1. Ο παρών Νόμος θα αναφέρεται ως ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα από Αρμόδιες Αρχές για τους Σκοπούς της Πρόληψης, Διερεύνησης, Ανίχνευσης ή Δίωξης Ποινικών Αδικημάτων ή της Εκτέλεσης Ποινικών Κυρώσεων και για την Ελεύθερη Κυκλοφορία των Δεδομένων αυτών Νόμος του 2019.
2. Στον παρόντα Νόμο, εκτός αν από το κείμενο προκύπτει διαφορετική έννοια -
«αποδέκτης» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλο φορέα, προς τον οποίο κοινοποιούνται δεδομένα προσωπικού χαρακτήρα, εξαιρουμένων των δημόσιων αρχών που λαμβάνουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με την οικεία νομοθεσία·
«αρμόδια αρχή» σημαίνει την Αστυνομία Κύπρου, το Τμήμα Τελωνείων, τη Μονάδα Καταπολέμησης Αδικημάτων Συγκάλυψης και το Τμήμα Φορολογίας·
«Βάσεις» σημαίνει τις Κυρίαρχες Βάσεις του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας στην Δημοκρατία, όπως ορίζονται στο Άρθρο 1 του Παραρτήματος Α της Συνθήκης Εγκαθίδρυσης της Κυπριακής Δημοκρατίας της 16ης Αυγούστου 1960·
«βιομετρικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα που προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, και περιλαμβάνουν εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
«γενετικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα που αφορούν στα κληρονομούμενα ή επίκτητα γενετικά χαρακτηριστικά φυσικού προσώπου τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου και τα οποία προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου·
«δεδομένα που αφορούν στην υγεία» σημαίνει δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του εν λόγω προσώπου·
«δεδομένα προσωπικού χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο:
«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·
«διεθνής οργανισμός» σημαίνει οργανισμό και υπαγόμενους σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο και οποιονδήποτε άλλο φορέα έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο (2) ή περισσότερων κρατών·
«εκτελών την επεξεργασία» σημαίνει φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους του υπευθύνου επεξεργασίας·
«Ένωση» σημαίνει την Ευρωπαϊκή Ένωση·
«επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, και περιλαμβάνει τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την αποθήκευση, την προσαρμογή ή τη μεταβολή, την ανάκτηση, την αναζήτηση πληροφοριών, τη χρήση, την κοινολόγηση με διαβίβαση, τη διάδοση ή κάθε άλλη μορφή διάθεσης, τη συσχέτιση ή τον συνδυασμό, τον περιορισμό, τη διαγραφή ή την καταστροφή·
«Επιτροπή» σημαίνει την Ευρωπαϊκή Επιτροπή·
«Επίτροπος» σημαίνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που διορίζεται δυνάμει των διατάξεων του άρθρου 19 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου·
«Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων» ή «Συμβούλιο» σημαίνει το Συμβούλιο που καθιδρύεται δυνάμει των διατάξεων του άρθρου 68 του Κανονισμού (ΕΕ) 2016/679·
«Κανονισμός (ΕΕ) αριθ. 2016/679» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)»·
«κατάρτιση προφίλ» σημαίνει οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν στην απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου·
«Οδηγία» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου»·
«παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει την παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλον τρόπο σε επεξεργασία·
«περιορισμός της επεξεργασίας» σημαίνει την επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
«ΣΛΕΕ» σημαίνει τη Συνθήκη για τη Λειτουργία της Ευρωπαϊκής Ένωσης·
«σύστημα αρχειοθέτησης» σημαίνει κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, είτε συγκεντρωμένο είτε αποκεντρωμένο, είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση, το περιεχόμενο του οποίου είναι προσβάσιμο με γνώμονα συγκεκριμένα κριτήρια·
«υπεύθυνος επεξεργασίας» σημαίνει την αρμόδια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το ενωσιακό δίκαιο ή την οικεία νομοθεσία·
«υποκείμενο των δεδομένων» σημαίνει φυσικό πρόσωπο του οποίου τα δεδομένα τυγχάνουν οποιασδήποτε επεξεργασίας·
«Υπουργός» σημαίνει τον Υπουργό Δικαιοσύνης και Δημοσίας Τάξεως·
«ψευδωνυμοποίηση» σημαίνει επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
3. Ο παρών Νόμος-
(α) Θεσπίζει τους κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων, στο πλαίσιο δραστηριοτήτων για την προστασία της δημόσιας τάξης και ασφάλειας, για τους σκοπούς της δέσμευσης ή δήμευσης παράνομων εσόδων ή άλλων συναφών περιουσιακών στοιχείων και για τους σκοπούς εκτέλεσης ποινικών κυρώσεων,
(β) προστατεύει τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και, ειδικότερα, το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, και
(γ) διασφαλίζει ότι η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ αρμοδίων αρχών εντός της Ένωσης, εφόσον η ανταλλαγή αυτή απαιτείται από το ενωσιακό δίκαιο ή την οικεία νομοθεσία, δεν μπορεί να περιοριστεί ούτε να απαγορευτεί για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
4.-(1) Τηρουμένων των διατάξεων του εδαφίου (2), οι διατάξεις του παρόντος Νόμου εφαρμόζονται -
(α) Στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές στο έδαφος της Δημοκρατίας και στο έδαφος των Βάσεων, για τους σκοπούς που καθορίζονται στην παράγραφο (α) του άρθρου 3,
(β) στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
(2) Οι διατάξεις του παρόντος νόμου δεν εφαρμόζονται στις δραστηριότητες της Κυπριακής Υπηρεσίας Πληροφοριών (Κ.Υ.Π.), καθώς και της Αστυνομίας Κύπρου, όταν αυτή επιλαμβάνεται υποθέσεων σχετικών με την προστασία της εθνικής ασφάλειας.