1 Η ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων που προβλέπεται στο άρθρο 34 του Κανονισμού δεν πραγματοποιείται εφόσον η επεξεργασία πραγματοποιείται για σκοπούς που σχετίζονται με
α) την εθνική ασφάλεια,
β) την εθνική άμυνα,
γ) τη δημόσια ασφάλεια,
δ) την πρόληψη, διερεύνηση, διακρίβωση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και πρόληψης αυτών,
ε) σημαντικά οικονομικά, χρηματοοικονομικά συμφέροντα του κράτους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης, ιδίως σε σχέση με την πραγματοποίηση των σχετικών ελέγχων,
στ) τη θεμελίωση, άσκηση, υποστήριξη ή εκτέλεση νομικών αξιώσεων,
και η ανακοίνωση της παραβίασης θα ήταν επιζήμια για την εκπλήρωση των σκοπών αυτών.
2 Εάν ο υπεύθυνος επεξεργασίας δεν έχει ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, επικαλούμενος λόγο που προβλέπεται στην προηγούμενη παράγραφο, ενημερώνει σχετικά την Αρχή, η οποία μπορεί, έχοντας ερευνήσει τη συνδρομή των λόγων που επικαλείται, να του ζητήσει να το πράξει, εφόσον κρίνει ότι δεν πληρούνται οι προϋποθέσεις για παράλειψη της ανακοίνωσης.
Άρθρο 12
Για την παράγραφο 1α,β, και γ ισχύουν οι αντίστοιχες παρατηρήσεις επί του άρθρου 10. Στην παράγραφο 2 προσθήκη εδαφίου ως εξής: «στην περίπτωση αυτή η Αρχή απευθύνει επίπληξη προς τον υπεύθυνο επεξεργασίας» με την λογική της εύλογης ήπιας κύρωσης και προειδοποίησης προς τον υπεύθυνο επεξεργασίας να μην κρίνει ανεπιεικώς και αυθαίρετα ως προς τα δικαιώματα του υποκειμένου αλλά και την έννοιες της ασφάλειας και της άμυνας αλλά και εν γένει των συμφερόντων του κράτους.
Αθανάσιος-Τρύφωνας Αλεξόπουλος (ΑΜ 8721), Ιωάννης Ανδρουλάκης (ΑΜ 4273), Σπυρίδων Πετρίδης (ΑΜ 5433), Μαρία Πρωτοπαπαδάκη (ΑΜ 3180), Βασίλειος Σιαπέρας (ΑΜ 9553), Αρετή Σκουνάκη (ΑΜ 4298)
Οι περιορισμοί των δικαιωμάτων των υποκειμένων που προβλέπονται στην διάταξη αυτή δεν ικανοποιούν τις απαιτήσεις του Άρθρου 23 παρ. 2 του Κανονισμού, καθώς η εν λόγω διάταξη δεν περιλαμβάνει τις ελάχιστες πληροφορίες που αναφέρει ο Κανονισμός με σκοπό να εξασφαλίσει ότι οι περιορισμοί των δικαιωμάτων αυτών δεν διευρύνονται κατά ανεπίτρεπτο τρόπο και δίδονται κάποιες ελάχιστες εγγυήσεις για την προστασία των δικαιωμάτων των υποκειμένων.
Επίσης, σύμφωνα με το Άρθρο 23 παρ. 1 του Κανονισμού, οι εξαιρέσεις που προβλέπονται στην διάταξη αυτή θα πρέπει να σχετίζονται με τους λόγους περιορισμού των δικαιωμάτων και όχι τον σκοπό της επεξεργασίας των προσωπικών δεδομένων. Άρα, αντί της διατύπωσης «εφόσον η επεξεργασία πραγματοποιείται για σκοπούς που σχετίζονται με….» θα πρέπει να προτιμηθεί η διατύπωση «εφόσον ο περιορισμός του δικαιώματος των υποκειμένων είναι απολύτως απαραίτητος για την διασφάλιση…».
Επίσης, θεωρούμε ότι η απαλλαγή των υπευθύνων επεξεργασίας από την υποχρέωση ανακοίνωσης στα υποκείμενα περιστατικών παραβίασης προσωπικών δεδομένων, για τους σκοπούς της πρόληψης, διερεύνησης, διακρίβωσης και δίωξης ποινικών αδικημάτων μπορεί να χρησιμοποιηθεί καταχρηστικά από τους υπευθύνους, οι οποίοι προφασιζόμενοι μία κυβερνο-επίθεση ή γενικότερα μία επίθεση των πληροφοριακών τους συστημάτων από τρίτους ή και εργαζομένους της εταιρείας που οδήγησε στην παραβίαση, θα αποφεύγουν την ανακοίνωση των περιστατικών στα υποκείμενα. Ως εκ τούτου, προτείνουμε να διαγραφεί από το κείμενο του νόμου αυτή η εξαίρεση ή να τυγχάνει εφαρμογής μόνο σε περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσιος φορέας και τα ποινικά αδικήματα στρέφονται κατά του κράτους. Παρόμοια είναι η ανάλυσή μας σχετικά με την εξαίρεση που αφορά την θεμελίωση, άσκηση, υποστήριξη ή εκτέλεση νομικών αξιώσεων, που θα ερμηνευθεί με ευρεία έννοια από τους υπευθύνους για να αποφεύγουν επιζήμιες σε αυτούς ανακοινώσεις παραβίασης στα υποκείμενα των δεδομένων.