ΝΟΜΟΣ 3471/2006 - ΦΕΚ 133/Α'/28.6.2006
Προστασία δεδομένων
προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
και τροποποίηση του ν. 2472/1997.
Ο ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ
ΔΗΜΟΚΡΑΤΙΑΣ
Εκδίδομε τον ακόλουθο
νόμο που ψήφισε η Βουλή:
Αρθρο 1
Σκοπός
ΚΕΦΑΛΑΙΟ ΠΡΩΤΟ
Προστασία δεδομένων
προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών
επικοινωνιών (Ενσωμάτωση της Οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και
του Συμβουλίου της 12ης Ιουλίου 2002 σχετικά με την επεξεργασία των δεδομένων
προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των
ηλεκτρονικών επικοινωνιών, ΕΕ L 201/37 της 31ης Ιουλίου 2002)
Σκοπός των διατάξεων των
άρθρων 1 έως 17 του παρόντος νόμου είναι η προστασία των θεμελιωδών δικαιωμάτων
των ατόμων και ιδίως της ιδιωτικής ζωής και η θέσπιση των προϋποθέσεων για την
επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των
επικοινωνιών στον τομέα των ηλεκτρονικών επικοινωνιών.
Αρθρο 2
Ορισμοί
Πέραν των ορισμών που
περιλαμβάνονται στο άρθρο 2 του ν. 2472/1997 (ΦΕΚ 50 Α'), όπως ισχύει,
λαμβανομένων δε υπόψη των ορισμών του ν. 3431/2006 (ΦΕΚ 13 Α') νοούνται, για
τους σκοπούς του νόμου αυτού, ως:
1. «συνδρομητής»: κάθε
φυσικό ή νομικό πρόσωπο που έχει συνάψει σύμβαση με φορέα παροχής διαθεσίμων
στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών για την παροχή των υπηρεσιών
αυτών.
2. «χρήστης»: κάθε
φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών
επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι
απαραίτητα συνδρομητής της εν λόγω υπηρεσίας.
3. «δεδομένα κίνησης»:
τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης
μίας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσης της. Στα δεδομένα
κίνησης μπορεί να περιλαμβάνονται, μεταξύ άλλων, ο αριθμός, η διεύθυνση, η
ταυτότητα της σύνδεσης ή του τερματικού εξοπλισμού του συνδρομητή ή και χρήστη,
οι κωδικοί πρόσβασης, τα δεδομένα θέσης, η ημερομηνία και ώρα έναρξης και λήξης
και η διάρκεια της επικοινωνίας, ο όγκος των διαβιβασθέντων
δεδομένων, πληροφορίες σχετικά με το πρωτόκολλο, τη μορφοποίηση, τη δρομολόγηση
της επικοινωνίας καθώς και το δίκτυο από το οποίο προέρχεται ή στο οποίο
καταλήγει η επικοινωνία.
4. «δεδομένα θέσης»: τα
δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών
και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη
μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών.
5. «επικοινωνία»: κάθε
πληροφορία που ανταλλάσσεται ή διαβιβάζεται μεταξύ ενός πεπερασμένου αριθμού
μερών, μέσω μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών. Δεν
περιλαμβάνονται πληροφορίες που διαβιβάζονται ως τμήμα ραδιοτηλεοπτικών
υπηρεσιών στο κοινό μέσω δικτύου ηλεκτρονικών επικοινωνιών, εκτός από τις
περιπτώσεις κατά τις οποίες οι πληροφορίες μπορούν να αφορούν αναγνωρίσιμο
συνδρομητή ή χρήστη που τις λαμβάνει.
6. «κλήση»: σύνδεση που
πραγματοποιείται μέσω μίας διαθέσιμης στο κοινό τηλεφωνικής υπηρεσίας που
επιτρέπει αμφίδρομη επικοινωνία σε πραγματικό χρόνο.
7. «Υπηρεσία
προστιθέμενης αξίας»: κάθε υπηρεσία η οποία επιβάλλει την επεξεργασία δεδομένων
κίνησης ή δεδομένων θέσης πέραν εκείνων που απαιτούνται για τη μετάδοση μίας
επικοινωνίας και τη χρέωση της.
8. «Ηλεκτρονικό ταχυδρομείο»:
κάθε μήνυμα με κείμενο, φωνή, ήχο ή εικόνα που αποστέλλεται μέσω δημοσίου
δικτύου επικοινωνιών, το οποίο μπορεί να αποθηκεύεται στο δίκτυο ή στον
τερματικό εξοπλισμό του παραλήπτη, έως ότου ληφθεί από τον παραλήπτη.
9. «Υπηρεσίες
ηλεκτρονικών επικοινωνιών»: οι υπηρεσίες που παρέχονται συνήθως έναντι αμοιβής
και των οποίων η παροχή συνίσταται, εν όλω ή εν
μέρει, στη μεταφορά σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών,
συμπεριλαμβανομένων των υπηρεσιών τηλεπικοινωνιών και των υπηρεσιών μετάδοσης
σε δίκτυα που χρησιμοποιούνται για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες
ηλεκτρονικών επικοινωνιών δεν περιλαμβάνονται υπηρεσίες παροχής ή ελέγχου
περιεχομένου που μεταδίδεται μέσω δικτύων και υπηρεσιών ηλεκτρονικών
επικοινωνιών, καθώς και υπηρεσίες της Κοινωνίας της Πληροφορίας, όπως αυτές
ορίζονται στην παράγραφο 2 του άρθρου 2 του π.δ. 39/2001 (ΦΕΚ 28 Α'), και που
δεν αφορούν, εν όλω ή εν μέρει, στη μεταφορά σημάτων
σε δίκτυα ηλεκτρονικών επικοινωνιών.
10. «Δημόσιο δίκτυο επικοινωνιών»: το δίκτυο ηλεκτρονικών
επικοινωνιών, το οποίο χρησιμοποιείται, εξ ολοκλήρου ή κυρίως, για την παροχή
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών.
11. «Διαθέσιμες στο
κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών»: οι υπηρεσίες ηλεκτρονικών
επικοινωνιών που παρέχονται στο κοινό.
Αρθρο 3
Πεδίο εφαρμογής
1. Οι διατάξεις των
άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία
δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των
επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών
ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών. Για την
επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμόζεται ο ν. 2472/1997
(ΦΕΚ 50 Α'), όπως ισχύει.
2. Ο ν. 2472/1997, όπως
ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν,
εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών
επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο.
3. Οι διατάξεις των
άρθρων 8 και 9 εφαρμόζονται στις γραμμές συνδρομητών που συνδέονται με ψηφιακά
κέντρα και, όταν αυτό είναι τεχνικώς εφικτό, σε γραμμές συνδρομητών που
συνδέονται με αναλογικά κέντρα, εφόσον τούτο δεν συνεπάγεται δυσανάλογη
οικονομική επιβάρυνση. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.) διαπιστώνει τις περιπτώσεις όπου η σύνδεση με
αναλογικά κέντρα είναι τεχνικώς αδύνατη ή απαιτεί δυσανάλογη επένδυση, και
ενημερώνει σχετικώς την Ευρωπαϊκή Επιτροπή.
Αρθρο 4
Απόρρητο
1. Οποιαδήποτε χρήση των υπηρεσιών ηλεκτρονικών
επικοινωνιών που παρέχονται μέσω δημοσίου δικτύου επικοινωνιών και των
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών
δεδομένων κίνησης και θέσης, όπως ορίζονται στις διατάξεις του άρθρου 2 του
παρόντος νόμου, προστατεύεται από το απόρρητο των επικοινωνιών.
Η άρση του απορρήτου
είναι επιτρεπτή μόνο υπό τις προϋποθέσεις και τις διαδικασίες που προβλέπονται
από το άρθρο 19 του Συντάγματος.
2. Απαγορεύεται η ακρόαση, υποκλοπή, αποθήκευση
ή άλλο είδος παρακολούθησης ή επιτήρησης των ηλεκτρονικών επικοινωνιών και των
συναφών δεδομένων κίνησης και θέσης, εκτός αν προβλέπεται άλλως από το νόμο.
3. Επιτρέπεται η καταγραφή συνδιαλέξεων και των
συναφών δεδομένων κίνησης, όταν πραγματοποιούνται κατά τη διάρκεια νόμιμης
επαγγελματικής πρακτικής με σκοπό την παροχή αποδεικτικών στοιχείων εμπορικής
συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, υπό την προϋπόθεση
ότι και τα δύο μέρη, μετά από προηγούμενη ενημέρωση σχετικά με το σκοπό της
καταγραφής, παρέχουν τη συγκατάθεση τους. Με πράξη της Αρχής Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα, καθορίζεται ο τρόπος ενημέρωσης των μερών και
παροχής της συγκατάθεσης, καθώς και ο τρόπος και ο χρόνος διατήρησης των
καταγεγραμμένων συνδιαλέξεων και των συναφών δεδομένων κίνησης.
4. Με την επιφύλαξη της
τήρησης των υποχρεώσεων που απορρέουν από την προστασία του απορρήτου, σύμφωνα
με τον παρόντα νόμο, επιτρέπεται η τεχνικής φύσεως αποθήκευση, η οποία είναι
αναγκαία για τη διαβίβαση της επικοινωνίας.
5. Απαγορεύεται η χρήση
των δικτύων ηλεκτρονικών επικοινωνιών για την αποθήκευση πληροφοριών ή την
απόκτηση πρόσβασης σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό
συνδρομητή ή χρήστη, ιδίως δε με την εγκατάσταση κατασκοπευτικών λογισμικών,
κρυφών αναγνωριστικών στοιχείων και άλλων παρόμοιων διατάξεων. Κατ' εξαίρεση,
επιτρέπεται η οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός
σκοπός της οποίας είναι η διενέργεια ή διευκόλυνση της διαβίβασης μίας
επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία
μόνο για την παροχή υπηρεσίας στην κοινωνία των πληροφοριών, την οποία έχει
ζητήσει ρητά ο χρήστης ή ο συνδρομητής. Στην τελευταία αυτή περίπτωση η
χρησιμοποίηση τέτοιων διατάξεων επιτρέπεται μόνον εάν παρέχονται στον
συγκεκριμένο συνδρομητή ή χρήστη σαφείς και εκτεταμένες πληροφορίες, σύμφωνα με
το άρθρο 11 του ν. 2472/1997, όπως ισχύει, και ο υπεύθυνος ελέγχου των
δεδομένων παρέχει στον συνδρομητή ή χρήστη το δικαίωμα να αρνείται την
επεξεργασία αυτή. Με πράξη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
ορίζονται ειδικότερα οι τρόποι παροχής πληροφοριών, παροχής του δικαιώματος
άρνησης ή αίτησης συγκατάθεσης.
Αρθρο 5
Κανόνες επεξεργασίας
1. Η επεξεργασία των
δεδομένων προσωπικού χαρακτήρα, περιλαμβανομένων και των δεδομένων κίνησης και
θέσης, πρέπει να περιορίζεται στο απολύτως αναγκαίο μέτρο για την εξυπηρέτηση
των σκοπών της.
2. Η επεξεργασία
δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εφόσον:
α) ο συνδρομητής ή ο
χρήστης μετά από ενημέρωση για το είδος των δεδομένων, το σκοπό και την έκταση
της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών έχει συγκατατεθεί,
ή
β) η επεξεργασία είναι
αναγκαία για την εκτέλεση σύμβασης, στην οποία ο συνδρομητής ή ο χρήστης είναι
συμβαλλόμενο μέρος, ή για τη λήψη μέτρων κατά το προσυμβατικό
στάδιο, μετά από αίτηση του συνδρομητή.
3. Όπου ο παρών νόμος
απαιτεί τη συγκατάθεση του συνδρομητή ή χρήστη, η σχετική δήλωση δίδεται
εγγράφως ή με ηλεκτρονικά μέσα. Στην τελευταία περίπτωση, ο υπεύθυνος
επεξεργασίας εξασφαλίζει ότι ο συνδρομητής ή χρήστης ενεργεί με πλήρη επίγνωση
των συνεπειών που έχει η δήλωση του η οποία καταγράφεται με ασφαλή τρόπο, είναι
ανά πάσα στιγμή προσβάσιμη στον χρήστη ή συνδρομητή
και μπορεί οποτεδήποτε να ανακληθεί.
4. Ο φορέας παροχής
δημοσίου δικτύου ή και διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών
δεν επιτρέπεται να χρησιμοποιεί τα δεδομένα προσωπικού χαρακτήρα και τα
δεδομένα κίνησης και θέσης ή να τα διαβιβάζει σε τρίτους για άλλους σκοπούς,
εκτός εάν ο συνδρομητής ή ο χρήστης έχει ρητά και ειδικά δώσει τη συγκατάθεση
του. Εξαιρούνται οι σκοποί που συνδέονται με την παροχή υπηρεσιών ηλεκτρονικών
επικοινωνιών ή την παροχή υπηρεσιών προστιθέμενης αξίας που έχει ζητήσει ο
συνδρομητής ή χρήστης, όπως η διαφήμιση ή η εμπορική έρευνα αγοράς προϊόντων
και υπηρεσιών.
5. Για τα δεδομένα κίνησης, ο φορέας παροχής των
υπηρεσιών οφείλει να ενημερώσει τον συνδρομητή ή τον χρήστη πριν από τη
χορήγηση της συγκατάθεσης του σχετικά με τον τύπο των δεδομένων κίνησης που
υποβάλλονται σε επεξεργασία και τη διάρκεια της επεξεργασίας αυτής.
Όταν τα δεδομένα
διαβιβάζονται σε τρίτους, η συγκατάθεση απαιτείται να είναι έγγραφη. Δεν
θεωρούνται ως τρίτοι οι φορείς παροχής δημοσίου δικτύου ή διαθέσιμης στο κοινό
υπηρεσίας ηλεκτρονικών επικοινωνιών, όσον αφορά στη διαβίβαση σε αυτούς από
αντίστοιχο φορέα δεδομένων κίνησης, με αποκλειστικό σκοπό τη χρέωση των
παρεχομένων υπηρεσιών, υπό τον όρο ότι ο συνδρομητής ή ο χρήστης έχει
ενημερωθεί κατά την κατάρτιση της σύμβασης εγγράφως. Η συγκατάθεση μπορεί να
ανακληθεί οποτεδήποτε. Αν ανακληθεί και εφόσον τα δεδομένα έχουν εν τω μεταξύ
ανακοινωθεί σε τρίτους, η ανάκληση ανακοινώνεται σε αυτούς με φροντίδα του
υπεύθυνου επεξεργασίας. Ο φορέας παροχής δημοσίου δικτύου ή/ και διαθέσιμης
στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών απαγορεύεται να εξαρτά την παροχή
των υπηρεσιών αυτών προς τον συνδρομητή ή τον χρήστη από τη συγκατάθεση του
στην επεξεργασία των δεδομένων αυτών για σκοπούς άλλους από εκείνους που
εξυπηρετούν άμεσα την παροχή των υπηρεσιών στις οποίες αφορούν τα άρθρα 1 έως
17.
6. Ο σχεδιασμός και η
επιλογή των τεχνικών μέσων και των πληροφοριακών συστημάτων, καθώς και ο
εξοπλισμός για την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών
επικοινωνιών, πρέπει να γίνονται με βασικό κριτήριο την επεξεργασία όσο το
δυνατόν λιγότερων δεδομένων προσωπικού χαρακτήρα.
7. Ο φορέας παροχής
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει, στο βαθμό που
αυτό είναι τεχνικώς εφικτό, να καθιστά δυνατή τη χρήση και πληρωμή των
υπηρεσιών αυτών ανωνύμως ή με ψευδώνυμο. Σε περίπτωση
αμφισβήτησης της τεχνικής δυνατότητας της ανώνυμης και ψευδώνυμης χρήσης και
πληρωμής των υπηρεσιών αυτών, γνωμοδοτεί η Εθνική Επιτροπή Τηλεπικοινωνιών και
Ταχυδρομείων (Ε.Ε.Τ.Τ.).
Αρθρο 6
Δεδομένα κίνησης και
θέσης
1. Τα δεδομένα κίνησης
που αφορούν συνδρομητές και χρήστες, τα οποία
υποβάλλονται σε
επεξεργασία και αποθηκεύονται από τον φορέα παροχής δημοσίου δικτύου ή και
διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών υπηρεσιών, με τη λήξη της
επικοινωνίας καταστρέφονται ή καθίστανται ανώνυμα με κατάλληλη κωδικοποίηση, με
την επιφύλαξη της παραγράφου 2 του παρόντος άρθρου και της παραγράφου 5 του
άρθρου 5.
2. Για τη χρέωση των συνδρομητών και την πληρωμή
των διασυνδέσεων, εφόσον είναι αναγκαίο, επιτρέπεται να υποβάλλονται σε
επεξεργασία τα δεδομένα κίνησης. Ο φορέας παροχής υπηρεσιών ηλεκτρονικών
επικοινωνιών ενημερώνει τον συνδρομητή σχετικά με τον τύπο των δεδομένων
κίνησης που υποβάλλονται σε επεξεργασία, καθώς και σχετικά με τη διάρκεια της
επεξεργασίας. Η επεξεργασία αυτή επιτρέπεται μόνο έως το τέλος της περιόδου
εντός της οποίας μπορεί να αμφισβητηθεί νομίμως ο λογαριασμός ή να επιδιωχθεί η
πληρωμή του.
3. Επιτρέπεται η
επεξεργασία δεδομένων θέσης, που αφορούν τους χρήστες ή συνδρομητές δικτύων ή
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, για την παροχή
υπηρεσίας προστιθέμενης αξίας, μόνον εφόσον αυτά καθίστανται ανώνυμα με την
κατάλληλη κωδικοποίηση ή με τη ρητή συγκατάθεση του χρήστη ή του συνδρομητή, στην
απαιτούμενη έκταση και για την απαιτούμενη διάρκεια για την παροχή μίας
υπηρεσίας προστιθέμενης αξίας. Ο φορέας παροχής υπηρεσιών ενημερώνει τον χρήστη
ή τον συνδρομητή, πριν από τη χορήγηση της συγκατάθεσης του, σχετικά με τον
τύπο των δεδομένων θέσης που υποβάλλονται σε επεξεργασία, τους σκοπούς και τη
διάρκεια της εν λόγω επεξεργασίας, καθώς και σχετικά με το ενδεχόμενο μετάδοσης
τους σε τρίτους για το σκοπό παροχής της υπηρεσίας προστιθέμενης αξίας. Η
συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε. Στον χρήστη ή συνδρομητή πρέπει να
παρέχεται η δυνατότητα, σε κάθε σύνδεση με το δίκτυο ή μετάδοση μίας
επικοινωνίας, να αρνείται προσωρινά την επεξεργασία των εν λόγω δεδομένων με
απλά μέσα και ατελώς.
4. Κατ' εξαίρεση επιτρέπεται, χωρίς προηγούμενη
συγκατάθεση του συνδρομητή ή του χρήστη, η επεξεργασία δεδομένων θέσης από τους
φορείς παροχής δημοσίου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών
επικοινωνιών, προκειμένου να παρέχουν στις αρμόδιες για την αντιμετώπιση
καταστάσεων έκτακτης ανάγκης αρχές, όπως στις διωκτικές αρχές, στις υπηρεσίες
πρώτων βοηθειών και πυρόσβεσης, τις απαραίτητες πληροφορίες για τον εντοπισμό
του καλούντος και μόνο για το συγκεκριμένο αυτόν σκοπό. Με πράξη της Αρχής
Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.),
καθορίζονται οι διαδικασίες, ο τρόπος και κάθε άλλη τεχνική λεπτομέρεια για την
εφαρμογή της παρούσας διάταξης.
5. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται όταν η
Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.)
ενημερώνεται από τα ενδιαφερόμενα πρόσωπα για τα δεδομένα κίνησης, με σκοπό την
επίλυση διαφορών που σχετίζονται ιδίως με τη διασύνδεση ή τη χρέωση, σύμφωνα με
τις διατάξεις της κείμενης νομοθεσίας.
Αρθρο 7
Αναλυτική χρέωση
1. Οι συνδρομητές έχουν
το δικαίωμα να λαμβάνουν μη αναλυτικούς λογαριασμούς. Όταν μία σύνδεση
χρησιμοποιείται από πολλούς χρήστες ή όταν ο συνδρομητής είναι υπόχρεος για την
πληρωμή της σύνδεσης που χρησιμοποιεί ένας ή περισσότεροι χρήστες, απαιτείται
βεβαίωση του συνδρομητή ότι οι χρήστες έχουν ενημερωθεί ή θα ενημερωθούν, με
τον κατά περίπτωση προσφορότερο τρόπο, για την αποστολή αναλυτικών λογαριασμών
στον συνδρομητή. Σε περίπτωση επικοινωνίας χωρίς χρέωση, η κληθείσα σύνδεση δεν
περιλαμβάνεται στους αναλυτικούς λογαριασμούς.
2. Αν το ζητήσει ο
συνδρομητής, ο φορέας παροχής δημοσίου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας
ηλεκτρονικών επικοινωνιών οφείλει να διαγράφει από τον αναλυτικό λογαριασμό τα
τρία τελευταία ψηφία των κληθέντων αριθμών - συνδέσεων.
Αρθρο 8
Ένδειξη της ταυτότητας
και περιορισμός αναγνώρισης καλούσας και συνδεδεμένης γραμμής
1. Όταν παρέχεται η
ένδειξη της ταυτότητας καλούσας γραμμής, ο καλών χρήστης πρέπει να έχει τη
δυνατότητα, με απλά μέσα και ατελώς, να εμποδίζει αυτή τη λειτουργία ανά κλήση.
Ο καλών συνδρομητής πρέπει να έχει τη δυνατότητα αυτή ανά γραμμή.
2. Όταν παρέχεται
ένδειξη της ταυτότητας καλούσας γραμμής, ο καλούμενος χρήστης πρέπει να έχει τη
δυνατότητα, με απλά μέσα και ατελώς, να μην επιτρέπει την ένδειξη της
ταυτότητας της καλούσας γραμμής για τις εισερχόμενες κλήσεις.
3. Όταν παρέχεται
ένδειξη της ταυτότητας καλούσας γραμμής και η ένδειξη αυτή γίνεται πριν γίνει
οριστικά η κλήση, ο καλούμενος χρήστης πρέπει να έχει τη δυνατότητα, με απλά
μέσα, να μη δέχεται την εισερχόμενη κλήση όταν ο καλών χρήστης ή συνδρομητής
δεν έχει επιτρέψει την ένδειξη της ταυτότητας της καλούσας γραμμής.
4. Όταν παρέχεται
ένδειξη της ταυτότητας της συνδεδεμένης γραμμής, ο καλούμενος χρήστης πρέπει να
έχει τη δυνατότητα να απαλείφει, με απλά μέσα και ατελώς, την ένδειξη της
ταυτότητας της συνδεδεμένης γραμμής στον καλούντα χρήστη.
5. Οι διατάξεις της παραγράφου 1 ισχύουν και για
κλήσεις προς χώρες που δεν ανήκουν στην Ευρωπαϊκή Ένωση. Οι διατάξεις των
παραγράφων 2, 3 και 4 ισχύουν και για τις εισερχόμενες κλήσεις που προέρχονται
από τρίτες χώρες.
6. Οι δυνατότητες που
προβλέπονται στις παραγράφους 1 έως 4 παρέχονται από τον φορέα παροχής των
υπηρεσιών ηλεκτρονικών επικοινωνιών. Όταν παρέχεται ένδειξη της ταυτότητας
καλούσας ή και συνδεδεμένης γραμμής, οι φορείς παροχής διαθεσίμων στο κοινό
υπηρεσιών ηλεκτρονικών επικοινωνιών ενημερώνουν, με κάθε πρόσφορο τρόπο ή μέσο,
το κοινό και τους συνδρομητές σχετικά με την ύπαρξη υπηρεσιών αναγνώρισης
καλούσας ή και συνδεδεμένης γραμμής στο δίκτυο, τις υπηρεσίες που προσφέρονται,
επί τη βάσει της αναγνώρισης καλούσας ή και συνδεδεμένης γραμμής, και τις
δυνατότητες που ορίζονται στις παραγράφους 1 έως 4.
7. Ο φορέας παροχής
δημοσίου δικτύου επικοινωνιών ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών
επικοινωνιών οφείλει να διαθέτει μέσα εξουδετέρωσης της δυνατότητας μη
αναγραφής της καλούσας γραμμής:
α) για τον εντοπισμό
κακόβουλων ή ενοχλητικών κλήσεων για περιορισμένο χρονικό διάστημα, μετά από
αίτηση του συνδρομητή. Τα δεδομένα που περιέχουν την αναγνώριση της ταυτότητας
του καλούντος συνδρομητή ή χρήστη αποθηκεύονται και είναι διαθέσιμα από τον
φορέα παροχής δημοσίου δικτύου ή και διαθέσιμης στο κοινό υπηρεσίας
ηλεκτρονικών επικοινωνιών μόνο έναντι του συνδρομητή ή χρήστη που ζητεί τον
εντοπισμό και κατόπιν διαγράφονται, εφόσον δεν ορίζεται διαφορετικά στον παρόντα
νόμο.
Με πράξη της Αρχής
Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.),
καθορίζονται οι ειδικότερες διαδικασίες, ο τρόπος και η διάρκεια εξουδετέρωσης
των δυνατοτήτων και κάθε άλλη αναγκαία λεπτομέρεια, ώστε να διασφαλίζεται η
διαφάνεια της διαδικασίας.
β) για κλήσεις άμεσης
επέμβασης προς τις αρμόδιες δημόσιες υπηρεσίες που ασχολούνται με τέτοιες
κλήσεις ή προς ιδιωτικούς φορείς άμεσης επέμβασης, αναγνωρισμένους από το
κράτος, ώστε να δίδεται απάντηση στις κλήσεις αυτές, ανεξάρτητα από την ύπαρξη
προσωρινής συγκατάθεσης του συνδρομητή ή χρήστη. Τα δεδομένα που περιέχουν την
αναγνώριση της ταυτότητας του καλούντος συνδρομητή αποθηκεύονται και είναι
διαθέσιμα από τη δημόσια υπηρεσία ή τον ιδιωτικό φορέα άμεσης επέμβασης, μόνο
για το σκοπό της άμεσης απάντησης και επέμβασης και μόνο για το χρονικό
διάστημα που είναι αναγκαίο για την ολοκλήρωση του σκοπού, και στη συνέχεια
διαγράφονται.
Με πράξη της Αρχής
Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.),
καθορίζονται οι διαδικασίες, ο τρόπος και κάθε άλλη τεχνική λεπτομέρεια για την
εφαρμογή της παρούσας διάταξης.
γ) για κλήσεις στις
οποίες εφαρμόζεται η διαδικασία άρσης απορρήτου σύμφωνα με την κείμενη
νομοθεσία.
Αρθρο 9
Αυτόματη προώθηση
κλήσεων
Ο συνδρομητής έχει το
δικαίωμα να εμποδίζει τις αυτόματα προωθούμενες κλήσεις από τρίτους στην
τερματική συσκευή του. Ο φορέας παροχής δημοσίου δικτύου ή και διαθέσιμης στο
κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών οφείλει να παρέχει ατελώς την
αντίστοιχη τεχνική δυνατότητα.
Αρθρο 10
Κατάλογοι συνδρομητών
1. Οι συνδρομητές ενημερώνονται, με πρόσφορο και
σαφή τρόπο και ατελώς, για τους σκοπούς των εντύπων ή ηλεκτρονικών καταλόγων
συνδρομητών οι οποίοι διατίθενται στο κοινό ή μπορεί να αποκτηθούν μέσω
υπηρεσιών πληροφοριών καταλόγων, στους οποίους μπορεί να περιλαμβάνονται
προσωπικά δεδομένα τους. Οι συνδρομητές ενημερώνονται, επίσης, για κάθε
περαιτέρω δυνατότητα χρήσης που βασίζεται σε λειτουργίες αναζήτησης
ενσωματωμένες σε ηλεκτρονικές εκδόσεις των καταλόγων. Η ενημέρωση γίνεται πριν
τα δεδομένα περιληφθούν στον κατάλογο.
2. Τα περιεχόμενα στους
έντυπους ή ηλεκτρονικούς καταλόγους συνδρομητών δεδομένα προσωπικού χαρακτήρα,
τα οποία βρίσκονται στη διάθεση του κοινού ή μπορούν να ληφθούν μέσω των
υπηρεσιών πληροφοριών καταλόγου, πρέπει να περιορίζονται στα απαραίτητα για
την αναγνώριση της ταυτότητας συγκεκριμένου συνδρομητή (όνομα, επώνυμο,
πατρώνυμο, διεύθυνση), εκτός εάν ο συνδρομητής έχει δώσει τη ρητή συγκατάθεση
του για τη δημοσίευση συμπληρωματικών δεδομένων προσωπικού χαρακτήρα.
3. Ο συνδρομητής
δικαιούται να μη συμπεριλαμβάνεται σε έντυπο ή ηλεκτρονικό δημόσιο κατάλογο. Η
καταχώριση σε κατάλογο γίνεται εφόσον ο συνδρομητής, μετά την ενημέρωση του
κατά την παράγραφο 1 του παρόντος άρθρου, δεν εκφράσει αντίρρηση. Ο συνδρομητής
μπορεί επίσης να ζητήσει να παραλείπεται η διεύθυνση του, εν μέρει, και να μην
επιτρέπει να υπάρχει αναφορά που να αποκαλύπτει το φύλο του, εφόσον τούτο είναι
γλωσσικά εφικτό. Η μη εγγραφή, η επαλήθευση, η διόρθωση ή η απόσυρση των
προσωπικών δεδομένων από το δημόσιο κατάλογο συνδρομητών γίνεται ατελώς.
4. Τα δεδομένα
προσωπικού χαρακτήρα που περιλαμβάνονται σε δημόσιο κατάλογο επιτρέπεται να
υπόκεινται σε επεξεργασία μόνο για τους σκοπούς για τους οποίους έχουν
συλλέγει. Όταν τα δεδομένα αυτά διαβιβάζονται σε τρίτους, ο συνδρομητής θα
πρέπει να ενημερώνεται, πριν από τη διαβίβαση, για αυτή τη δυνατότητα και για
τον παραλήπτη ή για τις κατηγορίες των πιθανών παραληπτών, να έχει δε την
ευκαιρία να αντιταχθεί στη διαβίβαση. Για τη χρησιμοποίηση των δεδομένων αυτών για
άλλο σκοπό, είτε από τον φορέα είτε από τρίτο, απαιτείται εκ νέου η ρητή
συγκατάθεση του συνδρομητή. Δεν επιτρέπεται στους φορείς παροχής υπηρεσιών
δημοσίων καταλόγων να εξαρτούν την παροχή των υπηρεσιών δημοσίου καταλόγου από
τη συγκατάθεση του συνδρομητή για τη διαβίβαση των δεδομένων για σκοπούς άλλους
από αυτούς για τους οποίους έχουν συλλέγει.
5. Τα δικαιώματα που παρέχονται σύμφωνα με τις
παραγράφους 1, 2 και 3 ισχύουν για τους συνδρομητές που είναι φυσικά πρόσωπα.
Όταν οι συνδρομητές είναι νομικά πρόσωπα, τα στοιχεία που δημοσιεύονται σε δημόσιους
καταλόγους περιορίζονται στα απαραίτητα για την αναγνώριση της ταυτότητας του
νομικού προσώπου (επωνυμία ή διακριτικός τίτλος, έδρα, νομική μορφή,
διεύθυνση), εκτός εάν ο νόμιμος εκπρόσωπος του νομικού προσώπου έχει δώσει τη
ρητή συγκατάθεση του για τη δημοσίευση συμπληρωματικών στοιχείων.
Αρθρο 11
Μη ζητηθείσα επικοινωνία
1. Η χρησιμοποίηση
αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή
ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής
επικοινωνίας, με ή χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής
προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς,
επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.
2. Δεν επιτρέπεται η
πραγματοποίηση μη ζητηθεισών επικοινωνιών για τους
ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ότι δεν επιθυμεί
γενικώς να δέχεται τέτοιες επικοινωνίες. Ο φορέας υποχρεούται να καταχωρίζει
δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη
διάθεση κάθε ενδιαφερομένου.
3. Τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου
που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης
συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων
προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών,
ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη
συγκατάθεση του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και
ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη
συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων, και αυτό σε κάθε
μήνυμα σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση.
4. Απαγορεύεται η
αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, που έχουν σκοπό την άμεση
εμπορική προώθηση προϊόντων και υπηρεσιών, όταν δεν αναφέρεται ευδιάκριτα και
σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου
αποστέλλεται το μήνυμα, καθώς επίσης και η έγκυρη διεύθυνση στην οποία ο
αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας.
5. Οι ανωτέρω ρυθμίσεις ισχύουν και για τους
συνδρομητές που είναι νομικά πρόσωπα.
Αρθρο 12
Ασφάλεια
1. Ο φορέας παροχής
διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαμβάνει τα
ενδεδειγμένα τεχνικά και οργανωτικά μέτρα, προκειμένου να προστατεύεται η
ασφάλεια των υπηρεσιών του, καθώς και η ασφάλεια του δημοσίου δικτύου
ηλεκτρονικών επικοινωνιών. Τα μέτρα αυτά, εφόσον είναι αναγκαίο, λαμβάνονται
από κοινού με τον φορέα παροχής του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών,
πρέπει δε να εγγυώνται επίπεδο ασφαλείας ανάλογο προς τον υπάρχοντα κίνδυνο,
λαμβανομένων υπόψη αφ' ενός των πλέον προσφάτων τεχνικών δυνατοτήτων αφ' ετέρου
δε του κόστους εφαρμογής τους.
2. Αν υπάρχει ιδιαίτερος κίνδυνος παραβίασης της
ασφάλειας του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών, ο φορέας που παρέχει
διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών οφείλει να ενημερώσει
τους συνδρομητές. Εφόσον ο κίνδυνος αυτός είναι εκτός του πεδίου των μέτρων που
οφείλει να λαμβάνει ο πάροχος της υπηρεσίας, ο φορέας
έχει την υποχρέωση να ενημερώνει τους συνδρομητές και για όλες τις δυνατότητες
αποτροπής του κινδύνου, καθώς και για το αναμενόμενο κόστος.
3. Η επεξεργασία των δεδομένων προσωπικού
χαρακτήρα των συνδρομητών και χρηστών, καθώς και των συναφών δεδομένων κίνησης,
θέσης και χρέωσης, πρέπει να ανατίθεται σε πρόσωπα τα οποία ενεργούν υπό τον
έλεγχο των φορέων παροχής των δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή και
των διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών και τα οποία
ασχολούνται με τη διαχείριση των χρεώσεων ή της κίνησης, τις απαντήσεις σε
ερωτήσεις πελατών, την ανίχνευση της απάτης, την εμπορική προώθηση των
υπηρεσιών ηλεκτρονικών επικοινωνιών του φορέα ή με την παροχή υπηρεσίας
προστιθέμενης αξίας, και περιορίζεται σε ενέργειες που είναι απολύτως αναγκαίες
για την εξυπηρέτηση των σκοπών αυτών.
Αρθρο 13
Αρμοδιότητες της Αρχής
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Αρχής Διασφάλισης του
Απορρήτου των Επικοινωνιών
1. Η Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα έχει και ως προς την τήρηση των διατάξεων του
παρόντος νόμου τις αρμοδιότητες που προβλέπονται από το ν. 2472/1997, όπως
εκάστοτε ισχύει.
2. Η Αρχή Διασφάλισης
του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) έχει ως
προς την τήρηση των διατάξεων του παρόντος νόμου, που αναφέρονται σε αυτήν, τις
αρμοδιότητες που προβλέπονται από το ν. 3115/2003, όπως εκάστοτε ισχύει.
3. Στις περιπτώσεις στις
οποίες προβλέπεται γνωμοδότηση της Εθνικής Επιτροπής Τηλεπικοινωνιών και
Ταχυδρομείων (Ε.Ε.Τ.Τ.), αυτή γνωμοδοτεί μετά από
αίτηση συνδρομητή ή αίτημα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
ή και αυτεπαγγέλτως.
4. Σε περίπτωση
παράβασης των διατάξεων των άρθρων 1 έως 17 του παρόντος νόμου, για την τήρηση
των οποίων αρμόδια είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αυτή
επιβάλλει τις προβλεπόμενες από το άρθρο 21 του ν. 2472/1997 διοικητικές
κυρώσεις. Σε περίπτωση παράβασης των διατάξεων του παρόντος νόμου, για την
τήρηση των οποίων αρμόδια είναι η Αρχή Διασφάλισης του Απορρήτου των
Επικοινωνιών, αυτή επιβάλλει τις προβλεπόμενες από το άρθρο 11 του ν. 3115/2003
διοικητικές κυρώσεις. Οι πράξεις της Αρχής Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα και της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών με τις
οποίες επιβάλλονται οι διοικητικές κυρώσεις σε φορείς παροχής δημοσίου δικτύου ή/και διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών υπηρεσιών
γνωστοποιούνται στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.).
5. Με κοινή πράξη της
Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Αρχής Διασφάλισης του Απορρήτου
των Επικοινωνιών, ρυθμίζονται θέματα σχετικά με τις εργασίες που
πραγματοποιούνται σε συστήματα των παροχών ηλεκτρονικών επικοινωνιών για το
συσχετισμό των στοιχείων ταυτότητας των συνδρομητών τους με τα αντίστοιχα
δεδομένα επικοινωνίας τους.
Αρθρο 14
Αστική ευθύνη
1. Φυσικό ή νομικό
πρόσωπο που, κατά παράβαση του νόμου αυτού, προκαλεί περιουσιακή βλάβη
υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε
χρηματική ικανοποίηση.
2. Η κατά το άρθρο 932 Α.Κ.
χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου
ορίζεται, κατ' ελάχιστο, στο ποσό των δέκα χιλιάδων ευρώ (10.000 ), εκτός αν
ζητηθεί από τον ενάγοντα μικρότερο ποσό. Η χρηματική ικανοποίηση επιδικάζεται
ανεξάρτητα από την αιτούμενη αποζημίωση για περιουσιακή βλάβη.
3. Οι απαιτήσεις του
παρόντος άρθρου εκδικάζονται κατά τη διαδικασία των άρθρων 664 έως 676 Κ.Πολ.Δ,, ανεξάρτητα από την έκδοση ή μη απόφασης της Αρχής
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή της Αρχής Διασφάλισης του Απορρήτου
των Επικοινωνιών για τη διαπίστωση παρανομίας ή την άσκηση ποινικής δίωξης.
Αρθρο 15
Ποινικές κυρώσεις
1. Όποιος, κατά παράβαση
του παρόντος νόμου, χρησιμοποιεί, συλλέγει, αποθηκεύει, λαμβάνει γνώση,
αφαιρεί, αλλοιώνει, καταστρέφει, μεταδίδει, ανακοινώνει, δημοσιοποιεί δεδομένα
προσωπικού χαρακτήρα συνδρομητών ή χρηστών, ή τα καθιστά προσιτά σε μη
δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω
δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο, τιμωρείται με φυλάκιση
τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον δέκα χιλιάδων ευρώ
(10.000) μέχρι και εκατό χιλιάδων ευρώ (100.000), αν η πράξη δεν τιμωρείται
βαρύτερα από άλλες διατάξεις.
2. Υπεύθυνος επεξεργασίας και τυχόν εκπρόσωπος
του που δεν συμμορφώνεται με τις πράξεις της Αρχής Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα που επιβάλλουν τις διοικητικές κυρώσεις της προσωρινής
ανάκλησης αδείας, της οριστικής ανάκλησης αδείας και της καταστροφής αρχείου ή
διακοπής επεξεργασίας και καταστροφής των σχετικών δεδομένων, τιμωρείται με
φυλάκιση τουλάχιστον δύο (2) ετών και με χρηματική ποινή τουλάχιστον δώδεκα
χιλιάδων ευρώ (12.000) μέχρι και εκατόν είκοσι χιλιάδων ευρώ (120.000).
3. Εφόσον ο δράστης των
πράξεων των προηγούμενων παραγράφων είχε σκοπό να προσπορίσει στον εαυτό του ή
σε άλλον παράνομο περιουσιακό όφελος ή να βλάψει τρίτο, επιβάλλεται κάθειρξη
μέχρι δέκα (10) ετών και χρηματική ποινή τουλάχιστον δεκαπέντε χιλιάδων ευρώ
(15.000) μέχρι και εκατόν πενήντα χιλιάδων ευρώ (150.000). Αν προκλήθηκε
κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την
εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή πενήντα χιλιάδων ευρώ
(50.000) μέχρι και τριακοσίων πενήντα χιλιάδων ευρώ (350.000).
4. Εφόσον οι πράξεις των παραγράφων 1 και 2 του
παρόντος άρθρου τελεσθούν από αμέλεια, επιβάλλεται φυλάκιση μέχρι δεκαοκτώ (18)
μηνών και χρηματική ποινή μέχρι και δέκα χιλιάδων ευρώ (10.000).
Αρθρο 16
Μεταβατικές διατάξεις
Οι ρυθμίσεις του άρθρου
10 δεν εφαρμόζονται σε εκδόσεις καταλόγων οι οποίοι έχουν ήδη διατεθεί στην
αγορά, σε έντυπη ή εξωδικτυακή (off-line) ηλεκτρονική μορφή, πριν από την έναρξη
ισχύος του παρόντος.
Όταν προσωπικά δεδομένα
συνδρομητών σε διαθέσιμες στο κοινό υπηρεσίες σταθερής ή κινητής τηλεφωνίας
έχουν περιληφθεί σε δημόσιο κατάλογο συνδρομητών, σύμφωνα με προϊσχύουσες
διατάξεις, τα προσωπικά δεδομένα των συνδρομητών αυτών μπορούν να εξακολουθούν
να περιλαμβάνονται στην έντυπη ή ηλεκτρονική μορφή του εν λόγω δημοσίου
καταλόγου, συμπεριλαμβανομένων των μορφών που διαθέτουν λειτουργίες αναζήτησης,
εκτός εάν οι συνδρομητές δηλώσουν διαφορετικά, αφού ενημερωθούν πλήρως για τους
σκοπούς και τις επιλογές, σύμφωνα με το άρθρο 10 του παρόντος νόμου.
Αρθρο 17
Καταργούμενες διατάξεις
Ο ν. 2774/1999 (ΦΕΚ 287
Α) καταργείται από την έναρξη ισχύος του παρόντος.
Αρθρο 18
ΚΕΦΑΛΑΙΟ ΔΕΥΤΕΡΟ
Τροποποίηση του ν.
2472/1997 (ΦΕΚ 50 Α')
1. Η παρ. β' του άρθρου 2 του ν. 2472/1997
αντικαθίσταται ως εξής:
β. «Ευαίσθητα δεδομένα»,
τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά
φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε
συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική
ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε
συναφείς με τα ανωτέρω ενώσεις προσώπων.
2. Η παρ. ε' του άρθρου 2 του ν. 2472/1997
αντικαθίσταται ως εξής:
ε. «Αρχείο δεδομένων
προσωπικού χαρακτήρα» («αρχείο»), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού
χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια.
Αρθρο 19
1. Το στοιχείο β' της παρ. 3 του άρθρου 3 του ν.
2472/1997 καταργείται. Το στοιχείο γ' της παρ. 3 του άρθρου 3 του ν. 2472/1997
αναριθμείται ως στοιχείο β'·
2. Το πρώτο εδάφιο στο
νέο στοιχείο β' (πρώην γ') της παρ. 3 του άρθρου 3 του ν. 2472/1997 τροποποιείται
ως εξής:
«Από υπεύθυνο
επεξεργασίας που δεν είναι εγκατεστημένος στην επικράτεια κράτους - μέλους της
Ευρωπαϊκής Ένωσης ή κράτους του Ευρωπαϊκού Οικονομικού Χώρου, αλλά τρίτης
χώρας, και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στην Ελληνική
Επικράτεια, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση
από αυτήν.»
Αρθρο 20
1. Το τελευταίο εδάφιο
του στοιχείου δ' της παρ.1 του άρθρου 4 του ν. 2472/1997 καταργείται.
2. Το πρώτο εδάφιο της παρ. 2 του άρθρου 4 του
ν. 2472/1997 τροποποιείται ως εξής:
«Η τήρηση των διατάξεων
της προηγούμενης παραγράφου βαρύνει τον υπεύθυνο επεξεργασίας. Δεδομένα
προσωπικού χαρακτήρα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση
της προηγούμενης παραγράφου, καταστρέφονται με ευθύνη του υπεύθυνου
επεξεργασίας.»
Αρθρο 21
Το δεύτερο εδάφιο του
στοιχείου α' της παρ. 2 του άρθρου 6 του ν. 2472/1997 καταργείται.
Αρθρο 22
1. Το στοιχείο β' της
παρ. 2 του άρθρου 7 του ν. 2472/1997 τροποποιείται ως εξής:
«β. Η επεξεργασία είναι
αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή προβλεπομένου
από το νόμο συμφέροντος τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική
αδυναμία να δώσει τη συγκατάθεση του.»
2. Το τελευταίο εδάφιο
της παρ. 3 του άρθρου 7 του ν. 2472/1997 καταργείται.
Αρθρο 23
1. Το πρώτο εδάφιο του
στοιχείου δ' της παρ. 1 του άρθρου 7Α του ν. 2472/1997 τροποποιείται ως εξής:
«Όταν η επεξεργασία
αφορά δεδομένα υγείας και γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν
υπηρεσίες υγείας, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό
απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας, και τα
δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.»
2. Το στοιχείο ε' της παρ. 1 του άρθρου 7Α του
ν. 2472/1997 τροποποιείται ως εξής:
«ε. Όταν η επεξεργασία
γίνεται από δικηγόρους, συμβολαιογράφους, άμισθους υποθηκοφύλακες και
δικαστικούς επιμελητές ή εταιρείες των προσώπων αυτών και αφορά στην παροχή
νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας και τα
μέλη των εταιρειών δεσμεύονται από υποχρέωση απορρήτου που προβλέπει νόμος, και
τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις
περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση
εντολής του πελάτη.»
Αρθρο 24
1. Η παρ. 1 του άρθρου 9 του ν. 2472/1997
αντικαθίσταται ως εξής:
«1. Η διαβίβαση
δεδομένων προσωπικού χαρακτήρα είναι ελεύθερη:
α) προς χώρες - μέλη της
Ευρωπαϊκής Ένωσης, β) προς χώρα μη μέλος της Ευρωπαϊκής Ένωσης, μετά από άδεια
της Αρχής που παρέχεται εάν κρίνει ότι η εν λόγω χώρα εξασφαλίζει ικανοποιητικό
επίπεδο προστασίας. Προς τούτο, λαμβάνει υπόψη ιδίως τη φύση των δεδομένων,
τους σκοπούς και τη διάρκεια της επεξεργασίας, τους σχετικούς γενικούς και
ειδικούς κανόνες δικαίου, τους κώδικες δεοντολογίας, τα μέτρα ασφαλείας για την
προστασία δεδομένων προσωπικού χαρακτήρα, καθώς και το επίπεδο προστασίας των
χωρών προέλευσης, διέλευσης και τελικού προορισμού των δεδομένων. Δεν απαιτείται
άδεια της Αρχής εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφανθεί, με τη διαδικασία
του άρθρου 31 παρ. 2 της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου της 24ης Οκτωβρίου 1995, ότι η χώρα αυτή εξασφαλίζει ικανοποιητικό
επίπεδο προστασίας, κατά την έννοια της παρ. 2 του άρθρου 25 της ανωτέρω
Οδηγίας.»
2. Η περίπτωση ιι του στοιχείου β της παρ. 2 του άρθρου 9 του ν. 2472/1997
αντικαθίσταται ως εξής:
«ιι.
για τη συνομολόγηση και εκτέλεση σύμβασης μεταξύ αυτού και του υπευθύνου
επεξεργασίας ή μεταξύ του υπευθύνου επεξεργασίας και τρίτου προς το συμφέρον
του υποκειμένου των δεδομένων,».
3. Μετά το στοιχείο ε'
της παρ. 2 του άρθρου 9 του ν. 2472/1997, προστίθεται στοιχείο στ' ως εξής:
«στ. Ο υπεύθυνος
επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων
των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους, όταν οι εγγυήσεις
προκύπτουν από συμβατικές ρήτρες, σύμφωνες με τις ρυθμίσεις του παρόντος
νόμου. Δεν απαιτείται άδεια εάν η Ευρωπαϊκή Επιτροπή έκρινε, κατά το άρθρο 26
παρ. 4 της Οδηγίας 95/46/ΕΚ, ότι ορισμένες συμβατικές ρήτρες παρέχουν επαρκείς
εγγυήσεις για την προστασία των προσωπικών δεδομένων.»
4. Η παρ. 3 του άρθρου 9 του ν. 2472/1997
αντικαθίσταται ως εξής:
«3. Στις περιπτώσεις των προηγούμενων παραγράφων,
η Αρχή ενημερώνει την Ευρωπαϊκή Επιτροπή και τις αντίστοιχες Αρχές των άλλων
κρατών - μελών: α) όταν θεωρεί ότι μία χώρα δεν εξασφαλίζει ικανοποιητικό
επίπεδο προστασίας και β) για τις άδειες που χορηγεί κατ' εφαρμογήν της
παραγράφου 2 στοιχείο στ'.»
Αρθρο 25
Το εδάφιο 3 της παρ. 3
του άρθρου 10 του ν. 2472/1997 αντικαθίσταται ως εξής:
«Με την επιφύλαξη άλλων
διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύμφωνα με το
άρθρο 19 παρ. 11' για τη ρύθμιση θεμάτων σχετικά με το βαθμό ασφαλείας των
δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα
ασφαλείας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία
δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας.»
Αρθρο 26
Στην παρ. 2 του άρθρου
12 του ν. 2472/1997 προστίθενται περιπτώσεις που αριθμούνται ως:
«ε. κατά περίπτωση, τη
διόρθωση, τη διαγραφή ή τη δέσμευση (κλείδωμα) των δεδομένων των οποίων η επεξεργασία
δεν είναι σύμφωνη προς τις διατάξεις του παρόντος νόμου, ιδίως λόγω του
ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων, και
στ. την κοινοποίηση σε
τρίτους, στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής
ή δέσμευσης (κλειδώματος) που διενεργείται σύμφωνα με την περίπτωση ε', εφόσον
τούτο δεν είναι αδύνατον ή δεν προϋποθέτει δυσανάλογες προσπάθειες.»
Αρθρο 27
Η περίπτωση η' της παρ.
1 του άρθρου 19 ν. 2472/1997 αντικαθίσταται ως εξής:
«η. Ενεργεί
αυτεπαγγέλτως ή κατόπιν καταγγελίας διοικητικούς ελέγχους στο πλαίσιο των οποίων
ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που
υποστηρίζουν την επεξεργασία των δεδομένων. Έχει προς τούτο δικαίωμα προσβάσεως
στα δεδομένα προσωπικού χαρακτήρα και συλλογής κάθε πληροφορίας για τους
σκοπούς του ελέγχου, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο.
Κατ' εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών που
περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη
διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Τον έλεγχο διενεργεί μέλος ή μέλη της
Αρχής ή υπάλληλος του κλάδου των ελεγκτών της Γραμματείας, ειδικά προς τούτο
εντεταλμένος από τον Πρόεδρο της Αρχής. Κατά τον έλεγχο αρχείων που τηρούνται
για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Πρόεδρος της Αρχής.»
Αρθρο 28
Η περίπτωση ιγ' της παρ.
1 του άρθρου 19 του ν. 2472/1997 αντικαθίσταται ως εξής:
«ιγ. Εξετάζει τα
παράπονα των υποκειμένων των δεδομένων σχετικά με την εφαρμογή του νόμου και
την προστασία των δικαιωμάτων τους, όταν αυτά θίγονται από την επεξεργασία
δεδομένων που τους αφορούν.
Εξετάζει επίσης αιτήσεις
του υπεύθυνου επεξεργασίας με τις οποίες ζητείται ο έλεγχος και η εξακρίβωση
της νομιμότητας της επεξεργασίας. Η Αρχή μπορεί να θέτει στο αρχείο αιτήσεις ή
παράπονα που κρίνονται προδήλως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς
ή ανωνύμως. Η Αρχή ενημερώνει τα υποκείμενα των
δεδομένων και τους αιτούντες για τις ενέργειες της.»
Αρθρο 29
Μετά την περίπτωση ιδ' της παρ. 1 του άρθρου 19 του ν. 2472/1997, προστίθεται
περίπτωση ιέ' ως εξής:
«ιε.
Ασκεί ανεξάρτητο έλεγχο στο εθνικό τμήμα του Συστήματος Πληροφοριών Σένγκεν, σύμφωνα με το άρθρο 114 παράγραφος 1 της Σύμβασης
Εφαρμογής της Συμφωνίας Σένγκεν (ν. 2514/1997 ΦΕΚ 140
Α'), ασκεί τις αρμοδιότητες της εθνικής εποπτικής αρχής που προβλέπεται στο
άρθρο 23 της Σύμβασης ΕΥΡΩΠΟΛ (ν. 2605/1998 ΦΕΚ 88
Α'), και τις αρμοδιότητες της εθνικής εποπτικής αρχής που προβλέπεται στο
άρθρο 17 της Σύμβασης για τη χρήση της πληροφορικής στον τελωνειακό τομέα (ν.
2706/1999 ΦΕΚ 77 Α'), καθώς και τις αρμοδιότητες εποπτείας που προκύπτουν από
οποιαδήποτε άλλη διεθνή συμφωνία.»
Αρθρο 30
Η περίπτωση ε' της παρ.
1 του άρθρου 21 του ν. 2472/1997 αντικαθίσταται ως εξής:
«ε. Καταστροφή αρχείου ή
διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των
σχετικών δεδομένων».
Αρθρο 31
Έναρξη ισχύος
Η ισχύς των διατάξεων
του παρόντος νόμου αρχίζει από τη δημοσίευση του στην Εφημερίδα της Κυβερνήσεως,
εκτός των διατάξεων του Πρώτου Κεφαλαίου, που αρχίζει μετά την πάροδο ενός
μηνός από τη δημοσίευση του στην Εφημερίδα της Κυβερνήσεως.
Παραγγέλλομε τη
δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως και την εκτέλεση του ως
νόμου του Κράτους.