NOMOΣ ΥΠ’ ΑΡΙΘΜ. 4624/2019

ΦΕΚ 137/Α/29-8-2019

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις.

Ο ΠΡΟΕΔΡΟΣ

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή:

ΚΕΦΑΛΑΙΟ Α΄

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Σκοπός του νόμου

Σκοπός του παρόντος νόμου είναι:

α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ),

γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης - πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.

 

Άρθρο 2

Ουσιαστικό πεδίο εφαρμογής

Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από:

α) δημόσιους φορείς ή

β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.

 

Άρθρο 3

Εδαφικό πεδίο εφαρμογής

Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:

α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,

β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον

γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος - μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.

 

Άρθρο 4

Ορισμοί

Για τους σκοπούς του παρόντος νοούνται:

α) «δημόσιος φορέας»: οι δημόσιες αρχές, οι ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, τα νομικά πρόσωπα δημοσίου δικαίου, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δεύτερου βαθμού και τα νομικά πρόσωπα και οι επιχειρήσεις αυτών, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό,

β) «ιδιωτικός φορέας»: το φυσικό ή νομικό πρόσωπο ή η ένωση προσώπων χωρίς νομική προσωπικότητα, που δεν εμπίπτει στην έννοια του «δημόσιου φορέα»,

γ) «αρμόδια εποπτική αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή).

 

Άρθρο 5

Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς

Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

 

Άρθρο 6

Ορισμός του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς

1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).

2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβάνοντας υπόψη την οργανωτική δομή και το μέγεθός τους.

3. Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.

4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο.

 

Άρθρο 7

Θέση του ΥΠΔ σε δημόσιους φορείς

1. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ μετέχει δεόντως και έγκαιρα σε όλα τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2. Ο δημόσιος φορέας υποστηρίζει τον ΥΠΔ κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 8, παρέχοντάς του τους απαραίτητους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργασίας, και για τη διατήρηση των ειδικών γνώσεών του.

3. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ δεν λαμβάνει εντολές κατά την άσκηση των καθηκόντων του, αναφέρεται απευθείας στο ανώτατο ιεραρχικά προϊστάμενο όργανο του δημόσιου φορέα, δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας επειδή επιτέλεσε τα καθήκοντά του.

4. Η καταγγελία της σύμβασης εργασίας του ΥΠΔ ή η ανάκληση της ανάθεσης των καθηκόντων του, στην περίπτωση που αυτός είναι και υπάλληλος του δημόσιου φορέα, επιτρέπεται μόνον για σπουδαίο λόγο. Μετά τη λήξη της σύμβασης εργασίας του ως ΥΠΔ, δεν μπορεί να απολυθεί για ένα (1) έτος, εκτός εάν ο δημόσιος φορέας έχει σπουδαίο λόγο να προβεί στην καταγγελία της σύμβασής του.

5. Τα υποκείμενα των δεδομένων μπορούν να συμβουλεύονται τον ΥΠΔ για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους βάσει του ΓΚΠΔ, του παρόντος και άλλης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ είναι υποχρεωμένος να διατηρεί εμπιστευτικότητα ως προς την ταυτότητα των υποκειμένων των δεδομένων και σχετικά με τις περιστάσεις που επιτρέπουν την εξαγωγή συμπερασμάτων ως προς το υποκείμενο των δεδομένων, εκτός αν η ταυτότητα του υποκειμένου αποκαλύπτεται από αυτό.

6. Εάν ο ΥΠΔ λάβει γνώση δεδομένων Προσωπικού Χαρακτήρα κατά την άσκηση του έργου του, για τα οποία ο επικεφαλής του δημόσιου φορέα έχει το δικαίωμα να αρνηθεί να καταθέσει ως μάρτυρας για επαγγελματικούς λόγους, το δικαίωμα αυτό ισχύει και για τον ΥΠΔ και τους βοηθούς του.

 

Άρθρο 8

Καθήκοντα του ΥΠΔ σε δημόσιους φορείς

1. Επιπλέον των καθηκόντων του σύμφωνα με τον ΓΚΠΔ, ο ΥΠΔ έχει τουλάχιστον τα ακόλουθα καθήκοντα:

α) να ενημερώνει και συμβουλεύει τον δημόσιο φορέα και τους εργαζομένους που διενεργούν την επεξεργασία σχετικά με τις υποχρεώσεις τους σύμφωνα με τις διατάξεις του παρόντος και κάθε άλλη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα·

β) να παρακολουθεί την τήρηση των διατάξεων του παρόντος και κάθε άλλης νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, και των πολιτικών του δημόσιου φορέα σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της λογοδοσίας, καθώς και των σχετικών ελέγχων·

γ) να παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου για την προστασία των δεδομένων προσωπικού χαρακτήρα και παρακολουθεί την εφαρμογή της σύμφωνα με το άρθρο 65·

δ) να συνεργάζεται με την Αρχή·

ε) να ενεργεί ως σημείο επαφής με την Αρχή σε θέματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 67, και τη συμβουλεύεται, κατά περίπτωση, σχετικά με οποιοδήποτε άλλο θέμα.

2. Τα καθήκοντα του ΥΠΔ ο οποίος τυχόν ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.

3. Ο ΥΠΔ μπορεί να εκτελεί και άλλα καθήκοντα. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι η άσκηση των καθηκόντων αυτών δεν οδηγεί σε σύγκρουση συμφερόντων.

4. Ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

 

 

ΚΕΦΑΛΑΙΟ Β΄

Αρχεία


ZJkQ59mVbWArDIB.pdf