Απόφαση της Ύπατης Εκπροσώπου της Ένωσης για Θέματα Εξωτερικής Πολιτικής και Πολιτικής Ασφαλείας
της 8ης Δεκεμβρίου 2011
για τους κανόνες σχετικά με την προστασία των δεδομένων
2012/C 308/07
Η ΥΠΑΤΗ ΕΚΠΡΟΣΩΠΟΣ,
Έχοντας υπόψη την απόφαση 2010/427/ΕΕ του Συμβουλίου, της 26ης Ιουλίου 2010, για τον καθορισμό της οργάνωσης και της λειτουργίας της Ευρωπαϊκής Υπηρεσίας Εξωτερικής Δράσης (εφεξής “απόφαση του Συμβουλίου για την ΕΥΕΔ”), και ιδίως το άρθρο 11 παράγραφος 3,
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
ΤΜΗΜΑ 1
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
Η παρούσα απόφαση καθορίζει τους κανόνες εφαρμογής του κανονισμού (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (εφεξής “ο κανονισμός”) όσον αφορά την Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης (εφεξής “ΕΥΕΔ”), σύμφωνα με το άρθρο 24 παράγραφος 8.
Άρθρο 2
Ορισμοί
Για τους σκοπούς της παρούσας απόφασης και με την επιφύλαξη των ορισμών που περιλαμβάνονται στον κανονισμό, νοούνται ως:
α) “υπεύθυνος επεξεργασίας δεδομένων” : η ΕΥΕΔ, οι διευθύνοντες σύμβουλοι, οι διευθυντές ή οι προϊστάμενοι υπηρεσιών ισοδυνάμου μεγέθους ή λειτουργίας, καθώς και οι επικεφαλής των αντιπροσωπειών της Ένωσης, οι οποίοι, αυτοτελώς ή από κοινού με άλλους, καθορίζουν τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
β) “συντονιστής της προστασίας δεδομένων” : υπάλληλος της ΕΥΕΔ κατηγορίας AD ο οποίος είναι επιφορτισμένος με τον συντονισμό και την παροχή συνδρομής σε ζητήματα προστασίας δεδομένων σε όλα τα επίπεδα των διευθύνσεων ή υπηρεσιών ή ισοδύναμου μεγέθους ή λειτουργίας, καθώς και στις αντιπροσωπείες της Ένωσης εάν παραστεί ανάγκη.
γ) “εκτελών την επεξεργασία” : υπάλληλος της ΕΥΕΔ ή αντισυμβαλλόμενης οντότητας στον οποίον ανατίθενται καθήκοντα επεξεργασίας δεδομένων από τον υπεύθυνο επεξεργασίας δεδομένων.
δ) “προσωπικό της ΕΥΕΔ” : σύμφωνα με το άρθρο 6 της απόφασης του Συμβουλίου για την ΕΥΕΔ, οι υπάλληλοι και το λοιπό προσωπικό της Ευρωπαϊκής Ένωσης που εργάζονται για την ΕΥΕΔ, καθώς και το προσωπικό από τις διπλωματικές υπηρεσίες των κρατών μελών διορισμένο ως έκτακτο προσωπικό, και οι εξειδικευμένοι αποσπασμένοι εθνικοί εμπειρογνώμονες.
ΤΜΗΜΑ 2
Ο ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 3
Διορισμός και καθεστώς του υπευθύνου προστασίας δεδομένων (ΥΠΔ)
1. Ο Διοικητικός Γενικός Διευθυντής (ΔΓΔ) επιλέγει και διορίζει τον ΥΠΔ, σύμφωνα με το άρθρο 24 παράγραφος 2 του κανονισμού, και ενημερώνει σχετικά τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (εφεξής “ΕΕΠΔ”). Ο ΥΠΔ υπάγεται απευθείας στον ΔΓΔ.
2. Η θητεία του ΥΠΔ είναι πενταετής και μπορεί να ανανεωθεί άπαξ.
3. Κατά την άσκηση των αρμοδιοτήτων του, ο ΥΠΔ ενεργεί ανεξάρτητα και σε συνεργασία με τον ΕΕΠΔ. Ειδικότερα, ο ΥΠΔ δεν είναι δυνατόν να λαμβάνει εντολές από την αρμόδια για τους διορισμούς αρχή της ΕΥΕΔ ή από οποιονδήποτε άλλο όσον αφορά την εσωτερική εφαρμογή των διατάξεων του κανονισμού ή τη συνεργασία του με τον ΕΕΠΔ. Ο ΥΠΔ συμμετέχει σε σεμινάρια κατάρτισης σχετικά με την προστασία δεδομένων σε τακτά χρονικά διαστήματα, και ο ΔΓΔ λαμβάνει τα αναγκαία μέτρα προς το σκοπό αυτόν.
4. Ο ΔΓΔ αξιολογεί σε ετήσια βάση τον τρόπο με τον οποίον ο ΥΠΔ ανταποκρίνεται στα καθήκοντα και τις υποχρεώσεις του, ιδίως βάσει της ετήσιας έκθεσης του ΥΠΔ, μετά από διαβούλευση με τον ΕΕΠΔ, ανάλογα με την περίπτωση. Ο ΥΠΔ είναι δυνατόν να απαλλαγεί των καθηκόντων του μόνον με τη συγκατάθεση του ΕΕΠΔ, εφόσον έχει παύσει να πληροί τους όρους που απαιτούνται για την άσκηση των καθηκόντων του.
5. Με την επιφύλαξη της διαδικασίας που προβλέπεται για το διορισμό του, ο ΥΠΔ ενημερώνεται για όλες τις επαφές με εξωτερικούς φορείς που αφορούν την εφαρμογή του κανονισμού και της παρούσας απόφασης, ιδίως ως προς την αλληλεπίδραση με τον ΕΕΠΔ.
6. Με την επιφύλαξη των σχετικών διατάξεων του κανονισμού, ο ΥΠΔ και το προσωπικό του υπόκεινται στους κανονισμούς και τις ρυθμίσεις που εφαρμόζονται στους υπαλλήλους και το λοιπό προσωπικό της Ευρωπαϊκής Ένωσης.
Άρθρο 4
Καθήκοντα
Ο υπδ:
α) εξασφαλίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων, οι συντονιστές της προστασίας δεδομένων και τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τα δικαιώματα και τις υποχρεώσεις τους βάσει του κανονισμού και της παρούσας απόφασης και ότι οι πράξεις επεξεργασίας των δεδομένων δεν μπορούν να θίξουν τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Κατά την εκτέλεση του καθήκοντος αυτού, καταρτίζει ιδίως έντυπα ενημέρωσης και γνωστοποίησης, συμβουλεύεται τους ενδιαφερομένους και προωθεί τη γενική ευαισθητοποίηση σε θέματα προστασίας των δεδομένων,
β) ανταποκρίνεται στα αιτήματα του ΕΕΠΔ και, στο πλαίσιο της αρμοδιότητάς του, συνεργάζεται με τον ΕΕΠΔ, είτε κατόπιν αιτήματος του τελευταίου είτε με δική του πρωτοβουλία,
γ) διασφαλίζει, κατ’ ανεξάρτητο τρόπο, την εσωτερική εφαρμογή των διατάξεων του κανονισμού και της παρούσας απόφασης στην ΕΥΕΔ,
δ) τηρεί μητρώο όλων των πράξεων επεξεργασίας που διενεργούνται από την ΕΥΕΔ και παρέχει πρόσβαση στο μητρώο αυτό σε κάθε πρόσωπο, είτε απευθείας είτε μέσω του ΕΕΠΔ, σύμφωνα με τα άρθρα 14 και 15· το μητρώο αυτό μπορεί επίσης να τηρείται σε ηλεκτρονική μορφή,
ε) κοινοποιεί στον ΕΕΠΔ τις πράξεις επεξεργασίας οι οποίες ενδέχεται να παρουσιάζουν ιδιαίτερους κινδύνους κατά τα αναφερόμενα στο άρθρο 27 παράγραφος 2 του κανονισμού.
Άρθρο 5
Αποστολή
1. Εκτός από τα καθήκοντα που πρέπει να επιτελεί σύμφωνα με το άρθρο 4, ο ΥΠΔ:
α) ενεργεί ως σύμβουλος της αρμόδιας για τους διορισμούς αρχής της ΕΥΕΔ και των υπευθύνων επεξεργασίας όσον αφορά την εφαρμογή του κανονισμού και της παρούσας απόφασης. Η αρμόδια για τους διορισμούς αρχή, οι οικείοι υπεύθυνοι επεξεργασίας δεδομένων και οι εκτελούντες την επεξεργασία, η επιτροπή προσωπικού και κάθε μέλος του προσωπικού της ΕΥΕΔ μπορούν να συμβουλεύονται τον ΥΠΔ, χωρίς να ακολουθήσουν την επίσημη οδό, ως προς κάθε θέμα που άπτεται της ερμηνείας ή της εφαρμογής του κανονισμού και της παρούσας απόφασης,
β) προβαίνει, είτε με δική του πρωτοβουλία είτε με πρωτοβουλία της αρμόδιας για τους διορισμούς αρχής, των υπευθύνων επεξεργασίας δεδομένων, των εκτελούντων την επεξεργασία, της επιτροπής προσωπικού ή οποιουδήποτε μέλους του προσωπικού της ΕΥΕΔ, στη διερεύνηση ζητημάτων και περιστατικών που σχετίζονται ευθέως με τα καθήκοντά του και υποπίπτουν στην αντίληψή του, αναφέρει δε στην αρμόδια για τους διορισμούς αρχή ή στο πρόσωπο το οποίο ζήτησε την έρευνα. Εφόσον κρίνεται σκόπιμο, όλοι οι λοιποί ενδιαφερόμενοι θα πρέπει να ενημερώνονται δεόντως. Εάν ο υποβάλλων την ένσταση είναι φυσικό πρόσωπο ή στην περίπτωση που ο υποβάλλων την ένσταση ενεργεί για λογαριασμό φυσικού προσώπου, ο ΥΠΔ πρέπει, στο μέτρο του δυνατού, να εξασφαλίζει την εμπιστευτικότητα της αίτησης, εκτός εάν το συγκεκριμένο υποκείμενο των δεδομένων έχει συγκατατεθεί ρητά στη διαφορετική μεταχείριση της,
γ) συνεργάζεται κατά την εκτέλεση των καθηκόντων του με τους υπευθύνους προστασίας δεδομένων άλλων θεσμικών ή λοιπών οργάνων της Ευρωπαϊκής Ένωσης, ιδίως με την ανταλλαγή πείρας και βέλτιστων πρακτικών,
δ) εκπροσωπεί την Ύπατη Εκπρόσωπο και την ΕΥΕΔ, κατά περίπτωση, σε όλα τα θέματα που σχετίζονται με την προστασία δεδομένων σε διεθνές επίπεδο, με την επιφύλαξη των διατάξεων των Συνθηκών, ιδίως του άρθρου 218 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,
ε) υποβάλλει ετήσια έκθεση για τις δραστηριότητές του στην Ύπατη Εκπρόσωπο και την θέτει στη διάθεση του προσωπικού της ΕΥΕΔ.
2. Με την επιφύλαξη του άρθρου 4 στοιχείο β), του άρθρου 5 παράγραφος 1 στοιχεία β) και γ) και του άρθρου 15, ο ΥΠΔ και το προσωπικό του/της δεν κοινολογούν πληροφορίες ή έγγραφα τα οποία περιέρχονται εις γνώσιν ή στην κατοχή τους στο πλαίσιο της άσκησης των καθηκόντων και αρμοδιοτήτων τους.
Άρθρο 6
Εξουσίες
Κατά την άσκηση των καθηκόντων και των αρμοδιοτήτων του, ο ΥΠΔ:
α) έχει πρόσβαση, ανά πάσα στιγμή, στα δεδομένα που αποτελούν αντικείμενο των πράξεων επεξεργασίας, σε όλους τους χώρους, τις εγκαταστάσεις επεξεργασίας δεδομένων και τα υποθέματα πληροφοριών,
β) μπορεί να ζητεί γνωμοδοτήσεις από τη Νομική Υπηρεσία της ΕΥΕΔ,
γ) μπορεί να προσφύγει στις υπηρεσίες εξωτερικών εμπειρογνωμόνων στον τομέα της τεχνολογίας των πληροφοριών, κατόπιν προηγούμενης συμφωνίας του διατάκτη σύμφωνα με τις διατάξεις του δημοσιονομικού κανονισμού [κανονισμός (ΕΚ, Ευρατόμ) αριθ. 1605/2002] και των κανόνων εφαρμογής του,
δ) με την επιφύλαξη των αρμοδιοτήτων και των εξουσιών του ΕΕΠΔ, μπορεί να προτείνει διοικητικά μέτρα και να εκδίδει γενικές συστάσεις σχετικά με την ορθή εφαρμογή του κανονισμού και της παρούσας απόφασης,
ε) μπορεί να διατυπώνει, σε ειδικές περιπτώσεις, οποιαδήποτε άλλη σύσταση για την πρακτική βελτίωση της προστασίας δεδομένων προς την ιεραρχία της ΕΥΕΔ και/ή προς οιονδήποτε άλλο ενδιαφερόμενο,
στ) μπορεί να επισημαίνει στην αρμόδια για τους διορισμούς αρχή της ΕΥΕΔ οιαδήποτε μη συμμόρφωση μέλους του προσωπικού προς τις υποχρεώσεις που υπέχει δυνάμει του κανονισμού και της παρούσας απόφασης και να εισηγείται την κίνηση διοικητικής έρευνας ενόψει της ενδεχόμενης εφαρμογής του άρθρου 49 του κανονισμού.
Άρθρο 7
Πόροι
Στον ΥΠΔ παρέχεται επαρκές προσωπικό και οι αναγκαίοι πόροι για την άσκηση των καθηκόντων και αρμοδιοτήτων του.
ΤΜΗΜΑ 3
ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΠΑΡΑΓΟΝΤΩΝ ΤΟΥ ΤΟΜΕΑ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 8
Αρμόδια για τους διορισμούς αρχή
1. Σε περίπτωση προσφυγής κατά την έννοια του άρθρου 90 του κανονισμού υπηρεσιακής κατάστασης όσον αφορά παράβαση του κανονισμού ή της παρούσας απόφασης, η αρμόδια για τους διορισμούς αρχή ζητεί τη γνώμη του ΥΠΔ, ο οποίος θα πρέπει να διατυπώσει τη γνώμη του εγγράφως εντός δεκαπέντε ημερών από την παραλαβή της αίτησης. Εάν, μετά το τέλος της περιόδου αυτής, ο ΥΠΔ δεν έχει διατυπώσει τη γνώμη του προς την αρμόδια για τους διορισμούς αρχή, η γνώμη αυτή δεν είναι πλέον αναγκαία. Η αρμόδια για τους διορισμούς αρχή δεν δεσμεύεται από τη γνώμη του ΥΠΔ.
2. Ο ΥΠΔ ενημερώνεται οσάκις εξετάζεται ζήτημα, το οποίο έχει ή μπορεί να έχει επιπτώσεις στην προστασία δεδομένων.
Άρθρο 9
Υπεύθυνοι επεξεργασίας δεδομένων
1. Οι υπεύθυνοι επεξεργασίας δεδομένων μεριμνούν ώστε όλες οι πράξεις επεξεργασίας υπό τον έλεγχό τους να είναι σύμφωνες με τον κανονισμό και με τις διατάξεις της παρούσας απόφασης. Εάν προκύψει ανάγκη, μπορούν να αναθέτουν καθήκοντα επεξεργασίας δεδομένων σε μέλη του προσωπικού της ΕΥΕΔ που εργάζονται υπό την ευθύνη τους ή σε αντισυμβαλλόμενες οντότητες, σύμφωνα με το άρθρο 23 του κανονισμού.
2. Ιδίως, οι υπεύθυνοι επεξεργασίας δεδομένων:
α) ενημερώνουν εκ των προτέρων τον ΥΠΔ για κάθε πράξη ή πράξεις επεξεργασίας δεδομένων με στόχο την επίτευξη ενός ή περισσότερων συναφών σκοπών, καθώς και για κάθε ουσιαστική τροποποίηση υφιστάμενης πράξης επεξεργασίας,
β) επικουρούν τον ΥΠΔ και τον ΕΕΠΔ κατά την άσκηση των αντίστοιχων αρμοδιοτήτων τους, ιδίως παρέχοντάς τους τις πληροφορίες που ζητούν εντός ανώτατης προθεσμίας τριάντα ημερών,
γ) συνεργάζονται με τους συντονιστές της προστασίας δεδομένων με σκοπό την κατάρτιση του καταλόγου των υφιστάμενων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
δ) εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα και δίνουν επαρκείς οδηγίες στους εκτελούντες την επεξεργασία, ώστε να εξασφαλίζονται τόσο η εμπιστευτικότητα της επεξεργασίας όσο και επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που παρουσιάζει η επεξεργασία,
ε) συμβουλεύονται, ενδεχομένως, τον ΥΠΔ ως προς το κατά πόσον οι πράξεις επεξεργασίας είναι σύμφωνες με τον κανονισμό και την παρούσα απόφαση, ιδίως όταν θεωρούν ευλόγως ότι ορισμένες πράξεις επεξεργασίας δεν συμβιβάζονται με τα άρθρα 4 έως 10 του κανονισμού. Μπορούν επίσης να συμβουλεύονται τον ΥΠΔ και/ή εσωτερικούς εμπειρογνώμονες σε θέματα ασφάλειας της τεχνολογίας των πληροφοριών επί ζητημάτων που αφορούν την εμπιστευτικότητα των πράξεων επεξεργασίας και τα μέτρα ασφαλείας που λαμβάνονται σύμφωνα με το άρθρο 22 του κανονισμού.
Άρθρο 10
Συντονιστές
1. Κάθε διευθύνων σύμβουλος ή διευθυντής ή προϊστάμενος υπηρεσίας ισοδύναμου μεγέθους ή λειτουργίας, ή επικεφαλής αντιπροσωπείας της Ένωσης κατά περίπτωση, ορίζει συντονιστή προστασίας δεδομένων ο οποίος εργάζεται υπό την ευθύνη του.
Με την επιφύλαξη των αρμοδιοτήτων του ΥΠΔ, ο συντονιστής:
α) επικουρεί στην τήρηση καταλόγου όλων των υφιστάμενων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα και συνεργάζεται με τον ΥΠΔ με σκοπό την κατάρτιση και την επικαιροποίηση του καταλόγου των υφιστάμενων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
β) επικουρεί στον εντοπισμό των αντίστοιχων υπευθύνων της επεξεργασίας και εκτελούντων την επεξεργασία,
γ) έχει το δικαίωμα να λαμβάνει από τους υπευθύνους επεξεργασίας δεδομένων, τους εκτελούντες την επεξεργασία και το προσωπικό της ΕΥΕΔ τα κατάλληλα και αναγκαία πληροφοριακά στοιχεία που απαιτούνται για την εκτέλεση των διοικητικών καθηκόντων του. Τούτο δεν συμπεριλαμβάνει το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα η επεξεργασία των οποίων διενεργείται υπό την ευθύνη του υπευθύνου επεξεργασίας,
δ) εγκρίνει εταιρικές κοινοποιήσεις προς τον ΥΠΔ σχετικά με τύπους ή κατηγορίες πράξεων επεξεργασίας δεδομένων.
2. Με την επιφύλαξη των αρμοδιοτήτων των υπευθύνων επεξεργασίας, οι συντονιστές:
α) επικουρούν τους υπευθύνους επεξεργασίας κατά την εκπλήρωση των υποχρεώσεών τους,
β) διευκολύνουν, ενδεχομένως, την επικοινωνία μεταξύ του ΥΠΔ και των υπευθύνων της επεξεργασίας.
Άρθρο 11
Προσωπικό της ΕΥΕΔ
1. Όλο το προσωπικό της ΕΥΕΔ συμβάλλει στην εφαρμογή των κανόνων περί εμπιστευτικότητας και ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως προβλέπεται στα άρθρα 21 και 22 του κανονισμού. Τα μέλη του προσωπικού της ΕΥΕΔ που διαθέτουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα επεξεργάζονται τα δεδομένα αυτά μόνο σύμφωνα με τις οδηγίες των υπευθύνων επεξεργασίας, εκτός εάν απαιτεί άλλως το εθνικό ή ενωσιακό δίκαιο.
2. Κάθε μέλος του προσωπικού της ΕΥΕΔ μπορεί να υποβάλει ένσταση προς τον ΕΕΠΔ, με την οποία επικαλείται παράβαση των διατάξεων του κανονισμού που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, χωρίς να ακολουθήσει την επίσημη οδό, όπως καθορίζεται στους κανόνες που έχει θεσπίσει ο ΕΕΠΔ.
Άρθρο 12
Υποκείμενα των δεδομένων
1. Εκτός από το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται δεόντως για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τα άρθρα 11 και 12 του κανονισμού, τα υποκείμενα των δεδομένων μπορούν να απευθύνονται στον οικείο υπεύθυνο επεξεργασίας προκειμένου να ασκήσουν τα δικαιώματά τους σύμφωνα με τα άρθρα 13 έως 19 του κανονισμού, όπως ορίζεται στο τμήμα 5 της παρούσας απόφασης.
2. Με την επιφύλαξη κάθε ένδικου μέσου, κάθε υποκείμενο των δεδομένων μπορεί να υποβάλλει ένσταση στον ΕΕΠΔ εφόσον κρίνει ότι τα δικαιώματά του δυνάμει του κανονισμού θίγονται ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν από τους υπεύθυνους επεξεργασίας, όπως ορίζεται στους κανόνες που έχει θεσπίσει ο ΕΕΠΔ.
3. Κανένα υποκείμενο των δεδομένων δεν υφίσταται ζημία διότι έχει υποβάλει ένσταση προς τον ΕΕΠΔ, ή διότι επέστησε την προσοχή του ΥΠΔ σε παράβαση των διατάξεων του κανονισμού.
ΤΜΗΜΑ 4
ΜΗΤΡΩΟ ΚΟΙΝΟΠΟΙΗΘΕΙΣΩΝ ΕΡΓΑΣΙΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 13
Διαδικασία κοινοποίησης
1. Οι υπεύθυνοι επεξεργασίας δεδομένων κοινοποιούν στον ΥΠΔ κάθε πράξη επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω του εντύπου κοινοποίησης που διατίθεται στον δικτυακό τόπο της ΕΥΕΔ και των αντιπροσωπειών της Ένωσης στο ενδοδίκτυο (στο πλαίσιο “Προστασία δεδομένων”). Η κοινοποίηση διαβιβάζεται ηλεκτρονικά στον ΥΠΔ. Εντός δέκα εργάσιμων ημερών αποστέλλεται εγγράφως στον ΥΠΔ επιβεβαιωτική κοινοποίηση. Ο ΥΠΔ δημοσιεύει την επιβεβαιωτική κοινοποίηση στο μητρώο μόλις την παραλάβει.
2. Η κοινοποίηση περιλαμβάνει όλα τα πληροφοριακά στοιχεία που προσδιορίζονται στο άρθρο 25 παράγραφος 2 του κανονισμού. Οποιαδήποτε μεταβολή που επηρεάζει τα στοιχεία αυτά κοινοποιείται αμέσως στον ΥΠΔ.
3. Περαιτέρω κανόνες και λεπτομέρειες όσον αφορά τη διαδικασία κοινοποίησης που πρέπει να ακολουθούν οι υπεύθυνοι της επεξεργασίας περιλαμβάνονται στις γενικές συστάσεις που εκδίδει ο ΥΠΔ.
Άρθρο 14
Περιεχόμενο και σκοπός του μητρώου
1. Ο ΥΠΔ τηρεί μητρώο των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το οποίο καταρτίζεται βάσει των κοινοποιήσεων που αποστέλλουν οι υπεύθυνοι των επεξεργασιών.
2. Το μητρώο περιέχει τουλάχιστον τα πληροφοριακά στοιχεία που αναφέρονται στο άρθρο 25, παράγραφο 2, στοιχεία α) έως ζ) του κανονισμού. Ωστόσο, τα πληροφοριακά στοιχεία που εισάγονται στο μητρώο από τον ΥΠΔ μπορούν, κατ’ εξαίρεση, να περιορίζονται, εάν αυτό είναι απαραίτητο για λόγους ασφάλειας συγκεκριμένης πράξης επεξεργασίας.
3. Το μητρώο χρησιμεύει ως κατάλογος των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται από την ΕΥΕΔ. Είναι προσβάσιμο από τα υποκείμενα των δεδομένων ώστε να διευκολύνεται η άσκηση των δικαιωμάτων τους, όπως προβλέπεται στα άρθρα 13 έως 19 του κανονισμού και στην παρούσα απόφαση.
Άρθρο 15
Πρόσβαση στο μητρώο
1. Ο ΥΠΔ λαμβάνει κατάλληλα μέτρα ώστε να εξασφαλισθεί η πρόσβαση κάθε υποκειμένου δεδομένων στο μητρώο, είτε απευθείας είτε μέσω του ΕΕΠΔ. Ειδικότερα, ο ΥΠΔ παρέχει ενημέρωση και συνδρομή προς τα υποκείμενα δεδομένων ως προς το πώς και πού μπορούν να υποβάλλονται οι αιτήσεις για πρόσβαση στο μητρώο.
2. Με εξαίρεση την περίπτωση κατά την οποία παρέχεται πρόσβαση μέσω του Διαδικτύου, οι αιτήσεις για πρόσβαση στο μητρώο υποβάλλονται εγγράφως με οποιαδήποτε μορφή, συμπεριλαμβανομένης της ηλεκτρονικής, σε μία από τις γλώσσες που αναφέρονται στο άρθρο 342 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης και κατά τρόπο επαρκώς σαφή ώστε να μπορεί ο ΥΠΔ να εντοπίζει τις σχετικές πράξεις επεξεργασίας. Στον αιτούντα αποστέλλεται αμελλητί απόδειξη παραλαβής.
3. Εάν η αίτηση δεν είναι επαρκώς σαφής, ο ΥΠΔ ζητεί από τον αιτούντα να διευκρινίσει την αίτησή του και τον βοηθά στην προσπάθειά του αυτή. Σε περίπτωση που η αίτηση αφορά πολύ μεγάλο αριθμό πράξεων επεξεργασίας, ο ΥΠΔ μπορεί να συνεννοηθεί ανεπισήμως με τον αιτούντα για να βρεθεί η κατάλληλη λύση.
4. Κάθε υποκείμενο δεδομένων μπορεί να ζητήσει από τον ΥΠΔ αντίγραφο των πληροφοριών που είναι διαθέσιμες στο μητρώο σχετικά με κάθε κοινοποιηθείσα πράξη επεξεργασίας.
ΤΜΗΜΑ 5
ΔΙΑΔΙΚΑΣΙΑ ΜΕ ΤΗΝ ΟΠΟΙΑ ΑΣΚΟΥΝ ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΟΥΣ ΤΑ ΥΠΟΚΕΙΜΕΝΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 16
Γενικές διατάξεις
1. Τα δικαιώματα των υποκειμένων των δεδομένων που καθορίζονται στο παρόν τμήμα μπορούν να ασκούνται μόνον από τους ενδιαφερομένους ή, σε εξαιρετικές περιπτώσεις, για λογαριασμό των ενδιαφερομένων με δέουσα πληρεξουσιοδότηση. Οι αιτήσεις απευθύνονται γραπτώς στον εκάστοτε υπεύθυνο της επεξεργασίας, με αντίγραφο στον ΥΠΔ. Εφόσον απαιτείται, ο ΥΠΔ επικουρεί το υποκείμενο των δεδομένων στον εντοπισμό του υπευθύνου της επεξεργασίας. Ο ΥΠΔ καθιστά διαθέσιμα ειδικά έντυπα. Οι υπεύθυνοι των επεξεργασιών δέχονται την αίτηση μόνον εφόσον το έντυπο έχει συμπληρωθεί πλήρως και η ταυτότητα του αιτούντος έχει εξακριβωθεί δεόντως. Τα υποκείμενα των δεδομένων ασκούν τα δικαιώματά τους ατελώς.
2. Ο υπεύθυνος της επεξεργασίας αποστέλλει στον αιτούντα απόδειξη παραλαβής εντός πέντε εργάσιμων ημερών από την καταχώριση της αίτησης. Εκτός αν άλλως ορίζεται, ο υπεύθυνος της επεξεργασίας διεκπεραιώνει την αίτηση εντός προθεσμίας δεκαπέντε εργάσιμων ημερών το αργότερο από την καταχώρισή της, είτε με την αποδοχή της είτε δηλώνοντας εγγράφως τους λόγους της πλήρους ή μερικής απόρριψής της, ιδίως σε περιπτώσεις που ο αιτών δεν θεωρείται ως υποκείμενο των δεδομένων.
3. Σε περίπτωση παρατυπιών ή πρόδηλης κατάχρησης των σχετικών δικαιωμάτων από το υποκείμενο των δεδομένων και εφόσον το υποκείμενο των δεδομένων ισχυρίζεται ότι η επεξεργασία είναι παράνομη, ο υπεύθυνος επεξεργασίας πρέπει να συμβουλεύεται τον ΥΠΔ σχετικά με την αίτηση και/ή να παραπέμπει το υποκείμενο των δεδομένων στον ΥΠΔ, ο οποίος αποφασίζει ως προς την επιλεξιμότητα της αίτησης και τη συνέχεια που πρέπει να δοθεί.
4. Κάθε υποκείμενο των δεδομένων μπορεί να συμβουλεύεται τον ΥΠΔ όσον αφορά την άσκηση των δικαιωμάτων του σε μια συγκεκριμένη υπόθεση. Με την επιφύλαξη τυχόν ένδικων μέσων, κάθε υποκείμενο των δεδομένων μπορεί να υποβάλει ένσταση στον ΕΕΠΔ, εφόσον κρίνει ότι έχουν παραβιασθεί τα δικαιώματά του δυνάμει του κανονισμού λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Άρθρο 17
Δικαίωμα πρόσβασης
Το υποκείμενο των δεδομένων δικαιούται να λαμβάνει από τον υπεύθυνο της επεξεργασίας, χωρίς περιορισμό, ανά πάσα στιγμή εντός τριών μηνών από την παραλαβή της αίτησης, τα πληροφοριακά στοιχεία που αναφέρονται στα στοιχεία α) έως δ) του άρθρου 13 του κανονισμού, είτε συμβουλευόμενο τα δεδομένα αυτά επιτόπου είτε λαμβάνοντας αντίγραφό τους, συμπεριλαμβανομένου, ενδεχομένως, αντιγράφου σε ηλεκτρονική μορφή, ανάλογα με την προτίμηση του αιτούντος.
Άρθρο 18
Δικαίωμα διόρθωσης
Σε κάθε αίτηση υποκειμένου των δεδομένων για τη διόρθωση ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα προσδιορίζονται τα σχετικά δεδομένα καθώς και η διόρθωση που ζητείται. Η αίτηση διεκπεραιώνεται από τον υπεύθυνο της επεξεργασίας αμελλητί.
Άρθρο 19
Δικαίωμα κλειδώματος
Ο υπεύθυνος της επεξεργασίας διεκπεραιώνει αμελλητί κάθε αίτηση για το κλείδωμα δεδομένων σύμφωνα με το άρθρο 15 του κανονισμού. Στην αίτηση προσδιορίζονται τα σχετικά δεδομένα καθώς και οι λόγοι για τους οποίους ζητείται το κλείδωμά τους. Ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων που υπέβαλε την αίτηση πριν από την άρση του κλειδώματος.
Άρθρο 20
Δικαίωμα διαγραφής
Το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο της επεξεργασίας να διαγράψει αμελλητί τα δεδομένα σε περίπτωση παράνομης επεξεργασίας, ιδίως στην περίπτωση παράβασης των άρθρων 4 έως 10 του κανονισμού. Στην αίτηση προσδιορίζονται τα σχετικά δεδομένα και οι λόγοι ή οι αποδείξεις του παράνομου χαρακτήρα της επεξεργασίας. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, η διαγραφή διενεργείται καταρχήν με όλα τα κατάλληλα τεχνικά μέσα, ώστε να αποκλείεται οποιαδήποτε δυνατότητα περαιτέρω επεξεργασίας των διαγραφέντων δεδομένων. Εάν η διαγραφή είναι αδύνατη για τεχνικούς λόγους, ο αρμόδιος υπεύθυνος της επεξεργασίας, αφού συμβουλευθεί τον ΥΠΔ και τον ενδιαφερόμενο, προβαίνει αμέσως στο κλείδωμα των σχετικών δεδομένων.
Άρθρο 21
Κοινοποίηση σε τρίτους
Σε κάθε περίπτωση διόρθωσης, κλειδώματος ή διαγραφής κατόπιν αιτήσεως του υποκειμένου των δεδομένων, το εν λόγω υποκείμενο των δεδομένων μπορεί να λαμβάνει από τον υπεύθυνο της επεξεργασίας την κοινοποίηση των ενεργειών αυτών προς τους τρίτους στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, εκτός εάν αυτό αποδεικνύεται αδύνατο ή απαιτεί δυσανάλογη προσπάθεια.
Άρθρο 22
Δικαίωμα αντίταξης
Το υποκείμενο των δεδομένων μπορεί να αντιτάσσεται στην επεξεργασία δεδομένων που το αφορούν και στη γνωστοποίηση ή χρήση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, σύμφωνα με το άρθρο 18 του κανονισμού. Στην αίτηση προσδιορίζονται τα σχετικά δεδομένα και αναφέρονται οι λόγοι που δικαιολογούν την αίτηση. Εφόσον η ένσταση είναι δικαιολογημένη, η σχετική επεξεργασία δεν περιλαμβάνει πλέον τα συγκεκριμένα δεδομένα.
Άρθρο 23
Αυτοματοποιημένες ατομικές αποφάσεις
Το υποκείμενο των δεδομένων δικαιούται να μη συμμορφώνεται με αυτοματοποιημένες ατομικές αποφάσεις κατά την έννοια του άρθρου 19 του κανονισμού, εκτός εάν η απόφαση επιτρέπεται ρητά από την εθνική ή ενωσιακή νομοθεσία ή από απόφαση του ΕΕΠΔ που διαφυλάσσει τα έννομα συμφέροντα του υποκειμένου των δεδομένων. Και στις δύο περιπτώσεις, το υποκείμενο των δεδομένων έχει την ευκαιρία να εκφράσει την άποψή του εκ των προτέρων και να συμβουλευθεί τον ΥΠΔ.
Άρθρο 24
Εξαιρέσεις και περιορισμοί
1. Στον βαθμό που το δικαιολογούν σαφώς εύλογες αιτίες, όπως προσδιορίζεται στο άρθρο 20 του κανονισμού, ο υπεύθυνος της επεξεργασίας μπορεί να περιορίζει τα δικαιώματα που αναφέρονται στα άρθρα 17 έως 21 της παρούσας απόφασης. Εφόσον δεν συντρέχει λόγος απόλυτης ανάγκης, ο υπεύθυνος της επεξεργασίας συμβουλεύεται πρώτα τον ΥΠΔ, η γνώμη του οποίου δεν δεσμεύει την ΕΥΕΔ. Ο υπεύθυνος της επεξεργασίας απαντά αμελλητί στις αιτήσεις σχετικά με την εφαρμογή εξαιρέσεων ή περιορισμών της άσκησης των δικαιωμάτων και αιτιολογεί τη σχετική απόφαση.
2. Κάθε σχετικό υποκείμενο των δεδομένων μπορεί να ζητεί από τον ΕΕΠΔ την εφαρμογή του άρθρου 47 παράγραφος 1 στοιχείο γ) του κανονισμού.
ΤΜΗΜΑ 6
ΔΙΑΔΙΚΑΣΙΑ ΕΡΕΥΝΑΣ
Άρθρο 25
Πρακτικές λεπτομέρειες
1. Οι αιτήσεις για διενέργεια έρευνας απευθύνονται εγγράφως στον ΥΠΔ μέσω ειδικού εντύπου που διατίθεται από αυτόν. Στην περίπτωση πρόδηλης κατάχρησης του δικαιώματος υποβολής αίτησης έρευνας, παραδείγματος χάριν όταν το ίδιο φυσικό πρόσωπο υπέβαλε ταυτόσημη αίτηση μόλις πρόσφατα, ο ΥΠΔ δεν υποχρεούται να απαντήσει στον αιτούντα.
2. Εντός δεκαπέντε ημερών από την παραλαβή, ο ΥΠΔ αποστέλλει απόδειξη παραλαβής στην αρμόδια για τους διορισμούς αρχή ή στο πρόσωπο που ζήτησε την έρευνα και εξακριβώνει κατά πόσον η αίτηση πρέπει να αντιμετωπισθεί ως εμπιστευτική.
3. Ο ΥΠΔ ζητεί από τον υπεύθυνο της επεξεργασίας ο οποίος ευθύνεται για τη συγκεκριμένη επεξεργασία δεδομένων έγγραφη δήλωση σχετικά με το θέμα. Ο υπεύθυνος της επεξεργασίας απαντά στον ΥΠΔ εντός δεκαπέντε ημερών. Ο ΥΠΔ ενδέχεται να ζητήσει συμπληρωματικές πληροφορίες από άλλες υπηρεσίες της ΕΥΕΔ, όπως το Τμήμα Ασφάλειας και Ασφάλειας των Πληροφοριών (Infosec) της ΕΥΕΔ. Εφόσον χρειάζεται, μπορεί να ζητήσει σχετική γνωμοδότηση από το Τμήμα Νομικών Θεμάτων της ΕΥΕΔ. Οι πληροφορίες ή η γνώμη πρέπει να παρέχονται στον ΥΠΔ εντός τριάντα ημερών.
4. Ο ΥΠΔ αναφέρει στην αρμόδια για τους διορισμούς αρχή ή στο πρόσωπο το οποίο υπέβαλε το αίτημα εντός τριών μηνών από την παραλαβή του αιτήματος.
ΤΜΗΜΑ 7
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 26
Σε περίπτωση ασυμφωνίας μεταξύ των διατάξεων της παρούσας απόφασης και του κανονισμού, υπερισχύουν οι διατάξεις του κανονισμού.
Άρθρο 27
Η παρούσα απόφαση κοινοποιείται στο προσωπικό της ΕΥΕΔ με τα κατάλληλα μέσα, ιδίως μέσω της δημοσίευσής της στον δικτυακό τόπο της ΕΥΕΔ και των αντιπροσωπειών της Ένωσης στο ενδοδίκτυο (στο πλαίσιο “Προστασία δεδομένων”).
Άρθρο 28
Έναρξη ισχύος
Η παρούσα απόφαση παράγει αποτελέσματα από την ημέρα της έκδοσής της.
Βρυξέλλες, 8 Δεκεμβρίου 2011.
Η Ύπατη Εκπρόσωπος
C. Ashton
————————————————–
