Αιτιολογική έκθεση - Σχέδιο νόμου Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκ

Αιτιολογική έκθεση - Σχέδιο νόμου Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκ

ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ
Στο σχέδιο νόμου
«Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016».

Προς τη Βουλή των Ελλήνων

Α. Επί της Αρχής

Οι προτεινόμενες διατάξεις του ΣχΝ έχουν ως αντικείμενο και σκοπό: α) την αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή), β) την προσαρμογή της εθνικής νομοθεσίας για την προστασία δεδομένων στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ, (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ) και γ) την ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (εφεξής: Οδηγία).

Στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε μια σημαντική νομοθετική μεταρρύθμιση του πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, εγκρίνοντας τη νομοθετική δέσμη μέτρων, που περιλαμβάνει α) τον ΓΚΠΔ, ο οποίος αντικατέστησε την από εικοσαετίας ισχύουσα οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L της 23.11.1995, σελ. 31) («Οδηγία για την προστασία των δεδομένων») και β) την Οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του νόμου, τα ποινικά δικαστήρια, τις ανακριτικές και εισαγγελικές αρχές.
Ο ΓΚΠΔ ενισχύει την προστασία των φυσικών προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, αντικατοπτρίζοντας τη φύση της προστασίας των δεδομένων ως θεμελιώδους δικαιώματος για την Ευρωπαϊκή Ένωση.

Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Πρέπει, λοιπόν, η τεχνολογία να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο.

Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές. Οσάκις ο ΓΚΠΔ προβλέπει προδιαγραφές ή περιορισμούς των κανόνων του από το δίκαιο των κρατών μελών, τα κράτη μέλη μπορούν να ενσωματώσουν στοιχεία του παρόντος κανονισμού στο εθνικό τους δίκαιο, στην έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται. Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν ισχυρές, η οδηγία αυτή δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα. Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα όσον αφορά την επεξεργασία αυτών στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων αυτών σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ. Εξάλλου, αν και η Οδηγία 95/46/ΕΚ εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη-μέλη της Ευρωπαϊκής Ένωσης, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται στο πλαίσιο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

Ως εκ τούτου για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

Ο ΓΚΠΔ, λόγω της νομικής φύσης του, δεν απαιτεί την έκδοση ιδιαίτερης νομικής πράξης εφαρμογής από τα κράτη μέλη, δεσμεύοντας άμεσα τα κρατικά όργανα, τις δημόσιες αρχές και τα δικαστήρια, καθώς και όλα τα πρόσωπα, φυσικά και νομικά, που εμπίπτουν στο πεδίο εφαρμογής του. Εντούτοις, περιέχει αρκετές «ρήτρες ευελιξίας» και «ρήτρες ανοίγματος», αναγνωρίζοντας στα κράτη μέλη την ευχέρεια να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων και εκείνων που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, και να προσδιορίσουν τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη. Περαιτέρω, ο εθνικός νομοθέτης αξιοποιεί την ευχέρεια που παρέχει ο ΓΚΠΔ ως προς την έκταση των εξαιρέσεων (άρθρο 23 παράγραφος 1) αλλά και ως προς τη ρύθμιση ειδικών περιπτώσεων επεξεργασίας, όπως η επεξεργασία των δεδομένων στο πλαίσιο της απασχόλησης ή για τους σκοπούς της επιστημονικής έρευνας, για να εξειδικεύσει και να συμπληρώσει τις ρυθμίσεις του ενωσιακού δικαίου, κατά τρόπο ώστε να ενισχύει την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Αντίστοιχη είναι η κανονιστική επιλογή ως προς την ενσωμάτωση της Οδηγίας, οι ρυθμίσεις της οποίας επιτρέπουν την οικοδόμηση ενός ισχυρού και συνεκτικότερου πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, όταν αυτά γίνονται αντικείμενο επεξεργασίας από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, διακρίβωσης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Καθώς η Οδηγία δεν εμποδίζει τα κράτη μέλη να θεσπίσουν ισχυρότερες διασφαλίσεις από αυτές που προβλέπονται στην Οδηγία για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων (αιτιολογική σκέψη 15 της Οδηγίας), η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται με τρόπο ώστε να προδιαγράφεται ένα υψηλό επίπεδο προστασίας, το οποίο ωστόσο εναρμονίζεται με τη δυνατότητα επίτευξης των νόμιμων στόχων αναφορικά με την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων και της εκτέλεσης ποινικών κυρώσεων και την προστασία της δημόσιας ασφάλειας.

Ο ΓΚΠΔ καταργεί την Οδηγία 95/46/ΕΚ, η οποία αποτέλεσε και το νομοθετικό πρότυπο των σχετικών ελληνικών νομοθετικών ρυθμίσεων.
Κατ' επέκταση, και για λόγους ασφάλειας δικαίου, σαφήνειας και συνεκτικότητας των ρυθμίσεων, ο ν. 2472/1997 (Α' 50) για την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ο οποίος ήταν γενικής εφαρμογής, καταργείται με την επιφύλαξη ωστόσο διατήρησης σε ισχύ ορισμένων διατάξεών του.

Επισημαίνεται τέλος, ότι οι ρυθμίσεις του παρόντος ΣχΝ θα πρέπει να ερμηνεύονται υπό το πρίσμα του γράμματος και του πνεύματος της ενωσιακής νομοθεσίας, ειδικότερα δε, υπό το φως της παραγράφου 1 του άρθρου 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και της παραγράφου 1 του άρθρου 16 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) που ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, αλλά και της σχετικής νομολογίας του ΕΔΔΑ, του ΔΕΕ και των εθνικών δικαστηρίων. Αντίστοιχη οριοθέτηση της ευχέρειας του εθνικού νομοθέτη, αλλά και του ερμηνευτή και εφαρμοστή των προτεινόμενων κανόνων του παρόντος ΣχΝ συνιστά ιδίως το άρθρο 9Α του ελληνικού Συντάγματος.

Β. Επί των άρθρων

ΚΕΦΑΛΑΙΟ Α' Γενικές Διατάξεις

Άρθρο 1 Σκοπός του νόμου


Με το άρθρο 1, κατ' αναλογία προς το άρθρο 1 τόσο του ΓΚΠΔ όσο και της Οδηγίας, ορίζεται ο σκοπός και το αντικείμενο του ΣχΝ και ειδικότερα η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής, η προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον ΓΚΠΔ και η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας. Η περιγραφή του σκοπού του νομοθετήματος περιλαμβάνεται στο άρθρο 1 αυτού κατ'εξαίρεση, προκειμένου να αποτελέσει γενική κατευθυντήρια οδηγία για την ερμηνεία και να υποβοηθηθεί στο έργο του ο ερμηνευτής και εφαρμοστής των διατάξεων αυτών.
 

Σκοπός του παρόντος νόμου είναι:
α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
β) η προσαρμογή της εθνικής νομοθεσίας για την προστασία δεδομένων στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ, (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ),
γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.



Άρθρο 2 Ουσιαστικό Πεδίο εφαρμογής

Με το άρθρο 2 καθορίζεται το ουσιαστικό πεδίο εφαρμογής του ΣχΝ. Ειδικότερα, η παράγραφος 1 περιλαμβάνει, όπως και το προϊσχύον δίκαιο (άρθρο 1 του ν. 2472/1997), ενιαία, τόσο για δημόσιους όσο και για ιδιωτικούς φορείς, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται εν όλω ή εν μέρει με αυτοματοποιημένα μέσα ή στηρίζεται στη χειρόγραφη επεξεργασία, στην τελευταία περίπτωση μόνο αν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Είναι αυτονόητο ότι αρχεία ή σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν υπάγονται στο πεδίο εφαρμογής του σχεδίου νόμου.
Επισημαίνεται περαιτέρω ότι δεν εμπίπτει στο ουσιαστικό πεδίο εφαρμογής του ΣχΝ, σύμφωνα με ρητή πρόβλεψη του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και χωρίς αυτή η επεξεργασία να συνδέεται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Ως τέτοια δραστηριότητα νοείται εκείνη που αναφέρεται στο ιδιωτικό πεδίο δράσης ενός προσώπου ή μιας οικογένειας, δηλαδή εκείνη που δεν εμπίπτει στην επαγγελματική δραστηριότητα και δεν έχει ως σκοπό ή αποτέλεσμα τη συστηματική διαβίβαση ή τη διάδοση δεδομένων σε τρίτους, όπως λ.χ. η αλληλογραφία, η τήρηση αρχείου διευθύνσεων ή κοινωνική δικτύωση ή και η επιγραμμική δραστηριότητα που ασκείται στο πλαίσιο τέτοιων επεξεργασιών.
Το ΣχΝ καλύπτει και τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές. Οι πράξεις όμως αυτές, όταν διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, για λόγους διασφάλισης της δικαστικής ανεξαρτησίας και της διάκρισης των εξουσιών, εξαιρούνται, κατά ρητή πρόβλεψη των άρθρων 55 του ΓΚΠΔ και 45 της Οδηγίας, από την εποπτική αρμοδιότητα της Αρχής. Η εξαίρεση αυτή για λόγους σαφήνειας και κατανόησης επαναλήφθηκε και στο άρθρο 10 παράγραφος 5 καθώς και στο δεύτερο εδάφιο της παραγράφου 1 του άρθρου 58 του ΣχΝ.
Περαιτέρω, θα πρέπει να επισημανθεί ότι ως προς την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στους τομείς της εθνικής άμυνας και της εθνικής ασφάλειας το ΣχΝ έμεινε πιστό στο κεκτημένο που είχε δημιουργηθεί μέχρι τώρα από τον ν. 2472/1997.
Με την παράγραφο 2 ορίζεται ότι οι διατάξεις του ΣχΝ δεν εφαρμόζονται σε περίπτωση άμεσης εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης ή του ΓΚΠΔ. Με τη ρύθμιση αυτή λαμβάνεται υπόψη ότι ο ΓΚΠΔ έχει άμεση ισχύ σύμφωνα με το άρθρο 288 Παράγραφος 2 της ΣΛΕΕ. Θα πρέπει όμως να επισημανθεί ότι συγκεκριμένες επαναλήψεις και παραπομπές του ΣχΝ σε διατάξεις του ΓΚΠΔ γίνονται για λόγους σαφήνειας και συνεκτικότητας, αφήνοντας ανέπαφη την άμεση ισχύ του ΓΚΠΔ. Διευκρινίζεται περαιτέρω ότι οι ακριβείς επαναλήψεις και αναφορές στο ΓΚΠΔ οφείλονται, επίσης, στο πολύπλοκο σύστημα πολλαπλών επιπέδων που παράγεται από την αλληλεπίδραση μεταξύ του ΓΚΠΔ και της Οδηγίας με το εθνικό, γενικό και τομεακό δίκαιο. Πάντως, το ΔΕΚ (ήδη ΔΕΕ) έχει αναθέσει στον εθνικό νομοθέτη, για λόγους σαφήνειας και κατανόησης για τον αποδέκτη να κάνει τις απαραίτητες ακριβείς επαναλήψεις (ΔΕΚ, υπόθεση C-272/83, Επιτροπή κατά Ιταλίας, σκ. 27), ενώ σχετική πρόβλεψη τίθεται και στον ΓΚΠΔ (αιτιολογική σκέψη 8 του ΓΚΠΔ).
 

1. Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης α) από δημόσιους φορείς ή β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.
2. Οι διατάξεις του παρόντος δεν εφαρμόζονται σε περίπτωση άμεσης εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης, ιδίως του ΓΚΠΔ.



Άρθρο 3
Εδαφικό πεδίο εφαρμογής

Με το άρθρο 3 ρυθμίζεται το εδαφικό πεδίο εφαρμογής του ΣχΝ. Με την παράγραφο 1 ορίζεται ειδικότερα ότι οι διατάξεις του ΣχΝ. εφαρμόζονται στους δημόσιους φορείς, ενώ στους ιδιωτικούς φορείς εφαρμόζονται μόνο εάν η επεξεργασία διενεργείται εντός της Ελληνικής Επικράτειας ή τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας ή μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ. Με τις παραγράφους 2 και 3 διευκρινίζεται περαιτέρω, ποιά κράτη τελούν σε ισοδύναμο καθεστώς με τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
 

1. Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:
α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,
β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον
γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
2. Τα συμβαλλόμενα κράτη του Ευρωπαϊκού Οικονομικού Χώρου και της Ελβετίας τελούν σε ισοδύναμο καθεστώς με τα κράτη μέλη της Ευρωπαϊκής Ένωσης όσον αφορά την επεξεργασία για σκοπούς σύμφωνα με το άρθρο 2 του ΓΚΠΔ . Άλλα κράτη θεωρούνται τρίτες χώρες.
3. Τα συνδεδεμένα με το κεκτημένο της Σύμβασης Εφαρμογής της Συμφωνίας Σένγκεν (ν. 2514/1997, ΑΊ40) κράτη, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται για τους σκοπούς του άρθρου 1 παράγραφος 1 της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης- πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου , τελούν σε ισοδύναμο καθεστώς με τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Άλλα κράτη θεωρούνται τρίτες χώρες.



Άρθρο 4
Ορισμοί

Στο άρθρο 4 περιλαμβάνονται απαραίτητοι ορισμοί για την ευχερή εφαρμογή του ΣχΝ. Υπό το ανωτέρω πρίσμα και δεδομένης της συχνής αναφοράς στο ΣχΝ των εννοιών του δημόσιου και ιδιωτικού φορέα κρίθηκε απαραίτητο οι έννοιες αυτές για τις ανάγκες του παρόντος να οριοθετηθούν με την περίπτωση α' και περίπτωση β' , ενώ με την περίπτωση γ' διευκρινίζεται ότι για τις ανάγκες του ΣχΝ ως αρμόδια
εποπτική αρχή ορίζεται η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή).
 

Για τους σκοπούς του παρόντος νοούνται:
α) «δημόσιος φορέας»: οι δημόσιες αρχές, οι ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, τα νομικά πρόσωπα δημοσίου δικαίου, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό,
β) «ιδιωτικός φορέας»: το φυσικό ή νομικό πρόσωπο ή η ένωση προσώπων χωρίς νομική προσωπικότητα, που δεν εμπίπτει στην έννοια του «δημόσιου φορέα»,
γ) «αρμόδια εποπτική αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή).



Άρθρο 5
Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Το άρθρο 5 περιέχει μια γενική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους δημόσιους φορείς. Βάσει της διάταξης αυτής που έχει υπαχθεί συστηματικά στις «Γενικές Διατάξεις» του παρόντος νόμου οι υπεύθυνοι επεξεργασίας προκειμένου για δημόσιους φορείς μπορούν να χρησιμοποιούν αυτή τη γενική νομική βάση ανεξάρτητα από τους σκοπούς για τους οποίους γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η έννοια του δημόσιου φορέα έχει ήδη οριοθετηθεί με την περίπτωση α' του προηγούμενου άρθρου. Καθό μέρος η εν λόγω διάταξη χρησιμοποιείται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 2 του ΓΚΠΔ, δημιουργείται με αυτή μια νομική βάση δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο ε) σε συνδυασμό με το πρώτο εδάφιο της παραγράφου 3 του άρθρου 6 του ΓΚΠΔ. Αυτό είναι νομικά αναγκαίο, διότι με το στοιχείο ε) της παραγράφου 1 του άρθρου 6 του ΓΚΠΔ δεν δημιουργείται αυτοτελώς νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, γεγονός που προκύπτει από την ίδια τη διατύπωση του πρώτου εδαφίου της παραγράφου 3 του άρθρου 6 του ΓΚΠΔ και ως εκ τούτου εναπόκειται στη βούληση του ενωσιακού ή εθνικού νομοθέτη η δημιουργία της νομικής αυτής βάσης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς επιτρέπεται βάσει του ΓΚΠΔ, εφόσον είναι αναγκαία για την εκπλήρωση έργου δημοσίου συμφέροντος ή εάν εκτελείται κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Και οι δύο νομικές βάσεις μπορεί να προβλέπονται είτε από την εθνική νομοθεσία είτε από τους κανονισμούς της ΕΕ. Το ΣχΝ λαμβάνει υπόψη του το προηγούμενο του ν. 2472/1997, αλλά δεν κάνει πλέον διάκριση μεταξύ των σταδίων συλλογής και επεξεργασίας «ευαίσθητων δεδομένων» και δεν προβλέπει τη «διασύνδεση» ως μορφή επεξεργασίας, αλλά χρησιμοποιεί τις γενικές αρχές του ΓΚΠΔ και της Οδηγίας και περιλαμβάνει γενικά την έννοια της «επεξεργασίας». Όπως προβλέπει το παρόν ΣχΝ, το άρθρο 5 περιέχει επικουρική, γενική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με χαμηλή ένταση επέμβασης στα δικαιώματα του υποκειμένου των δεδομένων.
 

Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την άσκηση των καθηκόντων που έχουν ανατεθεί στον υπεύθυνο επεξεργασίας ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτόν.



Άρθρο 6
Ορισμός του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς

Μέχρι την εισαγωγή της στον ΓΚΠΔ, η υποχρέωση ορισμού ενός υπεύθυνου προστασίας δεδομένων (ΥΠΔ) ήταν ευρέως άγνωστη στα περισσότερα κράτη μέλη της Ευρωπαϊκής Ένωσης. Ωστόσο, ο υποχρεωτικός διορισμός του ΥΠΔ έχει προβλεφθεί στο γερμανικό νόμο για την προστασία των δεδομένων προσωπικού χαρακτήρα για περισσότερα από 30 χρόνια και έχει αποδειχθεί επιτυχής. Σύμφωνα με το ΓΚΠΔ, ο ΥΠΔ πρόκειται να διαδραματίσει βασικό ρόλο στην επίτευξη της συμμόρφωσης με το ΓΚΠΔ.
Με το άρθρο 6 παράγραφος 1 ΣχΝ ρυθμίζεται σε συμμόρφωση με το άρθρο 37 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, αλλά και για τις ανάγκες ενσωμάτωσης στην εθνική νομοθεσία του άρθρου 32 παράγραφος 1 της Οδηγίας, η υποχρέωση των δημοσίων φορέων να ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ). Ακολούθως, οι παράγραφοι 2 και 3, για λόγους συνεκτικότητας και σαφήνειας ευθυγραμμίζονται με τις παραγράφους 3 και 5 του ΓΚΠΔ, ενώ ενσωματώνουν και τις παραγράφους 2 και 3 της Οδηγίας, με την ειδικότερη πρόβλεψη ότι μπορεί να ορισθεί ένας ΥΠΔ για περισσότερους δημόσιους φορείς. Επίσης εκεί, ρυθμίζεται και ο τρόπος επιλογής του ΥΠΔ. Περαιτέρω, η παράγραφος 4 ευθυγραμμίζεται με την παράγραφο 6 του άρθρου 37 του ΓΚΠΔ, και θέτει την πρόβλεψη ότι ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκτελεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Με την παράγραφο 5 σε συμμόρφωση με το άρθρο 37 παράγραφος 7 του ΓΚΠΔ και για την ενσωμάτωση του άρθρου 32 παράγραφος 4 της Οδηγίας τίθεται η πρόβλεψη ότι ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή. Ωστόσο, εδώ, λαμβάνεται περαιτέρω πρόνοια για τις περιπτώσεις εκείνες σύμφωνα με τις οποίες η δημοσιοποίηση αυτή δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), και τούτο, όταν υπάρχει σχετική πρόβλεψη από το νόμο.
 

1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).
2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβανομένου πάντοτε υπόψη της οργανωτικής δομής και του μεγέθους τους.
3 Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.
4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο.



Άρθρο 7 Θέση του ΥΠΔ

Οι παράγραφοι 1 και 2 του άρθρου 7 συμμορφώνονται με το άρθρο 38 παράγραφοι 1 και 2 του ΓΚΠΔ και ενσωματώνουν το άρθρο 33 της Οδηγίας. Οι παράγραφοι 3 έως και 6 τίθενται προς συμμόρφωση με τις απαιτήσεις του άρθρου 38 παράγραφοι 3 έως και 5 του ΓΚΠΔ για όλους τους δημόσιους φορείς, ανεξάρτητα από τον σκοπό για τον οποίο λαμβάνει χώρα η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό λαμβάνεται ειδική πρόνοια για την απόλυση του ΥΠΔ, αλλά και για την τήρηση από αυτόν της υποχρέωσης εμπιστευτικότητας. Οι ρυθμίσεις αυτές υπερβαίνουν θεμιτώς τις απαιτήσεις της Οδηγίας, καθώς διασφαλίζουν περαιτέρω την ανεξαρτησία του ΥΠΔ, προβλέφθησαν δε, για λόγους συνεκτικότητας και σαφήνειας ως προς το νομικό καθεστώς του ΥΠΔ.
 

1. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ μετέχει δεόντως και έγκαιρα σε όλα τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο δημόσιος φορέας υποστηρίζει τον ΥΠΔ κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 8, παρέχοντάς του τους απαραίτητους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και επεξεργασίες, και για τη διατήρηση των ειδικών γνώσεών του.
3. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ δεν λαμβάνει εντολές κατά την άσκηση των καθηκόντων του αυτών. Ο ΥΠΔ αναφέρεται απευθείας στο
ανώτατο ιεραρχικά προϊστάμενο όργανο του δημόσιου φορέα. Ο ΥΠΔ δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας επειδή επιτέλεσε τα καθήκοντά του.
4. Η καταγγελία της σύμβασης εργασίας του ΥΠΔ ή η ανάκληση της ανάθεσης των καθηκόντων του, στην περίπτωση που αυτός είναι και υπάλληλος του δημόσιου φορέα, επιτρέπεται μόνον για σπουδαίο λόγο. Μετά τη λήξη της σύμβασης εργασίας του ως ΥΠΔ, δεν μπορεί να απολυθεί για ένα έτος μετά το πέρας του διορισμού του, εκτός εάν ο δημόσιος φορέας έχει σπουδαίο λόγο να προβεί στην καταγγελία της σύμβασής του.
5. Τα υποκείμενα των δεδομένων μπορούν να συμβουλεύονται τον ΥΠΔ για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους βάσει του ΓΚΠΔ, του παρόντος και άλλης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ είναι υποχρεωμένος να διατηρεί εμπιστευτικότητα ως προς την ταυτότητα των υποκειμένων των δεδομένων και σχετικά με τις περιστάσεις που επιτρέπουν την εξαγωγή συμπερασμάτων ως προς το υποκείμενο των δεδομένων, εκτός αν η ταυτότητα του υποκειμένου αποκαλύπτεται από αυτό.
6. Εάν ο ΥΠΔ λάβει γνώση δεδομένων προσωπικού χαρακτήρα κατά την άσκηση του έργου του, για τα οποία ο επικεφαλής του δημόσιου φορέα έχει το δικαίωμα να αρνηθεί να καταθέσει ως μάρτυρας για επαγγελματικούς λόγους, το δικαίωμα αυτό ισχύει και για τον ΥΠΔ και τους βοηθούς του. Το πρόσωπο που έχει το δικαίωμα να αρνηθεί να καταθέσει ως μάρτυρας για επαγγελματικούς λόγους, αποφασίζει για την άσκηση αυτού του δικαιώματος, εκτός εάν η απόφαση αυτή δεν μπορεί να επιτευχθεί στο άμεσο μέλλον.



Άρθρο 8 Καθήκοντα του ΥΠΔ

Με την παράγραφο 1 του άρθρου 8, επιπλέον των καθηκόντων του ΥΠΔ σύμφωνα με τον ΓΚΠΔ, αποσαφηνίζονται σε συμμόρφωση με το άρθρο 39 του ΓΚΠΔ, αλλά και για τις ανάγκες ενσωμάτωσης στην εθνική νομοθεσία του άρθρου 34 της Οδηγίας, έτι περαιτέρω τα καθήκοντα του ΥΠΔ. Με την παράγραφο 3 διευκρινίζεται ότι τα καθήκοντα του ΥΠΔ που ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από αυτές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, σε συμμόρφωση τόσο με το στοιχείο α) της παραγράφου 1 του άρθρου 37 του ΓΚΠΔ όσο και για την ενσωμάτωση του δευτέρου εδαφίου της παραγράφου 1 του άρθρου 32 της Οδηγίας. Με την παράγραφο 3 λαμβάνεται πρόνοια ότι όταν ο ΥΠΔ εκτελεί και άλλα καθήκοντα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι η άσκηση των καθηκόντων αυτών δεν οδηγεί σε σύγκρουση συμφερόντων, και τούτο σε συμμόρφωση με το άρθρο 38 παράγραφος 6 του ΓΚΠΔ. Τέλος, με την παράγραφο 4 τίθεται σε συμμόρφωση με το άρθρο 39 παράγραφος 2 του ΓΚΠΔ η πρόβλεψη ότι ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας Με την παράγραφο αυτή κατοχυρώνεται ως γενική αρχή η λήψη υπόψη των ανωτέρω κριτηρίων από τον ΥΠΔ κατά την άσκηση των εν γένει καθηκόντων του.
 

1. Επιπλέον των καθηκόντων του σύμφωνα με τον ΓΚΠΔ, ο ΥΠΔ έχει τουλάχιστον τα ακόλουθα καθήκοντα:
α) να ενημερώνει και συμβουλεύει τον δημόσιο φορέα και τους εργαζομένους που διενεργούν την επεξεργασία σχετικά με τις υποχρεώσεις τους σύμφωνα με τις διατάξεις του παρόντος και κάθε άλλη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα·
β) να παρακολουθεί την τήρηση των διατάξεων του παρόντος και κάθε άλλης νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, και των πολιτικών του δημόσιου φορέα σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της λογοδοσίας, καθώς και των σχετικών ελέγχων·
γ) παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου για την προστασία των δεδομένων προσωπικού χαρακτήρα και παρακολουθεί την εφαρμογή της σύμφωνα με το άρθρο 65 ·
δ) συνεργάζεται με την Αρχή ·
ε) ενεργεί ως σημείο επαφής με την Αρχή σε θέματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 67, και τη συμβουλεύεται, κατά περίπτωση, σχετικά με οποιοδήποτε άλλο θέμα.
2. Τα καθήκοντα του ΥΠΔ ο οποίος τυχόν ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.
3. Ο ΥΠΔ μπορεί να εκτελεί και άλλα καθήκοντα. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι η άσκηση των καθηκόντων αυτών δεν οδηγεί σε σύγκρουση συμφερόντων.
4. Ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.



ΚΕΦΑΛΑΙΟ Β'
Εποπτική Αρχή


Το Κεφάλαιο Β' περιλαμβάνει ρυθμίσεις (άρθρα 9-20) για τη συγκρότηση και λειτουργία της Ανεξάρτητης Αρχής που εποπτεύει την παρακολούθηση της εφαρμογής του ΓΚΠΔ, της Οδηγίας και του ΣχΝ. Σύμφωνα με το πνεύμα του ΓΚΠΔ και της Οδηγίας, αλλά και για λόγους συνοχής και αποτελεσματικότητας, ορίζεται κοινή εποπτική Αρχή για την παρακολούθηση της εφαρμογής του συνόλου των διατάξεων του εθνικού δικαίου και του άμεσα εφαρμοστέου δικαίου της Ένωσης και θεσπίζεται τεκμήριο γενικής αρμοδιότητας της Αρχής αυτής.

Άρθρο 9
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με το άρθρο 9 σε συμμόρφωση με το άρθρο 51 του ΓΚΠΔ, αλλά και για την ενσωμάτωση του άρθρου 41 της Οδηγίας, ορίζεται η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή) που έχει συσταθεί δυνάμει του ν. 2472/1997, ως η ανεξάρτητη εθνική αρχή που θα εποπτεύει την παρακολούθηση των διατάξεων του ΓΚΠΔ, του ΣχΝ και άλλων ρυθμίσεων που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελληνική Επικράτεια. Η Αρχή αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι δε και συνταγματικώς κατοχυρωμένη ανεξάρτητη διοικητική αρχή, σύμφωνα με το άρθρο 9 Α του Συντάγματος.
 

Η εποπτεία της εφαρμογής των διατάξεων του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελληνική Επικράτεια ασκείται από την Αρχή που έχει συσταθεί με τον ν. 2472/1997 (Α' 50). Έδρα της Αρχής είναι η Αθήνα.



Άρθρο 10 Αρμοδιότητα

Με το άρθρο 10 σε συμμόρφωση με το άρθρο 55 του ΓΚΠΔ και για την ενσωμάτωση του άρθρου 45 της Οδηγίας ορίζεται η αρμοδιότητα της Αρχής. Ειδικότερα, στην παράγραφο 1 ορίζεται ότι η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών μελών της Ευρωπαϊκής Ένωσης και με την Επιτροπή, ενώ στην παράγραφο 2 διασαφηνίζεται ότι η Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «the Board» (εφεξής: ΕΣΠΔ) που συστήνεται με το άρθρο 68 του ΓΚΠΔ, καθώς και στις άλλες συναφείς επιτροπές ή συναφή όργανα με αντικείμενο την προστασία δεδομένων προσωπικού χαρακτήρα, στις περιπτώσεις στις οποίες προβλέπεται η συμμετοχή εθνικής εποπτικής αρχής. Με την παράγραφο 3 ορίζεται ότι η Αρχή συνεργάζεται με αντίστοιχες αρχές τρίτων χωρών και διεθνείς οργανισμούς για την εκπλήρωση των σκοπών του άρθρου 50 του ΓΚΠΔ. Με την παράγραφο 4 διευκρινίζεται ότι η Αρχή ασκεί τις αντίστοιχες εποπτικές αρμοδιότητες που προβλέπονται από ειδικές διατάξεις του διεθνούς ή του ενωσιακού δικαίου και αφορούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ως τέτοιες νοούνται μεταξύ άλλων οι διατάξεις που ρυθμίζουν το Σύστημα Πληροφοριών Σένγκεν, το Σύστημα Πληροφοριών Ευρωπόλ, το Σύστημα Πληροφοριών Eurodac και η Σύμβαση για τη χρήση της πληροφορικής στον τελωνειακό τομέα. Τέλος, με την παράγραφο 5 ορίζεται ρητά ότι εξαιρούνται από την εποπτική αρμοδιότητα της Αρχής οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.
 

1. Η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών μελών της Ευρωπαϊκής Ένωσης και με την Επιτροπή.
2. H Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων («the Board», εφεξής: ΕΣΠΔ) και σε άλλες επιτροπές ή όργανα με αντικείμενο την προστασία δεδομένων προσωπικού χαρακτήρα.
3. Η Αρχή συνεργάζεται με αντίστοιχες αρχές τρίτων χωρών και διεθνείς οργανισμούς για την εκπλήρωση των σκοπών του άρθρου 50 του ΓΚΠΔ.
4. Στις περιπτώσεις που σε διεθνείς ή διακρατικές συμβάσεις ή στο δίκαιο της Ευρωπαϊκής Ένωσης ή στην εθνική νομοθεσία προβλέπεται ανεξάρτητος έλεγχος ή εποπτεία, η Αρχή ασκεί τις αντίστοιχες αρμοδιότητες και εξουσίες.
5. Η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.



Άρθρο 11
Λειτουργική Ανεξαρτησία

Με το άρθρο 11 σε συμμόρφωση με τα άρθρα 52, 53 και 54 του ΓΚΠΔ, αλλά και για την ενσωμάτωση των άρθρων 42, 43 και 44 της Οδηγίας, ορίζεται ο τρόπος συγκρότησης της Αρχής. Η Αρχή συγκροτείται ως συλλογικό όργανο που αποτελείται από τον Πρόεδρο, τον Αναπληρωτή του και έξι μέλη, ενώ προβλέπεται και ο διορισμός ισάριθμων αναπληρωματικών μελών. Η επιλογή των μελών γίνεται κατά τα οριζόμενα στο άρθρο 101Α του Συντάγματος και τον Κανονισμό της Βουλής και συμπληρωματικά από τις διατάξεις του παρόντος άρθρου, με τις οποίες τίθενται γενικές ρυθμίσεις για την επιλογή των μελών της Αρχής. Για τη διασφάλιση της θεσμικής ανεξαρτησίας της Αρχής, προβλέπεται ότι η θητεία των μελών της είναι εξαετής και μη ανανεώσιμη. Η ελληνική ιθαγένεια ορίζεται ως προϋπόθεση για την επιλογή σε θέση Προέδρου ή μέλους της Αρχής, δεδομένου ότι τα μέλη της Αρχής μετέχουν στην άσκηση δημόσιας εξουσίας. Προβλέπεται, ακόμη, ότι τα μέλη της Αρχής είναι ανώτατοι κρατικοί λειτουργοί, απολαμβάνουν προσωπικής και λειτουργικής ανεξαρτησίας και δεν υπόκεινται σε εποπτεία και έλεγχο από κυβερνητικά όργανα ή άλλες διοικητικές αρχές. Σύμφωνα με την παράγραφο 5 ο Πρόεδρος και ο Αναπληρωτής Πρόεδρος έχουν αποκλειστική απασχόληση στην Αρχή. Η ιδιότητά τους αυτή συνεπάγεται την αναστολή οποιουδήποτε δημόσιου λειτουργήματος και επαγγελματικής δραστηριότητας. Τέλος, με την παράγραφο 6 και για λόγους ενίσχυσης της λειτουργικής ανεξαρτησίας των μελών της Αρχής προβλέπεται ότι τα μέλη της Αρχής δεν υπέχουν αστική ευθύνη έναντι οποιουδήποτε τρίτου για πράξεις ή παραλείψεις τους κατά την άσκηση των καθηκόντων τους, δεν διώκονται για την έκφραση γνώμης και για πράξη ή παράλειψη που τέλεσαν κατά την άσκηση των καθηκόντων τους, εκτός αν ενήργησαν με δόλο ή βαρεία αμέλεια καθώς και ότι η Αρχή μπορεί να αναλάβει τη δαπάνη για τη δικαστική υπεράσπιση των μελών της σε περίπτωση άσκησης εναντίον τους αγωγής ή άσκησης σε βάρος τους ποινικής δίωξης για πράξεις ή παραλείψεις που ανάγονται αποκλειστικά στην εκτέλεση των υπηρεσιακών καθηκόντων τους.
 

1. Η Αρχή συγκροτείται από τον Πρόεδρο και έξι μέλη, οι οποίοι ορίζονται με αντίστοιχους αναπληρωτές. Η θητεία τους είναι εξαετής και δεν μπορεί να ανανεωθεί.
2. Ως μέλη, τακτικά και αναπληρωματικά, επιλέγονται πρόσωπα εγνωσμένου κύρους, που απολαμβάνουν ευρείας κοινωνικής αποδοχής και διακρίνονται για την επιστημονική τους κατάρτιση και την επαγγελματική τους εμπειρία σε τομείς που έχουν σχέση με την αποστολή και τις αρμοδιότητες της Αρχής. Προϋπόθεση επιλογής σε θέση μέλους της Αρχής είναι η ελληνική ιθαγένεια.
3. Η επιλογή και ο διορισμός του Προέδρου και των μελών της Αρχής και των αναπληρωτών τους ενεργείται κατά τα οριζόμενα στο άρθρο 101Α του Συντάγματος.
4. Τα μέλη της Αρχής είναι ανώτατοι κρατικοί λειτουργοί, απολαμβάνουν προσωπικής και λειτουργικής ανεξαρτησίας και δεν υπόκεινται σε εποπτεία και έλεγχο από κυβερνητικά όργανα ή άλλες διοικητικές αρχές.
5. Ο Πρόεδρος και ο Αναπληρωτής Πρόεδρος έχουν αποκλειστική απασχόληση στην Αρχή. Η ιδιότητά τους αυτή συνεπάγεται την αναστολή οποιουδήποτε δημόσιου λειτουργήματος και επαγγελματικής δραστηριότητας.
6. Τα μέλη της Αρχής δεν υπέχουν αστική ευθύνη έναντι οποιουδήποτε τρίτου για πράξεις ή παραλείψεις τους κατά την άσκηση των καθηκόντων τους. Δεν απαλλάσσονται από την ευθύνη τους έναντι του Ελληνικού Δημοσίου για πράξεις ή παραλείψεις από δόλο ή βαρεία αμέλεια. Τα μέλη της Αρχής δεν διώκονται για την έκφραση γνώμης και για πράξη ή παράλειψη που τέλεσαν κατά την άσκηση των καθηκόντων τους, εκτός αν ενήργησαν με δόλο ή βαρεία αμέλεια. Η Αρχή μπορεί να αναλάβει τη δαπάνη για τη δικαστική υπεράσπιση των μελών της σε περίπτωση άσκησης εναντίον τους αγωγής ή άσκησης σε βάρος τους ποινικής δίωξης για πράξεις ή παραλείψεις που ανάγονται αποκλειστικά στην εκτέλεση των υπηρεσιακών καθηκόντων τους.



Άρθρο 12
Κωλύματα - ασυμβίβαστα μελών της Αρχής

Με το άρθρο 12 σε συμμόρφωση με τα άρθρα 52, 53 και 54 του ΓΚΠΔ, αλλά και για την ενσωμάτωση των άρθρων 42, 43 και 44 της Οδηγίας ενισχύεται περαιτέρω η ανεξαρτησία της Αρχής καθώς διασφαλίζεται η αποχή του Προέδρου και των μελών από πράξεις που συνιστούν κατ' ουσίαν ενέργειες ασυμβίβαστες με τα καθήκοντά τους και περιγράφονται τα κωλύματα διορισμού τους και οι λόγοι για τους οποίους μπορούν να εκπέσουν αυτοδικαίως από τα καθήκοντά τους. Η άσκηση δημόσιας εξουσίας από τον Πρόεδρο και τα μέλη της Αρχής στο ιδιαιτέρως ευαίσθητο πεδίο της προστασίας ατομικών δικαιωμάτων και θεμελιωδών ελευθεριών, καθιστά αναγκαία τη θέσπιση κωλυμάτων και ασυμβιβάστων, προκειμένου να διασφαλιστεί η αμερόληπτη και αντικειμενική εκτέλεση των καθηκόντων τους και να αποτραπεί ενδεχόμενη σύγκρουση συμφερόντων. Στόχος είναι η πρόληψη αντικρουόμενων επαγγελματικών, οικονομικών, επιχειρηματικών ή άλλων συμφερόντων που υπονομεύουν τον αμερόληπτο χαρακτήρα των διαδικασιών και τελικά πλήττουν το κύρος και την αξιοπιστία της Αρχής. Στο ίδιο πνεύμα ορίζεται ότι μέλη της Αρχής δεν επιτρέπεται για δύο (2) έτη από τη λήξη της θητείας τους να παρίστανται ενώπιον της Αρχής. Κατ' εξαίρεση, είναι συμβατή η ιδιότητα του Προέδρου ή μέλους της Αρχής με την ιδιότητα του μέλους διδακτικού προσωπικού σε πανεπιστημιακό και τεχνολογικό τομέα της ανώτατης εκπαίδευσης. Είναι ασύμβατη, επίσης, οποιαδήποτε δραστηριότητα, η οποία σχετίζεται με την αρμοδιότητα της Αρχής με εξαίρεση την επιστημονική και ερευνητική δραστηριότητα. Στην αποτροπή της επιρροής των ισχυρών κοινωνικο-οικονομικών παραγόντων στο έργο της Αρχής σκοπεύει και η διάταξη της παραγράφου 3, που προβλέπει την αυτοδίκαιη έκπτωση του Προέδρου ή μέλους της Αρχής, εάν, οποτεδήποτε κατά τη διάρκεια της θητείας τους, διαπιστωθεί με απόφαση της Αρχής η ύπαρξη στο πρόσωπό τους κωλύματος ή ασυμβιβάστου των προηγουμένων παραγράφων.
 

1. Δεν επιτρέπεται να διοριστεί Πρόεδρος ή μέλος της Αρχής α) υπουργός, υφυπουργός, γενικός ή ειδικός γραμματέας υπουργείου ή αυτοτελούς γενικής ή ειδικής γραμματείας και βουλευτής και β) όποιος είναι διευθυντικό στέλεχος ή μέλος οργάνου διοίκησης επιχείρησης, η οποία παρέχει υπηρεσίες σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή συνδέεται με σύμβαση έργου αντίστοιχου περιεχομένου.
2. Είναι ασυμβίβαστη με την ιδιότητα του μέλους της Αρχής οποιαδήποτε επαγγελματική ή άλλη δραστηριότητα, η οποία σχετίζεται με τις αρμοδιότητες της Αρχής, με εξαίρεση την επιστημονική και ερευνητική δραστηριότητα. Μέλη της Αρχής δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής για δύο (2) έτη μετά τη λήξη της θητείας τους.
3. Στα μέλη της Αρχής επιτρέπεται η άσκηση καθηκόντων διδακτικού προσωπικού Α.Ε.Ι. με καθεστώς πλήρους ή μερικής απασχόλησης.
4. Εκπίπτει αυτοδικαίως από την ιδιότητα του Προέδρου ή μέλους της Αρχής όποιος, μετά τον διορισμό του:
α) Αποκτά μία από τις ιδιότητες που συνιστούν κώλυμα διορισμού, σύμφωνα με την παράγραφο 1.
β) Προβαίνει σε πράξεις ή αναλαμβάνει οποιαδήποτε εργασία ή έργο ή αποκτά άλλη ιδιότητα που, κατά την κρίση της Αρχής, δεν συμβιβάζονται με τα καθήκοντά του ως μέλους της Αρχής.
5. Στην διαπίστωση των ασυμβίβαστων της προηγούμενης παραγράφου προβαίνει η Αρχή, χωρίς συμμετοχή του μέλους της, στο πρόσωπο του οποίου ενδέχεται να συντρέχει το ασυμβίβαστο. Η Αρχή αποφασίζει ύστερα από ακρόαση του εν λόγω μέλους. Την διαδικασία κινεί είτε ο Πρόεδρος της Αρχής, είτε ο Πρόεδρος της Βουλής.



Άρθρο 13
Καθήκοντα Αρχής

Με το άρθρο 13 σε συμμόρφωση με το άρθρο 57 του ΓΚΠΔ και για την ενσωμάτωση του άρθρου 46 της Οδηγίας, περιγράφονται τα καθήκοντα της Αρχής. Καθόσον τα καθήκοντα προβλέπονται στο άρθρο 57 του ΓΚΠΔ δεν επαναλαμβάνονται στη διατύπωση του ΣχΝ, παρά μόνο στο μέτρο που είναι απαραίτητο για την ενσωμάτωση των αντίστοιχων διατάξεων της Οδηγίας, για τη ρύθμιση ειδικότερων θεμάτων για τα οποία ο ΓΚΠΔ δίδει τη δυνατότητα αυτή στον εθνικό νομοθέτη ή για την εξειδίκευση των λοιπών καθηκόντων που η Αρχή μπορεί να εκπληρώσει σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα κατ' εφαρμογή της διάταξης του στοιχείου κβ) της παραγράφου 1 του άρθρου 57 του ΓΚΠΔ. Ιδιαίτερα σημαντική μεταξύ των καθηκόντων αυτών για την εφαρμογή των υποχρεώσεων που θεσπίζει ο ΓΚΠΔ είναι η παροχή γνώμης για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή κανονιστική πράξη και αφορά σε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Με την παράγραφο 2 δίδεται η διακριτική ευχέρεια στην Αρχή να θέτει στο αρχείο αιτήσεις, ερωτήματα ή καταγγελίες που κρίνονται προδήλως αόριστα, αβάσιμα ή καταχρηστικά ή υποβάλλονται ανωνύμως καθώς και η δυνατότητα εκτίμησης της προτεραιότητας εξέτασης των αιτήσεων, ερωτημάτων και καταγγελιών, με την επιφύλαξη ειδικότερων προθεσμιών που ορίζονται στον ΓΚΠΔ.
 

1. Επιπλέον των καθηκόντων της δυνάμει του άρθρου 57 του ΓΚΠΔ, η Αρχή :
α) είναι αρμόδια για την παρακολούθηση και την εφαρμογή του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
β) προωθεί με πρόσφορο τρόπο την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
γ) διατυπώνει απλή γνώμη πριν από την έκδοση νόμων και κανονιστικών διοικητικών πράξεων που σχετίζονται με την προστασία των δικαιωμάτων και ελευθερίων των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
δ) εκδίδει Οδηγίες και απευθύνει συστάσεις για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των καθηκόντων του ΕΣΠΔ σύμφωνα με το άρθρο 70 του ΓΚΠΔ,
ε) κατόπιν υποβολής ειδικού αιτήματος, ενημερώνει το υποκείμενο των δεδομένων προσωπικού χαρακτήρα για την άσκηση των δικαιωμάτων του, σύμφωνα με τον παρόντα νόμο και άλλων ρυθμίσεων για την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για τον σκοπό αυτό συνεργάζεται με εποπτικές αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης ,
ζ) εξετάζει τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος,
η) διενεργεί έρευνες για την εφαρμογή του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και βάσει πληροφοριών από άλλη δημόσια αρχή,
θ) παρακολουθεί τις σχετικές εξελίξεις στο βαθμό που έχουν επιπτώσεις στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις εξελίξεις των τεχνολογιών των πληροφοριών, των επικοινωνιών και των εμπορικών πρακτικών,
ι) συμβάλλει στις δραστηριότητες του ΕΣΠΔ.
2. Κατά την άσκηση των αρμοδιοτήτων της η Αρχή θέτει στο αρχείο αιτήσεις, ερωτήματα ή καταγγελίες που κρίνονται προδήλως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς ή ανωνύμως. Η Αρχή ενημερώνει τα υποκείμενα των δεδομένων και τους αιτούντες για τις ενέργειές της. Με την επιφύλαξη των προθεσμιών που ορίζονται στον ΓΚΠΔ, η προτεραιότητα εξέτασης των αιτήσεων, ερωτημάτων και καταγγελιών εκτιμάται από την Αρχή με κριτήριο τη σπουδαιότητα και το γενικότερο ενδιαφέρον του θέματος.



Άρθρο 14
Έκθεση Δραστηριότητας

Με το άρθρο 14 προβλέπεται σε συμμόρφωση με το άρθρο 59 του ΓΚΠΔ και για την ενσωμάτωση του άρθρου 49 της Οδηγίας η υποβολή έκθεσης δραστηριότητας της Αρχής στον Πρόεδρο της Βουλής και τον Πρωθυπουργό.
 

Η Αρχή συντάσσει κάθε χρόνο έκθεση για την εκτέλεση της αποστολής της κατά το προηγούμενο ημερολογιακό έτος. Η έκθεση υποβάλλεται από τον Πρόεδρο της Αρχής στον Πρόεδρο της Βουλής και τον Πρωθυπουργό και δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως με ευθύνη της Αρχής, η οποία μπορεί να δώσει και άλλου είδους δημοσιότητα στην έκθεση.



Άρθρο 15 Εξουσίες Αρχής

Με το άρθρο 15 προβλέπονται οι εξουσίες που διαθέτει η Αρχή για την εκτέλεση των καθηκόντων της. Καθώς οι εξουσίες της προβλέπονται στο άρθρο 58 του ΓΚΠΔ, δεν επαναλαμβάνονται στη διατύπωση του ΣχΝ, παρά μόνο στο μέτρο που είναι απαραίτητο για την ενσωμάτωση του άρθρου 47 της Οδηγίας, για την εξειδίκευση εξουσιών που προβλέπονται από τον ΓΚΠΔ ή τη θέσπιση ειδικότερων εξουσιών στο πλαίσιο της διακριτικής ευχέρειας του εθνικού νομοθέτη.
Με τις παραγράφους 1 και 2 διασφαλίζεται ειδικότερα η εξουσία πρόσβασης της Αρχής κατά την άσκηση των ελεγκτικών της καθηκόντων σε κάθε δεδομένο και πληροφορία προσωπικού χαρακτήρα. Με την παράγραφο 3 απονέμεται η εξουσία στον Πρόεδρο της Αρχής να δίνει εξουσία διενέργειας ελέγχων σε μέλη ή υπαλλήλους εποπτικής αρχής άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης, στο πλαίσιο των κοινών επιχειρήσεων ελέγχου που θεσπίζονται στο άρθρο 62 του ΓΚΠΔ και του άρθρου 79 του ΣχΝ στο πλαίσιο των μηχανισμών συνεργασίας και συνεκτικότητας. Περαιτέρω, με τις παραγράφους 5 και 6 ορίζεται ότι η Αρχή μπορεί να επιβάλει κυρώσεις σύμφωνα με τα άρθρα 40 και 82 του παρόντος ΣχΝ. Με την παράγραφο 7 δίνεται η δυνατότητα έκδοσης προσωρινής διαταγής από τον Πρόεδρο της Αρχής, όταν αυτό απαιτείται για την άμεση προστασία του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, ενώ με την παράγραφο 8, κάνοντας χρήση της ευχέρειας που δίδεται στο εθνικό νομοθέτη σύμφωνα με το άρθρο 58 παράγραφος 6 του ΓΚΠΔ να χορηγεί στις εποπτικές αρχές πρόσθετες εξουσίες, δίδεται ρητώς η εξουσιοδότηση στην Αρχή, με την επιφύλαξη του Κεφαλαίου VII του ΓΚΠΔ, να εκδίδει κανονιστικές διοικητικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αυτές αναφέρονται.
 

1. Εκτός των προβλεπομένων στο άρθρο 58 του ΓΚΠΔ εξουσιών, η Αρχή διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας ελέγχους ως προς τη συμμόρφωση με τον παρόντα στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη μέσα, που υποστηρίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Κατά τη διενέργεια των ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο. Κατ' εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων.
2. Οι έλεγχοι διενεργούνται από μέλος ή μέλη της Αρχής ή υπαλλήλους του τμήματος ειδικού επιστημονικού προσωπικού της Γραμματείας, ειδικά εντεταλμένους προς τούτο από τον Πρόεδρο της Αρχής. Κατά τον έλεγχο αρχείων που τηρούνται για λόγους εθνικής ασφαλείας παρίσταται αυτοπροσώπως ο Πρόεδρος της Αρχής. Ο Πρόεδρος και τα μέλη της Αρχής καθώς και οι ειδικά εντεταλμένοι υπάλληλοι της Γραμματείας, είναι ειδικοί ανακριτικοί υπάλληλοι και έχουν όλα τα δικαιώματα που προβλέπει σχετικά ο Κώδικας Ποινικής Δικονομίας. Μπορούν να διενεργούν προανάκριση και χωρίς εισαγγελική παραγγελία, όταν πρόκειται για αυτόφωρο κακούργημα ή πλημμέλημα ή υπάρχει κίνδυνος από την αναβολή.
3. Ο Πρόεδρος της Αρχής δύναται να απονέμει εξουσία διενέργειας ελέγχων σε μέλη και υπαλλήλους εποπτικής αρχής άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης («εποπτική αρχή απόσπασης») στο πλαίσιο κοινών επιχειρήσεων που διενεργούνται δυνάμει του άρθρου 62 του ΓΚΠΔ και του άρθρου 79 του παρόντος.
4. Η Αρχή για τις ανάγκες του παρόντος: α) απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν τις διατάξεις του παρόντος·
β) δίνει εντολή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφωθεί με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας με τις διατάξεις του παρόντος, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα·
γ) δίνει εντολή και επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας·
δ) προβαίνει στην κατάσχεση μέσων παραβίασης των δεδομένων προσωπικού χαρακτήρα, που υποπίπτει στην αντίληψή της κατά την άσκηση των εξουσιών ελέγχου και ορίζεται μεσεγγυούχος αυτών μέχρι να αποφανθούν οι αρμόδιες δικαστικές και εισαγγελικές αρχές.
5. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις του άρθρου 40.
6. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις του άρθρου 82.
7. Όταν η προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν επιβάλλει την άμεση λήψη απόφασης, ο Πρόεδρος μπορεί, ύστερα από αίτηση του ενδιαφερομένου, να εκδώσει προσωρινή διαταγή για άμεσο, ολικό ή μερικό, προσωρινό περιορισμό της επεξεργασίας ή της λειτουργίας του αρχείου. Η διαταγή ισχύει μέχρι την έκδοση της οριστικής απόφασης της Αρχής.
8. Για την εξασφάλιση της συμμόρφωσης με τις διατάξεις του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του υποκειμένου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Αρχή, με την επιφύλαξη του Κεφαλαίου VII του ΓΚΠΔ, εκδίδει κανονιστικές διοικητικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αυτές αναφέρονται. Οι κανονιστικές πράξεις της Αρχής, για τις οποίες δεν προβλέπεται δημοσίευσή τους στην Εφημερίδα της Κυβέρνησης, δημοσιεύονται στην ιστοσελίδα της Αρχής.



Άρθρο 16
Υποχρεώσεις και δικαιώματα μελών της Αρχής

Με το άρθρο 16 σε συμμόρφωση με το άρθρο 54 του ΓΚΠΔ, αλλά και για την ενσωμάτωση του άρθρου 44 της Οδηγίας ορίζονται τα δικαιώματα και οι υποχρεώσεις του Προέδρου και των μελών της Αρχής, οι οποίοι υπακούουν μόνο στη συνείδησή τους και τον νόμο και υπόκεινται στο καθήκον τήρησης εχεμύθειας (παράγραφος 1). Με την παράγραφο 2 εισάγονται συγκεκριμένοι περιορισμοί στην επαγγελματική δραστηριότητα των μελών της Αρχής για χρονικό διάστημα δύο ετών μετά τη λήξη της θητείας τους, προκειμένου να διασφαλιστεί η ανεξαρτησία και αμεροληψία τους κατά τη διάρκεια της θητείας τους. Ειδικότερα, δεν επιτρέπεται να είναι εταίροι, μέτοχοι, μέλη διοικητικού συμβουλίου, τεχνικοί ή άλλοι σύμβουλοι ή να απασχολούνται, με ή χωρίς αμοιβή, με έμμισθη εντολή ή με οποιαδήποτε έννομη σχέση, σε εταιρεία ή επιχείρηση των οποίων οι δραστηριότητες υπήχθησαν, άμεσα ή έμμεσα, στον έλεγχο της Αρχής κατά τη διάρκεια της θητείας τους. Στην παράγραφο 4 ορίζονται οι ποινικές κυρώσεις για την παράβαση τήρησης του καθήκοντος εχεμύθειας.
 

1. Κατά την άσκηση των καθηκόντων τους ο Πρόεδρος και τα μέλη της Αρχής υπακούουν στη συνείδησή τους και τον νόμο και υπόκεινται στο καθήκον εχεμύθειας. Ως μάρτυρες ή πραγματογνώμονες μπορούν να καταθέτουν στοιχεία που αφορούν αποκλειστικά και μόνο την τήρηση των διατάξεων του ΓΚΠΔ και του παρόντος. Το καθήκον εχεμύθειας υφίσταται και μετά την με οποιονδήποτε τρόπο αποχώρηση του Προέδρου και των μελών της Αρχής.
2. Για χρονικό διάστημα δύο (2) ετών από τη λήξη της θητείας τους, ο Πρόεδρος και τα μέλη της Αρχής δεν επιτρέπεται να είναι εταίροι, μέτοχοι, μέλη διοικητικού συμβουλίου, τεχνικοί ή άλλοι σύμβουλοι ή να απασχολούνται με ή χωρίς αμοιβή με έμμισθη εντολή ή με οποιαδήποτε έννομη σχέση, σε εταιρεία ή επιχείρηση, των οποίων οι δραστηριότητες υπήχθησαν, άμεσα ή έμμεσα, στον έλεγχο της Αρχής κατά τη διάρκεια της θητείας τους.
3. Ως προς την πειθαρχική ευθύνη του Προέδρου και των μελών της Αρχής εφαρμόζεται η παράγραφος 3 του άρθρου 18 του ν. 2472/1997.
4. Πρόεδρος ή μέλος της Αρχής που, κατά παράβαση του παρόντος νόμου, γνωστοποιεί με οποιονδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα που είναι προσιτά σε αυτό λόγω της υπηρεσίας του ή αφήνει άλλον να λάβει γνώση αυτών, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και χρηματική ποινή έως τριάντα χιλιάδων (30.000) ευρώ. Αν όμως τέλεσε την πράξη με σκοπό να προσπορίσει στον εαυτό του ή σε άλλο αθέμιτο όφελος ή να βλάψει άλλον, επιβάλλεται κάθειρξη. Αν η πράξη του πρώτου εδαφίου τελέστηκε από αμέλεια επιβάλλεται φυλάκιση τουλάχιστον τριών (3) μηνών και χρηματική ποινή.



Άρθρο 17
Λειτουργία της Αρχής

Με το άρθρο 17 θεσπίζεται η δυνατότητα λειτουργίας της Αρχής και ως μονοπρόσωπου οργάνου. Σκοπός της διάταξης αυτής είναι η ενίσχυση της ευελιξίας και κατά συνέπεια της αποτελεσματικότητας της Αρχής, ιδίως σε περιπτώσεις στις οποίες πρέπει να ληφθεί άμεσα απόφαση ή όταν πρόκειται για ήσσονος σημασίας θέματα ή θέματα για τα οποία υπάρχει παγιωμένη «νομολογία» της Αρχής για τη λήψη απόφασης και ως εκ τούτου δεν θα χρειάζεται η σύγκληση της ολομέλειας ή τμήματος της Αρχής. Η κατά τα λοιπά λειτουργία της Αρχής και ιδίως η εσωτερική κατανομή αρμοδιοτήτων και η διαδικασία σύγκλησης και λήψης αποφάσεων ρυθμίζεται από τον κανονισμό λειτουργίας της, τον οποίο καταρτίζει η ίδια.
 

1. Η Αρχή δύναται να λειτουργεί και ως μονοπρόσωπο όργανο (Πρόεδρος) ή και να συνεδριάζει σε τμήματα, συντιθέμενα από τρία (3) τουλάχιστον τακτικά ή αναπληρωματικά μέλη και προεδρευόμενα από τον Πρόεδρο της Αρχής ή τον αναπληρωτή του.
2. Η Αρχή καταρτίζει κανονισμό λειτουργίας με τον οποίο ρυθμίζεται ιδίως η λειτουργία της σε ολομέλεια και τμήματα, η κατανομή των αρμοδιοτήτων μεταξύ ολομέλειας και τμημάτων, οι αρμοδιότητες του μονοπρόσωπου οργάνου, η διαδικασία σύγκλησης, συνεδρίασης και λήψης απόφασης, η προηγούμενη ακρόαση των ενδιαφερομένων, ο τρόπος διεξαγωγής των ελέγχων και θέματα πειθαρχικής διαδικασίας. Ο κανονισμός λειτουργίας δημοσιεύεται στην Εφημερίδα της Κυβέρνησης. Μέχρι την έκδοση νέου κανονισμού της Αρχής διατηρείται σε ισχύ ο υφιστάμενος κανονισμός λειτουργίας της (209/6.3.2000 απόφαση του Προέδρου της Αρχής, Β' 336, όπως τροποποιήθηκε και ισχύει).
3. Με απόφαση της Ολομέλειας της Αρχής εγκρίνεται κώδικας δεοντολογίας των μελών και του προσωπικού της.



Άρθρο 18
Γραμματεία της Αρχής

Στο άρθρο 18 σε συμμόρφωση με τα άρθρα 52 και 54 του ΓΚΠΔ, αλλά και για την ενσωμάτωση των άρθρων 42 και 44 της Οδηγίας περιλαμβάνονται ρυθμίσεις σχετικά με την επιλογή και τον διορισμό ή την πρόσληψη του προσωπικού της Αρχής καθώς και με την υπηρεσιακή του κατάσταση με παραπομπή στις ήδη ισχύουσες διατάξεις του ν. 3051/2002 (Α' 220). Τέλος, με την παράγραφο 4 δίνεται εξουσιοδότηση για την έκδοση προεδρικού διατάγματος για την κατάρτιση του Οργανισμού της Αρχής.
 

1. Το προσωπικό της Αρχής διορίζεται με σχέση δημοσίου ή ιδιωτικού δικαίου αορίστου χρόνου σε θέσεις που προβλέπονται στον Οργανισμό της και επιλέγεται σύμφωνα με τα οριζόμενα στο άρθρο 4 παράγραφος 1 του ν. 3051/2002 (Α' 220).
2. Υπάλληλοι του Κλάδου Ελεγκτών δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής επί δύο ( 2) έτη μετά την λύση της υπηρεσιακής τους σχέσης με την Αρχή.
3. Με Προεδρικό Διάταγμα μετά από πρόταση του Υπουργού Δικαιοσύνης και Υπουργείου Εσωτερικών εκδίδεται Οργανισμός της Αρχής, με τον οποίο καθορίζονται η διάρθρωση των οργανικών μονάδων σε Διευθύνσεις, Τμήματα και Γραφεία, τα προσόντα του προσωπικού, ο αριθμός των θέσεων του προσωπικού, η κατανομή αυτών σε Κλάδους και Ειδικότητες, η σύσταση νέων θέσεων και κάθε άλλο σχετικό ζήτημα. Με τον Οργανισμό επίσης καθορίζονται οι προϋποθέσεις και η διαδικασία επιλογής του Προϊσταμένου Γραμματείας και των προϊσταμένων των οργανικών μονάδων της Αρχής. Για κάθε τροποποίηση του ως άνω προεδρικού διατάγματος απαιτείται προηγούμενη γνώμη της Αρχής. Μέχρι την έκδοση του προεδρικού διατάγματος του προηγούμενου εδαφίου, ισχύει το π.δ. 207/1998 «Οργάνωση της Γραμματείας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και σύσταση οργανικών Θέσεων», (Α' 164).
4. Με την επιφύλαξη των ειδικών ρυθμίσεων του παρόντος, του Οργανισμού της Αρχής και του Κανονισμού Λειτουργίας της, η υπηρεσιακή κατάσταση του προσωπικού της Αρχής, διέπεται από τα οριζόμενα στις παραγράφους 2 έως και 7 του άρθρου 4 του ν. 3051/2002, όπως ισχύει.
5. Στο προσωπικό της Αρχής εφαρμόζεται αναλόγως η παράγραφος 6 του άρθρου 11.



Άρθρο 19
Προϋπολογισμός και Οικονομική Διαχείριση

Με το άρθρο 19 ορίζεται σε συμμόρφωση με το άρθρο 52 του ΓΚΠΔ, αλλά και για την ενσωμάτωση του άρθρου 42 της Οδηγίας ότι η Αρχή έχει δικό της ανεξάρτητο προϋπολογισμό που συντάσσεται με ευθύνη του Προέδρου της. Προς ενίσχυση της ανεξαρτησίας της Αρχής προβλέπεται ότι αυτή διαθέτει πλήρη αυτοτέλεια ως προς την εκτέλεσή του, χωρίς τη σύμπραξη άλλου οργάνου. Επίσης, ορίζεται ότι διατάκτης των δαπανών και πιστώσεων είναι ο Πρόεδρός της. Με την παράγραφο 2 καθορίζεται η διαδικασία κατάρτισης και υποβολής προς έγκριση του προϋπολογισμού της Αρχής, η οποία εξειδικεύεται στις επόμενες παραγράφους 3 και 4. Με την παράγραφο 3 καθορίζεται η διαδικασία εκτέλεσης του προϋπολογισμού της Αρχής με πλήρη διασφάλιση της αυτοτέλειάς της. Με την παράγραφο 4 προβλέπεται περαιτέρω η διαδικασία τροποποίησης του προϋπολογισμού της Αρχής, όποτε προκύπτει σχετική ανάγκη, με απόφαση του Υπουργού Οικονομικών, μετά από εισήγηση της Αρχής που υποβάλλεται στο Γενικό Λογιστήριο του Κράτους. Με την παράγραφο 5 ορίζεται ότι η Αρχή μπορεί να μετέχει σε εθνικά, ευρωπαϊκά ή συγχρηματοδοτούμενα ερευνητικά ή άλλα προγράμματα. Για τον σκοπό αυτό η Αρχή, με απόφαση του Προέδρου της, μπορεί να ανοίγει σε χρηματοπιστωτικό ίδρυμα της ημεδαπής ειδικό λογαριασμό, στον οποίο θα μεταφέρονται οι πιστώσεις από τα προγράμματα αυτά και από άλλους πόρους από την άσκηση των αρμοδιοτήτων της που προβλέπονται από τον ΓΚΠΔ ή το νόμο. Η διαχείριση και ο έλεγχος του ανωτέρω ειδικού λογαριασμού ρυθμίζονται από τον ειδικό κανονισμό του άρθρου 2 παράγραφος 3 του ν. 3051/2002. Η Αρχή έχει πλήρη αυτοτέλεια στη διαχείριση του λογαριασμού αυτού. Τέλος, η παράγραφος 8 διασφαλίζει ότι η άσκηση του οικονομικού ελέγχου της Αρχής από τα αρμόδια κρατικά όργανα δεν μπορεί να παρεμποδίζει τη λειτουργία της και να επηρεάζει την ανεξαρτησία της.
 

1. Η Αρχή καταρτίζει δικό της προϋπολογισμό που συντάσσεται με ευθύνη του Προέδρου της. Κατά την εκτέλεση του προϋπολογισμού της διαθέτει πλήρη αυτοτέλεια και δεν απαιτείται σύμπραξη άλλου οργάνου. Διατάκτης είναι ο Πρόεδρος της Αρχής.
2. Ο προϋπολογισμός καταρτίζεται σε ετήσια βάση και υποβάλλεται απευθείας στο Γενικό Λογιστήριο του Κράτους, σύμφωνα με τη διαδικασία που προβλέπεται στο Δημόσιο Λογιστικό.
3. Η εκτέλεση του προϋπολογισμού της Αρχής ανήκει αποκλειστικά σ' αυτήν, στο πλαίσιο της πλήρους αυτοτέλειάς της. Επιτρέπεται η μεταφορά πιστώσεων από έναν λογαριασμό σε άλλον και μεταξύ διαφορετικών μειζόνων κατηγοριών, σύμφωνα με τις ανάγκες της Αρχής, εφόσον δεν τροποποιείται το συνολικό ύψος του προϋπολογισμού που έχει αρχικώς εγκριθεί από τη Βουλή. Η μεταφορά πιστώσεων γίνεται με απόφαση της Αρχής και κοινοποιείται στο Γενικό Λογιστήριο του Κράτους.
4. Ο προϋπολογισμός της Αρχής μπορεί να τροποποιείται με απόφαση του Υπουργού Οικονομικών, κατόπιν εισήγησης της Αρχής, που υποβάλλεται στο Γενικό Λογιστήριο του Κράτους.
5. Η Αρχή μπορεί να μετέχει σε εθνικά, ευρωπαϊκά ή συγχρηματοδοτούμενα ερευνητικά ή άλλα προγράμματα. Για τον σκοπό αυτό η Αρχή, με απόφαση του
Προέδρου της, μπορεί να ανοίγει σε χρηματοπιστωτικό ίδρυμα της ημεδαπής ειδικό λογαριασμό, στον οποίο θα μεταφέρονται οι πιστώσεις από τα προγράμματα αυτά και από άλλους πόρους από την άσκηση των αρμοδιοτήτων της που προβλέπονται από τον ΓΚΠΔ ή το νόμο. Η διαχείριση και ο έλεγχος του ανωτέρω ειδικού λογαριασμού ρυθμίζονται από τον ειδικό κανονισμό του άρθρου 2 παράγραφος 3 του ν. 3051/2002. Η Αρχή έχει πλήρη αυτοτέλεια στη διαχείριση του λογαριασμού αυτού.
6. Για τις πιστοποιήσεις που χορηγεί με βάση τα άρθρα 42 και 43 του ΓΚΠΔ, η Αρχή με απόφασή της μπορεί να προβλέπει την καταβολή τελών και να καθορίζει το ύψος τους, τους σχετικούς όρους και τη διαδικασία. Οι πόροι από τα τέλη αυτά κατατίθενται στον ειδικό λογαριασμό που προβλέπεται στην προηγούμενη παράγραφο.
7. Για τη συμμετοχή των μελών και του προσωπικού της Αρχής σε συλλογικά όργανα που συγκροτούνται στο πλαίσιο πραγματοποίησης έργων χρηματοδοτούμενων από Ευρωπαϊκά Διαρθρωτικά και Επενδυτικά Ταμεία ή από το Πρόγραμμα Δημοσίων Επενδύσεων, η Αρχή με απόφασή της μπορεί να ορίζει το ύψος των πρόσθετων αμοιβών, αναλογικά εφαρμοζομένων κατά τα λοιπά των διατάξεων των παραγράφων 2, 3 και 5 του άρθρου 21 του ν. 4354/2015 (Α' 176), υπό την προϋπόθεση ότι οι σχετικές δαπάνες βαρύνουν τις ως άνω πηγές χρηματοδότησης και δεν προκαλούν επιβάρυνση στον κρατικό προϋπολογισμό.
8. Η άσκηση του οικονομικού ελέγχου της Αρχής διεξάγεται με τρόπο που να μην παρεμποδίζει τη λειτουργία της και να μην επηρεάζει την ανεξαρτησία της.



Άρθρο 20
Δικαστική προστασία κατά της Αρχής

Με το άρθρο 20 σε συμμόρφωση με το άρθρο 78 του ΓΚΠΔ και για την ενσωμάτωση του άρθρου 53 της Οδηγίας τίθεται με την παράγραφο 1 ρητή πρόβλεψη ότι οι κανονιστικές αποφάσεις και οι ατομικές διοικητικές πράξεις της Αρχής, συμπεριλαμβανομένων των αποφάσεων με τις οποίες επιβάλλονται κυρώσεις, προσβάλλονται με αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας. Με την παράγραφο 2 ορίζεται ότι η προθεσμία για την άσκηση της αίτησης ακυρώσεως δεν αναστέλλει την εκτέλεση της προσβαλλόμενης πράξης, αλλά ότι, πάντως, το Δικαστήριο μπορεί, μετά από αίτηση του αιτούντος να αναστείλει εν όλω ή εν μέρει την εκτέλεση της πράξης, κατά τις ισχύουσες διατάξεις. Με την παράγραφο 3 ορίζεται ότι αίτηση ακυρώσεως κατά των αποφάσεων και πράξεων της Αρχής μπορεί να ασκεί και ο αρμόδιος Υπουργός, ενώ με την παράγραφο 4 ρυθμίζεται ο τρόπος εκπροσώπησης της Αρχής, δικαστικώς και εξωδίκως και τη στελέχωση της νομικής της υπηρεσίας. Επίσης, παρέχεται η δυνατότητα στην Αρχή να αναθέτει, μετά από αιτιολογημένη απόφασή της, τον χειρισμό υποθέσεών της σε δικηγόρους και εκτός της νομικής της υπηρεσίας. Με τη ρύθμιση αυτή διασφαλίζεται η βέλτιστη νομική εκπροσώπηση της Αρχής σε ζητήματα ιδιαιτέρως τεχνικά ή εξειδικευμένα.
 

1. Οι κανονιστικές αποφάσεις και οι ατομικές διοικητικές πράξεις της Αρχής, συμπεριλαμβανομένων των αποφάσεων με τις οποίες επιβάλλονται κυρώσεις, προσβάλλονται με αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
2. Η προθεσμία για την άσκηση της αίτησης ακυρώσεως δεν αναστέλλει την εκτέλεση της προσβαλλόμενης πράξης. Το δικαστήριο μπορεί, μετά από αίτηση του αιτούντος, να αναστείλει εν όλω ή εν μέρει την εκτέλεση της πράξης, κατά τις ισχύουσες διατάξεις.
3. Αίτηση ακυρώσεως κατά των αποφάσεων και πράξεων της Αρχής μπορεί να ασκεί και ο αρμόδιος Υπουργός.
4. Η Αρχή εκπροσωπείται δικαστικώς και εξωδίκως από τον Πρόεδρό της. Η Αρχή έχει την ικανότητα να παρίσταται αυτοτελώς σε κάθε είδους δίκες με τη νομική υπηρεσία της ή με δικηγόρους με σχέση έμμισθης εντολής. Η νομική υπηρεσία της Αρχής στελεχώνεται με δικηγόρους με σχέση έμμισθης εντολής, οι οποίοι προσλαμβάνονται σύμφωνα με τις διατάξεις του Κώδικα Δικηγόρων. Η Αρχή μπορεί να εκπροσωπείται κατά περίπτωση και από δικηγόρους, εξειδικευμένους στο αντικείμενό τους, με αιτιολογημένη απόφαση με την οποία παρέχεται η σχετική πληρεξουσιότητα.



ΚΕΦΑΛΑΙΟ Γ '
Προσαρμογή της εθνικής νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα στον ΓΚΠΔ

Με τα άρθρα 21- 42 προσαρμόζεται η εθνική νομοθεσία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, στον ΓΚΠΔ, κατ' εξουσιοδότηση των άρθρων του ΓΚΠΔ που παρέχουν τη σχετική δυνατότητα στα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Άρθρο 21
Συγκατάθεση ανηλίκου

Με το άρθρο 21 κάνοντας χρήση της ευχέρειας που δίνει ο ΓΚΠΔ (άρθρο 8 ΓΚΠΔ) στον εθνικό νομοθέτη ως προς το όριο ηλικίας με τη συμπλήρωση του οποίου ο ανήλικος (παιδί κατά τη διατύπωση του σχετικού άρθρου) μπορεί να παρέχει έγκυρη συγκατάθεση για την επεξεργασία των δεδομένων του, στο πλαίσιο προσφοράς υπηρεσίας στην κοινωνία της πληροφορίας απευθείας σε αυτόν (π.χ. δημιουργία λογαριασμού από ανήλικο σε υπηρεσία κοινωνικής δικτύωσης), το άρθρο 21 του ΣχΝ θέτει ως όριο την ηλικία των δέκα πέντε (15) ετών. Η επιλογή αυτή αντιστοιχεί σε αρκετές ρυθμίσεις του ελληνικού δικαίου, σύμφωνα με τις οποίες αναγνωρίζεται σε πρόσωπα δεκαπέντε (15) ετών περιορισμένη δικαιοπρακτική ικανότητα (βλ. άρθρο 136 ΑΚ). Σε κάθε περίπτωση, η συγκατάθεση του ανηλίκου πρέπει να πληροί κατά μείζονα λόγο τους όρους που περιλαμβάνονται στον ορισμό της συγκατάθεσης και στους ειδικότερους όρους που περιλαμβάνονται στο άρθρο 7 του ΓΚΠΔ. Επίσης, ως νόμιμοι αντιπρόσωποι του ανηλίκου θεωρούνται τα πρόσωπα που ασκούν κατά περίπτωση τη γονική μέριμνα αυτού (βλ. άρθρ. 1510 ΑΚ επ.) ή ο επίτροπος (γενικός, ειδικός, προσωρινός ή μη) (βλ. άρθρ. 1589 ΑΚ επ.). Περαιτέρω, με την παράγραφο 2 τίθεται η πρόβλεψη ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου κάτω των 13 ετών, στο πλαίσιο προσφοράς υπηρεσίας στην κοινωνία της πληροφορίας απευθείας σε αυτόν (λ.χ. η κατά τα ανωτέρω δημιουργία λογαριασμού από ανήλικο σε υπηρεσία κοινωνικής δικτύωσης), δεν είναι επιτρεπτή. Τέλος, με την παράγραφο 3 ορίζεται ότι ο εκάστοτε υπεύθυνος επεξεργασίας φέρει το βάρος να επαληθεύσει ότι η συγκατάθεση στην περίπτωση ανηλίκου μεταξύ 13 και 15 ετών παρασχέθηκε από το νόμιμο αντιπρόσωπό του. Μια τέτοια πρόβλεψη υπαγορεύεται από την αναγκαιότητα για προστασία της προσωπικότητας του ιδιαίτερα ευαίσθητου και ευάλωτου εν προκειμένω υποκειμένου των δεδομένων.
 

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι σύννομη, εφόσον ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεσή του.
2. Εάν ο ανήλικος είναι κάτω των 15 ετών και μέχρι 13 ετών, η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του ανηλίκου.
3. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει ότι η συγκατάθεση της παραγράφου 2 παρέχεται από τον νόμιμο αντιπρόσωπο του ανηλίκου, λαμβάνοντας υπόψη του και τη διαθέσιμη τεχνολογία.



Άρθρο 22
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

Με το άρθρο 22 διευκρινίζεται υπό ποιες προϋποθέσεις και για ποιους λόγους είναι δυνατή η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα οποία αναφέρονται στα στοιχεία β), ζ), η) και θ) της παραγράφου 2 του άρθρου 9 του ΓΚΠΔ. Δεδομένα προσωπικού χαρακτήρα, τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ατομικές ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ατομικές ελευθερίες. Πρότυπο του άρθρου 9 του ΓΚΠΔ αποτέλεσε το άρθρο 8 της Οδηγίας 95/46/ΕΚ. Σύμφωνα με το άρθρο 9 παράγραφος 1 ΓΚΠΔ, απαγορεύεται καταρχήν η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Εντούτοις, η παράγραφος 2 ΓΚΠΔ επιτρέπει κατ' εξαίρεση την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Πιο συγκεκριμένα, στα στοιχεία β), ζ), η) και θ) του άρθρου 9 παράγραφος 2 του ΓΚΠΔ παρέχεται η δυνατότητα στα κράτη μέλη να καθορίζουν μέσω εθνικών ρυθμίσεων τις εξαιρέσεις. Εκτός από τις εξαιρέσεις απαιτείται κατά τα λοιπά η ύπαρξη μιας νομικής βάσης, από τις νομικές βάσεις που προβλέπονται στο άρθρο 6 παράγραφος 1 του ΓΚΠΔ.
Με την παράγραφο 1 διευκρινίζονται οι όροι υπό τους οποίους επιτρέπεται κατ' εξαίρεση η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η θέση του άρθρου 9 στο Κεφάλαιο ΙΙ του ΓΚΠΔ καταδεικνύει ότι αυτό εφαρμόζεται μόνο για την επεξεργασία που εκτελείται σύμφωνα με τους σκοπούς του άρθρου 2 του ΓΚΠΔ. Η διενέργεια της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται μόνο σε αυτή τη νομική βάση, αλλά και στις νομικές βάσεις που προκύπτουν απευθείας από τις εξαιρετικές διατάξεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ, συμπεριλαμβανομένων και των άλλων τομεακών κανόνων που θεσπίζονται βάσει του ΓΚΠΔ.
Με την παράγραφο 1 προβλέπονται οι όροι επεξεργασίας για τις ανάγκες της κοινωνικής ασφάλισης και της κοινωνικής προστασίας για σκοπούς της προληπτικής ιατρικής, της εκτίμησης της ικανότητας προς εργασία του εργαζομένου, της ιατρικής διάγνωσης, παροχής υγειονομικής και κοινωνικής περίθαλψης, της διαχείρισης υγειονομικών και κοινωνικών συστημάτων κλπ. Με την παράγραφο 2 μεταφέρονται οι όροι της επεξεργασίας για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κ.λπ. Με αναφορά στον ΚΑΝΟΝΙΣΜΟ (ΕΚ) αριθ. 1338/2008 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 16ης Δεκεμβρίου 2008 σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (L 354/70 31.12.2008) προκύπτει ότι οι εξαιρέσεις που προβλέπονται στο άρθρο 9 παράγραφο 2 στοιχείο θ) εξυπηρετούν κυρίως την πραγματοποίηση μέτρων για την προστασία της υγείας του πληθυσμού. Διευκρινίζεται ότι στην παράγραφο 1, περιλαμβάνεται η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ομοίως τόσο από δημόσιους όσο και από και ιδιωτικούς φορείς, ενώ η παράγραφος 2 του ιδίου άρθρου προβλέπει εξαιρέσεις αποκλειστικά για τους δημόσιους φορείς. Τέλος, στην παράγραφο 3 προβλέπεται η λήψη όλων των κατάλληλων και ειδικών μέτρων για την προστασία των θεμελιωδών δικαιωμάτων και ατομικών ελευθεριών του υποκειμένου των δεδομένων.
 

1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους και ιδιωτικούς φορείς επιτρέπεται, εφόσον είναι απαραίτητη :
α) για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων·
β) για λόγους προληπτικής ιατρικής, για την αξιολόγηση της ικανότητας εργασίας του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του· ή
γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων· επιπλέον των μέτρων που αναφέρονται στην παράγραφο 3, πρέπει να τηρούνται ιδίως οι διατάξεις που εξασφαλίζουν το επαγγελματικό απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας.
2. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους φορείς επιτρέπεται, εφόσον :
α) είναι απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος·
β) είναι απαραίτητη για την αποτροπή σημαντικής απειλής για τη δημόσια ασφάλεια·
γ) είναι απολύτως αναγκαία για την αποτροπή σημαντικής βλάβης στο κοινό καλό· ή
δ) είναι απαραίτητη για την λήψη ανθρωπιστικών μέτρων·
και εφόσον σε όλες τις περιπτώσεις αυτές το συμφέρον του υπεύθυνου επεξεργασίας είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων.
3. Στις περιπτώσεις των προηγούμενων παραγράφων, λαμβάνονται όλα τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και τις ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:
α) τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ·
β) μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο προσδιορισμός τού εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή αφαιρεθεί τα προσωπικά δεδομένα·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία· δ) ορισμό ΥΠΔ·
ε) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία·
στ) η χρήση ψευδωνύμων των δεδομένων προσωπικού χαρακτήρα· ζ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα· η) μέτρα για τη διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος· θ) διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας·
ι) ειδικοί κανόνες διασφάλισης της συμμόρφωσης με τον παρόντα νόμο και τον ΓΚΠΔ σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς.



Άρθρο 23
Επεξεργασία γενετικών δεδομένων

Με το άρθρο 23 σύμφωνα με τη σχετική ευχέρεια που δίνεται στον εθνικό νομοθέτη να διατηρεί ή να θεσπίζει περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, κατ' εφαρμογή της παραγράφου 4 («ρήτρα ανοίγματος») του άρθρου 9 του ΓΚΠΔ προβλέπεται ρητώς η απαγόρευση της επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής. Η παράγραφος 4 του άρθρου 9 παραπέμπει στο άρθρο 6 παράγραφος 3 εδάφιο β ' του ΓΚΠΔ σύμφωνα με το οποίο τα κράτη μέλη μπορούν για την προσαρμογή των κανόνων του ΓΚΠΔ να προβλέψουν ειδικές διατάξεις. Η απαγόρευση αυτή είναι σύμφωνη με την αρχή, η οποία διακηρύσσεται στο άρθρο 12 παράγραφος 1 της Σύμβασης του Συμβουλίου της Ευρώπης για την προστασία των ανθρωπίνων δικαιωμάτων και της αξιοπρέπειας του ατόμου σε σχέση με τις εφαρμογές της βιολογίας και της ιατρικής - Σύμβαση για τα Ανθρώπινα Δικαιώματα και τη Βιοϊατρική. Ειδικότερα, με το άρθρο 12 παράγραφος 1 της εν λόγω Σύμβασης διακηρύσσεται ότι: «Εξετάσεις που προβλέπουν την εμφάνιση γενετικών νόσων ή που χρησιμοποιούνται είτε για την αναγνώριση του υποκειμένου ως φορέα γονιδίου υπεύθυνου για νόσο είτε για την ανίχνευση γενετικής προδιάθεσης ή δεκτικότητας για νόσο, επιτρέπεται να διενεργούνται μόνο για λόγους υγείας ή για επιστημονική έρευνα που σχετίζεται με λόγους υγείας, και υπό την προϋπόθεση της κατάλληλης γενετικής συμβουλευτικής». Την απαγόρευση αυτή αντανακλά, επίσης, η θέση που υιοθετήθηκε σε πρόσφατη σχετική Σύσταση του Συμβουλίου της Ευρώπης (Recommendation Rec(2016) 8 of the Committee of Ministers to the member States on the processing of personal health-related data for insurance purposes, including data resulting from genetic tests), ενώ τελεί σε συμφωνία και με το πνεύμα του άρθρου 5 της Οικουμενικής Διακήρυξης για τα Γενετικά Δεδομένα του Ανθρώπου της UNESCO.
 

Κατ' εφαρμογή της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.



Άρθρο 24
Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς

Με το άρθρο 24 παρέχεται στους δημόσιους φορείς μια εθνική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον ίδιο υπεύθυνο επεξεργασίας για σκοπό διαφορετικό από αυτόν για τον οποίο τα είχε αρχικά συλλέξει (περαιτέρω επεξεργασία). Πρόκειται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από δημόσιους φορείς σύμφωνα με νομική υποχρέωση, την οποία υπέχει ο υπεύθυνος επεξεργασίας ή όταν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Ανάλογη διάταξη δεν υπήρχε την Οδηγία 95/46/ΕΚ και η πρόβλεψή της δεν ήταν αναγκαία, αφού σύμφωνα με το άρθρο 288 παρ. 3 της ΣΛΕΕ τα κράτη μέλη ενσωματώνουν την Οδηγία και έτσι αυτά θεσπίζουν από μόνα τους το δίκαιο για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο εθνικός νομοθέτης στηρίζεται εδώ στην παράγραφο 3 του άρθρου 6 του ΓΚΠΔ, κάνοντας χρήση της λεγόμενης «ρήτρας ανοίγματος», η οποία προβλέπεται ευρύτερη σε σύγκριση με τη «ρήτρα ανοίγματος» της παραγράφου 2 του ιδίου άρθρου του ΓΚΠΔ. Πιο συγκεκριμένα, πρόκειται για μία «γνήσια ρήτρα ανοίγματος» σύμφωνα με την οποία ο ΓΚΠΔ καταδεικνύει ότι στο πεδίο εφαρμογής του πρώτου εδαφίου και των στοιχείων γ) και ε) της παραγράφου 1 του άρθρου 6 του ΓΚΠΔ δεν περιέχει καμία αποκλειστική ρύθμιση, αλλά παρέχει στα κράτη μέλη σύμφωνα με την παράγραφο 3 ένα αυτόνομο ρυθμιστικό περιθώριο. Το πρώτο εδάφιο της παραγράφου 3 του ΓΚΠΔ, όπως μπορεί να αντιληφθεί κάποιος, έχει πολύ ευρύ περιεχόμενο: καλύπτει όλες τις νομικές υποχρεώσεις σε όλο το φάσμα των σχέσεων μεταξύ πολίτη και κράτους, ήτοι καλύπτει το επιτρεπτό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την κρατική αρχειοθέτηση έως τις τελωνειακές υπηρεσίες.
Σύμφωνα με την παράγραφο 1, η ειδική αυτή εθνική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους δημόσιους φορείς για σκοπό διαφορετικό από εκείνο για τον οποίο αρχικά συλλέχθησαν προϋποθέτει την πλήρωση μιας από τις ουσιαστικές προϋποθέσεις της παραγράφου 1. Αυτό ισχύει ανεξάρτητα από το εάν οι σκοποί της περαιτέρω επεξεργασίας είναι συμβατοί με τους σκοπούς για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα σύμφωνα με το άρθρο 6 παράγραφος 4 του ΓΚΠΔ.
Με την παράγραφο 2 καθίσταται σαφές, όσον αφορά την περαιτέρω επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ, ότι, πέραν της ύπαρξης μίας από τις προϋποθέσεις της παραγράφου 1, πρέπει να υπάρχει και μία εξαίρεση βάσει του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή σύμφωνα με το άρθρο 22 του ΣχΝ. Η διάταξη κάνει χρήση του ρυθμιστικού εύρους που θεσπίστηκε με το ΓΚΠΔ, ο οποίος υποχρεώνει τα κράτη μέλη να θεσπίζουν εθνικούς κανόνες σε περιπτώσεις που ο σκοπός της περαιτέρω επεξεργασίας είναι ασυμβίβαστος με τον αρχικό σκοπό, εφόσον τούτο παρίσταται ως αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για την προστασία των στόχων που αναφέρονται στο παρόν άρθρο.
 

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον:
α) είναι προφανές ότι η επεξεργασία αυτή είναι προς το συμφέρον του υποκειμένου των δεδομένων και δεν υπάρχει λόγος να υποτεθεί ότι το υποκείμενο των δεδομένων θα αρνιόταν να παράσχει τη συγκατάθεσή του εάν γνώριζε τον άλλο σκοπό·
β) είναι απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·
γ) είναι αναγκαία για την αποτροπή σημαντικής βλάβης του κοινού καλού, ή ενός κινδύνου για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια, προκειμένου να διαφυλαχθούν σημαντικά συμφέροντα του κοινού καλού ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
δ) είναι αναγκαία για τη δίωξη ποινικών αδικημάτων·
ε) είναι αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου· ή
στ) είναι αναγκαία για την άσκηση εξουσιών εποπτείας και παρακολούθησης, για τη διεξαγωγή εσωτερικών ελέγχων του υπεύθυνου επεξεργασίας· αυτό ισχύει επίσης για την επεξεργασία για σκοπούς εκπαίδευσης και εξέτασης από τον υπεύθυνο επεξεργασίας, εφόσον δεν αντιτίθεται στα έννομα συμφέροντα του υποκειμένου των δεδομένων.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.



Άρθρο 25
Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς

Με το άρθρο 25 δημιουργείται μια εθνική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς . Εφόσον πληρούται μία από τις προϋποθέσεις της παραγράφου 1, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς μπορεί να βασίζεται στη διάταξη αυτή, ανεξάρτητα από το εάν οι σκοποί της περαιτέρω επεξεργασίας είναι συμβατοί με τους αρχικούς σκοπούς για τους οποίους τα δεδομένα συλλέχθηκαν, σύμφωνα με το άρθρο 6 παράγραφος 4 του ΓΚΠΔ. Η παράγραφος 2 καθιστά σαφές για την περαιτέρω επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ότι, εκτός από την ύπαρξη ενός από τους πραγματικούς όρους της παραγράφου 1, εφαρμόζεται η εξαίρεση του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή το άρθρο 22. Η διάταξη κάνει χρήση του ρυθμιστικού εύρους που δημιουργείται από το ΓΚΠΔ, ο οποίος απαιτεί από τα κράτη μέλη να μπορούν να θεσπίσουν εθνικούς κανόνες σε περιπτώσεις κατά τις οποίες ο σκοπός της περαιτέρω επεξεργασίας δεν είναι συμβατός με τον αρχικό σκοπό, στο μέτρο που η εθνική νομοθεσία συνιστά «αναλογικό και αναγκαίο μέτρο σε μια δημοκρατική κοινωνία για την προστασία των προσώπων [...] που αναφέρεται στο άρθρο 23 παρ. 1 του ΓΚΠΔ.
 

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας
ή για τη δίωξη ποινικών αδικημάτων· ή
β) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.



Άρθρο 26
Διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς

Με το άρθρο 26 εισάγεται ρύθμιση για τη διαβίβαση δεδομένων από δημόσιους φορείς, λαμβάνοντας υπόψη την ρητή πρόβλεψη νόμου. Το εν λόγω άρθρο δημιουργεί ουσιαστικά μια εθνική νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς, όταν πρόκειται για σκοπό διαφορετικό από εκείνο για τον οποίο αρχικά συλλέχθηκαν τα δεδομένα. Η ρύθμιση εφαρμόζεται, επίσης, στην περίπτωση που μια δημόσια αρχή υποβάλλει σε επεξεργασία δεδομένα που συλλέχθηκαν αρχικά για τους σκοπούς του άρθρου 43 σε τρίτο μέρος που επιθυμεί να επεξεργαστεί τα δεδομένα για τους σκοπούς του ΓΚΠΔ. Η παράγραφος 1 ρυθμίζει τις προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε δημόσιους φορείς. Η ρύθμιση καλύπτει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, στο μέτρο που αυτές είναι απαραίτητες για την εκπλήρωση της αποστολής τους. Η διαβίβαση αυτή επιτρέπεται βάσει της παρούσας διάταξης, εάν πληρούνται οι προϋποθέσεις για τη επεξεργασία για άλλον σκοπό σύμφωνα με το άρθρο 24 του παρόντος. Η παράγραφος 2 ρυθμίζει τις προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε ιδιωτικούς φορείς. Η παράγραφος 3 καθιστά σαφές ότι για την υποβολή ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε επεξεργασία εκτός από το ότι απαιτείται η πλήρωση ενός από τους όρους των παραγράφων 1 ή 2, πρέπει επίσης, να προβλέπεται και μία εξαίρεση βάσει του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή του άρθρου 22 του παρόντος.
 

1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιο φορέα σε δημόσιο φορέα επιτρέπεται, εφόσον είναι απαραίτητο για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει ή του τρίτου στον οποίο διαβιβάζονται τα δεδομένα και εφόσον πληρούνται οι προϋποθέσεις που επιτρέπουν την επεξεργασία σύμφωνα με το άρθρο 24. Ο τρίτος στον οποίο διαβιβάζονται τα δεδομένα επεξεργάζεται αυτά μόνο για το σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται μόνον εφόσον πληρούνται οι προϋποθέσεις του άρθρου 24.
2. Οι δημόσιοι φορείς επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα σε ιδιωτικούς φορείς εφόσον:
α) η διαβίβαση είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει και πληρούνται περαιτέρω και οι προϋποθέσεις του άρθρου 24·
β) ο τρίτος στον οποίο διαβιβάζονται έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και το υποκείμενο των δεδομένων δεν έχει έννομο συμφέρον να μην διαβιβασθούν τα δεδομένα που το αφορούν· ή
γ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων· και ο τρίτος δεσμεύθηκε έναντι του δημόσιου φορέα που του διαβίβασε τα δεδομένα ότι θα τα επεξεργαστεί μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται, εάν επιτρέπεται η διαβίβαση σύμφωνα με την παράγραφο 1 και ο φορέας διαβίβασης έχει παράσχει τη συγκατάθεσή του για τη διαβίβαση.
3. Η διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ, επιτρέπεται εφόσον πληρούνται οι προϋποθέσεις της παραγράφου 1 ή της παραγράφου 2 και εφαρμόζεται μία από τις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή σύμφωνα με το άρθρο 22 του παρόντος.



Άρθρο 27
Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης

Με το άρθρο 27 παράγραφοι 1, 2, 5 επ. τίθενται οι ειδικότερες προϋποθέσεις και οι όροι επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης σε συμφωνία με τη «ρήτρα ανοίγματος» της παραγράφου 1 του άρθρου 88 του ΓΚΠΔ. Η εν λόγω ρήτρα επιτρέπει τη θέσπιση εθνικών ρυθμίσεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης, εκτός από τον δημόσιο και στον ιδιωτικό τομέα. Τα εξωτερικά όριά της ρυθμίζονται, ωστόσο, από την παράγραφο 2 του ανωτέρω άρθρου του ΓΚΠΔ.
Με το προτεινόμενο άρθρο ο εθνικός νομοθέτης κάνει χρήση αυτής της δυνατότητας και εισάγει μία κανονιστική ρύθμιση, η διατύπωση της οποίας προσαρμόζεται με την ορολογία του ΓΚΠΔ. Ο εθνικός νομοθέτης διατηρεί, πάντως, το δικαίωμα να ρυθμίσει θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης είτε εντός της προτεινόμενης διάταξης, είτε στο πλαίσιο μίας ειδικής - τομεακής ρύθμισης. Η τελευταία συγκεκριμενοποιεί ορισμένες αρχές, οι οποίες έχουν παραχθεί νομολογιακά. Αυτό ισχύει για παράδειγμα για την απαγόρευση της βιντεοεπιτήρησης στο χώρο εργασίας, για τους ειδικότερους όρους επεξεργασίας δεδομένων υγείας και βιομετρικών δεδομένων του εργαζομένου, για το επιτρεπτό ή μη της χρήσης συστημάτων γεωεντοπισμού ή για την κατάρτιση ενός κανονισμού χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής παρακολούθησης, λαμβάνοντας υπόψη αποφάσεις και Οδηγίες της Αρχής, τη Γνώμη 2/2017 της Ομάδας Εργασίας του άρθρου 29 (Opinion 2/2017 Data processing at work), καθώς και τη νομολογία των δικαστηρίων και ιδίως του ΕΔΔΑ.
Στο νομοθετικό αυτό πλαίσιο η παράγραφος 1 ρυθμίζει τους σκοπούς και τους όρους υπό τους οποίους επιτρέπεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα τόσο κατά το στάδιο πριν από την κατάρτιση της σύμβασης εργασίας όσο και κατά τη διάρκειά της, αλλά και μετά τη λήξη της, εάν αυτό είναι απαραίτητο για το σκοπό της απασχόλησης. Στο πλαίσιο της εξέτασης της αναγκαιότητας, πρέπει να σταθμίζονται οι συγκρουόμενες θέσεις των θεμελιωδών δικαιωμάτων για την επίτευξη πρακτικής αντιστοιχίας. Πρέπει, δηλαδή, τα συμφέροντα του εργοδότη στην επεξεργασία δεδομένων προσωπικού χαρακτήρα και το δικαίωμα προσωπικότητας του εργαζομένου να έρχονται σε μια «ήπια ισορροπία», η οποία λαμβάνει υπόψη και τα δύο συμφέροντα όσο το δυνατόν περισσότερο.
Με το πρώτο εδάφιο διευκρινίζεται ότι τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων υποβάλλονται σε επεξεργασία για τους σκοπούς της απασχόλησης, στο βαθμό που αυτό είναι απαραίτητο για την άσκηση ή την εκπλήρωση των δικαιωμάτων και υποχρεώσεων που απορρέουν από το νόμο, από συλλογική σύμβαση ή από ατομική σύμβαση εργασίας. Στην έννοια των «συλλογικών συμβάσεων» περιλαμβάνονται όλα τα είδη των ΣΣΕ, δηλαδή η εθνική γενική συλλογική σύμβαση, οι κλαδικές, επιχειρησιακές κ.λ.π. συλλογικές συμβάσεις, όπως αυτές προβλέπονται στο άρθρο 3 παράγραφος 1 του ν. 1876/1990 ( Α' 27). Ειδική αναφορά γίνεται στα συμβούλια εργαζομένων λόγω και του ιδιαίτερου ρόλου τους σε θέματα οργάνωσης στο χώρο εργασίας (βλ ν. 1767/1988, Α'63) «Συμβούλια εργαζομένων και άλλες εργατικές διατάξεις - Κύρωση της 135ης διεθνούς σύμβασης εργασίας» και με την οποία εισήχθη στην ελληνική έννομη τάξη ο θεσμός των συμβουλίων εργαζομένων.
Ωστόσο, πρέπει να υπομνησθεί ότι η λάθρα παρακολούθηση από τον εργοδότη της θεμιτής χρήσης από τον εργαζόμενο του διαδικτύου (internet) εξέρχεται των ορίων της παραγράφου 1 του άρθρου 1 του προτεινόμενου άρθρου. Στην περίπτωση όμως που η «περιήγηση» στο διαδίκτυο (internet) από τον εργαζόμενο κατά την ώρα της εργασίας τού έχει απαγορευτεί ρητά από τον εργοδότη, μπορεί να πραγματοποιηθούν έλεγχοι από τον τελευταίο υπό τις αυστηρές προϋποθέσεις του άρθρου 8 της ΕΣΔΑ (βλ. ΕΔΔΑ υπόθεση Barbulescu κατά Ρουμανίας, σκέψη 121). Εντούτοις, τα Whistleblowing - Συστήματα αν και ξένα προς την ελληνική πρακτική στο χώρο της απασχόλησης, θα μπορούσαν να βρουν πεδίο εφαρμογής, υπό προϋποθέσεις, εντός της παραγράφου 1 του προτεινόμενου άρθρου.
Με το δεύτερο εδάφιο της παραγράφου 1 διευκρινίζονται οι όροι επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων προκειμένου να εντοπίζονται τα εγκλήματα που διαπράττονται, ενώ αυτοί απασχολούνται. Η σχετική ρύθμιση σκοπό έχει αφενός να υπερκεράσει την απόλυτη απαγόρευση που καθιερώνεται από το άρθρο 10 ΓΚΠΔ να αποτελέσουν αντικείμενο επεξεργασίας από ιδιώτες αξιόποινες πράξεις άλλων, χωρίς να προβλέπεται ειδική νομική βάση επεξεργασίας είτε με βάση το δίκαιο της Ένωσης είτε με βάση το εθνικό δίκαιο, αφετέρου να περιορίσει στο ελάχιστο με τους αυστηρούς όρους που τίθενται με αυτή να αποφευχθούν καταχρήσεις από τους εργοδότες να προβαίνουν σε προληπτικό έλεγχο τυχόν τέλεσης ποινικών αδικημάτων από τους εργαζόμενους που απασχολούν στις επιχειρήσεις τους. Σε κάθε περίπτωση η νομική βάση του άρθρου 6 παράγραφος 1 στ) του ΓΚΠΔ δεν επαρκεί από άποψη ασφάλειας δικαίου και προστασίας των θεμελιωδών δικαιωμάτων του υποκειμένου να αναγνωρίσει στον εργοδότη ένα τέτοιο δικαίωμα. Από τη διατύπωση αυτή του άρθρου 10 της νομικής πράξης του ΓΚΠΔ συνάγεται αβίαστα ότι για να επιτραπεί η επεξεργασία από τον εργοδότη των δεδομένων προσωπικού χαρακτήρα του εργαζόμενου στο πλαίσιο της απασχόλησης, για την αποκάλυψη τέλεσης από αυτόν τυχόν ποινικών αδικημάτων ενώ απασχολείται, απαιτείται ειδική νομική βάση. Δεν είναι μόνο λόγοι δίωξης του εγκλήματος που επιβάλλουν την πρόβλεψη της σχετικής ρύθμισης, αλλά και λόγοι του δικαίου καταγγελίας της σύμβασης εργασίας. Σύμφωνα με το άρθρο 5 παράγραφος 1 του ν. 2112/1920, ο εργοδότης έχει τη νομική ευχέρεια να καταγγείλει τη σύμβαση εργασίας, δίχως να προβεί στην τήρηση κάποιας προθεσμίας, υπό την προϋπόθεση ότι εναντίον του εργαζομένου υπεβλήθη μήνυση για αξιόποινη πράξη που διαπράχθηκε κατά την άσκηση της υπηρεσίας του ή απαγγέλθηκε κατ' αυτού κατηγορία για αδίκημα, το οποίο χαρακτηρίζεται τουλάχιστον ως πλημμέλημα. Για να μπορέσει, λοιπόν, ο εργοδότης να θεμελιώσει ένα τέτοιο δικαίωμα και να αντικρούσει επιτυχώς την υποβολή από τον εργαζόμενο της ένστασης του άρθρου 281 ΑΚ, ότι δηλαδή η καταγγελία έγινε προσχηματικά, χωρίς να στηρίζεται σε βάσιμα περιστατικά, χρειάζεται επαρκή αποδεικτικά στοιχεία για την τέλεση της αξιόποινης πράξης. Η προβλεπόμενη διάταξη εφαρμόζεται μόνο για την αποκάλυψη ενός ποινικού αδικήματος (πλημμελήματος ή κακουργήματος), το οποίο συνάπτεται με τη σύμβαση εργασίας (λ.χ. όταν πρόκειται για τέλεση του ποινικού αδικήματος της υπεξαίρεσης αντικειμένων του εργοδότη, όπως η υπεξαίρεση κονδυλίων του εργοδότη, της φθοράς ξένης ιδιοκτησίας), αλλά και όταν πρόκειται για την τέλεση αξιόποινων πράξεων σε βάρος συναδέλφων ή σε βάρος πελατών των εργοδοτών. Απαιτείται περαιτέρω η ύπαρξη (πραγματικών) αποδείξεων που να θεμελιώνουν την υποψία. Ο βαθμός της (συγκεκριμένης) υποψίας δεν προσδιορίζεται. Ωστόσο, πρέπει η υποψία να είναι τεκμηριωμένη και να υπόκειται στην αρχή της αναλογικότητας, εκτιμώμενη εκ των υστέρων (ex post). Για την εφαρμογή της εν λόγω διάταξης δεν αρκούν τυχαία ευρήματα, αλλά η επεξεργασία πρέπει να κατευθύνεται στην αποκάλυψη μιας αξιόποινης πράξης, και πρέπει να είναι αναγκαία, δηλαδή να μη υπάρχουν άλλες λιγότερο εντατικές παρεμβάσεις στον πληροφοριακό αυτοπροσδιορισμό του ατόμου ή στο δικαίωμα του άρθρου 8 του Χάρτη της ΕΕ και τέλος, πρέπει να γίνεται στάθμιση ότι το προστατευόμενο συμφέρον του εργοδότη να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα του απασχολούμενου για την αποκάλυψη μιας αξιόποινης πράξης υπερτερεί του συμφέροντος του εργαζομένου.
Με την παράγραφο 2 λαμβάνεται υπόψη ο ιδιαίτερος χαρακτήρας της εργασιακής σχέσης ως σχέσης εξάρτησης και η κατάσταση του απασχολούμενου που προκύπτει από αυτή. Πρόκειται, επίσης, για μια πιο ειδική διάταξη κατά την έννοια του άρθρου 88 παράγραφος 1 του ΓΚΠΔ. Με αυτή ρυθμίζονται ειδικότερα οι προϋποθέσεις της έγκυρης και ελεύθερης συγκατάθεσης, όπως ορίζεται στην αιτιολογική σκέψη 155 του ΓΚΠΔ, ως νόμιμης βάσης επεξεργασίας σε εξαιρετικές περιπτώσεις. Η συγκατάθεση του εργαζομένου δεν μπορεί να χρησιμοποιηθεί ως συνήθης βάση επεξεργασίας, καθώς στην πλειονότητα των περιπτώσεων δεν μπορεί να χαρακτηριστεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών στη σχέση απασχόλησης. Αναφέρονται ενδεικτικά περιπτώσεις στις οποίες η συγκατάθεση μπορεί πράγματι να είναι ελεύθερη παρά την ανισότητα των μερών, όπως όταν η επεξεργασία συνδέεται με μια οικονομικής φύσης παροχή προς τον εργαζόμενο, με την ικανοποίηση δικαιώματος του εργαζομένου που απορρέει από τη σύμβαση ή τον νόμο ή όταν εργοδότης και εργαζόμενος επιδιώκουν από κοινού τον ίδιο σκοπό. Εν προκειμένω ορίζεται ότι η συγκατάθεση παρέχεται εγγράφως, είτε σε αναλογική είτε σε ηλεκτρονική μορφή, από τον εργαζόμενο και ότι ο τελευταίος μπορεί να την ανακαλέσει ή να αρνηθεί να την παράσχει εξαρχής χωρίς δυσμενείς γι' αυτόν συνέπειες.
Με την παράγραφο 3 εδάφιον α' κατ' εφαρμογή της "ρήτρας ανοίγματος" του άρθρου 9 παράγραφος 2 στοιχείο β) του ΓΚΠΔ καθορίζονται σύμφωνα με το εθνικό δίκαιο οι προϋποθέσεις επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατ'εξαίρεση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ, όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου της κοινωνικής ασφάλισης και κοινωνικής προστασίας. Διευκρινίζεται, τέλος, ότι η επεξεργασία δεδομένων υγείας για σκοπούς απασχόλησης μπορεί επίσης να περιλαμβάνει την επεξεργασία των δεδομένων αυτών για λόγους αξιολόγησης της επιλεξιμότητας του εργαζομένου. Με το εδάφιο β' γίνεται κατά παραπομπή αναφορά στις προϋποθέσεις για τη συγκατάθεση της παραγράφου 2 με την επισήμανση ότι αυτή πρέπει να είναι ρητή. Τέλος, στο εδάφιο β'(ίπ fine) γίνεται κατά παραπομπή αναφορά στα μέτρα του άρθρου 22 εδ. β' παράγραφος 3.
Με την παράγραφο 4 ορίζεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων και των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης επιτρέπεται βάσει συλλογικών συμβάσεων εργασίας. Το άρθρο 88 παράγραφος 1 του ΓΚΠΔ επιτρέπει τη θέσπιση ειδικών κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μέσω των συλλογικών συμβάσεων εργασίας. Η πρόβλεψη αυτή για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα βασίζεται στο άρθρο 9 παράγραφος 2 στοιχείο β) του ΓΚΠΔ. Ειδικά οι ΣΣΕ και οι κανονισμοί εργασίας διαδραματίζουν σημαντικό ρυθμιστικό ρόλο στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων. Ως εκ τούτου, η προτεινόμενη παράγραφος υπερβαίνει τις απαιτήσεις του άρθρου 88 παρ. 1 ΓΚΠΔ, καθόσον σε αυτή δεν περιλαμβάνονται μόνο οι συλλογικές συμβάσεις εργασίας, αλλά και οι συμβάσεις πλαισίου απασχόλησης «εργασιακές συμφωνίες» ή συμβάσεις παροχής υπηρεσιών, οι οποίες εξακολουθούν να αποτελούν τη νομική βάση των κανονισμών για την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων. Θα πρέπει να επιτρέπεται στα διαπραγματευόμενα μέρη των συλλογικών συμβάσεων ο σχεδιασμός μιας προσαρμοσμένης στις επιχειρησιακές ανάγκες προστασίας των δικαιωμάτων των εργαζομένων. Θα πρέπει, επίσης, τα διαπραγματευόμενα μέρη να διαθέτουν περιθώριο διακριτικής ευχέρειας βάσει του ισχύοντος νόμου, συμπεριλαμβανομένου του ΓΚΠΔ. Περαιτέρω, πρέπει να τηρείται το άρθρο 88 παράγραφος 2 του ΓΚΠΔ και να λαμβάνονται επίσης υπόψη οι απαιτήσεις του άρθρου 9 παράγραφος 2 στοιχείο β) του ΓΚΠΔ κατά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
Με την παράγραφο 5 τίθεται η πρόβλεψη ο υπεύθυνος επεξεργασίας να λαμβάνει, σύμφωνα και με το άρθρο 5 του ΓΚΠΔ, τα κατάλληλα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και συμφερόντων του εργαζομένου. Για παράδειγμα, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να διασφαλίζεται ότι γίνεται νόμιμα, με καλή πίστη και κατά τρόπο κατανοητό για τον εργαζόμενο. Τα δεδομένα αποθηκεύονται σε μορφή που επιτρέπει την ταυτοποίηση του εργαζόμενου μόνο για όσο διάστημα είναι απαραίτητο για τους σκοπούς για τους οποίους γίνεται η επεξεργασία. Ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι η επεξεργασία γίνεται κατά τρόπο που διασφαλίζει επαρκή ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία. Λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τον χρόνο της πραγματικής επεξεργασίας, με σκοπό την αποτελεσματική εφαρμογή των αρχών προστασίας δεδομένων, όπως η ελαχιστοποίηση των δεδομένων. Ο υπεύθυνος επεξεργασίας λαμβάνει μέτρα, ώστε τα πρόσωπα που βρίσκονται υπό την εποπτεία του και έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα να τα επεξεργάζονται μόνο με βάση τις οδηγίες του, εκτός εάν είναι νομικά υποχρεωμένα να τα επεξεργάζονται.
Με την παράγραφο 6 καθίσταται σαφές ότι τα δικαιώματα συμμετοχής των φορέων εκπροσώπησης των εργαζομένων παραμένουν ανεπηρέαστα.
Με την παράγραφο 7 τίθεται πρόβλεψη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων και των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, των εργαζομένων, στην περίπτωση που τα δεδομένα αυτά ως εκ της φύσεώς τους δεν αποθηκεύονται ή δεν πρόκειται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.
Με την παράγραφο 8 τίθεται η πρόβλεψη ότι η παρακολούθηση μέσω συστημάτων καταγραφής επιτρέπεται υπό προϋποθέσεις και για την επίτευξη συγκεκριμένων σκοπών, ενώ προβλέπεται ρητά η υποχρέωση έγγραφης ενημέρωσης των εργαζομένων για την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης εντός των εργασιακών χώρων (βλ. και άρθρο 13 παράγραφος 1 του ΓΚΠΔ).
Τέλος, με την παράγραφο 9 για να αποφευχθεί τυχόν ασάφεια ως προς το πεδίο εφαρμογής ορίζεται η έννοια του εργαζομένου στην οποία περιλαμβάνεται ακόμα και ο παρέχων υπηρεσίες σε εθελοντική βάση, καθώς και ο ασκούμενος σε ένα επάγγελμα, προς το σκοπό επαγγελματικής του κατάρτισης.
 

1. Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων υποβάλλονται σε επεξεργασία στο πλαίσιο της σχέσης απασχόλησης, όταν αυτό είναι απαραίτητο για τους σκοπούς της πρόσληψης ή, μετά την πρόσληψη, για την εκτέλεση της σύμβασης εργασίας ή για άσκηση δικαιωμάτων ή την εκτέλεση υποχρεώσεων που προβλέπονται από το νόμο, τις συλλογικές συμβάσεις εργασίας, τους κανονισμούς εργασίας μεταξύ εργοδοτών και συμβουλίων εργαζομένων ή την ατομική σύμβαση εργασίας. Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβληθούν σε επεξεργασία για την αποκάλυψη ποινικών αδικημάτων μόνο εάν υπάρχουν τεκμηριωμένα αποδεικτικά στοιχεία, τα οποία δικαιολογούν την υποψία ότι το υποκείμενο των δεδομένων έχει διαπράξει ποινικό αδίκημα ενώ απασχολείται, η επεξεργασία είναι απαραίτητη για τη αποκάλυψη του ποινικού αδικήματος, και το προστατευόμενο συμφέρον του εργαζομένου σε σχέση με την επεξεργασία δεν υπερτερεί, ιδίως δε, όταν ο τρόπος και η έκταση της επεξεργασίας κατά την περίσταση δεν είναι δυσανάλογα.
2. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα θεμελιώνεται στη συγκατάθεση του εργαζομένου, αυτή παρέχεται εγγράφως, είτε σε αναλογική είτε σε ηλεκτρονική μορφή. Ο εργοδότης οφείλει να αποδείξει, εφόσον του ζητηθεί, ότι έχει ενημερώσει τον εργαζόμενο σύμφωνα με τα οριζόμενα στην παράγραφο 3 του άρθρου 7 του ΓΚΠΔ, καθώς και ότι ο εργαζόμενος έχει δυνατότητα γνήσιας και ελεύθερης επιλογής και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς δυσμενείς συνέπειες για αυτόν. Η συγκατάθεση θεωρείται ότι είναι αποτέλεσμα ελεύθερης επιλογής, ιδίως όταν συνδέεται με μια οικονομικής φύσης παροχή προς τον εργαζόμενο ή με την ικανοποίηση δικαιώματος του εργαζομένου που απορρέει από τη σύμβαση, το εργατικό δίκαιο, τις συλλογικές συμβάσεις εργασίας και το δίκαιο της κοινωνικής ασφάλισης ή όταν εργοδότης και εργαζόμενος επιδιώκουν από κοινού τον ίδιο σκοπό.
3. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ για τους σκοπούς της σχέσης απασχόλησης επιτρέπεται, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και το έννομο συμφέρον του υποκειμένου των δεδομένων σε σχέση με την επεξεργασία δεν υπερτερεί. Η παράγραφος 2 ισχύει επίσης για τη συγκατάθεση στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα· η συγκατάθεση πρέπει να αναφέρεται ρητά στα δεδομένα αυτά. Το άρθρο 22 παράγραφος 3 εδάφιο β' εφαρμόζεται ανάλογα.
4. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, στο πλαίσιο της απασχόλησης, βάσει συλλογικών συμβάσεων εργασίας. Τα διαπραγματευόμενα μέρη συμμορφώνονται με το άρθρο 88 παράγραφος 2 του ΓΚΠΔ
5. Κατά τη συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της σχέσης απασχόλησης ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του ΓΚΠΔ
6. Τα δικαιώματα συμμετοχής των φορέων εκπροσώπησης των εργαζομένων παραμένουν ανεπηρέαστα.
7. Οι παράγραφοι 1 έως 6 εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων και των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να πρόκειται να αποθηκευτών σε ένα σύστημα αρχειοθέτησης.
8. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας απαγορεύεται. Κατ' εξαίρεση, επιτρέπεται μόνο εάν είναι απαραίτητη για το σκοπό της προστασίας προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως και ατομικώς για την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης.
9. Για τους σκοπούς του ΓΚΠΔ και του παρόντος νόμου ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών, στον δημόσιο και στον ιδιωτικό τομέα, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.



Άρθρο 28
Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

Με το άρθρο 28 ρυθμίζεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς και στο πλαίσιο άσκησης της ελευθερίας της έκφρασης, συμπεριλαμβανομένης και της ακαδημαϊκής ελευθερίας (βλ άρθρο 13 του Χάρτη), σύμφωνα με την ευχέρεια που αναγνωρίζει στον εθνικό νομοθέτη το άρθρο 85 του ΓΚΠΔ. Το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνεται στο άρθρο 8 του Χάρτη δεν είναι απόλυτο, αλλά πρέπει να λαμβάνεται υπόψη σε σχέση με το ρόλο που επιτελεί στην κοινωνία. Όπως απόλυτο δεν είναι εξάλλου και το θεμελιώδες δικαίωμα της προστασίας της ιδιωτικής ζωής (άρθρο 7 του Χάρτη). Αμφότερα τα δικαιώματα αυτά πραγματώνουν την επικοινωνία σε μία ελεύθερη κοινωνία, και δεν προστατεύουν μόνο προσωπικά δικαιώματα αλλά και δικαιώματα της ολότητας. Η σχέση μεταξύ του θεμελιώδους δικαιώματος της προστασίας των δεδομένων προσωπικού χαρακτήρα με τα άλλα κεντρικά δικαιώματα επικοινωνίας, κυρίως της ελευθερίας της γνώμης και της πληροφόρησης, δεν είναι ελεύθερη εντάσεων, στην περίπτωση που θίγονται διαφορετικοί φορείς θεμελιωδών δικαιωμάτων. Εν τω μεταξύ έχει αναγνωριστεί παγκοσμίως ότι οι ρυθμίσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν εφαρμόζονται στις περιπτώσεις εκείνες κατά τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα λαμβάνει χώρα στο πεδίο προστασίας της ελευθερίας της γνώμης και της πληροφόρησης.
Ως εκ τούτου, κατά πάγια νομολογία τόσο του ΕΔΔΑ όσο και του ΔΕΕ, είναι ανάγκη να γίνεται ορθή στάθμιση δικαιωμάτων κατά την εφαρμογή και την ερμηνεία του άρθρου 8 ΕΣΔΑ και του άρθρου 52 του Χάρτη. Αναφορικά με τη στάθμιση μεταξύ του δικαιώματος στα δεδομένα προσωπικού χαρακτήρα και της ελευθερίας στην πληροφόρηση και κυρίως του δικαιώματος πληροφόρησης της ολότητας, το ΔΕΕ στην υπόθεση Goοgle-Spain (βλ. απόφαση ΔΕΕ της 13ης Μαΐου 2014, C-131/12) θεώρησε αναγκαία τη σύγκριση μεταξύ των θεμελιωδών δικαιωμάτων του προσώπου που απορρέουν από τα άρθρα 7 και 8 του Χάρτη με το συμφέρον του κοινού, κυρίως του χρήστη του διαδικτύου στην πρόσβαση σε πληροφορίες προσωπικού χαρακτήρα. Έτσι, δέχτηκε το ΔΕΕ ότι τα δικαιώματα του προσώπου υπερισχύουν γενικά όχι μόνο του οικονομικού συμφέροντος της επιχείρησης της "μηχανής αναζήτησης", αλλά και έναντι του συμφέροντος του χρήστη του διαδικτύου. Σε ιδιαίτερες όμως περιπτώσεις αποθήκευσης πρέπει να σταθμίζεται περισσότερο ο ρόλος, που το πρόσωπο παίζει στη δημόσια ζωή. Αντιστρόφως, μπορεί ο ευαίσθητος χαρακτήρας των δεδομένων προσωπικού χαρακτήρα και η χρονική απόσταση από την πρώτη επεξεργασία να συνηγορεί υπέρ του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα.
Ένα από τα δικαιώματα, το οποίο είναι πιθανόν να συγκρούεται με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα είναι το δικαίωμα στην ελευθερία της έκφρασης. Η ελευθερία της έκφρασης κατοχυρώνεται στο άρθρο 11 του Χάρτη («Ελευθερία έκφρασης και πληροφόρησης»). Το δικαίωμα αυτό περιλαμβάνει την «ελευθερία γνώμης και την ελευθερία λήψης ή μετάδοσης πληροφοριών ή ιδεών, χωρίς την ανάμειξη δημοσίων αρχών και αδιακρίτως συνόρων». Το άρθρο 11 αντιστοιχεί στο άρθρο 10 ΕΣΔΑ. Σύμφωνα με το άρθρο 52 παράγραφος 3 του Χάρτη, στο μέτρο που ο Χάρτης περιλαμβάνει δικαιώματα που αντιστοιχούν σε δικαιώματα τα οποία διασφαλίζονται στην ΕΣΔΑ, «η έννοια και η εμβέλειά τους είναι ίδιες με εκείνες που τους επιφυλάσσει η εν λόγω σύμβαση». Ως εκ τούτου, οι περιορισμοί που επιβάλλονται νόμιμα στο δικαίωμα που κατοχυρώνεται στο άρθρο 11 του Χάρτη δεν δύνανται να βαίνουν πέραν των προβλεπόμενων στο άρθρο 10 παράγραφος 2 της ΕΣΔΑ, ήτοι πρέπει να προβλέπονται από τον νόμο και να είναι αναγκαίοι σε μια δημοκρατική κοινωνία «για την προστασία της υπόληψης ή των δικαιωμάτων των άλλων [...]». Η αντίληψη αυτή διέπει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Το δικαίωμα προστασίας της ιδιωτικής ζωής (άρθρο 9 παρ.1 Συντ.) και των δεδομένων προσωπικού χαρακτήρα ( άρθρο 9 Α Συντ.) συχνά επίσης συγκρούονται με την ελευθερία έκφρασης και του Τύπου για την ενημέρωση του κοινού (άρθρο 14 παρ. 1 Συντ.) καθώς και με το δικαίωμα στην πληροφόρηση (άρθρο 5 Α Συντ.). Και στην περίπτωση αυτή γίνεται στάθμιση μεταξύ των αντιτιθέμενων συμφερόντων (βλ. Σ.τ.Ε. 3545/2002 7μ).
Η σχέση μεταξύ προστασίας δεδομένων προσωπικού χαρακτήρα και ελευθερίας της έκφρασης ρυθμίζεται στο άρθρο 86 του ΓΚΠΔ, το οποίο τιτλοφορείται «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης». Σύμφωνα με το άρθρο αυτό, τα κράτη μέλη καλούνται να προβλέψουν ορισμένες παρεκκλίσεις ή ορισμένους περιορισμούς όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα και, επομένως, όσον αφορά το θεμελιώδες δικαίωμα στην ιδιωτική ζωή (privacy), το οποίο προβλέπουν, ιδίως, τα κεφάλαια II , ΙΙΙ, IV και VI του ΓΚΠΔ. Οι σχετικές παρεκκλίσεις πρέπει να προβλέπονται αποκλειστικά για δημοσιογραφικούς σκοπούς ή στο πλαίσιο ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, που εμπίπτουν στο θεμελιώδες δικαίωμα της ελευθερίας του λόγου, μόνον καθόσον αυτές είναι αναγκαίες για τον συμβιβασμό του δικαιώματος στην ιδιωτική ζωή προς τους κανόνες που διέπουν την ελευθερία της έκφρασης.
Όσον αφορά τη στάθμιση μεταξύ του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και του δικαιώματος στην ελευθερία της έκφρασης, έχουν διατυπωθεί από το ΕΔΔΑ, με αφορμή σχετικές υποθέσεις. [βλ. ενδεικτικά αποφάσεις ΕΔΔΑ, Axel Springer AG κατά Γερμανίας, Τμήμα Ευρείας Σύνθεσης, προσφυγή αριθ. 39954/08, 7 Φεβρουαρίου 2012, σκέψεις 90 και 91 και Von Hannover κατά Γερμανίας (προσφυγή αριθ. 2) (Τμήμα Ευρείας Σύνθεσης)] τα ακόλουθα νομολογικά κριτήρια: 1. κατά πόσον το συμβάν που αφορά το δημοσίευμα είναι γενικότερου ενδιαφέροντος: η σύλληψη και καταδίκη ενός προσώπου είναι δημόσιο δικαστικό περιστατικό, συνεπώς ενδιαφέρει το κοινό, 2. κατά πόσον το θιγόμενο πρόσωπο είναι δημόσιο πρόσωπο 3. πώς αποκτήθηκαν οι πληροφορίες και κατά πόσον ήταν αξιόπιστες: οι πληροφορίες προέρχονταν από την Εισαγγελία και η ακρίβεια του περιεχομένου αμφότερων των δημοσιευμάτων δεν αμφισβητήθηκε από τους διαδίκους και 4. εάν το συμβάν συνέβαλε τουλάχιστον ως ένα βαθμό σε μια δημόσια συζήτηση γενικότερου ενδιαφέροντος.
Αντίστοιχη είναι η προσέγγιση και από το ΔΕΕ, όσον αφορά ειδικότερα την έννοια του δημοσιογραφικού σκοπού. Το Δικαστήριο έχει αποφανθεί ότι, προκειμένου να ληφθεί υπόψη η σημασία που έχει η ελευθερία του λόγου εντός κάθε δημοκρατικής κοινωνίας, οι σχετικές έννοιες, μεταξύ των οποίων εκείνη του δημοσιογραφικού σκοπού, πρέπει να ερμηνεύονται ευρέως, καθώς και ότι οι εξαιρέσεις και οι παρεκκλίσεις που προέβλεπε το άρθρο 9 της Οδηγίας 95/46, ισχύουν όχι μόνο για τις επιχειρήσεις μέσων μαζικής ενημερώσεως, αλλά και για κάθε άτομο που ασκεί δημοσιογραφική δραστηριότητα, ανεξάρτητα αν αυτό ασκεί κατ'επάγγελμα τη δημοσιογραφία, αρκεί δε ότι «δημοσιογραφικές δραστηριότητες» είναι αυτές που έχουν ως σκοπό την ανακοίνωση στο κοινό πληροφοριών, απόψεων ή ιδεών, με οποιονδήποτε τρόπο (πρβλ. απόφαση της 16ης Δεκεμβρίου 2008, Satakunnan Markkinaporssi και Satamedia, C-73/07, EU:C:2008:727, σκέψη 56, 58 και 61, απόφαση της 14ης Φεβρουαρίου 2019, Sergejs Buivids, C -345/17, σκέψεις 52-53 ).
Με την παράγραφο 2 του προτεινόμενου άρθρου προβλέπεται σε εκτέλεση του άρθρου 85 του ΓΚΠΔ η δυνατότητα από τα κράτη μέλη θέσπισης εξαιρέσεων και παρεκκλίσεων από την εφαρμογή διατάξεων συγκεκριμένων Κεφαλαίων του τελευταίου, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία έκφρασης και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη.
 

1. Στο βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς, και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν:
α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του, β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο, γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και δ) περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας, λαμβάνοντας υπόψη το δικαίωμα του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή.
2.Στο πλαίσιο επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης δεν εφαρμόζεται: α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5, β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματά του Υποκειμένου», γ) το Κεφάλαιο IV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32, δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς», ε) το Κεφάλαιο VI του ΓΚΠΔ «Ανεξάρτητες Εποπτικές Αρχές», στ ) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και ζ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».



Άρθρο 29
Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον

Στο άρθρο 5 παράγραφος 1 στοιχεία β) και ε) του ΓΚΠΔ προβλέπεται η διακεκριμένη περίπτωση της επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον. Σύμφωνα με τη βασική σκέψη τα δημόσια αρχεία σκοπό έχουν να διατηρήσουν καταχωρίσεις μόνιμης αξίας για το γενικό δημόσιο συμφέρον. Εμφορούμενο από αυτήν την αρχή το άρθρο 9 παρ. 2 στοιχείο ι) ΓΚΠΔ επιτρέπει την επεξεργασία ευαίσθητων δεδομένων, όταν είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον. Στην τελευταία περίπτωση η επεξεργασία προβλέπεται να γίνεται σύμφωνα με τις αρχές της αναγκαιότητας και αναλογικότητας σε σχέση με τον επιδιωκόμενο σκοπό και μετά από λήψη συγκεκριμένων μέτρων για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων.
Ειδικότερα, με την παράγραφο 1 του άρθρου 29 προβλέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον κατά παρέκκλιση από το άρθρο 9 παράγραφο 1 του ΓΚΠΔ υπό τους όρους της αναγκαιότητας της αρχειοθέτησης προς το δημόσιο συμφέρον και εφόσον ληφθούν κατάλληλα και συγκεκριμένα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Σύμφωνα και με τη «ρήτρα ανοίγματος» του άρθρου 89 παράγραφος 3 του ΓΚΠΔ, στην παράγραφο 2 τίθεται, υπό προϋποθέσεις ο περιορισμός του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα που το αφορούν, ενώ στην παράγραφο 3 τίθεται υπό προϋποθέσεις ο περιορισμός του δικαιώματος διόρθωσης των δεδομένων προσωπικού χαρακτήρα που το αφορούν και τέλος, στην παράγραφο 4 τίθεται, υπό προϋποθέσεις ο περιορισμός των δικαιωμάτων του υποκειμένου δεδομένων προσωπικού χαρακτήρα και συγκεκριμένα του δικαιώματός του για περιορισμό της επεξεργασίας, του δικαιώματός του στη φορητότητα των δεδομένων και του δικαιώματος εναντίωσης.
 

1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται όταν είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται, στο πλαίσιο του εφικτού, ιδίως:
α) ο ορισμός ΥΠΔ·
β) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία
γ) η χρήση ψευδωνύμων των δεδομένων προσωπικού χαρακτήρα· και δ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα.
2. Κατά παρέκκλιση από το άρθρο 15 του ΓΚΠΔ, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε δεδομένα που το αφορούν μπορεί να περιοριστεί, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1, και η άσκηση του δικαιώματος θα απαιτούσε δυσανάλογη προσπάθεια.
3. Κατά παρέκκλιση από το άρθρο 16 του ΓΚΠΔ, το υποκείμενο των δεδομένων δεν έχει δικαίωμα διόρθωσης των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1 ή την άσκηση δικαιωμάτων τρίτων.
4. Κατά παρέκκλιση των οριζόμενων στα άρθρα 18 παράγραφος 1 εδάφια α), β) και δ) και στα άρθρα 20 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την επίτευξη των σκοπών αυτών.



Άρθρο 30
Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων

Στο άρθρο 5 παράγραφος 1 στοιχεία β) και ε) προβλέπεται η διακεκριμένη περίπτωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων. Περαιτέρω, ομοίως και με την περίπτωση του προηγούμενου άρθρου, το άρθρο 9 παράγραφος 2 στοιχείο ι) ΓΚΠΔ επιτρέπει την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Στην τελευταία περίπτωση η επεξεργασία γίνεται σύμφωνα με τις αρχές της αναγκαιότητας και αναλογικότητας προς τον επιδιωκόμενο σκοπό και λήψης συγκεκριμένων μέτρων. Επισημαίνεται εξάλλου ότι σύμφωνα και με ρητή πρόβλεψη στο άρθρο 13 του Χάρτη των Θεμελιωδών
Δικαιωμάτων της ΕΕ η τέχνη και η επιστημονική έρευνα είναι ελεύθερες, ενώ και στο άρθρο 16 παράγραφος 1 του Συντάγματος προβλέπεται ότι η τέχνη, η επιστήμη, η έρευνα και η διδασκαλία είναι ελεύθερες. Στο ίδιο άνω άρθρο 5 παρ. 1 στοιχεία β) και ε) προβλέπεται η διακεκριμένη περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα για επιστημονικούς και ιστορικούς ερευνητικούς σκοπούς, χωρίς ωστόσο να γίνεται ειδικότερη αναφορά στο δημόσιο συμφέρον. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας θα πρέπει να ερμηνεύεται διασταλτικά. Στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για στατιστικούς λόγους λαμβάνεται ιδιαίτερα υπόψη η αρχή της ελαχιστοποίησης.
Ειδικότερα, με την παράγραφο 1 του άρθρου 30 προβλέπεται ότι η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά ορίζονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, επιτρέπεται και χωρίς τη χορήγηση συγκατάθεσης του υποκειμένου, υπό την προϋπόθεση τήρησης της αρχής της αναγκαιότητας προς το εκάστοτε σκοπό της επεξεργασίας που προβλέπεται στο παρόν άρθρο, το συμφέρον του υποκειμένου να μην τύχουν επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν να μην υπερτερεί, και της πρόβλεψης λήψης των αναγκαίων, κατάλληλων και συγκεκριμένων μέτρων. Στην παράγραφο 2 με βάση τη «ρήτρα ανοίγματος» του άρθρου 89 παράγραφος 2 του ΓΚΠΔ, τίθεται υπό προϋποθέσεις ο περιορισμός των δικαιωμάτων πρόσβασης, ενημέρωσης, περιορισμού, του δικαιώματος στην φορητότητα και του δικαιώματος εναντίωσης του υποκειμένου των δεδομένων, ενώ στην παράγραφο 3 προβλέπεται χρονικός προσδιορισμός για την ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα, και την υποχρέωση αποθήκευσης χωριστά των χαρακτηριστικών που μπορούν να χρησιμοποιηθούν για τη συναγωγή μεμονωμένων λεπτομερειών σχετικά με προσωπικές ή πραγματικές καταστάσεις ενός ταυτοποιημένου η ταυτοποιήσιμου προσώπου, και τέλος στην παράγραφο 4 τίθενται οι όροι δημοσιοποίησης των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της έρευνας.
 

1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου, όταν η επεξεργασία είναι απαραίτητη για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων και το συμφέρον του υπεύθυνου επεξεργασίας είναι υπέρτερο του συμφέροντος του υποκειμένου να μην τύχουν επεξεργασίας τα δεδομένα προσωπικού του χαρακτήρα. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως: α) ο ορισμός ΥΠΔ·
β) περιορισμοί πρόσβασης των υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία·
γ) η χρήση ψευδωνύμων των δεδομένων προσωπικού χαρακτήρα· δ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα.
2. Κατά παρέκκλιση των οριζόμενων στα άρθρα 15, 16, 18 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την εκπλήρωσή τους. Για τον ίδιο λόγο δεν εφαρμόζεται και το προβλεπόμενο στο άρθρο 15 του ΓΚΠΔ δικαίωμα πρόσβασης του υποκειμένου, όταν τα δεδομένα προσωπικού χαρακτήρα είναι απαραίτητα για επιστημονικούς σκοπούς και η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια.
3. Εκτός από όσα ορίζονται στην παράγραφο 1 οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα όταν υποβάλλονται σε επεξεργασία για τους σκοπούς της παραγράφου 1 θα πρέπει να ανωνυμοποιούνται, αμέσως μόλις το επιτρέψουν οι επιστημονικοί ή στατιστικοί σκοποί , εκτός εάν αυτό είναι αντίθετο προς το έννομο συμφέρον του υποκειμένου των δεδομένων. Μέχρι τότε, τα χαρακτηριστικά που μπορούν να χρησιμοποιηθούν για την αντιστοίχιση μεμονωμένων λεπτομερειών σχετικά με προσωπικές ή πραγματικές καταστάσεις ενός ταυτοποιημένου ή ταυτοποιήσιμου προσώπου πρέπει να αποθηκευτούν χωριστά. Τα χαρακτηριστικά αυτά μπορεί να συνδυαστούν με τις μεμονωμένες λεπτομέρειες, μόνο εάν το απαιτεί η έρευνα ή ο στατιστικός σκοπός.
4. Ο υπεύθυνος επεξεργασίας μπορεί να δημοσιεύει δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται στο πλαίσιο της έρευνας, εφόσον τα υποκείμενα των δεδομένων έχουν συγκατατεθεί εγγράφως ή η δημοσίευση είναι απαραίτητη για την παρουσίαση των αποτελεσμάτων της έρευνας.



Άρθρο 31
Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

Με το άρθρο 31 τίθενται κατ'εφαρμογή του άρθρου 23 παράγραφος 1 του ΓΚΠΔ περιορισμοί ως προς το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, όπως αυτό θεμελιώνεται στο άρθρο 13 του ΓΚΠΔ.
Ωστόσο, πρέπει να διευκρινισθεί ότι το άρθρο 23 του ΓΚΠΔ υπόκειται σε περιορισμούς. Ο πρώτος περιορισμός βασίζεται στο άρθρο 52 παράγραφος 1 εδάφιο α' του Χάρτη σύμφωνα με το οποίο ο σεβασμός του βασικού περιεχομένου των δικαιωμάτων και των ελευθεριών αποτελεί την προϋπόθεση για τους περιορισμούς που προβλέπονται στο άρθρο 23 παράγραφος 1 του ΓΚΠΔ. Ήδη, η "ρήτρα ανοίγματος" που προβλέπει το άρθρο 23 παράγραφος 1 του ΓΚΠΔ υπάγεται στην κλίμακα που καθορίζεται σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη. Περαιτέρω, στο άρθρο 23 παράγραφος 1 του ΓΚΠΔ προβλέπεται ότι τα νομοθετικά μέτρα δυνάμει των οποίων δύναται να θεσπισθούν περιορισμοί με την έννοια του άρθρου 23 του ΓΚΠΔ εξαρτώνται από το εθνικό δίκαιο (βλ αιτιολογική σκέψη 41 του ΓΚΠΔ).
Με την παράγραφο 1 του άρθρου 31 τίθεται η πρόβλεψη ότι ο περιορισμός της υποχρέωσης πληροφόρησης ισχύει μόνο για την περίπτωση του άρθρου 13 παράγραφος 3 του ΓΚΠΔ, όταν δηλαδή ο υπεύθυνος επεξεργασίας προτίθεται να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα για οποιονδήποτε άλλο περαιτέρω σκοπό διαφορετικό από εκείνο για τον οποίον συλλέχθηκαν αρχικά τα δεδομένα. Αντιθέτως, οι πληροφορίες που παρέχονται στο άρθρο 13 παράγραφοι 1 και 2 του ΓΚΠΔ δεν περιορίζονται. Με το άρθρο 13 του ΓΚΠΔ διασφαλίζεται η αρχή της "άμεσης συλλογής" η οποία απορρέει εν μέρει από το άρθρο 6 και εν μέρει από το άρθρο 8 του Χάρτη, τα οποία απαιτούν η επεξεργασία δεδομένων προσωπικού χαρακτήρα να διενεργείται στο αναγκαίο μέτρο . Στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται για διαφορετικούς σκοπούς από εκείνους για τους οποίους συνελέχθησαν, κατά τη στιγμή της συλλογής των στοιχείων δεν υφίσταται καμία άμεση επαφή μεταξύ του υπεύθυνου επεξεργασίας και του ενδιαφερομένου και ως εκ τούτου στις περιπτώσεις αυτές, η πληροφόρηση του υποκειμένου των δεδομένων προσωπικού χαρακτήρα μπορεί να αποδειχθεί δυσανάλογη. Για το λόγο αυτό με την παράγραφο 1 προβλέπεται απαλλαγή από την υποχρέωση παροχής πληροφοριών σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ υπό προϋποθέσεις, και συγκεκριμένα όταν η χορήγηση της πληροφόρησης θα απαιτούσε δυσανάλογη προσπάθεια και το ενδιαφέρον του υποκειμένου στην παροχή πληροφοριών σχετικά με τις περιστάσεις της κάθε υπόθεσης, ιδίως λόγω του πλαισίου στο οποίο συλλέχθηκαν τα δεδομένα, θεωρείται ότι είναι χαμηλό. Δυσανάλογη προσπάθεια, για παράδειγμα, απαιτείται όταν τα στοιχεία επικοινωνίας του ενδιαφερομένου δεν είναι γνωστά στον υπεύθυνο επεξεργασίας και δεν μπορούν να προσδιοριστούν εύκολα. Τα αποδεικτικά στοιχεία για τη δυσαναλογία αυτή μπορούν να περιλαμβάνουν τον αριθμό των προσώπων στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα, την ηλικία των δεδομένων ή την ύπαρξη κατάλληλων εγγυήσεων. Ομοίως, πρέπει να ληφθεί υπόψη ο τύπος των διαθέσιμων μέσων επικοινωνίας.
Οι περιπτώσεις α' και β' της παραγράφου 1 του προτεινόμενου άρθρου περιέχουν ειδικά για τους δημόσιους φορείς περιορισμούς σχετικά με την υποχρέωση ενημέρωσης, εάν η γνωστοποίηση των πληροφοριών για την προβλεπόμενη επεξεργασία θέτουν σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ ή την εθνική ασφάλεια, και το συμφέρον του υπεύθυνου επεξεργασίας για την μη παροχή των πληροφοριών υπερισχύει των συμφερόντων του υποκειμένου. Η περίπτωση γ' της παραγράφου 1 προβλέπει περιορισμό για τη διασφάλιση της θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων, σύμφωνα με το στοιχείο ι) της παραγράφου 1 του άρθρου 23 του ΓΚΠΔ.
Με την περίπτωση δ' της παραγράφου 1 λαμβάνεται πρόνοια για την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς σύμφωνα με το στοιχείο ε) της παραγράφου 1 του άρθρου 23 του ΓΚΠΔ. Αυτονόητη είναι η περίπτωση, για παράδειγμα, κατηγοριών υποθέσεων στις οποίες οι πληροφορίες του ενδιαφερομένου για την περαιτέρω επεξεργασία ματαιώνουν ή δυσχεραίνουν τη νόμιμη επεξεργασία, όπως η ενημέρωση της αρμόδιας υπηρεσίας επιβολής του νόμου για την υποψία τέλεσης ποινικού αδικήματος.
Με την παράγραφο 2 ορίζεται ότι ο υπεύθυνος επεξεργασίας πρέπει να λάβει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, εάν δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1. Η πρόβλεψη αυτή αντιστοιχεί στις διασφαλίσεις που απαιτούνται από το άρθρο 23 παράγραφος 2 του ΓΚΠΔ. Τα κατάλληλα μέτρα περιλαμβάνουν την παροχή αυτών των πληροφοριών στο κοινό. Η παροχή της σχετικής πληροφορίας προς το κοινό μπορεί να πραγματωθεί μέσω μιας δημοσίευσης σε προσιτή μορφή σε δημόσιο ιστότοπο του υπεύθυνου επεξεργασίας. Σύμφωνα με το άρθρο 12 παράγραφος 1 του ΓΚΠΔ, οι πληροφορίες πρέπει να παρέχονται με σαφή, απλή, κατανοητή και εύκολα προσιτή γλώσσα. Ο υπεύθυνος πρέπει να δηλώσει γραπτώς το λόγο για τον οποίο απέφυγε την παροχή πληροφοριών. Η αιτιολόγηση της απόρριψης παροχής πληροφοριών υπόκειται στον έλεγχο της Αρχής, ο οποίος καθίσταται δυνατός μέσω της υποχρέωσης τεκμηρίωσης. Τα παρεχόμενα από το πρώτο και δεύτερο εδάφιο της παραγράφου 2 μέτρα του υπεύθυνου επεξεργασίας για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα δεν ισχύουν στην περίπτωση της περίπτωσης γ' και της περίπτωσης δ' της παραγράφου 1, δοθέντος ότι τα μέτρα που απαιτούνται θα μπορούσαν να οδηγήσουν σε αποτυχία ή σοβαρή βλάβη του νόμιμου σκοπού της επεξεργασίας. Η παράγραφος 3 ορίζει ότι ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει έγκαιρα πληροφορίες από το υποκείμενο των δεδομένων, όταν οι λόγοι αποκλεισμού που προβλέπονται στην παράγραφο 1 είναι μόνο προσωρινοί.
Τέλος, με την παράγραφο 4 τίθεται σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ, εξαίρεση στο δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, σε σχέση με την υποχρέωση διατήρησης του επαγγελματικού απορρήτου. Πρόκειται για εξαίρεση που βασίζεται στο άρθρο 23 παράγραφος 1 στοιχείο θ) του ΓΚΠΔ.
 

1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ δεν υφίσταται εκτός από την αναφερόμενη στο άρθρο 13 παράγραφος 4 του ΓΚΠΔ εξαίρεση τότε , όταν η παροχή των πληροφοριών σχετικά με τη σκοπούμενη περαιτέρω επεξεργασία :
α) αφορά μια περαιτέρω επεξεργασία αποθηκευμένων με αναλογικό τρόπο δεδομένων, στην οποία ο υπεύθυνος επεξεργασίας απευθύνεται άμεσα στο υποκείμενο των δεδομένων , ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής σύμφωνα με το ΓΚΠΔ, η επικοινωνία με το υποκείμενο των δεδομένων δεν γίνεται σε ψηφιακή μορφή και το συμφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών κατά τις περιστάσεις της συγκεκριμένης περίπτωσης, ιδίως όσον αφορά το πλαίσιο εντός του οποίου συλλέχθησαν τα δεδομένα θεωρείται ότι είναι χαμηλό.
β) στην περίπτωση του δημόσιου φορέα, θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων· γ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
ε) θα έθετε σε κίνδυνο την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 13 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες. Τα ανωτέρω εδάφια δεν εφαρμόζονται στις περιπτώσεις δ' και ε' της προηγούμενης παραγράφου.
3. Εφόσον δεν παρέχεται γνωστοποίηση στις περιπτώσεις της παραγράφου 1 λόγω ύπαρξης προσωρινού εμποδίου, ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών της επεξεργασίας, πρέπει να συμμορφώνεται στην υποχρέωση πληροφόρησης εντός εύλογης προθεσμίας μετά την απομάκρυνση του εμποδίου, αλλά όχι αργότερα από το χρονικό διάστημα των δύο ( 2) εβδομάδων.
4. Αν κατά τη διάρκεια της έναρξης της εντολής ή στο πλαίσιο σχέσης εντολής διαβιβάσθηκαν από τον πελάτη σε έναν φορέα επαγγελματικού απορρήτου δεδομένα τρίτων, ο διαβιβάζων αυτός φορέας δεν έχει υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ, εκτός εάν το συμφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών είναι υπέρτερο.



Άρθρο 32
Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

Με το άρθρο 32 τίθενται κατ'εφαρμογή του άρθρου 23 παράγραφος 1 του ΓΚΠΔ περιορισμοί ως προς το δικαίωμα ενημέρωσης, όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων (αρχή της έμμεσης συλλογής), όπως αυτό θεμελιώνεται στο άρθρο 14 του ΓΚΠΔ. Η παράγραφος 1 του προτεινόμενου άρθρου περιλαμβάνει, εκτός από τους περιορισμούς που προβλέπονται στο άρθρο 14 παράγραφος 5 του ΓΚΠΔ, περιορισμούς στην υποχρέωση ενημέρωσης του υπεύθυνου επεξεργασίας σύμφωνα με το άρθρο 14 παράγραφοι 1, 2 και 4 του ΓΚΠΔ. Η περίπτωση α' της παραγράφου 1 εφαρμόζεται μόνο στους δημόσιους φορείς, ενώ η περίπτωση β' της ανωτέρω παραγράφου εφαρμόζεται σε ιδιωτικούς φορείς. Επισημαίνεται ότι οι εξαιρέσεις πρέπει να ερμηνεύονται αυστηρά.
Οι τιθέμενοι περιορισμοί ως προς την παροχή πληροφοριών μπορούν να εξυπηρετούν στην περίπτωση δημοσίων φορέων, σύμφωνα με την περίπτωση α', την αποφυγή κινδύνων σχετικά με την ορθή εκτέλεση των καθηκόντων
του υπεύθυνου επεξεργασίας, με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, ή την αποφυγή κινδύνου σχετικά με την εθνική ασφάλεια. Σ' αυτές τις περιπτώσεις προβλέπεται ότι το συμφέρον του υποκειμένου των δεδομένων προσωπικού χαρακτήρα για τη χορήγηση των πληροφοριών υποχωρεί. Ειδικότερα, οι εξαιρέσεις αυτές προβλέπονται ως προς τους ιδιωτικούς φορείς, σύμφωνα με την περίπτωση β', όταν η παροχή πληροφοριών θα έβλαπτε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή η επεξεργασία περιλαμβάνει δεδομένα από συμβάσεις που έχουν καταρτιστεί κατά το ιδιωτικό δίκαιο και αποσκοπούν στην πρόληψη ζημιών από την τέλεση ποινικών αδικημάτων, εκτός εάν το υποκείμενο των δεδομένων έχει υπέρτερο έννομο συμφέρον για την παροχή πληροφοριών ή εάν ο αρμόδιος δημόσιος φορέας έχει προσδιορίσει στον υπεύθυνο επεξεργασίας ότι η δημοσιοποίηση των δεδομένων προσωπικού χαρακτήρα θα έθετε σε κίνδυνο την εθνική άμυνα, τη δημόσια ασφάλεια ή την εθνική ασφάλεια. Με την παράγραφο 2 ορίζεται ότι ο υπεύθυνος επεξεργασίας πρέπει να λάβει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, εάν δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1.Η πρόβλεψη αυτή αντιστοιχεί στις διασφαλίσεις που απαιτούνται από το άρθρο 23 παράγραφος 2 του ΓΚΠΔ. Τα κατάλληλα μέτρα περιλαμβάνουν την παροχή των σχετικών πληροφοριών στο κοινό. Η παροχή της σχετικής πληροφορίας προς το κοινό μπορεί να πραγματωθεί μέσω μιας δημοσίευσης σε προσιτή μορφή σε δημόσιο ιστότοπο του υπεύθυνου επεξεργασίας. Σύμφωνα με το άρθρο 12 παράγραφος 1 του ΓΚΠΔ, οι πληροφορίες πρέπει να παρέχονται με σαφή, απλή, κατανοητή και εύκολα προσιτή γλώσσα. Ο υπεύθυνος επεξεργασίας πρέπει να δηλώσει γραπτώς, το λόγο για τον οποίο απέφυγε την παροχή πληροφοριών. Η αιτιολόγηση της απόρριψης παροχής πληροφοριών υπόκειται στον έλεγχο της Αρχής, ο οποίος καθίσταται δυνατός μέσω της υποχρέωσης τεκμηρίωσης.
Τέλος, με την παράγραφο 3 τίθεται πέραν εκείνης του άρθρου 14 παράγραφος 5 του ΓΚΠΔ εξαίρεση στο δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, σε σχέση με την υποχρέωση διατήρησης του απορρήτου. Πρόκειται για εξαίρεση που βασίζεται στο άρθρο 23 παράγραφος 1 στοιχείο θ) του ΓΚΠΔ.
 

1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 14 παράγραφοι 1, 2 και 4 του ΓΚΠΔ δεν υφίσταται, όταν η παροχή των πληροφοριών:
α) στην περίπτωση δημοσίων φορέων:
αα) θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας, με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, ή ββ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια,
και συνεπώς, το συμφέρον του υποκειμένου των δεδομένων για τη χορήγηση των πληροφοριών υποχωρεί·
β) στην περίπτωση ιδιωτικών φορέων:
αα) θα έβλαπτε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα από συμβάσεις που έχουν καταρτιστεί κατά το ιδιωτικό δίκαιο και αποσκοπεί στην πρόληψη ζημιών από την τέλεση ποινικών αδικημάτων, εκτός εάν το υποκείμενο των δεδομένων έχει υπέρτερο έννομο συμφέρον για την παροχή πληροφοριών· ή
ββ) ο αρμόδιος δημόσιος φορέας έχει προσδιορίσει στον υπεύθυνο επεξεργασίας, ότι η δημοσιοποίηση των δεδομένων θα έθετε σε κίνδυνο την εθνική άμυνα, την εθνική ασφάλεια και τη δημόσια ασφάλεια· στην περίπτωση της επεξεργασίας δεδομένων για σκοπούς επιβολής του νόμου, δεν απαιτείται προσδιορισμός σύμφωνα με το πρώτο εδάφιο.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 14 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες.
3. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 14 παράγραφοι 1 έως 4 του ΓΚΠΔ, εκτός από τις αναφερόμενες στο άρθρο 14 παράγραφος 5 του ΓΚΠΔ εξαιρέσεις, δεν ισχύει στο βαθμό που μέσω της εκπλήρωσής της θα αποκαλύπτονταν πληροφορίες, οι οποίες λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.



Άρθρο 33
Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων-Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

Με την παράγραφο 1 του άρθρου 33, τίθενται, εκτός των περιορισμών των άρθρων 29 παράγραφος 2 και 30 παράγραφος 2, περιορισμοί του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 15 του ΓΚΠΔ. Το δικαίωμα πρόσβασης αποτελεί για το το άτομο το βασικό υποκειμενικό δικαίωμα προστασίας των δεδομένων. Δικαιολογημένα, λοιπόν, το δικαίωμα αυτό χαρακτηρίζεται ως η Magna Charta της προστασίας των δεδομένων προσωπικού χαρακτήρα (βλ. άρθρο 8 παρ. 2 εδ. 2 του Χάρτη). Ειδικότερα, με την παράγραφο 1 προβλέπεται ότι το δικαίωμα στην πρόσβαση του υποκείμενου των δεδομένων προσωπικού χαρακτήρα περιορίζεται για τους λόγους για τους οποίους το υποκείμενο των δεδομένων δεν λαμβάνει πληροφόρηση σύμφωνα με την περίπτωση α' και την περίπτωση β', στοιχείο ββ' της παραγράφου 1 του προηγούμενου άρθρου· ή όταν τα δεδομένα καταγράφηκαν μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών ή κανονιστικών διατάξεων υποχρέωσης διατήρησής τους, ή εξυπηρετούν αποκλειστικά σκοπούς προστασίας ή ελέγχου των δεδομένων προσωπικού χαρακτήρα, και η παροχή πληροφοριών θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς. Με την παράγραφο 2 προβλέπεται κατ' αντιστοιχία με τα δύο προηγούμενα άρθρα ότι οι λόγοι άρνησης της παροχής πληροφοριών στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα πρέπει να τεκμηριώνονται. Η άρνηση της παροχής πληροφοριών πρέπει να αιτιολογείται στο υποκείμενο των δεδομένων, εκτός εάν μέσω της γνωστοποίησης των πραγματικών και νομικών λόγων στους οποίους βασίζεται η άρνηση θα ετίθετο σε κίνδυνο ο σκοπός που επιδιώκεται με την άρνηση παροχής των πληροφοριών. Τα δεδομένα που αποθηκεύονται με σκοπό την παροχή πληροφοριών στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα και για την προετοιμασία τής εν λόγω παροχής μπορούν να υποβληθούν σε επεξεργασία μόνο για το σκοπό αυτό και για τους σκοπούς της προστασίας των δεδομένων προσωπικού χαρακτήρα· η επεξεργασία για άλλους σκοπούς περιορίζεται σύμφωνα με το άρθρο 18 του ΓΚΠΔ. Τέλος, με την παράγραφο 4 προβλέπεται ότι το δικαίωμα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα να αποκτά πρόσβαση σε δεδομένα που το αφορούν, τα οποία δεν υποβάλλονται ούτε σε αυτοματοποιημένη ούτε σε μη αυτοματοποιημένη επεξεργασία (εδώ εμπίπτουν κυρίως τα αρχεία ή οι συλλογές αρχείων καθώς και τα εξώφυλλά τους με συγκεκριμένα κριτήρια) από δημόσια αρχή, και αποθηκεύονται σε σύστημα αρχειοθέτησης υφίσταται μόνο, εάν το υποκείμενο των δεδομένων προσωπικού χαρακτήρα παρέχει πληροφορίες που επιτρέπουν την ανάκτησή τους και η προσπάθεια που απαιτείται για την παροχή των πληροφοριών δεν είναι δυσανάλογη προς το συμφέρον του υποκειμένου των δεδομένων προσωπικού χαρακτήρα για ενημέρωση.
Με την παράγραφο 4 προβλέπεται εξαίρεση ως προς την υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων κατ' άρθρο 15 του ΓΚΠΔ, σε σχέση με την υποχρέωση διατήρησης του απορρήτου. Πρόκειται για εξαίρεση που βασίζεται στο άρθρο 23 παράγραφος 1 στοιχείο θ) του ΓΚΠΔ.
Περαιτέρω με το πρώτο εδάφιο της παραγράφου 5 προβλέπεται πέραν εκείνης της παραγράφου 3 του άρθρου 34 του ΓΚΠΔ εξαίρεση της υποχρέωσης γνωστοποίησης σε σχέση με την υποχρέωση διατήρησης του απορρήτου. Με το δεύτερο εδάφιο της παραγράφου 5 τίθεται περιορισμός στην εξαίρεση του πρώτου εδαφίου της παραγράφου 5 . Πρόκειται και εδώ για εξαιρέσεις που βασίζονται στο άρθρο 23 παράγραφος 1 στοιχείο θ) του ΓΚΠΔ.
 

1. Εκτός των εξαιρέσεων που προβλέπονται στην παράγραφο 2 του άρθρου 29 και στην παράγραφο 2 του άρθρου 30, δεν ισχύει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, σύμφωνα με το άρθρο 15 του ΓΚΠΔ, όταν
α) το υποκείμενο των δεδομένων δεν ενημερώνεται σύμφωνα με το στοιχείο ββ' των περιπτώσεων α' και β ' της παραγράφου 1 του προηγούμενου άρθρου· ή
β) τα δεδομένα αα) καταγράφηκαν μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών ή κανονιστικών διατάξεων υποχρέωσης διατήρησής τους, ή
ββ) εξυπηρετούν αποκλειστικά σκοπούς προστασίας ή ελέγχου των δεδομένων,
και η παροχή πληροφοριών θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς.
2. Οι λόγοι άρνησης της παροχής πληροφοριών στο υποκείμενο των δεδομένων πρέπει να τεκμηριώνονται. Η άρνηση της παροχής πληροφοριών πρέπει να αιτιολογείται στο υποκείμενο των δεδομένων, εκτός εάν μέσω της γνωστοποίησης των πραγματικών και νομικών λόγων στους οποίους βασίζεται η άρνηση θα ετίθετο σε κίνδυνο ο σκοπός που επιδιώκεται με την άρνηση παροχής των πληροφοριών. Τα δεδομένα που αποθηκεύονται με σκοπό την παροχή πληροφοριών στο υποκείμενο των δεδομένων και για την προετοιμασία αυτής της παροχής μπορούν να υποβληθούν σε επεξεργασία μόνο για το σκοπό αυτό και για σκοπούς της προστασίας των δεδομένων προσωπικού χαρακτήρα· η επεξεργασία για άλλους σκοπούς περιορίζεται σύμφωνα με το άρθρο 18 του ΓΚΠΔ.
3. Το δικαίωμα του υποκειμένου των δεδομένων να αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία δεν υποβάλλονται ούτε σε αυτοματοποιημένη ούτε σε μη αυτοματοποιημένη επεξεργασία από δημόσια αρχή, και αποθηκεύονται σε σύστημα αρχειοθέτησης, υφίσταται μόνο, εάν το υποκείμενο των δεδομένων παρέχει πληροφορίες που επιτρέπουν την ανάκτηση των δεδομένων και η προσπάθεια που απαιτείται για την παροχή των πληροφοριών δεν είναι δυσανάλογη προς το συμφέρον του υποκειμένου των δεδομένων για ενημέρωση.
4. Το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 15 του ΓΚΠΔ δεν ισχύει, στο βαθμό που μέσω της ενημέρωσης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.
5. Η υποχρέωση γνωστοποίησης σύμφωνα με το άρθρο 34 του ΓΚΠΔ, εκτός από την αναφερόμενη στην παράγραφο 3 του άρθρου 34 του ΓΚΠΔ εξαίρεση, δεν ισχύει στο βαθμό που μέσω της γνωστοποίησης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες. Κατά παρέκκλιση από το προηγούμενο εδάφιο το υποκείμενο των δεδομένων προσωπικού χαρακτήρα πρέπει σύμφωνα με το άρθρο 34 του ΓΚΠΔ να ενημερώνεται, όταν τα συμφέροντά του- λαμβάνοντας ιδίως υπόψη τις επαπειλούμενες ζημιές-υπερτερούν του συμφέροντος διατήρησης του απορρήτου.



Άρθρο 34 Δικαίωμα διαγραφής

Με το άρθρο 34 περιορίζεται το δικαίωμα διαγραφής των δεδομένων προσωπικού χαρακτήρα και η αντίστοιχη υποχρέωση του υπεύθυνου επεξεργασίας σύμφωνα με το άρθρο 17 παράγραφος 1 του ΓΚΠΔ. Εντούτοις , οι παρεκκλίσεις που αναφέρονται στο άρθρο 17 παράγραφος 3 του ΓΚΠΔ παραμένουν ανεπηρέαστες από τη διάταξη. Η ρύθμιση εφαρμόζεται τόσο σε δημόσιους όσο και σε ιδιωτικούς φορείς.
Με την επιφύλαξη των όρων που ορίζονται στις παραγράφους 1 έως 3, η διαγραφή αντικαθίσταται από τον περιορισμό (άρθρο 18 του ΓΚΠΔ). Μέσω αυτού ο περιορισμός του δικαιώματος ή της υποχρέωσης διαγραφής δεδομένων προσωπικού χαρακτήρα οριοθετείται (περιορίζεται) στο βαθμό που απαιτείται βάσει του άρθρου 23 παράγραφος 2 στοιχείο γ' του ΓΚΠΔ. Περαιτέρω, το άρθρο 18 παράγραφοι 2 και 3 και το άρθρο 19 του ΓΚΠΔ παρέχουν αποτελεσματικές διασφαλίσεις κατά της κατάχρησης και της εσφαλμένης διαβίβασης κατά την έννοια του άρθρου 23 παράγραφος 2 στοιχείο δ) του ΓΚΠΔ. Κατ' εξαίρεση, περίπτωση αντί της διαγραφής να επιβληθεί περιορισμός της επεξεργασίας σύμφωνα με το άρθρο 18 του ΓΚΠΔ, δεν ισχύει όταν τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία, δεδομένου ότι ο υπεύθυνος για την παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αξίζει προστασίας και δεν μπορεί να βασισθεί στη δυσανάλογη προσπάθεια για την κατάργηση του επιλεγέντος από αυτόν τύπου αποθήκευσης.
Με το πρώτο εδάφιο της παραγράφου 2 τίθεται περιορισμός για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 23 παράγραφος 1 στοιχείο θ) του ΓΚΠΔ. Σύμφωνα με το άρθρο 18 παράγραφος 1 στοιχείο β) του ΓΚΠΔ ο περιορισμός της επεξεργασίας παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα γίνεται μόνο με αίτηση του υποκειμένου των δεδομένων. Περαιτέρω, το άρθρο 18 παράγραφος 1 στοιχείο γ) του ΓΚΠΔ επιτρέπει τον περιορισμό της επεξεργασίας, όταν ο υπεύθυνος επεξεργασίας δε χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο για τη θεμελίωση, άσκηση ή την υποστήριξη νομικών αξιώσεων. Αντίθετα, η παράγραφος 2 προβλέπει, ακόμη και χωρίς αντίστοιχη αίτηση του ενδιαφερομένου, μια γενική υποχρέωση του προσώπου που είναι υπεύθυνο για τον περιορισμό της επεξεργασίας, αν έχει λόγους να πιστεύει ότι δεν θα επηρεαστεί από την κατάργηση των νόμιμων συμφερόντων του υποκειμένου των δεδομένων. Η σχετική ρύθμιση είναι αναγκαία, διότι ο υπεύθυνος υποχρεούται, κατ' αρχήν, βάσει του άρθρου 17 του ΓΚΠΔ να μη διαγράφει περιττά ή δεδομένα παράνομης επεξεργασίας. Ο περιορισμός της επεξεργασίας αντί της διαγραφής έχει σκοπό να επιτρέψει στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα να ζητήσει τον περιορισμό της επεξεργασίας στον υπεύθυνο επεξεργασίας ή να αποφασίσει τη διαγραφή των δεδομένων. Αυτό απορρέει από την υποχρέωση κοινοποίησης σύμφωνα με το δεύτερο εδάφιο της παραγράφου 2, η οποία συγχρόνως αποτελεί ένα μέτρο για την προστασία των δικαιωμάτων και ελευθεριών και των εννόμων συμφερόντων του ενδιαφερόμενου σύμφωνα με το άρθρο 23 παράγραφος 2 στοιχείο γ) του ΓΚΠΔ. Ως εκ τούτου, κατά κανόνα, πρόκειται μόνο για προσωρινό περιορισμό της ευθύνης του υπεύθυνου επεξεργασίας (άρθρο 23 παράγραφος 2 στοιχείο γ) του ΓΚΠΔ). Η παράγραφος 3 προβλέπει περιορισμό στην περίπτωση κατά την οποία η διαγραφή δεδομένων δεν απαιτείται πλέον, διότι αντιτίθεται σε νόμιμες ή συμβατικές περιόδους διατήρησης. Η εξαίρεση προστατεύει τους υπεύθυνους επεξεργασίας από σύγκρουση καθηκόντων.
 

1. Αν η διαγραφή σε περίπτωση μη αυτοματοποιημένης επεξεργασίας λόγω της ιδιαίτερης φύσης της αποθήκευσης δεν είναι δυνατή ή είναι δυνατή μόνο με δυσανάλογα μεγάλη προσπάθεια και το συμφέρον του υποκειμένου των δεδομένων για τη διαγραφή δεν θεωρείται σημαντικό, δεν υφίσταται το δικαίωμα του υποκειμένου και η υποχρέωση του υπεύθυνου επεξεργασίας να διαγράψει τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το άρθρο 17 παράγραφος 1 του ΓΚΠΔ, εκτός των εξαιρέσεων που αναφέρονται στο άρθρο 17 παράγραφος 3 του ΓΚΠΔ. Στην περίπτωση αυτή, η διαγραφή αντικαθίσταται από τον περιορισμό της επεξεργασίας σύμφωνα με το άρθρο 18 του ΓΚΠΔ. Τα ανωτέρω εδάφια δεν εφαρμόζονται, εάν τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία.
2. Εκτός από το άρθρο 18 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, το πρώτο και δεύτερο εδάφιο της προηγούμενης παραγράφου εφαρμόζονται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχεία α) και δ) του ΓΚΠΔ, στο βαθμό που ο υπεύθυνος επεξεργασίας έχει λόγους να πιστεύει ότι η διαγραφή θα ήταν επιζήμια για τα έννομα συμφέροντα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τον περιορισμό της επεξεργασίας, εάν η ενημέρωση αυτή δεν είναι αδύνατη ή δεν συνεπάγεται δυσανάλογη προσπάθεια.
3. Εκτός από το άρθρο 17 παράγραφος 3 στοιχείο β) του ΓΚΠΔ, η παράγραφος 1 εφαρμόζεται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχείο α) του ΓΚΠΔ εάν η διαγραφή θα ερχόταν σε σύγκρουση με τις νόμιμες ή συμβατικές περιόδους διατήρησης.



Άρθρο 35
Δικαίωμα εναντίωσης

Με το άρθρο 35 περιορίζεται το δικαίωμα εναντίωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα έναντι δημόσιου φορέα σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ, καθ' ο μέρος η επεξεργασία επιβάλλεται από υπέρτερο δημόσιο συμφέρον που υπερκαλύπτει τα συμφέροντα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα ή απαιτείται από διάταξη νόμου. Το προτεινόμενο άρθρο προϋποθέτει δημόσια συμφέροντα του υπεύθυνου επεξεργασίας κατά την έννοια του άρθρου 23 παράγραφος 1 στοιχείο ε) του ΓΚΠΔ, τα οποία πρέπει να είναι συγκεκριμένα στη δεδομένη περίπτωση και να υπερισχύουν των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Επιπλέον, το δικαίωμα εναντίωσης αποκλείεται εάν υπάρχει νομική απαίτηση για επεξεργασία. Το άρθρο 29 παράγραφος 4 και το άρθρο 30 παράγραφος 2 περιέχουν ειδικούς περιορισμούς όσον αφορά το δικαίωμα εναντίωσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον και για ερευνητικούς, επιστημονικούς, ιστορικούς και στατιστικούς σκοπούς.
 

Το δικαίωμα εναντίωσης σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ δεν εφαρμόζεται έναντι δημόσιου φορέα, εάν υπάρχει επιτακτικό δημόσιο συμφέρον για την επεξεργασία, το οποίο υπερτερεί των συμφερόντων του υποκειμένου των δεδομένων ή διάταξη νόμου υποχρεώνει τη διενέργεια της επεξεργασίας.



Άρθρο 36
Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

Με το άρθρο 36 λαμβάνεται υπόψη η ειδική περίπτωση αυτοματοποιημένης απόφασης στο κλάδο των ασφαλιστικών επιχειρήσεων. Με την παράγραφο 1 επιτρέπεται η αυτοματοποιημένη απόφαση σε μία μεμονωμένη περίπτωση όπως ορίζεται στο άρθρο 22 παράγραφος 2 ΓΚΠΔ - πέραν των περιπτώσεων που αναφέρονται στα στοιχεία α) και γ) του ΓΚΠΔ - εάν η απόφαση που ελήφθη κατά τη διάρκεια της παροχής υπηρεσιών προέρχεται από ασφαλιστική σύμβαση. Περαιτέρω πρέπει να πληρούνται και οι όροι των περιπτώσεων α' και β' της παραγράφου 1 που τίθενται εν εναλλαγή.
Η προτεινόμενη ρύθμιση βασίζεται εν προκειμένω στο άρθρο 22 παράγραφος 2 στοιχείο β) του ΓΚΠΔ, η οποία παρέχει στα κράτη μέλη τη δυνατότητα να εξέρχονται εκτός του άρθρου 22 παράγραφος 2 στοιχεία α) και γ) του ΓΚΠΔ και να προβλέπουν επιτρεπτικές διατάξεις για τη λήψη μιας αυτοματοποιημένης απόφασης σε μια μεμονωμένη περίπτωση. Σε αντίθεση με το άρθρο 22 παράγραφος 2 στοιχείο α) του ΓΚΠΔ η ύπαρξη συμβατικής σχέσης μεταξύ του υποκειμένου των δεδομένων προσωπικού χαρακτήρα για το οποίο λήφθηκε η αυτοματοποιημένη απόφαση και του υπεύθυνου επεξεργασίας δεν είναι υποχρεωτικός όρος της παραγράφου 1. Αρκεί ότι η αυτοματοποιημένη απόφαση λήφθηκε στο πλαίσιο της παροχής υπηρεσιών από ασφαλιστική σύμβαση.
Η παράγραφος 1 περίπτωση α' επιτρέπει ιδίως την αυτόματη ρύθμιση των απαιτήσεων μεταξύ της ασφάλισης ευθύνης του οχήματος και του ζημιωθέντος. Προϋπόθεση είναι ότι ικανοποιείται το αίτημα του αιτούντος, ο οποίος ταυτόχρονα είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα βάσει του νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Στις περιπτώσεις αυτές, δεν προκύπτει νομική βλάβη του ενδιαφερομένου. Η παράγραφος 1 περίπτωση β' επιτρέπει την αυτοματοποιημένη λήψη απόφασης σχετικά με τις ασφαλιστικές παροχές της ιδιωτικής ασφάλισης υγείας κατά την εφαρμογή δεσμευτικών κανόνων πληρωμής για ιατρική περίθαλψη. Ακόμη και αν το αίτημα του αιτούντος ως προς το πρόσωπο που επηρεάζεται από την απόφαση δεν ικανοποιήθηκε ή δεν ικανοποιήθηκε πλήρως, επιτρέπεται η αυτοματοποιημένη λήψη απόφασης προκειμένου για ιδιωτική ασφάλιση υγείας, αν ο υπεύθυνος λαμβάνει τα κατάλληλα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Αυτό περιλαμβάνει τουλάχιστον το δικαίωμα να λάβει την παρέμβαση ενός προσώπου (ανθρώπινη παρέμβαση) από τον υπεύθυνο επεξεργασίας, να εκφράσει την δική του άποψη και να αμφισβητήσει την απόφαση. Για τα δικαιώματα αυτά πρέπει να ενημερώνεται το υποκείμενο των δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω μέτρα αντιστοιχούν στα μέτρα του άρθρου 22 παράγραφος 3 του ΓΚΠΔ, ώστε μεταξύ της ανωτέρω περίπτωσης β' της παραγράφου 1 και των διατάξεων του άρθρου 22 παράγραφος 2 στοιχείο γ) του ΓΚΠΔ να υπάρχει μια εναρμονισμένη προσέγγιση όσον αφορά τους μηχανισμούς προστασίας. Σε περίπτωση που ένας ασφαλισμένος υποβάλλει αίτηση για μια παροχή για τρίτο πρόσωπο, στο όνομα του συνασφαλισμένου στο πλαίσιο των ιδιωτικών μελών στην ασφάλιση υγείας, αυτό δεν αποτελεί απόφαση κατά την έννοια του άρθρου 22 παράγραφος 1 του ΓΚΠΔ προς το τρίτο πρόσωπο βάσει του νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Αντίθετα, η ασφαλιστική εταιρεία αποφασίζει αυτόματα μόνο για απαιτήσεις βάσει της ασφαλιστικής σύμβασης με τον αιτούντα ως αντισυμβαλλόμενο. Εδώ, τα δεδομένα προσωπικού χαρακτήρα τρίτων υπόκεινται αυτόματα σε επεξεργασία, για την οποία απαιτείται μία νομική βάση σύμφωνα με το άρθρο 6 παράγραφος 1 του ΓΚΠΔ, αλλά δεν απαιτείται εξαίρεση από τη γενική απαγόρευση των αυτοματοποιημένων αποφάσεων για μεμονωμένες περιπτώσεις.
Το πρώτο εδάφιο της παραγράφου 2 επιτρέπει στις ασφαλιστικές επιχειρήσεις να επεξεργάζονται δεδομένα για την υγεία κατά την έννοια του άρθρου 4 στοιχείο 15 του ΓΚΠΔ στο πλαίσιο αυτοματοποιημένων αποφάσεων βάσει της παραγράφου 1. Αυτό είναι ιδιαίτερα απαραίτητο για τον αυτοματοποιημένο διακανονισμό των αιτήσεων παροχών από ιδιωτική ασφάλιση υγείας. Η παράγραφος 2 βασίζεται στο άρθρο 22 παράγραφος 4 σε συνδυασμό με το άρθρο 9 παράγραφος 2 στοιχείο ζ) του ΓΚΠΔ. Η εξασφάλιση προσιτής και λειτουργικής ασφαλιστικής κάλυψης υγείας στην ιδιωτική ασφάλιση υγείας αναγνωρίζεται ως σημαντικό συμφέρον για το κοινό καλό. Η οικονομική μαζική επεξεργασία απαιτεί τη χρήση αυτοματοποιημένων διαδικασιών, ιδίως όταν πρόκειται για την εφαρμογή νόμιμων και επομένως τυποποιημένων χρεώσεων. Σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχείο ζ) του ΓΚΠΔ πρέπει η εθνική νομική ρύθμιση να βρίσκεται σε αναλογική σχέση προς τον επιδιωκόμενο σκοπό, να διατηρεί την ουσία του δικαιώματος στην ιδιωτική ζωή και να παρέχει επαρκή και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του ενδιαφερομένου. Αυτό το νόημα έχει εξάλλου και η αναφορά στο δεύτερο εδάφιο της παραγράφου 3 του άρθρου 22 του ΣχΝ.
 

1. Το δικαίωμα βάσει του άρθρου 22 παράγραφος 1 του ΓΚΠΔ να μην υπόκειται κανείς σε απόφαση που βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία υφίσταται, εκτός από τις εξαιρέσεις που προβλέπονται στο άρθρο 22 παράγραφος 2 στοιχεία α) και γ) του ΓΚΠΔ, και όταν η απόφαση λαμβάνεται στο πλαίσιο της παροχής υπηρεσιών βάσει ασφαλιστικής σύμβασης, και
α) το αίτημα του υποκειμένου ικανοποιήθηκε· ή
β) η απόφαση βασίζεται στην εφαρμογή δεσμευτικών χρεώσεων για ιατρική περίθαλψη και ο υπεύθυνος επεξεργασίας για την περίπτωση που η αίτηση δεν έχει γίνει πλήρως δεκτή, λαμβάνει κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων, στα οποία περιλαμβάνεται τουλάχιστον το δικαίωμα να μεσολαβεί ανθρώπινη παρέμβαση εκ μέρους του υπεύθυνου επεξεργασίας, ώστε το υποκείμενο των δεδομένων να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση· ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τα δικαιώματα αυτά το αργότερο κατά τη στιγμή της ανακοίνωσης ότι το αίτημά του δεν θα ικανοποιηθεί πλήρως.
2. Οι αποφάσεις σύμφωνα με την παράγραφο 1 μπορούν να βασίζονται στην επεξεργασία δεδομένων υγείας με την έννοια του άρθρου 4 στοιχείο 15) του ΓΚΠΔ. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το δεύτερο εδάφιο της παραγράφου 3 του άρθρου 22.



Άρθρο 37
Υπεύθυνος προστασίας δεδομένων σε ιδιωτικούς φορείς

Με το άρθρο 37 προβλέπεται ότι εκτός των περιπτώσεων του άρθρου 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ορίζει υπεύθυνο προστασίας δεδομένων, όταν διενεργεί πράξεις επεξεργασίας που υπόκεινται σε εκτίμηση αντικτύπου σύμφωνα με το άρθρο 35 του ΓΚΠΔ.
 

Εκτός των περιπτώσεων του άρθρου 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ορίζει ΥΠΔ, όταν διενεργεί πράξεις επεξεργασίας που υπόκεινται σε εκτίμηση αντικτύπου σύμφωνα με το άρθρο 35 του ΓΚΠΔ.



Άρθρο 38
Διαπίστευση φορέων πιστοποίησης και πιστοποίηση

Σε συμμόρφωση με την παράγραφο 1 του άρθρου 43 του ΓΚΠΔ - η οποία προβλέπει τους οργανισμούς πιστοποίησης που είναι υπεύθυνοι για την πιστοποίηση των υπεύθυνων επεξεργασίας ή εκτελούντων την επεξεργασία - ορίζεται με το άρθρο 38 ότι η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ, πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης, με διακριτικό τίτλο «Ε.ΣΥ.Δ», το οποίο αποτελεί σύμφωνα με το άρθρο 1 παρ. 3 του ν. 4468/2017 (Α'61) τον Εθνικό Οργανισμό Διαπίστευσης κατά την έννοια των διατάξεων του Κανονισμού (ΕΚ) αριθμ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Ιουλίου 2008 (L 218/30), με βάση το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή. Στην παράγραφο 2 του ίδιου άρθρου προβλέπονται οι περιπτώσεις υποχρεωτικής ανάκλησης της διαπίστευσης από το Ε.ΣΥ.Δ.
 

1. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή.
2. Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.



Άρθρο 39 Ποινικές κυρώσεις

Με τις διατάξεις του άρθρου 39 του ΣχΝ προτείνεται η θέσπιση κατ'εφαρμογή του άρθρου 84 παραγράφου 1 ΓΚΠΔ, κανόνων περί ποινικών κυρώσεων για παραβάσεις του ΓΚΠΔ και των διατάξεων προσαρμογής της εθνικής νομοθεσίας στον ΓΚΠΔ. Έτσι εδώ, ο εθνικός νομοθέτης κάνει χρήση της ευχέρειας που ο ενωσιακός νομοθέτης δίδει στα κράτη μέλη της Ευρωπαϊκής Ένωσης να θεσπίσουν αποτελεσματικές, αναλογικές και αποτρεπτικές ποινές ποινικής φύσης. Ελήφθη, ωστόσο, πρόνοια ώστε η επιβολή των εν λόγω ποινικών κυρώσεων να μην προσκρούει στην αρχή " ne bis in idem" (απαγόρευση του διπλού αξιοποίνου), όπως την ερμηνεύει το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ).
Με το προτεινόμενο άρθρο στην παράγραφο 1 τυποποιούνται σε αυτοτελή ποινικά αδικήματα (με επαπειλούμενη την ποινή της φυλάκισης μέχρι ενός έτους, αν η πράξη δεν τιμωρείται βαρύτερα με άλλη πράξη) η χωρίς δικαίωμα "εισβολή- εισχώρηση - επέμβαση" από έξω σε συστήματα αρχειοθέτησης (που τηρούνται είτε σε ηλεκτρονική μορφή είτε με χειρόγραφο τρόπο) δεδομένων προσωπικού χαρακτήρα, και στις παραγράφους 2 (με επαπειλούμενη την ποινή της φυλάκισης, αν η πράξη δεν τιμωρείται βαρύτερα με άλλη πράξη) και 3 (με επαπειλούμενη την ποινή της φυλάκισης τουλάχιστον ενός έτους και χρηματικής ποινής έως 100.000 ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη πράξη) η χωρίς δικαίωμα "χρήση" από τον αποκτώντα σύμφωνα με την περίπτωση α' της παραγράφου 1 του περιεχομένου των δεδομένων προσωπικού χαρακτήρα. Η "χρήση" του περιεχομένου των εν λόγω δεδομένων μπορεί να λάβει χώρα με τη χρησιμοποίησή τους, την καθ' οιονδήποτε τρόπο μετάδοσή τους, διάδοση ή κοινολόγησή τους κ.λπ.
Ειδικότερα, οι παράγραφοι 2 και 3 συνιστούν "εγκλήματα χρήσης" και μάλιστα λόγω της έντασης της βλάβης που προκαλείται με την τέλεσή τους στο έννομο αγαθό των δεδομένων προσωπικού χαρακτήρα του υποκειμένου συνθέτουν διακεκριμένες μορφές του βασικού εγκλήματος της παραγράφου 1 περίπτωση α'. Ειδικότερα, στην παράγραφο 3 το περιεχόμενο του αδίκου περιλαμβάνει τη "χρήση" ιδιαίτερων κατηγοριών δεδομένων προσωπικού χαρακτήρα καθώς και ποινικών καταδικών και αδικημάτων και των σχετικών με αυτά μέτρων ασφαλείας (άρθρο 10 ΓΚΠΔ) που ως εκ της φύσεώς τους ως ιδιαίτερα ευαίσθητα για τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου καθιστούν αναγκαία την πρόβλεψη αυστηρότερης ποινής σε σύγκριση με την ποινή που προβλέπεται στην παράγραφο 2.
Η βασική μορφή του εγκλήματος της παραγράφου 1 καλύπτει τόσο τη "διακινδύνευση" του έννομου αγαθού των δεδομένων προσωπικού χαρακτήρα όσο και τη "βλάβη" του. Ήδη, η χωρίς δικαίωμα επέμβαση με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης που έχει ως αποτέλεσμα τη γνώση των δεδομένων προσωπικού χαρακτήρα (παράγραφος 1 περίπτωση α') "θέτει σε διακινδύνευση" το εν λόγω έννομο αγαθό, ενώ με την αντιγραφή κλπ. των δεδομένων αυτών το "βλάπτει" (παράγραφος 1 περίπτωση β'). Αντικείμενο προσβολής με την εγκληματική πράξη της παραγράφου 1 αποτελεί το "σύστημα αρχειοθέτησης" όπως αυτό ορίζεται στο άρθρο 4 στοιχείο 6 του ΓΚΠΔ. Η ποινική απαξία της εγκληματικής συμπεριφοράς (παράγραφος 1 περίπτωση β') καλύπτει εδώ ορισμένες μορφές επεξεργασίας από το δράστη, όταν με την χωρίς δικαίωμα "εισχώρησή του" επεμβαίνει σε ένα σύστημα αρχειοθέτησης, όπως αυτό ορίζεται στο άρθρο 4 στοιχείο 6 του ΓΚΠΔ. Ωστόσο, οι μορφές της χωρίς δικαίωμα επεξεργασίας που στην πραγματικότητα αποτελούν πράξεις "χρήσης" του περιεχομένου των δεδομένων προσωπικού χαρακτήρα εντάσσονται στο περιεχόμενο του αδίκου των παραγράφων 2 και 3 του εν λόγω άρθρου ανάλογα.
Χωρίς δικαίωμα ενεργεί ο δράστης στις παραγράφους 1, 2 και 3 όταν τελεί τις παραπάνω πράξεις χωρίς να υφίσταται σχετική διάταξη νόμου που να του το επιτρέπει ή ενεργεί καθ' υπέρβαση άλλης νομικής πράξης (λ.χ. εσωτερικού κανονισμού λειτουργίας, σύμβασης κ.ο.κ.).
Στην παράγραφο 4 προβλέπεται διακεκριμένης μορφής έγκλημα (κακούργημα), όταν ο υπαίτιος τελέσεως των εγκλημάτων των παραγράφων 1 -3 είχε σκοπό να προσπορίσει στον εαυτό του ή άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει τις εκατόν είκοσι χιλιάδες ευρώ (120.000) ευρώ. Η μεγάλη οικονομική αξία των δεδομένων προσωπικού χαρακτήρα καθώς και η επεξεργασία τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα εξαιρετικά μεγάλου όγκου δεδομένων προσωπικού χαρακτήρα, ενίοτε δε και ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα καθιστά αντεγκληματοπολιτικά αναγκαία την πρόβλεψη μιας τέτοιας ποινικής διάταξης, που επισύρει για το δράστη την ποινή της καθείρξεως και της χρηματικής ποινής.
Επιπλέον, στην παράγραφο 5 προβλέπεται κακουργηματικής μορφής έγκλημα σύμφωνα με το οποίο ο υπαίτιος τέλεσης των εγκλημάτων των παραγράφων 1-3 τιμωρείται με κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ, εάν προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια.
Στην παράγραφο 6 προβλέπεται, τέλος, η ποινική ευθύνη του υπεύθυνου προστασίας δεδομένων (ΥΠΔ) για παραβίαση της υποχρέωσης εχεμύθειας με επαπειλούμενη την ποινή φυλάκισης μέχρι ενός έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη. Πρόκειται για «ιδιαίτερο έγκλημα» που η πρόβλεψή του δικαιολογείται ως εκ της εμπιστευτικής θέσης του ΥΠΔ κατά την άσκηση των καθηκόντων του.
Τα κακουργήματα που προβλέπονται στο παρόν άρθρο εκδικάζονται από το Τριμελές Εφετείο Κακουργημάτων (παράγραφος 7).
Η ποινική δίωξη για τα εγκλήματα του εν λόγω άρθρου ασκείται αυτεπάγγελτα.
 

1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α' της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. ΥΠΔ που παραβιάζει την υποχρέωση εχεμύθειας, που τον βαρύνει σύμφωνα με τις διατάξεις του ΓΚΠΔ και του δευτέρου εδαφίου της παραγράφου 5 του άρθρου 7, ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ' ευκαιρία αυτών, με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο όφελος ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
7. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.



Άρθρο 40
Διοικητικές κυρώσεις

Με το άρθρο 40 θεσπίζεται, σε εκτέλεση και της σχετικής ευχέρειας που παρέχεται με το άρθρο 83 παράγραφος 3 του ΓΚΠΔ στον εθνικό νομοθέτη, ένα σύστημα διοικητικών κυρώσεων που η Αρχή μπορεί να επιβάλει σε βάρος φορέων του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α' της παραγράφου 1 του άρθρου 14 του ν. 4270/2014, εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α' του ν. 3429/2005 (ΔΕΚΟ), για παραβάσεις των υποχρεώσεων των ανωτέρω φορέων του δημόσιου τομέα που απορρέουν από τον ΓΚΠΔ και διατάξεις του προτεινόμενου ΣχΝ.
Ο προσδιορισμός των διοικητικών αυτών κυρώσεων βασίστηκε στα κριτήρια της αποτελεσματικότητας, της αναλογικότητας και της αποτρεπτικότητας, σύμφωνα και με το άρθρο 83 παράγραφος 1 του ΓΚΠΔ. Ρητώς, εξάλλου, ορίζεται ότι οι διοικητικές αυτές κυρώσεις επιβάλλονται με την επιφύλαξη και των λοιπών διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ. Με την παράγραφο 1 προβλέπεται ότι οι διοικητικές αυτές κυρώσεις επιβάλλονται με ειδικώς αιτιολογημένη απόφαση της Αρχής, μετά από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων για συγκεκριμένες παραβάσεις του ΓΚΠΔ και διατάξεων του ΣχΝ, ενώ με την παράγραφο 2 ορίζονται τα κριτήρια και οι παράγοντες που λαμβάνονται υπόψη για τον καθορισμό τόσο της ανάγκης επιβολής της διοικητικής κύρωσης, όσο και του ύψους της.
Τέλος, με την παράγραφο 3 ορίζεται ότι σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του προτεινόμενου ΣχΝ, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
 

1. Με την επιφύλαξη των διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ, η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει στους φορείς του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α' της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α'143), εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α' του ν. 3429/2005 (Α'314), υπό την ιδιότητα τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τις παρακάτω διοικητικές κυρώσεις :
α) για παραβάσεις της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 8, 27, 29, 42, 43 του ΓΚΠΔ, διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των παραγράφων 5 και 6 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 17, 20, 47, 90 και 91 του ΓΚΠΔ, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για παραβάσεις των άρθρων 5, 6, 7, 22, 24 , 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α', 33 έως και 35 του παρόντος, διοικητικό πρόστιμο έως τρία εκατομμύρια (3.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για τον καθορισμό του ύψους αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη o φορέας του δημόσιου τομέα, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις του φορέα του δημόσιου τομέα ,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσο ο φορέας του δημόσιου τομέα κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος του φορέα του δημόσιου τομέα, για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ, ο βαθμός συμμόρφωσής του με αυτά.
3. Σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του παρόντος, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.



Άρθρο 41
Δικαστική προστασία κατά του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Με το άρθρο 41 τίθεται σε εφαρμογή το άρθρο 79 παράγραφος 2 του ΓΚΠΔ. Το άρθρο 79 παράγραφος 2 του ΓΚΠΔ δεν ρυθμίζει την κατά τόπον αρμοδιότητα των εθνικών δικαστηρίων, αλλά τη διεθνή δικαιοδοσία, χωρίς ωστόσο να επηρεάζει την εφαρμογή του Κανονισμού (ΕΕ) 1215/2012 (Βρυξέλλες ΙΙ).
Για την εφαρμογή όμως του ΓΚΠΔ απαιτείται η θέσπιση και συμπληρωματικών ρυθμίσεων για την κατά τόπον αρμοδιότητα των εθνικών (πολιτικών) δικαστηρίων. Ως εκ τούτου απαιτείται η δημιουργία μιας ειδικής δωσιδικίας της εγκατάστασης του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία στο πρώτο εδάφιο της παραγράφου 1 του προτεινόμενου άρθρου. Και τούτο διότι, δεν θα μπορούσε να θεμελιωθεί η δωσιδικία εθνικού (πολιτικού) δικαστηρίου σύμφωνα με τις διατάξεις του ΚΠολΔ ούτε με βάση τη συνήθη διαμονή του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην Ελλάδα, αφού κατά το άρθρο 79 παράγραφος 2 του ΓΚΠΔ, απαιτείται ο εναγόμενος να έχει την εγκατάστασή του στην Ελλάδα. Η πρόβλεψη ειδικής δωσιδικίας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία θεωρείται εξάλλου επιβεβλημένη για τις περιπτώσεις εκείνες στις οποίες δεν θα συνέτρεχαν οι προϋποθέσεις ούτε της δωσιδικίας της περιουσίας (άρθρο 40 ΚΠολΔ) λόγω έλλειψης περιουσίας στην ημεδαπή, ούτε και της δωσιδικίας της αδικοπραξίας (άρθρο 35 ΚΠολΔ) λόγω του ότι μία αδικοπραξία μπορεί να μην επιδρά στο εσωτερικό της χώρας. Για να καλυφθούν, λοιπόν, και αυτές οι περιπτώσεις με το δεύτερο εδάφιο της παραγράφου 1 του προτεινόμενου άρθρου δημιουργείται σωρευτικά μια ειδική δωσιδικία του τόπου της συνήθους διαμονής του υποκειμένου των δεδομένων.
Στις εν λόγω ρυθμίσεις του προτεινόμενου άρθρου υπάγονται τόσο οι αξιώσεις για παράβαση των διατάξεων εντός του πεδίου εφαρμογής του ΓΚΠΔ περί προστασίας δεδομένων προσωπικού χαρακτήρα όσο και οι σχετικές με την εκπλήρωση των δικαιωμάτων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα αξιώσεις (π.χ. δικαίωμα πληροφόρησης ή διόρθωσης).
Με την παράγραφο 2 εισάγεται εξαίρεση από την παράγραφο 1 στην περίπτωση λήψης μέτρων κατά δημόσιων αρχών με την ιδιότητα των υπεύθυνων επεξεργασίας ή εκτελούντων την επεξεργασία, όταν αυτές ενεργούν κατ' ενάσκηση κυριαρχικής δημόσιας εξουσίας που τους έχει ανατεθεί. Η εξαίρεση αυτή αντιστοιχεί στη διάταξη του άρθρου 79 παράγραφος 2 εδάφιο β' (in fine) του ΓΚΠΔ, σύμφωνα με την οποία η σχετική διαδικασία, προκειμένου περί αγωγών κατά δημοσίων αρχών με την ιδιότητα των υπεύθυνων επεξεργασίας ή εκτελούντων την επεξεργασία που ενήργησαν κατ' ενάσκηση κυριαρχικής δημόσιας εξουσίας που τους έχει ανατεθεί, κινείται σύμφωνα με διαδικαστικούς (εσωτερικούς) κανόνες ειδικών δικαστηρίων των κρατών μελών της Ευρωπαϊκής Ένωσης.
Τέλος, κατά το άρθρο 27 παράγραφος 2 του ΓΚΠΔ σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ο οποίος σύμφωνα με το άρθρο 3 παράγραφος 2 του ΓΚΠΔ εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, δεν έχει εγκατάσταση στην Ευρωπαϊκή Ένωση, πρέπει να ορίσει εκπρόσωπό του στην Ευρωπαϊκή Ένωση. Ο εκπρόσωπος αυτός, σύμφωνα με το άρθρο 27 παράγραφος 4 του ΓΚΠΔ, χρησιμεύει ως σημείο επαφής των υποκειμένων των δεδομένων και των εποπτικών αρχών. Ως εκ τούτου, είναι σκόπιμο να θεωρηθεί ως εξουσιοδοτούμενος (πληρεξούσιος)-αντίκλητος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ο οποίος καθίσταται αρμόδιος να λαμβάνει τις επιδόσεις που άπτονται διαδικαστικών πράξεων (ενεργειών) που λαμβάνουν χώρα εκτός και ενώπιον των πολιτικών δικαστηρίων. Η δυνατότητα αυτή παρέχεται από τη διάταξη του άρθρου 142 παράγραφος 1, εδάφιο β' ΚΠολΔ, η οποία επιτρέπει τη δήλωση διορισμού του αντίκλητου με ειδικό πληρεξούσιο. Με τη σχετική πρόβλεψη της παραγράφου 3 του άρθρου 41 υπερακοντίζονται οι πρακτικές δυσκολίες της διασυνοριακής επίδοσης.
 

1. Οι αγωγές του υποκειμένου των δεδομένων κατά του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία λόγω παραβίασης των διατάξεων για την προστασία των δεδομένων εντός του πεδίου εφαρμογής του ΓΚΠΔ ή των δικαιωμάτων του υποκειμένου που περιέχονται σε αυτόν εισάγονται στο πολιτικό δικαστήριο στην περιφέρεια του οποίου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει την εγκατάστασή του. Οι αγωγές του προηγούμενου εδαφίου μπορούν να εισαχθούν και στο πολιτικό δικαστήριο, στην περιφέρεια του οποίου, το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στις αγωγές κατά δημοσίων αρχών, όταν οι αρχές αυτές ασκούν κυριαρχική δημόσια εξουσία που τους έχει ανατεθεί.
3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει ορίσει εκπρόσωπο, σύμφωνα με το άρθρο 27 παράγραφος 1 του ΓΚΠΔ, ο εν λόγω εκπρόσωπος θεωρείται αντίκλητος για όλες τις επιδόσεις που γίνονται στο πλαίσιο της πολιτικής δίκης σύμφωνα με την παράγραφο 1.



Άρθρο 42
Εκπροσώπηση του υποκειμένου των δεδομένων

Με το άρθρο 42 του ΣχΝ παρέχεται στο υποκείμενο των δεδομένων το δικαίωμα, όταν κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά θεωρεί ότι παραβιάζεται ο ΓΚΠΔ, να αναθέτει υπό συγκεκριμένες προϋποθέσεις σε μη κερδοσκοπικό φορέα, οργανισμό, οργάνωση ή σωματείο ή ένωση προσώπων χωρίς νομική προσωπικότητα μη κερδοσκοπικού χαρακτήρα που έχει συσταθεί και λειτουργεί νομίμως στην Ελληνική Επικράτεια, επιδιώκει δε ένα σκοπό δημοσίου συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα να υποβάλει στο όνομά του ενώπιον της Αρχής καταγγελία σύμφωνα με όσα προβλέπονται στο άρθρο 77 του ΓΚΠΔ. Πρόκειται για προτεινόμενη περιορισμένη ρύθμιση κατ'εφαρμογή του άρθρου 80 παράγραφος 1 του ΓΚΠΔ. Αντίστοιχη διάταξη περιελάμβανε το άρθρο 28 παράγραφος 4 της Οδηγίας 95/46/ΕΚ. Σε σύγκριση με την τελευταία, η ρύθμιση του άρθρου 80 παράγραφος 1 του ΓΚΠΔ θέτει συγκεκριμένες προϋποθέσεις σχετικά με τη λειτουργία και τους σκοπούς των εν λόγω "φορέων κ.λπ.", "ενώσεων προσώπων χωρίς νομική προσωπικότητα κ.λπ.".
 

Όταν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβιάζει τον ΓΚΠΔ, έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό, οργάνωση ή σωματείο ή ένωση προσώπων χωρίς νομική προσωπικότητα μη κερδοσκοπικού χαρακτήρα που έχει συσταθεί και λειτουργεί νομίμως στην Ελληνική Επικράτεια, οι στόχοι του είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα να υποβάλει στο όνομά του ενώπιον της Αρχής καταγγελία σύμφωνα με όσα προβλέπονται στο άρθρο 77 του ΓΚΠΔ.



ΚΕΦΑΛΑΙΟ Δ'
Ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας ( ΕΕ) 2016/680

Οι ρυθμίσεις του Κεφαλαίου Δ' (άρθρα 43 έως 82) έχουν ως αντικείμενο την ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (EE) 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου. Όπως επισημαίνεται στις αιτιολογικές σκέψεις 7 και 11 του προοιμίου της Οδηγίας «η διασφάλιση συνεκτικής και υψηλής προστασίας δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων και η διευκόλυνση της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ των αρμόδιων αρχών των κρατών μελών έχουν καθοριστική σημασία για την αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία. Για το σκοπό αυτόν, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα καθώς και αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες που διέπουν την προστασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη».

Τμήμα Ι
Πεδίο εφαρμογής - Γενικές Αρχές

Στο Τμήμα Ι προσδιορίζεται το πεδίο εφαρμογής του παρόντος Κεφαλαίου σε σχέση με τους επιδιωκόμενους σκοπούς που ορίζονται στο άρθρο 43 και καθορίζονται οι Γενικές Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Άρθρο 43
Πεδίο εφαρμογής
(Άρθρα 1 και 2 της Οδηγίας)

Με το άρθρο 43 ενσωματώνονται οι προβλέψεις των άρθρων 1 και 2 της Οδηγίας στην εθνική νομοθεσία και καθορίζεται το πεδίο εφαρμογής του Κεφαλαίου Δ'. Ειδικότερα, με το άρθρο αυτό για τις ανάγκες ενσωμάτωσης της Οδηγίας στην εθνική νομοθεσία οριοθετείται το ουσιαστικό πεδίο εφαρμογής των ρυθμίσεων του παρόντος Κεφαλαίου οι οποίες, όπως επιτάσσει η Οδηγία, εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Ορίζεται περαιτέρω, ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από τις απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, με σεβασμό της ειδικής φύσης των εν λόγω δραστηριοτήτων. Όπως διευκρινίζεται και στην προς ενσωμάτωση Οδηγία, στις δραστηριότητες αυτές περιλαμβάνεται επίσης η άσκηση αρμοδιότητας με τη λήψη μέτρων καταναγκασμού, όπως οι αστυνομικές δραστηριότητες σε διαδηλώσεις, σημαντικά αθλητικά γεγονότα και ταραχές. Περιλαμβάνεται επίσης η τήρηση του νόμου και της τάξης, ως καθήκον που ανατίθεται στην αστυνομία ή σε άλλες αρχές επιβολής του νόμου, όπου αυτό είναι αναγκαίο για την προστασία και την αποτροπή όσον αφορά σε απειλές κατά της δημόσιας ασφάλειας και κατά θεμελιωδών δικαιωμάτων και εννόμων συμφερόντων που ενδέχεται να οδηγήσουν σε διάπραξη εγκλήματος (αιτιολογικές σκέψεις 11 και 12 του Προοιμίου της Οδηγίας). Τέτοιες αρχές είναι οι δικαστικές (ποινικά δικαστήρια, συμπεριλαμβανομένων και των ανακριτών και πταισματοδικών) και εισαγγελικές αρχές και εν γένει οι αρχές επιβολής του νόμου (αστυνομία, λιμενικό σώμα,
ελληνική ακτοφυλακή, Πυροσβεστικό Σώμα) καθώς και οι τελωνειακές αρχές και άλλες δημόσιες αρχές, όταν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τους σκοπούς του προτεινόμενου άρθρου. Επισημαίνεται ότι στις ως άνω περιπτώσεις οι αρμόδιες αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας. Όπου στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους εκτελούντες την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε αυτούς.
 

Οι διατάξεις του παρόντος Κεφαλαίου εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Στις ως άνω περιπτώσεις οι αρμόδιες αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας. Όπου στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους εκτελούντες την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε αυτούς.



Άρθρο 44 Ορισμοί (άρθρο 3 της Οδηγίας)

Στο άρθρο αυτό ενσωματώνονται στην εθνική νομοθεσία οι ορισμοί της Οδηγίας και περιλαμβάνονται επιπρόσθετα και απαραίτητοι ορισμοί για την ευχερή εφαρμογή του παρόντος Κεφαλαίου (ορισμένοι εκ των οποίων αποτελούν επιλογή του εθνικού νομοθέτη).
Ειδικότερα, με την περίπτωση ι' του προτεινόμενου άρθρου 1 ενσωματώνεται ο ορισμός της «παραβίασης δεδομένων προσωπικού χαρακτήρα». Ωστόσο, για λόγους ισχυρότερης διασφάλισης για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων προσωπικού χαρακτήρα ορίστηκε ότι ως παραβίαση δεδομένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Με την περίπτωση ιδ' του προτεινόμενου άρθρου κρίθηκε σκόπιμο, για την ευχερή εφαρμογή του παρόντος Κεφαλαίου, δοθέντος ότι η έννοια «ειδικών κατηγοριών δεδομένων» απαντάται στο κείμενο του συγκεκριμένου Κεφαλαίου του ΣχΝ., να ενταχθεί στο άρθρο σχετικός ορισμός.
Τέλος, με την περίπτωση ιζ' εντάσσεται στον κατάλογο των ορισμών ο ορισμός της έννοιας της «συγκατάθεσης», το περιεχόμενο της οποίας διαφοροποιείται από εκείνο του ΓΚΠΔ, κατά ρητή εξάλλου πρόβλεψη της αιτιολογικής σκέψης 35 της προς ενσωμάτωση Οδηγίας. Σύμφωνα με την εν λόγω αιτιολογική σκέψη η συγκατάθεση του υποκειμένου των δεδομένων όπως ορίζεται στον ΓΚΠΔ, δεν θα πρέπει να περιέχει νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. Περαιτέρω όμως, όπως επισημαίνεται στην ανωτέρω αιτιολογική σκέψη της προς ενσωμάτωση Οδηγίας «όταν το υποκείμενο των δεδομένων υποχρεούται να συμμορφωθεί προς νομική υποχρέωση, δεν έχει ουσιαστική και ελεύθερη επιλογή και, κατά συνέπεια, η αντίδραση του υποκειμένου των δεδομένων δεν μπορεί να θεωρηθεί ως ελεύθερη δήλωση της βούλησής του. Αυτό όμως δεν θα πρέπει να εμποδίζει τα κράτη μέλη της Ευρωπαϊκής Ένωσης να προβλέπουν με νόμο ότι το υποκείμενο των δεδομένων μπορεί να συμφωνήσει με την επεξεργασία των δικών του δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παρούσας οδηγίας, όπως εξέταση DNA στις ποινικές έρευνες ή την επιτήρηση της θέσης στην οποία αυτός ή αυτή βρίσκεται με ηλεκτρονικές ετικέτες με σκοπό την εκτέλεση των ποινικών κυρώσεων». Υπό τα ανωτέρω δεδομένα ως συγκατάθεση για τις ανάγκες του παρόντος Κεφαλαίου ορίστηκε κάθε οικειοθελής, και για τις ανάγκες της συγκεκριμένης περίστασης, αδιαμφισβήτητη και μετά από ενημέρωση του υποκειμένου σαφής ένδειξη της επιθυμίας του με την οποία εκδηλώνει με δήλωση ή σαφή θετική ενέργεια ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
 

1. Για τους σκοπούς του παρόντος Κεφαλαίου νοούνται ως:
α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
γ) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
δ) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή
την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου·
ε) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
στ) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
ζ) «υπεύθυνος επεξεργασίας»: η δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
η) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας·
θ) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το ενωσιακό ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας·
ι) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία·
ια) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·
ιβ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
ιγ) «δεδομένα που αφορούν στην υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του·
ιδ) «ειδικές κατηγορίες δεδομένων»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα για την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό φυσικού προσώπου·
ιε) «εποπτική αρχή»: Ανεξάρτητη διοικητική αρχή, η οποία έχει συσταθεί από το κράτος μέλος σύμφωνα με το άρθρο 41 της Οδηγίας ( ΕΕ) 2016/680·
ιστ) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών·
ιζ) «Συγκατάθεση»: κάθε οικειοθελής, για τις ανάγκες της συγκεκριμένης περίστασης, αδιαμφισβήτητη και μετά από ενημέρωση του υποκειμένου σαφής ένδειξη της επιθυμίας του με την οποία εκδηλώνει με δήλωση ή σαφή θετική ενέργεια ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.



Άρθρο 45
Γενικές αρχές
(άρθρο 4 της Οδηγίας)

Με το άρθρο 45 ενσωματώνεται το άρθρο 4 παράγραφος 1 της Οδηγίας και με αυτό τίθενται οι γενικές αρχές που πρέπει να διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τις ανάγκες του παρόντος Κεφαλαίου. Η σχετική ρύθμιση αναφέρεται στις θεμελιώδεις αρχές της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι οποίες καταρχήν θα πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, συνεπώς δεν θα πρέπει να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή σε πληροφορίες μη σχετιζόμενες με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο (αιτιολογική σκέψη 21 του προοιμίου της Οδηγίας). Η αρχή της σύμφωνης με το νόμο και δίκαιης επεξεργασίας για την προστασία των δεδομένων είναι έννοια που απορρέει από το δικαίωμα σε δίκαιη δίκη, όπως η αρχή αυτή ορίζεται στο άρθρο 47 του Χάρτη και στο άρθρο 6 της Ευρωπαϊκής Σύμβασης για την προστασία των Δικαιωμάτων του Ανθρώπου και των θεμελιωδών ελευθεριών (ΕΣΔΑ).
 

1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να: α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία·
β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·
γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·
δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται· λαμβάνονται όλα τα εύλογα μέτρα που προβλέπονται από τις κείμενες διατάξεις, τα οποία διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας·
ε) διατηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από
αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία·
στ) υποβάλλονται σε επεξεργασία, κατά τρόπο που να εγγυάται τη δέουσα ασφάλειά τους, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
2. Ο υπεύθυνος επεξεργασίας, οφείλει να είναι σε θέση να αποδείξει την τήρηση των υποχρεώσεών του, σύμφωνα με την προηγούμενη παράγραφο.



Τμήμα ΙΙ
Νομικές βάσεις της επεξεργασίας

Άρθρο 46
Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
(άρθρο 10 της Οδηγίας)


Με το άρθρο 46 ενσωματώνεται το άρθρο 10 της Οδηγίας και ρυθμίζεται η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, δηλαδή αυτών που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συνδικαλιστική δράση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου. Με την παράγραφο 1 τίθεται ως νομική βάση για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την ενσωμάτωση του στοιχείου α) του πρώτου εδαφίου του άρθρου 10 της Οδηγίας, και συγκεκριμένα προβλέπεται η επεξεργασία αυτή να υπαγορεύεται από την αναγκαιότητα ενάσκησης των καθηκόντων του υπεύθυνου επεξεργασίας. Προς ενίσχυση της προστασίας του υποκειμένου των δεδομένων προσωπικού χαρακτήρα στην παράγραφο 2 γίνεται ενδεικτική μόνο απαρίθμηση κατάλληλων μέτρων νομικού, οργανωτικού και τεχνικού χαρακτήρα, τα οποία πρέπει να λαμβάνονται κατά την επεξεργασία σύμφωνα και με την αιτιολογική σκέψη 37 της Οδηγίας.
 

1. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο όταν είναι απολύτως αναγκαία για την ενάσκηση των καθηκόντων του υπεύθυνου επεξεργασίας.
2. Όταν υποβάλλονται σε επεξεργασία ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα, εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων. Οι κατάλληλες διασφαλίσεις μπορεί να είναι ιδίως:
α) ειδικές απαιτήσεις για την ασφάλεια των δεδομένων ή την παρακολούθηση της προστασίας των δεδομένων·
β) ειδικές προθεσμίες εντός των οποίων τα δεδομένα πρέπει να επανεξετάζονται για διαγραφή·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που συμμετέχει στις εργασίες επεξεργασίας·
δ) περιορισμοί στην πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο του υπεύθυνου επεξεργασίας (του αρμοδίου φορέα)·
ε) επεξεργασία των δεδομένων αυτών με χωροταξικό και οργανωτικό διαχωρισμό· στ) η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα· ζ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα· ή
η) ειδικοί κώδικες δεοντολογίας για τη διασφάλιση της νόμιμης επεξεργασίας σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς.



Άρθρο 47
Επεξεργασία για άλλους σκοπούς
(άρθρο 4 της Οδηγίας)


Με το άρθρο 47 ενσωματώνεται το άρθρο 4 παράγραφος 2 της Οδηγίας και ρυθμίζεται η νομιμότητα της επεξεργασίας όλων εν γένει των κατηγοριών δεδομένων προσωπικού χαρακτήρα στο πλαίσιο επεξεργασίας για σκοπό άλλο από αυτόν για τον οποίο έχουν το πρώτον συλλεγεί. Γίνεται διάκριση μεταξύ της περίπτωσης που ο σκοπός αυτός είναι ένας εκ των ρητώς προβλεπόμενων στο άρθρο 43 και της περίπτωσης που ο σκοπός δεν περιλαμβάνεται μεταξύ των σκοπών του άρθρου 43, αλλά προβλέπεται σε άλλη διάταξη νόμου. Στην πρώτη περίπτωση η επεξεργασία είναι νόμιμη, εφόσον εμπίπτει στα καθήκοντα του υπεύθυνου επεξεργασίας και είναι απαραίτητη και ανάλογη προς τον σκοπό αυτόν. Στη δεύτερη περίπτωση αρκεί η ρητή πρόβλεψη στο νόμο.
 

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο έχουν συλλεγεί, επιτρέπεται εάν ο άλλος σκοπός είναι ένας από τους σκοπούς που αναφέρονται στο άρθρο 43, ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται δεδομένα για το σκοπό αυτό και η επεξεργασία που διενεργείται είναι απαραίτητη και ανάλογη προς τον σκοπό αυτό. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλο σκοπό, που δεν αναφέρεται στο άρθρο 43, επιτρέπεται εφόσον προβλέπεται ρητώς στο νόμο.



Άρθρο 48
Επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς
(άρθρο 4 της Οδηγίας)


Με το άρθρο 48 ενσωματώνεται το άρθρο 4 παράγραφος 3 της Οδηγίας και ορίζεται ότι η νομιμότητα της επεξεργασίας που πραγματοποιείται με σκοπό την αρχειοθέτηση για λόγους δημοσίου συμφέροντος ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή σκοπούς συλλογής και τήρησης στατιστικών στοιχείων υπαγορεύεται από το δημόσιο συμφέρον υπό τον περιορισμό της ταυτόχρονης διασφάλισης των εννόμων συμφερόντων του υποκειμένου των δεδομένων, ενώ αναφέρονται ενδεικτικώς και ανάλογες διασφαλίσεις.
 

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε επεξεργασία στο πλαίσιο των σκοπών που αναφέρονται στο άρθρο 43 για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εάν αυτό είναι προς το δημόσιο συμφέρον και εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων.Οι εν λόγω διασφαλίσεις μπορούν να συνίστανται στην ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα το ταχύτερο δυνατόν, τη λήψη μέτρων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης τρίτων ή την επεξεργασία τους με χωροταξικό και οργανωτικό διαχωρισμό από άλλα εξειδικευμένα καθήκοντα.



Άρθρο 49 Συγκατάθεση

Με το άρθρο 49 τίθενται όροι και διασφαλίσεις της νομιμότητας της επεξεργασίας από τις κατ'άρθρο 43 αρμόδιες αρχές για τους σκοπούς που καθορίζονται με το ίδιο άρθρο. Η ρύθμιση προσδιορίζει ειδικότερα τους όρους με τους οποίους παρέχεται η συγκατάθεση, όταν αυτή προβλέπεται ρητά σε διάταξη νόμου ή αφορά μέτρα που έχει ζητήσει το ίδιο το υποκείμενο των δεδομένων προσωπικού χαρακτήρα, καθώς και τους όρους υπό τους οποίους αυτή ανακαλείται. Τέτοιες περιπτώσεις, όπως αναφέρονται και στην αιτιολογική σκέψη 35 της Οδηγίας, είναι π.χ. η υποβολή σε εξέταση DNA στις ποινικές έρευνες ή η επιτήρηση της θέσης στην οποία βρίσκεται κάποιος με ηλεκτρονικές ετικέτες με σκοπό την εκτέλεση των ποινικών κυρώσεων («ηλεκτρονικό βραχιολάκι»).
 

1. Στο βαθμό που η επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί να γίνει, σύμφωνα με τον νόμο, βάσει συγκατάθεσης, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την παροχή συγκατάθεσης του υποκειμένου των δεδομένων.
2. Σε περίπτωση που η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, η αίτηση για λήψη της συγκατάθεσης πρέπει να παρουσιάζεται κατά τρόπο διακριτό από τα άλλα θέματα, σε μία εύληπτη και ευχερώς προσβάσιμη μορφή και με χρήση απλής και κατανοητής γλώσσας.
3. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας με βάση τη συγκατάθεση που παρασχέθηκε πριν από την ανάκλησή της. Το υποκείμενο των δεδομένων ενημερώνεται γι ' αυτό το δικαίωμά του πριν από την παροχή της συγκατάθεσής του.
4. Η συγκατάθεση παράγει τα έννομα αποτελέσματά της μόνο όταν βασίζεται στην ελεύθερη βούληση του υποκειμένου των δεδομένων. Κατά την αξιολόγηση εάν η συγκατάθεση παρεσχέθη ελεύθερα, πρέπει να λαμβάνονται υπόψη οι περιστάσεις υπό τις οποίες αυτή παρεσχέθη. Το υποκείμενο των δεδομένων ενημερώνεται για τον επιδιωκόμενο σκοπό της επεξεργασίας. Εάν είναι απαραίτητο σύμφωνα με τις περιστάσεις της συγκεκριμένης υπόθεσης ή κατόπιν αιτήματος, το υποκείμενο των δεδομένων ενημερώνεται επίσης για τις συνέπειες της άρνησης της συγκατάθεσης.
5. Σε περίπτωση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, η συγκατάθεση πρέπει να αναφέρεται ρητώς στα δεδομένα αυτά.



Άρθρο 50
Επεξεργασία υπό την εποπτεία του υπεύθυνου επεξεργασίας
(Άρθρο 23 της Οδηγίας)


Το άρθρο 50 με το οποίο ενσωματώνεται το άρθρο 23 της Οδηγίας, προβλέπει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για τις ανάγκες του παρόντος Κεφαλαίου διενεργείται σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εκτός εάν ο νόμος ορίζει άλλως.
 

Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ο οποίος έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα δεδομένα αυτά σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εκτός εάν ο νόμος ορίζει άλλως.



Άρθρο 51 Εμπιστευτικότητα

Με το άρθρο αυτό ρυθμίζεται η υποχρέωση τήρησης της υποχρέωσης εμπιστευτικότητας των προσώπων που απασχολούνται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα και με την αιτιολογική σκέψη 28 της Οδηγίας.
 

Τα πρόσωπα που απασχολούνται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα τα επεξεργάζονται μετά από άδεια (εμπιστευτικότητα) υποχρεούνται κατά την ανάληψη των καθηκόντων τους στη διατήρηση της εμπιστευτικότητας. Η υποχρέωση τήρησης εμπιστευτικότητας συνεχίζεται μετά τη λήξη της απασχόλησής τους.



Άρθρο 52
Αυτοματοποιημένη ατομική λήψη αποφάσεων
(άρθρο 11 της Οδηγίας)


Με το άρθρο 52, με το οποίο ενσωματώνεται το άρθρο 11 της Οδηγίας, τίθεται η απαγόρευση της λήψης απόφασης με αποκλειστικά αυτοματοποιημένο τρόπο, περιλαμβανόμενης της κατάρτισης προφίλ. Εντούτοις, μια τέτοια επεξεργασία επιτρέπεται κατ 'εξαίρεση σύμφωνα με την παράγραφο 1, εφόσον προβλέπεται ρητά από τον νόμο. Λόγω της φύσης των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την παράγραφο 2 τίθενται αυστηρότερες προϋποθέσεις για την επεξεργασία τους. Τέλος, με την παράγραφο 3 τίθεται ρητή απαγόρευση της κατάρτισης προφίλ που οδηγεί σε διακρίσεις σε βάρος προσώπων με βάση δεδομένα προσωπικού χαρακτήρα, τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα, λαμβανομένων υπόψη και των προβλεπόμενων στα άρθρα 21 και 52 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ.
 

1. Η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, η οποία παράγει δυσμενή έννομα αποτελέσματα στο υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, επιτρέπεται μόνον εφόσον προβλέπεται από τον νόμο.
2. Οι αποφάσεις που αναφέρονται στην προηγούμενη παράγραφο δεν εφαρμόζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, εκτός εάν υφίστανται κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Απαγορεύεται η κατάρτιση προφίλ που οδηγεί σε διακρίσεις σε βάρος φυσικών προσώπων βάσει ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.



Τμήμα ΙΙΙ
Δικαιώματα του Υποκειμένου των δεδομένων Στο Τμήμα ΙΙΙ ρυθμίζονται τα δικαιώματα του υποκειμένου των δεδομένων.

Άρθρο 53
Γενικές πληροφορίες σχετικά με την επεξεργασία δεδομένων
(άρθρο 12 της Οδηγίας)


Με το άρθρο 53 ενσωματώνεται το άρθρο 12 της Οδηγίας και ορίζονται οι γενικές πληροφορίες που πρέπει να χορηγούνται στο υποκείμενο των δεδομένων, ώστε να μπορεί να εξυπηρετηθεί ο σκοπός της.
 

Ο υπεύθυνος επεξεργασίας παρέχει γενικές και ευχερώς προσβάσιμες στο κοινό πληροφορίες σε απλή και κατανοητή γλώσσα και μέσω του διαδικτυακού τόπου της δημόσιας αρχής αναφορικά με:
α) τους σκοπούς της επεξεργασίας,
β) το δικαίωμα του υποκειμένου να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση, διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας,
γ) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και του ΥΠΔ,
δ) το δικαίωμα υποβολής καταγγελίας στην Αρχή, και ε) τα στοιχεία επικοινωνίας της Αρχής.



Άρθρο 54
Δικαίωμα ενημέρωσης του υποκειμένου
(άρθρο 13 της Οδηγίας)


Το άρθρο 54 ενσωματώνει στην εθνική νομοθεσία το άρθρο 13 της Οδηγίας, εισάγει δε και ρυθμίζει το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων σε ειδικές περιπτώσεις και ιδίως όταν τα δεδομένα έχουν συλλεχθεί σε συνθήκες μυστικότητας ή εν αγνοία του υποκειμένου ( παράγραφος 1). Η παράγραφος 2 περιλαμβάνει τους λόγους για τους οποίους ο υπεύθυνος επεξεργασίας δύναται να καθυστερήσει ή να περιορίσει ή και να παραλείψει την παροχή στο υποκείμενο των δεδομένων των προβλεπόμενων πληροφοριών. Στην περίπτωση αυτή τίθεται ως διαδικαστική εγγύηση η δυνατότητα του υποκειμένου να υποβάλει καταγγελία στην Αρχή και ακολούθως κατά της απόφασης της Αρχής να ασκήσει αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας, σύμφωνα με την πρόβλεψη της παραγράφου 7 του επόμενου άρθρου.
 

1. Σε ειδικές περιπτώσεις και ιδίως όταν η συλλογή των δεδομένων του υποκειμένου πραγματοποιήθηκε υπό συνθήκες μυστικότητας, και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο θα πρέπει, επιπλέον των πληροφοριών του προηγούμενου άρθρου, τουλάχιστον να ενημερώνεται για:
α) τη νομική βάση της επεξεργασίας·
β) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
δ) τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν·
ε) όταν είναι απαραίτητο, να του παρέχονται επιπλέον πληροφορίες, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν εν αγνοία του.
2. Στις περιπτώσεις της προηγούμενης παραγράφου, ο υπεύθυνος επεξεργασίας μπορεί να καθυστερήσει, να περιορίσει ή να παραλείψει την ενημέρωση του υποκειμένου εφ' όσον αυτό είναι αναγκαίο:
α) για την εκτέλεση των καθηκόντων των αρμοδίων αρχών, όπως αυτά περιγράφονται στο άρθρο 43,
β) για την εθνική ασφάλεια ή τη δημόσια ασφάλεια, ή
γ) για την προστασία των έννομων συμφερόντων τρίτων, τα οποία θα απειλούνταν διαφορετικά, εάν το συμφέρον για την αποφυγή αυτών των απειλών υπερισχύει έναντι του συμφέροντος του υποκειμένου των δεδομένων να τύχει ενημέρωσης.
3. Οι διατάξεις της παραγράφου 7 του επόμενου άρθρου εφαρμόζονται και για τους περιορισμούς της προηγούμενης παραγράφου.



Άρθρο 55
Δικαίωμα πρόσβασης
(άρθρα 14-15 της Οδηγίας)


Με το άρθρο 55 ενσωματώνονται τα άρθρα 14 και 15 της Οδηγίας και ρυθμίζεται το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία τηρούνται από τις κατά το άρθρο 43 αρμόδιες αρχές καθώς και οι περιορισμοί στο δικαίωμα αυτό. Η παράγραφος 1 προβλέπει την έκταση της πληροφόρησης που πρέπει να παρέχεται στο υποκείμενο των δεδομένων, ενώ με τις επόμενες παραγράφους ρυθμίζονται οι λόγοι για τους οποίους μπορεί ο υπεύθυνος επεξεργασίας να περιορίσει εν όλω ή εν μέρει την παροχή των πληροφοριών, η σχετική πληροφόρηση του προσώπου σε περίπτωση περιορισμού του δικαιώματος πρόσβασης, καθώς και η δυνατότητα υποβολής καταγγελίας στην Αρχή και ακολούθως κατά της απόφασης της Αρχής η δυνατότητα που έχει να ασκήσει αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
 

1. Ο υπεύθυνος επεξεργασίας ενημερώνει, κατόπιν αιτήσεώς του, το υποκείμενο των δεδομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το υποκείμενο των δεδομένων ενημερώνεται, επίσης, για:
α) τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τις κατηγορίες στις οποίες ανήκουν·
β) τις διαθέσιμες πληροφορίες σχετικά με την προέλευση των δεδομένων· γ) τους σκοπούς και τη νομική βάση για την επεξεργασία·
δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς·
ε) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, για τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
στ) τη δυνατότητα άσκησης του δικαιώματος διόρθωσης ή διαγραφής ή περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
ζ) το δικαίωμα κατ' εφαρμογή του άρθρου 58 να υποβάλει καταγγελία στην Αρχή, και
η) τα στοιχεία επικοινωνίας της Αρχής.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών απαιτήσεων διατήρησης ή εξυπηρετούν αποκλειστικά σκοπούς ασφάλειας των δεδομένων ή ελέγχων προστασίας των δεδομένων, εάν η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια και η επεξεργασία για άλλους σκοπούς μέσω ενδεδειγμένων τεχνικών και οργανωτικών μέτρων αποκλείεται.
3. Δεν παρέχονται πληροφορίες, εάν το υποκείμενο των δεδομένων δεν παρέχει πληροφορίες που να επιτρέπουν ανεύρεση των δεδομένων του και, κατά συνέπεια, η απαιτούμενη προσπάθεια είναι δυσανάλογη έναντι του συμφέροντος του υποκειμένου των δεδομένων για παροχή πληροφοριών.
4. Με την επιφύλαξη των προϋποθέσεων της παραγράφου 2 του προηγούμενου άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί την παροχή πληροφοριών σύμφωνα με το πρώτο εδάφιο της παραγράφου 1 ή να περιορίσει, εν όλω ή εν μέρει, την ενημέρωση σύμφωνα με το δεύτερο εδάφιο της παραγράφου 1.
5. Δεν γνωστοποιείται στο υποκείμενο των δεδομένων η ταυτότητα φυσικών προσώπων από τα οποία προήλθαν τα δεδομένα προσωπικού χαρακτήρα, όταν η πληροφόρηση αυτή μπορεί να θέσει σε κίνδυνο τη ζωή ή τη σωματική ακεραιότητα και τις θεμελιώδεις ελευθερίες τους καθώς και όταν πρόκειται για προστατευόμενους μάρτυρες ή πληροφοριοδότες.
6. Ο υπεύθυνος επεξεργασίας γνωστοποιεί εγγράφως και χωρίς καθυστέρηση στο υποκείμενο των δεδομένων την απόφασή του με την οποία αρνείται ή περιορίζει την πρόσβαση. Η ανωτέρω υποχρέωση γνωστοποίησης του υπεύθυνου επεξεργασίας δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με την παράγραφο 2 του προηγούμενου άρθρου. Η ανωτέρω γνωστοποίηση περιλαμβάνει τους πραγματικούς ή νομικούς λόγους στους οποίους βασίζεται η άρνηση ή ο περιορισμός, εκτός εάν η ανωτέρω αιτιολόγηση θα έβλαπτε τον επιδιωκόμενο σκοπό της άρνησης ή του περιορισμού της πρόσβασης.
7. Το υποκείμενο των δεδομένων σε περίπτωση άρνησης ή περιορισμού της πρόσβασης, σύμφωνα με την προηγούμενη παράγραφο, ενημερώνεται για τη δυνατότητα άσκησης του δικαιώματος πρόσβασης μέσω της Αρχής και ειδικότερα για την σύμφωνα με το άρθρο 58 δυνατότητα υποβολής καταγγελίας στην Αρχή και την άσκηση αιτήσεως ακυρώσεως κατά της απορριπτικής απόφασης της Αρχής, ενώπιον του Συμβουλίου της Επικρατείας. Η απόφαση του υπεύθυνου επεξεργασίας διαβιβάζεται στην Αρχή, εκτός και εάν αυτός επικαλεσθεί λόγους εθνικής ασφάλειας. Στην περίπτωση της καταγγελίας ενώπιον της Αρχής, η τελευταία ερευνά τη συνδρομή των προϋποθέσεων του περιορισμού του δικαιώματος και ενημερώνει το υποκείμενο, τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από αυτή καθώς και εάν παραβιάσθηκαν οι διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Σε περίπτωση άρνησης ή περιορισμού δικαιώματος της παραγράφου 1 για λόγους εθνικής ασφάλειας, η Αρχή ασκεί τις απορρέουσες από το παρόν άρθρο αρμοδιότητές της αποκλειστικά μέσω του Προέδρου της ή του νόμιμου αναπληρωτή του.
8. Ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς και νομικούς λόγους στους οποίους βασίζεται η απόφασή του.



Άρθρο 56
Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμοί ως προς την επεξεργασία
(Άρθρο 16 της Οδηγίας)

Το άρθρο 56 ρυθμίζει, ενσωματώνοντας το άρθρο 16 της Οδηγίας, το περιεχόμενο και τον τρόπο άσκησης των δικαιωμάτων διόρθωσης ή/και διαγραφής του υποκειμένου των δεδομένων προσωπικού χαρακτήρα καθώς και τους περιορισμούς της επεξεργασίας. Ομοίως και στην περίπτωση αυτή δίδεται η δυνατότητα υποβολής καταγγελίας στην Αρχή και ακολούθως κατά της απόφασης της Αρχής η δυνατότητα του υποκειμένου να ασκήσει αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
 

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη χωρίς καθυστέρηση διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ειδικότερα, στην περίπτωση δηλώσεων ή αποφάσεων, το ζήτημα της ακρίβειας δεν έχει σημασία για το περιεχόμενο της δήλωσης ή της απόφασης. Εάν η ακρίβεια ή η ανακρίβεια των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να διαπιστωθεί, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία αντί να διαγράψει τα δεδομένα. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν προβεί ξανά στον περιορισμό. Το υποκείμενο των δεδομένων μπορεί επίσης να ζητήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, εάν αυτό, λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, είναι εύλογο.
2. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν, όταν η επεξεργασία τους παραβιάζει τις διατάξεις του παρόντος Κεφαλαίου, η γνώση των δεδομένων αυτών δεν είναι πλέον απαραίτητη για την εκτέλεση καθηκόντων ή τα δεδομένα αυτά πρέπει να έχουν διαγραφεί, προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει νόμιμη υποχρέωσή του.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, όταν:
α) υπάρχει λόγος να υποτεθεί ότι η διαγραφή θα έβλαπτε τα έννομα συμφέροντα του υποκειμένου των δεδομένων,
β) τα δεδομένα προσωπικού χαρακτήρα επιβάλλεται να διατηρηθούν, εφόσον χρησιμεύουν ως αποδεικτικά μέσα για τους σκοπούς του άρθρου 43 ή γ) η διαγραφή θα ήταν αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια λόγω του ειδικού τρόπου αποθήκευσης.
Τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε περιορισμένη επεξεργασία σύμφωνα με το πρώτο εδάφιο μπορούν να υποβληθούν σε επεξεργασία μόνο για τον σκοπό που εμπόδισε τη διαγραφή τους.
4. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, τεχνικά μέτρα πρέπει να εξασφαλίζουν ότι ο περιορισμός της επεξεργασίας είναι ευδιάκριτος και ότι η επεξεργασία για άλλους σκοπούς δεν είναι δυνατή χωρίς περαιτέρω εξέταση.
5. Όταν ο υπεύθυνος επεξεργασίας έχει διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα κοινοποιεί τη διόρθωση στο φορέα από τον οποίο τα έλαβε. Σε περίπτωση διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας σύμφωνα με τις παραγράφους 1 έως και 3, ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες στους οποίους διαβιβάσθηκαν τα δεδομένα προσωπικού χαρακτήρα σχετικά με τα μέτρα αυτά. Ο αποδέκτης διορθώνει ή διαγράφει τα δεδομένα προσωπικού χαρακτήρα ή περιορίζει την επεξεργασία τους.
6. Ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για οποιαδήποτε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας τους. Αυτό δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με στην παράγραφο 2 του άρθρου 54. Οι πληροφορίες που προβλέπονται στο προηγούμενο εδάφιο περιλαμβάνουν τους λόγους της άρνησης, εκτός εάν οι λόγοι αυτοί θέτουν σε κίνδυνο τον επιδιωκόμενο σκοπό της άρνησης.
7. Κατά τα λοιπά εφαρμόζονται αναλόγως οι παράγραφοι 7 και 8 του προηγούμενου άρθρου.



Άρθρο 57
Τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων
(Άρθρο 12 της Οδηγίας)


Με το άρθρο 57 ενσωματώνεται το άρθρο 12 της Οδηγίας καθ'ο μέρος ορίζεται ειδικότερα ο τρόπος άσκησης των δικαιωμάτων του υποκείμενου των δεδομένων προσωπικού χαρακτήρα. Προβλέπεται, ειδικότερα, ότι η επικοινωνία μπορεί να γίνει και με ηλεκτρονικά μέσα, ενώ λαμβάνεται ιδιαίτερη πρόνοια για τους ανηλίκους. Προβλέπεται, επίσης, όταν μια αίτηση σύμφωνα με τα άρθρα 55 και 56 είναι προδήλως αβάσιμη ή ασκείται καταχρηστικά, η επιβολή τέλους από τον υπεύθυνο επεξεργασίας ή το δικαίωμα να αρνηθεί να ενεργήσει σύμφωνα με το αίτημα.
 

1. Ο υπεύθυνος επεξεργασίας επικοινωνεί με το υποκείμενο των δεδομένων σε συνοπτική, κατανοητή και ευχερώς προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν απευθύνεται σε ανηλίκους. Οι πληροφορίες, επιφυλασσομένων ειδικών διατάξεων, παρέχονται με κάθε κατάλληλο μέσο, συμπεριλαμβανομένων και των ηλεκτρονικών μέσων. Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις πληροφορίες στη μορφή που υποβλήθηκε το αίτημα.
2. Με την επιφύλαξη της παραγράφου 5 του άρθρου 55 και της παραγράφου 6 του άρθρου 56 ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση το υποκείμενο των δεδομένων για την πορεία της αίτησής του.
3. Οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 53, κάθε επικοινωνία που πραγματοποιείται σύμφωνα με τα άρθρα 54 και 64 καθώς και οι αιτήσεις που υποβάλλονται σε επεξεργασία σύμφωνα με τα άρθρα 55 και 56, δεν υπόκεινται σε τέλος. Όταν μια αίτηση σύμφωνα με τα άρθρα 55 και 56 είναι προδήλως αβάσιμη ή ασκείται καταχρηστικά, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει ένα εύλογο τέλος βάσει των διοικητικών του εξόδων ή μπορεί να αρνηθεί να ενεργήσει βάσει του αιτήματος. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τον προδήλως αβάσιμο ή καταχρηστικό χαρακτήρα της αίτησης.
4. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει την αίτηση σύμφωνα με τα άρθρα 55 και 56, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή συμπληρωματικών πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου.



Άρθρο 58
Δικαίωμα υποβολής καταγγελίας στην Αρχή
(Άρθρο 17 της Οδηγίας)

Με το άρθρο 58 ενσωματώνεται το άρθρο 17 της Οδηγίας και δίδεται στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα η δυνατότητα, καθ' υπέρβαση των προβλέψεων της παραγράφου 1 του άρθρου 17 της Οδηγίας, παρέχοντας επαρκέστερες εγγυήσεις, να υποβάλει καταγγελία ενώπιον της Αρχής εάν πιστεύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν από δημόσιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 43 παραβιάζει τα δικαιώματά του. Προβλέπεται, περαιτέρω, ρητώς ότι αυτό δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δικαστικές και εισαγγελικές αρχές, όταν επεξεργάζονται τα δεδομένα αυτά στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών καθηκόντων τους. Περαιτέρω, τίθεται υποχρέωση της Αρχής να ενημερώνει το υποκείμενο των δεδομένων προσωπικού χαρακτήρα για την πρόοδο και το αποτέλεσμα της καταγγελίας και για τη δυνατότητα άσκησης αιτήσεως ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά της απόφασης της Αρχής επί της καταγγελίας του, σύμφωνα με το άρθρο 20. Τέλος, ρυθμίζεται η περίπτωση υποβολής καταγγελίας ενώπιον της Αρχής, ενώ αρμόδια είναι η εποπτική αρχή άλλου κράτος μέλους.
 

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή, εάν πιστεύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν από δημόσιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 43 παραβιάζει τα δικαιώματά του. Αυτό δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δικαστικές και εισαγγελικές αρχές, όταν επεξεργάζονται τα δεδομένα αυτά στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών καθηκόντων τους. Η Αρχή ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και το αποτέλεσμα της καταγγελίας και για τη δυνατότητα άσκησης αιτήσεως ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά της απόφασής επί της καταγγελίας του, σύμφωνα με το άρθρο 20.
2. Σε περίπτωση υποβολής καταγγελίας σχετικά με την επεξεργασία ενώπιον της Αρχής, αντί της αρμόδιας εποπτικής αρχής άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης, η Αρχή πρέπει να διαβιβάσει, χωρίς καθυστέρηση, στην εποπτική αρχή του άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης, την καταγγελία που εμπίπτει στην αρμοδιότητά της. Στην περίπτωση αυτή, η Αρχή ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση της καταγγελίας του και του παράσχει κατόπιν αιτήματός του οποιαδήποτε βοήθεια.



Άρθρο 59
Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες
(Άρθρο 18 της Οδηγίας)

Με το άρθρο 59 ενσωματώνεται το άρθρο 18 της Οδηγίας και λαμβάνεται ειδική πρόνοια του εθνικού νομοθέτη ώστε στο πλαίσιο ποινικής έρευνας και διαδικασίας, τα δικαιώματα ενημέρωσης για την επεξεργασία, πρόσβαση, διόρθωση ή διαγραφή και περιορισμού των δεδομένων προσωπικού χαρακτήρα, κατά τις διατάξεις των άρθρων 54 έως και 56, να ασκούνται σύμφωνα με όσα ορίζουν οι διατάξεις του Κώδικα Ποινικής Δικονομίας, ειδικές δικονομικές διατάξεις και ο Κώδικας Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών, όπως κάθε φορά ισχύουν.
 

Στο πλαίσιο ποινικής έρευνας και διαδικασίας, τα δικαιώματα ενημέρωσης για την επεξεργασία, πρόσβασης, διόρθωσης ή διαγραφής και περιορισμού των δεδομένων προσωπικού χαρακτήρα, κατά τις διατάξεις τω άρθρων 54 έως και 56, ασκούνται σύμφωνα με όσα ορίζουν οι διατάξεις του Κώδικα Ποινικής Δικονομίας, ειδικές δικονομικές διατάξεις και ο Κώδικας Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών, όπως κάθε φορά ισχύουν.



Τμήμα IV
Υποχρεώσεις εκτελούντος την επεξεργασία και υπεύθυνου επεξεργασίας


Στο Τμήμα IV περιλαμβάνονται ρυθμίσεις που αφορούν τις υποχρεώσεις εκτελούντος την επεξεργασία και υπεύθυνου επεξεργασίας

Άρθρο 60
Εκτελών την επεξεργασία
(Άρθρα 22 και 23 της Οδηγίας)


Το άρθρο 60 του ΣχΝ, ενσωματώνοντας τα άρθρα 22 και 23 της Οδηγίας, προβλέπει τις ειδικότερες υποχρεώσεις του υπεύθυνου επεξεργασίας, όταν αναθέτει την επεξεργασία σε εκτελούντα την επεξεργασία καθώς και του εκτελούντος επεξεργασία, όταν διενεργεί την επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας, τόσο σε σχέση με την υποχρέωση συμμόρφωσής τους με τα προβλεπόμενα στο ΣχΝ και με άλλες διατάξεις σχετικές με την προστασία των δεδομένων προσωπικού χαρακτήρα, όσο και, προκειμένου για τον εκτελούντα την επεξεργασία έναντι του υπεύθυνου επεξεργασίας.
 

1. Όταν η επεξεργασία διενεργείται για λογαριασμό υπεύθυνου επεξεργασίας, αυτός μεριμνά για την τήρηση των υποχρεώσεων που απορρέουν από τον παρόντα νόμο και από άλλες διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Το δικαίωμα του υποκειμένου για ενημέρωση, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς και η αξίωση αποζημίωσης στην περίπτωση αυτή ασκούνται έναντι του υπεύθυνου επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας επιτρέπεται να αναθέσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο σε εκτελούντες την επεξεργασία, οι οποίοι εξασφαλίζουν με κατάλληλα τεχνικά και οργανωτικά μέτρα ότι η επεξεργασία διενεργείται σύμφωνα με το νόμο και ότι διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων επεξεργασίας.
3. Η επεξεργασία μέσω εκτελούντος την επεξεργασία πρέπει να βασίζεται σε σύμβαση ή άλλη νομική πράξη που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, η οποία καθορίζει το αντικείμενο, τη διάρκεια, τη φύση και το σκοπό της επεξεργασίας, τη φύση των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων και τα δικαιώματα και τις υποχρεώσεις του υπεύθυνου προσώπου. Η σύμβαση ή άλλη νομική πράξη προβλέπει ιδίως ότι ο εκτελών την επεξεργασία:
α) ενεργεί μόνο κατ' εντολή και σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας· εάν ο εκτελών την επεξεργασία θεωρεί ότι μια εντολή είναι παράνομη ,πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση·
β) εγγυάται ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα είναι υποχρεωμένα να τηρούν την εμπιστευτικότητα, στο μέτρο που αυτά δεν υπόκεινται σε καμία εύλογη νομική υποχρέωση διατήρησης του απορρήτου·
γ) βοηθά με τα κατάλληλα μέσα τον υπεύθυνο επεξεργασίας για τη διασφάλιση των δικαιωμάτων του υποκειμένου των δεδομένων·
δ) μετά την ολοκλήρωση της παροχής των υπηρεσιών επεξεργασίας κατά την κρίση του υπεύθυνου επεξεργασίας επιστρέφει ή διαγράφει όλα τα προσωπικά δεδομένα και καταστρέφει τα υπάρχοντα αντίγραφα, εκτός εάν υπάρχει νομική υποχρέωση αποθήκευσης των δεδομένων·
ε) παρέχει στον υπεύθυνο επεξεργασίας όλες τις απαραίτητες πληροφορίες, ιδίως τις δημιουργηθείσες καταχωρίσεις σύμφωνα με το άρθρο 74, ως απόδειξη συμμόρφωσης με τις υποχρεώσεις του·
στ) επιτρέπει και συμβάλλει στη διενέργεια ελέγχων που διενεργεί ο υπεύθυνος επεξεργασίας ή ο εξουσιοδοτημένος από αυτόν ελεγκτής·
ζ) λαμβάνει όλα τα αναγκαία μέτρα σύμφωνα με το άρθρο 62·
η) λαμβανομένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που έχει στη διάθεσή του, βοηθά τον υπεύθυνο επεξεργασίας για την τήρηση των υποχρεώσεων που ορίζονται στα άρθρα 62 έως 65 και 67.
4. Σε περίπτωση που ο εκτελών την επεξεργασία αναθέτει σε άλλον εκτελούντα την επεξεργασία, πρέπει να του επιβάλει τις ίδιες υποχρεώσεις σύμφωνα με τη σύμβασή του με τον υπεύθυνο επεξεργασίας, σύμφωνα με την παράγραφο 3, η οποία ισχύει και για τον ίδιο, εκτός εάν οι υποχρεώσεις αυτές δεσμεύουν ήδη τον άλλο εκτελούντα την επεξεργασία βάσει άλλων διατάξεων.
5. Ο εκτελών την επεξεργασία δύναται να αναθέσει την επεξεργασία σε άλλον, μόνο κατόπιν προηγούμενης έγγραφης αδείας του υπεύθυνου επεξεργασίας. Εάν ο υπεύθυνος επεξεργασίας έχει χορηγήσει στον εκτελούντα την επεξεργασία γενική άδεια για τη συμμετοχή και άλλου εκτελούντος την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν αλλαγές, στις οποίες σκοπεύει να προβεί και που αφορούν την ενδεχόμενη συμπλήρωση ή αντικατάσταση άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος επεξεργασίας δύναται στην περίπτωση αυτή να αρνηθεί αυτές τις αλλαγές.
6. Η σύμβαση που αναφέρεται στην παράγραφο 3 πρέπει να είναι έγγραφη ή ηλεκτρονική.
7. Ο εκτελών την επεξεργασία που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας κατά παράβαση του παρόντος άρθρου θεωρείται υπεύθυνος επεξεργασίας.



Άρθρο 61
Από κοινού υπεύθυνοι επεξεργασίας
(Άρθρο 21 της Οδηγίας)


Το άρθρο 61 ενσωματώνει το άρθρο 21 της Οδηγίας ρυθμίζοντας τα ζητήματα καθορισμού αρμοδιοτήτων, καθηκόντων και ευθυνών στην περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας και οι οποίοι αποτελούν τους «από κοινού υπεύθυνους επεξεργασίας».
 

1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, καθίστανται από κοινού υπεύθυνοι επεξεργασίας. Τα καθήκοντα και οι ευθύνες καθενός εκ των από κοινού υπεύθυνων επεξεργασίας ορίζονται με διαφανή τρόπο, με έγγραφη συμφωνία στο βαθμό που τα καθήκοντα και οι ευθύνες τους δεν καθορίζονται από τον νόμο. Συγκεκριμένα, η συμφωνία πρέπει να καθορίζει ποιός πρέπει να εκπληρώσει τις υποχρεώσεις πληροφόρησης και ενώπιον τίνος τα πρόσωπα στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα μπορούν να ασκήσουν τα δικαιώματά τους.
2. Η ύπαρξη συμφωνίας της προηγούμενης παραγράφου δεν εμποδίζει το υποκείμενο των δεδομένων να ασκήσει τα δικαιώματά του έναντι καθενός εκ των από κοινού υπεύθυνων επεξεργασίας.



Άρθρο 62
Ασφάλεια επεξεργασίας
(Άρθρο 19 και 29 της Οδηγίας)

Με το άρθρο αυτό ενσωματώνονται τα άρθρα 19 και 29 της Οδηγίας και προσδιορίζονται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, ιδίως αναφορικά με την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Τα μέτρα αυτά πρέπει να διασφαλίζουν την ακεραιότητα και τη διαθεσιμότητα των δεδομένων προσωπικού χαρακτήρα καθώς και την προσβασιμότητα σε αυτά ανά πάσα στιγμή.
 

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας, του κόστους υλοποίησης, της φύσης, του πεδίου εφαρμογής, των περιστάσεων και των σκοπών της επεξεργασίας, καθώς και της πιθανότητας και σοβαρότητας των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων, λαμβάνουν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
2. Τα μέτρα που αναφέρονται στην προηγούμενη παράγραφο μπορεί να περιλαμβάνουν μεταξύ άλλων την ψευδωνυμοποίηση και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, εφόσον τα εν λόγω μέσα είναι δυνατά για τους σκοπούς της επεξεργασίας, Τα μέτρα σύμφωνα με την παράγραφο 1 πρέπει να διασφαλίζουν:
α) την εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών που σχετίζονται με την επεξεργασία · και
β) τη δυνατότητα να αποκατασταθεί έγκαιρα η διαθεσιμότητα και η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα σε περίπτωση φυσικού ή τεχνικού συμβάντος.
3. Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, μετά από αξιολόγηση των κινδύνων, εφαρμόζουν μέτρα που έχουν ως σκοπό:
α) την απαγόρευση τής πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό)·
β) την αποτροπή τής μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης μέσων αποθήκευσης (έλεγχος μέσων αποθήκευσης)·
γ) την αποτροπή τής μη εξουσιοδοτημένης εισαγωγής δεδομένων προσωπικού χαρακτήρα και του μη εξουσιοδοτημένου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·
δ) την αποτροπή τής χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·
ε) την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνο σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότησή τους (έλεγχος πρόσβασης στα δεδομένα)·
στ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα προσωπικού χαρακτήρα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·
ζ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιόν (έλεγχος εισαγωγής)·
η) την αποτροπή τής μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά μέσων αποθήκευσης δεδομένων (έλεγχος διαβίβασης)·
θ) την εξασφάλιση ότι η λειτουργία των εγκαταστημένων συστημάτων μπορεί να αποκατασταθεί σε περίπτωση διακοπής της (αποκατάσταση)·
ι) την εξασφάλιση λειτουργικότητας των συστημάτων και ότι αναφέρεται η εμφάνιση δυσλειτουργιών στο σύστημα (έλεγχος αξιοπιστίας)·
ια) την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται χωρίς υπαίτια καθυστέρηση (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα παραμένουν αναλλοίωτα σε περίπτωση δυσλειτουργίας του συστήματος (ακεραιότητα)· ιβ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας μπορούν να υποβληθούν σε επεξεργασία μόνο σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας (έλεγχος επεξεργασίας)·
ιγ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται από απώλεια και καταστροφή (έλεγχος της διαθεσιμότητας)·
ιδ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για διαφορετικούς σκοπούς μπορούν να υποβληθούν σε επεξεργασία με οργανωτικό ή χωροταξικό διαχωρισμό (δυνατότητα διαχωρισμού).
Ο σκοπός του πρώτου εδαφίου στις περιπτώσεις β' έως και ε' μπορεί να επιτευχθεί ιδίως με τη χρήση τεχνολογίας κρυπτογράφησης.



Άρθρο 63
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή
(Άρθρο 30 της Οδηγίας)

Προκειμένου να ενισχυθεί η συνειδητοποίηση της αναγκαιότητας λήψης και εφαρμογής μέτρων ασφαλείας, αλλά και για την καλύτερη διασφάλιση των δικαιωμάτων των υποκειμένων, το άρθρο 63 ενσωματώνει το άρθρο 30 της Οδηγίας και εισάγει την υποχρέωση γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή, εκτός εάν η παραβίαση δεν είναι πιθανό να επιφέρει κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των φυσικών προσώπων. Το προαναφερόμενο άρθρο ορίζει λεπτομερώς τις πληροφορίες που πρέπει να γνωστοποιηθούν, την προθεσμία, διαδικασία και τις άλλες σχετικές υποχρεώσεις του υπεύθυνου επεξεργασίας, αλλά και του εκτελούντος την επεξεργασία έναντι αυτού.
 

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην Αρχή την παραβίαση χωρίς καθυστέρηση και, εφόσον είναι δυνατόν, το αργότερο εντός εβδομήντα δύο (72) ωρών από τότε που έλαβε γνώση της παραβίασης, εκτός εάν αιτιολογημένα κρίνει ότι η παραβίαση δεν είναι πιθανό να θέσει σε κίνδυνο τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου. Η γνωστοποίηση της παραβίασης στην Αρχή μετά την πάροδο των εβδομήντα δύο (72) ωρών θα πρέπει να αιτιολογείται ειδικώς ως προς τους λόγους της καθυστέρησης.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1, περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
α) τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών, του αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα·
β) το ονοματεπώνυμο και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας, από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες·
γ) περιγραφή των συνεπειών που ενδέχεται να έχει η παραβίαση των δεδομένων προσωπικού χαρακτήρα· και
δ) περιγραφή των μέτρων που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων
προσωπικού χαρακτήρα, καθώς και για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
4. Σε περίπτωση που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες της προηγούμενης παραγράφου ταυτόχρονα με τη γνωστοποίηση της παραβίασης, ο υπεύθυνος επεξεργασίας μπορεί να τις παράσχει σταδιακά από τη στιγμή που αυτές είναι διαθέσιμες, χωρίς περαιτέρω καθυστέρηση.
5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα επανορθωτικά μέτρα.
6. Σε περίπτωση που η παραβίαση δεδομένων αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι πληροφορίες που αναφέρονται στην παράγραφο 3 γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς καθυστέρηση.
7. Περαιτέρω υποχρεώσεις του υπεύθυνου επεξεργασίας σχετικά με την κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα παραμένουν ανεπηρέαστες.



Άρθρο 64
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
(άρθρο 31 της Οδηγίας)

Το άρθρο 64 ενσωματώνει το άρθρο 31 της Οδηγίας και ρυθμίζει τη γνωστοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων, τα οποία θίγονται από την παραβίαση αυτή. Προβλέπονται περαιτέρω οι όροι υπό τους οποίους η γνωστοποίηση αυτή μπορεί να αναβληθεί, να περιοριστεί ή ακόμη και να παραλειφθεί (παράγραφος 5).
 

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμέσως στο υποκείμενο των δεδομένων το περιστατικό.
2. Κατά τη γνωστοποίηση στο υποκείμενο των δεδομένων, σύμφωνα με την παράγραφο 1 περιγράφεται κατά τρόπο εύληπτο και σαφή η φύση της παραβίασης
και αναφέρεται τουλάχιστον το περιεχόμενο των περιπτώσεων β', γ' και δ' της παραγράφου 3 του προηγούμενου άρθρου.
3. Γνωστοποίηση στο υποκείμενο των δεδομένων δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και έχει εφαρμόσει τα μέτρα αυτά στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση· αυτό ισχύει ιδιαίτερα για τα μέτρα, όπως η κρυπτογράφηση, μέσω της οποίας τα δεδομένα καθίσταται απρόσιτα σε μη εξουσιοδοτημένα πρόσωπα·
β) ο υπεύθυνος επεξεργασίας έλαβε εκ των υστέρων μέτρα που διασφαλίζουν
την προστασία έναντι της παραβίασης των δεδομένων προσωπικού χαρακτήρα· ή
γ) απαιτούνται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα, ώστε το υποκείμενο των δεδομένων να ενημερώνεται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα, η Αρχή μπορεί να δηλώσει επισήμως ότι θεωρεί ότι δεν πληρούνται οι προϋποθέσεις της παραγράφου 3. Με τον τρόπο αυτό, πρέπει να λάβει υπόψη την πιθανότητα ότι η ζημία θα οδηγήσει σε σημαντικό κίνδυνο κατά την έννοια της παραγράφου 1.
5. Η κοινοποίηση στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να αναβληθεί, να περιοριστεί ή να παραλειφθεί υπό τους όρους που ορίζονται στο άρθρο 54 παράγραφος 2, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του σημαντικού κινδύνου της παραβίασης κατά την έννοια της παραγράφου 1.



Άρθρο 65
Εκτίμηση αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα
(άρθρο 27 της Οδηγίας)

Το άρθρο 65 ενσωματώνει το άρθρο 27 της Οδηγίας και προβλέπει την υποχρέωση του υπεύθυνου επεξεργασίας για διενέργεια εκτίμησης αντικτύπου της επεξεργασίας δεδομένων, όταν πιθανολογείται ότι η επεξεργασία αυτή ενδέχεται να προκαλέσει σημαντικό κίνδυνο για το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, αλλά και για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων. Όταν πρόκειται για περισσότερους τύπους επεξεργασίας που παρουσιάζουν παρόμοιες δυνατότητες σημαντικού κινδύνου, προβλέπεται η διεξαγωγή κοινής εκτίμησης αντικτύπου. Η εκτίμηση αντικτύπου πρέπει κατ' ελάχιστον να περιέχει περιγραφή των πράξεων και σκοπών της επεξεργασίας, εκτίμηση της αναγκαιότητας των πράξεων επεξεργασίας σε σχέση με τους σκοπούς στους οποίους αυτή αποβλέπει, εκτίμηση των κινδύνων και πρόβλεψη των αναγκαίων μέτρων, εγγυήσεων και διασφαλίσεων για την εξασφάλιση της προστασίας των δεδομένων.
 

1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της εκτέλεσης της επεξεργασίας για τα υποκείμενα των δεδομένων.
2. Για τη διερεύνηση περισσότερων παρόμοιων πράξεων επεξεργασίας με παρόμοιες δυνατότητες σημαντικού κινδύνου, μπορεί να διεξαχθεί κοινή εκτίμηση αντίκτυπου για την προστασία των δεδομένων προσωπικού χαρακτήρα.
3. Ο υπεύθυνος επεξεργασίας δύναται να εμπλέκει την Αρχή κατά την εφαρμογή της εκτίμησης αντικτύπου.
4. Η εκτίμηση αντικτύπου λαμβάνει υπόψη τα δικαιώματα του υποκειμένου που επηρεάζονται από την επεξεργασία και πρέπει να περιέχει τουλάχιστον τα ακόλουθα:
α) συστηματική περιγραφή των προβλεπόμενων πράξεων και σκοπών της επεξεργασίας·
β) εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους επιδιωκόμενους σκοπούς·
γ) εκτίμηση των κινδύνων για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων· και
δ) τα μέτρα που πρέπει να ληφθούν για την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων, των διασφαλίσεων και των διαδικασιών για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και για την απόδειξη της συμμόρφωσης με τις νομικές απαιτήσεις.
5. Όταν κρίνεται απαραίτητο, ο υπεύθυνος επεξεργασίας ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου.



Άρθρο 66
Συνεργασία με την Αρχή
(άρθρο 26 της Οδηγίας)

Με το άρθρο 66 ενσωματώνεται το άρθρο 26 της Οδηγίας και προβλέπεται η υποχρέωση του υπεύθυνου επεξεργασίας και του εκτελούντος επεξεργασία να συνεργάζονται με την Αρχή.
 

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται με την Αρχή κατά την εκτέλεση των καθηκόντων της.



Άρθρο 67
Προηγούμενη διαβούλευση με την Αρχή
(Άρθρο 28 της Οδηγίας)

Με το άρθρο 67 ενσωματώνεται το άρθρο 28 της Οδηγίας και προβλέπονται οι περιπτώσεις, στις οποίες εισάγεται ως υποχρέωση η προηγούμενη διαβούλευση με την Αρχή. Η παράγραφος 2 προβλέπει ρητά την υποχρέωση διαβούλευσης με την Αρχή κατά την εκπόνηση σχεδίων νόμου ή κανονιστικών πράξεων που εκδίδονται κατ' εξουσιοδότηση νόμου, τα οποία αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις κατά το άρθρο 43 αρμόδιες αρχές ή συνδέονται με αυτήν. Στην παράγραφο 3 προβλέπεται η δυνατότητα κατάρτισης καταλόγου πράξεων επεξεργασίας για τις οποίες προηγείται υποχρεωτικά διαβούλευση με την Αρχή, ενώ στην παράγραφο 4 απαριθμούνται τα στοιχεία που τίθενται στη διάθεση της Αρχής από τον υπεύθυνο επεξεργασίας, προκειμένου να εκτιμήσει η Αρχή τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
 

1. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με την Αρχή πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:
α) προκύπτει από την εκτίμηση του άρθρου 65 ότι η επεξεργασία θα προκαλέσει σημαντικό κίνδυνο στα προστατευόμενα έννομα συμφέροντα του υποκειμένου των
δεδομένων εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του· ή
β) ο τύπος επεξεργασίας, ιδίως λόγω της χρήσης νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων.
2. Κατά την εκπόνηση σχεδίων νόμου ή κανονιστικών πράξεων, τα οποία αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές, για τους σκοπούς του άρθρου 43 ή συνδέονται με αυτή ζητείται εγκαίρως η γνώμη της Αρχής.
3. Η Αρχή μπορεί να καταρτίζει κατάλογο πράξεων επεξεργασίας, οι οποίες υπόκεινται σε προηγούμενη διαβούλευση σύμφωνα με την παράγραφο 1. Η Αρχή κοινοποιεί τον εν λόγω κατάλογο στον υπεύθυνο επεξεργασίας.
4. Κατά τη διενέργεια της προηγούμενης διαβούλευσης υποβάλλονται στην Αρχή :
α) η εκτίμηση αντικτύπου για την προστασία των δεδομένων που διενεργείται σύμφωνα με το άρθρο 65·
β) κατά περίπτωση, πληροφορίες σχετικά με τις αρμοδιότητες του υπεύθυνου επεξεργασίας, των από κοινού υπεύθυνων επεξεργασίας και των εμπλεκομένων εκτελούντων την επεξεργασία·
γ) πληροφορίες σχετικά με τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας·
δ) πληροφορίες σχετικά με τα μέτρα και τις διασφαλίσεις που αποσκοπούν στην προστασία των έννομων συμφερόντων των υποκειμένων των δεδομένων· και
ε) το όνομα και τα στοιχεία επικοινωνίας του ΥΠΔ.
Κατόπιν αιτήματος, η Αρχή λαμβάνει κάθε άλλη πληροφορία που απαιτείται για να εκτιμήσει τη νομιμότητα της επεξεργασίας και, ιδίως, τους υφιστάμενους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων και τις σχετικές διασφαλίσεις.
5. Εάν η Αρχή πιστεύει ότι η προβλεπόμενη επεξεργασία θα παραβίαζε το νόμο, ιδίως επειδή ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει επαρκώς τον κίνδυνο ή δεν έχει λάβει επαρκή μέτρα για τον μετριασμό του κινδύνου, μπορεί να παράσχει, εντός προθεσμίας έξι (6) εβδομάδων από την λήψη της αίτησης διαβούλευσης, έγγραφες συστάσεις στον υπεύθυνο επεξεργασίας, και κατά περίπτωση, στον εκτελούντα την επεξεργασία, όσον αφορά τα πρόσθετα μέτρα που πρέπει να ληφθούν. Η Αρχή μπορεί να παρατείνει την προθεσμία αυτή κατά ένα (1) μήνα εάν η προγραμματισμένη επεξεργασία είναι ιδιαίτερα περίπλοκη. Στην περίπτωση αυτή η Αρχή ενημερώνει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την παράταση αυτή.
6. Εάν η επιχειρούμενη επεξεργασία έχει σημαντική σημασία για την εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας και, ως εκ τούτου, είναι ιδιαίτερα επείγουσα, ο υπεύθυνος επεξεργασίας μπορεί να κινήσει την επεξεργασία μετά την έναρξη της διαβούλευσης, αλλά πριν από τη λήξη της προθεσμίας του πρώτου εδαφίου της προηγούμενης παραγράφου. Στην περίπτωση αυτή, οι συστάσεις πρέπει να λαμβάνονται υπόψη εκ των υστέρων και ο τρόπος επεξεργασίας προσαρμόζεται αναλόγως.



Άρθρο 68
Αρχεία των δραστηριοτήτων επεξεργασίας
(άρθρο 24 της Οδηγίας)

Το άρθρο 68 ενσωματώνει το άρθρο 24 της Οδηγίας και προβλέπει την υποχρέωση τήρησης αρχείων δραστηριοτήτων επεξεργασίας από υπεύθυνο επεξεργασίας και εκτελούντα την επεξεργασία. Η τήρηση των αρχείων αυτών, το περιεχόμενο των οποίων ρυθμίζεται αναλυτικά, συνιστά στοιχείο ελεγξιμότητας της επεξεργασίας και έκφανση της υποχρέωσης λογοδοσίας του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία.
 

1. Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί αρχείο για όλες τις κατηγορίες δραστηριοτήτων επεξεργασίας που εμπίπτουν στην αρμοδιότητά του. Το αρχείο περιλαμβάνει τις ακόλουθες πληροφορίες:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπεύθυνου επεξεργασίας και ΥΠΔ ·
β) τους σκοπούς της επεξεργασίας·
γ) τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς·
δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα·
ε) τη χρήση κατάρτισης προφίλ, όπου συντρέχει περίπτωση·
στ) τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, όταν συντρέχει περίπτωση·
ζ) αναφορά της νομικής βάσης της επεξεργασίας·
η) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα ή για την επανεξέταση της ανάγκης διαγραφής τους· και
θ) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62.
2. Ο εκτελών την επεξεργασία πρέπει να διατηρεί αρχείο για όλες της κατηγορίες επεξεργασίας που εκτελούνται για λογαριασμό του υπεύθυνου επεξεργασίας, το οποίο περιλαμβάνει:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας κάθε εκτελούντος την επεξεργασία, κάθε υπεύθυνου επεξεργασίας για λογαριασμό του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του ΥΠΔ·
β) τις κατηγορίες επεξεργασίας που διενεργούνται για λογαριασμό κάθε υπεύθυνου επεξεργασίας·
γ) τις κατά περίπτωση διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς αναφερόμενη τρίτη χώρα ή διεθνή οργανισμό, εφόσον ο εκτελών την επεξεργασία έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας · και
δ) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62, εφόσον είναι δυνατόν.
3. Τα αρχεία των παραγράφων 1 και 2 τηρούνται εγγράφως.
4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, θέτουν τα αρχεία στη διάθεση της Αρχής κατόπιν αιτήσεώς της.



Άρθρο 69
Προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού
(άρθρο 20 της Οδηγίας)

Το άρθρο 69 ενσωματώνει το άρθρο 20 της Οδηγίας και αναφέρεται στην υποχρέωση του υπεύθυνου επεξεργασίας να διασφαλίζει, με κατάλληλα τεχνικά και οργανωτικά μέτρα, την υιοθέτηση των αρχών προστασίας των δεδομένων προσωπικού χαρακτήρα (παράγραφος 1). Ρητά εισάγεται, επίσης, η υποχρέωση του υπεύθυνου επεξεργασίας να διασφαλίζει ότι υποβάλλονται σε επεξεργασία μόνο εκείνα τα δεδομένα προσωπικού χαρακτήρα, τα οποία είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας (παράγραφος 2).
 

1. Ο υπεύθυνος επεξεργασίας, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τον χρόνο της επεξεργασίας, λαμβάνει τα κατάλληλα μέτρα για την εφαρμογή των αρχών προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η ελαχιστοποίηση των δεδομένων, με αποτελεσματικό τρόπο, ώστε να διασφαλίζεται η συμμόρφωση με τις νομικές απαιτήσεις και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας και σοβαρότητας για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων της επεξεργασίας. Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία και τα συστήματα επεξεργασίας επιλέγονται και σχεδιάζονται σύμφωνα με την αρχή της ελαχιστοποίησης. Τα δεδομένα προσωπικού χαρακτήρα καθίστανται ανώνυμα ή ψευδωνυμοποιούνται όσο το δυνατόν ταχύτερα, στο μέτρο του δυνατού, σύμφωνα με τον σκοπό της επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για κάθε συγκεκριμένο σκοπό της επεξεργασίας. Αυτό ισχύει για τον αριθμό των συλλεγόμενων δεδομένων, την έκταση της επεξεργασίας τους, την περίοδο αποθήκευσής τους και την προσβασιμότητα τους. Ειδικότερα, τα μέτρα πρέπει να διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα δεν γίνονται προσπελάσιμα με αυτοματοποιημένα μέσα σε αόριστο αριθμό προσώπων.



Άρθρο 70
Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων
(άρθρο 6 της Οδηγίας)

Το άρθρο 70 ενσωματώνει το άρθρο 6 της Οδηγίας και επιτάσσει, κατ' εφαρμογή της αρχής της ακρίβειας, τη διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων, ώστε να αποφευχθούν λάθη, αλλά και ο στιγματισμός προσώπων λόγω πιθανών ασαφειών ως προς την ιδιότητα με την οποία εμπλέκονται, λ.χ. στην επεξεργασία για τη διακρίβωση ενός ποινικού αδικήματος. Σε κάθε περίπτωση η κατηγοριοποίηση αυτή και η αντίστοιχη επεξεργασία λαμβάνει υπόψη το τεκμήριο της αθωότητας, όπως κατοχυρώνεται από τον Χάρτη Θεμελιωδών Δικαιωμάτων και Ελευθεριών της ΕΕ και από την ΕΣΔΑ, όπως αυτό ερμηνεύεται από τη νομολογία του ΔΕΕ και του ΕΔΔΑ.
 

1. Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας προβαίνει, στο μέτρο του εφικτού, σε σαφή διάκριση μεταξύ των διαφορετικών κατηγοριών υποκειμένων των δεδομένων. Αυτό ισχύει ιδίως για τις ακόλουθες κατηγορίες:
α) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι έχουν διαπράξει ποινικό αδίκημα·
β) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι πρόκειται να διαπράξουν ποινικό αδίκημα·
γ) προσώπων που έχουν καταδικαστεί για ποινικό αδίκημα·
δ) θυμάτων εκ ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα εκ ποινικού αδικήματος· και
ε) άλλων προσώπων, όπως μαρτύρων, πληροφοριοδοτών ή συνδέσμων ή συνεργατών των προσώπων που αναφέρονται στις περιπτώσεις α' έως και δ'.



Άρθρο 71
Διάκριση δεδομένων προσωπικού χαρακτήρα και επαλήθευση της ταυτότητάς τους
(άρθρο 7 της Οδηγίας)


Την αρχή της ακρίβειας και την προστασία των δικαιωμάτων των προσώπων υπηρετεί και η ρύθμιση του άρθρου 71 που αφορά τη διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα και την επαλήθευση της ποιότητας αυτών και ενσωματώνει το άρθρο 7 της Οδηγίας. Η αρχή της ακρίβειας των δεδομένων εφαρμόζεται με γνώμονα τη φύση και τον σκοπό της εκάστοτε επεξεργασίας.
 

Κατά την επεξεργασία, ο υπεύθυνος επεξεργασίας διακρίνει, στο μέτρο του εφικτού, τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε πραγματικές καταστάσεις και αυτά που βασίζονται σε προσωπικές εκτιμήσεις. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας προσδιορίζει τις αξιολογήσεις που βασίζονται σε προσωπικές εκτιμήσεις ως τέτοιες, στο μέτρο του εφικτού στο πλαίσιο της εν λόγω επεξεργασίας. Πρέπει επίσης να είναι δυνατό να προσδιοριστεί ποιά δημόσια αρχή διατηρεί τα αρχεία στα οποία βασίζεται η αξιολόγηση κατόπιν προσωπικής εκτίμησης.



Άρθρο 72
Διαδικασία διαβίβασης
(άρθρο 9 της Οδηγίας)

Σε αντιστοιχία προς το άρθρο 9 της Οδηγίας, το άρθρο 71 ρυθμίζει την περίπτωση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα για τους σκοπούς του άρθρου 43.
 

1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται με άλλο τρόπο. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας επαληθεύει, στο μέτρο του δυνατού, καταβάλλοντας εύλογη προσπάθεια, την ποιότητα των δεδομένων πριν από τη διαβίβαση ή τη διάθεσή τους. Ο υπεύθυνος επεξεργασίας πρέπει επίσης, στο μέτρο του δυνατού και εύλογου, σε όλες τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα να περιλαμβάνει τις απαραίτητες πληροφορίες που θα επιτρέπουν στον αποδέκτη να αξιολογεί τον βαθμό ακρίβειας, πληρότητας και αξιοπιστίας των δεδομένων, καθώς και τον βαθμό στον οποίο αυτά είναι επικαιροποιημένα.
2. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπόκειται σε ειδικούς όρους, όσον αφορά τη διαβίβασή τους, η διαβιβάζουσα αρχή ενημερώνει τον αποδέκτη για τους όρους αυτούς και την υποχρέωση τήρησής της. Η υποχρέωση παροχής πληροφοριών μπορεί να πληρούται με την ανάλογη επισήμανση των δεδομένων.
3. Η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους όρους της προηγούμενης παραγράφου στους αποδέκτες σε άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, εκτός από εκείνους που ισχύουν για ανάλογες διαβιβάσεις δεδομένων εντός της ελληνικής επικράτειας.



Άρθρο 73
Διόρθωση και διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμός της επεξεργασίας
(άρθρο 5 της Οδηγίας)

Το άρθρο 73 ενσωματώνει το άρθρο 5 της Οδηγίας, ρυθμίζοντας την υποχρέωση διόρθωσης ανακριβών δεδομένων προσωπικού χαρακτήρα (παράγραφος 1) καθώς επίσης και την χωρίς καθυστέρηση διαγραφή τους, όταν πρόκειται για παράνομη επεξεργασία, όταν προβλέπεται από νόμο ή όταν η γνώση των δεδομένων δεν είναι πλέον απαραίτητη για την εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας (παράγραφος 2). Σε συνάρτηση προς την αρχή της περιορισμένης χρονικής διάρκειας διατήρησης των δεδομένων, το άρθρο αυτό, επιφυλασσομένων των διατάξεων της εθνικής νομοθεσίας, υποχρεώνει τον υπεύθυνο επεξεργασίας να προβλέψει κατάλληλες προθεσμίες για την αποθήκευση ή τη διαγραφή των δεδομένων, ύστερα από την παρέλευση των οποίων ο υπεύθυνος επεξεργασίας υποχρεούται σε διαγραφή, καθώς και κατάλληλες προθεσμίες περιοδικής επανεξέτασης της ανάγκης αποθήκευσης των δεδομένων. Ωστόσο, στην παράγραφο 4 θεμελιώνεται η υποχρέωση στα αυτοματοποιημένα συστήματα αρχειοθέτησης ο περιορισμός αντί της διαγραφής των δεδομένων προσωπικού χαρακτήρα να είναι ευδιάκριτος με ειδικά τεχνικά μέσα και να μην είναι δυνατή η επεξεργασία για άλλους σκοπούς χωρίς περαιτέρω εξέταση. Επίσης, καθιερώνεται η υποχρέωση ενημέρωσης του αποδέκτη των δεδομένων ότι τα δεδομένα αυτά έχουν διαβιβαστεί παράνομα καθώς και η υποχρέωση του υπεύθυνου επεξεργασίας που έχει διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα να κοινοποιεί τη διόρθωση στο φορέα από τον οποίο τα έλαβε. Προκειμένου να αποτρέπεται η αέναη διατήρηση των δεδομένων, που συνεπάγεται σοβαρούς κινδύνους για τα δικαιώματα των προσώπων, απαιτείται η αιτιολόγηση της ανάγκης περαιτέρω διατήρησης, ενώ προβλέπεται και η εμπλοκή του υπεύθυνου προστασίας δεδομένων στη διαδικασία της σχετικής επανεξέτασης (παράγραφος 4).
 

1. Ο υπεύθυνος επεξεργασίας διορθώνει ανακριβή δεδομένα προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς καθυστέρηση, εάν η επεξεργασία τους είναι παράνομη, και αυτά πρέπει να διαγραφούν προς εκπλήρωση νομικής υποχρέωσης ή η γνώση τους δεν είναι πλέον απαραίτητη για την εκτέλεση των καθηκόντων του.
3. Οι παράγραφοι 3 έως και 5 του άρθρου 56 εφαρμόζονται αναλόγως. Ο αποδέκτης ενημερώνεται επίσης εάν έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί παράνομα.
4. Με την επιφύλαξη των οριζόμενων από νομικές διατάξεις μέγιστων προθεσμιών αποθήκευσης ή διαγραφής, ο υπεύθυνος επεξεργασίας προβλέπει τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή την περιοδική επανεξέταση της ανάγκης για την αποθήκευσή τους και εξασφαλίζει με διαδικαστικές ρυθμίσεις την τήρηση των προθεσμιών αυτών.



Άρθρο 74 Καταχωρίσεις
(άρθρο 25 της Οδηγίας)


Το άρθρο 74 προβλέπει, ενσωματώνοντας το άρθρο 25 της Οδηγίας, την υποχρέωση καταχώρισης των προσδιοριζόμενων πράξεων επεξεργασίας. Οι καταχωρίσεις αυτές εξασφαλίζουν τη διαφάνεια και την ελεγξιμότητα των πράξεων επεξεργασίας, ενώ σκοπός τους είναι περαιτέρω να διευκολύνουν τη συμμόρφωση προς τις ειδικότερες υποχρεώσεις νομιμότητας, αλλά και τις υποχρεώσεις ασφάλειας της επεξεργασίας. Επίσης, η υποχρέωση διαγραφής καθιστά αναγκαία την πρόβλεψη συγκεκριμένου χρονικού διαστήματος εντός του οποίου πρέπει να πραγματοποιηθεί η διαγραφή αυτή.
 

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τηρούν καταχωρίσεις σε αυτοματοποιημένα συστήματα επεξεργασίας τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας:
α) συλλογή,
β) μεταβολή,
γ) διαβούλευση,
δ) κοινολόγηση, συμπεριλαμβανομένων των διαβιβάσεων, ε) συνδυασμό και στ) διαγραφή.
2. Οι καταχωρίσεις διαβουλεύσεων και κοινολογήσεων πρέπει να επιτρέπουν να εξακριβώνεται η αιτιολόγηση, η ημερομηνία και η ώρα των εν λόγω πράξεων και, στο μέτρο του δυνατού, η ταυτότητα του προσώπου που συμβουλεύτηκε ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, καθώς και η ταυτότητα των αποδεκτών του δεδομένων.
3. Οι καταχωρίσεις μπορούν να χρησιμοποιούνται μόνο για την επαλήθευση της νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Αρχή και το υποκείμενο των δεδομένων, καθώς και για τον αυτοέλεγχο, τη διασφάλιση της ακεραιότητας και της ασφάλειας των προσωπικών δεδομένων και για την ποινική διαδικασία.
4. Οι καταχωρίσεις διαγράφονται στο τέλος του έτους που έπεται του έτους κατά το οποίο δημιουργήθηκαν.
5. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τις καταχωρίσεις στη διάθεση της Αρχής κατόπιν αιτήματός της.



Τμήμα V
Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Στο Τμήμα V με τα άρθρα 75-78 που αντιστοιχούν στα άρθρα 35, 37, 38 και 39 της Οδηγίας ρυθμίζονται οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τις κατά το άρθρο 43 αρμόδιες αρχές σε τρίτες χώρες ή διεθνείς οργανισμούς και για τους αναφερόμενους στο άρθρο 43 σκοπούς.

Άρθρο 75
Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα
(άρθρο 35 της Οδηγίας)

Το άρθρο 75 ενσωματώνει το άρθρο 35 της Οδηγίας, θέτει τις γενικές αρχές και ορίζει τις νόμιμες βάσεις τέτοιων διαβιβάσεων. Αξιοσημείωτη είναι η επιταγή να εφαρμόζονται οι ρυθμίσεις κατά τρόπο ώστε να διασφαλίζεται ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που διασφαλίζει η Οδηγία, όπως ενσωματώνεται στην εθνική νομοθεσία με το παρόν Κεφάλαιο. Συνεπεία αυτού, με την παράγραφο 2 προβλέπεται ότι ο υπεύθυνος επεξεργασίας δεν επιτρέπεται, παρά την απόφαση της Ευρωπαϊκής Επιτροπής ως προς την επάρκεια, να προβεί στη διαβίβαση, εάν κρίνεται ότι στη συγκεκριμένη περίπτωση δεν μπορεί να διασφαλισθεί ότι θα γίνει κατάλληλη και αναλογική μεταχείριση των δεδομένων προσωπικού χαρακτήρα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων δεν είναι επαρκώς διασφαλισμένα στο πεδίο αρμοδιότητας του παραλήπτη των δεδομένων ή εάν μια διαβίβαση ενδέχεται να συγκρούεται με υπέρτερα έννομα συμφέροντα του υποκειμένου των δεδομένων π.χ. θα πρέπει να συνεκτιμήσει εάν τα δεδομένα ενδέχεται να υποστούν επεξεργασία για άλλους σκοπούς εκτός των σκοπών της διαβίβασης, καθώς επίσης να λάβει υπόψη ότι τα δεδομένα προσωπικού χαρακτήρα δεν θα χρησιμοποιηθούν για να ζητηθεί θανατική ποινή, να εκδοθεί ή να εκτελεστεί τέτοια απόφαση επιβολής θανατικής ποινής ή να λάβει χώρα οποιαδήποτε μορφή βάναυσης και απάνθρωπης μεταχείρισης, (βλ. αιτιολογική σκέψη 71 της Οδηγίας).
 

1. Εάν πληρούνται όλες οι λοιπές προϋποθέσεις που ισχύουν για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, όπως αυτές καθορίζονται με το παρόν Κεφάλαιο, επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αρχές τρίτων χωρών ή σε διεθνείς οργανισμούς εφόσον:
α) η αρχή ή ο διεθνής οργανισμός είναι αρμόδιοι για τους σκοπούς που αναφέρονται στο άρθρο 43, και
β) η Επιτροπή έχει εκδώσει απόφαση περί εξασφάλισης επαρκούς επιπέδου προστασίας από την τρίτη χώρα, εδαφική περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό ή, ελλείψει τέτοιας απόφασης, έχουν παρασχεθεί κατάλληλες εγγυήσεις ή διαπιστώνεται η ύπαρξή τους σύμφωνα με το επόμενο άρθρο ή, ελλείψει των ανωτέρω, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 77.
2. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται, παρά την ύπαρξη απόφασης επάρκειας σύμφωνα με την προηγούμενη παράγραφο και παρόλο που το επιτάσσει το δημόσιο συμφέρον, εάν στη συγκεκριμένη περίπτωση δεν μπορεί να διασφαλισθεί η προστασία των θεμελιωδών δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων κατά την επεξεργασία των δεδομένων του από τον αποδέκτη τους. Ο υπεύθυνος επεξεργασίας εκτιμά τον βαθμό διασφάλισης προστασίας των ως άνω δικαιωμάτων και έννομων συμφερόντων του υποκειμένου με βάση το κατά πόσον ο παραλήπτης των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα εγγυάται στη συγκεκριμένη περίπτωση την κατάλληλη προστασία τους.
3. Όταν τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται από άλλο κράτος μέλος της Ευρωπαϊκής Ένωσης πρέπει να διαβιβάζονται σύμφωνα με την παράγραφο 1, η διαβίβαση αυτή πρέπει πρώτα να εγκριθεί από την αρμόδια αρχή του άλλου κράτους μέλους. Διαβιβάσεις χωρίς προηγούμενη άδεια επιτρέπονται μόνον εάν η μεταφορά είναι αναγκαία για την αποφυγή άμεσου και σοβαρού κινδύνου για τη δημόσια ασφάλεια ενός κράτους ή για τα ουσιώδη συμφέροντα ενός κράτους μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί έγκαιρα. Στην περίπτωση της παραγράφου 2, η αρχή ή ο οργανισμός του άλλου κράτους μέλους ο οποίος θα ήταν υπεύθυνος για τη χορήγηση της άδειας ενημερώνεται αμέσως για τη διαβίβαση.
4. Ο υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1 λαμβάνει τα κατάλληλα μέτρα για να εξασφαλίσει ότι ο παραλήπτης διαβιβάζει μόνο τα διαβιβασθέντα δεδομένα σε άλλες τρίτες χώρες ή σε άλλους διεθνείς οργανισμούς, εφόσον ο υπεύθυνος επεξεργασίας έχει προηγουμένως επιτρέψει τη διαβίβαση αυτή. Όταν αποφασίζει να χορηγήσει την έγκριση, ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη όλους τους σχετικούς παράγοντες, ιδίως τη σοβαρότητα του αδικήματος, τον σκοπό της αρχικής διαβίβασης και το υπάρχον στην τρίτη χώρα ή τον διεθνή οργανισμό, όπου πρέπει να διαβιβαστούν τα δεδομένα, επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Άδεια μπορεί να χορηγηθεί μόνο εάν επιτρέπεται η απευθείας διαβίβαση στην άλλη τρίτη χώρα ή σε άλλο διεθνή οργανισμό.



Άρθρο 76
Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις (άρθρο 37 της Οδηγίας)

Το άρθρο 76 ενσωματώνει το άρθρο 37 και αφορά τις διαβιβάσεις που μπορούν να λάβουν χώρα χωρίς απόφαση επάρκειας, αλλά επί τη βάσει κατάλληλων εγγυήσεων. Οι εγγυήσεις αυτές πρέπει να έχουν τον χαρακτήρα μιας νομικά δεσμευτικής πράξης (όπως λ.χ. νομικά δεσμευτικές διμερείς συμφωνίες που έχουν συναφθεί από τα κράτη μέλη, έχουν ενσωματωθεί στην έννομη τάξη τους, συμφωνίες συνεργασίας που έχουν συναφθεί μεταξύ της Europol ή της Eurojust και τρίτων χωρών, οι οποίες επιτρέπουν την ανταλλαγή δεδομένων προσωπικού χαρακτήρα).
 

1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με παράγραφο 1 εδάφιο β' του προηγούμενου άρθρου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον: α) παρασχέθηκαν σε νομική πράξη κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε τις συνθήκες της διαβίβασης δεδομένων προσωπικού χαρακτήρα και έκρινε ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία τους.
2. Ο υπεύθυνος επεξεργασίας καταχωρίζει τις διαβιβάσεις σύμφωνα με την περίπτωση β της παραγράφου 1. Η καταχώριση περιλαμβάνει την ημερομηνία και την ώρα της καταγραφής, την ταυτότητα του αποδέκτη, τον λόγο της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Η ανωτέρω καταχώριση τίθεται στη διάθεση της Αρχής κατόπιν αιτήματός της.



Άρθρο-77
Παρεκκλίσεις για ειδικές καταστάσεις (άρθρο 38 της Οδηγίας)

Το άρθρο 77 ενσωματώνει το άρθρο 38 της Οδηγίας και ρυθμίζει τις περιπτώσεις διαβίβασης δεδομένων προσωπικού χαρακτήρα ελλείψει απόφασης περί επάρκειας. Η παράγραφος 1 προβλέπει τους σκοπούς για τους οποίους μία τέτοια διαβίβαση επιτρέπεται να γίνει κατά παρέκκλιση και εφόσον κριθεί αναγκαία και υπό την αίρεση ότι η διαβιβάζουσα αρμόδια αρχή δεν κρίνει ότι τα θεμελιώδη δικαιώματα και τα έννομα συμφέροντα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα υπερισχύουν του δημοσίου συμφέροντος για τη διαβίβαση.
 

1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β' του άρθρου 75 ή κατάλληλων εγγυήσεων δυνάμει της παραγράφου 1 του προηγούμενου άρθρου, διαβιβάσεις που πληρούν τις λοιπές προϋποθέσεις του άρθρου 75 διενεργούνται μόνο εφόσον αυτό είναι απαραίτητο:
α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου·
β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων·
γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια μιας χώρας·
δ) σε εξατομικευμένες περιπτώσεις για τους σκοπούς που ορίζονται στο άρθρο 43· ή
ε) σε εξατομικευμένες περιπτώσεις για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, οι οποίες σχετίζονται με τους σκοπούς του άρθρου 43.
2 .Δεν επιτρέπεται η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την προηγούμενη παράγραφο, όταν η διαβιβάζουσα αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και τα έννομα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του δημοσίου συμφέροντος για τη διενέργεια της διαβίβασης.
3. Για τις διαβιβάσεις της παραγράφου 1 εφαρμόζεται αναλόγως η παράγραφος 2 του προηγούμενου άρθρου.



Άρθρο 78
Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες (άρθρο 39 της Οδηγίας)

Το άρθρο 78 ενσωματώνει το άρθρο 39 της Οδηγίας και ρυθμίζει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες. Μία τέτοια διαβίβαση έχει μεμονωμένο και όλως εξαιρετικό χαρακτήρα και υπόκειται στις σωρευτικά προβλεπόμενες προϋποθέσεις και όρους της παραγράφου 1. Τα δικαιώματα των προσώπων προστατεύονται μέσω των διασφαλίσεων που προβλέπονται στις παραγράφους 2 έως και 5.
 

1. Σε ειδικές εξατομικευμένες περιπτώσεις και εάν πληρούνται όλες οι άλλες απαιτήσεις για διαβιβάσεις δεδομένων σε τρίτες χώρες, οι υπεύθυνοι επεξεργασίας μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας σε αποδέκτες σε τρίτες χώρες που δεν αναφέρονται στην περίπτωση α' της παραγράφου 1 του άρθρου 75, εάν η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση των καθηκόντων τους και
α) στη συγκεκριμένη περίπτωση, κανένα θεμελιώδες δικαίωμα του υποκειμένου των δεδομένων δεν υπερτερεί του δημοσίου συμφέροντος για τη διαβίβαση·
β) η διαβίβαση στις αρχές που αναφέρονται στην περίπτωση α) της παραγράφου 1 του άρθρου 75 θα ήταν αναποτελεσματική ή ακατάλληλη, ιδίως επειδή η διαβίβαση δεν μπορεί να διενεργηθεί εγκαίρως· και
γ) ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τους σκοπούς της επεξεργασίας και δίνει σαφείς οδηγίες σε αυτόν ότι τα διαβιβασθέντα δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο στο βαθμό που αυτό είναι απαραίτητο για τους σκοπούς αυτούς.
2. Στην περίπτωση της παραγράφου 1, ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση τις αρχές που αναφέρονται στην περίπτωση α' της παραγράφου 1 του άρθρου 75, εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο.
3. Οι παράγραφοι 2 και 3 του άρθρου 75 εφαρμόζονται αναλόγως στις διαβιβάσεις σύμφωνα με την παράγραφο 1.
4. Στην περίπτωση διαβιβάσεων σύμφωνα με την παράγραφο 1 ο υπεύθυνος επεξεργασίας υποχρεώνει τον αποδέκτη να επεξεργάζεται τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου επεξεργασίας μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν.
5. Οι συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας δεν επηρεάζονται.



Τμήμα VI Συνεργασία μεταξύ εποπτικών αρχών

Άρθρο 79
Αμοιβαία συνδρομή
(άρθρο 50 της Οδηγίας)


Το άρθρο 79 ενσωματώνει το άρθρο 50 της Οδηγίας, προβλέποντας την υποχρέωση παροχής συνδρομής από μέρους της Αρχής προς τις εποπτικές αρχές άλλων κρατών- μελών της Ευρωπαϊκής Ένωσης, στο πλαίσιο άσκησης των καθηκόντων τους, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων που θεσπίζονται δυνάμει του παρόντος Κεφαλαίου.
 

1. Η Αρχή παρέχει στις εποπτικές αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης πληροφορίες και αμοιβαία συνδρομή στο μέτρο που είναι απαραίτητο για την εφαρμογή του παρόντος Κεφαλαίου. Η αμοιβαία συνδρομή καλύπτει ιδίως αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, όπως αιτήματα για διαβουλεύσεις, ελέγχους και έρευνες.
2. Η Αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει χωρίς καθυστέρηση σε αίτημα αμοιβαίας συνδρομής άλλης εποπτικής αρχής κράτους μέλους και το αργότερο σε ένα μήνα μετά την παραλαβή της αίτησης.
3. Η Αρχή μπορεί να αρνηθεί να συμμορφωθεί με το αίτημα:
α) εάν δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει· ή
β) η συμμόρφωση με το αίτημα παραβιάζει το νόμο.
4. Η Αρχή ενημερώνει την αιτούσα εποπτική αρχή του άλλου κράτους μέλους για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα. Στην περίπτωση της προηγούμενης παραγράφου, αιτιολογεί την άρνησή της να συμμορφωθεί με το αίτημα.
5. Η Αρχή παρέχει, κατά κανόνα, τις πληροφορίες που ζητούνται από την εποπτική αρχή του άλλου κράτους μέλους με ηλεκτρονικά μέσα και σε τυποποιημένη μορφή.
6. Η Αρχή δεν χρεώνει τέλος για τις ενέργειες που αναλαμβάνονται σύμφωνα με το αίτημα αμοιβαίας συνδρομής, εκτός εάν έχει συμφωνήσει με την εποπτική αρχή του άλλου κράτους σε εξατομικευμένες περιπτώσεις σε αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής.
7. Τα αιτήματα συνδρομής στην Αρχή παρέχουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού του αιτήματος και των λόγων υποβολής του. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.



Τμήμα VII
Ευθύνη και Κυρώσεις

Με το Τμήμα VII ρυθμίζεται η ευθύνη και οι κυρώσεις κατά υπεύθυνου επεξεργασίας

Άρθρο 80
Αστική ευθύνη του υπεύθυνου επεξεργασίας (άρθρα 54 και 56 της Οδηγίας)


Με το άρθρο 80 ενσωματώνονται τα άρθρα 54 και 56 της Οδηγίας και προβλέπεται δικαίωμα αποζημίωσης του προσώπου που έχει υποστεί ζημία (υλική ή άυλη) εξαιτίας αθέμιτης επεξεργασίας από τις αρμόδιες αρχές.
Λαμβάνοντας υπόψη το γεγονός ότι υπεύθυνος επεξεργασίας για τις ανάγκες τόσο των άρθρων 6 έως και 8, όσο και των διατάξεων του παρόντος Κεφαλαίου είναι δημόσια αρχή, προβλέφθηκε η υποχρέωση αποζημίωσης ή χρηματικής ικανοποίησης του προσώπου που έχει υποστεί ζημία εξαιτίας αθέμιτης επεξεργασίας της αρμόδιας αρχής, σύμφωνα με τις διατάξεις των άρθρων 105 και 106 ΕισΝΑΚ με τις οποίες ρυθμίζεται ειδικότερα η αστική ευθύνη του ελληνικού δημοσίου.
 

Δημόσια αρχή, με την ιδιότητα του υπεύθυνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα,που έχει προκαλέσει παρανόμως ζημία στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα, κατά παράβαση των διατάξεων των άρθρων 6 έως και 8 ή των διατάξεων του παρόντος Κεφαλαίου υποχρεούται, σύμφωνα με τις διατάξεις των άρθρων 105 και 106 ΕισΝΑΚ, σε αποζημίωση ή σε χρηματική ικανοποίηση λόγω ηθικής βλάβης στο υποκείμενο των δεδομένων.



Άρθρο 81 Ποινικές κυρώσεις (άρθρα 54 και 57 της Οδηγίας)

Με το άρθρο 81 ενσωματώνονται τα άρθρα 54 και 57 της Οδηγίας και προβλέπεται η επιβολή ποινικών κυρώσεων, σύμφωνα και με τα οριζόμενα στο άρθρο 39 του παρόντος.
 

Το άρθρο 39 εφαρμόζεται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς του άρθρου 43.



Άρθρο 82
Διοικητικές κυρώσεις
(άρθρα 54 και 57 της Οδηγίας)

Με το άρθρο 82 ενσωματώνονται τα άρθρα 54 και 57 της Οδηγίας και θεσπίζεται σύστημα διοικητικών κυρώσεων που η Αρχή μπορεί να επιβάλει σε βάρος αρμοδίων αρχών για παραβάσεις των υποχρεώσεών τους που απορρέουν από το Κεφάλαιο Α' και από διατάξεις του παρόντος Κεφαλαίου, με την επιφύλαξη πάντοτε των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος. Ο προσδιορισμός των διοικητικών αυτών κυρώσεων βασίστηκε στα κριτήρια της αποτελεσματικότητας, της αναλογικότητας και της αποτρεπτικότητας. Με την παράγραφο 1 προβλέπεται ότι οι διοικητικές αυτές κυρώσεις επιβάλλονται με ειδικώς αιτιολογημένη απόφαση της Αρχής, μετά από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων για συγκεκριμένες παραβάσεις άρθρων του Κεφαλαίου Α' και διατάξεων του παρόντος Κεφαλαίου, ενώ με την παράγραφο 2 ορίζονται τα κριτήρια και οι περιστάσεις που λαμβάνονται υπόψη για την επιβολή της διοικητικής κύρωσης, και του ύψους της.
 

1. Με την επιφύλαξη των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος, η Αρχή με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα παρακάτω διοικητικά πρόστιμα:
α) για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο ευρώ έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για το ύψος αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη η αρμόδια αρχή για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις της αρμόδιας αρχής,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσον η αρμόδια αρχή κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος τη αρμόδιας αρχής για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 15 παράγραφος 4, ο βαθμός συμμόρφωσής της με αυτά.



ΚΕΦΑΛΑΙΟ Ε'
Τελικές και μεταβατικές διατάξεις


Το Κεφάλαιο Ε' ( άρθρα 83- 86) περιέχει μεταβατικές και τελικές ρυθμίσεις, ενόψει και της κατάργησης του ν. 2472/1997 και θέσης σε ισχύ των νέων διατάξεων.

Άρθρο 83
Μεταβατικές διατάξεις


Με την παράγραφο 1 τίθεται η ειδικότερη πρόβλεψη, σύμφωνα με την οποία «όπου γίνεται αναφορά στον ν. 2472/1997, αυτή να νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος». Προβλέφθηκε περαιτέρω ότι διατηρούνται σε ισχύ οι οδηγίες και κανονιστικές πράξεις που έχει εκδώσει η Αρχή, εφόσον δεν προσκρούουν στον ΓΚΠΔ και στις ρυθμίσεις του παρόντος (παράγραφος 2). Περαιτέρω, λαμβάνεται πρόνοια τόσο για τη μεταφορά του υπηρετούντος προσωπικού της Αρχής όσο και για την ολοκλήρωση της θητείας του Προέδρου και των μελών της Αρχής σύμφωνα με τις διατάξεις που ίσχυαν κατά το διορισμό τους.
 

1. Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος.
2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον ΓΚΠΔ και στις ρυθμίσεις του παρόντος.
3. Η θητεία του Προέδρου και των μελών της Αρχής που έχουν επιλεγεί κατά τη δημοσίευση του παρόντος, ολοκληρώνεται σύμφωνα με τις διατάξεις που ίσχυαν κατά τον χρόνο διορισμού τους.
4. Το μόνιμο και με σχέση εργασίας ιδιωτικού δικαίου προσωπικό που υπηρετεί, κατά την ψήφιση του παρόντος, στην Αρχή, κατατάσσεται αυτοδικαίως σε αντίστοιχες, κατά κατηγορία, κλάδο ή ειδικότητα, θέσεις δημοσίου ή ιδιωτικού δικαίου, σύμφωνα με τα τυπικά του προσόντα.
5. Αιτήσεις που εκκρεμούσαν ενώπιον της Αρχής έως 25.5.2018, πέραν των παραδεκτών προσφυγών των υποκειμένων δεδομένων προσωπικού χαρακτήρα , τίθενται στο αρχείο με διαπιστωτική πράξη του Προέδρου της Αρχής.



Άρθρο 84
Καταργούμενες διατάξεις


Ο ν. 2472/1997 καταργείται, εντούτοις κρίθηκε σκόπιμο να διατηρηθούν σε ισχύ ορισμένες από τις διατάξεις του, όπως αυτές που αφορούν μόνο τη σύσταση της Αρχής (άρθρο 15 παράγραφος 1), της διάταξης του άρθρου 18 παράγραφος 3 με την οποία ρυθμίζεται η πειθαρχική ευθύνη του Προέδρου και των μελών της και το άρθρο 13 παράγραφος 3, σύμφωνα με το οποίο ορίζεται ότι καθένας έχει δικαίωμα να δηλώσει στην Αρχή ότι δεδομένα που το αφορούν δεν επιθυμεί να αποτελέσουν αντικείμενο επεξεργασίας από οποιονδήποτε για λόγους προώθησης πωλήσεων αγαθών ή παροχής υπηρεσιών εξ αποστάσεως. Περαιτέρω, κρίθηκε σκόπιμη η διατήρηση από τον ν. 2472/1997 των ορισμών του άρθρου 2, στους οποίους γίνεται ενδεικτικά παραπομπή τόσο στο άρθρο 2 παράγραφος 1 του ν. 3917/2011 ( Α'22), για την διατήρηση δεδομένων ηλεκτρονικών επικοινωνιών , όσο και στο άρθρο 2 του ν. 3471/2006 ( Α'133) για την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, του δευτέρου έως και του τελευταίου εδαφίου της περίπτωσης β' του άρθρου 2 και του εδαφίου β' της παραγράφου 2 του άρθρου 3, μόνο ως προς τα αδικήματα που περιγράφονται σε αυτό για την ανακοίνωση και δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα και του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης β' της παραγράφου 2 του άρθρου 3 του ανωτέρω νόμου, για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης. Επισημαίνεται τέλος, ότι τα άρθρα 21 έως και 29 του π.δ. 28/2015 «Κωδικοποίηση διατάξεων για την πρόσβαση σε δημόσια έγγραφα και στοιχεία» (Α'34) με τα οποία κωδικοποιούνται καταργηθείσες σύμφωνα με το προτεινόμενο άρθρο διατάξεις του ν. 2472/1997, υπό την επιφύλαξη των διατάξεων του ν. 2472/1997, οι οποίες ρητώς με το προτεινόμενο άρθρο διατηρούνται σε ισχύ, θεωρούνται επίσης ότι έχουν καταργηθεί.
 

Ο ν. 2472/1997, με την επιφύλαξη των ορισμών του άρθρου 2, όπου γίνεται ρητή παραπομπή σε αυτούς σε σχετική με τα προσωπικά δεδομένα νομοθεσία, του δεύτερου έως και του τελευταίου εδαφίου της περίπτωσης β' του άρθρου 2 για την ανακοίνωση και δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα και του εδαφίου β' της παραγράφου 2 του άρθρου 3, μόνο ως προς τα αδικήματα που περιγράφονται σ'αυτό , του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης β' της παραγράφου 2 του άρθρου 3 του ανωτέρου νόμου για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης, του άρθρου 13 παράγραφος 3, της σύστασης της Αρχής με την παράγραφο 1 του άρθρου 15 και του άρθρου 18 παράγραφος 3,τα οποία διατηρούνται σε ισχύ, καταργείται.



Άρθρο 85
Ισχύς διεθνών ή διμερών διεθνών συμφωνιών


Με το άρθρο 85 προβλέφθηκε ρητώς ότι Διεθνείς ή διμερείς διεθνείς συμφωνίες 
που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς στο πεδίο της δικαστικής συνεργασίας για ποινικές υποθέσεις ή υποθέσεις αστυνομικής συνεργασίας πριν από την 6.5.2016 και οι οποίες είναι συμβατές προς το εφαρμοστέο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
 

Διεθνείς ή διμερείς διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς στο πεδίο της δικαστικής συνεργασίας για ποινικές υποθέσεις ή αστυνομικής συνεργασίας πριν από την 6.5.2016 και οι οποίες είναι συμβατές προς το εφαρμοστέο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.



Άρθρο 86 Έναρξη ισχύος

Ορίζεται ότι η ισχύς του παρόντος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.
 

Η ισχύς του παρόντος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.
Πηγή: Taxheaven