Νόμοι Προστασίας Δεδομένων στην Κύπρο: Οδηγός GDPR, Νόμου 125(Ι)/2018 και OCPDP (2026)

Το δίκαιο προστασίας δεδομένων της Κύπρου στηρίζεται σε δύο νομοθετήματα: τον GDPR της ΕΕ (Κανονισμός (ΕΕ) 2016/679), ο οποίος εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, και τον εθνικό συμπληρωματικό νόμο, Νόμο 125(Ι)/2018, ο οποίος ορίζει την ηλικία συναίνεσης των παιδιών στα 14 έτη και παρέχει εξουσίες επιβολής στο Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Νόμοι Προστασίας Δεδομένων στην Κύπρο: GDPR, Νόμος 125(Ι)/2018, και Επιβολή από την OCPDP (2026)
Το δίκαιο προστασίας δεδομένων της Κύπρου διέπεται από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) της ΕΕ, Κανονισμό (ΕΕ) 2016/679, ο οποίος εφαρμόζεται άμεσα ως δίκαιο σε κάθε κράτος μέλος της ΕΕ, και από τον Νόμο 125(Ι)/2018, τον εθνικό νόμο που συμπληρώνει τον GDPR με ειδικές για την Κύπρο διατάξεις σχετικά με την εποπτική αρχή, την ηλικία συναίνεσης των παιδιών, τις ποινικές κυρώσεις, και τις γνωστοποιήσεις διασυνοριακών διαβιβάσεων. Το Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (OCPDP) εποπτεύει και επιβάλλει και τα δύο αυτά νομοθετήματα.
Οι πληροφορίες επαληθεύτηκαν τελευταία φορά στις 2026-05-19. Το παρόν άρθρο παρέχει γενικές νομικές πληροφορίες και δεν έχει ελεγχθεί από αδειοδοτημένο δικηγόρο. Οι αναφερόμενοι νόμοι αντικατοπτρίζουν τις ισχύουσες εκδοχές τους από τις 2026-05-19.
Πεδίο δικαιοδοσίας: Το παρόν άρθρο αφορά το δίκαιο προστασίας δεδομένων της Κυπριακής Δημοκρατίας, καλύπτοντας τον GDPR της ΕΕ (Κανονισμός (ΕΕ) 2016/679), τον Νόμο 125(Ι)/2018, και τις κατευθυντήριες γραμμές και αποφάσεις επιβολής της OCPDP. Δεν αφορά το δίκαιο προστασίας δεδομένων του υπό τουρκική διοίκηση βόρειου τμήματος της Κύπρου. Για το ευρύτερο πλαίσιο του GDPR της ΕΕ, δείτε τους Νόμους Προστασίας Δεδομένων της ΕΕ. Για τους κανόνες συναίνεσης ηχογράφησης στην Κύπρο, δείτε τους Νόμους Ηχογράφησης της Κύπρου.
Σύντομη Απάντηση: Ποιοι Νόμοι Προστασίας Δεδομένων Ισχύουν στην Κύπρο;
Η Κύπρος είναι κράτος μέλος της ΕΕ. Ο GDPR εφαρμόζεται άμεσα και πλήρως, καλύπτοντας κάθε οργανισμό που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων στην Κύπρο, ανεξαρτήτως του τόπου εγκατάστασης του οργανισμού. Ο Νόμος 125(Ι)/2018 καλύπτει τα σημεία εθνικής διακριτικής ευχέρειας του GDPR: συστήνει την OCPDP και καθορίζει τις αρμοδιότητές της, ορίζει την ηλικία συναίνεσης των παιδιών στα 14 έτη, θεσπίζει ποινικά αδικήματα για ορισμένες παραβιάσεις δεδομένων, προσθέτει απαίτηση προηγούμενης γνωστοποίησης για διαβιβάσεις ειδικών κατηγοριών δεδομένων στο εξωτερικό, και ρυθμίζει την επεξεργασία σε ειδικά πλαίσια, όπως η απασχόληση και η δημοσιογραφία. Μαζί, ο GDPR και ο Νόμος 125(Ι)/2018 συνθέτουν το πλήρες πλαίσιο προστασίας δεδομένων της Κύπρου. Η OCPDP επιβάλλει και τα δύο, χειρίζεται καταγγελίες φυσικών προσώπων, και εκπροσωπεί την Κύπρο στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB).

Συνταγματική Βάση για την Προστασία Δεδομένων στην Κύπρο
Άρθρα 15 και 17 του Συντάγματος της Κύπρου
Το Σύνταγμα της Κύπρου του 1960 δεν περιέχει ρητό δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα. Η συνταγματική βάση για την προστασία δεδομένων οικοδομείται από δύο συναφείς αλλά διακριτές διατάξεις.
Το άρθρο 15 του Συντάγματος προστατεύει το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής. Εγγυάται σε κάθε πρόσωπο το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής του ζωής και απαγορεύει την παρέμβαση σε αυτό το δικαίωμα, εκτός εάν επιτρέπεται από τον νόμο και είναι αναγκαία προς το συμφέρον της ασφάλειας, της δημόσιας ασφάλειας, της τάξης, της υγείας, των χρηστών ηθών, ή των δικαιωμάτων τρίτων. Η διάταξη αυτή έχει ερμηνευθεί από το Ανώτατο Δικαστήριο της Κύπρου ώστε να καλύπτει και την ιδιωτικότητα των πληροφοριών, παρέχοντας το εγχώριο συνταγματικό θεμέλιο για τη νομοθετική προστασία των δεδομένων προσωπικού χαρακτήρα.
Το άρθρο 17 προστατεύει το απόρρητο της αλληλογραφίας και άλλων επικοινωνιών. Απαγορεύει την παρέμβαση σε επιστολές, επικοινωνίες και αλληλογραφία, εκτός εάν επιτρέπεται από τον νόμο για σκοπούς ποινικής έρευνας και υπό δικαστική εποπτεία.
Τα δύο αυτά άρθρα θεμελιώνουν από κοινού τη νομιμότητα του πλαισίου προστασίας δεδομένων. Όταν τα κυπριακά δικαστήρια καλούνται να σταθμίσουν δικαιώματα του GDPR έναντι αντικρουόμενων συμφερόντων, βασίζονται στο πλαίσιο των άρθρων 15 και 17, επιπλέον των άρθρων 7 (ιδιωτική ζωή) και 8 (προστασία δεδομένων προσωπικού χαρακτήρα) του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ, τα οποία υπερισχύουν ως δίκαιο της ΕΕ.

Νόμος 125(Ι)/2018: Δομή, Πεδίο Εφαρμογής και Βασικές Διατάξεις
Η Σχέση Μεταξύ του GDPR και του Εθνικού Νόμου
Ο Νόμος 125(Ι)/2018, με επίσημο τίτλο ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος, τέθηκε σε ισχύ στις 31 Ιουλίου 2018. Αντικατέστησε τον προγενέστερο Νόμο 138(Ι)/2001, ο οποίος είχε ενσωματώσει την Οδηγία 95/46/ΕΚ.
Ο νόμος δεν αναπαράγει τις διατάξεις του GDPR. Επειδή ο GDPR είναι άμεσα εφαρμοστέος Κανονισμός της ΕΕ, η Κύπρος δεν είχε ούτε την εξουσία ούτε την ανάγκη να θεσπίσει εκ νέου τους ουσιαστικούς κανόνες περί νομιμότητας, αντικειμενικότητας, διαφάνειας, περιορισμού του σκοπού, ελαχιστοποίησης των δεδομένων, ακρίβειας, περιορισμού της περιόδου αποθήκευσης, και ακεραιότητας. Αντ' αυτού, ο Νόμος 125(Ι)/2018 ασκεί τις διακριτικές ευχέρειες που ο GDPR αφήνει στα κράτη μέλη και δημιουργεί τη θεσμική αρχιτεκτονική για την επιβολή. Καλύπτει:
- Σύσταση, ανεξαρτησία και αρμοδιότητες της OCPDP (Μέρος ΙΙΙ)
- Συμπληρωματικοί κανόνες για την επεξεργασία από δημόσιες αρχές και για καθήκοντα δημοσίου συμφέροντος
- Παρεκκλίσεις και προϋποθέσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων σε συγκεκριμένα πλαίσια
- Το όριο ηλικίας συναίνεσης για παιδιά και υπηρεσίες της κοινωνίας της πληροφορίας
- Ποινικά αδικήματα που συμπληρώνουν το καθεστώς διοικητικών κυρώσεων του GDPR
- Η υποχρεωτική προηγούμενη γνωστοποίηση για διαβιβάσεις ειδικών κατηγοριών δεδομένων σε τρίτες χώρες (άρθρο 17 παράγραφος 1)
- Κανόνες για την επεξεργασία του αριθμού εθνικής ταυτότητας
- Διατάξεις που ενσωματώνουν την Οδηγία 2016/680 (Οδηγία για την Επιβολή του Νόμου) για την επεξεργασία από αστυνομικές και δικαστικές αρχές
Ο νόμος εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι πλήρως ή εν μέρει αυτοματοποιημένη, καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων που αποτελούν μέρος συστήματος αρχειοθέτησης. Καλύπτει τόσο υπευθύνους επεξεργασίας του ιδιωτικού τομέα όσο και φορείς του δημόσιου τομέα που είναι εγκατεστημένοι στην Κύπρο.
Νομικές Βάσεις Επεξεργασίας Βάσει του Άρθρου 6 του GDPR
Η Κύπρος ακολουθεί τις έξι νομικές βάσεις του άρθρου 6 του GDPR χωρίς τροποποίηση. Ένας υπεύθυνος επεξεργασίας μπορεί να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα όταν: (1) το υποκείμενο των δεδομένων έχει συναινέσει· (2) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης· (3) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση· (4) η επεξεργασία είναι απαραίτητη για την προστασία ζωτικών συμφερόντων· (5) η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος δημοσίου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας· ή (6) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου, εκτός εάν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.
Για την επεξεργασία στον δημόσιο τομέα, ο Νόμος 125(Ι)/2018 προβλέπει ότι οι βάσεις της έννομης υποχρέωσης και του δημοσίου συμφέροντος είναι διαθέσιμες σε δημόσιες αρχές και φορείς που εκτελούν καθήκοντα που τους έχουν ανατεθεί από τον νόμο. Η βάση του έννομου συμφέροντος γενικά δεν είναι διαθέσιμη σε δημόσιες αρχές που ενεργούν υπό την επίσημη ιδιότητά τους.
Για ειδικές κατηγορίες δεδομένων (υγεία, γενετικά δεδομένα, βιομετρικά δεδομένα, φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, σεξουαλική ζωή, σεξουαλικός προσανατολισμός), εφαρμόζεται το άρθρο 9 του GDPR, συμπληρωμένο από τις προϋποθέσεις του εθνικού νόμου που έχει επιλέξει να υιοθετήσει η Κύπρος, συμπεριλαμβανομένων ειδικών διατάξεων για την υγειονομική περίθαλψη, την επιστημονική έρευνα, και την απασχόληση.
Ηλικία Συναίνεσης Παιδιών: 14 Έτη
Το άρθρο 8 παράγραφος 1 του GDPR επιτρέπει στα κράτη μέλη να μειώσουν την προεπιλεγμένη ηλικία των 16 ετών για την ψηφιακή συναίνεση σε ελάχιστο όριο 13 ετών. Η Κύπρος επέλεξε τα 14 έτη ως όριο. Παιδί ηλικίας 14 ετών και άνω μπορεί να παράσχει έγκυρη συναίνεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του σε σχέση με υπηρεσίες της κοινωνίας της πληροφορίας, όπως πλατφόρμες κοινωνικής δικτύωσης, διαδικτυακές αγορές, και υπηρεσίες συνδρομής. Για παιδιά κάτω των 14 ετών, η συναίνεση πρέπει να παρέχεται ή να εγκρίνεται από τον κάτοχο της γονικής μέριμνας. Οι υπεύθυνοι επεξεργασίας που προσφέρουν υπηρεσίες σε παιδιά πρέπει να καταβάλλουν εύλογες προσπάθειες για να επαληθεύσουν ότι η συναίνεση δίνεται ή εγκρίνεται από το κατάλληλο πρόσωπο, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
Επεξεργασία Αριθμών Εθνικής Ταυτότητας
Το άρθρο 7 του Νόμου 125(Ι)/2018 ρυθμίζει την επεξεργασία αριθμών εθνικής ταυτότητας και άλλων αναγνωριστικών γενικής εφαρμογής. Η επεξεργασία αυτή επιτρέπεται μόνο όταν δικαιολογείται σαφώς από τον σκοπό, είναι απαραίτητη για ασφαλή ταυτοποίηση, ή απαιτείται για άλλον σημαντικό λόγο, και μόνο όταν κατάλληλες εγγυήσεις προστατεύουν τα υποκείμενα δεδομένων. Η διάταξη αυτή αφορά τραπεζικά, τηλεπικοινωνιακά, υγειονομικά και κυβερνητικά συστήματα που χρησιμοποιούν τον αριθμό δελτίου ταυτότητας ως πρωτεύον αναγνωριστικό.
Ποινικά Αδικήματα Βάσει του Άρθρου 84
Ο Νόμος 125(Ι)/2018 θεσπίζει ποινικά αδικήματα που συμπληρώνουν το καθεστώς διοικητικών κυρώσεων του GDPR. Ποινική ευθύνη μπορεί να προκύψει για: μη εξουσιοδοτημένη πρόσβαση ή υποκλοπή συστημάτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα· παράνομη αποκάλυψη δεδομένων προσωπικού χαρακτήρα που αποκτήθηκαν κατά την άσκηση επαγγελματικών καθηκόντων· επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά παράβαση διατάξεων περί ποινικού μητρώου· και παρεμπόδιση των επιθεωρήσεων ή ερευνών της OCPDP. Οι κυρώσεις περιλαμβάνουν πρόστιμα και, για τα σοβαρότερα αδικήματα, φυλάκιση. Η ποινική δίωξη διεξάγεται από την αστυνομία και το Γραφείο του Γενικού Εισαγγελέα, ανεξάρτητα από τη διοικητική επιβολή της OCPDP.

Το Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (OCPDP)
Ανεξαρτησία, Διορισμός και Τρέχουσα Ηγεσία
Η OCPDP συστάθηκε βάσει του προγενέστερου νόμου του 2001 και συνέχισε τη λειτουργία της με διευρυμένες αρμοδιότητες βάσει του Νόμου 125(Ι)/2018, σύμφωνα με τις απαιτήσεις ανεξαρτησίας του άρθρου 52 του GDPR. Ο Επίτροπος διορίζεται από το Υπουργικό Συμβούλιο για εξαετή θητεία και λειτουργεί χωρίς οδηγίες από οποιονδήποτε κυβερνητικό φορέα, θεσμό, ή ιδιωτική οντότητα.
Η Μαρία Μανώλη Χριστοφίδου διορίστηκε Επίτροπος με ισχύ από τις 28 Σεπτεμβρίου 2025, για θητεία που λήγει στις 27 Σεπτεμβρίου 2031. Διαδέχθηκε την Επίτροπο Ειρήνη Λοϊζίδου Νικολαΐδου, η οποία ηγήθηκε του γραφείου κατά τα διαμορφωτικά χρόνια της επιβολής του GDPR από το 2018 έως το 2025.
Η OCPDP έχει έδρα τη Λευκωσία. Εκπροσωπεί την Κύπρο ως πλήρες μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και συμμετέχει στον μηχανισμό συνεκτικότητας και στις κοινές ενέργειες επιβολής του EDPB. Το γραφείο διατηρεί προσβάσιμη ιστοσελίδα στη διεύθυνση dataprotection.gov.cy με κατευθυντήριες γραμμές, έντυπα καταγγελιών, υποδείγματα γνωστοποίησης παραβιάσεων, και το κείμενο του Νόμου 125(Ι)/2018 σε αγγλική μετάφραση.
Αρμοδιότητες: Διερευνητικές, Διορθωτικές και Συμβουλευτικές
Η OCPDP ασκεί το πλήρες φάσμα αρμοδιοτήτων που διαθέτουν οι εποπτικές αρχές βάσει των άρθρων 57 και 58 του GDPR.
Οι διερευνητικές αρμοδιότητες περιλαμβάνουν τη δυνατότητα να διατάσσει υπευθύνους και εκτελούντες την επεξεργασία να παρέχουν όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων του Επιτρόπου· να διενεργεί ελέγχους προστασίας δεδομένων· να ενημερώνει υπευθύνους ή εκτελούντες την επεξεργασία για εικαζόμενες παραβιάσεις· να έχει πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και σε όλες τις πληροφορίες που είναι απαραίτητες για την άσκηση των καθηκόντων της· και να έχει πρόσβαση σε οποιεσδήποτε εγκαταστάσεις υπευθύνων και εκτελούντων την επεξεργασία, συμπεριλαμβανομένου του εξοπλισμού και της αποθήκευσης επεξεργασίας δεδομένων.
Οι διορθωτικές αρμοδιότητες περιλαμβάνουν την εξουσία να εκδίδει προειδοποιήσεις· να εκδίδει επιπλήξεις· να διατάζει τη συμμόρφωση με αιτήματα υποκειμένων δεδομένων· να διατάζει διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας· να διατάζει προσωρινή ή μόνιμη απαγόρευση της επεξεργασίας· να διατάζει αναστολή ροών δεδομένων προς αποδέκτη σε τρίτη χώρα· και να επιβάλλει διοικητικά πρόστιμα έως τα ανώτατα όρια του GDPR.
Οι συμβουλευτικές αρμοδιότητες περιλαμβάνουν την έκδοση γνωμοδοτήσεων επί νομοθετικών προτάσεων, τη διαβούλευση επί κωδίκων δεοντολογίας, την παροχή κατευθυντήριων γραμμών σε τομεακούς φορείς, την έγκριση μηχανισμών πιστοποίησης, και τη δημοσίευση ετήσιων εκθέσεων.
Δικαιώματα Υποκειμένων Δεδομένων στην Κύπρο
Τα φυσικά πρόσωπα στην Κύπρο διαθέτουν το πλήρες σύνολο δικαιωμάτων υποκειμένου δεδομένων που προβλέπει ο GDPR. Οποιοδήποτε πρόσωπο πιστεύει ότι υπεύθυνος επεξεργασίας έχει παραβιάσει τα δικαιώματά του μπορεί να απευθυνθεί απευθείας στην OCPDP, η οποία θα διερευνήσει την καταγγελία δωρεάν.
Δικαίωμα Πρόσβασης (Άρθρο 15 GDPR)
Τα υποκείμενα δεδομένων μπορούν να λάβουν επιβεβαίωση για το αν τα δεδομένα προσωπικού χαρακτήρα τους υφίστανται επεξεργασία και, εάν ναι, να λάβουν αντίγραφο των δεδομένων αυτών μαζί με πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων, τους αποδέκτες ή τις κατηγορίες αποδεκτών, την προβλεπόμενη περίοδο διατήρησης, την πηγή των δεδομένων εάν δεν συλλέχθηκαν απευθείας από το υποκείμενο, και πληροφορίες σχετικά με τυχόν αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ. Οι υπεύθυνοι επεξεργασίας πρέπει να απαντούν εντός ενός μηνός, με δυνατότητα παράτασης κατά δύο επιπλέον μήνες για περίπλοκα ή πολυάριθμα αιτήματα.
Δικαίωμα Διόρθωσης και Διαγραφής (Άρθρα 16 και 17 GDPR)
Τα φυσικά πρόσωπα μπορούν να ζητήσουν διόρθωση ανακριβών δεδομένων και διαγραφή δεδομένων που δεν είναι πλέον απαραίτητα για τον σκοπό για τον οποίο συλλέχθηκαν, όταν η συναίνεση έχει ανακληθεί και δεν υπάρχει άλλη νομική βάση, ή όταν η επεξεργασία ήταν παράνομη. Το δικαίωμα διαγραφής δεν εφαρμόζεται όταν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση, για σκοπούς δημόσιας υγείας, για αρχειοθέτηση προς το δημόσιο συμφέρον, ή για τη θεμελίωση ή υπεράσπιση νομικών αξιώσεων.
Δικαίωμα Περιορισμού και Φορητότητας (Άρθρα 18 και 20 GDPR)
Τα υποκείμενα δεδομένων μπορούν να ζητήσουν περιορισμό της επεξεργασίας κατά τη διάρκεια περιόδου κατά την οποία αμφισβητείται η ακρίβεια, ή ενόσω εξετάζεται μια αντίρρηση. Η φορητότητα επιτρέπει στα φυσικά πρόσωπα να λάβουν τα δεδομένα τους σε δομημένη, ευρέως χρησιμοποιούμενη και αναγνώσιμη από μηχανή μορφή και να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας, όταν η επεξεργασία βασιζόταν σε συναίνεση ή σύμβαση.
Δικαίωμα Εναντίωσης (Άρθρο 21 GDPR)
Τα φυσικά πρόσωπα μπορούν να εναντιωθούν σε επεξεργασία που βασίζεται σε λόγους δημοσίου συμφέροντος ή έννομου συμφέροντος. Οι υπεύθυνοι επεξεργασίας πρέπει να διακόψουν την επεξεργασία, εκτός εάν αποδείξουν επιτακτικούς και νόμιμους λόγους που υπερισχύουν των συμφερόντων του προσώπου. Το δικαίωμα εναντίωσης στο άμεσο μάρκετινγκ είναι απόλυτο: οι υπεύθυνοι επεξεργασίας πρέπει να διακόψουν αμέσως και άνευ όρων κάθε τέτοια επεξεργασία μόλις υποβληθεί εναντίωση.
Δικαιώματα Σχετικά με την Αυτοματοποιημένη Λήψη Αποφάσεων (Άρθρο 22 GDPR)
Τα υποκείμενα δεδομένων έχουν δικαίωμα να μην υπόκεινται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα ή παρόμοια σημαντικά αποτελέσματα, εκτός εάν η απόφαση είναι απαραίτητη για σύμβαση, επιτρέπεται από το δίκαιο της ΕΕ ή εθνικό δίκαιο με κατάλληλες εγγυήσεις, ή βασίζεται σε ρητή συναίνεση. Το δικαίωμα αυτό αποκτά αυξανόμενη σημασία στον χρηματοοικονομικό τομέα της Κύπρου και σε πλαίσια απασχόλησης που περιλαμβάνουν αλγοριθμική αξιολόγηση.
Συναίνεση: Απαιτήσεις και Πρακτική Εφαρμογή
Πρότυπο Συναίνεσης του Άρθρου 7 GDPR
Η συναίνεση στην Κύπρο πρέπει να πληροί και τις τέσσερις απαιτήσεις του άρθρου 7 του GDPR: πρέπει να είναι ελεύθερη, συγκεκριμένη, εν επιγνώσει και ξεκάθαρη. Η συναίνεση πρέπει να παρέχεται με σαφή θετική ενέργεια, όπως η επιλογή πλαισίου ή το κλικ σε κουμπί. Προσυμπληρωμένα πεδία, σιωπή και αδράνεια δεν συνιστούν συναίνεση. Όταν η συναίνεση συνδυάζεται με άλλους όρους και προϋποθέσεις, η απαίτηση του GDPR να είναι η συναίνεση ελεύθερη γενικά δεν πληρούται εάν το υποκείμενο των δεδομένων δεν μπορεί να αρνηθεί τη συναίνεση χωρίς επιβλαβείς συνέπειες.
Η συναίνεση μπορεί να ανακληθεί ανά πάσα στιγμή, και η ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της συναίνεσης. Οι υπεύθυνοι επεξεργασίας πρέπει να μπορούν να αποδείξουν ότι η συναίνεση αποκτήθηκε με έγκυρη μορφή.
Συναίνεση για Cookies στην Κύπρο
Η OCPDP έχει δημοσιεύσει ειδικές κατευθυντήριες γραμμές για τη συναίνεση σε cookies και έχει κινήσει ενέργειες επιβολής κατά οργανισμών των οποίων οι ιστοσελίδες δεν εξασφάλισαν έγκυρη συναίνεση πριν από την τοποθέτηση μη απαραίτητων cookies. Το Κυπριακό Πρακτορείο Ειδήσεων έλαβε επίπληξη τον Φεβρουάριο του 2024 για παράνομη διαβίβαση δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες μέσω της χρήσης του Google Analytics χωρίς έγκυρη νομική βάση. Η απόφαση Aylo Freesites του Μαρτίου 2025 περιλάμβανε πρόστιμο 10.400 ευρώ ειδικά για την παράνομη χρήση cookies.
Γνωστοποίηση Παραβίασης Δεδομένων
Γνωστοποίηση εντός 72 Ωρών στην OCPDP (Άρθρο 33 GDPR)
Οι υπεύθυνοι επεξεργασίας πρέπει να γνωστοποιούν στην OCPDP παραβίαση δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από τη στιγμή που λαμβάνουν γνώση αυτής, εκτός εάν η παραβίαση είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η γνωστοποίηση πρέπει να περιγράφει τη φύση της παραβίασης, τις κατηγορίες και τον κατά προσέγγιση αριθμό των θιγόμενων προσώπων και εγγραφών, τις πιθανές συνέπειες, και τα μέτρα που έχουν ληφθεί ή προτείνονται.
Εάν ο υπεύθυνος επεξεργασίας δεν μπορεί να παράσχει όλες τις απαιτούμενες πληροφορίες εντός 72 ωρών, μπορεί να τις παράσχει σταδιακά, με την αρχική γνωστοποίηση να αποστέλλεται εντός της προθεσμίας και περαιτέρω στοιχεία να παρέχονται χωρίς αδικαιολόγητη καθυστέρηση. Πρέπει να εξηγούνται οι λόγοι της καθυστέρησης.
Γνωστοποίηση στα Θιγόμενα Φυσικά Πρόσωπα (Άρθρο 34 GDPR)
Όταν μια παραβίαση ενδέχεται να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, οι υπεύθυνοι επεξεργασίας πρέπει να ενημερώσουν τα θιγόμενα πρόσωπα χωρίς αδικαιολόγητη καθυστέρηση. Η γνωστοποίηση πρέπει να περιγράφει τη φύση της παραβίασης, τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επαφής, τις πιθανές συνέπειες, και τα συνιστώμενα μέτρα για τον μετριασμό πιθανής βλάβης.
Η γνωστοποίηση στα φυσικά πρόσωπα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνικά μέτρα που καθιστούν τα δεδομένα ακατανόητα σε μη εξουσιοδοτημένα πρόσωπα, όπως η κρυπτογράφηση, ή εάν ο υπεύθυνος επεξεργασίας έχει λάβει μεταγενέστερα μέτρα που εξασφαλίζουν ότι ο υψηλός κίνδυνος δεν είναι πλέον πιθανό να επέλθει, ή εάν η ατομική γνωστοποίηση θα απαιτούσε δυσανάλογη προσπάθεια, οπότε μπορεί να χρησιμοποιηθεί αντ' αυτής δημόσια ανακοίνωση ή παρόμοιο μέτρο.
Το ιστορικό επιβολής της OCPDP δείχνει ότι οι παραβιάσεις που σχετίζονται με περιστατικά ασφαλείας επισύρουν σημαντικά πρόστιμα. Στην υπόθεση του Ανοικτού Πανεπιστημίου Κύπρου, η OCPDP επέβαλε πρόστιμο 45.000 ευρώ μετά από επίθεση ransomware τον Μάρτιο του 2023, κατά την οποία οι δράστες δημοσίευσαν κλεμμένα δεδομένα, συμπεριλαμβανομένων στοιχείων φοιτητών, αποφοίτων και συνεργατών, μετά από αποτυχημένο αίτημα λύτρων. Η έρευνα της Επιτρόπου διαπίστωσε ανεπαρκή μέτρα ασφαλείας και παραβίαση των υποχρεώσεων λογοδοσίας του GDPR.
Υπεύθυνοι Προστασίας Δεδομένων
Πότε ο Ορισμός DPO Είναι Υποχρεωτικός
Το άρθρο 37 του GDPR απαιτεί τον ορισμό Υπεύθυνου Προστασίας Δεδομένων σε τρεις περιπτώσεις: όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα (με εξαίρεση τα δικαστήρια κατά την άσκηση της δικαιοδοτικής τους λειτουργίας)· όταν οι βασικές δραστηριότητες του υπευθύνου ή του εκτελούντος την επεξεργασία συνίστανται σε πράξεις επεξεργασίας που, λόγω της φύσης, του πεδίου εφαρμογής ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα· ή όταν οι βασικές δραστηριότητες συνίστανται σε επεξεργασία ειδικών κατηγοριών δεδομένων βάσει του άρθρου 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα βάσει του άρθρου 10, σε μεγάλη κλίμακα.
Το άρθρο 14 παράγραφος 2 του Νόμου 125(Ι)/2018 παρέχει στην OCPDP την πρόσθετη εξουσία να δημοσιεύει κατάλογο πράξεων επεξεργασίας για τις οποίες πρέπει να ορίζεται DPO πέραν των κατηγοριών του GDPR. Έως το 2026, η OCPDP δεν έχει δημοσιεύσει τέτοιο κατάλογο.
Υποχρεώσεις και Εμπιστευτικότητα του DPO
Οι DPO στην Κύπρο δεσμεύονται από την υποχρέωση επαγγελματικού απορρήτου ή εμπιστευτικότητας κατά την άσκηση των καθηκόντων τους βάσει του Νόμου 125(Ι)/2018. Πρέπει να τους παρέχονται οι απαραίτητοι πόροι για την εκτέλεση των καθηκόντων τους και τη διατήρηση της εξειδικευμένης γνώσης τους. Ο DPO πρέπει να συμμετέχει σε όλα τα ζητήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα από το αρχικότερο στάδιο και πρέπει να αναφέρεται απευθείας στο ανώτατο επίπεδο διοίκησης.
Οι εξωτερικές ρυθμίσεις DPO βάσει σύμβασης παροχής υπηρεσιών επιτρέπονται ρητά από το άρθρο 37 παράγραφος 6 του GDPR και χρησιμοποιούνται ευρέως από μικρομεσαίες επιχειρήσεις στην Κύπρο.
Διασυνοριακές Διαβιβάσεις Δεδομένων
Το Πλαίσιο Διαβίβασης του GDPR
Δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν από την Κύπρο σε χώρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) μόνο όταν η Ευρωπαϊκή Επιτροπή έχει εκδώσει απόφαση επάρκειας για τη συγκεκριμένη χώρα ή έδαφος, ή όταν υπάρχουν κατάλληλες εγγυήσεις, ή όταν εφαρμόζεται συγκεκριμένη παρέκκλιση βάσει του άρθρου 49 του GDPR.
Οι αποφάσεις επάρκειας που ισχύουν σήμερα καλύπτουν χώρες όπως το Ηνωμένο Βασίλειο, την Ελβετία, την Ιαπωνία, τη Νότια Κορέα, τη Νέα Ζηλανδία, τον Καναδά (για εμπορικούς οργανισμούς), και τις Ηνωμένες Πολιτείες βάσει του Πλαισίου Προστασίας Δεδομένων ΕΕ-ΗΠΑ που εγκρίθηκε τον Ιούλιο του 2023. Η Σιγκαπούρη έλαβε καθεστώς επάρκειας στα τέλη του 2024.
Οι κατάλληλες εγγυήσεις περιλαμβάνουν τυποποιημένες συμβατικές ρήτρες (SCCs) στη μορφή που εγκρίθηκε από την Ευρωπαϊκή Επιτροπή στις 4 Ιουνίου 2021, δεσμευτικούς εταιρικούς κανόνες (BCRs) εγκεκριμένους από επικεφαλής εποπτική αρχή, κώδικες δεοντολογίας με δεσμευτικές και εκτελεστές δεσμεύσεις, εγκεκριμένους μηχανισμούς πιστοποίησης, και ειδικές συμβατικές ρήτρες ή διοικητικές ρυθμίσεις εγκεκριμένες από την αρμόδια εποπτική αρχή.
Όπου δεν υπάρχει απόφαση επάρκειας ούτε SCCs ή BCRs, οι υπεύθυνοι επεξεργασίας πρέπει να διενεργούν Εκτίμηση Αντικτύπου Διαβίβασης (TIA) για να προσδιορίσουν αν το επίπεδο προστασίας στην τρίτη χώρα είναι ουσιαστικά ισοδύναμο με εκείνο εντός του ΕΟΧ, λαμβάνοντας υπόψη τους νόμους και τις πρακτικές της τρίτης χώρας.
Ειδική για την Κύπρο Προηγούμενη Γνωστοποίηση για Ειδικές Κατηγορίες Δεδομένων
Το άρθρο 17 παράγραφος 1 του Νόμου 125(Ι)/2018 θεσπίζει απαίτηση που δεν υπάρχει στον ίδιο τον GDPR. Όταν υπεύθυνος ή εκτελών την επεξεργασία σκοπεύει να διαβιβάσει ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (υγεία, γενετικά δεδομένα, βιομετρικά δεδομένα, φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, σεξουαλική ζωή, ή σεξουαλικό προσανατολισμό) σε τρίτη χώρα ή διεθνή οργανισμό βάσει των εγγυήσεων του άρθρου 46 του GDPR ή των BCRs του άρθρου 47, πρέπει να γνωστοποιήσει στην OCPDP πριν από τη διαβίβαση.
Η υποχρέωση αυτή ισχύει επιπλέον των τυπικών απαιτήσεων διαβίβασης του GDPR. Ο σκοπός της είναι να παρέχει στην OCPDP προηγούμενη ενημέρωση για διαβιβάσεις ευαίσθητων δεδομένων υψηλού κινδύνου. Οργανισμοί που δραστηριοποιούνται στην υγειονομική περίθαλψη, τη βιομετρία, τους ανθρώπινους πόρους, ή τις χρηματοοικονομικές υπηρεσίες, και που χρησιμοποιούν SCCs ή BCRs για διασυνοριακές διαβιβάσεις ειδικών κατηγοριών δεδομένων, πρέπει να ενσωματώσουν αυτό το βήμα γνωστοποίησης στις διαδικασίες διακυβέρνησης διαβιβάσεών τους. Η παράλειψη γνωστοποίησης συνιστά διακριτή παραβίαση του GDPR στην κυπριακή έννομη τάξη, ανεξάρτητη από τυχόν ανεπάρκεια του υποκείμενου μηχανισμού διαβίβασης.
Η OCPDP έχει επιβάλει κυρώσεις για το ζήτημα του Google Analytics σε αυτό το διασυνοριακό πλαίσιο: το Κυπριακό Πρακτορείο Ειδήσεων έλαβε επίπληξη τον Φεβρουάριο του 2024, αφού η Επίτροπος διαπίστωσε ότι η ιστοσελίδα του διαβίβαζε δεδομένα προσωπικού χαρακτήρα σε διακομιστές της Google στις Ηνωμένες Πολιτείες χωρίς έγκυρη νομική βάση, ακολουθώντας το πρότυπο ενεργειών επιβολής που έχουν λάβει πολλά κράτη μέλη της ΕΕ μετά την απόφαση Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης και τις επακόλουθες κατευθυντήριες γραμμές του EDPB.
Κυρώσεις και Ποινές
Διοικητικά Πρόστιμα του GDPR
Η διβάθμια δομή προστίμων του GDPR εφαρμόζεται άμεσα στην Κύπρο χωρίς τροποποίηση.
Παραβιάσεις χαμηλότερης βαθμίδας (όπως η μη τήρηση αρχείων δραστηριοτήτων επεξεργασίας, η μη συνεργασία με την εποπτική αρχή, η μη γνωστοποίηση παραβίασης, ή η μη σύσταση DPO όπου απαιτείται) μπορούν να επισύρουν πρόστιμα έως 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, όποιο από τα δύο είναι υψηλότερο.
Παραβιάσεις ανώτερης βαθμίδας (όπως η επεξεργασία χωρίς νομική βάση, η παραβίαση των προϋποθέσεων έγκυρης συναίνεσης, η μη τήρηση των δικαιωμάτων των υποκειμένων δεδομένων, και οι παράνομες διεθνείς διαβιβάσεις) μπορούν να επισύρουν πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, όποιο από τα δύο είναι υψηλότερο.
Επιπλέον, ο Νόμος 125(Ι)/2018 επιτρέπει στην OCPDP να επιβάλλει πρόστιμα έως 200.000 ευρώ για παραβιάσεις που διαπράττονται σε σχέση με μη κερδοσκοπικές δραστηριότητες ή άλλους τομείς που καθορίζονται από τον εθνικό νόμο, όπου ο υπολογισμός βάσει κύκλου εργασιών του GDPR δεν έχει νόημα.
Ποινικές Κυρώσεις
Παραβιάσεις των ποινικών διατάξεων του άρθρου 84 του Νόμου 125(Ι)/2018 μπορούν να επισύρουν πρόστιμα και φυλάκιση. Η ποινική επιβολή απαιτεί αστυνομική έρευνα και δίωξη ενώπιον των δικαστηρίων, αντί για διοικητική διαδικασία ενώπιον της OCPDP.
Επιβολή από την OCPDP: Βασικές Αποφάσεις και Τάσεις
Ιστορικό Επιβολής 2018-2025
Από τότε που ο GDPR κατέστη εφαρμοστέος τον Μάιο του 2018, η OCPDP έχει χειριστεί πάνω από 2.500 καταγγελίες και έχει επιβάλει σωρευτικά διοικητικά πρόστιμα άνω των 1,5 εκατομμυρίων ευρώ. Οι ακόλουθες αποφάσεις καταδεικνύουν το εύρος και την εστίαση της επιβολής.
Ανοικτό Πανεπιστήμιο Κύπρου (Νοέμβριος 2023): Πρόστιμο 45.000 Ευρώ. Επίθεση ransomware τον Μάρτιο του 2023 έθεσε σε κίνδυνο δεδομένα φοιτητών, αποφοίτων και συνεργατών. Οι δράστες απαίτησαν λύτρα. Όταν πέρασε η προθεσμία, τα κλεμμένα δεδομένα δημοσιεύθηκαν στο dark web. Η OCPDP διαπίστωσε ότι το πανεπιστήμιο διέθετε ανεπαρκή μέτρα ασφαλείας και παραβίασε την αρχή λογοδοσίας του GDPR, επιβάλλοντας πρόστιμο 45.000 ευρώ. Η OCPDP επέβαλε επίσης χωριστά πρόστιμο 8.000 ευρώ στο Υπουργείο Παιδείας για συναφείς παραβιάσεις.
Κυπριακό Πρακτορείο Ειδήσεων (Φεβρουάριος 2024): Επίπληξη. Η OCPDP εξέδωσε επίπληξη στο εθνικό πρακτορείο ειδήσεων της Κύπρου για παράνομη διαβίβαση δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες μέσω της χρήσης του Google Analytics χωρίς έγκυρη νομική βάση. Η απόφαση ακολούθησε το πρότυπο παρόμοιων αποφάσεων αρχών προστασίας δεδομένων σε ολόκληρη την ΕΕ.
Brivio Limited (Ιούλιος 2024): Πρόστιμο 2.000 Ευρώ. Η διαδικτυακή πλατφόρμα τυχερών παιχνιδιών παρέλειψε να απαντήσει σε αίτημα πρόσβασης υποκειμένου δεδομένων εντός της προθεσμίας του ενός μηνός βάσει του άρθρου 12 παράγραφος 3 του GDPR. Το πρόστιμο αντικατόπτριζε τη σχετικά περιορισμένη έκταση της παραβίασης και τη μεταγενέστερη συμμόρφωση της εταιρείας.
Housing Finance Corporation (2024-2025): Πρόστιμο 10.000 Ευρώ. Η OCPDP επέβαλε πρόστιμο στην κρατική τράπεζα για διατήρηση ανακριβών δεδομένων προσωπικού χαρακτήρα υποκειμένου δεδομένων πέραν της νόμιμης περιόδου διατήρησης και για παράλειψη εφαρμογής ουσιαστικών και αποτελεσματικών μέτρων για τη διασφάλιση της συμμόρφωσης με τον GDPR. Η απόφαση εφάρμοσε τόσο την αρχή της ακρίβειας των δεδομένων (άρθρο 5 παράγραφος 1 στοιχείο δ΄) όσο και την υποχρέωση λογοδοσίας (άρθρο 5 παράγραφος 2).
Senira Limited / nicelocal.com (Σεπτέμβριος 2024): Πρόστιμο 3.000 Ευρώ. Ο υπεύθυνος επεξεργασίας παρέλειψε να συμμορφωθεί με πολλαπλά αιτήματα διαγραφής από υποκείμενα δεδομένων και παρέλειψε να απαντήσει σε αίτημα πληροφοριών της OCPDP εντός της απαιτούμενης προθεσμίας, παραβιάζοντας τα άρθρα 17 και 31 του GDPR. Η απόφαση ανέδειξε την προσδοκία της OCPDP ότι οι υπεύθυνοι επεξεργασίας θα ανταποκρίνονται άμεσα τόσο στα υποκείμενα δεδομένων όσο και στην εποπτική αρχή.
Aylo Freesites Ltd (Μάρτιος 2025): Πρόστιμο 58.400 Ευρώ. Πρόκειται για το σημαντικότερο πρόστιμο στο δημοσιευμένο ιστορικό επιβολής της OCPDP. Η OCPDP διενήργησε αυτεπάγγελτη επιτόπια επιθεώρηση στις εγκαταστάσεις της εταιρείας. Η έρευνα εντόπισε παραλείψεις όσον αφορά τη λογοδοσία, τη διαφάνεια, τη νομιμότητα, την ελαχιστοποίηση δεδομένων, τον περιορισμό αποθήκευσης, και την απαίτηση ύπαρξης νομικής βάσης. Οι παραλείψεις αυτές επέμεναν επί έτη μετά την έναρξη εφαρμογής του GDPR. Η OCPDP επέβαλε πρόστιμο 48.000 ευρώ για τις ουσιαστικές παραβιάσεις προστασίας δεδομένων και επιπλέον 10.400 ευρώ για την παράνομη χρήση cookies. Η Aylo είχε εφαρμόσει διορθωτικά μέτρα κατόπιν εντολής συμμόρφωσης, όμως οι προγενέστερες παραβιάσεις δικαιολογούσαν το πρόστιμο.
Συμμετοχή στη Συντονισμένη Επιβολή του EDPB
Η OCPDP συμμετέχει στο Πλαίσιο Συντονισμένης Επιβολής (CEF) του EDPB. Το 2025, 32 αρχές προστασίας δεδομένων σε ολόκληρη την Ευρώπη συμμετείχαν σε συντονισμένη ενέργεια επιβολής με επίκεντρο το δικαίωμα διαγραφής βάσει του άρθρου 17 του GDPR. Εννέα αρχές κίνησαν νέες επίσημες έρευνες και 23 διενήργησαν ασκήσεις διερεύνησης στοιχείων. Η έκθεση του EDPB του Φεβρουαρίου 2026 για την ενέργεια CEF 2025 εντόπισε προκλήσεις, όπως τεχνικά εμπόδια στη διαγραφή, ασυνεπείς πρακτικές απογραφής δεδομένων, και καθυστερήσεις στις απαντήσεις των υπευθύνων επεξεργασίας σε αιτήματα διαγραφής.
Για το 2026, ο EDPB έχει ξεκινήσει συντονισμένη ενέργεια επιβολής με επίκεντρο τις υποχρεώσεις διαφάνειας και ενημέρωσης βάσει του GDPR, στην οποία αναμένεται να συμμετάσχουν αρχές προστασίας δεδομένων σε ολόκληρη την Ευρώπη, συμπεριλαμβανομένης της Κύπρου.
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη και η Προστασία Δεδομένων στην Κύπρο
Επισκόπηση του Κανονισμού (ΕΕ) 2024/1689
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη (Κανονισμός (ΕΕ) 2024/1689) δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης στις 12 Ιουλίου 2024 και τέθηκε σε ισχύ την 1η Αυγούστου 2024. Είναι το πρώτο ολοκληρωμένο κανονιστικό πλαίσιο στον κόσμο για την τεχνητή νοημοσύνη. Ο Κανονισμός εφαρμόζεται στην Κύπρο άμεσα ως δίκαιο της ΕΕ, χωρίς να απαιτείται εθνική ενσωμάτωση των ουσιαστικών κανόνων του.
Το χρονοδιάγραμμα του Κανονισμού διαμορφώνεται ως εξής:
- Οι απαγορεύσεις πρακτικών τεχνητής νοημοσύνης απαράδεκτου κινδύνου κατέστησαν εφαρμοστέες στις 2 Φεβρουαρίου 2025.
- Οι υποχρεώσεις για μοντέλα τεχνητής νοημοσύνης γενικού σκοπού κατέστησαν εφαρμοστέες στις 2 Αυγούστου 2025.
- Οι υποχρεώσεις διαφάνειας για τεχνητή νοημοσύνη περιορισμένου κινδύνου εφαρμόζονται από τις 2 Αυγούστου 2025.
- Οι υποχρεώσεις για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου εφαρμόζονται από τις 2 Αυγούστου 2026.
Αλληλεπίδραση GDPR και Κανονισμού για την Τεχνητή Νοημοσύνη
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη και ο GDPR αλληλεπιδρούν με σημαντικούς τρόπους. Συστήματα τεχνητής νοημοσύνης που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα υπόκεινται ταυτόχρονα και στα δύο πλαίσια. Βασικοί τομείς επικάλυψης περιλαμβάνουν:
Οι υποχρεώσεις διακυβέρνησης δεδομένων για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου (άρθρο 10 του Κανονισμού) απαιτούν τα σύνολα δεδομένων εκπαίδευσης, επικύρωσης και δοκιμής να είναι συναφή, επαρκώς αντιπροσωπευτικά, και απαλλαγμένα από σφάλματα όπου αυτό είναι εφικτό. Οι υποχρεώσεις αυτές συμπληρώνουν τις αρχές ακρίβειας και ελαχιστοποίησης δεδομένων του GDPR.
Οι εκτιμήσεις αντικτύπου στην προστασία δεδομένων που απαιτούνται βάσει του άρθρου 35 του GDPR θα απαιτούνται συχνά παράλληλα με τις αξιολογήσεις συμμόρφωσης που επιβάλλει ο Κανονισμός για τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου. Στην πράξη, οι οργανισμοί θα πρέπει να ενσωματώνουν τις αξιολογήσεις αυτές σε μία ενιαία διαδικασία συμμόρφωσης όπου είναι εφικτό.
Τα δικαιώματα αυτοματοποιημένης λήψης αποφάσεων βάσει του άρθρου 22 του GDPR παρέχουν ατομική εγγύηση έναντι αποκλειστικά αυτοματοποιημένων αποφάσεων με έννομα ή παρόμοια σημαντικά αποτελέσματα. Όταν σύστημα τεχνητής νοημοσύνης υψηλού κινδύνου λαμβάνει ή διαμορφώνει τέτοιες αποφάσεις, εφαρμόζονται τόσο οι απαιτήσεις διακυβέρνησης του Κανονισμού όσο και τα δικαιώματα του άρθρου 22 του GDPR.
Η OCPDP είναι μία από τις τρεις εθνικές δημόσιες αρχές που όρισε η Κύπρος για την εποπτεία της συμμόρφωσης με τις υποχρεώσεις θεμελιωδών δικαιωμάτων βάσει του Κανονισμού, κατόπιν της αποφάσεως ορισμού του Υπουργικού Συμβουλίου της 22ας Ιανουαρίου 2025. Το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής λειτουργεί ως ο συνολικός εθνικός συντονιστικός φορέας και ως εκπρόσωπος της Κύπρου στο Ευρωπαϊκό Συμβούλιο Τεχνητής Νοημοσύνης. Ο Επίτροπος Ηλεκτρονικών Επικοινωνιών έχει οριστεί ως Αρχή Εποπτείας της Αγοράς για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου.
Οι υποχρεώσεις για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου καθίστανται εφαρμοστέες στις 2 Αυγούστου 2026. Οργανισμοί στην Κύπρο που αναπτύσσουν συστήματα τεχνητής νοημοσύνης στην υγειονομική περίθαλψη, την απασχόληση, την εκπαίδευση, τις υποδομές ζωτικής σημασίας, την επιβολή του νόμου, ή την απονομή δικαιοσύνης, θα πρέπει να αντιμετωπίσουν την περίοδο έως τον Αύγουστο του 2026 ως παράθυρο προετοιμασίας συμμόρφωσης.
Υποχρεώσεις NIS2 και Κυβερνοασφάλειας στην Κύπρο
Στις 25 Απριλίου 2025, η Κυπριακή Δημοκρατία θέσπισε τον περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικό) Νόμο του 2025, ενσωματώνοντας την Οδηγία NIS2 της ΕΕ (Οδηγία 2022/2555) στην εθνική νομοθεσία. Το πλαίσιο NIS2 λειτουργεί παράλληλα με τον GDPR και δημιουργεί διακριτές αλλά συμπληρωματικές υποχρεώσεις για τη διαχείριση κινδύνων κυβερνοασφάλειας και τη γνωστοποίηση περιστατικών.
Ο Νόμος NIS2 καλύπτει οργανισμούς που χαρακτηρίζονται ως «βασικοί» ή «σημαντικοί» βάσει ορίου μεγέθους και τομέα. Στην Κύπρο, ο Νόμος NIS2 έφερε περίπου δέκα φορές περισσότερους οργανισμούς στο πεδίο εφαρμογής, σε σύγκριση με το προγενέστερο καθεστώς NIS1, το οποίο κάλυπτε μόλις 70 οντότητες.
Βάσει της NIS2, οι βασικές οντότητες πρέπει να αναφέρουν σημαντικά περιστατικά κυβερνοασφάλειας εντός έξι ωρών από τη στιγμή που λαμβάνουν γνώση (αρχική γνωστοποίηση) και να παρέχουν πλήρη γνωστοποίηση εντός 72 ωρών. Τα διοικητικά πρόστιμα για βασικές οντότητες μπορούν να φθάσουν τα 10 εκατομμύρια ευρώ ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών, και για σημαντικές οντότητες τα 7 εκατομμύρια ευρώ ή το 1,4% του παγκόσμιου ετήσιου κύκλου εργασιών.
Όταν ένα περιστατικό κυβερνοασφάλειας βάσει της NIS2 συνιστά επίσης παραβίαση δεδομένων προσωπικού χαρακτήρα, οι οργανισμοί αντιμετωπίζουν διπλή υποχρέωση γνωστοποίησης: προς την Αρχή Ψηφιακής Ασφάλειας βάσει του Νόμου NIS2 και προς την OCPDP βάσει του άρθρου 33 του GDPR. Οργανισμοί σε κρίσιμους τομείς θα πρέπει να συντονίζουν τις διαδικασίες αντιμετώπισης περιστατικών τους ώστε να καλύπτουν ταυτόχρονα και τις δύο υποχρεώσεις.
Το Υπόβαθρο Pegasus/Intellexa: Διακυβέρνηση Ιδιωτικότητας και Παρακολούθηση
Η Κύπρος ως Κόμβος Κατασκοπευτικού Λογισμικού
Η κοινοπραξία Intellexa, η οποία ανέπτυξε και εμπορεύτηκε το κατασκοπευτικό λογισμικό Predator, χρησιμοποίησε την Κύπρο ως κύριο επιχειρησιακό κόμβο και κόμβο εξαγωγών. Το Predator είναι εμπορικό εργαλείο παρακολούθησης ικανό να αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που είναι αποθηκευμένα ή διαβιβάζονται μέσω μιας στοχευμένης συσκευής. Ο ιδρυτής της κοινοπραξίας, Ταλ Ντιλιάν, ίδρυσε την επιχείρηση στην Κύπρο εν μέρει για να παρακάμψει τους ισραηλινούς ελέγχους εξαγωγών, ενώ στρατολογούσε τεχνική εξειδίκευση από τον τομέα εθνικής ασφάλειας του Ισραήλ.
Η Διεθνής Κοινοπραξία Ερευνητών Δημοσιογράφων (ICIJ) δημοσίευσε εκτενές ρεπορτάζ για την έρευνα Cyprus Confidential, τεκμηριώνοντας πώς η δομή της Intellexa εκμεταλλεύτηκε το εταιρικό μητρώο και το περιβάλλον αδειοδότησης της Κύπρου. Τον Μάρτιο και τον Σεπτέμβριο του 2024, το Υπουργείο Οικονομικών των Ηνωμένων Πολιτειών επέβαλε κυρώσεις στην Intellexa, τον Ντιλιάν, και τη συνεργάτιδά του Σάρα Χαμού, για τη διευκόλυνση της διάδοσης τεχνολογιών παρακολούθησης σε αυταρχικά καθεστώτα και για τη στοχοποίηση αξιωματούχων, δημοσιογράφων και ειδικών πολιτικής των ΗΠΑ. Τα ελληνικά δικαστήρια καταδίκασαν τον Ντιλιάν και τρεις συνεργάτες του σε σκάνδαλο υποκλοπών συνδεδεμένο με τις δραστηριότητες της Intellexa.
Επιπτώσεις για τη Διακυβέρνηση Προστασίας Δεδομένων στην Κύπρο
Το επεισόδιο της Intellexa ανέδειξε χάσματα ανάμεσα στο τυπικό νομικό πλαίσιο προστασίας δεδομένων της Κύπρου και την πρακτική διακυβέρνηση ιδιωτικότητας, ιδίως όσον αφορά τους ελέγχους εξαγωγών και την εταιρική εποπτεία. Η Επιτροπή PEGA του Ευρωπαϊκού Κοινοβουλίου, η οποία διερεύνησε τη χρήση του Pegasus και αντίστοιχου κατασκοπευτικού λογισμικού σε ολόκληρη την ΕΕ, συνέστησε στην Κύπρο να ανακαλέσει άδειες εξαγωγών που δεν ευθυγραμμίζονται με τη νομοθεσία της ΕΕ και να ενισχύσει την εποπτεία εταιρειών τεχνολογίας παρακολούθησης που δραστηριοποιούνται με κυπριακή καταχώριση.
Το επεισόδιο είναι σχετικό με κάθε αξιολόγηση του δικαίου προστασίας δεδομένων της Κύπρου για τρεις λόγους. Πρώτον, καταδεικνύει ότι η τυπική συμμόρφωση με τον GDPR και τον Νόμο 125(Ι)/2018 δεν διασφαλίζει από μόνη της ένα περιβάλλον υψηλής εμπιστοσύνης ως προς την ιδιωτικότητα, εάν τα καθεστώτα εταιρικής διακυβέρνησης και αδειοδότησης εξαγωγών δημιουργούν ευκαιρίες για παρακολούθηση σε μεγάλη κλίμακα. Δεύτερον, έχει εντείνει την πολιτική και κανονιστική προσοχή στη διασταύρωση δικαίου προστασίας δεδομένων, κυβερνοασφάλειας και παρακολούθησης στην Κύπρο. Τρίτον, παρέχει το πλαίσιο για την κατανόηση του λόγου για τον οποίο η OCPDP και τα θεσμικά όργανα της ΕΕ έχουν εντείνει τον έλεγχο επί επιχειρήσεων τεχνολογίας με έδρα την Κύπρο.
Ειδικές Περιπτώσεις Επεξεργασίας
Δεδομένα Απασχόλησης
Ο Νόμος 125(Ι)/2018 περιλαμβάνει διατάξεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης. Οι εργοδότες πρέπει να προσδιορίζουν κατάλληλη νομική βάση για κάθε κατηγορία δεδομένων εργαζομένων που επεξεργάζονται. Οι βάσεις της έννομης υποχρέωσης και της σύμβασης είναι συνήθως διαθέσιμες για σκοπούς μισθοδοσίας, φορολογικής αναφοράς και κοινωνικής ασφάλισης. Το έννομο συμφέρον μπορεί να στηρίξει ορισμένες δραστηριότητες παρακολούθησης στον χώρο εργασίας, όμως πρέπει να σταθμίζεται έναντι των εύλογων προσδοκιών ιδιωτικότητας των εργαζομένων.
Η OCPDP έχει εκδώσει ειδικές κατευθυντήριες γραμμές για την παρακολούθηση με CCTV σε χώρους εργασίας, τονίζοντας ότι οι εργοδότες πρέπει να ενημερώνουν τους εργαζομένους για κάθε παρακολούθηση, να περιορίζουν το πεδίο της παρακολούθησης στο απολύτως αναγκαίο, και να εφαρμόζουν επαρκή μέτρα ασφαλείας για την αποθήκευση του υλικού. Η επεξεργασία δεδομένων υγείας εργαζομένων απαιτεί μία από τις προϋποθέσεις του άρθρου 9, συνήθως ρητή συναίνεση ή αναγκαιότητα για σκοπούς ιατρικής της εργασίας.
Δημοσιογραφία, Έρευνα και Ελευθερία Έκφρασης
Ο Νόμος 125(Ι)/2018 προβλέπει εξαιρέσεις για επεξεργασία που διενεργείται για δημοσιογραφικούς, ακαδημαϊκούς, καλλιτεχνικούς, ή λογοτεχνικούς σκοπούς, σύμφωνα με το άρθρο 85 του GDPR. Οι εξαιρέσεις αυτές αντικατοπτρίζουν τη συνταγματική προστασία της ελευθερίας έκφρασης στην Κύπρο και επιτρέπουν σε υπευθύνους επεξεργασίας στον τομέα των μέσων ενημέρωσης να λειτουργούν χωρίς το πλήρες βάρος των δικαιωμάτων των υποκειμένων δεδομένων, σε περιπτώσεις όπου τα δικαιώματα αυτά θα υπονόμευαν τη δημοσιογραφική κάλυψη δημοσίου συμφέροντος. Το εύρος των εξαιρέσεων ρυθμίζεται από το κυπριακό δίκαιο ώστε να αντιστοιχεί στις ειδικές προστασίες που παρέχει το Σύνταγμα.
Δεδομένα Υγείας και Έρευνας
Η επεξεργασία δεδομένων υγείας για ιατρική περίθαλψη, δημόσια υγεία, επιστημονική έρευνα, και στατιστικούς σκοπούς επωφελείται από τις προϋποθέσεις του άρθρου 9 παράγραφος 2 και, σε ορισμένες περιπτώσεις, από ειδικές διατάξεις του Νόμου 125(Ι)/2018. Η επεξεργασία για ερευνητικούς σκοπούς μπορεί να υπόκειται σε παρεκκλίσεις από ορισμένα δικαιώματα υποκειμένων δεδομένων, εφόσον υπάρχουν κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της ψευδωνυμοποίησης, τεχνικών και οργανωτικών μέτρων για την ελαχιστοποίηση του κινδύνου επανταυτοποίησης, και περιορισμών πρόσβασης. Η OCPDP πρέπει να πειστεί ότι ο ερευνητικός σκοπός δεν θα μπορούσε ευλόγως να επιτευχθεί με επεξεργασία δεδομένων που δεν ταυτοποιούν φυσικά πρόσωπα.
Καθοδήγηση Συμμόρφωσης για Οργανισμούς στην Κύπρο
Βασικές Υποχρεώσεις Συμμόρφωσης
Οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στην Κύπρο βάσει του GDPR και του Νόμου 125(Ι)/2018 θα πρέπει να ανταποκρίνονται στις ακόλουθες βασικές υποχρεώσεις:
Χαρτογράφηση νομιμότητας. Προσδιορίστε και τεκμηριώστε τη νομική βάση για κάθε δραστηριότητα επεξεργασίας. Για επεξεργασία βάσει συναίνεσης, βεβαιωθείτε ότι η συναίνεση πληροί και τις τέσσερις απαιτήσεις του άρθρου 7 του GDPR. Για το έννομο συμφέρον, ολοκληρώστε αξιολόγηση έννομου συμφέροντος που τεκμηριώνει τη δοκιμή στάθμισης συμφερόντων.
Αρχεία δραστηριοτήτων επεξεργασίας. Τηρήστε αρχεία βάσει του άρθρου 30 του GDPR που καλύπτουν όλες τις δραστηριότητες επεξεργασίας για τις οποίες ο οργανισμός είναι υπεύθυνος ή εκτελών την επεξεργασία. Τα αρχεία πρέπει να είναι διαθέσιμα στην OCPDP κατόπιν αιτήματος.
Ειδοποιήσεις απορρήτου. Παρέχετε σαφείς και διαφανείς πληροφορίες στα υποκείμενα δεδομένων σχετικά με κάθε επεξεργασία κατά τη στιγμή της συλλογής, ή εντός ενός μηνός για δεδομένα που δεν συλλέχθηκαν απευθείας από το υποκείμενο των δεδομένων.
Διαδικασίες δικαιωμάτων υποκειμένων δεδομένων. Καθιερώστε διαδικασίες για την ανταπόκριση σε αιτήματα πρόσβασης, διόρθωσης, διαγραφής, φορητότητας, περιορισμού και εναντίωσης εντός των προθεσμιών του GDPR.
Αντιμετώπιση παραβιάσεων. Διατηρήστε διαδικασία αντιμετώπισης περιστατικών που επιτρέπει τη γνωστοποίηση στην OCPDP εντός 72 ωρών από τον εντοπισμό παραβίασης δεδομένων προσωπικού χαρακτήρα.
Προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Ενσωματώστε μέτρα προστασίας της ιδιωτικότητας σε συστήματα και διαδικασίες εξαρχής, αντί να τα προσθέτετε εκ των υστέρων.
Διακυβέρνηση διασυνοριακών διαβιβάσεων. Για διαβιβάσεις οποιωνδήποτε δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ, επαληθεύστε τον διαθέσιμο μηχανισμό διαβίβασης. Για διαβιβάσεις ειδικών κατηγοριών δεδομένων που βασίζονται στις εγγυήσεις του άρθρου 46 ή του άρθρου 47 του GDPR, ολοκληρώστε την υποχρεωτική προηγούμενη γνωστοποίηση στην OCPDP βάσει του άρθρου 17 παράγραφος 1 του Νόμου 125(Ι)/2018.
Ορισμός DPO. Ορίστε DPO όπου πληρούνται τα υποχρεωτικά κριτήρια του GDPR. Τεκμηριώστε τη διαδικασία λήψης απόφασης, ανεξαρτήτως εάν ορίζεται DPO ή όχι.
Τομεακές Προτεραιότητες
Η οικονομία της Κύπρου περιλαμβάνει σημαντικούς τομείς τουρισμού, ναυτιλίας, χρηματοοικονομικών υπηρεσιών, τεχνολογίας, και επαγγελματικών υπηρεσιών. Κάθε τομέας παρουσιάζει διακριτά ζητήματα προστασίας δεδομένων.
Εταιρείες χρηματοοικονομικών υπηρεσιών που διατηρούν μεγάλους όγκους οικονομικών δεδομένων και δεδομένων ταυτότητας πελατών αντιμετωπίζουν αυξημένο προφίλ κινδύνου και έλεγχο από την OCPDP, όπως καταδεικνύει η απόφαση Housing Finance Corporation. Ναυτιλιακές εταιρείες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα ναυτικών σε πολλαπλές δικαιοδοσίες πρέπει να ανταποκρίνονται τόσο στις απαιτήσεις του GDPR όσο και στην υποχρέωση προηγούμενης γνωστοποίησης. Εταιρείες τεχνολογίας που λειτουργούν διαφήμιση βασισμένη σε cookies πρέπει να λαμβάνουν έγκυρη συναίνεση από χρήστες στην Κύπρο, όπως επιβεβαιώνουν οι αποφάσεις Aylo Freesites και Κυπριακού Πρακτορείου Ειδήσεων.
Το παρόν άρθρο παρέχει γενικές νομικές πληροφορίες σχετικά με το δίκαιο προστασίας δεδομένων της Κύπρου από τις 2026-05-19. Δεν αποτελεί νομική συμβουλή. Ο GDPR και ο Νόμος 125(Ι)/2018 υπόκεινται σε τροποποίηση, και η πρακτική επιβολής της OCPDP συνεχίζει να εξελίσσεται. Οι οργανισμοί θα πρέπει να συμβουλεύονται δικηγόρο με άδεια άσκησης επαγγέλματος στην Κύπρο για συμβουλές ειδικές για την περίπτωσή τους.
Frequently Asked Questions
Ποιος είναι ο κύριος νόμος προστασίας δεδομένων στην Κύπρο;
Το δίκαιο προστασίας δεδομένων της Κύπρου αποτελείται από δύο νομοθετήματα. Ο Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων (GDPR), Κανονισμός (ΕΕ) 2016/679, εφαρμόζεται άμεσα ως δίκαιο σε ολόκληρη την Κύπρο ως κράτος μέλος της ΕΕ. Ο Νόμος 125(Ι)/2018 είναι ο εθνικός συμπληρωματικός νόμος που προσθέτει ειδικές για την Κύπρο διατάξεις σχετικά με την εποπτική αρχή (την OCPDP), την ηλικία συναίνεσης των παιδιών (14 έτη), τα ποινικά αδικήματα, και την υποχρέωση προηγούμενης γνωστοποίησης για ειδικές κατηγορίες δεδομένων. Μαζί, τα δύο αυτά νομοθετήματα συνθέτουν το πλήρες πλαίσιο.
Ποιος επιβάλλει το δίκαιο προστασίας δεδομένων στην Κύπρο;
Το Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (OCPDP), με έδρα τη Λευκωσία, είναι η ανεξάρτητη εποπτική αρχή. Χειρίζεται καταγγελίες φυσικών προσώπων, διενεργεί έρευνες και ελέγχους, εκδίδει κατευθυντήριες γραμμές, και επιβάλλει διοικητικά πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου κύκλου εργασιών για τις σοβαρότερες παραβιάσεις του GDPR. Η OCPDP είναι πλήρες μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Η Μαρία Μανώλη Χριστοφίδου υπηρετεί ως Επίτροπος από τις 28 Σεπτεμβρίου 2025.
Ποια είναι η ηλικία συναίνεσης για την επεξεργασία δεδομένων στην Κύπρο;
Η Κύπρος όρισε το όριο για τη συναίνεση παιδιών σε υπηρεσίες της κοινωνίας της πληροφορίας στα 14 έτη, χρησιμοποιώντας την παρέκκλιση που επιτρέπει το άρθρο 8 παράγραφος 1 του GDPR. Παιδιά ηλικίας 14 ετών και άνω μπορούν να παράσχουν έγκυρη συναίνεση για διαδικτυακές υπηρεσίες, όπως μέσα κοινωνικής δικτύωσης και εφαρμογές. Για παιδιά κάτω των 14 ετών, η συναίνεση πρέπει να δίνεται ή να εγκρίνεται από κάτοχο γονικής μέριμνας. Οι υπεύθυνοι επεξεργασίας πρέπει να καταβάλλουν εύλογες προσπάθειες για την επαλήθευση της ηλικίας και της συναίνεσης, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
Απαιτεί η Κύπρος προηγούμενη γνωστοποίηση στην OCPDP πριν από τη διαβίβαση δεδομένων στο εξωτερικό;
Ναι, αλλά μόνο για διαβιβάσεις ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (υγεία, βιομετρικά δεδομένα, γενετικά δεδομένα, φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις, συνδικαλιστική συμμετοχή, σεξουαλική ζωή, ή σεξουαλικό προσανατολισμό) σε τρίτες χώρες, όταν η διαβίβαση βασίζεται στις εγγυήσεις του άρθρου 46 του GDPR, όπως οι τυποποιημένες συμβατικές ρήτρες, ή στους δεσμευτικούς εταιρικούς κανόνες του άρθρου 47. Το άρθρο 17 παράγραφος 1 του Νόμου 125(Ι)/2018 απαιτεί προηγούμενη γνωστοποίηση στην OCPDP πριν από τέτοιες διαβιβάσεις. Πρόκειται για ειδική για την Κύπρο απαίτηση που δεν υπάρχει στον ίδιο τον GDPR.
Ποια είναι τα μέγιστα πρόστιμα του GDPR στην Κύπρο;
Παραβιάσεις ανώτερης βαθμίδας του GDPR (παράνομη επεξεργασία, μη έγκυρη συναίνεση, παραβιάσεις δικαιωμάτων υποκειμένων δεδομένων, παράνομες διεθνείς διαβιβάσεις) επισύρουν πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, όποιο από τα δύο είναι υψηλότερο. Παραβιάσεις χαμηλότερης βαθμίδας (παραλείψεις τήρησης αρχείων, γνωστοποίησης παραβιάσεων, ή ορισμού DPO) επισύρουν πρόστιμα έως 10 εκατομμύρια ευρώ ή 2% του κύκλου εργασιών. Ο Νόμος 125(Ι)/2018 επιτρέπει επίσης πρόσθετα πρόστιμα έως 200.000 ευρώ για παραβιάσεις σε σχέση με μη κερδοσκοπικές δραστηριότητες, όπου ο υπολογισμός βάσει κύκλου εργασιών δεν είναι αποτελεσματικός.
Πότε πρέπει να ορίζεται Υπεύθυνος Προστασίας Δεδομένων στην Κύπρο;
Ο ορισμός DPO είναι υποχρεωτικός βάσει του άρθρου 37 του GDPR για: δημόσιες αρχές και φορείς· υπευθύνους ή εκτελούντες την επεξεργασία των οποίων οι βασικές δραστηριότητες συνίστανται σε τακτική και συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα· και υπευθύνους ή εκτελούντες την επεξεργασία των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες σε μεγάλη κλίμακα. Το άρθρο 14 παράγραφος 2 του Νόμου 125(Ι)/2018 εξουσιοδοτεί την OCPDP να απαιτεί DPO σε πρόσθετα πλαίσια, όμως τέτοιος κατάλογος δεν έχει δημοσιευθεί έως τον Μάιο του 2026. Εξωτερικές ρυθμίσεις DPO επιτρέπονται βάσει του άρθρου 37 παράγραφος 6 του GDPR.
Τι σημαίνει ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη για τους οργανισμούς στην Κύπρο;
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη (Κανονισμός (ΕΕ) 2024/1689) εφαρμόζεται άμεσα στην Κύπρο. Οι απαγορεύσεις πρακτικών τεχνητής νοημοσύνης απαράδεκτου κινδύνου ισχύουν από τις 2 Φεβρουαρίου 2025. Οι υποχρεώσεις για συστήματα υψηλού κινδύνου καθίστανται εφαρμοστέες στις 2 Αυγούστου 2026. Η Κύπρος όρισε τις εθνικές αρμόδιες αρχές της στις 22 Ιανουαρίου 2025: το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής συντονίζει την εφαρμογή, και ο Επίτροπος Ηλεκτρονικών Επικοινωνιών λειτουργεί ως Αρχή Εποπτείας της Αγοράς. Η OCPDP είναι μία από τις τρεις ορισμένες αρχές εποπτείας θεμελιωδών δικαιωμάτων βάσει του Κανονισμού.
Ποια είναι η συνταγματική βάση της Κύπρου για την προστασία δεδομένων;
Το Σύνταγμα της Κύπρου δεν περιέχει ρητό θεμελιώδες δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα. Τα δικαιώματα προστασίας δεδομένων θεμελιώνονται στο άρθρο 15 (δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής) και στο άρθρο 17 (απόρρητο της αλληλογραφίας). Οι διατάξεις αυτές παρέχουν το εγχώριο συνταγματικό θεμέλιο για τον GDPR και τον Νόμο 125(Ι)/2018, παράλληλα με τα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ, τα οποία υπερισχύουν ως δίκαιο της ΕΕ.
Πώς σχετίζεται η NIS2 με τις υποχρεώσεις του GDPR στην Κύπρο;
Ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικός) Νόμος του 2025, ο οποίος ενσωμάτωσε την Οδηγία NIS2 της ΕΕ, δημιουργεί υποχρεώσεις κυβερνοασφάλειας παράλληλες με τον GDPR. Όταν ένα περιστατικό κυβερνοασφάλειας συνιστά επίσης παραβίαση δεδομένων προσωπικού χαρακτήρα, οι οργανισμοί αντιμετωπίζουν διπλή υποχρέωση γνωστοποίησης: αρχική αναφορά στην Αρχή Ψηφιακής Ασφάλειας εντός έξι ωρών και πλήρη αναφορά περιστατικού εντός 72 ωρών βάσει της NIS2, καθώς και γνωστοποίηση παραβίασης στην OCPDP εντός 72 ωρών βάσει του άρθρου 33 του GDPR. Οργανισμοί σε κρίσιμους τομείς θα πρέπει να ενσωματώσουν αυτές τις υποχρεώσεις αναφοράς σε μία ενιαία διαδικασία αντιμετώπισης περιστατικών.
Ποια είναι η σημασία της υπόθεσης κατασκοπευτικού λογισμικού Intellexa/Pegasus για την προστασία δεδομένων στην Κύπρο;
Η κοινοπραξία Intellexa, η οποία ανέπτυξε το εργαλείο παρακολούθησης Predator, λειτούργησε στην Κύπρο ως κύριο κόμβο και επωφελήθηκε από κενά στην αδειοδότηση εξαγωγών και την εταιρική εποπτεία. Κυρώσεις των ΗΠΑ επιβλήθηκαν στην Intellexa και τον ιδρυτή της το 2024. Η Επιτροπή PEGA του Ευρωπαϊκού Κοινοβουλίου συνέστησε στην Κύπρο να ανακαλέσει άδειες εξαγωγών που δεν ευθυγραμμίζονται με το δίκαιο της ΕΕ. Το επεισόδιο ανέδειξε τη διάκριση μεταξύ τυπικής συμμόρφωσης με τον GDPR και ευρύτερης διακυβέρνησης ιδιωτικότητας, και έχει εντείνει την κανονιστική εστίαση σε επιχειρήσεις τεχνολογίας που δραστηριοποιούνται με κυπριακή καταχώριση.
Sources and References
- Νόμος 125(Ι)/2018, OCPDP Κύπρου(dataprotection.gov.cy).gov
- Κανονισμός (ΕΕ) 2016/679 (GDPR), EUR-Lex(eur-lex.europa.eu).gov
- Επίτροπος (Κύπρος), GDPRhub(gdprhub.eu)
- Προστασία Δεδομένων στην Κύπρο, GDPRhub(gdprhub.eu)
- Επίτροπος (Κύπρος), Aylo Freesites Ltd, GDPRhub(gdprhub.eu)
- Επίτροπος (Κύπρος), Housing Finance Corporation, GDPRhub(gdprhub.eu)
- Ο Επίτροπος επιβάλλει πρόστιμο 45.000 ευρώ στο Ανοικτό Πανεπιστήμιο Κύπρου, DataGuidance(dataguidance.com)
- Κύπρος: Ο Επίτροπος επιβάλλει πρόστιμο 58.400 ευρώ στην Aylo Freesites, DataGuidance(dataguidance.com)
- ICLG, Νόμοι Προστασίας Δεδομένων Κύπρος 2024-2025(iclg.com)
- Παρεκκλίσεις GDPR: Κύπρος, Chrysostomides(chrysostomides.com)
- CEF 2025, Δικαίωμα Διαγραφής, EDPB(edpb.europa.eu).gov
- Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη (ΕΕ) 2024/1689, EUR-Lex(eur-lex.europa.eu).gov
- Ορισμός εθνικής αρχής για τον Κανονισμό Τεχνητής Νοημοσύνης στην Κύπρο, gov.cy(gov.cy).gov
- Ενσωμάτωση NIS2 στην Κύπρο 2025, Harneys(harneys.com)
- Εφαρμογή της Οδηγίας NIS2 στην Κύπρο, Ευρωπαϊκή Επιτροπή(digital-strategy.ec.europa.eu).gov
- Κυρώσεις ΗΠΑ κατά της Intellexa, ICIJ Cyprus Confidential(icij.org)
- Η Χριστοφίδου νέα Επίτροπος της OCPDP, Cyprus Mail(cyprus-mail.com)
- Νόμος 125(Ι)/2018 PDF, dataprotection.gov.cy(dataprotection.gov.cy).gov
- Επίτροπος (Κύπρος), 11.17.001.010.239 (Senira), GDPRhub(gdprhub.eu)
- Κύπρος: Επισκόπηση Προστασίας Δεδομένων, DataGuidance(dataguidance.com)
- Προστασία Δεδομένων στην Κύπρο, DLA Piper(dlapiperdataprotection.com)
- CEF 2026: Ο EDPB ξεκινά συντονισμένη ενέργεια επιβολής για τη διαφάνεια, EDPB(edpb.europa.eu)
- Ελληνικό δικαστήριο καταδικάζει τον ιδρυτή της Intellexa Ταλ Ντιλιάν, ICIJ(icij.org)