Τα Ρεσιτάλ

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Δεν θα μπορούσαμε να σας αφήσουμε να χάσετε τις αιτιολογικές σκέψεις, τουλάχιστον τις κύριες που οδήγησαν στον ΓΚΠΔ. Αποτελούν τη φιλοσοφία που αποκαθίσταται στον τελικό κανονισμό και την οδηγία, αποκρυπτογραφούν και εναρμονίζουν σε ένα ενιαίο πρίσμα όλες τις σκέψεις κάθε νομοθεσίας των κρατών μελών όσον αφορά το δίκαιο προστασίας δεδομένων. Ενσαρκώνουν την ευρωπαϊκή ποικιλομορφία ενώ σχηματίζουν ένα ενιαίο σώμα. Φωτίζουν την κατανόησή μας και δίνουν νόημα, μαρτυρούν το γεγονός ότι κάτι βαθύ συμβαίνει, σίγουρα και με την πρώτη ματιά, σε απάντηση στις GAFA, την Google, την Apple, το Facebook, την Amazon, το Deezer, το Instagram, το Snapchat και άλλους, που έχουν λεηλατήσει τις συμπεριφορές μας, τις επιθυμίες μας και τις ευχές μας... Παράγοντες των οποίων η μόνη μέριμνα για εμάς είναι αυτή του πορτοφολιού μας!

Μου φάνηκε απαραίτητο να σας παράσχω τις κύριες σκέψεις ή/και τα πιο σημαντικά αποσπάσματα. Αν θέλετε να προχωρήσετε περισσότερο, για άλλη μια φορά ο ιστότοπος του CNIL είναι ιδιαίτερα περιεκτικός και σας προσκαλώ να τον επισκεφθείτε...

(Αιτιολογική σκέψη 1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα. … να προβλέπουν ότι κάθε άτομο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

(Αιτιολογική σκέψη 2) Οι αρχές και οι κανόνες που διέπουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν θα πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των εν λόγω φυσικών προσώπων, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, ιδίως το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα. ... να συμβάλλουν στη δημιουργία ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και μιας οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενοποίηση και σύγκλιση των οικονομιών εντός της εσωτερικής αγοράς και στην ευημερία των φυσικών προσώπων.

(Αιτιολογική σκέψη 3) … Το Συμβούλιο στοχεύει στην εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και στη διασφάλιση της ελεύθερης ροής των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών.

(Αιτιολογική σκέψη 4) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να σχεδιάζεται με γνώμονα την εξυπηρέτηση της ανθρωπότητας. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εξετάζεται σε σχέση με τη λειτουργία του στην κοινωνία και να εξισορροπείται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. ...σεβασμός της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, προστασία των δεδομένων προσωπικού χαρακτήρα, ελευθερία σκέψης, συνείδησης και θρησκείας, ελευθερία έκφρασης και πληροφόρησης, ελευθερία άσκησης επιχειρηματικής δραστηριότητας, δικαίωμα σε αποτελεσματική προσφυγή και σε δίκαιη δίκη, καθώς και πολιτιστική, θρησκευτική και γλωσσική ποικιλομορφία.

(Αιτιολογική σκέψη 6) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση έχουν δημιουργήσει νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Η κλίμακα της συλλογής και της ανταλλαγής προσωπικών δεδομένων έχει αυξηθεί σημαντικά. Η τεχνολογία επιτρέπει τόσο στις ιδιωτικές εταιρείες όσο και στις δημόσιες αρχές να χρησιμοποιούν προσωπικά δεδομένα στις επιχειρηματικές τους δραστηριότητες όπως ποτέ άλλοτε. Τα άτομα καθιστούν ολοένα και περισσότερο τις πληροφορίες που τους αφορούν δημόσια και παγκοσμίως προσβάσιμες. Η τεχνολογία έχει μεταμορφώσει τόσο τις οικονομικές όσο και τις κοινωνικές σχέσεις και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη ροή των προσωπικών δεδομένων εντός της Ένωσης και τη μεταφορά τους σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των προσωπικών δεδομένων.

(Αιτιολογική σκέψη 7) ...είναι σημαντικό να οικοδομηθεί εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να ευδοκιμήσει σε ολόκληρη την εσωτερική αγορά. Τα άτομα θα πρέπει να έχουν τον έλεγχο των προσωπικών τους δεδομένων. ...

(Αιτιολογική σκέψη 9) ... κατακερματισμός της εφαρμογής της προστασίας δεδομένων στην Ένωση, νομική αβεβαιότητα ή ευρεία δημόσια αντίληψη ότι εξακολουθούν να υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως σε σχέση με το διαδικτυακό περιβάλλον. Οι διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη ενδέχεται να εμποδίσουν την ελεύθερη ροή των εν λόγω δεδομένων σε ολόκληρη την Ένωση. Οι εν λόγω διαφορές ενδέχεται, επομένως, να αποτελέσουν εμπόδιο στην άσκηση οικονομικών δραστηριοτήτων σε επίπεδο Ένωσης, να στρεβλώσουν τον ανταγωνισμό και να εμποδίσουν τις αρχές να εκπληρώσουν τις υποχρεώσεις τους βάσει του δικαίου της Ένωσης. ...

(Αιτιολογική σκέψη 10) Προκειμένου να διασφαλιστεί ένα συνεπές και υψηλό επίπεδο προστασίας των φυσικών προσώπων και να αρθούν τα εμπόδια στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Συνεπώς, είναι σκόπιμο να διασφαλιστεί η συνεπής και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. …

(Αιτιολογική σκέψη 11) Η αποτελεσματική προστασία των προσωπικών δεδομένων σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και την αποσαφήνιση των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων όσων εκτελούν και καθορίζουν την επεξεργασία προσωπικών δεδομένων, καθώς και την πρόβλεψη, στα κράτη μέλη, ισοδύναμων εξουσιών εποπτείας και ελέγχου της συμμόρφωσης με τους κανόνες για την προστασία των προσωπικών δεδομένων και ισοδύναμων κυρώσεων για τις παραβιάσεις.

(Αιτιολογική σκέψη 13)

Προκειμένου να διασφαλιστεί ένα συνεπές επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και να αποφευχθούν οι αποκλίσεις που εμποδίζουν την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς, είναι απαραίτητος ένας κανονισμός που θα παρέχει ασφάλεια δικαίου και διαφάνεια για τους οικονομικούς φορείς, συμπεριλαμβανομένων των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, ώστε να παρέχεται στα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο εκτελεστών δικαιωμάτων, υποχρεώσεων και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, και να διασφαλίζεται η συνεπής εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη, καθώς και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διαφόρων κρατών μελών. Για την ορθή λειτουργία της εσωτερικής αγοράς, είναι απαραίτητο η ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης να μην περιορίζεται ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. …

(Αιτιολογική σκέψη 14) Η προστασία που παρέχεται από τον παρόντα κανονισμό θα πρέπει να εφαρμόζεται στα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής τους, όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων. Ο παρών κανονισμός δεν καλύπτει την επεξεργασία προσωπικών δεδομένων που αφορούν νομικά πρόσωπα, …

 (Αιτιολογική σκέψη 17) Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, τις υπηρεσίες και τους οργανισμούς της Ένωσης. …

(Αιτιολογική σκέψη 19) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της ελεύθερης κυκλοφορίας των δεδομένων αυτών και της πρόληψης αυτών, αποτελεί αντικείμενο ειδικής ενωσιακής νομικής πράξης. …

(Αιτιολογική σκέψη 22) Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στο έδαφος της Ένωσης θα πρέπει να διενεργείται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το αν η ίδια η επεξεργασία λαμβάνει χώρα στην Ένωση. Η εγκατάσταση προϋποθέτει την αποτελεσματική και ουσιαστική άσκηση μιας δραστηριότητας μέσω μιας σταθερής ρύθμισης. …

(Αιτιολογική σκέψη 23) Προκειμένου να διασφαλιστεί ότι ένα φυσικό πρόσωπο δεν εξαιρείται από την προστασία στην οποία δικαιούται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν υποκείμενα δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει να υπόκειται στον παρόντα κανονισμό, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε αυτά τα υποκείμενα δεδομένων, ανεξάρτητα από το εάν απαιτείται πληρωμή ή όχι. Προκειμένου να προσδιοριστεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα δεδομένων που βρίσκονται στην Ένωση, θα πρέπει να διαπιστωθεί εάν είναι σαφές ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προτίθεται να προσφέρει υπηρεσίες σε υποκείμενα δεδομένων σε ένα ή περισσότερα κράτη μέλη της Ένωσης. …

(Αιτιολογική σκέψη 24) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει επίσης να υπόκειται στον παρόντα κανονισμό, όταν η εν λόγω επεξεργασία σχετίζεται με την παρακολούθηση της συμπεριφοράς των εν λόγω υποκειμένων των δεδομένων, στο βαθμό που αφορά τη συμπεριφορά τους εντός της Ένωσης. Προκειμένου να προσδιοριστεί εάν μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ως παρακολούθηση της συμπεριφοράς των υποκειμένων των δεδομένων, θα πρέπει να διαπιστωθεί εάν τα φυσικά πρόσωπα παρακολουθούνται στο διαδίκτυο, γεγονός που περιλαμβάνει την πιθανή επακόλουθη χρήση τεχνικών επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίστανται στη δημιουργία προφίλ ενός φυσικού προσώπου, ιδίως για τη λήψη αποφάσεων που το αφορούν ή για την ανάλυση ή την πρόβλεψη των προτιμήσεων, της συμπεριφοράς και των στάσεών του.

(Αιτιολογική σκέψη 25) Όταν εφαρμόζεται το δίκαιο ενός κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός θα πρέπει να εφαρμόζεται και σε υπεύθυνο επεξεργασίας που δεν είναι εγκατεστημένος στην Ένωση, …

(Αιτιολογική σκέψη 26) Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα προσωπικά δεδομένα που έχουν ψευδωνυμοποιηθεί και τα οποία θα μπορούσαν να αποδοθούν σε φυσικό πρόσωπο μέσω πρόσθετων πληροφοριών θα πρέπει να θεωρούνται πληροφορίες που αφορούν ταυτοποιήσιμο φυσικό πρόσωπο. Κατά τον προσδιορισμό του κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας...

(Αιτιολογική σκέψη 27) Ο παρών κανονισμός δεν εφαρμόζεται στα προσωπικά δεδομένα αποβιωσάντων προσώπων. Τα κράτη μέλη μπορούν να θεσπίζουν κανόνες σχετικά με την επεξεργασία προσωπικών δεδομένων αποβιωσάντων προσώπων.

(Αιτιολογική σκέψη 28) Η ψευδωνυμοποίηση των προσωπικών δεδομένων μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να βοηθήσει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να εκπληρώσουν τις υποχρεώσεις τους περί προστασίας δεδομένων. Η ρητή εισαγωγή της ψευδωνυμοποίησης στον παρόντα κανονισμό δεν αποσκοπεί στον αποκλεισμό οποιωνδήποτε άλλων μέτρων προστασίας δεδομένων.

(Αιτιολογική σκέψη 29) Προκειμένου να ενθαρρυνθεί η ψευδωνυμοποίηση κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα πρέπει να είναι δυνατή η λήψη μέτρων ψευδωνυμοποίησης εντός του ίδιου υπευθύνου επεξεργασίας, επιτρέποντας παράλληλα μια γενική ανάλυση, εφόσον ο υπεύθυνος επεξεργασίας έχει λάβει τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει, για την εν λόγω επεξεργασία, ότι εφαρμόζεται ο παρών κανονισμός και ότι οι πρόσθετες πληροφορίες που επιτρέπουν την απόδοση των δεδομένων προσωπικού χαρακτήρα σε ένα συγκεκριμένο υποκείμενο των δεδομένων φυλάσσονται χωριστά. Ο υπεύθυνος επεξεργασίας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποδεικνύει τα πρόσωπα που είναι εξουσιοδοτημένα για τον σκοπό αυτό εντός του ίδιου υπευθύνου επεξεργασίας.

(Αιτιολογική σκέψη 30) Τα άτομα ενδέχεται να συνδέονται, μέσω των συσκευών, των εφαρμογών, των εργαλείων και των πρωτοκόλλων που χρησιμοποιούν, με ηλεκτρονικά αναγνωριστικά όπως διευθύνσεις IP και cookies ή άλλα αναγνωριστικά, για παράδειγμα, ετικέτες αναγνώρισης ραδιοσυχνοτήτων. Αυτά τα αναγνωριστικά ενδέχεται να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυάζονται με μοναδικά αναγνωριστικά και άλλες πληροφορίες που λαμβάνονται από διακομιστές, μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ ατόμων και για την ταυτοποίηση αυτών των ατόμων.

(Αιτιολογική σκέψη 31) Οι δημόσιες αρχές στις οποίες κοινοποιούνται δεδομένα προσωπικού χαρακτήρα δυνάμει νομικής υποχρέωσης για την άσκηση των επίσημων καθηκόντων τους, όπως οι φορολογικές και τελωνειακές αρχές, οι μονάδες χρηματοοικονομικής έρευνας, οι ανεξάρτητες διοικητικές αρχές ή οι αρχές χρηματοπιστωτικής αγοράς που είναι υπεύθυνες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών, δεν θα πρέπει να θεωρούνται αποδέκτες εάν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διεξαγωγή συγκεκριμένης έρευνας προς το δημόσιο συμφέρον, […]

(Αιτιολογική σκέψη 32) Η συγκατάθεση θα πρέπει να παρέχεται με σαφή καταφατική ενέργεια, με την οποία το υποκείμενο των δεδομένων δηλώνει ελεύθερα, με συγκεκριμένο, ενημερωμένο και σαφή τρόπο, τη συμφωνία του για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, για παράδειγμα μέσω γραπτής δήλωσης, συμπεριλαμβανομένων των ηλεκτρονικών μέσων, ή προφορικής δήλωσης. Αυτό θα μπορούσε να είναι, για παράδειγμα, επιλέγοντας ένα πλαίσιο κατά την επίσκεψη σε έναν ιστότοπο, επιλέγοντας ορισμένες τεχνικές ρυθμίσεις για υπηρεσίες της κοινωνίας της πληροφορίας ή μέσω περαιτέρω δήλωσης ή συμπεριφοράς που υποδεικνύει σαφώς σε αυτό το πλαίσιο ότι το υποκείμενο των δεδομένων συμφωνεί με την προτεινόμενη επεξεργασία των δεδομένων προσωπικού χαρακτήρα του. Συνεπώς, η συγκατάθεση δεν μπορεί να θεωρηθεί ότι βασίζεται σε σιωπή, προεπιλεγμένα τικ ή αδράνεια. …

(Αιτιολογική σκέψη 36) Η κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να είναι ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση, οπότε η εν λόγω άλλη εγκατάσταση θα πρέπει να θεωρείται η κύρια εγκατάσταση. Η κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση θα πρέπει να καθορίζεται με βάση αντικειμενικά κριτήρια και θα πρέπει να περιλαμβάνει την αποτελεσματική και ουσιαστική άσκηση διαχειριστικών δραστηριοτήτων που καθορίζουν τις κύριες αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας εντός μιας σταθερής ρύθμισης. …

(Αιτιολογική σκέψη 37) Ένας όμιλος επιχειρήσεων θα πρέπει να καλύπτει μια ελέγχουσα επιχείρηση και τις ελεγχόμενες από αυτήν επιχειρήσεις, η πρώτη είναι αυτή που μπορεί να ασκήσει κυρίαρχη επιρροή στις άλλες επιχειρήσεις δυνάμει, για παράδειγμα, της ιδιοκτησίας κεφαλαίου, της οικονομικής συμμετοχής ή των κανόνων που τη διέπουν, ή της εξουσίας επιβολής κανόνων σχετικά με την προστασία των προσωπικών δεδομένων. Μια επιχείρηση που ελέγχει την επεξεργασία προσωπικών δεδομένων σε επιχειρήσεις που συνδέονται με αυτήν θα πρέπει να θεωρείται ότι αποτελεί όμιλο επιχειρήσεων με αυτές τις επιχειρήσεις.

(Αιτιολογική σκέψη 38) Τα παιδιά αξίζουν ειδική προστασία όσον αφορά τα προσωπικά τους δεδομένα, επειδή ενδέχεται να έχουν λιγότερη επίγνωση των κινδύνων, των συνεπειών και των εγγυήσεων που εμπλέκονται, καθώς και των δικαιωμάτων τους που σχετίζονται με την επεξεργασία προσωπικών δεδομένων. Αυτή η ειδική προστασία θα πρέπει, ειδικότερα, να ισχύει για τη χρήση προσωπικών δεδομένων που αφορούν παιδιά για σκοπούς μάρκετινγκ ή για τη δημιουργία προφίλ προσωπικότητας ή χρήστη, καθώς και για τη συλλογή προσωπικών δεδομένων που αφορούν παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται απευθείας σε παιδί. Η συγκατάθεση του δικαιούχου της γονικής μέριμνας δεν θα πρέπει να απαιτείται στο πλαίσιο υπηρεσιών πρόληψης ή συμβουλευτικής που προσφέρονται απευθείας σε παιδί.

(Αιτιολογική σκέψη 39) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Το γεγονός ότι τα προσωπικά δεδομένα που αφορούν φυσικά πρόσωπα συλλέγονται, χρησιμοποιούνται, έχουν πρόσβαση ή υφίστανται επεξεργασία με άλλο τρόπο, καθώς και ο βαθμός στον οποίο τα εν λόγω δεδομένα υποβάλλονται ή θα υποβληθούν σε επεξεργασία, θα πρέπει να είναι διαφανείς για τα εν λόγω φυσικά πρόσωπα. Η αρχή της διαφάνειας απαιτεί όλες οι πληροφορίες και οι επικοινωνίες που σχετίζονται με την επεξεργασία τέτοιων δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμες, εύληπτες και διατυπωμένες σε σαφή και απλή γλώσσα. Η αρχή αυτή ισχύει, ιδίως, για τις πληροφορίες που παρέχονται στα υποκείμενα των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας, καθώς και για άλλες πληροφορίες που αποσκοπούν στη διασφάλιση δίκαιης και διαφανούς επεξεργασίας όσον αφορά τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και επικοινωνία σχετικά με το εάν τα προσωπικά τους δεδομένα υποβάλλονται σε επεξεργασία. Τα φυσικά πρόσωπα θα πρέπει να ενημερώνονται για τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και για τις λεπτομέρειες άσκησης των δικαιωμάτων τους σε σχέση με την εν λόγω επεξεργασία. …

(Αιτιολογική σκέψη 40) Για να είναι σύννομη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή σε οποιονδήποτε άλλο νόμιμο λόγο που προβλέπεται από το νόμο,...

(Αιτιολογική σκέψη 42) Όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων έχει συναινέσει στην πράξη επεξεργασίας. …

(Αιτιολογική σκέψη 43) Για να διασφαλιστεί ότι η συγκατάθεση παρέχεται ελεύθερα, δεν θα πρέπει να αποτελεί έγκυρο νομικό λόγο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση όπου υπάρχει πρόδηλη ανισορροπία μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως όταν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι απίθανο η συγκατάθεση να δόθηκε ελεύθερα σε όλες τις περιστάσεις της συγκεκριμένης κατάστασης. Η συγκατάθεση τεκμαίρεται ότι δεν έχει δοθεί ελεύθερα εάν δεν μπορεί να δοθεί ξεχωριστή συγκατάθεση για διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, παρόλο που θα ήταν σκόπιμο στη συγκεκριμένη περίπτωση, ή εάν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, εξαρτάται από τη συγκατάθεση, παρόλο που η συγκατάθεση δεν είναι απαραίτητη για την εν λόγω εκτέλεση.

(Αιτιολογική σκέψη 44) Η επεξεργασία θα πρέπει να θεωρείται νόμιμη όταν είναι απαραίτητη για την εκτέλεση μιας σύμβασης ή την πρόθεση σύναψης σύμβασης.

(Αιτιολογική σκέψη 45) Όταν η επεξεργασία διενεργείται σύμφωνα με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή όταν είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να βασίζεται στο δίκαιο της Ένωσης ή του κράτους μέλους. …

(Αιτιολογική σκέψη 46) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι απαραίτητη για την προστασία συμφέροντος ουσιώδους για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει καταρχήν να λαμβάνει χώρα μόνο όταν η επεξεργασία προδήλως δεν μπορεί να βασιστεί σε άλλη νομική βάση. …

(Αιτιολογική σκέψη 47) Τα έννομα συμφέροντα ενός υπευθύνου επεξεργασίας, συμπεριλαμβανομένων εκείνων του υπευθύνου επεξεργασίας στον οποίο ενδέχεται να κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, ή τρίτου μέρους, μπορούν να αποτελέσουν νομική βάση για την επεξεργασία, εκτός εάν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, λαμβανομένων υπόψη των εύλογων προσδοκιών των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. …

(Αιτιολογική σκέψη 48) Οι υπεύθυνοι επεξεργασίας που αποτελούν μέρος ενός ομίλου εταιρειών ή εγκαταστάσεων που συνδέονται με έναν κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου εταιρειών για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν πελάτες ή υπαλλήλους. …

(Αιτιολογική σκέψη 49) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στον βαθμό που είναι απολύτως απαραίτητος και αναλογικός για τον σκοπό της διασφάλισης της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή συστήματος πληροφοριών να αντέχει, σε ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία συμβάντα ή παράνομες ή κακόβουλες ενέργειες που θέτουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα και την εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται ή μεταδίδονται, καθώς και την ασφάλεια των σχετικών υπηρεσιών που προσφέρονται ή καθίστανται προσβάσιμες μέσω τέτοιων δικτύων και συστημάτων, από δημόσιες αρχές, Ομάδες Αντιμετώπισης Έκτακτης Ανάγκης σε Υπολογιστές (CERT), Ομάδες Αντιμετώπισης Συμβάντων Ασφάλειας Υπολογιστών (CSIRT), παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του εν λόγω υπευθύνου επεξεργασίας. Αυτό θα μπορούσε να περιλαμβάνει, για παράδειγμα, την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και τη διανομή κακόβουλου κώδικα, καθώς και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα υπολογιστών και ηλεκτρονικών επικοινωνιών.

(Αιτιολογική σκέψη 50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς διαφορετικούς από εκείνους για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να επιτρέπεται μόνο εάν είναι συμβατή με τους σκοπούς για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα. …

Όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ή η επεξεργασία βασίζεται στο δίκαιο της Ένωσης ή του κράτους μέλους, το οποίο συνιστά απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για την επίτευξη, ιδίως, σημαντικών στόχων γενικού δημόσιου συμφέροντος, ο υπεύθυνος επεξεργασίας θα πρέπει να έχει τη δυνατότητα να διενεργεί περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα ανεξάρτητα από τη συμβατότητα των σκοπών. …

(Αιτιολογική σκέψη 51) Τα προσωπικά δεδομένα που είναι, εκ φύσεως, ιδιαίτερα ευαίσθητα από την άποψη των θεμελιωδών δικαιωμάτων και ελευθεριών χρήζουν ειδικής προστασίας, καθώς το πλαίσιο στο οποίο υποβάλλονται σε επεξεργασία θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα εν λόγω δικαιώματα και ελευθερίες. Τέτοια προσωπικά δεδομένα θα πρέπει να περιλαμβάνουν προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, με την προϋπόθεση ότι η χρήση του όρου «φυλετική καταγωγή» στον παρόντα κανονισμό δεν υπονοεί ότι η Ένωση υποστηρίζει θεωρίες περί ύπαρξης διακριτών ανθρώπινων φυλών. …

(Αιτιολογική σκέψη 52) Παρεκκλίσεις από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να επιτρέπονται όπου το δίκαιο της Ένωσης ή του κράτους μέλους το προβλέπει και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, όπου το απαιτεί το δημόσιο συμφέρον, συμπεριλαμβανομένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής προστασίας, συμπεριλαμβανομένων των συντάξεων, και για τους σκοπούς της ασφάλειας, της επιτήρησης της υγείας και της προειδοποίησης, της πρόληψης ή του ελέγχου μεταδοτικών ασθενειών και άλλων σοβαρών απειλών για την υγεία. …

(Αιτιολογική σκέψη 53) Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που χρήζουν υψηλότερης προστασίας θα πρέπει να υποβάλλονται σε επεξεργασία μόνο για σκοπούς που σχετίζονται με την υγεία, όπου είναι απαραίτητο για την επίτευξη των εν λόγω σκοπών προς το συμφέρον των ατόμων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης υπηρεσιών και συστημάτων υγείας ή κοινωνικής φροντίδας, συμπεριλαμβανομένης της επεξεργασίας από εθνικές αρχές διαχείρισης και κεντρικές αρχές υγείας τέτοιων δεδομένων, για τον σκοπό του ελέγχου ποιότητας, της ενημέρωσης των διαχειριστών και της γενικής εποπτείας, σε εθνικό και τοπικό επίπεδο, του συστήματος υγείας ή κοινωνικής φροντίδας και για τον σκοπό της διασφάλισης της συνέχειας της υγειονομικής ή κοινωνικής φροντίδας και της διασυνοριακής υγειονομικής περίθαλψης ή για σκοπούς υγειονομικής ασφάλειας, επιτήρησης και συναγερμού, ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, βάσει του δικαίου της Ένωσης ή του κράτους μέλους που πρέπει να ανταποκρίνεται σε στόχο δημόσιου συμφέροντος, καθώς και για μελέτες που διεξάγονται προς το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. …

(Αιτιολογική σκέψη 54) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων. … Η εν λόγω επεξεργασία δεδομένων που αφορούν την υγεία για λόγους δημόσιου συμφέροντος δεν θα πρέπει να οδηγεί σε επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές εταιρείες και τράπεζες.

(Αιτιολογική σκέψη 56) Όταν, στο πλαίσιο δραστηριοτήτων που σχετίζονται με τις εκλογές, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί από τα πολιτικά κόμματα να συλλέγουν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τις πολιτικές απόψεις ατόμων, η επεξεργασία των δεδομένων αυτών μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, υπό την προϋπόθεση ότι παρέχονται οι κατάλληλες εγγυήσεις.

(Αιτιολογική σκέψη 57) Εάν τα προσωπικά δεδομένα που επεξεργάζεται δεν του επιτρέπουν να ταυτοποιήσει ένα φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να υποχρεούται να λάβει πρόσθετες πληροφορίες για την ταυτοποίηση του υποκειμένου των δεδομένων αποκλειστικά και μόνο για τον σκοπό της συμμόρφωσης με διάταξη του παρόντος κανονισμού. Ωστόσο, ο υπεύθυνος επεξεργασίας δεν θα πρέπει να αρνείται πρόσθετες πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων προκειμένου να διευκολυνθεί η άσκηση των δικαιωμάτων του. Η ταυτοποίηση θα πρέπει να περιλαμβάνει την ψηφιακή ταυτοποίηση ενός υποκειμένου των δεδομένων, για παράδειγμα μέσω μηχανισμού επαλήθευσης ταυτότητας, όπως τα ίδια διαπιστευτήρια που χρησιμοποιούνται από το υποκείμενο των δεδομένων για να συνδεθεί στην ηλεκτρονική υπηρεσία που προσφέρεται από τον υπεύθυνο επεξεργασίας.

(Αιτιολογική σκέψη 58) Η αρχή της διαφάνειας απαιτεί κάθε πληροφορία που απευθύνεται στο κοινό ή στο υποκείμενο των δεδομένων να είναι συνοπτική, εύκολα προσβάσιμη και κατανοητή, να διατυπώνεται με σαφή και απλό τρόπο και, επιπλέον, όπου είναι σκόπιμο, να απεικονίζεται με οπτικά στοιχεία. Τέτοιες πληροφορίες θα μπορούσαν να παρέχονται σε ηλεκτρονική μορφή, για παράδειγμα μέσω ιστότοπου όταν απευθύνονται στο κοινό. … Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, όλες οι πληροφορίες και οι επικοινωνίες, όταν η επεξεργασία τα αφορά, θα πρέπει να συντάσσονται με σαφή και απλό τρόπο που το παιδί να μπορεί εύκολα να κατανοήσει.

(Αιτιολογική σκέψη 59) Θα πρέπει να προβλεφθούν ρυθμίσεις για τη διευκόλυνση της άσκησης από το υποκείμενο των δεδομένων των δικαιωμάτων του βάσει του παρόντος κανονισμού, συμπεριλαμβανομένων μέσων για την υποβολή αιτήματος και, κατά περίπτωση, για την απόκτηση δωρεάν, ιδίως, πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, καθώς και για τη διόρθωση ή τη διαγραφή τους, καθώς και για την άσκηση δικαιώματος αντίταξης. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει μέσα για την υποβολή αιτημάτων με ηλεκτρονικά μέσα, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία ηλεκτρονικά. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά στα αιτήματα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός και να αιτιολογεί την απάντησή του σε περίπτωση που προτίθεται να μην συμμορφωθεί με τα εν λόγω αιτήματα.

(Αιτιολογική σκέψη 60) Η αρχή της δίκαιης και διαφανούς επεξεργασίας απαιτεί να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε άλλη πληροφορία που είναι απαραίτητη για να διασφαλιστεί η δίκαιη και διαφανής επεξεργασία, λαμβάνοντας υπόψη τις συγκεκριμένες περιστάσεις και το πλαίσιο στο οποίο υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα. Επιπλέον, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για την ύπαρξη κατάρτισης προφίλ και για τις συνέπειές της. Όταν συλλέγονται δεδομένα προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, είναι σημαντικό το υποκείμενο των δεδομένων να γνωρίζει επίσης εάν υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες της μη παροχής τους. …

(Αιτιολογική σκέψη 61) Οι πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων θα πρέπει να παρέχονται σε αυτό κατά τη στιγμή της συλλογής των δεδομένων προσωπικού χαρακτήρα από αυτό ή, εάν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από άλλη πηγή, εντός εύλογου χρονικού διαστήματος ανάλογα με τις περιστάσεις κάθε περίπτωσης. Όταν τα δεδομένα προσωπικού χαρακτήρα μπορούν νόμιμα να κοινοποιηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για τον χρόνο κατά τον οποίο τα δεδομένα προσωπικού χαρακτήρα κοινοποιούνται για πρώτη φορά στον εν λόγω αποδέκτη. …

(Αιτιολογική σκέψη 62) Ωστόσο, δεν είναι απαραίτητο να επιβληθεί υποχρέωση παροχής πληροφοριών όταν το υποκείμενο των δεδομένων διαθέτει ήδη αυτές τις πληροφορίες, όταν η καταγραφή ή η κοινοποίηση δεδομένων προσωπικού χαρακτήρα προβλέπεται ρητά από τον νόμο ή όταν η παροχή πληροφοριών στο υποκείμενο των δεδομένων αποδεικνύεται αδύνατη ή θα απαιτούσε δυσανάλογη προσπάθεια. …

(Αιτιολογική σκέψη 63) Ένα υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα πρόσβασης στα προσωπικά δεδομένα που συλλέγονται για αυτό και να ασκεί αυτό το δικαίωμα εύκολα και σε εύλογα χρονικά διαστήματα, προκειμένου να γνωρίζει την επεξεργασία και να επαληθεύει τη νομιμότητά της. Αυτό περιλαμβάνει το δικαίωμα των υποκειμένων των δεδομένων να έχουν πρόσβαση σε δεδομένα που αφορούν την υγεία τους, για παράδειγμα δεδομένα από τα ιατρικά τους αρχεία που περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, γνωματεύσεις θεράπων ιατρών και οποιαδήποτε θεραπεία ή παρέμβαση που χορηγείται. Συνεπώς, κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να ενημερώνεται, ιδίως, για τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων, ει δυνατόν, τη διάρκεια της επεξεργασίας αυτών των προσωπικών δεδομένων, την ταυτότητα των αποδεκτών αυτών των προσωπικών δεδομένων, τη λογική που εμπλέκεται σε οποιαδήποτε αυτοματοποιημένη επεξεργασία και τις πιθανές συνέπειες αυτής της επεξεργασίας, τουλάχιστον στην περίπτωση της κατάρτισης προφίλ. …

(Αιτιολογική σκέψη 64) Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει όλα τα εύλογα μέτρα για την επαλήθευση της ταυτότητας ενός υποκειμένου των δεδομένων που ζητά πρόσβαση σε δεδομένα, ιδίως στο πλαίσιο διαδικτυακών υπηρεσιών και αναγνωριστικών στοιχείων. Ο υπεύθυνος επεξεργασίας δεν θα πρέπει να διατηρεί δεδομένα προσωπικού χαρακτήρα με μοναδικό σκοπό να είναι σε θέση να απαντά σε πιθανά αιτήματα.

(Αιτιολογική σκέψη 65) Τα υποκείμενα των δεδομένων θα πρέπει να έχουν το δικαίωμα διόρθωσης των προσωπικών δεδομένων που τα αφορούν και το «δικαίωμα στη λήθη» όταν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Συγκεκριμένα, τα υποκείμενα των δεδομένων θα πρέπει να έχουν το δικαίωμα διαγραφής των προσωπικών τους δεδομένων και μη πλέον επεξεργασίας τους, όταν τα εν λόγω προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε επεξεργασία, όταν τα υποκείμενα των δεδομένων έχουν ανακαλέσει τη συγκατάθεσή τους για την επεξεργασία ή αντιτίθενται στην επεξεργασία των προσωπικών δεδομένων που τα αφορούν ή όταν η επεξεργασία των προσωπικών τους δεδομένων είναι ασυμβίβαστη με τον παρόντα κανονισμό. Το δικαίωμα αυτό ισχύει, ιδίως, όταν το υποκείμενο των δεδομένων έδωσε τη συγκατάθεσή του όταν ήταν παιδί και δεν γνώριζε πλήρως τους κινδύνους που ενέχει η επεξεργασία και στη συνέχεια επιθυμεί τη διαγραφή αυτών των προσωπικών δεδομένων, ιδίως στο διαδίκτυο. …

(Αιτιολογική σκέψη 66) Προκειμένου να ενισχυθεί το ψηφιακό «δικαίωμα στη λήθη», το δικαίωμα διαγραφής θα πρέπει επίσης να επεκταθεί, έτσι ώστε ο υπεύθυνος επεξεργασίας που δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού χαρακτήρα ότι τυχόν σύνδεσμοι προς τα εν λόγω δεδομένα ή αντίγραφα ή αναπαραγωγές τους θα πρέπει να διαγραφούν. …

(Αιτιολογική σκέψη 67) Οι μέθοδοι για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την προσωρινή μεταφορά επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, την μη προσβασιμότητα επιλεγμένων δεδομένων προσωπικού χαρακτήρα στους χρήστες ή την προσωρινή αφαίρεση δημοσιευμένων δεδομένων από έναν ιστότοπο. Στα αυτοματοποιημένα συστήματα αρχειοθέτησης, ο περιορισμός της επεξεργασίας θα πρέπει καταρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην υπόκεινται σε περαιτέρω εργασίες επεξεργασίας και να μην μπορούν να τροποποιηθούν. Το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπόκειται σε περιορισμούς θα πρέπει να αναφέρεται σαφώς στο σύστημα αρχειοθέτησης.

(Αιτιολογική σκέψη 68) Για την περαιτέρω ενίσχυση του ελέγχου τους επί των δεδομένων τους, τα υποκείμενα των δεδομένων θα πρέπει επίσης να έχουν το δικαίωμα, όταν τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, να λαμβάνουν τα προσωπικά δεδομένα που τα αφορούν και τα οποία έχουν παράσχει σε έναν υπεύθυνο επεξεργασίας, σε δομημένη, κοινώς χρησιμοποιούμενη, μηχαναγνώσιμη και διαλειτουργική μορφή και να διαβιβάζουν τα δεδομένα αυτά σε άλλον υπεύθυνο επεξεργασίας. Οι υπεύθυνοι επεξεργασίας θα πρέπει να ενθαρρύνονται να αναπτύσσουν διαλειτουργικές μορφές που επιτρέπουν τη φορητότητα των δεδομένων. …

(Αιτιολογική σκέψη 69) Όταν τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε νόμιμη επεξεργασία επειδή η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας ή λόγω των έννομων συμφερόντων του υπεύθυνου επεξεργασίας ή τρίτου, τα υποκείμενα των δεδομένων θα πρέπει παρόλα αυτά να έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία οποιωνδήποτε δεδομένων προσωπικού χαρακτήρα που σχετίζονται με την ιδιαίτερη κατάστασή τους. Το βάρος της απόδειξης ότι τα επιτακτικά έννομα συμφέροντά τους υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων θα πρέπει να βαρύνει τον υπεύθυνο επεξεργασίας.

(Αιτιολογική σκέψη 70) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς άμεσου μάρκετινγκ, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή και δωρεάν στην εν λόγω επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ στο βαθμό που σχετίζεται με το εν λόγω άμεσο μάρκετινγκ, είτε για την αρχική επεξεργασία είτε για περαιτέρω επεξεργασία. …

(Αιτιολογική σκέψη 71) Το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να μην υπόκειται σε απόφαση, η οποία μπορεί να περιλαμβάνει μέτρο, που αφορά την αξιολόγηση ορισμένων προσωπικών πτυχών που το αφορούν, η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία και παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζουν σημαντικά με παρόμοιο τρόπο, όπως η αυτόματη απόρριψη μιας ηλεκτρονικής αίτησης πίστωσης ή οι πρακτικές ηλεκτρονικής πρόσληψης χωρίς ανθρώπινη παρέμβαση. Αυτός ο τύπος επεξεργασίας περιλαμβάνει την «κατάρτιση προφίλ», η οποία συνίσταται σε οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση προσωπικών πτυχών που αφορούν ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση του υποκειμένου των δεδομένων στην εργασία, την οικονομική του κατάσταση, την υγεία του, τις προσωπικές του προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά του ή την τοποθεσία και τις κινήσεις του, εφόσον παράγει έννομα αποτελέσματα που αφορούν το υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. …

(Αιτιολογική σκέψη 73) Περιορισμοί σε ορισμένες συγκεκριμένες αρχές, καθώς και στο δικαίωμα ενημέρωσης, στο δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, στο δικαίωμα διόρθωσης ή διαγραφής των εν λόγω δεδομένων, στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα αντίρρησης, σε αποφάσεις που βασίζονται στην κατάρτιση προφίλ, καθώς και στην ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα σε υποκείμενο των δεδομένων και σε ορισμένες συναφείς υποχρεώσεις των υπευθύνων επεξεργασίας ενδέχεται να επιβάλλονται από το δίκαιο της Ένωσης ή του κράτους μέλους, …

(Αιτιολογική σκέψη 74) Είναι σκόπιμο να καθοριστεί η ευθύνη του υπευθύνου επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του. Συγκεκριμένα, είναι σημαντικό ο υπεύθυνος επεξεργασίας να υποχρεούται να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδείξει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. …

(Αιτιολογική σκέψη 75) Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, των οποίων η πιθανότητα και η σοβαρότητα ποικίλλουν, ενδέχεται να προκύψουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία είναι πιθανό να προκαλέσει σωματική, υλική ή ηθική βλάβη, ιδίως: όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κλοπή ή απάτη ταυτότητας, οικονομική ζημία, βλάβη της φήμης, απώλεια εμπιστευτικότητας δεδομένων που προστατεύονται από το επαγγελματικό απόρρητο, μη εξουσιοδοτημένη ανατροπή της διαδικασίας ψευδωνυμοποίησης ή οποιαδήποτε άλλη σημαντική οικονομική ή κοινωνική ζημία· όταν τα υποκείμενα των δεδομένων ενδέχεται να στερηθούν τα δικαιώματα και τις ελευθερίες τους ή να εμποδιστούν να ασκήσουν έλεγχο επί των προσωπικών τους δεδομένων· όταν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκεία ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστικές οργανώσεις, καθώς και γενετικά δεδομένα, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως στο πλαίσιο της ανάλυσης ή της πρόβλεψης στοιχείων που αφορούν την εργασιακή απόδοση, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, την τοποθεσία ή τις κινήσεις, με σκοπό τη δημιουργία ή τη χρήση ατομικών προφίλ· όταν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα που αφορούν ευάλωτα φυσικά πρόσωπα, ιδίως παιδιά· ή όταν η επεξεργασία αφορά μεγάλο όγκο δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.

(Αιτιολογική σκέψη 76) Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να προσδιορίζονται υπό το πρίσμα της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας. …

(Αιτιολογική σκέψη 78) Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτεί τη θέσπιση κατάλληλων τεχνικών και οργανωτικών μέτρων για να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού. Προκειμένου να είναι σε θέση να αποδείξει τη συμμόρφωση με τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίσει εσωτερικούς κανόνες και να εφαρμόσει μέτρα που σέβονται, ιδίως, τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα όπου είναι δυνατόν, τη διασφάλιση της διαφάνειας όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, την παροχή στο υποκείμενο των δεδομένων τη δυνατότητα να ελέγχει την επεξεργασία των δεδομένων, την παροχή στον υπεύθυνο επεξεργασίας τη δυνατότητα να εφαρμόζει ή να βελτιώνει χαρακτηριστικά ασφαλείας. Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκτέλεση των καθηκόντων τους, οι κατασκευαστές προϊόντων, οι πάροχοι υπηρεσιών και οι παραγωγοί εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη το δικαίωμα στην προστασία των δεδομένων κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών και, λαμβάνοντας δεόντως υπόψη την τρέχουσα κατάσταση της τεχνολογίας, να διασφαλίζουν ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους περί προστασίας δεδομένων. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στις δημόσιες συμβάσεις.

(Αιτιολογική σκέψη 79) Η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, καθώς και η ευθύνη των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, μεταξύ άλλων στο πλαίσιο της εποπτείας από τις εποπτικές αρχές και των μέτρων που λαμβάνονται από αυτές, απαιτεί σαφή κατανομή αρμοδιοτήτων βάσει του παρόντος κανονισμού, …

(Αιτιολογική σκέψη 80) Όταν ένας υπεύθυνος επεξεργασίας ή ένας επεξεργαστής μη εγκατεστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση και οι δραστηριότητες επεξεργασίας του σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε αυτά τα υποκείμενα των δεδομένων στην Ένωση, ανεξάρτητα από το εάν απαιτείται πληρωμή ή όχι, ή με την παρακολούθηση της συμπεριφοράς τους, στο βαθμό που λαμβάνει χώρα εντός της Ένωσης, ο υπεύθυνος επεξεργασίας ή ο επεξεργαστής θα πρέπει να ορίσει έναν εκπρόσωπο, εκτός εάν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει επεξεργασία, σε μεγάλη κλίμακα, ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα και είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας, ή εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή φορέας. Ο εκπρόσωπος θα πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας ή του επεξεργαστή και μπορεί να επικοινωνήσει μαζί του οποιαδήποτε εποπτική αρχή. Ο εκπρόσωπος θα πρέπει να ορίζεται ρητά με γραπτή εντολή από τον υπεύθυνο επεξεργασίας ή τον επεξεργαστή να ενεργεί για λογαριασμό του σε σχέση με τις υποχρεώσεις του βάσει του παρόντος κανονισμού. Ο ορισμός του εν λόγω εκπροσώπου δεν θίγει τις ευθύνες του υπευθύνου επεξεργασίας ή του επεξεργαστή βάσει του παρόντος κανονισμού. …

(Αιτιολογική σκέψη 81) Προκειμένου να διασφαλιστεί ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού στο πλαίσιο της επεξεργασίας που εκτελείται από έναν εκτελούντα την επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας, όταν ο τελευταίος αναθέτει δραστηριότητες επεξεργασίας σε έναν εκτελούντα την επεξεργασία, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο επεξεργαστές που παρέχουν επαρκείς εγγυήσεις, ιδίως όσον αφορά τις εξειδικευμένες γνώσεις, την αξιοπιστία και τους πόρους, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα πληρούν τις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένης της ασφάλειας της επεξεργασίας. …

(Αιτιολογική σκέψη 82) Προκειμένου να αποδειχθεί η συμμόρφωση με τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να τηρεί αρχεία των δραστηριοτήτων επεξεργασίας που εμπίπτουν στην αρμοδιότητά του. …

(Αιτιολογική σκέψη 83) Προκειμένου να διασφαλιστεί η ασφάλεια και να αποτραπεί η επεξεργασία κατά παράβαση του παρόντος κανονισμού, είναι σημαντικό ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία να αξιολογεί τους κινδύνους που ενυπάρχουν στην επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό τους, όπως η κρυπτογράφηση. Τα μέτρα αυτά θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, συμπεριλαμβανομένης της εμπιστευτικότητας, λαμβάνοντας υπόψη την τρέχουσα κατάσταση και το κόστος εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατεύονται. …

(Αιτιολογική σκέψη 84) Προκειμένου να διασφαλιστεί καλύτερα η συμμόρφωση με τον παρόντα κανονισμό, όταν οι πράξεις επεξεργασίας είναι πιθανό να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι υπεύθυνος για τη διενέργεια εκτίμησης επιπτώσεων στην προστασία δεδομένων, προκειμένου να αξιολογηθεί, ιδίως, η προέλευση, η φύση, η εξειδίκευση και η σοβαρότητα του εν λόγω κινδύνου. Το αποτέλεσμα της εν λόγω εκτίμησης θα πρέπει να λαμβάνεται υπόψη κατά τον καθορισμό των κατάλληλων μέτρων που αποδεικνύουν ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα συμμορφώνεται με τον παρόντα κανονισμό. Όταν η εκτίμηση επιπτώσεων στην προστασία δεδομένων δείχνει ότι οι πράξεις επεξεργασίας δεδομένων ενέχουν υψηλό κίνδυνο, ο οποίος δεν μπορεί να μετριαστεί από τον υπεύθυνο επεξεργασίας με τη λήψη κατάλληλων μέτρων, λαμβάνοντας υπόψη τις διαθέσιμες τεχνικές και το κόστος που σχετίζεται με την εφαρμογή τους, θα πρέπει να ζητείται η γνώμη της εποπτικής αρχής πριν από την πραγματοποίηση της επεξεργασίας.

(Αιτιολογική σκέψη 85) Μια παραβίαση προσωπικών δεδομένων μπορεί, εάν δεν ληφθούν έγκαιρα και κατάλληλα μέτρα, να προκαλέσει σωματική, υλική ή ηθική βλάβη στα εμπλεκόμενα φυσικά πρόσωπα, όπως απώλεια ελέγχου επί των προσωπικών τους δεδομένων ή περιορισμό των δικαιωμάτων τους, διακρίσεις, κλοπή ή απάτη ταυτότητας, οικονομική ζημία, μη εξουσιοδοτημένη ανατροπή της διαδικασίας ψευδωνυμοποίησης, βλάβη στη φήμη, απώλεια εμπιστευτικότητας προσωπικών δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή άλλη σημαντική οικονομική ή κοινωνική ζημία. Συνεπώς, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί παραβίαση προσωπικών δεδομένων, θα πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, ει δυνατόν, το αργότερο 72 ώρες από την αντιμετώπισή της, εκτός εάν μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η εν λόγω παραβίαση είναι απίθανο να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν η εν λόγω ειδοποίηση δεν μπορεί να δοθεί εντός της προθεσμίας των 72 ωρών, η ειδοποίηση θα πρέπει να συνοδεύεται από τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση.

(Αιτιολογική σκέψη 86) Ο υπεύθυνος επεξεργασίας θα πρέπει να ειδοποιεί το υποκείμενο των δεδομένων για παραβίαση δεδομένων προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, ώστε το υποκείμενο των δεδομένων να μπορεί να λάβει τις κατάλληλες προφυλάξεις. …

(Αιτιολογική σκέψη 87) Θα πρέπει να επαληθεύεται εάν έχουν εφαρμοστεί όλες οι κατάλληλες τεχνικές και οργανωτικές δικλείδες ασφαλείας για να διαπιστωθεί άμεσα εάν έχει σημειωθεί παραβίαση προσωπικών δεδομένων και να ενημερωθεί άμεσα η εποπτική αρχή και το υποκείμενο των δεδομένων. …

(Αιτιολογική σκέψη 91) Αυτό θα πρέπει να ισχύει ιδίως για πράξεις επεξεργασίας μεγάλης κλίμακας που αποσκοπούν στην επεξεργασία σημαντικής ποσότητας δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, οι οποίες ενδέχεται να επηρεάσουν σημαντικό αριθμό υποκειμένων των δεδομένων και οι οποίες είναι πιθανό να οδηγήσουν σε υψηλό κίνδυνο, για παράδειγμα, λόγω της ευαισθησίας τους, όταν, σύμφωνα με την τρέχουσα κατάσταση της τεχνολογίας, εφαρμόζεται μια νέα τεχνική σε μεγάλη κλίμακα, καθώς και για άλλες πράξεις επεξεργασίας που οδηγούν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως όταν, ως αποτέλεσμα τέτοιων πράξεων, είναι πιο δύσκολο για τα υποκείμενα των δεδομένων να ασκήσουν τα δικαιώματά τους. Θα πρέπει επίσης να διενεργείται εκτίμηση επιπτώσεων στην προστασία δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με σκοπό τη λήψη αποφάσεων που αφορούν συγκεκριμένα φυσικά πρόσωπα, μετά από συστηματική και εις βάθος αξιολόγηση των προσωπικών πτυχών που αφορούν συγκεκριμένα τα φυσικά πρόσωπα, βάσει της δημιουργίας προφίλ αυτών των δεδομένων ή μετά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, βιομετρικών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας. …

(Αιτιολογική σκέψη 92) Υπάρχουν περιπτώσεις στις οποίες μπορεί να είναι εύλογο και οικονομικά αποδοτικό να διευρυνθεί το πεδίο εφαρμογής της εκτίμησης επιπτώσεων στην προστασία δεδομένων πέρα από ένα μόνο έργο, για παράδειγμα όταν οι δημόσιες αρχές ή οι δημόσιοι φορείς σκοπεύουν να εφαρμόσουν μια κοινή εφαρμογή ή πλατφόρμα επεξεργασίας ή όταν διάφοροι υπεύθυνοι επεξεργασίας σκοπεύουν να δημιουργήσουν μια κοινή εφαρμογή ή περιβάλλον επεξεργασίας σε ολόκληρο τον τομέα ή επαγγελματικό τομέα ή για μια ευρέως χρησιμοποιούμενη διαλειτουργική δραστηριότητα.

(Αιτιολογική σκέψη 94) Όταν μια εκτίμηση επιπτώσεων στην προστασία δεδομένων δείχνει ότι, ελλείψει εγγυήσεων, μέτρων ασφαλείας και μηχανισμών μετριασμού του κινδύνου, η επεξεργασία θα μπορούσε να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ο υπεύθυνος επεξεργασίας είναι της γνώμης ότι ο κίνδυνος δεν μπορεί να μετριαστεί με εύλογα μέσα, λαμβάνοντας υπόψη την διαθέσιμη τεχνολογία και το κόστος εφαρμογής, θα πρέπει να ζητείται η γνώμη της εποπτικής αρχής πριν από την έναρξη των εργασιών επεξεργασίας. …

(Αιτιολογική σκέψη 97) Όταν η επεξεργασία διενεργείται από δημόσια αρχή, με εξαίρεση τα δικαστήρια ή τις ανεξάρτητες δικαστικές αρχές που ενεργούν υπό την δικαιοδοτική τους ιδιότητα, όταν, στον ιδιωτικό τομέα, διενεργείται από υπεύθυνο επεξεργασίας του οποίου οι βασικές δραστηριότητες συνίστανται σε πράξεις επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή όταν οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα, ένα άτομο με εξειδικευμένες γνώσεις στο δίκαιο και την πρακτική προστασίας δεδομένων θα πρέπει να βοηθά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην επαλήθευση της εσωτερικής συμμόρφωσης με τον παρόντα κανονισμό. …

(Αιτιολογική σκέψη 98) Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία θα πρέπει να ενθαρρύνονται να καταρτίζουν κώδικες δεοντολογίας, εντός των ορίων του παρόντος κανονισμού, ώστε να διευκολύνεται η ορθή εφαρμογή του, λαμβάνοντας υπόψη τις ιδιαιτερότητες της επεξεργασίας που διενεργείται σε ορισμένους τομείς και τις ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων. …

(Αιτιολογική σκέψη 101) Οι ροές δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός Ένωσης και διεθνείς οργανισμούς είναι απαραίτητες για την ανάπτυξη του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η αύξηση αυτών των ροών έχει δημιουργήσει νέες προκλήσεις και ανησυχίες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, είναι σημαντικό, όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας, εκτελούντες την επεξεργασία ή άλλους παραλήπτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς, να μην υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που κατοχυρώνεται στην Ένωση από τον παρόντα κανονισμό, συμπεριλαμβανομένης της περίπτωσης περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην ίδια ή διαφορετική τρίτη χώρα ή σε άλλο διεθνή οργανισμό. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες και σε διεθνείς οργανισμούς μπορούν να πραγματοποιούνται μόνο σε πλήρη συμμόρφωση με τον παρόντα κανονισμό. …

(Αιτιολογική σκέψη 103) Η Επιτροπή μπορεί να αποφασίσει, με ισχύ σε ολόκληρη την Ένωση, ότι μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός τρίτης χώρας ή ένας διεθνής οργανισμός προσφέρει επαρκές επίπεδο προστασίας δεδομένων, διασφαλίζοντας έτσι την ασφάλεια δικαίου και την ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά την τρίτη χώρα ή τον διεθνή οργανισμό που θεωρείται ότι προσφέρει τέτοιο επίπεδο προστασίας. Στην περίπτωση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς την εν λόγω τρίτη χώρα ή τον διεθνή οργανισμό μπορούν να πραγματοποιηθούν χωρίς να χρειάζεται περαιτέρω άδεια. …

(Αιτιολογική σκέψη 104) Έχοντας υπόψη τις θεμελιώδεις αξίες στις οποίες βασίζεται η Ένωση, ιδίως την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή θα πρέπει, κατά την αξιολόγηση μιας τρίτης χώρας, ενός εδάφους ή ενός συγκεκριμένου τομέα εντός τρίτης χώρας, να λαμβάνει υπόψη τον τρόπο με τον οποίο μια συγκεκριμένη τρίτη χώρα σέβεται το κράτος δικαίου, διασφαλίζει την πρόσβαση στη δικαιοσύνη και τηρεί τους διεθνείς κανόνες και τα πρότυπα στον τομέα των ανθρωπίνων δικαιωμάτων, καθώς και τη γενική και τομεακή νομοθεσία της, συμπεριλαμβανομένης της νομοθεσίας για τη δημόσια ασφάλεια, την άμυνα και την εθνική ασφάλεια, καθώς και τη δημόσια τάξη και το ποινικό δίκαιο. …

(Αιτιολογική σκέψη 105) Εκτός από τις διεθνείς δεσμεύσεις που έχει αναλάβει η τρίτη χώρα ή ο διεθνής οργανισμός, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τις υποχρεώσεις που απορρέουν από τη συμμετοχή της τρίτης χώρας ή του διεθνούς οργανισμού σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, και την εφαρμογή των εν λόγω υποχρεώσεων. Συγκεκριμένα, θα πρέπει να ληφθεί υπόψη η προσχώρηση της τρίτης χώρας στη Σύμβαση του Συμβουλίου της Ευρώπης της 28ης Ιανουαρίου 1981 για την προστασία των ατόμων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στο Πρόσθετο Πρωτόκολλό της. …

(Αιτιολογική σκέψη 108) Ελλείψει απόφασης περί επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λάβει μέτρα για να αντισταθμίσει την ανεπάρκεια της προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων για το υποκείμενο των δεδομένων. …

(Αιτιολογική σκέψη 109) Η δυνατότητα των υπευθύνων επεξεργασίας και των επεξεργαστών να χρησιμοποιούν τυποποιημένες ρήτρες προστασίας δεδομένων που έχουν θεσπιστεί από την Επιτροπή ή από εποπτική αρχή δεν θα πρέπει να τους εμποδίζει να συμπεριλάβουν τις εν λόγω ρήτρες σε μια ευρύτερη σύμβαση, όπως μια σύμβαση μεταξύ του επεξεργαστή και άλλου επεξεργαστή, ή να προσθέσουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό την προϋπόθεση ότι αυτές δεν έρχονται σε αντίθεση, άμεσα ή έμμεσα, με τις τυποποιημένες συμβατικές ρήτρες που έχουν θεσπιστεί από την Επιτροπή ή από εποπτική αρχή και δεν επηρεάζουν αρνητικά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. …

(Αιτιολογική σκέψη 110) Ένας όμιλος επιχειρήσεων ή ένας όμιλος επιχειρήσεων που ασκεί κοινή οικονομική δραστηριότητα θα πρέπει να μπορεί να χρησιμοποιεί εγκεκριμένους δεσμευτικούς εταιρικούς κανόνες για τις διεθνείς μεταφορές του από την Ένωση σε οντότητες του ίδιου ομίλου επιχειρήσεων ή του ίδιου ομίλου επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα, υπό την προϋπόθεση ότι οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν όλες τις βασικές αρχές και τα εκτελεστά δικαιώματα για τη διασφάλιση κατάλληλων εγγυήσεων για τις μεταφορές ή τις κατηγορίες μεταφορών δεδομένων προσωπικού χαρακτήρα.

(Αιτιολογική σκέψη 114) Σε κάθε περίπτωση, εάν η Επιτροπή δεν έχει λάβει θέση σχετικά με την επάρκεια του επιπέδου προστασίας δεδομένων σε τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να υιοθετήσει λύσεις που εγγυώνται στα υποκείμενα των δεδομένων εκτελεστά και αποτελεσματικά δικαιώματα όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων, έτσι ώστε τα εν λόγω υποκείμενα των δεδομένων να συνεχίσουν να επωφελούνται από τα θεμελιώδη δικαιώματα και τις εγγυήσεις.

(Αιτιολογική σκέψη 116) Όταν τα προσωπικά δεδομένα διασχίζουν τα εξωτερικά σύνορα της Ένωσης, αυτό μπορεί να αυξήσει τον κίνδυνο τα άτομα να μην είναι σε θέση να ασκήσουν τα δικαιώματά τους περί προστασίας των δεδομένων, ιδίως για να προστατευτούν από την παράνομη χρήση ή αποκάλυψη των εν λόγω πληροφοριών. … Συνεπώς, είναι απαραίτητο να ενισχυθεί η στενότερη συνεργασία μεταξύ των αρχών εποπτείας της προστασίας δεδομένων, ώστε να βοηθηθούν στην ανταλλαγή πληροφοριών και στη διεξαγωγή ερευνών με τους διεθνείς ομολόγους τους. …

(Αιτιολογική σκέψη 121) Οι γενικοί όροι που ισχύουν για το/τα μέλος/η της εποπτικής αρχής θα πρέπει να ορίζονται από τον νόμο σε κάθε κράτος μέλος και θα πρέπει να προβλέπουν ιδίως ότι τα εν λόγω μέλη διορίζονται, σύμφωνα με διαφανή διαδικασία, από το κοινοβούλιο, την κυβέρνηση ή τον αρχηγό του κράτους αυτού, κατόπιν πρότασης της κυβέρνησης ή μέλους της κυβέρνησης, ή από το κοινοβούλιο ή ένα σώμα κοινοβουλίου, ή από ανεξάρτητο φορέα στον οποίο έχει ανατεθεί το καθήκον αυτό βάσει του δικαίου ενός κράτους μέλους. …

(Αιτιολογική σκέψη 122) Κάθε εποπτική αρχή θα πρέπει να είναι αρμόδια στην επικράτεια του κράτους μέλους της να ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. …

(Αιτιολογική σκέψη 124) Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα λαμβάνει χώρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση και ο εν λόγω υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα από ένα κράτη μέλη, ή όταν η επεξεργασία που λαμβάνει χώρα στο πλαίσιο των δραστηριοτήτων μιας ενιαίας εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση επηρεάζει ουσιαστικά ή είναι πιθανό να επηρεάσει ουσιαστικά τα υποκείμενα των δεδομένων σε περισσότερα από ένα κράτη μέλη, η εποπτική αρχή που έχει δικαιοδοσία επί της κύριας ή ενιαίας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θα πρέπει να ενεργεί ως επικεφαλής αρχή. …

(Αιτιολογική σκέψη 125) Η επικεφαλής αρχή θα πρέπει να είναι αρμόδια να λαμβάνει δεσμευτικές αποφάσεις σχετικά με μέτρα για την εφαρμογή των εξουσιών που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Υπό την ιδιότητά της ως επικεφαλής αρχής, η εποπτική αρχή θα πρέπει να εμπλέκει στενά τις αρμόδιες εποπτικές αρχές στη διαδικασία λήψης αποφάσεων και να διασφαλίζει στενό συντονισμό στο πλαίσιο αυτό. …

(Αιτιολογική σκέψη 129) Προκειμένου να διασφαλιστεί η συνεπής εφαρμογή και παρακολούθηση του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν, σε κάθε κράτος μέλος, τα ίδια καθήκοντα και αποτελεσματικές εξουσίες, συμπεριλαμβανομένων των εξουσιών έρευνας, της εξουσίας λήψης διορθωτικών μέτρων και επιβολής κυρώσεων, καθώς και της εξουσίας έγκρισης και έκδοσης συμβουλευτικών γνωμοδοτήσεων, ιδίως στην περίπτωση καταγγελιών που υποβάλλονται από φυσικά πρόσωπα, και, με την επιφύλαξη των εξουσιών των διωκτικών αρχών βάσει του δικαίου των κρατών μελών, της εξουσίας να γνωστοποιούν στις δικαστικές αρχές παραβιάσεις του παρόντος κανονισμού και να λαμβάνουν νομικά μέτρα. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή μόνιμου περιορισμού στην επεξεργασία, συμπεριλαμβανομένης της απαγόρευσης. …

(Αιτιολογική σκέψη 130) Όταν η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία δεν είναι η επικεφαλής εποπτική αρχή, η επικεφαλής εποπτική αρχή θα πρέπει να συνεργάζεται στενά με την εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία σύμφωνα με τις διατάξεις περί συνεργασίας και συνέπειας που ορίζονται στον παρόντα κανονισμό. …

(Αιτιολογική σκέψη 137) Ενδέχεται να απαιτείται επείγουσα δράση για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, ιδίως όταν υπάρχει κίνδυνος να παρεμποδιστεί σημαντικά η άσκηση του δικαιώματος ενός υποκειμένου των δεδομένων. Συνεπώς, μια εποπτική αρχή θα πρέπει να είναι σε θέση να θεσπίζει, εντός της επικράτειάς της, προσωρινά μέτρα τα οποία είναι δεόντως δικαιολογημένα και έχουν συγκεκριμένη διάρκεια ισχύος η οποία δεν πρέπει να υπερβαίνει τους τρεις μήνες.

(Αιτιολογική σκέψη 138) Η εφαρμογή ενός τέτοιου μηχανισμού θα πρέπει να εξαρτάται από τη νομιμότητα ενός μέτρου που αποσκοπεί στην παραγωγή έννομων αποτελεσμάτων και λαμβάνεται από εποπτική αρχή σε περιπτώσεις όπου η εφαρμογή αυτή είναι υποχρεωτική. …

(Αιτιολογική σκέψη 141) Κάθε υποκείμενο δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνο εποπτική αρχή, ιδίως στο κράτος μέλος όπου έχει τη συνήθη διαμονή του, και το δικαίωμα αποτελεσματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εάν θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή εάν η εποπτική αρχή δεν ενεργήσει επί της καταγγελίας του, την απορρίψει ή την απορρίψει, εν όλω ή εν μέρει, ή παραλείψει να ενεργήσει όταν είναι απαραίτητη η λήψη μέτρων για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Η έρευνα μετά από καταγγελία θα πρέπει να διεξάγεται, υπό δικαστική εποπτεία, στον κατάλληλο βαθμό που απαιτείται από την εκάστοτε περίπτωση.

(Αιτιολογική σκέψη 142) Όταν ένα υποκείμενο δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε έναν μη κερδοσκοπικό φορέα, οργανισμό ή ένωση, που έχει συσταθεί σύμφωνα με το δίκαιο ενός κράτους μέλους, του οποίου οι καταστατικοί στόχοι είναι δημόσιου συμφέροντος και η οποία δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εκ μέρους του σε εποπτική αρχή, να ασκήσει το δικαίωμα δικαστικής προσφυγής εκ μέρους των υποκειμένων των δεδομένων ή, εάν προβλέπεται από το δίκαιο του κράτους μέλους, να ασκήσει το δικαίωμα αποζημίωσης εκ μέρους των υποκειμένων των δεδομένων. …

(Αιτιολογική σκέψη 143) Κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα να ασκήσει προσφυγή ακύρωσης των αποφάσεων της Επιτροπής ενώπιον του Δικαστηρίου, υπό τους όρους που ορίζονται στο άρθρο 263 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης. Μόλις λάβουν τις εν λόγω αποφάσεις, οι αρμόδιες εποπτικές αρχές που επιθυμούν να τις προσβάλουν οφείλουν να το πράξουν εντός δύο μηνών από την κοινοποίησή τους, σύμφωνα με το άρθρο 263 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης. …

Όταν μια καταγγελία έχει απορριφθεί ή έχει απορριφθεί από εποπτική αρχή, ο καταγγέλλων μπορεί να ασκήσει αγωγή ενώπιον των δικαστηρίων του ίδιου κράτους μέλους. …

(Αιτιολογική σκέψη 144) Όταν δικαστήριο που επιλαμβάνεται αγωγής κατά απόφασης που έχει ληφθεί από εποπτική αρχή έχει λόγους να πιστεύει ότι αγωγές που αφορούν την ίδια επεξεργασία, για παράδειγμα το ίδιο αντικείμενο, που διενεργείται από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, ή την ίδια αιτία αγωγής, ασκούνται ενώπιον αρμόδιου δικαστηρίου σε άλλο κράτος μέλος, θα πρέπει να επικοινωνήσει με το εν λόγω άλλο δικαστήριο προκειμένου να επιβεβαιώσει την ύπαρξη τέτοιων συναφών αγωγών. …

(Αιτιολογική σκέψη 145) Όσον αφορά τις αγωγές κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο αιτών θα πρέπει να μπορεί να επιλέξει να ασκήσει την αγωγή ενώπιον των δικαστηρίων των κρατών μελών στα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το υποκείμενο των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή κράτους μέλους που ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.

(Αιτιολογική σκέψη 146) Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αποζημιώνει κάθε ζημία που ενδέχεται να υποστεί ένα υποκείμενο των δεδομένων ως αποτέλεσμα επεξεργασίας που πραγματοποιείται κατά παράβαση του παρόντος κανονισμού. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσεται από την ευθύνη εάν αποδείξει ότι η ζημία δεν μπορεί να αποδοθεί σε αυτόν με κανέναν τρόπο. … Ωστόσο, όταν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία εμπλέκονται στην ίδια νομική διαδικασία, σύμφωνα με το δίκαιο ενός κράτους μέλους, η αποζημίωση μπορεί να κατανεμηθεί ανάλογα με το μερίδιο ευθύνης κάθε υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία για τη ζημία που προκλήθηκε από την επεξεργασία, υπό την προϋπόθεση ότι η ζημία που υπέστη το υποκείμενο των δεδομένων αποζημιώνεται πλήρως και αποτελεσματικά. …

(Αιτιολογική σκέψη 148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, θα πρέπει να επιβάλλονται κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, για κάθε παράβαση του παρόντος κανονισμού, επιπλέον ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση ήσσονος σημασίας παράβασης ή εάν το πρόστιμο που ενδέχεται να επιβληθεί θα επέβαλε δυσανάλογο βάρος σε ένα φυσικό πρόσωπο, μπορεί να εκδοθεί προειδοποίηση αντί προστίμου. Ωστόσο, θα πρέπει να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εκ προθέσεως χαρακτήρας της παράβασης και τα μέτρα που ελήφθησαν για τον μετριασμό της ζημίας που υπέστησαν, ο βαθμός ευθύνης ή τυχόν προηγούμενες σχετικές παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή έλαβε γνώση της παράβασης, η συμμόρφωση με τα μέτρα που διατάχθηκαν κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η εφαρμογή κώδικα δεοντολογίας και τυχόν άλλες επιβαρυντικές ή ελαφρυντικές περιστάσεις. Η εφαρμογή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις γενικές αρχές του δικαίου της Ένωσης και του Χάρτη, συμπεριλαμβανομένου του δικαιώματος σε αποτελεσματική δικαστική προστασία και σε δίκαιη δίκη.

(Αιτιολογική σκέψη 150) Προκειμένου να ενισχυθούν και να εναρμονιστούν οι διοικητικές κυρώσεις που επιβάλλονται σε παραβάσεις του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να ορίζει τις παραβάσεις, το μέγιστο ποσό και τα κριτήρια για τον καθορισμό των διοικητικών προστίμων στα οποία υπόκεινται, τα οποία θα πρέπει να ορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, λαμβάνοντας υπόψη όλα τα ειδικά χαρακτηριστικά κάθε περίπτωσης και λαμβάνοντας δεόντως υπόψη, ιδίως, τη φύση, τη σοβαρότητα και τη διάρκεια της παράβασης και τις συνέπειές της, καθώς και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. …

(Αιτιολογική σκέψη 152) Όταν ο παρών κανονισμός δεν εναρμονίζει τις διοικητικές κυρώσεις ή, όπου είναι απαραίτητο σε άλλες περιπτώσεις, για παράδειγμα σε περιπτώσεις σοβαρών παραβιάσεων του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να εφαρμόσουν ένα σύστημα που προβλέπει αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις. Η φύση αυτών των κυρώσεων, είτε ποινικές είτε διοικητικές, θα πρέπει να καθορίζεται από το δίκαιο των κρατών μελών.

(Αιτιολογική σκέψη 153) Η νομοθεσία των κρατών μελών θα πρέπει να συμβιβάζει τους κανόνες που διέπουν την ελευθερία έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της δημοσιογραφικής, ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα βάσει του παρόντος κανονισμού. Στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, θα πρέπει να προβλέπονται παρεκκλίσεις ή εξαιρέσεις από ορισμένες διατάξεις του παρόντος κανονισμού, εάν αυτό είναι απαραίτητο για τον συμβιβασμό του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη. …

(Αιτιολογική σκέψη 154) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού σε επίσημα έγγραφα κατά την εφαρμογή του. Η πρόσβαση του κοινού σε επίσημα έγγραφα μπορεί να θεωρηθεί ότι εξυπηρετεί το δημόσιο συμφέρον. …

(Αιτιολογική σκέψη 155) Η νομοθεσία των κρατών μελών ή οι συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εταιρικών συμβάσεων», μπορούν να προβλέπουν ειδικούς κανόνες για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων στο πλαίσιο εργασιακών σχέσεων, συμπεριλαμβανομένων των όρων υπό τους οποίους τα προσωπικά δεδομένα στο πλαίσιο εργασιακών σχέσεων μπορούν να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του εργαζομένου, για τους σκοπούς της πρόσληψης, της εκτέλεσης της σύμβασης εργασίας, συμπεριλαμβανομένης της συμμόρφωσης με τις υποχρεώσεις που ορίζονται από το νόμο ή από συλλογικές συμβάσεις, της διαχείρισης, του προγραμματισμού και της οργάνωσης της εργασίας, της ισότητας και της ποικιλομορφίας στον χώρο εργασίας, της υγείας και της ασφάλειας στην εργασία, και για τον σκοπό της άσκησης και της απόλαυσης των εργασιακών δικαιωμάτων και παροχών, ατομικά ή συλλογικά, καθώς και για τον σκοπό της λήξης της εργασιακής σχέσης.

(Αιτιολογική σκέψη 162) Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για στατιστικούς σκοπούς, ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην εν λόγω επεξεργασία. Το δίκαιο της Ένωσης ή του κράτους μέλους θα πρέπει, εντός των ορίων του παρόντος κανονισμού, να καθορίζει το στατιστικό περιεχόμενο, να ορίζει τον έλεγχο της πρόσβασης στα δεδομένα και να θεσπίζει ειδικές διατάξεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς σκοπούς και κατάλληλα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων και τη διατήρηση του στατιστικού απορρήτου. …

(Αιτιολογική σκέψη 163) Οι εμπιστευτικές πληροφορίες που συλλέγονται από τις στατιστικές αρχές της Ένωσης και των κρατών μελών με σκοπό την παραγωγή επίσημων ευρωπαϊκών και εθνικών στατιστικών θα πρέπει να προστατεύονται. …

(Αιτιολογική σκέψη 164) Όσον αφορά τις εξουσίες των εποπτικών αρχών να λαμβάνουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις τους, τα κράτη μέλη μπορούν, εντός των ορίων του παρόντος κανονισμού, να θεσπίζουν δια νόμου ειδικούς κανόνες για να διασφαλίζουν την υποχρέωση επαγγελματικού απορρήτου ή άλλες ισοδύναμες υποχρεώσεις απορρήτου, στο βαθμό που αυτό είναι απαραίτητο για τον συμβιβασμό του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα και της υποχρέωσης επαγγελματικού απορρήτου. …

 (Αιτιολογική σκέψη 166) Προκειμένου να επιτευχθούν οι στόχοι του παρόντος κανονισμού, δηλαδή η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, και η διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων αυτών εντός της Ένωσης, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Συγκεκριμένα, θα πρέπει να εκδοθούν κατ’ εξουσιοδότηση πράξεις σχετικά με τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης, τις πληροφορίες που πρέπει να παρουσιάζονται με τη μορφή τυποποιημένων εικονιδίων και τις διαδικασίες για την παροχή τέτοιων εικονιδίων. …

(Αιτιολογική σκέψη 168) Δεδομένου του γενικού πεδίου εφαρμογής των εν λόγω πράξεων, η διαδικασία εξέτασης θα πρέπει να χρησιμοποιείται για την έκδοση εκτελεστικών πράξεων σε σχέση με τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία και μεταξύ επεξεργαστών· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· …

(Αιτιολογική σκέψη 170) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και η ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας ή των αποτελεσμάτων της δράσης, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση μπορεί να λάβει μέτρα, …