7.—(1) Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στον Επίτροπο τη σύσταση και λειτουργία αρχείου ή την έναρξη επεξεργασίας.
(2) Με τη γνωστοποίηση που αναφέρεται στο εδάφιο (1) ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει-
(α) Το ονοματεπώνυμο, την επωνυμία ή τον τίτλο του και τη διεύθυνση του. Εάν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στη Δημοκρατία, θα πρέπει επιπροσθέτως να δηλώνεται το ονοματεπώνυμο, η επωνυμία ή ο τίτλος και η διεύθυνση του εκπροσώπου του στη Δημοκρατία·
(β) τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία·
(γ) την περιγραφή του σκοπού της επεξεργασίας των δεδομένων που υφίστανται ή θα υποστούν επεξεργασία ή που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·
(δ) την περιγραφή της κατηγορίας ή των κατηγοριών των υποκειμένων των δεδομένων
(ε) το είδος των δεδομένων που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·
(στ) το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο·
(ζ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα·
(η) τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων σε τρίτες χώρες·
(θ) τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφάλειας του αρχείου ή της επεξεργασίας.
(3) Στην περίπτωση που η επεξεργασία ή το αρχείο εμπίπτει σε μία από τις κατηγορίες για τις οποίες το Υπουργικό Συμβούλιο έχει εκδώσει ειδικές οδηγίες επεξεργασίας, ο υπεύθυνος επεξεργασίας καταθέτει στον Επίτροπο δήλωση με την οποία βεβαιώνει ότι η επεξεργασία θα διεξάγεται ή το αρχείο θα τηρείται σύμφωνα με τους ειδικούς κανόνες που έχει εκδώσει το Υπουργικό Συμβούλιο οι οποίοι θα καθορίζουν ειδικότερα τον τύπο και το περιεχόμενο της δήλωσης.
(4) Τα στοιχεία που αναφέρονται στο εδάφιο (2) καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί ο Επίτροπος.
(5) Κάθε μεταβολή των στοιχείων που αναφέρονται στο εδάφιο (2) πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας στον Επίτροπο.
(6) Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης δυνάμει του εδαφίου (1) στις περιπτώσεις όπου-
(α) Η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση εργασίας ή έργου και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση της σύμβασης και το υποκείμενο των δεδομένων έχει προηγουμένως ενημερωθεί,
(β) η επεξεργασία αφορά πελάτες ή προμηθευτές, του υποκείμενου των δεδομένων εφόσον τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Για την εφαρμογή της παρούσας διάταξης, τα δικαστήρια και οι δημόσιες αρχές δε λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος ή δικαστική απόφαση.
Δεν απαλλάσσονται από την υποχρέωση γνωστοποίησης οι ασφαλιστικές εταιρείες για όλους τους κλάδους ασφάλισης, οι φαρμακευτικές εταιρείες, οι εταιρείες εμπορίας πληροφοριών και τα χρηματοπιστωτικά ιδρύματα, όπως οι τράπεζες και οι εταιρείες έκδοσης πιστωτικών καρτών.
(γ) η επεξεργασία γίνεται από ίδρυμα, σωματείο, εταιρεία ή πολιτικά κόμματα και αφορά δεδομένα των μελών τους, εφόσον τα μέλη αυτά έχουν δώσει τη συγκατάθεση τους και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Δε λογίζονται τρίτοι τα μέλη εφόσον η διαβίβαση γίνεται προς αυτούς για τους σκοπούς των πιο πάνω ιδρυμάτων, σωματείων, εταιρειών ή πολιτικών κομμάτων, ούτε τα δικαστήρια και οι δημόσιες αρχές, εφόσον τη διαβίβαση επιβάλλει νόμος ή δικαστική απόφαση,
(δ) η επεξεργασία γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας και αφορά ιατρικά δεδομένα, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Δεν εμπίπτουν στην απαλλαγή της παρούσας διάταξης τα πρόσωπα που παρέχουν υπηρεσίες υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και αποτοξίνωσης, ασφαλιστικά ταμεία και ασφαλιστικές εταιρείες, καθώς και οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου.
(ε) η επεξεργασία γίνεται από δικηγόρους και αφορά την παροχή νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από υποχρέωση απορρήτου που προβλέπει νόμος και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση εντολής του πελάτη.