ΕΦΗΜΕΡΙ∆Α ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ
ΗΣ ΕΛΛΗΝΙΚΗΣ ∆ΗΜΟΚΡΑΤΙΑ
29 Αυγούστου 2019
NOMOΣ ΥΠ’ ΑΡΙΘΜ. 4624
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις.
Ο ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ
Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή:
ΚΕΦΑΛΑΙΟ Α΄ ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1.- Σκοπός του νόμου
Σκοπός του παρόντος νόμου είναι:
α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ),
γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης – πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.
Άρθρο 2.- Ουσιαστικό πεδίο εφαρμογής
Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από:
α) δημόσιους φορείς ή
β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.
Άρθρο 3.- Εδαφικό πεδίο εφαρμογής
Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:
α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,
β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον
γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος – μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
Άρθρο 4.- Ορισμοί
Για τους σκοπούς του παρόντος νοούνται:
α) «δημόσιος φορέας»: οι δημόσιες αρχές, οι ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, τα νομικά πρόσωπα δημοσίου δικαίου, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δεύτερου βαθμού και τα νομικά πρόσωπα και οι επιχειρήσεις αυτών, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό,
β) «ιδιωτικός φορέας»: το φυσικό ή νομικό πρόσωπο ή η ένωση προσώπων χωρίς νομική προσωπικότητα, που δεν εμπίπτει στην έννοια του «δημόσιου φορέα»,
γ) «αρμόδια εποπτική αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή).
Άρθρο 5.- Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς
Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
Άρθρο 6.- Ορισμός του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς
1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).
2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβάνοντας υπόψη την οργανωτική δομή και το μέγεθός τους.
3. Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.
4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο.
Άρθρο 7.- Θέση του ΥΠΔ σε δημόσιους φορείς
1. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ μετέχει δεόντως και έγκαιρα σε όλα τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο δημόσιος φορέας υποστηρίζει τον ΥΠΔ κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 8, παρέχοντάς του τους απαραίτητους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργασίας, και για τη διατήρηση των ειδικών γνώσεών του.
3. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ δεν λαμβάνει εντολές κατά την άσκηση των καθηκόντων του, αναφέρεται απευθείας στο ανώτατο ιεραρχικά προϊστάμενο όργανο του δημόσιου φορέα, δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας επειδή επιτέλεσε τα καθήκοντά του.
4. Η καταγγελία της σύμβασης εργασίας του ΥΠΔ ή η ανάκληση της ανάθεσης των καθηκόντων του, στην περίπτωση που αυτός είναι και υπάλληλος του δημόσιου φορέα, επιτρέπεται μόνον για σπουδαίο λόγο. Μετά τη λήξη της σύμβασης εργασίας του ως ΥΠΔ, δεν μπορεί να απολυθεί για ένα (1) έτος, εκτός εάν ο δημόσιος φορέας έχει σπουδαίο λόγο να προβεί στην καταγγελία της σύμβασής του.
5. Τα υποκείμενα των δεδομένων μπορούν να συμβουλεύονται τον ΥΠΔ για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους βάσει του ΓΚΠΔ, του παρόντος και άλλης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ είναι υποχρεωμένος να διατηρεί εμπιστευτικότητα ως προς την ταυτότητα των υποκειμένων των δεδομένων και σχετικά με τις περιστάσεις που επιτρέπουν την εξαγωγή συμπερασμάτων ως προς το υποκείμενο των δεδομένων, εκτός αν η ταυτότητα του υποκειμένου αποκαλύπτεται από αυτό.
6. Εάν ο ΥΠΔ λάβει γνώση δεδομένων Προσωπικού Χαρακτήρα κατά την άσκηση του έργου του, για τα οποία ο επικεφαλής του δημόσιου φορέα έχει το δικαίωμα να αρνηθεί να καταθέσει ως μάρτυρας για επαγγελματικούς λόγους, το δικαίωμα αυτό ισχύει και για τον ΥΠΔ και τους βοηθούς του.
Άρθρο 8.- Καθήκοντα του ΥΠΔ σε δημόσιους φορείς
1. Επιπλέον των καθηκόντων του σύμφωνα με τον ΓΚΠΔ, ο ΥΠΔ έχει τουλάχιστον τα ακόλουθα καθήκοντα:
α) να ενημερώνει και συμβουλεύει τον δημόσιο φορέα και τους εργαζομένους που διενεργούν την επεξεργασία σχετικά με τις υποχρεώσεις τους σύμφωνα με τις διατάξεις του παρόντος και κάθε άλλη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα·
β) να παρακολουθεί την τήρηση των διατάξεων του παρόντος και κάθε άλλης νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, και των πολιτικών του δημόσιου φορέα σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της λογοδοσίας, καθώς και των σχετικών ελέγχων·
γ) να παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου για την προστασία των δεδομένων προσωπικού χαρακτήρα και παρακολουθεί την εφαρμογή της σύμφωνα με το άρθρο 65·
δ) να συνεργάζεται με την Αρχή·
ε) να ενεργεί ως σημείο επαφής με την Αρχή σε θέματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 67, και τη συμβουλεύεται, κατά περίπτωση, σχετικά με οποιοδήποτε άλλο θέμα.
2. Τα καθήκοντα του ΥΠΔ ο οποίος τυχόν ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.
3. Ο ΥΠΔ μπορεί να εκτελεί και άλλα καθήκοντα. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι η άσκηση των καθηκόντων αυτών δεν οδηγεί σε σύγκρουση συμφερόντων.
4. Ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
ΚΕΦΑΛΑΙΟ Β΄.- ΕΠΟΠΤΙΚΗ ΑΡΧΗ
Άρθρο 9.- Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η εποπτεία της εφαρμογής των διατάξεων του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελληνική Επικράτεια ασκείται από την Αρχή που έχει συσταθεί με τον ν. 2472/1997 (Α΄ 50). Η Αρχή αποτελεί ανεξάρτητη δημόσια αρχή κατά το άρθρο 9Α του Συντάγματος και εδρεύει στην Αθήνα.
Άρθρο 10.- Αρμοδιότητα
1. Η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών – μελών της Ευρωπαϊκής Ένωσης και με την Ευρωπαϊκή Επιτροπή.
2. H Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (the ΄Board΄, εφεξής: ΕΣΠΔ) και σε άλλες επιτροπές ή όργανα με αντικείμενο την προστασία δεδομένων προσωπικού χαρακτήρα στα οποία προβλέπεται η συμμετοχή εθνικής εποπτικής αρχής.
3. Η Αρχή συνεργάζεται με αντίστοιχες αρχές τρίτων χωρών και διεθνείς οργανισμούς για την εκπλήρωση των σκοπών του άρθρου 50 του ΓΚΠΔ.
4. Στις περιπτώσεις που σε διεθνείς ή διακρατικές συμβάσεις ή στο δίκαιο της Ευρωπαϊκής Ένωσης ή στην εθνική νομοθεσία προβλέπεται ανεξάρτητος έλεγχος ή εποπτεία, η Αρχή ασκεί τις αντίστοιχες αρμοδιότητες και εξουσίες.
5. Η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, καθώς και πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια.
Άρθρο 11.- Λειτουργική Ανεξαρτησία
1. Η Αρχή συγκροτείται από τον Πρόεδρο και έξι (6) μέλη, οι οποίοι ορίζονται με αντίστοιχους αναπληρωτές. Η θητεία τους είναι εξαετής και δεν μπορεί να ανανεωθεί.
2. Ως μέλη, τακτικά και αναπληρωματικά, επιλέγονται πρόσωπα εγνωσμένου κύρους, τα οποία διακρίνονται για την επιστημονική τους κατάρτιση και την επαγγελματική τους εμπειρία σε τομείς που έχουν σχέση με την αποστολή και τις αρμοδιότητες της Αρχής. Προϋπόθεση επιλογής σε θέση μέλους της Αρχής είναι η ελληνική ιθαγένεια.
3. Η επιλογή και ο διορισμός του Προέδρου, των μελών της Αρχής και των αναπληρωτών τους ενεργείται κατά τα οριζόμενα στο άρθρο 101Α του Συντάγματος.
4. Τα μέλη της Αρχής είναι ανώτατοι κρατικοί λειτουργοί. Aπολαύουν προσωπικής και λειτουργικής ανεξαρτησίας και δεν υπόκεινται σε ιεραρχικό έλεγχο ή διοικητικό έλεγχο. Ασκούν τα καθήκοντα και τις εξουσίες τους χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.
5. Ο Πρόεδρος και ο Αναπληρωτής Πρόεδρος έχουν αποκλειστική απασχόληση στην Αρχή. Η ιδιότητά τους αυτή συνεπάγεται την αναστολή οποιουδήποτε δημόσιου λειτουργήματος και επαγγελματικής δραστηριότητας.
6. Τα μέλη της Αρχής δεν υπέχουν αστική ευθύνη έναντι οποιουδήποτε τρίτου για πράξεις ή παραλείψεις τους κατά την άσκηση των καθηκόντων τους. Δεν απαλλάσσονται από την ευθύνη τους έναντι του Ελληνικού Δημοσίου για πράξεις ή παραλείψεις από δόλο ή βαρεία αμέλεια. Τα μέλη της Αρχής δεν διώκονται για την έκφραση γνώμης και για πράξη ή παράλειψη που τέλεσαν κατά την άσκηση των καθηκόντων τους, εκτός αν ενήργησαν με δόλο ή βαρεία αμέλεια. Η Αρχή μπορεί να αναλάβει τη δαπάνη για τη δικαστική υπεράσπιση των μελών της σε περίπτωση άσκησης εναντίον τους αγωγής ή άσκησης σε βάρος τους ποινικής δίωξης για πράξεις ή παραλείψεις που ανάγονται αποκλειστικά στην εκτέλεση των υπηρεσιακών καθηκόντων τους.
Άρθρο 12.- Κωλύματα – ασυμβίβαστα μελών της Αρχής
1. Δεν επιτρέπεται να διοριστεί Πρόεδρος, Αναπληρωτής Πρόεδρος ή μέλος της Αρχής: α) υπουργός, υφυπουργός, γενικός ή ειδικός γραμματέας υπουργείου ή αυτοτελούς γενικής ή ειδικής γραμματείας και βουλευτής, και β) όποιος είναι διευθυντικό στέλεχος ή μέλος οργάνου διοίκησης επιχείρησης, η οποία παρέχει υπηρεσίες σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή συνδέεται με σύμβαση έργου αντίστοιχου περιεχομένου.
2. Είναι ασυμβίβαστη με την ιδιότητα του μέλους της Αρχής οποιαδήποτε επαγγελματική ή άλλη δραστηριότητα, η οποία σχετίζεται με τις αρμοδιότητες της Αρχής, με εξαίρεση την επιστημονική και ερευνητική δραστηριότητα. Μέλη της Αρχής δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής για δύο (2) έτη μετά τη λήξη της θητείας τους.
3. Στα μέλη της Αρχής επιτρέπεται η άσκηση καθηκόντων διδακτικού προσωπικού Α.Ε.Ι. με καθεστώς πλήρους ή μερικής απασχόλησης.
4. Εκπίπτει αυτοδικαίως από την ιδιότητα του Προέδρου, του Αναπληρωτή Προέδρου ή μέλους της Αρχής όποιος, μετά τον διορισμό του:
α) Αποκτά μία από τις ιδιότητες που συνιστούν κώλυμα διορισμού, σύμφωνα με την παράγραφο 1.
β) Προβαίνει σε πράξεις ή αναλαμβάνει οποιαδήποτε εργασία ή έργο ή αποκτά άλλη ιδιότητα που, κατά την κρίση της Αρχής, δεν συμβιβάζονται με τα καθήκοντά του ως μέλους της Αρχής.
5. Στη διαπίστωση των ασυμβίβαστων της προηγούμενης παραγράφου προβαίνει η Αρχή, χωρίς συμμετοχή του μέλους της, στο πρόσωπο του οποίου ενδέχεται να συντρέχει το ασυμβίβαστο. Η Αρχή αποφασίζει ύστερα από ακρόαση του εν λόγω μέλους. Τη διαδικασία κινεί είτε ο Πρόεδρος της Αρχής, είτε ο Πρόεδρος της Βουλής.
Άρθρο 13.- Καθήκοντα της Αρχής
1. Επιπλέον των καθηκόντων της δυνάμει του άρθρου 57 του ΓΚΠΔ, η Αρχή:
α) είναι αρμόδια για την παρακολούθηση και την εφαρμογή του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
β) προωθεί με πρόσφορο τρόπο την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
γ) παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Η διαβούλευση πραγματοποιείται κατά το στάδιο εκπόνησης της ρύθμισης σε χρόνο και με τρόπο που καθιστά εφικτή την έγκαιρη διατύπωση γνώμης από την Αρχή και τη σχετική διαβούλευση επί του περιεχομένου του σχεδίου ρύθμισης,
δ) εκδίδει Οδηγίες και απευθύνει συστάσεις για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των καθηκόντων του ΕΣΠΔ σύμφωνα με το άρθρο 70 του ΓΚΠΔ,
ε) κατόπιν υποβολής ειδικού αιτήματος, ενημερώνει το υποκείμενο των δεδομένων Προσωπικού Χαρακτήρα για την άσκηση των δικαιωμάτων του, σύμφωνα με τον παρόντα νόμο και άλλων ρυθμίσεων για την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για τον σκοπό αυτό συνεργάζεται με εποπτικές αρχές άλλων κρατών – μελών της Ευρωπαϊκής Ένωσης,
στ) εκδίδει πρότυπα έγγραφα και έντυπα υποβολής καταγγελίας,
ζ) εξετάζει τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας ή ελέγχου εντός εύλογου χρονικού διαστήματος,
η) διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες ή ελέγχους για την εφαρμογή του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και βάσει πληροφοριών από άλλη δημόσια αρχή,
θ) παρακολουθεί τις σχετικές εξελίξεις στο βαθμό που έχουν επιπτώσεις στην προστασία των δεδομένων Προσωπικού Χαρακτήρα, ιδίως για τις εξελίξεις των τεχνολογιών των πληροφοριών, των επικοινωνιών και των εμπορικών πρακτικών,
ι) συμβάλλει στις δραστηριότητες του ΕΣΠΔ.
2. Κατά την άσκηση των αρμοδιοτήτων της η Αρχή θέτει στο αρχείο αιτήσεις, ερωτήματα ή καταγγελίες που κρίνονται προδήλως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς ή ανωνύμως. Η Αρχή ενημερώνει τα υποκείμενα των δεδομένων και τους αιτούντες για τις ενέργειές της. Με την επιφύλαξη των προθεσμιών που ορίζονται στον ΓΚΠΔ, η προτεραιότητα εξέτασης των αιτήσεων, ερωτημάτων και καταγγελιών εκτιμάται από την Αρχή με κριτήριο τη σπουδαιότητα και το γενικότερο ενδιαφέρον του θέματος.
Άρθρο 14.- Έκθεση δραστηριότητας
Η Αρχή συντάσσει κάθε χρόνο έκθεση για την εκτέλεση της αποστολής της κατά το προηγούμενο ημερολογιακό έτος. Η έκθεση υποβάλλεται από τον Πρόεδρο της Αρχής στον Πρόεδρο της Βουλής και τον Πρωθυπουργό και δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως με ευθύνη της Αρχής, η οποία μπορεί να δώσει και άλλου είδους δημοσιότητα στην έκθεση.
Άρθρο 15.- Ερευνητικές και διορθωτικές εξουσίες
1. Εκτός των προβλεπομένων στο άρθρο 58 του ΓΚΠΔ εξουσιών, η Αρχή διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες και ελέγχους ως προς τη συμμόρφωση με τον παρόντα νόμο στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη μέσα, που υποστηρίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Κατά τη διενέργεια των ερευνών και ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο. Κατ’ εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών ή υπαλλήλων οντοτήτων που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων.
2. Οι έλεγχοι διενεργούνται από μέλος ή μέλη της Αρχής ή υπαλλήλους του τμήματος ειδικού επιστημονικού προσωπικού της Γραμματείας, ειδικά εντεταλμένους προς τούτο από τον Πρόεδρο της Αρχής. Ο Πρόεδρος και τα μέλη της Αρχής, καθώς και οι ειδικά εντεταλμένοι υπάλληλοι της Γραμματείας, είναι ειδικοί ανακριτικοί υπάλληλοι και έχουν όλα τα δικαιώματα που προβλέπει σχετικά ο Κώδικας Ποινικής Δικονομίας. Μπορούν να διενεργούν προανάκριση και χωρίς εισαγγελική παραγγελία, όταν πρόκειται για αυτόφωρο κακούργημα ή πλημμέλημα ή υπάρχει κίνδυνος από την αναβολή. Οι δημόσιες αρχές παρέχουν τη συνδρομή τους στην Αρχή για τη διενέργεια του ελέγχου.
3. Ο Πρόεδρος της Αρχής δύναται να απονέμει εξουσία διενέργειας ελέγχων σε μέλη και υπαλλήλους εποπτικής αρχής άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης («εποπτική αρχή απόσπασης») στο πλαίσιο κοινών επιχειρήσεων που διενεργούνται δυνάμει του άρθρου 62 του ΓΚΠΔ και του άρθρου 79 του παρόντος.
4. Η Αρχή για τις ανάγκες του παρόντος:
α) απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν τις διατάξεις του παρόντος·
β) δίνει εντολή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφωθεί με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας με τις διατάξεις του παρόντος, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα·
γ) δίνει εντολή και επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
δ) δίνει εντολή και επιβάλλει την παράδοση σε αυτήν εγγράφων, συστημάτων αρχειοθέτησης, εξοπλισμού ή μέσου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και του περιεχομένου αυτών στην περίπτωση του εδαφίου γ’ τις παρούσας παραγράφου·
ε) προβαίνει στην κατάσχεση εγγράφων, πληροφοριών, συστημάτων αρχειοθέτησης κάθε εξοπλισμού και μέσου παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και του περιεχομένου αυτών που υποπίπτει στην αντίληψή της κατά την άσκηση των εξουσιών ελέγχου και ορίζεται μεσεγγυούχος αυτών μέχρι να αποφανθούν οι αρμόδιες δικαστικές και εισαγγελικές αρχές.
5. Εκτός των προβλεπομένων στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ διορθωτικών εξουσιών, η Αρχή δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ή σε αποδέκτη ή σε τρίτον να διακόψει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή να προβεί σε επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων ή να προβεί στην καταστροφή συστήματος αρχειοθέτησης ή σχετικών δεδομένων.
6. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις που προβλέπονται στο άρθρο 83 του ΓΚΠΔ και στο άρθρο 39 του παρόντος.
7. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις το άρθρου 82.
8. Όταν η προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικοί χαρακτήρα που το αφορούν επιβάλλει την άμεση λήψη απόφασης, ο Πρόεδρος μπορεί, ύστερα από αίτηση του ενδιαφερομένου ή και αυτεπαγγέλτως, να εκδώσει προσωρινή διαταγή για άμεσο ολικό ή μερικό, προσωρινό περιορισμό της επεξεργασίας ή της λειτουργίας του αρχείου. Η διαταγή ισχύει μέχρι την έκδοση της οριστικής απόφασής της Αρχής.
9. Για την εξασφάλιση της συμμόρφωσης με τις διατάξεις του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του υποκειμένου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Αρχή, με την επιφύλαξη του Κεφαλαίου VII του ΓΚΠΔ, εκδίδει κανονιστικές διοικητικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αυτές αναφέρονται.
10. Οι κανονιστικές πράξεις της Αρχής, για τις οποίες δεν προβλέπεται δημοσίευσή τους στην Εφημερίδα της Κυβερνήσεως, δημοσιεύονται στην ιστοσελίδα της Αρχής.
Άρθρο 16.- Υποχρεώσεις και δικαιώματα μελών της Αρχής
1. Κατά την άσκηση των καθηκόντων τους ο Πρόεδρος και τα μέλη της Αρχής υπακούουν στη συνείδησή τους και τον νόμο και υπόκεινται στο καθήκον εχεμύθειας. Ως μάρτυρες ή πραγματογνώμονες μπορούν να καταθέτουν στοιχεία που αφορούν αποκλειστικά και μόνο την τήρηση των διατάξεων του ΓΚΠΔ και του παρόντος. Το καθήκον εχεμύθειας υφίσταται και μετά την με οποιονδήποτε τρόπο αποχώρηση του Προέδρου και των μελών της Αρχής.
2. Για χρονικό διάστημα δύο (2) ετών από τη λήξη της θητείας τους, εφόσον συμμετείχαν με οποιονδήποτε τρόπο στον σχετικό έλεγχο ο Πρόεδρος και τα μέλη της Αρχής δεν επιτρέπεται να είναι εταίροι, μέτοχοι, μέλη διοικητικού συμβουλίου, τεχνικοί ή άλλοι σύμβουλοι ή να απασχολούνται με ή χωρίς αμοιβή με έμμισθη εντολή ή με οποιαδήποτε έννομη σχέση, σε εταιρεία ή επιχείρηση, των οποίων οι δραστηριότητες υπήχθησαν, άμεσα ή έμμεσα, στον έλεγχο της Αρχής κατά τη διάρκεια της θητείας τους. Η ίδια απαγόρευση ισχύει και για την περίπτωση όσων υποβάλλουν καταγγελίες.
3. Ως προς την πειθαρχική ευθύνη του Προέδρου και των μελών της Αρχής εφαρμόζεται η παράγραφος 3 του άρθρου 18 του ν. 2472/1997.
4. Πρόεδρος ή μέλος της Αρχής που, κατά παράβαση του παρόντος νόμου, γνωστοποιεί με οποιονδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα που είναι προσιτά σε αυτούς λόγω της υπηρεσίας τους ή αφήνει άλλον να λάβει γνώση αυτών, τιμωρείται με φυλάκιση μέχρι δύο (2) ετών και με χρηματική ποινή. Αν όμως τέλεσε την πράξη με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον αθέμιτο όφελος ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον (2) ετών και με χρηματική ποινή.
Άρθρο 17.- Λειτουργία της Αρχής
1. Η Αρχή δύναται να λειτουργεί και ως μονοπρόσωπο όργανο (Πρόεδρος) ή και να συνεδριάζει σε τμήματα, συντιθέμενα από τρία (3) τουλάχιστον τακτικά ή αναπληρωματικά μέλη και προεδρευόμενα από τον Πρόεδρο της Αρχής ή τον αναπληρωτή του. Στις συνεδριάσεις και στις διασκέψεις της Ολομέλειας και των Τμημάτων επιτρέπεται να παρίστανται για τις υποθέσεις, στις οποίες έχουν οριστεί βοηθοί εισηγητές, υπάλληλοι του Κλάδου Ελεγκτών.
2. Η Αρχή καταρτίζει κανονισμό λειτουργίας με τον οποίο ρυθμίζεται ιδίως η λειτουργία της σε ολομέλεια και τμήματα, η κατανομή των αρμοδιοτήτων μεταξύ ολομέλειας και τμημάτων, οι αρμοδιότητες του μονοπρόσωπου οργάνου, και η διαδικασία ανάθεσης από τον Πρόεδρο στον Αναπληρωτή Πρόεδρο και σε μέλη, τακτικά και αναπληρωματικά, των αρμοδιοτήτων αυτών, η διαδικασία σύγκλησης, συνεδρίασης και λήψης απόφασης, η προηγούμενη ακρόαση των ενδιαφερομένων, η διαδικασία επεξεργασίας και διεκπεραίωσης των υποθέσεων, ο τρόπος διεξαγωγής των ελέγχων και θέματα πειθαρχικής διαδικασίας. Ο κανονισμός λειτουργίας δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως. Μέχρι την έκδοση νέου κανονισμού της Αρχής διατηρείται σε ισχύ ο υφιστάμενος κανονισμός λειτουργίας της (209/6.3.2000 (Β΄ 336) απόφαση του Προέδρου της Αρχής, όπως τροποποιήθηκε και ισχύει).
3. Με απόφαση της Ολομέλειας της Αρχής εγκρίνεται κώδικας δεοντολογίας των μελών και του προσωπικού της.
4. Η Αρχή δύναται να συνάπτει μνημόνια συνεργασίας με ανώτατα εκπαιδευτικά ιδρύματα, άλλους δημόσιους φορείς και Ο.Τ.Α. με σκοπό την αμοιβαία ανταλλαγή πληροφοριών και την αμοιβαία συνδρομή για θέματα αρμοδιότητάς της. Η αμοιβαία συνδρομή περιλαμβάνει ιδίως την ενημέρωση και την πραγματοποίηση ερευνών και μελετών, τη συνδρομή σε έρευνες και ελέγχους, και τη διενέργεια αυτοψιών με βάση ερωτήματα που καταρτίζει η Αρχή.
5. Είναι δυνατή η πραγματοποίηση στην Αρχή αμειβόμενης πρακτικής άσκησης φοιτητών και αποφοίτων ανώτατων σχολών, των οποίων το περιεχόμενο σπουδών είναι σχετικό με τις αρμοδιότητες της Αρχής. Με απόφαση της Αρχής καθορίζονται οι όροι και οι προϋποθέσεις επιλογής των ασκουμένων, πραγματοποίησης της άσκησης και ορίζονται οι όροι και το ύψος της αμοιβής, η οποία βαρύνει τον προϋπολογισμό της Αρχής.
Άρθρο 18.- Γραμματεία της Αρχής
1. Το προσωπικό της Αρχής διορίζεται με σχέση δημοσίου ή ιδιωτικού δικαίου αορίστου χρόνου σε θέσεις που προβλέπονται στον Οργανισμό της και επιλέγεται σύμφωνα με τα οριζόμενα στο άρθρο 4 παράγραφος 1 του ν. 3051/2002 (Α΄ 220).
2. Υπάλληλοι του Κλάδου Ελεγκτών δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής επί δύο (2) έτη μετά τη λύση της υπηρεσιακής τους σχέσης με την Αρχή.
3. Με προεδρικό διάταγμα που εκδίδεται με πρόταση του Υπουργού Δικαιοσύνης και του Υπουργού Εσωτερικών, ύστερα από γνώμη της Αρχής, εγκρίνεται ο Οργανισμός της, με τον οποίο καθορίζονται το επίπεδο λειτουργίας της Γραμματείας, η διάρθρωση των οργανικών μονάδων σε Διευθύνσεις, Τμήματα και Γραφεία, τα προσόντα του προσωπικού, ο αριθμός των θέσεων του προσωπικού, η κατανομή αυτών σε Κλάδους και Ειδικότητες, η σύσταση νέων θέσεων και κάθε άλλο σχετικό ζήτημα. Με τον Οργανισμό επίσης καθορίζονται οι προϋποθέσεις, τα όργανα και η διαδικασία επιλογής του Προϊσταμένου Γραμματείας και των προϊσταμένων των οργανικών μονάδων της Αρχής. Με τον Οργανισμό επιτρέπεται να προβλέπονται αποκλίσεις από τις ισχύουσες διατάξεις προκειμένου οι σχετικές ρυθμίσεις να είναι σύμφωνες με τον ΓΚΠΔ. Για κάθε τροποποίηση του ως άνω προεδρικού διατάγματος απαιτείται προηγούμενη γνώμη της Αρχής. Μέχρι την έκδοση του προεδρικού διατάγματος του προηγούμενου εδαφίου, ισχύει το π.δ. 207/1998 «Οργάνωση της Γραμματείας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και σύσταση οργανικών θέσεων» (Α’ 164).
4. Με την επιφύλαξη των ειδικών ρυθμίσεων του παρόντος, του Οργανισμού της Αρχής και του Κανονισμού Λειτουργίας της, η υπηρεσιακή κατάσταση του προσωπικού της Αρχής, διέπεται από τα οριζόμενα στις παραγράφους 2 έως και 7 του άρθρου 4 του ν. 3051/2002, όπως ισχύει, ανεξαρτήτως κατηγορίας, κλάδου και επιστημονικής ειδίκευσης.
5. Στο προσωπικό της Αρχής εφαρμόζεται αναλόγως η παράγραφος 6 του άρθρου 11.
6. Για την κάλυψη έκτακτων υπηρεσιακών αναγκών της Γραμματείας της Αρχής, επιτρέπεται η διενέργεια αποσπάσεων μόνιμων ή με σύμβαση εργασίας ιδιωτικού δικαίου αορίστου χρόνου υπαλλήλων από φορείς της Κεντρικής Διοίκησης, όπως ορίζεται στην περίπτωση στ΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄ 143), κατά παρέκκλιση των κείμενων διατάξεων. Η διάρκεια των αποσπάσεων ανέρχεται σε ένα (1) έτος με δυνατότητα ισόχρονης ανανέωσης για μία (1) φορά. Η απόσπαση διενεργείται με κοινή απόφαση του κατά περίπτωση αρμόδιου Υπουργού και του Προέδρου της Αρχής, χωρίς να απαιτείται γνώμη των οικείων Υπηρεσιακών Συμβουλίων. Ειδικά για τις αποσπάσεις υπαλλήλων Ο.Τ.Α. α΄ και β΄ βαθμού απαιτείται η προηγούμενη σύμφωνη γνώμη των αρμοδίων, για τον διορισμό οργάνων των φορέων αυτών.
7. Είναι δυνατή η απόσπαση προσωπικού της Γραμματείας για διάστημα έως έξι (6) μηνών, με απόφαση της Αρχής, σε εποπτικές αρχές κρατών – μελών ή της ΜΕΑ ή αρχών τρίτων χωρών ή διεθνών οργανισμών με εφαρμογή των διατάξεων που ισχύουν για τις αποσπάσεις σε όργανα της Ε.Ε.. Επίσης, είναι δυνατή η υποδοχή από την Αρχή προσωπικού ομόλογων αρχών ως αποσπασμένων για διάστημα έως έξι (6) μηνών.
8. Οι οργανικές θέσεις πανεπιστημιακής εκπαίδευσης (ΠΕ) του κλάδου επικοινωνίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετατρέπονται σε αντίστοιχες θέσεις ειδικού επιστημονικού προσωπικού με σχέση ιδιωτικού δικαίου αορίστου χρόνου. Οι ήδη υπηρετούντες, οι οποίοι κατέχουν τα απαιτούμενα κατά το π.δ. 50/2001 (Α΄39) «Καθορισμός των προσόντων διορισμού σε θέσεις φορέων του δημοσίου τομέα» και την εν γένει νομοθεσία τυπικά προσόντα για την πλήρωση θέσης ειδικού επιστημονικού προσωπικού με σχέση εργασίας ιδιωτικού δικαίου, δηλώνουν εντός μηνός από την έναρξη ισχύος του παρόντος νόμου εάν αποδέχονται να υπηρετήσουν στη θέση αυτή. Οι αποδεχόμενοι να υπηρετήσουν με σχέση ιδιωτικού δικαίου, οι οποίοι καταλαμβάνουν μία από τις μετατρεπόμενες θέσεις, διατηρούν το ασφαλιστικό καθεστώς στο οποίο υπάγονται και προσμετρούν για τη βαθμολογική και μισθολογική κατάταξη και τον χρόνο προηγούμενης σχετικής απασχόλησης σύμφωνα με τις διατάξεις της παραγράφου 4 του άρθρου 11 του ν. 4354/2015 (Α΄ 176). Σε περίπτωση αρνητικής δήλωσης ή παράλειψης υποβολής δήλωσης, ο υπάλληλος εξακολουθεί να υπηρετεί ως μόνιμος υπάλληλος σε προσωποπαγή θέση κατηγορίας ΠΕ Επικοινωνίας. Κατά το χρονικό διάστημα, κατά το οποίο οι υπάλληλοι υπηρετούν σε προσωποπαγείς θέσεις σύμφωνα με το προηγούμενο εδάφιο, δεν καλύπτονται αντίστοιχες θέσεις ειδικού επιστημονικού προσωπικού με σχέση ιδιωτικού δικαίου αορίστου χρόνου.
Άρθρο 19.- Προϋπολογισμός και Οικονομική Διαχείριση
1. Η Αρχή καταρτίζει δικό της προϋπολογισμό που συντάσσεται με ευθύνη του Προέδρου της. Κατά την εκτέλεση του προϋπολογισμού της διαθέτει πλήρη αυτοτέλεια και δεν απαιτείται σύμπραξη άλλου οργάνου. Διατάκτης είναι ο Πρόεδρος της Αρχής.
2. Ο προϋπολογισμός καταρτίζεται σε ετήσια βάση και υποβάλλεται απευθείας στο Γενικό Λογιστήριο του Κράτους, σύμφωνα με τη διαδικασία που προβλέπεται στο Δημόσιο Λογιστικό.
3. Η εκτέλεση του προϋπολογισμού της Αρχής ανήκει αποκλειστικά σε αυτήν, στο πλαίσιο της πλήρους αυτοτέλειάς της. Επιτρέπεται η μεταφορά πιστώσεων από έναν λογαριασμό σε άλλον και μεταξύ διαφορετικών μειζόνων κατηγοριών, σύμφωνα με τις ανάγκες της Αρχής, με απόφαση του Υπουργού Οικονομικών εφόσον δεν τροποποιείται το συνολικό ύψος του προϋπολογισμού που έχει αρχικώς εγκριθεί από τη Βουλή. Οι δαπάνες της Αρχής διενεργούνται σύμφωνα με τις εκάστοτε ισχύουσες διατάξεις της ανάληψης υποχρεώσεων από τους διατάκτες, καθώς και του δημοσίου λογιστικού. Η μεταφορά πιστώσεων γίνεται με απόφαση της Αρχής και κοινοποιείται στο Γενικό Λογιστήριο του Κράτους.
4. Ο προϋπολογισμός της Αρχής μπορεί να τροποποιείται με απόφαση του Υπουργού Οικονομικών, κατόπιν εισήγησης της Αρχής, που υποβάλλεται στο Γενικό Λογιστήριο του Κράτους.
5. Η Αρχή μπορεί να μετέχει σε εθνικά, ευρωπαϊκά ή συγχρηματοδοτούμενα ερευνητικά ή άλλα προγράμματα. Για τον σκοπό αυτόν η Αρχή, με απόφαση του Προέδρου της, μπορεί να ανοίγει απλό τραπεζικό λογαριασμό υπό την ομάδα λογαριασμών 260 – Ταμειακή Διαχείριση στην Τράπεζα της Ελλάδος, στον οποίο θα μεταφέρονται οι πιστώσεις από τα προγράμματα αυτά και από άλλους πόρους από την άσκηση των αρμοδιοτήτων της που προβλέπονται από τον ΓΚΠΔ ή τον νόμο. Η διαχείριση και ο έλεγχος του ανωτέρω ειδικού λογαριασμού ρυθμίζονται από τον ειδικό κανονισμό του άρθρου 2 παράγραφος 3 του ν. 3051/2002. Η Αρχή έχει πλήρη αυτοτέλεια στη διαχείριση του λογαριασμού αυτού. Τα έσοδα της Αρχής αποτελούν έσοδα του Κρατικού Προϋπολογισμού.
6. Για τη συμμετοχή των μελών και του προσωπικού της Αρχής σε συλλογικά όργανα που συγκροτούνται στο πλαίσιο πραγματοποίησης έργων χρηματοδοτούμενων από Ευρωπαϊκά Διαρθρωτικά και Επενδυτικά Ταμεία ή από το Πρόγραμμα Δημοσίων Επενδύσεων, εφαρμόζονται αναλόγως οι διατάξεις των παραγράφων 2, 3 και 5 του άρθρου 21 του ν. 4354/2015 (Α΄ 176), υπό την προϋπόθεση ότι οι σχετικές δαπάνες βαρύνουν τις ως άνω πηγές χρηματοδότησης και δεν προκαλούν επιβάρυνση στον Κρατικό Προϋπολογισμό.
7. Η άσκηση του οικονομικού ελέγχου της Αρχής διεξάγεται με τρόπο που να μην παρεμποδίζει τη λειτουργία της και να μην επηρεάζει την ανεξαρτησία της.
Άρθρο 20.- Δικαστική προστασία κατά της Αρχής
1. Οι κανονιστικές αποφάσεις και οι ατομικές διοικητικές πράξεις της Αρχής, συμπεριλαμβανομένων των αποφάσεων με τις οποίες επιβάλλονται κυρώσεις, προσβάλλονται με αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
2. Η προθεσμία για την άσκηση της αίτησης ακυρώσεως δεν αναστέλλει την εκτέλεση της προσβαλλόμενης πράξης. Το δικαστήριο μπορεί, μετά από αίτηση του αιτούντος, να αναστείλει εν όλω ή εν μέρει την εκτέλεση της πράξης, κατά τις ισχύουσες διατάξεις.
3. Αίτηση ακυρώσεως κατά των αποφάσεων και πράξεων της Αρχής μπορεί να ασκεί και ο αρμόδιος Υπουργός.
4. Η Αρχή εκπροσωπείται δικαστικώς και εξωδίκως από τον Πρόεδρό της. Η Αρχή παρίσταται αυτοτελώς σε κάθε είδους δίκες με μέλη της που έχουν την ιδιότητα του δικηγόρου ή με τη νομική της υπηρεσία, εφόσον συσταθεί. Η νομική υπηρεσία της Αρχής στελεχώνεται με δικηγόρους με σχέση έμμισθης εντολής, οι οποίοι προσλαμβάνονται σύμφωνα με τις διατάξεις του Κώδικα Δικηγόρων. Η Αρχή μπορεί να εκπροσωπείται κατά περίπτωση και από δικηγόρους, εξειδικευμένους στο αντικείμενό τους, με αιτιολογημένη απόφαση με την οποία παρέχεται η σχετική πληρεξουσιότητα.
ΚΕΦΑΛΑΙΟ Γ΄.- ΣΥΜΠΛΗΡΩΜΑΤΙΚΑ ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΓΚΠΔ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 21.- Συγκατάθεση ανηλίκου
1. Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι σύννομη, εφόσον ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεσή του.
2. Εάν ο ανήλικος είναι κάτω των 15 ετών η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του.
Άρθρο 22.- Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους και ιδιωτικούς φορείς επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων·
β) για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του·ή
γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, επιπλέον των μέτρων που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 3, πρέπει να τηρούνται ιδίως οι διατάξεις που εξασφαλίζουν το επαγγελματικό απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας.
2. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους φορείς επιτρέπεται, εφόσον είναι:
α) απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος·
β) απαραίτητη για την αποτροπή σημαντικής απειλής για την εθνική ασφάλεια ή τη δημόσια ασφάλεια· ή γ) είναι απαραίτητη για τη λήψη ανθρωπιστικών μέτρων, και στις περιπτώσεις αυτές το συμφέρον για την επεξεργασία είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων.
3. Στις περιπτώσεις των προηγούμενων παραγράφων, λαμβάνονται όλα τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και στις ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:
α) τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ·
β) μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο προσδιορισμός του εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή αφαιρεθεί τα προσωπικά δεδομένα·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία·
δ) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία·
ε) η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
στ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
ζ) μέτρα για τη διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος·
η) διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας·
θ) ειδικοί κανόνες διασφάλισης της συμμόρφωσης με τον παρόντα νόμο και τον ΓΚΠΔ σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς·
ι) ο ορισμός ΥΠΔ.
Άρθρο 23.- Επεξεργασία γενετικών δεδομένων
Κατ’ εφαρμογή της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.
Άρθρο 24.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι:
α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·
β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
γ) αναγκαία για τη δίωξη ποινικών αδικημάτων·
δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου·
ε) απαραίτητη για την παραγωγή των επίσημων στατιστικών.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.
Άρθρο 25.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα· ή
β) για τη δίωξη ποινικών αδικημάτων· ή
γ) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.
Άρθρο 26.- Διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς
1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιο φορέα σε δημόσιο φορέα επιτρέπεται, εφόσον είναι απαραίτητο για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει ή του τρίτου στον οποίο διαβιβάζονται τα δεδομένα και εφόσον πληρούνται οι προϋποθέσεις που επιτρέπουν την επεξεργασία σύμφωνα με το άρθρο 24. Ο τρίτος στον οποίο διαβιβάζονται τα δεδομένα επεξεργάζεται αυτά μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται μόνον εφόσον πληρούνται οι προϋποθέσεις του άρθρου 24.
2. Οι δημόσιοι φορείς επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα σε ιδιωτικούς φορείς εφόσον:
α) η διαβίβαση είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει και πληρούνται περαιτέρω και οι προϋποθέσεις του άρθρου 24·
β) ο τρίτος στον οποίο διαβιβάζονται έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και το υποκείμενο των δεδομένων δεν έχει έννομο συμφέρον να μην διαβιβασθούν τα δεδομένα που το αφορούν· ή
γ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και ο τρίτος δεσμεύθηκε έναντι του δημόσιου φορέα που του διαβίβασε τα δεδομένα ότι θα τα επεξεργαστεί μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται, εάν επιτρέπεται η διαβίβαση σύμφωνα με την παράγραφο 1 και ο φορέας διαβίβασης έχει παράσχει τη συγκατάθεσή του για τη διαβίβαση.
3. Η διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ, επιτρέπεται εφόσον πληρούνται οι προϋποθέσεις της παραγράφου 1 ή της παραγράφου 2 και εφαρμόζεται μία από τις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή σύμφωνα με το άρθρο 22 του παρόντος.
Άρθρο 27.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης
1. Δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της.
2. Στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως:
α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και
β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7 παράγραφος 3 του ΓΚΠΔ.
3. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ για τους σκοπούς της σύμβασης εργασίας επιτρέπεται, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και δεν υπάρχει κανένας λόγος να θεωρηθεί ότι το έννομο συμφέρον του υποκειμένου των δεδομένων σε σχέση με την επεξεργασία υπερτερεί. Η παράγραφος 2 ισχύει επίσης για τη συγκατάθεση στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση πρέπει να αναφέρεται ρητά στα δεδομένα αυτά. Το άρθρο 22 παράγραφος 3 εδάφιο β΄ εφαρμόζεται ανάλογα.
4. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων Προσωπικού Χαρακτήρα των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Τα διαπραγματευόμενα μέρη συμμορφώνονται με το άρθρο 88 παράγραφος 2 του ΓΚΠΔ.
5. Ο υπεύθυνος επεξεργασίας λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του ΓΚΠΔ.
6. Οι παράγραφοι 1 έως 5 εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να προορίζονται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.
7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.
8. Για τους σκοπούς του παρόντος νόμου ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών στο δημόσιο και στον ιδιωτικό φορέα, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.
Άρθρο 28.- Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης
1. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν:
α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του,
β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο, γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και δ) όταν περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα Προσωπικού Χαρακτήρα, καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας, λαμβάνοντας υπόψη το δικαίωμα του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή.
2. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς, και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης δεν εφαρμόζεται:
α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5,
β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματα του Υποκειμένου»,
γ) το Κεφάλαιο ΙV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32,
δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς»,
ε) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και
στ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».
Άρθρο 29.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται όταν είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται, στο πλαίσιο του εφικτού, ιδίως:
α) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την πεξεργασία·
β) ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
γ) κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
δ) ορισμός ΥΠΔ.
2. Κατά παρέκκλιση από το άρθρο 15 του ΓΚΠΔ, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε δεδομένα που το αφορούν μπορεί να περιοριστεί, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1, και η άσκηση του δικαιώματος θα απαιτούσε δυσανάλογη προσπάθεια.
3. Κατά παρέκκλιση από το άρθρο 16 του ΓΚΠΔ, το υποκείμενο των δεδομένων δεν έχει δικαίωμα διόρθωσης των δεδομένων προσωπικού Χαρακτήρα που το αφορούν, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1 ή την άσκηση δικαιωμάτων τρίτων.
4. Κατά παρέκκλιση των οριζόμενων στα άρθρα 18 παράγραφος 1 εδάφια α΄, β΄ και δ΄ και στα άρθρα 20 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την επίτευξη των σκοπών αυτών.
Άρθρο 30.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου, όταν η επεξεργασία είναι απαραίτητη για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων και το συμφέρον του υπεύθυνου επεξεργασίας είναι υπέρτερο του συμφέροντος του υποκειμένου να μην τύχουν επεξεργασίας τα δεδομένα προσωπικού του χαρακτήρα. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:
α) περιορισμοί πρόσβασης των υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία·
β) ψευδωνυμοποίηση των δεδομένων προσωπικού Χαρακτήρα·
γ) κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
δ) ορισμός ΥΠΔ.
2. Κατά παρέκκλιση των οριζόμενων στα άρθρα 15, 16, 18 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την εκπλήρωσή τους. Για τον ίδιο λόγο δεν εφαρμόζεται και το προβλεπόμενο στο άρθρο 15 του ΓΚΠΔ δικαίωμα πρόσβασης του υποκειμένου, όταν τα δεδομένα προσωπικού χαρακτήρα είναι απαραίτητα για επιστημονικούς σκοπούς και η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια.
3. Εκτός από όσα ορίζονται στην παράγραφο 1 οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα όταν υποβάλλονται σε επεξεργασία για τους σκοπούς της παραγράφου 1, θα πρέπει να ανωνυμοποιούνται αμέσως μόλις το επιτρέψουν οι επιστημονικοί ή στατιστικοί σκοποί, εκτός εάν αυτό είναι αντίθετο προς το έννομο συμφέρον του υποκειμένου των δεδομένων. Μέχρι τότε, τα χαρακτηριστικά που μπορούν να χρησιμοποιηθούν για την αντιστοίχιση μεμονωμένων λεπτομερειών σχετικά με προσωπικές ή πραγματικές καταστάσεις ενός ταυτοποιημένου ή ταυτοποιήσιμου προσώπου πρέπει να αποθηκευτούν χωριστά. Τα χαρακτηριστικά αυτά μπορεί να συνδυαστούν με τις μεμονωμένες λεπτομέρειες, μόνο εάν το απαιτεί η έρευνα ή ο στατιστικός σκοπός.
4. Ο υπεύθυνος επεξεργασίας μπορεί να δημοσιεύει δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται στο πλαίσιο της έρευνας, εφόσον τα υποκείμενα των δεδομένων έχουν συγκατατεθεί εγγράφως ή η δημοσίευση είναι απαραίτητη για την παρουσίαση των αποτελεσμάτων της έρευνας. Στην τελευταία αυτή περίπτωση η δημοσίευση γίνεται με ψευδωνυμοποίηση.
Άρθρο 31.- Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων
1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ δεν υφίσταται εκτός από την αναφερόμενη στο άρθρο 13 παράγραφος 4 του ΓΚΠΔ εξαίρεση, όταν η παροχή των πληροφοριών σχετικά με την περαιτέρω επεξεργασία:
α) αφορά μια περαιτέρω επεξεργασία αποθηκευμένων σε γραπτή μορφή δεδομένων, στην οποία ο υπεύθυνος επεξεργασίας απευθύνεται άμεσα στο υποκείμενο των δεδομένων, ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής σύμφωνα με το ΓΚΠΔ, η επικοινωνία με το υποκείμενο των δεδομένων δεν γίνεται σε ψηφιακή μορφή και το ενδιαφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών κατά τις περιστάσεις της συγκεκριμένης περίπτωσης, ιδίως όσον αφορά το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα θεωρείται ότι δεν είναι υψηλό·
β) στην περίπτωση του δημόσιου φορέα, θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες, υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
γ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
ε) θα έθετε σε κίνδυνο την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 13 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες. Τα ανωτέρω εδάφια δεν εφαρμόζονται στις περιπτώσεις δ΄ και ε΄ της προηγούμενης παραγράφου.
3. Εφόσον δεν παρέχεται γνωστοποίηση στις περιπτώσεις της παραγράφου 1 λόγω ύπαρξης προσωρινού εμποδίου, ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών της επεξεργασίας, πρέπει να συμμορφώνεται στην υποχρέωση πληροφόρησης εντός εύλογης προθεσμίας μετά την απομάκρυνση του εμποδίου, αλλά όχι αργότερα από το χρονικό διάστημα των δύο (2) εβδομάδων.
4. Αν κατά την έναρξη της εντολής ή στο πλαίσιο σχέσης εντολής διαβιβάσθηκαν από τον πελάτη σε έναν φορέα επαγγελματικού απορρήτου δεδομένα τρίτων, ο διαβιβάζων αυτός φορέας δεν έχει υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ, εκτός εάν το συμφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών είναι υπέρτερο.
Άρθρο 32.- Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων
1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 14 παράγραφοι 1, 2 και 4 του ΓΚΠΔ δεν υφίσταται, όταν η παροχή των πληροφοριών:
α) στην περίπτωση δημόσιων φορέων:
αα) θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας, με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, ή
ββ) θα έθετε σε κίνδυνο την εθνική ασφάλεια ή τη δημόσια ασφάλεια·
και συνεπώς, το συμφέρον του υποκειμένου των δεδομένων για τη χορήγηση των πληροφοριών υποχωρεί,
β) στην περίπτωση ιδιωτικών φορέων:
αα) θα έβλαπτε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα από συμβάσεις που έχουν καταρτιστεί κατά το ιδιωτικό δίκαιο και αποσκοπεί στην πρόληψη ζημιών από την τέλεση ποινικών αδικημάτων, εκτός εάν το υποκείμενο των δεδομένων έχει υπέρτερο έννομο συμφέρον για την παροχή πληροφοριών· ή
ββ) ο αρμόδιος δημόσιος φορέας έχει προσδιορίσει στον υπεύθυνο επεξεργασίας, ότι η δημοσιοποίηση των δεδομένων θα έθετε σε κίνδυνο την εθνική άμυνα, την εθνική ασφάλεια και τη δημόσια ασφάλεια, στην περίπτωση της επεξεργασίας δεδομένων για σκοπούς επιβολής του νόμου, δεν απαιτείται προσδιορισμός σύμφωνα με το πρώτο εδάφιο.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 14 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες.
3. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 14 παράγραφοι 1 έως 4 του ΓΚΠΔ, εκτός από τις αναφερόμενες στο άρθρο 14 παράγραφος 5 του ΓΚΠΔ εξαιρέσεις, δεν ισχύει στον βαθμό που μέσω της εκπλήρωσής της θα αποκαλύπτονταν πληροφορίες, οι οποίες λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.
Άρθρο 33.- Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων/Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Εκτός των εξαιρέσεων που προβλέπονται στην παράγραφο 2 του άρθρου 29 και στην παράγραφο 2 του άρθρου 30, δεν ισχύει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, σύμφωνα με το άρθρο 15 του ΓΚΠΔ, όταν:
α) το υποκείμενο των δεδομένων δεν ενημερώνεται σύμφωνα με το στοιχείο ββ΄ των περιπτώσεων α΄ και β΄ της παραγράφου 1 του προηγούμενου άρθρου· ή
β) τα δεδομένα,
αα) καταγράφηκαν μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών ή κανονιστικών διατάξεων υποχρέωσης διατήρησής τους, ή
ββ) εξυπηρετούν αποκλειστικά σκοπούς προστασίας ή ελέγχου των δεδομένων, και η παροχή πληροφοριών θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς.
2. Οι λόγοι άρνησης της παροχής πληροφοριών στο υποκείμενο των δεδομένων πρέπει να τεκμηριώνονται.
Η άρνηση της παροχής πληροφοριών πρέπει να αιτιολογείται στο υποκείμενο των δεδομένων, εκτός εάν μέσω της γνωστοποίησης των πραγματικών και νομικών λόγων στους οποίους βασίζεται η άρνηση θα ετίθετο σε κίνδυνο ο σκοπός που επιδιώκεται με την άρνηση παροχής των πληροφοριών. Τα δεδομένα που αποθηκεύονται με σκοπό την παροχή πληροφοριών στο υποκείμενο των δεδομένων και για την προετοιμασία αυτής της παροχής μπορούν να υποβληθούν σε επεξεργασία μόνο για τοv σκοπό αυτόν και για σκοπούς της προστασίας των δεδομένων προσωπικού χαρακτήρα, η επεξεργασία για άλλους σκοπούς περιορίζεται σύμφωνα με το άρθρο 18 του ΓΚΠΔ.
3. Το δικαίωμα του υποκειμένου των δεδομένων να αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία δεν υποβάλλονται ούτε σε αυτοματοποιημένη ούτε σε μη αυτοματοποιημένη επεξεργασία από δημόσια αρχή, και αποθηκεύονται σε σύστημα αρχειοθέτησης, υφίσταται μόνο, εάν το υποκείμενο των δεδομένων παρέχει πληροφορίες που επιτρέπουν την ανάκτηση των δεδομένων και η προσπάθεια που απαιτείται για την παροχή των πληροφοριών δεν είναι δυσανάλογη προς το συμφέρον του υποκειμένου των δεδομένων για ενημέρωση.
4. Το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 15 του ΓΚΠΔ δεν ισχύει, στον βαθμό που μέσω της ενημέρωσης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.
5. Η υποχρέωση γνωστοποίησης σύμφωνα με το άρθρο 34 του ΓΚΠΔ, εκτός από την αναφερόμενη στην παράγραφο 3 του άρθρου 34 του ΓΚΠΔ εξαίρεση, δεν ισχύει στον βαθμό που μέσω της γνωστοποίησης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες. Κατά παρέκκλιση από τo προηγούμενο εδάφιο το υποκείμενο των δεδομένων προσωπικού χαρακτήρα πρέπει σύμφωνα με το άρθρο 34 του ΓΚΠΔ να ενημερώνεται, όταν τα συμφέροντά του, λαμβάνοντας ιδίως υπόψη τις επαπειλούμενες ζημιές, υπερτερούν του συμφέροντος διατήρησης του απορρήτου.
Άρθρο 34.- Δικαίωμα διαγραφής
1. Αν η διαγραφή σε περίπτωση μη αυτοματοποιημένης επεξεργασίας λόγω της ιδιαίτερης φύσης της αποθήκευσης δεν είναι δυνατή ή είναι δυνατή μόνο με δυσανάλογα μεγάλη προσπάθεια και το συμφέρον του υποκειμένου των δεδομένων για τη διαγραφή δεν θεωρείται σημαντικό, δεν υφίσταται το δικαίωμα του υποκειμένου και η υποχρέωση του υπεύθυνου επεξεργασίας να διαγράψει τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το άρθρο 17 παράγραφος 1 του ΓΚΠΔ, εκτός των εξαιρέσεων που αναφέρονται στο άρθρο 17 παράγραφος 3 του ΓΚΠΔ. Στην περίπτωση αυτή, η διαγραφή αντικαθίσταται από τον περιορισμό της επεξεργασίας σύμφωνα με το άρθρο 18 του ΓΚΠΔ. Τα ανωτέρω εδάφια δεν εφαρμόζονται, εάν τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία.
2. Εκτός από το άρθρο 18 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, το πρώτο και δεύτερο εδάφιο της προηγούμενης παραγράφου εφαρμόζονται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχεία α) και δ) του ΓΚΠΔ, στον βαθμό που ο υπεύθυνος επεξεργασίας έχει λόγους να πιστεύει ότι η διαγραφή θα ήταν επιζήμια για τα έννομα συμφέροντα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τον περιορισμό της επεξεργασίας, εάν η ενημέρωση αυτή δεν είναι αδύνατη ή δεν συνεπάγεται δυσανάλογη προσπάθεια.
3. Εκτός από το άρθρο 17 παράγραφος 3 στοιχείο β) του ΓΚΠΔ, η παράγραφος 1 εφαρμόζεται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, εάν η διαγραφή θα ερχόταν σε σύγκρουση με τις νόμιμες ή συμβατικές περιόδους διατήρησης.
Άρθρο 35.- Δικαίωμα εναντίωσης
Το δικαίωμα εναντίωσης σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ δεν εφαρμόζεται έναντι δημόσιου φορέα, εάν υπάρχει επιτακτικό δημόσιο συμφέρον για την επεξεργασία, το οποίο υπερτερεί των συμφερόντων του υποκειμένου των δεδομένων ή διάταξη νόμου υποχρεώνει τη διενέργεια της επεξεργασίας.
Άρθρο 36.- Διασφάλιση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα του προσωπικού της ΕΥΠ που πραγματοποιείται από δημόσιους και ιδιωτικούς φορείς στο πλαίσιο των καθηκόντων τους ή των αρμοδιοτήτων τους διενεργείται από ειδικά εξουσιοδοτημένους για αυτό υπαλλήλους, για τα ονόματα των οποίων ενημερώνεται η ΕΥΠ.
Κάθε περαιτέρω διαβίβαση των ανωτέρω δεδομένων προσωπικού χαρακτήρα διενεργείται μόνο μετά από έγκριση της ΕΥΠ.
Άρθρο 37.- Διαπίστευση φορέων πιστοποίησης και πιστοποίηση
1. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC17065:2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή.
2. Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.
Άρθρο 38.- Ποινικές κυρώσεις
1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.
Άρθρο 39.- Διοικητικές κυρώσεις
1. Με την επιφύλαξη των διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ, η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει στους φορείς του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄143), εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄ 314), υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για τις παραβάσεις:
α) της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 8, 27, 29, 42, 43 του ΓΚΠΔ, β) των παραγράφων 5 και 6 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 17, 20, 47, 90 και 91 του ΓΚΠΔ, γ) των άρθρων 5, 6, 7, 22, 24, 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του παρόντος, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για τον καθορισμό του ύψους αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη o φορέας του δημόσιου τομέα, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις του φορέα του δημόσιου τομέα,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσο ο φορέας του δημόσιου τομέα κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος του φορέα του δημόσιου τομέα, για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ, ο βαθμός συμμόρφωσής του με αυτά.
3. Σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του παρόντος, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
Άρθρο 40.- Δικαστική προστασία κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία
1. Οι αγωγές του υποκειμένου των δεδομένων κατά του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία λόγω παραβίασης των διατάξεων για την προστασία των δεδομένων εντός του πεδίου εφαρμογής του ΓΚΠΔ ή των δικαιωμάτων του υποκειμένου που περιέχονται σε αυτόν εισάγονται στο πολιτικό δικαστήριο στην περιφέρεια του οποίου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει την εγκατάστασή του. Οι αγωγές του προηγούμενου εδαφίου μπορούν να εισαχθούν και στο πολιτικό δικαστήριο, στην περιφέρεια του οποίου, το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στις αγωγές κατά δημοσίων αρχών, όταν οι αρχές αυτές ασκούν κυριαρχική δημόσια εξουσία που τους έχει ανατεθεί.
3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει ορίσει εκπρόσωπο, σύμφωνα με το άρθρο 27 παράγραφος 1 του ΓΚΠΔ, ο εν λόγω εκπρόσωπος θεωρείται αντίκλητος για όλες τις επιδόσεις που γίνονται στο πλαίσιο της πολιτικής δίκης σύμφωνα με την παράγραφο 1.
Άρθρο 41.- Εκπροσώπηση υποκειμένου των δεδομένων
1. Όταν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβιάζει τις διατάξεις του ΓΚΠΔ ή του Κεφαλαίου Γ΄ του παρόντος νόμου έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό, οργάνωση ή σωματείο ή ένωση προσώπων χωρίς νομική προσωπικότητα μη κερδοσκοπικού χαρακτήρα που έχει συσταθεί και λειτουργεί νομίμως στην Ελληνική Επικράτεια, οι στόχοι του είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, να υποβάλει στο όνομά του ενώπιον της Αρχής καταγγελία σύμφωνα με το άρθρο 77 του ΓΚΠΔ και να ασκήσει στο όνομά του τα δικαιώματα που αναφέρονται στο άρθρο 78 του ΓΚΠΔ και του άρθρου 20 του παρόντος νόμου.
2. Η ανάθεση της εκπροσώπησης κατά την παράγραφο 1 γίνεται με ειδική έγγραφη εξουσιοδότηση, η οποία φέρει το γνήσιο της υπογραφής του αναθέτοντος σύμφωνα με το άρθρο 11 παράγραφος 1 εδάφιο α’ του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999, Α’ 45). Η ανάκληση της ανάθεσης αυτής δύναται να γίνει οποτεδήποτε, εν όλω ή εν μέρει.
Άρθρο 42.- Πρόσβαση του κοινού σε έγγραφα
1. Η εφαρμογή των διατάξεων του άρθρου 5 του Κώδικα Διοικητικής Διαδικασίας που αφορούν στη χορήγηση εγγράφων από φορείς του δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του ανωτέρω Κώδικα, καθώς και των λοιπών διατάξεων που αφορούν στη χορήγηση εγγράφων από τον εκάστοτε φορέα ή αρχή ή υπηρεσία παραμένει ανεπηρέαστη, όταν περιεχόμενο των εγγράφων αυτών αποτελούν δεδομένα προσωπικού χαρακτήρα.
2. Η εφαρμογή των διατάξεων του άρθρου 22 του Κώδικα Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών (ν. 1756/1988,Α΄35) παραμένει ανεπηρέαστη.
ΚΕΦΑΛΑΙΟ Δ΄.- ΕΝΣΩΜΑΤΩΣΗ ΣΤΗΝ ΕΘΝΙΚΗ ΝΟΜΟΘΕΣΙΑ ΤΗΣ ΟΔΗΓΙΑΣ (2016/680)
ΤΜΗΜΑ I.- ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ – ΓΕΝΙΚΕΣ ΑΡΧΕΣ
Άρθρο 43.- Πεδίο εφαρμογής (άρθρα 1 και 2 της Οδηγίας)
Οι διατάξεις του παρόντος Κεφαλαίου εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Στις ως άνω περιπτώσεις οι δημόσιες αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας. Όπου στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους εκτελούντες την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε αυτούς.
Άρθρο 44.- Ορισμοί (άρθρο 3 της Οδηγίας)
1. Για τους σκοπούς του παρόντος Κεφαλαίου νοούνται ως:
α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
γ) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
δ) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις τού εν λόγω φυσικού προσώπου·
ε) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα Προσωπικού Χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
στ) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
ζ) «υπεύθυνος επεξεργασίας»: η δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
η) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας·
θ) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το ενωσιακό ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας·
ι) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία·
ια) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·
ιβ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
ιγ) «δεδομένα που αφορούν στην υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του·
ιδ) «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα»: δεδομένα Προσωπικού Χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα για την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό φυσικού προσώπου·
ιε) «εποπτική αρχή»: Ανεξάρτητη διοικητική αρχή, η οποία έχει συσταθεί από το κράτος-μέλος σύμφωνα με το άρθρο 41 της Οδηγίας (ΕΕ) 2016/680·
ιστ) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάση συμφωνίας μεταξύ δύο ή περισσότερων χωρών·
ιζ) «συγκατάθεση»: κάθε οικειοθελής, για τις ανάγκες της συγκεκριμένης περίστασης, αδιαμφισβήτητη και μετά από ενημέρωση του υποκειμένου σαφής ένδειξη της επιθυμίας του με την οποία εκδηλώνει με δήλωση ή σαφή θετική ενέργεια ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Άρθρο 45.- Γενικές Αρχές (άρθρο 4 της Οδηγίας)
1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να:
α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία·
β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·
γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·
δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνονται όλα τα εύλογα μέτρα που προβλέπονται από τις κείμενες διατάξεις, τα οποία διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας·
ε) διατηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία·
στ) υποβάλλονται σε επεξεργασία, κατά τρόπο που να εγγυάται τη δέουσα ασφάλειά τους, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
2. Ο υπεύθυνος επεξεργασίας, οφείλει να είναι σε θέση να αποδείξει την τήρηση των υποχρεώσεών του, σύμφωνα με την προηγούμενη παράγραφο.
ΤΜΗΜΑ II.- ΝΟΜΙΚΕΣ ΒΑΣΕΙΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 46.- Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (άρθρο 10 της Οδηγίας)
1. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο όταν είναι απολύτως αναγκαία για την ενάσκηση των καθηκόντων του υπεύθυνου επεξεργασίας.
2. Όταν υποβάλλονται σε επεξεργασία ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα, εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων. Οι κατάλληλες διασφαλίσεις μπορεί να είναι ιδίως:
α) ειδικές απαιτήσεις για την ασφάλεια των δεδομένων ή την παρακολούθηση της προστασίας των δεδομένων·
β) ειδικές προθεσμίες εντός των οποίων τα δεδομένα πρέπει να επανεξετάζονται για διαγραφή·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που συμμετέχει στις εργασίες επεξεργασίας·
δ) περιορισμοί στην πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο του υπεύθυνου επεξεργασίας (του αρμόδιου φορέα) ·
ε) επεξεργασία των δεδομένων αυτών με χωροταξικό και οργανωτικό διαχωρισμό·
στ) η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
ζ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα· ή
η) ειδικοί κώδικες δεοντολογίας για τη διασφάλιση της νόμιμης επεξεργασίας σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς.
Άρθρο 47.- Επεξεργασία για άλλους σκοπούς (άρθρο 4 της Οδηγίας)
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο έχουν συλλεγεί, επιτρέπεται εάν ο άλλος σκοπός είναι ένας από τους σκοπούς που αναφέρονται στο άρθρο 43, ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται δεδομένα για το σκοπό αυτό και η επεξεργασία που διενεργείται είναι απαραίτητη και ανάλογη προς τον σκοπό αυτό. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλο σκοπό, που δεν αναφέρεται στο άρθρο 43, επιτρέπεται εφόσον προβλέπεται ρητώς στον νόμο.
Άρθρο 48.- Επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς (άρθρο 4 της Οδηγίας)
Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε επεξεργασία στο πλαίσιο των σκοπών που αναφέρονται στο άρθρο 43 για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εάν αυτό είναι προς το δημόσιο συμφέρον και εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων. Οι εν λόγω διασφαλίσεις μπορούν να συνίστανται στην ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα το ταχύτερο δυνατόν, τη λήψη μέτρων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης τρίτων ή την επεξεργασία τους με χωροταξικό και οργανωτικό διαχωρισμό από άλλα εξειδικευμένα καθήκοντα.
Άρθρο 49.- Συγκατάθεση
1. Στον βαθμό που η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνει, σύμφωνα με τον νόμο, βάσει συγκατάθεσης, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την παροχή συγκατάθεσης του υποκειμένου των δεδομένων.
2. Σε περίπτωση που η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, η αίτηση για λήψη της συγκατάθεσης πρέπει να παρουσιάζεται κατά τρόπο διακριτό από τα άλλα θέματα, σε μία εύληπτη και ευχερώς προσβάσιμη μορφή και με χρήση απλής και κατανοητής γλώσσας.
3. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας με βάση τη συγκατάθεση που παρασχέθηκε πριν από την ανάκλησή της. Το υποκείμενο των δεδομένων ενημερώνεται για αυτό το δικαίωμά του πριν από την παροχή της συγκατάθεσής του.
4. Η συγκατάθεση παράγει τα έννομα αποτελέσματά της μόνο όταν βασίζεται στην ελεύθερη βούληση του υποκειμένου των δεδομένων. Κατά την αξιολόγηση εάν η συγκατάθεση παρεσχέθη ελεύθερα, πρέπει να λαμβάνονται υπόψη οι περιστάσεις υπό τις οποίες αυτή παρεσχέθη. Το υποκείμενο των δεδομένων ενημερώνεται για τον επιδιωκόμενο σκοπό της επεξεργασίας. Εάν είναι απαραίτητο σύμφωνα με τις περιστάσεις της συγκεκριμένης υπόθεσης ή κατόπιν αιτήματος, το υποκείμενο των δεδομένων ενημερώνεται επίσης για τις συνέπειες της άρνησης της συγκατάθεσης.
5. Σε περίπτωση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, η συγκατάθεση πρέπει να αναφέρεται ρητώς στα δεδομένα αυτά.
Άρθρο 50.- Επεξεργασία υπό την εποπτεία του υπεύθυνου επεξεργασίας (άρθρο 23 της Οδηγίας)
Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ο οποίος έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα δεδομένα αυτά σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εκτός εάν ο νόμος ορίζει άλλως.
Άρθρο 51.- Εμπιστευτικότητα
Όλα τα πρόσωπα που απασχολούνται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα τα επεξεργάζονται μετά από άδεια και υποχρεούνται κατά την ανάληψη των καθηκόντων τους στη διατήρηση της εμπιστευτικότητας. Η υποχρέωση τήρησης εμπιστευτικότητας συνεχίζεται μετά τη λήξη της απασχόλησής τους.
Άρθρο 52.- Αυτοματοποιημένη ατομική λήψη αποφάσεων (άρθρο 11 της Οδηγίας)
1. Η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, η οποία παράγει δυσμενή έννομα αποτελέσματα στο υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, επιτρέπεται μόνον εφόσον προβλέπεται από τον νόμο.
2. Οι αποφάσεις που αναφέρονται στην προηγούμενη παράγραφο δεν εφαρμόζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, εκτός εάν υφίστανται κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Απαγορεύεται η κατάρτιση προφίλ που οδηγεί σε διακρίσεις σε βάρος φυσικών προσώπων βάσει ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
ΤΜΗΜΑ ΙΙΙ.- ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 53.- Γενικές πληροφορίες σχετικά με την επεξεργασία δεδομένων (άρθρα 12 και 13 της Οδηγίας)
Ο υπεύθυνος επεξεργασίας παρέχει γενικές και ευχερώς προσβάσιμες στο κοινό πληροφορίες σε απλή και κατανοητή γλώσσα και μέσω του διαδικτυακού τόπου της δημόσιας αρχής αναφορικά με:
α) τους σκοπούς της επεξεργασίας,
β) το δικαίωμα του υποκειμένου να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση, διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας,
γ) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και του ΥΠΔ,
δ) το δικαίωμα υποβολής καταγγελίας στην Αρχή, και
ε) τα στοιχεία επικοινωνίας της Αρχής.
Άρθρο 54.- Δικαίωμα ενημέρωσης του υποκειμένου (άρθρο 13 της Οδηγίας)
1. Σε ειδικές περιπτώσεις και ιδίως όταν η συλλογή των δεδομένων του υποκειμένου πραγματοποιήθηκε υπό συνθήκες μυστικότητας, και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο θα πρέπει, επιπλέον των πληροφοριών του προηγούμενου άρθρου, τουλάχιστον να ενημερώνεται για:
α) τη νομική βάση της επεξεργασίας·
β) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
γ) τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν·
δ) όταν είναι απαραίτητο, να του παρέχονται επιπλέον πληροφορίες, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν εν αγνοία του.
2. Στις περιπτώσεις της προηγούμενης παραγράφου, ο υπεύθυνος επεξεργασίας μπορεί να καθυστερήσει, να περιορίσει ή να παραλείψει την ενημέρωση του υποκειμένου εφ’ όσον αυτό είναι αναγκαίο:
α) για την εκτέλεση των καθηκόντων των αρμοδίων αρχών, όπως αυτά περιγράφονται στο άρθρο 43,
β) για την εθνική ασφάλεια ή τη δημόσια ασφάλεια, ή
γ) για την προστασία των έννομων συμφερόντων τρίτων, τα οποία θα απειλούνταν διαφορετικά, εάν το συμφέρον για την αποφυγή αυτών των απειλών υπερισχύει έναντι του συμφέροντος του υποκειμένου των δεδομένων να τύχει ενημέρωσης.
3. Οι διατάξεις της παραγράφου 7 του επόμενου άρθρου εφαρμόζονται και για τους περιορισμούς της προηγούμενης παραγράφου.
Άρθρο 55.- Δικαίωμα πρόσβασης (άρθρα 14 και 15 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας ενημερώνει, κατόπιν αιτήσεώς του, το υποκείμενο των δεδομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το υποκείμενο των δεδομένων ενημερώνεται, επίσης, για:
α) τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τις κατηγορίες στις οποίες ανήκουν·
β) τις διαθέσιμες πληροφορίες σχετικά με την προέλευση των δεδομένων·
γ) τους σκοπούς και τη νομική βάση για την επεξεργασία·
δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς·
ε) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
στ) τη δυνατότητα άσκησης του δικαιώματος διόρθωσης ή διαγραφής ή περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
ζ) το δικαίωμα κατ’ εφαρμογή του άρθρου 58 να υποβάλει καταγγελία στην Αρχή· και
η) τα στοιχεία επικοινωνίας της Αρχής.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών απαιτήσεων διατήρησης ή εξυπηρετούν αποκλειστικά σκοπούς ασφάλειας των δεδομένων ή ελέγχων προστασίας των δεδομένων, εάν η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια και η επεξεργασία για άλλους σκοπούς μέσω ενδεδειγμένων τεχνικών και οργανωτικών μέτρων αποκλείεται.
3. Δεν παρέχονται πληροφορίες, εάν το υποκείμενο των δεδομένων δεν παρέχει πληροφορίες που να επιτρέπουν ανεύρεση των δεδομένων του και, κατά συνέπεια, η απαιτούμενη προσπάθεια είναι δυσανάλογη έναντι του συμφέροντος του υποκειμένου των δεδομένων για παροχή πληροφοριών.
4. Στις περιπτώσεις της παραγράφου 2 του προηγούμενου άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί την παροχή πληροφοριών σύμφωνα με το πρώτο εδάφιο της παραγράφου 1 ή να περιορίσει, εν όλω ή εν μέρει, την ενημέρωση σύμφωνα με το δεύτερο εδάφιο της παραγράφου 1.
5. Δεν γνωστοποιείται στο υποκείμενο των δεδομένων η ταυτότητα των φυσικών προσώπων από τα οποία προήλθαν τα δεδομένα προσωπικού χαρακτήρα, όταν η πληροφόρηση αυτή μπορεί να θέσει σε κίνδυνο τη ζωή ή τη σωματική ακεραιότητα και τις θεμελιώδεις ελευθερίες τους, καθώς και όταν πρόκειται για προστατευόμενους μάρτυρες ή πληροφοριοδότες.
6. Ο υπεύθυνος επεξεργασίας γνωστοποιεί εγγράφως και χωρίς καθυστέρηση στο υποκείμενο των δεδομένων την απόφασή του με την οποία αρνείται ή περιορίζει την πρόσβαση. Η ανωτέρω υποχρέωση γνωστοποίησης του υπεύθυνου επεξεργασίας δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με την παράγραφο 2 του προηγούμενου άρθρου. Η ανωτέρω γνωστοποίηση περιλαμβάνει τους πραγματικούς ή νομικούς λόγους στους οποίους βασίζεται η άρνηση ή ο περιορισμός, εκτός εάν η ανωτέρω αιτιολόγηση θα έβλαπτε τον επιδιωκόμενο σκοπό της άρνησης ή του περιορισμού της πρόσβασης.
7. Το υποκείμενο των δεδομένων σε περίπτωση άρνησης ή περιορισμού της πρόσβασης, σύμφωνα με την προηγούμενη παράγραφο, ενημερώνεται για τη δυνατότητα άσκησης του δικαιώματος πρόσβασης μέσω της Αρχής και ειδικότερα για την σύμφωνα με το άρθρο 58 δυνατότητα υποβολής καταγγελίας στην Αρχή και την άσκηση αιτήσεως ακυρώσεως κατά της απορριπτικής απόφασης της Αρχής, ενώπιον του Συμβουλίου της Επικρατείας. Η απόφαση του υπεύθυνου επεξεργασίας διαβιβάζεται στην Αρχή, εκτός και εάν αυτός επικαλεσθεί λόγους εθνικής ασφάλειας. Στην περίπτωση της καταγγελίας ενώπιον της Αρχής, η τελευταία ερευνά τη συνδρομή των προϋποθέσεων του περιορισμού του δικαιώματος και ενημερώνει το υποκείμενο, τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από αυτή, καθώς και εάν παραβιάσθηκαν οι διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.
8. Ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς και νομικούς λόγους στους οποίους βασίζεται η απόφασή του.
Άρθρο 56.- Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμοί ως προς την επεξεργασία (άρθρο 16 της Οδηγίας)
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη χωρίς καθυστέρηση διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ειδικότερα, στην περίπτωση δηλώσεων ή αποφάσεων, το ζήτημα της ακρίβειας δεν έχει σημασία για το περιεχόμενο της δήλωσης ή της απόφασης. Εάν η ακρίβεια ή η ανακρίβεια των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να διαπιστωθεί, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία αντί να διαγράψει τα δεδομένα. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν προβεί ξανά στον περιορισμό. Το υποκείμενο των δεδομένων μπορεί επίσης να ζητήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, εάν αυτό, λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, είναι εύλογο.
2. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν, όταν η επεξεργασία τους παραβιάζει τις διατάξεις του παρόντος Κεφαλαίου, η γνώση των δεδομένων αυτών δεν είναι πλέον απαραίτητη για την εκτέλεση καθηκόντων ή τα δεδομένα αυτά πρέπει να έχουν διαγραφεί, προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει νόμιμη υποχρέωσή του.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, όταν:
α) υπάρχει λόγος να υποτεθεί ότι η διαγραφή θα έβλαπτε τα έννομα συμφέροντα του υποκειμένου των δεδομένων,
β) τα δεδομένα προσωπικού χαρακτήρα επιβάλλεται να διατηρηθούν, εφόσον χρησιμεύουν ως αποδεικτικά μέσα για τους σκοπούς του άρθρου 43, ή
γ) η διαγραφή θα ήταν αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια λόγω του ειδικού τρόπου αποθήκευσης.
Τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται στην περιορισμένη επεξεργασία κατά τα ανωτέρω μπορούν να υποβληθούν σε επεξεργασία μόνο για τον σκοπό που εμπόδισε τη διαγραφή τους.
4. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, τεχνικά μέτρα πρέπει να εξασφαλίζουν ότι ο περιορισμός της επεξεργασίας είναι ευδιάκριτος και ότι η επεξεργασία για άλλους σκοπούς δεν είναι δυνατή χωρίς περαιτέρω εξέταση.
5. Όταν ο υπεύθυνος επεξεργασίας έχει διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα κοινοποιεί τη διόρθωση στον φορέα από τον οποίο τα έλαβε. Σε περίπτωση διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας σύμφωνα με τις παραγράφους 1 έως και 3, ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες στους οποίους διαβιβάσθηκαν τα δεδομένα προσωπικού χαρακτήρα σχετικά με τα μέτρα αυτά. Ο αποδέκτης διορθώνει ή διαγράφει τα δεδομένα προσωπικού χαρακτήρα ή περιορίζει την επεξεργασία τους.
6. Ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για οποιαδήποτε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας τους. Αυτό δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με την παράγραφο 2 του άρθρου 54. Οι πληροφορίες που προβλέπονται στο προηγούμενο εδάφιο περιλαμβάνουν τους λόγους της άρνησης, εκτός εάν οι λόγοι αυτοί θέτουν σε κίνδυνο τον επιδιωκόμενο σκοπό της άρνησης.
7. Κατά τα λοιπά εφαρμόζονται αναλόγως οι παράγραφοι 7 και 8 του προηγούμενου άρθρου.
Άρθρο 57.- Τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων (άρθρο 12 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας επικοινωνεί με το υποκείμενο των δεδομένων σε συνοπτική, κατανοητή και ευχερώς προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν απευθύνεται σε ανηλίκους. Οι πληροφορίες, επιφυλασσομένων ειδικών διατάξεων, παρέχονται με κάθε κατάλληλο μέσο, συμπεριλαμβανομένων και των ηλεκτρονικών μέσων. Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις πληροφορίες στη μορφή που υποβλήθηκε το αίτημα.
2. Με την επιφύλαξη της παραγράφου 5 του άρθρου 55 και της παραγράφου 6 του άρθρου 56 ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση το υποκείμενο των δεδομένων για την πορεία της αίτησής του.
3. Οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 53, κάθε επικοινωνία που πραγματοποιείται σύμφωνα με τα άρθρα 54 και 64, καθώς και οι αιτήσεις που υποβάλλονται σε επεξεργασία σύμφωνα με τα άρθρα 55 και 56, δεν υπόκεινται σε τέλος. Όταν μια αίτηση σύμφωνα με τα άρθρα 55 και 56 είναι προδήλως αβάσιμη ή ασκείται καταχρηστικά, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει ένα εύλογο τέλος βάσει των διοικητικών του εξόδων ή μπορεί να αρνηθεί να ενεργήσει βάσει του αιτήματος. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τον προδήλως αβάσιμο ή καταχρηστικό χαρακτήρα της αίτησης.
4. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει την αίτηση σύμφωνα με τα άρθρα 55 και 56, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή συμπληρωματικών πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου.
Άρθρο 58.- Δικαίωμα υποβολής καταγγελίας στην Αρχή (άρθρο 17 της Οδηγίας)
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή, εάν πιστεύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν από δημόσιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 43 παραβιάζει τα δικαιώματά του. Αυτό δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δικαστικές και εισαγγελικές αρχές, όταν επεξεργάζονται τα δεδομένα αυτά στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών καθηκόντων τους. Η Αρχή ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και το αποτέλεσμα της καταγγελίας και για τη δυνατότητα άσκησης αιτήσεως ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά της απόφασης επί της καταγγελίας του, σύμφωνα με το άρθρο 20.
2. Σε περίπτωση υποβολής καταγγελίας σχετικά με την επεξεργασία ενώπιον της Αρχής, αντί της αρμόδιας εποπτικής αρχής άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης, η Αρχή πρέπει να διαβιβάσει, χωρίς καθυστέρηση, στην εποπτική αρχή του άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης, την καταγγελία που εμπίπτει στην αρμοδιότητά της. Στην περίπτωση αυτή, η Αρχή ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση της καταγγελίας του και του παρέχει κατόπιν αιτήματός του οποιαδήποτε βοήθεια.
Άρθρο 59.- Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες (άρθρο 18 της Οδηγίας)
Στο πλαίσιο ποινικής έρευνας και διαδικασίας, τα δικαιώματα ενημέρωσης για την πεξεργασία, πρόσβασης, διόρθωσης ή διαγραφής και περιορισμού των δεδομένων προσωπικού χαρακτήρα, κατά τις διατάξεις των άρθρων 54 έως και 56, ασκούνται σύμφωνα με όσα ορίζουν οι διατάξεις του Κώδικα Ποινικής Δικονομίας, ειδικές δικονομικές διατάξεις και ο Κώδικας Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών (ΚΟΔΚΔΛ),όπως κάθε φορά ισχύουν.
ΤΜΗΜΑ ΙV.- ΥΠΟΧΡΕΩΣΕΙΣ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΚΑΙ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 60.- Εκτελών την επεξεργασία (άρθρα 22 και 23 της Οδηγίας)
1. Όταν η επεξεργασία διενεργείται για λογαριασμό υπεύθυνου επεξεργασίας, αυτός μεριμνά για την τήρηση των υποχρεώσεων που απορρέουν από τον παρόντα νόμο και από άλλες διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Το δικαίωμα του υποκειμένου για ενημέρωση, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και η αξίωση αποζημίωσης στην περίπτωση αυτή ασκούνται έναντι του υπεύθυνου επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας επιτρέπεται να αναθέσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο σε εκτελούντες την επεξεργασία, οι οποίοι εξασφαλίζουν με κατάλληλα τεχνικά και οργανωτικά μέτρα ότι η επεξεργασία διενεργείται σύμφωνα με τον νόμο και ότι διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων επεξεργασίας.
3. Η επεξεργασία μέσω εκτελούντος την επεξεργασία πρέπει να βασίζεται σε σύμβαση ή άλλη νομική πράξη που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, η οποία καθορίζει το αντικείμενο, τη διάρκεια, τη φύση και το σκοπό της επεξεργασίας, τη φύση των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων και τα δικαιώματα και τις υποχρεώσεις του υπεύθυνου προσώπου. Η σύμβαση ή άλλη νομική πράξη προβλέπει ιδίως ότι ο εκτελών την επεξεργασία:
α) ενεργεί μόνο κατ’ εντολή και σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εάν ο εκτελών την επεξεργασία θεωρεί ότι μια εντολή είναι παράνομη, πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση·
β) εγγυάται ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα είναι υποχρεωμένα να τηρούν την εμπιστευτικότητα, στο μέτρο που αυτά δεν υπόκεινται σε καμία εύλογη νομική υποχρέωση διατήρησης του απορρήτου·
γ) βοηθά με τα κατάλληλα μέσα τον υπεύθυνο επεξεργασίας για τη διασφάλιση των δικαιωμάτων του υποκειμένου των δεδομένων·
δ) μετά την ολοκλήρωση της παροχής των υπηρεσιών επεξεργασίας κατά την κρίση του υπεύθυνου επεξεργασίας επιστρέφει ή διαγράφει όλα τα προσωπικά δεδομένα και καταστρέφει τα υπάρχοντα αντίγραφα, εκτός εάν υπάρχει νομική υποχρέωση αποθήκευσης των δεδομένων·
ε) παρέχει στον υπεύθυνο επεξεργασίας όλες τις απαραίτητες πληροφορίες, ιδίως τις δημιουργηθείσες καταχωρίσεις σύμφωνα με το άρθρο 74, ως απόδειξη συμμόρφωσης με τις υποχρεώσεις του·
στ) επιτρέπει και συμβάλλει στη διενέργεια ελέγχων που διενεργεί ο υπεύθυνος επεξεργασίας ή ο εξουσιοδοτημένος από αυτόν ελεγκτής·
ζ) λαμβάνει όλα τα αναγκαία μέτρα σύμφωνα με το άρθρο 62·
η) λαμβανομένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που έχει στη διάθεσή του, βοηθά τον υπεύθυνο επεξεργασίας για την τήρηση των υποχρεώσεων που ορίζονται στα άρθρα 62 έως 65 και 67.
4. Σε περίπτωση που ο εκτελών την επεξεργασία αναθέτει σε άλλον εκτελούντα την επεξεργασία, πρέπει να του επιβάλει τις ίδιες υποχρεώσεις σύμφωνα με τη σύμβασή του με τον υπεύθυνο επεξεργασίας, σύμφωνα με την παράγραφο 3, η οποία ισχύει και για τον ίδιο, εκτός εάν οι υποχρεώσεις αυτές δεσμεύουν ήδη τον άλλον εκτελούντα την επεξεργασία βάσει άλλων διατάξεων.
5. Ο εκτελών την επεξεργασία δύναται να αναθέσει την επεξεργασία σε άλλον, μόνο κατόπιν προηγούμενης έγγραφης άδειας του υπεύθυνου επεξεργασίας. Εάν ο υπεύθυνος επεξεργασίας έχει χορηγήσει στον εκτελούντα την επεξεργασία γενική άδεια για τη συμμετοχή και άλλου εκτελούντος την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν αλλαγές, στις οποίες σκοπεύει να προβεί και που αφορούν την ενδεχόμενη συμπλήρωση ή αντικατάσταση άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος επεξεργασίας δύναται στην περίπτωση αυτή να αρνηθεί αυτές τις αλλαγές.
6. Η σύμβαση που αναφέρεται στην παράγραφο 3 πρέπει να είναι έγγραφη ή ηλεκτρονική.
7. Ο εκτελών την επεξεργασία που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας κατά παράβαση του παρόντος άρθρου θεωρείται υπεύθυνος επεξεργασίας.
Άρθρο 61.- Από κοινού υπεύθυνοι επεξεργασίας (άρθρο 21 της Οδηγίας)
1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, καθίστανται από κοινού υπεύθυνοι επεξεργασίας. Τα καθήκοντα και οι ευθύνες καθενός εκ των από κοινού υπεύθυνων επεξεργασίας ορίζονται με διαφανή τρόπο, με έγγραφη συμφωνία στο βαθμό που τα καθήκοντα και οι ευθύνες τους δεν καθορίζονται από τον νόμο. Συγκεκριμένα, η συμφωνία πρέπει να καθορίζει ποιος πρέπει να εκπληρώσει τις υποχρεώσεις πληροφόρησης και ενώπιον τίνος τα πρόσωπα στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα μπορούν να ασκήσουν τα δικαιώματά τους.
2. Η ύπαρξη συμφωνίας της προηγούμενης παραγράφου δεν εμποδίζει το υποκείμενο των δεδομένων να ασκήσει τα δικαιώματά του έναντι καθενός εκ των από κοινού υπεύθυνων επεξεργασίας.
Άρθρο 62.- Ασφάλεια επεξεργασίας (άρθρα 19 και 29 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας, του κόστους υλοποίησης, της φύσης, του πεδίου εφαρμογής, των περιστάσεων και των σκοπών της επεξεργασίας, καθώς και της πιθανότητας και σοβαρότητας των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων, λαμβάνουν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
2. Τα μέτρα που αναφέρονται στην προηγούμενη παράγραφο μπορεί να περιλαμβάνουν μεταξύ άλλων την ψευδωνυμοποίηση και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, εφόσον τα εν λόγω μέσα είναι δυνατά για τους σκοπούς της επεξεργασίας. Τα μέτρα σύμφωνα με την παράγραφο 1 πρέπει να διασφαλίζουν:
α) την εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών που σχετίζονται με την επεξεργασία· και
β) τη δυνατότητα να αποκατασταθεί έγκαιρα η διαθεσιμότητα και η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα σε περίπτωση φυσικού ή τεχνικού συμβάντος.
3. Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, μετά από αξιολόγηση των κινδύνων, εφαρμόζουν μέτρα που έχουν ως σκοπό:
α) την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό)·
β) την αποτροπή της μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης μέσων αποθήκευσης (έλεγχος μέσων αποθήκευσης)·
γ) την αποτροπή της μη εξουσιοδοτημένης εισαγωγής δεδομένων προσωπικού χαρακτήρα και του μη εξουσιοδοτημένου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·
δ) την αποτροπή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·
ε) την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνο σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότησή τους (έλεγχος πρόσβασης στα δεδομένα)·
στ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα προσωπικού χαρακτήρα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·
ζ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιόν (έλεγχος εισαγωγής)·
η) την αποτροπή τής μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά μέσων αποθήκευσης δεδομένων (έλεγχος διαβίβασης)·
θ) την εξασφάλιση ότι η λειτουργία των εγκαταστημένων συστημάτων μπορεί να αποκατασταθεί σε περίπτωση διακοπής της (αποκατάσταση)·
ι) την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται χωρίς υπαίτια καθυστέρηση (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα παραμένουν αναλλοίωτα σε περίπτωση δυσλειτουργίας του συστήματος (ακεραιότητα)·
ια) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας μπορούν να υποβληθούν σε επεξεργασία μόνο σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας (έλεγχος επεξεργασίας)·
ιβ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται από απώλεια και καταστροφή (έλεγχος της διαθεσιμότητας)·
ιγ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για διαφορετικούς σκοπούς μπορούν να υποβληθούν σε επεξεργασία με οργανωτικό ή χωροταξικό διαχωρισμό (δυνατότητα διαχωρισμού).
Ο σκοπός του πρώτου εδαφίου στις περιπτώσεις β΄ έως και ε΄ μπορεί να επιτευχθεί ιδίως με τη χρήση τεχνολογίας κρυπτογράφησης.
Άρθρο 63.- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή (άρθρο 30 της Οδηγίας)
1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην Αρχή την παραβίαση χωρίς καθυστέρηση και, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τότε που έλαβε γνώση της παραβίασης, εκτός εάν αιτιολογημένα κρίνει ότι η παραβίαση δεν είναι πιθανό να θέσει σε κίνδυνο τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου. Η γνωστοποίηση της παραβίασης στην Αρχή μετά την πάροδο των εβδομήντα δύο (72) ωρών θα πρέπει να αιτιολογείται ειδικώς ως προς τους λόγους της καθυστέρησης.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1, περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
α) τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών, του αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα·
β) το ονοματεπώνυμο και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας, από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες·
γ) περιγραφή των συνεπειών που ενδέχεται να έχει η παραβίαση των δεδομένων προσωπικού χαρακτήρα· και
δ) περιγραφή των μέτρων που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
4. Σε περίπτωση που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες της προηγούμενης παραγράφου ταυτόχρονα με τη γνωστοποίηση της παραβίασης, ο υπεύθυνος επεξεργασίας μπορεί να τις παράσχει σταδιακά από τη στιγμή που αυτές είναι διαθέσιμες, χωρίς περαιτέρω καθυστέρηση.
5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα επανορθωτικά μέτρα.
6. Σε περίπτωση που η παραβίαση δεδομένων αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους – μέλους, οι πληροφορίες που αναφέρονται στην παράγραφο 3 γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους – μέλους χωρίς καθυστέρηση.
7. Περαιτέρω υποχρεώσεις του υπεύθυνου επεξεργασίας σχετικά με την κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα παραμένουν ανεπηρέαστες.
Άρθρο 64.- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων (άρθρο 31 της Οδηγίας)
1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα φυσικού προ-σώπου, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμέσως στο υποκείμενο των δεδομένων το περιστατικό.
2. Κατά τη γνωστοποίηση στο υποκείμενο των δεδομένων, σύμφωνα με την παράγραφο 1 περιγράφεται κατά τρόπο εύληπτο και σαφή η φύση της παραβίασης και αναφέρεται τουλάχιστον το περιεχόμενο των περιπτώσεων β΄, γ΄ και δ΄ της παραγράφου 3 του προηγούμενου άρθρου.
3. Γνωστοποίηση στο υποκείμενο των δεδομένων δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και έχει εφαρμόσει τα μέτρα αυτά στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση αυτό ισχύει ιδιαίτερα για τα μέτρα, όπως η κρυπτογράφηση, μέσω της οποίας τα δεδομένα καθίσταται απρόσιτα σε μη εξουσιοδοτημένα πρόσωπα·
β) ο υπεύθυνος επεξεργασίας έλαβε εκ των υστέρων μέτρα που διασφαλίζουν την προστασία έναντι της παραβίασης των δεδομένων προσωπικού χαρακτήρα· ή
γ) απαιτούνται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα, ώστε το υποκείμενο των δεδομένων να ενημερώνεται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα, η Αρχή μπορεί να δηλώσει επισήμως ότι θεωρεί ότι δεν πληρούνται οι προϋποθέσεις της παραγράφου 3. Με τον τρόπο αυτό, πρέπει να λάβει υπόψη την πιθανότητα ότι η ζημία θα οδηγήσει σε σημαντικό κίνδυνο κατά την έννοια της παραγράφου 1.
5. Η κοινοποίηση στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να αναβληθεί, να περιοριστεί ή να παραλειφθεί υπό τους όρους που ορίζονται στο άρθρο 54 παράγραφος 2, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του σημαντικού κινδύνου της παραβίασης κατά την έννοια της παραγράφου 1.
Άρθρο 65.- Εκτίμηση αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 27 της Οδηγίας)
1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της εκτέλεσης της επεξεργασίας για τα υποκείμενα των δεδομένων.
2. Για τη διερεύνηση παρόμοιων πράξεων επεξεργασίας με παρόμοιες δυνατότητες σημαντικού κινδύνου, μπορεί να διεξαχθεί κοινή εκτίμηση αντίκτυπου για την προστασία των δεδομένων προσωπικού χαρακτήρα.
3. Η εκτίμηση αντικτύπου λαμβάνει υπόψη τα δικαιώματα του υποκειμένου που επηρεάζονται από την επεξεργασία και πρέπει να περιέχει τουλάχιστον τα ακόλουθα:
α) συστηματική περιγραφή των προβλεπόμενων πράξεων και σκοπών της επεξεργασίας·
β) εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους επιδιωκόμενους σκοπούς·
γ) εκτίμηση των κινδύνων για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων· και
δ) τα μέτρα που πρέπει να ληφθούν για την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων, των διασφαλίσεων και των διαδικασιών για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και για την απόδειξη της συμμόρφωσης με τις νομικές απαιτήσεις.
4. Όταν κρίνεται απαραίτητο, ο υπεύθυνος επεξεργασίας ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου.
Άρθρο 66.- Συνεργασία με την Αρχή (άρθρο 26 της Οδηγίας)
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται με την Αρχή κατά την εκτέλεση των καθηκόντων της.
Άρθρο 67.- Προηγούμενη διαβούλευση με την Αρχή (άρθρο 28 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με την Αρχή πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:
α) προκύπτει από την εκτίμηση του άρθρου 65 ότι η επεξεργασία θα προκαλέσει σημαντικό κίνδυνο στα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του· ή
β) ο τύπος επεξεργασίας, ιδίως λόγω της χρήσης νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων.
2. Κατά την εκπόνηση σχεδίων νόμου ή κανονιστικών πράξεων, τα οποία αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές, για τους σκοπούς του άρθρου 43 ή συνδέονται με αυτή ζητείται εγκαίρως η γνώμη της Αρχής.
3. Η Αρχή μπορεί να καταρτίζει κατάλογο πράξεων επεξεργασίας, οι οποίες υπόκεινται σε προηγούμενη διαβούλευση σύμφωνα με την παράγραφο 1. Η Αρχή κοινοποιεί τον εν λόγω κατάλογο στον υπεύθυνο επεξεργασίας.
4. Κατά τη διενέργεια της προηγούμενης διαβούλευσης υποβάλλονται στην Αρχή:
α) η εκτίμηση αντικτύπου για την προστασία των δεδομένων που διενεργείται σύμφωνα με το άρθρο 65·
β) κατά περίπτωση, πληροφορίες σχετικά με τις αρμοδιότητες του υπεύθυνου επεξεργασίας, των από κοινού υπεύθυνων επεξεργασίας και των εμπλεκομένων εκτελούντων την επεξεργασία·
γ) πληροφορίες σχετικά με τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας·
δ) πληροφορίες σχετικά με τα μέτρα και τις διασφαλίσεις που αποσκοπούν στην προστασία των έννομων συμφερόντων των υποκειμένων των δεδομένων· και
ε) το όνομα και τα στοιχεία επικοινωνίας του ΥΠΔ.
Κατόπιν αιτήματος, η Αρχή λαμβάνει κάθε άλλη πληροφορία που απαιτείται για να εκτιμήσει τη νομιμότητα της επεξεργασίας και, ιδίως, τους υφιστάμενους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων και τις σχετικές διασφαλίσεις.
5. Εάν η Αρχή πιστεύει ότι η προβλεπόμενη επεξεργασία θα παραβίαζε το νόμο, ιδίως επειδή ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει επαρκώς τον κίνδυνο ή δεν έχει λάβει επαρκή μέτρα για τον μετριασμό του κινδύνου, μπορεί να παράσχει, εντός προθεσμίας έξι (6) εβδομάδων από την λήψη της αίτησης διαβούλευσης, έγγραφες συστάσεις στον υπεύθυνο επεξεργασίας, και κατά περίπτωση, στον εκτελούντα την επεξεργασία, όσον αφορά τα πρόσθετα μέτρα που πρέπει να ληφθούν. Η Αρχή μπορεί να παρατείνει την προθεσμία αυτή κατά ένα (1) μήνα εάν η προγραμματισμένη επεξεργασία είναι ιδιαίτερα περίπλοκη. Στην περίπτωση αυτή η Αρχή ενημερώνει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την παράταση αυτή.
6. Εάν η επιχειρούμενη επεξεργασία είναι απαραίτητη για την εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας και, ως εκ τούτου, είναι ιδιαίτερα επείγουσα, ο υπεύθυνος επεξεργασίας μπορεί να κινήσει την επεξεργασία μετά την έναρξη της διαβούλευσης, αλλά πριν από τη λήξη της προθεσμίας του πρώτου εδαφίου της προηγούμενης παραγράφου. Στην περίπτωση αυτή, οι συστάσεις πρέπει να λαμβάνονται υπόψη εκ των υστέρων και ο τρόπος επεξεργασίας προσαρμόζεται αναλόγως.
Άρθρο 68.- Αρχεία των δραστηριοτήτων επεξεργασίας (άρθρο 24 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί αρχείο για όλες τις κατηγορίες δραστηριοτήτων επεξεργασίας που εμπίπτουν στην αρμοδιότητά του. Το αρχείο περιλαμβάνει τις ακόλουθες πληροφορίες:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπεύθυνου επεξεργασίας και ΥΠΔ·
β) τους σκοπούς της επεξεργασίας·
γ) τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς·
δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων Προσωπικού Χαρακτήρα·
ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·
στ) όταν συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς Τρίτη χώρα ή διεθνή οργανισμό·
ζ) αναφορά της νομικής βάσης της επεξεργασίας·
η) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα ή για την επανεξέταση της ανάγκης διαγραφής τους· και
θ) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62.
2. Ο εκτελών την επεξεργασία πρέπει να διατηρεί αρχείο για όλες της κατηγορίες επεξεργασίας που εκτελούνται για λογαριασμό του υπεύθυνου επεξεργασίας, το οποίο περιλαμβάνει:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας κάθε εκτελούντος την επεξεργασία, κάθε υπεύθυνου επεξεργασίας για λογαριασμό του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του ΥΠΔ·
β) τις κατηγορίες επεξεργασίας που διενεργούνται για λογαριασμό κάθε υπεύθυνου επεξεργασίας·
γ) τις κατά περίπτωση διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς αναφερόμενη τρίτη χώρα ή διεθνή οργανισμό, εφόσον ο εκτελών την επεξεργασία έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας · και
δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62.
3. Τα αρχεία των παραγράφων 1 και 2 τηρούνται γραπτώς.
4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, θέτουν τα αρχεία στη διάθεση της Αρχής κατόπιν αιτήσεώς της.
Άρθρο 69.- Προστασία δεδομένων από τον σχεδιασμό και εξ’ ορισμού (άρθρο 20 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τον χρόνο της επεξεργασίας, λαμβάνει τα κατάλληλα μέτρα για την εφαρμογή των αρχών προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η ελαχιστοποίηση των δεδομένων, με αποτελεσματικό τρόπο, ώστε να διασφαλίζεται η συμμόρφωση με τις νομικές απαιτήσεις και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας και σοβαρότητας για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων της επεξεργασίας. Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία και τα συστήματα επεξεργασίας επιλέγονται και σχεδιάζονται σύμφωνα με την αρχή της ελαχιστοποίησης. Τα δεδομένα Προσωπικού Χαρακτήρα καθίστανται ανώνυμα ή ψευδωνυμοποιούνται όσο το δυνατόν ταχύτερα, στο μέτρο του δυνατού, σύμφωνα με τον σκοπό της επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για κάθε συγκεκριμένο σκοπό της επεξεργασίας. Αυτό ισχύει για τον αριθμό των συλλεγόμενων δεδομένων, την έκταση της επεξεργασίας τους, την περίοδο αποθήκευσής τους και την προσβασιμότητα τους. Ειδικότερα, τα μέτρα πρέπει να διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα δεν γίνονται προσπελάσιμα με αυτοματοποιημένα μέσα σε αόριστο αριθμό προσώπων.
Άρθρο 70.- Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων (άρθρο 6 της Οδηγίας)
1. Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας προβαίνει, στο μέτρο του εφικτού, σε σαφή διάκριση μεταξύ των διαφορετικών κατηγοριών υποκειμένων των δεδομένων. Αυτό ισχύει ιδίως για τις ακόλουθες κατηγορίες:
α) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι έχουν διαπράξει ποινικό αδίκημα·
β) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι πρόκειται να διαπράξουν ποινικό αδίκημα·
γ) προσώπων που έχουν καταδικαστεί για ποινικό αδίκημα·
δ) θυμάτων εκ ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα εκ ποινικού αδικήματος· και
ε) άλλων προσώπων, όπως μαρτύρων, πληροφοριοδοτών ή συνδέσμων ή συνεργατών των προσώπων που αναφέρονται στις περιπτώσεις α΄ έως και δ΄.
Άρθρο 71.- Διάκριση δεδομένων προσωπικού χαρακτήρα και επαλήθευση της ταυτότητάς τους (άρθρο 7 της Οδηγίας)
Κατά την επεξεργασία, ο υπεύθυνος επεξεργασίας διακρίνει, στο μέτρο του εφικτού, τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε πραγματικές καταστάσεις και αυτά που βασίζονται σε προσωπικές εκτιμήσεις. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας προσδιορίζει τις αξιολογήσεις που βασίζονται σε προσωπικές εκτιμήσεις ως τέτοιες, στο μέτρο του εφικτού στο πλαίσιο της εν λόγω επεξεργασίας. Πρέπει επίσης να είναι δυνατό να προσδιοριστεί ποιά δημόσια αρχή διατηρεί τα αρχεία στα οποία βασίζεται η αξιολόγηση κατόπιν προσωπικής εκτίμησης.
Άρθρο 72.- Διαδικασία διαβίβασης (άρθρα 7 και 9 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται με άλλον τρόπο. Για τον σκοπό αυτό, ο υπεύθυνος επεξεργασίας επαληθεύει, στο μέτρο του δυνατού, καταβάλλοντας εύλογη προσπάθεια, την ποιότητα των δεδομένων πριν από τη διαβίβαση ή τη διάθεσή τους. Ο υπεύθυνος επεξεργασίας πρέπει επίσης, στο μέτρο του δυνατού και εύλογου, σε όλες τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα να περιλαμβάνει τις απαραίτητες πληροφορίες που θα επιτρέπουν στον αποδέκτη να αξιολογεί τον βαθμό ακρίβειας, πληρότητας και αξιοπιστίας των δεδομένων, καθώς και τον βαθμό στον οποίο αυτά είναι επικαιροποιημένα.
2. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπόκειται σε ειδικούς όρους, όσον αφορά τη διαβίβασή τους, η διαβιβάζουσα αρχή ενημερώνει τον αποδέκτη για τους όρους αυτούς και την υποχρέωση τήρησής της. Η υποχρέωση παροχής πληροφοριών μπορεί να πληρούται με την ανάλογη επισήμανση των δεδομένων.
3. Η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους όρους της προηγούμενης παραγράφου στους αποδέκτες σε άλλα κράτη – μέλη της Ευρωπαϊκής Ένωσης ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, εκτός από εκείνους που ισχύουν για ανάλογες διαβιβάσεις δεδομένων εντός της Ελληνικής Επικράτειας.
Άρθρο 73.- Διόρθωση και διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμός της επεξεργασίας (άρθρο 5 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας διορθώνει ανακριβή δεδομένα προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς καθυστέρηση, εάν η επεξεργασία τους είναι παράνομη, και αυτά πρέπει να διαγραφούν προς εκπλήρωση νομικής υποχρέωσης ή η γνώση τους δεν είναι πλέον απαραίτητη για την εκτέλεση των καθηκόντων του.
3. Οι παράγραφοι 3 έως και 5 του άρθρου 56 εφαρμόζονται αναλόγως. Ο αποδέκτης ενημερώνεται επίσης εάν έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί παράνομα.
4. Με την επιφύλαξη των οριζόμενων από νομικές διατάξεις μέγιστων προθεσμιών αποθήκευσης ή διαγραφής, ο υπεύθυνος επεξεργασίας προβλέπει τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή την περιοδική επανεξέταση της ανάγκης για την αποθήκευσή τους και εξασφαλίζει με διαδικαστικές ρυθμίσεις την τήρηση των προθεσμιών αυτών.
Άρθρο 74.- Καταχωρίσεις (άρθρο 25 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τηρούν καταχωρίσεις σε αυτοματοποιημένα συστήματα επεξεργασίας τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας:
α) συλλογή,
β) μεταβολή,
γ) διαβούλευση,
δ) κοινολόγηση, συμπεριλαμβανομένων των διαβιβάσεων,
ε) συνδυασμό και
στ) διαγραφή.
2. Οι καταχωρίσεις διαβουλεύσεων και κοινολογήσεων πρέπει να επιτρέπουν να εξακριβώνεται η αιτιολόγηση, η ημερομηνία και η ώρα των εν λόγω πράξεων και, στο μέτρο του δυνατού, η ταυτότητα του προσώπου που συμβουλεύτηκε ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, καθώς και η ταυτότητα των αποδεκτών των δεδομένων.
3. Οι καταχωρίσεις μπορούν να χρησιμοποιούνται μόνο για την επαλήθευση της νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Αρχή και το υποκείμενο των δεδομένων, καθώς και για τον αυτοέλεγχο, τη διασφάλιση της ακεραιότητας και της ασφάλειας των προσωπικών δεδομένων και για την ποινική διαδικασία.
4. Οι καταχωρίσεις διαγράφονται στο τέλος του έτους που έπεται του έτους κατά το οποίο δημιουργήθηκαν.
5. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τις καταχωρίσεις στη διάθεση της Αρχής κατόπιν αιτήματός της.
ΤΜΗΜΑ V.- ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
Άρθρο 75.- Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της Οδηγίας)
1. Εάν πληρούνται όλες οι λοιπές προϋποθέσεις που ισχύουν για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, όπως αυτές καθορίζονται με το παρόν Κεφάλαιο, επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αρχές τρίτων χωρών ή σε διεθνείς οργανισμούς εφόσον:
α) η αρχή ή ο διεθνής οργανισμός είναι αρμόδιοι για τους σκοπούς που αναφέρονται στο άρθρο 43, και
β) η Επιτροπή έχει εκδώσει απόφαση περί εξασφάλισης επαρκούς επιπέδου προστασίας από την τρίτη χώρα, εδαφική περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό ή, ελλείψει τέτοιας απόφασης, έχουν παρασχεθεί κατάλληλες εγγυήσεις ή διαπιστώνεται η ύπαρξή τους σύμφωνα με το επόμενο άρθρο ή, ελλείψει των ανωτέρω, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 77.
2. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται, παρά την ύπαρξη απόφασης επάρκειας σύμφωνα με την προηγούμενη παράγραφο και παρόλο που το επιτάσσει το δημόσιο συμφέρον, εάν στη συγκεκριμένη περίπτωση δεν μπορεί να διασφαλισθεί η προστασία των θεμελιωδών δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων κατά την επεξεργασία των δεδομένων του από τον αποδέκτη τους. Ο υπεύθυνος επεξεργασίας εκτιμά τον βαθμό διασφάλισης προστασίας των ως άνω δικαιωμάτων και έννομων συμφερόντων του υποκειμένου με βάση το κατά πόσον ο παραλήπτης των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα εγγυάται στη συγκεκριμένη περίπτωση την κατάλληλη προστασία τους.
3. Όταν τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται από άλλο κράτος – μέλος της Ευρωπαϊκής Ένωσης πρέπει να διαβιβάζονται σύμφωνα με την παράγραφο 1, η διαβίβαση αυτή πρέπει πρώτα να εγκριθεί από την αρμόδια αρχή του άλλου κράτους -μέλους. Διαβιβάσεις χωρίς προηγούμενη άδεια επιτρέπονται μόνον εάν η μεταφορά είναι αναγκαία για την αποφυγή άμεσου και σοβαρού κινδύνου για τη δημόσια ασφάλεια ενός κράτους ή για τα ουσιώδη συμφέροντα ενός κράτους – μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί έγκαιρα. Στην περίπτωση της παραγράφου 2, η αρχή ή ο οργανισμός του άλλου κράτους -μέλους ο οποίος θα ήταν υπεύθυνος για τη χορήγηση της άδειας ενημερώνεται αμέσως για τη διαβίβαση.
4. Ο υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1 λαμβάνει τα κατάλληλα μέτρα για να εξασφαλίσει ότι ο παραλήπτης διαβιβάζει μόνο τα διαβιβασθέντα δεδομένα σε άλλες τρίτες χώρες ή σε άλλους διεθνείς οργανισμούς, εφόσον ο υπεύθυνος επεξεργασίας έχει προηγουμένως επιτρέψει τη διαβίβαση αυτή. Όταν αποφασίζει να χορηγήσει την έγκριση, ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη όλους τους σχετικούς παράγοντες, ιδίως τη σοβαρότητα του αδικήματος, τον σκοπό της αρχικής διαβίβασης και το υπάρχον στην τρίτη χώρα ή τον διεθνή οργανισμό, όπου πρέπει να διαβιβαστούν τα δεδομένα, επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Άδεια μπορεί να χορηγηθεί μόνο εάν επιτρέπεται η απευθείας διαβίβαση στην άλλη Τρίτη χώρα ή σε άλλο διεθνή οργανισμό.
Άρθρο 76.- Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις (άρθρο 37 της Οδηγίας)
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β΄ του προηγούμενου άρθρου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν σε νομικά δεσμευτική πράξη κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα, ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε τις συνθήκες της διαβίβασης δεδομένων προσωπικού χαρακτήρα και έκρινε ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία τους.
2. Ο υπεύθυνος επεξεργασίας καταχωρίζει τις διαβιβάσεις σύμφωνα με την περίπτωση β΄ της παραγράφου 1. Η καταχώριση περιλαμβάνει την ημερομηνία και την ώρα της διαβίβασης, την ταυτότητα του αποδέκτη, τον λόγο της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Η ανωτέρω καταχώριση τίθεται στη διάθεση της Αρχής κατόπιν αιτήματός της.
Άρθρο 77.- Παρεκκλίσεις για ειδικές καταστάσεις (άρθρο 38 της Οδηγίας)
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β΄ του άρθρου 75 ή κατάλληλων εγγυήσεων δυνάμει της παραγράφου 1 του προηγούμενου άρθρου, διαβιβάσεις που πληρούν τις λοιπές προϋποθέσεις του άρθρου 75 διενεργούνται μόνο εφόσον αυτό είναι απαραίτητο:
α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου,
β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων,
γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια μιας χώρας,
δ) σε εξατομικευμένες περιπτώσεις για τους σκοπούς που ορίζονται στο άρθρο 43, ή
ε) σε εξατομικευμένες περιπτώσεις για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, οι οποίες σχετίζονται με τους σκοπούς του άρθρου 43.
2. Δεν επιτρέπεται η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την προηγούμενη παράγραφο, όταν η διαβιβάζουσα Αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και τα έννομα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του δημοσίου συμφέροντος για τη διενέργεια της διαβίβασης.
3. Για τις διαβιβάσεις της παραγράφου 1 εφαρμόζεται αναλόγως η παράγραφος 2 του προηγούμενου άρθρου.
Άρθρο 78.- Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες (άρθρο 39 της Οδηγίας)
1. Σε ειδικές εξατομικευμένες περιπτώσεις και εάν πληρούνται όλες οι άλλες απαιτήσεις για διαβιβάσεις δεδομένων σε τρίτες χώρες, οι υπεύθυνοι επεξεργασίας μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας σε αποδέκτες σε τρίτες χώρες που δεν αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75, εάν η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση των καθηκόντων τους, και
α) στη συγκεκριμένη περίπτωση, κανένα θεμελιώδες δικαίωμα του υποκειμένου των δεδομένων δεν υπερτερεί του δημοσίου συμφέροντος για τη διαβίβαση,
β) η διαβίβαση στις αρχές που αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75 είναι αναποτελεσματική ή ακατάλληλη, ιδίως επειδή η διαβίβαση δεν μπορεί να διενεργηθεί εγκαίρως, και
γ) ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τους σκοπούς της επεξεργασίας και δίνει σαφείς οδηγίες σε αυτόν ότι τα διαβιβασθέντα δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο στο βαθμό που αυτό είναι απαραίτητο για τους σκοπούς αυτούς.
2. Στην περίπτωση της παραγράφου 1, ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση τις αρχές που αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75, εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο.
3. Οι παράγραφοι 2 και 3 του άρθρου 75 εφαρμόζονται αναλόγως στις διαβιβάσεις σύμφωνα με την παράγραφο 1.
4. Στην περίπτωση διαβιβάσεων σύμφωνα με την παράγραφο 1 ο υπεύθυνος επεξεργασίας υποχρεώνει τον αποδέκτη να επεξεργάζεται τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου επεξεργασίας μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν.
5. Οι συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας δεν επηρεάζονται.
ΤΜΗΜΑ VI.- ΣΥΝΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΕΠΟΠΤΙΚΩΝ ΑΡΧΩΝ
Άρθρο 79.- Αμοιβαία συνδρομή (άρθρο 50 της Οδηγίας)
1. Η Αρχή παρέχει στις εποπτικές αρχές άλλων κρατών-μελών της Ευρωπαϊκής Ένωσης πληροφορίες και αμοιβαία συνδρομή στο μέτρο που είναι απαραίτητο για την εφαρμογή του παρόντος Κεφαλαίου. Η αμοιβαία συνδρομή καλύπτει ιδίως αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, όπως αιτήματα για διαβουλεύσεις, ελέγχους και έρευνες.
2. Η Αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει χωρίς καθυστέρηση σε αίτημα αμοιβαίας συνδρομής άλλης εποπτικής αρχής κράτους-μέλους και το αργότερο σε ένα μήνα μετά την παραλαβή της αίτησης.
3. Η Αρχή μπορεί να αρνηθεί να συμμορφωθεί με το αίτημα:
α) εάν δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει, ή
β) η συμμόρφωση με το αίτημα παραβιάζει τον νόμο.
4. Η Αρχή ενημερώνει την αιτούσα εποπτική αρχή του άλλου κράτους – μέλους για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα. Στην περίπτωση της προηγούμενης παραγράφου, αιτιολογεί την άρνησή της να συμμορφωθεί με το αίτημα.
5. Η Αρχή παρέχει, κατά κανόνα, τις πληροφορίες που ζητούνται από την εποπτική αρχή του άλλου κράτουςμέλους με ηλεκτρονικά μέσα και σε τυποποιημένη μορφή.
6. Η Αρχή δεν χρεώνει τέλος για τις ενέργειες που αναλαμβάνονται σύμφωνα με το αίτημα αμοιβαίας συνδρομής, εκτός εάν έχει συμφωνήσει με την εποπτική Αρχή του άλλου κράτους σε εξατομικευμένες περιπτώσεις σε αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής.
7. Τα αιτήματα συνδρομής στην Αρχή παρέχουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού του αιτήματος και των λόγων υποβολής του. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.
ΤΜΗΜΑ VII.- ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 80.- Αστική ευθύνη του υπεύθυνου επεξεργασίας (άρθρα 54 και 56 της Οδηγίας) Δημόσια αρχή, με την ιδιότητα του υπεύθυνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που έχει προκαλέσει παρανόμως ζημία στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα, κατά παράβαση των διατάξεων των άρθρων 6 έως και 8 ή των διατάξεων του παρόντος Κεφαλαίου υποχρεούται, σύμφωνα με τις διατάξεις των άρθρων 105 και 106 του ΕισΝΑΚ, σε αποζημίωση ή σε χρηματική ικανοποίηση λόγω ηθικής βλάβης στο υποκείμενο των δεδομένων.
Άρθρο 81.- Ποινικές κυρώσεις (άρθρα 54 και 57 της Οδηγίας)
Το άρθρο 38 εφαρμόζεται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς του άρθρου 43.
Άρθρο 82.- Διοικητικές κυρώσεις (άρθρα 54 και 57 της Οδηγίας)
1. Με την επιφύλαξη των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος, η Αρχή με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα παρακάτω διοικητικά πρόστιμα:
α) για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για το ύψος αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη η αρμόδια Αρχή για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις της αρμόδιας Αρχής, δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσον η αρμόδια Αρχή κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος της αρμόδιας αρχής για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 15 παράγραφος 4, ο βαθμός συμμόρφωσής της με αυτά.
ΚΕΦΑΛΑΙΟ Ε΄.- ΤΕΛΙΚΕΣ ΚΑΙ ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 83.- Μεταβατικές διατάξεις
1. Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος.
2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον ΓΚΠΔ και στις ρυθμίσεις του παρόντος.
3. Το μόνιμο και με σχέση εργασίας ιδιωτικού δικαίου προσωπικό που υπηρετεί, κατά την ψήφιση του παρόντος, στην Αρχή, κατατάσσεται αυτοδικαίως σε αντίστοιχες, κατά κατηγορία, κλάδο ή ειδικότητα, θέσεις δημοσίου ή ιδιωτικού δικαίου, σύμφωνα με τα τυπικά του προσόντα.
4. Αιτήσεις που εκκρεμούσαν ενώπιον της Αρχής έως τις 25.5.2018, πέραν των παραδεκτών προσφυγών των υποκειμένων δεδομένων προσωπικού χαρακτήρα, τίθενται στο αρχείο με διαπιστωτική πράξη του Προέδρου της Αρχής.
Άρθρο 84.- Καταργούμενες διατάξεις Ο ν. 2472/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», με την επιφύλαξη των ορισμών του άρθρου 2, όπου γίνεται ρητή παραπομπή σε αυτούς σε σχετική με τα προσωπικά δεδομένα νομοθεσία, του δεύτερου έως και του τελευταίου εδαφίου της περίπτωσης β΄ του άρθρου 2 για την ανακοίνωση και δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα και του εδαφίου β΄ της παραγράφου 2 του άρθρου 3, μόνο ως προς τα αδικήματα που περιγράφονται σε αυτό, του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης β΄ της παραγράφου 2 του άρθρου 3 του ανωτέρου νόμου για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης, του άρθρου 13 παράγραφος 3, της σύστασης της Αρχής με την παράγραφο 1 του άρθρου 15, του άρθρου 18 παράγραφοι 2 και 3 και του άρθρου 21 που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006 (Α΄133) τα οποία διατηρούνται σε ισχύ, καταργείται.
Άρθρο 85.- Ισχύς διεθνών ή διμερών διεθνών συμφωνιών Διεθνείς ή διμερείς διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς στο πεδίο της δικαστικής συνεργασίας για ποινικές υποθέσεις ή αστυνομικής συνεργασίας πριν από την 6.5.2016 και οι οποίες είναι συμβατές προς το εφαρμοστέο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
Άρθρο 86
1. Από την έναρξη ισχύος του παρόντος και με την επιφύλαξη των παραγράφων 2, 3 και 4, καταργούνται:
(α) το άρθρο πρώτο της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α’ 161), όπως ισχύει,
(β) οι υπουργικές αποφάσεις που εκδόθηκαν κατ’ εξουσιοδότηση των διατάξεων της ως άνω από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου και
(γ) οι κανονιστικές αποφάσεις της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών, που συστάθηκε δια της παραγράφου 4 του άρθρου πρώτου της από 28 Ιουνίου 2015 Πράξης Νομοθετικού Περιεχομένου «Τραπεζική αργία βραχείας διάρκειας» (Α΄ 65), η οποία κυρώθηκε με το άρθρο 1 του ν. 4350/2015, όπως ισχύει.
2. Η Τράπεζα της Ελλάδος και η Επιτροπή Κεφαλαιαγοράς παραμένουν αρμόδιες για τη συνέχιση εκκρεμών ελέγχων και τη διενέργεια νέων (δειγματοληπτικών ή κατόπιν καταγγελίας) ως προς τη συμμόρφωση των εποπτευόμενων από αυτές ιδρυμάτων και φορέων με τις διατάξεις της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, για παραβάσεις των διατάξεων αυτής που έλαβαν χώρα έως την έναρξη ισχύος του παρόντος. Οι παράγραφοι 13 και 13α του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρούνται σε ισχύ.
3. Η παράγραφος 14 του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρείται σε ισχύ, για παραβάσεις των διατάξεων αυτής που έλαβαν χώρα έως την έναρξη ισχύος του παρόντος.
4. Το πρώτο και δεύτερο εδάφιο της παραγράφου 15 του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρούνται σε ισχύ.
5. Το ηλεκτρονικό αρχείο της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών σφραγίζεται και τηρείται αναλλοίωτο, σε αδρανή κατάσταση, στα οικεία συστήματα της Τράπεζας της Ελλάδος, με ευθύνη της Διεύθυνσης Πληροφορικής της ανωτέρω. Ειδικότερα ζητήματα σχετικά με το ηλεκτρονικό αρχείο δύνανται να ρυθμίζονται με πράξη του Διοικητή της Τράπεζας της Ελλάδος. Το φυσικό αρχείο τηρείται στη Διεύθυνση Χρηματοοικονομικής Πολιτικής της Γενικής Γραμματείας Οικονομικής Πολιτικής του Υπουργείου Οικονομικών. Ειδικότερα ζητήματα σχετικά με το φυσικό αρχείο δύνανται να ρυθμίζονται με απόφαση του Υπουργού Οικονομικών. Το αρχείο είναι προσβάσιμο από τις εποπτικές αρχές της παραγράφου 2, καθώς και από κάθε ελεγκτική, δικαστική ή εισαγγελική αρχή για τη διερεύνηση πράξεων ή παραλείψεων που σχετίζονται με παραβάσεις των καταργούμενων διατάξεων της παραγράφου 1, κατά τον χρόνο ισχύος τους. Η διαγραφή στοιχείων από το αρχείο δύναται να πραγματοποιηθεί, με απόφαση του Υπουργού Οικονομικών, μετά την παρέλευση εικοσαετίας από τη λήψη απόφασης της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών.
6. Η ισχύς του παρόντος αρχίζει την 1.9.2019.
Άρθρο 87.- Έναρξη ισχύος
Η ισχύς του παρόντος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, εκτός αν άλλη διάταξη ορίζει διαφορετικά.
Παραγγέλλομε τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως και την εκτέλεσή του ως νόμου του Κράτους.
Αθήνα, 28 Αυγούστου 2019
Ο Πρόεδρος της Δημοκρατίας
ΠΡΟΚΟΠΙΟΣ Β. ΠΑΥΛΟΠΟΥΛΟΣ