Μεταρρύθμιση των κανόνων προστασίας προσωπικών δεδομένων της ΕΕ (GDPR)
Τι πρέπει να γνωρίζεις για το νέο ευρωπαϊκό κανονισμό. Ένας αναλυτικός οδηγός Ερωτήσεων - Απαντήσεων για τη συμμόρφωση με το GDPR.
Ο νέος Γενικός Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» θα έχει άμεση εφαρμογή στις 25 Μαΐου 2018 σε όλα τα Κράτη-Μέλη της ΕΕ, αντικαθιστώντας την ισχύουσα Οδηγία 95/46/ΕΚ και την εθνική νομοθεσία που την ενσωμάτωσε, δηλαδή το ν. 2472/1997, όπως ισχύει.
Από τις 25 Μαΐου 2018, οι εταιρείες που δραστηριοποιούνται στην Ελλάδα καλούνται να συμμορφωθούν με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR - General Data Protection Regulation), ο οποίος επιβάλλει αυστηρούς κανόνες στην επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε.
Απαιτεί σημαντικές διασφαλίσεις για την προστασία δεδομένων που πρέπει να εφαρμόζουν οι οργανισμοί. Η συμμόρφωση με το GDPR δεν είναι προαιρετική, καθώς οποιοσδήποτε οργανισμός που ελέγχει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε φυσικά πρόσωπα στην Ευρωπαϊκή Ένωση πρέπει να συμμορφώνεται.
Ο ΓΚΠΔ εισάγει νέα εργαλεία και διαδικασίες με στόχο την εξασφάλιση ευρύτερης και αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά μέσω της τήρησης αρχείου δραστηριοτήτων της επεξεργασίας, της διενέργειας εκτίμησης αντικτύπου και –κυρίως– του ορισμού υπευθύνου Προστασίας Δεδομένων (DPO).
Τυχόν παραβίαση του νέου Κανονισμού επισύρει διοικητικά πρόστιμα από την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων, τα οποία μπορεί να φτάσουν έως και τα 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της επιχείρησης, ανάλογα με το ποιο ποσό είναι υψηλότερο.
Οι βασικοί κανόνες GDPR είναι οι ακόλουθοι:
1) Το GDPR απαιτεί να έχετε μια νομική βάση για τον έλεγχο και την επεξεργασία προσωπικών δεδομένων, όπως η άμεση συναίνεση του υποκειμένου των δεδομένων, η εκπλήρωση μιας σύμβασης με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η τήρηση νομικής υποχρέωσης του υπεύθυνου επεξεργασίας, η προστασία των ζωτικών συμφερόντων ενός προσώπου στο οποίο αναφέρονται τα δεδομένα και τα έννομα συμφέροντα του υπεύθυνου επεξεργασίας.
2) Διορίστε έναν υπεύθυνο προστασίας δεδομένων ο οποίος μπορεί να είναι υπάλληλος για έναν οργανισμό, έναν εκπρόσωπο για μια ομάδα οργανισμών ή έναν εξωτερικό σύμβουλο. Ο υπεύθυνος προστασίας δεδομένων πρέπει να “αναφέρεται απευθείας στο ανώτατο επίπεδο διαχείρισης.” Οι υποχρεώσεις περιλαμβάνουν την ενημέρωση και την παροχή συμβουλών στον υπεύθυνο επεξεργασίας, τον μεταποιητή και τους υπαλλήλους σχετικά με τις υποχρεώσεις τους βάσει του GDPR, την παρακολούθηση της συμμόρφωσης και την ύπαρξη συνδέσμου με την εποπτική αρχή.
3) Συλλέξτε και επεξεργαστείτε προσωπικά δεδομένα μόνο για νόμιμους σκοπούς και προστατεύστε τα ανά πάσα στιγμή. Οι απαιτούμενες προστασίες περιλαμβάνουν την πρόληψη της ακούσιας ή παράνομης καταστροφής, απώλειας, επεξεργασίας, αποκάλυψης, πρόσβασης και αλλοίωσης.
4) τεκμηριώνει όλες τις δραστηριότητες επεξεργασίας δεδομένων, συμπεριλαμβανομένων των σκοπών της επεξεργασίας, των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των δεδομένων προσωπικού χαρακτήρα, των κατηγοριών των αποδεκτών, των διασφαλίσεων σχετικά με τις μεταφορές δεδομένων και, ει δυνατόν, των προθεσμιών για τη διαγραφή. Έγγραφα σχετικά με τα τεχνικά και οργανωτικά μέτρα ασφαλείας πρέπει να παράγονται μαζί με αρχεία σε γραπτή ή ηλεκτρονική μορφή τα οποία μπορούν να ελεγχθούν από την εποπτική αρχή κατόπιν αιτήματος. Εάν ένας οργανισμός έχει λιγότερους από 250 υπαλλήλους, δεν χρειάζεται να κάνει το τμήμα τεκμηρίωσης.
5) Η συγκατάθεση πρέπει να είναι τεκμηριωμένη. Πρέπει να δίδεται για κάθε συγκεκριμένη λειτουργία και σκοπό επεξεργασίας και το υποκείμενο των δεδομένων πρέπει να είναι σε θέση να αποσύρει τη συναίνεση εξίσου εύκολα με αυτό που του έδωσε.
6) Να αποδείξει τη συμμόρφωση με το GDPR μέσω τεχνικών και οργανωτικών μέτρων με αξιολογήσεις της καταλληλότητας αυτών των μέτρων. Αυτό περιλαμβάνει την ύπαρξη πολιτικών σχετικά με τον τρόπο προστασίας των δεδομένων που βρίσκονται υπό τον έλεγχό σας, την εκτίμηση των κινδύνων για τα προσωπικά δεδομένα, τα εφαρμόσιμα τεχνικά μέτρα που επιβάλλουν προστασία, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων, οι οδηγίες σχετικά με τη μεταφορά δεδομένων σε άλλες χώρες, τα μέσα για τον εντοπισμό και τη διερεύνηση παραβιάσεων δεδομένων και τη δυνατότητα άμεσης ανταπόκρισης στα αιτήματα πρόσβασης δεδομένων από τα υποκείμενα δεδομένων.
7) Διεξάγει εκτιμήσεις σχετικά με τους κινδύνους για τα δικαιώματα και τις ελευθερίες ελέγχου και επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αναπτύσσοντας δομημένους οργανωτικούς και τεχνολογικούς μετριασμούς για τους προσδιορισμένους κινδύνους, συμπεριλαμβανομένων τυχόν σχέσεων τρίτων μερών για δεδομένα που έχουν υποστεί επεξεργασία για λογαριασμό του οργανισμού σας.
8) Η μεταφορά δεδομένων εκτός της ΕΕ σε “τρίτη χώρα ή σε διεθνή οργανισμό” πρέπει να αποτραπεί, εκτός εάν υπάρχουν ειδικές προστασίες. Αυτές οι προστασίες μπορούν να είναι μια απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, σύμφωνα με την οποία οι αποδέκτες-στόχοι διαθέτουν επαρκές επίπεδο προστασίας δεδομένων ή ο υπεύθυνος επεξεργασίας ή ο μεταποιητής διαθέτει κατάλληλες διασφαλίσεις και διαθέσιμα ένδικα μέσα, όπως δεσμευτικούς εταιρικούς κανόνες.
9) Ενημερώνει την εποπτική αρχή για παραβίαση δεδομένων εντός 72 ωρών από τη στιγμή που έχει λάβει γνώση της παραβίασης. Ανάλογα με την περίσταση, ενημερώστε κάθε υποκείμενο των δεδομένων των οποίων παραβιάστηκαν επίσης τα δεδομένα. Οι γνωστοποιήσεις παραβίασης δεν απαιτούνται από την εποπτική αρχή ή τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, εάν οι παραβιάσεις είναι “απίθανο να θέσουν σε κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων”
10) Η εκτίμηση των επιπτώσεων στην προστασία δεδομένων (DPIA) πρέπει να γίνει σε περιοχές όπου η επεξεργασία θα “κινδυνεύει να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες.” Η αυτοματοποιημένη επεξεργασία και ο σχεδιασμός, η επεξεργασία μεγάλων ποσοτήτων “ειδικών κατηγοριών δεδομένων” οι νομικές επιπτώσεις για τους ανθρώπους και η “συστηματική παρακολούθηση ενός ευρέως προσβάσιμου χώρου στο κοινό” πρέπει να αξιολογηθούν στο πλαίσιο της παρούσας οδηγίας. Οι οργανισμοί πρέπει να διαβουλεύονται με την εποπτική αρχή πριν από την πραγματοποίηση της ίδιας της επεξεργασίας και να περιμένουν έως ότου η εποπτική αρχή κρίνει ότι η δραστηριότητα επεξεργασίας είναι νόμιμη υπό ορισμένες συνθήκες.
11) Ελαχιστοποίηση του όγκου των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα που είναι μια αρχή που ονομάζεται ελαχιστοποίηση των δεδομένων. Τα προσωπικά δεδομένα που δεν απαιτούνται για συγκεκριμένη δραστηριότητα επεξεργασίας δεν θα πρέπει να συλλέγονται ή να υποβάλλονται σε επεξεργασία. Μόλις τα προσωπικά δεδομένα δεν απαιτούνται πλέον, θα πρέπει να ελαχιστοποιηθούν μέσω ψευδολύματος, η οποία είναι μια διαδικασία αντικατάστασης των αναγνωριστικών με σχεδόν άσχετες τιμές ή τα δεδομένα πρέπει να διαγραφούν οριστικά.
12) Η προστασία των δεδομένων πρέπει να διασφαλίζεται κατά τη διάρκεια των δραστηριοτήτων επεξεργασίας, μέσω της εφαρμογής «κατάλληλων τεχνικών και οργανωτικών μέτρων». Οι εν λόγω διασφαλίσεις προστασίας πρέπει να εφαρμόζονται κατά τον προσδιορισμό του τρόπου επεξεργασίας και κατά τον πραγματικό χρόνο διεξαγωγής της επεξεργασίας . Τεχνικά και οργανωτικά μέτρα ασφάλειας είναι η κρυπτογράφηση, η εμπιστευτικότητα του συστήματος επεξεργασίας ψευδωνυμοποίησης, η ακεραιότητα και η ανθεκτικότητα και η τακτική διαδικασία δοκιμών.
13) Προϋποθέσεις επεξεργασίας ειδικών κατηγοριών δεδομένων όπως “επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή ιδιότητα μέλους συνδικαλιστικών οργανώσεων και επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα για τον μοναδικό εντοπισμό φυσικών τα δεδομένα σχετικά με την υγεία ή τα δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου απαγορεύονται. “
14) Προτροπή απαντήσεων σε αιτήματα των υποκειμένων δεδομένων σχετικά με τα προσωπικά δεδομένα που ελέγχετε, επεξεργάζεστε ή μεταφέρετε σχετικά με αυτόν ή αυτήν. Το υποκείμενο των δεδομένων έχει το δικαίωμα πρόσβασης για να γνωρίζει τους σκοπούς της επεξεργασίας, τις κατηγορίες επεξεργασμένων προσωπικών δεδομένων, τους παραλήπτες ή τις κατηγορίες αποδεκτών που θα έχουν ή θα αποκαλύπτουν τα δεδομένα, πόσο χρόνο θα αποθηκεύονται τα δεδομένα και το δικαίωμά τους για διόρθωση ή διαγραφή . Το πρώτο αίτημα του υποκειμένου των δεδομένων πρέπει να πληρούται δωρεάν, αν και μπορεί να επιβληθεί “εύλογη αμοιβή βασιζόμενη στις διοικητικές δαπάνες” για “περαιτέρω αντίγραφα”. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να μπορεί να «ασκεί τα δικαιώματα εύκολα και σε εύλογα χρονικά διαστήματα, προκειμένου να γνωρίζει και να επαληθεύει τη νομιμότητα της επεξεργασίας. “Πρέπει να υπάρχει ένα” ασφαλές σύστημα “που να παρέχει στο υποκείμενο των δεδομένων άμεση πρόσβαση στα προσωπικά του δεδομένα.
15) Ενημέρωση και διόρθωση τυχόν ανακριβών προσωπικών δεδομένων που τηρούνται για ένα υποκείμενο των δεδομένων, με διάφορα μέσα που περιλαμβάνουν συμπληρωματική γνωστοποίηση από το υποκείμενο των δεδομένων. Οι οργανισμοί θα χρειαστούν στενή ενσωμάτωση σε όλα τα συστήματα δεδομένων και διαδικασίες, ώστε να διασφαλιστεί ότι τα δεδομένα που έχουν ενημερωθεί σε ένα σύστημα ενημερώνονται αυτόματα και σωστά σε όλες τις άλλες τοποθεσίες.
16) Διαγραφή μόνιμα οποιωνδήποτε προσωπικών δεδομένων για ένα υποκείμενο των δεδομένων υπό συγκεκριμένες προϋποθέσεις, όπως η ανάκληση της συναίνεσης από το υποκείμενο των δεδομένων, η επεξεργασία των δεδομένων και η αντικειμενικότητα των δεδομένων που αφορούν την επεξεργασία των προσωπικών τους δεδομένων και δεν υπάρχουν άλλα νόμιμα λόγους συνεχούς επεξεργασίας των δεδομένων. Εάν τα δεδομένα έχουν δημοσιοποιηθεί από τον υπεύθυνο επεξεργασίας ή τον επεξεργαστή, πρέπει να ληφθούν “εύλογα μέτρα” για την ενημέρωση των άλλων ελεγκτών και των μεταποιητών σχετικά με την αίτηση διαγραφής.
17) Περιορίζει προσωρινά την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατόπιν αιτήσεως του υποκειμένου των δεδομένων υπό ορισμένες προϋποθέσεις, συμπεριλαμβανομένης της αμφισβητούμενης ακρίβειας, της παράνομης επεξεργασίας, αλλά δεν ζητείται διαγραφή και της ανάγκης των υποκειμένων των δεδομένων για τα προσωπικά δεδομένα για νομικές αξιώσεις, πρέπει να αναφέρονται σαφώς στο σύστημα. “
18) Προμήθεια δεδομένων προσωπικού χαρακτήρα σε σχέση με το αίτημα ενός υποκειμένου δεδομένων σε “διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή”. Αυτό περιορίζεται στα προσωπικά δεδομένα που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα “παρέσχε σε ελεγκτή” και το υποκείμενο των δεδομένων μπορεί να ζητήσει ο υπεύθυνος επεξεργασίας να διαβιβάζει τα δεδομένα σε έναν νέο υπεύθυνο επεξεργασίας δεδομένων “χωρίς εμπόδια”. Υπάρχουν διάφοροι αποκλεισμοί, όπως για παράδειγμα, όπου ισχύουν και άλλες νόμιμες βάσεις για μελλοντικές δραστηριότητες επεξεργασίας.
19) Τα προσωπικά δεδομένα των παιδιών θα πρέπει να έχουν πρόσθετες διασφαλίσεις όταν οι υπηρεσίες προσφέρονται απευθείας σε παιδιά και όλες οι χρησιμοποιούμενες γλώσσες πρέπει να είναι «σε μια σαφή και απλή γλώσσα που το παιδί μπορεί εύκολα να καταλάβει». Η συγκατάθεση απαιτείται επίσης από τον κάτοχο της γονικής μέριμνας πάνω από το παιδί “για παιδιά ηλικίας κάτω των 16 ετών, αν και τα κράτη μέλη μπορούν να το μειώσουν σε 13 χρόνια.
20) Εναλλακτικές διαθέσιμες μέθοδοι για τη λήψη αποφάσεων σχετικά με τους ανθρώπους και όχι μόνο για αυτοματοποιημένη επεξεργασία και διαμόρφωση, όπως η ανθρώπινη παρέμβαση. Εξαιρέσεις είναι η ανάγκη επεξεργασίας που σχετίζεται με συμβατικά θέματα, εξαιρέσεις δυνάμει του δικαίου της Ένωσης ή των κρατών μελών και όταν έχει δοθεί ρητή συναίνεση του υποκειμένου των δεδομένων, αλλά πρέπει να διασφαλίζονται τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων.
Τι είναι τα δεδομένα προσωπικού χαρακτήρα;
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή. Σε όλες τις περιπτώσεις τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας που προβλέπει ο ΓΚΠΔ.
Παραδείγματα δεδομένων προσωπικού χαρακτήρα:
- όνομα και επώνυμο·
- διεύθυνση κατοικίας·
- ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com·
- αναγνωριστικός αριθμός κάρτας·
- δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)*·
- διεύθυνση διαδικτυακού πρωτοκόλλου (IP)·
- αναγνωριστικό cookie*·
- το αναγνωριστικό διαφήμισης του τηλεφώνου σας·
- δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.
*Σημειώστε ότι σε ορισμένες περιπτώσεις, υπάρχει ειδική νομοθεσία σχετικά με συγκεκριμένους τομείς που ρυθμίζει, για παράδειγμα, τη χρήση δεδομένων τοποθεσίας ή τη χρήση cookie – οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες [οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002 (ΕΕ L 201 της 31.7.2002, σ. 37) και κανονισμός (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Οκτωβρίου 2004 (ΕΕ L 364 της 9.12.2004, σ. 1)].
Παραδείγματα δεδομένων που δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα:
- αριθμός μητρώου εταιρείας·
- ηλεκτρονική διεύθυνση του τύπου πληροφορίες@εταιρεία.com·
- ανώνυμα δεδομένα.
Πώς προστατεύονται τα δεδομένα μου προσωπικού χαρακτήρα;
Πώς προστατεύονται τα δεδομένα σχετικά με τις θρησκευτικές πεποιθήσεις / τον γενετήσιο προσανατολισμό / την υγεία / τα πολιτικά φρονήματά μου;
Οι παρακάτω ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θεωρούνται «ευαίσθητες» και λαμβάνουν ειδική προστασία σύμφωνα με τον ΓΚΠΔ:
- φυλετική ή εθνοτική καταγωγή·
- πολιτικά φρονήματα·
- θρησκευτικές ή φιλοσοφικές πεποιθήσεις·
- συμμετοχή σε συνδικαλιστική οργάνωση·
- επεξεργασία γενετικών δεδομένων·
- βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου·
- υγεία·
- σεξουαλική ζωή ή γενετήσιος προσανατολισμός.
Ο γενικός κανόνας είναι ότι η επεξεργασία δεδομένων των ανωτέρω κατηγοριών απαγορεύεται. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις βάσει των οποίων μια εταιρεία ή ένας οργανισμός μπορεί ενδεχομένως να επεξεργάζεται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όταν για παράδειγμα:
- έχετε προδήλως δημοσιοποιήσει τα ευαίσθητα δεδομένα σας·
- έχετε δώσει ρητή συγκατάθεση·
- υπάρχει νόμος ο οποίος διέπει έναν συγκεκριμένο τύπο επεξεργασίας δεδομένων για συγκεκριμένο σκοπό που αφορά το δημόσιο συμφέρον ή τη δημόσια υγεία·
- νόμος που συμπεριλαμβάνει επαρκείς εγγυήσεις προβλέπει την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε τομείς όπως η δημόσια υγεία, η απασχόληση και η κοινωνική προστασία.
Μπορούν να συλλέγονται δεδομένα προσωπικού χαρακτήρα για παιδιά;
Αυτό το είδος δεδομένων προσωπικού χαρακτήρα καλύπτεται από επιπλέον προστασία, καθώς τα παιδιά έχουν μικρότερη επίγνωση των κινδύνων και των συνεπειών της κοινοποίησης δεδομένων καθώς και των δικαιωμάτων τους. Τυχόν πληροφορίες που απευθύνονται συγκεκριμένα σε ένα παιδί θα πρέπει να προσαρμόζονται έτσι ώστε να είναι εύκολα προσβάσιμες και να είναι γραμμένες σε σαφή και απλή γλώσσα.
Για τις περισσότερες διαδικτυακές υπηρεσίες απαιτείται η συγκατάθεση ενός γονιού ή ενός κηδεμόνα για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός παιδιού βάσει συγκατάθεσης μέχρι μια ορισμένη ηλικία. Αυτό ισχύει για τους ιστότοπους κοινωνικής δικτύωσης καθώς και για τις πλατφόρμες που χρησιμεύουν για τη μεταφόρτωση μουσικής ή την αγορά διαδικτυακών παιχνιδιών.
Το όριο ηλικίας για τη λήψη γονικής συγκατάθεσης καθορίζεται από κάθε κράτος μέλος της ΕΕ και ποικίλλει από τα 13 έως τα 16 έτη. Υποβάλετε σχετικό ερώτημα στην εθνική αρχή προστασίας δεδομένων.
Οι εταιρείες πρέπει να κάνουν φιλότιμες προσπάθειες, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, για να ελέγχουν ότι η συγκατάθεση έχει πράγματι δοθεί σύμφωνα με τη νομοθεσία. Αυτό μπορεί να περιλαμβάνει την εφαρμογή μέτρων επαλήθευσης της ηλικίας (π.χ. την υποβολή ερώτησης που ένα μέσο παιδί δεν θα μπορεί να απαντήσει ή το να ζητηθεί από τον ανήλικο να παράσχει την ηλεκτρονική διεύθυνση του γονιού του ώστε να είναι δυνατή η έγγραφη συγκατάθεση).
Οι υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε παιδιά εξαιρούνται από την απαίτηση για γονική συγκατάθεση, καθώς επιδιώκουν να προστατεύσουν τα μείζονα συμφέροντα του παιδιού.
Μπορεί ο εργοδότης μου να μου ζητήσει να δώσω τη συγκατάθεσή μου σχετικά με τη χρήση των δεδομένων μου προσωπικού χαρακτήρα;
Η σχέση εργοδότη-εργαζομένου θεωρείται γενικά μη ισότιμη σχέση στην οποία ο εργοδότης κατέχει περισσότερη εξουσία από τον εργαζόμενο. Καθώς η συγκατάθεση πρέπει να δίνεται ελεύθερα, και λόγω της μη ισότιμης σχέσης, ο εργοδότης σας κατά κανόνα δεν μπορεί να βασίζεται στη συγκατάθεσή σας για να χρησιμοποιεί τα δεδομένα σας.
Μπορεί να υπάρχουν περιπτώσεις στις οποίες η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός εργαζομένου που βασίζεται στη συγκατάθεσή του είναι νόμιμη, ιδίως εάν είναι προς όφελος του εργαζομένου. Για παράδειγμα, εάν μια εταιρεία χορηγεί παροχές στον εργαζόμενο ή στα μέλη της οικογένειάς του (π.χ. εκπτώσεις στις υπηρεσίες της εταιρείας), η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του εργαζομένου επιτρέπεται και είναι νόμιμη, εφόσον έχει προηγηθεί η παροχή συγκατάθεσης κατόπιν ενημέρωσης.
Πώς θα πρέπει να ζητείται η συγκατάθεσή μου;
Ένα αίτημα συγκατάθεσης πρέπει να υποβάλλεται με σαφή και συνοπτικό τρόπο, με διατύπωση που να είναι εύκολα κατανοητή και να είναι σαφώς διακριτό από άλλες πληροφορίες όπως όροι και προϋποθέσεις. Το αίτημα πρέπει να προσδιορίζει τη χρήση που θα γίνει στα δεδομένα σας προσωπικού χαρακτήρα και να περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρείας που επεξεργάζεται τα δεδομένα. Η συγκατάθεση πρέπει να δίνεται ελεύθερα, να είναι συγκεκριμένη, εν επιγνώσει και αδιαμφισβήτητη. Ο όρος «εν επιγνώσει» σημαίνει ότι πρέπει να έχετε ενημερωθεί σχετικά με την επεξεργασία των δεδομένων σας προσωπικού χαρακτήρα, καθώς και οπωσδήποτε σχετικά με τα εξής:
- την ταυτότητα του οργανισμού που επεξεργάζεται τα δεδομένα·
- τους σκοπούς για τους οποίους γίνεται η επεξεργασία των δεδομένων·
- το είδος των δεδομένων που θα υποβληθούν σε επεξεργασία·
- τη δυνατότητα ανάκλησης της συγκατάθεσης (π.χ. με την αποστολή ηλεκτρονικού μηνύματος για ανάκληση της συγκατάθεσης)·
- όπου είναι απαραίτητο, το γεγονός ότι τα δεδομένα θα χρησιμοποιηθούν μόνο για αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ·
- το κατά πόσον η συγκατάθεση σχετίζεται με διεθνή διαβίβαση των δεδομένων σας, τους ενδεχόμενους κινδύνους των διαβιβάσεων δεδομένων προς χώρες εκτός της ΕΕ εάν δεν υπάρχει για τις χώρες αυτές απόφαση της Επιτροπής περί επάρκειας και δεν προβλέπονται κατάλληλες εγγυήσεις.
Τι συμβαίνει εάν τα δεδομένα που έχω μοιραστεί διαρρεύσουν;
Παραβίαση δεδομένων προσωπικού χαρακτήρα επέρχεται όταν υπάρξει παραβίαση ασφαλείας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία. Εάν αυτό συμβεί, ο οργανισμός που κατέχει τα δεδομένα προσωπικού χαρακτήρα πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση. Εάν η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες σας και ο κίνδυνος δεν έχει περιοριστεί, τότε εσείς, ως άτομο, πρέπει επίσης να ενημερωθείτε.
Εφαρμογή του κανονισμού
Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;
Ο ΓΚΠΔ εφαρμόζεται:
α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων· ή
β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ.
Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον ΓΚΠΔ. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)]. Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Οι κανόνες ισχύουν για τις ΜΜΕ;
Ναι, η εφαρμογή του κανονισμού για την προστασία των δεδομένων δεν εξαρτάται από το μέγεθος της εταιρείας ή του οργανισμού σας αλλά από τη φύση των δραστηριοτήτων σας. Οι δραστηριότητες που ενέχουν υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, είτε πραγματοποιούνται από μια ΜΜΕ είτε από μια μεγάλη επιχείρηση, συνεπάγονται την εφαρμογή πιο αυστηρών κανόνων. Ωστόσο, μερικές από τις υποχρεώσεις του ΓΚΠΔ μπορεί να μην εφαρμόζονται σε όλες τις ΜΜΕ.
Για παράδειγμα, εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους δεν χρειάζεται να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας εκτός εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί τακτική δραστηριότητα, ενέχει κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων ή αφορά ευαίσθητα δεδομένα ή ποινικά μητρώα.
Παρομοίως, οι ΜΜΕ θα πρέπει να διορίσουν έναν υπεύθυνο προστασίας δεδομένων μόνο εάν η επεξεργασία συνιστά την κύρια επιχειρηματική τους δραστηριότητα και ενέχει συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (όπως η παρακολούθηση φυσικών προσώπων ή η επεξεργασία ευαίσθητων δεδομένων ή ποινικών μητρώων), ιδίως επειδή πραγματοποιείται σε μεγάλη κλίμακα.
Ισχύουν οι κανόνες προστασίας δεδομένων για τα δεδομένα εταιρείας;
Όχι, οι κανόνες ισχύουν μόνο για τα δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων, δεν διέπουν τα δεδομένα που αφορούν εταιρείες ή άλλες νομικές οντότητες. Ωστόσο, πληροφορίες που σχετίζονται με μονοπρόσωπες εταιρείες μπορεί να αποτελούν δεδομένα προσωπικού χαρακτήρα όταν καθιστούν δυνατή την ταυτοποίηση ενός φυσικού προσώπου. Οι κανόνες ισχύουν επίσης για όλα τα δεδομένα προσωπικού χαρακτήρα που σχετίζονται με φυσικά πρόσωπα κατά τη διάρκεια επαγγελματικής δραστηριότητας, όπως είναι, π.χ., οι εργαζόμενοι μιας εταιρείας/ενός οργανισμού, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου επιχείρησης του τύπου «όνομα.επώνυμο@εταιρεία.eu» ή οι επαγγελματικοί αριθμοί τηλεφώνου εργαζομένων.
Αρχές του ΓΚΠΔ
Ποια δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις;
Το είδος και ο όγκος των δεδομένων προσωπικού χαρακτήρα που μπορεί να επεξεργάζεται η εταιρεία ή ο οργανισμός σας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο οργανισμός πρέπει να τηρεί διάφορους βασικούς κανόνες, όπως τους εξής:
- τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·
- πρέπει να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των δεδομένων και η εταιρεία ή ο οργανισμός πρέπει να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα δεδομένα τους προσωπικού χαρακτήρα. Δεν μπορεί απλώς να συλλέγει δεδομένα προσωπικού χαρακτήρα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)·
- η εταιρεία ή ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)·
- η εταιρεία ή ο οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, και να τα διορθώνει στην αντίθετη περίπτωση («ακρίβεια»)·
- η εταιρεία ή ο οργανισμός δεν μπορεί να κάνει περαιτέρω χρήση των δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό·
- η εταιρεία ή ο οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)·
- η εταιρεία ή ο οργανισμός πρέπει να υλοποιήσει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).
Σκοπός της επεξεργασίας δεδομένων
Μπορούν να υποβληθούν δεδομένα σε επεξεργασία για οποιονδήποτε σκοπό;
Ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να είναι γνωστός και να ενημερώνονται γι’ αυτόν τα άτομα στα οποία αναφέρονται τα δεδομένα. Δεν αρκεί να επισημαίνεται απλώς ότι θα συλλέγονται και θα υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα. Αυτή η αρχή είναι γνωστή ως «περιορισμός του σκοπού».
Μπορούν να χρησιμοποιηθούν δεδομένα για άλλον σκοπό;
Ναι, αλλά μόνο σε μερικές περιπτώσεις. Εάν η εταιρεία ή ο οργανισμός σας έχει συλλέξει δεδομένα με βάση έννομο συμφέρον, σύμβαση ή ζωτικά συμφέροντα, μπορεί να τα χρησιμοποιήσει για άλλον σκοπό αλλά μόνο αφού ελέγξει ότι ο νέος σκοπός είναι συμβατός με τον αρχικό σκοπό.
Στο πλαίσιο αυτό, πρέπει να λαμβάνονται υπόψη τα εξής:
- η σύνδεση μεταξύ του αρχικού και του νέου/μελλοντικού σκοπού·
- το πλαίσιο στο οποίο συλλέχθηκαν τα δεδομένα (ποια είναι η σχέση μεταξύ της εταιρείας ή του οργανισμού σας και του φυσικού προσώπου;)·
- το είδος και η φύση των δεδομένων (είναι ευαίσθητα;)·
- οι ενδεχόμενες συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας (πώς θα επηρεάσει το άτομο;)·
- η ύπαρξη κατάλληλων εγγυήσεων (όπως η κρυπτογράφηση ή η ψευδωνυμοποίηση).
- Εάν η εταιρεία ή ο οργανισμός σας θέλει να χρησιμοποιήσει τα δεδομένα για στατιστικούς σκοπούς ή για επιστημονική έρευνα, δεν απαιτείται έλεγχος συμβατότητας.
- Εάν η εταιρεία ή ο οργανισμός σας έχει συλλέξει τα δεδομένα βάσει συγκατάθεσης ή σύμφωνα με νομική υποχρέωση, δεν είναι δυνατή περαιτέρω επεξεργασία πέραν των σκοπών που καλύπτονται από την αρχική συγκατάθεση ή τις διατάξεις της νομοθεσίας. Τυχόν περαιτέρω επεξεργασία απαιτεί τη λήψη νέας συγκατάθεσης ή νέα νομική βάση.
Πόσα δεδομένα μπορούν να συλλεγούν;
Δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία μόνο στις περιπτώσεις που δεν είναι ευλόγως εφικτό να πραγματοποιηθεί η επεξεργασία με άλλον τρόπο. Όπου είναι δυνατόν, πρέπει να προτιμάται η χρήση ανώνυμων δεδομένων. Στις περιπτώσεις όπου απαιτούνται δεδομένα προσωπικού χαρακτήρα, αυτά πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε αυτά που είναι απαραίτητα για τον σκοπό («ελαχιστοποίηση δεδομένων»). Η εταιρεία ή ο οργανισμός σας, ως υπεύθυνος επεξεργασίας, έχει την υποχρέωση να αξιολογεί πόσα δεδομένα είναι απαραίτητα και να διασφαλίζει ότι δεν συλλέγονται δεδομένα που δεν είναι συναφή.
Για ποιο χρονικό διάστημα μπορούν να φυλάσσονται δεδομένα και είναι υποχρεωτικό να ενημερώνονται;
Τα δεδομένα πρέπει να αποθηκεύονται για την ελάχιστη δυνατή περίοδο. Η εν λόγω περίοδος θα πρέπει να λαμβάνει υπόψη τους λόγους για τους οποίους η εταιρεία ή ο οργανισμός σας χρειάζεται να επεξεργαστεί τα δεδομένα, καθώς και τυχόν νομικές υποχρεώσεις για τη φύλαξη των δεδομένων για συγκεκριμένη χρονική περίοδο (π.χ. εθνικό εργατικό δίκαιο, φορολογικό δίκαιο, νομοθεσία για την καταπολέμηση της απάτης που απαιτεί να τηρείτε δεδομένα προσωπικού χαρακτήρα για τους εργαζομένους σας για μια συγκεκριμένη περίοδο, διάρκεια εγγύησης προϊόντος κ.λπ.).
Η εταιρεία ή ο οργανισμός σας πρέπει να θεσπίζει προθεσμίες για τη διαγραφή ή την επανεξέταση των δεδομένων που έχουν αποθηκευτεί.
Κατ’ εξαίρεση, μπορείτε να φυλάσσετε δεδομένα προσωπικού χαρακτήρα για μεγαλύτερη περίοδο για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή με σκοπό επιστημονική ή ιστορική έρευνα, αρκεί να θεσπίζονται κατάλληλα τεχνικά και οργανωτικά μέτρα (π.χ. ανωνυμοποίηση, κρυπτογράφηση κ.λπ.).
Επίσης, η εταιρεία ή ο οργανισμός σας πρέπει να διασφαλίζει ότι τα δεδομένα που φυλάσσει είναι ακριβή και ενημερωμένα.
Τι πληροφορίες πρέπει να παρέχονται στα άτομα των οποίων δεδομένα συλλέγονται;
Τη στιγμή της συλλογής δεδομένων, πρέπει να παρέχονται με σαφήνεια στα άτομα πληροφορίες οπωσδήποτε για τα εξής:
- ποια είναι η εταιρεία ή ο οργανισμός σας (τα στοιχεία επικοινωνίας σας και τα στοιχεία του ΥΠΔ, εάν υπάρχει)·
- τον λόγο για τον οποίο θα χρησιμοποιηθούν τα παρεχόμενα δεδομένα προσωπικού χαρακτήρα (σκοποί)·
- τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα·
- τη νομική αιτιολόγηση για την επεξεργασία των δεδομένων των ατόμων·
- το χρονικό διάστημα για το οποίο θα φυλαχθούν τα δεδομένα·
- ποιοι άλλοι μπορεί να τα λάβουν·
- εάν τα δεδομένα τους προσωπικού χαρακτήρα θα διαβιβαστούν σε αποδέκτη εκτός της ΕΕ·
- ότι τα άτομα έχουν δικαίωμα να λάβουν αντίγραφο των δεδομένων (δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα) και άλλα βασικά δικαιώματα στον τομέα της προστασίας δεδομένων (δείτε πλήρη κατάλογο των δικαιωμάτων)·
- το δικαίωμα υποβολής καταγγελίας ενώπιον αρχής προστασίας δεδομένων (ΑΠΔ)·
- το δικαίωμα ανάκλησης της συγκατάθεσής τους οποιαδήποτε στιγμή·
- ενδεχομένως, την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων και τη λογική αυτής, συμπεριλαμβανομένων των σχετικών συνεπειών.
Δείτε τον πλήρη κατάλογο πληροφοριών που πρέπει να παρέχονται.
Αυτές οι πληροφορίες μπορούν να παρέχονται γραπτά ή προφορικά κατόπιν αιτήματος του φυσικού προσώπου όταν η ταυτότητά του αποδεικνύεται με άλλα μέσα ή με ηλεκτρονικά μέσα στις κατάλληλες περιπτώσεις. Αυτό πρέπει να γίνεται με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο, σε σαφή και απλή γλώσσα και δωρεάν.
Όταν λαμβάνονται δεδομένα από άλλη εταιρεία/οργανισμό, η εταιρεία ή ο οργανισμός σας πρέπει να παρέχει τις ως άνω απαριθμούμενες πληροφορίες στο οικείο άτομο το αργότερο εντός ενός μηνός από τη στιγμή της λήψης των δεδομένων προσωπικού χαρακτήρα ή, εάν η εταιρεία ή ο οργανισμός σας επικοινωνήσει με το άτομο, όταν τα δεδομένα χρησιμοποιηθούν με σκοπό την επικοινωνία , ή, εάν προβλέπεται γνωστοποίηση σε άλλη εταιρεία, όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά.
Η εταιρεία ή ο οργανισμός σας υποχρεούται επίσης να ενημερώνει το άτομο σχετικά με τις κατηγορίες δεδομένων και την πηγή από όπου τα απέκτησε, περιλαμβανομένου του κατά πόσον τα δεδομένα προέρχονται από δημόσια προσβάσιμες πηγές. Σε ορισμένες ειδικές περιπτώσεις που αναφέρονται στο άρθρο 13 παράγραφος 4 και στο άρθρο 14 παράγραφος 5 του ΓΚΠΔ, η εταιρεία ή ο οργανισμός σας μπορεί να εξαιρείται από την υποχρέωση ενημέρωσης του φυσικού προσώπου. Παρακαλούμε να ελέγξετε αν η εταιρεία ή ο οργανισμός σας εμπίπτει σε κάποιες από αυτές τις περιπτώσεις.
Δημόσιες διοικήσεις και προστασία των δεδομένων
Ποια είναι τα κύρια σημεία του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ) που πρέπει να γνωρίζει κάθε δημόσια διοίκηση;
Κάθε δημόσια διοίκηση υπόκειται στους κανόνες του ΓΚΠΔ όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αφορούν φυσικό πρόσωπο. Οι εθνικές αρχές είναι υπεύθυνες για την υποστήριξη των περιφερειακών και τοπικών αρχών κατά την προετοιμασία τους για την εφαρμογή του ΓΚΠΔ.
Η πλειονότητα των δεδομένων προσωπικού χαρακτήρα που τηρούνται από δημόσιες διοικήσεις συνήθως τίθενται σε επεξεργασία με βάση μια νομική υποχρέωση ή στον βαθμό που τούτο είναι απαραίτητο για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτές.
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάθε δημόσια διοίκηση οφείλει να τηρεί ορισμένες βασικές αρχές, στις οποίες περιλαμβάνονται οι εξής:
- δίκαιη και νόμιμη επεξεργασία·
- περιορισμός σκοπού·
- ελαχιστοποίηση δεδομένων και διατήρηση δεδομένων.
Σε περίπτωση επεξεργασίας με βάση το δίκαιο, το εν λόγω δίκαιο θα πρέπει ήδη να διασφαλίζει ότι αυτές οι αρχές τηρούνται (π.χ. είδη δεδομένων, περίοδος αποθήκευσης και κατάλληλες εγγυήσεις).
Πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να ενημερώνονται τα φυσικά πρόσωπα σχετικά με την επεξεργασία, π.χ. για τους σκοπούς της, τα είδη δεδομένων που συλλέγονται, τους αποδέκτες, καθώς και για τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων.
Κάθε δημόσια διοίκηση πρέπει να διορίσει έναν υπεύθυνο προστασίας δεδομένων (ΥΠΔ), ωστόσο, μπορεί να διορίζεται ένας και μοναδικός υπεύθυνος προστασίας δεδομένων για πολλούς δημόσιους φορείς και ως εκ τούτου να τον μοιράζονται ή μπορούν να αναθέτουν αυτά τα καθήκοντα σε έναν εξωτερικό ΥΠΔ. Πρέπει επίσης να διασφαλίζει ότι έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία καθιστούν ασφαλή τα δεδομένα προσωπικού χαρακτήρα. Σε περίπτωση εξωτερικής ανάθεσης μέρους της επεξεργασίας σε οργανισμό (που αποκαλείται «εκτελών την επεξεργασία»), πρέπει να υφίσταται σύμβαση ή άλλη νομική πράξη που να εγγυάται ότι ο εκτελών την επεξεργασία παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων που να ανταποκρίνονται στα πρότυπα του ΓΚΠΔ.
Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα που κατέχει μια δημόσια διοίκηση κοινολογηθούν τυχαία ή παράνομα σε μη εξουσιοδοτημένους αποδέκτες ή είναι προσωρινά μη διαθέσιμα ή έχουν αλλοιωθεί, πρέπει να ειδοποιηθεί η αρχή προστασίας δεδομένων (ΑΠΔ) σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που διαπιστώνεται η παραβίαση. Επίσης, ενδέχεται να πρέπει η δημόσια διοίκηση να ενημερώσει τα άτομα σχετικά με την παραβίαση.
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τις υποχρεώσεις των δημόσιων διοικήσεων σύμφωνα με τον ΓΚΠΔ στην ενότητα «Επιχειρήσεις και οργανισμοί».
Πώς πρέπει να διεκπεραιώνονται τα αιτήματα φυσικών προσώπων;
Φυσικά πρόσωπα μπορούν να επικοινωνήσουν με μια δημόσια διοίκηση για να ασκήσουν δικαιώματά τους σύμφωνα με τον ΓΚΠΔ (δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, ένστασης, δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων).
Σημειωτέον ότι τα φυσικά πρόσωπα έχουν δικαίωμα να εναντιωθούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσια διοίκηση για λόγους δημόσιου συμφέροντος. Στην περίπτωση αυτή, πρέπει να ενημερώσουν τη δημόσια διοίκηση σχετικά με τους λόγους που αφορούν την ιδιαίτερη κατάστασή τους. Η δημόσια διοίκηση μπορεί να συνεχίσει να επεξεργάζεται τα δεδομένα, και επομένως να απορρίψει το αίτημά τους, εάν αποδεικνύει ότι έχει επιτακτικούς και νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων και των δικαιωμάτων του ατόμου ή εάν τα δεδομένα είναι απαραίτητα για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.
Τα άτομα δεν έχουν δικαίωμα διαβίβασης δεδομένων που τα αφορούν τα οποία είναι απαραίτητα για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή στο πλαίσιο άσκησης δημόσιας εξουσίας που έχει ανατεθεί σε αυτά.
Μια δημόσια διοίκηση πρέπει να απαντά στα αιτήματα που υποβάλλονται από φυσικά πρόσωπα χωρίς αδικαιολόγητη καθυστέρηση και καταρχήν εντός ενός μηνός από τη λήψη του αιτήματος. Έχει το δικαίωμα να τους ζητήσει περαιτέρω πληροφορίες για να επαληθεύσει την ταυτότητα του προσώπου που υποβάλλει το αίτημα. Σε περίπτωση απόρριψης του αιτήματος, είναι υποχρεωτικό να ενημερώνεται το άτομο σχετικά με τους λόγους και σχετικά με το δικαίωμά του να υποβάλει καταγγελία ενώπιον της ΑΠΔ και να επιδιώξει έννομη προστασία.
Περισσότερες πληροφορίες σχετικά με τις υποχρεώσεις σας σύμφωνα με τον ΓΚΠΔ παρέχονται στην ενότητα «Επιχειρήσεις και οργανισμοί».
Τι γίνεται σε περίπτωση που μια δημόσια διοίκηση δεν συμμορφώνεται με τους κανόνες προστασίας δεδομένων;
Οι αρχές προστασίας δεδομένων έχουν διαφορετικά εργαλεία στη διάθεσή τους σε περιπτώσεις μη συμμόρφωσης. Σε περίπτωση πιθανής παράβασης, μπορεί να εκδοθεί προειδοποίηση. Σε περίπτωση διαπιστωμένης παράβασης, ενδέχεται να επιβληθεί, π.χ., επίπληξη ή προσωρινή ή οριστική απαγόρευση της επεξεργασίας. Σε ορισμένες χώρες, οι δημόσιοι φορείς μπορεί επίσης να υπόκεινται σε διοικητικά πρόστιμα. Κάθε δημόσια διοίκηση θα πρέπει να ελέγξει την οικεία εθνική νομοθεσία για την προστασία των δεδομένων.
Τα φυσικά πρόσωπα μπορούν να ζητήσουν αποζημίωση εάν ένας δημόσιος φορέας έχει παραβιάσει τον ΓΚΠΔ με αποτέλεσμα να υποστούν υλική ζημία (π.χ. οικονομική απώλεια) ή μη υλική ζημία (π.χ. δυσφήμιση ή ψυχική οδύνη). Ο ΓΚΠΔ διασφαλίζει ότι θα τους καταβληθεί αποζημίωση, ανεξάρτητα από τον αριθμό των οργανισμών που συμμετείχαν στην επεξεργασία των δεδομένων τους. Η αξίωση αποζημίωσης μπορεί να εγερθεί είτε άμεσα στον υπαίτιο δημόσιο φορέα είτε ενώπιον των αρμόδιων εθνικών δικαστηρίων του οικείου κράτους μέλους της ΕΕ.
Υποχρεώσεις
Υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία
Τι είναι ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία;
Ο υπεύθυνος επεξεργασίας ορίζει τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται. Επομένως, εάν η εταιρεία ή ο οργανισμός σας αποφασίζει «γιατί» και «πώς» τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, θεωρείται ο υπεύθυνος επεξεργασίας. Οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός του οργανισμού σας το κάνουν για να εκπληρώσουν τα δικά σας καθήκοντα ως υπεύθυνου επεξεργασίας.
Η εταιρεία ή ο οργανισμός σας θεωρείται από κοινού υπεύθυνος επεξεργασίας όταν σε συνεργασία με έναν ή περισσότερους οργανισμούς αποφασίζει από κοινού «γιατί» και «πώς» θα πρέπει να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα. Οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να συνάπτουν μεταξύ τους συμφωνία που καθορίζει τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση με τους κανόνες του ΓΚΠΔ. Τα κύρια σημεία της συμφωνίας πρέπει να κοινοποιούνται στα φυσικά πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία.
Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος εκτός εταιρείας. Ωστόσο, στην περίπτωση ομίλων επιχειρήσεων, μια επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης.
Τα καθήκοντα του εκτελούντος την επεξεργασία προς τον υπεύθυνο επεξεργασίας πρέπει να καθορίζονται σε σύμβαση ή άλλη νομική πράξη. Για παράδειγμα, η σύμβαση πρέπει να αναφέρει τι γίνεται με τα δεδομένα προσωπικού χαρακτήρα μετά τη λήξη της σύμβασης. Μια τυπική δραστηριότητα των εκτελούντων την επεξεργασία είναι η παροχή λύσεων ΤΠ, συμπεριλαμβανομένης της αποθήκευσης σε νέφος. Ο εκτελών την επεξεργασία των δεδομένων μπορεί να αναθέτει μέρος των εργασιών του σε άλλον εκτελούντα την επεξεργασία υπεργολάβο ή να διορίζει από κοινού εκτελούντα την επεξεργασία μόνον εφόσον έχει λάβει προηγούμενη γραπτή άδεια από τον υπεύθυνο επεξεργασίας των δεδομένων.
Υπάρχουν περιπτώσεις όπου μια οντότητα μπορεί να είναι υπεύθυνος επεξεργασίας δεδομένων ή εκτελών την επεξεργασία ή και τα δύο.
Μπορεί κάποιος άλλος να επεξεργαστεί τα δεδομένα εκ μέρους του οργανισμού μου;
Κάποιος άλλος (φυσικό ή νομικό πρόσωπο ή άλλος φορέας) μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους σας με την προϋπόθεση ότι υπάρχει σύμβαση ή άλλη νομική πράξη. Είναι σημαντικό ο εκτελών την επεξεργασία που διορίζετε να παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων έτσι ώστε να διασφαλίζεται ότι η επεξεργασία θα γίνεται σύμφωνα με τα πρότυπα του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ) και να παρέχονται εγγυήσεις για την προστασία των δικαιωμάτων των φυσικών προσώπων.
Ο διορισμένος εκτελών την επεξεργασία δεν μπορεί στη συνέχεια να διορίσει άλλον εκτελούντα την επεξεργασία χωρίς προηγουμένως να ζητήσει ειδική ή γενική γραπτή άδεια από την εταιρεία ή τον οργανισμό σας. Η σύμβαση ή η νομική πράξη ανάμεσα στην εταιρεία ή τον οργανισμό σας και τον εκτελούντα την επεξεργασία πρέπει να συμπεριλαμβάνει τις εξής πρόνοιες:
- η επεξεργασία μπορεί να πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας·
- ο εκτελών την επεξεργασία διασφαλίζει ότι τα άτομα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·
- ο εκτελών την επεξεργασία πρέπει να προσφέρει ένα ελάχιστο επίπεδο ασφάλειας το οποίο καθορίζεται από τον υπεύθυνο επεξεργασίας·
- ο εκτελών την επεξεργασία πρέπει να συμβάλλει στη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ.
Οι υποχρεώσεις παραμένουν οι ίδιες ανεξάρτητα από τον όγκο των δεδομένων που χειρίζεται η εταιρεία ή ο οργανισμός μου;
Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) βασίζεται στην προσέγγιση με βάση τον κίνδυνο. Με άλλα λόγια, οι εταιρείες/οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα ενθαρρύνονται να εφαρμόζουν μέτρα προστασίας που να αντιστοιχούν στο επίπεδο κινδύνου των δραστηριοτήτων επεξεργασίας δεδομένων που εκτελούν. Επομένως, οι υποχρεώσεις μιας εταιρείας που επεξεργάζεται πολλά δεδομένα είναι πιο επαχθείς συγκριτικά με μια εταιρεία που επεξεργάζεται μικρό όγκο δεδομένων.
Για παράδειγμα, η πιθανότητα πρόσληψης ενός υπεύθυνου προστασίας δεδομένων για μια εταιρεία/έναν οργανισμό που επεξεργάζεται πολλά δεδομένα είναι υψηλότερη συγκριτικά με μια εταιρεία/οργανισμό που επεξεργάζεται μικρό όγκο δεδομένων (σε αυτήν την περίπτωση αυτό σχετίζεται με την έννοια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε «μεγάλη κλίμακα»). Ταυτόχρονα, η φύση των δεδομένων προσωπικού χαρακτήρα και η επίδραση της σχεδιαζόμενης επεξεργασίας διαδραματίζουν επίσης έναν ρόλο. Η επεξεργασία μικρού όγκου δεδομένων, τα οποία όμως είναι ευαίσθητα (π.χ. δεδομένα υγείας), απαιτεί την εφαρμογή πιο αυστηρών μέτρων για συμμόρφωση με τον ΓΚΠΔ.
Σε κάθε περίπτωση, πρέπει να τηρούνται οι αρχές προστασίας δεδομένων και να δίνεται η δυνατότητα στα φυσικά πρόσωπα να ασκούν τα δικαιώματά τους.
Τι σημαίνει η προστασία δεδομένων «ήδη από τον σχεδιασμό» και «εξ ορισμού»;
Οι εταιρείες/οργανισμοί ενθαρρύνονται να εφαρμόζουν τεχνικά και οργανωτικά μέτρα, στα αρχικά στάδια του σχεδιασμού των πράξεων επεξεργασίας, με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας δεδομένων ήδη από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»). Εξ ορισμού, οι εταιρείες/οργανισμοί θα πρέπει να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με το υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής (π.χ. μόνο τα απαραίτητα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία, σύντομη περίοδος αποθήκευσης, περιορισμένη προσβασιμότητα) έτσι ώστε εξ ορισμού τα δεδομένα προσωπικού χαρακτήρα να μην είναι προσβάσιμα από αόριστο αριθμό φυσικών προσώπων («προστασία δεδομένων εξ ορισμού»).
Τι είναι η παραβίαση δεδομένων και τι πρέπει να κάνουμε σε περίπτωση παραβίασης δεδομένων;
Παραβίαση δεδομένων επέρχεται όταν σημειώνεται συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα οποία ευθύνεται η εταιρεία ή ο οργανισμός σας, το οποίο έχει ως αποτέλεσμα την παραβίαση του απορρήτου, της διαθεσιμότητας ή της ακεραιότητας. Εάν αυτό συμβεί, και είναι πιθανό η παραβίαση να θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικού προσώπου, η εταιρεία ή ο οργανισμός σας πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών αφού αντιληφθεί την παραβίαση. Εάν η εταιρεία ή ο οργανισμός σας είναι ο εκτελών την επεξεργασία, πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας δεδομένων για κάθε παραβίαση δεδομένων.
Εάν η παραβίαση δεδομένων θέτει σε υψηλό κίνδυνο τα φυσικά πρόσωπα που επηρεάζονται, τότε πρέπει επίσης να ενημερωθεί το καθένα εξ αυτών, εκτός εάν έχουν τεθεί σε εφαρμογή αποτελεσματικά τεχνικά και οργανωτικά μέτρα προστασίας ή άλλα μέτρα που διασφαλίζουν ότι ο κίνδυνος δεν είναι πλέον πιθανό να προκύψει.
Ως οργανισμός, είναι ζωτικής σημασίας να εφαρμόζετε τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αποφυγή ενδεχόμενων
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
ΕΑΠΔ απαιτείται όταν η επεξεργασία είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. ΕΑΠΔ απαιτείται οπωσδήποτε στις ακόλουθες περιπτώσεις:
σε μια συστηματική και εκτενή εκτίμηση των προσωπικών πτυχών φυσικού προσώπου, συμπεριλαμβανομένης της κατάρτισης προφίλ·
στην επεξεργασία ευαίσθητων δεδομένων σε μεγάλη κλίμακα·
στη συστηματική παρακολούθηση δημόσιων χώρων σε μεγάλη κλίμακα.
Οι εθνικές αρχές προστασίας δεδομένων, σε συντονισμό με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, μπορούν να παρέχουν καταλόγους περιπτώσεων όπου απαιτείται ΕΑΠΔ. Η ΕΑΠΔ θα πρέπει να πραγματοποιείται πριν από την επεξεργασία και θα πρέπει να θεωρείται ζωντανό εργαλείο και όχι μόνο εφάπαξ άσκηση. Όπου υπάρχουν υπολειπόμενοι κίνδυνοι που δεν μπορούν να μετριαστούν με τα μέτρα που έχουν ληφθεί, πρέπει να συμβουλευθείτε την ΑΠΔ πριν ξεκινήσετε την επεξεργασία.
Υπεύθυνοι προστασίας δεδομένων
Πρέπει η εταιρεία/ο οργανισμός μου να διαθέτει υπεύθυνο προστασίας δεδομένων (ΥΠΔ);
Η εταιρεία ή ο οργανισμός σας, είτε είναι υπεύθυνος επεξεργασίας είτε εκτελών την επεξεργασία, οφείλει να διορίσει ΥΠΔ εφόσον οι βασικές δραστηριότητες που ασκεί περιλαμβάνουν την επεξεργασία ευαίσθητων δεδομένων σε μεγάλη κλίμακα ή την τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα φυσικών προσώπων. Εν προκειμένω, η παρακολούθηση της συμπεριφοράς φυσικών προσώπων περιλαμβάνει όλες τις μορφές ανίχνευσης και κατάρτισης προφίλ στο διαδίκτυο, συμπεριλαμβανομένων των σκοπών της συμπεριφορικής διαφήμισης.
Οι δημόσιες διοικήσεις έχουν πάντα την υποχρέωση να διορίζουν ΥΠΔ (με εξαίρεση τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους ιδιότητα).
Ο ΥΠΔ μπορεί να είναι μέλος του προσωπικού του οργανισμού σας ή μπορεί να είναι εξωτερικός συνεργάτης με βάση σύμβαση παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι φυσικό πρόσωπο ή οργανισμός.
Ποια είναι τα καθήκοντα ενός υπεύθυνου προστασίας δεδομένων (ΥΠΔ);
Ο ΥΠΔ βοηθά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την εργασία σε όλα τα ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα. Πιο συγκεκριμένα, ο ΥΠΔ οφείλει:
- να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και το προσωπικό που απασχολούν, σχετικά με τις υποχρεώσεις τους σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων·
- να παρακολουθεί τη συμμόρφωση του οργανισμού με το σύνολο της νομοθεσίας που αφορά την προστασία δεδομένων, επίσης κατά τη διάρκεια ελέγχων, δραστηριοτήτων ενημέρωσης και εκπαίδευσης του προσωπικού που συμμετέχει σε πράξεις επεξεργασίας·
- να παρέχει συμβουλές όταν έχει πραγματοποιηθεί ΕΑΠΔ και να παρακολουθεί τα αποτελέσματά της·
- να λειτουργεί ως σημείο επαφής για αιτήματα φυσικών προσώπων που αφορούν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους·
- να συνεργάζεται με ΑΠΔ και να λειτουργεί ως σημείο επαφής για ΑΠΔ σχετικά με ζητήματα που αφορούν την επεξεργασία.
Ο ΥΠΔ πρέπει να εμπλέκεται από τον οργανισμό έγκαιρα. Ο ΥΠΔ δεν πρέπει να λαμβάνει οδηγίες από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την άσκηση των καθηκόντων του. Ο ΥΠΔ αναφέρεται απευθείας στο υψηλότερο επίπεδο διοίκησης του οργανισμού.
Τι κανόνες ισχύουν εάν ο οργανισμός μου διαβιβάζει δεδομένα εκτός της ΕΕ;
Στον σημερινό παγκοσμιοποιημένο κόσμο, γίνονται διασυνοριακές διαβιβάσεις μεγάλου όγκου δεδομένων προσωπικού χαρακτήρα, τα οποία ορισμένες φορές αποθηκεύονται σε διακομιστές σε διαφορετικές χώρες. Η προστασία που προσφέρει ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) συνοδεύει τα δεδομένα, πράγμα που σημαίνει ότι οι κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα εξακολουθούν να ισχύουν ανεξάρτητα από το πού καταλήγουν τα δεδομένα. Αυτό ισχύει επίσης όταν τα δεδομένα διαβιβάζονται σε χώρα που δεν ανήκει στην ΕΕ (τρίτη χώρα).
Ο ΓΚΠΔ παρέχει διαφορετικά εργαλεία που πλαισιώνουν τις διαβιβάσεις δεδομένων από την ΕΕ προς τρίτη χώρα:
Ορισμένες φορές, μια τρίτη χώρα μπορεί, μέσω απόφασης της Ευρωπαϊκής Επιτροπής («απόφαση επάρκειας»), να κηρυχθεί ως προσφέρουσα επαρκές επίπεδο προστασίας , πράγμα που σημαίνει ότι επιτρέπεται να διαβιβασθούν δεδομένα σε άλλη εταιρεία στην εν λόγω τρίτη χώρα χωρίς να απαιτείται από τον εξαγωγέα δεδομένων να παρέχει περαιτέρω εγγυήσεις ή να υπόκειται σε επιπλέον όρους. Με άλλα λόγια, οι διαβιβάσεις σε μια «επαρκή» τρίτη χώρα εξομοιώνονται με διαβίβαση δεδομένων εντός της ΕΕ.
Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, μπορεί να γίνει διαβίβαση με την παροχή κατάλληλων εγγυήσεων και με την προϋπόθεση ότι τα φυσικά πρόσωπα έχουν στη διάθεσή τους εκτελεστά δικαιώματα και πραγματικά ένδικα μέσα. Τέτοιες κατάλληλες εγγυήσεις περιλαμβάνουν τα εξής:
στην περίπτωση ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα, οι εταιρείες μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα με βάση τους αποκαλούμενους δεσμευτικούς εταιρικούς κανόνες·
συμβατικές ρυθμίσεις με τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα, μέσω της χρήσης, για παράδειγμα, τυποποιημένων συμβατικών ρητρών που έχουν λάβει την έγκριση της Ευρωπαϊκής Επιτροπής·
την τήρηση ενός κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης παράλληλα με τη λήψη δεσμευτικών και εκτελεστών δεσμεύσεων από τον αποδέκτη σχετικά με την εφαρμογή κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.
Τέλος, εάν προβλέπεται διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν υπόκειται σε απόφαση επάρκειας και εάν δεν υπάρχουν κατάλληλες εγγυήσεις, μπορεί να γίνει διαβίβαση με βάση ορισμένες εξαιρέσεις για συγκεκριμένες καταστάσεις, για παράδειγμα, όταν ένα φυσικό πρόσωπο συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση αφού του παρασχέθηκαν όλες οι απαραίτητες πληροφορίες σχετικά με τους κινδύνους που αυτή ενέχει.
Πώς μπορώ να αποδείξω ότι ο οργανισμός μου συμμορφώνεται με τον ΓΚΠΔ;
Η αρχή της λογοδοσίας συνιστά ακρογωνιαίο λίθο του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ). Σύμφωνα με τον ΓΚΠΔ, επιχειρήσεις και οργανισμοί οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση αυτή. Ο ΓΚΠΔ παρέχει στις επιχειρήσεις και τους οργανισμούς μια σειρά εργαλείων για να τα βοηθά να αποδεικνύουν τη λογοδοσία, ορισμένα εκ των οποίων πρέπει να τίθενται σε εφαρμογή υποχρεωτικά.
Για παράδειγμα, σε ορισμένες περιπτώσεις ο διορισμός ΥΠΔ ή η διεξαγωγή εκτιμήσεων αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) μπορεί να είναι υποχρεωτικά. Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επιλέξουν να χρησιμοποιήσουν άλλα εργαλεία, π.χ. κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων.
Μπορείτε να τηρείτε έναν κώδικα δεοντολογίας που έχει καταρτισθεί από επιχειρηματική ένωση η οποία έχει εγκριθεί από μια ΑΠΔ. Ένας κώδικας δεοντολογίας μπορεί να τεθεί σε ισχύ σε όλη την ΕΕ μέσω εκτελεστικής πράξης της Επιτροπής.
Μπορείτε να τηρείτε έναν μηχανισμό πιστοποίησης που εφαρμόζεται από έναν από τους φορείς πιστοποίησης που έχουν λάβει διαπίστευση από ΑΠΔ ή εθνικό οργανισμό διαπίστευσης ή και τα δύο, όπως ορίζεται στη νομοθεσία κάθε κράτους μέλους της ΕΕ.
Τόσο οι κώδικες δεοντολογίας όσο και η πιστοποίηση είναι προαιρετικά μέσα και για αυτόν τον λόγο εξαρτάται από την εταιρεία ή τον οργανισμό σας να αποφασίσει εάν θα τηρεί έναν συγκεκριμένο κώδικα δεοντολογίας ή εάν θα ζητήσει πιστοποίηση. Παρόλο που η εταιρεία ή ο οργανισμός σας οφείλει και πάλι να τηρεί και να συμμορφώνεται με τον ΓΚΠΔ, η τήρηση τέτοιων μέσων μπορεί να λαμβάνεται υπόψη στην περίπτωση λήψης μέτρου επιβολής του νόμου εναντίον σας για παραβίαση του ΓΚΠΔ.
Τα δικαιώματά μου
Ποια είναι τα δικαιώματά μου;
Έχετε το δικαίωμα:
- να ενημερώνεστε σχετικά με την επεξεργασία των δεδομένων σας προσωπικού χαρακτήρα·
- να αποκτάτε πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που σας αφορούν·
- να ζητάτε τη διόρθωση εσφαλμένων, ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα·
- να υποβάλετε αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη·
- να εναντιωθείτε στην επεξεργασία των δεδομένων σας προσωπικού χαρακτήρα για σκοπούς εμπορικής προώθησης ή για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή σας·
- να υποβάλετε αίτημα για περιορισμό της επεξεργασίας των δεδομένων σας προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις·
- να λαμβάνετε τα δεδομένα σας προσωπικού χαρακτήρα σε μορφότυπο αναγνώσιμο από μηχάνημα και να τα αποστέλλετε σε άλλον υπεύθυνο επεξεργασίας («φορητότητα δεδομένων»)·
- να υποβάλετε αίτημα έτσι ώστε αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία, σας αφορούν ή σας επηρεάζουν σε σημαντικό βαθμό και βασίζονται στα δεδομένα σας προσωπικού χαρακτήρα, να γίνονται από φυσικά πρόσωπα και όχι μόνο από υπολογιστές. Έχετε επίσης το δικαίωμα σε αυτήν την περίπτωση να εκφράσετε την άποψή σας και να προσβάλετε την απόφαση.
Για την άσκηση των δικαιωμάτων σας θα πρέπει να επικοινωνήσετε με την εταιρεία ή τον οργανισμό που επεξεργάζεται τα δεδομένα σας προσωπικού χαρακτήρα, που εν προκειμένω καλείται επίσης «υπεύθυνος επεξεργασίας». Εάν η εταιρεία ή ο οργανισμός διαθέτει έναν υπεύθυνο προστασίας δεδομένων (ΥΠΔ), μπορείτε να υποβάλετε το αίτημά σας σε αυτόν. Η εταιρεία ή ο οργανισμός πρέπει να απαντά στα αιτήματά σας χωρίς αδικαιολόγητη καθυστέρηση και τουλάχιστον εντός ενός μήνα. Εάν δεν σκοπεύει να συμμορφωθεί με το αίτημά σας, πρέπει να δηλώσει τον λόγο. Μπορεί να σας ζητηθεί να παράσχετε πληροφορίες για να επιβεβαιώσετε την ταυτότητά σας (για παράδειγμα να πατήσετε έναν σύνδεσμο επαλήθευσης, συμπληρώνοντας ένα όνομα χρήστη ή έναν κωδικό πρόσβασης) για να ασκήσετε τα δικαιώματά σας.
Τα εν λόγω δικαιώματα ισχύουν σε ολόκληρη την ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων και πού έχει έδρα η εταιρεία. Τα εν λόγω δικαιώματα ισχύουν επίσης όταν αγοράζετε αγαθά και υπηρεσίες από εταιρείες που έχουν την έδρα τους εκτός της ΕΕ αλλά δραστηριοποιούνται στην ΕΕ.
Τι πληροφορίες θα πρέπει να λάβω όταν παρέχω δεδομένα μου προσωπικού χαρακτήρα;
Κατά τον χρόνο που παρέχετε τα δεδομένα σας προσωπικού χαρακτήρα, πρέπει να λαμβάνετε, μεταξύ άλλων, πληροφορίες σχετικά με τα εξής:
- το όνομα της εταιρείας ή του οργανισμού που επεξεργάζεται τα δεδομένα σας (συμπεριλαμβανομένων των στοιχείων επικοινωνίας του ΥΠΔ, εάν υπάρχει)·
- τους σκοπούς για τους οποίους η εταιρεία/ο οργανισμός θα χρησιμοποιήσει τα δεδομένα σας·
- τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα·
- τη νομική βάση για την επεξεργασία των δεδομένων σας·
- τη χρονική περίοδο για την οποία θα αποθηκευτούν τα δεδομένα σας·
- άλλες εταιρείες/οργανισμούς που θα λάβουν τα δεδομένα σας·
- εάν τα δεδομένα θα διαβιβαστούν εκτός της ΕΕ·
- τα βασικά δικαιώματά σας στον τομέα της προστασίας των δεδομένων (π.χ. δικαίωμα πρόσβασης και διαβίβασης δεδομένων ή αφαίρεσής τους)·
- το δικαίωμα υποβολής καταγγελίας ενώπιον αρχής προστασίας δεδομένων (ΑΠΔ)·
- το δικαίωμα ανάκλησης της συγκατάθεσής σας οποιαδήποτε στιγμή·
- την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων και τη λογική αυτής, συμπεριλαμβανομένων των σχετικών συνεπειών.
Οι πληροφορίες θα πρέπει να παρουσιάζονται με συνοπτικό, διαφανή, κατανοητό τρόπο και να διατυπώνονται σε σαφή και απλή γλώσσα.
Πώς μπορώ να έχω πρόσβαση στα δεδομένα μου προσωπικού χαρακτήρα που κατέχει μια εταιρεία/ένας οργανισμός;
Έχετε το δικαίωμα να ζητήσετε και να λάβετε επιβεβαίωση από την εταιρεία/τον οργανισμό σχετικά με το εάν διαθέτει ή όχι δεδομένα προσωπικού χαρακτήρα που σας αφορούν.
Εάν πράγματι διαθέτουν δεδομένα σας προσωπικού χαρακτήρα, τότε έχετε το δικαίωμα να αποκτήσετε πρόσβαση στα εν λόγω δεδομένα, να σας παράσχουν ένα αντίγραφο και να λάβετε τυχόν σχετικές επιπλέον πληροφορίες (όπως ο λόγος επεξεργασίας των δεδομένων σας προσωπικού χαρακτήρα, οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται κ.λπ.).
Το δικαίωμα πρόσβασης θα πρέπει να μπορεί να ασκηθεί με ευκολία και να παρέχεται ανά «εύλογο χρονικό διάστημα». Η εταιρεία ή ο οργανισμός θα πρέπει να παρέχει ένα αντίγραφο των δεδομένων σας προσωπικού χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα είναι δυνατό να υπόκεινται σε λογικές χρεώσεις. Όταν το αίτημα υποβάλλεται με ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού μηνύματος), και εκτός εάν υποβάλετε διαφορετικό αίτημα, οι πληροφορίες θα πρέπει να παρέχονται σε ηλεκτρονική μορφή που χρησιμοποιείται ευρέως.
Αυτό το δικαίωμα δεν είναι απόλυτο: η χρήση του δικαιώματος πρόσβασης στα προσωπικά σας δεδομένα δεν θα πρέπει να επηρεάζει τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή δικαιώματα διανοητικής ιδιοκτησίας.
Τα δεδομένα μου είναι εσφαλμένα. Μπορώ να τα διορθώσω;
Εάν πιστεύετε ότι τα δεδομένα σας προσωπικού χαρακτήρα μπορεί να είναι εσφαλμένα, ελλιπή ή ανακριβή, μπορείτε να ζητήσετε από την εταιρεία ή τον οργανισμό να τα διορθώσει. Αυτό πρέπει να το κάνουν χωρίς αδικαιολόγητη καθυστέρηση (κατ' αρχήν εντός ενός μήνα) ή να δικαιολογήσουν γραπτώς γιατί δεν μπορεί να ικανοποιηθεί το αίτημα.
Μπορώ να ζητήσω από μια εταιρεία/έναν οργανισμό να μου αποστείλει τα δεδομένα μου προσωπικού χαρακτήρα έτσι ώστε να μπορώ να τα χρησιμοποιήσω κάπου αλλού;
Εάν μια εταιρεία επεξεργάζεται δεδομένα σας προσωπικού χαρακτήρα με βάση συγκατάθεσή σας ή σύμβαση, μπορείτε να ζητήσετε από αυτήν να σας τα διαβιβάσει.
Μπορείτε να ζητήσετε επίσης να διαβιβαστούν τα δεδομένα σας προσωπικού χαρακτήρα απευθείας σε άλλη εταιρεία της οποίας τις υπηρεσίες θα θέλατε να χρησιμοποιήσετε, εφόσον αυτό είναι τεχνικά δυνατό.
Μπορώ να ζητήσω από μια εταιρεία/έναν οργανισμό να σταματήσει την επεξεργασία των δεδομένων μου προσωπικού χαρακτήρα;
Έχετε το δικαίωμα να υποβάλετε ένσταση αναφορικά με την επεξεργασία δεδομένων σας προσωπικού χαρακτήρα και να ζητήσετε από μια εταιρεία ή έναν οργανισμό να σταματήσει την επεξεργασία εάν αυτή γίνεται για:
- σκοπούς άμεσου μάρκετινγκ·
- επιστημονική/ιστορική έρευνα και για την κατάρτιση στατιστικών·
- το προσωπικό νόμιμο συμφέρον της εταιρείας ή του οργανισμού ή κατά την εκτέλεση εργασίας για το δημόσιο συμφέρον ή για λογαριασμό επίσημης αρχής.
Εάν έχετε ενστάσεις όσον αφορά το άμεσο μάρκετινγκ, η εταιρεία πρέπει να σταματήσει να χρησιμοποιεί τα προσωπικά σας δεδομένα και να συμμορφωθεί με το αίτημά σας χωρίς να επιβάλει κάποια χρέωση.
Ωστόσο, μια εταιρεία/ένας οργανισμός μπορεί να συνεχίσει να επεξεργάζεται τα προσωπικά σας δεδομένα, παρά τις ενστάσεις σας, εάν
στην περίπτωση επεξεργασίας για σκοπούς επιστημονικής/ιστορικής έρευνας και στατιστικών, η επεξεργασία είναι απαραίτητη για την εκτέλεση εργασίας για λόγους δημόσιου συμφέροντος
στην περίπτωση επεξεργασίας με βάση νόμιμα συμφέροντα ή την εκτέλεση εργασίας προς χάριν του δημοσίου συμφέροντος ή της άσκησης των καθηκόντων επίσημης αρχής, η εταιρεία ή ο οργανισμός μπορεί να αποδείξει ότι έχει επιτακτικούς και νόμιμους λόγους οι οποίοι είναι υπέρτεροι σε σχέση με τα συμφέροντα, τα δικαιώματα και τις ελευθερίες σας. Επομένως, στην περίπτωση αυτή πρέπει να γίνει στάθμιση των εκατέρωθεν συμφερόντων.
Η εταιρεία θα πρέπει να σας ενημερώσει για το δικαίωμά σας να υποβάλετε ένσταση ήδη κατά την πρώτη επικοινωνία μαζί σας.
Έννομη προστασία
Τι πρέπει να κάνω εάν πιστεύω ότι τα δικαιώματά μου όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα δεν έχουν τηρηθεί;
Εάν πιστεύετε ότι έχουν παραβιαστεί τα δικαιώματά σας όσον αφορά την προστασία δεδομένων, έχετε τρεις διαθέσιμες επιλογές:
υποβολή καταγγελίας ενώπιον της εθνικής αρχής προστασίας δεδομένων (ΑΠΔ)
Η αρχή διερευνά την υπόθεση και σας ενημερώνει για την πρόοδο ή το αποτέλεσμα της καταγγελίας σας εντός τριών μηνών·
προσφυγή στη δικαιοσύνη κατά της εταιρείας ή του οργανισμού
Προσφύγετε άμεσα στο δικαστήριο κατά εταιρείας ή οργανισμού εάν πιστεύετε ότι έχει παραβιάσει τα δικαιώματά σας προστασίας δεδομένων. Αυτό δεν σας εμποδίζει να υποβάλετε καταγγελία ενώπιον της εθνικής ΑΠΔ εάν το επιθυμείτε·
προσφυγή στη δικαιοσύνη κατά της ΑΠΔ
Εάν πιστεύετε ότι η ΑΠΔ δεν έχει χειριστεί την καταγγελία σας σωστά ή εάν δεν είστε ικανοποιημένοι με την απάντησή της ή εάν δεν σας ενημερώσει σχετικά με την πρόοδο ή την έκβαση εντός τριών μηνών από την ημέρα που υποβάλατε την καταγγελία, μπορείτε να προσφύγετε άμεσα ενώπιον δικαστηρίου κατά της ΑΠΔ.
Ορισμένες φορές, η εταιρεία κατά της οποίας έχει υποβληθεί καταγγελία επεξεργάζεται δεδομένα σε διαφορετικά κράτη μέλη της ΕΕ. Σε αυτήν την περίπτωση, η αρμόδια ΑΠΔ χειρίζεται την καταγγελία σε συνεργασία με τις ΑΠΔ που εδρεύουν στα άλλα κράτη μέλη της ΕΕ. Αυτό το σύστημα, το οποίο λέγεται «μηχανισμός μιας στάσης», διασφαλίζει ότι η διαχείριση των καταγγελιών γίνεται πιο αποτελεσματικά. Για παράδειγμα, μπορεί να σας βοηθήσει να συνδέσετε την καταγγελία σας με παρόμοιες καταγγελίες που έχουν υποβληθεί σε άλλα κράτη μέλη της ΕΕ. Η ΑΠΔ στην οποία έχετε υποβάλει την καταγγελία είναι το κύριο σημείο επαφής σας.
Τι είναι οι αρχές προστασίας δεδομένων (ΑΠΔ) και πώς μπορώ να επικοινωνήσω μαζί τους;
Οι ΑΠΔ είναι ανεξάρτητες δημόσιες αρχές που παρακολουθούν και επιβλέπουν, μέσω εξουσιών έρευνας και διορθωτικών εξουσιών, την εφαρμογή του δικαίου περί προστασίας δεδομένων. Παρέχουν εξειδικευμένες συμβουλές σχετικά με ζητήματα προστασίας δεδομένων και χειρίζονται καταγγελίες σχετικά με εικαζόμενες παραβιάσεις της νομοθεσίας.
Μπορεί μια μη κυβερνητική οργάνωση (ΜΚΟ) να εγείρει αξιώσεις εκ μέρους μου;
Έχετε το δικαίωμα να αναθέσετε σε μια ΜΚΟ να υποβάλει καταγγελία εκ μέρους σας εφόσον πληρούνται οι εξής προϋποθέσεις:
- η ΜΚΟ έχει συγκροτηθεί σύμφωνα με τις διατάξεις της νομοθεσίας·
- η ΜΚΟ επιδιώκει έναν σκοπό δημόσιου συμφέροντος (π.χ. τη βελτίωση της ζωής των πολιτών στον τομέα της κατανάλωσης)·
- η ΜΚΟ δραστηριοποιείται στον τομέα της προστασίας των δεδομένων.
Η καταγγελία μπορεί να υποβληθεί τόσο ενώπιον της σχετικής αρχής προστασίας δεδομένων όσο και, ενδεχομένως, ενώπιον δικαστικής αρχής. Με βάση την εθνική νομοθεσία ορισμένων κρατών μελών της ΕΕ, μπορεί η ΜΚΟ να έχει τη δυνατότητα να υποβάλει καταγγελία χωρίς να της το έχετε αναθέσει εσείς.
Μπορώ να ζητήσω αποζημίωση;
Μπορείτε να ζητήσετε αποζημίωση εάν μια εταιρεία ή ένας οργανισμός δεν έχει τηρήσει το δίκαιο περί προστασίας δεδομένων και έχετε υποστεί υλική ζημία (π.χ. οικονομική απώλεια) ή μη υλική ζημία (π.χ. ψυχική οδύνη ή δυσφήμιση). Μπορείτε να εγείρετε αξίωση κατά της οικείας εταιρείας ή του οργανισμού ή ενώπιον των εθνικών δικαστηρίων. Μπορείτε να ζητήσετε αποζημίωση ενώπιον των δικαστηρίων του κράτους μέλους της ΕΕ όπου είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Εναλλακτικά, οι εν λόγω διαφορές επιλύονται από τα δικαστήρια του κράτους μέλους της ΕΕ όπου βρίσκεται η συνήθης κατοικία σας.
Νομικοί λόγοι επεξεργασίας δεδομένων
Πότε μπορούν να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα;
Η εταιρεία ή ο οργανισμός σας μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο στις ακόλουθες περιπτώσεις:
- με τη συγκατάθεση των οικείων ατόμων·
- εάν υπάρχει συμβατική υποχρέωση (σύμβαση ανάμεσα στην εταιρεία ή τον οργανισμό σας και έναν πελάτη)·
- για την εκπλήρωση νομικής υποχρέωσης (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία)·
- όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία)·
- για την προστασία των ζωτικών συμφερόντων ενός ατόμου·
- προς χάριν των έννομων συμφερόντων του οργανισμού σας, αλλά μόνο αφού ελέγξετε ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του ατόμου του οποίου δεδομένα επεξεργάζεστε δεν επηρεάζονται σοβαρά. Εάν τα δικαιώματα του ατόμου υπερισχύουν - των συμφερόντων σας, τότε δεν επιτρέπεται επεξεργασία με βάση έννομο συμφέρον. Η αξιολόγηση σχετικά με το εάν τα έννομα συμφέροντα της εταιρείας ή του οργανισμού σας για επεξεργασία υπερισχύουν των συμφερόντων των οικείων ατόμων εξαρτάται από τις ιδιαίτερες περιστάσεις κάθε περίπτωσης.
Σε τι αναφέρεται ο όρος «λόγοι έννομου συμφέροντος»;
Ως εταιρεία/οργανισμός, συχνά χρειάζεται να επεξεργαστείτε δεδομένα προσωπικού χαρακτήρα για να εκτελέσετε εργασίες που σχετίζονται με τις επιχειρηματικές σας δραστηριότητες. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε αυτό το πλαίσιο μπορεί να μη δικαιολογείται απαραίτητα από νομική υποχρέωση ή να μην πραγματοποιείται για την εκτέλεση των όρων σύμβασης με φυσικό πρόσωπο. Σε τέτοιες περιπτώσεις, η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσε να βασισθεί σε λόγους έννομου συμφέροντος.
Η εταιρεία ή ο οργανισμός σας οφείλει να ενημερώνει τα άτομα σχετικά με την επεξεργασία κατά τον χρόνο λήψης των προσωπικών τους δεδομένων.
Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να ελέγξει ότι η επιδίωξη των έννομων συμφερόντων της/του δεν έχει σοβαρό αντίκτυπο στα δικαιώματα και τις ελευθερίες των σχετικών ατόμων· σε διαφορετική περίπτωση, η εταιρεία ή ο οργανισμός σας δεν μπορεί να βασισθεί σε λόγους έννομου συμφέροντος για να δικαιολογήσει την επεξεργασία των δεδομένων και πρέπει να βρει άλλον νομικό λόγο.
Πότε είναι έγκυρη η συγκατάθεση;
Όταν απαιτείται συγκατάθεση για να υποβληθούν δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, πρέπει να πληρούνται οι ακόλουθες προϋποθέσεις για να είναι έγκυρη η συγκατάθεση:
- η συγκατάθεση πρέπει να δίνεται ελεύθερα·
- η συγκατάθεση πρέπει να δίνεται εν πλήρει επιγνώσει·
- η συγκατάθεση πρέπει να δίνεται για συγκεκριμένο σκοπό·
- όλοι οι λόγοι για την επεξεργασία πρέπει να αναφέρονται με σαφήνεια·
- η συγκατάθεση πρέπει να είναι ρητή και να δίνεται μέσω θετικής πράξης (π.χ. ηλεκτρονικό πλαίσιο επιλογής το οποίο το άτομο πρέπει να επιλέξει σαφώς στο διαδίκτυο ή υπογραφή σε φόρμα)·
- η συγκατάθεση πρέπει να χρησιμοποιεί σαφή και απλή γλώσσα και να είναι ξεκάθαρα ορατή·
- παρέχεται δυνατότητα ανάκλησης της συγκατάθεσης και το άτομο ενημερώνεται για το γεγονός αυτό (π.χ. με τη μορφή συνδέσμου κατάργησης εγγραφής στο τέλος ενός ενημερωτικού δελτίου μέσω ηλεκτρονικού μηνύματος).
Για να δίνεται ελεύθερα η συγκατάθεση, το άτομο πρέπει να έχει ελευθερία επιλογής και πρέπει να μπορεί να αρνηθεί ή να ανακαλέσει τη συγκατάθεση χωρίς να βρεθεί σε μειονεκτική θέση. Η συγκατάθεση δεν δίνεται ελεύθερα εάν, για παράδειγμα, υπάρχει σαφής ανισότητα μεταξύ του ατόμου και της επιχείρησης/οργανισμού (π.χ. σχέση εργοδότη/εργαζομένου) ή όταν μια επιχείρηση ή ένας οργανισμός ζητά συγκατάθεση από άτομα για την επεξεργασία μη απαραίτητων δεδομένων προσωπικού χαρακτήρα ως προαπαιτούμενο για την εκτέλεση σύμβασης ή την παροχή υπηρεσίας.
Για να παραχωρείται η συγκατάθεση εν πλήρει επιγνώσει, πρέπει να παρέχονται στο άτομο οπωσδήποτε οι εξής πληροφορίες:
- η ταυτότητα του οργανισμού που επεξεργάζεται τα δεδομένα·
- οι σκοποί για τους οποίους γίνεται η επεξεργασία των δεδομένων·
- το είδος των δεδομένων που θα υποβληθούν σε επεξεργασία·
- η δυνατότητα ανάκλησης της συγκατάθεσης που έχει δοθεί (π.χ. ύπαρξη συνδέσμου κατάργησης εγγραφής στο τέλος ηλεκτρονικού μηνύματος)·
- όπου είναι απαραίτητο, το γεγονός ότι τα δεδομένα θα χρησιμοποιηθούν μόνο για αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ·
- εάν η συγκατάθεση σχετίζεται με διεθνή διαβίβαση, τους ενδεχόμενους κινδύνους των διαβιβάσεων δεδομένων προς τρίτες χώρες για τις οποίες η Επιτροπή δεν έχει εκδώσει απόφαση επάρκειας και στις οποίες δεν παρέχονται κατάλληλες εγγυήσεις.
Θυμηθείτε: όταν κάποιος δίνει τη συγκατάθεσή του για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα, μπορείτε να επεξεργάζεστε τα δεδομένα μόνο για τους σκοπούς για τους οποίους έχει παραχωρηθεί η συγκατάθεση.
Μπορεί συγκατάθεση δοθείσα πριν από τις 25 Μαΐου 2018 να παραμείνει έγκυρη αφού τεθεί σε ισχύ ο ΓΚΠΔ κατά την ίδια ημερομηνία;
Εάν συγκατάθεση που παραχωρήθηκε από ένα άτομο πριν από τη θέση σε εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ) είναι σύμφωνη με τις προϋποθέσεις του ΓΚΠΔ, τότε δεν υπάρχει λόγος να ζητηθεί και πάλι η συγκατάθεση του ατόμου. Η εταιρεία ή ο οργανισμός σας πρέπει να βεβαιωθεί ότι η συγκατάθεση που παραχωρήθηκε πριν από τον ΓΚΠΔ πληροί τις προϋποθέσεις που καθορίζονται σε αυτόν.
Παραδείγματα
Δεν χρειάζεται νέα συγκατάθεση
Ο ΓΚΠΔ θα τεθεί σε εφαρμογή στις 25 Μαΐου 2018. Αναθεωρήσατε πρόσφατα την πολιτική ιδιωτικού απορρήτου της εταιρείας ή του οργανισμού σας. Ελέγξατε ότι η συγκατάθεση στους κόλπους της εταιρείας ή του οργανισμού ελήφθη γραπτώς και συμμορφώνεται με όλες τις απαιτήσεις του ΓΚΠΔ. Σε αυτήν την περίπτωση, δεν χρειάζεται να ζητήσετε από τους πελάτες σας ξανά τη συγκατάθεσή τους τον Μάιο του 2018.
Χρειάζεται να δοθεί ξανά συγκατάθεση
Η εταιρεία ή ο οργανισμός σας έλαβε συγκατάθεση από πελάτες πριν από χρόνια χρησιμοποιώντας ένα σύστημα που περιελάμβανε προεπιλεγμένα πλαίσια στο διαδίκτυο. Είναι τώρα σαφές ότι ο εν λόγω τρόπος λήψης συγκατάθεσης δεν θα είναι έγκυρος από τις 25 Μαΐου 2018. Η εταιρεία ή ο οργανισμός σας θα πρέπει να λάβει νέα συγκατάθεση εάν επιθυμεί να συνεχίσει να επεξεργάζεται τα δεδομένα.
Τι γίνεται αν κάποιος αποσύρει τη συγκατάθεσή του;
Η ανάκληση θα πρέπει να γίνεται με την ίδια ευκολία όσο και η παροχή της συγκατάθεσης. Εάν αποσυρθεί η συγκατάθεση, η εταιρεία ή ο οργανισμός σας δεν μπορεί πλέον να επεξεργάζεται τα δεδομένα αλλά πρέπει να φροντίσει για τη διαγραφή τους, εκτός εάν η επεξεργασία μπορεί να στηριχθεί σε άλλο νομικό λόγο (π.χ. απαιτήσεις αποθήκευσης ή στον βαθμό που είναι απαραίτητο για την εκτέλεση σύμβασης).
Εάν τα δεδομένα υποβάλλονταν σε επεξεργασία για διάφορους σκοπούς, η εταιρεία ή ο οργανισμός σας δεν μπορεί να χρησιμοποιεί τα δεδομένα προσωπικού χαρακτήρα για το τμήμα της επεξεργασίας για το οποίο έχει γίνει ανάκληση της συγκατάθεσης ή για οποιονδήποτε από τους σκοπούς, ανάλογα με τη φύση της ανάκλησης της συγκατάθεσης.
Πώς λαμβάνεται συγκατάθεση για επεξεργασία όσον αφορά επιστημονική έρευνα;
Επιτρέπεται κάποιος βαθμός ευελιξίας όσον αφορά τον βαθμό του προσδιορισμού και του επιπέδου λεπτομέρειας της συγκατάθεσης στο πλαίσιο της επιστημονικής έρευνας. Κατά τη συλλογή δεδομένων προσωπικού χαρακτήρα, οι ερευνητές ενδέχεται να μην μπορούν να προσδιορίσουν πλήρως τους σκοπούς της επεξεργασίας τους. Σε αυτές τις περιπτώσεις μπορούν να ζητήσουν από τα άτομα να δώσουν τη συγκατάθεσή τους για ορισμένα πεδία επιστημονικής έρευνας ή τμήματα ερευνητικών έργων. Εν πάση περιπτώσει, η συγκατάθεση πρέπει να διατηρεί τα βασικά στοιχεία της, πράγμα που σημαίνει ότι πρέπει να δίνεται ελεύθερα, εν πλήρει επιγνώσει, να παρέχεται με σαφή θετική ενέργεια και να είναι συγκεκριμένη στον βαθμό που επιτρέπει η εκάστοτε έρευνα. Οι ερευνητές πρέπει να βεβαιωθούν ότι συμμορφώνονται επίσης με τα πρότυπα δεοντολογίας και μεθοδολογίας που απαιτούνται στο πεδίο τους.
Ευαίσθητα δεδομένα
Ποια δεδομένα προσωπικού χαρακτήρα θεωρούνται ευαίσθητα;
Τα παρακάτω δεδομένα προσωπικού χαρακτήρα θεωρούνται «ευαίσθητα» και υπόκεινται σε συγκεκριμένες προϋποθέσεις επεξεργασίας:
- δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις·
- συμμετοχή σε συνδικαλιστική οργάνωση·
- γενετικά δεδομένα, βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου·
- δεδομένα σχετικά με την υγεία·
- δεδομένα σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός ατόμου.
Υπό ποιες προϋποθέσεις μπορεί η εταιρεία μου/ο οργανισμός μου να επεξεργάζεται ευαίσθητα δεδομένα;
Η εταιρεία ή ο οργανισμός σας μπορεί να επεξεργάζεται ευαίσθητα δεδομένα μόνον εφόσον πληρούται μια από τις ακόλουθες προϋποθέσεις:
- έχει ληφθεί η ρητή συγκατάθεση του ατόμου (νόμος μπορεί να αποκλείει αυτήν την επιλογή σε ορισμένες περιπτώσεις)·
- η εταιρεία ή ο οργανισμός σας έχει την υποχρέωση, σύμφωνα με τη νομοθεσία της ΕΕ ή εθνική νομοθεσία ή συλλογική σύμβαση, να επεξεργάζεται δεδομένα για να συμμορφώνεται με τις υποχρεώσεις και τα δικαιώματά της/του, και με τις υποχρεώσεις και τα δικαιώματα των φυσικών προσώπων, στους τομείς του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας·
- διακυβεύονται τα ζωτικά συμφέροντα του φυσικού προσώπου ή ενός φυσικού προσώπου που δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του·
- είστε ίδρυμα, ένωση ή άλλος μη κερδοσκοπικός φορέας με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό σκοπό, και επεξεργάζεστε δεδομένα σχετικά με μέλη σας ή με άτομα που επικοινωνούν τακτικά με τον οργανισμό σας·
- τα δεδομένα προσωπικού χαρακτήρα είχαν δημοσιοποιηθεί προδήλως από το φυσικό πρόσωπο·
- τα δεδομένα είναι απαραίτητα για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων·
- τα δεδομένα υποβάλλονται σε επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος με βάση τη νομοθεσία της ΕΕ ή εθνική νομοθεσία·
- τα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της νομοθεσίας της ΕΕ ή εθνικής νομοθεσίας ή δυνάμει σύμβασης ως επαγγελματίας του τομέα της υγείας·
- τα δεδομένα υποβάλλονται σε επεξεργασία για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας με βάση τη νομοθεσία της ΕΕ ή εθνική νομοθεσία·
- τα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης, επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς με βάση τη νομοθεσία της ΕΕ ή εθνική νομοθεσία.
Μπορεί να επιβάλλονται περαιτέρω προϋποθέσεις από την εθνική νομοθεσία για την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων σχετικά με την υγεία. Υποβάλετε σχετικό ερώτημα στην εθνική αρχή προστασίας δεδομένων.
Υπάρχουν συγκεκριμένες εγγυήσεις για δεδομένα παιδιών;
Η εταιρεία ή ο οργανισμός σας μπορεί να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα ενός παιδιού βάσει συγκατάθεσης εφόσον έχει λάβει τη ρητή συγκατάθεση του γονιού ή κηδεμόνα τους μέχρι μια συγκεκριμένη ηλικία. Το όριο ηλικίας για τη λήψη γονικής συγκατάθεσης ποικίλλει από τα 13 έως τα 16 έτη, ανάλογα με την ηλικία που καθορίζεται εν προκειμένω σε κάθε κράτος μέλος της ΕΕ. Για περισσότερες πληροφορίες, απευθυνθείτε στην εθνική σας αρχή προστασίας δεδομένων.
Πρέπει να καταβάλλονται φιλότιμες προσπάθειες, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία, για να επαληθεύεται ότι η συγκατάθεση δίνεται πράγματι σύμφωνα με τη νομοθεσία. Αυτό σημαίνει ότι η εταιρεία ή ο οργανισμός σας πρέπει να εφαρμόσει μέτρα επαλήθευσης της ηλικίας (π.χ. ερωτήσεις ελέγχου, ενέργειες στον ιστότοπο).
Πρέπει να λαμβάνεται συγκατάθεση από τον γονιό ή τον κηδεμόνα εάν ο οργανισμός σας δραστηριοποιείται σε ιστότοπους κοινωνικής δικτύωσης που παρέχουν δωρεάν παιχνίδια σε παιδιά ή οικογενειακή ασφάλιση, για παράδειγμα.
Εάν ο οργανισμός σας απευθύνεται σε παιδιά, πρέπει να διασφαλίσετε ότι οποιαδήποτε πληροφορία και επικοινωνία που απευθύνεται σε ένα παιδί είναι εύκολα προσβάσιμη και σε σαφή και απλή γλώσσα η οποία είναι ευνόητη για ένα παιδί.
Οι υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε παιδιά δεν απαιτούν γονική άδεια, καθώς στόχο έχουν να προστατεύσουν τα μείζονα συμφέροντα του παιδιού.
Επαφές με τους πολίτες
Πώς πρέπει να διεκπεραιώνονται τα αιτήματα ατόμων που ασκούν τα δικαιώματά τους σχετικά με την προστασία των δεδομένων;
Φυσικά πρόσωπα μπορούν να επικοινωνήσουν με την εταιρεία ή τον οργανισμό σας με σκοπό την άσκηση των δικαιωμάτων τους σύμφωνα με τον ΓΚΠΔ (δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, φορητότητας κ.λπ.). Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα, η εταιρεία ή ο οργανισμός σας θα πρέπει να παρέχει μέσα για την υποβολή ηλεκτρονικών αιτημάτων. Επιπλέον, πρέπει να απαντά στα αιτήματα που λαμβάνει χωρίς αδικαιολόγητη καθυστέρηση και κατ’ αρχή εντός ενός μηνός από τη λήψη του αιτήματος.
Η εταιρεία ή ο οργανισμός σας μπορεί να ζητά περαιτέρω πληροφορίες από τα πρόσωπα που έχουν υποβάλει αίτημα, για να επιβεβαιώσει την ταυτότητά τους.
Εάν η εταιρεία ή ο οργανισμός σας απορρίψει το αίτημα, πρέπει να ενημερώσει το άτομο σχετικά με τους λόγους για τους οποίους το έκανε και σχετικά με το δικαίωμα του ατόμου να υποβάλει καταγγελία ενώπιον της αρχής προστασίας δεδομένων και να επιδιώξει έννομη προστασία.
Η επεξεργασία αιτημάτων φυσικών προσώπων θα πρέπει να γίνεται δωρεάν. Όταν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, μπορείτε να χρεώσετε εύλογο τέλος ή να αρνηθείτε να δώσετε συνέχεια.
Σε ποια δεδομένα προσωπικού χαρακτήρα και πληροφορίες μπορεί να έχει πρόσβαση ένα φυσικό πρόσωπο κατόπιν αιτήματος;
Όταν κάποιος υποβάλει αίτημα για πρόσβαση στα δεδομένα του προσωπικού χαρακτήρα, η εταιρεία ή ο οργανισμός σας πρέπει:
να επιβεβαιώσει εάν υποβάλλει ή όχι σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που αφορούν το συγκεκριμένο πρόσωπο·
να παράσχει στο εν λόγω πρόσωπο αντίγραφο των δεδομένων προσωπικού χαρακτήρα που διαθέτει σχετικά με αυτό·
να παράσχει πληροφορίες σχετικά με την επεξεργασία (π.χ. σκοποί, κατηγορίες δεδομένων προσωπικού χαρακτήρα, αποδέκτες κ.λπ.).
Η εταιρεία ή ο οργανισμός σας πρέπει να παρέχει στα άτομα αντίγραφο των δεδομένων τους προσωπικού χαρακτήρα δωρεάν. Παρόλα αυτά, για περαιτέρω αντίγραφα μπορεί να χρεωθεί εύλογο τέλος.
Η άσκηση του δικαιώματος πρόσβασης είναι στενά συνδεδεμένη με την άσκηση του δικαιώματος φορητότητας των δεδομένων, και τούτο για να μπορεί το άτομο να διαβιβάζει τα δεδομένα του σε άλλον οργανισμό.
Είναι σημαντικό, στη δήλωση εχεμύθειας της εταιρείας ή του οργανισμού σας, να γίνεται σαφής διάκριση μεταξύ των δύο δικαιωμάτων. Επομένως, πρέπει να αναφέρονται εν συντομία και τα δύο δικαιώματα χωριστά.
Πρέπει πάντα να διαγράφουμε δεδομένα προσωπικού χαρακτήρα εάν ένα άτομο το ζητά;
Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) δίνει στα άτομα το δικαίωμα να ζητούν τη διαγραφή των δεδομένων τους και οι οργανισμοί υποχρεούνται να το πράξουν, εκτός από τις ακόλουθες περιπτώσεις:
τα δεδομένα προσωπικού χαρακτήρα που κατέχει η εταιρεία ή ο οργανισμός σας είναι απαραίτητα για την άσκηση του δικαιώματος της ελευθερίας έκφρασης·
όταν νομική υποχρέωση επιβάλλει τη διατήρηση των δεδομένων·
για λόγους δημοσίου συμφέροντος (π.χ. δημόσια υγεία, σκοποί επιστημονικής, στατιστικής ή ιστορικής έρευνας).
Εάν η εταιρεία ή ο οργανισμός σας έχει επεξεργαστεί δεδομένα παράνομα, πρέπει να τα διαγράψει. Η διαγραφή είναι υποχρεωτική επίσης στην περίπτωση ατόμου του οποίου συλλέχθηκαν δεδομένα προσωπικού χαρακτήρα όταν ήταν ακόμα ανήλικος.
Όσον αφορά το δικαίωμα στη λήθη στο διαδίκτυο, οι οργανισμοί καλούνται να λαμβάνουν εύλογα μέτρα (π.χ. τεχνικά μέτρα) για να ενημερώνουν άλλους ιστότοπους ότι ένα συγκεκριμένο άτομο έχει ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Τα δεδομένα μπορούν επίσης να φυλάσσονται εάν έχουν υποβληθεί σε κατάλληλη διαδικασία ανωνυμοποίησης.
Τι γίνεται εάν κάποιος αντιτίθεται στην επεξεργασία των δεδομένων του προσωπικού χαρακτήρα από την εταιρεία μου;
Τα φυσικά πρόσωπα έχουν το δικαίωμα να αρνηθούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για συγκεκριμένους λόγους. Το εάν υφίσταται μια τέτοια κατάσταση πρέπει να εξετάζεται με γνώμονα τα δεδομένα κάθε περίπτωσης.
Τα άτομα μπορούν να εναντιωθούν μόνο στις περιπτώσεις όπου δημόσια διοίκηση επεξεργάζεται τα δεδομένα στο πλαίσιο των δημόσιων καθηκόντων της ή όταν εταιρεία επεξεργάζεται τα δεδομένα βάσει των έννομων συμφερόντων της. Σε τέτοιες περιπτώσεις, η εταιρεία ή ο οργανισμός σας δεν μπορεί πλέον να επεξεργάζεται τα δεδομένα εκτός εάν αποδεικνύει ότι η επεξεργασία είναι αναγκαία για λόγους που υπερισχύουν των δικαιωμάτων και των ελευθεριών του ατόμου ή εάν τα δεδομένα απαιτούνται για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.
Τα άτομα έχουν επίσης το δικαίωμα να αντιταχθούν οποιαδήποτε στιγμή στην επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης. Ως άμεση εμπορική προώθηση νοείται, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων, οποιαδήποτε ενέργεια εταιρείας με σκοπό την προώθηση διαφημιστικού υλικού ή υλικού εμπορικής προώθησης που απευθύνεται σε συγκεκριμένα άτομα. Η εταιρεία ή ο οργανισμός σας πρέπει να ενημερώνει τα άτομα, στη δήλωση εχεμύθειας ή το αργότερο την πρώτη φορά που επικοινωνεί μαζί τους, ότι θα χρησιμοποιεί τα δεδομένα τους προσωπικού χαρακτήρα για άμεση εμπορική προώθηση και ότι έχουν δικαίωμα να αντιταχθούν χωρίς χρέωση. Αν ένα άτομο αντιταχθεί στην επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης, η εταιρεία ή ο οργανισμός σας δεν μπορεί πλέον να επεξεργάζεται τα δεδομένα του προσωπικού χαρακτήρα για τέτοιους σκοπούς.
Μπορούν τα άτομα να ζητούν τη διαβίβαση των δεδομένων τους σε άλλον οργανισμό;
Ναι, τα φυσικά πρόσωπα έχουν το δικαίωμα στη φορητότητα των δεδομένων, δηλαδή να λαμβάνουν από την εταιρεία/τον οργανισμό σας τα δεδομένα προσωπικού χαρακτήρα που σας παρείχαν, σε δομημένο μορφότυπο αναγνώσιμο από μηχάνημα, και να τα διαβιβάζουν σε άλλη εταιρεία/οργανισμό. Το δικαίωμα μπορεί να ασκείται μόνο στις περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν στο πλαίσιο σύμβασης ή βάσει συγκατάθεσης και τα εν λόγω δεδομένα υποβάλλονται σε επεξεργασία με αυτόματα μέσα.
Υπάρχουν περιορισμοί όσον αφορά τη χρήση αυτοματοποιημένης λήψης αποφάσεων;
Ναι, τα φυσικά πρόσωπα δεν θα πρέπει να υπόκεινται σε απόφαση που βασίζεται μόνο σε αυτοματοποιημένη επεξεργασία (όπως οι αλγόριθμοι) και η οποία να είναι νομικά δεσμευτική ή να τους επηρεάζει σε σημαντικό βαθμό.
Μια απόφαση μπορεί να θεωρείται ότι παράγει έννομα αποτελέσματα όταν επηρεάζονται τα νομικά δικαιώματα ή το νομικό καθεστώς του φυσικού προσώπου (π.χ. το δικαίωμα ψήφου του). Επιπλέον, η επεξεργασία μπορεί να επηρεάσει σε σημαντικό βαθμό ένα άτομο εάν επηρεάζει την προσωπική του κατάσταση, τη συμπεριφορά του ή τις επιλογές του (για παράδειγμα, αυτόματη επεξεργασία μπορεί να οδηγήσει στην απόρριψη ηλεκτρονικής αίτησης πίστωσης).
Η χρήση αυτοματοποιημένης επεξεργασίας για τη λήψη απόφασης επιτρέπεται μόνο στις εξής περιπτώσεις:
είναι απαραίτητη η απόφαση με βάση τον αλγόριθμο (δηλ. δεν θα πρέπει να υπάρχει κανένας άλλος τρόπος να επιτευχθεί ο ίδιος στόχος) για τη σύναψη ή την εκτέλεση σύμβασης με το άτομο το οποίου τα δεδομένα υποβάλλονται σε επεξεργασία μέσω του αλγόριθμου (π.χ. ηλεκτρονική αίτηση δανείου)·
συγκεκριμένος νόμος (της ΕΕ ή εθνικός) επιτρέπει τη χρήση αλγορίθμων και παρέχει κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του ατόμου (π.χ. κανονισμοί κατά της φοροδιαφυγής)·
το άτομο έχει δώσει ρητή συγκατάθεση σε απόφαση που βασίζεται στον αλγόριθμο.
Ωστόσο, η απόφαση που λαμβάνεται πρέπει να προστατεύει τα δικαιώματα, τις ελευθερίες και τα έννομα συμφέροντα του ατόμου, θέτοντας σε εφαρμογή κατάλληλες εγγυήσεις. Με εξαίρεση τις περιπτώσεις όπου μια τέτοια λήψη απόφασης βασίζεται σε νόμο, το άτομο πρέπει να ενημερωθεί οπωσδήποτε σχετικά με τα εξής: i) τη λογική της διαδικασίας λήψης αποφάσεων, ii) το δικαίωμά του να αξιώσει ανθρώπινη παρέμβαση, iii) τις ενδεχόμενες συνέπειες της επεξεργασίας, και iv) το δικαίωμά του να προσβάλει την απόφαση. Επομένως, η εταιρεία ή ο οργανισμός σας πρέπει να προβεί στις απαραίτητες διαδικαστικές ρυθμίσεις έτσι ώστε να επιτρέψει στο άτομο να εκφράσει την άποψή του και να προσβάλει την απόφαση.
Τέλος, θα πρέπει να επιδεικνύεται ιδιαίτερη προσοχή εάν ο αλγόριθμος χρησιμοποιεί ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα. Η αυτοματοποιημένη λήψη αποφάσεων επιτρέπεται μόνο στις ακόλουθες περιπτώσεις:
το άτομο έχει δώσει ρητή συγκατάθεσή·
η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος με βάση τη νομοθεσία της ΕΕ ή εθνική νομοθεσία.
Επιπλέον, εάν το άτομο είναι παιδί, θα πρέπει να αποφεύγεται η λήψη αποφάσεων οι οποίες είναι αποκλειστικά αυτοματοποιημένες και οι οποίες παράγουν έννομα ή άλλα εξίσου σημαντικά αποτελέσματα για το παιδί, καθώς τα παιδιά συνιστούν μια πιο ευπαθή ομάδα της κοινωνίας.
Επιβολή της νομοθεσίας και κυρώσεις
Τι γίνεται σε περίπτωση μη συμμόρφωσης της εταιρείας ή του οργανισμού σας με τους κανόνες προστασίας δεδομένων;
Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) παρέχει μια σειρά επιλογών στις αρχές προστασίας δεδομένων σε περίπτωση μη συμμόρφωσης με τους κανόνες προστασίας δεδομένων:
εάν η παράβαση είναι απλώς πιθανή, μπορεί να εκδοθεί προειδοποίηση·
εάν η παράβαση είναι διαπιστωμένη, ενδέχεται να επιβληθεί μεταξύ άλλων επίπληξη, προσωρινή ή οριστική απαγόρευση της επεξεργασίας και πρόστιμο μέγιστου ύψους 20 εκατομμυρίων ευρώ ή ίσο με το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.
Πρέπει να επισημανθεί ότι σε περίπτωση παράβασης, η ΑΠΔ μπορεί να επιβάλει χρηματικό πρόστιμο, αντί ή επιπλέον της επίπληξης ή/και της απαγόρευσης της επεξεργασίας.
Η ΑΠΔ πρέπει να διασφαλίζει ότι τα πρόστιμα που επιβάλλονται σε κάθε ατομική περίπτωση είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Στο πλαίσιο αυτό, λαμβάνει υπόψη διάφορους παράγοντες, π.χ. τη φύση, τη σοβαρότητα και τη διάρκεια της παράβασης, το αν η παράβαση ήταν εσκεμμένη ή προήλθε από αμέλεια, τυχόν μέτρα που έχουν ληφθεί για τον μετριασμό της ζημίας που υπέστησαν φυσικά πρόσωπα, τον βαθμό συνεργασίας του οργανισμού κ.λπ.
Μπορεί η εταιρεία μου/ο οργανισμός μου να φέρει ευθύνη για ζημιές;
Τα φυσικά πρόσωπα μπορούν να ζητήσουν αποζημίωση εάν μια εταιρεία ή ένας οργανισμός έχει παραβιάσει τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΓΚΠΔ) και έχουν υποστεί υλική ζημία (π.χ. οικονομική απώλεια) ή μη υλική ζημία (π.χ. δυσφήμιση ή ψυχική οδύνη). Ο ΓΚΠΔ διασφαλίζει ότι θα τους καταβληθεί αποζημίωση, ανεξάρτητα από τον αριθμό των οργανισμών που συμμετείχαν στην επεξεργασία των δεδομένων τους. Το άτομο που έχει υποστεί ζημία μπορεί να αξιώσει αποζημίωση είτε άμεσα από τον οργανισμό είτε ενώπιον των αρμόδιων εθνικών δικαστηρίων. Η διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους της ΕΕ όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαθέτει επαγγελματική εγκατάσταση ή όπου διαμένει (δηλαδή έχει τη συνήθη κατοικία του) ο πολίτης που ζητά αποζημίωση.
Δήλωση αποποίησης ευθύνης
Οι πληροφορίες και η καθοδήγηση σε αυτές τις ιστοσελίδες στοχεύουν να συμβάλουν στην καλύτερη κατανόηση των κανόνων προστασίας δεδομένων της ΕΕ.
Ο παρών οδηγός προορίζεται να χρησιμεύσει αποκλειστικά ως εργαλείο καθοδήγησης —μόνο το κείμενο του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ) έχει νομική ισχύ. Επομένως, μόνο ο ΓΚΠΔ δύναται να δημιουργήσει δικαιώματα και υποχρεώσεις για φυσικά πρόσωπα. Η παρούσα καθοδήγηση δεν δημιουργεί κανένα εκτελεστό δικαίωμα ή προσδοκία.
Η δεσμευτική ερμηνεία της νομοθεσίας της ΕΕ αποτελεί αποκλειστική αρμοδιότητα του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Οι απόψεις που εκφράζονται στο παρόν έγγραφο καθοδήγησης δεν προδικάζουν τη θέση που μπορεί να λάβει η Ευρωπαϊκή Επιτροπή ενώπιον του Δικαστηρίου.
Ούτε η Ευρωπαϊκή Επιτροπή ούτε οποιοδήποτε πρόσωπο ενεργεί εξ ονόματός της φέρει ευθύνη για την ενδεχόμενη χρήση των κάτωθι πληροφοριών.
Καθώς το παρόν έγγραφο καθοδήγησης αντικατοπτρίζει τις τελευταίες εξελίξεις κατά τον χρόνο της σύνταξής του, θα πρέπει να θεωρείται ως ένα «ζωντανό εργαλείο» που επιδέχεται βελτιώσεις, το δε περιεχόμενό του μπορεί να υπόκειται σε τροποποιήσεις χωρίς προηγούμενη ειδοποίηση.
Τα παραπάνω δεδομένα Ερωτήσεων - Απαντήσεων αλλά και παραδείγματα για κάθε περίπτωση, θα τα βρείτε και στην ιστοσελίδα της Ευρωπαϊκής Επιτροπής
https://ec.europa.eu/info/law/law-topic/data-protection/reform_el
Εικονογράφημα: Τι πρέπει να κάνει η επιχείρησή σας
Έντυπο ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO) από την ΑΠΔΠΧ
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έχει αναρτήσει στην ιστοσελίδα της (dpa.gr) ειδικό έντυπο, το οποίο καλούνται να συμπληρώνουν οι υπεύθυνοι και εκτελούντες την επεξεργασία προκειμένου να ανακοινώσουν στην Αρχή τον ορισμό του υπευθύνου προστασίας σύμφωνα με την προαναφερθείσα υποχρέωσή τους. Tο έντυπο πρέπει να αποσταλεί ηλεκτρονικά στη διεύθυνση:
dpo-announcement@dpa.gr
Προσοχή: Η υποχρέωση ανακοίνωσης ορισμού DPO ικανοποιείται ΜΟΝΟ με την υποβολή του συγκεκριμένου εντύπου. Οποιαδήποτε προηγούμενη (πριν την 25η Μαΐου 2018) δήλωση στοιχείων υπευθύνου προστασίας δεδομένων που έχει υποβληθεί στην Αρχή ΔΕΝ λαμβάνεται υπόψη.
° Ορισμός DPO – Έντυπο Το έντυπο ορισμού DPO υποβάλλεται ΜΟΝΟ ηλεκτρονικά και σε μορφή τύπου *.docx
° Κατευθυντήριες γραμμές της Ομάδας εργασίας του άρθρου 29 σχετικά με τους Υπεύθυνους Προστασίας Δεδομένων και Παράρτημα αυτών (στα αγγλικά)
