Προοίμιο

Για σκοπούς αποτελεσματικής εφαρμογής ορισμένων διατάξεων της πράξης της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και για την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)»,

Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως:

ΜΕΡΟΣ Ι ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος του 2018.

Ερμηνεία

2.-(1) Στον παρόντα Νόμο, εκτός αν από το κείμενό του ή το κείμενο του Κανονισμού προκύπτει διαφορετική έννοια-

«Αστυνομία» σημαίνει την Αστυνομία Κύπρου·

«βιομετρικά δεδομένα» σημαίνει δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

«γενετικά δεδομένα» σημαίνει τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·

«δεδομένα προσωπικού χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·

«δεσμευτικοί εταιρικοί κανόνες» σημαίνει τις πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα·

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·

«διασυνοριακή επεξεργασία» σημαίνει-

(α) την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, ή

(β) την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη·

«διεθνής οργανισμός» σημαίνει τον οργανισμό και τους υπαγόμενους σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοδήποτε άλλο φορέα που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών·

«εκπρόσωπος» σημαίνει φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του Άρθρου 27 του Κανονισμού και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του Κανονισμού και του παρόντος Νόμου·

«εκτελών την επεξεργασία» σημαίνει το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία ή άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

«επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·

«Επίτροπος» σημαίνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ο οποίος διορίζεται δυνάμει των διατάξεων του άρθρου 19 του παρόντος Νόμου·

«επιχείρηση» σημαίνει το φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·

«εποπτική αρχή» σημαίνει τον Επίτροπο, ο οποίος διορίζεται δυνάμει των διατάξεων του άρθρου 19 του παρόντος Νόμου, κατ’ εφαρμογή των διατάξεων του άρθρου 51 του Κανονισμού·

«Κανονισμός» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΕ) αρ. 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και για την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)»·

«Κανονισμός (ΕΚ) αρ.765/2008» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Κανονισμός (ΕΚ) αρ.765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Ιουλίου 2008 για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αρ. 339/93 του Συμβουλίου»·

«Κυπριακός Οργανισμός Προώθησης Ποιότητας» σημαίνει τον Κυπριακό Οργανισμό Προώθησης Ποιότητας, ο οποίος ορίζεται ως ο εθνικός οργανισμός διαπίστευσης δυνάμει των διατάξεων του περί Διαπίστευσης, Τυποποίησης και Τεχνικής Πληροφόρησης Νόμου·

«Οδηγία (ΕΕ) 2015/1535» σημαίνει την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Σεπτεμβρίου 2015 για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (κωδικοποιημένο κείμενο)»·

«όμιλος επιχειρήσεων» σημαίνει μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·

«παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει τη παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία·

«συγκατάθεση» του υποκειμένου των δεδομένων σημαίνει κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·

«σύστημα αρχειοθέτησης» σημαίνει κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

«υπεύθυνος επεξεργασίας» σημαίνει το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα∙ όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή της Δημοκρατίας, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο της Δημοκρατίας·

«υπηρεσία της κοινωνίας των πληροφοριών» σημαίνει υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·

«Υπουργός» σημαίνει τον Υπουργό Δικαιοσύνης και Δημοσίας Τάξεως.

(2)Οποιοιδήποτε όροι περιέχονται στον παρόντα Νόμο και δεν ορίζονται ειδικά σε αυτόν, έχουν την έννοια που αποδίδεται στους όρους αυτούς από τον Κανονισμό.

Πεδίο εφαρμογής

3. Οι διατάξεις του παρόντος Νόμου εφαρμόζονται στη Δημοκρατία σύμφωνα με τις διατάξεις των άρθρων 2 και 3 του Κανονισμού.

Αρμόδια αρχή

4. Αρμόδια αρχή για την εφαρμογή των διατάξεων του Κανονισμού και του παρόντος Νόμου στη Δημοκρατία είναι ο Υπουργός Δικαιοσύνης και Δημοσίας Τάξεως.

ΜΕΡΟΣ ΙΙ ΝΟΜΙΜΟΤΗΤΑ ΟΡΙΣΜΕΝΩΝ ΠΡΑΞΕΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ
Επεξεργασία δεδομένων από τα δικαστήρια και τη Βουλή των Αντιπροσώπων

5. Άνευ επηρεασμού των διατάξεων του στοιχείου (ε) της παραγράφου (1) του άρθρου 6 του Κανονισμού, η επεξεργασία προσωπικών δεδομένων επιτρέπεται και είναι νόμιμη όταν διενεργείται-

(α) Από τα δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας για σκοπούς απονομής της δικαιοσύνης, περιλαμβανομένης της επεξεργασίας προσωπικών δεδομένων που είναι αναγκαία για το σκοπό δημοσίευσης ή έκδοσης απόφασης οποιουδήποτε δικαστηρίου, και

(β) από τη Βουλή των Αντιπροσώπων στο πλαίσιο των εξουσιών της.

Δημοσίευση ή έκδοση δικαστικής απόφασης

6. Η επεξεργασία των προβλεπόμενων στο άρθρο 9 του Κανονισμού ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται και είναι νόμιμη όταν διενεργείται για το σκοπό δημοσίευσης ή έκδοσης απόφασης οποιουδήποτε δικαστηρίου ή όταν είναι αναγκαία για τους σκοπούς απονομής της δικαιοσύνης.

Επεξεργασία στη βάση απόφασης του Υπουργικού Συμβουλίου

7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανατίθεται με απόφαση του Υπουργικού Συμβουλίου σε δημόσια αρχή ή φορέα για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή για την άσκηση δημόσιας εξουσίας διενεργείται σύννομα και θεμιτά με σαφή, ακριβή και διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων, σύμφωνα με τις διατάξεις του στοιχείου (α) της παραγράφου (1) του άρθρου 5, και του στοιχείου (ε) της παραγράφου (1) του άρθρου 6 του Κανονισμού.

Προσφορά υπηρεσιών της κοινωνίας των πληροφοριών σε παιδί

8.-(1) Όταν η προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί βασίζεται στη συγκατάθεση του παιδιού η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, εάν το παιδί είναι τουλάχιστον δεκατεσσάρων (14) ετών.

(2) Για παιδί ηλικίας κάτω των δεκατεσσάρων (14) ετών, η αναφερόμενη στο εδάφιο (1) επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη κατόπιν συγκατάθεσης που παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Επεξεργασία γενετικών και βιομετρικών δεδομένων

9.-(1) Η επεξεργασία γενετικών και βιομετρικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής απαγορεύεται.

(2) Χωρίς επηρεασμό των διατάξεων του στοιχείου (β) της παραγράφου (1) του άρθρου 5 του Κανονισμού, όταν η επεξεργασία γενετικών και βιομετρικών δεδομένων βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, για την περαιτέρω επεξεργασία των δεδομένων αυτών απαιτείται χωριστή συγκατάθεση του υποκειμένου των δεδομένων.

Συνδυασμός συστημάτων αρχειοθέτησης δημόσιων αρχών ή φορέων

10.-(1) Ο συνδυασμός συστημάτων αρχειοθέτησης μεγάλης κλίμακας δύο ή περισσοτέρων δημοσίων αρχών ή φορέων, επιτρέπεται μόνο για λόγους δημοσίου συμφέροντος, και εφόσον πληρούνται οι διατάξεις των στοιχείων (γ) ή (ε) της παραγράφου (1) του άρθρου 6 ή των στοιχείων (ζ), (η) ή (θ) της παραγράφου (2) του άρθρου 9 του Κανονισμού.

(2) Σε περίπτωση που ο συνδυασμός αφορά ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή πρόκειται να πραγματοποιηθεί με τη χρήση του αριθμού δελτίου ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής, απαιτείται διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(3) Η αναφερόμενη στο εδάφιο (2) εκτίμηση αντικτύπου διενεργείται από κοινού από τις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους και περιέχει τις προβλεπόμενες στην παράγραφο (7) του άρθρου 35 του Κανονισμού πληροφορίες και, κατά περίπτωση, περιγραφή των προβλεπόμενων στα άρθρα 24, 25, 28 και 32 του Κανονισμού τεχνικών και οργανωτικών μέτρων ασφάλειας.

(4) Ο Επίτροπος δύναται να επιτρέψει τον προβλεπόμενο στο παρόν άρθρο συνδυασμό συστημάτων αρχειοθέτησης και να επιβάλει στις δημόσιες αρχές ή φορείς που πρόκειται να συνδυάσουν τα συστήματα αρχειοθέτησής τους, όρους και προϋποθέσεις για την πραγματοποίηση του εν λόγω συνδυασμού.

ΜΕΡΟΣ ΙΙΙ ΠΕΡΙΟΡΙΣΜΟΙ ΔΙΚΑΙΩΜΑΤΩΝ ΚΑΙ ΥΠΟΧΡΕΩΣΕΩΝ
Περιορισμός δικαιωμάτων

11.-(1) Τηρουμένων των διατάξεων της παραγράφου (1) του άρθρου 23 του Κανονισμού, ο υπεύθυνος επεξεργασίας δύναται να εφαρμόσει μέτρα για περιορισμό, εν όλω ή εν μέρει, των αναφερόμενων στα άρθρα 12, 18, 19 και 20 του Κανονισμού δικαιωμάτων:

Νοείται ότι, αν ο περιορισμός των δικαιωμάτων αφορά πράξη επεξεργασίας που ανατέθηκε σε εκτελούντα την επεξεργασία, τα αναφερόμενα στο εδάφιο (1) μέτρα εφαρμόζονται τηρουμένων των διατάξεων του άρθρου 28 του Κανονισμού.

(2) Για την εφαρμογή των αναφερόμενων στο εδάφιο (1) μέτρων απαιτείται διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(3) Στην αναφερόμενη στο εδάφιο (2) εκτίμηση αντικτύπου περιλαμβάνονται οι προβλεπόμενες στην παράγραφο (2) του άρθρου 23, στην παράγραφο (7) του άρθρου 35 του Κανονισμού πληροφορίες και, κατά περίπτωση, περιγραφή των προβλεπόμενων στα άρθρα 24, 25, 28 και 32 του Κανονισμού τεχνικών και οργανωτικών μέτρων ασφάλειας.

(4) Τηρουμένων των διατάξεων της παραγράφου (5) του άρθρου 14 του Κανονισμού, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εφαρμογή των αναφερόμενων στο εδάφιο (1) μέτρων.

(5) Ο Επίτροπος δύναται να επιβάλει στον υπεύθυνο επεξεργασίας όρους και προϋποθέσεις για την εφαρμογή των αναφερόμενων στο εδάφιο (1) μέτρων και για την ενημέρωση του αναφερόμενου στο εδάφιο (4) υποκειμένου των δεδομένων.

Απαλλαγή από την ευθύνη ανακοίνωσης παραβίασης

12.-(1) Ο υπεύθυνος επεξεργασίας δύναται να απαλλαγεί, εν όλω ή εν μέρει, από την ευθύνη ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, για έναν ή περισσότερους από τους αναφερόμενους στην παράγραφο (1) του άρθρου 23 του Κανονισμού σκοπούς.

(2) Για την αναφερόμενη στο εδάφιο (1) απαλλαγή της ευθύνης ανακοίνωσης απαιτείται η διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(3) Στην αναφερόμενη στο εδάφιο (2) εκτίμηση αντικτύπου περιλαμβάνονται οι προβλεπόμενες στην παράγραφο (2) του άρθρου 23 και στην παράγραφο (7) του άρθρου 35 του Κανονισμού πληροφορίες.

(4) Ο Επίτροπος δύναται να επιβάλει στον υπεύθυνο επεξεργασίας όρους και προϋποθέσεις για την αναφερόμενη στο εδάφιο (1) απαλλαγή της ευθύνης ανακοίνωσης.

ΜΕΡΟΣ ΙV ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΚΑΤΑ ΤΗΝ ΕΚΠΟΝΗΣΗ ΝΟΜΟΘΕΤΙΚΩΝ ΜΕΤΡΩΝ
Διενέργεια εκτίμησης αντικτύπου μετά τη θέσπιση νομοθετικών ή κανονιστικών μέτρων

13.-(1) Πριν από τη θέσπιση νόμου ή Κανονισμών που εκδίδονται δυνάμει νόμου, που προβλέπουν συγκεκριμένη πράξη ή σειρά πράξεων επεξεργασίας, απαιτείται η διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(2) Οι διατάξεις του εδαφίου (1) δεν εφαρμόζονται, εάν ο Επίτροπος κρίνει ότι, η εκτίμηση αντικτύπου που διενεργήθηκε κατά την εκπόνηση νόμου ή Κανονισμών που εκδίδονται δυνάμει νόμου είναι ικανοποιητική και δεν απαιτείται η διενέργεια πρόσθετης εκτίμησης αντικτύπου, πριν από την εφαρμογή της συγκεκριμένης πράξης ή σειράς πράξεων επεξεργασίας, που αυτοί προβλέπουν.

ΜΕΡΟΣ V ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Ορισμός υπεύθυνου προστασίας δεδομένων

14.-(1) Ο υπεύθυνος προστασίας δεδομένων ορίζεται, τηρουμένων των διατάξεων του άρθρου 37 του Κανονισμού.

(2) Ο Επίτροπος δύναται να καταρτίζει και να δημοσιοποιεί κατάλογο πράξεων επεξεργασίας και περιπτώσεων στις οποίες επιβάλλεται ο ορισμός υπεύθυνου προστασίας δεδομένων, πρόσθετα από τις προβλεπόμενες στην παράγραφο (1) του άρθρου 37 του Κανονισμού πράξεις.

(3) Ο Επίτροπος δύναται να δημοσιοποιεί στην ιστοσελίδα του γραφείου του, κατάλογο υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία που έχουν ορίσει υπεύθυνο προστασίας δεδομένων και τα στοιχεία επαφής τους, εφόσον ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία επιθυμούν να περιληφθούν στον κατάλογο αυτό.

Υποχρέωση του υπεύθυνου προστασίας δεδομένων για τήρηση του απορρήτου ή της εμπιστευτικότητας

15.-(1) Τηρουμένων των διατάξεων οποιουδήποτε νόμου ρυθμίζει θέματα επαγγελματικού απορρήτου ή εμπιστευτικότητας, κατά την εκτέλεση των καθηκόντων του ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την υποχρέωση τήρησης του απορρήτου ή της εμπιστευτικότητας.

(2) Η τήρηση του απορρήτου ή της εμπιστευτικότητας από τον υπεύθυνο προστασίας δεδομένων, δεν επηρεάζει τις προβλεπόμενες στην παράγραφο (1) του άρθρου 58 του Κανονισμού και στις παραγράφους (α) και (β) του άρθρου 25 του παρόντος Νόμου εξουσίες ελέγχου του Επιτρόπου.

ΜΕΡΟΣ VI ΔΙΑΠΙΣΤΕΥΣΗ ΦΟΡΕΑ ΠΙΣΤΟΠΟΙΗΣΗΣ
Διαπίστευση φορέων πιστοποίησης

16.-(1) Τηρουμένων των διατάξεων του άρθρου 43 του Κανονισμού, η διαπίστευση των φορέων πιστοποίησης πραγματοποιείται από τον Κυπριακό Οργανισμό Προώθησης Ποιότητας.

(2) Για τη διαπίστευση φορέα πιστοποίησης, υποβάλλεται στον Κυπριακό Οργανισμό Προώθησης Ποιότητας θετική γνώμη του Επιτρόπου, ότι ο αιτών πιστοποίησης φορέας πληροί τις διατάξεις των στοιχείων (α), (β), και (ε) της παραγράφου (2) του άρθρου 43 του Κανονισμού.

(3) Ο Κυπριακός Οργανισμός Προώθησης Ποιότητας ανακαλεί διαπίστευση φορέα πιστοποίησης εφόσον οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τις διατάξεις του Κανονισμού ή του παρόντος Νόμου.

(4) Ο Επίτροπος δύναται να απαιτήσει από τον Κυπριακό Οργανισμό Προώθησης Ποιότητας όπως ανακαλέσει διαπίστευση φορέα πιστοποίησης, εφόσον ο Επίτροπος διαπιστώσει ότι οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τις διατάξεις του Κανονισμού ή του παρόντος Νόμου.

(5) Σε περίπτωση που ο Κυπριακός Οργανισμός Προώθησης Ποιότητας δεν ανακαλεί διαπίστευση φορέα πιστοποίησης σύμφωνα με τα εδάφια (3) και (4), ο Επίτροπος καταγγέλλει τον Κυπριακό Οργανισμό Προώθησης Ποιότητας στην Ευρωπαϊκή Επιτροπή.

ΜΕΡΟΣ VII ΔΙΑΒΙΒΑΣΗ ΕΙΔΙΚΩΝ ΚΑΤΗΓΟΡΙΩΝ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΗ ΧΩΡΑ Ή ΣΕ ΔΙΕΘΝΗ ΟΡΓΑΝΙΣΜΟ
Διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα στη βάση κατάλληλων εγγυήσεων ή δεσμευτικών εταιρικών κανόνων

17.-(1) Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προτίθεται να διαβιβάσει ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, στη βάση των προβλεπόμενων στο άρθρο 46 του Κανονισμού κατάλληλων εγγυήσεων ή στη βάση των προβλεπόμενων στο άρθρο 47 του Κανονισμού δεσμευτικών εταιρικών κανόνων, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ενημερώνει τον Επίτροπο για την πρόθεσή του αυτή, πριν τη διαβίβαση των δεδομένων αυτών.

(2) Χωρίς επηρεασμό των διατάξεων των άρθρων 46 και 47 του Κανονισμού, ο Επίτροπος δύναται, για σοβαρούς λόγους δημόσιου συμφέροντος, να επιβάλει στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ρητούς περιορισμούς στη διαβίβαση των αναφερόμενων στο εδάφιο (1) ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

(3) Σε περίπτωση που οι κατάλληλες εγγυήσεις ή οι δεσμευτικοί εταιρικοί κανόνες που αναφέρονται στο εδάφιο (1) εγκρίθηκαν από την Ευρωπαϊκή Επιτροπή ή στο πλαίσιο του προβλεπόμενου στο άρθρο 63 του Κανονισμού μηχανισμού συνεκτικότητας, ο Επίτροπος διαβουλεύεται τους αναφερόμενους στο εδάφιο (2) ρητούς περιορισμούς, κατά περίπτωση, με την Επιτροπή, το Συμβούλιο, την επικεφαλής αρχή και τις άλλες ενδιαφερόμενες αρχές, πριν από την επιβολή τους.

Διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα στη βάση παρεκκλίσεων για ειδικές καταστάσεις

18.-(1) Η διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, η οποία πραγματοποιείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στη βάση των προβλεπόμενων στο άρθρο 49 του Κανονισμού παρεκκλίσεων για ειδικές καταστάσεις απαιτεί τη διενέργεια εκτίμησης αντικτύπου και προηγούμενη διαβούλευση με τον Επίτροπο.

(2) Στην αναφερόμενη στο εδάφιο (1) εκτίμηση αντικτύπου, περιλαμβάνονται οι προβλεπόμενες στην παράγραφο (7) του άρθρου 35 του Κανονισμού πληροφορίες, και, κατά περίπτωση, περιγραφή των προβλεπόμενων στα άρθρα 24, 25, 28 και 32 του Κανονισμού τεχνικών και οργανωτικών μέτρων ασφάλειας.

(3) Χωρίς επηρεασμό των διατάξεων του άρθρου 49 του Κανονισμού, ο Επίτροπος δύναται, για σοβαρούς λόγους δημοσίου συμφέροντος, να επιβάλει στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ρητούς περιορισμούς στη διαβίβαση των αναφερόμενων στο εδάφιο (1) ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

ΜΕΡΟΣ VIII ΕΠΙΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Διορισμός, προσόντα και θητεία του Επιτρόπου

19.-(1) Ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, διορίζεται από το Υπουργικό Συμβούλιο, κατόπιν σύστασης του Υπουργού.

(2) Ως Επίτροπος διορίζεται πρόσωπο που κατέχει τα προσόντα για διορισμό Δικαστή του Ανωτάτου Δικαστηρίου.

(3) Η θητεία του Επιτρόπου είναι διάρκειας έξι (6) ετών και δύναται να ανανεωθεί για μία περαιτέρω θητεία.

(4) Τηρουμένων των διατάξεων της παραγράφου (4) του άρθρου 53 του Κανονισμού και του άρθρου 20 του παρόντος Νόμου, ο Επίτροπος δεν μπορεί να απολυθεί κατά τη διάρκεια της θητείας του, παρά μόνο για λόγους πνευματικής ή σωματικής ανικανότητας ή αναπηρίας που τον καθιστούν ανίκανο να εκπληρώνει τα καθήκοντά του.

(5) Ο Επίτροπος ορίζεται ως εποπτική αρχή για τους σκοπούς του Κανονισμού και έχει ευθύνη να παρακολουθεί την εφαρμογή των διατάξεων του Κανονισμού και του παρόντος Νόμου στη Δημοκρατία και άλλων ρυθμίσεων που αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Έκπτωση από το αξίωμα του Επιτρόπου

20.-(1) Ο Επίτροπος εκπίπτει από την ιδιότητά του εάν, κατά τη θητεία του:-

(α) Προβεί σε πράξη ασυμβίβαστη προς τα καθήκοντά του ή ασκεί οποιοδήποτε επάγγελμα ασυμβίβαστο προς την ιδιότητά του, είτε αυτό είναι επικερδές είτε όχι, ή,

(β) καταδικαστεί για το προβλεπόμενο στο εδάφιο (3) του άρθρου 21 του παρόντος Νόμου αδίκημα.

(2) Το Υπουργικό Συμβούλιο, δημοσιεύει γνωστοποίηση της δυνάμει των διατάξεων του εδαφίου (1) έκπτωσης από το αξίωμα του Επιτρόπου, καθώς και την ημερομηνία έναρξης της ισχύος αυτής, στην Επίσημη Εφημερίδα της Δημοκρατίας.

Υποχρεώσεις και δικαιώματα του Επιτρόπου

21.-(1) Στον Επίτροπο καταβάλλεται αποζημίωση το ύψος της οποίας καθορίζεται από το Υπουργικό Συμβούλιο.

(2) Ο Επίτροπος-

(α) Κατά την άσκηση των αρμοδιοτήτων, των καθηκόντων και των εξουσιών του, υπακούει στη συνείδησή του και στις διατάξεις του Κανονισμού και του παρόντος Νόμου,

(β) κατά τη διάρκεια της θητείας του και μετά τον τερματισμό της, δεσμεύεται με την τήρηση του απορρήτου ή της εχεμύθειας.

(γ) δύναται, ως μάρτυρας ή πραγματογνώμονας να καταθέσει ενώπιον δικαστηρίου οποιαδήποτε στοιχεία αφορούν στην εφαρμογή των διατάξεων του Κανονισμού και του παρόντος Νόμου, καθώς και άλλων ρυθμίσεων που αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα,

(δ) μετά τη λήξη της θητείας του απέχει από κάθε πράξη ασυμβίβαστη προς τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες του και δεν ασκεί κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη, για περίοδο δύο (2) ετών.

(3) Σε περίπτωση που ο Επίτροπος, κατά παράβαση των διατάξεων του Κανονισμού και του παρόντος Νόμου, αποκαλύπτει με οποιοδήποτε τρόπο πληροφορίες ή δεδομένα προσωπικού χαρακτήρα που είναι προσιτά σε αυτόν λόγω της θέσης του ή επιτρέπει σε άλλο πρόσωπο να λάβει γνώση αυτών, διαπράττει αδίκημα και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τριάντα χιλιάδες ευρώ (€30.000) ή και στις δύο αυτές ποινές.

Γραφείο Επιτρόπου

22.Ο Επίτροπος διατηρεί Γραφείο το οποίο δύναται να στελεχώνεται από μόνιμους, έκτακτους ή αορίστου χρόνου δημόσιους υπάλληλους:

Νοείται ότι ο Επίτροπος συμμετέχει στη διαδικασία επιλογής του προσωπικού του Γραφείου του και το προσωπικό διοικείται αποκλειστικά από αυτόν:

Νοείται περαιτέρω ότι οι λειτουργοί του Γραφείου του Επιτρόπου υπέχουν ευθύνη τήρησης του απορρήτου ή της εχεμύθειας ακόμη και μετά τη λήξη της υπηρεσίας τους.

Καθήκοντα και εξουσίες Επιτρόπου

23.-(1) Ο Επίτροπος εκτελεί τα καθήκοντα που του ανατίθενται και ασκεί τις εξουσίες που του εκχωρούνται δυνάμει των διατάξεων του Κανονισμού, του παρόντος Νόμου και οποιουδήποτε άλλου νόμου.

(2) Ο Επίτροπος, διαφυλασσομένης της αρχής της ιεραρχίας, δύναται να εξουσιοδοτεί γραπτώς οποιοδήποτε λειτουργό του Γραφείου του που κατέχει υπεύθυνη θέση, όπως ενασκεί εκ μέρους του, τέτοια από τα καθήκοντα και τις εξουσίες του, υπό όρους, εξαιρέσεις και επιφυλάξεις, που ο Επίτροπος καθορίζει στην εξουσιοδότησή του.

(3) Ο Επίτροπος δύναται, κατά την κρίση του, να δημοσιοποιήσει υπόθεση που αφορά στην εκτέλεση των καθηκόντων του ή στην άσκηση των εξουσιών του:

Νοείται ότι εάν η υπόθεση αφορά σε διασυνοριακή επεξεργασία, ο Επίτροπος διαβουλεύεται την πρόθεσή του να δημοσιοποιήσει υπόθεση δυνάμει των διατάξεων του παρόντος εδαφίου με την επικεφαλής εποπτική αρχή και τις ενδιαφερόμενες εποπτικές αρχές.

(4) O Επίτροπος δεν έχει αρμοδιότητα ελέγχου πράξεων επεξεργασίας που διενεργούνται από τα δικαστήρια της Δημοκρατίας στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.

Επιπρόσθετα καθήκοντα Επιτρόπου

24.Τηρουμένων των διατάξεων του άρθρου 57 του Κανονισμού και επιπρόσθετα από τα καθήκοντα που προβλέπονται στο εν λόγω άρθρο, ο Επίτροπος εκτελεί τα ακόλουθα καθήκοντα:

(α) Δύναται να δημοσιεύσει στην ιστοσελίδα του Γραφείου του τρόπους υποβολής καταγγελιών και αιτήσεων·

(β) εξετάζει καταγγελία και, όπου είναι δυνατό, ανάλογα με τη φύση και το είδος της καταγγελίας, ενημερώνει γραπτώς τον καταγγέλλοντα για την πρόοδο και την έκβασή της εντός τριάντα (30) ημερών από την υποβολή της καταγγελίας:

Νοείται ότι, σε περίπτωση που η καταγγελία κρίνεται αβάσιμη ή δεν εμπίπτει στις αρμοδιότητες του Επίτροπου, αυτός ενημερώνει γραπτώς τον καταγγέλλοντα εντός τριάντα (30) ημερών από την υποβολή της καταγγελίας·

(γ) ενημερώνει, όπου ενδείκνυται, κατά περίπτωση, το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία για τις προθεσμίες που προβλέπονται στα άρθρα 60 έως 66 του Κανονισμού·

(δ) δύναται να μην εξετάσει καταγγελία ή να διακόψει την εξέτασή της για λόγους δημόσιου συμφέροντος και γνωστοποιεί στο υποκείμενο των δεδομένων, εντός εύλογου χρονικού διαστήματος, τους λόγους για τη μη εξέταση ή για τη διακοπή της εξέτασης της καταγγελίας·

(ε) δύναται να καταρτίζει και να δημοσιοποιεί τον κατάλογο πράξεων επεξεργασίας και περιπτώσεων που επιβάλλουν τον ορισμό υπεύθυνου προστασίας δεδομένων, σύμφωνα με τις διατάξεις του άρθρου 14 του παρόντος Νόμου· και

(στ) δύναται να δημοσιοποιεί στην ιστοσελίδα του Γραφείου του, τον κατάλογο υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία που έχουν ορίσει υπεύθυνο προστασίας δεδομένων, όπως προβλέπεται στο άρθρο 14 του παρόντος Νόμου.

Επιπρόσθετες εξουσίες του Επιτρόπου

25.Τηρουμένων των διατάξεων του άρθρου 58 του Κανονισμού και επιπρόσθετα από τις εξουσίες που προβλέπονται στο εν λόγω άρθρο, ο Επίτροπος ασκεί τις ακόλουθες εξουσίες:

(α) Τηρουμένων των διατάξεων των στοιχείων (α) και (ε) της παραγράφου (1) του άρθρου 58 του Κανονισμού, έχει πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών του, χωρίς να δύναται να του αντιταχθεί κανενός είδους απόρρητο, εξαιρουμένου μόνο του δικηγορικού απορρήτου·

(β) τηρουμένων των διατάξεων του στοιχείου (στ) της παραγράφου (1) του άρθρου 58 του Κανονισμού, να εισέρχεται, χωρίς απαραίτητα να προηγείται οποιαδήποτε ενημέρωση του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία ή εκπρόσωπού τους, σε οποιοδήποτε γραφείο, επαγγελματικό υποστατικό ή μεταφορικό μέσο, εξαιρουμένων των κατοικιών·

(γ) για την άσκηση των προβλεπόμενων στην παράγραφο (α) του άρθρου 58 του Κανονισμού και στο παρόν άρθρο εξουσιών ελέγχου, δύναται να επικουρείται από εμπειρογνώμονα ή/και την Αστυνομία·

(δ) κατά την άσκηση των εξουσιών έρευνας να προβαίνει σε κατάσχεση εγγράφων ή ηλεκτρονικού εξοπλισμού δυνάμει δικαστικού εντάλματος έρευνας, σύμφωνα με τις διατάξεις του περί Ποινικής Δικονομίας Νόμου·

(ε) επιπροσθέτως των προβλεπόμενων στην παράγραφο (2) του άρθρου 58 του Κανονισμού διορθωτικών εξουσιών , να απαιτεί από τον Κυπριακό Οργανισμό Προώθησης Ποιότητας όπως ανακαλεί διαπίστευση φορέα πιστοποίησης, όταν διαπιστώσει ότι οι προϋποθέσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τις διατάξεις του Κανονισμού και του παρόντος Νόμου·

(στ) να καταγγέλλει τον Κυπριακό Οργανισμό Προώθησης Ποιότητας στην Ευρωπαϊκή Επιτροπή, σε περίπτωση που ο Κυπριακός Οργανισμός Προώθησης Ποιότητας δεν ανακαλεί διαπίστευση φορέα πιστοποίησης σύμφωνα με τα εδάφια (3) και (4) του άρθρου 16 του παρόντος Νόμου·

(ζ) επιπροσθέτως των προβλεπόμενων στην παράγραφο (3) του άρθρου 58 του Κανονισμού αδειοδοτικών και συμβουλευτικών εξουσιών-

(i) να επιτρέπει τον συνδυασμό συστημάτων αρχειοθέτησης όπως προβλέπεται στο άρθρο 10 του παρόντος Νόμου και να επιβάλλει όρους και προϋποθέσεις για την πραγματοποίησή του,

(ii) να επιβάλλει όρους και προϋποθέσεις για την εφαρμογή των προβλεπόμενων στο άρθρο 11 του παρόντος Νόμου μέτρων περιορισμού των δικαιωμάτων,

(iii) να επιβάλλει όρους και προϋποθέσεις για την προβλεπόμενη στο άρθρο 12 του παρόντος Νόμου απαλλαγή ευθύνης ανακοίνωσης παραβίασης,

(iv) να επιβάλλει ρητούς περιορισμούς στη διαβίβαση των προβλεπόμενων στα άρθρα 17 και 18 του παρόντος Νόμου ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, και

(v) να εισηγείται στον Υπουργό τη σύναψη συμφωνιών με άλλες χώρες και να συνομολογεί, καταρτίζει και υπογράφει τα προβλεπόμενα στο άρθρο 35 του παρόντος Νόμου μνημόνια συναντίληψης·

(η) τηρουμένων των διατάξεων της παραγράφου (5) του άρθρου 58 του Κανονισμού, να γνωστοποιεί στον Γενικό Εισαγγελέα της Δημοκρατίας ή/και στην Αστυνομία οποιαδήποτε παράβαση των διατάξεων του Κανονισμού ή του παρόντος Νόμου, η οποία ενδέχεται να συνιστά ποινικό αδίκημα δυνάμει των διατάξεων του άρθρου 33 του παρόντος Νόμου· και

(θ) να απονέμει τις προβλεπόμενες στο άρθρο 27 του παρόντος Νόμου εξουσίες στα μέλη ή στους υπαλλήλους της εποπτικής αρχής απόσπασης που συμμετέχουν σε κοινές επιχειρήσεις στη Δημοκρατία.

Ετήσια έκθεση Επιτρόπου

26. Ο Επίτροπος υποβάλλει ετήσια έκθεση δραστηριοτήτων στον Πρόεδρο της Δημοκρατίας και στον Πρόεδρο της Βουλής των Αντιπροσώπων, η οποία δημοσιεύεται με ανάρτησή της στην ιστοσελίδα του Γραφείου του.

Κοινές επιχειρήσεις

27.-(1) Τηρουμένων των διατάξεων του άρθρου 62 του Κανονισμού, ο Επίτροπος δύναται να συμμετέχει σε κοινές επιχειρήσεις με εποπτικές αρχές άλλων κρατών μελών.

(2) Όταν κοινή επιχείρηση πραγματοποιείται στη Δημοκρατία ο Επίτροπος δύναται να κατανέμει εξουσίες, περιλαμβανομένων εξουσιών έρευνας, στα μέλη ή στους υπαλλήλους της εποπτικής αρχής απόσπασης που συμμετέχουν στην κοινή επιχείρηση.

Προσφυγή κατά αποφάσεων του Επιτρόπου

28. Κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα προσφυγής κατά απόφασης του Επιτρόπου ενώπιον του Διοικητικού Δικαστηρίου.

ΜΕΡΟΣ IX ΕΙΔΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

29.-(1) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ή ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα η οποία διενεργείται για δημοσιογραφικούς ή ακαδημαϊκούς σκοπούς ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης είναι νόμιμη, νοουμένου ότι οι σκοποί αυτοί είναι ανάλογοι προς τον επιδιωκόμενο στόχο και σέβονται την ουσία των δικαιωμάτων όπως αυτά καθορίζονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στην Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων και Θεμελιωδών Ελευθεριών (ΕΣΔΑ), η οποία έχει κυρωθεί με τον περί της Ευρωπαϊκής Συµβάσεως διά την προάσπισιν των Ανθρωπίνων ∆ικαιωµάτων (Κυρωτικό) Νόµο, και στο Μέρος ΙΙ του Συντάγματος.

(2) Οι διατάξεις των άρθρων 14 και 15 του Κανονισμού εφαρμόζονται στον βαθμό που δεν επηρεάζουν το δικαίωμα της ελευθερίας της έκφρασης και πληροφόρησης και το δημοσιογραφικό απόρρητο.

Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα

30. Τα δεδομένα προσωπικού χαρακτήρα σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή φορέας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον αποκαλύπτονται, τηρουμένων των διατάξεων του περί Δικαιώματος Πρόσβασης σε Έγγραφα του Δημόσιου Τομέα Νόμου.

Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς

31. Η επεξεργασία που πραγματοποιείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς αποκλείει τη χρήση προσωπικών δεδομένων με σκοπό τη λήψη απόφασης, η οποία παράγει έννομα αποτελέσματα έναντι του υποκειμένου των δεδομένων ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο.

ΜΕΡΟΣ X ΔΙΟΙΚΗΤΙΚΑ ΠΡΟΣΤΙΜΑ ΚΑΙ ΑΔΙΚΗΜΑΤΑ
Διοικητικά πρόστιμα

32.-(1) Τηρουμένων των διατάξεων του άρθρου 83 του Κανονισμού, ο Επίτροπος επιβάλλει διοικητικό πρόστιμο.

(2) Σε περίπτωση παράλειψης πληρωμής του αναφερόμενου στο εδάφιο (1) διοικητικού προστίμου, αυτό εισπράττεται ως αστικό χρέος οφειλόμενο στη Δημοκρατία.

(3) Διοικητικό πρόστιμο που επιβάλλεται σε δημόσια αρχή ή δημόσιο φορέα και αφορά σε δραστηριότητες μη κερδοσκοπικής φύσεως, δεν δύναται να υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000).

Αδικήματα και ποινές

33.-(1) Διαπράττει ποινικό αδίκημα-

(α) Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος δεν τηρεί το αρχείο δραστηριοτήτων που προβλέπεται το άρθρο 30 του Κανονισμού ή δεν επικαιροποιεί το αρχείο αυτό ή αρνείται να θέσει το αρχείο στον Επίτροπο κατόπιν αιτήματός του ή παρέχει στον Επίτροπο ψευδείς, ανακριβείς, ελλιπείς ή παραπλανητικές πληροφορίες σχετικά με το αρχείο αυτό,

(β) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος δεν συνεργάζεται με τον Επίτροπο, σύμφωνα με τις διατάξεις του άρθρου 31 του Κανονισμού,

(γ) υπεύθυνος επεξεργασίας ο οποίος δεν γνωστοποιεί στον Επίτροπο παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις της παραγράφου (1) του άρθρου 33 του Κανονισμού,

(δ) εκτελών την επεξεργασία ο οποίος δεν ενημερώνει αμελλητί τον υπεύθυνο επεξεργασίας για παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις της παραγράφου (2) του άρθρου 33 του Κανονισμού,

(ε) υπεύθυνος επεξεργασίας ο οποίος δεν ανακοινώνει παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, σύμφωνα με τις διατάξεις του άρθρου 34 του Κανονισμού,

(στ) υπεύθυνος επεξεργασίας ο οποίος δεν διενεργεί εκτίμηση αντικτύπου, κατά παράβαση των διατάξεων της παραγράφου (1) του άρθρου 35 του Κανονισμού ή του άρθρου 13 του παρόντος Νόμου,

(ζ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος εμποδίζει τον υπεύθυνο προστασίας δεδομένων στην εκτέλεση των καθηκόντων του, ιδιαίτερα αυτών που αφορούν τη συνεργασία με τον Επίτροπο,

(η) φορέας πιστοποίησης που χορηγεί ή δεν ανακαλεί πιστοποίηση, σύμφωνα με τις διατάξεις του άρθρου 42 του Κανονισμού,

(θ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό κατά παράβαση των διατάξεων του Κεφαλαίου V του Κανονισμού,

(ι) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό κατά παράβαση των περιορισμών που επέβαλε ο Επίτροπος δυνάμει διατάξεων των άρθρων 17 ή 18 του παρόντος Νόμου,

(ια) πρόσωπο που χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, εκμεταλλεύεται με οποιονδήποτε τρόπο, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων, για σκοπούς επικερδείς ή μη,

(ιβ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος εμποδίζει ή παρακωλύει την άσκηση των εξουσιών του Επιτρόπου που προβλέπονται στο άρθρο 58 του Κανονισμού και στο άρθρο 17 του παρόντος Νόμου,

(ιγ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος δεν συμμορφώνεται με τις διατάξεις του Κανονισμού και του παρόντος Νόμου κατά τη διενέργεια πράξης επεξεργασίας η οποία δεν συνιστά αδίκημα σύμφωνα με τις διατάξεις του παρόντος άρθρου,

(ιδ) δημόσια αρχή ή δημόσιος φορέας που προβαίνει στο συνδυασμό συστημάτων αρχειοθέτησης μεγάλης κλίμακας κατά παράβαση των διατάξεων του άρθρου 10 του παρόντος Νόμου.

(2) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (α) έως (ιβ) του εδαφίου (1) υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τριάντα χιλιάδες ευρώ (€30.000) ή και στις δύο αυτές ποινές.

(3) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (ιγ) και (ιδ) του εδαφίου (1), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα (1) έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις δύο αυτές ποινές.

(4) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (ζ) έως (ι) του εδάφιου (1), το οποίο προσβάλλει τα συμφέροντα της Δημοκρατίας ή προκαλεί κίνδυνο για την απρόσκοπτη λειτουργία της Κυβέρνησης ή απειλεί την εθνική ασφάλεια, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα πέντε (5) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις πενήντα χιλιάδες ευρώ (€50.000) ή και στις δύο αυτές ποινές.

(5) Για σκοπούς εφαρμογής των διατάξεων του παρόντος άρθρου-

(α) Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι επιχείρηση ή όμιλος επιχειρήσεων, νομική ευθύνη φέρει το πρόσωπο που ορίζεται ως το ανώτατο εκτελεστικό όργανο ή σώμα της επιχείρησης ή ομίλου επιχειρήσεων,

(β) εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, νομική ευθύνη φέρει ο επικεφαλής ή το πρόσωπο που ασκεί ουσιαστική διοίκηση της δημόσιας αρχής ή του δημόσιου φορέα.

ΜΕΡΟΣ ΧΙ ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Κανονισμοί

34. Το Υπουργικό Συμβούλιο, κατόπιν εισήγησης του Επιτρόπου, δύναται να εκδίδει Κανονισμούς για την αποτελεσματική εφαρμογή των διατάξεων του Κανονισμού και του παρόντος Νόμου.

Διεθνής συνεργασία

35.-(1) Στην απουσία κατάλληλου νομικού μέτρου από την Επιτροπή δεσμευτικού για τα κράτη μέλη, ο Επίτροπος δύναται να εισηγείται στον Υπουργό τη σύναψη συμφωνιών με τρίτες χώρες ή διεθνείς οργανισμούς για την εκπλήρωση των σκοπών που αναφέρονται στο άρθρο 50 του Κανονισμού.

(2) Ο Επίτροπος δύναται να συνομολογεί, καταρτίζει και υπογράφει μνημόνια συναντίληψης με αντίστοιχες αρχές άλλων χωρών ή με διεθνείς οργανισμούς.

Κατάργηση νόμου

36. Με την έναρξη της ισχύος των διατάξεων του παρόντος Νόμου οι περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμοι του 2001 έως 2012 καταργούνται.

ΜΕΡΟΣ ΧΙΙ ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Μεταβατικές διατάξεις

37.-(1) Ο διορισμός του Επιτρόπου που έγινε από το Υπουργικό Συμβούλιο με βάση την Απόφαση αρ. 79.538, ημερομηνίας 28.9.2015, για τέσσερα (4) έτη, ισχύει μέχρι τη λήξη της θητείας του.

(2) Πράξεις που εκδόθηκαν από τον Επίτροπο δυνάμει των διατάξεων του υπό κατάργηση περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου εξακολουθούν να ισχύουν μέχρι τη λήξη ή την αντικατάστασή τους.

(3) Μέχρι ο Κυπριακός Οργανισμός Προώθησης Ποιότητας να υποβληθεί επιτυχώς στην αξιολόγηση από ομότιμούς του δυνάμει του Άρθρου 10 του Κανονισμού (ΕΚ) αρ.765/2008 όσον αφορά τις δραστηριότητες αξιολόγησης της συμμόρφωσης για τις οποίες ζητείται διαπίστευση, αιτών φορέας πιστοποίησης μπορεί να διαπιστευτεί από άλλον οργανισμό διαπίστευσης, τηρουμένων των διατάξεων του περί Διαπίστευσης, Τυποποίησης και Τεχνικής Πληροφόρησης Νόμου και των διατάξεων του Κανονισμού (ΕΚ) αρ.765/2008.