Ο κανονισμός για την προστασία των δεδομένων καθορίζει τα δικαιώματα των φυσικών προσώπων, καθώς και τις υποχρεώσεις των προσώπων που επεξεργάζονται και εκείνων που είναι υπεύθυνα για την επεξεργασία των δεδομένων.
Το κεντρικό στοιχείο της μεταρρυθμιστικής δέσμης για την προστασία των δεδομένων είναι ο γενικός κανονισμός για την προστασία των δεδομένων. Ο κανονισμός αυτός επικαιροποιεί και εκσυγχρονίζει τις αρχές που θεσπίστηκαν με την οδηγία του 1995 για την προστασία των δεδομένων. Καθορίζει τα δικαιώματα των φυσικών προσώπων και τις υποχρεώσεις όσων εκτελούν την επεξεργασία, καθώς και όσων είναι υπεύθυνοι για την επεξεργασία των δεδομένων. Καθορίζει επίσης τις μεθόδους για την εξασφάλιση της συμμόρφωσης καθώς και τις κυρώσεις για όσους παραβιάζουν τους κανόνες.
Στις 24 Μαΐου 2016, ετέθη σε ισχύ ο γενικός κανονισμός για την προστασία των δεδομένων. Ο κανονισμός θα αρχίσει να εφαρμόζεται στις 25 Μαΐου 2018.
Αναλυτικότερα
Στον κανονισμό εξετάζονται διάφορα θεμελιώδη ζητήματα.
Δικαιώματα των υποκειμένων των δεδομένων
Απαριθμεί τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του προσώπου του οποίου τα προσωπικά δεδομένα υπόκεινται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα φυσικά πρόσωπα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:
- της υποχρέωσης να υπάρχει σαφής συγκατάθεση του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων
- ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα
- του δικαιώματος διόρθωσης, διαγραφής και «λήθης»
- του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»
- του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο
Θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων.
Συμμόρφωση
Ο κανονισμός περιγράφει αναλυτικά τις γενικές υποχρεώσεις των υπεύθυνων επεξεργασίας και όσων εκτελούν την επεξεργασία των προσωπικών δεδομένων για λογαριασμό των υπευθύνων (εκτελούντες την επεξεργασία). Σ' αυτές περιλαμβάνεται η υποχρέωση εφαρμογής κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον συνεπάγονται οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν (προσέγγιση με γνώμονα τον κίνδυνο). Οι υπεύθυνοι επεξεργασίας υποχρεούνται επίσης, σε ορισμένες περιπτώσεις, να γνωστοποιούν τυχόν κρούσματα παραβίασης δεδομένων προσωπικού χαρακτήρα. Όλες οι δημόσιες αρχές και οι εταιρείες που εκτελούν ορισμένες πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει επίσης να διορίζουν υπεύθυνο προστασίας δεδομένων.
Παρακολούθηση και αποζημίωση
Το σχέδιο κανονισμού επιβεβαιώνει την υποχρέωση των κρατών μελών να ορίζουν ανεξάρτητη εποπτική αρχή σε εθνικό επίπεδο. Προβλέπει επίσης τη δημιουργία μηχανισμών, ώστε να εξασφαλίζεται η ομοιόμορφη εφαρμογή της νομοθεσίας για την προστασία των δεδομένων στο σύνολο της ΕΕ. Ειδικότερα, σε σημαντικές διασυνοριακές υποθέσεις όπου εμπλέκονται διάφορες εθνικές εποπτικές αρχές, λαμβάνεται μία και μόνη εποπτική απόφαση. Η αρχή αυτή, η οποία είναι γνωστή ως υπηρεσία μίας στάσης, σημαίνει ότι μια εταιρεία με θυγατρικές σε διάφορα κράτη μέλη θα συνομιλεί μόνον με την αρχή προστασίας δεδομένων στο κράτος μέλος της κύριας έδρας της.
Η συμφωνία προβλέπει επίσης τη σύσταση Ευρωπαϊκού Συμβουλίου Προστασίας των Δεδομένων. Το Συμβούλιο αυτό θα περιλαμβάνει εκπροσώπους από το σύνολο των 28 ανεξάρτητων εποπτικών αρχών και θα αντικαταστήσει την υφιστάμενη επιτροπή του άρθρου 29.
Ο κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή, καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση. Προκειμένου να εξασφαλιστεί για τα φυσικά πρόσωπα η εγγύτητα στις αποφάσεις που τα αφορούν, τα υποκείμενα των δεδομένων θα έχουν το δικαίωμα να ζητούν επανεξέταση κάθε απόφασης της δικής τους αρχής προστασίας των δεδομένων από δικαστήριο της χώρας τους. Αυτό δε ανεξάρτητα από το κράτος μέλος στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας των δεδομένων.
Προβλέπονται πολύ αυστηρές κυρώσεις για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που παραβιάζουν τους κανόνες προστασίας των δεδομένων. Στους υπευθύνους επεξεργασίας των δεδομένων μπορεί να επιβληθεί πρόστιμο έως και 20 εκατ. ευρώ ή 4% του συνολικού ετήσιου κύκλου εργασιών τους. Αυτές οι διοικητικές κυρώσεις θα επιβάλλονται από τις εθνικές αρχές προστασίας δεδομένων.
Διαβιβάσεις σε τρίτες χώρες
Ο κανονισμός καλύπτει επίσης τη διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες και διεθνείς οργανισμούς. Για τον σκοπό αυτόν, αναθέτει στην Επιτροπή να αξιολογήσει το επίπεδο προστασίας που παρέχει ένα έδαφος ή ένας τομέας επεξεργασίας σε τρίτη χώρα. Εάν η Επιτροπή δεν έχει αποφανθεί σχετικά με την επάρκεια του επιπέδου προστασίας σε ένα έδαφος ή έναν τομέα, η διαβίβαση προσωπικών δεδομένων μπορεί να πραγματοποιηθεί μόνον σε ειδικές περιπτώσεις ή εφόσον προσφέρονται κατάλληλες διασφαλίσεις (τυποποιημένες ρήτρες προστασίας δεδομένων, δεσμευτικοί εταιρικοί κανόνες, συμβατικές ρήτρες).
Χρονολόγιο των διαδικασιών στα πλαίσια του Συμβουλίου
2018
25 Μαΐου
Ο γενικός κανονισμός για την προστασία των δεδομένων τίθεται σε εφαρμογή.
2016
24 Μαΐου
Ο κανονισμός τίθεται σε ισχύ, 20 ημέρες μετά τη δημοσίευσή του στην Επίσημη Εφημερίδα της ΕΕ.
8 Απριλίου
Το Συμβούλιο εγκρίνει τη θέση του σε πρώτη ανάγνωση.
2015
18 Δεκεμβρίου
Το Συμβούλιο επιβεβαιώνει τη συμφωνία με το Ευρωπαϊκό Κοινοβούλιο.
15 Ιουνίου
Το Συμβούλιο καταλήγει σε συμφωνία ως προς το κείμενο και αναθέτει εντολή στην Προεδρία να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο.