Δημοσιεύθηκε στο ΦΕΚ η απόφαση 5157/2026, με την οποία αποφασίζονται τα ακόλουθα:
Άρθρο 1
Ψηφιακό Μητρώο Ελέγχου Προϊόντων Καπνού, Αλκοόλ και λοιπών μη καπνικών προϊόντων
1. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης, ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας, σχεδιάζει, αναπτύσσει και υποστηρίζει την παραγωγική λειτουργία του Μητρώου με την ονομασία «Ψηφιακό Μητρώο Ελέγχου Προϊόντων Καπνού, Αλκοόλ και λοιπών μη καπνικών προϊόντων» (εφεξής: Μητρώο).
2. Σκοπός του Μητρώου είναι η ενίσχυση του μηχανισμού ελέγχου της αγοράς των προϊόντων καπνού, αλκοόλ και λοιπών μη καπνικών προϊόντων του άρθρου 26 του ν. 5216/2025 (Α’ 118), με την αξιοποίηση σύγχρονων ψηφιακών εργαλείων, για τη διασφάλιση της ελεγχόμενης κυκλοφορίας των προϊόντων αυτών και της ευχερούς πρόσβασης των αρμοδίων αρχών ελέγχου σε όλες τις αναγκαίες πληροφορίες και, κατ’ επέκταση, τη θωράκιση της υγείας των πολιτών.
3. Το Μητρώο είναι προσβάσιμο μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr ΕΨΠ).
Άρθρο 2
Χρήστες του Μητρώου
1. Χρήστες του Μητρώου είναι τα υπόχρεα, σύμφωνα με το δεύτερο εδάφιο της παρ. 1 του άρθρου 38 του ν. 5216/2025, φυσικά και νομικά πρόσωπα, δια του νομίμου εκπροσώπου τους, τα οποία πωλούν και διαθέτουν προϊόντα καπνού, αλκοόλ και λοιπά μη καπνικά προϊόντα του άρθρου 26 του ν. 5216/2025 (Α’ 118).
2. Για την υποστήριξη του ελέγχου πώλησης και διάθεσης των προϊόντων της παρ. 1, χρήστες του Μητρώου είναι και τα αρμόδια ελεγκτικά όργανα του άρθρου 5 του ν. 3730/2008 (Α’ 262) και του άρθρου 32 του ν. 5216/2025 (εφεξής: όργανα ελέγχου).
3. H αυθεντικοποίηση των χρηστών στο Μητρώο πραγματοποιείται ως εξής:
α. Για τις Ατομικές Επιχειρήσεις με την χρήση κωδικών Taxisnet (Α.Φ.Μ. φυσικού προσώπου).
β. Για τα Νομικά πρόσωπα/Επιχειρήσεις με την χρήση κωδικών Taxisnet (Α.Φ.Μ. νομικού προσώπου/επιχείρησης).
γ. Για τα όργανα ελέγχου με την χρήση των κωδικών Δημόσιας Διοίκησης.
Άρθρο 3
Υποβολή Πληροφοριών για εγγραφή στο Μητρώο
1. Κατά τη σύνδεση των χρηστών της παρ. 1 του άρθρου 2 στο Μητρώο και πριν από την υποβολή οποιασδήποτε δήλωσης, διενεργούνται οι παρακάτω έλεγχοι:
α) Για τα Φυσικά Πρόσωπα διενεργείται έλεγχος ότι ο Αριθμός Φορολογικού Μητρώου (Α.Φ.Μ.) του φυσικού προσώπου είναι συνδεδεμένος με Ατομική Επιχείρηση. Σε περίπτωση που δεν υπάρχει σύνδεση με Ατομική Επιχείρηση, διακόπτεται η πρόσβαση στο Μητρώο.
β) Για τα Νομικά Πρόσωπα και τις Ατομικές επιχειρήσεις διενεργείται έλεγχος ύπαρξης των κατάλληλων Κωδικών Αριθμών Δραστηριότητας (Κ.Α.Δ.) και σε περίπτωση μη υπαγωγής στις αποδεκτές κατηγορίες, διακόπτεται η σύνδεση στο Μητρώο.
γ) Για σκοπούς αποστολής ειδοποιήσεων, πραγματοποιείται άντληση στοιχείων κινητού τηλεφώνου και διεύθυνσης ηλεκτρονικού ταχυδρομείου (email) από το Εθνικό Μητρώο Επικοινωνίας (Ε.Μ.Επ.). Εφόσον τα στοιχεία αυτά είναι καταχωρισμένα, συμπληρώνονται αυτόματα. Σε διαφορετική περίπτωση, το φυσικό πρόσωπο και, σε περίπτωση νομικού προσώπου, ο νόμιμος εκπρόσωπος αυτού, υποχρεούται να τα καταχωρίσει και να τα επιβεβαιώσει κατά την πρώτη σύνδεσή του στο Μητρώο.
δ) Ανακτώνται από την Ανεξάρτητη Αρχή Δημοσίων Εσόδων (Α.Α.Δ.Ε.) τα στοιχεία της επιχείρησης, των υποκαταστημάτων αυτής καθώς και οι αντίστοιχοι Κωδικοί Αριθμοί Δραστηριότητας (Κ.Α.Δ.).
ε) Από τον κατάλογο όλων των υποκαταστημάτων της επιχείρησης, όπως αυτός αντλείται από την Α.Α.Δ.Ε., ο χρήστης επιλέγει το υποκατάστημα για το οποίο υποβάλλει δήλωση. Παρέχεται η δυνατότητα υποβολής δηλώσεων για περισσότερα του ενός υποκαταστήματα, με υποβολή χωριστής δήλωσης για κάθε υποκατάστημα. Παρουσιάζεται κατάλογος με την κατάσταση της κάθε δήλωσης ανά υποκατάστημα.
στ) Για κάθε υποκατάστημα, ο χρήστης καλείται να συμπληρώσει τα παρακάτω στοιχεία:
στα. Το είδος του σημείου πώλησης
στβ. Την επιλογή κατηγοριών προϊόντων από προκαθορισμένο κατάλογο προϊόντων με δυνατότητα πολλαπλής επιλογής των κατηγοριών:
i. Προϊόντα καπνού
ii. Αλκοολούχα ποτά
iii. Λοιπά μη καπνικά προϊόντα του άρθρου 26 του ν. 5216/2025.
στγ. Την Διεύθυνση του υποκαταστήματος, καθώς και την γεωγραφική απεικόνιση της τοποθεσίας αυτού σε ψηφιακό χάρτη.
στδ. Ως Υπεύθυνη δήλωση ο χρήστης δηλώνει υπεύθυνα ότι:
i. Τηρεί τις προϋποθέσεις των άρθρων 1 έως 6 του ν. 3730/2008, περί της προστασίας των ανηλίκων από τη χρήση προϊόντων καπνού και την κατανάλωση αλκοόλ,
ii. τηρεί τις προϋποθέσεις του ν. 4419/2016 (Α’ 174), περί της προσαρμογής της ελληνικής νομοθεσίας προς την Οδηγία 2014/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 3ης Απριλίου 2014 για την προσέγγιση των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών σχετικά με την κατασκευή, την παρουσίαση και την πώληση προϊόντων καπνού και συναφών προϊόντων,
iii. τηρεί τις προϋποθέσεις των άρθρων 24 έως 35 του ν. 5216/2025 (Α’ 118), iv. υπάρχει συμμόρφωση με τις ισχύουσες υγειονομικές διατάξεις.
2. Σε κάθε περίπτωση, μετά την αυθεντικοποίηση του χρήστη της παρ. 1 του άρθρου 2 στο Μητρώο, εμφανίζεται ο κατάλογος των οριστικών δηλώσεών του.
3. Κατά την υποβολή της δήλωσης, δημιουργείται ψηφιακό έγγραφο και αυτό λαμβάνει τα χαρακτηριστικά της παρ. 3 του άρθρου 27 του ν. 4727/2020 (Α’ 184). Παράλληλα ο χρήστης της παρ. 1 του άρθρου 2 μπορεί να αποθηκεύσει τοπικά το έγγραφο με τον μοναδικό αναγνωριστικό αριθμό επαλήθευσης και την προηγμένη ή εγκεκριμένη ηλεκτρονική σφραγίδα του Υπουργείου Ψηφιακής Διακυβέρνησης μέσα από την εφαρμογή. Τα στοιχεία του εγγράφου επαληθεύονται σύμφωνα με την παρ. 2 του άρθρου 4 της παρούσας.
4. Σε περίπτωση αλλαγής/μεταβολής των δηλωθέντων στοιχείων της παρ. 1 του παρόντος άρθρου, ο χρήστης της παρ. 1 του άρθρου 2 προβαίνει σε επικαιροποίηση του περιεχομένου της δήλωσης.
5. Ο χρήστης της παρ. 1 του άρθρου 2 μπορεί να ακυρώσει την υποβληθείσα δήλωση από το Μητρώο, ανά υποκατάστημα, με προαιρετική δυνατότητα καταχώρισης αιτιολογίας.
Άρθρο 4
Έλεγχος των δηλώσεων
1. Στα όργανα ελέγχου παρέχεται η δυνατότητα να προβούν σε:
α. Αναζήτηση με βάση τον Αριθμό Φορολογικού Μητρώου (Α.Φ.Μ.) της επιχείρησης/ατομικής επιχείρησης,
β. Προβολή του συνόλου των δηλώσεων και των υποκαταστημάτων που έχουν καταχωριστεί στο Μητρώο,
γ. Προβολή των πλήρων στοιχείων εγγραφής της επιχείρησης/υποκαταστήματος καθώς και των δηλωθεισών κατηγοριών προϊόντων,
δ. Προβολή διεύθυνσης της επιχείρησης/υποκαταστήματος και των δηλωθέντων στοιχείων επικοινωνίας,
ε. Προβολή της ημερομηνίας εγγραφής και της κατάστασης της δήλωσης,
στ. Προβολή του εκδοθέντος πιστοποιητικού και QR code.
ζ. Ακύρωση εγγραφής από το Μητρώο σε περίπτωση ανάκλησης του σχετικού με την πώληση του προϊόντος Κωδικό Αριθμό Δραστηριότητας (Κ.Α.Δ.).
2. Τα όργανα ελέγχου και οι πολίτες μπορούν να κάνουν έλεγχο παρουσίας κατάλληλης σήμανσης στο κατάστημα καθώς και επαλήθευση αντιστοιχίας δηλωμένων προϊόντων με την πραγματικότητα, επαληθεύοντας τη δήλωση μέσω της υπηρεσίας επαλήθευσης της Ενιαίας Ψηφιακής Πύλης, σύμφωνα με την παρ. 4 του άρθρου 27 του ν. 4727/2020.
3. Τα όργανα ελέγχου, εφόσον διαπιστώσουν ότι κάποια κατηγορία προϊόντων δεν έχει δηλωθεί στο Μητρώο, οφείλουν να ενημερώνουν αμελλητί την αρμόδια αρχή που εξέδωσε την άδεια πώλησης του χρήστη, εφόσον υπάρχει, άλλως τον σχετικό με την πώληση του προϊόντος Κωδικό Αριθμό Δραστηριότητας (Κ.Α.Δ.), ώστε να ανακληθούν, σύμφωνα με την παρ. 1 του άρθρου 38 του ν. 5216/2025.
Άρθρο 5
Αναφορές
1. Οι παρακάτω αναφορές είναι διαθέσιμες στα όργανα ελέγχου:
α) Καταστάσεις εγγεγραμμένων ανά περιοχή
β) Στατιστικά κατά κατηγορία προϊόντων.
2. Η αναζήτηση μπορεί να γίνει με τα παρακάτω κριτήρια:
α) Αναζήτηση με Α.Φ.Μ. επιχείρησης/ατομικής επιχείρησης
β) Αναζήτηση κατά περιοχή
γ) Προβολή όλων των στοιχείων εγγραφής
δ) Ιστορικό μεταβολών εγγραφής
ε) Αναφορές ανά υποκατάστημα.
Άρθρο 6
Δημοσίευση Δεδομένων Μητρώου
1. Για λόγους διαφάνειας και ενημέρωσης της κοινής γνώμης, και σύμφωνα με την παρ. 6 του άρθρου 38 του ν. 5216/2025, επιτρέπεται η δημοσιοποίηση των παρακάτω στοιχείων του Μητρώου της παρούσας μέσω του διαδικτυακού τόπου του Υπουργείου Υγείας. Η πρόσβαση στα δημοσιοποιούμενα στοιχεία παρέχεται μέσω ειδικού συνδέσμου (link) που αναρτάται στον διαδικτυακό τόπο του Υπουργείου Υγείας και παραπέμπει στο Μητρώο, το οποίο είναι προσβάσιμο μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr).
2. Ειδικότερα:
α) Εμφανίζεται σε μορφή πίνακα
αα) Ο Α.Φ.Μ. της Επιχείρησης
αβ) Η Επωνυμία της Επιχείρησης
αγ) Η Κύρια Δραστηριότητα της Επιχείρησης (Κ.Α.Δ.)
αδ) Η κατηγορία των προϊόντων
αε) Η Διεύθυνση του Καταστήματος/Υποκαταστήματος
αστ) Οι Δραστηριότητες (Κ.Α.Δ.) του Καταστήματος/Υποκαταστήματος
β) Εμφανίζεται σε έναν χάρτη σημείων πώλησης
βα) Η Γεωγραφική προβολή σημείων πώλησης και
ββ) Πληροφορίες σημείου με επιλογή του σημείου πώλησης στον χάρτη.
Άρθρο 7
Διαλειτουργικότητες με τρίτα συστήματα
1. Για την είσοδο των χρηστών του άρθρου 2, το πληροφοριακό σύστημα του Μητρώου χρησιμοποιεί τις υπηρεσίες αυθεντικοποίησης Oauth2 (Κωδικοί taxisnet) και Oauth2PA (Κωδικοί Δημόσιας Διοίκησης) του Κέντρου Διαλειτουργικότητας (ΚεΔ) της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης.
2. Το Μητρώο διαλειτουργεί με τα παρακάτω συστήματα:
α) Το Ενιαίο Μητρώο Επικοινωνίας Πολιτών (ΕΜΕΠ) της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης.
β) Την Ενιαία Ψηφιακή Πύλη - gov.gr για την έκδοση εγγράφου με τα χαρακτηριστικά της παρ. 3 του άρθρου 27 του ν. 4727/2020.
γ) Το Φορολογικό Μητρώο της Α.Α.Δ.Ε. για άντληση και έλεγχο, ιδίως πρόσθετων στοιχείων επικοινωνίας, στοιχείων διεύθυνσης λειτουργίας κεντρικής έδρας και υποκαταστημάτων, ενεργών Κ.Α.Δ., ελέγχου κατάστασης επιχείρησης.
δ) Το Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.) για άντληση ιδίως στοιχείων νόμιμου εκπροσώπου/-ων, στοιχείων επιχείρησης και υποκαταστημάτων, στοιχείων διεύθυνσης λειτουργίας κεντρικής έδρας και υποκαταστημάτων, δηλωμένων Κ.Α.Δ. επιχείρησης και υποκαταστημάτων.
Επιπλέον, το Μητρώο δύναται να διαλειτουργεί με το Ενιαίο Κεντρικό Μητρώο Εφοδιαστικής Αλυσίδας Καπνού και Βιομηχανοποιημένων Καπνών (Ε.Κ.Μ.Ε.Α.).
3. Οι αναγκαίες διαλειτουργικότητες του ως άνω Μητρώου παρέχονται μέσω του Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης σύμφωνα με τα ειδικώς οριζόμενα.
Άρθρο 8
Υποστήριξη παραγωγικής λειτουργίας
1. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης λειτουργεί, ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας για το Ψηφιακό Μητρώο Ελέγχου Προϊόντων Καπνού, Αλκοόλ και λοιπών μη καπνικών προϊόντων.
2. Στο πλαίσιο της εκτέλεσης επεξεργασίας για λογαριασμό του Υπουργείου Υγείας, η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης σχεδιάζει, αναπτύσσει, βελτιώνει και συντηρεί το λογισμικό και τις απαραίτητες υποδομές για την παραγωγική λειτουργία του Μητρώου, παρέχοντας υπηρεσίες Software as a Service (SaaS) στην αρχή διαχείρισης και ελέγχου των πληροφοριακών στοιχείων του συστήματος.
3. Το Μητρώο και όλο το απαραίτητο για την αδιάλειπτη λειτουργία του λογισμικό, εγκαθίσταται και λειτουργεί στις υποδομές του Κυβερνητικού Νέφους (GCloud) της Δημόσιας Διοίκησης της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης του Υπουργείου Ψηφιακής Διακυβέρνησης.
Άρθρο 9
Οργανωτικά και τεχνικά μέτρα ασφαλείας
Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης λαμβάνει τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των στοιχείων που υποβάλλονται στο Μητρώο. Στα μέτρα αυτά περιλαμβάνονται, κατ’ ελάχιστον, η καταγραφή και παρακολούθηση των προσβάσεων, η διασφάλιση ιχνηλασιμότητας και η προστασία των διακινούμενων δεδομένων από κάθε παραβίαση, καθώς και από σκόπιμη ή τυχαία απειλή.
Άρθρο 10
Ειδικότερες διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα
1. Το Υπουργείο Υγείας ενεργεί ως υπεύθυνος επεξεργασίας σύμφωνα με την περ. 7 του άρθρου 4 του ΓΚΠΔ. Νομική βάση της επεξεργασίας αποτελεί η εκπλήρωση καθήκοντος σύμφωνα με το άρθρο 38 του ν. 5216/2025.
2. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας, κατά την έννοια της περ. 8 του άρθρου 4 του ΓΚΠΔ, καθόσον αφορά στις πράξεις που διενεργεί σύμφωνα με τα οριζόμενα στο άρθρο 2 της παρούσας και υποβάλλει σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που ορίζονται στις εν λόγω διατάξεις.
3. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας είναι υποχρεωμένη να συμμορφώνεται με τις υποχρεώσεις που απορρέουν από την ισχύουσα νομοθεσία, συμπεριλαμβανομένων των διατάξεων του άρθρου 28 του ΓΚΠΔ καθώς και των υποχρεώσεων που ορίζονται στα άρθρα 7 και 8 της παρούσας, και ιδίως:
α) Επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα, μόνο βάσει καταγεγραμμένων εντολών του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, όσον αφορά, μεταξύ άλλων, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός αν υποχρεούται προς τούτο βάσει του δικαίου της Ευρωπαϊκής Ένωσης ή βάσει εθνικών ρυθμίσεων. Σε αυτή την περίπτωση, ενημερώνει το Υπουργείο Υγείας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
γ) λαμβάνει όλα τα απαιτούμενα μέτρα για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας, σύμφωνα με το άρθρο 32 του ΓΚΠΔ,
δ) τηρεί τους όρους που αναφέρονται στις παρ. 2 και 4 του άρθρου 28 του ΓΚΠΔ σχετικά με την πρόσληψη άλλου εκτελούντος την επεξεργασία,
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί το Υπουργείο Υγείας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του Υπουργείου Υγείας να απαντά σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, που προβλέπονται στο Κεφάλαιο III του ΓΚΠΔ,
στ) συνδράμει το Υπουργείο Υγείας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει η Γ.Γ.Π.Σ.Ψ.Δ.. Στο πλαίσιο αυτό, η εκτελούσα την επεξεργασία διενεργεί ιδίως, για λογαριασμό του Υπουργείου Υγείας, την απαιτούμενη από τις διατάξεις του άρθρου 35 του ΓΚΠΔ εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και υποβάλλει αυτήν, καθώς και κάθε επικαιροποίησή της, στην Αυτοτελή Διεύθυνση Ηλεκτρονικής Διακυβέρνησης και στον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, ως υπεύθυνος επεξεργασίας, παρέχει συμβουλές όσον αφορά στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της, με τη συνεργασία του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Ψηφιακής Διακυβέρνησης.
ζ) θέτει στη διάθεση του Υπουργείου Υγείας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ και επιτρέπει και διευκολύνει τους ελέγχους, συμπεριλαμβανομένων των επιθεωρήσεων που διενεργούνται από το Υπουργείο Υγείας, ιδίως μέσω του Υπευθύνου Προστασίας Δεδομένων (DPO) και υπαλλήλων της Αυτοτελούς Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης του Υπουργείου Υγείας, ή από άλλον ελεγκτή εντεταλμένο από το Υπουργείο Υγείας και
η) ενημερώνει το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, αμελλητί, στην περίπτωση που αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις του άρθρου 33 του ΓΚΠΔ.
4. Το σύστημα αρχειοθέτησης των δεδομένων προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας μέσω του Μητρώου της παρούσας, θα τηρείται, για λογαριασμό του Υπουργείου Υγείας, σε χώρους της Γ.Γ.Π.Σ.Ψ.Δ. για αόριστο χρονικό διάστημα, ήτοι για όσο συνεχίζεται η εκτέλεση επεξεργασίας σχετικά με τη λειτουργία του εν λόγω Μητρώου από τη Γ.Γ.Π.Σ.Ψ.Δ.. Εφόσον τερματιστεί η εκτέλεση επεξεργασίας σχετικά με τη λειτουργία του εν λόγω συστήματος αρχειοθέτησης από τη Γ.Γ.Π.Σ.Ψ.Δ., η Γ.Γ.Π.Σ.Ψ.Δ. υποχρεούται να επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στο Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, και να διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ευρωπαϊκής Ένωσης ή το εθνικό δίκαιο απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα.
5. Η επεξεργασία όλων των δεδομένων προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας μέσω του Μητρώου της παρούσας, υποστηρίζεται από τα υφιστάμενα συστήματα ασφαλείας καθώς και τις υφιστάμενες σχετικές διαδικασίες της Γ.Γ.Π.Σ.Ψ.Δ..
6. Η Γ.Γ.Π.Σ.Ψ.Δ. αναλαμβάνει την υποχρέωση να διασφαλίζει την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας μέσω του Μητρώου της παρούσας, στους διαπιστευμένους χρήστες του εν λόγω συστήματος αρχειοθέτησης, με βάση τους ρόλους και τα δικαιώματα στο σύστημα, που τους αποδίδουν η κείμενη νομοθεσία και το Υπουργείο Υγείας, ως υπεύθυνος επεξεργασίας. Ο έλεγχος πρόσβασης των χρηστών πραγματοποιείται από το σύστημα διαχείρισης χρηστών του Υπουργείου Ψηφιακής Διακυβέρνησης, στο οποίο αποθηκεύονται όλα τα στοιχεία των χρηστών - χειριστών του συστήματος και με βάση τους ειδικά διαμορφωμένους ρόλους, που ορίζουν τα δικαιώματα των χρηστών (πρόσβασης, προβολής και επεξεργασίας) στο σύστημα.
7. Για τη διασφάλιση των δικαιωμάτων των υποκειμένων των δεδομένων, λαμβάνονται, κατ’ ελάχιστον, τα ακόλουθα τεχνικά και οργανωτικά μέτρα εκ μέρους της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης του Υπουργείου Ψηφιακής Διακυβέρνησης:
α) Η πρόσβαση στα δεδομένα και η επεξεργασία επιτρέπεται μόνο με χρήση καταλλήλων διαπιστευτηρίων από προσωπικό, το οποίο διαθέτει τις κατάλληλες εξουσιοδοτήσεις και υποχρεούται κατά τα ανωτέρω στην τήρηση όλων των προβλεπόμενων, κατά την κείμενη νομοθεσία, υποχρεώσεων εμπιστευτικότητας και τήρησης απορρήτου, ανεξάρτητα από τον ειδικότερο νομικό χαρακτηρισμό της σχέσης εργασίας του με την Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης του Υπουργείου Ψηφιακής Διακυβέρνησης.
β) Οι διαβιβάσεις των δεδομένων πραγματοποιούνται με κρυπτογράφηση.
γ) Τηρούνται σε ηλεκτρονική μορφή επικαιροποιημένα αρχεία καταγραφής των ενεργειών που εκτελούνται σε προσωπικά δεδομένα. Στα αρχεία αυτά καταγράφονται το όνομα χρήστη και ο χρόνος συμβάντος, καθώς και οι ακόλουθες τουλάχιστον ενέργειες: εισαγωγή, πρόσβαση, εξαγωγή, τροποποίηση και διαγραφή προσωπικών δεδομένων. Τηρούνται, επίσης, σε ηλεκτρονική μορφή αντίγραφα των προαναφερομένων αρχείων καταγραφής για χρονικό διάστημα τουλάχιστον πέντε (5) ετών.
δ) Ενημερώνονται και ευαισθητοποιούνται συστηματικά το προσωπικό, το οποίο ασχολείται με τη συγκεκριμένη επεξεργασία, ανεξάρτητα από τον ειδικότερο νομικό χαρακτηρισμό της σχέσης εργασίας του με την εκτελούσα την επεξεργασία.
Άρθρο 11
Χρόνος Εγγραφής στο Μητρώο
Οι υπόχρεοι του δευτέρου εδαφίου της παρ. 1 του άρθρου 38 του ν. 5216/2025, εγγράφονται στο «Ψηφιακό Μητρώο Ελέγχου Προϊόντων Καπνού, Αλκοόλ και λοιπών μη καπνικών προϊόντων», από την δημοσίευση της παρούσας μέχρι και την 16η Απριλίου 2026.
Άρθρο 12
Έναρξη ισχύος
Η απόφαση αυτή ισχύει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως