98Α.-(1) Τηρουμένων των διατάξεων του εδαφίου (1) του άρθρου 98, ο παροχέας δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαμβάνει, εν ανάγκη από κοινού με τον παροχέα του δημόσιου δικτύου επικοινωνιών καθόσον αφορά την ασφάλεια του δικτύου, τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα, προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του. Λαμβανομένων υπόψη των πλέον πρόσφατων τεχνικών δυνατοτήτων και του κόστους εφαρμογής τους, τα μέτρα αυτά πρέπει να κατοχυρώνουν επίπεδο ασφάλειας ανάλογο προς τον υπάρχοντα κίνδυνο.
(2) Τηρουμένων των διατάξεων του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, τα μέτρα που αναφέρονται στο εδάφιο (1) του παρόντος άρθρου, θα πρέπει τουλάχιστον:
(α) να εξασφαλίζουν ότι πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να έχει μόνο εξουσιοδοτημένο προσωπικό για αυστηρά νομίμως εγκεκριμένους σκοπούς·
(β) να προστατεύουν τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και από μη εγκεκριμένη ή παράνομη αποθήκευση, επεξεργασία, πρόσβαση ή δημοσιοποίηση·και
(γ) να διασφαλίζουν την εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(3) [Διαγράφηκε].
(4) (α) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα ο παροχέας δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών γνωστοποιεί χωρίς καθυστέρηση την παραβίαση στον Επίτροπο. Η γνωστοποίηση περιλαμβάνει τα ακόλουθα στοιχεία:
(i) τις συνθήκες κάτω από τις οποίες συνέβηκε το γεγονός καθώς και τη φύση της παράβασης,
(ii) σημείο επαφής του παροχέα,
(iii) προτεινόμενα μέτρα για το μετριασμό των δυσμενών αποτελεσμάτων της παραβίασης,
(iv) τις συνέπειες της παραβίασης,
(v) τα διορθωτικά μέτρα, τα οποία ο παροχέας λαμβάνει για την αντιμετώπιση της παραβίασης.
(β) Σε περίπτωση που η παραβίαση που αναφέρεται στο εδάφιο (4α) ενδέχεται να επηρεάσει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή και την ιδιωτική ζωή ενός συνδρομητή ή ενός ατόμου, ο παροχέας οφείλει να γνωστοποιήσει χωρίς καθυστέρηση στον επηρεαζόμενο συνδρομητή ή στο επηρεαζόμενο άτομο, τουλάχιστο τη φύση της παραβίασης και τα σημεία επαφής όπου μπορούν να αποκτηθούν περισσότερες πληροφορίες. Οφείλει, επίσης, να προτείνει μέτρα για το μετριασμό ενδεχόμενων δυσμενών αποτελεσμάτων της παραβίασης. Εάν ο παροχέας δεν προχωρήσει στη σχετική γνωστοποίηση στο συνδρομητή ή επηρεαζόμενο άτομο, ο Επίτροπος με τη σύμφωνη γνώμη του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αφού εξετάσει τις πιθανές επιπτώσεις της παραβίασης μπορεί να ζητήσει να γίνει η σχετική γνωστοποίηση. Η γνωστοποίηση στο συνδρομητή ή άτομο που επηρεάζεται δεν είναι αναγκαία σε περίπτωση που ο παροχέας αποδείξει, με τρόπο που ικανοποιεί τον Επίτροπο, ότι έλαβε τα κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα που αφορούσε η παραβίαση. Αυτά τα τεχνολογικά μέτρα προστασίας θα πρέπει να καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε δεν είναι εξουσιοδοτημένος να έχει πρόσβαση σε αυτά.
(γ) Οι διαδικασίες, το περιεχόμενο και η μορφή των προβλεπόμενων στις παραγράφους (α) και (β) του παρόντος εδαφίου γνωστοποιήσεων, καθώς και οι περιστάσεις κατά τις οποίες απαιτούνται από τον παροχέα οι γνωστοποιήσεις, καθώς και οποιαδήποτε άλλα σχετικά στοιχεία ρυθμίζονται με Διάταγμα που εκδίδει ο Επίτροπος ύστερα από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η ρύθμιση συγκεκριμένα των περιστάσεων κατά τις οποίες απαιτείται από τον παροχέα να προβεί σε γνωστοποιήσεις γίνεται με την επιφύλαξη τυχόν οδηγιών που θα έχουν εκδοθεί δυνάμει του εδαφίου (5) του παρόντος άρθρου.
(5) Με την επιφύλαξη τυχόν τεχνικών εκτελεστικών μέτρων που θεσπίζονται από την Ευρωπαϊκή Επιτροπή, ο Επίτροπος από κοινού με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορούν να καθορίζουν κατευθυντήριες γραμμές και, όπου είναι απαραίτητο, να εκδίδουν οδηγίες σχετικά με τις περιστάσεις κατά τις οποίες απαιτούνται από τον παροχέα οι γνωστοποιήσεις των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, καθώς και τον τρόπο με τον οποίο πρέπει να γίνονται οι γνωστοποιήσεις αυτές. Σε περίπτωση διαπίστωσης παραβίασης της υποχρέωσης γνωστοποίησης σύμφωνα με το παρόν άρθρο, ο Επίτροπος δυνάμει του παρόντος Νόμου και ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δυνάμει του παρόντος Νόμου, του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμου, του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, δύνανται να επιβάλλουν ανάλογες και κατάλληλες κυρώσεις.
(6) Οι παροχείς τηρούν αρχείο παραβιάσεων δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει την περιγραφή των σχετικών περιστατικών, τα αποτελέσματά τους και τα διορθωτικά μέτρα που έχουν ληφθεί, σε επίπεδο που να επιτρέπει στον Επίτροπο και στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να διαπιστώσουν, σύμφωνα με τις αρμοδιότητες τους, τη συμμόρφωση με τις διατάξεις του εδαφίου (4). Το αρχείο περιλαμβάνει μόνον τις πληροφορίες που απαιτούνται προς το σκοπό αυτό.
(7) Για τις ενέργειες που γίνονται δυνάμει των εδαφίων (3) μέχρι (6) ο Επίτροπος ζητά και λαμβάνει υπόψη τη γνώμη του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εφόσον εξετάζει το ενδεχόμενο παραβίασης της ασφάλειας δεδομένων προσωπικού χαρακτήρα, βάση διαδικασίας που δυνατό να καθοριστεί με Διάταγμα.