97.-(1) Σκοπός του παρόντος Μέρους είναι:
(α) η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών, και ιδίως του δικαιώματος στην ιδιωτική ζωή και την εμπιστευτικότητα, όσον αφορά στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα αναφορικά με την παροχή των διαθέσιμων στο κοινό υπηρεσιών επικοινωνιών σε δίκτυα ηλεκτρονικών επικοινωνιών, περιλαμβανομένων των δημόσιων δικτύων που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης· και
(β) [Διαγράφηκε].
(2) Το παρόν Μέρος εφαρμόζεται:
(α) στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στην παροχή διαθέσιμων στο κοινό υπηρεσιών επικοινωνιών σε δίκτυα ηλεκτρονικών επικοινωνιών, περιλαμβανομένων των δημόσιων δικτύων που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης· και
(β) [Διαγράφηκε].
- Ιστορικό Τροποποιήσεων
- 112(I)/2004
- 51(I)/2012
- 90(I)/2020
98Α.-(1) Τηρουμένων των διατάξεων του εδαφίου (1) του άρθρου 98, ο παροχέας δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαμβάνει, εν ανάγκη από κοινού με τον παροχέα του δημόσιου δικτύου επικοινωνιών καθόσον αφορά την ασφάλεια του δικτύου, τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα, προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του. Λαμβανομένων υπόψη των πλέον πρόσφατων τεχνικών δυνατοτήτων και του κόστους εφαρμογής τους, τα μέτρα αυτά πρέπει να κατοχυρώνουν επίπεδο ασφάλειας ανάλογο προς τον υπάρχοντα κίνδυνο.
(2) Τηρουμένων των διατάξεων του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, τα μέτρα που αναφέρονται στο εδάφιο (1) του παρόντος άρθρου, θα πρέπει τουλάχιστον:
(α) να εξασφαλίζουν ότι πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να έχει μόνο εξουσιοδοτημένο προσωπικό για αυστηρά νομίμως εγκεκριμένους σκοπούς·
(β) να προστατεύουν τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και από μη εγκεκριμένη ή παράνομη αποθήκευση, επεξεργασία, πρόσβαση ή δημοσιοποίηση·και
(γ) να διασφαλίζουν την εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(3) [Διαγράφηκε].
(4) (α) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα ο παροχέας δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών γνωστοποιεί χωρίς καθυστέρηση την παραβίαση στον Επίτροπο. Η γνωστοποίηση περιλαμβάνει τα ακόλουθα στοιχεία:
(i) τις συνθήκες κάτω από τις οποίες συνέβηκε το γεγονός καθώς και τη φύση της παράβασης,
(ii) σημείο επαφής του παροχέα,
(iii) προτεινόμενα μέτρα για το μετριασμό των δυσμενών αποτελεσμάτων της παραβίασης,
(iv) τις συνέπειες της παραβίασης,
(v) τα διορθωτικά μέτρα, τα οποία ο παροχέας λαμβάνει για την αντιμετώπιση της παραβίασης.
(β) Σε περίπτωση που η παραβίαση που αναφέρεται στο εδάφιο (4α) ενδέχεται να επηρεάσει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή και την ιδιωτική ζωή ενός συνδρομητή ή ενός ατόμου, ο παροχέας οφείλει να γνωστοποιήσει χωρίς καθυστέρηση στον επηρεαζόμενο συνδρομητή ή στο επηρεαζόμενο άτομο, τουλάχιστο τη φύση της παραβίασης και τα σημεία επαφής όπου μπορούν να αποκτηθούν περισσότερες πληροφορίες. Οφείλει, επίσης, να προτείνει μέτρα για το μετριασμό ενδεχόμενων δυσμενών αποτελεσμάτων της παραβίασης. Εάν ο παροχέας δεν προχωρήσει στη σχετική γνωστοποίηση στο συνδρομητή ή επηρεαζόμενο άτομο, ο Επίτροπος με τη σύμφωνη γνώμη του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αφού εξετάσει τις πιθανές επιπτώσεις της παραβίασης μπορεί να ζητήσει να γίνει η σχετική γνωστοποίηση. Η γνωστοποίηση στο συνδρομητή ή άτομο που επηρεάζεται δεν είναι αναγκαία σε περίπτωση που ο παροχέας αποδείξει, με τρόπο που ικανοποιεί τον Επίτροπο, ότι έλαβε τα κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα που αφορούσε η παραβίαση. Αυτά τα τεχνολογικά μέτρα προστασίας θα πρέπει να καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε δεν είναι εξουσιοδοτημένος να έχει πρόσβαση σε αυτά.
(γ) Οι διαδικασίες, το περιεχόμενο και η μορφή των προβλεπόμενων στις παραγράφους (α) και (β) του παρόντος εδαφίου γνωστοποιήσεων, καθώς και οι περιστάσεις κατά τις οποίες απαιτούνται από τον παροχέα οι γνωστοποιήσεις, καθώς και οποιαδήποτε άλλα σχετικά στοιχεία ρυθμίζονται με Διάταγμα που εκδίδει ο Επίτροπος ύστερα από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η ρύθμιση συγκεκριμένα των περιστάσεων κατά τις οποίες απαιτείται από τον παροχέα να προβεί σε γνωστοποιήσεις γίνεται με την επιφύλαξη τυχόν οδηγιών που θα έχουν εκδοθεί δυνάμει του εδαφίου (5) του παρόντος άρθρου.
(5) Με την επιφύλαξη τυχόν τεχνικών εκτελεστικών μέτρων που θεσπίζονται από την Ευρωπαϊκή Επιτροπή, ο Επίτροπος από κοινού με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορούν να καθορίζουν κατευθυντήριες γραμμές και, όπου είναι απαραίτητο, να εκδίδουν οδηγίες σχετικά με τις περιστάσεις κατά τις οποίες απαιτούνται από τον παροχέα οι γνωστοποιήσεις των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, καθώς και τον τρόπο με τον οποίο πρέπει να γίνονται οι γνωστοποιήσεις αυτές. Σε περίπτωση διαπίστωσης παραβίασης της υποχρέωσης γνωστοποίησης σύμφωνα με το παρόν άρθρο, ο Επίτροπος δυνάμει του παρόντος Νόμου και ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δυνάμει του παρόντος Νόμου, του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμου, του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, δύνανται να επιβάλλουν ανάλογες και κατάλληλες κυρώσεις.
(6) Οι παροχείς τηρούν αρχείο παραβιάσεων δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει την περιγραφή των σχετικών περιστατικών, τα αποτελέσματά τους και τα διορθωτικά μέτρα που έχουν ληφθεί, σε επίπεδο που να επιτρέπει στον Επίτροπο και στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να διαπιστώσουν, σύμφωνα με τις αρμοδιότητες τους, τη συμμόρφωση με τις διατάξεις του εδαφίου (4). Το αρχείο περιλαμβάνει μόνον τις πληροφορίες που απαιτούνται προς το σκοπό αυτό.
(7) Για τις ενέργειες που γίνονται δυνάμει των εδαφίων (3) μέχρι (6) ο Επίτροπος ζητά και λαμβάνει υπόψη τη γνώμη του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εφόσον εξετάζει το ενδεχόμενο παραβίασης της ασφάλειας δεδομένων προσωπικού χαρακτήρα, βάση διαδικασίας που δυνατό να καθοριστεί με Διάταγμα.
99.-(1) Τόσο οι παροχείς δημόσια διαθέσιμων δικτύων και/ή υπηρεσιών ηλεκτρονικών επικοινωνιών, όσο και οι εργαζόμενοι σε αυτούς, θα λαμβάνουν όλα τα δέοντα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν το απόρρητο οποιασδήποτε επικοινωνίας που διενεργείται μέσω δικτύου ηλεκτρονικών επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών καθώς και των συναφών δεδομένων κίνησης.
(2) Ουδείς, πέραν των εκάστοτε επικοινωνούντων μεταξύ τους χρηστών, επιτρέπεται να ακούει, υποκλέπτει, , αποθηκεύει, παρεμβαίνει ή/και να προβαίνει σε οποιαδήποτε άλλη μορφή παρακολούθησης επικοινωνιών και των συναφών δεδομένων κίνησης χωρίς την συγκατάθεση των σχετικών χρηστών, εκτός στην έκταση που προβλέπεται διαφορετικά στο εδάφιο (3).
(3) Στις περιστάσεις που προβλέπονται από το Νόμο και με άδεια Δικαστηρίου, δύναται να υπάρξει παρέμβαση σε επικοινωνίες.
(4) Οι διατάξεις του εδαφίου (2), δεν θα επηρεάζουν οποιαδήποτε επιτρεπόμενη από το νόμο καταγραφή συνδιαλέξεων και των συναφών δεδομένων κίνησης στα πλαίσια νόμιμης επαγγελματικής πρακτικής, με σκοπό την εξασφάλιση αποδεικτικών στοιχείων κάποιας εμπορικής συναλλαγής και/ή οποιασδήποτε άλλης επικοινωνίας επαγγελματικού χαρακτήρα.
(5) Η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του, μεταξύ άλλων για το σκοπό της επεξεργασίας:
100.-(1) Τα δεδομένα κίνησης που αφορούν συνδρομητές και χρήστες, τα οποία υποβάλλονται σε επεξεργασία για την πραγματοποίηση κλήσεων και αποθηκεύονται από πρόσωπα, δέον όπως απαλείφονται ή καθίστανται ανώνυμα κατά τη λήξη της κλήσης, όταν δεν είναι πλέον απαραίτητα για τη μετάδοση, εξαιρουμένων των περιπτώσεων που αναφέρονται στην παράγραφο (α) πιο κάτω:
(α) για σκοπούς χρέωσης των συνδρομητών και πληρωμής των διασυνδέσεων, οπόταν και επιτρέπεται να υποβάλλονται σε επεξεργασία τα ακόλουθα δεδομένα:
(i) ο αριθμός της ταυτότητας της συσκευής του συνδρομητή,
(ii) η διεύθυνση του συνδρομητή και ο τύπος της συσκευής,
(iii) ο συνολικός αριθμός των προς χρέωση μονάδων για τη λογιστική περίοδο,
(iv) ο αριθμός του καλούμενου συνδρομητή,
(v) ο τύπος, ο χρόνος έναρξης και η διάρκεια των κλήσεων που πραγματοποιήθηκαν ή, και ο όγκος των διαβιβασθέντων δεδομένων,
(vi) η ημερομηνία της κλήσης/υπηρεσίας,
(vii) διάφορες άλλες πληροφορίες όσον αφορά την πληρωμή, όπως προκαταβολές, πληρωμές με δόσεις, αποσύνδεση και υπομνηστικές επιστολές,
Η επεξεργασία των πιο πάνω δεδομένων επιτρέπεται μόνο ως το τέλος της περιόδου εντός της οποίας μπορεί να αμφισβητηθεί νομίμως ο λογαριασμός ή να επιδιωχθεί η πληρωμή του,
(β) υπό τον όρο ότι και ο συνδρομητής ή ο χρήστης συγκατατίθενται, τα δεδομένα που αναφέρονται στην παράγραφο (α), δύνανται να τύχουν επεξεργασίας από πρόσωπο για σκοπούς εμπορικής προώθησης των υπηρεσιών ηλεκτρονικών επικοινωνιών του τελευταίου ή για την παροχή υπηρεσιών προστιθέμενης αξίας. Ο συνδρομητής ή χρήστης έχει την δυνατότητα να ανακαλεί τη συγκατάθεση του για την επεξεργασία δεδομένων κίνησης οποτεδήποτε.
(2)(α) Οποιαδήποτε επεξεργασία δεδομένων κίνησης και χρέωσης θα περιορίζεται σε πρόσωπα που ενεργούν υπό την εποπτεία των προσώπων και τα οποία είτε διαχειρίζονται την χρέωση και/ή κίνηση, την ανίχνευση απάτης και/ή την προώθηση υπηρεσιών Ηλεκτρονικών Επικοινωνιών ή την παροχή υπηρεσιών προστιθέμενης αξίας.
(β) Για την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών ή για την παροχή υπηρεσιών προστιθέμενης αξίας, ο παροχέας δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών μπορεί να επεξεργάζεται τα δεδομένα που αναφέρονται στην παράγραφο (α) στην έκταση και για τη διάρκεια που απαιτείται γι’ αυτή την υπηρεσία ή την εμπορική προώθηση, εφόσον ο συνδρομητής ή ο χρήστης τον οποίο αφορούν έχει προηγουμένως δώσει τη συγκατάθεσή του. Στους χρήστες ή συνδρομητές πρέπει να δίνεται η δυνατότητα να ανακαλούν οποτεδήποτε τη συγκατάθεσή τους για την επεξεργασία των δεδομένων κίνησης.
(γ) Παρά τις διατάξεις της παραγράφου (β) πιο πάνω, ο Επίτροπος και ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δύνανται να απαιτήσουν από πρόσωπα να τους παρέχουν οποιαδήποτε σχετική πληροφορία για τα δεδομένα κίνησης που έχουν ή θα έχουν, για σκοπούς άσκησης των καθηκόντων και αρμοδιοτήτων ως προς τον έλεγχο της συμμόρφωσης των εν λόγω οργανισμών με την παράγραφο(α) και (β) του εδαφίου (1) αντίστοιχα.
(3) Οι συνδρομητές έχουν το δικαίωμα να λαμβάνουν μη αναλυτικούς λογαριασμούς. Ο Επίτροπος, μετά από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθορίζει με διάταγμα τους εναλλακτικούς τρόπους επικοινωνίας των καλούντων χρηστών και των καλούμενων συνδρομητών, προκειμένου να συμβιβάσει τα αντίστοιχα δικαιώματά τους περί προστασίας της ιδιωτικής ζωής.
101. (1). Σε περίπτωση όπου δεδομένα θέσης πέραν των δεδομένων κίνησης, δύνανται να υποστούν επεξεργασία, τα δεδομένα αυτά θα τυγχάνουν επεξεργασίας μόνο όταν γίνουν ανώνυμα, ή με την ρητή συγκατάθεση των χρηστών ή συνδρομητών στην έκταση και για την διάρκεια που είναι αναγκαία για την παροχή υπηρεσίας προστιθέμενης αξίας. Ο παροχέας υπηρεσιών πρέπει να ενημερώνει τους χρήστες ή συνδρομητές, πριν πάρει την συγκατάθεσή τους, για τον τύπο των δεδομένων θέσης που πρόκειται να τύχουν επεξεργασίας, για τον σκοπό και την διάρκεια της επεξεργασίας και για το εάν τα δεδομένα θα μεταδοθούν σε τρίτο για τον σκοπό παροχής υπηρεσίας προστιθέμενης αξίας. Οι χρήστες ή συνδρομητές θα έχουν την δυνατότητα να ανακαλούν την συγκατάθεσή τους για την επεξεργασία δεδομένων θέσης πέραν των δεδομένων κίνησης οποιαδήποτε στιγμή.
(2) Σε περίπτωση όπου έχει δοθεί η συγκατάθεση των χρηστών ή συνδρομητών για την επεξεργασία δεδομένων θέσης εκτός των δεδομένων κίνησης, ο χρήστης ή συνδρομητής πρέπει να συνεχίζει να έχει την δυνατότητα, με την χρήση απλών μέσων και χω ρίς χρέωση, της προσωρινής άρνησης της επεξεργασίας τέτοιων δεδομένων για κάθε σύνδεση στο δίκτυο ή για κάθε μετάδοση επικοινωνίας.
(3) Επεξεργασία δεδομένων θέσης εκτός των δεδομένων κίνησης σύμφωνα με τα εδάφια (1) και (2) του παρόντος άρθρου, πρέπει να περιορίζεται σε πρόσωπα που ενεργούν υπό την εποπτεία του παροχέα του δικτύου ηλεκτρονικών επικοινωνιών ή διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών ή του τρίτου μέρους που παρέχει την υπηρεσία προστιθέμενης αξίας, και πρέπει να περιορίζεται σε ότι είναι απολύτως απαραίτητο μέρος προς τον σκοπό παροχής της υπηρεσίας προστιθέμενης αξίας.
- Ιστορικό Τροποποιήσεων
- 51(I)/2012
- 23(I)/2022
102.-(1) Όταν παρέχεται ένδειξη ταυτότητας της καλούσας γραμμής, ο καλών χρήστης θα έχει την δυνατότητα με απλά μέσα και ατελώς, να εμποδίζει αυτή τη λειτουργία ανά κλήση. Ο καλών συνδρομητής θα έχει τη δυνατότητα αυτή ανά γραμμή.
(2) Όταν παρέχεται ένδειξη ταυτότητας της καλούσας γραμμής, ο καλούμενος συνδρομητής, θα έχει την δυνατότητα με απλά μέσα και ατελώς εφόσον κάνει περιορισμένη χρήση αυτής της λειτουργίας, να εμποδίζει την ένδειξη ταυτότητας της καλούσας γραμμής για τις εισερχόμενες κλήσεις.
(3) ΄Οταν παρέχεται ένδειξη ταυτότητας της καλούσας γραμμής και η ένδειξη αυτή γίνεται πριν από την αποκατάσταση της κλήσης ο καλούμενος συνδρομητής θα έχει τη δυνατότητα, με απλά μέσα, να μην δέχεται την εισερχόμενη κλήση όταν ο καλών χρήστης ή συνδρομητής δεν έχει επιτρέψει την ένδειξη της ταυτότητας της καλούσας γραμμής.
(4) Όταν παρέχεται ένδειξη ταυτότητας της συνδεδεμένης γραμμής, ο καλούμενος συνδρομητής θα έχει τη δυνατότητα να απαλείφει, με απλά μέσα και ατελώς, την ένδειξη της ταυτότητας της συνδεδεμένης γραμμής στον καλούντα χρήστη.
(5) Οι διατάξεις του εδαφίου (1) εφαρμόζονται και καθ’ όσον αφορά κλήσεις από την Κύπρο προς άλλες χώρες, εκτός των χωρών μελών της Ευρωπαϊκής Ένωσης και οι διατάξεις των εδαφίων (2), (3) και (4) εφαρμόζονται και για εισερχόμενες κλήσεις που προέρχονται από άλλες χώρες εκτός των χωρών της Ευρωπαϊκής Ένωσης.
(6)΄Οταν παρέχεται ένδειξη της ταυτότητας καλούσας ή/και συνδεδεμένης γραμμής, τα πρόσωπα ενημερώνουν το κοινό σχετικά, όπως επίσης και για τις δυνατότητες που ορίζονται στα εδάφια (1), (2), (3), (4) και (5).
103.-(1) Ο Επίτροπος θα διασφαλίζει ότι υπάρχουν διαφανείς διαδικασίες που διέπουν τον τρόπο με τον οποίο ο παροχέας σταθερού και κινητού δικτύου ή/και υπηρεσιών Ηλεκτρονικών Επικοινωνιών μπορεί να εξουδετερώνει την δυνατότητα -
(α) της μη αναγραφής της καλούσας γραμμής επί προσωρινής βάσης, κατόπιν αιτήσεως συνδρομητή που ζητεί τον εντοπισμό κακόβουλων ή ενοχλητικών κλήσεων, οπόταν τα δεδομένα που περιέχουν την αναγνώριση της ταυτότητας του καλούντος συνδρομητή αποθηκεύονται και είναι διαθέσιμα από το Πρόσωπο σε πρόσωπα, τα οποία κατονομάζονται από τον Επίτροπο, και
(β) της απάλειψης της ένδειξης της ταυτότητας της καλούσας γραμμής και της προσωρινής άρνησης ή έλλειψης συγκατάθεσης ενός συνδρομητή ή χρήστη για την επεξεργασία δεδομένων θέσης ανά γραμμή, για καθορισμένα πρόσωπα που ασχολούνται με τις κλήσεις άμεσης επέμβασης, όπως οι αστυνομικές αρχές, οι υπηρεσίες πρώτων βοηθειών και οι πυροσβεστικές υπηρεσίες, έτσι ώστε να εξασφαλίζεται ότι οι κλήσεις προς τις υπηρεσίες άμεσης επέμβασης απαντώνται και διεκπεραιώνονται δεόντως.
104. Δέον όπως παρέχεται σε συνδρομητές ατελώς και με απλά μέσα, η δυνατότητα να σταματούν την αυτόματη προώθηση κλήσεων στην τερματική συσκευή τους από τρίτους.
105.-(1) Δεδομένα προσωπικού χαρακτήρα που περιέχονται σε έντυπους ή ηλεκτρονικούς καταλόγους συνδρομητών, τα οποία βρίσκονται στη διάθεση του κοινού και/ή μπορούν να ληφθούν μέσω των υπηρεσιών πληροφοριών καταλόγου, δέον όπως περιορίζονται σε ό,τι είναι απαραίτητο για την αναγνώριση της ταυτότητας συγκεκριμένου συνδρομητή, εκτός εάν ο συνδρομητής έχει δώσει την πρόσθετη συγκατάθεσή του για την δημοσίευση συμπληρωματικών δεδομένων προσωπικού χαρακτήρα.
(1Α) Οι παροχείς υπηρεσιών τηλεφωνικού καταλόγου οφείλουν να ενημερώνουν τους συνδρομητές ατελώς και πριν οι συνδρομητές περιληφθούν στον κατάλογο, σχετικά με τους σκοπούς έντυπων ή ηλεκτρονικών καταλόγων συνδρομητών που διατίθενται στο κοινό ή μπορεί να αποκτηθούν μέσω υπηρεσιών πληροφοριών καταλόγου, στους οποίους μπορεί να περιλαμβάνονται τα προσωπικά τους δεδομένα, καθώς και σχετικά με τις περαιτέρω δυνατότητες χρήσης που βασίζονται σε λειτουργίες αναζήτησης ενσωματωμένες σε ηλεκτρονικές εκδόσεις καταλόγων.
(2) Οι παροχείς υπηρεσιών τηλεφωνικού καταλόγου παρέχουν στους συνδρομητές την ευκαιρία να καθορίζουν ατελώς οι ίδιοι εάν και ποια προσωπικά τους δεδομένα θα περιλαμβάνονται σε καταλόγους που διατίθενται στο κοινό, δεδομένου ότι σε κάθε περίπτωση περιλαμβάνονται τουλάχιστον τα απαραίτητα για την αναγνώριση της ταυτότητας τους στοιχεία, και στο βαθμό που αυτά είναι συναφή με τους σκοπούς του καταλόγου, όπως αυτοί καθορίζονται από τους παροχείς υπηρεσιών καταλόγου. Οι συνδρομητές δύνανται να ζητούν και επιτυγχάνουν ατελώς, την επαλήθευση, διόρθωση ή απόσυρση των προσωπικών τους δεδομένων από τους καταλόγους.
(3) Οι παροχείς υπηρεσιών τηλεφωνικού καταλόγου λαμβάνουν την πρόσθετη συγκατάθεση των συνδρομητών:
(α) πριν από κάθε προσθήκη προσωπικών τους δεδομένων στους τηλεφωνικούς καταλόγους, και
(β) πριν από τη διάθεση ή χρήση τηλεφωνικών καταλόγων για υπηρεσίες αντίστροφης ή βάσει πολλαπλών κριτηρίων αναζήτησης.
(3Α) Χωρίς επηρεασμό των δικαιωμάτων των συνδρομητών αναφορικά με μεταγενέστερες εκδόσεις τηλεφωνικών καταλόγων, οι διατάξεις των εδαφίων (1), (1Α), (2) και (3) δεν εφαρμόζονται σε εκδόσεις καταλόγων που έχουν ήδη παραχθεί ή διατεθεί στην αγορά σε έντυπη ή ηλεκτρονική μορφή πριν να τεθεί σε ισχύ ο παρών Νόμος.
(3Β) Όταν τα προσωπικά δεδομένα συνδρομητών σε υπηρεσίες σταθερής ή κινητής τηλεφωνίας έχουν περιληφθεί σε τηλεφωνικό κατάλογο συνδρομητών, συμπεριλαμβανομένων των μορφών που διαθέτουν/επιτρέπουν λειτουργίες αντίστροφης ή πολλαπλών κριτηρίων αναζήτησης σύμφωνα με τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, και το άρθρο 110 του περί Ρυθμίσεως Τηλεπικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, ο οποίος έχει καταργηθεί, τα προσωπικά δεδομένα των συνδρομητών αυτών δύνανται να εξακολουθούν να περιλαμβάνονται στον εν λόγω κατάλογο, αν ο συνδρομητής:
(α)έχει ενημερωθεί πλήρως και σύμφωνα με τις διατάξεις του εδαφίου (1) του παρόντος άρθρου, και
(β)δεν έχει ζητήσει την απόσυρση των προσωπικών του δεδομένων από τον εν λόγω κατάλογο.
(4) Οι διατάξεις των εδαφίων (1) και (2), τυγχάνουν εφαρμογής για συνδρομητές οι οποίοι είναι φυσικά πρόσωπα.
(5) Ο Επίτροπος μετά από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα θα διασφαλίζει δια διατάγματος ότι έννομα συμφέροντα συνδρομητών που δεν είναι φυσικά πρόσωπα, καθόσον αφορά την αναγραφή των στοιχείων τους σε δημόσιους καταλόγους προστατεύονται επαρκώς.
106.-(1) Η χρησιμοποίηση αυτόματων συστημάτων κλήσης και επικοινωνίας χωρίς ανθρώπινη παρέμβαση (συσκευές αυτόματων κλήσεων), τηλεομοιοτυπικών συσκευών (φαξ) ή ηλεκτρονικού ταχυδρομείου για σκοπούς απευθείας εμπορικής προώθησης επιτρέπεται μόνο στην περίπτωση συνδρομητών ή χρηστών, οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους.
(2) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), εάν ένα φυσικό ή νομικό πρόσωπο αποκτά από τους πελάτες του στοιχεία επαφής του ηλεκτρονικού ταχυδρομείου τους στο πλαίσιο της πώλησης ενός προϊόντος ή μιας υπηρεσίας, σύμφωνα με τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου μπορεί να χρησιμοποιεί τα εν λόγω στοιχεία για την απευθείας εμπορική προώθηση των δικών του παρόμοιων προϊόντων ή υπηρεσιών, υπό την προϋπόθεση ότι οι πελάτες του έχουν σαφώς και ευδιάκριτα την ευκαιρία να αντιτάσσονται, δωρεάν και εύκολα, σε αυτή τη χρήση ηλεκτρονικών στοιχείων επαφής κατά τη στιγμή της συλλογής τους, και τούτο με κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει με αυτή τη χρήση.
(3) Ο Επίτροπος, μετά από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα λαμβάνει τα ενδεδειγμένα μέτρα προκειμένου να εξασφαλίζεται ότι οι αυτόκλητες κλήσεις με σκοπό την απευθείας εμπορική προώθηση, σε περιπτώσεις εκτός των προβλεπομένων στα εδάφια (1) και (2), δεν επιτρέπονται χωρίς τη συγκατάθεση των ενδιαφερόμενων συνδρομητών ή χρηστών.
(4) Σε κάθε περίπτωση, απαγορεύεται η πρακτική της αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου με σκοπό την απευθείας εμπορική προώθηση, τα οποία συγκαλύπτουν ή αποκρύπτουν την ταυτότητα του αποστολέα ή του προσώπου εκ μέρους ή/και προς όφελος του οποίου αποστέλλεται το μήνυμα, κατά παράβαση του άρθρου 9 του περί Ορισμένων Πτυχών των Υπηρεσιών της Κοινωνίας της Πληροφορίας και ειδικά του Ηλεκτρονικού Εμπορίου καθώς και για Συναφή Θέματα Νόμου, ή δίχως έγκυρη διεύθυνση στην οποία ο αποδέκτης να μπορεί να ζητεί τον τερματισμό της επικοινωνίας αυτής, ή με τα οποία ενθαρρύνονται οι αποδέκτες να επισκεφθούν ιστοσελίδες που παραβιάζουν το εν λόγω άρθρο.
(5) Τα εδάφια (1) και (3) ισχύουν για τους συνδρομητές που είναι φυσικά πρόσωπα. Ο Επίτροπος εξασφαλίζει επίσης, στο πλαίσιο του δικαίου της Ευρωπαϊκής Ένωσης και της εφαρμοστέας εθνικής νομοθεσίας, ότι προστατεύονται επαρκώς τα έννομα συμφέρονται των συνδρομητών που δεν είναι φυσικά πρόσωπα σε ότι αφορά τις αυτόκλητες κλήσεις. Αναφορικά με τη διασφάλιση των εννόμων συμφερόντων των συνδρομητών που δεν είναι φυσικά πρόσωπα σε ότι αφορά τις αυτόκλητες κλήσεις, εφαρμόζονται οι πρόνοιες του περί Νομικών Προσώπων (Διασφάλιση των Εννόμων Συμφερόντων αναφορικά με Αυτόκλητες Επικοινωνίες) Διατάγματος του 2005.
(6) Οποιοδήποτε φυσικό ή νομικό πρόσωπο το οποίο θίγεται από παραβάσεις του παρόντος άρθρου και άρα έχει έννομο συμφέρον να τερματισθούν ή να απαγορευθούν οι εν λόγω παραβάσεις, περιλαμβανομένων των παροχέων υπηρεσιών ηλεκτρονικών επικοινωνιών που προστατεύουν τα έννομα επιχειρηματικά τους συμφέροντα, μπορεί να προσφύγει ενώπιον των αρμοδίων δικαστηρίων. Ο Επίτροπος, μετά από διαβούλευση με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, δύναται επίσης να θεσπίζει ειδικούς κανόνες για τις κυρώσεις που εφαρμόζονται σε παροχείς υπηρεσιών ηλεκτρονικών επικοινωνιών οι οποίοι, από αμέλεια, συμβάλλουν σε παραβάσεις των εθνικών διατάξεων που έχουν θεσπιστεί δυνάμει του παρόντος άρθρου.
107. (1) Τηρουμένου του εδαφίου (2), ο Επίτροπος δύναται να διατάσσει την παύση της παράβασης οποιωνδήποτε διατάξεων του παρόντος Μέρους και να επιβάλλει οποιεσδήποτε εκ των προβλεπομένων στον παρόντα Νόμο κυρώσεων.
(2) Εκτός εάν άλλως προβλέπεται στο παρόν Μέρος, ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει αρμοδιότητα να επιλαμβάνεται πιθανών παραβάσεων των άρθρων 99, 100, 101, 105 και 106 ασκώντας την αρμοδιότητα που του χορηγείται δυνάμει των διατάξεων του άρθρου 107Α. Για σκοπούς εφαρμογής του άρθρου 98Α, ο Επίτροπος και ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεργάζονται σύμφωνα με τις πρόνοιες του εν λόγω άρθρου.
(3) Κατά την άσκηση των αρμοδιοτήτων τους δυνάμει του παρόντος Μέρους, ο Επίτροπος και ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαβουλεύονται και συνεργάζονται όταν το κρίνουν απαραίτητο.
(4) Ο Επίτροπος, και κατά περίπτωση, ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μπορεί να λαμβάνει μέτρα προκειμένου να εξασφαλιστεί αποτελεσματικήδιασυνοριακή συνεργασία και να δημιουργηθούν εναρμονισμένοι όροι για την παροχή υπηρεσιών που περιλαμβάνουν διασυνοριακές ροές δεδομένων. Ο Επίτροπος παρέχει στην Ευρωπαϊκή Επιτροπή, έγκαιρα πριν από τον καθορισμό τέτοιων μέτρων, περίληψη των λόγων που επιβάλλουν την ανάληψη δράσης, των σχεδιαζόμενων μέτρων και του προτεινόμενου τρόπου δράσης. Ο Επίτροπος, όταν λαμβάνει αποφάσεις σχετικά με την επιβολή μέτρων, λαμβάνει υπόψη τις παρατηρήσεις ή τις συστάσεις της Ευρωπαϊκής Επιτροπής στο μέγιστο δυνατό βαθμό.
107Α. Τηρουμένων των διατάξεων του άρθρου 107, ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ασκεί τις εξουσίες που του χορηγούνται δυνάμει των διατάξεων των εδαφίων (2) και (3) του άρθρου 23 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου, καθώς και τις ακόλουθες εξουσίες και αρμοδιότητες:
(α) εκδίδει οδηγίες και κανόνες σχετικά με την εφαρμογή των διατάξεων του παρόντος Μέρους∙
(β) απευθύνει συστάσεις και υποδείξεις σχετικά με την εφαρμογή των διατάξεων του παρόντος Μέρους·
(γ) επιλαμβάνεται πιθανών παραβάσεων, μετά από παράπονο ή καταγγελία ή αυτεπαγγέλτως, στο βαθμό που κρίνει απαραίτητο·
(δ) διεξάγει έρευνες με την μορφή ελέγχων∙
(ε) έχει πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών του, χωρίς να δύναται να του αντιταχθεί κανενός είδους απόρρητο, εξαιρουμένου μόνο του δικηγορικού απορρήτου·
(στ) εισέρχεται, χωρίς απαραίτητα να προηγείται οποιαδήποτε ενημέρωση του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία ή εκπρόσωπού τους, σε οποιοδήποτε γραφείο, επαγγελματικό υποστατικό ή μεταφορικό μέσο, εξαιρουμένων των κατοικιών·
(ζ) δύναται να επικουρείται από εμπειρογνώμονα ή και την Αστυνομία για την άσκηση των εξουσιών ελέγχου και εξέτασης πιθανών παραβάσεων·
(η) δύναται να ζητεί και να λαμβάνει τη συνδρομή της Αστυνομίας, προκειμένου να καταστεί δυνατή η άσκηση των εξουσιών του·
(θ) δύναται να προβαίνει, κατά την άσκηση των εξουσιών έρευνας, σε κατάσχεση εγγράφων ή ηλεκτρονικού εξοπλισμού, σύμφωνα με διαδικασία που καθορίζεται με Κανονισμούς οι οποίοι εκδίδονται δυνάμει του παρόντος Νόμου, ή σύμφωνα με τις διατάξεις της παραγράφου (δ) του άρθρου 25 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου·
(ι) συνεργάζεται με αντίστοιχες αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) σχετικά με ζητήματα που προκύπτουν κατά την άσκηση των εξουσιών και αρμοδιοτήτων του·
(κ) επιβάλλει τις κατά το άρθρο 107Β κυρώσεις∙
(λ) δίνει εντολή σε οποιοδήποτε πρόσωπο να παράσχει κάθε πληροφορία, η οποία απαιτείται για την διευκόλυνση και εκτέλεση των καθηκόντων του∙
(μ) ανεξάρτητα από τις διατάξεις του άρθρου 107Β, επιβάλλει χρηματικό πρόστιμο που δεν υπερβαίνει τις πενήντα χιλιάδες ευρώ (€50,000) σε οποιοδήποτε πρόσωπο δε συμμορφώνεται, παρακωλύει και ή εμποδίζει την αποπεράτωση της εξέτασης παραπόνου, καταγγελίας ή αίτησης ή τη διενέργεια ελέγχου·
(ν) γνωστοποιεί στον Γενικό Εισαγγελέα της Δημοκρατίας ή και στην Αστυνομία περιπτώσεις για τις οποίες ενδέχεται να έχει διαπραχθεί ποινικό αδίκημα δυνάμει των διατάξεων των εδαφίων (12) και (13) του άρθρου 149.
107Β.-(1) Τηρουμένων των διατάξεων του άρθρου 107, ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δύναται να επιβάλει τις ακόλουθες διοικητικές κυρώσεις για παράβαση των διατάξεων του παρόντος Μέρους:
(α) Προειδοποίηση, με οδηγίες και ή συστάσεις για διόρθωση της παράβασης ή πρόληψη πιθανής παράβασης·
(β) επίπληξη·
(γ) εντολή για τερματισμό της παράβασης, εάν χρειάζεται, εντός ορισμένης προθεσμίας·
(δ) προσωρινή ή οριστική απαγόρευση της επεξεργασίας·
(ε) διοικητικό πρόστιμο μέχρι διακόσιες χιλιάδες ευρώ (€200,000).
(2) Οι κυρώσεις που αναφέρονται στις παραγράφους (β), (γ), (δ) και (ε) του εδαφίου (1) επιβάλλονται ύστερα από ακρόαση του εμπλεκόμενου προσώπου.
(3) Σε περίπτωση παράλειψης πληρωμής του αναφερόμενου στην παράγραφο (ε) του εδαφίου(1) διοικητικού προστίμου, αυτό εισπράττεται ως αστικό χρέος οφειλόμενο στη Δημοκρατία.