1. Ο υπεύθυνος επεξεργασίας παρέχει κατά το στάδιο της συλλογής στο υποκείμενο των δεδομένων τουλάχιστον τις ακόλουθες πληροφορίες:
α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας
β) τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, κατά περίπτωση
γ) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα
δ) το δικαίωμα υποβολής καταγγελίας στην κατά περίπτωση αρμόδια εποπτική αρχή και τα στοιχεία επικοινωνίας με αυτή
ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν στο εν λόγω πρόσωπο.
2. Εάν η συλλογή των δεδομένων προσωπικού χαρακτήρα δεν έχει γίνει από το ίδιο το υποκείμενο των δεδομένων ή έχει γίνει χωρίς τη γνώση αυτού ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πέραν των προβλεπομένων στην παράγραφο 1 πληροφοριών τις ακόλουθες πληροφορίες, προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του
α) τη νομική βάση της επεξεργασίας·
β) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα·
γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σε τρίτες χώρες ή διεθνείς οργανισμούς·
3. Με την επιφύλαξη άλλων ειδικών ρυθμίσεων, όταν η συλλογή δεδομένων προσωπικού χαρακτήρα γίνει σε συνθήκες μυστικότητας, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις προβλεπόμενες στις παραγράφους 1 και 2 πληροφορίες, όταν και εφόσον αυτό ενημερωθεί νομίμως για το γεγονός της εν λόγω συλλογής.
4. Ο υπεύθυνος επεξεργασίας, κατόπιν αιτιολογημένης απόφασης του στην οποία έχει λάβει δεόντως υπόψη του τα έννομα συμφέροντα του ενδιαφερόμενου φυσικού προσώπου καθώς και τον χρόνο ολοκλήρωσης της διαδικασίας που διεξάγεται για τους σκοπούς του άρθρου 2 παρ. 3 του παρόντος νόμου, δύναται να καθυστερήσει ή να περιορίσει ή και να παραλείψει την παροχή, στο υποκείμενο των δεδομένων, των πληροφοριών που αναφέρονται στις παραγράφους 1-3 του παρόντος άρθρου, εφόσον αυτό είναι αναγκαίο για
α) την αποφυγή της παρακώλυσης ή της συσκότισης των διεξαγόμενων ερευνών, αναγκαίων πράξεων και διαδικασιών για την επίτευξη των σκοπών του άρθρου 2 παρ. 3 του παρόντος νόμου
β) την αποφυγή της αποτροπής ή παρεμπόδισης της πρόληψης, της διαπίστωσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων
γ) την προστασία της δημόσιας ασφάλειας·
δ) την προστασία της εθνικής ασφάλειας
ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων
5. Το υποκείμενο των δεδομένων μπορεί σε περίπτωση που δεν παρέχονται οι πληροφορίες σύμφωνα με τις προηγούμενες παραγράφους να απευθυνθεί στην αρμόδια εποπτική αρχή. Η αρμόδια εποπτική αρχή μπορεί να ερευνήσει τη συνδρομή των προϋποθέσεων του περιορισμού του δικαιώματος και να ενημερώσει σχετικά το υποκείμενο, τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από αυτή. Η αρμόδια εποπτική αρχή ενημερώνει επίσης το υποκείμενο των δεδομένων για το δικαίωμά του να ασκήσει δικαστική προσφυγή.
“Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με σειρά κανονιστικών αποφάσεων και οδηγιών κατά τα χρόνια λειτουργίας της αναγνώρισε περιπτώσεις νομιμότητας της επεξεργασίας, για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, υπό προϋποθέσεις . Ωστόσο, ο υπό διαβούλευση νόμος εισάγει τη γενική ρύθμιση του άρθρου 71 παράγραφος 4 για τη διατήρηση εν ισχύ των οδηγιών και κανονιστικών πράξεως της Αρχής, εάν δεν προσκρούουν στον Κανονισμό, χωρίς να αποσαφηνίζει ποιες είναι αυτές, με αποτέλεσμα να μην καθίσταται σαφές, ποιες αποτελούν τις νόμιμες βάσεις επεξεργασίας. Συνεπώς, ενόψει τόσο της παντελούς ελλείψεως αναφοράς στον Νόμο περί νομιμότητας της επεξεργασίας, όσο και της αόριστης διατύπωσης του άρθρου 6 παράγραφος στ του Κανονισμού, δεν αποσαφηνίζεται ουδόλως ποιες επεξεργασίες που είναι απαραίτητες για τους σκοπούς των εννόμων συμφερόντων, που επιδιώκει ο υπεύθυνος επεξεργασίας, αποτελούν νόμιμη βάση επεξεργασίας.”
/ Ο Νόμος στο άρθρο 31 αναφέρει το βασικό δικαίωμα ενημέρωσης του υποκειμένου αναφορικά μόνο με την Ευρωπαϊκή Οδηγία 680/2016, ενώ δε δίνει κατευθυντήριες γραμμές ως προς τα ίδια ζητήματα που άπτονται του πεδίου εφαρμογής του Ευρωπαϊκού Κανονισμού 679/2016.
Ειδικότερα δεν επιλύεται θεσμοθετικά το ζήτημα των προτεινόμενων μέσων για την επαρκή και ορθή ενημέρωση του υποκείμενου, ιδίως ως προς τα δεδομένα που δε συλλέγονται απευθείας από το υποκείμενο (άρθρο 14 του Κανονισμού). Ο Κανονισμός δηλαδή αναγνωρίζει την αναγκαιότητα ενημέρωσης των υποκειμένων στις περιπτώσεις αυτές, ωστόσο στον υπό διαβούλευση νόμο, δεν παρέχεται ουδεμία κατευθυντήρια γραμμή για το πως ο υπεύθυνος επεξεργασίας θα ικανοποιήσει το δικαίωμα ενημέρωσης του υποκειμένου, που μεταξύ άλλων περιλαμβάνει την ενημέρωση για τη νόμιμη βάση της επεξεργασίας των δεδομένων του, όπως λόγου χάρη μέσω της ανάρτησης της πολιτικής απορρήτου στο site του, μέσω της δημοσίευσης σε εφημερίδες ευρείας κυκλοφορίας, μέσω του αποδέκτη των δεδομένων.
Ενώ στο άρθρο 31 αναγνωρίζεται η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων, δε διασαφηνίζεται με ποιον τρόπο πρέπει να γίνεται η ενημέρωση αυτή ώστε να θεωρείται σύννομη (π.χ. ενημέρωση μέσω δημοσίευσης σε εφημερίδες ευρείας κυκλοφορίας, μέσω ανάρτησης σχετικών πληροφοριών στον εταιρικό δικτυακό τόπο του υπεύθυνου επεξεργασίας)
Στο σχετικό άρθρο αναγνωρίζεται η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων. Παρόλα αυτά δε διευκρινίζεται με ποιον τρόπο πρέπει να γίνεται η ενημέρωση αυτή ώστε να θεωρείται σύννομη, π.χ. η δημοσιοποίηση στο ευρύ κοινό της πολιτικής απορρήτου του υπεύθυνου επεξεργασίας θα θεωρείτο ως μία ενέργεια που ενημερώνει επαρκώς τον κάθε ενδιαφερόμενο για τη νόμιμη βάση της επεξεργασίας των δεδομένων του;
Ο Νόμος στο άρθρο 31 αναφέρει το βασικό δικαίωμα ενημέρωσης του υποκειμένου αναφορικά μόνο με την Ευρωπαϊκή Οδηγία 680/2016, ενώ δε δίνει κατευθυντήριες γραμμές ως προς τα ίδια ζητήματα που άπτονται του πεδίου εφαρμογής του Ευρωπαϊκού Κανονισμού 679/2016.
Ειδικότερα δεν επιλύεται θεσμοθετικά το ζήτημα των προτεινόμενων μέσων για την επαρκή και ορθή ενημέρωση του υποκείμενου, ιδίως ως προς τα δεδομένα που δε συλλέγονται απευθείας από το υποκείμενο (άρθρο 14 του Κανονισμού). Ο Κανονισμός δηλαδή αναγνωρίζει την αναγκαιότητα ενημέρωσης των υποκειμένων στις περιπτώσεις αυτές, ωστόσο στον υπό διαβούλευση νόμο, δεν παρέχεται ουδεμία κατευθυντήρια γραμμή για το πως ο υπεύθυνος επεξεργασίας θα ικανοποιήσει το δικαίωμα ενημέρωσης του υποκειμένου, που μεταξύ άλλων περιλαμβάνει την ενημέρωση για τη νόμιμη βάση της επεξεργασίας των δεδομένων του, όπως λόγου χάρη μέσω της ανάρτησης της πολιτικής απορρήτου στο site του, μέσω της δημοσίευσης σε εφημερίδες ευρείας κυκλοφορίας, μέσω του αποδέκτη των δεδομένων.