Άρθρο 47 – Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
2. Η γνωστοποίηση στο υποκείμενο των δεδομένων, η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου, περιγράφει με σαφή και απλή διατύπωση τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα του άρθρου 46 παράγραφος 3 στοιχεία β), γ) και δ) του παρόντος νόμου.
3. Η γνωστοποίηση στο υποκείμενο των δεδομένων, η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που επηρεάζονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν δεδομένα προσωπικού χαρακτήρα μη κατανοητά σε όσους δεν έχουν εξουσιοδοτημένη πρόσβαση σε αυτά, όπως η κρυπτογράφηση
β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στην παράγραφο 1 μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων·
γ) προϋποτίθενται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα ώστε τα υποκείμενα των δεδομένων να ενημερώνονται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ή η αρμόδια εποπτική αρχή έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, μπορεί να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιοσδήποτε από τους όρους που αναφέρονται στην παράγραφο 3.
5. Ο υπεύθυνος επεξεργασίας μπορεί να καθυστερήσει, να περιορίσει ή να παραλείψει τη γνωστοποίηση στο υποκείμενο των δεδομένων που αναφέρεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου εφόσον αυτό είναι αναγκαίο για
α) την αποφυγή της παρακώλυσης ή της συσκότισης των διεξαγόμενων ερευνών, αναγκαίων πράξεων και διαδικασιών για την επίτευξη των σκοπών του άρθρου 2 παρ. 3 του παρόντος νόμου
β) την αποφυγή της αποτροπής ή παρεμπόδισης της πρόληψης, της διαπίστωσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων
γ) την προστασία της δημόσιας ασφάλειας·
δ) την προστασία της εθνικής ασφάλειας·
ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων