Προστασία δεδομένων
Πότε εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);
Ο ΓΚΠΔ εφαρμόζεται εάν:
η επιχείρησή σας επεξεργάζεται προσωπικά δεδομένα και εδρεύει στην ΕΕ, ανεξάρτητα από το πού γίνεται η πραγματική επεξεργασία των δεδομένων
η επιχείρησή σας εδρεύει εκτός της ΕΕ αλλά επεξεργάζεται προσωπικά δεδομένα τα οποία αφορούν την παροχή προϊόντων ή υπηρεσιών σε άτομα εντός της ΕΕ, ή παρακολουθεί τη συμπεριφορά ατόμων εντός της ΕΕ
Επιχειρήσεις που δεν εδρεύουν στην ΕΕ αλλά επεξεργάζονται δεδομένα πολιτών της ΕΕ οφείλουν να διορίζουν εκπρόσωπο στην ΕΕ.
Πότε δεν εφαρμόζεται ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ);
Ο ΓΚΠΔ δεν εφαρμόζεται εάν:
το υποκείμενο των δεδομένων είναι νεκρό
το υποκείμενο των δεδομένων είναι νομικό πρόσωπο
η επεξεργασία γίνεται από πρόσωπο που ενεργεί για σκοπούς εκτός του εμπορικού, επιχειρηματικού ή επαγγελματικού του πεδίου
Τι είναι τα προσωπικά δεδομένα;
Προσωπικά δεδομένα είναι όλες οι πληροφορίες που αφορούν έναν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, το οποίο καλείται υποκείμενο των δεδομένων. Τα προσωπικά δεδομένα περιέχουν πληροφορίες όπως:
όνομα
διεύθυνση
αριθμός δελτίου ταυτότητας/διαβατηρίου
εισόδημα
πολιτισμικό προφίλ
κωδικός πρωτοκόλλου διαδικτύου (ΙΡ)
δεδομένα που διατηρούν νοσοκομεία ή γιατροί (με αποκλειστικό σκοπό την ταυτοποίηση προσώπου για ιατρικούς λόγους).
Ειδικές κατηγορίες δεδομένων
Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων σχετικά με τα εξής χαρακτηριστικά ενός προσώπου:
φυλετική ή εθνοτική καταγωγή
σεξουαλικός προσανατολισμός
πολιτικά φρονήματα
θρησκευτικές ή φιλοσοφικές πεποιθήσεις
συμμετοχή σε συνδικαλιστικές οργανώσεις
γενετικά ή βιομετρικά δεδομένα και δεδομένα υγείας, εξαιρουμένων ειδικών περιπτώσεων (π.χ. όταν έχετε δώσει την πλήρη συγκατάθεσή σας ή όταν η επεξεργασία απαιτείται για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει της νομοθεσίας της ΕΕ ή της εθνικής νομοθεσίας)
προσωπικά δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα, εκτός αν αυτό επιτρέπεται από τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία
Ποιος επεξεργάζεται τα προσωπικά δεδομένα;
Κατά την επεξεργασία τους, τα προσωπικά δεδομένα μπορεί να περάσουν από διάφορες επιχειρήσεις ή οργανισμούς. Μέσα σ΄αυτόν τον κύκλο, υπάρχουν δύο βασικά προφίλ που ασχολούνται με την επεξεργασία των προσωπικών δεδομένων:
ο υπεύθυνος επεξεργασίας, οποίος αποφασίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων
ο εκτελών την επεξεργασία, ο οποίος φυλάσσει και επεξεργάζεται τα δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας.
Ποιος παρακολουθεί μέσα στην επιχείρηση τον τρόπο επεξεργασίας των προσωπικών δεδομένων;
Ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) που μπορεί να έχει οριστεί από την επιχείρηση, είναι αρμόδιος να παρακολουθεί την επεξεργασία των προσωπικών δεδομένων, καθώς και να ενημερώνει και να συμβουλεύει τους υπαλλήλους επεξεργασίας των προσωπικών δεδομένων σχετικά με τις υποχρεώσεις τους. Ο ΥΠΔ συνεργάζεται επίσης με την Αρχή Προστασίας Δεδομένων (ΑΠΔ), λειτουργώντας ως σημείο επαφής μεταξύ της ΑΠΔ και μεμονωμένων ατόμων.
Πότε πρέπει να ορίζετε έναν υπεύθυνο προστασίας δεδομένων;
Οφείλετε να ορίσετε έναν ΥΠΔ εάν η επιχείρησή σας:
παρακολουθεί άτομα, σε τακτική ή συστηματική βάση, ή επεξεργάζεται ειδικές κατηγορίες δεδομένων
έχει ως μία από τις κύριες επιχειρηματικές της δραστηριότητες την επεξεργασία δεδομένων
επεξεργάζεται δεδομένα σε ευρεία κλίμακα.
Για παράδειγμα, αν επεξεργάζεστε προσωπικά δεδομένα για να στοχοθετήσετε διαφημίσεις μέσω μηχανών αναζήτησης βάσει της συμπεριφοράς των ατόμων στο διαδίκτυο, οφείλετε να ορίσετε έναν ΥΠΔ. Αν, αντίθετα, στέλνετε στους πελάτες σας διαφημιστικό υλικό μόνο μία φορά τον χρόνο, δεν χρειάζεται να ορίσετε ΥΠΔ. Ομοίως, αν είστε γιατρός και συλλέγετε δεδομένα για την υγεία ασθενούς σας, πιθανότατα δεν χρειάζεστε ΥΠΔ. Ωστόσο, αν επεξεργάζεστε προσωπικά δεδομένα γενετικής και υγείας για λογαριασμό νοσοκομείου, οφείλετε να έχετε ΥΠΔ.
Ο ΥΠΔ μπορεί να προέρχεται από το προσωπικό του οργανισμού σας ή να είναι εξωτερικός συνεργάτης βάσει σύμβασης παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι μεμονωμένο άτομο ή μέρος οργανισμού.
Επεξεργασία δεδομένων για άλλη επιχείρηση
Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναθέσει την επεξεργασία δεδομένων μόνο σε άτομο που παρέχει επαρκείς εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνονται σε γραπτή σύμβαση μεταξύ των ενδιαφερόμενων μερών. Η σύμβαση αυτή πρέπει επίσης να περιέχει ορισμένες υποχρεωτικές ρήτρες, π.χ., ότι ο εκτελών την επεξεργασία θα επεξεργάζεται προσωπικά δεδομένα μόνον όταν του δίδεται σχετική εντολή από τον υπεύθυνο επεξεργασίας δεδομένων.
Μεταφορά δεδομένων εκτός της ΕΕ
Όταν προσωπικά δεδομένα μεταφέρονται εκτός της ΕΕ, η προστασία που παρέχει ο ΓΚΠΔ εξακολουθεί να ισχύει για τα εν λόγω δεδομένα. Αυτό σημαίνει ότι αν εξάγετε δεδομένα στο εξωτερικό, η επιχείρησή σας πρέπει να διασφαλίζει ότι τηρείται ένα από τα παρακάτω μέτρα:
η χώρα εκτός της ΕΕ εφαρμόζει κανόνες που κρίνονται επαρκείς από την ΕΕ
η επιχείρησή σας λαμβάνει τα αναγκαία μέτρα για να παράσχει τις κατάλληλες διασφαλίσεις, όπως να περιλάβει συγκεκριμένες ρήτρες στη συμφωνηθείσα σύμβαση με τον εκτός της ΕΕ εισαγωγέα προσωπικών δεδομένων
η επιχείρησή σας βασίζεται σε συγκεκριμένα επιχειρήματα για την μεταφορά (παρεκκλίσεις), όπως η συγκατάθεση του υποκειμένου των δεδομένων.
Πότε επιτρέπεται η επεξεργασία δεδομένων;
Σύμφωνα με τους κανόνες της ΕΕ για την προστασία δεδομένων, η επεξεργασία πρέπει να γίνεται με θεμιτό και σύννομο τρόπο, για έναν συγκεκριμένο και νόμιμο σκοπό και να καλύπτει μόνο τα δεδομένα που είναι αναγκαία για την επίτευξη αυτού του σκοπού. Για να επεξεργάζεστε προσωπικά δεδομένα πρέπει να διασφαλίσετε ότι πληροίτε έναν από τους παρακάτω όρους :
έχετε τη συγκατάθεση του συγκεκριμένου υποκειμένου των δεδομένων
χρειάζεστε τα προσωπικά δεδομένα για να τηρήσετε συμβατική υποχρέωση έναντι του υποκειμένου των δεδομένων
χρειάζεστε τα προσωπικά δεδομένα για να εκπληρώσετε νομική υποχρέωση
χρειάζεστε τα προσωπικά δεδομένα για να προστατεύσετε ζωτικά συμφέροντα του υποκειμένου των δεδομένων
επεξεργάζεστε προσωπικά δεδομένα για να διεκπεραιώσετε αποστολή δημοσίου συμφέροντος
ενεργείτε προς όφελος των νομίμων συμφερόντων της επιχείρησής σας, εφόσον δεν θίγονται σοβαρά τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επεξεργάζεστε. Αν τα δικαιώματα του υποκειμένου υπερισχύουν των συμφερόντων της επιχείρησής σας, δεν μπορείτε να επεξεργαστείτε τα προσωπικά του δεδομένα.
Συγκατάθεση για την επεξεργασία δεδομένων
Ο ΓΚΠΔ ορίζει αυστηρούς κανόνες για την επεξεργασία δεδομένων βάσει συγκατάθεσης. Σκοπός των κανόνων αυτών είναι να διασφαλιστεί ότι το υποκείμενο των δεδομένων κατανοεί για τι πραγματικά έχει δώσει τη συγκατάθεσή του. Αυτό σημαίνει ότι η συγκατάθεση πρέπει να δίνεται ελεύθερα, συγκεκριμένα και χωρίς ασάφειες με δήλωση διατυπωμένη σε απλή και κατανοητή γλώσσα. Η συγκατάθεση πρέπει να δίνεται με καταφατική πράξη, π.χ. με την επιλογή τετραγωνιδίου σε ιστοσελίδα ή με την υπογραφή δήλωσης.
Όταν έχει δοθεί συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, μπορείτε να επεξεργαστείτε τα δεδομένα μόνο για τους σκοπούς για τους οποίους δόθηκε η συγκατάθεση. Πρέπει επίσης να δίνετε στο υποκείμενο των δεδομένων τη δυνατότητα να αποσύρει τη συγκατάθεσή του.
Παροχή διαφανών πληροφοριών
Πρέπει να παρέχετε στα υποκείμενα των δεδομένων σαφείς πληροφορίες σχετικά με το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα και γιατί. Οφείλετε να παρέχετε τουλάχιστον τις παρακάτω πληροφορίες:
ποιος είστε
γιατί επεξεργάζεστε τα προσωπικά δεδομένα
ποια είναι η νομική βάση
ποιος θα λάβει τα δεδομένα (αν υπάρχει).
Σε ορισμένες περιπτώσεις, πρέπει επίσης να δίνονται οι παρακάτω πληροφορίες:
ποια είναι τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (ΥΠΔ), εφόσον υπάρχει,
ποιο νόμιμο συμφέρον επιδιώκει η επιχείρηση, όταν για την επεξεργασία βασίζεστε σε αυτό το νομικό επιχείρημα
ποια μέτρα ισχύουν για τη μεταφορά δεδομένων σε μια χώρα εκτός της ΕΕ
για πόσο διάστημα αποθηκεύονται τα δεδομένα
ποια είναι τα δικαιώματα του υποκειμένου των δεδομένων σχετικά με την προστασία των δεδομένων του (π.χ. δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, απαγόρευσης της χρήσης, φορητότητας, κ.λπ).
πώς μπορεί να αποσυρθεί η συγκατάθεση (όταν αυτή είναι το νομικό επιχείρημα για την επεξεργασία)
αν υπάρχει καταστατική ή συμβατική υποχρέωση για την παροχή των δεδομένων
ποιο είναι το σκεπτικό, η σημασία και οι επιπτώσεις της απόφασης, στην περίπτωση αυτοματοποιημένης λήψης απόφασης.
Πρέπει να δίνετε αυτές τις πληροφορίες σε σαφή και κατανοητή γλώσσα.
Ειδικοί κανόνες για τα παιδιά
Αν συλλέγετε προσωπικά δεδομένα από παιδί βάσει συγκατάθεσης, για παράδειγμα από λογαριασμό μέσων κοινωνικής δικτύωσης ή λογαριασμό τηλεφόρτωσης, οφείλετε να λάβετε πρώτα γονική συγκατάθεση, π.χ. στέλνοντας ειδοποίηση στον γονέα ή στον κηδεμόνα του παιδιού. Η ηλικία μέχρι την οποία ένα πρόσωπο θεωρείται παιδί διαφέρει ανάλογα με τη χώρα κατοικίας, αλλά συνήθως είναι μεταξύ 13 και 16 ετών.