Προοίμιο

Για σκοπούς εναρμόνισης με την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης -πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου»,

Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως:

ΜΕΡΟΣ Ι ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα από Αρμόδιες Αρχές για τους Σκοπούς της Πρόληψης, Διερεύνησης, Ανίχνευσης ή Δίωξης Ποινικών Αδικημάτων ή της Εκτέλεσης Ποινικών Κυρώσεων και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμος του 2019.

Ερμηνεία

2. Στον παρόντα Νόμο, εκτός αν από το κείμενο προκύπτει διαφορετική έννοια -

«αποδέκτης» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλο φορέα, προς τον οποίο κοινοποιούνται δεδομένα προσωπικού χαρακτήρα, εξαιρουμένων των δημόσιων αρχών που λαμβάνουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με την οικεία νομοθεσία·

«αρμόδια αρχή» σημαίνει την Αστυνομία Κύπρου, το Τμήμα Τελωνείων, τη Μονάδα Καταπολέμησης Αδικημάτων Συγκάλυψης και το Τμήμα Φορολογίας·

«βιομετρικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα που προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, και περιλαμβάνουν εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

«γενετικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα που αφορούν στα κληρονομούμενα ή επίκτητα γενετικά χαρακτηριστικά φυσικού προσώπου τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου και τα οποία προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου·

«δεδομένα που αφορούν στην υγεία» σημαίνει δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του εν λόγω προσώπου·

«δεδομένα προσωπικού χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο:

Νοείται ότι το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·

«διεθνής οργανισμός» σημαίνει οργανισμό και υπαγόμενους σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο και οποιονδήποτε άλλο φορέα έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο (2) ή περισσότερων κρατών·

«εκτελών την επεξεργασία» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους του υπευθύνου επεξεργασίας·

«Ένωση» σημαίνει την Ευρωπαϊκή Ένωση·

«επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, και περιλαμβάνει τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την αποθήκευση, την προσαρμογή ή τη μεταβολή, την ανάκτηση, την αναζήτηση πληροφοριών, τη χρήση, την κοινολόγηση με διαβίβαση, τη διάδοση ή κάθε άλλη μορφή διάθεσης, τη συσχέτιση ή τον συνδυασμό, τον περιορισμό, τη διαγραφή ή την καταστροφή·

«Επιτροπή» σημαίνει την Ευρωπαϊκή Επιτροπή·

«Επίτροπος» σημαίνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που διορίζεται δυνάμει των διατάξεων του άρθρου 19 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου·

«Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων» ή «Συμβούλιο» σημαίνει το Συμβούλιο που καθιδρύεται δυνάμει των διατάξεων του άρθρου 68 του Κανονισμού (ΕΕ) 2016/679·

«Κανονισμός (ΕΕ) αριθ. 2016/679» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)»·

«κατάρτιση προφίλ» σημαίνει οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν στην απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου·

«Οδηγία» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου»·

«παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει την παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλον τρόπο σε επεξεργασία·

«περιορισμός της επεξεργασίας» σημαίνει την επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·

«ΣΛΕΕ» σημαίνει τη Συνθήκη για τη Λειτουργία της Ευρωπαϊκής Ένωσης·

«σύστημα αρχειοθέτησης» σημαίνει κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, είτε συγκεντρωμένο είτε αποκεντρωμένο, είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση, το περιεχόμενο του οποίου είναι προσβάσιμο με γνώμονα συγκεκριμένα κριτήρια·

«υπεύθυνος επεξεργασίας» σημαίνει την αρμόδια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία·

«υποκείμενο των δεδομένων» σημαίνει φυσικό πρόσωπο του οποίου τα δεδομένα τυγχάνουν οποιασδήποτε επεξεργασίας·

«Υπουργός» σημαίνει τον Υπουργό Δικαιοσύνης και Δημοσίας Τάξεως·

«ψευδωνυμοποίηση» σημαίνει επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

Αντικείμενο και στόχοι του παρόντος Νόμου

3. Ο παρών Νόμος-

(α) Θεσπίζει τους κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων, στο πλαίσιο δραστηριοτήτων για την προστασία της δημόσιας τάξης και ασφάλειας, για τους σκοπούς της δέσμευσης ή δήμευσης παράνομων εσόδων ή άλλων συναφών περιουσιακών στοιχείων και για τους σκοπούς εκτέλεσης ποινικών κυρώσεων,

(β) προστατεύει τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, και

(γ) διασφαλίζει ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών εντός της Ένωσης, εφόσον η ανταλλαγή αυτή απαιτείται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία, δεν μπορεί να περιοριστεί ούτε να απαγορευτεί για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Πεδίο εφαρμογής

4.-(1) Τηρουμένων των διατάξεων του εδαφίου (2), οι διατάξεις του παρόντος Νόμου εφαρμόζονται -

(α) Στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς που καθορίζονται στην παράγραφο (α) του άρθρου 3,

(β) στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

(2) Οι διατάξεις του παρόντος νόμου δεν εφαρμόζονται στις δραστηριότητες της Κυπριακής Υπηρεσίας Πληροφοριών (Κ.Υ.Π.), καθώς και της Αστυνομίας Κύπρου, όταν αυτή επιλαμβάνεται υποθέσεων σχετικών με την προστασία της εθνικής ασφάλειας.

ΜΕΡΟΣ II ΒΑΣΙΚΕΣ ΑΡΧΕΣ
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

5.-(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-

(α) Υποβάλλονται σε νόμιμη και θεμιτή επεξεργασία,

(β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς,

(γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία,

(δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνοντας όλα τα εύλογα μέτρα που διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας,

(ε) διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα που δεν υπερβαίνει το αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία,

(στ) υποβάλλονται σε επεξεργασία κατά τρόπο που διασφαλίζει τη δέουσα ασφάλεια των δεδομένων προσωπικού χαρακτήρα, περιλαμβανομένης της προστασίας από μη εγκεκριμένη ή παράνομη επεξεργασία ή από τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων.

(2) Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας, για οποιονδήποτε σκοπό προβλεπόμενο στην παράγραφο (α) του άρθρου 3, άλλο από εκείνον για τον οποίο συλλέγονται τα δεδομένα προσωπικού χαρακτήρα, επιτρέπεται στην έκταση που-

(α) Ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα για τον σκοπό αυτόν, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία, και

(β) η επεξεργασία είναι απαραίτητη και ανάλογη προς τον εν λόγω άλλον σκοπό, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία.

(3) Η επεξεργασία από τον ίδιο ή άλλο υπεύθυνο επεξεργασίας δύνατόν να περιλαμβάνει την αρχειοθέτηση για λόγους δημοσίου συμφέροντος, την επιστημονική, στατιστική ή ιστορική επεξεργασία, για τους σκοπούς που προβλέπονται στην παράγραφο (α) του άρθρου 3, με την επιφύλαξη των κατάλληλων διασφαλίσεων υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.

(4) Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη συμμόρφωση με τις διατάξεις των εδαφίων (1), (2) και (3) και είναι σε θέση να αποδείξει τη συμμόρφωση αυτή.

Προθεσμίες αποθήκευσης και επανένταξης

6.-(1) Κάθε αρμόδια αρχή καθορίζει κατάλληλες προθεσμίες για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων προσωπικού χαρακτήρα.

(2) Η τήρηση των προθεσμιών που αναφέρονται στο εδάφιο (1), εξασφαλίζεται μέσω διαδικαστικών μέτρων που καθορίζονται από την εκάστοτε αρμόδια αρχή, δεσμευτικών για τα μέλη της.

Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων

7. Ο υπεύθυνος επεξεργασίας, κατά περίπτωση και στο βαθμό του εφικτού, προβαίνει σε σαφή διάκριση μεταξύ δεδομένων προσωπικού χαρακτήρα διαφορετικών κατηγοριών υποκειμένων των δεδομένων, περιλαμβανομένων των ακόλουθων κατηγοριών:

(α) Πρόσωπα σε σχέση με τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα·

(β) πρόσωπα που καταδικάστηκαν για διάπραξη ποινικού αδικήματος·

(γ) θύματα ποινικών αδικημάτων ή πρόσωπα για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι δυνατό να είναι θύματα ποινικού αδικήματος· και

(δ) άλλα μέρη ως προς ποινικό αδίκημα, όπως πρόσωπα τα οποία ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικό αδίκημα ή σε επακόλουθη ποινική διαδικασία ή πρόσωπα που δύνανται να παράσχουν πληροφορίες σχετικά με ποινικό αδίκημα, ή πρόσωπα επικοινωνίας ή συνεργοί των προσώπων που αναφέρονται στις παραγράφους (α) και (β).

Διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα

8. Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά γεγονότα, διακρίνονται, στον βαθμό του εφικτού, από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πληροφορίες ή και εύλογες υποψίες.

Επαλήθευση της ποιότητας των δεδομένων προσωπικού χαρακτήρα

9.-(1) Ο υπεύθυνος επεξεργασίας λαμβάνει κάθε εύλογο μέτρο προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα, δεν διαβιβάζονται ούτε διατίθενται.

(2) Για τους αναφερόμενους στο εδάφιο (1) σκοπούς, ο υπεύθυνος επεξεργασίας ελέγχει, στο μέτρο του εφικτού, την ποιότητα των δεδομένων προσωπικού χαρακτήρα, πριν από τη διαβίβαση ή τη διάθεση των δεδομένων αυτών.

(3) Σε κάθε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα επισυνάπτονται, στο μέτρο του δυνατού, οι αναγκαίες πληροφορίες που επιτρέπουν στην αρμόδια αρχή που παραλαμβάνει τα δεδομένα να αξιολογήσει την ακρίβεια, την πληρότητα, την αξιοπιστία των δεδομένων προσωπικού χαρακτήρα, καθώς και τον βαθμό επικαιροποίησής τους.

(4) Σε περίπτωση που διαπιστωθεί ότι έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή ότι τα δεδομένα προσωπικού χαρακτήρα διαβιβάστηκαν παρανόμως, ο αποδέκτης τους ενημερώνεται πάραυτα.

(5) Στην αναφερόμενη στο εδάφιο (4) περίπτωση, τα δεδομένα προσωπικού χαρακτήρα διορθώνονται, διαγράφονται ή η επεξεργασία τους περιορίζεται όπως προβλέπεται στο άρθρο 18.

Νομιμότητα της επεξεργασίας

10.-(1) Η επεξεργασία που διενεργείται για τους σκοπούς που προβλέπονται στην παράγραφο (α) του άρθρου 3 είναι νόμιμη, μόνο εάν και εφόσον τηρείται τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

(α) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με νόμιμη υποχρέωση του υπευθύνου επεξεργασίας·

(β) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων·

(γ) η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος από αρμόδια αρχή για τους σκοπούς που προβλέπονται στην παράγραφο (α) του άρθρου 3, το οποίο βασίζεται στο ενωσιακό δίκαιο ή στην οικεία νομοθεσία.

(2) H οικεία νομοθεσία καθορίζει τουλάχιστον τους σκοπούς της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας.

Ειδικοί όροι επεξεργασίας

11.-(1) Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από αρμόδια αρχή για τους σκοπούς της παραγράφου (α) του άρθρου 3, δεν υπόκεινται σε επεξεργασία για σκοπούς άλλους από αυτούς, εκτός εάν αυτή η επεξεργασία επιτρέπεται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία.

(2) Σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για τέτοιους άλλους σκοπούς όπως αναφέρεται στο εδάφιο (1), εφαρμόζονται οι διατάξεις του Κανονισμού (ΕΕ) αριθ. 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμου, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου ή της οικείας νομοθεσίας.

(3) Σε περίπτωση που, σύμφωνα με την οικεία νομοθεσία, η αρμόδια αρχή είναι επιφορτισμένη με την εκτέλεση καθηκόντων διαφορετικών από εκείνων που εκτελούνται για τους σκοπούς της παραγράφου (α) του άρθρου 3, εφαρμόζονται οι διατάξεις του Κανονισμού (ΕΕ) αριθ. 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμου, εκτός εάν η επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου ή της οικείας νομοθεσίας.

(4) Στις περιπτώσεις που στο ενωσιακό δίκαιο ή στην οικεία νομοθεσία προβλέπονται ειδικοί όροι υπό ειδικές περιστάσεις κατά την επεξεργασία, η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη των εν λόγω δεδομένων προσωπικού χαρακτήρα, σχετικά με αυτούς τους όρους και την υποχρέωση τήρησής τους.

(5) Η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους αναφερόμενους στο εδάφιο (4) όρους, στους αποδέκτες σε άλλα κράτη μέλη ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον Τίτλο V, Κεφάλαια 4 και 5 ΣΛΕΕ, πέραν εκείνων που εφαρμόζονται για ανάλογες διαβιβάσεις εντός της Δημοκρατίας.

Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

12. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν στην υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό, επιτρέπεται μόνο όταν είναι απολύτως αναγκαία, με την επιφύλαξη των κατάλληλων διασφαλίσεων για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων και εφόσον-

(α) Επιτρέπεται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία,

(β) επιβάλλεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ή

(γ) η επεξεργασία αυτή αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων.

Αυτοματοποιημένη ατομική λήψη αποφάσεων

13.-(1) Απαγορεύεται η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή το θίγει σε μεγάλο βαθμό, εκτός εάν επιτρέπεται από το ενωσιακό δίκαιο ή προβλέπεται στην οικεία νομοθεσία:

Νοείται ότι, στην περίπτωση που η οικεία νομοθεσία προβλέπει για τη λήψη αποφάσεων όπως αναφέρονται στο παρόν εδάφιο, αυτή πρέπει να προβλέπει κατάλληλες διασφαλίσεις υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, τουλάχιστον δε το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπεύθυνου επεξεργασίας.

(2) Οι αποφάσεις που αναφέρονται στο εδάφιο (1), δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 12, εκτός εάν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

(3) Απαγορεύεται η κατάρτιση προφίλ που έχει ως αποτέλεσμα διακρίσεις εις βάρος φυσικών προσώπων, με βάση τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, που αναφέρονται στο άρθρο 12.

ΜΕΡΟΣ III ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Γνωστοποίηση και τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων

14.-(1)(α) Ο υπεύθυνος επεξεργασίας λαμβάνει όλα τα εύλογα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στο άρθρο 15 και παρέχει κάθε γνωστοποίηση βάσει των διατάξεων των άρθρων 13, 14 έως 20 και 24, σχετικά με την επεξεργασία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.

(β) Οι πληροφορίες παρέχονται με κάθε κατάλληλο μέσο, μεταξύ άλλων και με ηλεκτρονικά μέσα και κατά γενικό κανόνα, ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες στην ίδια μορφή που υποβλήθηκε η αίτηση.

(2) O υπεύθυνος επεξεργασίας, διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, δυνάμει των διατάξεων των άρθρων 13 και 16 έως 20.

(3) O υπεύθυνος επεξεργασίας, ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων, για τη συνέχεια που δίδεται στο αίτημά του.

(4)(α) Τηρουμένων των διατάξεων της παραγράφου (β), οι πληροφορίες που παρέχονται σύμφωνα με τις διατάξεις του άρθρου 14 και κάθε ενημέρωση και ενέργεια βάσει των διατάξεων των άρθρων 13, 16 έως 20 και 34, παρέχονται χωρίς οικονομική επιβάρυνση.

(β) Σε περίπτωση που τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας δύναται να-

(i)Επιβάλει την καταβολή εύλογου τέλους ανάλογα με τις διοικητικές δαπάνες για την παροχή των πληροφοριών ή τη γνωστοποίηση ή την εκτέλεση της ζητούμενης ενέργειας, ή

(ii)αρνηθεί να απαντήσει στο αίτημα:

Νοείται ότι, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης, του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.

(5) Ο υπεύθυνος επεξεργασίας δύναται να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων, εάν έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα σύμφωνα με τις διατάξεις του άρθρου 16 ή 18.

Ενημέρωση που διατίθεται ή δίδεται στο υποκείμενο των δεδομένων

15.-(1) Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, τουλάχιστον τις ακόλουθες πληροφορίες:

(α)Την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας·

(β)τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση·

(γ)τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·

(δ)το δικαίωμα υποβολής καταγγελίας στον Επίτροπο και τα στοιχεία επικοινωνίας του Επιτρόπου·

(ε)το δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν στο εν λόγω πρόσωπο.

(2) Πέραν των πληροφοριών που αναφέρονται στο εδάφιο (1), ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, κατά περίπτωση, τις ακόλουθες συμπληρωματικές πληροφορίες, προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του:

(α)Τη νομική βάση της επεξεργασίας·

(β)το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια στη βάση των οποίων καθορίζεται το εν λόγω χρονικό διάστημα·

(γ)όπου εφαρμόζεται, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς·

(δ)εφόσον κρίνεται σκόπιμο, συμπληρωματικές πληροφορίες, ιδιαίτερα όταν τα δεδομένα προσωπικού χαρακτήρα, συλλέγονται εν αγνοία του υποκειμένου των δεδομένων.

(3) Ο υπεύθυνος επεξεργασίας δύναται να καθυστερήσει, να περιορίσει ή να παραλείψει να παράσχει τις αναφερόμενες στο εδάφιο (2) πληροφορίες στο υποκείμενο των δεδομένων, εφόσον και στον βαθμό που ένα τέτοιο μέτρο είναι αναγκαίο και αναλογικό, λαμβανομένων δεόντως υπόψη των έννομων συμφερόντων του ενδιαφερόμενου φυσικού προσώπου, με σκοπό-

(α)Την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών,

(β)την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων,

(γ)την προστασία της δημόσιας ασφάλειας,

(δ)την προστασία της εθνικής ασφάλειας,

(ε)την προστασία των δικαιωμάτων και των ελευθεριών τρίτων προσώπων.

(4) Κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο Επίτροπος δύναται να καταρτίζει και να δημοσιοποιεί κατάλογο με τις κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται, εν όλω ή εν μέρει, στους σκοπούς που αναφέρονται στις παραγράφους (α) έως (ε) του εδαφίου (3).

Δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων

16. Με την επιφύλαξη των διατάξεων του άρθρου 17, το υποκείμενο των δεδομένων έχει δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση κατά πόσον δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται ή όχι σε επεξεργασία και, εφόσον συμβαίνει αυτό, να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

(α)Τους σκοπούς και τη νομική βάση για την επεξεργασία·

(β)τις κατηγορίες δεδομένων προσωπικού χαρακτήρα των οποίων γίνεται επεξεργασία·

(γ)τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς·

(δ)εφόσον είναι δυνατόν, το προβλεπόμενο χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια στη βάση των οποίων καθορίζεται το εν λόγω διάστημα·

(ε)το δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν στο υποκείμενο των δεδομένων·

(στ)το δικαίωμα υποβολής καταγγελίας στον Επίτροπο και τα στοιχεία επικοινωνίας του Επιτρόπου ·

(ζ)τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα, τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας, όσον αφορά στην προέλευσή τους.

Περιορισμοί του δικαιώματος πρόσβασης

17.-(1) Ο υπεύθυνος επεξεργασίας, ύστερα από διαβούλευση με τον Επίτροπο, δύναται να περιορίσει, εν όλω ή εν μέρει, την άσκηση του δικαιώματος πρόσβασης που αναφέρεται στο άρθρο 16, στο βαθμό και για το χρονικό διάστημα που ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων και συνιστά αναγκαίο και αναλογικό μέτρο, με σκοπό-

(α)Την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών,

(β)την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων,

(γ)την προστασία της δημόσιας ασφάλειας,

(δ)την προστασία της εθνικής ασφάλειας,

(ε)την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

(2) Κατόπιν αιτήματος του υπεύθυνου επεξεργασίας, ο Επίτροπος δύναται να καταρτίζει και να δημοσιοποιεί κατάλογο με τις κατηγορίες επεξεργασίας οι οποίες ενδέχεται να υπάγονται, εν όλω ή εν μέρει, στoν περιορισμό του δικαιώματος πρόσβασης.

(3) Στις αναφερόμενες στα εδάφια (1) και (2) περιπτώσεις, ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως και αμελλητί το υποκείμενο των δεδομένων για κάθε άρνηση ή περιορισμό πρόσβασης, τεκμηριώνοντας τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφασή του:

Νοείται ότι οι πιο πάνω αναφερόμενοι λόγοι άρνησης και η σχετική τεκμηρίωση τίθενται στη διάθεση του Επιτρόπου κατά την εξέταση τυχόν καταγγελίας από το υποκείμενο των δεδομένων.

(4) Ο υπεύθυνος επεξεργασίας δύναται να παραλείψει να παράσχει την ενημέρωση που αναφέρεται στο εδάφιο (3), εάν η παροχή των σχετικών πληροφοριών υπονομεύει έναν από τους προβλεπόμενους στο εδάφιο (1) σκοπούς.

(5) Σε κάθε περίπτωση ενημέρωσης του υποκειμένου των δεδομένων, σύμφωνα με το εδάφιο (3), ο υπεύθυνος επεξεργασίας ενημερώνει παράλληλα το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία προς τον Επίτροπο ή να ασκήσει προσφυγή εντός εβδομήντα πέντε (75) ημερών, στο Διοικητικό Δικαστήριο, δυνάμει των διατάξεων του Άρθρου 146 του Συντάγματος.

Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμού ως προς την επεξεργασία

18.-(1) Το υποκείμενο των δεδομένων, έχει δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας, τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα και τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα που το αφορούν, χωρίς άσκοπη καθυστέρηση, περιλαμβανομένης, μεταξύ άλλων και μέσω της παροχής συμπληρωματικής δήλωσης από αυτό.

(2) Σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα παραβιάζει τις διατάξεις των άρθρων 5, 10 ή 12 ή τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν προκειμένου να τηρηθεί η εκ του νόμου υποχρέωση του υπευθύνου επεξεργασίας το υποκείμενο των δεδομένων έχει δικαίωμα να εξασφαλίσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς άσκοπη καθυστέρηση.

(3) Στις αναφερόμενες στο εδάφιο (2) περιπτώσεις, ο υπεύθυνος επεξεργασίας διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς άσκοπη καθυστέρηση.

(4) Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, εάν-

(α)Η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητηθεί από το υποκείμενο των δεδομένων και δεν μπορεί να διαπιστωθεί το κατά πόσον αυτά είναι ακριβή ή ανακριβή, ή

(β)επιβάλλεται να διατηρηθούν τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απόδειξης:

Νοείται ότι, σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται δυνάμει των διατάξεων της παραγράφου (α), ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν από την άρση του περιορισμού της επεξεργασίας.

(5) Ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για κάθε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας τεκμηριώνοντας τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται η απόφασή του:

Νοείται ότι, οι λόγοι άρνησης καθώς επίσης και η σχετική τεκμηρίωση, τίθενται στη διάθεση του Επιτρόπου, κατά την εξέταση τυχόν καταγγελίας από το υποκείμενο των δεδομένων.

(6) Σε κάθε περίπτωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το εδάφιο (5), ο υπεύθυνος επεξεργασίας ενημερώνει παράλληλα το υποκείμενο των δεδομένων, για τη δυνατότητα να προβεί σε καταγγελία προς τον Επίτροπο ή να ασκήσει προσφυγή εντός εβδομήντα πέντε (75) ημερών, στο Διοικητικό Δικαστήριο δυνάμει των διατάξεων του Άρθρου 146 του Συντάγματος.

(7) Ο υπεύθυνος επεξεργασίας, δύναται να παραλείψει να παράσχει την προβλεπόμενη στο εδάφιο (5) ενημέρωση, στον βαθμό και για το χρονικό διάστημα που ένας τέτοιος περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο, λαμβάνοντας δεόντως υπόψη τα θεμελιώδη δικαιώματα και ελευθερίες με σκοπό-

(α)Την αποφυγή της παρακώλυσης επίσημων ή νομικών ερευνών, διερευνήσεων ή διαδικασιών, ή

(β)την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, ή

(γ)την προστασία της δημόσιας ασφάλειας, ή

(δ)την προστασία της εθνικής ασφάλειας, ή

(ε)την προστασία των δικαιωμάτων και των ελευθεριών τρίτων προσώπων.

(8) Ο υπεύθυνος επεξεργασίας γνωστοποιεί τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, στην αρμόδια αρχή από την οποία προέρχονται τα ανακριβή δεδομένα προσωπικού χαρακτήρα.

(9) Στις περιπτώσεις που τα δεδομένα προσωπικού χαρακτήρα διορθώθηκαν ή διαγράφηκαν ή περιορίστηκε η επεξεργασία τους, σύμφωνα με τις διατάξεις των εδαφίων (1), (2), (3) και (4), ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες και οι αποδέκτες διορθώνουν ή διαγράφουν τα δεδομένα προσωπικού χαρακτήρα ή περιορίζουν την επεξεργασία των υπ' ευθύνη τους δεδομένων προσωπικού χαρακτήρα.

Άσκηση δικαιωμάτων από το υποκείμενο των δεδομένων και επαλήθευση από τον Επίτροπο

19.-(1) Στις περιπτώσεις περιορισμού των δικαιωμάτων που αναφέρονται στα άρθρα 15, 16 και 18, τα δικαιώματα του υποκειμένου των δεδομένων είναι δυνατόν να ασκούνται μέσω του Επιτρόπου.

(2) Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, για τη δυνατότητα να ασκήσει τα δικαιώματά του μέσω του Επιτρόπου όπως προβλέπεται στο εδάφιο (1).

(3) Σε περίπτωση που ασκείται το αναφερόμενο στο εδάφιο (1) δικαίωμα, ο Επίτροπος γνωστοποιεί στο υποκείμενο των δεδομένων τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από τον Επίτροπο και ενημερώνει το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει προσφυγή εντός εβδομήντα πέντε (75) ημερών στο Διοικητικό Δικαστήριο, δυνάμει των διατάξεων του Άρθρου 146 του Συντάγματος.

Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες

20. Σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο ή φάκελο υπόθεσης που υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας, η άσκηση των προβλεπόμενων στα άρθρα 15, 16 και 18 δικαιωμάτων πραγματοποιείται τηρουμένων των διατάξεων του περί Ποινικής Δικονομίας Νόμου.

ΜΕΡΟΣ IV ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
Υποχρεώσεις του υπεύθυνου επεξεργασίας

21.-(1) Ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και της πιθανότητας και τους διαφορετικής πιθανότητας και σοβαρότητας κινδύνους προς τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει τα κατάλληλα μέτρα για την προστασία και την νόμιμη επεξεργασία των δεδομένων.

(2) Ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας.

(3) Τα αναφερόμενα στο εδάφιο (1) μέτρα επανεξετάζονται και επικαιροποιούνται, εφόσον αυτό καθίσταται αναγκαίο.

Προστασία των δεδομένων προσωπικού χαρακτήρα από το σχεδιασμό και εξ ορισμού

22.-(1) Ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας και του κόστους εφαρμογής και της φύσης του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και τους διαφορετικής πιθανότητας και σοβαρότητας κινδύνους που θέτει η επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων-

(α) Εφαρμόζει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, περιλαμβανομένης της χρήσης ψευδωνύμου, τα οποία έχουν σχεδιαστεί για την εφαρμογή των αρχών προστασίας των δεδομένων, περιλαμβανομένης της ελαχιστοποίησης των δεδομένων, και

(β) ενσωματώνει τις αναγκαίες διασφαλίσεις κατά την επεξεργασία, προκειμένου να πληρούνται οι απαιτήσεις του παρόντος Νόμου και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

(2) O υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι εξ ορισμού υποβάλλονται σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και ότι τα δεδομένα αυτά δεν καθίστανται προσπελάσιμα χωρίς την παρέμβαση φυσικού προσώπου:

Νοείται ότι, η υποχρέωση που υπέχει ο υπεύθυνος επεξεργασίας, ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, το βαθμό επεξεργασίας τους, το χρονικό διάστημα αποθήκευσης και την προσβασιμότητά τους.

Από κοινού υπεύθυνοι επεξεργασίας

23.-(1) Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τον τρόπο της επεξεργασίας αποτελούν από κοινού υπευθύνους επεξεργασίας.

(2) Οι αναφερόμενοι στο εδάφιο (1) υπεύθυνοι επεξεργασίας καθορίζουν μέσω συμφωνίας μεταξύ τους τις αντίστοιχες ευθύνες τους για την τήρηση των διατάξεων του παρόντος Νόμου, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και την παροχή των πληροφοριών που αναφέρονται στο άρθρο 15, περιλαμβανομένης της διαδικασίας ορισμού σημείου επικοινωνίας για τα υποκείμενα των δεδομένων:

Νοείται ότι, στο πλαίσιο της πιο πάνω συμφωνίας, ένας από τους από κοινού υπευθύνους επεξεργασίας, δύναται να οριστεί ως ενιαίο σημείο επικοινωνίας για τα υποκείμενα των δεδομένων, ώστε αυτά να ασκούν τα δικαιώματά τους:

Νοείται περαιτέρω ότι οι αναφερόμενοι στο εδάφιο (1) υπεύθυνοι επεξεργασίας δεν καθορίζουν μέσω συμφωνίας μεταξύ τους τις αντίστοιχες ευθύνες τους για την τήρηση των διατάξεων του παρόντος Νόμου, όταν αυτές καθορίζονται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία.

(3) Ανεξάρτητα από τους όρους της προβλεπόμενης στο εδάφιο (2) συμφωνίας, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του βάσει των διατάξεων του παρόντος Νόμου όσον αφορά και σε σχέση με κάθε έναν από τους υπευθύνους επεξεργασίας.

Εκτελών την επεξεργασία

24.-(1) Σε περίπτωση που η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληρεί τις απαιτήσεις του παρόντος Νόμου και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

(2) Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή έγκριση του υπεύθυνου επεξεργασίας:

Νοείται ότι, στην περίπτωση γενικής γραπτής έγκρισης, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν στην προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

(3)(α) Η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομικά δεσμευτική πράξη, υπαγόμενη στο ενωσιακό δίκαιο ή στην οικεία νομοθεσία, η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.

(β) Η αναφερόμενη στην παράγραφο (α) σύμβαση ή άλλη νομικά δεσμευτική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία-

(i) Ενεργεί μόνον κατ' εντολή του υπευθύνου επεξεργασίας,

(ii) εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα νόμιμη υποχρέωση τήρησης εμπιστευτικότητας,

(iii) επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων,

(iv) κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας, μετά το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το ενωσιακό δίκαιο ή η οικεία νομοθεσία ή το δίκαιο άλλου κράτους μέλους απαιτούν την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

(v) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο,

(vi) τηρεί τους όρους που αναφέρονται στα εδάφια (2) και (3) για την πρόσληψη άλλου εκτελούντος την επεξεργασία.

(4) Η προβλεπόμενη στο εδάφιο (3) σύμβαση ή η άλλη νομική πράξη είναι γραπτή:

Νοείται ότι, για τους σκοπούς του παρόντος εδαφίου ο όρος «γραπτή» περιλαμβάνει και ηλεκτρονική μορφή.

(5) Σε περίπτωση που ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση των διατάξεων του παρόντος Νόμου, τους σκοπούς και τον τρόπο επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία καθίσταται υπεύθυνος επεξεργασίας σε σχέση με την συγκεκριμένη επεξεργασία.

Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

25. Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, δεν επεξεργάζεται τα εν λόγω δεδομένα παρά μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από τον παρόντα Νόμο ή το ενωσιακό δίκαιο ή την οικεία νομοθεσία.

Αρχεία των δραστηριοτήτων επεξεργασίας

26.-(1) Κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος και το αρχείο αυτό περιλαμβάνει τις ακόλουθες πληροφορίες:

(α) Το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων·

(β) τους σκοπούς της επεξεργασίας·

(γ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών τρίτων χωρών ή διεθνών οργανισμών·

(δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα·

(ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·

(στ) όπου εφαρμόζεται, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό·

(ζ) αναφορά στη νομική βάση της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·

(η) εφόσον είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα·

(θ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο εδάφιο (1) του άρθρου 32.

(2) Κάθε εκτελών την επεξεργασία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο και περιλαμβάνει τα ακόλουθα:

(α) Το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων·

(β) τις κατηγορίες επεξεργασίας που διεξάγεται εκ μέρους κάθε υπευθύνου επεξεργασίας·

(γ) κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας·

(δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που αναφέρονται στο εδάφιο (1) του άρθρου 32.

(3) Τα αρχεία που αναφέρονται στα εδάφια (1) και (2) διατηρούνται γραπτώς και, μεταξύ άλλων, και σε ηλεκτρονική μορφή.

(4) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία των δραστηριοτήτων στη διάθεση του Επιτρόπου, κατόπιν αιτήματος.

Καταχωρήσεις

27.-(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τηρούνται καταχωρήσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήματα αυτοματοποιημένης επεξεργασίας:

(α) Συλλογή πληροφοριών,

(β) μεταβολή πληροφοριών,

(γ) αναζήτηση πληροφοριών,

(δ) αποκάλυψη πληροφοριών, περιλαμβανομένων των διαβιβάσεων,

(ε) συνδυασμό πληροφοριών και

(στ) διαγραφή πληροφοριών.

(2) Οι καταχωρήσεις της αναζήτησης πληροφοριών και της αποκάλυψης, επιτρέπουν τον προσδιορισμό της αιτιολόγησης και της ημερομηνίας και της ώρας των εν λόγω πράξεων και, όπου είναι δυνατό, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή αποκάλυψε δεδομένα προσωπικού χαρακτήρα, καθώς και της ταυτότητας των αποδεκτών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

(3) Οι καταχωρήσεις χρησιμοποιούνται αποκλειστικά για την επαλήθευση της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο πειθαρχικών ή ποινικών διαδικασιών.

(4) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία των καταχωρήσεων στη διάθεση του Επιτρόπου, κατόπιν αιτήματος.

Εκτίμηση αντικτύπου στην προστασία των δεδομένων

28.-(1) Πριν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας προβαίνει σε εκτίμηση αντικτύπου των πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα, στις περιπτώσεις όπου τύπος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών της επεξεργασίας.

(2) Η αναφερόμενη στο εδάφιο (1) εκτίμηση περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων αυτών, καθώς επίσης και εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση με τις διατάξεις του παρόντος Νόμου, λαμβανομένων υπόψη των δικαιωμάτων και των έννομων συμφερόντων των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

Συνεργασία με τον Επίτροπο

29. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται, κατόπιν αιτήματος, με τον Επίτροπο κατά την άσκηση των καθηκόντων του.

Προηγούμενη διαβούλευση με τον Επίτροπο

30.-(1) Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαβουλεύεται με τον Επίτροπο πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον-

(α) Από εκτίμηση των επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα που διενεργείται σύμφωνα με το άρθρο 28, προκύπτει ότι η επεξεργασία θα προκαλέσει μεγάλο κίνδυνο, εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του κινδύνου, ή

(β) ο τύπος επεξεργασίας, ιδίως κατά τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

(2) Ο Επίτροπος δύναται να καταρτίζει κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει των διατάξεων του εδαφίου (1).

(3) Ο υπεύθυνος επεξεργασίας διαβιβάζει στον Επίτροπο, την εκτίμηση αντικτύπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που διενεργείται σύμφωνα με τις διατάξεις του άρθρου 28 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στον Επίτροπο να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τις σχετικές εγγυήσεις.

(4) Σε περίπτωση που ο Επίτροπος κρίνει ότι η σχεδιαζόμενη επεξεργασία που αναφέρεται στο εδάφιο (1) θα παραβίαζε τις διατάξεις του παρόντος Νόμου, ιδίως εάν ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει ή μετριάσει επαρκώς τον κίνδυνο, παρέχει γραπτώς, εντός έξι (6) εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης, συμβουλές στον υπεύθυνο επεξεργασίας και, κατά περίπτωση, στον εκτελούντα την επεξεργασία, ενώ δύναται να ασκήσει οποιαδήποτε από τις εξουσίες του που προβλέπονται στο άρθρο 46.

(5) Η αναφερόμενη στο εδάφιο (4) προθεσμία δύναται να παραταθεί κατά ένα (1) μήνα, λαμβάνοντας υπόψη την πολυπλοκότητα που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(6) Σε περίπτωση που απαιτείται παράταση της προθεσμίας δυνάμει των διατάξεων του εδαφίου (5), ο Επίτροπος ενημερώνει τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, τον εκτελούντα την επεξεργασία για την ενδεχόμενη παράταση εντός ενός (1) μηνός από την παραλαβή του αιτήματος διαβούλευσης, καθώς και για τους λόγους της καθυστέρησης.

(7) Σε περίπτωση διενέργειας εκτίμησης αντικτύπου που αφορά διαβίβαση δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) του άρθρου 40, ο Επίτροπος, για σοβαρούς λόγους δημοσίου συμφέροντος, δύναται να επιβάλει ρητώς περιορισμούς στην προβλεπόμενη διαβίβαση, με όρους και προϋποθέσεις για την εφαρμογή μέτρων μετριασμού του κινδύνου που υποδεικνύει η εκτίμηση αντικτύπου για την προβλεπόμενη διαβίβαση.

Διαβίβαση και συνδυασμός συστημάτων αρχειοθέτησης

31.-(1) Επεξεργασία που αφορά στη διαβίβαση ή στη συσχέτιση ή στο συνδυασμό συστημάτων αρχειοθέτησης μεγάλης κλίμακας δύο ή περισσοτέρων αρμοδίων αρχών ή μεταξύ αρμοδίων αρχών και άλλων δημόσιων αρχών ή φορέων, και η οποία γίνεται για τους σκοπούς της παραγράφου (α) του άρθρου 3, επιτρέπεται μόνο για λόγους δημοσίου συμφέροντος και εφόσον πληρούνται οι προϋποθέσεις που αναφέρονται στις παραγράφους (α) και (γ) του εδαφίου (1) του άρθρου 10.

(2) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), σε περίπτωση που επεξεργασία αφορά τη διαβίβαση ή τη συσχέτιση ή το συνδυασμό αναφερόμενων στο άρθρο 12 ειδικών κατηγοριών δεδομένων, μεταξύ συστημάτων αρχειοθέτησης μεγάλης κλίμακας δύο ή περισσοτέρων αρμοδίων αρχών, ή μεταξύ αρμοδίων αρχών και άλλων δημόσιων αρχών ή φορέων, και η οποία διενεργείται με τη χρήση του αριθμού δελτίου ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής για τους σκοπούς της παραγράφου (α) του άρθρου 3, απαιτείται διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(3) Η αναφερόμενη στο εδάφιο (2) εκτίμηση αντικτύπου διενεργείται από κοινού από τις αρμόδιες ή τις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους σύμφωνα με τις διατάξεις του άρθρου 28 και περιλαμβάνει τα τεχνικά και οργανωτικά μέτρα ασφάλειας που αναφέρονται στο άρθρο 32.

(4) Ο Επίτροπος δύναται να επιτρέψει τον προβλεπόμενο συνδυασμό ή και να επιβάλει στις αρμόδιες ή τις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους, όρους και προϋποθέσεις για την πραγματοποίησή του, περιλαμβανομένης της εφαρμογής μέτρων μετριασμού του κινδύνου που υποδεικνύει η εκτίμηση αντικτύπου για την προβλεπόμενη επεξεργασία.

Ασφάλεια επεξεργασίας

32.-(1) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, καθώς επίσης τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, σε συνάρτηση με τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, ιδίως όσον αφορά στην επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 12, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα που αφορούν σε καταδίκες.

(2) Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν εκτίμησης των κινδύνων, μέτρα τα οποία είναι σχεδιασμένα κατά τρόπον ώστε να-

(α) Απαγορεύουν την πρόσβαση μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό),

(β) αποτρέπουν τη μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή αφαίρεση υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων),

(γ) αποτρέπουν τη μη επιτρεπόμενη εισαγωγή δεδομένων προσωπικού χαρακτήρα και τον μη επιτρεπόμενο έλεγχο, τροποποίηση ή διαγραφή αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης),

(δ) αποτρέπουν τη χρήση συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών),

(ε) διασφαλίζουν ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα),

(στ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας),

(ζ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα προσωπικού χαρακτήρα (έλεγχος εισαγωγής),

(η) αποτρέπουν μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς),

(θ) διασφαλίζουν ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση),

(ι) διασφαλίζουν ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα).

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Επίτροπο

33.-(1) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στον Επίτροπο την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έλαβε γνώση της παραβίασης, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανόν να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(2) Σε περίπτωση που η αναφερόμενη στο εδάφιο (1) γνωστοποίηση πραγματοποιείται μετά την παρέλευση εβδομήντα δύο (72) ωρών συνοδεύεται από τους λόγους της καθυστέρησης.

(3) Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

(4) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση κατ' ελάχιστον-

(α) Περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων προσωπικού χαρακτήρα, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα,

(β) γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλιστούν περισσότερες πληροφορίες,

(γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

(δ) περιγράφει τα μέτρα που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

(5) Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

(6) Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα εκ των αναφερόμενων στο εδάφιο (1), αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης, κατά τρόπον ώστε η εν λόγω τεκμηρίωση να επιτρέπει στον Επίτροπο να επαληθεύει τη συμμόρφωση με τις διατάξεις του παρόντος άρθρου.

(7) Σε περίπτωση που η παραβίαση αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι αναφερόμενες στο εδάφιο (4) πληροφορίες γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς αδικαιολόγητη καθυστέρηση.

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

34.-(1) Σε περίπτωση που η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

(2) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα που προβλέπονται στις παραγράφους (β), (γ) και (δ) του εδαφίου (4) του άρθρου 33.

(3) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους ακόλουθους όρους:

(α) Ο υπεύθυνος επεξεργασίας θέσπισε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας τα οποία εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση, ειδικότερα δε τα μέτρα εκείνα που καθιστούν αδύνατη την κατανόηση των δεδομένων προσωπικού χαρακτήρα από όσους δεν διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα·

(β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στο εδάφιο (1) μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων· ή

(γ) η ενημέρωση του υποκειμένου είναι πρακτικά αδύνατη ή προϋποτίθενται δυσανάλογες προσπάθειες:

Νοείται ότι, στην περίπτωση αυτή, πραγματοποιείται δημόσια γνωστοποίηση ή εφαρμόζεται παρόμοιο μέτρο που να διασφαλίζει ότι τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα δύναται να ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

(4) Σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Επίτροπος, έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, δύναται να του ζητήσει να το πράξει ή να αποφασίσει ότι πληρούται οποιοσδήποτε από τους αναφερόμενους στο εδάφιο (3) όρους.

(5) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δυνατό να καθυστερήσει, να περιοριστεί ή να παραλειφθεί υπό τους όρους και για τους λόγους που αναφέρονται στο εδάφιο (3) του άρθρου 15.

Ορισμός του υπευθύνου προστασίας δεδομένων προσωπικού χαρακτήρα

35.-(1) Κάθε αρμόδια αρχή διορίζει υπεύθυνο προστασίας δεδομένων προσωπικού χαρακτήρα.

(2) Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ειδικότερα, με βάση την εμπειρογνωμοσύνη που διαθέτει στον τομέα του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα και των πρακτικών προστασίας των δεδομένων προσωπικού χαρακτήρα, καθώς επίσης και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37.

(3) Η αρμόδια αρχή δημοσιεύει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα γνωστοποιεί στον Επίτροπο.

Θέση του υπευθύνου προστασίας δεδομένων

36.-(1) Η αρμόδια αρχή διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

(2) Η αρμόδια αρχή υποστηρίζει τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 37, παρέχοντας τους αναγκαίους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και για τη διατήρηση της εμπειρογνωμοσύνης του.

(3) Η αρμόδια αρχή διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων, δεν απολύεται και δεν υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του.

(4) Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο της αρμόδιας αρχής.

(5) Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους και με την άσκηση των δικαιωμάτων που τους παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου.

(6) Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία.

(7) Ο υπεύθυνος προστασίας δεδομένων δύναται να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, εφόσον τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

(8) Το ίδιο πρόσωπο δύναται να διοριστεί υπεύθυνος προστασίας δεδομένων για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους.

(9) Το ίδιο πρόσωπο δύναται να διοριστεί υπεύθυνος προστασίας δεδομένων για την εκπλήρωση των καθηκόντων που αναφέρονται στο άρθρο 37, καθώς και για την εκπλήρωση των καθηκόντων που αναφέρονται στο άρθρο 39 του Κανονισμού (ΕΕ) 2016/679.

Καθήκοντα του υπευθύνου προστασίας δεδομένων

37. Η αρμόδια αρχή αναθέτει στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:

(α) Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας και τους υπαλλήλους που διενεργούν επεξεργασία αναφορικά με τις υποχρεώσεις τους, σύμφωνα με τις διατάξεις του παρόντος Νόμου και του ενωσιακού δικαίου ή της οικείας νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·

(β) παρακολουθεί τη συμμόρφωση με τις διατάξεις του παρόντος Νόμου, του ενωσιακού δικαίου ή της οικείας νομοθεσίας, σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και με τις πολιτικές του υπευθύνου επεξεργασίας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

(γ) παρέχει συμβουλές, έπειτα από σχετικό αίτημα, όσον αφορά στην εκτίμηση κινδύνου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και να παρακολουθεί τα αποτελέσματα των εκτιμήσεων σύμφωνα με το άρθρο 28·

(δ) συνεργάζεται με τον Επίτροπο·

(ε) ενεργεί ως σημείο επικοινωνίας για τον Επίτροπο αναφορικά με ζητήματα που σχετίζονται με την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στα άρθρα 30 και 31 και διαβουλεύεται, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

ΜΕΡΟΣ V ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα

38.-(1) Κάθε διαβίβαση από αρμόδια αρχή, δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων των περαιτέρω διαβιβάσεων προς άλλη τρίτη χώρα ή διεθνή οργανισμό, επιτρέπεται να πραγματοποιηθεί, τηρουμένων των λοιπών διατάξεων του παρόντος Νόμου, μόνον εφόσον πληρούνται οι όροι που ορίζονται στο παρόν Μέρος και ειδικότερα όταν πληρούνται οι πιο κάτω όροι:

(α) Η διαβίβαση είναι αναγκαία για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(β) τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε υπεύθυνο επεξεργασίας σε τρίτη χώρα ή διεθνή οργανισμό που αποτελεί αρμόδια αρχή για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(γ) σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται ή καθίστανται διαθέσιμα από άλλο κράτος μέλος, το εν λόγω κράτος μέλος έχει δώσει προηγουμένως την έγκρισή του για τη διαβίβαση σύμφωνα με το εθνικό του δίκαιο·

(δ) η Επιτροπή έχει προβεί σε απόφαση περί επάρκειας όπως προβλέπεται στο άρθρο 39 ή, ελλείψει τέτοιας απόφασης, έχουν παρασχεθεί ή υπάρχουν κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 40 ή, ελλείψει τόσο απόφασης περί επάρκειας όπως προβλέπεται στο άρθρο 39 όσο και κατάλληλων εγγυήσεων σύμφωνα με το άρθρο 40, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 41· και

(ε) σε περίπτωση περαιτέρω διαβίβασης σε άλλη τρίτη χώρα ή διεθνή οργανισμό, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση ή άλλη αρμόδια αρχή στο ίδιο κράτος μέλος επιτρέπει την περαιτέρω διαβίβαση, αφού λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, συμπεριλαμβανομένων της σοβαρότητας του ποινικού αδικήματος, των σκοπών για τους οποίους διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό στα οποία διαβιβάζονται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα.

(2) Διαβίβαση χωρίς την προηγούμενη έγκριση άλλου κράτους μέλους, όπως προβλέπεται στην παράγραφο (γ) του εδαφίου (1), επιτρέπεται μόνον εφόσον η διαβίβαση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια της Δημοκρατίας ή άλλου κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα άλλου κράτους μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί εγκαίρως:

Νοείται ότι, σε τέτοια περίπτωση η αρχή που είναι υπεύθυνη για την παροχή της προηγούμενης έγκρισης ενημερώνεται χωρίς καθυστέρηση.

(3) Όλες οι διατάξεις του παρόντος Μέρους εφαρμόζονται για να εξασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζεται δυνάμει των διατάξεων του παρόντος Νόμου.

Διαβιβάσεις με απόφαση περί επάρκειας

39.-(1) Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή έχει αποφασίσει ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή από τον εν λόγω διεθνή οργανισμό.

(2) Για την προβλεπόμενη στο εδάφιο (1) διαβίβαση δεν απαιτείται ειδική έγκριση.

(3) Απόφαση της Επιτροπής ότι, μια τρίτη χώρα, μια περιοχή ή ένας ή περισσότεροι συγκεκριμένοι τομείς εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας, δεν θίγει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα, στην εδαφική περιοχή ή στον ένα ή περισσότερους συγκεκριμένους τομείς εντός της εν λόγω τρίτης χώρας ή στον εν λόγω διεθνή οργανισμό που πραγματοποιήθηκαν στη βάση κατάλληλων εγγυήσεων σύμφωνα με τις διατάξεις του άρθρου 40 ή στη βάση παρεκκλίσεων για ειδικές καταστάσεις σύμφωνα με τις διατάξεις του άρθρου 41.

Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

40.-(1) Ελλείψει απόφασης επάρκειας όπως προβλέπεται στο εδάφιο (1) του άρθρου 39, διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί, εφόσον-

(α) Παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη, ή

(β) τηρουμένων των διατάξεων του εδαφίου (7) του άρθρου 30, ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.

(2) Ο υπεύθυνος επεξεργασίας ενημερώνει τον Επίτροπο σχετικά με τις κατηγορίες διαβιβάσεων που διενεργήθηκαν δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1).

(3) Διαβίβαση που διενεργείται δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση του Επιτρόπου, κατόπιν αιτήματός του, και περιλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αρμόδια αρχή αποδοχής, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

Παρεκκλίσεις για ειδικές καταστάσεις

41.-(1) Ελλείψει απόφασης περί επάρκειας όπως προβλέπεται στο άρθρο 39 ή κατάλληλων εγγυήσεων όπως προβλέπεται στο άρθρο 40, διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον η διαβίβαση είναι αναγκαία-

(α) Για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου,

(β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων, σύμφωνα με την οικεία νομοθεσία, νοουμένου ότι, η διαβίβαση δεν παρακωλύει το έργο της διαβιβάζουσας αρμόδιας αρχής στην συγκεκριμένη περίπτωση,

(γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια ή την εθνική ασφάλεια της Δημοκρατίας ή τρίτης χώρας,

(δ) σε μεμονωμένες περιπτώσεις για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, ή

(ε) σε μεμονωμένη περίπτωση για τη θεμελίωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων οι οποίες σχετίζονται με τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3.

(2) Τα δεδομένα προσωπικού χαρακτήρα δεν διαβιβάζονται εάν η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων υπερισχύουν του δημοσίου συμφέροντος για τις προβλεπόμενες στις παραγράφους (δ) και (ε) του εδαφίου (1) διαβιβάσεις.

(3) Διαβίβαση που διενεργείται δυνάμει των διατάξεων του εδαφίου (1) τεκμηριώνεται και η τεκμηρίωση τίθεται στη διάθεση του Επιτρόπου, κατόπιν αιτήματός του, και περιλαμβάνει την ημερομηνία και το χρόνο της διαβίβασης, πληροφορίες σχετικά με την αρμόδια αρχή αποδοχής, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες

42.-(1) Κατά παρέκκλιση από τις διατάξεις της παραγράφου (β) του εδαφίου (1) του άρθρου 38 και με την επιφύλαξη τυχόν διεθνούς συμφωνίας που αναφέρεται στο εδάφιο (2) του παρόντος άρθρου, οι αρμόδιες αρχές δύνανται, σε μεμονωμένες και ειδικές περιπτώσεις, να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας προς αποδέκτες εγκατεστημένους σε τρίτες χώρες αλλά μόνον όταν τηρούνται οι άλλες διατάξεις του παρόντος Νόμου και πληρούνται όλοι οι ακόλουθοι όροι:

(α) Η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση καθήκοντος της διαβιβάζουσας αρμόδιας αρχής, όπως προβλέπεται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3·

(β) η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του σχετικού υποκειμένου των δεδομένων δεν υπερισχύουν του δημοσίου συμφέροντος που απαιτεί τη διαβίβαση στη συγκεκριμένη περίπτωση·

(γ) η διαβιβάζουσα αρμόδια αρχή θεωρεί ότι η διαβίβαση προς αρχή αρμόδια για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, στην τρίτη χώρα, είναι αναποτελεσματική ή ακατάλληλη, ιδίως διότι δεν μπορεί να επιτευχθεί σε εύθετο χρόνο·

(δ) η αρχή που είναι αρμόδια για τους σκοπούς που ορίζονται στην παράγραφο (α) του άρθρου 3, στην τρίτη χώρα, ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο· και

(ε) η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον αποδέκτη για τον συγκεκριμένο σκοπό ή σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον τελευταίο αυτό υπό τον όρο ότι η εν λόγω επεξεργασία είναι απαραίτητη.

(2) Η αναφερόμενη στο εδάφιο (1) διεθνής συμφωνία δύναται να είναι οποιαδήποτε ισχύουσα διμερής ή πολυμερής διεθνής συμφωνία μεταξύ της Δημοκρατίας και τρίτων χωρών στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

(3) Κάθε διαβίβαση που διενεργείται δυνάμει των διατάξεων του εδαφίου (1) τεκμηριώνεται.

(4) Η διαβιβάζουσα αρμόδια αρχή ενημερώνει τον Επίτροπο, σχετικά με τις διαβιβάσεις δυνάμει των διατάξεων του παρόντος άρθρου, καθώς και για την προβλεπόμενη στο εδάφιο (3) τεκμηρίωσή τους.

Διεθνής συνεργασία Επιτρόπου για την προστασία δεδομένων προσωπικού χαρακτήρα

43. Ο Επίτροπος δύναται, για σκοπούς εκτέλεσης των καθηκόντων του δυνάμει των διατάξεων του παρόντος Νόμου να συνομολογεί μνημόνια διεθνούς συνεργασίας με αντίστοιχες αρμόδιες αρχές τρίτων χωρών με σκοπό-

(α) Την ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα,

(β) την παροχή διεθνούς αμοιβαίας συνδρομής για την εφαρμογή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων, μέσω γνωστοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών,

(γ) τη συμμετοχή των εκάστοτε ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την εφαρμογή της νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα,

(δ) την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής που αφορούν στην προστασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων για θέματα συγκρούσεων δικαιοδοσίας με τρίτες χώρες.

ΜΕΡΟΣ VI ΕΠΙΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αρμοδιότητα και ανεξαρτησία Επιτρόπου

44.-(1) Ο Επίτροπος είναι αρμόδιος να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που κατά καιρούς ανατίθενται σε αυτόν δυνάμει των διατάξεων του παρόντος Νόμου ή οποιασδήποτε άλλης οικείας νομοθεσίας.

(2) Ο Επίτροπος ενεργεί με πλήρη ανεξαρτησία κατά την εκτέλεση των καθηκόντων του και την άσκηση των εξουσιών του, σύμφωνα με τον παρόντα Νόμο.

Καθήκοντα Επιτρόπου

45. (1) Χωρίς επηρεασμό της γενικότητας των διατάξεων του άρθρου 44, ο Επίτροπος-

(α) Παρακολουθεί και επιβάλλει την εφαρμογή των διατάξεων του παρόντος Νόμου και των Κανονισμών της Ένωσης και των εκτελεστικών μέτρων που εκδίδονται δυνάμει των Κανονισμών αυτών,

(β) προωθεί την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους δυνάμει των διατάξεων του παρόντος Νόμου,

(γ) κατόπιν αιτήματος, παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων τους δυνάμει των διατάξεων του παρόντος Νόμου και, ενδεχομένως, συνεργάζεται για το σκοπό αυτό με τις εποπτικές αρχές άλλων κρατών μελών,

(δ) χειρίζεται τις καταγγελίες που υποβάλλονται σύμφωνα με το άρθρο 48 από υποκείμενο δεδομένων ή από φορέα, οργανισμό ή ένωση που εκπροσωπεί το υποκείμενο των δεδομένων,

(ε) ερευνά, στο μέτρο του δυνατού, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με εποπτική αρχή άλλου κράτους μέλους,

(στ) ελέγχει τη νομιμότητα της επεξεργασίας δυνάμει των διατάξεων του άρθρου 19 και ενημερώνει το υποκείμενο των δεδομένων εντός εύλογου χρονικού διαστήματος για την έκβαση του ελέγχου αυτού, όπως προβλέπεται στο εδάφιο (3) του εν λόγω άρθρου ή για τους λόγους για τους οποίους δεν διενεργήθηκε ο έλεγχος,

(ζ) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής των διατάξεων του παρόντος Νόμου,

(η) διενεργεί έρευνες σχετικά με την εφαρμογή των διατάξεων του παρόντος Νόμου, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,

(θ) παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 30 και του άρθρου 31,

(ι) περιλαμβάνει στην ετήσια έκθεση που εκπονεί σύμφωνα με το άρθρο 26 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμου, δραστηριότητες που αφορούν την εφαρμογή των διατάξεων του παρόντος Νόμου:

Νοείται ότι οι δραστηριότητες αυτές δύναται να περιλαμβάνουν κατάλογο των τύπων των γνωστοποιημένων παραβάσεων και των ειδών των επιβαλλόμενων κυρώσεων.

(2) Ο Επίτροπος διευκολύνει την υποβολή των καταγγελιών που αναφέρονται στην παράγραφο (δ) του εδαφίου (1), με μέτρα όπως η παροχή εντύπου υποβολής καταγγελίας το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

(3) Ο Επίτροπος ασκεί τα καθήκοντά του χωρίς οικονομική επιβάρυνση για το υποκείμενο των δεδομένων και για τον υπεύθυνο προστασίας δεδομένων.

(4) Εάν ένα αίτημα είναι προδήλως αβάσιμο ή υπερβολικό, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του, ο Επίτροπος μπορεί να επιβάλει εύλογο τέλος βάσει των διοικητικών δαπανών ή μπορεί να αρνηθεί να απαντήσει στο αίτημα.

(5) Ο Επίτροπος φέρει το βάρος απόδειξης ότι το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό.

(6) Ο Επίτροπος, παρέχει συμβουλές στον υπεύθυνο επεξεργασίας, σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 30.

(7) Ο Επίτροπος είναι μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων που ιδρύεται με βάση τον Κανονισμό (ΕΕ) 2016/679 και συμβάλλει στην εκτέλεση των καθηκόντων του Συμβουλίου τα οποία αναφέρονται στο άρθρο 51 της Οδηγίας.

Εξουσίες του Επιτρόπου

46.-(1) Ο Επίτροπος έχει τις ακόλουθες ερευνητικές εξουσίες:

(α) Δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων του·

(β) διεξάγει είτε αυτοπροσώπως είτε διαμέσου των λειτουργών του γραφείου του έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων προσωπικού χαρακτήρα:

Νοείται ότι, για σκοπούς διεξαγωγής του ελέγχου, ο Επίτροπος ή ο λειτουργός του γραφείου του δύναται να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού, μέσου επεξεργασίας δεδομένων προσωπικού χαρακτήρα και μεταφορικού μέσου·

(γ) ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση των διατάξεων του παρόντος Νόμου·

(δ) αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων του.

(2) Τηρουμένων των εξουσιών που του παρέχονται δυνάμει του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμο, ο Επίτροπος έχει τις ακόλουθες διορθωτικές εξουσίες:

(α) Απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν τις διατάξεις του παρόντος Νόμου·

(β) δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος Νόμου, όπου αρμόζει, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων, ή περιορισμού της επεξεργασίας δυνάμει των διατάξεων του άρθρου 18·

(γ) επιβάλλει προσωρινό ή οριστικό περιορισμό ή/και απαγόρευση της επεξεργασίας.

(3) Η άσκηση εκ μέρους του Επιτρόπου των εξουσιών που του παρέχονται δυνάμει των διατάξεων του εδαφίου (2), υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης προσφυγής σύμφωνα με τις διατάξεις του άρθρου 49.

(4) Ο Επίτροπος έχει εξουσία να γνωστοποιεί στο Γενικό Εισαγγελέα της Δημοκρατίας παραβάσεις διατάξεων του παρόντος Νόμου που ενδέχεται να συνιστούν αδίκημα με βάση τις διατάξεις του άρθρου 55.

Αμοιβαία συνδρομή

47.-(1) Ο Επίτροπος παρέχει σε εποπτικές αρχές άλλων κρατών μελών σχετικές πληροφορίες και αμοιβαία συνδρομή για εκτέλεση των καθηκόντων τους, όπως προβλέπεται στον παρόντα Νόμο.

(2) Η αμοιβαία συνδρομή καλύπτει ειδικότερα αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, περιλαμβανομένων αιτημάτων για διαβουλεύσεις, ελέγχους και έρευνες.

(3) Το αίτημα παροχής αμοιβαίας συνδρομής που ο Επίτροπος υποβάλλει σε εποπτική αρχή άλλου κράτους μέλους περιέχει όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού του αιτήματος και των λόγων υποβολής του.

(4) Οι πληροφορίες που ο Επίτροπος λαμβάνει από εποπτική αρχή άλλου κράτους μέλους για τους σκοπούς του παρόντος άρθρου, χρησιμοποιούνται μόνο για το σκοπό για τον οποίο ζητήθηκαν.

(5) Ο Επίτροπος λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για την ανταπόκριση στο αίτημα άλλης εποπτικής αρχής χωρίς άσκοπη καθυστέρηση και το αργότερο εντός ενός (1) μηνός από την παραλαβή του αιτήματος.

(6) Τα προβλεπόμενα στο εδάφιο (3) μέτρα δυνατόν να περιλαμβάνουν τη διαβίβαση σχετικών πληροφοριών όσον αφορά τη διενέργεια έρευνας.

(7) Ο Επίτροπος δεν αρνείται να συμμορφωθεί προς αίτημα παροχής συνδρομής, παρά μόνον εάν-

(α) Δεν είναι αρμόδιος για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει, ή

(β) η συμμόρφωση προς το αίτημα θα παραβίαζε τις διατάξεις της Οδηγίας ή του ενωσιακού δικαίου ή του παρόντος Νόμου.

(8) Ο Επίτροπος ενημερώνει την εποπτική αρχή που υπέβαλε το αίτημα για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα ή εξηγεί τους λόγους για τους οποίους αρνείται να ανταποκριθεί στο αίτημα βάσει του εδαφίου (5).

(9) Ο Επίτροπος παρέχει, κατά κανόνα, τις πληροφορίες που ζητούνται από άλλες εποπτικές αρχές με ηλεκτρονικά μέσα, χρησιμοποιώντας τυποποιημένο μορφότυπο.

(10) Ο Επίτροπος δεν επιβάλλει κανένα τέλος για οποιαδήποτε ενέργεια αναλαμβάνει κατόπιν αιτήματος αμοιβαίας συνδρομής.

(11) Ο Επίτροπος και οι εποπτικές αρχές άλλων κρατών μελών, δύναται να συμφωνούν μεταξύ τους κανόνες σχετικούς με αποζημίωση, για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής σε εξαιρετικές περιστάσεις.

ΜΕΡΟΣ VII ΠΡΟΣΦΥΓΕΣ ΚΑΙ ΕΥΘΥΝΗ
Δικαίωμα υποβολής καταγγελίας στον Επίτροπο

48.-(1) Κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο, εάν θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τις διατάξεις του παρόντος Νόμου.

(2) Εάν η καταγγελία εμπίπτει στην αρμοδιότητα εποπτική αρχής άλλου κράτους μέλους, ο Επίτροπος τη διαβιβάζει στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και ενημερώνει το υποκείμενο των δεδομένων για τη διαβίβαση.

(3) Κατόπιν αιτήματος του υποκειμένου των δεδομένων, ο Επίτροπος παρέχει περαιτέρω συνδρομή στην αρμόδια εποπτική αρχή του άλλου κράτους μέλους για την εξέταση της καταγγελίας.

(4) Το υποκείμενο των δεδομένων ενημερώνεται από τον Επίτροπο για την πρόοδο και την έκβαση της καταγγελίας του, καθώς και για τη δυνατότητα άσκησης προσφυγής όπως προβλέπεται στο άρθρο 49.

Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά του Επιτρόπου

49.-(1) Κάθε φυσικό ή νομικό πρόσωπο, περιλαμβανομένης και της αρμόδιας αρχής, έχει το δικαίωμα προσφυγής στο Διοικητικό Δικαστήριο σύμφωνα με τις διατάξεις του Άρθρου 146 του Συντάγματος κατά νομικά δεσμευτικής απόφασης του Επιτρόπου, που το αφορά.

(2) Κάθε υποκείμενο δεδομένων έχει δικαίωμα προσφυγής στο Διοικητικό Δικαστήριο σύμφωνα με τις διατάξεις του Άρθρου 146 του Συντάγματος, εφόσον ο Επίτροπος, ως αρμόδιος δυνάμει των διατάξεων του άρθρου 45, δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός ενός (1) μηνός για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει των διατάξεων του άρθρου 48.

Δικαίωμα προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

50. Το υποκείμενο των δεδομένων έχει δικαίωμα προσφυγής στο Διοικητικό Δικαστήριο σύμφωνα με τις διατάξεις του Άρθρου 146 του Συντάγματος, εναντίον του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, εάν θεωρούν ότι τα δικαιώματά τους που απορρέουν από διατάξεις του παρόντος Νόμου παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, κατά παράβαση των εν λόγω διατάξεων.

Εκπροσώπηση υποκειμένων των δεδομένων

51. Το υποκείμενο των δεδομένων έχει δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή ένωση, που έχει συσταθεί δεόντως σύμφωνα με την οικεία νομοθεσία, με καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον, και το οποίο δρα στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, να υποβάλει την καταγγελία που αναφέρεται στο άρθρο 48 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 49 και 50, για λογαριασμό του.

Δικαίωμα αποζημίωσης

52. Κάθε πρόσωπο που έχει υποστεί υλική ζημία ή ηθική βλάβη εξαιτίας αθέμιτης επεξεργασίας ή οποιασδήποτε άλλης πράξης που παραβιάζει τις διατάξεις του παρόντος Νόμου, έχει δικαίωμα να λάβει αποζημίωση για τη ζημία την οποία υπέστη από τον υπεύθυνο επεξεργασίας ή από άλλη αρμόδια αρχή σύμφωνα με την οικεία νομοθεσία.

Εμπιστευτική αναφορά παραβάσεων στις αρμόδιες αρχές

53.-(1) Οι αρμόδιες αρχές ενθαρρύνουν την εμπιστευτική αναφορά παραβάσεων των διατάξεων του παρόντος Νόμου.

(2) Οι αρμόδιες αρχές θεσπίζουν κατάλληλες διαδικασίες για τη λήψη των καταγγελιών αυτών και την διερεύνησή τους.

(3) Η ταυτότητα του καταγγέλλοντος δεν αποκαλύπτεται στο πρόσωπο το οποίο αφορά η καταγγελία και οι αρμόδιες αρχές λαμβάνουν τα απαραίτητα μέτρα με σκοπό την προστασία της εμπιστευτικότητας των καταγγελιών που υποβάλλουν οι καταγγέλλοντες, μεταξύ άλλων , μέσω της διασφάλισης της εχεμύθειας.

ΜΕΡΟΣ VIII ΔΙΟΙΚΗΤΙΚΑ ΠΡΟΣΤΙΜΑ ΚΑΙ ΑΔΙΚΗΜΑΤΑ
Διοικητικό πρόστιμο

54.-(1) Ο Επίτροπος δύναται να επιβάλει στην αρμόδια αρχή που ενεργεί ως υπεύθυνος επεξεργασίας, διοικητικό πρόστιμο για παράβαση των διατάξεων του παρόντος Νόμου, το οποίο δεν υπερβαίνει τις εκατό χιλιάδες (€100.000) ευρώ.

(2) Σε περίπτωση άρνησης ή παράλειψης πληρωμής του διοικητικού προστίμου το οποίο επιβάλλεται από τον Επίτροπο, σύμφωνα με τις διατάξεις του παρόντος άρθρου, λαμβάνονται δικαστικά μέτρα προς είσπραξη του οφειλόμενου ποσού ως αστικού χρέους οφειλόμενου προς τη Δημοκρατία.

(3) Για την επιβολή διοικητικού προστίμου, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

(α) Η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και ο βαθμός ζημιάς που υπέστησαν·

(β) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων ·

(γ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των διατάξεων των άρθρων 22 και 32·

(δ) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία·

(ε) ο βαθμός συνεργασίας με τον Επίτροπο για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της·

(στ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση·

(ζ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη μέτρων, στο πλαίσιο των εξουσιών του Επιτρόπου που αναφέρονται στο άρθρο 47 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ο βαθμός συμμόρφωσης με τα εν λόγω μέτρα.

(4) Ο Επίτροπος επιβάλλει διοικητικό πρόστιμο, όπως προβλέπεται στο εδάφιο (1), σε υπεύθυνο επεξεργασίας ο οποίος-

(α) Δεν συνεργάζεται με τον Επίτροπο κατά παράβαση των διατάξεων του άρθρου 28 και εμποδίζει ή παρακωλύει την άσκηση των εξουσιών του Επιτρόπου που προβλέπονται στο άρθρο 46,

(β) δεν τηρεί το αρχείο δραστηριοτήτων ή δεν επικαιροποιεί το αρχείο αυτό ή αρνείται να θέσει το αρχείο αυτό στη διάθεση του Επιτρόπου κατόπιν αιτήματος ή παρέχει στον Επίτροπο ψευδείς, ανακριβείς, ελλιπείς ή παραπλανητικές πληροφορίες σχετικά με το αρχείο αυτό, κατά παράβαση των διατάξεων του άρθρου 26,

(γ) δεν τηρεί καταχωρήσεις για τις πράξεις επεξεργασίας σε συστήματα αυτοματοποιημένης επεξεργασίας σύμφωνα με τις διατάξεις του εδαφίου (1) του άρθρου 27 ή χρησιμοποιεί τις καταχωρήσεις για σκοπούς άλλους από αυτούς που προβλέπονται στο εδάφιο (2) του άρθρου 27 ή αρνείται να θέσει τις καταχωρήσεις στον Επίτροπο κατόπιν αιτήματος, κατά παράβαση των διατάξεων του εδαφίου (4) του άρθρου 27,

(δ) δεν γνωστοποιεί στον Επίτροπο παραβίαση δεδομένων προσωπικού χαρακτήρα όπως προβλέπεται στο εδάφιο (1) του άρθρου 33, ή

(ε) δεν γνωστοποιεί στο υποκείμενο των δεδομένων παραβίαση δεδομένων προσωπικού χαρακτήρα κατά παράβαση των διατάξεων του άρθρου 34.

Αδικήματα και ποινές

55.-(1) Διαπράττει αδίκημα-

(α) Ο εκτελών την επεξεργασία ο οποίος καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας κατά παράβαση των διατάξεων του παρόντος Νόμου, όπως προβλέπεται στο εδάφιο (5) του άρθρου 24,

(β) ο εκτελών την επεξεργασία ο οποίος έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και τα επεξεργάζεται χωρίς την εντολή του υπευθύνου επεξεργασίας κατά παράβαση των διατάξεων του άρθρου 25,

(γ) το πρόσωπο το οποίο, ενεργώντας υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, και τα επεξεργάζεται χωρίς την εντολή του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, κατά παράβαση των διατάξεων του άρθρου 25,

(δ) ο εκτελών την επεξεργασία ο οποίος δεν γνωστοποιεί στον υπεύθυνο επεξεργασίας παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως προβλέπεται στο εδάφιο (2) του άρθρου 33,

(ε) το πρόσωπο το οποίο εκ προθέσεως εμποδίζει τον υπεύθυνο προστασίας δεδομένων στην εκτέλεση των καθηκόντων του, σύμφωνα με το άρθρο 37, ιδιαίτερα αυτών που αφορούν τη συνεργασία με τον Επίτροπο,

(στ) το πρόσωπο το οποίο διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, κατά παράβαση των διατάξεων του Μέρους V του παρόντος Νόμου,

(ζ) το πρόσωπο το οποίο, χωρίς δικαίωμα επεμβαίνει με οποιοδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, εκμεταλλεύεται με οποιοδήποτε τρόπο, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων, για οποιοδήποτε σκοπό.

(2) Πρόσωπο το οποίο διαπράττει οποιοδήποτε από τα αναφερόμενα στο εδάφιο (1) αδικήματα υπόκειται, σε περίπτωση καταδίκης του, σε ποινή φυλάκισης που δεν υπερβαίνει το ένα (1) έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή/και στις δύο αυτές ποινές.

(3) Πρόσωπο το οποίο διαπράττει οποιοδήποτε από τα αναφερόμενα στο εδάφιο (1) αδικήματα με σκοπό την αποκόμιση οικονομικού ή άλλου προσωπικού οφέλους ή την πρόκληση οποιασδήποτε ζημιάς σε άλλο πρόσωπο υπόκειται, σε περίπτωση καταδίκης του, σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τριάντα χιλιάδες ευρώ (€30.000) ή/και στις δύο αυτές ποινές.

(4) Άνευ επηρεασμού των διατάξεων του περί Ποινικού Κώδικα Νόμου, σε περίπτωση που πράξεις που αναφέρονται στο εδάφιο (1) βλάπτουν τα συμφέροντα της Δημοκρατίας ή προκαλούν οποιασδήποτε μορφής απειλή για την εθνική ασφάλεια ή/και τη δημόσια τάξη, τούτο καθίσταται επιβαρυντικός παράγοντας και, σε περίπτωση που πρόσωπο καταδικάζεται για τέτοιο αδίκημα, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα πέντε (5) έτη ή χρηματική ποινή που δεν υπερβαίνει τις πενήντα χιλιάδες ευρώ (€50.000) ή/και στις τις δύο αυτές ποινές.

(5) Πρόσωπο το οποίο δεν συμμορφώνεται με τις διατάξεις του παρόντος Νόμου, κατά τη διενέργεια πράξης επεξεργασίας η οποία δεν συνιστά αδίκημα σύμφωνα με τις διατάξεις του εδαφίου (1), είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα (1) έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5000) ή/και στις δύο αυτές ποινές.

ΜΕΡΟΣ IX ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Κανονισμοί

56. Το Υπουργικό Συμβούλιο δύναται να εκδώσει Κανονισμούς για την αποτελεσματική εφαρμογή των διατάξεων του παρόντος Νόμου, οι οποίοι κατατίθενται στη Βουλή για έγκριση.

Σχέση με προηγουμένως συναφθείσες διεθνείς συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας

57. Οι διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τη Δημοκρατία πριν από τις 6 Μαΐου 2016 και οι οποίες είναι συμβατές προς το εφαρμοστέο πριν από την ημερομηνία έναρξης της ισχύος του παρόντος Νόμου δίκαιο, εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.