4.—(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-
(α) Υφίστανται θεμιτή και νόμιμη επεξεργασία·
(β) συλλέγονται για προσδιορισμένους, σαφείς και νόμιμους σκοπούς και δεν υφίστανται μεταγενέστερη επεξεργασία ασυμβίβαστη με τους σκοπούς αυτούς:
(γ) είναι συναφή, πρόσφορα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας:
(δ) είναι ακριβή και, εφόσον χρειάζεται, υποβάλλονται σε ενημέρωση·
(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής ο Επίτροπος δύναται με αιτιολογημένη απόφασή του, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δε θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή τρίτων.
(2) Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί ή υφίστανται επεξεργασία κατά παράβαση των διατάξεων του εδαφίου (1), καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. Αν ο Επίτροπος, εξακριβώσει αυτεπαγγέλτως ή ύστερα από σχετική καταγγελία, παράβαση των διατάξεων του εδαφίου (1), επιβάλλει τη διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.
5.—(1) Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του.
(2) Επεξεργασία δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων όταν-
(α) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από νόμο ή Κανονισμούς που εκδίδονται δυνάμει νόμου ή Κανονισμούς της Ευρωπαϊκής Ένωσης·
(β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το υποκείμενο των δεδομένων ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου των δεδομένων, πριν από τη σύναψη σύμβασης·
(γ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων·
(δ) η επεξεργασία είναι απαραίτητη για την εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας και έχει ανατεθεί είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο ανακοινώνονται τα δεδομένα·
(ε) η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος στον οποίο ανακοινώνονται τα δεδομένα προσωπικού χαρακτήρα, υπό τον όρο ότι τούτο υπερέχει των δικαιωμάτων, συμφερόντων και θεμελιωδών ελευθεριών των υποκειμένων των δεδομένων.
(3) Το Υπουργικό Συμβούλιο δύναται, ύστερα από εισήγηση του Επιτρόπου να εκδίδει ειδικούς κανόνες επεξεργασίας για τις πλέον συνήθεις κατηγορίες επεξεργασιών και αρχείων.
6.—(1) Απαγορεύεται η συλλογή και επεξεργασία ευαίσθητων δεδομένων.
(2) Κατ' εξαίρεση, επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων, όταν συντρέχουν μία ή περισσότερες από τις ακόλουθες προϋποθέσεις:
(α) Το υποκείμενο των δεδομένων έδωσε τη ρητή συγκατάθεση του, εκτός αν η συγκατάθεση έχει αποσπασθεί παράνομα ή αντίκειται στα χρηστά ήθη ή ειδικός νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση,
(β) η επεξεργασία είναι απαραίτητη προκειμένου να είναι σε θέση ο υπεύθυνος επεξεργασίας να εκπληρώσει τις υποχρεώσεις του ή να εκτελέσει τα καθήκοντα του στον τομέα του εργατικού δικαίου και έχει παρασχεθεί για το σκοπό αυτό η άδεια του Επιτρόπου,
(γ) η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου προσώπου, αν το υποκείμενο των δεδομένων τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεση του,
(δ) η επεξεργασία πραγματοποιείται από ίδρυμα, σωματείο ή οποιοδήποτε άλλο μη κερδοσκοπικό οργανισμό που έχει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, και αφορά μόνο τα μέλη του και τέτοια άλλα πρόσωπα με τα οποία το εν λόγω σωματείο, ίδρυμα ή οργανισμός διατηρεί λόγω των σκοπών του, δεσμούς. Τα δεδομένα αυτά μπορεί να ανακοινωθούν σε τρίτους μόνο αν το υποκείμενο των δεδομένων δώσει τη συγκατάθεση του,
(ε) η επεξεργασία αφορά αποκλειστικά δεδομένα τα οποία το υποκείμενο των δεδομένων δημοσιοποιεί ή είναι αναγκαία για την αναγνώριση ή άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου,
(στ) η επεξεργασία αφορά θέματα ιατρικών δεδομένων και εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας,
(ζ) η επεξεργασία είναι απαραίτητη για την εξυπηρέτηση εθνικών αναγκών ή αναγκών της εθνικής ασφάλειας, καθώς επίσης και για την εξυπηρέτηση των αναγκών της εγκληματολογικής ή σωφρονιστικής πολιτικής και εκτελείται από υπηρεσία της Δημοκρατίας ή Οργανισμό ή Ίδρυμα που εξουσιοδοτείται για το σκοπό αυτό από υπηρεσία της Δημοκρατίας και αφορά τη διακρίβωση εγκλημάτων, ποινικές καταδίκες, μέτρα ασφάλειας και διερεύνηση μαζικών καταστροφών,
(η) η επεξεργασία πραγματοποιείται αποκλειστικά για στατιστικούς, ερευνητικούς, επιστημονικούς και ιστορικούς σκοπούς εφόσον, σύμφωνα με απόφαση του Επιτρόπου, κρίνεται ότι συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος υπό τον όρο ότι λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των υποκειμένων των δεδομένων,
(θ) η επεξεργασία πραγματοποιείται αποκλειστικά για δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής έκφρασης και εφόσον δεν παραβιάζεται καθ' οιονδήποτε τρόπο το δικαίωμα προστασίας της ιδιωτικής και οικογενειακής ζωής,
(ι) η επεξεργασία είναι απαραίτητη για λόγους προστασίας της δημόσιας υγείας και χορήγησης κοινωνικών παροχών.
(3) Το Υπουργικό Συμβούλιο δύναται ύστερα από εισήγηση του Επιτρόπου, να εκδίδει κανονισμούς που να προβλέπουν για επεξεργασία ευαίσθητων δεδομένων για περιπτώσεις άλλες από εκείνες που αναφέρονται στο εδάφιο (2) όταν συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος.
7.—(1) Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στον Επίτροπο τη σύσταση και λειτουργία αρχείου ή την έναρξη επεξεργασίας.
(2) Με τη γνωστοποίηση που αναφέρεται στο εδάφιο (1) ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει-
(α) Το ονοματεπώνυμο, την επωνυμία ή τον τίτλο του και τη διεύθυνση του. Εάν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στη Δημοκρατία, θα πρέπει επιπροσθέτως να δηλώνεται το ονοματεπώνυμο, η επωνυμία ή ο τίτλος και η διεύθυνση του εκπροσώπου του στη Δημοκρατία·
(β) τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία·
(γ) την περιγραφή του σκοπού της επεξεργασίας των δεδομένων που υφίστανται ή θα υποστούν επεξεργασία ή που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·
(δ) την περιγραφή της κατηγορίας ή των κατηγοριών των υποκειμένων των δεδομένων
(ε) το είδος των δεδομένων που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο·
(στ) το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο·
(ζ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα·
(η) τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων σε τρίτες χώρες·
(θ) τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφάλειας του αρχείου ή της επεξεργασίας.
(3) Στην περίπτωση που η επεξεργασία ή το αρχείο εμπίπτει σε μία από τις κατηγορίες για τις οποίες το Υπουργικό Συμβούλιο έχει εκδώσει ειδικές οδηγίες επεξεργασίας, ο υπεύθυνος επεξεργασίας καταθέτει στον Επίτροπο δήλωση με την οποία βεβαιώνει ότι η επεξεργασία θα διεξάγεται ή το αρχείο θα τηρείται σύμφωνα με τους ειδικούς κανόνες που έχει εκδώσει το Υπουργικό Συμβούλιο οι οποίοι θα καθορίζουν ειδικότερα τον τύπο και το περιεχόμενο της δήλωσης.
(4) Τα στοιχεία που αναφέρονται στο εδάφιο (2) καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί ο Επίτροπος.
(5) Κάθε ουσιαστική μεταβολή των στοιχείων που αναφέρονται στο εδάφιο (2) πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας στον Επίτροπο.
(6) Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης δυνάμει του εδαφίου (1) στις περιπτώσεις όπου-
(α) Η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση εργασίας ή έργου και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση της σύμβασης και το υποκείμενο των δεδομένων έχει προηγουμένως ενημερωθεί,
(β) η επεξεργασία αφορά πελάτες ή προμηθευτές, του υπεύθυνου επεξεργασίας εφόσον τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Για την εφαρμογή της παρούσας διάταξης, τα δικαστήρια και οι δημόσιες αρχές δε λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος ή δικαστική απόφαση.
Δεν απαλλάσσονται από την υποχρέωση γνωστοποίησης οι ασφαλιστικές εταιρείες για όλους τους κλάδους ασφάλισης, οι φαρμακευτικές εταιρείες, οι εταιρείες εμπορίας πληροφοριών και τα χρηματοπιστωτικά ιδρύματα, όπως οι τράπεζες και οι εταιρείες έκδοσης πιστωτικών καρτών.
(γ) η επεξεργασία γίνεται από ίδρυμα, σωματείο, εταιρεία ή πολιτικά κόμματα και αφορά δεδομένα των μελών τους, εφόσον τα μέλη αυτά έχουν δώσει τη συγκατάθεση τους και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Δε λογίζονται τρίτοι τα μέλη εφόσον η διαβίβαση γίνεται προς αυτούς για τους σκοπούς των πιο πάνω ιδρυμάτων, σωματείων, εταιρειών ή πολιτικών κομμάτων, ούτε τα δικαστήρια και οι δημόσιες αρχές, εφόσον τη διαβίβαση επιβάλλει νόμος ή δικαστική απόφαση,
(δ) η επεξεργασία γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας και αφορά ιατρικά δεδομένα, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους.
Δεν εμπίπτουν στην απαλλαγή της παρούσας διάταξης τα πρόσωπα που παρέχουν υπηρεσίες υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και αποτοξίνωσης, ασφαλιστικά ταμεία και ασφαλιστικές εταιρείες, καθώς και οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου.
(ε) η επεξεργασία γίνεται από δικηγόρους και αφορά την παροχή νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από υποχρέωση απορρήτου που προβλέπει νόμος και τα δεδομένα δε διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση εντολής του πελάτη.
8.—(1) Η διασύνδεση αρχείων επιτρέπεται μόνο σύμφωνα με τους όρους που αναφέρονται στο άρθρο 5 και στο παρόν άρθρο, εφόσον συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος.
(2) Κάθε διασύνδεση γνωστοποιείται στον Επίτροπο με δήλωση την οποία υποβάλλουν από κοινού οι υπεύθυνοι επεξεργασίας ή ο υπεύθυνος επεξεργασίας, που διασυνδέει δύο ή περισσότερα αρχεία που εξυπηρετούν διαφορετικούς σκοπούς.
(3)(α) Αν ένα τουλάχιστον από τα αρχεία που πρόκειται να διασυνδεθούν περιέχει ευαίσθητα δεδομένα ή αν η διασύνδεση έχει ως συνέπεια την αποκάλυψη ευαίσθητων δεδομένων ή αν για την πραγματοποίηση της διασύνδεσης πρόκειται να γίνει χρήση ενιαίοι κωδικού αριθμού, η διασύνδεση επιτρέπεται μόνο με προηγούμενη άδεια του Επιτρόπου, που στη συνέχεια θα αναφέρεται ως «άδεια διασύνδεσης», η οποία εκδίδεται κατά τον καθορισμένο τύπο αφού καταβληθούν τα καθορισμένα τέλη.
(β) Η άδεια διασύνδεσης χορηγείται ύστερα από ακρόαση των υπεύθυνων επεξεργασίας των αρχείων, αν αυτή κριθεί από τον Επίτροπο απαραίτητη και περιέχει απαραιτήτως-
(i) Το σκοπό για τον οποίο η διασύνδεση θεωρείται αναγκαία,
(ii) το είδος των δεδομένων προσωπικού χαρακτήρα που αφορά η διασύνδεση,
(iii) το χρονικό διάστημα για το οποίο επιτρέπεται η διασύνδεση, και
(iv) τους τυχόν όρους και προϋποθέσεις για την αποτελεσματικότερη προστασία των δικαιωμάτων και ελευθεριών και ιδίως του δικαιώματος ιδιωτικής ζωής των υποκειμένων δεδομένων ή τρίτων.
(γ) Η άδεια διασύνδεσης μπορεί να ανανεωθεί ύστερα από αίτηση των υπεύθυνων επεξεργασίας.
(4) Οι δηλώσεις του εδαφίου (2), καθώς και αντίγραφα των αδειών διασύνδεσης καταχωρίζονται στο Μητρώο Διασυνδέσεων που τηρεί ο Επίτροπος.
9.—(1) Τηρουμένων των διατάξεων του παρόντος Νόμου, η διαβίβαση, προς οποιαδήποτε χώρα, δεδομένων τα οποία έχουν υποστεί ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβαση τους επιτρέπεται ύστερα από άδεια του Επιτρόπου. Ο Επίτροπος παρέχει την άδεια μόνο εάν κρίνει ότι η εν λόγω χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Προς τούτο, λαμβάνει υπόψη ιδίως τη φύση των δεδομένων, τους σκοπούς και τη διάρκεια της επεξεργασίας, τους σχετικούς γενικούς και ειδικούς κανόνες δικαίου, τους κώδικες δεοντολογίας, τα μέτρα ασφάλειας για την προστασία δεδομένων, καθώς και το επίπεδο προστασίας των χωρών προέλευσης, διέλευσης και τελικού προορισμού των δεδομένων.
(2) Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ' εξαίρεση, με άδεια του Επιτρόπου, εφόσον συντρέχει μία ή περισσότερες από τις κατωτέρω προϋποθέσεις:
(α) Το υποκείμενο των δεδομένων έδωσε τη συγκατάθεση του για τη διαβίβαση, εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που να αντίκειται στο νόμο ή τα χρηστά ήθη,
(β) η διαβίβαση είναι απαραίτητη-
(i) για τη διασφάλιση ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή
(ii) για τη συνομολόγηση και εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή μεταξύ του υπεύθυνου επεξεργασίας και τρίτου προς το συμφέρον του υποκειμένου των δεδομένων, ή
(iii) για την εκτέλεση προσυμβατικών μέτρων που έχουν ληφθεί ύστερα από αίτηση του υποκειμένου των δεδομένων,
(γ) η διαβίβαση είναι απαραίτητη για την αντιμετώπιση εξαιρετικής ανάγκης για τη διαφύλαξη υπέρτερου δημοσίου συμφέροντος, ιδίως για την εκτέλεση συμβάσεων συνεργασίας με δημόσιες Αρχές της άλλης χώρας,
(δ) η διαβίβαση είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον του δικαστηρίου,
(ε) η διαβίβαση πραγματοποιείται από δημόσιο μητρώο, το οποίο κατά το νόμο προορίζεται για την παροχή πληροφοριών στο κοινό και είναι προσιτό στο κοινό ή σε κάθε πρόσωπο που αποδεικνύει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι νόμιμες προϋποθέσεις για την πρόσβαση στο μητρώο.
(3) Επιπρόσθετα από τις διατάξεις του εδαφίου (2), ο Επίτροπος δύναται επίσης να επιτρέψει τη διαβίβαση δεδομένων σε χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας εφόσον ο υπεύθυνος επεξεργασίας παρουσιάσει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών και την άσκηση των δικαιωμάτων αυτών, οι εγγυήσεις δε αυτές μπορεί να απορρέουν από κατάλληλες συμβατικές ρήτρες.
(4) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), η διαβίβαση δεδομένων σε Κράτη-Μέλη της Ευρωπαϊκής Ένωσης ή κράτη συμβαλλόμενα μέρη του Ε.Ο.Χ. ή προς τρίτες χώρες για τις οποίες η Ευρωπαϊκή Επιτροπή έχει αποφανθεί ότι εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας προσωπικών δεδομένων είναι ελεύθερη.
(5) Στις περιπτώσεις που αναφέρονται στα εδάφια (2) και (3) ο Επίτροπος ενημερώνει την Ευρωπαϊκή Επιτροπή και. τις αντίστοιχες Αρχές των άλλων Κρατών-Μελών, όταν θεωρεί ότι μία χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.
(6) Άδεια δυνάμει του παρόντος άρθρου είναι σύμφωνα με τον καθορισμένο τύπο και εκδίδεται αφού καταβληθούν τα καθορισμένα τέλη. Η άδεια μπορεί να ανανεωθεί ύστερα από αίτηση του υπεύθυνου επεξεργασίας.
10.—(1) Η επεξεργασία δεδομένων είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ' εντολή του.
(2) Για τη διεξαγωγή της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.
(3) Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
Ο Επίτροπος παρέχει εκάστοτε οδηγίες για το βαθμό ασφάλειας των δεδομένων, καθώς και για τα μέτρα προστασίας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία δεδομένων, ενόψει και των τεχνολογικών εξελίξεων.
(4) Αν η επεξεργασία διεξάγεται από εκτελούντα την επεξεργασία, η σχετική ανάθεση γίνεται υποχρεωτικά με γραπτή σύμβαση. Η ανάθεση προβλέπει υποχρεωτικά ότι ο εκτελών την επεξεργασία τη διεξάγει, μόνο κατ' εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.