Α. Η Αρχή Προστασίας Προσωπικών Δεδομένων, σύμφωνα με το άρθρο 15 παρ. 6 του ν. 4624/2019, για την εναρμόνιση με τον Κανονισμό (ΕΕ) 2016/679 ( GDPR) επιβάλλει ως διοικητικές κυρώσεις για τις παραβάσεις των προσωπικών δεδομένων κατά την επεξεργασία τους από α) δημόσιους φορείς ή β) ιδιωτικούς φορείς, (εξαιρείται η επεξεργασία που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας), τις κυρώσεις που προβλέπονται στο άρθρο 83 του GDPR.

Β. Επιπλέον των κυρώσεων του άρθρου 83 του GDPR n Αρχή Προστασίας Προσωπικών Δεδομένων, μπορεί πέραν των παραπάνω κυρώσεων, σύμφωνα με το άρθρο 15 παρ. 7  του ν. 4624/2019, να επιβάλει ως διοικητικές κυρώσεις για τις παραβάσεις των προσωπικών δεδομένων κατά την επεξεργασία τους από την Γενική Κυβέρνηση και τα εκτός αυτής Νομικά Πρόσωπα Δημοσίου Δικαίου (όπως οριοθετούνται στην περίπτωση α΄ της παρ.1 του άρθρου 14 του ν. 4270/2014 (Α΄143), με εξαίρεση τις Δημόσιες Επιχειρήσεις και Οργανισμούς του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄ 314),  τις κυρώσεις που προβλέπονται στο άρθρο 39 του ν. 4624/2019

Επομένως

1. Σύμφωνα με το άρθρο 83 του GDPR

α) Η Αρχή Προστασίας Προσωπικών Δεδομένων για την λήψη απόφασης επιβολής του προστίμου λαμβάνει υπ όψιν τα ακόλουθα

α)  η φύση, η βαρύτητα και η διάρκεια της παράβασης.

β)  ο δόλος, ή η αμέλεια, που προκάλεσε την παράβαση.

γ)  οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων.

δ)  ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.

ε)  προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.

στ)  ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.

ζ)  οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.

η)  ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση.

θ) Η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων.

ι)  η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης.

ια)  κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Β) Και επιβάλει τα εξής πρόστιμα

Οι παραβάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ) των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).

Οι παραβάσεις, α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, και δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την η εποπτική αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, (όποιο είναι υψηλότερο).

2. Σύμφωνα με το άρθρο 39 ν. 4624/2019

Η Αρχή Προστασίας Προσωπικών Δεδομένων, με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει, επιπλέον, για τις παραβάσεις α) της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του GDPR, εκτός των άρθρων 8, 27, 29, 42, 43 του GDPR, β) των παραγράφων 5 και 6 του άρθρου 83 του GDPR, εκτός των άρθρων 17, 20, 47, 90 και 91 του GDPR, γ) των άρθρων 5, 6, 7, 22, 24, 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του ν.  4624/2019, πρόστιμο έως (10.000.000) ευρώ.

Σε περίπτωση που οι παραπάνω  φορείς για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζουν περισσότερες διατάξεις του GDPR ή του ν. 4624/2019, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.