Π.Δ. 81/2021

ΠΡΟΕΔΡΙΚΟ ΔΙΑΤΑΓΜΑ ΥΠ’ ΑΡΙΘΜ. 81 ΦΕΚ Α 200/29.10.2021

Μεταφορά στην ελληνική νομοθεσία του κεφαλαίου 6 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου της 23ης Ιουνίου 2008 σχετικά με την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος.

Η ΠΡΟΕΔΡΟΣ

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη: 1. Τις διατάξεις: α. των άρθρων 3 και 4 του ν. 1338/1983 «Εφαρμογή του Κοινοτικού Δικαίου» (Α΄ 34), όπως το μεν πρώτο αντικαταστάθηκε με το άρθρο 65 του ν. 1892/1990 (Α΄ 101), το δε δεύτερο αντικαταστάθηκε με την παρ. 4 του άρθρου 6 του ν. 1440/1984 (Α΄ 70) και τροποποιήθηκε εν τέλει με το άρθρο 20 του ν. 4753/2020 (Α΄ 227),

β. του άρθρου δεύτερου του ν. 2077/1992 «Κύρωση της Συνθήκης για την Ευρωπαϊκή Ένωση και των σχετικών πρωτοκόλλων και δηλώσεων που περιλαμβάνονται στην Τελική πράξη» (Α΄ 136),

γ. του άρθρου δεύτερου του ν. 2691/1999 «Κύρωση της Συνθήκης του Άμστερνταμ που τροποποιεί τη Συνθήκη για την Ευρωπαϊκή Ένωση, τις Συνθήκες περί ιδρύσεως των Ευρωπαϊκών Κοινοτήτων και ορισμένες συναφείς πράξεις, καθώς και των σχετικών πρωτοκόλλων και των δηλώσεων που περιλαμβάνονται στην Τελική πράξη» (Α΄ 47),

δ. του άρθρου δεύτερου του ν. 3671/2008 «Κύρωση της Συνθήκης της Λισσαβόνας που τροποποιεί τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη περί ιδρύσεως της Ευρωπαϊκής Κοινότητας και ορισμένες συναφείς πράξεις» (Α΄ 129),

ε. του άρθρου 90 του Κώδικα νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (άρθρο πρώτο του π.δ. 63/2005, Α΄ 98), όπως διατηρήθηκε σε ισχύ με την παρ. 22 του άρθρου 119 του ν. 4622/2019 (Α΄ 133).

στ. του π.δ. 83/2019 «Διορισμός Αντιπροέδρου της Κυβέρνησης, Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών» (Α΄ 121),

ζ. του π.δ. 68/2021 «Διορισμός Υπουργών, Αναπληρώτριας Υπουργού και Υφυπουργών» (Α΄ 155),

η. της υπ’ αρ. 80/2019 κοινής απόφασης του Πρωθυπουργού και του Υπουργού Προστασίας του Πολίτη «Ανάθεση αρμοδιοτήτων στον Υφυπουργό Προστασίας του Πολίτη, Ελευθέριο Οικονόμου» (Β’ 3058).

2. Την υπό στοιχεία 8000/1/2021/85-δ’/03-09-2021 εισήγηση του Προϊσταμένου της Γενικής Διεύθυνσης Οικονομικών Υπηρεσιών και Επιτελικού Σχεδιασμού του Υπουργείου Προστασίας του Πολίτη [εδάφιο ε’ της παρ. 5 του άρθρου 24 του ν. 4270/2014 (Α΄ 143)], με την οποία βεβαιώνεται ότι οι προτεινόμενες ρυθμίσεις δεν προκαλούν δαπάνη στον κρατικό προϋπολογισμό.

3. Την υπ’ αρ. 6/2021 Γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

4. Την υπ’ αρ. 179/2021 γνωμοδότηση του Συμβουλίου της Επικρατείας, ύστερα από πρόταση των Υπουργών Ανάπτυξης και Επενδύσεων, Προστασίας του Πολίτη, Δικαιοσύνης, Υποδομών και Μεταφορών, αποφασίζουμε:

ΚΕΦΑΛΑΙΟ Α΄
ΣΚΟΠΟΣ ΟΡΙΣΜΟΙ ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1
Σκοπός
Σκοπός του παρόντος διατάγματος είναι η μεταφορά στην ελληνική νομοθεσία του Κεφαλαίου 6 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου της 23ης Ιουνίου 2008 (ΕΕ L210/06-08-2008), σχετικά με την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος, μέσω της ανταλλαγής πληροφοριών μεταξύ των αρμόδιων αρχών για την πρόληψη και τη διερεύνηση αξιόποινων πράξεων.

Άρθρο 2
Πεδίο εφαρμογής (άρθρο 24 της απόφασης 2008/615/ΔΕΥ)
Οι διατάξεις του παρόντος προεδρικού διατάγματος εφαρμόζονται στα προσωπικά δεδομένα που παρέχονται ή έχουν παρασχεθεί σύμφωνα με την απόφαση 2008/615/ ΔΕΥ, στο πλαίσιο της διασυνοριακής αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις με τα κράτη μέλη της Ευρωπαϊκής Ένωσης εκτός αν προβλέπεται διαφορετικά στα άρθρα 1 έως 23 αυτής.

Άρθρο 3
Ορισμοί (άρθρο 24 της απόφασης 2008/615/ΔΕΥ)
Για τους σκοπούς του παρόντος προεδρικού διατάγματος νοούνται ως:

α) «επεξεργασία δεδομένων προσωπικού χαρακτήρα»: οποιαδήποτε εργασία ή σειρά εργασιών που εκτελείται επί δεδομένων προσωπικού χαρακτήρα, είτε με αυτόματα μέσα είτε όχι, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η διαλογή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση μέσω παροχής, διάδοσης ή άλλου τρόπου διάθεσης, η ευθυγράμμιση, ο συνδυασμός, το κλείδωμα, η διαγραφή ή η εξάλειψη δεδομένων. Η επεξεργασία κατά την έννοια του παρόντος περιλαμβάνει επίσης την κοινοποίηση του κατά πόσον ήταν επιτυχής η αναζήτηση.

β) «αυτοματοποιημένη διαδικασία αναζήτησης»: η άμεση πρόσβαση στα αυτοματοποιημένα αρχεία των εθνικών σημείων επαφής των άλλων κρατών μελών, με πλήρως αυτοματοποιημένη ανταπόκριση στη διαδικασία αναζήτησης.

γ) «χαρακτηρισμός»: η επισήμανση των αποθηκευμένων δεδομένων προσωπικού χαρακτήρα χωρίς σκοπό να περιορισθεί η επεξεργασία τους στο μέλλον.

δ) «κλείδωμα»: η επισήμανση των αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με σκοπό να περιορισθεί η επεξεργασία τους στο μέλλον.

Άρθρο 4
Εθνικά σημεία επαφής

1. Αρμόδιο εθνικό σημείο επαφής για τους σκοπούς της αυτοματοποιημένης αναζήτησης προφίλ DNA, της αυτοματοποιημένης σύγκρισης προφίλ DNA και αυτοματοποιημένης αναζήτησης δεδομένων σχετικών με τα δακτυλικά αποτυπώματα (άρθρα 3, 4 και 9 αντίστοιχα της απόφασης 2008/615/ΔΕΥ του Συμβουλίου) είναι η Διεύθυνση Εγκληματολογικών Ερευνών (Δ.Ε.Ε.) του Αρχηγείου της Ελληνικής Αστυνομίας.

2. Αρμόδιο εθνικό σημείο επαφής για τους σκοπούς της παροχής δεδομένων προσωπικού ή μη προσωπικού χαρακτήρα για σημαντικά γεγονότα με διασυνοριακή διάσταση (άρθρα 13 και 14 της απόφασης 2008/615/ ΔΕΥ του Συμβουλίου) και της παροχής πληροφοριών για την πρόληψη τρομοκρατικών πράξεων (άρθρο 16 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου), είναι η Διεύθυνση Διεθνούς Αστυνομικής Συνεργασίας (Δ.Δ.Α.Σ.) του Αρχηγείου της Ελληνικής Αστυνομίας.

3. Αρμόδιο εθνικό σημείο επαφής για ανακτήσεις των άλλων κρατών μελών της Ευρωπαϊκής Ένωσης από το Εθνικό Μητρώο αδειών κυκλοφορίας μηχανοκίνητων οχημάτων (άρθρο 12 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου) είναι η Υπηρεσία Υποστήριξης Πληροφορικής και Ηλεκτρονικών Συστημάτων του Υπουργείου Υποδομών και Μεταφορών.

ΚΕΦΑΛΑΙΟ Β΄
ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Άρθρο 5
Υπεύθυνοι επεξεργασίας
Για την επίτευξη του σκοπού του παρόντος διατάγματος, οι δημόσιες αρχές και φορείς που είναι αρμόδιες ή με οποιοδήποτε τρόπο συμμετέχουν στην πρόληψη, διερεύνηση, ανίχνευση ή δίωξη των εγκλημάτων ή στην εκτέλεση των ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, ιδίως η Ελληνική Αστυνομία, οι εισαγγελικές και δικαστικές αρχές και το Υπουργείο Υποδομών και Μεταφορών, είναι υπεύθυνοι επεξεργασίας κατά τα οριζόμενα στο άρθρο 43 του ν. 4624/2019 (Α΄ 137).

Άρθρο 6
Σκοπός επεξεργασίας δεδομένων προσωπικού χαρακτήρα (άρθρο 26 της απόφασης 2008/615/ΔΕΥ)

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις ελληνικές αρχές επιτρέπεται μόνον για τους σκοπούς της πρόληψης και διερεύνησης αξιόποινων πράξεων σύμφωνα με το άρθρο 1 της υπό στοιχεία 2008/615/ ΔΕΥ απόφασης του Συμβουλίου. Επεξεργασία για άλλους σκοπούς χωρεί μόνο εφ’ όσον προβλέπεται από το εθνικό δίκαιο και ιδίως τον ν. 4624/2019 (Α΄ 137) και μετά από άδεια του κράτους μέλους που διαχειρίζεται το αρχείο. Αντιθέτως, αν το παρέχον κράτος μέλος είναι η Ελλάδα, η άδεια παρέχεται, μέσω του εθνικού σημείου επαφής, από την αρχή που είναι «υπεύθυνος επεξεργασίας» σύμφωνα με την έννοια της περ. ζ’ του άρθρου 2 του ν. 2472/1997 (Α΄ 50) και εφόσον η εν λόγω επεξεργασία για τους συγκεκριμένους άλλους σκοπούς επιτρέπεται σύμφωνα με το εθνικό δίκαιο και ιδίως το ν. 4624/2019.

2. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την αυτοματοποιημένη αναζήτηση ή σύγκριση προφίλ DNA ή κατά την αυτοματοποιημένη αναζήτηση δεδομένων σχετικών με τα δακτυλικά αποτυπώματα στο πλαίσιο της διασυνοριακής συνεργασίας των υπηρεσιών της Ελληνικής Αστυνομίας και άλλων αρμόδιων αρχών, από το εθνικό σημείο επαφής της παρ. 1 του άρθρου 4, με τις αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης επιτρέπεται μόνο προκειμένου:

α) να διαπιστωθεί εάν υφίσταται αντιστοιχία μεταξύ των συγκρινόμενων προφίλ DNA ή δεδομένων σχετικά με δακτυλικά αποτυπώματα,

β) να προετοιμασθεί και να υποβληθεί αστυνομική ή δικαστική αίτηση νομικής συνδρομής σύμφωνα με τις ειδικότερες εθνικές νομικές διατάξεις, σε περίπτωση αντιστοιχίας μεταξύ των δεδομένων αυτών,

γ) να πραγματοποιηθεί καταγραφή σύμφωνα με το άρθρο 9.

3. Η επεξεργασία δεδομένων κατά την αυτοματοποιημένη αναζήτηση ή σύγκριση προφίλ DNA και η επεξεργασία κατά την αυτοματοποιημένη αναζήτηση δεδομένων σχετικών με τα δακτυλικά αποτυπώματα στο πλαίσιο της διασυνοριακής συνεργασίας των υπηρεσιών της Ελληνικής Αστυνομίας και άλλων αρμόδιων αρχών, με τις αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης, γίνεται μόνο, όταν αυτό απαιτείται, για τους σκοπούς της σύγκρισης των αυτόματων απαντήσεων στις αναζητήσεις ή των καταγραφών σύμφωνα με το άρθρο 9. Τα παρεχόμενα δεδομένα διαγράφονται αμέσως μετά τη σύγκριση των δεδομένων ή τις αυτόματες απαντήσεις στις αναζητήσεις, εκτός εάν απαιτείται περαιτέρω επεξεργασία για τους σκοπούς που αναφέρονται στις περ. β’ και γ’ της παρ. 2.

4. Τα δεδομένα που παρέχονται κατά την αυτοματοποιημένη αναζήτηση δεδομένων σχετικά με τις άδειες κυκλοφορίας οχημάτων, σύμφωνα με το άρθρο 12 της απόφασης 2008/615/ΔΕΥ, μέσω του εθνικού σημείου επαφής της παρ. 3 του άρθρου 4 του παρόντος, στο πλαίσιο της διασυνοριακής συνεργασίας των υπηρεσιών της Ελληνικής Αστυνομίας και άλλων αρμόδιων αρχών με τις αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης, χρησιμοποιούνται μόνο όταν αυτό απαιτείται για τους σκοπούς των αυτόματων απαντήσεων σε διαδικασίες αναζήτησης ή των καταγραφών σύμφωνα με το δεύτερο εδάφιο της παρ. 1 του άρθρου 9. Τα παρεχόμενα δεδομένα διαγράφονται αμέσως μετά τις αυτόματες απαντήσεις στις αναζητήσεις, εκτός αν απαιτείται περαιτέρω επεξεργασία για τις καταγραφές που προβλέπονται στο άρθρο 9 του παρόντος. Η εθνική αρχή που πραγματοποίησε την αναζήτηση μπορεί να χρησιμοποιεί τα δεδομένα που περιέχονται στην απάντηση μόνο για τη διαδικασία για την οποία έλαβε χώρα η αναζήτηση.

Άρθρο 7
Αρμόδιες αρχές (άρθρο 27 της απόφασης 2008/615/ΔΕΥ)

1. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία μόνο από τις αρχές (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Ανεξάρτητη Αρχή Δημόσιων Εσόδων κ.α.), τους φορείς (Ελληνική Αστυνομία, Λιμενικό Σώμα Λιμενική Ακτοφυλακή, Υπουργείο Υποδομών και Μεταφορών, Τελωνεία κ.α.), και τις δικαστικές και εισαγγελικές αρχές που είναι αρμόδιες για την επίτευξη των στόχων του άρθρου 6.

2. Η αρμόδια αρχή που διαχειρίζεται το αρχείο παρέχει τα δεδομένα της προηγούμενης παρ. σε άλλες οντότητες μόνο με προηγούμενη άδεια του παρέχοντος κράτους μέλους. Η χορήγηση της άδειας γίνεται με μέριμνα του αρμόδιου εθνικού σημείου επαφής. Η παροχή σε άλλη οντότητα θεωρείται επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις διατάξεις του ν. 4624/2019, ο οποίος και εφαρμόζεται στην περίπτωση αυτή.

Άρθρο 8
Ακρίβεια, επίκαιρος χαρακτήρας και διάρκεια αποθήκευσης δεδομένων (άρθρο 28 της απόφασης 2008/615/ΔΕΥ)

1. Οι αρμόδιες εθνικές αρχές οι οποίες σύμφωνα με το ν. 4624/2019 είναι οι υπεύθυνοι επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που παρέχονται σε άλλα κράτη μέλη δυνάμει της απόφασης 2008/615/ΔΕΥ, εξασφαλίζουν την ακρίβεια και τον επίκαιρο χαρακτήρα των δεδομένων αυτών. Όταν προκύπτει αυτοδικαίως (ex officio) ή από αναφορά του προσώπου στο οποίο αναφέρονται τα δεδομένα, ή κατόπιν δικαστικής απόφασης ότι έχουν παρασχεθεί εσφαλμένα δεδομένα ή δεδομένα που δεν θα έπρεπε να έχουν παρασχεθεί, αυτό κοινοποιείται αμελλητί, μέσω του εθνικού σημείου επαφής, στο λαμβάνον κράτος μέλος. Όταν λαμβάνον κράτος μέλος είναι η Ελλάδα, η αρμόδια αρχή που χειρίζεται το φάκελο υποχρεούται να διορθώσει ή να διαγράψει κατά περίπτωση τα εν λόγω δεδομένα, καθώς και να ενημερώσει σχετικά τις αρχές, τους φορείς, τα δικαστήρια και τις οντότητες του άρθρου 7, προκειμένου να γίνει και από αυτούς η υποχρεωτική διόρθωση ή διαγραφή. Τα παρεχόμενα δεδομένα προσωπικού χαρακτήρα διορθώνονται, εφόσον διαπιστώνεται ότι είναι εσφαλμένα. Εάν ο λαμβάνων φορέας εύλογα θεωρεί ότι τα παρασχεθέντα δεδομένα είναι εσφαλμένα ή ότι θα έπρεπε να διαγραφούν, ενημερώνει πάραυτα το φορέα ο οποίος τα παρέσχε.

2. Τα δεδομένα των οποίων η ακρίβεια αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται και των οποίων η ακρίβεια ή ανακρίβεια δεν δύναται να αποδειχθεί, επισημαίνονται με κατάλληλη ειδική ένδειξη, κατ’ αίτηση του προσώπου στο οποίο αναφέρονται. Η ειδική ένδειξη μπορεί να αφαιρείται, αν προκύψουν νεότερα στοιχεία ή στοιχεία που δεν είχαν ληφθεί αρχικώς υπόψη, ικανά να θεμελιώσουν την ακρίβεια των δεδομένων, και μόνον κατόπιν άδειας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή βάσει απόφασης του αρμόδιου δικαστηρίου ή της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, υπό την επιφύλαξη των διατάξεων του Κώδικα Ποινικής Δικονομίας (ΚΠΔ).

3. Τα δεδομένα προσωπικού χαρακτήρα, τα οποία έχουν παρασχεθεί και ληφθεί νομίμως σύμφωνα με το παρόν στο πλαίσιο της διασυνοριακής συνεργασίας μεταξύ των υπηρεσιών της Ελληνικής Αστυνομίας και άλλων αρμόδιων αρχών και των αρχών των άλλων κρατών μελών της Ευρωπαϊκής Ένωσης διαγράφονται:

α) αν δεν απαιτούνται πλέον για το σκοπό για τον οποίο παρασχέθηκαν. Όταν παρέχονται δεδομένα χωρίς να έχουν ζητηθεί, ο λαμβάνων φορέας ελέγχει κατά πόσον είναι αναγκαία για τους σκοπούς για τους οποίους έχουν παρασχεθεί.

β) μετά την παρέλευση της μέγιστης περιόδου διατήρησης που ορίζεται από τις διατάξεις του εθνικού δικαίου, ιδίως του άρθρου 201 του Κώδικα Ποινικής Δικονομίας, του άρθρου 3 του π.δ. 245/1997 (Α΄ 180) και του άρθρου 4 του π.δ. 430/1979 (Α΄ 133), εφόσον ο παρέχων φορέας ενημερώσει κατά την παροχή των δεδομένων τον λαμβάνοντα φορέα για την εν λόγω μέγιστη περίοδο.

4. Τα παρασχεθέντα δεδομένα προσωπικού χαρακτήρα τα οποία δε θα έπρεπε να είχαν παρασχεθεί ή ληφθεί, διαγράφονται.

5. Το γεγονός της διαγραφής πρέπει να τεκμηριώνεται. Η τεκμηρίωση αυτή μπορεί να χρησιμοποιηθεί μόνο για τους σκοπούς ελέγχου της προστασίας των δεδομένων. Η τεκμηρίωση πρέπει να διαγράφεται από τον αρμόδιο υπεύθυνο επεξεργασίας έξι μήνες μετά την ενημέρωση του υποκειμένου των δεδομένων. Στην περίπτωση που ο έλεγχος προστασίας των δεδομένων σύμφωνα με την παρ. 5 του άρθρου 9 δεν έχει ακόμη ολοκληρωθεί, η τεκμηρίωση πρέπει να διατηρείται ωσότου αυτός ολοκληρωθεί.

6. Η διαγραφή και καταστροφή του αρχείου παραλείπεται, όταν:

α) υπάρχουν λόγοι που υποδεικνύουν ότι διαφορετικά τα προστατευόμενα συμφέροντα του υποκειμένου των δεδομένων θα ετίθεντο υπό διακινδύνευση, ή

β) τα δεδομένα προσωπικού χαρακτήρα πρέπει να φυλάσσονται για τους σκοπούς της διαδικασίας ενώπιον των δικαστηρίων.

Στις περιπτώσεις αυτές τα δεδομένα πρέπει να κλειδώνονται και τα έγγραφα να επισημαίνονται με αντίστοιχη ένδειξη. Τα κλειδωμένα δεδομένα που παρέχονται στην αυτοματοποιημένη αναζήτηση προφίλ DNA, στην αυτοματοποιημένη σύγκριση προφίλ DNA, στην αυτοματοποιημένη αναζήτηση δεδομένων σχετικών με τα δακτυλικά αποτυπώματα και στην αυτοματοποιημένη αναζήτηση δεδομένων σχετικά με τις άδειες κυκλοφορίας στο πλαίσιο της διασυνοριακής συνεργασίας των υπηρεσιών της Ελληνικής Αστυνομίας και άλλων αρμόδιων αρχών με τις αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης χρησιμοποιούνται μόνο για το σκοπό εξαιτίας του οποίου εμποδίστηκε η διαγραφή τους.

7. Με την επιφύλαξη της παρ. 6, οι διατάξεις του εθνικού δικαίου που ορίζουν το χρόνο διατήρησης των δεδομένων προσωπικού χαρακτήρα δεν θίγονται.

8. Η εφαρμογή: α) του άρθρου 40 του Κανονισμού (ΕΕ) 2018/1861 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 28ης Νοεμβρίου 2018 σχετικά με την εγκατάσταση, τη λειτουργία και τη χρήση του Συστήματος Πληροφοριών Σένγκεν (SIS) στον τομέα των συνοριακών ελέγχων, την τροποποίηση της σύμβασης εφαρμογής της συμφωνίας Σένγκεν και την τροποποίηση και την κατάργηση του Κανονισμού (ΕΚ) αριθ. 1987/2006 (L312) και

β) του άρθρου 55 του Κανονισμού (ΕΕ) 2018/1862 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 28ης Νοεμβρίου 2018 σχετικά με την εγκατάσταση, τη λειτουργία και τη χρήση του Συστήματος Πληροφοριών Σένγκεν (SIS) στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις, την τροποποίηση και κατάργηση της απόφασης 2007/533/ΔΕΥ του Συμβουλίου και την κατάργηση του Κανονισμού (ΕΚ) αριθ. 1986/2006 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και της απόφασης 2010/261/ΕΕ της Επιτροπής (L312) παραμένει ανεπηρέαστη.

Άρθρο 9
Καταγραφή: ειδικοί κανόνες που διέπουν την αυτοματοποιημένη και τη μη αυτοματοποιημένη παροχή (άρθρο 30 της απόφασης 2008/615/ΔΕΥ)

1. Ο φορέας που διαχειρίζεται το αρχείο και ο φορέας αναζήτησης έχουν την υποχρέωση να καταγράφουν κάθε μη αυτοματοποιημένη παροχή και κάθε μη αυτοματοποιημένη λήψη δεδομένων προσωπικού χαρακτήρα προκειμένου να εξακριβώνεται το παραδεκτό της παροχής. Η καταγραφή περιλαμβάνει τις παρακάτω πληροφορίες:

α) τον λόγο της αναζήτησης ή παροχής, β) τα δεδομένα που παρέχονται, γ) την ημερομηνία και την ακριβή χρονική στιγμή της παροχής, δ) το όνομα ή τον κωδικό αναφοράς του φορέα αναζήτησης καθώς και τον φορέα που χειρίζεται τον φάκελο.

2. Όταν διενεργείται αυτοματοποιημένη αναζήτηση προφίλ DNA, αυτοματοποιημένη σύγκριση προφίλ DNA, αυτοματοποιημένη αναζήτηση δεδομένων σχετικών με τα δακτυλικά αποτυπώματα και αυτοματοποιημένη αναζήτηση δεδομένων σχετικά με τις άδειες κυκλοφορίας οχημάτων (άρθρα 3, 4, 9 και 12, αντίστοιχα, της απόφασης 2008/615/ΔΕΥ του Συμβουλίου), εφαρμόζονται οι ακόλουθοι κανόνες:

α) μόνο ειδικά εξουσιοδοτημένα όργανα των εθνικών σημείων επαφής μπορούν να διενεργούν αυτοματοποιημένες αναζητήσεις ή συγκρίσεις. Ο κατάλογος των εν λόγω εξουσιοδοτημένων οργάνων διατίθεται, κατόπιν αίτησης, στις αρχές ελέγχου που αναφέρονται στην παρ. 5 και στα λοιπά κράτη μέλη,

β) κάθε παροχή και λήψη δεδομένων προσωπικού χαρακτήρα από το φορέα που διαχειρίζεται το αρχείο και το φορέα αναζήτησης καταγράφεται, συμπεριλαμβανομένης της κοινοποίησης του κατά πόσον ήταν επιτυχής η αναζήτηση. Η καταγραφή περιλαμβάνει τις ακόλουθες πληροφορίες:

βα) τα παρεχόμενα δεδομένα, ββ) την ημερομηνία και την ακριβή χρονική στιγμή της παροχής, βγ) το όνομα ή τον κωδικό αναφοράς του φορέα αναζήτησης και του φορέα που διαχειρίζεται το αρχείο. Ο φορέας αναζήτησης καταγράφει επίσης το λόγο της αναζήτησης ή παροχής καθώς και την αναγνωριστική μονάδα του οργάνου που διεξήγαγε την αναζήτηση και του οργάνου που παρήγγειλε την αναζήτηση ή την παροχή.

3. Ο φορέας που προβαίνει στην καταγραφή γνωστοποιεί αμέσως τα καταγραφέντα δεδομένα κατόπιν αίτησης στις αρμόδιες αρχές προστασίας δεδομένων του σχετικού κράτους μέλους, το αργότερο εντός τεσσάρων εβδομάδων από τη λήψη της αίτησης. Τα καταγραφέντα δεδομένα μπορούν να χρησιμοποιούνται μόνο για τους εξής σκοπούς:

α) παρακολούθηση της προστασίας των δεδομένων, β) ασφάλεια των δεδομένων.

4. Τα καταγραφέντα δεδομένα προστατεύονται με κατάλληλα μέτρα έναντι της ανάρμοστης χρήσης και άλλων μορφών αντικανονικής χρήσης και διατηρούνται για δύο (2) έτη. Μετά την περίοδο διατήρησης, τα καταγραφέντα δεδομένα διαγράφονται αμέσως.

6. Η εφαρμογή: α) του άρθρου 18 του Κανονισμού (ΕΕ) 2018/1861 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 28ης Νοεμβρίου 2018 σχετικά με την εγκατάσταση, τη λειτουργία και τη χρήση του Συστήματος Πληροφοριών Σένγκεν (SIS) στον τομέα των συνοριακών ελέγχων, την τροποποίηση της σύμβασης εφαρμογής της συμφωνίας Σένγκεν και την τροποποίηση και την κατάργηση του Κανονισμού (ΕΚ) αριθ. 1987/2006 (L312) και

β) την παρ. 4 του άρθρου 12 του Κανονισμού (ΕΕ) 2018/1862 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 28ης Νοεμβρίου 2018 σχετικά με την εγκατάσταση, τη λειτουργία και τη χρήση του Συστήματος Πληροφοριών Σένγκεν (SIS) στον τομέα της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις, την τροποποίηση και κατάργηση της απόφασης 2007/533/ΔΕΥ του Συμβουλίου και την κατάργηση του Κανονισμού (ΕΚ) αρ. 1986/2006 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και της απόφασης 2010/261/ΕΕ της Επιτροπής (L312) παραμένει ανεπηρέαστη.

Άρθρο 10
Καταγραφή μοναδικού αναγνωριστικού αριθμού

1. Για τη σύγκριση των παρασχεθέντων προφίλ DNA με τα προφίλ που υπάρχουν στο εθνικό αρχείο DNA και για τη δακτυλοσκοπική ταυτοποίηση από το αυτόματο σύστημα αναγνώρισης δακτυλικών και παλαμικών αποτυπωμάτων ή άλλο τυχόν υφιστάμενο σύστημα ορίζεται επιπλέον ότι:

α) πρέπει να αποδοθεί αναγνωριστικός αριθμός σε κάθε εξουσιοδοτημένο χρήστη που επεξεργάζεται το αρχείο, ο οποίος θα τον ταυτοποιεί μοναδικά,

β) κάθε εξουσιοδοτημένος χρήστης πρέπει να χρησιμοποιεί τον μοναδικό αναγνωριστικό αριθμό του σε κάθε ανάκτηση ή διαβίβαση δεδομένων.

2. Ο φορέας αναζήτησης καταγράφει επίσης τον λόγο της αναζήτησης ή της παροχής καθώς και τον μοναδικό αναγνωριστικό κωδικό του οργάνου που διεξήγαγε την αναζήτηση και του οργάνου που παρήγγειλε την αναζήτηση ή την παροχή.

Άρθρο 11
Τεχνικά και οργανωτικά μέτρα για την εξασφάλιση της προστασίας και ασφάλειας των δεδομένων (άρθρο 29 της απόφασης 2008/615/ΔΕΥ)

1. Οι παρέχοντες και λαμβάνοντες φορείς λαμβάνουν όλα τα απαραίτητα οργανωτικά και τεχνικά μέτρα ασφάλειας που αντιστοιχούν στις τελευταίες τεχνολογικές εξελίξεις για την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα κατά της τυχαίας ή μη εξουσιοδοτημένης καταστροφής, τυχαίας απώλειας, μη εξουσιοδοτημένης πρόσβασης, μη εξουσιοδοτημένης ή τυχαίας αλλοίωσης και μη εξουσιοδοτημένης κοινολόγησης, προκειμένου να διασφαλισθεί η αποτελεσματική προστασία και ασφάλεια των δεδομένων, ιδίως όσον αφορά την εμπιστευτικότητα και την ακεραιότητα τους.

2. Τα χαρακτηριστικά των τεχνικών προδιαγραφών της αυτοματοποιημένης διαδικασίας αναζήτησης πρέπει να ανταποκρίνονται στις απαιτήσεις της απόφασης 2008/616/ΔΕΥ του Συμβουλίου καινά ικανοποιούν τις ακόλουθες γενικές αρχές:

α) να λαμβάνονται τα πλέον σύγχρονα τεχνικά μέτρα για την αποτελεσματική προστασία και ασφάλεια των δεδομένων, ιδίως όσον αφορά στην εμπιστευτικότητα και την ακεραιότητα τους,

β) να χρησιμοποιούνται διαδικασίες κρυπτογράφησης και αδειοδότησης που αναγνωρίζονται από τις αρμόδιες αρχές κατά την προσφυγή σε δίκτυαγενικής πρόσβασης,

γ) να μπορεί να ελεγχθεί το παραδεκτό των αναζητήσεων σύμφωνα με το άρθρο 9 του παρόντος.

ΚΕΦΑΛΑΙΟ Γ΄
ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ

Άρθρο 12
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή, στον υπεύθυνο επεξεργασίας άλλου κράτους μέλους και στο υποκείμενο των δεδομένων

1. Στην περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία γνωστοποιείται στην Αρχή σύμφωνα το άρθρο 63 του ν. 4624/2019, ενημερώνονται τα πληροφοριακά συστήματα της Ελληνικής Αστυνομίας καθώς και οι υπεύθυνοι επεξεργασίας των υπηρεσιών άλλων κρατών μελών όταν επηρεάζονται τα δεδομένα που εισάγονται από τις υπηρεσίες αυτές.

2. Η παραβίαση δεδομένων προσωπικού χαρακτήρα γνωστοποιείται στο υποκείμενο των δεδομένων σύμφωνα με το άρθρο 64 του ν. 4624/2019.

Άρθρο 13
Δικαιώματα του υποκειμένου των δεδομένων
Η Ελληνική Αστυνομία ενημερώνει το υποκείμενο των δεδομένων για τα δικαιώματα του σύμφωνα με τα άρθρα 53 (γενικές πληροφορίες σχετικά με την επεξεργασία δεδομένων), 55 (δικαίωμα πρόσβασης) και 56 (δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμοί ως προς την επεξεργασία) του ν. 4624/2019.

Άρθρο 14
Δικαίωμα υποβολής καταγγελίας στην Αρχή/ Κυρώσεις/Δικαστική προστασία

1. Το υποκείμενο των δεδομένων, σε περίπτωση παραβίασης των δικαιωμάτων του όσον αφορά στα δεδομένα προσωπικού χαρακτήρα, έχει το δικαίωμα να υποβάλει καταγγελία ενώπιον της Αρχής, σύμφωνα με το άρθρο 58 του ν. 4624/2019.

2. Για την επιβολή διοικητικών κυρώσεων σε βάρος του υπεύθυνου επεξεργασίας εφαρμόζονται αναλόγως οι διατάξεις του άρθρου 82 του ν. 4624/2019.

3. Για τη θεμελίωση της αστικής ευθύνης του υπεύθυνου επεξεργασίας εφαρμόζεται το άρθρο 80 του ν. 4624/2019.

Άρθρο 15
Ευθύνη αποζημίωσης

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, λαμβάνει, κατόπιν αιτήσεως του σύμφωνα με το άρθρο 55 του ν. 4624/2019 και μετά από απόδειξη της ταυτότητάς του, πληροφορίες σχετικά με τα δεδομένα τα οποία υποβλήθηκαν σε επεξεργασία όσον αφορά στα προσωπικά του στοιχεία, την προέλευση τους, τον αποδέκτη ή τις ομάδες αποδεκτών, τον επιδιωκόμενο σκοπό της επεξεργασίας και τη νομική βάση της επεξεργασίας. Οι πληροφορίες αυτές παρέχονται σύμφωνα με τις διατάξεις των άρθρων 53 και 54 του ν. 4624/2019, με γενικά κατανοητή διατύπωση και χωρίς αδικαιολόγητες καθυστερήσεις. Ο τρόπος άσκησης του εν λόγω δικαιώματος από το υποκείμενο των δεδομένων περιγράφεται στο άρθρο 57 του ν. 4624/2019. Επιπλέον, το πρόσωπο αυτό δικαιούται να ζητεί τη διόρθωση των ανακριβών δεδομένων και τη διαγραφή των δεδομένων που υποβλήθηκαν παράνομα σε επεξεργασία, χωρίς χρηματική επιβάρυνση, σύμφωνα με το άρθρο 56 του ν. 4624/2019.

2. Κάθε πρόσωπο, σε περίπτωση παράβασης των δικαιωμάτων του όσον αφορά στην προστασία των δεδομένων, έχει τη δυνατότητα να προσφύγει ενώπιον της Αρχής σύμφωνα με τις διατάξεις του άρθρου 58 του ν. 4624/2019. Στην περίπτωση αυτή, η Αρχή επιβάλλει διοικητικές κυρώσεις σύμφωνα με τις διατάξεις του άρθρου 82 του ν. 4624/2019.

3. Η έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα αστική ευθύνη φυσικών προσώπων και νομικών προσώπων ιδιωτικού δικαίου, λόγω παράβασης των διατάξεων του παρόντος, διέπεται από τις διατάξεις του Αστικού Κώδικα. Η έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα αστική ευθύνη του Δημοσίου και των νομικών προσώπων δημοσίου δικαίου, λόγω παράβασης των διατάξεων του παρόντος, διέπεται από τα άρθρα 105 και 106 του Εισαγωγικού νόμου του Αστικού Κώδικα, σύμφωνα με όσα προβλέπονται στο άρθρο 80 του ν. 4624/2019.

4. Σε περίπτωση παροχής δεδομένων προσωπικού χαρακτήρα σύμφωνα με την απόφαση 2008/615/ΔΕΥ του Συμβουλίου από φορέα άλλου κράτους μέλους, η λαμβάνουσα εθνική αρχή δεν μπορεί να επικαλεστεί την ανακρίβεια των παρασχεθέντων δεδομένων προκειμένου να αποφύγει την ευθύνη της έναντι του ζημιωθέντος σύμφωνα με το δεύτερο εδάφιο της προηγούμενης παραγράφου. Αν το Δημόσιο ή νομικό πρόσωπο δημοσίου δικαίου καταδικαστεί στην καταβολή αποζημίωσης λόγω χρήσης ανακριβών δεδομένων τα οποία διαβιβάσθηκαν στη λαμβάνουσα εθνική αρχή, το ποσό της αποζημίωσης αναζητάται πλήρως από το φορέα παροχής των δεδομένων. Αντιστοίχως, αν λαμβάνων φορέας άλλου κράτους μέλους καταδικαστεί σε αποζημίωση λόγω της ανακρίβειας των δεδομένων που διαβιβάστηκαν από αρμόδια εθνική αρχή, το Δημόσιο ή το οικείο νομικό πρόσωπο δημοσίου δικαίου κατά περίπτωση, επιστρέφει πλήρως στον λαμβάνοντα φορέα το ποσό της αποζημίωσης.

5. Για αξιώσεις που απορρέουν από αιτήματα προς άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης βάσει των άρθρων 3, 4, 5, 8, 9, 10, 12, 14 και 16 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου, το Ελληνικό Δημόσιο εκπροσωπείται από τον Υπουργό Οικονομικών.

6. Για αξιώσεις που απορρέουν από αιτήματα των άλλων κρατών μελών της Ευρωπαϊκής Ένωσης σύμφωνα με το άρθρο 12 της απόφασης 2008/615/ΔΕΥ του Συμβουλίου, το Ελληνικό Δημόσιο εκπροσωπείται από τον Υπουργό Οικονομικών.

Άρθρο 16
Ενημέρωση κατ’ αίτηση των κρατών μελών (άρθρο 32 της απόφασης 2008/615/ΔΕΥ)
Όταν η αρμόδια εθνική αρχή λαμβάνει δεδομένα από άλλο κράτος-μέλος, ενημερώνει την αρχή του κράτους αυτού, ύστερα από αίτημα της, σχετικά με την επεξεργασία των παρασχεθέντων δεδομένων και το αποτέλεσμα της επεξεργασίας.

Άρθρο 17
Καθήκοντα Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.)
Ο Υπεύθυνος Προστασίας Δεδομένων (Υ.Π.Δ.) που ορίζεται από τις αρχές του άρθρου 6, ασκεί τις αρμοδιότητες που προβλέπονται στα άρθρα 7 και 8 του ν. 4624/2019 για την εφαρμογή του παρόντος. Ιδίως:

α) Συμβουλεύει τα υποκείμενα των δεδομένων για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους για την προστασία των δεδομένων αυτών σύμφωνα με τα άρθρα 12-15 του παρόντος.

β) Ενημερώνει και συμβουλεύει τον δημόσιο φορέα και τους εργαζομένους που διενεργούν την επεξεργασία σχετικά με τις υποχρεώσεις τους για την προστασία δεδομένων προσωπικού χαρακτήρα και παρέχει κατευθύνσεις για την ορθή εφαρμογή του παρόντος.

ΚΕΦΑΛΑΙΟ Δ΄
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 18
Έναρξη ισχύος
Η ισχύς του παρόντος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

Στον Υπουργό Προστασίας του Πολίτη αναθέτουμε τη δημοσίευση και την εκτέλεση του παρόντος διατάγματος.

Αθήνα, 29 Οκτωβρίου 2021

Η Πρόεδρος της Δημοκρατίας

ΚΑΤΕΡΙΝΑ ΣΑΚΕΛΛΑΡΟΠΟΥΛΟΥ

Οι Υπουργοί

Ανάπτυξης και Επενδύσεων Προστασίας του Πολίτη ΣΠΥΡΙΔΩΝ ΑΔΩΝΙΣ ΠΑΝΑΓΙΩΤΗΣ ΘΕΟΔΩΡΙΚΑΚΟΣ ΓΕΩΡΓΙΑΔΗΣ

Υφυπουργός Προστασίας του Πολίτη Δικαιοσύνης ΕΛΕΥΘΕΡΙΟΣ ΟΙΚΟΝΟΜΟΥ ΚΩΝΣΤΑΝΤΙΝΟΣ ΤΣΙΑΡΑΣ

Υποδομών και Μεταφορών ΚΩΝΣΤΑΝΤΙΝΟΣ ΚΑΡΑΜΑΝΛΗΣ