43.-(1) Με την επιφύλαξη του άρθρου 43Α, σε περίπτωση που η Αρχή διαπιστώσει ότι πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη κατά παράβαση των διατάξεων του παρόντος Νόμου δύναται να επιβάλει σε αυτό διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000), ανάλογα με τη βαρύτητα της παράβασης, και, σε περίπτωση επανάληψης της παράβασης, χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) για κάθε ημέρα συνέχισης της παράβασης:
(2) Η Αρχή δύναται να επιβάλει διοικητικό πρόστιμο σε οποιοδήποτε πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη, κατά παράβαση των διατάξεων οποιωνδήποτε Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης το οποίο δεν υπερβαίνει τις τριακόσιες χιλιάδες τετρακόσια ευρώ (€300.400) και, σε περίπτωση επανάληψης της παράβασης, διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000).
(3) Η Αρχή δύναται να εκδίδει Αποφάσεις, για τη διαδικασία επιβολής διοικητικού προστίμου ή/και άλλων διοικητικών κυρώσεων σε σχέση με τη μη συμμόρφωση προς τις διατάξεις του παρόντος Νόμου ή/και Αποφάσεων της ή/και Κανονισμών της Ευρωπαϊκής Ένωσης, κατά την έννοια που αποδίδει στους όρους ο περί Εφαρμογής των Κοινοτικών Κανονισμών και Κοινοτικών Αποφάσεων Νόμος του 2007 και να καθορίζει με Απόφασή της το ύψος αυτών των προστίμων και κυρώσεων και τη διαδικασία επιβολής τους.
(4) Προτού η Αρχή επιβάλει διοικητικό πρόστιμο, η Αρχή ειδοποιεί το επηρεαζόμενο πρόσωπο για την πρόθεσή της να επιβάλει διοικητικό πρόστιμο, ενημερώνοντάς το για τους λόγους για τους οποίους προτίθεται να ενεργήσει τοιουτοτρόπως και παρέχοντας σε αυτό το δικαίωμα υποβολής παραστάσεων, εντός δέκα (10) εργάσιμων ημερών από την ημέρα της ειδοποίησης.
(5) Η Αρχή επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του εδαφίου (1) με γραπτή και αιτιολογημένη Απόφασή της, την οποία διαβιβάζει στο επηρεαζόμενο πρόσωπο με συστημένη επιστολή ή/και ηλεκτρονικά, με τρόπο που καθορίζει η Αρχή, η οποία καθορίζει την παράβαση και πληροφορεί το επηρεαζόμενο πρόσωπο-
(α) περί του δικαιώματός του να προσβάλει την απόφαση με προσφυγή στο Διοικητικό Δικαστήριο, σύμφωνα με τις διατάξεις του άρθρου 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου του 2015, και
(β) περί της προθεσμίας εντός της οποίας δύναται να ασκηθεί το προαναφερόμενο δικαίωμα.
(6) Σε περίπτωση άρνησης ή παράλειψης προσώπου στο οποίο υποβλήθηκε διοικητικό πρόστιμο δυνάμει των διατάξεων του παρόντος Νόμου να καταβάλει στην Αρχή τέτοιο πρόστιμο, η Αρχή λαμβάνει δικαστικά μέτρα και εισπράττει τα οφειλόμενα ποσά ως αστικό χρέος οφειλόμενο στη Δημοκρατία.
43Α.-(1) Τα διοικητικά πρόστιμα που επιβάλλονται δυνάμει του παρόντος άρθρου, σε βασικές και σημαντικές οντότητες σε σχέση με την παράβαση των διατάξεων του παρόντος Νόμου, είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
(2) Διοικητικά πρόστιμα επιβάλλονται επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (η) του εδαφίου (4) του άρθρου 36Α, στο εδάφιο (5) του άρθρου 36Α και στις παραγράφους (α) έως (ζ) του εδαφίου (4) του άρθρου 36Β.
(3) Η Αρχή κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου και τη λήψη απόφασης σχετικά με το ύψος του σε κάθε μεμονωμένη περίπτωση, λαμβάνει δεόντως υπόψη, κατ’ ελάχιστον, τις πρόνοιες του εδαφίου (7) του άρθρου 36Α.
(4) Σε περίπτωση παραβίασης των άρθρων 35 και 35Β του παρόντος Νόμου, οι βασικές οντότητες υπόκεινται, σύμφωνα με τα εδάφια (2) και (3), σε διοικητικά πρόστιμα ύψους κατ’ ανώτατο όριο τουλάχιστον δέκα εκατομμύριων ευρώ (€10.000.000) ή κατ’ ανώτατο όριο τουλάχιστον 2% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η βασική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
(5) Σε περίπτωση παραβίασης των άρθρων 35 και 35Β του παρόντος Νόμου, οι σημαντικές οντότητες υπόκεινται, σύμφωνα με τα εδάφια (2) και (3), σε διοικητικά πρόστιμα ύψους κατ’ ανώτατο όριο τουλάχιστον επτά εκατομμύριων ευρώ (€7.000.000) ή κατ’ ανώτατο όριο τουλάχιστον 1,4% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
(6) Η Αρχή, δύναται με Απόφασή της, να προβλέψει, την επιβολή άλλων διοικητικών κυρώσεων, προκειμένου να υποχρεώσει βασική ή σημαντική οντότητα να παύσει μια παράβαση των διατάξεων του παρόντος Νόμου σύμφωνα με προηγούμενη Απόφασή της.
44.-(1) Βασική ή/και σημαντική οντότητα η οποία δεν κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, στην Αρχή συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών της είναι ένοχη αδικήματος και, σε περίπτωση καταδίκης της, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα δύο (2) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις δύο αυτές ποινές.
(2) [Διαγράφηκε].
(3) Βασική ή/και σημαντική οντότητα η οποία δεν λαμβάνει κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιεί στις δραστηριότητές της είναι ένοχη αδικήματος και, σε περίπτωση καταδίκης της, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.
(4) [Διαγράφηκε].
(5) Πρόσωπο το οποίο δεν παρέχει οποιαδήποτε πληροφορία του ζητηθεί από την Αρχή, σύμφωνα με τις διατάξεις της παραγράφου (β) του εδαφίου (1) του άρθρου 20, εντός δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400).
(6) Πρόσωπο από το οποίο η Αρχή απαιτεί να παράσχει οποιαδήποτε πληροφορία, σύμφωνα με τις σχετικές διατάξεις Κανονισμών που εκδίδει η Ευρωπαϊκή Ένωση, και παραλείπει να το πράξει εντός της καθορισμένης ημερομηνίας των δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400) ή και στις δύο αυτές ποινές.
(7) Πρόσωπο το οποίο παραβιάζει οποιαδήποτε διάταξη των Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης αναφορικά με την ασφάλεια δικτύων και συστημάτων πληροφοριών είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.
44Α.-(1) Σε περίπτωση κατά την οποία, η Αρχή αντιληφθεί, στο πλαίσιο της εποπτείας ή της επιβολής, ότι η παράβαση από βασική ή σημαντική οντότητα των υποχρεώσεων που ορίζονται στις διατάξεις των άρθρων 35 και 35Β δύναται να συνεπάγεται σε παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως ορίζεται στο σημείο 12 του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679, η οποία πρέπει να κοινοποιείται σύμφωνα με το άρθρο 33 του εν λόγω Κανονισμού, ενημερώνουν χωρίς αδικαιολόγητη καθυστέρηση τις εποπτικές αρχές που αναφέρονται στο άρθρο 55 ή 56 του εν λόγω Κανονισμού.
(2)(α) Σε περίπτωση που οι εποπτικές αρχές οι οποίες αναφέρονται στο άρθρο 55 ή 56 του Κανονισμού (ΕΕ) 2016/679 επιβάλλουν διοικητικό πρόστιμο σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχείο θ) του εν λόγω Κανονισμού, η Αρχή δεν επιβάλλει διοικητικό πρόστιμο σύμφωνα με τις διατάξεις του άρθρου 43Α για την παράβαση που αναφέρεται στο εδάφιο (1) και η οποία απορρέει από την ίδια συμπεριφορά που αποτέλεσε το αντικείμενο του διοικητικού προστίμου σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχείο θ) του Κανονισμού (ΕΕ) 2016/679.
(β) Η Αρχή δύναται, ωστόσο, να εφαρμόσει τα μέτρα επιβολής που αναφέρονται στις παραγράφους (α) έως (η) του εδαφίου (4) του άρθρου 36Α, στο εδάφιο (5) του άρθρου 36Α και στις παραγράφους (α) έως (ζ) του εδαφίου (4) του άρθρου 36Β.
(3) Σε περίπτωση κατά την οποία, η εποπτική αρχή που είναι αρμόδια δυνάμει του Κανονισμού (ΕΕ) 2016/679 είναι εγκατεστημένη σε κράτος μέλος διαφορετικό από την Αρχή, η Αρχή ενημερώνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ενδεχόμενη παραβίαση των στοιχείων που αναφέρονται στο εδάφιο (1).