In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure. The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council ( 1 ), namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies. Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation.

Προκειμένου να διασφαλιστεί ένα συνεπές επίπεδο προστασίας για τα φυσικά πρόσωπα σε ολόκληρη την Ένωση και να αποτραπεί Οι αποκλίσεις που παρεμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς, είναι απαραίτητος ένας κανονισμός να παρέχει ασφάλεια δικαίου και διαφάνεια για τους οικονομικούς φορείς, συμπεριλαμβανομένων των πολύ μικρών, μικρών και μεσαίων επιχειρήσεις και να παρέχει σε φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεις και ευθύνες για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία, για τη διασφάλιση της συνεπούς παρακολούθησης των επεξεργασία δεδομένων προσωπικού χαρακτήρα και ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη καθώς και αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διαφόρων κρατών μελών. Η εύρυθμη λειτουργία της εσωτερικής αγοράς απαιτεί να μην περιορίζεται ή να απαγορεύεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης για λόγους συνδέονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να λάβουν υπόψη της ειδικής κατάστασης των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμοί με λιγότερους από 250 υπαλλήλους όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα της Ένωσης και οι φορείς, και τα κράτη μέλη και οι εποπτικές αρχές τους, ενθαρρύνονται να λαμβάνουν υπόψη τις συγκεκριμένες ανάγκες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού.Η έννοια του μικρού, Οι μικρές και μεσαίες επιχειρήσεις θα πρέπει να αντλήσουν από το άρθρο 2 του παραρτήματος της σύστασης της Επιτροπής 2003/361/ΕΚ Οι ελεγκτές που αποτελούν μέρος μιας ομάδας επιχειρήσεων ή ιδρυμάτων που συνδέονται με έναν κεντρικό φορέα μπορεί να έχουν α έννομο συμφέρον για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερική διοικητική σκοπούς, συμπεριλαμβανομένης της επεξεργασίας προσωπικών δεδομένων πελατών ή εργαζομένων. Οι γενικές αρχές για τη μεταφορά προσωπικών δεδομένων, εντός ομίλου επιχειρήσεων, σε επιχείρηση που βρίσκεται σε τρίτη χώρα παραμένουν ανεπηρέαστα. Η παρέκκλιση από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να επιτρέπεται όταν προβλέπονται από το δίκαιο της Ένωσης ή του κράτους μέλους και υπόκεινται σε κατάλληλες διασφαλίσεις, ώστε να προστατεύονται τα προσωπικά δεδομένα και άλλα θεμελιώδη δικαιώματα, όπου είναι προς το δημόσιο συμφέρον, ιδίως η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής προστασίας, συμπεριλαμβανομένων των συντάξεων και της ασφάλειας υγείας, της παρακολούθησης και της επαγρύπνησης την πρόληψη ή τον έλεγχο μεταδοτικών ασθενειών και άλλων σοβαρών απειλών για την υγεία.Τοσο μπορεί να γίνει παρέκκλιση για λόγους υγείας, συμπεριλαμβανομένης της δημόσιας υγείας και της διαχείρισης της υγειονομικής περίθαλψης υπηρεσίες, ιδίως προκειμένου να διασφαλιστεί η ποιότητα και η σχέση κόστους-αποτελεσματικότητας των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό των απαιτήσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας, ή για σκοπούς αρχειοθέτησης δημοσίου συμφέροντος, επιστημονικά ή σκοπούς ιστορικής έρευνας ή στατιστικούς σκοπούς. Μια παρέκκλιση θα πρέπει επίσης να επιτρέπει την επεξεργασία τέτοιων προσωπικά δεδομένα, όπου είναι απαραίτητο για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων, είτε στο δικαστήριο διαδικασία ή σε διοικητική ή εξώδικη διαδικασία. Η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων μπορεί να είναι απαραίτητη για λόγους δημοσίου συμφέροντος στις περιοχές δημόσιας υγείας χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων. Η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλη και ειδική μέτρα για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων.Σε αυτό το πλαίσιο, η «δημόσια υγεία» θα πρέπει να είναι ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 1 ), συγκεκριμένα όλα τα στοιχεία που σχετίζονται με την υγεία, δηλαδή η κατάσταση της υγείας, συμπεριλαμβανομένης της νοσηρότητας και της αναπηρίας, οι καθοριστικοί παράγοντες που επηρεάζουν την κατάσταση της υγείας, τις ανάγκες υγειονομικής περίθαλψης, τους πόρους που διατίθενται για την υγειονομική περίθαλψη, την παροχή και καθολική πρόσβαση στην υγειονομική περίθαλψη καθώς και δαπάνες και χρηματοδότηση υγειονομικής περίθαλψης, καθώς και τα αίτια της θνησιμότητας. Τέτοιος η επεξεργασία δεδομένων που αφορούν την υγεία για λόγους δημοσίου συμφέροντος δεν θα πρέπει να οδηγεί σε δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές και τραπεζικές εταιρείες.Όταν η επεξεργασία πραγματοποιείται από δημόσια αρχή, εκτός από δικαστήρια ή ανεξάρτητες δικαστικές αρχές όταν ενεργούν υπό τη δικαστική τους ιδιότητα, όπου στον ιδιωτικό τομέα η επεξεργασία διενεργείται από υπεύθυνο επεξεργασίας του οποίου Οι βασικές δραστηριότητες συνίστανται σε διαδικασίες επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή όπου οι βασικές δραστηριότητες του ελεγκτή ή του επεξεργαστή συνίστανται στην επεξεργασία σε μεγάλο κλίμακα ειδικών κατηγοριών προσωπικών δεδομένων και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα, πρόσωπο με Η εξειδικευμένη γνώση της νομοθεσίας και των πρακτικών προστασίας δεδομένων θα πρέπει να βοηθά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να παρακολουθεί εσωτερικής συμμόρφωσης με τον παρόντα κανονισμό.