21.-(1) Ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και της πιθανότητας και τους διαφορετικής πιθανότητας και σοβαρότητας κινδύνους προς τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει τα κατάλληλα μέτρα για την προστασία και την νόμιμη επεξεργασία των δεδομένων.
(2) Ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας.
(3) Τα αναφερόμενα στο εδάφιο (1) μέτρα επανεξετάζονται και επικαιροποιούνται, εφόσον αυτό καθίσταται αναγκαίο.
22.-(1) Ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και τους διαφορετικής πιθανότητας και σοβαρότητας κινδύνους που θέτει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων-
(α) Εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, περιλαμβανομένης της χρήσης ψευδωνύμου, τα οποία έχουν σχεδιαστεί για την εφαρμογή των αρχών προστασίας των δεδομένων, περιλαμβανομένης της ελαχιστοποίησης των δεδομένων, και
(β) ενσωματώνει τις αναγκαίες διασφαλίσεις κατά την επεξεργασία, προκειμένου να πληρούνται οι απαιτήσεις του παρόντος Νόμου και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
(2) O υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι εξ ορισμού υποβάλλονται σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και ότι τα δεδομένα αυτά δεν καθίστανται προσπελάσιμα χωρίς την παρέμβαση φυσικού προσώπου:
23.-(1) Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τον τρόπο της επεξεργασίας αποτελούν από κοινού υπευθύνους επεξεργασίας.
(2) Οι αναφερόμενοι στο εδάφιο (1) υπεύθυνοι επεξεργασίας καθορίζουν μέσω συμφωνίας μεταξύ τους τις αντίστοιχες ευθύνες τους για την τήρηση των διατάξεων του παρόντος Νόμου, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και την παροχή των πληροφοριών που αναφέρονται στο άρθρο 15, περιλαμβανομένης της διαδικασίας ορισμού σημείου επικοινωνίας για τα υποκείμενα των δεδομένων:
(3) Ανεξάρτητα από τους όρους της προβλεπόμενης στο εδάφιο (2) συμφωνίας, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του βάσει των διατάξεων του παρόντος Νόμου όσον αφορά και σε σχέση με κάθε έναν από τους υπευθύνους επεξεργασίας.
24.-(1) Σε περίπτωση που η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληρεί τις απαιτήσεις του παρόντος Νόμου και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
(2) Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή έγκριση του υπεύθυνου επεξεργασίας:
(3)(α) Η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομικά δεσμευτική πράξη, υπαγόμενη στο ενωσιακό δίκαιο ή στην οικεία νομοθεσία, η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.
(β) Η αναφερόμενη στην παράγραφο (α) σύμβαση ή άλλη νομικά δεσμευτική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία-
(i) Ενεργεί μόνον κατ' εντολή του υπευθύνου επεξεργασίας,
(ii) εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα νόμιμη υποχρέωση τήρησης εμπιστευτικότητας,
(iii) επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων,
(iv) κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας, μετά το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το ενωσιακό δίκαιο ή η οικεία νομοθεσία ή το δίκαιο άλλου κράτους μέλους απαιτούν την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
(v) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο,
(vi) τηρεί τους όρους που αναφέρονται στα εδάφια (2) και (3) για την πρόσληψη άλλου εκτελούντος την επεξεργασία.
(4) Η προβλεπόμενη στο εδάφιο (3) σύμβαση ή η άλλη νομική πράξη είναι γραπτή:
Νοείται ότι, για τους σκοπούς του παρόντος εδαφίου ο όρος «γραπτή» περιλαμβάνει και ηλεκτρονική μορφή.
(5) Σε περίπτωση που ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση των διατάξεων του παρόντος Νόμου, τους σκοπούς και τον τρόπο επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία καθίσταται υπεύθυνος επεξεργασίας σε σχέση με την συγκεκριμένη επεξεργασία.
25. Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, δεν επεξεργάζεται τα εν λόγω δεδομένα παρά μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από τον παρόντα Νόμο ή το ενωσιακό δίκαιο ή την οικεία νομοθεσία.
26.-(1) Κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος και το αρχείο αυτό περιλαμβάνει τις ακόλουθες πληροφορίες:
(α) Το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων·
(β) τους σκοπούς της επεξεργασίας·
(γ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών τρίτων χωρών ή διεθνών οργανισμών·
(δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα·
(ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·
(στ) όπου εφαρμόζεται, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό·
(ζ) αναφορά στη νομική βάση της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·
(η) εφόσον είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα·
(θ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο εδάφιο (1) του άρθρου 32.
(2) Κάθε εκτελών την επεξεργασία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο και περιλαμβάνει τα ακόλουθα:
(α) Το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων·
(β) τις κατηγορίες επεξεργασίας που διεξάγεται εκ μέρους κάθε υπευθύνου επεξεργασίας·
(γ) κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας·
(δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο εδάφιο (1) του άρθρου 32.
(3) Τα αρχεία που αναφέρονται στα εδάφια (1) και (2) διατηρούνται γραπτώς και, μεταξύ άλλων, και σε ηλεκτρονική μορφή.
(4) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία των δραστηριοτήτων στη διάθεση του Επιτρόπου, κατόπιν αιτήματος.
27.-(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τηρούνται καταχωρήσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήματα αυτοματοποιημένης επεξεργασίας:
(α) Συλλογή πληροφοριών,
(β) μεταβολή πληροφοριών,
(γ) αναζήτηση πληροφοριών,
(δ) αποκάλυψη πληροφοριών, περιλαμβανομένων των διαβιβάσεων,
(ε) συνδυασμό πληροφοριών και
(στ) διαγραφή πληροφοριών.
(2) Οι καταχωρήσεις της αναζήτησης πληροφοριών και της αποκάλυψης, επιτρέπουν τον προσδιορισμό της αιτιολόγησης και της ημερομηνίας και της ώρας των εν λόγω πράξεων και, όπου είναι δυνατό, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή αποκάλυψε δεδομένα προσωπικού χαρακτήρα, καθώς και της ταυτότητας των αποδεκτών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
(3) Οι καταχωρήσεις χρησιμοποιούνται αποκλειστικά για την επαλήθευση της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο πειθαρχικών ή ποινικών διαδικασιών.
(4) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία των καταχωρήσεων στη διάθεση του Επιτρόπου, κατόπιν αιτήματος.
28.-(1) Πριν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας προβαίνει σε εκτίμηση αντικτύπου των πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα, στις περιπτώσεις όπου τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών της επεξεργασίας.
(2) Η αναφερόμενη στο εδάφιο (1) εκτίμηση περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων αυτών, καθώς επίσης και εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση με τις διατάξεις του παρόντος Νόμου, λαμβανομένων υπόψη των δικαιωμάτων και των έννομων συμφερόντων των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
29. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με τον Επίτροπο κατά την άσκηση των καθηκόντων του.
30.-(1) Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με τον Επίτροπο πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον-
(α) Από εκτίμηση των επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα που διενεργείται σύμφωνα με το άρθρο 28, προκύπτει ότι η επεξεργασία θα προκαλέσει μεγάλο κίνδυνο, εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του κινδύνου, ή
(β) ο τύπος επεξεργασίας, ιδίως κατά τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
(2) Ο Επίτροπος δύναται να καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει των διατάξεων του εδαφίου (1).
(3) Ο υπεύθυνος επεξεργασίας διαβιβάζει στον Επίτροπο, την εκτίμηση αντικτύπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που διενεργείται σύμφωνα με τις διατάξεις του άρθρου 28 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στον Επίτροπο να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τις σχετικές εγγυήσεις.
(4) Σε περίπτωση που ο Επίτροπος κρίνει ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στο εδάφιο (1) θα παραβίαζε τις διατάξεις του παρόντος Νόμου, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, παρέχει γραπτώς, εντός έξι (6) εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, συμβουλές στον υπεύθυνο επεξεργασίας και, κατά περίπτωση, στον εκτελούντα την επεξεργασία, ενώ δύναται να ασκήσει οποιαδήποτε από τις εξουσίες του που προβλέπονται στο άρθρο 46.
(5) Η αναφερόμενη στο εδάφιο (4) προθεσμία δύναται να παραταθεί κατά ένα (1) μήνα, λαμβάνοντας υπόψη την πολυπλοκότητα που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα.
(6) Σε περίπτωση που απαιτείται παράταση της προθεσμίας δυνάμει των διατάξεων του εδαφίου (5), ο Επίτροπος ενημερώνει τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, τον εκτελούντα την επεξεργασία για την ενδεχόμενη παράταση εντός ενός (1) μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης.
(7) Σε περίπτωση διενέργειας εκτίμησης αντικτύπου που αφορά διαβίβαση δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) του άρθρου 40, ο Επίτροπος, για σοβαρούς λόγους δημοσίου συμφέροντος, δύναται να επιβάλει ρητώς περιορισμούς στην προβλεπόμενη διαβίβαση, με όρους και προϋποθέσεις για την εφαρμογή μέτρων μετριασμού του κινδύνου που υποδεικνύει η εκτίμηση αντικτύπου για την προβλεπόμενη διαβίβαση.
31.-(1) Επεξεργασία που αφορά στη διαβίβαση ή στη συσχέτιση ή στο συνδυασμό συστημάτων αρχειοθέτησης μεγάλης κλίμακας δύο ή περισσοτέρων αρμοδίων αρχών ή μεταξύ αρμοδίων αρχών και άλλων δημόσιων αρχών ή φορέων, και η οποία γίνεται για τους σκοπούς της παραγράφου (α) του άρθρου 3, επιτρέπεται μόνο για λόγους δημοσίου συμφέροντος και εφόσον πληρούνται οι προϋποθέσεις που αναφέρονται στις παραγράφους (α) και (γ) του εδαφίου (1) του άρθρου 10.
(2) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), σε περίπτωση που επεξεργασία αφορά τη διαβίβαση ή τη συσχέτιση ή το συνδυασμό αναφερόμενων στο άρθρο 12 ειδικών κατηγοριών δεδομένων, μεταξύ συστημάτων αρχειοθέτησης μεγάλης κλίμακας δύο ή περισσοτέρων αρμοδίων αρχών, ή μεταξύ αρμοδίων αρχών και άλλων δημόσιων αρχών ή φορέων, και η οποία διενεργείται με τη χρήση του αριθμού δελτίου ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής για τους σκοπούς της παραγράφου (α) του άρθρου 3, απαιτείται διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.
(3) Η αναφερόμενη στο εδάφιο (2) εκτίμηση αντικτύπου διενεργείται από κοινού από τις αρμόδιες ή τις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους σύμφωνα με τις διατάξεις του άρθρου 28 και περιλαμβάνει τα τεχνικά και οργανωτικά μέτρα ασφάλειας που αναφέρονται στο άρθρο 32.
(4) Ο Επίτροπος δύναται να επιτρέψει τον προβλεπόμενο συνδυασμό ή και να επιβάλει στις αρμόδιες ή τις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους, όρους και προϋποθέσεις για την πραγματοποίησή του, περιλαμβανομένης της εφαρμογής μέτρων μετριασμού του κινδύνου που υποδεικνύει η εκτίμηση αντικτύπου για την προβλεπόμενη επεξεργασία.
32.-(1) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, καθώς επίσης τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, σε συνάρτηση με τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, ιδίως όσον αφορά στην επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 12, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα που αφορούν σε καταδίκες.
(2) Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν εκτίμησης των κινδύνων, μέτρα τα οποία είναι σχεδιασμένα κατά τρόπον ώστε να-
(α) Απαγορεύουν την πρόσβαση μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό),
(β) αποτρέπουν τη μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή αφαίρεση υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων),
(γ) αποτρέπουν τη μη επιτρεπόμενη εισαγωγή δεδομένων προσωπικού χαρακτήρα και τον μη επιτρεπόμενο έλεγχο, τροποποίηση ή διαγραφή αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης),
(δ) αποτρέπουν τη χρήση συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών),
(ε) διασφαλίζουν ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα),
(στ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας),
(ζ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα προσωπικού χαρακτήρα (έλεγχος εισαγωγής),
(η) αποτρέπουν μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς),
(θ) διασφαλίζουν ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση),
(ι) διασφαλίζουν ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα).
33.-(1) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στον Επίτροπο την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έλαβε γνώση της παραβίασης, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανόν να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
(2) Σε περίπτωση που η αναφερόμενη στο εδάφιο (1) γνωστοποίηση πραγματοποιείται μετά την παρέλευση εβδομήντα δύο (72) ωρών συνοδεύεται από τους λόγους της καθυστέρησης.
(3) Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
(4) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση κατ' ελάχιστον-
(α) Περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων προσωπικού χαρακτήρα, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα,
(β) γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλιστούν περισσότερες πληροφορίες,
(γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
(δ) περιγράφει τα μέτρα που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
(5) Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
(6) Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα εκ των αναφερόμενων στο εδάφιο (1), αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης, κατά τρόπον ώστε η εν λόγω τεκμηρίωση να επιτρέπει στον Επίτροπο να επαληθεύει τη συμμόρφωση με τις διατάξεις του παρόντος άρθρου.
(7) Σε περίπτωση που η παραβίαση αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι αναφερόμενες στο εδάφιο (4) πληροφορίες γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς αδικαιολόγητη καθυστέρηση.
34.-(1) Σε περίπτωση που η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
(2) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα που προβλέπονται στις παραγράφους (β), (γ) και (δ) του εδαφίου (4) του άρθρου 33.
(3) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους ακόλουθους όρους:
(α) Ο υπεύθυνος επεξεργασίας θέσπισε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας τα οποία εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση, ειδικότερα δε τα μέτρα εκείνα που καθιστούν αδύνατη την κατανόηση των δεδομένων προσωπικού χαρακτήρα από όσους δεν διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα·
(β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στο εδάφιο (1) μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων· ή
(γ) η ενημέρωση του υποκειμένου είναι πρακτικά αδύνατη ή προϋποτίθενται δυσανάλογες προσπάθειες:
(4) Σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Επίτροπος, έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, δύναται να του ζητήσει να το πράξει ή να αποφασίσει ότι πληρούται οποιοσδήποτε από τους αναφερόμενους στο εδάφιο (3) όρους.
(5) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δυνατό να καθυστερήσει, να περιοριστεί ή να παραλειφθεί υπό τους όρους και για τους λόγους που αναφέρονται στο εδάφιο (3) του άρθρου 15.
35.-(1) Κάθε αρμόδια αρχή διορίζει υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα.
(2) Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ειδικότερα, με βάση την εμπειρογνωμοσύνη που διαθέτει στον τομέα του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα και των πρακτικών προστασίας των δεδομένων προσωπικού χαρακτήρα, καθώς επίσης και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37.
(3) Η αρμόδια αρχή δημοσιεύει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα γνωστοποιεί στον Επίτροπο.
36.-(1) Η αρμόδια αρχή διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
(2) Η αρμόδια αρχή υποστηρίζει τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 37, παρέχοντας τους αναγκαίους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και για τη διατήρηση της εμπειρογνωμοσύνης του.
(3) Η αρμόδια αρχή διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων, δεν απολύεται και δεν υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του.
(4) Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο της αρμόδιας αρχής.
(5) Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους και με την άσκηση των δικαιωμάτων που τους παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου.
(6) Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία.
(7) Ο υπεύθυνος προστασίας δεδομένων δύναται να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, εφόσον τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.
(8) Το ίδιο πρόσωπο δύναται να διοριστεί υπεύθυνος προστασίας δεδομένων για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους.
(9) Το ίδιο πρόσωπο δύναται να διοριστεί υπεύθυνος προστασίας δεδομένων για την εκπλήρωση των καθηκόντων που αναφέρονται στο άρθρο 37, καθώς και για την εκπλήρωση των καθηκόντων που αναφέρονται στο άρθρο 39 του Κανονισμού (ΕΕ) 2016/679.
37. Η αρμόδια αρχή αναθέτει στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:
(α) Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας και τους υπαλλήλους που διενεργούν επεξεργασία αναφορικά με τις υποχρεώσεις τους, σύμφωνα με τις διατάξεις του παρόντος Νόμου και του ενωσιακού δικαίου ή της οικείας νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·
(β) παρακολουθεί τη συμμόρφωση με τις διατάξεις του παρόντος Νόμου, του ενωσιακού δικαίου ή της οικείας νομοθεσίας, σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και με τις πολιτικές του υπευθύνου επεξεργασίας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·
(γ) παρέχει συμβουλές, έπειτα από σχετικό αίτημα, όσον αφορά στην εκτίμηση κινδύνου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και να παρακολουθεί τα αποτελέσματα των εκτιμήσεων σύμφωνα με το άρθρο 28·
(δ) συνεργάζεται με τον Επίτροπο·
(ε) ενεργεί ως σημείο επικοινωνίας για τον Επίτροπο αναφορικά με ζητήματα που σχετίζονται με την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στα άρθρα 30 και 31 και διαβουλεύεται, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.