Το άρθρο 24 του ν. 4170/2013 (Α’ 163), περί προστασίας δεδομένων, αντικαθίσταται ως εξής:
«Άρθρο 24
Προστασία δεδομένων
1. Όλες οι ανταλλαγές πληροφοριών δυνάμει των άρθρων 1 έως και 25 υπόκεινται στον Κανονισμό (ΕΕ) 2016/679 της 27ης Απριλίου 2016, του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119), καθώς και τον ν. 4624/2019 (Α’ 137). Οι υποχρεώσεις ενημέρωσης του άρθρου 13 και της παρ. 1 του άρθρου 14 και το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων του άρθρου 15 του Κανονισμού 2016/679/ΕΕ περιορίζονται στον βαθμό και για το χρονικό διάστημα που ο περιορισμός τους συνιστά αναγκαίο και αναλογικό μέτρο για τη διασφάλιση σημαντικών στόχων γενικού δημοσίου συμφέροντος της Ευρωπαϊκής Ένωσης, της Ελλάδας ή άλλου κράτους μέλους, ιδίως επί σημαντικών οικονομικών ή χρηματοοικονομικών, νομισματικών, δημοσιονομικών και φορολογικών στόχων. Οι αρμόδιες αρχές της Ελλάδας:
α) αποφασίζουν τον περιορισμό των εν λόγω υποχρεώσεων και δικαιωμάτων τεκμηριώνοντας τους πραγματικούς ή νομικούς λόγους επί των οποίων βασίζεται αυτή η απόφαση, κατόπιν γνώμης του Υπευθύνου Προστασίας Δεδομένων της φορολογικής διοίκησης. Οι πληροφορίες αυτές τίθενται στη διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εφόσον ζητηθούν,
β) ενημερώνουν εγγράφως το υποκείμενο των δεδομένων για κάθε άρνηση ή περιορισμό της ενημέρωσης ή της πρόσβασης και για τον λόγο αυτής. Η εν λόγω ενημέρωση μπορεί να παραλείπεται εάν η παροχή των σχετικών πληροφοριών υπονομεύει έναν από τους ως άνω σκοπούς,
γ) ενημερώνουν το υποκείμενο των δεδομένων για τη δυνατότητα να προβεί σε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και να ασκήσει δικαστική προσφυγή.
2. Τα Δηλούντα Χρηματοπιστωτικά Ιδρύματα, οι ενδιάμεσοι, οι Δηλούντες Φορείς Εκμετάλλευσης Πλατφόρμας και η αρμόδια αρχή της παρ. 1 του άρθρου 4 θεωρούνται υπεύθυνοι επεξεργασίας δεδομένων όταν, ενεργώντας μεμονωμένα ή από κοινού, καθορίζουν τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά τον Κανονισμό (ΕΕ) 2016/679 και τον ν. 4624/2019.
3. Κάθε Δηλούν Χρηματοπιστωτικό Ίδρυμα ή ο ενδιάμεσος ή ο Δηλών Φορέας Εκμετάλλευσης Πλατφόρμας, ανάλογα με την περίπτωση:
α) ενημερώνει κάθε ενδιαφερόμενο φυσικό πρόσωπο ότι οι πληροφορίες που το αφορούν συλλέγονται και διαβιβάζονται σύμφωνα με τα άρθρα 1 έως και 25, και
β) παρέχει σε κάθε ενδιαφερόμενο φυσικό πρόσωπο όλες τις πληροφορίες που δικαιούται να λάβει από τον υπεύθυνο επεξεργασίας δεδομένων ώστε να έχει επαρκή χρόνο να ασκήσει τα δικαιώματα προστασίας των δεδομένων του και, σε κάθε περίπτωση, πριν από την υποβολή των πληροφοριών.
Παρά την περ. β), οι Δηλούντες Φορείς Εκμετάλλευσης Πλατφόρμας ενημερώνουν τους Δηλωτέους Πωλητές για το δηλωθέν Αντίτιμο.
4. Οι πληροφορίες που υφίστανται επεξεργασία σύμφωνα με τα άρθρα 1 έως και 25 διατηρούνται μόνο για το χρονικό διάστημα που απαιτείται για την επίτευξη των σκοπών των εν λόγω άρθρων και σύμφωνα με τους κανόνες περί παραγραφής κάθε υπευθύνου επεξεργασίας.
5. Στην περίπτωση παραβίασης δεδομένων στην Ελλάδα:
α) οι αρμόδιες αρχές της Ελλάδας ερευνούν, περιορίζουν και διορθώνουν την παραβίαση δεδομένων.
β) η αρμόδια αρχή της παρ. 1 του άρθρου 5:
βα) αναφέρει την παραβίαση δεδομένων και κάθε επακόλουθη διορθωτική ενέργεια στην Επιτροπή χωρίς καθυστέρηση,
ββ) ζητά την αναστολή της πρόσβασης στο Κοινό Δίκτυο Επικοινωνιών που έχει αναπτύξει η Ευρωπαϊκή Ένωση («Common Communication Network-CCN») για τους σκοπούς των άρθρων 1 έως και 25, εάν η παραβίαση των δεδομένων δεν μπορεί να περιοριστεί αμέσως και καταλλήλως, ενημερώνοντας εγγράφως την Επιτροπή.
βγ) δύναται να ζητήσει από την Επιτροπή από κοινού επαλήθευση ως προς το αν ήταν επιτυχής η αποκατάσταση της παραβίασης δεδομένων.
6. Η αρμόδια αρχή της παρ. 1 του άρθρου 4 ενημερώνεται από την Επιτροπή σχετικά με:
α) την παραβίαση δεδομένων σε άλλο κράτος μέλος ή άλλα κράτη μέλη που της έχει αναφερθεί ή την οποία γνωρίζει και σχετικά με ενδεχόμενα διορθωτικά μέτρα,
β) την παραβίαση δεδομένων στο κεντρικό ευρετήριο ή στο CCN και διορθωτικά μέτρα που ελήφθησαν, εφόσον από την παραβίαση δεδομένων ενδέχεται να θιγούν οι ανταλλαγές των κρατών μελών μέσω του CCN. Στα διορθωτικά αυτά μέτρα μπορεί να περιλαμβάνεται η αναστολή της πρόσβασης στο κεντρικό ευρετήριο ή στο CCN για τους σκοπούς της Οδηγίας 2011/16/ΕΕ του Συμβουλίου της 15ης Φεβρουαρίου 2011, σχετικά με τη διοικητική συνεργασία στον τομέα της φορολογίας (L 64), έως ότου διορθωθεί η παραβίαση των δεδομένων.
7. Ο Υπουργός Εθνικής Οικονομίας και Οικονομικών με απόφασή του, που εκδίδεται μετά από γνώμη του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων, δύναται να αναστείλει την ανταλλαγή πληροφοριών με το κράτος μέλος ή τα κράτη μέλη όπου σημειώθηκε παραβίαση δεδομένων, ειδοποιώντας γραπτώς την Επιτροπή και τα ενδιαφερόμενα κράτη μέλη. Η αναστολή έχει άμεση ισχύ.
8. Τα κράτη μέλη, επικουρούμενα από την Επιτροπή, συμφωνούν επί των πρακτικών ρυθμίσεων που απαιτούνται για την εφαρμογή του παρόντος, συμπεριλαμβανομένων των διαδικασιών διαχείρισης παραβιάσεων δεδομένων που ευθυγραμμίζονται με διεθνώς αναγνωρισμένες ορθές πρακτικές και, κατά περίπτωση, ορίζοντας με συμφωνία τους κοινό υπεύθυνο επεξεργασίας δεδομένων, εκτελούντα την επεξεργασία δεδομένων – υπεύθυνο επεξεργασίας δεδομένων ή ακολουθώντας συναφή υποδείγματα.».