1. Ο παρών Νόμος θα αναφέρεται ως ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος του 2018.
2.-(1) Στον παρόντα Νόμο, εκτός αν από το κείμενό του ή το κείμενο του Κανονισμού προκύπτει διαφορετική έννοια-
«Αστυνομία» σημαίνει την Αστυνομία Κύπρου·
«Βάσεις» σημαίνει τις Κυρίαρχες Βάσεις του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας στην Δημοκρατία, όπως ορίζονται στο Άρθρο 1 του Παραρτήματος Α της Συνθήκης Εγκαθίδρυσης της Κυπριακής Δημοκρατίας της 16ης Αυγούστου 1960·
«βιομετρικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
«γενετικά δεδομένα» σημαίνει τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·
«δεδομένα προσωπικού χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
«δεσμευτικοί εταιρικοί κανόνες» σημαίνει τις πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα·
«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·
«διασυνοριακή επεξεργασία» σημαίνει-
(α) την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, ή
(β) την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη·
«διεθνής οργανισμός» σημαίνει τον οργανισμό και τους υπαγόμενους σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοδήποτε άλλο φορέα που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών·
«εκπρόσωπος» σημαίνει φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του Άρθρου 27 του Κανονισμού και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του Κανονισμού και του παρόντος Νόμου·
«εκτελών την επεξεργασία» σημαίνει το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία ή άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·
«επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
«Επίτροπος» σημαίνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ο οποίος διορίζεται δυνάμει των διατάξεων του άρθρου 19 του παρόντος Νόμου·
«επιχείρηση» σημαίνει το φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·
«εποπτική αρχή» σημαίνει τον Επίτροπο, ο οποίος διορίζεται δυνάμει των διατάξεων του άρθρου 19 του παρόντος Νόμου, κατ’ εφαρμογή των διατάξεων του άρθρου 51 του Κανονισμού·
«Κανονισμός» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΕ) αρ. 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και για την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)»·
«Κανονισμός (ΕΚ) αρ.765/2008» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΚ) αρ.765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Ιουλίου 2008 για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αρ. 339/93 του Συμβουλίου»·
«Κυπριακός Οργανισμός Προώθησης Ποιότητας» σημαίνει τον Κυπριακό Οργανισμό Προώθησης Ποιότητας, ο οποίος ορίζεται ως ο εθνικός οργανισμός διαπίστευσης δυνάμει των διατάξεων του περί Διαπίστευσης, Τυποποίησης και Τεχνικής Πληροφόρησης Νόμου·
«Οδηγία (ΕΕ) 2015/1535» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Σεπτεμβρίου 2015 για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (κωδικοποιημένο κείμενο)»·
«όμιλος επιχειρήσεων» σημαίνει μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·
«παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει τη παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία·
«συγκατάθεση» του υποκειμένου των δεδομένων σημαίνει κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·
«σύστημα αρχειοθέτησης» σημαίνει κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
«υπεύθυνος επεξεργασίας» σημαίνει το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα∙ όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή της Δημοκρατίας, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο της Δημοκρατίας·
«υπηρεσία της κοινωνίας των πληροφοριών» σημαίνει υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·
«Υπουργός» σημαίνει τον Υπουργό Δικαιοσύνης και Δημοσίας Τάξεως.
(2)Οποιοιδήποτε όροι περιέχονται στον παρόντα Νόμο και δεν ορίζονται ειδικά σε αυτόν, έχουν την έννοια που αποδίδεται στους όρους αυτούς από τον Κανονισμό.
3.-(1) Οι διατάξεις του παρόντος Νόμου εφαρμόζονται στη Δημοκρατία σύμφωνα με τις διατάξεις των άρθρων 2 και 3 του Κανονισμού.
(2) Το παρόν άρθρο και οι ακόλουθες διατάξεις του παρόντος Νόμου εφαρμόζονται στο έδαφος των Βάσεων:
(α) Τα άρθρα 1 και 2 του παρόντος Μέρους·
(β) τα άρθρα 8 και 9 του Μέρους ΙΙ·
(γ) τα άρθρα 11 και 12 του Μέρους ΙΙΙ·
(δ) τα άρθρα 14 και 15 του Μέρους V·
(ε) το άρθρο 16 του Μέρους VI·
(στ) τα άρθρα 17 και 18 του Μέρους VII·
(ζ) το εδάφιο (1) του άρθρου 20, τα εδάφια (2) και (3) του άρθρου 21, τα εδάφια (1) έως (3) του άρθρου 23, το άρθρο 24, το άρθρο 25, εξαιρουμένων των παραγράφων (i) και (v) της παραγράφου (ζ) αυτού και τα άρθρα 27 και 28 του Μέρους VIII,
(η) το άρθρο 29 του Μέρους IX·(θ)τα εδάφια (1) και (2) του άρθρου 32 και το άρθρο 33, εξαιρουμένης της παραγράφου (ιδ) του εδαφίου (1) αυτού του Μέρους X· και
(ι) το εδάφιο (3) του άρθρου 37 του Μέρους XI: