Άρθρο 39 Ποινικές κυρώσεις

1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει µε οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδοµένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαµβάνει γνώση των δεδοµένων αυτών• β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιµωρείται µε φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιµωρείται βαρύτερα με άλλη διάταξη.
2.Όποιος χρησιμοποιεί, µεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε µη δικαιούµενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιµωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηµατική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιµωρείται βαρύτερα με άλλη διάταξη.
4.Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δηµοκρατικού πολιτεύµατος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηµατική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. ΥΠΔ που παραβιάζει την υποχρέωση εχεμύθειας, που τον βαρύνει σύμφωνα με τις διατάξεις του ΓΚΠΔ και του δευτέρου εδαφίου της παραγράφου 5 του άρθρου 7, ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο όφελος ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
7. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

  • 21 Αυγούστου 2019, 07:57 | Σοφια Τσιπτσε ΙΝΕΠΙΔ

    το άρθρο 39 μιλά για ποινικές ευθύνες του ΥΠΔ , γεγονός που λειτουργεί , αν όχι αποτρεπτικά προς το συγκεκριμένο επάγγελμα , σίγουρα λειτουργεί εκφοβιστικά. Εξάλλου , αν γίνει οιαδήποτε παράβαση από αυτές που αναφέρονται στο εν λόγω άρθρο , ισχύουν και οι διατάξεις του ΠΚ (πχ απιστία) , όπου αν πληρούνται οι όροι της αντικειμενικής και υποκειμενικής υπόστασης του εκάστοτε εγκλήματος, θα μπορούσαν να αναζητηθούν οι αντίστοιχες ευθύνες.

  • 21 Αυγούστου 2019, 00:24 | Αθανάσιος Κοσμόπουλος

    Εκτιμώ οτι η εισαγόμενη δια της παραγράφου 6 του παρόντος άρθρου ποινική ευθύνη του ΥΠΔ, πέραν του οτι αντίκειται επί της αρχής στον ΓΚΠΔ όπου στο άρθρο 39 προσδίδει άλλη υφολογική απόχρωση στον ρόλο και την αποστολή του ΥΠΔ η οποία είναι ασυμβίβαστη με οποιαδήποτε ποινική ευθύνη, θα δημιουργήσει τεράστιο πρόβλημα στον Δημόσιο και τον ευρύτερο Δημόσιο τομέα πρωτίστως καθώς θα εκδηλωθεί απροθυμία υπαλλήλων των φορέων να αναλάβουν τον ρόλο αυτό.
    Πρόταση : Να απαληφθεί η εν λόγω παράγραφος

  • Ο 2472/97 προβλέπει για τις παραβιάσεις του α.1 του παρόνοτς νομοσχεδίου φυλάκιση ΤΟΥΛΑΧΙΣΤΟΝ ενός έτους, όχι ΜΕΧΡΙ! Η ελάφρυνση αυτή στην ποινή πώς εξηγείται;

  • 20 Αυγούστου 2019, 00:26 | Μάριος Ανδρικόπουλος

    Κατά την αξιολόγησή μου θα πρέπει οι ποινές για τα αδικήματα τα οποία προβλέπονται στις παρ. 1 έως 3 να είναι μεγαλύτερες. Ειδικότερα ως προς την παρ.1 φυλάκιση, ως προς τα αδικήματα της παρ. 2 φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή και ως προς τα αδικήματα της παρ.3 φυλάκιση τουλάχιστον δύο ετών και χρηματική ποινή. Αναφορικά με τις κακουργηματικού χαρακτήρα προβλέψεις, τούτες δεν θα πρέπει να περιοριστούν μόνο στις περιπτώσεις οι οποίες επάγονται περιουσιακό ώφελος ή ζημία. Η δόλια σκοπούμενη βλάβη τρίτου από την παραβίαση προσωπικών δεδομένων, δύναται να είναι ιδιαιτέρως σοβαρή και να έχει σοβαρές επιπτώσεις, δίχως να υπάρχει άμεση αποτιμητή αντιστοίχιση σε περιουσιακή βλάβη. Κατά την έννοια αυτή θα πρέπει να εισαχθεί κριτήριο «ιδιαιτέρως σοβαρής ηθικής βλάβης τρίτου» (άυλη βλάβη) και να δίδεται η δυνατότητα σε περιπτώσεις παραβίασης προσωπικών δεδομένων όπου με άμεσο δόλο σκοπείται η πρόκληση ιδιαιτέρως σοβαρής ηθικής βλάβης, να διευρευνάται και να δύναται να διωχθεί σε βαθμό κακουργήματος. Είναι σύνηθες το φαινόμενο ιδίως στο πλαίσιο σοβαρών αντιδικιών, ακόμα και οικογενειακού χαρακτήρα, να παρατηρείται το φαινόμενο της δόλιας παραβίασης προσωπικών δεδομένων, προκειμένου τα υποκείμενα της παρανόμου επεξεργασίας είτε να υποκύψουν σε πιέσεις, είτε να περιέλθουν σε δυσχερή θέση. Μία ρύθμιση προς την ως άνω κατεύθυνση θα λειτουργήσει αποτρεπτικά. Στο δε πλαίσιο του Ν.2472 υπήρχε η δυνατότητα να διωχθεί κακουργηματικά η μη περιουσιακή «βλάβη τρίτου».

  • 20 Αυγούστου 2019, 00:26 | Ολγα Τσιπτσέ

    Δεν είναι εφιτκό την ίδια στιγμή που το παρόν νομοσχέδιο περιορίζει στα προηγούμενα άρθρα τόσο πολύ τα δικαιώματα και την προστασία των υποκειμένων των δεδομένων την ίδια στιγμή να τιμωρεί με τόσο αυστηρές ποινές τις άνω περιπτώσεις.
    Το άρθρο πρέπει να τροποποιηθεί είναι τραγικές οι κυρώσεις και δεν καλύπτονται από καμία αιτιολογική έκθεση Δεν έχουν καμία αιτιολογία και βάση

    Όλγα Τσιπτσέ
    Δικηγόρος Θεσσαλονίκης LL.M παρ΄αρείω πάγω
    Διαπ.Διαμεσολαβήτρια – GDPR/DPO expert. (Dpo at DST etc)
    Αντιπρόεδρος στο Ινστιτούτο Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος

  • 20 Αυγούστου 2019, 00:19 | Μάριος Ανδρικόπουλος

    Κατά την αξιολόγησή μου θα πρέπει οι ποινές για τα αδικήματα τα οποία προβλέπονται στις παρ. 1 έως 3 να είναι μεγαλύτερες. Ειδικότερα ως προς την παρ. 1 φυλάκιση, ως προς τα αδικήματα της παρ. 2 φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή και ως προς τα αδικήματα της παρ. 3 φυλάκιση τουλάχιστον δύο ετών και χρηματική ποινή.
    Αναφορικά με τις κακουργηματικού χαρακτήρα προβλέψεις, τούτες δεν θα πρέπει να περιοριστούν μόνο στις περιπτώσεις οι οποίες επάγονται περιουσιακό ώφελος ή ζημία. Η δόλια σκοπούμενη βλάβη τρίτου από την παραβίαση προσωπικών δεδομένων, δύναται να είναι ιδιαιτέρως σοβαρή και να έχει σοβαρές επιπτώσεις, δίχως να υπάρχει άμεση αποτιμητή αντιστοίχηση σε περιουσιακή βλάβη. Κατά την έννοια αυτή θα πρέπει εισαχθεί και κριτήριο «ιδιαιτέρως σοβαρής ηθικής βλάβης τρίτου» και να δίδεται η δυνατότητα σε περιπτώσεις παραβίασης προσωπικών δεδομένων, όπου με άμεσο δόλο σκοπείται η πρόκληση ιδιαιτέρως σοβαρής ηθικής βλάβης αυτή να διερευνάται και να δύναται να διωχθεί σε βαθμό κακουργήματος. Είναι σύνηθες το φαινόμενο ιδίως στο πλαίσιο σοβαρών αντιδικιών, ακόμα και οικογενειακού χαρακτήρα να παρατηρείται το φαινόμενο της δόλιας παραβίασης προσωπικών δεδομένων, προκειμένου τα υποκείμενα της παρανόμου επεξεργασίας είτε να υποκύψουν σε πιέσεις, είτε να περιέλθουν σε δυσχερή θέση. Μία ρύθμιση προς την παραπάνω κατεύθυνση θα λειτουργήσει αποτρεπτικά. Στο δε πλαίσιο του 2472, υπήρχε η δυνατότητα να διωχθεί κακουργηματική η μη περιουσιακή «βλάβη τρίτου»

  • 19 Αυγούστου 2019, 19:16 | ΕΕΚΤ/ ΕΝΩΣΗ ΕΤΑΙΡΕΙΩΝ ΚΙΝΗΤΗΣ ΤΗΛΕΦΩΝΙΑΣ

    Εκ μέρους της ΕΕΚΤ τα σχόλια στο άρθρο 39 παρ. 1 έχουν ως εξής:

    Προτείνουμε την τροποποίηση της παραγράφου ως εξής: «1. Όποιος εκ προθέσεως και χωρίς δικαίωμα, α) επεμβαίνει με οποιοδήποτε τρόπο σε σύστημα αρχειοθέτησης και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση ενός (1) έτους, εκτός εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη».

  • 19 Αυγούστου 2019, 16:46 | Χαράλαμπος Δρανδάκης

    @ 16 Αυγούστου 2019, 10:45 | George Kevekis

    Ενώ σαφώς ο ΥΠΔ φέρει ευθύνη εχεμύθειας:

    α) Αυτό προβλέπεται από έτερες νομοθετικές ρυθμίσεις (όχι ειδικά για ΥΠΔ/ ΔΠΧ)

    β)Κατά το Άρ. 39 του ΓΚΠΔ, ο ρόλος του ΥΠΔ είναι συμβουλευτικός, ενημερωτικός, συνεργατικός, επικοινωνιακός κι επιβλέποντος (‘παρακολουθεί΄). Σε καμία περίπτωση δεν ομοιάζει του «ελεγκτικού» που παρομοιάζεται με του ελεγκτή της ΑΠΔΠΧ.

  • Όπως αναφέρουν όλα τα άλλα σχόλια, η διάταξη της παρ. 6 του ΣχΝ περί ποινικής ευθύνης του ΥΠΔ, ρόλος που στην πράξη αναλαμβάνει κατά κανόνα δικηγόρος ή τεχνικός ασφαλείας/compliance officer, είναι άχρηστη, άστοχη και προβληματική, ενώ δεν θεμελιώνεται στην αιτιολογική έκθεση του νόμου.

    Ως Πρόεδρος του Πανελληνίου Δικτύου Επαγγελματιών Υπευθύνων Προστασίας Δεδομένων https://dponetwork.gr/ μη κερδοσκοπικού οργανισμού, προτείνω εξ ονόματος των μελών μας, την απαλοιφή της.

    Άλλωστε στην ελληνική νομοθεσία υπάρχουν προστατευτικές διατάξεις σε περίπτωση παραβιάσεων εκ μέρους του ΥΠΔ, όπως στο άρθρο 371 Π.Κ (για παραβίαση επαγγελματικής εχεμύθειας ως κατ᾽ έγκληση διωκόμενο ποινικό αδίκημα και όχι αυτεπάγγελτα, όπως προτείνει το ΣχΝ), στο άρθρο 233 ΠΚ (απιστία δικηγόρου), στο άρθρο 38 του Κώδικα Δικηγόρων (ν. 4194/2013) περί απορρήτου και εχεμύθειας κλπ.

    Η ύπαρξη στο νόμο της διάταξης αυτής θα αποθαρρύνει έμπειρους και πιστοποιημένους συναδέλφους να αναλάβουν αυτό τον πολύ σημαντικό ρόλο αφού συνεπάγεται κίνδυνο ποινικών διώξεων για ένα ρόλο που παραμένει εξόχως συμβουλευτικός (ΟΕ άρθρου 29 και νυν ΕΣΠΔ)

  • 18 Αυγούστου 2019, 21:20 | ΓΕΩΡΓΙΑ ΧΑΤΖΗΘΕΟΔΩΡΟΥ

    Η επιλογή της υπερχειλούς υποκειμενικής υπόστασης είναι, κατ᾽αρχήν, ορθή. Ωστόσο, με δεδομένο ότι η ποινική τιμώρηση της παραβίασης επαγγελματικής εχεμύθειας προβλέπεται, ήδη, στο άρ. 371 Π.Κ. (κατ᾽ έγκληση διωκόμενο ποινικό αδίκημα) και δη για ένα ευρύτερο πλαίσιο αξιόποινης συμπεριφοράς, η συγκεκριμένη νομοθετική πρόβλεψη φαίνεται περιττή. Δεν αιτιολογείται επαρκώς γιατί η παραβίαση επαγγελματικής εχεμύθειας λ.χ. από έναν δικηγόρο δύναται να διώκεται κατ᾽έγκληση, ενώ η αντίστοιχη συμπεριφορά ενός ΥΠΔ οφείλει να διώκεται αυτεπαγγέλτως. Η ποινική απαξία των δύο πράξεων δε διαφέρει ουσιωδώς, ενώ και η αιτιολογική έκθεση δεν εισφέρει ικανοποιητικές απαντήσεις επί τούτου.

  • 18 Αυγούστου 2019, 11:37 | DataProOf

    Υπερβολική η διάταξη στο σχέδιο νόμου για την ποινική τιμωρία του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) και μάλιστα στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

    Eίναι αντίθετη στον ΓΚΠΔ που προβλέπει στο άρθρο 38 παρ. 3 ότι ο ΥΠΔ: «Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του».

    H ύπαρξη αυτής της διατάξης θα λειτουργήσει αποτρεπτικά για την ανάληψη καθηκόντων ΥΠΔ.

  • 16 Αυγούστου 2019, 21:01 | Γιώργος Ρουσόπουλος

    Θα μπορούσε η παρακώλυση του ελέγχου της Αρχής να προστεθεί στα ποινικά αδικήματα (βλ. και τελευταία συμβάντα ελέγχων ΑΑΔΕ κλπ).

  • 16 Αυγούστου 2019, 10:45 | George Kevekis

    Η λογική των ποινικών κυρώσεων ειναι σωστή. Ιςως να πρεπει να προστεθεί διακεκριμένη (επιβαρυντική) περίσταση όταν η χωρίς δικαίωμα πρόσβαση λαμβανει χώρα από τον DPO λόγω της ανεξάρτητης & εγγυητικής θέσης του στο μοντέλο συμμόρφωσης. Εννοείται ότι ΔΕΝ πρεπει να καταργηθεί η ποινική ευθύνη του DPO όταν παραβιάζει υποχρέωση εχεμυθειας. Αλλιώς η διάταξη περι υποχρέωσης εχεμυθειας ειναι lex imperfecta (ατελής) κ δεν θα υπάρχει κύρωση. Δείτε τον ρόλο του DPO στο νέο σύστημα συμμόρφωσης GDPR οπως περιγράφει η κ ΜΗΤΡΟΥ την αρχή της λογοδοσίας κ ο κ ΤΣΟΛΙΑΣ αναλύει τον DPO στο βιβλίο ΜΕΝΟΥΔΑΚΟΥ. Δυστυχώς αρκετοί νομίζουν ότι η θέση του DPO δεν πρεπει να εχει ευθύνες ενώ στο νέο σύστημα συμμόρφωσης η θέση αυτή ειναι εξαιρετικά σημαντική αφού αντικαθιστά τις παλιές γνωστοποιήσεις της ΑΠΔΠΧ. Σκεφτείτε δηλαδή την περίπτωση κατα την οποία ο ελεγκτής της ΑΠΔΠΧ κατα την διάρκεια ελέγχου αποκτά πρόσβαση σε στοιχεία που δεν δικαιούται ή να αποκαλύπτει σε τριτους μη δικαιουμενους προσωπικά δεδομένα που κατέσχεσε στο πλαίσιο ελέγχου. Δεν πρεπει να διωχθεί ποινικά; Αντίθετα, ο αντιστοιχοσ, εσωτερικός «ελεγκτής» DPO δεν πρεπει να διώκεται; Όποιος αναλαμβάνει ρόλο DPO πρεπει να ειναι έτοιμος για τις τυχόν συνέπειες από την πλημμελή ή με κακή προαίρεση παροχή υπηρεσιών. Πάντως οι μεγάλες ευρωπαϊκές δικηγορικές εταιρίες αποφεύγουν να παρέχουν υπηρεσίες DPO.

  • 14 Αυγούστου 2019, 12:10 | Ιωάννης Ιγγλεζάκης

    Σύμφωνα με την αιτιολογική σκέψη αρ. 149 του Κανονισμού: «Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν τους κανόνες περί ποινικών κυρώσεων για παραβάσεις του παρόντος κανονισμού, μεταξύ άλλων για παραβάσεις των εθνικών κανόνων που θεσπίζονται κατ’ εφαρμογή και εντός των ορίων του παρόντος κανονισμού. Οι εν λόγω ποινικές κυρώσεις μπορούν επίσης να συνίστανται σε αποστέρηση από τα οφέλη που αποκτήθηκαν χάριν των παραβάσεων του παρόντος κανονισμού. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο.»
    Οι προβλεπόμενες διατάξεις δεν αφορούν τους κανόνες που τίθενται με το σχέδιο νόμου και έρχονται συνεπώς σε αντίθεση με την αρχή ne bis in idem.
    Επίσης, θεωρώ υπερβολική τη θέσπιση ποινικής ευθύνης του Υπεύθυνου Προστασίας Δεδομένων, ενώ αυτή θα λειτουργήσει αποτρεπτικά και πολλοί επιστήμονες θα αποτραπούν από την απασχόλησή τους ως υπεύθυνοι προστασίας δεδομένων.