Διαδρομή πλοήγησης

Τελευταίος έλεγχος 30/05/2018

Προστασία των δεδομένων και της ιδιωτικής ζωής στο διαδίκτυο

Από τις 30 Μαρτίου 2019, το σύνολο του δικαίου της ΕΕ θα παύσει να ισχύει στο ΗΒ, εκτός αν μια επικυρωμένη συμφωνία αποχώρησης καθορίσει άλλη ημερομηνία, ή αν το Ευρωπαϊκό Συμβούλιο και το ΗΒ αποφασίσουν ομόφωνα να παρατείνουν τη διετή περίοδο διαπραγματεύσεων. Περισσότερες πληροφορίες σχετικά με τις νομικές επιπτώσεις για τις επιχειρήσεις:

Ο ΓΚΠΔ καθορίζει λεπτομερώς τις απαιτήσεις για τη συλλογή, την αποθήκευση και τη διαχείριση προσωπικών δεδομένων από επιχειρήσεις και οργανισμούς. Οι απαιτήσεις ισχύουν για ευρωπαϊκούς οργανισμούς που επεξεργάζονται προσωπικά δεδομένα ατόμων στην ΕΕ, αλλά και για οργανισμούς εκτός της ΕΕ οι οποίοι στοχεύουν άτομα που ζουν στην ΕΕ.

Πότε εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);

Ο ΓΚΠΔ εφαρμόζεται εάν:

  • η επιχείρησή σας επεξεργάζεται προσωπικά δεδομένα και εδρεύει στην ΕΕ, ανεξάρτητα από το πού γίνεται η πραγματική επεξεργασία των δεδομένων
  • η επιχείρησή σας εδρεύει εκτός της ΕΕ αλλά επεξεργάζεται προσωπικά δεδομένα τα οποία αφορούν την παροχή προϊόντων ή υπηρεσιών σε άτομα εντός της ΕΕ, ή παρακολουθεί τη συμπεριφορά ατόμων εντός της ΕΕ

Επιχειρήσεις που δεν εδρεύουν στην ΕΕ αλλά επεξεργάζονται δεδομένα πολιτών της ΕΕ οφείλουν να διορίζουν εκπρόσωπο στην ΕΕ.

Πότε δεν εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);

Ο ΓΚΠΔ δεν εφαρμόζεται εάν:

  • το υποκείμενο των δεδομένων είναι νεκρό
  • το υποκείμενο των δεδομένων είναι νομικό πρόσωπο
  • η επεξεργασία γίνεται από πρόσωπο που ενεργεί για σκοπούς εκτός του εμπορικού, επιχειρηματικού ή επαγγελματικού του πεδίου

Τι είναι τα προσωπικά δεδομένα;

Προσωπικά δεδομένα είναι όλες οι πληροφορίες που αφορούν έναν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, το οποίο καλείται υποκείμενο των δεδομένων. Τα προσωπικά δεδομένα περιέχουν πληροφορίες όπως:

  • όνομα
  • διεύθυνση
  • αριθμός δελτίου ταυτότητας/διαβατηρίου
  • εισόδημα
  • πολιτισμικό προφίλ
  • κωδικός πρωτοκόλλου διαδικτύου (ΙΡ)
  • δεδομένα που διατηρούν νοσοκομεία ή γιατροί (με αποκλειστικό σκοπό την ταυτοποίηση προσώπου για ιατρικούς λόγους).

Ειδικές κατηγορίες δεδομένων

Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων σχετικά με τα εξής χαρακτηριστικά ενός προσώπου:

  • φυλετική ή εθνοτική καταγωγή
  • σεξουαλικός προσανατολισμός
  • πολιτικά φρονήματα
  • θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  • συμμετοχή σε συνδικαλιστικές οργανώσεις
  • γενετικά ή βιομετρικά δεδομένα και δεδομένα υγείας, εξαιρουμένων ειδικών περιπτώσεων (π.χ. όταν έχετε δώσει την πλήρη συγκατάθεσή σας ή όταν η επεξεργασία απαιτείται για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει της νομοθεσίας της ΕΕ ή της εθνικής νομοθεσίας)
  • προσωπικά δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα, εκτός αν αυτό επιτρέπεται από τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία

Ποιος επεξεργάζεται τα προσωπικά δεδομένα;

Κατά την επεξεργασία τους, τα προσωπικά δεδομένα μπορεί να περάσουν από διάφορες επιχειρήσεις ή οργανισμούς. Μέσα σ΄αυτόν τον κύκλο, υπάρχουν δύο βασικά προφίλ που ασχολούνται με την επεξεργασία των προσωπικών δεδομένων:

  • ο υπεύθυνος επεξεργασίας, οποίος αποφασίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων
  • ο εκτελών την επεξεργασία, ο οποίος φυλάσσει και επεξεργάζεται τα δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας.

Ποιος παρακολουθεί μέσα στην επιχείρηση τον τρόπο επεξεργασίας των προσωπικών δεδομένων;

Ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) που μπορεί να έχει οριστεί από την επιχείρηση, είναι αρμόδιος να παρακολουθεί την επεξεργασία των προσωπικών δεδομένων, καθώς και να ενημερώνει και να συμβουλεύει τους υπαλλήλους επεξεργασίας των προσωπικών δεδομένων σχετικά με τις υποχρεώσεις τους. Ο ΥΠΔ συνεργάζεται επίσης με την Αρχή Προστασίας Δεδομένων (ΑΠΔ), λειτουργώντας ως σημείο επαφής μεταξύ της ΑΠΔ και μεμονωμένων ατόμων.

Πότε πρέπει να ορίζετε έναν υπεύθυνο προστασίας δεδομένων;

Οφείλετε να ορίσετε έναν ΥΠΔ εάν η επιχείρησή σας:

  • παρακολουθεί άτομα, σε τακτική ή συστηματική βάση, ή επεξεργάζεται ειδικές κατηγορίες δεδομένων
  • έχει ως μία από τις κύριες επιχειρηματικές της δραστηριότητες την επεξεργασία δεδομένων
  • επεξεργάζεται δεδομένα σε ευρεία κλίμακα.

Για παράδειγμα, αν επεξεργάζεστε προσωπικά δεδομένα για να στοχοθετήσετε διαφημίσεις μέσω μηχανών αναζήτησης βάσει της συμπεριφοράς των ατόμων στο διαδίκτυο, οφείλετε να ορίσετε έναν ΥΠΔ. Αν, αντίθετα, στέλνετε στους πελάτες σας διαφημιστικό υλικό μόνο μία φορά τον χρόνο, δεν χρειάζεται να ορίσετε ΥΠΔ. Ομοίως, αν είστε γιατρός και συλλέγετε δεδομένα για την υγεία ασθενούς σας, πιθανότατα δεν χρειάζεστε ΥΠΔ. Ωστόσο, αν επεξεργάζεστε προσωπικά δεδομένα γενετικής και υγείας για λογαριασμό νοσοκομείου, οφείλετε να έχετε ΥΠΔ.

Ο ΥΠΔ μπορεί να προέρχεται από το προσωπικό του οργανισμού σας ή να είναι εξωτερικός συνεργάτης βάσει σύμβασης παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι μεμονωμένο άτομο ή μέρος οργανισμού.

Επεξεργασία δεδομένων για άλλη επιχείρηση

Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναθέσει την επεξεργασία δεδομένων μόνο σε άτομο που παρέχει επαρκείς εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνονται σε γραπτή σύμβαση μεταξύ των ενδιαφερόμενων μερών. Η σύμβαση αυτή πρέπει επίσης να περιέχει ορισμένες υποχρεωτικές ρήτρες, π.χ., ότι ο εκτελών την επεξεργασία θα επεξεργάζεται προσωπικά δεδομένα μόνον όταν του δίδεται σχετική εντολή από τον υπεύθυνο επεξεργασίας δεδομένων.

Μεταφορά δεδομένων εκτός της ΕΕ

Μόλις τεθεί σε ισχύ η ενσωμάτωση του ΓΚΠΔ στη συμφωνία ΕΟΧ, ο ΓΚΠΔ θα εφαρμόζεται στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ο οποίος περιλαμβάνει όλες τις χώρες της ΕΕ συν την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Όταν προσωπικά δεδομένα μεταφέρονται εκτός του ΕΟΧ, η προστασία που παρέχει ο ΓΚΠΔ εξακολουθεί να ισχύει για τα εν λόγω δεδομένα. Αυτό σημαίνει ότι αν εξάγετε δεδομένα στο εξωτερικό, η επιχείρησή σας πρέπει να διασφαλίζει ότι τηρείται ένα από τα παρακάτω μέτρα:

  • η χώρα εκτός της ΕΕ εφαρμόζει κανόνες που κρίνονται επαρκείς από την ΕΕ
  • η επιχείρησή σας λαμβάνει τα αναγκαία μέτρα για να παράσχει τις κατάλληλες διασφαλίσεις, όπως να περιλάβει συγκεκριμένες ρήτρες στη συμφωνηθείσα σύμβαση με τον εκτός της ΕΕ εισαγωγέα προσωπικών δεδομένων
  • η επιχείρησή σας βασίζεται σε συγκεκριμένα επιχειρήματα για την μεταφορά (παρεκκλίσεις), όπως η συγκατάθεση του υποκειμένου των δεδομένων.

Πότε επιτρέπεται η επεξεργασία δεδομένων;

Σύμφωνα με τους κανόνες της ΕΕ για την προστασία δεδομένων, η επεξεργασία πρέπει να γίνεται με θεμιτό και σύννομο τρόπο, για έναν συγκεκριμένο και νόμιμο σκοπό και να καλύπτει μόνο τα δεδομένα που είναι αναγκαία για την επίτευξη αυτού του σκοπού. Για να επεξεργάζεστε προσωπικά δεδομένα πρέπει να διασφαλίσετε ότι πληροίτε έναν από τους παρακάτω όρους :

  • έχετε τη συγκατάθεση του συγκεκριμένου υποκειμένου των δεδομένων
  • χρειάζεστε τα προσωπικά δεδομένα για να τηρήσετε συμβατική υποχρέωση έναντι του υποκειμένου των δεδομένων
  • χρειάζεστε τα προσωπικά δεδομένα για να εκπληρώσετε νομική υποχρέωση
  • χρειάζεστε τα προσωπικά δεδομένα για να προστατεύσετε ζωτικά συμφέροντα του υποκειμένου των δεδομένων
  • επεξεργάζεστε προσωπικά δεδομένα για να διεκπεραιώσετε αποστολή δημοσίου συμφέροντος
  • ενεργείτε προς όφελος των νομίμων συμφερόντων της επιχείρησής σας, εφόσον δεν θίγονται σοβαρά τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επεξεργάζεστε. Αν τα δικαιώματα του υποκειμένου υπερισχύουν των συμφερόντων της επιχείρησής σας, δεν μπορείτε να επεξεργαστείτε τα προσωπικά του δεδομένα.

Συγκατάθεση για την επεξεργασία δεδομένων

Ο ΓΚΠΔ ορίζει αυστηρούς κανόνες για την επεξεργασία δεδομένων βάσει συγκατάθεσης. Σκοπός των κανόνων αυτών είναι να διασφαλιστεί ότι το υποκείμενο των δεδομένων κατανοεί για τι πραγματικά έχει δώσει τη συγκατάθεσή του. Αυτό σημαίνει ότι η συγκατάθεση πρέπει να δίνεται ελεύθερα, συγκεκριμένα και χωρίς ασάφειες με δήλωση διατυπωμένη σε απλή και κατανοητή γλώσσα. Η συγκατάθεση πρέπει να δίνεται με καταφατική πράξη, π.χ. με την επιλογή τετραγωνιδίου σε ιστοσελίδα ή με την υπογραφή δήλωσης.

Όταν έχει δοθεί συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, μπορείτε να επεξεργαστείτε τα δεδομένα μόνο για τους σκοπούς για τους οποίους δόθηκε η συγκατάθεση. Πρέπει επίσης να δίνετε στο υποκείμενο των δεδομένων τη δυνατότητα να αποσύρει τη συγκατάθεσή του.

Παροχή διαφανών πληροφοριών

Πρέπει να παρέχετε στα υποκείμενα των δεδομένων σαφείς πληροφορίες σχετικά με το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα και γιατί. Οφείλετε να παρέχετε τουλάχιστον τις παρακάτω πληροφορίες:

  • ποιος είστε
  • γιατί επεξεργάζεστε τα προσωπικά δεδομένα
  • ποια είναι η νομική βάση
  • ποιος θα λάβει τα δεδομένα (αν υπάρχει).

Σε ορισμένες περιπτώσεις, πρέπει επίσης να δίνονται οι παρακάτω πληροφορίες:

  • ποια είναι τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (ΥΠΔ), εφόσον υπάρχει,
  • ποιο νόμιμο συμφέρον επιδιώκει η επιχείρηση, όταν για την επεξεργασία βασίζεστε σε αυτό το νομικό επιχείρημα
  • ποια μέτρα ισχύουν για τη μεταφορά δεδομένων σε μια χώρα εκτός της ΕΕ
  • για πόσο διάστημα αποθηκεύονται τα δεδομένα
  • ποια είναι τα δικαιώματα του υποκειμένου των δεδομένων σχετικά με την προστασία των δεδομένων του (π.χ. δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, απαγόρευσης της χρήσης, φορητότητας, κ.λπ).
  • πώς μπορεί να αποσυρθεί η συγκατάθεση (όταν αυτή είναι το νομικό επιχείρημα για την επεξεργασία)
  • αν υπάρχει καταστατική ή συμβατική υποχρέωση για την παροχή των δεδομένων
  • ποιο είναι το σκεπτικό, η σημασία και οι επιπτώσεις της απόφασης, στην περίπτωση αυτοματοποιημένης λήψης απόφασης.

Πρέπει να δίνετε αυτές τις πληροφορίες σε σαφή και κατανοητή γλώσσα.

Ειδικοί κανόνες για τα παιδιά

Αν συλλέγετε προσωπικά δεδομένα από παιδί βάσει συγκατάθεσης, για παράδειγμα από λογαριασμό μέσων κοινωνικής δικτύωσης ή λογαριασμό τηλεφόρτωσης, οφείλετε να λάβετε πρώτα γονική συγκατάθεση, π.χ. στέλνοντας ειδοποίηση στον γονέα ή στον κηδεμόνα του παιδιού. Η ηλικία μέχρι την οποία ένα πρόσωπο θεωρείται παιδί διαφέρει ανάλογα με τη χώρα κατοικίας, αλλά συνήθως είναι μεταξύ 13 και 16 ετών.

Δικαίωμα πρόσβασης και δικαίωμα φορητότητας των δεδομένων

Πρέπει να διασφαλίζετε ότι τα υποκείμενα των δεδομένων έχουν το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα, δωρεάν. Αν λάβετε σχετικό αίτημα, οφείλετε:

  • να ενημερώσετε το υποκείμενο των δεδομένων αν επεξεργάζεστε τα προσωπικά του δεδομένα ή όχι
  • να του δώσετε πληροφορίες για την επεξεργασία (σκοπός, κατηγορίες προσωπικών δεδομένων που υπόκεινται σε επεξεργασία, αποδέκτες των δεδομένων, κλπ.)
  • να του δώσετε αντίγραφο των προσωπικών του δεδομένων που επεξεργάζεστε (σε προσβάσιμο μορφότυπο)

Όταν η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση, το υποκείμενο των δεδομένων μπορεί επίσης να σας ζητήσει να του επιστρέψετε τα προσωπικά του δεδομένα ή να τα διαβιβάσετε σε άλλη επιχείρηση. Πρόκειται για το γνωστό ως δικαίωμα φορητότητας των δεδομένων. Πρέπει να παρέχετε τα δεδομένα σε έναν ευρέως χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο.

Δικαίωμα διόρθωσης και δικαίωμα προβολής αντιρρήσεων

Αν ένα υποκείμενο δεδομένων πιστεύει ότι τα προσωπικά του δεδομένα είναι εσφαλμένα, ελλιπή ή ανακριβή, έχει το δικαίωμα να ζητήσει τη διόρθωση ή τη συμπλήρωσή τους χωρίς καμία καθυστέρηση.

Στην περίπτωση αυτή, οφείλετε να ενημερώσετε όλους τους παραλήπτες των προσωπικών δεδομένων ότι κάποια από τα προσωπικά δεδομένα που τους κοινοποιήσατε έχουν μεταβληθεί ή διαγραφεί. Αν διαβιβάσατε εσφαλμένα προσωπικά δεδομένα, οφείλετε, ενδεχομένως, να ενημερώσετε σχετικά οποιονδήποτε τα είδε (εκτός αν αυτό προϋποθέτει δυσανάλογες προσπάθειες).

Το υποκείμενο των δεδομένων μπορεί επίσης να αντιταχθεί - ανά πάσα στιγμή - στην επεξεργασία των προσωπικών του δεδομένων για μια συγκεκριμένη χρήση, όταν η επιχείρησή σας τα επεξεργάζεται βάσει του νόμιμου συμφέροντός της, ή για λόγους δημοσίου συμφέροντος. Στην περίπτωση αυτή οφείλετε να διακόψετε την επεξεργασία των προσωπικών δεδομένων, εκτός αν έχετε νόμιμο συμφέρον που υπερισχύει των συμφερόντων του υποκειμένου των δεδομένων.

Ομοίως, το υποκείμενο των δεδομένων μπορεί να ζητήσει την περιορισμένη επεξεργασία των προσωπικών του δεδομένων εφόσον έχει οριστεί κατά πόσον το νόμιμο συμφέρον σας υπερισχύει των δικών του συμφερόντων. Ωστόσο, σε περίπτωση άμεσης εμπορικής προώθησης, υποχρεούστε πάντα να διακόψετε την επεξεργασία των προσωπικών δεδομένων εφόσον το ζητήσει το υποκείμενο των δεδομένων.

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Σε ορισμένες περιπτώσεις, το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας να διαγράψει τα προσωπικά του δεδομένα, π.χ. όταν τα δεδομένα αυτά δεν χρειάζονται πλέον για την επίτευξη του σκοπού της επεξεργασίας. Ωστόσο, η επιχείρησή σας δεν υποχρεούται να πράξει κάτι τέτοιο, εφόσον:

  • η επεξεργασία είναι απαραίτητη προκειμένου να τηρηθεί η ελευθερία της έκφρασης και της πληροφόρησης
  • οφείλετε να αποθηκεύσετε τα προσωπικά δεδομένα προκειμένου να συμμορφωθείτε με νομική υποχρέωση
  • υπάρχουν άλλοι λόγοι δημόσιου συμφέροντος για την αποθήκευση των προσωπικών δεδομένων, όπως σκοποί δημόσιας υγείας ή επιστημονικής και ιστορικής έρευνας
  • οφείλετε να αποθηκεύσετε τα προσωπικά δεδομένα προκειμένου να εγείρετε νομική αξίωση

Αυτοματοποιημένη λήψη αποφάσεων και δημιουργία προφίλ

Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις από αυτόν τον κανόνα, όπως όταν το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για απόφαση βάσει αυτοματοποιημένης επεξεργασίας. Εκτός εάν η αυτοματοποιημένη απόφαση βασίζεται σε νομοθετική πράξη, η επιχείρησή σας οφείλει:

• να ενημερώνει το υποκείμενο των δεδομένων για την αυτοματοποιημένη λήψη αποφάσεων

• να του παρέχει το δικαίωμα να αναθέτει την εξέταση της αυτοματοποιημένης απόφασης σε συγκεκριμένο άτομο

• να του δίνει τη δυνατότητα να αμφισβητήσει την αυτοματοποιημένη απόφαση

Για παράδειγμα, αν μία τράπεζα λάβει αυτοματοποιημένη απόφαση σχετικά με τη χορήγηση δανείου σε συγκεκριμένο άτομο, το εν λόγω άτομο πρέπει να ενημερωθεί για την αυτοματοποιημένη απόφαση και να έχει τη δυνατότητα να αμφισβητήσει την απόφαση και να ζητήσει ανθρώπινη παρέμβαση.

Παραβιάσεις δεδομένων - παροχή κατάλληλης ειδοποίησης

Παραβίαση δεδομένων έχουμε όταν τα προσωπικά δεδομένα για τα οποία είστε υπεύθυνος δημοσιοποιούνται, κατά τύχη ή παράνομα, σε μη εξουσιοδοτημένους παραλήπτες, καθίστανται προσωρινά μη διαθέσιμα ή αλλοιώνονται.

Αν συμβεί όντως παραβίαση δεδομένων και η παραβίαση θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, οφείλετε να ειδοποιήσετε την Αρχή Προστασίας Δεδομένων εντός 72 ωρών αφότου αντιληφθείτε την παραβίαση.

Ανάλογα με το κατά πόσο η παραβίαση των δεδομένων δημιουργεί υψηλό κίνδυνο για τους θιγομένους, μπορεί να ζητηθεί από την επιχείρησή σας να τους ενημερώσει.

Διεκπεραίωση αιτήσεων

Αν η επιχείρησή σας λάβει αίτηση από υποκείμενο δεδομένων που επιθυμεί να ασκήσει τα δικαιώματά του, οφείλετε να απαντήσετε χωρίς καθυστέρηση και οπωσδήποτε εντός 1 μηνός από τη λήψη της αίτησης. Ο χρόνος της απάντησής σας μπορεί να παραταθεί κατά 2 μήνες για πολύπλοκα ή πολλαπλά αιτήματα, εφόσον το υποκείμενο των δεδομένων ενημερωθεί για την παράταση. Η διεκπεραίωση των αιτήσεων γίνεται δωρεάν.

Αν μία αίτηση απορριφθεί, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων για τους λόγους της απόρριψης καθώς και για το δικαίωμά του να υποβάλει καταγγελία στην Αρχή Προστασίας Δεδομένων.

Εκτίμηση επιπτώσεων

Η διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία δεδομένων (DPIA) είναι υποχρεωτική όταν η επικείμενη επεξεργασία θέτει σε μεγάλο κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, π.χ. κατά τη χρήση νέων τεχνολογιών.

Τέτοιος μεγάλος κίνδυνος προκύπτει όταν:

  • χρησιμοποιούνται, κατά την αξιολόγηση ατόμων, αυτοματοποιημένοι μηχανισμοί επεξεργασίας δεδομένων και δημιουργίας προφίλ
  • παρακολουθείται δημόσιος χώρος σε μεγάλη έκταση (π.χ. κάμερες CCTV)
  • γίνεται επεξεργασία, σε μεγάλη κλίμακα, ειδικών κατηγοριών δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα (π.χ. δεδομένα υγείας)

Σημείωση: οι Αρχές Προστασίας Δεδομένων μπορούν επίσης να θεωρήσουν και άλλες κατηγορίες επεξεργασίας δεδομένων ως υψηλού κινδύνου.

Αν τα μέτρα που ορίζονται στην DPIA αδυνατούν να εξαλείψουν όλους τους εντοπισμένους υψηλούς κινδύνους, πρέπει να ζητηθεί η γνώμη της Αρχής Προστασίας Δεδομένων προτού πραγματοποιηθεί η σχεδιαζόμενη επεξεργασία δεδομένων.

Τήρηση αρχείων

Πρέπει να μπορείτε να αποδείξετε ότι η επιχείρησή σας ενεργεί σύμφωνα με τον ΓΚΠΔ και πληροί όλες τις υποχρεώσεις της - κυρίως μετά από σχετικό αίτημα ή στο πλαίσιο επιθεώρησης από την Αρχή Προστασίας Δεδομένων.

Ένας τρόπος για να γίνει αυτό είναι να τηρείτε λεπτομερή αρχεία στοιχείων, όπως:

  • το όνομα και τα στοιχεία επικοινωνίας της επιχείρησης που εμπλέκεται στην επεξεργασία δεδομένων
  • τους λόγους επεξεργασίας των προσωπικών δεδομένων
  • την περιγραφή των κατηγοριών των ατόμων που παρέχουν προσωπικά δεδομένα
  • τις κατηγορίες των οργανισμών που είναι παραλήπτες προσωπικών δεδομένων
  • τη μεταφορά προσωπικών δεδομένων σε άλλη χώρα ή οργανισμό
  • την περίοδο αποθήκευσης των προσωπικών δεδομένων
  • την περιγραφή των μέτρων ασφαλείας που εφαρμόζονται κατά την επεξεργασία προσωπικών δεδομένων

Επίσης, η επιχείρησή σας πρέπει να τηρεί - και να επικαιροποιεί τακτικά - γραπτές διαδικασίες και οδηγίες και να τις γνωστοποιεί στο προσωπικό της.

Αν η επιχείρησή σας είναι ΜΜΕEnglish ή μικρότερη, δεν χρειάζεται να τηρείτε αρχεία για τις δραστηριότητες επεξεργασίας που πραγματοποιείτε, εφόσον αυτές:

• δεν γίνονται σε τακτική βάση

• δεν θίγουν τα δικαιώματα ή τις ελευθερίες των εκάστοτε προσώπων

• δεν αφορούν ευαίσθητα δεδομένα ή ποινικό μητρώο

Προστασία δεδομένων εκ σχεδιασμού και εξ ορισμού

Προστασία δεδομένων εκ σχεδιασμού σημαίνει ότι η επιχείρησή σας πρέπει να λάβει υπόψη την προστασία δεδομένων στα πρώτα στάδια του σχεδιασμού ενός νέου τρόπου επεξεργασίας των προσωπικών δεδομένων. Σύμφωνα με αυτή την αρχή, ένας υπεύθυνος επεξεργασίας δεδομένων οφείλει να προβαίνει σε όλες τις τεχνικές και οργανωτικές ενέργειες που απαιτούνται για την εφαρμογή των αρχών που διέπουν την προστασία δεδομένων και την προστασία των δικαιωμάτων των υποκειμένων τους. Στις ενέργειες αυτές θα μπορούσε να περιλαμβάνεται, μεταξύ άλλων, η ψευδωνυμοποίηση.

Προστασία δεδομένων εξ ορισμού σημαίνει ότι η επιχείρησή σας πρέπει πάντα να επιλέγει τις πλέον ευνοϊκές για την προστασία της ιδιωτικής ζωής ρυθμίσεις ως προεπιλεγμένες ρυθμίσεις. Για παράδειγμα, αν είναι δυνατές δύο ρυθμίσεις σχετικά με την προστασία της ιδιωτικής ζωής και μία από τις ρυθμίσεις εμποδίζει την πρόσβαση τρίτων σε προσωπικά δεδομένα, αυτή η ρύθμιση θα πρέπει να χρησιμοποιείται ως προεπιλεγμένη ρύθμιση.

Παραβίαση των κανόνων και ποινές

Η μη τήρηση των κανόνων του ΓΚΠΔ μπορεί να οδηγήσει σε σημαντικά πρόστιμα που μπορούν να φθάσουν μέχρι τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού κύκλου εργασιών της επιχείρησης για ορισμένες παραβάσεις. Η Αρχή Προστασίας Δεδομένων μπορεί επίσης να επιβάλει συμπληρωματικά διορθωτικά μέτρα, π.χ., να σας διατάξει να διακόψετε την επεξεργασία προσωπικών δεδομένων.

Cookies

Υπάρχουν διάφορα είδη cookies που μπορείτε να χρησιμοποιείτε στον ιστότοπό σας. Ανάλογα με τον σκοπό των διάφορων cookies, μπορείτε να ζητείτε την εκ των προτέρων συγκατάθεση των χρηστών σας.

Cookies που δεν προϋποθέτουν συγκατάθεση

Στις παρακάτω περιπτώσεις δεν απαιτείται συγκατάθεση:

  • cookies που χρησιμοποιούνται αποκλειστικά για λόγους μετάδοσης μιας επικοινωνίας, όπως τα cookies που επιτρέπουν την επεξεργασία αιτήσεων εξυπηρετητή διαδικτύου από ομάδα μηχανών αντί από μία μόνο (εξισορρόπηση φορτίου).
  • cookies που είναι απολύτως απαραίτητα για την παροχή μιας διαδικτυακής υπηρεσίας την οποία ζητά ρητά ένα πρόσωποEnglish, π.χ. cookies εισαγωγής δεδομένων χρήστη (τα οποία χρησιμοποιούνται όταν ζητάτε από τους χρήστες σας να συμπληρώσουν ένα δελτίο στο διαδίκτυο, ή όταν οι πελάτες σας χρησιμοποιούν καλάθι αγορών κατά την αγορά προϊόντων από τον ιστότοπό σας), ή cookies ταυτοποίησης (όταν οι χρήστες ταυτοποιούνται οι ίδιοι στον ιστότοπό σας προκειμένου να ελέγξουν διαδικτυακές υπηρεσίες, π.χ. τον τραπεζικό τους λογαριασμό).

Cookies που προϋποθέτουν συγκατάθεση

Για ορισμένα cookies απαιτείται η συγκατάθεση των χρηστών σας προτού τα χρησιμοποιήσετε για να συγκεντρώσετε τα στοιχεία τους. Αυτό σημαίνει ότι τα cookies δεν μπορούν να εγκατασταθούν όταν η ιστοσελίδα ανοίγει πρώτη φορά. Μπορείτε να εγκαταστήσετε τα cookies και να χρησιμοποιήσετε τις πληροφορίες που συγκεντρώνετε μέσω αυτών μόλις λάβετε τη συγκατάθεση του χρήστη.

Στις παρακάτω περιπτώσεις απαιτείται συγκατάθεση:

  • cookies κοινωνικής ιχνηλάτησης μέσω συνδεόμενης υπομονάδας (όπως αυτά που χρησιμοποιούνται για συμπεριφορική διαφήμιση, ανάλυση ή έρευνα αγοράς).
  • cookies τρίτου μέρους που χρησιμοποιούνται για συμπεριφορική διαφήμιση.

Προβλεπόμενος σκοπός των cookies

Αν χρησιμοποιείτε cookies που απαιτούν συγκατάθεση, πρέπει να δίνετε στα πρόσωπα που φυλλομετρούν τον ιστότοπό σας σαφείς και ολοκληρωμένες πληροφορίες για τα cookies που χρησιμοποιεί ο ιστότοπός σας, καθώς και για τον σκοπό τους. Οι χρήστες σας πρέπει να έχουν τη δυνατότητα να δίνουν συγκεκριμένη συγκατάθεση ανάλογα με τους σκοπούς των διάφορων ειδών cookies που αποδέχονται, π.χ. να δίνουν ξεχωριστή συγκατάθεση για cookies παρακολούθησης.

Απόσυρση της συγκατάθεσης

Πρέπει να διασφαλίζετε ότι οι χρήστες μπορούν εξίσου εύκολα να αποσύρουν τη συγκατάθεσή τους όπως και να αποδέχονται τα cookies. Αν ο χρήστης επιλέξει τελικά να φυλλομετρήσει τον ιστότοπο με αυτοεξαίρεση από τα cookies, οφείλετε παρ΄ όλα αυτά να του παρέχετε μια ελάχιστη υπηρεσία, π.χ. να έχει τη δυνατότητα πρόσβασης σε ένα τμήμα μόνο του ιστότοπού σας.

Συχνές ερωτήσεις - Προστασία των δεδομένων και της ιδιωτικής ζωής στο διαδίκτυο

Επικοινωνήστε με έναν τοπικό εταίρο υποστήριξης επιχειρήσεων

Έχετε απορίες σχετικά με τη λειτουργία μιας διασυνοριακής επιχείρησης, π.χ. σχετικά με εξαγωγές ή επέκταση σε άλλη χώρα της ΕΕ; Εάν ναι, το δίκτυο Enterprise Europe μπορεί να σας δώσει συμβουλές δωρεάν.

Τοπική υποστήριξη επιχειρήσεων

Βοήθεια και Συμβουλές

Επικοινωνήστε με ειδικευμένες υπηρεσίες παροχής βοήθειας

Βοήθεια και Συμβουλές

Επικοινωνήστε με έναν τοπικό εταίρο υποστήριξης επιχειρήσεων

Έχετε απορίες σχετικά με τη λειτουργία μιας διασυνοριακής επιχείρησης, π.χ. σχετικά με εξαγωγές ή επέκταση σε άλλη χώρα της ΕΕ; Εάν ναι, το δίκτυο Enterprise Europe μπορεί να σας δώσει συμβουλές δωρεάν. Για να βοηθήσετε τον σύμβουλο στην περιοχή σας να απαντήσει έγκαιρα και σωστά, δώστε όσο το δυνατόν περισσότερες πληροφορίες.

EEN-logo

Δελτίο επικοινωνίας

(Όλα τα πεδία είναι υποχρεωτικά)
Σας ευχαριστούμε. Το μήνυμά σας εστάλη επιτυχώς.
Λόγω τεχνικού προβλήματος, το μήνυμα δεν εστάλη. Ξαναδοκιμάστε αργότερα.
Δηλώστε έγκυρη ηλεκτρονική διεύθυνση

Προσωπικά στοιχεία

Στοιχεία της επιχείρησης

ΝαιΌχι

Χώρα

Αυστρία

Wien

Βέλγιο

Brussel

Bruxelles

Namur

Βουλγαρία

Sofia

Γαλλία

Blagnac Cedex

Caen

Dijon

Guadeloupe, Martinique

Lille

Lyon

Paca

Paris, Ile-de-France, Centre, Nouvelle-Calédonie, Polynésie

Rennes

Saint-Denis

Γερμανία

Berlin

Bremen

Erfurt

Hannover

Kiel

Leipzig

Magdeburg

Mainz

Mülheim an der Ruhr

München

Rostock

Stuttgart

Wiesbaden

Δανία

Copenhagen

Ελλάδα

Athens

Εσθονία

Tallinn

Ηνωμένο Βασίλειο

Belfast (Northern Ireland)

Cardiff (Wales)

Edinburgh (Scotland)

London (England)

Ιρλανδία

Dublin

Ισλανδία

Reykjavík

Ισπανία

Barcelona

Madrid

Oviedo

Palma

Santa Cruz de Tenerife

Sevilla

Valencia

Vitoria- Gazteiz

Zaragoza

Ιταλία

Firenze (Toscana, Umbria, Marche)

Milano (Lombardia, Emilia Romagna)

Napoli (Abruzzo, Calabria, Campania, Basilicata, Molise, Puglia, Sicilia)

Roma (Lazio, Sardegna)

Torino (Piemonte, Liguria, Valle d’Aosta)

Venezia (Veneto, Trentino Alto Adige, Friuli Venezia Giulia)

Κροατία

Zagreb

Κύπρος

Nicosia

Λετονία

Riga

Λιθουανία

Vilnius

Λουξεμβούργο

Luxembourg

Μάλτα

Pieta`

Νορβηγία

Oslo

Ολλανδία

Den Haag

Ουγγαρία

Budapest

Πολωνία

Kielce

Lublin

Warsaw

Wroclaw

Πορτογαλία

Lisboa

Ρουμανία

Baciu Cluj

Bucuresti

Constanta

Timișoara

Σλοβακία

Bratislava

Σλοβενία

Ljubljana

Σουηδία

Stockholm

Τσεχική Δημοκρατία

Praha

Φινλανδία

Helsinki

3000/3000

Οι πληροφορίες που περιέχονται στο παρόν δελτίο αποστέλλονται απευθείας σε έναν εταίρο από το δίκτυο «Enterprise Europe Network». Τα δεδομένα προσωπικού χαρακτήρα που αναγράφονται στο δελτίο θα χρησιμοποιηθούν μόνο για να βοηθήσουν τον σύμβουλο να απαντήσει στο ερώτημά σας. Τα δεδομένα δεν θα αποθηκευτούν στη συνέχεια.