Τελευταίος έλεγχος: 15/03/2019

Προστασία δεδομένων στο πλαίσιο του ΓΚΠΔ

Απόφαση του Ηνωμένου Βασιλείου να επικαλεστεί το άρθρο 50 της ΣΕΕ: Περισσότερες πληροφορίες

Ο ΓΚΠΔ καθορίζει λεπτομερώς τις απαιτήσεις για τη συλλογή, την αποθήκευση και τη διαχείριση προσωπικών δεδομένων από επιχειρήσεις και οργανισμούς. Οι απαιτήσεις ισχύουν για ευρωπαϊκούς οργανισμούς που επεξεργάζονται προσωπικά δεδομένα ατόμων στην ΕΕ, αλλά και για οργανισμούς εκτός της ΕΕ οι οποίοι στοχεύουν άτομα που ζουν στην ΕΕ.

Πότε εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);

Ο ΓΚΠΔ εφαρμόζεται εάν:

Επιχειρήσεις που δεν εδρεύουν στην ΕΕ αλλά επεξεργάζονται δεδομένα πολιτών της ΕΕ οφείλουν να διορίζουν εκπρόσωπο στην ΕΕ.

Πότε δεν εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);

Ο ΓΚΠΔ δεν εφαρμόζεται εάν:

Τι είναι τα προσωπικά δεδομένα;

Προσωπικά δεδομένα είναι όλες οι πληροφορίες που αφορούν έναν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, το οποίο καλείται υποκείμενο των δεδομένων. Τα προσωπικά δεδομένα περιέχουν πληροφορίες όπως:

Ειδικές κατηγορίες δεδομένων

Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων σχετικά με τα εξής χαρακτηριστικά ενός προσώπου:

Ποιος επεξεργάζεται τα προσωπικά δεδομένα;

Κατά την επεξεργασία τους, τα προσωπικά δεδομένα μπορεί να περάσουν από διάφορες επιχειρήσεις ή οργανισμούς. Μέσα σ΄αυτόν τον κύκλο, υπάρχουν δύο βασικά προφίλ που ασχολούνται με την επεξεργασία των προσωπικών δεδομένων:

Ποιος παρακολουθεί μέσα στην επιχείρηση τον τρόπο επεξεργασίας των προσωπικών δεδομένων;

Ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) που μπορεί να έχει οριστεί από την επιχείρηση, είναι αρμόδιος να παρακολουθεί την επεξεργασία των προσωπικών δεδομένων, καθώς και να ενημερώνει και να συμβουλεύει τους υπαλλήλους επεξεργασίας των προσωπικών δεδομένων σχετικά με τις υποχρεώσεις τους. Ο ΥΠΔ συνεργάζεται επίσης με την Αρχή Προστασίας Δεδομένων (ΑΠΔ), λειτουργώντας ως σημείο επαφής μεταξύ της ΑΠΔ και μεμονωμένων ατόμων.

Πότε πρέπει να ορίζετε έναν υπεύθυνο προστασίας δεδομένων;

Οφείλετε να ορίσετε έναν ΥΠΔ εάν η επιχείρησή σας:

Για παράδειγμα, αν επεξεργάζεστε προσωπικά δεδομένα για να στοχοθετήσετε διαφημίσεις μέσω μηχανών αναζήτησης βάσει της συμπεριφοράς των ατόμων στο διαδίκτυο, οφείλετε να ορίσετε έναν ΥΠΔ. Αν, αντίθετα, στέλνετε στους πελάτες σας διαφημιστικό υλικό μόνο μία φορά τον χρόνο, δεν χρειάζεται να ορίσετε ΥΠΔ. Ομοίως, αν είστε γιατρός και συλλέγετε δεδομένα για την υγεία ασθενούς σας, πιθανότατα δεν χρειάζεστε ΥΠΔ. Ωστόσο, αν επεξεργάζεστε προσωπικά δεδομένα γενετικής και υγείας για λογαριασμό νοσοκομείου, οφείλετε να έχετε ΥΠΔ.

Ο ΥΠΔ μπορεί να προέρχεται από το προσωπικό του οργανισμού σας ή να είναι εξωτερικός συνεργάτης βάσει σύμβασης παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι μεμονωμένο άτομο ή μέρος οργανισμού.

Επεξεργασία δεδομένων για άλλη επιχείρηση

Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναθέσει την επεξεργασία δεδομένων μόνο σε άτομο που παρέχει επαρκείς εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνονται σε γραπτή σύμβαση μεταξύ των ενδιαφερόμενων μερών. Η σύμβαση αυτή πρέπει επίσης να περιέχει ορισμένες υποχρεωτικές ρήτρες, π.χ., ότι ο εκτελών την επεξεργασία θα επεξεργάζεται προσωπικά δεδομένα μόνον όταν του δίδεται σχετική εντολή από τον υπεύθυνο επεξεργασίας δεδομένων.

Μεταφορά δεδομένων εκτός της ΕΕ

Όταν προσωπικά δεδομένα μεταφέρονται εκτός της ΕΕ, η προστασία που παρέχει ο ΓΚΠΔ εξακολουθεί να ισχύει για τα εν λόγω δεδομένα. Αυτό σημαίνει ότι αν εξάγετε δεδομένα στο εξωτερικό, η επιχείρησή σας πρέπει να διασφαλίζει ότι τηρείται ένα από τα παρακάτω μέτρα:

Πότε επιτρέπεται η επεξεργασία δεδομένων;

Σύμφωνα με τους κανόνες της ΕΕ για την προστασία δεδομένων, η επεξεργασία πρέπει να γίνεται με θεμιτό και σύννομο τρόπο, για έναν συγκεκριμένο και νόμιμο σκοπό και να καλύπτει μόνο τα δεδομένα που είναι αναγκαία για την επίτευξη αυτού του σκοπού. Για να επεξεργάζεστε προσωπικά δεδομένα πρέπει να διασφαλίσετε ότι πληροίτε έναν από τους παρακάτω όρους :

Συγκατάθεση για την επεξεργασία δεδομένων

Ο ΓΚΠΔ ορίζει αυστηρούς κανόνες για την επεξεργασία δεδομένων βάσει συγκατάθεσης. Σκοπός των κανόνων αυτών είναι να διασφαλιστεί ότι το υποκείμενο των δεδομένων κατανοεί για τι πραγματικά έχει δώσει τη συγκατάθεσή του. Αυτό σημαίνει ότι η συγκατάθεση πρέπει να δίνεται ελεύθερα, συγκεκριμένα και χωρίς ασάφειες με δήλωση διατυπωμένη σε απλή και κατανοητή γλώσσα. Η συγκατάθεση πρέπει να δίνεται με καταφατική πράξη, π.χ. με την επιλογή τετραγωνιδίου σε ιστοσελίδα ή με την υπογραφή δήλωσης.

Όταν έχει δοθεί συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, μπορείτε να επεξεργαστείτε τα δεδομένα μόνο για τους σκοπούς για τους οποίους δόθηκε η συγκατάθεση. Πρέπει επίσης να δίνετε στο υποκείμενο των δεδομένων τη δυνατότητα να αποσύρει τη συγκατάθεσή του.

Παροχή διαφανών πληροφοριών

Πρέπει να παρέχετε στα υποκείμενα των δεδομένων σαφείς πληροφορίες σχετικά με το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα και γιατί. Οφείλετε να παρέχετε τουλάχιστον τις παρακάτω πληροφορίες:

Σε ορισμένες περιπτώσεις, πρέπει επίσης να δίνονται οι παρακάτω πληροφορίες:

Πρέπει να δίνετε αυτές τις πληροφορίες σε σαφή και κατανοητή γλώσσα.

Ειδικοί κανόνες για τα παιδιά

Αν συλλέγετε προσωπικά δεδομένα από παιδί βάσει συγκατάθεσης, για παράδειγμα από λογαριασμό μέσων κοινωνικής δικτύωσης ή λογαριασμό τηλεφόρτωσης, οφείλετε να λάβετε πρώτα γονική συγκατάθεση, π.χ. στέλνοντας ειδοποίηση στον γονέα ή στον κηδεμόνα του παιδιού. Η ηλικία μέχρι την οποία ένα πρόσωπο θεωρείται παιδί διαφέρει ανάλογα με τη χώρα κατοικίας, αλλά συνήθως είναι μεταξύ 13 και 16 ετών.

Δικαίωμα πρόσβασης και δικαίωμα φορητότητας των δεδομένων

Πρέπει να διασφαλίζετε ότι τα υποκείμενα των δεδομένων έχουν το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα, δωρεάν. Αν λάβετε σχετικό αίτημα, οφείλετε:

Όταν η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση, το υποκείμενο των δεδομένων μπορεί επίσης να σας ζητήσει να του επιστρέψετε τα προσωπικά του δεδομένα ή να τα διαβιβάσετε σε άλλη επιχείρηση. Πρόκειται για το γνωστό ως δικαίωμα φορητότητας των δεδομένων. Πρέπει να παρέχετε τα δεδομένα σε έναν ευρέως χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο.

Δικαίωμα διόρθωσης και δικαίωμα προβολής αντιρρήσεων

Αν ένα υποκείμενο δεδομένων πιστεύει ότι τα προσωπικά του δεδομένα είναι εσφαλμένα, ελλιπή ή ανακριβή, έχει το δικαίωμα να ζητήσει τη διόρθωση ή τη συμπλήρωσή τους χωρίς καμία καθυστέρηση.

Στην περίπτωση αυτή, οφείλετε να ενημερώσετε όλους τους παραλήπτες των προσωπικών δεδομένων ότι κάποια από τα προσωπικά δεδομένα που τους κοινοποιήσατε έχουν μεταβληθεί ή διαγραφεί. Αν διαβιβάσατε εσφαλμένα προσωπικά δεδομένα, οφείλετε, ενδεχομένως, να ενημερώσετε σχετικά οποιονδήποτε τα είδε (εκτός αν αυτό προϋποθέτει δυσανάλογες προσπάθειες).

Το υποκείμενο των δεδομένων μπορεί επίσης να αντιταχθεί - ανά πάσα στιγμή - στην επεξεργασία των προσωπικών του δεδομένων για μια συγκεκριμένη χρήση, όταν η επιχείρησή σας τα επεξεργάζεται βάσει του νόμιμου συμφέροντός της, ή για λόγους δημοσίου συμφέροντος. Στην περίπτωση αυτή οφείλετε να διακόψετε την επεξεργασία των προσωπικών δεδομένων, εκτός αν έχετε νόμιμο συμφέρον που υπερισχύει των συμφερόντων του υποκειμένου των δεδομένων.

Ομοίως, το υποκείμενο των δεδομένων μπορεί να ζητήσει την περιορισμένη επεξεργασία των προσωπικών του δεδομένων εφόσον έχει οριστεί κατά πόσον το νόμιμο συμφέρον σας υπερισχύει των δικών του συμφερόντων. Ωστόσο, σε περίπτωση άμεσης εμπορικής προώθησης, υποχρεούστε πάντα να διακόψετε την επεξεργασία των προσωπικών δεδομένων εφόσον το ζητήσει το υποκείμενο των δεδομένων.

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Σε ορισμένες περιπτώσεις, το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας να διαγράψει τα προσωπικά του δεδομένα, π.χ. όταν τα δεδομένα αυτά δεν χρειάζονται πλέον για την επίτευξη του σκοπού της επεξεργασίας. Ωστόσο, η επιχείρησή σας δεν υποχρεούται να πράξει κάτι τέτοιο, εφόσον:

Αυτοματοποιημένη λήψη αποφάσεων και δημιουργία προφίλ

Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις από αυτόν τον κανόνα, όπως όταν το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για απόφαση βάσει αυτοματοποιημένης επεξεργασίας. Εκτός εάν η αυτοματοποιημένη απόφαση βασίζεται σε νομοθετική πράξη, η επιχείρησή σας οφείλει:

Για παράδειγμα, αν μία τράπεζα λάβει αυτοματοποιημένη απόφαση σχετικά με τη χορήγηση δανείου σε συγκεκριμένο άτομο, το εν λόγω άτομο πρέπει να ενημερωθεί για την αυτοματοποιημένη απόφαση και να έχει τη δυνατότητα να αμφισβητήσει την απόφαση και να ζητήσει ανθρώπινη παρέμβαση.

Παραβιάσεις δεδομένων - παροχή κατάλληλης ειδοποίησης

Παραβίαση δεδομένων έχουμε όταν τα προσωπικά δεδομένα για τα οποία είστε υπεύθυνος δημοσιοποιούνται, κατά τύχη ή παράνομα, σε μη εξουσιοδοτημένους παραλήπτες, καθίστανται προσωρινά μη διαθέσιμα ή αλλοιώνονται.

Αν συμβεί όντως παραβίαση δεδομένων και η παραβίαση θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, οφείλετε να ειδοποιήσετε την Αρχή Προστασίας Δεδομένων εντός 72 ωρών αφότου αντιληφθείτε την παραβίαση.

Ανάλογα με το κατά πόσο η παραβίαση των δεδομένων δημιουργεί υψηλό κίνδυνο για τους θιγομένους, μπορεί να ζητηθεί από την επιχείρησή σας να τους ενημερώσει.

Διεκπεραίωση αιτήσεων

Αν η επιχείρησή σας λάβει αίτηση από υποκείμενο δεδομένων που επιθυμεί να ασκήσει τα δικαιώματά του, οφείλετε να απαντήσετε χωρίς καθυστέρηση και οπωσδήποτε εντός 1 μηνός από τη λήψη της αίτησης. Ο χρόνος της απάντησής σας μπορεί να παραταθεί κατά 2 μήνες για πολύπλοκα ή πολλαπλά αιτήματα, εφόσον το υποκείμενο των δεδομένων ενημερωθεί για την παράταση. Η διεκπεραίωση των αιτήσεων γίνεται δωρεάν.

Αν μία αίτηση απορριφθεί, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων για τους λόγους της απόρριψης καθώς και για το δικαίωμά του να υποβάλει καταγγελία στην Αρχή Προστασίας Δεδομένων.

Εκτίμηση επιπτώσεων

Η διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία δεδομένων (DPIA) είναι υποχρεωτική όταν η επικείμενη επεξεργασία θέτει σε μεγάλο κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, π.χ. κατά τη χρήση νέων τεχνολογιών.

Τέτοιος μεγάλος κίνδυνος προκύπτει όταν:

Σημείωση: οι Αρχές Προστασίας Δεδομένων μπορούν επίσης να θεωρήσουν και άλλες κατηγορίες επεξεργασίας δεδομένων ως υψηλού κινδύνου.

Αν τα μέτρα που ορίζονται στην DPIA αδυνατούν να εξαλείψουν όλους τους εντοπισμένους υψηλούς κινδύνους, πρέπει να ζητηθεί η γνώμη της Αρχής Προστασίας Δεδομένων προτού πραγματοποιηθεί η σχεδιαζόμενη επεξεργασία δεδομένων.

Τήρηση αρχείων

Πρέπει να μπορείτε να αποδείξετε ότι η επιχείρησή σας ενεργεί σύμφωνα με τον ΓΚΠΔ και πληροί όλες τις υποχρεώσεις της - κυρίως μετά από σχετικό αίτημα ή στο πλαίσιο επιθεώρησης από την Αρχή Προστασίας Δεδομένων.

Ένας τρόπος για να γίνει αυτό είναι να τηρείτε λεπτομερή αρχεία στοιχείων, όπως:

Επίσης, η επιχείρησή σας πρέπει να τηρεί - και να επικαιροποιεί τακτικά - γραπτές διαδικασίες και οδηγίες και να τις γνωστοποιεί στο προσωπικό της.

Αν η επιχείρησή σας είναι ΜΜΕen ή μικρότερη, δεν χρειάζεται να τηρείτε αρχεία για τις δραστηριότητες επεξεργασίας που πραγματοποιείτε, εφόσον αυτές:

  • δεν γίνονται σε τακτική βάση
  • δεν θίγουν τα δικαιώματα ή τις ελευθερίες των εκάστοτε προσώπων
  • δεν αφορούν ευαίσθητα δεδομένα ή ποινικό μητρώο

Προστασία δεδομένων εκ σχεδιασμού και εξ ορισμού

Προστασία δεδομένων εκ σχεδιασμού σημαίνει ότι η επιχείρησή σας πρέπει να λάβει υπόψη την προστασία δεδομένων στα πρώτα στάδια του σχεδιασμού ενός νέου τρόπου επεξεργασίας των προσωπικών δεδομένων. Σύμφωνα με αυτή την αρχή, ένας υπεύθυνος επεξεργασίας δεδομένων οφείλει να προβαίνει σε όλες τις τεχνικές και οργανωτικές ενέργειες που απαιτούνται για την εφαρμογή των αρχών που διέπουν την προστασία δεδομένων και την προστασία των δικαιωμάτων των υποκειμένων τους. Στις ενέργειες αυτές θα μπορούσε να περιλαμβάνεται, μεταξύ άλλων, η ψευδωνυμοποίηση.

Προστασία δεδομένων εξ ορισμού σημαίνει ότι η επιχείρησή σας πρέπει πάντα να επιλέγει τις πλέον ευνοϊκές για την προστασία της ιδιωτικής ζωής ρυθμίσεις ως προεπιλεγμένες ρυθμίσεις. Για παράδειγμα, αν είναι δυνατές δύο ρυθμίσεις σχετικά με την προστασία της ιδιωτικής ζωής και μία από τις ρυθμίσεις εμποδίζει την πρόσβαση τρίτων σε προσωπικά δεδομένα, αυτή η ρύθμιση θα πρέπει να χρησιμοποιείται ως προεπιλεγμένη ρύθμιση.

Παραβίαση των κανόνων και ποινές

Η μη τήρηση των κανόνων του ΓΚΠΔ μπορεί να οδηγήσει σε σημαντικά πρόστιμα που μπορούν να φθάσουν μέχρι τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού κύκλου εργασιών της επιχείρησης για ορισμένες παραβάσεις. Η Αρχή Προστασίας Δεδομένων μπορεί επίσης να επιβάλει συμπληρωματικά διορθωτικά μέτρα, π.χ., να σας διατάξει να διακόψετε την επεξεργασία προσωπικών δεδομένων.

Συχνές ερωτήσεις - Προστασία των δεδομένων και της ιδιωτικής ζωής στο διαδίκτυο

Σχετικά Θέματα

Νομοθεσία της ΕΕ

Χρειάζεστε βοήθεια από τις υπηρεσίες υποστήριξης;

Επικοινωνήστε με ειδικευμένες υπηρεσίες παροχής βοήθειας

Τοπική υποστήριξη επιχειρήσεων - Έχετε απορίες σχετικά με τη λειτουργία μιας διασυνοριακής επιχείρησης, π.χ. σχετικά με εξαγωγές ή επέκταση σε άλλη χώρα της ΕΕ; Εάν ναι, το δίκτυο Enterprise Europe μπορεί να σας δώσει συμβουλές δωρεάν.

Διαβιβάστε αυτή τη σελίδα: