11.—(1) Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, εκτός αν αυτό έχει ήδη ενημερωθεί, να το ενημερώνει με τρόπο πρόσφορο και σαφή για τα εξής τουλάχιστο στοιχεία:
(α) Την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του,
(β) το σκοπό της επεξεργασίας,
(γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, και
(δ) την ύπαρξη του δικαιώματος πρόσβασης και διόρθωσης.
(2) Ο υπεύθυνος επεξεργασίας ενημερώνει επίσης το υποκείμενο των δεδομένων για το αν αυτό υποχρεούται ή όχι να παράσχει τη συνδρομή του, με βάση ποιες διατάξεις, καθώς και τις τυχόν συνέπειες της άρνησής του, δεδομένου ότι η ενημέρωση αυτή είναι απαραίτητη για την εξασφάλιση, σε κάθε περίπτωση, θεμιτής επεξεργασίας.
(3) (α) Οποτεδήποτε ο υπεύθυνος επεξεργασίας συλλέγει δεδομένα προσωπικού χαρακτήρα από τρίτους, το υποκείμενο των δεδομένων ενημερώνεται σύμφωνα με τις διατάξεις του εδαφίου (1) κατά την καταχώρησή τους ή, όπου τα δεδομένα προβλέπεται να ανακοινωθούν σε τρίτους, το υποκείμενο των δεδομένων ενημερώνεται σύμφωνα με τις διατάξεις του εδαφίου (1) το αργότερο πριν από την πρώτη ανακοίνωσή τους, εκτός αν έχει ήδη ενημερωθεί.
(β) Οι διατάξεις της παραγράφου (α) δεν εφαρμόζονται, ιδίως στις περιπτώσεις επεξεργασίας δεδομένων για στατιστικούς και ιστορικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, αν η ενημέρωση του υποκειμένου των δεδομένων αποδεικνύεται αδύνατη ή προϋποθέτει δυσανάλογη προσπάθεια, ή αν η ανακοίνωση των δεδομένων προβλέπεται από οποιαδήποτε άλλη νομοθετική διάταξη, δεδομένου ότι, σε κάθε περίπτωση, έχει ληφθεί η άδεια του Επιτρόπου.
(4) Με απόφαση του Επιτρόπου, ύστερα από αίτηση του υπεύθυνου επεξεργασίας, η υποχρέωση ενημέρωσης, σύμφωνα με τα εδάφια (1), (2) και (3) μπορεί να αρθεί, εν όλω ή εν μέρει, εφόσον η συλλογή δεδομένων προσωπικού χαρακτήρα γίνεται για σκοπούς άμυνας, εθνικών αναγκών ή αναγκών εθνικής ασφάλειας της Δημοκρατίας ή για την πρόληψη, διακρίβωση, διερεύνηση και δίωξη ποινικών αδικημάτων ή για λόγους σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων.
(5) Με την επιφύλαξη των δικαιωμάτων του υποκειμένου των δεδομένων που αναφέρονται στα άρθρα 12 και 13, η υποχρέωση ενημέρωσης δεν υφίσταται όταν η συλλογή γίνεται αποκλειστικά για δημοσιογραφικούς σκοπούς.
12.—(1) Καθένας έχει δικαίωμα να γνωρίζει αν δεδομένα προσωπικού χαρακτήρα που τον αφορούν, αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως και να του παρέχει αντίγραφο με τα προσωπικά του δεδομένα κατόπιν σχετικού αιτήματος του υποκειμένου των δεδομένων, όπου αυτό δεν προϋποθέτει δυσανάλογη προσπάθεια.
(2) Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας, χωρίς υπερβολική καθυστέρηση και δαπάνη-
(α) Πληροφορίες ως προς-
(i) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, τα οποία έχουν υποστεί επεξεργασία καθώς και τις διαθέσιμες πληροφορίες σχετικά με την προέλευσή τους·
(ii) τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών, καθώς και τις κατηγορίες των δεδομένων που υπόκεινται ή θα υποστούν επεξεργασία·
(iii) την εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωση ή πληροφόρησή του·
(iv) τη λογική στην οποία στηρίζεται κάθε αυτοματοποιημένη επεξεργασία των δεδομένων τα οποία αναφέρονται σ' αυτό, στις περιπτώσεις αποφάσεων που λαμβάνονται δυνάμει του άρθρου 16(1).
(β) Τη διόρθωση, διαγραφή ή κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν έγινε σύμφωνα με τις διατάξεις του παρόντος Νόμου, ειδικότερα λόγω ανακριβειών ή ελλείψεων.
(γ) Την κοινοποίηση σε τρίτους στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή κλειδώματος που γίνεται δυνάμει της παραγράφου (β), εκτός αν αυτό είναι αδύνατο ή συνεπάγεται δυσανάλογες προσπάθειες.
(3) Αν ο υπεύθυνος επεξεργασίας δεν απαντήσει μέσα σε τέσσερις εβδομάδες από την υποβολή της αίτησης ή αν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στον Επίτροπο.
(4) Με απόφαση του Επιτρόπου, ύστερα από αίτηση του υπευθύνου επεξεργασίας, η υποχρέωση πληροφόρησης σύμφωνα με τα εδάφια (1) και (2), δύναται να αρθεί, εν όλω ή εν μέρει, εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για λόγους εθνικών αναγκών ή αναγκών εθνικής ασφάλειας της Δημοκρατίας ή για την πρόληψη, διερεύνηση, διακρίβωση και δίωξη ποινικών αδικημάτων ή για λόγους σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων.
(5) Το δικαίωμα πρόσβασης μπορεί να ασκείται από το υποκείμενο των δεδομένων με τη συνδρομή ειδικού.
(6) Δεδομένα που αφορούν την υγεία γνωστοποιούνται στο υποκείμενο των δεδομένων μέσω ιατρού.
(7) Το δικαίωμα πρόσβασης ασκείται με την υποβολή της σχετικής αίτησης στον υπεύθυνο επεξεργασίας και την ταυτόχρονη καταβολή χρηματικού ποσού, το ύψος του οποίου, ο τρόπος καταβολής του και κάθε άλλο συναφές ζήτημα ρυθμίζονται με Κανονισμούς. Το ποσό αυτό επιστρέφεται στον αιτητή, αν το αίτημά του για διόρθωση ή διαγραφή των δεδομένων κριθεί βάσιμο είτε από τον υπεύθυνο επεξεργασίας είτε από τον Επίτροπο, σε περίπτωση προσφυγής του σε αυτόν. Στην τελευταία περίπτωση, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να χορηγήσει στον αιτητή, χωρίς καθυστέρηση, δωρεάν και σε γλώσσα κατανοητή, αντίγραφο του διορθωμένου μέρους της επεξεργασίας που τον αφορά.
13.-(1) Στις περιπτώσεις των παραγράφων (δ) και (ε) του εδαφίου (2) του άρθρου 5, το υποκείμενο των δεδομένων έχει δικαίωμα να αντιταχθεί οποτεδήποτε, για επιτακτικούς και νόμιμους λόγους που σχετίζονται άμεσα με την προσωπική του κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν.
(2) Το δικαίωμα αντίρρησης ασκείται εγγράφως στον υπεύθυνο επεξεργασίας ο οποίος έχει υποχρέωση να απαντήσει εγγράφως στον αιτητή μέσα σε αποκλειστική προθεσμία δεκαπέντε ημερών, δηλώνοντας την πρόθεσή του να κάνει αποδεκτό το αίτημα του υποκειμένου των δεδομένων ή αιτιολογώντας την πρόθεσή του να απορρίψει το αίτημά του. Η απάντηση σε περίπτωση απόρριψης του αιτήματος κοινοποιείται στον Επίτροπο.
(3) Αν ο υπεύθυνος επεξεργασίας δεν απαντήσει εμπρόθεσμα ή η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στον Επίτροπο και να ζητήσει την εξέταση του αιτήματός του. Αν ο Επίτροπος κρίνει το αίτημά του εύλογο και ότι συντρέχει κίνδυνος σοβαρής βλάβης του υποκειμένου των δεδομένων από τη συνέχιση της επεξεργασίας, δύναται να επιβάλει την άμεση αναστολή της επεξεργασίας μέχρις ότου εκδώσει οριστική απόφαση επί των αντιρρήσεων.
- Ιστορικό Τροποποιήσεων
- 138(I)/2001
- 105(I)/2012
15.-(1) Τα προσωπικά δεδομένα δεν αποτελούν αντικείμενο επεξεργασίας από οποιοδήποτε για λόγους προώθησης πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως, εκτός αν το υποκείμενο των δεδομένων δηλώσει γραπτώς τη συγκατάθεσή του στον υπεύθυνο επεξεργασίας.
(2) Υπεύθυνος επεξεργασίας που επιθυμεί να προβεί σε επεξεργασία προσωπικών δεδομένων για τους λόγους που αναφέρονται στο εδάφιο (1), μπορεί να χρησιμοποιήσει για το σκοπό λήψης της συγκατάθεσης του υποκειμένου των δεδομένων το ονοματεπώνυμο και τη διεύθυνσή του υπό τον όρο ότι τα δεδομένα αυτά έχουν ληφθεί από πηγές προσβάσιμες στο κοινό.
(3) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), για αρχεία πελατών που λειτουργούν και επεξεργασίες δεδομένων πελατών που εκτελούνται κατά την ημερομηνία έναρξης της ισχύος του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) (Τροποποιητικού) Νόμου του 2012, που αφορούν μεγάλο αριθμό υποκειμένων των δεδομένων, τα στοιχεία επικοινωνίας τους θα μπορούν να αποτελούν αντικείμενο επεξεργασίας από τον υπεύθυνο επεξεργασίας για λόγους προώθησης, πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως παρόμοιων δικών του αγαθών ή υπηρεσιών, εκτός αν τα υποκείμενα των δεδομένων αντιταχθούν στην εν λόγω επεξεργασία:
15Α. Τα πολιτικά κόμματα, οι εκλογικοί συνδυασμοί και οι εκάστοτε υποψήφιοι, για σκοπούς πολιτικής επικοινωνίας και αποστολής μέσω ταχυδρομείου υλικού για την προώθηση των πολιτικών θέσεων ή της υποψηφιότητάς τους στο πλαίσιο της εκλογής σε οποιοδήποτε πολιτειακό αξίωμα στη Δημοκρατία ή στο πλαίσιο της διενέργειας δημοψηφίσματος, μπορούν να χρησιμοποιούν τα ονόματα και τις διευθύνσεις των προσώπων που είναι καταχωρημένα στους εκλογικούς ή τηλεφωνικούς καταλόγους, εξαιρουμένων των προσώπων που είναι καταχωρημένα στο μητρώο προσώπων που δεν επιθυμούν να λαμβάνουν προωθητικό των πολιτικών κομμάτων, των εκλογικών συνδυασμών και των εκάστοτε υποψηφίων υλικό, στο πλαίσιο πολιτικής επικοινωνίας.
16.—(1) Καθένας έχει δικαίωμα να ζητήσει από το αρμόδιο, σε κάθε περίπτωση, δικαστήριο την άμεση αναστολή ή μη εφαρμογή πράξης ή απόφασης που το θίγει, την οποία έχει λάβει διοικητική αρχή ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με επεξεργασία δεδομένων, εφόσον η επεξεργασία αυτή αποβλέπει στην αξιολόγηση της προσωπικότητάς του και ιδίως της αποδοτικότητας του στην εργασία, της οικονομικής φερεγγυότητας του, της αξιοπιστίας του και της εν γένει συμπεριφοράς του.
(2) Οι διατάξεις του εδαφίου (1) δεν εφαρμόζονται όταν η πράξη ή απόφαση-
(α) έχει διενεργηθεί ή ληφθεί στο πλαίσιο της σύναψης ή της εκτέλεσης σύμβασης, εφόσον το αίτημα σύναψης ή εκτέλεσης της σύμβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα έχει ικανοποιηθεί ή έχουν ληφθεί όλα τα πρόσφορα μέτρα για τη διασφάλιση των εννόμων συμφερόντων του, στα οποία περιλαμβάνεται η δυνατότητα να προβάλει την άποψή του ή
(β) επιτρέπεται από νομοθετική διάταξη, η οποία καθορίζει τα μέτρα για την προστασία και διασφάλιση των εννόμων συμφερόντων του υποκειμένου των δεδομένων.
(3) Το δικαίωμα για προσωρινή δικαστική προστασία δύναται να ικανοποιηθεί σύμφωνα με τον περί Δικαστηρίων Νόμο, τον περί Πολιτικής Δικονομίας Νόμο ή οποιοδήποτε άλλο νόμο που προβλέπει για την έκδοση προσωρινών διαταγμάτων.