Συνδεθείτε στην Υπηρεσία Νομοσκόπιο | | | Νέοι χρήστες | Εάν είστε νέος χρήστης, θα πρέπει να δημιουργήσετε ένα ΔΩΡΕΑΝ λογαριασμό προκειμένου να φύγει το παράθυρο αυτό και να αποκτήσετε πλήρη πρόσβαση στην υπηρεσία Νομοσκόπιο. | Δημιουργία νέου λογαριασμού | | |
1. Ο τίτλος του άρθρου 12 του νόμου 3471/2006 αντικαθίσταται ως εξής:
{Ασφάλεια Επεξεργασίας}
2. Μετά την παράγραφο 2 του άρθρου 12 του νόμου 3471/2006 προστίθενται παράγραφοι 3 έως 10, ως εξής:
{3. Με την επιφύλαξη του άρθρου 10 του νόμου [Ν] 2472/1997, όπως ισχύει, με τα μέτρα του παρόντος άρθρου κατ' ελάχιστον:
α) εξασφαλίζεται ότι πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να έχει μόνον εξουσιοδοτημένο προσωπικό για νομίμως εγκεκριμένους σκοπούς,
β) προστατεύονται τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση και από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, συμπεριλαμβανομένης της αποθήκευσης, πρόσβασης ή αποκάλυψης και
γ) διασφαλίζεται η εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συναφείς ειδικές διατάξεις, καθώς και Κανονισμοί Ανεξαρτήτων Αρχών, εξακολουθούν να ισχύουν.
4. Οι αρμόδιες αρχές εκδίδουν συστάσεις σχετικά με βέλτιστες πρακτικές όσον αφορά το επίπεδο ασφαλείας το οποίο πρέπει να επιτυγχάνεται με τα μέτρα των προηγούμενων παραγράφων.
5. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο φορέας παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών γνωστοποιεί αμελλητί την παραβίαση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών. Η γνωστοποίηση προς τις αρμόδιες αρχές περιλαμβάνει κατ' ελάχιστον περιγραφή της φύσης της παραβίασης δεδομένων προσωπικού χαρακτήρα και των σημείων επαφής από τα οποία μπορούν να αποκτηθούν περισσότερες πληροφορίες. Περιγράφονται επίσης οι συνέπειες της παραβίασης και τα μέτρα που προτάθηκαν ή λήφθηκαν από τον φορέα για την αντιμετώπιση της παραβίασης.
6. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενείς επιπτώσεις στα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του συνδρομητή ή άλλου ατόμου, ο φορέας ενημερώνει αμελλητί για την παραβίαση αυτή και τον θιγόμενο συνδρομητή ή το θιγόμενο άτομο. Η ενημέρωση του προηγούμενου εδαφίου περιλαμβάνει κατ' ελάχιστον περιγραφή της φύσης της παραβίασης δεδομένων προσωπικού χαρακτήρα και των σημείων επαφής από τα οποία μπορούν να αποκτηθούν περισσότερες πληροφορίες, καθώς και συστάσεις που δύνανται να περιορίσουν ενδεχόμενα δυσμενή αποτελέσματα της παραβίασης δεδομένων προσωπικού χαρακτήρα.
7. Η ενημέρωση του θιγόμενου συνδρομητή ή του θιγόμενου ατόμου για την παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι αναγκαία, εάν ο φορέας έχει αποδείξει κατά ικανοποιητικό τρόπο στις αρμόδιες αρχές, ότι έχει εφαρμόσει τα κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόσθηκαν για τα δεδομένα που αφορούσε η παραβίαση της ασφάλειας. Αυτά τα τεχνολογικά μέτρα προστασίας πρέπει, κατ' ελάχιστον, να περιλαμβάνουν ασφαλή κρυπτογράφηση των δεδομένων, ώστε να μην είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση. Αν ο φορέας δεν έχει προβεί σε ενημέρωση σύμφωνα με την παράγραφο 6 του παρόντος άρθρου, οι αρμόδιες αρχές, αφού εξετάσουν τις πιθανές δυσμενείς επιπτώσεις της παραβίασης, δύνανται να του ζητήσουν να το πράξει.
8. Με κοινή πράξη τους, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών δύνανται να εκδίδουν οδηγίες σχετικά με τις περιστάσεις κατά τις οποίες απαιτείται από τον φορέα η γνωστοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, το μορφότυπο της εν λόγω γνωστοποίησης, καθώς και τον τρόπο με τον οποίο πρέπει να γίνεται η γνωστοποίηση αυτή.
9. Οι φορείς που παρέχουν διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών τηρούν αρχείο παραβιάσεων δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει την περιγραφή των σχετικών περιστατικών, τα αποτελέσματά τους και τις διορθωτικές ενέργειες στις οποίες προέβησαν, με στοιχεία επαρκή ώστε να δύνανται οι αρμόδιες αρχές να διαπιστώνουν τη συμμόρφωση με τις διατάξεις του παρόντος άρθρου. Το εν λόγω αρχείο περιλαμβάνει μόνον τις πληροφορίες που απαιτούνται προς το σκοπό αυτόν.
10. Για τη διαχείριση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις του παρόντος άρθρου, οι αρμόδιες αρχές ενημερώνονται αμοιβαία για τα μέτρα που προτίθενται να λάβουν.}
3. Η παράγραφος 3 του άρθρου 12 του νόμου 3471/2006 αναριθμείται ως παράγραφος 11.