμένα σωματεία ή ιδρύματα, σκοπός των οποίων είναι να επιτρέπουν την άσκηση θεμελιωδών ελευθεριών 7
(34) ότι, για λόγους σημαντικού δημόσιου συμφέροντςος, θα πρέπει να επιτρέπεται στα κράτη μέλη να παρεκκλίνουν από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων σε τομείς όπως η δημόσια υγεία, η κοινωνική προστασία -ιδίως όσον αφορά τη διασφάλιση της ποιότητας και της οικονομικής αποτελεσματικότητας καθώς και των διαδικασιών που ακολουθούνται για να εξετάζονται οι αιτήσεις παροχών και υπηρεσιών στα πλαίσια του καθεστώτος ιατροφαρμακευτικής ασφάλισης- η επιστημονική έρευνα καθώς και η δημόσια στατιστική 7 ότι εναπόκειτεαι, ωστόσο, στα κράτη μέλη να προβλέψουν ειδικές και πρόσφορες εγγυήσεις ώστε να προστατεύονται τα θεμελιώδη δικαιώματα και η ιδιωτική ζωή των προσώπων 7
(35) ότι, επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για σκοπούς που καθορίζονται στο συνταγματικό ή το δημόσιο διεθνές δίκαιο, επίσημα αναγνωρισμένων θρησκευτικών οργανώσεων εκτελείται για λόγους μείζονος δημοσίου συμφέροντος 7
(36) ότι εφόσον, προκειμένου περί εκλογών, η λειτουργία του δημοκρατικού συστήματος απαιτεί από τα πολιτικά κόμματα να συλλέγουν δεδομένα σχετικά με τα πολιτικά φρονήματα διαφόρων προσώπων, η επεξεργασία τέτοιων δεδομένων δύναται να επιτραπεί για λόγους μείζονος δημοσίου συμφέροντος, υπό την προϋποθέση ότι θεσπίζονται οι προσήκουσες εγγυήσεις 7
(37) ότι ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς καθώς και για καλλιτεχνική ή λογοτεχνική έκφραση, ιδίως στον οπτικοακουστικό τομέα, πρέπει να προβλέπονται εξαιρέσεις και περιορισμοί από τις διατάξεις της παρούσας οδηγίας οι οποίοι είναι αναγκαίοι για το συμβιβασμό των θεμελιωδών δικαιωμάτων του προσώπου με την ελευθερία της έκφρασης, και ιδίως την ελευθερία να λαμβάνει κανείς ή να παρέχει πληροφορίες, όπως αυτή κατοχυρώνεται στο άρθρο 10 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. Κατά συνέπεια, εναπόκειται στα κράτη μέλη να θεσπίσουν, για την ιεράρχηση των θεμελιωδών δικαιωμάτων, τις αναγκαίες εξαιρέσεις και περιορισμούς όσον αφορά τους εν γένει κανόνες νομιμότητας της επεξεργασίας των δεδομένων, τα μέτρα διαβίβασης των δεδομένων σε τρίτες χώρες, καθώς και τις αρμοδιότητες των υπηρεσιών ελέγχου. Αυτό δεν θα πρέπει εντούτοις να παράσχει στα κράτη μέλη αφορμή για να προβλέπουν εξαιρέσεις από τα μέτρα που εγγυώνται την ασφάλεια της επεξεργασίας. Θα πρέπει ωσαύτως να μεταβιβαστούν εκ των υστέρων ορισμένες αρμοδιότητες τουλάχιστον στην αρμόδια επί του τομέα αρχή ελέγχου, όπως φερ’ ειπείν η δημοσίευση εκθέσεων σε τακτά διαστήματα ή η προσφυγή στις δικαστικές αρχές 7
(38) ότι η σύννομη επεξεργασία των δεδομένων προϋποθέτει ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι σε θέση να πληροφορούνται την ύπαρξη της επεξεργασίας και, εφόσον τα δεδομένα συλλέγονται από αυτά, να έχουν πραγματική και ολοκληρωμένη ενημέρωση σχετικά με τις συνθήκες της συλλογής 7
(39) ότι ορισμένες επεξεργασίες αφορούν δεδομένα τα οποία ο υπεύθυνος δεν συνέλεξε απευθείας από το πρόσωπο στο οποίο αναφέρονται 7 ότι, εξάλλου, τα δεδομένα μπορούν να ανακοινωθούν νομίμως σε τρίτο, ακόμη και όταν η ανακοίνωση αυτή δεν είχε προβλεφθεί κατά τη συλλογή τους από το πρόσωπο στο οποίο αναφέρονται 7 ότι, σε όλες αυτές τις περιπτώσεις, η ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρέπει να πραγματοποιείται κατά την καταγραφή των δεδομένων ή, το αργότερο, κατά την πρώτη ανακοίνωσή τους σε τρίτο 7
(40) ότι, ωστόσο, δεν είναι ανάγκη να επιβληθεί η υποχρέωση αυτή εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ήδη ενημερωθεί 7 ότι η υποχρέωση αυτή δεν υφίσταται όταν η καταγραφή ή η ανακοίνωση προβλέπεται ρητώς από το νόμο όταν η ενημέρωση του εν λόγω προσώπου αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογες προσπάθειες, όπως μπορεί να συμβεί με τις επεξεργασίες για ιστορικούς, στατιστικούς, ή επιστημονικούς σκοπούς 7 εν προκειμένω είναι δυνατόν να εξετάζονται ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα, η ηλικία των δεδομένων καθώς και τα αντισταθμιστικά μέτρα που μπορούν να ληφθούν 7
(41) ότι κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης στα δεδομένα που το αφορούν και τα οποία αποτελούν αντικείμενο επεξεργασίας, προκειμένου να βεβαιώνεται, ιδίως, για την ακρίβειά τους και τον σύννομο χαρακτήρα της επεξεργασίας τους 7 ότι, για τους ίδιους λόγους, κάθε πρόσωπο πρέπει να έχει επί πλέον το δικαίωμα να γνωρίζει τη λογική η οποία υπαγορεύει την αυτοματοποιημένη επεξεργασία των δεδομένων που το αφορούν, τουλάχιστον στην περίπτωση των αυτοματοποιημένων αποφάσεων που αναφέρονται στο άρθρο 15 παράγραφος 1 7 ότι το δικαίωμα αυτό δεν πρέπει να θίγει το επιχειρηματικό απόρρητο ούτε την πνευματική ιδιοκτησία, ιδίως το δικαίωμα του δημιουργού που προστατεύει το λογισμικό 7 ότι αυτό δεν πρέπει, ωστόσο, να καταλήγει στην άρνηση κάθε ενημέρωσης του ενδιαφερομένου προσώπου 7
(42) ότι τα κράτη μέλη μπορούν, προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή προκειμένου να προστατευθούν τα δικαιώματα και οι ελευθερίες τρίτων, να περιορίζουν τα δικαιώματα πρόσβασης και πληροφόρησης 7 ότι μπορούν, για παράδειγμα, να διευκρινίζουν ότι η πρόσβαση σε δεδομένα ιατρικής φύσεως μπορεί να γίνεται μόνο μέσω επαγγελματικού στελέχους του κλάδου της υγείας 7
(43) ότι τα κράτη μέλη μπορούν να επιβάλλουν περιορισμούς των δικαωμάτων πρόσβασης και ενημέρωσης καθώς και ορισμένων υποχρεώσεων του υπευθύνου της επεξεργασίας εφόσον είναι απολύτως αναγκαίοι για τη διαφύλαξη της εθνικής ασφάλειας, της άμυνας, της δημόσιας ασφάλειας, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους της Ένωσης καθώς και για την έρευνα και δίωξη ποινικών παραβάσεων και παραβάσεων δεοντολογίας των νομικά κατοχυρωμένων επαγγελμάτων 7 ότι πρέπει να απαριθμηθούν, ως εξαιρέσεις και περιορισμοί, οι αποστολές ελέγχου, επιθεώρησης ή ρύθμισης που είναι αναγκαίες στους τελευταίους τρεις προαναφερθέντες τομείς όσον αφορά τη δημόσια ασφάλεια, τα οικονομικά ή χρηματοοικονομικά συμφέροντα και την πρόληψη ποινικών αδικημάτων 7 ότι η απαρίθμηση έργων που αφορούν τους τρεις αυτούς τομείς δεν θίγει τη νομιμότητα εξαιρέσεων και περιορισμών για λόγους κρατικής ασφάλειας ή άμυνας 7
(44) ότι τα κράτη μέλη ενδέχεται να υποχρεωθούν, βάσει κοινοτικής νομοθεσίας, να παρεκκλίνουν της παρούσας οδηγίας σχετικά με το δικαίωμα πρόσβασης, την ενημέρωση και την ποιότητα των δεδομένων, προκειμένου να επιτύχουν ορισμένους από τους ανωτέρω στόχους 7
(45) ότι, στην περίπτωση που τα δεδομένα θα μπορούσαν να υποστούν σύννομη επεξεργασία λόγω δημοσίου συμφέροντος, της άσκησης δημόσιας εξουσίας ή έννομων συμφερόντων φυσικών ή νομικών προσώπων, κάθε πρόσωπο θα πρέπει να δικαιούται να αντιτάσσεται για υπέρτερους νόμιμους λόγους που ανάγονται στην ειδική του κατάσταση και να αποκλείει από την επεξεργασία τα δεδομένα που το αφορούν 7 ότι τα κράτη μέλη έχουν πάντως την ευχέρεια να θεσπίζουν αντίθετες εθνικές διατάξεις 7
(46) ότι η προστασία των δικαιωμάτων και ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών μέτρων και οργάνωση κατά τη στιγμή τόσο του σχεδιασμού των τεχνικών επεξεργασίας όσο και της εκτέλεσης της επεξεργασίας, προκειμένου ιδίως να υπάρξουν εγγυήσεις για την ασφάλειά τους και να εμποδίζεται έτσι κάθε ανεπίτρεπτη επεξεργασία 7 ότι εναπόκειται στα κράτη μέλη να μεριμνούν για την τήρηση των μέτρων αυτών εκ μέρους των υπευθύνων της επεξεργασίας 7 ότι τα μέτρα αυτά πρέπει να εξασφαλίζουν ενδεδειγμένο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνικής και το κόστος της εφαρμογής τους έναντι των κινδύνων που εμφανίζουν οι επεξεργασίες και της φύσης των προς προστασία δεδομένων 7
(47) ότι όταν ένα μήνυμα που περιέχει δεδομένα προσωπικού χαρακτήρα μεταβιβάζεται μέσω υπηρεσίας τηλεπικοινωνιών ή ηλεκτρονικού ταχυδρομείου, μοναδικός στόχος των οποίων είναι η μεταβίβαση μηνυμάτων αυτού του τύπου, ως υπεύθυνος για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μήνυμα θα θεωρείται το πρόσωπο από το οποίο προέρχεται το μήνυμα και όχι το πρόσωπο που παρέχει την υπηρεσία μεταβίβασης 7 ότι, πάντως, τα πρόσωπα που παρέχουν αυτές τις υπηρεσίες θα θεωρούνται κατά κανόνα ως υπεύθυνοι για την επεξεργασία πρόσθετων δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητα για τη λειτουργία της υπηρεσίας 7
(48) ότι η κοινοποίηση στην αρχή ελέγχου αποβλέπει στη διασφάλιση της δημοσιότητας των σκοπών της επεξεργασίας καθώς και των κύριων χαρακτηριστικών της, με στόχο την εξακρίβωση εάν η επεξεργασία είναι σύμφωνη με τις εθνικές διατάξεις που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας 7
(49) ότι, προς αποφυγή απρόσφορων διοικητικών διατυπώσεων, τα κράτη μέλη πρέπει να προβλέψουν εξαιρέσεις ή απλουστεύσεις κατά την κοινοποίηση των επεξεργασιών που δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, εφόσον οι επεξεργασίες αυτές είναι σύμφωνες με πράξη που έχει θεσπιστεί από κράτος μέλος ορίζουσα τα όριά τους 7 ότι εξαιρέσεις ή απλουστεύσεις μπορούν επίσης να προβλέπονται από τα κράτη μέλη όταν πρόσωπο που ορίζεται από τον υπεύθυνο της επεξεργασίας βεβαιώνεται ότι οι πραγματοποιούμενες επεξεργασίες δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα 7 ότι το πρόσωπο που είναι επιφορτισμένο με την προστασία δεδομένων, είτε είναι υπάλληλος του υπευθύνου της επεξεργασίας είτε εξωτερικός συνεργάτης, πρέπει να ασκεί τα καθήκοντά του με πλήρη ανεξαρτησία 7
(50) ότι η εξαίρεση ή η απλούστευση μπορούν να προβλέπονται ειδικότερα για τις επεξεργασίες μοναδικό αντικείμενο των οποίων είναι η τήρηση μητρώων τα οποία προορίζονται, σύμφωνα με το εθνικό δίκαιο, για την ενημέρωση του κοινού και είναι προσιτά στο κοινό ή σε οποιοδήποτε πρόσωπο που μπορεί να επικαλεσθεί έννομο συμφέρον 7
(51) ότι, ωστόσο, η απλούστευση της υποχρέωσης κοινοποίησης ή η εξαίρεση από αυτήν δεν απαλλάσσει τον υπεύθυνο της επεξεργασίας από καμία άλλη υποχρέωση που απορρέει από την παρούσα οδηγία 7
(52) ότι ο εκ των υστέρων έλεγχος εκ μέρους των αρμοδίων αρχών πρέπει γενικά να θεωρείται ως επαρκές μέτρο 7
(53) ότι, πάντως, ορισμένες επεξεργασίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους όσον αφορά τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, λόγω της φύσεως, της έκτασης ή του σκοπού τους, που μπορεί να είναι, λ.χ. ο αποκλεισμός προσώπων από την απόλαυση δικαιώματος, παροχής ή συμβάσεως, ή λόγω της ιδιαίτερης χρήσης νέας τεχνολογίας 7 ότι τα κράτη μέλη, εάν το επιθυμούν, μπορούν να προσδιορίζουν στη νομοθεσία τους τους κινδύνους αυτούς 7
(54) ότι, σε σχέση με το σύνολο των εκτελούμενων επεξεργασιών, ο αριθμός των επεξεργασιών που παρουσιάζουν ιδιαίτερους κινδύνους θα πρέπει να είναι πολύ περιορισμένος 7 ότι τα κράτη μέλη οφείλουν να προβλέπουν για τις επεξεργασίες αυτές έλεγχο από την αρχή ελέγχου ή από το πρόσωπο που είναι επιφορτισμένο με την προστασία των δεδομένων, σε συνεργασία με την αρχή ελέγχου, έλεγχο ο οποίος θα προηγείται της επεξεργασίας 7 ότι, μετά τον έλεγχο, η αρχή ελέγχου μπορεί, σύμφωνα με την εθνική της νομοθεσία, να εκφέρει γνώμη ή να εγκρίνει την επεξεργασία των δεδομένων 7 ότι αυτή η εξέταση μπορεί επίσης να διενεργηθεί στα πλαίσια της προπαρασκευής νομοθετικού μέτρου θεσπιζομένου από το εθνικό κοινοβούλιο ή βάσει τέτοιου μέτρου, το οποίο καθορίζει τη φύση της επεξεργασίας και τις κατάλληλες εγγυήσεις 7
(55) ότι, στην περίπτωση κατά την οποία ο υπεύθυνος της επεξεργασίας δεν σέβεται τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, οι εθνικές νομοθεσίες πρέπει να προβλέπουν τη δυνατότητα προσφυγής ενώπιον δικαστηρίου 7 ότι οι ζημιές τις οποίες ενδέχεται να υποστούν τα πρόσωπα από αθέμιτη επεξεργασία πρέπει να αποκαθίστανται από τον υπεύθυνο της επεξεργασίας, ο οποίος μπορεί να απαλλαγεί από την ευθύνη του μόνον αν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός, ιδίως λόγω πταίσματος του ενδιαφερομένου ή ανωτέρας βίας 7 ότι πρέπει να επιβάλλονται κυρώσεις έναντι κάθε προσώπου, είτε ιδιωτικού είτε δημοσίου δικαίου, το οποίο δεν τηρεί τις εθνικές διατάξεις που έχουν θεσπιστεί κατ’ εφαρμογή της παρούσας οδηγίας 7
(56) ότι η διασυνοριακή ροή δεδομένων προσωπικιού χαρακτήρα είναι απαραίτητη για την ανάπτυξη των διεθνών εμπορικών συναλλαγών 7 ότι η προστασία των προσώπων την οποία εγγυάται στην Κοινότητα η παρούσα οδηγία δεν αντιτίθεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες που παρέχουν ικανοποιητικό επίπεδο προστασίας 7 ότι το ικανοποιητικό επίπεδο της προστασίας που παρέχεται από τρίτη χώρα πρέπει να κρίνεται υπό το φως όλων των περιστάσεων των σχετικών με μια διαβίβαση ή μια κατηγορία διαβιβάσεων 7
(57) ότι, αντίθετα, όταν μια τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται 7
(58) ότι πρέπει να προβλέπονται εξαιρέσεις από την απαγόρευση αυτή σε ορισμένες περιπτώσεις όταν το ενδιαφερόμενο πρόσωπο έχει δώσει τη συγκατάθεσή του ή όταν η διαβίβαση είναι απαραίτητη στο πλαίσιο σύμβασης ή δικαστικής υπόθεσης ή για την προστασία δημοσίου συμφέροντος, π.χ. σε διεθνείς διαβιβάσεις δεδομένων μεταξύ φορολογικών ή τελωνειακών αρχών ή των αρμόδιων για θέματα κοινωνικής ασφάλειας υπηρεσιών, ή όταν η διαβίβαση γίνεται από μητρώο που έχει συσταθεί διά νόμου και προορίζεται για την παροχή πληροφοριών στο κοινό ή τα πρόσωπα που έχουν έννομο συμφέρον 7 ότι η διαβίβαση αυτή δεν πρέπει να αφορά το σύνολο ή κατηγορίες των δεδομένων του σχετικού μητρώου 7 ότι, εφόσον ένα μητρώο προορίζεται για να παρέχει στοιχεία για έρευνες που διενεργούνται από πρόσωπα που έχουν έννομο συμφέρον, η διαβίβαση πρέπει να είναι δυνατή μόνο κατ’ αίτηση των προσώπων αυτών ή όταν παραλήπτες είναι τα εν λόγω πρόσωπα 7
(59) ότι μπορούν να ληφθούν ειδικά μέτρα προκειμένου να καλυφθεί η ανεπάρκεια της προστασίας σε τρίτη χώρα, όταν ο υπεύθυνος της επεξεργασίας παρέχει τις κατάλληλες εγγυήσεις 7 ότι πρέπει, εξάλλου, να προβλέπονται διαδικασίες διαπραγματεύσεων μεταξύ Κοινότητας και των εν λόγω τρίτων χωρών 7
(60) ότι, σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες μπορούν να πραγματοποιούνται μόνον εφόσον τηρούνται απολύτως οι διατάξεις που έχουν θεσπίσει τα κράτη μέλη κατ’ εφαρμογή της παρούσας οδηγίας, και ιδίως του άρθρου 8 7
(61) ότι τα κράτη μέλη και η Επιτροπή πρέπει, στους τομείς της αρμοδιότητάς τους, να ενθαρρύνουν τους επαγγελματικούς κύκλους να καταρτίσουν κοινοτικούς κώδικες δεοντολογίας, ώστε να διευκολυνθεί, λαμβανομένων υπόψη των ιδιομορφιών της επεξεργασίας σε ορισμένους τομείς, η εφαρμογή της παρούσας οδηγίας σύμφωνα με τις εθνικές διατάξεις που θεσπίζονται προς το σκοπό αυτό 7
(62) ότι η σύσταση σε κάθε κράτος μέλος ανεξαρτήτων αρχών ελέγχου αποτελεί ουσιώδες στοιχείο της προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα 7
(63) ότι οι αρχές αυτές πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, μεταξύ των οποίων και εξουσίες διεξαγωγής έρευνας ή παρέμβασης, ειδικότερα σε περίπτωση ατομικών προσφυγών, καθώς και την ικανότητα του παρίστασθαι ενώπιον του δικαστηρίου 7 ότι οι εν λόγω αρχές πρέπει να συμβάλλουν στη διαφάνεια των επεξεργασιών που εκτελούνται στο κράτος μέλος στο οποίο υπάγονται 7
(64) ότι οι αρχές των διαφόρων κρατών μελών καλούνται να παρέχουν αμοιβαία συνδρομή κατά την εκτέλεση των καθηκόντων τους, ώστε οι κανόνες προστασίας να τηρούνται πλήρως στην Ευρωπαϊκή Ένωση 7
(65) ότι, σε κοινοτικό επίπεδο, πρέπει να συσταθεί ομάδα προστασίας των προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα η οποία θα πρέπει να ασκεί τα καθήκοντά της με πλήρη ανεξαρτησία 7 ότι, λαμβανομένου υπόψη του ειδικού της χαρακτήρα, η ομάδα πρέπει να συμβουλεύει την Επιτροπή και να συμβάλλει κυρίως στην ομοιογενή εφαρμογή των εθνικών κανόνων που θεσπίζονται κατ’ εφαρμογή της παρούσας οδηγίας 7
(66) ότι, για τη διαβίβαση δεδομένων προς τρίτες χώρες, η εφαρμογή της παρούσας οδηγίας προϋποθέτει την ανάθεση εκτελεστικών αρμοδιοτήτων στην Επιτροπή και τη θέσπιση διαδικασίας σύμφωνα με τις διατυπώσεις που ορίζονται στην απόφαση 87/373/ΕΟΚ του Συμβουλίου (1) 7
(67) ότι στις 20 Δεκεμβρίου 1994 επήλθε συμφωνία για το modus vivendi, μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής σχετικά με τα εκτελεστικά μέτρα των πράξεων που εκδίδονται σύμφωνα με τη διαδικασία του άρθρου 189 Β της συνθήκης ΕΚ 7
(68) ότι ο αρχές της παρούσας οδηγίας περί προστασίας των δικαιωμάτων και των ελευθεριών των προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα μπορούν να συμπληρώνονται ή να διευκρινίζονται, ιδίως για ορισμένους τομείς, με ειδικούς κανόνες που θα είναι σύμφωνοι προς τις αρχές αυτές 7
(69) ότι είναι σκόπιμο να δοθεί στα κράτη μέλη προθεσμία, μη δυνάμενη να υπερβεί τα τρία έτη από της ενάρξεως ισχύος των εθνικών μέτρων για τη μεταφορά στο εθνικό δίκαιο της παρούσας οδηγίας, προκειμένου να μπορέσουν να εφαρμόσουν σταδιακά, στο σύνολο των ήδη εκτελουμένων επεξεργασιών, τις εν λόγω νέες εθνικές διατάξεις 7 ότι, για να επιτευχθεί αποτελεσματική ως προς το κόστος εφαρμογή των διατάξεων αυτών, τα κράτη μέλη μπορούν να προβλέψουν συμπληρωματική περίοδο, που θα λήγει δώδεκα έτη μετά την ημερομηνία έκδοσης της παρούσας οδηγίας, προκειμένου να συμμορφωθούν προς ορισμένες διατάξεις της οδηγίας τα χειρόγραφα αρχεία τα οποία θα υπάρχουν ήδη κατά την ημερομηνία αυτή 7 ότι, όταν τα δεδομένα που περιέχονται στα αρχεία αυτά αποτελούν αντικείμενο διά χειρός επεξεργασίας εντός της συμπληρωματικής μεταβατικής περιόδου, η συμμόρφωση προς τις προαναφερόμενες διατάξεις πρέπει να πραγματοποιείται κατά την εκτέλεση της επεξεργασίας 7
(70) ότι δεν απαιτείται νέα συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για να μπορεί ο υπεύθυνος να συνεχίσει, μετά την έναρξη ισχύος των εθνικών διατάξεων που θεσπίζονται κατ’ εφαρμογή της παρούσας οδηγίας, την επεξεργαγσία ευαίσθητων δεδομένων που απαιτείται για την εκτέλεση συμβάσεως η οποία έχει συναφθεί με την ελεύθερη και εν γνώσει συναίνεση του εν λόγω προσώπου πριν από τη έναρξη ισχύος των εν λόγω διατάξεων 7
(71) ότι η παρούσα οδηγία δεν εμποδίζει ένα κράτος μέλος να ρυθμίζει τις δραστηριότητες εμπορικής ή διαφημιστικής έρευνας που έχουν για προορισμό τους καταναλωτές οι οποίοι κατοικούν στο έδαφός του, εφόσον αυτή η ρύθμιση δεν αφορά την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα 7
(72) ότι η οδηγία επιτρέπει να λαμβάνεται υπόψη κατά την εφαρμογή των κανόνων της η αρχή της πρόσβασης του κοινού σε επίσημα έγγραφα,
ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:
ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Στόχος της οδηγίας
1. Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
2. Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.
Άρθρο 2
Ορισμοί
Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:
α) «δεδομένα προσωπικού χαρακτήρα», κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί «το πρόσωπο στο οποίο αναφέρονται τα δεδομένα» 7 ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη 7
β) «επεξεργασία δεδομένων προσωπικού χαρακτήρα» «επεξεργασία», κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή 7
γ) «αρχείο δεδομένων προσωπικού χαρακτήρα» «αρχείο», κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα προσιτών με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση 7
δ) «υπεύθυνος της επεξεργασίας», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το κοινοτικό δίκαιο 7
ε) «εκτελών την επεξεργασία», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας 7
στ) «τρίτοι», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο εκτελών την επεξεργασία καθώς και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα 7
ζ) «αποδέκτης», το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο ανακοινώνονται τα δεδομένα, είτε πρόκειται για τρίτο είτε όχι. Ωστόσο, οι αρχές στις οποίες ενδέχεται να ανακοινωθούν δεδομένα στα πλαίσια ειδικής ερευνητικής αποστολής δεν θεωρούνται ως αποδέκτες 7
η) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα», κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Άρθρο 3
Πεδίο εφαρμογής
1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.
2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,
– η οποία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων.
Άρθρο 4
Εφαρμοστέο εθνικό δίκαιο
1. Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον:
α) η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία 7
β) ο υπεύθυνος δεν είναι εγκατεστημένος στο έδαφος του κράτους μέλους, αλλά σε τόπο όπου εφαρμόζεται η εθνική του νομοθεσία δυνάμει του δημοσίου διεθνούς δικαίου 7
γ) ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της Κοινότητας και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στο έδαφος του εν λόγω κράτους μέλους, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση από το έδαφος της Ευρωπαϊκής Κοινότητας.
2. Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο γ), ο υπεύθυνος της επεξεργασίας πρέπει να υποδείξει έναν αντιπρόσωπο εγκατεστημένο στο έδαφος του εν λόγω κράτους μέλους. Δεν θίγεται η τυχόν ανάληψη νομικών ενεργειών κατά του ιδίου του υπευθύνου της επεξεργασίας.
ΚΕΦΑΛΑΙΟ II ΓΕΝΙΚΕΣ ΠΡΟΫΠΟΘΕΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗ ΘΕΜΙΤΗ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 5
Τα κράτη μέλη καθορίζουν, εντός των ορίων του παρόντος κεφαλαίου, τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.
ΤΜΗΜΑ I
ΑΡΧΕΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΤΗΡΟΥΝΤΑΙ ΩΣ ΠΡΟΣ ΤΗΝ ΠΟΙΟΤΗΤΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 6
1. Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:
α) να υφίστανται σύννομη και θεμιτή επεξεργασία 7
β) να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η μεταγενέστερη επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θεωρείται ασυμβίβαστη εφόσον τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις 7
γ) να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία 7
δ) να είναι ακριβή και, εφόσον χρειάζεται, να ενημερώνονται 7 πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα ανακριβή ή ελλιπή σε σχέση με τους σκοπούς για τους οποίους έχουν συλλεγεί ή υφίστανται κατόπιν επεξεργασία, να διαγράφονται ή να διορθώνονται 7
ε) να διατηρούνται με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται μόνο κατά τη διάρκεια περιόδου που δεν υπερβαίνει την απαιτούμενη για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή για τους οποίους αργότερα υφίστανται επεξεργασία. Τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται πέραν της περιόδου αυτής για σκοπούς ιστορικούς, στατιστικούς ή επιστημονικούς.
2. Εναπόκειται στον υπεύθυνο της επεξεργασίας να εξασφαλίσει την τήρηση της παραγράφου 1.
ΤΜΗΜΑ II
ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΤΗΣ ΝΟΜΙΜΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 7
Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του ή
β) είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το ενδιαφερόμενο πρόσωπο είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του ή
γ) είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας ή
δ) είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή
ε) είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος ή εμπίπτοντος στην άσκηση δημοσίας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας ή στον τρίτο στον οποίο ανακοινώνονται τα δεδομένα ή
στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1 παράγραφος 1 της παρούσας οδηγίας.
ΤΜΗΜΑ III
ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 8
Επεξεργασία ειδικών κατηγοριών δεδομένων
1. Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και την υγεία και τη σεξουαλική ζωή.
2. Η παράγραφος 1 δεν ισχύει εφόσον:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει ρητά τη συγκατάθεστή του για την επεξεργασία, εκτός αν η νομοθεσία του κράτους μέλους ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση της παραγράφου 1 ή
β) η επεξεργασία είναι απαραίτητη προκειμένου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας στον τομέα του εργατικού δικαίου, στο βαθμό που το επιτρέπει η εθνική νομοθεσία η οποία προβλέπει επαρκείς εγγυήσεις ή
γ) η επεξεργασία είναι απαραίτητη για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, αν ο ενδιαφερόμενος τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του ή
δ) η επεξεργασία πραγματοποιείται από ίδρυμα, σωματείο ή οποιονδήποτε άλλο μη κερδοσκοπικό φορέα ο οποίος επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, υπό τον όρο ότι η επεξεργασία αφορά μόνον τα μέλη του ή πρόσωπα με τα οποία το ίδρυμα, το σωματείο ή ο φορέας διατηρεί, ως εκ του σκοπού του, τακτικές επαφές, και τα δεδομένα ανακοινώνονται σε τρίτους μόνον με τη συγκατάθεση των προσώπων στα οποία αναφέρονται ή
ε) η επεξεργασία αφορά δεδομένα τα οποία προδήλως δημοσιοποιούνται από το πρόσωπο στο οποίο αναφέρονται ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου.
3. Η παράγραφος 1 δεν ισχύει εφόσον η επεξεργασία των δεδομένων είναι αναγκαία για την ιατρική πρόληψη ή διάγνωση, την παροχή ιατροφαρμακευτικής αγωγής ή τη διαχείριση των ιατροφαρμακευτικών υπηρεσιών, η δε επεξεργασία των δεδομένων αυτών εκτελείται από κατ’ επάγγελμα θεράποντα της υγείας υποκείμενο στο επαγγελματικό απόρρητο το οποίο προβλέπει το εθνικό δίκαιο ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση.
4. Εφόσον παρέχονται οι δέουσες εγγυήσεις, τα κράτη μέλη δύνανται, όταν συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος, να θεσπίσουν και άλλες παρεκκλίσεις εκτός από τις προβλεπόμενες στην παράγραφο 2, είτε με εθνική νομοθετική διάταξη είτε με απόφαση της αρχής ελέγχου.
5. Η επεξεργασία δεδομένων σχετικών με παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής, ή εάν το εθνικό δίκαιο προβλέπει επαρκείς και ειδικές εγγυήσεις, με την επιφύλαξη ενδεχομένων παρεκκλίσεων τις οποίες ορίζει το κράτος μέλος επί τη βάσει εθνικών διατάξεων που παρέχουν τις ενδεδειγμένες και ειδικές προς τούτο εγγυήσεις. Πάντως, η τήρηση πλήρους ποινικού μητρώου επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής.
Τα κράτη μέλη δύνανται να προβλέπουν ότι οι επεξεργασίες δεδομένων συναφών με διοικητικές ή δικαστικές αποφάσεις πρέπει ομοίως να εκτελούνται υπό τον έλεγχο της δημόσιας αρχής.
6. Οι παρεκκλίσεις από την παράγραφο 1 που προβλέπονται στις παραγράφους 4 και 5 κοινοποιούνται στην Επιτροπή.
7. Τα κράτη μέλη καθορίζουν τους όρους υπό τους οποίους επιτρέπεται η επεξεργασία του εθνικού αναγνωριστικού αριθμού ταυτότητας ή άλλων γενικότερων αναγνωριστικών της ταυτότητας στοιχείων.
Άρθρο 9
Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης
Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται αποκλειστικώς για δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν τις εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις του παρόντος κεφαλαίου, του κεφαλαίου IV και του κεφαλαίου VI μόνο στο βαθμό που είναι αναγκαίες ώστε το δικαίωμα της ιδιωτικής ζωής να συμβιβάζεται με τους κανόνες που διέπουν την ελευθερία έκφρασης.
ΤΜΗΜΑ IV
ΕΝΗΜΕΡΩΣΗ ΤΟΥ ΕΝΔΙΑΦΕΡΟΜΕΝΟΥ ΠΡΟΣΩΠΟΥ
Άρθρο 10
Ενημέρωση σε περίπτωση συλλογής δεδομένων από το πρόσωπο στο οποίο αναφέρονται
Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί σχετικά:
α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7
β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα 7
γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:
– τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,
– το κατά πόσον η παροχή των δεδομένων είναι υποχρεωτική ή όχι, καθώς και τις ενδεχόμενες συνέπειες της άρνησης παροχής τους,
– την ύπαρξη δικαιώματος πρόσβασης στα συγκεκριμένα δεδομένα και δικαιώματος διόρθωσής τους,
εφόσον οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.
Άρθρο 11
Ενημέρωση σε περίπτωση συλλογής δεδομένων όχι από το πρόσωπο στο οποίο αναφέρονται
1. Όταν τα δεδομένα δεν έχουν συλλεγεί από το πρόσωπο το οποίο αφορούν, τα κράτη μέλη προβλέπουν ότι, ευθύς ως καταχωρηθούν τα δεδομένα ή, εάν προβλέπεται ανακοίνωσή τους σε τρίτους, το αργότερο κατά την πρώτη ανακοίνωσή τους, ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τις εξής πληροφορίες, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί:
α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7
β) τους σκοπούς της επεξεργασίας 7
γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:
– τις κατηγορίες των σχετικών δεδομένων,
– τους αποδέκτες ή τις κατηγορίες αποδεκτών,
– την ύπαρξη δικαιώματος πρόσβασης στα δεδομένα που το αφορούν και δικαιώματος διόρθωσής τους,
εφόσον οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται θεμιτή επεξεργασία, έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.
2. Οι διατάξεις της παραγράφου 1 δεν εφαρμόζονται όταν, ιδίως όσον αφορά την επεξεργασία για σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας, η ενημέρωση του ενδιαφερομένου αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογες προσπάθειες ή εάν η καταχώρηση ή η ανακοίνωση επιβάλλεται ρητώς από το νόμο. Στις περιπτώσεις αυτές, τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις.
ΤΜΗΜΑ V
ΔΙΚΑΙΩΜΑ ΠΡΟΣΒΑΣΗΣ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ
Άρθρο 12
Δικαίωμα πρόσβασης
Τα κράτη μέλη εγγυώνται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα το δικαίωμα να λαμβάνουν από τον υπεύθυνο της επεξεργασίας:
α) ελεύθερα και απεριόριστα, σε εύλογα διαστήματα και χωρίς υπερβολική καθυστέρηση ή δαπάνη:
– την επιβεβαίωση ότι υπάρχει ή όχι επεξεργασία δεδομένων που τα αφορούν καθώς και πληροφορίες, σχετικά τουλάχιστον με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων υπό επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών στις οποίες ανακοινώνονται τα δεδομένα αυτά,
– τη γνωστοποίηση, με εύληπτο τρόπο, των δεδομένων υπό επεξεργασία καθώς και των διαθέσιμων πληροφοριών σχετικά με την προέλευσή των,
– την ενημέρωση σχετικά με τη λογική στην οποία στηρίζεται κάθε αυτοματοποιημένη επεξεργασία των δεδομένων τα οποία αναφέρονται στα πρόσωπα αυτά, τουλάχιστον στην περίπτωση των αυτοματοποιημένων αποφάσεων του άρθρου 15 παράγραφος 1 7
β) κατά περίπτωση, τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις της παρούσας οδηγίας, ιδίως λόγω ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων 7
γ) την κοινοποίηση σε τρίτους, στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή κλειδώματος που διενεργείται σύμφωνα με το στοιχείο β), εφόσον τούτο δεν είναι αδύνατον ή δεν προϋποθέτει δυσανάλογες προσπάθειες.
ΤΜΗΜΑ VI
ΕΞΑΙΡΕΣΕΙΣ ΚΑΙ ΠΕΡΙΟΡΙΣΜΟΙ
Άρθρο 13
Εξαιρέσεις και περιορισμοί
1. Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1, του άρθρου 10, του άρθρου 11 παράγραφος 1 και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:
α) της ασφάλειας του κράτους 7
β) της άμυνας 7
γ) της δημόσιας ασφάλειας 7
δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων 7
ε) σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων 7
στ) αποστολής ελέγχου, επιθεώρησης ή ρυθμιστικών καθηκόντων που συνδέονται, έστω και ευκαιριακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία γ), δ) και ε) 7
ζ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.
2. Υπό την επιφύλαξη των προσφόρων νομικών εγγυήσεων, και ιδίως εκείνων που ορίζουν ότι τα δεδομένα δεν επιτρέπεται να χρησιμοποιηθούν για μέτρα ή αποφάσεις που ανάγονται σε συγκεκριμένα πρόσωπα, τα κράτη μέλη μπορούν, ιδίως στην περίπτωση που σαφώς ελλείπει κάθε κίνδυνος να θιγεί η ιδιωτική ζωή του προσώπου που αφορούν, να περιορίζουν νομοθετικώς τα δικαιώματα εκ του άρθρου 12 όταν η επεξεργασία δεδομένων γίνεται αποκλειστικά για επιστημονική έρευνα ή όταν αποθηκεύονται υπό μορφή στοιχείων προσωπικού χαρακτήρα επί διάστημα που δεν υπερβαίνει το αναγκαίο προς κατάρτιση στατιστικών και μόνο.
ΤΜΗΜΑ VII
ΔΙΚΑΙΩΜΑ ΑΝΤΙΤΑΞΗΣ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ
Άρθρο 14
Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα
Τα κράτη μέλη αναγνωρίζουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα το δικαίωμα:
α) τουλάχιστον στις περιπτώσεις του άρθρου 7 στοιχεία ε) και στ), να αντιτάσσεται ανά πάσα στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν, εκτός εάν στην εθνική νομοθεσία ορίζεται άλλως. Σε περίπτωση αιτιολογημένης αντίταξης, η επεξεργασία δεν μπορεί πλέον να αφορά τα δεδομένα αυτά 7
β) να αντιτάσσεται, κατ’ αίτησή του και δωρεάν, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα την οποία προτίθεται να πραγματοποιήσει ο υπεύθυνος επεξεργασίας με δραστηριότητες για την προώθηση προϊόντων 7 ή να ενημερώνεται πριν από την πρώτη ανακοίνωση των δεδομένων προσωπικού χαρακτήρα σε τρίτους ή τη χρησιμοποίησή τους για λογαριασμό τρίτων με σκοπό τη διεξαγωγή έρευνας μέσω του ταχυδρομείου και να του παρέχεται ρητά το δικαίωμα να αντιταχθεί δωρεάν πριν από την ανακοίνωση ή τη χρησιμοποίηση.
Τα κράτη μέλη διασφαλίζουν ότι οι ενδιαφερόμενοι θα γνωρίζουν την ύπαρξη του δικαιώματος που αναφέρεται στο πρώτο τμήμα του παρόντος στοιχείου β).
Άρθρο 15
Αυτοματοποιημένες ατομικές αποφάσεις
1. Τα κράτη μέλη παρέχουν σε κάθε πρόσωπο το δικαίωμα να μη συμμορφωθεί με απόφαση που παράγει νομικά αποτελέσματα έναντι αυτού ή το θίγει σημαντικά εφόσον η εν λόγω απόφαση βασίζεται αποκλειστικώς σε αυτοματοποιημένη επεξεργασία που αξιολογεί ορισμένες πτυχές της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητά, η αξιοπιστία, η διαγωγή του κ.λπ.
2. Τα κράτη μέλη προβλέπουν, με την επιφύλαξη άλλων άρθρων της παρούσας οδηγίας, ότι ένα πρόσωπο μπορεί να υποχρεωθεί να συμμορφωθεί με μία από τις αποφάσεις που αναφέρονται στην παράγραφο 1, εάν η εν λόγω απόφαση:
α) έχει ληφθεί στο πλαίσιο της σύναψης ή της εκτέλεσης σύμβασης, εφόσον το αίτημα σύναψης ή εκτέλεσης της σύμβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα έχει ικανοποιηθεί ή πρόσφορα μέτρα, στα οποία περιλαμβάνεται η δυνατότητα να προβάλει την άποψή του, κατοχυρώνουν το έννομο συμφέρον του ή
β) επιτρέπεται από νομοθετική διάταξη που καθορίζει τα μέτρα τα οποία κατοχυρώνουν το έννομο συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα.
ΤΜΗΜΑ VIII
ΑΠΟΡΡΗΤΟ ΚΑΙ ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 16
Απόρρητο της επεξεργασίας
Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, περιλαμβανομένου του ιδίου του εκτελούντος την επεξεργασία, και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μπορεί να τα επεξεργασθεί μόνο κατ’ εντολή του υπευθύνου της επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το νόμο.
Άρθρο 17
Ασφάλεια της επεξεργασίας
1. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, ιδίως εάν η επεξεργασία συμπεριλαμβάνει και διαβίβαση των δεδομένων μέσων δικτύου, και από κάθε άλλη μορφή αθέμιτης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που απορρέουν από την επεξεργασία και τη φύση των δεδομένων που απολαύουν προστασίας.
2. Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας οφείλει, σε περίπτωση επεξεργασίας για λογαριασμό του, να επιλέγει προς εκτέλεση της επεξεργασίας πρόσωπο το οποίο παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα τεχνικής ασφάλειας και οργάνωσης της επεξεργασίας και να εξασφαλίζει την τήρηση των μέτρων αυτών.
3. Η εκτέλεση επεξεργασίας μέσω άλλου προσώπου πρέπει να διέπεται από σύμβαση ή δικαιοπραξία που συνδέει τον εκτελούντα με τον υπεύθυνο της επεξεργασίας και προβλέπει ιδίως:
– ότι ο εκτελών την επεξεργασία ενεργεί μόνον κατ’εντολήν του υπευθύνου της επεξεργασίας,
– ότι οι υποχρεώσεις που προβλέποναι στην παράγραφο 1, όπως ορίζονται από τη νομοθεισία του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εκτελών την επεξεργασία, βαρύνουν και τον εκτελούντα την επεξεργασία.
4. Για αποδεικτικούς λόγους, τα τμήματα της σύμβασης ή δικαιοπραξίας που αφορούν την προστασία των δεδομένων και τις απαιτήσεις σχετικά με τα μέτρα που προβλέπονται στην παράγραφο 1 καταρτίζονται εγγράφως ή σε άλλη ανάλογη μορφή.
ΤΜΗΜΑ IX
ΚΟΙΝΟΠΟΙΗΣΗ
Άρθρο 18
Η υποχρέωση κοινοποίησης προς την αρχή ελέγχου
1. Τα κράτη μέλη προβλέπουν ότι η κοινοποίηση πραγματοποιείται από τον υπεύθυνο της επεξεργασίας ή από τον τυχόν εκπρόσωπό του προς την αρχή ελέγχου του άρθρου 28, πριν από την εκτέλεση μιας επεξεργασίας ή συνόλου επεξεργασιών, αυτοματοποιημένων εν όλω ή εν μέρει, με στόχο την επίτευξη ενός ή περισσότερων συναφών σκοπών.
2. Τα κράτη μέλη μπορούν να προβλέπουν ότι η κοινοποίηση απλουστεύεται ή αποτελεί αντικείμενο εξαιρέσεως μόνο στις ακόλουθες περιπτώσεις και υπό τους ακόλουθους όρους:
– εφόσον, για κατηγορίες επεξεργασιών οι οποίες, λαμβανομένων υπόψη των δεδομένων που υποβάλλονται σε επεξεργασία, δεν δύνανται να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, καθορίζουν τους σκοπούς της επεξεργασίας, τα δεδομένα ή τις κατηγορίες των δεδομένων υπό επεξεργασία, την ή τις κατηγορίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τον αποδέκτη ή τις κατηγορίες αποδεκτών στους οποίους πρόκειται να ανακοινωθούν τα δεδομένα και τη διάρκεια αποθήκευσης των δεδομένων ή/και
– εφόσον ο υπεύθυνος της επεξεργασίας ορίζει, σύμφωνα με το εθνικό δίκαιο στο οποίο υπόκειται, έναν υπεύθυνο για την προστασία των δεδομένων προσωπικού χαρακτήρα ο οποίος έχει κυρίως ως αποστολή:
– να διασφαλίζει, κατ’ ανεξάρτητο τρόπο, την εσωτερική εφαρμογή των εθνικών διατάξεων που θεσπίζονται κατ’ εφαρμογή της παρούσας οδηγίας,
– να τηρεί μητρώο των επεξεργασιών που εκτελούνται από τον υπεύθυνο της επεξεργασίας, όπου περιλαμβάνονται οι πληροφορίες που αναφέρονται στο άρθρο 21 παράγραφος 2,
ώστε να εξασφαλίζεται κατ’ αυτόν τον τρόπο ότι η επεξεργασία δεν δύναται να θίξει τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.
3. Τα κράτη μέλη μπορούν να προβλέπουν ότι η παράγραφος 1 δεν εφαρμόζεται στην επεξεργασία με μοναδικό αντικείμενο την τήρηση μητρώου το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό για έρευνες είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον.
4. Τα κράτη μέλη μπορούν να εξαιρούν από την υποχρέωση κοινοποίησης ή να απλουστεύουν την κοινοποίηση όταν πρόκειται για τις επεξεργασίες που προβλέπονται στο άρθρο 8 παράγραφος 2 στοιχείο δ).
5. Τα κράτη μέλη μπορούν να προβλέπουν ότι για τις μη αυτοματοποιημένες επεξεργασίες δεδομένων προσωπικού χαρακτήρα, ή ορισμένες εξ αυτών, ισχύει ενδεχομένως η απλουστευμένη κοινοποίηση.
Άρθρο 19
Περιεχόμενο της κοινοποίησης
1. Τα κράτη μέλη καθορίζουν τις πληροφορίες που πρέπει να περιλαμβάνονται στην κοινοποίηση. Αυτές περιλαμβάνουν τουλάχιστον:
α) το όνομα και τη διεύθυνση του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του 7
β) το σκοπό ή τους σκοπούς της επεξεργασίας 7
γ) περιγραφή της κατηγορίας ή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των δεδομένων ή των κατηγοριών δεδομένων που αφορούν τα πρόσωπα αυτά 7
δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ενδέχεται να ανακοινωθούν τα δεδομένα 7
ε) την προβλεπόμενη διαβίβαση δεδομένων προς τρίτες χώρες 7
στ) γενική περιγραφή που επιτρέπει να εκτιμηθεί προκαταρκτικά η σκοπιμότητα των μέτρων που έχουν ληφθεί ώστε να διασφαλίζεται η ασφάλεια της επεξεργασίας κατ’ εφαρμογή του άρθρου 17.
2. Τα κράτη μέλη καθορίζουν τις διαδικασίες με τις οποίες κοινοποιούνται στην αρχή ελέγχου οι μεταβολές που επηρεάζουν τις αναφερόμενες στην παράγραφο 1 πληροφορίες.
Άρθρο 20
Προηγούμενοι έλεγχοι
1. Τα κράτη μέλη ορίζουν τις επεξεργασίες που ενέχουν ειδικούς κινδύνους για τα δικαίωματα και τις ελευθερίες των ενδιαφερομένων και μεριμνούν ώστε οι επεξεργασίες να ελέγχονται πριν από την εφαρμογή τους.
2. Οι προηγούμενοι αυτοί έλεγχοι διενεργούνται από την ελέγχουσα αρχή μετά την παραλαβή της σχετικής κοινοποίησης του υπευθύνου της επεξεργασίας ή του υπευθύνου για την προστασία των δεδομένων, οι οποίοι, σε περίπτωση αμφιβολίας, πρέπει να συμβουλεύονται την αρχή αυτή.
3. Τα κράτη μέλη μπορούν επίσης να διενεργούν τον έλεγχο αυτό στα πλαίσια της προπαρασκευής νομοθετικού μέτρου του Κοινοβουλίου ή μέτρου βασιζομένου επ’ αυτού, το οποίο καθορίζει τη φύση της επεξεργασίας και τις κατάλληλες εγγυήσεις.
Άρθρο 21
Δημοσιότητα των επεξεργασιών
1. Τα κράτη μέλη λαμβάνουν μέτρα που διασφαλίζουν τη δημοσιότητα των επεξεργασιών.
2. Τα κράτη μέλη προβλέπουν ότι η αρχή ελέγχου τηρεί το μητρώο των επεξεργασιών που κοινοποιούνται δυνάμει του άρθρου 18.
Το μητρώο περιλαμβάνει τουλάχιστον τις πληροφορίες που απαριθμούνται στο άρθρο 19 παράγραφος 1 στοιχεία α) έως ε).
Οποιοσδήποτε μπορεί να συμβουλεύεται το μητρώο.
3. Τα κράτη μέλη προβλέπουν, όσον αφορά τις επεξεργασίες που δεν υπόκεινται σε κοινοποίηση, ότι ο υπεύθυνος της επεξεργασίας ή άλλος φορέας οριζόμενος από τα κράτη μέλη κοινοποιεί καταλλήλως τουλάχιστον τις πληροφορίες που αναφέρονται στο άρθρο 19 παράγραφος 1 στοιχεία α) έως ε), σε όποιο πρόσωπο το ζητήσει.
Τα κράτη μέλη μπορούν να προβλέπουν ότι η παρούσα διάταξη δεν εφαρμόζεται στις επεξεργασίες που έχουν ως μοναδικό αντικείμενο την τήρηση μητρώου το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον.
ΚΕΦΑΛΑΙΟ III ΕΝΔΙΚΑ ΜΕΣΑ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 22
Προσφυγή
Με την επιφύλαξη ενδεχόμενης άσκησης διοικητικής, ιδίως ενώπιον της αρχής ελέγχου που αναφέρεται στο άρθρο 28, προτού επιληφθεί δικαστική αρχή, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.
Άρθρο 23
Ευθύνη
1. Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο θιγόμενο από αθέμιτη επεξεργασία ή κάθε άλλη ενέργεια που δεν συμβιβάζεται με τις εθνικές διατάξεις εφαρμογής της παρούσας οδηγίας έχει δικαίωμα αποκατάστασης της επελθούσας ζημίας από τον υπεύθυνο της επεξεργασίας.
2. Ο υπεύθυνος της επεξεργασίας μπορεί να απαλλαγεί της ευθύνης αυτής, εν μέρει ή εν όλω, εάν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός.
Άρθρο 24
Κυρώσεις
Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και απροβλέπουν ιδίως κυρώσεις για παράβαση των διατάξεων εφαρμογής της.
ΚΕΦΑΛΑΙΟ IV ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ
Άρθρο 25
Βασικές αρχές
1. Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
2. Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων 7 ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκειά της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα.
3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία οσάκις θεωρούν ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2.
4. Όταν η Επιτροπή διαπιστώνει, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε να αποφευχθεί οποιαδήποτε διαβίβαση τέτοιου είδους δεδομένων προς την εν λόγω τρίτη χώρα.
5. Η Επιτροπή αρχίζει την κατάλληλη στιγμή διαπραγματεύσεις ώστε να επανορθωθεί η κατάσταση που προκύπτει από τη διαπίστωση που έχει γίνει κατ’ εφαρμογή της παραγράφου 4.
6. Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.
Άρθρο 26
Παρεκκλίσεις
1. Κατά παρέκκλιση από το άρθρο 25, και με την επιφύλαξη αντιθέτων διατάξεων της εθνικής νομοθεσίας που διέπουν κατ’ ιδίαν περιπτώσεις, τα κράτη μέλη προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2, μπορεί να πραγματοποιηθεί εφόσον:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητώς στη διαβίβαση ή
β) η διαβίβαση είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων κατ’ αίτηση του προσώπου αυτού ή
γ) η διαβίβαση είναι αναγκαία για τη συνομολόγηση ή την εκτέλεση σύμβασης που έχει συναφθεί ή πρόκειται να συναφθεί μεταξύ του υπευθύνου επεξεργασίας και τρίτου προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή
δ) η διαβίβαση είναι αναγκαία ή απαιτείται εκ του νόμου για τη διασφάλιση σημαντικού δημοσίου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώματος ενώπιον του δικαστηρίου ή
ε) η διαβίβαση είναι αναγκαία για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα ή
στ) η διαβίβαση πραγματοποιείται από δημόσιο μητρώο το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι σχετικές νόμιμες προϋποθέσεις.
2. Με την επιφύλαξη της παραγράφου 1, ένα κράτος μέλος μπορεί να επιτρέπεται μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 παράγραφος 2 εφόσον ο υπεύθυνος της επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων 7 οι εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.
3. Το κράτος μέλος ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη για τις άδειες που χορηγεί κατ’ εφαρμογή της παραγράφου 2.
Εάν διατυπωθεί από άλλο κράτος μέλος ή την Επιτροπή ένσταση δεόντως αιτιολογημένη όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, η Επιτροπή θεσπίζει τα κατάλληλα μέτρα με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.
4. Εάν η Επιτροπή αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2, ότι ορισμένες τυποποιημένες συμβατικές ρήτρες παρέχουν τις επαρκείς εγγήσεις που αναφέρονται στην παράγραφο 2, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να συμμορφωθούν προς την απόφαση της Επιτροπής.
ΚΕΦΑΛΑΙΟ V ΚΩΔΙΚΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ
Άρθρο 27
1. Τα κράτη μέλη και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν να συμβάλουν, ανάλογα με τις τομεακές ιδιομορφίες, στην ορθή εφαρμογή των εθνικών διατάξεων που θεσπίζουν τα κράτη μέλη κατ’ εφαρμογή της παρούσας οδηγίας.
2. Τα κράτη μέλη προβλέπουν ότι τα επαγγελματικά σωματεία και οι λοιπές οργανώσεις, οι οποίες εκπροσωπούν άλλες κατηγορίες υπευθύνων επεξεργασίας που έχουν εκπονήσει σχέδια εθνικών κωδίκων ή προτίθενται να τροποποιήσουν ή να παρατείνουν ισχύοντες εθνικούς κώδικες, μπορούν να τους υποβάλουν προς εξέταση στην εθνική αρχή.
Τα κράτη μέλη προβλέπουν ότι η αρχή αυτή ελέγχει, μεταξύ άλλων, εάν τα υποβαλλόμενα σχέδια είναι σύμφωνα προς τις εθνικές διατάξεις που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας. Εφόσον το κρίνει σκόπιμο, η εν λόγω αρχή συγκεντρώνει τις παρατηρήσεις προσώπων στα οποία αναφέρονται τα δεδομένα, ή των εκπροσώπων τους.
3. Τα σχέδια κοινοτικών κωδικών καθώς και οι τροποποιήσεις ή παρατάσεις ισχυόντων κοινοτικών κωδίκων μπορούν να υποβάλλονται στην ομάδα που αναφέρεται στο άρθρο 29. Η ομάδα αυτή αποφασίζει, μεταξύ άλλων, κατά πόσον τα υποβαλλόμενα σχέδια είναι σύμφωνα προς τις εθνικές διατάξεις που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγία. Εφόσον το κρίνει σκόπιμο, συγκεντρώνει τις παρατηρήσεις των προσώπων στα οποία αναφέρονται τα δεδομένα, ή των εκπροσώπων τους. Η Επιτροπή μπορεί να εξασφαλίσει τη δέουσα δημοσιότητα στους κώδικες που έχουν εγκριθεί από την ομάδα.
ΚΕΦΑΛΑΙΟ VI ΑΡΧΗ ΕΛΕΓΧΟΥ ΚΑΙ ΟΜΑΔΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 28
Αρχή ελέγχου
1. Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογή της παρούσας οδηγίας.
Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.
2. Κάθε κράτος μέλος προβλέπει ότι ζητείται η γνώμη των αρχών ελέγχου κατά την εκπόνηση των διοικητικών ή κανονιστικών μέτρων που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
3. Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:
– μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,
– αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,
– την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.
Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.
4. Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.
Κάθε πρόσωπο μπορεί ιδίως να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της παρούσας οδηγίας. Ο αιτών ενημερώνεται εν πάση περιπτώσει για τη διενέργεια ελέγχου.
5. Κάθε αρχή ελέγχου υποβάλλει σε τακτά διαστήματα έκθεση δραστηριοτήτων η οποία δημοσιεύεται.
6. Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.
Οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών.
7. Τα κράτη μέλη προβλέπουν ότι τα μέλη και οι υπάλληλοι των αρχών ελέγχου δεσμεύονται ακόμα και μετά την παύση των δραστηριοτήτων τους από το επαγγελματικό απόρρητο, όσον αφορά τις εμπιστευτικές πληροφορίες στις οποίες έχουν πρόσβαση.
Άρθρο 29
Ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
1. Συνιστάται ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ονομαζόμενη εφεξής «η ομάδα».
Η ομάδα αυτή έχει συμβουλευτικό χαρακτήρα και είναι ανεξάρτητη.
2. Η ομάδα απαρτίζεται από έναν αντιπρόσωπο της αρχής ή των αρχών ελέγχου που έχει ορίσει κάθε κράτος μέλος, έναν αντιπρόσωπο της αρχής ή των αρχών που έχουν συσταθεί για τα όργανα και τους οργανισμούς της Κοινότητας καθώς και έναν αντιπρόσωπο της Επιτροπής.
Κάθε μέλος της ομάδας ορίζεται από το θεσμικό όργανο, την αρχή ή τις αρχές που εκπροσωπεί. Όταν ένα κράτος μέλος ορίζει πλείονες αρχές ελέγχου, αυτές διορίζουν κοινό αντιπρόσωπο. Το ίδιο ισχύει όσον αφορά τις αρχές που έχουν συσταθεί για τα όργανα και τους οργανισμούς της Κοινότητας.
3. Η ομάδα λαμβάνει τις αποφάσεις της με απλή πλειοψηφία των αντιπροσώπων των αρχών ελέγχου.
4. Η ομάδα εκλέγει τον πρόεδρό της. Η διάρκεια της θητείας του προέδρου είναι διετής. Η θητεία είναι ανανεώσιμη.
5. Τη γραμματεία της ομάδας αναλαμβάνει η Επιτροπή.
6. Η ομάδα καταρτίζει τον εσωτερικό της κανονισμό.
7. Η ομάδα εξετάζει τα θέματα που εγγράφονται στην ημερήσια διάταξη από τον πρόεδρό της, είτε κατόπιν πρωτοβουλίας του είτε κατόπιν αιτήσεως αντιπροσώπου των αρχών ελέγχου ή της Επιτροπής.
Άρθρο 30
1. Η ομάδα έχει ως αποστολή:
α) να εξετάζει οποιοδήποτε θέμα σχετικό με την εφαρμογή των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας, ώστε να συμβάλλει στην ομοιόμορφη εφαρμογή τους 7
β) να παρέχει στην Επιτροπή τη γνώμη της σχετικά με το επίπεδο προστασίας στην Κοινότητα και στις τρίτες χώρες 7
γ) να συμβουλεύει την Επιτροπή για κάθε σχέδιο τροποποιήσεως της παρούσας οδηγίας, κάθε σχέδιο συμπληρωματικών ή ειδικών μέτρων που πρέπει να ληφθούν για τη διασφάλιση των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς και για κάθε άλλο σχέδιο κοινοτικών μέτρων που έχουν επιπτώσεις επί αυτών των δικαιωμάτων και ελευθεριών 7
δ) να γνωμοδοτεί επί των κωδίκων δεοντολογίας που εκπονούνται σε κοινοτικό επίπεδο.
2. Αν η ομάδα διαπιστώσει αποκλίσεις μεταξύ της νομοθεσίας ή της πρακτικής των κρατών μελών, οι οποίες μπορεί ενδεχομένως να αποβούν επιζήμιες για την ισοδύναμη προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα, ενημερώνει σχετικά την Επιτροπή.
3. Η ομάδα μπορεί να εκδίδει με δική της πρωτοβουλία συστάσεις για κάθε θέμα που αφορά την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα.
4. Οι γνώμες και οι συστάσεις της ομάδας διαβιβάζονται στην Επιτροπή και στη συμβουλευτική επιτροπή του άρθρου 31.
5. Η Επιτροπή ενημερώνει την ομάδα σχετικά με τη συνέχεια που δίδεται στις γνώμες και συστάσεις. Συντάσσει για το σκοπό αυτό έκθεση που διαβιβάζεται επίσης στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Η έκθεση αυτή δημοσιεύεται.
6. Η ομάδα συντάσσει ετήσια έκθεση σχετικά με την κατάσταση όσον αφορά τη προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Κοινότητα και στις τρίτες χώρες, την οποία κοινοποιεί στην Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Η έκθεση αυτή δμοσιεύεται.
ΚΕΦΑΛΑΙΟ VII ΚΟΙΝΟΤΙΚΑ ΜΕΤΡΑ ΕΚΤΕΛΕΣΗΣ
Άρθρο 31
Η επιτροπή
1. Η Επιτροπή επικουρείται από επιτροπή, η οποία απαρτίζεται από εκπροσώπους των κρατών μελών και προεδρεύεται από τον αντιπρόσωπο της Επιτροπής.
2. Ο αντιπρόσωπος της Επιτροπής υποβάλλει στην επιτροπή σχέδιο των ληπτέων μέτρων. Η επιτροπή διατυπώνει τη γνώμη της για το σχέδιο αυτό μέσα σε προθεσμία που μπορεί να ορίσει ο πρόεδρος ανάλογα με το επείγον του θέματος.
Η γνώμη εγκρίνεται με την πλειοψηφία που προβλέπεται στο άρθρο 148 παράγραφος 2 της συνθήκης. Κατά τις ψηφοφορίες στα πλαίσια της επιτροπής, οι ψήφοι των αντιπροσώπων των κρατών μελών σταθμίζονται όπως ορίζεται στο προαναφερόμενο άρθρο. Ο πρόεδρος δεν συμμετέχει στην ψηφοφορία.
Η Επιτροπή θεσπίζει μέτρα τα οποία εφαρμόζονται αμέσως. Ωστόσο, εάν τα μέτρα αυτά δεν συμφωνούν με τη γνώμη της επιτροπής, ανακοινώνονται πάραυτα από την Επιτροπή στο Συμβούλιο. Στην περίπτωση αυτή:
– η Επιτροπή αναβάλλει την εφαρμογή των μέτρων που αποφάσισε για μια περίοδο τριών μηνών από την ημερομηνία της ανακοίνωσης,
– το Συμβούλιο μπορεί, με ειδική πλειοψηφία, να λάβει διαφορετική απόφαση μέσα στην προθεσμία που προβλέπεται στο προηγούμενο εδάφιο.
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 32
1. Τα κράτη μέλη θέτουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την παρούσα οδηγία το αργότερο εντός τριών ετών από την έκδοσή της.
Οι διατάξεις αυτές, όταν θεσπίζονται από τα κράτη μέλη, περιέχουν αναφορά στην παρούσα οδηγία ή συνοδεύονται από σχετική αναφορά κατά την επίσημη δημοσίευσή τους. Οι λεπτομέρειες της αναφοράς αυτής καθορίζονται από τα κράτη μέλη.
2. Τα κράτη μέλη μεριμνούν ώστε οι επεξεργασίες που είχαν αρχίσει ήδη κατά την ημερομηνία της έναρξης ισχύος των εθνικών διατάξεων που θεσπίζονται κατ’ εφαρμογή της παρούσας οδηγίας θα συμμορφωθούν προς τις διατάξεις αυτές εντός τριών ετών από την ημερομηνία αυτή.
Κατά παρέκκλιση από το προηγούμενο εδάφιο, τα κράτη μέλη μπορούν να προβλέψουν ότι οι επεξεργασίες δεδομένων που περιέχονται ήδη σε χειρόγραφα αρχεία κατά την ημερομηνία της έναρξης ισχύος των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας πρέπει να συμμορφωθούν προς τα άρθρα 6, 7 και 8 της παρούσας οδηγίας εντός δώδεκα ετών από την ημερομηνία έκδοσής της. Τα κράτη μέλη επιτρέπουν εν πάση περιπτώσει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να επιτυγχάνει, κατόπιν αιτήσεώς του, τη διόρθωση, τη διαγραφή ή το κλείδωμα των ελλιπών ή ανακριβών δεδομένων ή των δεδομένων που έχουν αποθηκευθεί κατά τρόπο ασυμβίβαστο προς τους νόμιμους σκοπούς τους οποίους επιδιώκει ο υπεύθυνος της επεξεργασίας.
3. Κατά παρέκκλιση από την παράγραφο 2, τα κράτη μέλη μπορούν να προβλέψουν, με την επιφύλαξη κατάλληλων εγγυήσεων, ότι τα δεδομένα που αποθηκεύονται αποκλειστικά προς το σκοπό της ιστορικής έρευνας δεν χρειάζεται να εναρμονισθούν σύμφωνα με τα άρθρα 6, 7 και 8 της παρούσας οδηγίας.
4. Τα κράτη μέλη ανακοινώνουν στην Επιτροπή τα κείμενα των διατάξεων εσωτερικού δικαίου που θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.
Άρθρο 33
Περιοδικώς και για πρώτη φορά τρία το πολύ χρόνια μετά το χρονικό σημείο που ορίζει το άρθρο 32 παράγραφος 1, η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έκθεση σχετικά με την εφαρμογή της παρούσας οδηγίας, η οποία συνοδεύεται, κατά περίπτωση, από τις δέουσες προτάσεις τροποποιήσεων. Η έκθεση αυτή δημοσιεύεται.
Η Επιτροπή εξετάζει ιδίως την εφαρμογή της παρούσας οδηγίας στις επεξεργασίες δεδομένων ήχου και εικόνας που αφορούν φυσικά πρόσωπα και θα υποβάλλει ενδεχομένως της δέουσες προτάσεις, λαμβάνοντας υπόψη της τις εξελίξεις της πληροφορικής και το στάδιο των εργασιών για την πραγμάτωση της κοινωνίας των πληροφοριών.
Άρθρο 34
Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.
Λουξεμβούργο, 24 Οκτωβρίου 1995.
Για το Ευρωπαϊκό Κοινοβούλιο
Ο Πρόεδρος
K. HΔNSCH
Για το Συμβούλιο
Ο Πρόεδρος
L. ATIENZA SERNA
(1) ΕΕ αριθ. C 277 της 5. 11. 1990, σ. 3 και ΕΕ αριθ. C 311 της 27. 11. 1992, σ. 30.
(3) ΕΕ αριθ. C 159 της 17. 6. 1991, σ. 38.
(3) Γνώμη του Ευρωπαϊκού Κοινοβουλίου της 11ης Μαρτίου 1992 (ΕΕ αριθ. C 94 της 13. 4. 1992, σ. 198), που επιβεβαιώθηκε στις 2 Δεκεμβρίου 1993 (ΕΕ αριθ. C 342 της 20. 12. 1993, σ. 30). Κοινή θέση του Συμβουλίου της 20ής Φεβρουαρίου 1995 (ΕΕ αριθ. C 93 της 13. 4. 1995, σ. 1) και απόφαση του Ευρωπαϊκού Κοινοβουλίου της 15ης Ιουνίου 1995 (ΕΕ αριθ. C 166 της 3. 7. 1995).
(1) ΕΕ αριθ. L 197 της 18. 7. 1987, σ. 33.