«Προστασία του Ατόμου από την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα»

-A A +A

Κεφάλαιο Α - ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1
Αντικείμενο

Αντικείμενο του παρόντος νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής.

Άρθρο 2
Ορισμοί

Για τους σκοπούς του παρόντος νόμου νοούνται ως:
α) "Δεδομένα προσωπικού χαρακτήρα, κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.
"β. "Ευαίσθητα δεδομένα", τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων.
Ειδικά για τα σχετικά με ποινικές διώξεις ή καταδίκες δύναται να επιτραπεί η δημοσιοποίηση μόνον από την εισαγγελική αρχή για τα αδικήματα που αναφέρονται στο εδάφιο β` της παραγράφου 2 του άρθρου 3 με διάταξη του αρμόδιου Εισαγγελέα Πρωτοδικών ή του Εισαγγελέα Εφετών, εάν η υπόθεση εκκρεμεί στο Εφετείο. Η δημοσιοποίηση αυτή αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των παραπάνω αδικημάτων."
***Η περ.β`,η οποία είχε αντικατασταθεί με την παρ.1 άρθρου 18 Ν.3471/2006 ΦΕΚ Α 133,αντικαταστάθηκε ως άνω με την παρ.3 άρθρ.όγδοου Ν.3625/2007, ΦΕΚ Α 290/24.12.2007.
γ) "Υποκείμενο των δεδομένων", το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρaκτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
δ) "Επεξεργασία δεδομένων προσωπικού χαρακτήρα" ("επεξεργασία"), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή.
"ε. "Αρχείο δεδομένων προσωπικού χαρακτήρα" ("αρχείο"), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια".
***Η παρ.ε`αντικαταστάθηκε ως άνω με την παρ.2 του άρθρου 18 του Ν.3471/2006 (ΦΕΚ Α 133/2006)
στ) "Διασύνδεση", μορφή επεξεργασίας που συνίσταται στη δυνατότητα συσχέτισης των δεδομένων ενός αρχείου με δεδομένα αρχείου ή αρχείων που τηρούνται από άλλον ή άλλους υπεύθυνους επεξεργασίας ή που τηρούνται από τον ίδιο υπεύθυνο επεξεργασίας για άλλο σκοπό.
ζ) "Υπεύθυνος επεξεργασίας", οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο.
η) "Εκτελών την επεξεργασία", οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.
8) "Τρίτος", κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο το υποκείμενο των επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας.
ι) "Αποδέκτης", το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι.
ια) "Συγκατάθεση" του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.
ιβ) "Αρχή", η Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα που θεσπίζεται στο κεφάλαιο Δ` του παρόντος νόμου.

Άρθρο 3
Πεδίο εφαρμογής

1. Οι διατάξεις του παρόντος νόμου εφαρμόζονται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία, καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.
"2. Οι διατάξεις του παρόντος νόμου δεν εφαρμόζονται στην επεξεργασία δεδομένων η οποία πραγματοποιείται:
α) από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών ή οικιακών,
β) από τις δικαστικές - εισαγγελικές αρχές και τις υπηρεσίες που ενεργούν υπό την άμεση εποπτεία τους στο πλαίσιο της απονομής της δικαιοσύνης ή για την εξυπηρέτηση των αναγκών της λειτουργίας τους με σκοπό τη βεβαίωση εγκλημάτων, που τιμωρούνται ως κακουργήματα ή πλημμελήματα με δόλο και ιδίως εγκλημάτων κατά της ζωής, κατά της γενετήσιας ελευθερίας, της οικονομικής εκμετάλλευσης της γενετήσιας ζωής, κατά της προσωπικής ελευθερίας, κατά της ιδιοκτησίας, κατά των περιουσιακών δικαιωμάτων, παραβάσεων της νομοθεσίας περί ναρκωτικών, επιβουλής της δημόσιας τάξης, ως και τελουμένων σε βάρος ανηλίκων θυμάτων.
"γ. από δημόσια αρχή με τη λειτουργία ειδικών τεχνικών μέσων καταγραφής ήχου ή εικόνας σε δημόσιους χώρους για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, για την οποία είναι αρμόδια, και ιδίως για την προστασία προσώπων και πραγμάτων, καθώς και για τη διαχείριση της κυκλοφορίας. Το υλικό που συλλέγεται από τα ανωτέρω μέσα, εφόσον δεν εμπίπτει στην περίπτωση β`, τηρείται για χρονικό διάστημα επτά (7) ημερών, μετά το πέρας των οποίων καταστρέφεται με πράξη του αρμόδιου εισαγγελέα. Η παράβαση των διατάξεων του προηγούμενου εδαφίου τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους, αν δεν τιμωρείται βαρύτερα από άλλη διάταξη."
*** Η περ.γ΄προστέθηκε με το άρθρο 12 παρ.1 Ν.3783/2009,ΦΕΚ Α 136/7.8.2009.
Ως προς τα ανωτέρω εφαρμόζονται οι ισχύουσες ουσιαστικές και δικονομικές ποινικές διατάξεις.
Στις περιπτώσεις άσκησης από τους πολίτες του δικαιώματος του συνέρχεσθαι κατά το άρθρο 11 του Συντάγματος επιτρέπεται η απλή λειτουργία συσκευών καταγραφής ήχου ή εικόνας ή άλλων ειδικών τεχνικών μέσων με σκοπό την καταγραφή, εφόσον συντρέχουν οι προϋποθέσεις του επόμενου εδαφίου.
Η καταγραφή ήχου ή εικόνας με οποιασδήποτε τεχνικής μορφής συσκευές με σκοπό τη βεβαίωση τέλεσης των παραπάνω εγκλημάτων γίνεται μόνον κατόπιν εντολής εκπροσώπου της εισαγγελικής αρχής και εφόσον επίκειται σοβαρός κίνδυνος για τη δημόσια τάξη και ασφάλεια.
Σκοπός της καταγραφής αυτής είναι μόνον η χρησιμοποίηση του βεβαιούντος την τέλεση των εγκλημάτων υλικού ως αποδεικτικού στοιχείου ενώπιον οποιασδήποτε ανακριτικής, εισαγγελικής αρχής και δικαστηρίου. Η επεξεργασία κάθε άλλου υλικού που δεν είναι αναγκαίο προς εξυπηρέτηση του παραπάνω σκοπού για τη βεβαίωση των εγκλημάτων απαγορεύεται, το δε σχετικό υλικό καταστρέφεται με πράξη του αρμόδιου Εισαγγελέα."
*** Η παρ.2 αντικαταστάθηκε ως άνω με την παρ.1 άρθρ.όγδοου Ν.3625/2007, ΦΕΚ Α 290/24.12.2007.
3. Ο παρών νόμος εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον αυτή εκτελείται:
α) Από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, εγκατεστημένο στην Ελληνική Επικράτεια ή σε τόπο, όπου βάσει του δημοσίου διεθνούς δικαίου, εφαρμόζεται το ελληνικό δίκαιο.
[β) Από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ελληνική Επικράτεια ή
σε τόπο, όπου εφαρμόζεται το ελληνικό δίκαιο, όταν η επεξεργασία αφορά υποκείμενα εγκατεστημένα στην Ελληνική Επικράτεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να υποδείξει με γραπτή δήλωσή του προς την Αρχή εκπρόσωπο εγκατεστημένο στην Ελληνική Επικράτεια, ο οποίος υποκαθίσταται στα δικαιώματα και υποχρεώσεις του υπευθύνου, χωρίς ο τελευταίος αυτός να απαλλάσσεται από τυχόν ιδιαίτερη ευθύνη του. Το αυτό ισχύει και όταν ο υπεύθυνος επεξεργασίας καλύπτεται από ετεροδικία, ασυλία ή άλλο λόγο που κωλύει την ποινική δίωξη].
"β" (γ)"Από υπεύθυνο επεξεργασίας που δεν είναι εγκατεστημένος στην επικράτεια κράτους μέλους της Ευρωπαϊκής Ένωσης ή κράτους του Ευρωπαϊκού Οικονομικού Χώρου, αλλά τρίτης χώρας, και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στην Ελληνική Επικράτεια, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση από αυτήν." Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να υποδείξει με γραπτή δήλωσή του προς την Αρχή εκπρόσωπο εγκατεστημένο στην Ελληνική Επικράτεια, ο οποίος υποκαθίσταται στα δικαιώματα και υποχρεώσεις του υπευθύνου, χωρίς ο τελευταίος αυτός να απαλλάσσεται από τυχόν ιδιαίτερη ευθύνη του. Το αυτό ισχύει και όταν ο υπεύθυνος επεξεργασίας καλύπτεται από ετεροδικία, ασυλία ή άλλο λόγο που κωλύει την ποινική δίωξη.
***Το στοιχείο β` καταργήθηκε και το στοιχείο γ` αναριθμήθηκε σε β` με την παρ.1 του άρθρου 19 του Ν.3471/2006 (ΦΕΚ Α 133/2006). Επίσης το πρώτο εδάφιο στο νέο στοιχείο β΄ (πρώην γ`) αντικαταστάθηκε ως άνω με την παρ.2 του άρθρου 19 του ιδίου νόμου.

Κεφάλαιο Β - ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 4
Χαρακτηριστικά δεδομένων προσωπικού χαρακτήρα

1. Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει:
α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών.
β) Να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας.
γ) Να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση.
δ) Να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής, η Αρχή μπορεί, με αιτιολογημένη απόφασή της, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων, τους ή και τρίτων.[ Η τήρηση των διατάξεων της παραγράφου αυτής βαρύνει τον υπεύθυνο επεξεργασίας]
***Το τελευταίο εδάφιο καταργήθηκε με την παρ.1 του άρθρου 20 του Ν.3471/2006 (ΦΕΚ Α 133/2006).
2. "Η τήρηση των διατάξεων της προηγούμενης παραγράφου βαρύνει τον υπεύθυνο επεξεργασίας. Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση της προηγούμενης παραγράφου, καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας.". Η Αρχή, εάν εξακριβώσει αυτεπαγγέλτως ή μετά από σχετική καταγγελία παράβαση των διατάξεων της προηγούμενης παραγράφου, επιβάλλει τη διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.
***Το πρώτο εδάφιο αντικαταστάθηκε ως άνω με την παρ.2 του άρθρου 20 του Ν.3471/2006 (ΦΕΚ Α 133/2006).

Άρθρο 5
Προϋποθέσεις επεξεργασίας

1. Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του.
2. Κατ` εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση, όταν:
α) Η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης, στην οποία συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου κατά το προσυμβατικό στάδιο.
β) Η επεξεργασία είναι αναγκαία για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από το νόμο.
γ) Η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου, εάν αυτό τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του.
δ) Η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας και εκτελείται από δημόσια αρχή ή έχει ανατεθεί από αυτή είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο γνωστοποιούνται τα δεδομένα.
ε) Η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών.
3. Η Αρχή μπορεί να εκδίδει ειδικούς κανόνες επεξεργασίας για τις πλέον συνήθεις κατηγορίες επεξεργασιών και αρχείων, οι οποίες προφανώς δεν θίγουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Οι κατηγορίες αυτές προσδιορίζονται με κανονισμούς που καταρτίζει η Αρχή και κυρώνονται με προεδρικά διατάγματα, τα οποία εκδίδονται με πρόταση του Υπουργού Δικαιοσύνης

Άρθρο 6
Γνωστοποίηση

1. Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας.
2. Με τη γνωστοποίηση της προηγούμενης παραγράφου ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει:
"α) Το ονοματεπώνυμο ή την επωνυμία ή τον τίτλο του και τη διεύθυνσή του. [Εάν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ελληνική επικράτεια ή σε τόπο όπου εφαρμόζεται το ελληνικό δίκαιο, θα πρέπει επιπροσθέτως να δηλώνεται το ονοματεπώνυμο ή η επωνυμία ή ο τίτλος και η διεύθυνση του εκπροσώπου του στην Ελλάδα.]"
*** Η περ. α` αντικαταστάθηκε ως άνω με την παρ.1 άρθρου 8 Ν.2819/2000,ΦΕΚ Α 84/15.3.2000.
***Το δεύτερο εδάφιο του στοιχείου α` καταργήθηκε με το άρθρο 21 του Ν.3471/2006 (ΦΕΚ Α 133/2006).
β) Τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία.
γ) Την περιγραφή του σκοπού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.
δ) Το είδος των δεδομένων προσωπικού χαρακτήρα που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.
ε) Το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο.
στ) Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα προσωπικού χαρακτήρα.
ζ) Τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες.
η) Τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας.
(θ Στην περίπτωση που η επεξεργασία ή το αρχείο εμπίπτει σε μία από τις κατηγορίες για τις οποίες η Αρχή έχει εκδώσει ειδικούς κανόνες επεξεργασίας, ο υπεύθυνος επεξεργασίας καταθέτει στην Αρχή δήλωση με την οποία βεβαιώνει ότι η επεξεργασία θα διεξάγεται ή το αρχείο θα τηρείται σύμφωνα με τους ειδικούς κανόνες που έχει θεσπίσει η Αρχή, η οποία προσδιορίζει ειδικότερα τον τύπο και το περιεχόμενο της δήλωσης).
*** Η περ. θ` διαγράφτηκε με την παρ.2 άρθρου 8 Ν.2819/2000, ΦΕΚ Α 84/15.3.2000.
3. Τα στοιχεία της προηγουμένης παραγράφου καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί η Αρχή.
4. Κάθε μεταβολή των στοιχείων που αναφέρονται στην παράγραφο 2 πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο στην Αρχή.

Άρθρο 6
Γνωστοποίηση

1. Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας.
2. Με τη γνωστοποίηση της προηγούμενης παραγράφου ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει:
"α) Το ονοματεπώνυμο ή την επωνυμία ή τον τίτλο του και τη διεύθυνσή του. [Εάν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ελληνική επικράτεια ή σε τόπο όπου εφαρμόζεται το ελληνικό δίκαιο, θα πρέπει επιπροσθέτως να δηλώνεται το ονοματεπώνυμο ή η επωνυμία ή ο τίτλος και η διεύθυνση του εκπροσώπου του στην Ελλάδα.]"
*** Η περ. α` αντικαταστάθηκε ως άνω με την παρ.1 άρθρου 8 Ν.2819/2000,ΦΕΚ Α 84/15.3.2000.
***Το δεύτερο εδάφιο του στοιχείου α` καταργήθηκε με το άρθρο 21 του Ν.3471/2006 (ΦΕΚ Α 133/2006).
β) Τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία.
γ) Την περιγραφή του σκοπού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.
δ) Το είδος των δεδομένων προσωπικού χαρακτήρα που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.
ε) Το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο.
στ) Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα προσωπικού χαρακτήρα.
ζ) Τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες.
η) Τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας.
(θ Στην περίπτωση που η επεξεργασία ή το αρχείο εμπίπτει σε μία από τις κατηγορίες για τις οποίες η Αρχή έχει εκδώσει ειδικούς κανόνες επεξεργασίας, ο υπεύθυνος επεξεργασίας καταθέτει στην Αρχή δήλωση με την οποία βεβαιώνει ότι η επεξεργασία θα διεξάγεται ή το αρχείο θα τηρείται σύμφωνα με τους ειδικούς κανόνες που έχει θεσπίσει η Αρχή, η οποία προσδιορίζει ειδικότερα τον τύπο και το περιεχόμενο της δήλωσης).
*** Η περ. θ` διαγράφτηκε με την παρ.2 άρθρου 8 Ν.2819/2000, ΦΕΚ Α 84/15.3.2000.
3. Τα στοιχεία της προηγουμένης παραγράφου καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί η Αρχή.
4. Κάθε μεταβολή των στοιχείων που αναφέρονται στην παράγραφο 2 πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο στην Αρχή.

Κεφάλαιο Γ - ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Άρθρο 11
Δικαίωμα ενημέρωσης

1. Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο για τα εξής τουλάχιστον στοιχεία.
α) την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του,
β) το σκοπό της επεξεργασίας,
γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,
δ) την ύπαρξη του δικαιώματος πρόσβασης.
2. Εάν για τη συλλογή των δεδομένων προσωπικού χαρακτήρα ο υπεύθυνος επεξεργασίας ζητεί τη συνδρομή του υποκειμένου, οφείλει να το ενημερώνει ειδικώς και εγγράφως για τα στοιχεία της παρ. 1 του παρόντος άρθρου, καθώς και για τα δικαιώματά του, σύμφωνα με το άρθρα 11 έως και 13 του παρόντος νόμου. Με την αυτή ενημέρωση ο υπεύθυνος επεξεργασίας γνωστοποιεί στο υποκείμενο εάν υποχρεούται ή όχι να παράσχει τη συνδρομή του, με βάση ποιες διατάξεις, καθώς και για τις τυχόν συνέπειες της αρνήσεώς του.
3. Εάν τα δεδομένα ανακοινώνονται σε τρίτους, το πριν από υποκείμενο ενημερώνεται για την ανακοίνωση πριν από αυτούς.
"4. Με απόφαση της Αρχής μπορεί να αρθεί εν όλω ή εν μέρει η υποχρέωση ενημέρωσης σύμφωνα με τις παραγράφους 1 και 3, εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Σε επείγουσες περιπτώσεις η άρση της υποχρέωσης ενημέρωσης μπορεί να γίνει με προσωρινή, άμεσα εκτελεστή, απόφαση του Προέδρου, ο οποίος πρέπει να συγκαλέσει το συντομότερο την Αρχή για την έκδοση οριστικής απόφασης επί του θέματος."
*** Η παρ.4 αντικαταστάθηκε ως άνω με την παρ.4 άρθρ.34 Ν.2915/2001,ΦΕΚ Α 109/29.5.2001.
5. Με την επιφύλαξη των δικαιωμάτων εκ των άρθρων 12 και 13, η υποχρέωση ενημέρωσης δεν υφίσταται όταν η συλλογή γίνεται αποκλειστικά για δημοσιογραφικούς σκοπούς και αφορά δημόσια πρόσωπα.

Άρθρο 12
Δικαίωμα πρόσβασης

1. Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως.
2. Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας, χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, τις ακόλουθες πληροφορίες:
α) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και την προέλευσή τους.
β) Τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών.
γ) Την εξέλιξη της επεξεργασίας για το χρονικά διάστημα από την προηγούμενη ενημέρωση ή πληροφόρησή του.
δ) Τη λογική της αυτοματοποιημένης επεξεργασίας. Το δικαίωμα πρόσβασης μπορεί να ασκείται από το υποκείμενο των δεδομένων και με τη συνδρομή ειδικού.
"ε. κατά περίπτωση, τη διόρθωση, τη διαγραφή ή τη δέσμευση (κλείδωμα) των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις του παρόντος νόμου, ιδίως λόγω του ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων, και
στ. την κοινοποίηση σε τρίτους, στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή δέσμευσης (κλειδώματος) που διενεργείται σύμφωνα με την περίπτωση ε΄, εφόσον τούτο δεν είναι αδύνατον ή δεν προϋποθέτει δυσανάλογες προσπάθειες."
***Οι περιπτώσεις ε`και στ`προστέθηκαν με το άρθρο 26 του Ν.3471/2006 (ΦΕΚ Α 133/2006)
3. Το δικαίωμα της προηγούμενης παραγράφου και τα δικαιώματα του άρ8ρου 13 ασκούνται με την υποβολή της σχετικής αίτησης στον υπεύθυνο της επεξεργασίας και ταυτόχρονη καταβολή χρηματικού ποσού, το ύψος του οποίου, ο τρόπος καταβολής του και κάθε άλλο συναφές ζήτημα ρυθμίζονται με απόφαση της Αρχής.
Το ποσό αυτό επιστρέφεται στον αιτούντα εάν το αίτημα διόρθωσης ή διαγραφής των δεδομένων κριθεί βάσιμο είτε από τον υπεύθυνο της επεξεργασίας είτε από την Αρχή, σε περίπτωση προσφυγής του σε αυτήν.
Ο υπεύθυνος έχει υποχρέωση στην περίπτωση αυτή να χορηγήσει στον αιτούντα, χωρίς καθυστέρηση δωρεάν και σε γλώσσα κατανοητή, αντίγραφο του διορθωμένου μέρους της επεξεργασίας που τον αφορά.
4. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή. Στην περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας αρνηθεί να ικανοποιήσει το αίτημα του ενδιαφερομένου, κοινοποιεί την απάντησή του στην Αρχή και ενημερώνει τον ενδιαφερόμενο ότι μπορεί να προσφύγει σε αυτήν.
5. Με απόφαση της Αρχής, ύστερα από αίτηση του υπεύθυνου επεξεργασίας, η υποχρέωση πληροφόρησης, σύμφωνα με τις παρ. 1 και 2 του παρόντος άρθρου, μπορεί να αρθεί, εν όλω ή εν μέρει, εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Στην περίπτωση αυτή ο Πρόεδρος της Αρχής ή ο αναπληρωτής του προβαίνει σε όλες τις αναγκαίες ενέργειες και έχει ελεύθερη πρόσβαση στο αρχείο.
6. Δεδομένα που αφορούν την υγεία γνωστοποιούνται στο υποκείμενο μέσω ιατρού.

Άρθρο 13
Δικαίωμα αντίρρησης

1. Το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει οποτεδήποτε αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν. Οι αντιρρήσεις απευθύνονται εγγράφως στον υπεύθυνο επεξεργασίας και πρέπει να περιέχουν αίτημα για συγκεκριμένη ενέργεια, όπως διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση, μη διαβίβαση ή διαγραφή. Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να απαντήσει εγγράφως επί των αντιρρήσεων μέσα σε αποκλειστική προθεσμία δεκαπέντε (15) ημερών. Στην απάντησή του οφείλει να ενημερώσει το υποκείμενο για τις ενέργειες στις οποίες προέβη ή, ενδεχομένως, για τους λόγους που δεν ικανοποίησε το αίτημα. Η απάντηση σε περίπτωση απόρριψής των αντιρρήσεων πρέπει να κοινοποιείται και στην Αρχή.
2. Εάν ο υπεύ8υνος επεξεργασίας δεν απαντήσει εμπροθέσμως ή η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή και να ζητήσει την εξέταση των αντιρρήσεών του. Εάν η Αρχή πιθανολογήσει ότι οι αντιρρήσεις είναι εύλογες και ότι συντρέχει κίνδυνος σοβαρής βλάβης του υποκειμένου από τη συνέχιση της επεξεργασίας, μπορεί να επιβάλλει την άμεση αναστολή της επεξεργασίας έως ότου εκδώσει οριστική απόφαση επί των αντιρρήσεων.
3. Καθένας έχει δικαίωμα να δηλώσει στην Αρχή ότι δεδομένα που τον αφορούν δεν επιθυμεί να αποτελέσουν αντικείμενο επεξεργασίας από οποιονδήποτε, για λόγους προώθησης πωλήσεως αγαθών ή παροχής υπηρεσιών εξ αποστάσεως. Η Αρχή τηρεί μητρώο με τα στοιχεία ταυτότητας των ανωτέρω. Οι υπεύθυνοι επεξεργασίας των σχετικών αρχείων έχουν την υποχρέωση να συμβουλεύονται πριν από κάθε επεξεργασία το εν λόγω μητρώο και να διαγράφουν από το αρχείο τους το πρόσωπα της παραγράφου αυτής.

Κεφάλαιο Δ - ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 15
Σύσταση - Αποστολή - Νομική φύση

1. Συνιστάται Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή),με αποστολή την εποπτεία της εφαρμογής του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και την ενάσκηση των αρμοδιοτήτων που της ανατίθενται κάθε φορά.
"2. Η Αρχή αποτελεί ανεξάρτητη δημόσια αρχή και εξυπηρετείται από δική της γραμματεία. Η Αρχή δεν υπόκειται σε οποιονδήποτε διοικητικό έλεγχο. Κατά την άσκηση των καθηκόντων τους τα μέλη της Αρχής απολαύουν προσωπικής και λειτουργικής ανεξαρτησίας. Η Αρχή υπάγεται στον Υπουργό Δικαιοσύνης και εδρεύει στην Αθήνα.
3. Οι απαιτούμενες πιστώσεις για τη λειτουργία της Αρχής εγγράφονται σε ειδικό φορέα, που ενσωματώνεται στον ετήσιο Προϋπολογισμό του Υπουργείου Δικαιοσύνης. Διατάκτης της δαπάνης είναι ο Πρόεδρος της Αρχής ή ο αναπληρωτής του".
*** Οι παρ.2 και 3 αντικαταστάθηκαν από της ισχύος του ως άνω με την παρ.15 άρθρ.13 Ν.2703/1999 Α 72

Άρθρο 16
Συγκρότηση της Αρχής

1. Η Αρχή συγκροτείται από ένα δικαστικό λειτουργό βαθμού Συμβούλου της Επικρατείας ή αντίστοιχου και άνω, ως Πρόεδρο, και έξι μέλη ως εξής:
α) Έναν καθηγητή ή αναπληρωτή καθηγητή Α.Ε.Ι. σε γνωστικό αντικείμενο του δικαίου.
β) Έναν καθηγητή ή αναπληρωτή καθηγητή Α.Ε.Ι. σε γνωστικό αντικείμενο της πληροφορικής.
γ) Έναν καθηγητή ή αναπληρωτή καθηγητή Α.Ε.Ι.
δ, ε, στ) Τρία πρόσωπα κύρους και εμπειρίας στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα.
Ο δικαστικός λειτουργός - Πρόεδρος και οι καθηγητές - μέλη μπορεί να είναι εν ενεργεία ή μη.
"Στα μέλη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.ΠΡΟ.Δ.) επιτρέπεται η άσκηση καθηκόντων μέλους διδακτικού προσωπικού Α.Ε.Ι. με καθεστώς πλήρους ή μερικής απασχόλησης."
*** Το άνω εντός " " εδάφιο προστέθηκε με το άρθρο 14 Ν.3068/2002, ΦΕΚ Α 274/14.11.2002.

Άρθρο 17
Κωλύματα - Ασυμβίβαστα μελών της Αρχής

1. Δεν μπορεί να διορισθεί μέλος της Αρχής:
α) Υπουργός, υφυπουργός, γενικός γραμματέας υπουργείου ή αυτοτελούς γενικής γραμματείας και βουλευτής.
β) Διοικητής, διευθυντής, διαχειριστής, μέλος του διοικητικού συμβουλίου ή ασκών διευθυντικό καθήκοντα εν γένει σε επιχείρηση η οποία παράγει, μεταποιεί, διαθέτει ή εμπορεύεται υλικό χρησιμοποιούμενα στην πληροφορική ή τις τηλεπικοινωνίες ή παρέχει υπηρεσίες σχετικές με την πληροφορική, τις τηλεπικοινωνίες ή την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και οι συνδεόμενοι με σύμβαση έργου με τέτοια επιχείρηση.
2. Εκπίπτει αυτοδικαίως από την ιδιότητα του μέλους της Αρχής όποιος, μετά το διορισμό του:
α) Αποκτά μία από τις ιδιότητες που συνιστούν κώλυμα διορισμού, σύμφωνα με την προηγούμενη παράγραφο.
β) Προβαίνει σε πράξεις ή αναλαμβάνει οποιαδήποτε εργασία ή έργο ή αποκτά άλλη ιδιότητα που, κατά την κρίση της Αρχής, δεν συμβιβάζονται με τα καθήκοντά του ως μέλους της Αρχής.
3. Στη διαπίστωση των ασυμβίβαστων της προηγούμενης παραγράφου προβαίνει η Αρχή, χωρίς συμμετοχή του μέλους της, στο πρόσωπο του οποίου ενδέχεται να συντρέχει το ασυμβίβαστο. Η Αρχή αποφασίζει ύστερα από ακρόαση του εν λόγω μέλους. Τη διαδικασία κινεί είτε ο Πρόεδρος της Αρχής είτε ο Υπουργός Δικαιοσύνης.
4. Απώλεια της ιδιότητας βάσει της οποίας μέλος της Αρχής διορίσθηκε, σύμφωνα με την παρ. 1 του άρθρου 18 του παρόντος νόμου, συνεπάγεται την αυτοδίκαιη έκπτωσή του, αν οφείλεται σε αμετάκλητη πειθαρχική ή ποινική καταδίκη.

Κεφάλαιο Ε - ΚΥΡΩΣΕΙΣ

Άρθρο 21
Διοικητικές κυρώσεις

1. Η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν οπό τον παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης.
β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές.
γ) Προσωρινή ανάκληση άδειας.
δ) οριστική ανάκληση άδειας.
"ε. Καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων".
***Η περ. ε` αντικαταστάθηκε ως άνω με το άρθρο 30 του Ν.3471/2006 (ΦΕΚ Α 133/2006)
2. Οι υπό στοιχεία β`, γ`, δ` και ε` διοικητικές κυρώσεις της προηγούμενης παραγράφου επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία γ`, δ` και ε` διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής ή καθ` υποτροπήν παράβασης. Πρόστιμο μπορεί να επιβληθεί σωρευτικά και με τις υπό στοιχεία γ`, δ` και ε` κυρώσεις. Εάν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποία μπορεί να επιβληθεί και πρόστιμο για μη συμμόρφωση.
3. Τα ποσά των προστίμων της παρ. 1 μπορεί να αναπροσαρμάζονται με απόφαση του Υπουργού Δικαιοσύνης, ύστερα από πρόταση της Αρχής.
4. Οι πράξεις της Αρχής με τις οποίες επιβάλλονται πρόστιμα συνιστούν εκτελεστό τίτλο και επιδίδονται στον υπεύθυνο επεξεργασίας ή τον τυχόν εκπρόσωπό του. Η είσπραξη των προστίμων γίνεται κατά τις διατάξεις του Κώδικα Εισπράξεως Δημοσίων Εσόδων (Κ.Ε.Δ.Ε.).
*** ΠΑΡΑΤΗΡΗΣΗ: Βλ άρθρο 8 Ν.3144/2003 σχ. με Προστασία Ατομικών Δεδομένων των εργαζομένων και επιβολή κυρώσεων του παρόντος

Άρθρο 22
Ποινικές κυρώσεις

l. Όποιος παραλείπει να γνωστοποιήσει στην Αρχή, κατά το άρθρο 6 του παρόντος νόμου τη σύσταση και λειτουργία αρχείου ή οποιαδήποτε μεταβολή στους όρους και τις προϋποθέσεις χορηγήσεως της άδειας, που προβλέπεται από την παρ. 3 του άρθρου 7 του παρόντος νόμου, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών.
2. Όποιος κατά παράβαση του άρθρου 7 του παρόντος νόμου διατηρεί αρχείο χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της Αρχής, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών.
3. Όποιος κατά παράβαση του άρθρου 8 του παρόντος νόμου προβαίνει σε διασύνδεση αρχείων χωρίς να την γνωστοποιήσει στην Αρχή, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Όποιος προβαίνει σε διασύνδεση αρχείων χωρίς την άδεια της Αρχής, όπου αυτή απαιτείται ή κατά παράβαση των όρων της άδειας που του έχει χορηγηθεί, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών.
4. Όποιος χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε αρχείο δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο, τιμωρείται με φυλάκιση και χρηματική ποινή και αν πρόκειται για ευαίσθητα δεδομένα με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) έως δέκα εκατομμυρίων (10.000.000) δραχμών, αν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
5. Υπεύθυνος επεξεργασίας που δεν συμμορφώνεται με τις αποφάσεις της Αρχής, που εκδίδονται για την ικανοποίηση του δικαιώματος πρόσβασης, σύμφωνα με την παρ. 4 του άρθρου 12, για την ικανοποίηση του δικαιώματος αντίρρησης, σύμφωνα με την παρ. 2 του άρθρου 13, καθώς και με πράξεις επιβολής των διοικητικών κυρώσεων των περιπτώσεων γ`, δ` και ε` της παρ. 1 του άρθρου 21 τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και με χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Με τις ποινές του προηγούμενου εδαφίου τιμωρείται ο υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα κατά παράβαση του άρθρου 9, καθώς και εκείνος που δεν συμμορφώνεται προς τη δικαστική απόφαση του άρθρου 14 του παρόντος νόμου.
6. Αν ο υπαίτιος των πράξεων των παρ. 1 έως 5 του παρόντος άρθρου είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, ή να βλάψει τρίτον, επιβάλλεται κάθειρξη έως δέκα (10) ετών και χρηματική ποινή τουλάχιστον δύο εκατομμυρίων (2.000.000) δραχμών έως δέκα εκατομμυρίων (10.000.000) δραχμών.
7. Αν από τις πράξεις των παρ.1 έως και 5 του παρόντος άρθρου προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή τουλάχιστον πέντε εκατομμυρίων (5.000.000) δραχμών έως δέκα εκατομμυρίων (10.000.000) δραχμών.
8. Αν οι πράξεις των παρ.1 έως 5 του παρόντος άρθρου τελέσθηκαν από αμέλεια, επιβάλλεται φυλάκιση έως τριών (3) ετών και χρηματική ποινή.
9. Για την εφαρμογή των διατάξεως του παρόντος άρθρου, αν υπεύθυνος επεξεργασίας δεν είναι φυσικό πρόσωπο, ευθύνεται ο εκπρόσωπος του νομικού προσώπου ή ο επικεφαλής της δημόσιας αρχής ή υπηρεσίας ή οργανισμού αν ασκεί και ουσιαστικά τη διοίκηση ή διεύθυνση αυτών.
10. Για τα εγκλήματα του παρόντος άρθρου ο Πρόεδρος και τα μέλη της Αρχής, καθώς και οι προς τούτο ειδικά εντεταλμένοι υπάλληλοι του τμήματος ελεγκτών της Γραμματείας είναι ειδικοί ανακριτικοί υπάλληλοι και έχουν όλα τα δικαιώματα που προβλέπει σχετικά ο Κώδικας Ποινικής Δικονομίας. Μπορούν να διενεργούν προανάκριση και χωρίς εισαγγελική παραγγελία, όταν πρόκειται για αυτόφωρο κακούργημα ή πλημμέλημα ή υπάρχει κίνδυνος από την αναβολή.
11. Για τα εγκλήματα της παρ. 5 του παρόντας άρθρου καθώς επίσης και σε κάθε άλλη περίπτωση όπου προηγήθηκε διοικητικός έλεγχος από την Αρχή, ο Πρόεδρος αυτής ανακοινώνει γραπτώς στον αρμόδιο εισαγγελέα οτιδήποτε αποτέλεσε αντικείμενο έρευνας από την Αρχή και διαβιβάζει σε αυτόν όλα τα στοιχεία και τις αποδείξεις.
12. Η προανάκριση για τα εγκλήματα του παρόντος άρθρου περατώνεται μέσα σε δύο (2) το πολύ μήνες από την άσκηση της ποινικής δίωξης και εφόσον υπάρχουν αποχρώσες ενδείξεις για την παραπομπή του κατηγορουμένου σε δίκη, η δικάσιμος ορίζεται σε ημέρα που δεν απέχει περισσότερο από τρεις (3) μήνες από το πέρας της προανάκρισης ή αν η παραπομπή έγινε με βούλευμα δύο (2) μήνες από τότε που αυτό έγινε αμετάκλητο. Σε περίπτωση εισαγωγής της υπόθεσης με απευθείας κλήση του κατηγορουμένου στο ακροατήριο δεν επιτρέπεται η προσφυγή κατά του κλητηρίου θεσπίσματος.
13. Δεν επιτρέπεται αναβολή της δίκης για τα εγκλήματα του παρόντος άρθρου παρά μόνο μία φορά για εξαιρετικά σοβαρό λόγο. Στην περίπτωση αυτή ορίζεται ρητή δικάσιμος, που δεν απέχει περισσότερο από δύο (2) μήνες και η υπόθεση εκδικάζεται κατ` εξαίρεση πρώτη.
14. Τα κακουργήματα, που προβλέπονται από τον παρόντα νόμο, υπάγονται στην αρμοδιότητα του δικαστηρίου των εφετών.

Άρθρο 23
Αστική ευθύνη

1. Φυσικό πρόσωπο ή νομικό πρόσωπο ιδιωτικού δικαίου, που κατά παράβαση του παρόντος νόμου προκαλεί περιουσιακή βλάβη, υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον.
2. Η κατά το άρθρο 932 Α.Κ. χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ` ελάχιστο στο ποσό των δύο εκατομμυρίων (2.000.000) δραχμών, εκτός αν ζητήθηκε από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια. Η χρηματική αυτή ικανοποίηση επιδικάζεται ανεξαρτήτως από την αιτούμενη αποζημίωση για περιουσιακή βλάβη.
3. Οι απαιτήσεις του παρόντος άρθρου εκδικάζονται κατά τα άρθρα 664-676 του κώδικα Πολιτικής Δικονομίας, ανεξάρτητα από την τυχόν έκδοση ή μη απόφασης της Αρχής ή την τυχόν άσκηση ποινικής δίωξης, καθώς και από την αναστολή ή αναβολή της για οποιονδήποτε λόγο. Η απόφαση του δικαστηρίου εκδίδεται μέσα σε δύο (2) μήνες από την πρώτη συζήτηση στο ακροατήριο.
*** ΠΑΡΑΤΗΡΗΣΗ: Βλ άρθρο 8 Ν.3144/2003 σχ. με Προστασία Ατομικών Δεδομένων των εργαζομένων

Κεφάλαιο ΣΤ - ΤΕΛΙΚΕΣ - ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 24
Υποχρεώσεις υπεύθυνου επεξεργασίας

1. Οι υπεύθυνοι επεξεργασίας αρχείων, τα οποία λειτουργούν κατά την έναρξη ισχύος του παρόντος νόμου, υποχρεούνται να υποβάλλουν την κατά το άρθρο 6 γνωστοποίηση λειτουργίας στην Αρχή μέσα σε έξι (6) μήνες από την έναρξη λειτουργίας της Αρχής.
2. Την ίδια υποχρέωση έχουν και οι υπεύθυνοι επεξεργασίας αρχείων με ευαίσθητα δεδομένα, τα οποία λειτουργούν κατά την έναρξη ισχύος του παρόντος νόμου, προκειμένου να εκδοθεί η κατά την παρ. 3 του άρθρου 7 άδεια.
3. Για αρχεία που λειτουργούν και επεξεργασίες που εκτελούνται κατά την έναρξη ισχύος του παρόντος νόμου οι υπεύθυνοι επεξεργασίας οφείλουν να προβούν στην κατά την παρ. 1 του άρθρου 11 ενημέρωση των υποκειμένων μέσα σε έξι (8) μήνες από την έναρξη λειτουργίας της Αρχής. Η ενημέρωση, εφόσον αφορά μεγάλο αριθμό υποκειμένων μπορεί να γίνει και δια του τύπου. Στην περίπτωση αυτή τις λεπτομέρειες καθορίζει η Αρχή. Οι διατάξεις της παρ. 4 του άρθρου 11 έχουν εφαρμογή και εν προκειμένω.
*** ΠΑΡΑΤΗΡΗΣΗ: Με την παρ.5 άρθρου 8 Ν.2819/2000, ΦΕΚ Α 84/15.3.2000,ορίζεται ότι:
" 5. Οι προθεσμίες των παραγράφων 1 , 2 και 3 του άρθρου 24 του ν. 2472/1997 παρατείνονται έως την 21η Ιανουαρίου 2001".
4. Για τα εξ ολοκλήρου μη αυτοματοποιημένα αρχεία οι προθεσμίες των προηγούμενων παραγράφων είναι ενός (1) χρόνου.
5. Οι διατάξεις των άρθρων 11, 12, 13 και 19 παρ.l του παρόντος νόμου δεν εφαρμόζονται στο ποινικό μητρώο και στα υπηρεσιακό αρχεία που τηρούνται από τις αρμόδιες δικαστικές αρχές για την εξυπηρέτηση των αναγκών της λειτουργίας της ποινικής δικαιοσύνης και στο πλαίσιο της λειτουργίας της.
*** ΠΑΡΑΤΗΡΗΣΗ: Με το άρθρο 11 Ν.2623/1999,όπως αυτό τροποποιήθηκε με την παρ.2 άρθρ.47 Ν.2721/1999 ορίζεται ότι:
"2. Οι προθεσμίες που ορίζονται στις παραγράφους 1, 2, 3 και 4 του άρθρου 24 του ν. 2472/1997 όπως τροποποιήθηκε με το άρθρο 11 παρ. 2 του ν. 2623/1998 λήγουν στις 31 Δεκεμβρίου 1999."

Άρθρο 25
Έναρξη λειτουργίας της Αρχής

1. Μέσα σε εξήντα (60) ημέρες από την έναρξη ισχύος του παρόντος νόμου, διορίζεται ο Πρόεδρος της Αρχής και ο αναπληρωτής του. Μέσα στην ίδια προθεσμία ο Υπουργός Δικαιοσύνης υποβάλλει στον Πρόεδρο της Βουλής πρόταση για το διορισμό των τεσσάρων τακτικών μελών της Αρχής και των ισάριθμων αναπληρωτών τους.
2. Ο χρόνος της έναρξης λειτουργίας της Αρχής ορίζεται με απόφαση του Υπουργού Δικαιοσύνης, που εκδίδεται το αργότερο μέσα σε τέσσερις (4) μήνες μετά τη συγκρότηση της Αρχής. Από το διορισμό των μελών της και έως την κατά τις παρ. 6 και 7 του άρθρου 20 του παρόντος νόμου πλήρωση των θέσεων της Γραμματείας της, η Αρχή εξυπηρετείται από προσωπικό το οποίο αποσπάται προσωρινά σε αυτήν, με απόφασή της, κατά παρέκκλιση από κάθε άλλη διάταξη.
3. Έως ότου η Αρχή λειτουργήσει σύμφωνα με την προηγούμενη παράγραφο, η εκκαθάριση των δαπανών της γίνεται από τη Διεύθυνση ο Οικονομικού της Κεντρικής Υπηρεσίας του Υπουργείου Δικαιοσύνης, σε βάρος του προϋπολογισμού του Υπουργείου Δικαιοσύνης.
4. Η κατά την παρ.2 του παρόντος άρθρου απόφαση του Υπουργού Δικαιοσύνης για το χρόνο έναρξης λειτουργίας της Αρχής δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως και σε τέσσερις (4) τουλάχιστον ημερήσιες πολιτικές εφημερίδες ευρείας κυκλοφορίας που εκδίδονται στην Αθήνα και στη Θεσσαλονίκη και σε δύο (2) τουλάχιστον ημερήσιες οικονομικές εφημερίδες.

Άρθρο 26
Εναρξη ισχύος

1. Η ισχύς των διατάξεων των άρθρων 15, 16, 17, l8 και 20 του παρόντος νόμου αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.
2. Η ισχύς των λοιπών διατάξεων αρχίζει από την κατά το προηγούμενο άρθρο έναρξη λειτουργίας της Αρχής.