Προοίμιο

Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως:

ΜΕΡΟΣ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμος του 2001.

Ερμηνεία

2. Για τους σκοπούς του παρόντος Νόμου εκτός αν από το κείμενο προκύπτει διαφορετική έννοια-

«αποδέκτης» σημαίνει το πρόσωπο στο οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι. Δε θεωρούνται αποδέκτες οι αρχές στις οποίες ενδέχεται να ανακοινωθούν δεδομένα στα πλαίσια διεξαγωγής συγκεκριμένης έρευνας,

«αρχείο δεδομένοι προσωπικού χαρακτήρα» ή «αρχείο» σημαίνει το διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία αποτελούν ή δύνανται να αποτελέσουν αντικείμενο επεξεργασίας, και τα οποία είναι προσιτά με βάση συγκεκριμένα κριτήρια,

«δεδομένα προσωπικού χαρακτήρα» ή «δεδομένα» σημαίνει κάθε πληροφορία που αναφέρεται σε υποκείμενο των δεδομένων που βρίσκεται εν ζωή. Δε λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δε δύνανται πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων,

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία,

«διασύνδεση» σημαίνει μορφή επεξεργασίας που συνίσταται στη δυνατότητα συσχέτισης των δεδομένων ενός αρχείου με δεδομένα αρχείου ή αρχείων που τηρούνται από άλλο ή άλλους υπεύθυνους επεξεργασίας ή που τηρούνται από τον ίδιο υπεύθυνο επεξεργασίας για άλλο σκοπό,

«εκτελών την επεξεργασία» σημαίνει οποιοδήποτε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, αλλά δεν περιλαμβάνει εργοδοτούμενο του υπεύθυνου επεξεργασίας, ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της σχέσης εργοδότησής του,

«επεξεργασία» ή «επεξεργασία δεδομένων προσωπικού χαρακτήρα» σημαίνει κάθε εργασία ή σειρά εργασιών που πραγματοποιείται από οποιοδήποτε πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και που εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα και περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση ή κάθε άλλης μορφής διάθεση, τη συσχέτιση ή το συνδυασμό, τη διασύνδεση, το κλείδωμα, τη διαγραφή ή την καταστροφή,

«Επίτροπος Προστασίας των Δεδομένων» ή «Επίτροπος» σημαίνει τον Επίτροπο που διορίζεται δυνάμει του άρθρου 18,

«ευαίσθητα δεδομένα» σημαίνει τα δεδομένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, την υγεία, την ερωτική ζωή και ερωτικό προσανατολισμό, καθώς και τα σχετικά με ποινικές διώξεις ή καταδίκες,

«κράτος συμβαλλόμενο μέρος του Ε.Ο.Χ.» σημαίνει κράτος συμβαλλόμενο μέρος στη Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο, η οποία υπογράφηκε στο Οπόρτο την 2α Μαΐου 1992 και η οποία κυρώθηκε με τον περί της Συμφωνίας Συμμετοχής της Τσεχικής Δημοκρατίας, της Δημοκρατίας της Εσθονίας, της Κυπριακής Δημοκρατίας, της Δημοκρατίας της Λετονίας, της Δημοκρατίας της Λιθουανίας, της Δημοκρατίας της Μάλτας, της Δημοκρατίας της Ουγγαρίας, της Δημοκρατίας της Πολωνίας, της Δημοκρατίας της Σλοβενίας και της Σλοβακικής Δημοκρατίας στον Ευρωπαϊκό Οικονομικό Χώρο του 2004 και της Τελικής Πράξης (Κυρωτικό) Νόμο του 2004,

«πρόσωπο» σημαίνει οποιοδήποτε φυσικό πρόσωπο ή οποιοδήποτε νομικό πρόσωπο δημόσιου ή ιδιωτικού δικαίου είτε αυτό έχει νομική προσωπικότητα είτε όχι και περιλαμβάνει την Κυβέρνηση της Δημοκρατίας,

«τρίτος» σημαίνει κάθε πρόσωπο, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας.

«συγκατάθεση» σημαίνει συγκατάθεση του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επίγνωση, και με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

«υπεύθυνος επεξεργασίας» σημαίνει οποιοδήποτε πρόσωπο που καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα,

«υποκείμενο των δεδομένων» σημαίνει το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόσταση του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική,

«Υπουργός» σημαίνει τον Υπουργό Εσωτερικών.

Πεδίο εφαρμογής

3.—(1) Οι διατάξεις του παρόντος Νόμου εφαρμόζονται στην αυτοματοποιημένη εν όλω ή εν μέρει επεξεργασία, καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

(2) Οι διατάξεις του παρόντος Νόμου δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών ή οικιακών.

(3) Ο παρών Νόμος εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον αυτή εκτελείται-

(α) Από υπεύθυνο επεξεργασίας εγκατεστημένο στη Δημοκρατία ή σε τόπο, όπου βάσει του δημόσιου διεθνούς δικαίου, εφαρμόζεται το κυπριακό δίκαιο·

(β) από υπεύθυνο επεξεργασίας που δεν είναι εγκατεστημένος στην επικράτεια κράτους μέλους της Ευρωπαϊκής Ένωσης  ή κράτους συμβαλλόμενου μέρους του Ε.Ο.Χ., ο οποίος για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στη Δημοκρατία, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διαβίβαση των δεδομένων μέσω αυτής. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να υποδείξει, με γραπτή δήλωσή του προς τον Επίτροπο, εκπρόσωπο εγκατεστημένο στη Δημοκρατία, ο οποίος υποκαθίσταται στα δικαιώματα και υποχρεώσεις του υπευθύνου, χωρίς ο τελευταίος αυτός να απαλλάσσεται από τυχόν ιδιαίτερη ευθύνη του.

ΜΕΡΟΣ II ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Βασικές αρχές επεξεργασίας προσωπικών δεδομένων

4.—(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-

(α) Υφίστανται θεμιτή και νόμιμη επεξεργασία·

(β) συλλέγονται για προσδιορισμένους, σαφείς και νόμιμους σκοπούς και δεν υφίστανται μεταγενέστερη επεξεργασία ασυμβίβαστη με τους σκοπούς αυτούς:

Νοείται ότι η μεταγενέστερη επεξεργασία δεδομένων για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δε θεωρείται ασυμβίβαστη με τους σκοπούς για τους οποίους έχουν αρχικά συλλεχθεί τα δεδομένα εφόσον δε θα ληφθούν οποιαδήποτε μέτρα αναφορικά με συγκεκριμένο πρόσωπο:

Νοείται περαιτέρω ότι η μεταγενέστερη επεξεργασία δεδομένων για σκοπούς άσκησης των εξουσιών του Διευθυντή του Τμήματος Εσωτερικών Προσόδων του Υπουργείου Οικονομικών δε θεωρείται ασυμβίβαστη με τους σκοπούς για τους οποίους έχουν αρχικά συλλεχθεί τα δεδομένα:

Νοείται έτι περαιτέρω ότι η μεταγενέστερη επεξεργασία δεδομένων για σκοπούς των αναγκών της ασφάλειας της Δημοκρατίας ή της άμυνας της Δημοκρατίας ή της δημόσιας ασφάλειας ή της διερεύνησης, διακρίβωσης και δίωξης ποινικών αδικημάτων δε θεωρείται ασυμβίβαστη με τους σκοπούς για τους οποίους έχουν αρχικά συλλεχθεί τα δεδομένα∙

(γ) είναι συναφή, πρόσφορα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας:

Νοείται ότι οι διατάξεις της παρούσας παραγράφου δεν εφαρμόζονται, εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για σκοπούς άσκησης των εξουσιών του Διευθυντή του Τμήματος Εσωτερικών Προσόδων του Υπουργείου Οικονομικών:

Νοείται περαιτέρω ότι οι διατάξεις της παρούσας παραγράφου δεν εφαρμόζονται εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για σκοπούς των αναγκών της ασφάλειας της Δημοκρατίας ή της άμυνας της Δημοκρατίας ή της δημόσιας ασφάλειας ή της διερεύνησης, διακρίβωσης και δίωξης ποινικών αδικημάτων·

(δ) είναι ακριβή και, εφόσον χρειάζεται, υποβάλλονται σε ενημέρωση·

(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής ο Επίτροπος δύναται με αιτιολογημένη απόφασή του, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δε θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή τρίτων.

(2) Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί ή υφίστανται επεξεργασία κατά παράβαση των διατάξεων του εδαφίου (1), καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. Αν ο Επίτροπος, εξακριβώσει αυτεπαγγέλτως ή ύστερα από σχετική καταγγελία, παράβαση των διατάξεων του εδαφίου (1), επιβάλλει τη διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.

Νόμιμη επεξεργασία

5.—(1) Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του.

(2) Επεξεργασία δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων όταν-

(α) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από νόμο ή Κανονισμούς που εκδίδονται δυνάμει νόμου ή Κανονισμούς της Ευρωπαϊκής Ένωσης·

(β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το υποκείμενο των δεδομένων ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου των δεδομένων, πριν από τη σύναψη σύμβασης·

(γ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων·

(δ) η επεξεργασία είναι απαραίτητη για την εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας και έχει ανατεθεί είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο ανακοινώνονται τα δεδομένα·

(ε) η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος στον οποίο ανακοινώνονται τα δεδομένα προσωπικού χαρακτήρα, υπό τον όρο ότι τούτο υπερέχει των δικαιωμάτων, συμφερόντων και θεμελιωδών ελευθεριών των υποκειμένων των δεδομένων.

(3) Το Υπουργικό Συμβούλιο δύναται, ύστερα από εισήγηση του Επιτρόπου να εκδίδει ειδικούς κανόνες επεξεργασίας για τις πλέον συνήθεις κατηγορίες επεξεργασιών και αρχείων.

Επεξεργασία ευαίσθητων δεδομένων

6.—(1) Απαγορεύεται η συλλογή και επεξεργασία ευαίσθητων δεδομένων.

(2) Κατ' εξαίρεση, επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων, όταν συντρέχουν μία ή περισσότερες από τις ακόλουθες προϋποθέσεις:

(α) Το υποκείμενο των δεδομένων έδωσε τη ρητή συγκατάθεση του, εκτός αν η συγκατάθεση έχει αποσπασθεί παράνομα ή αντίκειται στα χρηστά ήθη ή ειδικός νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση,

(β) η επεξεργασία είναι απαραίτητη προκειμένου να είναι σε θέση ο υπεύθυνος επεξεργασίας να εκπληρώσει τις υποχρεώσεις του ή να εκτελέσει τα καθήκοντα του στον τομέα του εργατικού δικαίου και έχει παρασχεθεί για το σκοπό αυτό η άδεια του Επιτρόπου,

(γ) η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου προσώπου, αν το υποκείμενο των δεδομένων τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεση του,

(δ) η επεξεργασία πραγματοποιείται από ίδρυμα, σωματείο ή οποιοδήποτε άλλο μη κερδοσκοπικό οργανισμό που έχει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, και αφορά μόνο τα μέλη του και τέτοια άλλα πρόσωπα με τα οποία το εν λόγω σωματείο, ίδρυμα ή οργανισμός διατηρεί λόγω των σκοπών του, δεσμούς. Τα δεδομένα αυτά μπορεί να ανακοινωθούν σε τρίτους μόνο αν το υποκείμενο των δεδομένων δώσει τη συγκατάθεση του,

(ε) η επεξεργασία αφορά αποκλειστικά δεδομένα τα οποία το υποκείμενο των δεδομένων δημοσιοποιεί ή είναι αναγκαία για την αναγνώριση ή άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου,

(στ) η επεξεργασία αφορά θέματα ιατρικών δεδομένων και εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας,

(ζ) η επεξεργασία είναι απαραίτητη για την εξυπηρέτηση εθνικών αναγκών ή αναγκών της εθνικής ασφάλειας, καθώς επίσης και για την εξυπηρέτηση των αναγκών της εγκληματολογικής ή σωφρονιστικής πολιτικής και εκτελείται από υπηρεσία της Δημοκρατίας ή Οργανισμό ή Ίδρυμα που εξουσιοδοτείται για το σκοπό αυτό από υπηρεσία της Δημοκρατίας και αφορά τη διακρίβωση εγκλημάτων, ποινικές καταδίκες, μέτρα ασφάλειας και διερεύνηση μαζικών καταστροφών,

(η) η επεξεργασία πραγματοποιείται αποκλειστικά για στατιστικούς, ερευνητικούς, επιστημονικούς και ιστορικούς σκοπούς εφόσον, σύμφωνα με απόφαση του Επιτρόπου, κρίνεται ότι συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος υπό τον όρο ότι λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των υποκειμένων των δεδομένων,

(θ) η επεξεργασία πραγματοποιείται αποκλειστικά για δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής έκφρασης και εφόσον δεν παραβιάζεται καθ' οιονδήποτε τρόπο το δικαίωμα προστασίας της ιδιωτικής και οικογενειακής ζωής,

(ι) η επεξεργασία είναι απαραίτητη για λόγους προστασίας της δημόσιας υγείας και χορήγησης κοινωνικών παροχών.

(3) Το Υπουργικό Συμβούλιο δύναται ύστερα από εισήγηση του Επιτρόπου, να εκδίδει κανονισμούς που να προβλέπουν για επεξεργασία ευαίσθητων δεδομένων για περιπτώσεις άλλες από εκείνες που αναφέρονται στο εδάφιο (2) όταν συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος.

Γνωστοποίηση προς τον Επίτροπο

7.—(1) Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στον Επίτροπο τη σύσταση και λειτουργία αρχείου ή την έναρξη επεξεργασίας.

(2) Με τη γνωστοποίηση που αναφέρεται στο εδάφιο (1) ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει-

(α) Το ονοματεπώνυμο, την επωνυμία ή τον τίτλο του και τη διεύθυνση του. Εάν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στη Δημοκρατία, θα πρέπει επιπροσθέτως να δηλώνεται το ονοματεπώνυμο, η επωνυμία ή ο τίτλος και η διεύθυνση του εκπροσώπου του στη Δημοκρατία·

(β) τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία·

(γ) την περιγραφή του σκοπού της επεξεργασίας των δεδομένων που υφίστανται ή θα υποστούν επεξεργασία ή που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·

(δ) την περιγραφή της κατηγορίας ή των κατηγοριών των υποκειμένων των δεδομένων

(ε) το είδος των δεδομένων που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·

(στ) το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο·

(ζ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα·

(η) τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων σε τρίτες χώρες·

(θ) τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφάλειας του αρχείου ή της επεξεργασίας.

(3) Στην περίπτωση που η επεξεργασία ή το αρχείο εμπίπτει σε μία από τις κατηγορίες για τις οποίες το Υπουργικό Συμβούλιο έχει εκδώσει ειδικές οδηγίες επεξεργασίας, ο υπεύθυνος επεξεργασίας καταθέτει στον Επίτροπο δήλωση με την οποία βεβαιώνει ότι η επεξεργασία θα διεξάγεται ή το αρχείο θα τηρείται σύμφωνα με τους ειδικούς κανόνες που έχει εκδώσει το Υπουργικό Συμβούλιο οι οποίοι θα καθορίζουν ειδικότερα τον τύπο και το περιεχόμενο της δήλωσης.

(4) Τα στοιχεία που αναφέρονται στο εδάφιο (2) καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί ο Επίτροπος.

(5) Κάθε ουσιαστική μεταβολή των στοιχείων που αναφέρονται στο εδάφιο (2) πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας στον Επίτροπο.

(6) Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης δυνάμει του εδαφίου (1) στις περιπτώσεις όπου-

(α) Η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση εργασίας ή έργου και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση της σύμβασης και το υποκείμενο των δεδομένων έχει προηγουμένως ενημερωθεί,

(β) η επεξεργασία αφορά πελάτες ή προμηθευτές, του υπεύθυνου επεξεργασίας εφόσον τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.

Για την εφαρμογή της παρούσας διάταξης, τα δικαστήρια και οι δημόσιες αρχές δε λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος ή δικαστική απόφαση.

Δεν απαλλάσσονται από την υποχρέωση γνωστοποίησης οι ασφαλιστικές εταιρείες για όλους τους κλάδους ασφάλισης, οι φαρμακευτικές εταιρείες, οι εταιρείες εμπορίας πληροφοριών και τα χρηματοπιστωτικά ιδρύματα, όπως οι τράπεζες και οι εταιρείες έκδοσης πιστωτικών καρτών.

(γ) η επεξεργασία γίνεται από ίδρυμα, σωματείο, εταιρεία ή πολιτικά κόμματα και αφορά δεδομένα των μελών τους, εφόσον τα μέλη αυτά έχουν δώσει τη συγκατάθεση τους και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.

Δε λογίζονται τρίτοι τα μέλη εφόσον η διαβίβαση γίνεται προς αυτούς για τους σκοπούς των πιο πάνω ιδρυμάτων, σωματείων, εταιρειών ή πολιτικών κομμάτων, ούτε τα δικαστήρια και οι δημόσιες αρχές, εφόσον τη διαβίβαση επιβάλλει νόμος ή δικαστική απόφαση,

(δ) η επεξεργασία γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας και αφορά ιατρικά δεδομένα, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.

Δεν εμπίπτουν στην απαλλαγή της παρούσας διάταξης τα πρόσωπα που παρέχουν υπηρεσίες υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και αποτοξίνωσης, ασφαλιστικά ταμεία και ασφαλιστικές εταιρείες, καθώς και οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου.

(ε) η επεξεργασία γίνεται από δικηγόρους και αφορά την παροχή νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από υποχρέωση απορρήτου που προβλέπει νόμος και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση εντολής του πελάτη.

Διασύνδεση αρχείων

8.—(1) Η διασύνδεση αρχείων επιτρέπεται μόνο σύμφωνα με τους όρους που αναφέρονται στο άρθρο 5 και στο παρόν άρθρο, εφόσον συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος.

(2) Κάθε διασύνδεση γνωστοποιείται στον Επίτροπο με δήλωση την οποία υποβάλλουν από κοινού οι υπεύθυνοι επεξεργασίας ή ο υπεύθυνος επεξεργασίας, που διασυνδέει δύο ή περισσότερα αρχεία που εξυπηρετούν διαφορετικούς σκοπούς.

(3)(α) Αν ένα τουλάχιστον από τα αρχεία που πρόκειται να διασυνδεθούν περιέχει ευαίσθητα δεδομένα ή αν η διασύνδεση έχει ως συνέπεια την αποκάλυψη ευαίσθητων δεδομένων ή αν για την πραγματοποίηση της διασύνδεσης πρόκειται να γίνει χρήση ενιαίοι κωδικού αριθμού, η διασύνδεση επιτρέπεται μόνο με προηγούμενη άδεια του Επιτρόπου, που στη συνέχεια θα αναφέρεται ως «άδεια διασύνδεσης», η οποία εκδίδεται κατά τον καθορισμένο τύπο αφού καταβληθούν τα καθορισμένα τέλη.

(β) Η άδεια διασύνδεσης χορηγείται ύστερα από ακρόαση των υπεύθυνων επεξεργασίας των αρχείων, αν αυτή κριθεί από τον Επίτροπο απαραίτητη και περιέχει απαραιτήτως-

(i) Το σκοπό για τον οποίο η διασύνδεση θεωρείται αναγκαία,

(ii) το είδος των δεδομένων προσωπικού χαρακτήρα που αφορά η διασύνδεση,

(iii) το χρονικό διάστημα για το οποίο επιτρέπεται η διασύνδεση, και

(iv) τους τυχόν όρους και προϋποθέσεις για την αποτελεσματικότερη προστασία των δικαιωμάτων και ελευθεριών και ιδίως του δικαιώματος ιδιωτικής ζωής των υποκειμένων δεδομένων ή τρίτων.

(γ) Η άδεια διασύνδεσης μπορεί να ανανεωθεί ύστερα από αίτηση των υπεύθυνων επεξεργασίας.

(4) Οι δηλώσεις του εδαφίου (2), καθώς και αντίγραφα των αδειών διασύνδεσης καταχωρίζονται στο Μητρώο Διασυνδέσεων που τηρεί ο Επίτροπος.

Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς κράτη μέλη της Ευρωπαϊκής Ένωσης, κράτη συμβαλλόμενα μέρη του Ε.Ο.Χ. και προς τρίτες χώρες

9.—(1) Τηρουμένων των διατάξεων του παρόντος Νόμου, η διαβίβαση, προς οποιαδήποτε χώρα, δεδομένων τα οποία έχουν υποστεί ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβαση τους επιτρέπεται ύστερα από άδεια του Επιτρόπου. Ο Επίτροπος παρέχει την άδεια μόνο εάν κρίνει ότι η εν λόγω χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Προς τούτο, λαμβάνει υπόψη ιδίως τη φύση των δεδομένων, τους σκοπούς και τη διάρκεια της επεξεργασίας, τους σχετικούς γενικούς και ειδικούς κανόνες δικαίου, τους κώδικες δεοντολογίας, τα μέτρα ασφάλειας για την προστασία δεδομένων, καθώς και το επίπεδο προστασίας των χωρών προέλευσης, διέλευσης και τελικού προορισμού των δεδομένων.

(2) Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ' εξαίρεση, με άδεια του Επιτρόπου, εφόσον συντρέχει μία ή περισσότερες από τις κατωτέρω προϋποθέσεις:

(α) Το υποκείμενο των δεδομένων έδωσε τη συγκατάθεση του για τη διαβίβαση, εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που να αντίκειται στο νόμο ή τα χρηστά ήθη,

(β) η διαβίβαση είναι απαραίτητη-

(i) για τη διασφάλιση ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή

(ii) για τη συνομολόγηση και εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή μεταξύ του υπεύθυνου επεξεργασίας και τρίτου προς το συμφέρον του υποκειμένου των δεδομένων, ή

(iii) για την εκτέλεση προσυμβατικών μέτρων που έχουν ληφθεί ύστερα από αίτηση του υποκειμένου των δεδομένων,

(γ) η διαβίβαση είναι απαραίτητη για την αντιμετώπιση εξαιρετικής ανάγκης για τη διαφύλαξη υπέρτερου δημοσίου συμφέροντος, ιδίως για την εκτέλεση συμβάσεων συνεργασίας με δημόσιες Αρχές της άλλης χώρας,

(δ) η διαβίβαση είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον του δικαστηρίου,

(ε) η διαβίβαση πραγματοποιείται από δημόσιο μητρώο, το οποίο κατά το νόμο προορίζεται για την παροχή πληροφοριών στο κοινό και είναι προσιτό στο κοινό ή σε κάθε πρόσωπο που αποδεικνύει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι νόμιμες προϋποθέσεις για την πρόσβαση στο μητρώο.

(3) Επιπρόσθετα από τις διατάξεις του εδαφίου (2), ο Επίτροπος δύναται επίσης να επιτρέψει τη διαβίβαση δεδομένων σε χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας εφόσον ο υπεύθυνος επεξεργασίας παρουσιάσει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών και την άσκηση των δικαιωμάτων αυτών, οι εγγυήσεις δε αυτές μπορεί να απορρέουν από κατάλληλες συμβατικές ρήτρες.

(4) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), η διαβίβαση δεδομένων σε Κράτη-Μέλη της Ευρωπαϊκής Ένωσης ή κράτη συμβαλλόμενα μέρη του Ε.Ο.Χ. ή προς τρίτες χώρες για τις οποίες η Ευρωπαϊκή Επιτροπή έχει αποφανθεί ότι εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας προσωπικών δεδομένων είναι ελεύθερη.

(5) Στις περιπτώσεις που αναφέρονται στα εδάφια (2) και (3) ο Επίτροπος ενημερώνει την Ευρωπαϊκή Επιτροπή και. τις αντίστοιχες Αρχές των άλλων Κρατών-Μελών, όταν θεωρεί ότι μία χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

(6) Άδεια δυνάμει του παρόντος άρθρου είναι σύμφωνα με τον καθορισμένο τύπο και εκδίδεται αφού καταβληθούν τα καθορισμένα τέλη. Η άδεια μπορεί να ανανεωθεί ύστερα από αίτηση του υπεύθυνου επεξεργασίας.

Απόρρητο και ασφάλεια της επεξεργασίας

10.—(1) Η επεξεργασία δεδομένων είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ' εντολή του.

(2) Για τη διεξαγωγή της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

(3) Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.

Ο Επίτροπος παρέχει εκάστοτε οδηγίες για το βαθμό ασφάλειας των δεδομένων, καθώς και για τα μέτρα προστασίας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία δεδομένων, ενόψει και των τεχνολογικών εξελίξεων.

(4) Αν η επεξεργασία διεξάγεται από εκτελούντα την επεξεργασία, η σχετική ανάθεση γίνεται υποχρεωτικά με γραπτή σύμβαση. Η ανάθεση προβλέπει υποχρεωτικά ότι ο εκτελών την επεξεργασία τη διεξάγει, μόνο κατ' εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.

ΜΕΡΟΣ III ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Δικαίωμα ενημέρωσης

11.—(1) Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, εκτός αν αυτό έχει ήδη ενημερωθεί, να το ενημερώνει με τρόπο πρόσφορο και σαφή για τα εξής τουλάχιστο στοιχεία:

(α) Την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του,

(β) το σκοπό της επεξεργασίας,

(γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, και

(δ) την ύπαρξη του δικαιώματος πρόσβασης και διόρθωσης.

(2) Ο υπεύθυνος επεξεργασίας ενημερώνει επίσης το υποκείμενο των δεδομένων για το αν αυτό υποχρεούται ή όχι να παράσχει τη συνδρομή του, με βάση ποιες διατάξεις, καθώς και τις τυχόν συνέπειες της άρνησής του, δεδομένου ότι η ενημέρωση αυτή είναι απαραίτητη για την εξασφάλιση, σε κάθε περίπτωση, θεμιτής επεξεργασίας.

(3) (α) Οποτεδήποτε ο υπεύθυνος επεξεργασίας συλλέγει δεδομένα προσωπικού χαρακτήρα από τρίτους, το υποκείμενο των δεδομένων ενημερώνεται σύμφωνα με τις διατάξεις του εδαφίου (1) κατά την καταχώρησή τους ή, όπου τα δεδομένα προβλέπεται να ανακοινωθούν σε τρίτους, το υποκείμενο των δεδομένων ενημερώνεται σύμφωνα με τις διατάξεις του εδαφίου (1) το αργότερο πριν από την πρώτη ανακοίνωσή τους, εκτός αν έχει ήδη ενημερωθεί.

(β) Οι διατάξεις της παραγράφου (α) δεν εφαρμόζονται, ιδίως στις περιπτώσεις επεξεργασίας δεδομένων για στατιστικούς και ιστορικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, αν η ενημέρωση του υποκειμένου των δεδομένων αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογη προσπάθεια, ή αν η ανακοίνωση των δεδομένων προβλέπεται από οποιαδήποτε άλλη νομοθετική διάταξη, δεδομένου ότι, σε κάθε περίπτωση, έχει ληφθεί η άδεια του Επιτρόπου.

(4) Με απόφαση του Επιτρόπου, ύστερα από αίτηση του υπεύθυνου επεξεργασίας, η υποχρέωση ενημέρωσης, σύμφωνα με τα εδάφια (1), (2) και (3) μπορεί να αρθεί, εν όλω ή εν μέρει, εφόσον η συλλογή δεδομένων προσωπικού χαρακτήρα γίνεται για σκοπούς άμυνας, εθνικών αναγκών ή αναγκών εθνικής ασφάλειας της Δημοκρατίας ή για την πρόληψη, διακρίβωση, διερεύνηση και δίωξη ποινικών αδικημάτων ή για λόγους σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων  των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων.

(5) Με την επιφύλαξη των δικαιωμάτων του υποκειμένου των δεδομένων που αναφέρονται στα άρθρα 12 και 13, η υποχρέωση ενημέρωσης δεν υφίσταται όταν η συλλογή γίνεται αποκλειστικά για δημοσιογραφικούς σκοπούς.

Δικαίωμα πρόσβασης

12.—(1) Καθένας έχει δικαίωμα να γνωρίζει αν δεδομένα προσωπικού χαρακτήρα που τον αφορούν, αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως και να του παρέχει αντίγραφο με τα προσωπικά του δεδομένα κατόπιν σχετικού αιτήματος του υποκειμένου των δεδομένων, όπου αυτό δεν προϋποθέτει δυσανάλογη προσπάθεια.

(2) Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας, χωρίς υπερβολική καθυστέρηση και δαπάνη-

(α) Πληροφορίες ως προς-

(i) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, τα οποία έχουν υποστεί επεξεργασία καθώς και τις διαθέσιμες πληροφορίες σχετικά με την προέλευσή τους·

(ii) τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών, καθώς και τις κατηγορίες των δεδομένων που υπόκεινται ή θα υποστούν επεξεργασία·

(iii) την εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωση ή πληροφόρησή του·

(iv) τη λογική στην οποία στηρίζεται κάθε αυτοματοποιημένη επεξεργασία των δεδομένων τα οποία αναφέρονται σ' αυτό, στις περιπτώσεις αποφάσεων που λαμβάνονται δυνάμει του άρθρου 16(1).

(β) Τη διόρθωση, διαγραφή ή κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν έγινε σύμφωνα με τις διατάξεις του παρόντος Νόμου, ειδικότερα λόγω ανακριβειών ή ελλείψεων.

(γ) Την κοινοποίηση σε τρίτους στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή κλειδώματος που γίνεται δυνάμει της παραγράφου (β), εκτός αν αυτό είναι αδύνατο ή συνεπάγεται δυσανάλογες προσπάθειες.

(3) Αν ο υπεύθυνος επεξεργασίας δεν απαντήσει μέσα σε τέσσερις εβδομάδες από την υποβολή της αίτησης ή αν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στον Επίτροπο.

(4) Με απόφαση του Επιτρόπου, ύστερα από αίτηση του υπευθύνου επεξεργασίας, η υποχρέωση πληροφόρησης σύμφωνα με τα εδάφια (1) και (2), δύναται να αρθεί, εν όλω ή εν μέρει, εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για λόγους εθνικών αναγκών ή αναγκών εθνικής ασφάλειας της Δημοκρατίας ή για την πρόληψη, διερεύνηση, διακρίβωση και δίωξη ποινικών αδικημάτων ή για λόγους σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων  των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων.

(5) Το δικαίωμα πρόσβασης μπορεί να ασκείται από το υποκείμενο των δεδομένων με τη συνδρομή ειδικού.

(6) Δεδομένα που αφορούν την υγεία γνωστοποιούνται στο υποκείμενο των δεδομένων μέσω ιατρού.

(7) Το δικαίωμα πρόσβασης ασκείται με την υποβολή της σχετικής αίτησης στον υπεύθυνο επεξεργασίας και την ταυτόχρονη καταβολή χρηματικού ποσού, το ύψος του οποίου, ο τρόπος καταβολής του και κάθε άλλο συναφές ζήτημα ρυθμίζονται με Κανονισμούς. Το ποσό αυτό επιστρέφεται στον αιτητή, αν το αίτημά του για διόρθωση ή διαγραφή των δεδομένων κριθεί βάσιμο είτε από τον υπεύθυνο επεξεργασίας είτε από τον Επίτροπο, σε περίπτωση προσφυγής του σε αυτόν. Στην τελευταία περίπτωση, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να χορηγήσει στον αιτητή, χωρίς καθυστέρηση, δωρεάν και σε γλώσσα κατανοητή, αντίγραφο του διορθωμένου μέρους της επεξεργασίας που τον αφορά.

Δικαίωμα αντίρρησης

13.-(1) Στις περιπτώσεις των παραγράφων (δ) και (ε) του εδαφίου (2) του άρθρου 5, το υποκείμενο των δεδομένων έχει δικαίωμα να αντιταχθεί οποτεδήποτε, για επιτακτικούς και νόμιμους λόγους που σχετίζονται άμεσα με την προσωπική του κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν.

(2) Το δικαίωμα αντίρρησης ασκείται εγγράφως στον υπεύθυνο επεξεργασίας ο οποίος έχει υποχρέωση να απαντήσει εγγράφως στον αιτητή μέσα σε αποκλειστική προθεσμία δεκαπέντε ημερών, δηλώνοντας την πρόθεσή του να κάνει αποδεκτό το αίτημα του υποκειμένου των δεδομένων ή αιτιολογώντας την πρόθεσή του να απορρίψει το αίτημά του. Η απάντηση σε περίπτωση απόρριψης του αιτήματος κοινοποιείται στον Επίτροπο.

(3) Αν ο υπεύθυνος επεξεργασίας δεν απαντήσει εμπρόθεσμα ή η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στον Επίτροπο και να ζητήσει την εξέταση του αιτήματός του. Αν ο Επίτροπος κρίνει το αίτημά του εύλογο και ότι συντρέχει κίνδυνος σοβαρής βλάβης του υποκειμένου των δεδομένων από τη συνέχιση της επεξεργασίας, δύναται να επιβάλει την άμεση αναστολή της επεξεργασίας μέχρις ότου εκδώσει οριστική απόφαση επί των αντιρρήσεων.

Άσκηση του δικαιώματος πρόσβασης και αντίρρησης

14. [Διαγράφηκε]
Επεξεργασία νια σκοπούς προώθησης πώλησης αγαθών κλπ

15.-(1) Τα προσωπικά δεδομένα δεν αποτελούν αντικείμενο επεξεργασίας από οποιοδήποτε για λόγους προώθησης πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως, εκτός αν το υποκείμενο των δεδομένων δηλώσει γραπτώς τη συγκατάθεσή του στον υπεύθυνο επεξεργασίας.

(2) Υπεύθυνος επεξεργασίας που επιθυμεί να προβεί σε επεξεργασία προσωπικών δεδομένων για τους λόγους που αναφέρονται στο εδάφιο (1), μπορεί να χρησιμοποιήσει για το σκοπό λήψης της συγκατάθεσης του υποκειμένου των δεδομένων το ονοματεπώνυμο και τη διεύθυνσή του υπό τον όρο ότι τα δεδομένα αυτά έχουν ληφθεί από πηγές προσβάσιμες στο κοινό.

(3) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), για αρχεία πελατών που λειτουργούν και επεξεργασίες δεδομένων πελατών που εκτελούνται κατά την ημερομηνία έναρξης της ισχύος του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) (Τροποποιητικού) Νόμου του 2012, που αφορούν μεγάλο αριθμό υποκειμένων των δεδομένων, τα στοιχεία επικοινωνίας τους θα μπορούν να αποτελούν αντικείμενο επεξεργασίας από τον υπεύθυνο επεξεργασίας για λόγους προώθησης, πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως παρόμοιων δικών του αγαθών ή υπηρεσιών, εκτός αν τα υποκείμενα των δεδομένων αντιταχθούν στην εν λόγω επεξεργασία:

Νοείται ότι για σκοπούς του παρόντος εδαφίου παρέχεται η αναγκαία διευκόλυνση προς τα υποκείμενα των δεδομένων, ώστε να καταστεί δυνατή η αντίταξή τους εύκολα και ατελώς τουλάχιστο για μια φορά.

Επεξεργασία για σκοπούς πολιτικής επικοινωνίας

15Α. Τα πολιτικά κόμματα, οι εκλογικοί συνδυασμοί και οι εκάστοτε υποψήφιοι, για σκοπούς πολιτικής επικοινωνίας και αποστολής μέσω ταχυδρομείου υλικού για την προώθηση των πολιτικών θέσεων ή της υποψηφιότητάς τους στο πλαίσιο της εκλογής σε οποιοδήποτε πολιτειακό αξίωμα στη Δημοκρατία ή στο πλαίσιο της διενέργειας δημοψηφίσματος, μπορούν να χρησιμοποιούν τα ονόματα και τις διευθύνσεις των προσώπων που είναι καταχωρημένα στους εκλογικούς ή τηλεφωνικούς καταλόγους, εξαιρουμένων των προσώπων που είναι καταχωρημένα στο μητρώο προσώπων που δεν επιθυμούν να λαμβάνουν προωθητικό των πολιτικών κομμάτων, των εκλογικών συνδυασμών και των εκάστοτε υποψηφίων υλικό, στο πλαίσιο πολιτικής επικοινωνίας.

Δικαίωμα προσωρινής δικαστικής προστασίας

16.—(1) Καθένας έχει δικαίωμα να ζητήσει από το αρμόδιο, σε κάθε περίπτωση, δικαστήριο την άμεση αναστολή ή μη εφαρμογή πράξης ή απόφασης που το θίγει, την οποία έχει λάβει διοικητική αρχή ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με επεξεργασία δεδομένων, εφόσον η επεξεργασία αυτή αποβλέπει στην αξιολόγηση της προσωπικότητάς του και ιδίως της αποδοτικότητας του στην εργασία, της οικονομικής φερεγγυότητας του, της αξιοπιστίας του και της εν γένει συμπεριφοράς του.

(2) Οι διατάξεις του εδαφίου (1) δεν εφαρμόζονται όταν η πράξη ή απόφαση-

(α) έχει διενεργηθεί ή ληφθεί στο πλαίσιο της σύναψης ή της εκτέλεσης σύμβασης, εφόσον το αίτημα σύναψης ή εκτέλεσης της σύμβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα έχει ικανοποιηθεί ή έχουν ληφθεί όλα τα πρόσφορα μέτρα για τη διασφάλιση των εννόμων συμφερόντων του, στα οποία περιλαμβάνεται η δυνατότητα να προβάλει την άποψή του ή

(β) επιτρέπεται από νομοθετική διάταξη, η οποία καθορίζει τα μέτρα για την προστασία και διασφάλιση των εννόμων συμφερόντων του υποκειμένου των δεδομένων.

(3) Το δικαίωμα για προσωρινή δικαστική προστασία δύναται να ικανοποιηθεί σύμφωνα με τον περί Δικαστηρίων Νόμο, τον περί Πολιτικής Δικονομίας Νόμο ή οποιοδήποτε άλλο νόμο που προβλέπει για την έκδοση προσωρινών διαταγμάτων.

Δικαίωμα σε αποζημιώσεις

17. Υπεύθυνος επεξεργασίας υποχρεούται να αποζημιώσει υποκείμενο δεδομένων το οποίο υπέστη ζημιά λόγω παράβασης οποιασδήποτε διάταξης του παρόντος Νόμου, εκτός αν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός.

ΜΕΡΟΣ IV ΕΠΙΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Διορισμός Επιτρόπου

18.—(1) Διορίζεται Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (που στη συνέχεια θα αναφέρεται ως ο Επίτροπος) που θα έχει την εποπτεία της εφαρμογής του παρόντος Νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα και θα ασκεί τις αρμοδιότητες που κατά καιρούς ανατίθενται σ' αυτόν από τον παρόντα ή οποιοδήποτε άλλο Νόμο.

(2) Ο διορισμός του Επιτρόπου γίνεται από το Υπουργικό Συμβούλιο ύστερα από σύσταση του Υπουργού και διαβούλευση με την Κοινοβουλευτική Επιτροπή Ευρωπαϊκών Υποθέσεων.

(3) Διορίζεται Επίτροπος πρόσωπο που κατέχει ή κατείχε τα προσόντα για διορισμό ως δικαστή του Ανωτάτου Δικαστηρίου.

(4) Τηρουμένων των διατάξεων του άρθρου 19, ο Επίτροπος δεν μπορεί να απολυθεί κατά τη διάρκεια της θητείας του εκτός για λόγους πνευματικής ή σωματικής ανικανότητας ή αναπηρίας που τον καθιστά ανίκανο να εκπληρώνει τα καθήκοντά του.

Κωλύματα

19.—(1) Δε διορίζεται Επίτροπος πρόσωπο το οποίο ασκεί διευθυντικά καθήκοντα γενικά σε επιχείρηση η οποία προάγει, μεταποιεί, διαθέτει ή εμπορεύεται υλικά που χρησιμοποιούνται στην πληροφορική ή τις τηλεπικοινωνίες ή παρέχει υπηρεσίες σχετικές με την πληροφορική, τις τηλεπικοινωνίες ή την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ή συνδέεται με σύμβαση έργου με τέτοια επιχείρηση.

(2) Εκπίπτει από την ιδιότητα του ως Επίτροπος αν μετά το διορισμό του-

(α) Αποκτά μια από τις ιδιότητες που συνιστούν κώλυμα διορισμού δυνάμει του εδαφίου (1).

(β) Προβαίνει σε πράξεις ή αναλαμβάνει οποιαδήποτε εργασία ή έργο ή αποκτά άλλη ιδιότητα που, δε συμβιβάζονται με τα καθήκοντά του ως Επιτρόπου.

(γ) Καταδικάζεται για αδίκημα κατά παράβαση του εδαφίου (3) του άρθρου 21.

(3) Το Υπουργικό Συμβούλιο, ευθύς ως εξακριβώσει ότι έχει συμβεί οποιοδήποτε από τα γεγονότα που αναφέρονται στο εδάφιο (4) του άρθρου 18 και στις παραγράφους (α), (β) και (γ) του εδαφίου (2), δημοσιεύει στην Επίσημη Εφημερίδα της Δημοκρατίας γνωστοποίηση στην οποία αναφέρεται ότι ο Επίτροπος από συγκεκριμένη ημερομηνία που καθορίζεται σ' αυτή, δεν κατέχει πλέον το αξίωμά του.

Θητεία

20. Η θητεία του Επιτρόπου είναι για περίοδο τεσσάρων ετών, δύναται δε να ανανεωθεί για ακόμα μία περαιτέρω θητεία.

Υποχρεώσεις και δικαιώματα Επιτρόπου

21.—(1) Κατά την άσκηση των καθηκόντων του, ο Επίτροπος υπακούει στη συνείδηση του και το νόμο. Υπόκειται στο καθήκον εχεμύθειας. Το καθήκον εχεμύθειας υφίσταται και μετά τη με οποιοδήποτε τρόπο αποχώρησή του. Ως μάρτυρας ή πραγματογνώμονας δύναται να καταθέσει στοιχεία που αφορούν αποκλειστικά και μόνο την τήρηση των διατάξεων του παρόντος Νόμου από υπεύθυνους επεξεργασίας.

(2) Στον Επίτροπο καταβάλλεται αποζημίωση το ύψος της οποίας καθορίζεται από το Υπουργικό Συμβούλιο.

(3) Ο Επίτροπος που, κατά παράβαση του παρόντος Νόμου, γνωστοποιεί με οποιοδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα που είναι προσιτά σε αυτό λόγω της θέσης του ή αφήνει άλλο να λάβει, γνώση αυτών, διαπράττει αδίκημα τιμωρούμενο με φυλάκιση μέχρι τριών ετών ή με χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες λίρες ή και με τις δύο αυτές ποινές.

Γραφείο Επιτρόπου

22.—(1) Ο Επίτροπος, κατά την ενάσκηση του έργου του έχει Γραφείο, το προσωπικό του οποίου θα αποτελείται από λειτουργούς που θα έχουν τέτοια προσόντα και θα υπηρετούν κάτω από τέτοιους όρους, όπως θα καθοριστεί.

(2)(α) Τα μέλη το προσωπικού του Γραφείου του Επιτρόπου είναι μέλη της δημόσιας υπηρεσίας και θα διορίζονται, όπως προβλέπεται στον εκάστοτε ισχύοντα περί Δημόσιας Υπηρεσίας Νόμο.

(β) Μέχρι να διοριστεί το προσωπικό του Γραφείου του Επιτρόπου δύναται να διενεργηθούν αποσπάσεις δημόσιων υπαλλήλων σ' αυτό.

(3) Ο Επίτροπος έχει εξουσία όπως, διαφυλασσομένης της αρχής της ιεραρχίας στην υπηρεσία, εξουσιοδοτήσει γραπτά οποιοδήποτε λειτουργό του Γραφείου του που κατέχει υπεύθυνη θέση, όπως ενασκεί εκ μέρους του τέτοιες από τις εξουσίες του και κάτω από τέτοιους όρους, εξαιρέσεις και επιφυλάξεις, όπως ο Επίτροπος θα καθορίσει στην εξουσιοδότησή του:

Νοείται ότι ο Επίτροπος θα έχει εξουσία να εκχωρήσει το δικαίωμα υποβολής οποιασδήποτε εκθέσεως που προβλέπεται δυνάμει του Νόμου αυτού.

Αρμοδιότητες, λειτουργία και αποφύσεις του Επιτρόπου

23.-(1) Ο Επίτροπος έχει τις εξής αρμοδιότητες:

(α) Εκδίδει οδηγίες ως προς την ενιαία εφαρμογή των ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(β) Καλεί και βοηθεί τα επαγγελματικά σωματεία και τις λοιπές ενώσεις φυσικών ή νομικών προσώπων που διατηρούν αρχεία δεδομένων προσωπικού χαρακτήρα στην κατάρτιση κωδίκων δεοντολογίας για την αποτελεσματικότερη προστασία της ιδιωτικής ζωής και των εν γένει δικαιωμάτων και θεμελιωδών ελευθεριών των φυσικών προσώπων στον τομέα της δραστηριότητάς τους.

(γ) Απευθύνει συστάσεις και υποδείξεις στους υπευθύνους επεξεργασίας ή τους τυχόν εκπροσώπους τους και δίδει κατά την κρίση του δημοσιότητα σε αυτές.

(δ) Χορηγεί τις άδειες που προβλέπουν οι διατάξεις του παρόντος Νόμου.

(ε) Καταγγέλλει τις παραβάσεις των διατάξεων του παρόντος Νόμου στις αρμόδιες αρχές.

(στ) Επιβάλλει τις κατά τα άρθρα 23Α και 25 διοικητικές κυρώσεις.

(ζ) Αναθέτει σε λειτουργό του Γραφείου του τη διεξαγωγή ερευνών.

(η) Ενεργεί αυτεπαγγέλτως ή ύστερα από καταγγελία ελέγχους σε οποιοδήποτε αρχείο. Έχει, για το σκοπό αυτό, δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και συλλογής κάθε πληροφορίας, χωρίς να δύναται να του αντιταχθεί κανενός είδους απόρρητο, εξαιρουμένου μόνο του δικηγορικού. Κατ' εξαίρεση, ο Επίτροπος δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Τον έλεγχο διενεργεί ο Επίτροπος ή λειτουργός του Γραφείου ειδικά εξουσιοδοτημένος για το σκοπό αυτό από αυτόν. Κατά τον έλεγχο αρχείων που τηρούνται για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Επίτροπος.

(θ) Αποφαίνεται για κάθε ρύθμιση που αφορά την επεξεργασία και προστασία δεδομένων προσωπικού χαρακτήρα.

(ι) Εκδίδει κανόνες, οδηγίες πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αναφέρεται ο παρών Νόμος.

(ια) Συντάσσει κάθε χρόνο έκθεση για την εκτέλεση της αποστολής του κατά το προηγούμενο ημερολογιακό έτος. Στην έκθεση επισημαίνονται και οι τυχόν ενδεικνυόμενες νομοθετικές μεταβολές στον τομέα της προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο Επίτροπος υποβάλλει την έκθεση στο Υπουργικό Συμβούλιο και κοινοποιεί αντίγραφό της στον Υπουργό Εσωτερικών και στη Βουλή των Αντιπροσώπων. Μετά την υποβολή της έκθεσης σύμφωνα με τον πιο πάνω τρόπο, ο Επίτροπος δημοσιοποιεί την έκθεσή του.

(ιβ) Εξετάζει παράπονα και καταγγελίες από οποιοδήποτε πρόσωπο σχετικά με την προστασία των δικαιωμάτων του, όταν αυτά θίγονται από την επεξεργασία δεδομένων που το αφορούν και αιτήσεις από τρίτους σχετικά με την εφαρμογή του παρόντος Νόμου.  Περαιτέρω, ο Επίτροπος προβαίνει σε έλεγχο της νομιμότητας επεξεργασίας προσωπικών δεδομένων είτε αυτεπάγγελτα είτε κατόπιν σχετικής αίτησης που υποβάλλεται για το σκοπό αυτό από οποιοδήποτε πρόσωπο και στη δεύτερη αυτή περίπτωση ενημερώνει σχετικά τον αιτητή για τις ενέργειές του.  Ο Επίτροπος αποφασίζει, κατά την κρίση του, αν θα προβεί σε εξέταση του παραπόνου, της καταγγελίας ή της αίτησης ή αν θα συνεχίσει ή αν θα διακόψει την εξέταση αναφορικά με παράπονο, καταγγελία ή αίτηση που υποβλήθηκε σύμφωνα με την παρούσα παράγραφο.

(ιγ) Τηρεί τα Μητρώα που προβλέπονται στον παρόντα Νόμο.

(ιδ) Συνεργάζεται με αντίστοιχες Αρχές άλλων Κρατών-Μελών της Ευρωπαϊκής Ένωσης και του Συμβουλίου της Ευρώπης σε ζητήματα σχετικά με την άσκηση των αρμοδιοτήτων του.

(ιε) Θέτει σε υπεύθυνο επεξεργασίας ή τρίτο γραπτά ερωτήματα αναφορικά με την εξέταση παραπόνων, καταγγελιών, αιτήσεων ή των διενεργούμενων ελέγχων σχετικά με την εφαρμογή του παρόντος Νόμου και υποχρεώνει αυτούς σε παροχή συνδρομής μέσα σε τακτή προθεσμία για τη διευκόλυνση και εκτέλεση του έργου του.

(2)  Κατά την άσκηση των αρμοδιοτήτων του που προβλέπονται στις παραγράφους (η), (ιβ) και (ιε) του εδαφίου (1) ο Επίτροπος, δυνάμει δικαστικού διατάγματος, έχει εξουσία να προβαίνει σε κατάσχεση εγγράφων ή ηλεκτρονικού εξοπλισμού για σκοπούς διευκόλυνσης του έργου του, που σχετίζεται με τη διερεύνηση παραπόνων ή καταγγελιών, σύμφωνα με διαδικασία που καθορίζεται με Κανονισμούς.

Εξουσίες Επιτρόπου κατά τη διενέργεια ελέγχου ή εξέτασης παραπόνων, καταγγελιών ή αιτήσεων

23Α.-(1) Ο Επίτροπος ή ειδικά εξουσιοδοτημένος λειτουργός του, κατά την άσκηση των κατά τον παρόντα Νόμο αρμοδιοτήτων και καθηκόντων του, έχει εξουσία–

(α) να εισέρχεται, χωρίς απαραίτητα να γίνεται πρότερη ενημέρωση των ενδιαφερομένων, σε οποιοδήποτε γραφείο, επαγγελματικό υποστατικό ή μεταφορικό μέσο, εξαιρουμένων των κατοικιών.

(β) να έχει πρόσβαση, τηρουμένων των διατάξεων της παραγράφου (η) του εδαφίου (1) του άρθρου 23, σε όλα τα αρχεία και προσωπικά δεδομένα και να συλλέγει έγγραφα, στοιχεία και πληροφορίες·

(γ) να συνοδεύεται από πρόσωπα με εξειδικευμένες γνώσεις·

(δ) να καλεί οποιοδήποτε πρόσωπο να δώσει μαρτυρία ή να προσκομίσει οποιοδήποτε έγγραφο ή αποδεικτικό στοιχείο που κατά τη γνώμη του δυνατό να σχετίζεται με την εξέταση παραπόνου, καταγγελίας, αίτησης ή με το διενεργούμενο έλεγχο.

(2) Ανεξάρτητα από τις διατάξεις του άρθρου 25, ο Επίτροπος έχει εξουσία να επιβάλλει χρηματική ποινή ύψους μέχρι πέντε χιλιάδων ευρώ (€5,000) σε υπεύθυνο επεξεργασίας ή οποιοδήποτε πρόσωπο δε συμμορφώνεται, παρακωλύει και/ή εμποδίζει τη διενέργεια και/ή αποπεράτωση του ελέγχου ή την εξέταση του παραπόνου, καταγγελίας ή αίτησης.

(3) Ο Επίτροπος δύναται να ζητεί και να λαμβάνει τη συνδρομή της Αστυνομίας προκειμένου να καταστεί δυνατή η άσκηση των εξουσιών του δυνάμει του παρόντος άρθρου.

Μητρώα

24.—(1) Ο Επίτροπος τηρεί τα ακόλουθα Μητρώα:

(α) Μητρώο Αρχείων και Επεξεργασιών, στο οποίο περιλαμβάνονται τα αρχεία και οι επεξεργασίες που γνωστοποιούνται στον Επίτροπο και το οποίο πρέπει απαραιτήτως να περιλαμβάνει τα στοιχεία των παραγράφων (α), (β), (γ), (δ), (ε),(ζ) και (η) του εδαφίου (2) του άρθρου 7.

(β) Μητρώο Διασυνδέσεων, στο οποίο περιλαμβάνονται οι δηλώσεις και οι άδειες που εκδίδει ο Επίτροπος για τη διασύνδεση αρχείων.

(γ) Μητρώο στο οποίο καταχωρούνται τα ονόματα και οι διευθύνσεις των προσώπων που δεν επιθυμούν να λαμβάνουν υλικό από πολιτικά κόμματα, εκλογικούς συνδυασμούς και εκάστοτε υποψηφίους, για σκοπούς προώθησης των πολιτικών θέσεων ή της υποψηφιότητάς τους, στο πλαίσιο πολιτικής επικοινωνίας.

(δ) Μητρώο Απόρρητων Αρχείων, στο οποίο καταχωρίζονται, με απόφαση του Επιτρόπου ύστερα από αίτηση του εκάστοτε υπευθύνου επεξεργασίας, αρχεία που τηρούν τα Υπουργεία Δικαιοσύνης και Δημοσίας Τάξεως, Άμυνας και το Γραφείο Τύπου και Πληροφοριών, για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Στο Μητρώο Απόρρητων Αρχείων καταχωρίζονται και οι διασυνδέσεις με ένα τουλάχιστον αρχείο της περίπτωσης αυτής.

(2)  Καθένας έχει πρόσβαση στα Μητρώα που αναφέρονται στις παραγράφους (α), (β) και (γ) του εδαφίου (1).

Ύστερα από αίτηση του ενδιαφερομένου και με απόφαση του Επιτρόπου, είναι δυνατό να επιτραπεί, εν όλω ή εν μέρει, η πρόσβαση και στο Μητρώο Απόρρητων Αρχείων.

ΜΕΡΟΣ V ΚΥΡΩΣΕΙΣ
Διοικητικές κυρώσεις

25.—(1) Ανεξάρτητα από τις διατάξεις του άρθρου 26, ο Επίτροπος μπορεί να επιβάλει στους υπευθύνους επεξεργασίας ή στους τυχόν εκπροσώπους τους ή σε τρίτους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεων τους που απορρέουν από τον παρόντα Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:

(α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,

(β) μέχρι τριάντα χιλιάδες ευρώ (€30,000),

(γ) προσωρινή ανάκληση άδειας,

(δ) οριστική ανάκληση άδειας,

(ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.

(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται πάντοτε ύστερα από ακρόαση του υπευθύνου επεξεργασίας ή του εκπροσώπου του ή του τρίτου. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής ή καθ' υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.

(3) Η είσπραξη χρηματικών ποινών που επιβάλλονται από τον Επίτροπο εισπράττονται ως αστικό χρέος.

Αδικήματα και ποινές

26.—(1) Διαπράττει αδίκημα-

(α)  Όποιος παραλείπει να γνωστοποιήσει στον Επίτροπο, κατά τα διαλαμβανόμενα στο άρθρο 7, τη σύσταση και λειτουργία αρχείου, την εκτέλεση επεξεργασίας ή οποιαδήποτε ουσιαστική μεταβολή πληροφορίας που δηλώνεται στη γνωστοποίηση δυνάμει των διατάξεων του εδαφίου (2) του άρθρου 7,

(β) [Καταργήθηκε],

(γ) όποιος κατά παράβαση του άρθρου 8 προβαίνει σε διασύνδεση αρχείων χωρίς να τη γνωστοποιήσει στον Επίτροπο,

(δ) όποιος προβαίνει σε διασύνδεση αρχείων χωρίς την άδεια του Επιτρόπου, όπου αυτή απαιτείται ή κατά παράβαση των όρων της άδειας που του έχει χορηγηθεί,

(ε) όποιος, χωρίς δικαίωμα, επεμβαίνει με οποιοδήποτε τρόπο σε αρχείο δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέψει, επεξεργάζεται, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιοδήποτε τρόπο,

(στ) υπεύθυνος επεξεργασίας που κατά την εκτέλεση της δε συμμορφώνεται με τις διατάξεις του παρόντος Νόμου,

(ζ) υπεύθυνος επεξεργασίας που δε συμμορφώνεται με τις αποφάσεις του Επιτρόπου, που εκδίδονται για την ικανοποίηση του δικαιώματος πρόσβασης, σύμφωνα με το εδάφιο (3) του άρθρου 12, για την ικανοποίηση του δικαιώματος αντίρρησης, σύμφωνα με το εδάφιο (3) του άρθρου 13, καθώς και με πράξεις επιβολής των διοικητικών κυρώσεων των περιπτώσεων (γ), (δ) και (ε) του εδαφίου (1) του άρθρου 25,

(η) υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα κατά παράβαση του άρθρου 9, καθώς και εκείνος που δε συμμορφώνεται με απόφαση του Δικαστηρίου που εκδίδεται δυνάμει του άρθρου 16,

(θ) υπεύθυνος επεξεργασίας ή τρίτος, ο οποίος, μετά από γραπτό ερώτημα του Επιτρόπου σχετικά με την εφαρμογή του παρόντος Νόμου, παραλείπει ή αρνείται να παράσχει τη συνδρομή του εντός της ταχθείσας προθεσμίας προς διευκόλυνση του έργου του Επιτρόπου ή εκ προθέσεως ή εξ αμελείας του παρέχει ψευδείς, ανακριβείς, ελλιπείς ή παραπλανητικές πληροφορίες στον Επίτροπο.

(2) Αν ο υπαίτιος των πράξεων που αναφέρονται στις παραγράφους (α) έως (ε) του εδαφίου (1) είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, ή να βλάψει τρίτο, τιμωρείται με φυλάκιση μέχρι πέντε ετών ή χρηματική ποινή μέχρι πέντε χιλιάδων λιρών ή και με τις δύο αυτές ποινές.

(3) Αν από τις πράξεις που αναφέρονται στις παραγράφους (α)-(ε) του εδαφίου (1) προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία της Κυβέρνησης της Δημοκρατίας ή για την εθνική ασφάλεια, τιμωρείται ο ένοχος με φυλάκιση μέχρι πέντε ετών ή με χρηματική ποινή μέχρι πέντε χιλιάδων λιρών ή και με τις δύο αυτές ποινές.

(4) Αν οι πράξεις που αναφέρονται στις παραγράφους (α) έως (ε) του εδαφίου (1) τελέσθηκαν από αμέλεια, τιμωρείται ο ένοχος με φυλάκιση μέχρι τριών ετών ή με χρηματική ποινή μέχρι τριών χιλιάδων λιρών ή και με τις δύο αυτές ποινές.

(5) Για την εφαρμογή των διατάξεων του παρόντος άρθρου, αν υπεύθυνος επεξεργασίας δεν είναι φυσικό πρόσωπο, ευθύνεται ο εκπρόσωπος του νομικού προσώπου ή ο επικεφαλής της δημόσιας αρχής ή υπηρεσίας ή οργανισμού αν ασκεί και ουσιαστικά τη διοίκηση ή διεύθυνση αυτών.

(6) Τα αδικήματα που διαπράττονται κατά παράβαση των διατάξεων του άρθρου αυτού και για τα οποία δεν προνοείται ρητά άλλη ποινή, τιμωρούνται με φυλάκιση μέχρι ενός έτους ή με χρηματική ποινή μέχρι δύο χιλιάδων λιρών ή και με τις δύο αυτές ποινές.

ΜΕΡΟΣ VI ΠΟΙΚΙΛΕΣ ΔΙΑΤΑΞΕΙΣ
Κανονισμοί

27.—(1) Το Υπουργικό Συμβούλιο εκδίδει, ύστερα από εισήγηση του Επιτρόπου, κανονισμούς για καλύτερη εφαρμογή του παρόντος Νόμου.

(2) Χωρίς επηρεασμό της γενικότητας του εδαφίου (1), Κανονισμοί που εκδίδονται δυνάμει αυτού-

(α) Μπορούν να προνοούν για την επεξεργασία συγκεκριμένης κατηγορίας δεδομένων,

(β) καθορίζουν τον τύπο των αδειών που εκδίδονται δυνάμει του παρόντος Νόμου, καθώς και τα καταβλητέα για αυτές τέλη,

(γ) καθορίζουν τη διαδικασία κατάσχεσης εγγράφων ή ηλεκτρονικού εξοπλισμού κατά τα διαλαμβανόμενα στο εδάφιο (2) του άρθρου 23.

Υποχρεώσεις υπεύθυνου επεξεργασίας

28—(1) Οι υπεύθυνοι επεξεργασίας αρχείων, τα οποία λειτουργούν κατά την έναρξη ισχύος του παρόντος Νόμου, καθώς και οι υπεύθυνοι επεξεργασίας που εκτελούν επεξεργασία κατά την έναρξη της ισχύος του παρόντος Νόμου, υποχρεούνται να υποβάλλουν στον Επίτροπο την κατά το άρθρο 7, γνωστοποίηση, μέσα σε έξι μήνες από το διορισμό του Επιτρόπου.

(2) Για αρχεία που λειτουργούν και επεξεργασίες που εκτελούνται κατά την έναρξη ισχύος του παρόντος Νόμου, οι υπεύθυνοι επεξεργασίας οφείλουν να προβούν στην κατά το εδάφιο (1) του άρθρου 11 ενημέρωση των υποκειμένων των δεδομένων μέσα σε έξι μήνες από το διορισμό του Επιτρόπου. Η ενημέρωση, εφόσον αφορά μεγάλο αριθμό υποκειμένων των δεδομένων, δύναται να γίνει και διά του τύπου. Στην περίπτωση αυτή, τις λεπτομέρειες ορίζει ο Επίτροπος. Οι διατάξεις του εδαφίου (4) του άρθρου 12 έχουν εφαρμογή και γι' αυτό το άρθρο.

(3) Για τα εξ ολοκλήρου μη αυτοματοποιημένα αρχεία, οι προθεσμίες που αναφέρονται στα εδάφια (1) έως (3) είναι ένα έτος.

Έναρξη άσκησης των αρμοδιοτήτων του Επιτρόπου

29.—(1) Μέσα σε εξήντα ημέρες από την έναρξη της ισχύος του παρόντος Νόμου, διορίζεται ο Επίτροπος.

(2) Ο χρόνος της έναρξης άσκησης των αρμοδιοτήτων του Επιτρόπου ορίζεται με απόφαση του Υπουργικού Συμβουλίου, που εκδίδεται το αργότερο μέσα σε τέσσερις μήνες μετά το διορισμό του Επιτρόπου.

Έναρξη ισχύος του παρόντος Νόμου

30. Ο παρών Νόμος τίθεται σε ισχύ από την ημερομηνία δημοσίευσής του στην Επίσημη Εφημερίδα της Δημοκρατίας εκτός από τα εδάφια (4) και (5) του άρθρου 9, τα οποία θα τεθούν σε ισχύ με απόφαση του Υπουργικού Συμβουλίου, που δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας.