Γενικός Κανονισμός Για Την Προστασία των Δεδομένων

Συχνές Ερωτήσεις

 

Το υποκείμενο των δεδομένων είναι το φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα υπόκεινται σε επεξεργασία.

 

1. Τι είναι ο Γενικός Κανονισμός Για Την Προστασία των Δεδομένων (GDPR);

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) (ΕΕ) 2016/679 είναι ένας κανονισμός της νομοθεσίας της ΕΕ για την προστασία των δεδομένων και την ιδιωτική ζωή για όλα τα άτομα στην Ευρωπαϊκή Ένωση. Αφορά επίσης την εξαγωγή δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ. Το GDPR στοχεύει πρωτίστως στον έλεγχο των πολιτών και των κατοίκων σχετικά με τα προσωπικά τους δεδομένα και στην απλούστευση του ρυθμιστικού περιβάλλοντος για τις διεθνείς επιχειρήσεις με την ενοποίηση του κανονισμού εντός της ΕΕ.

 

2. Πότε ο Κανονισμός τίθεται σε ισχύ;

Το GDPR εγκρίθηκε από το κοινοβούλιο της ΕΕ στις 14 Απριλίου 2016 και θα τεθεί σε ισχύ στις 25 Μαΐου 2018.

 

3. Ποιους επηρεάζει ο Κανονισμός;

Ο κανονισμός εφαρμόζεται εάν ο υπεύθυνος επεξεργασίας δεδομένων (ένας οργανισμός που συλλέγει δεδομένα από κάτοικους της ΕΕ) ή ο εκτελών την επεξεργασία (ένας οργανισμός που επεξεργάζεται δεδομένα για λογαριασμό υπεύθυνου επεξεργασίας δεδομένων όπως οι πάροχοι υπηρεσιών cloud) ή το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (πρόσωπο). Σε ορισμένες περιπτώσεις, ο κανονισμός εφαρμόζεται επίσης σε οργανισμούς που εδρεύουν εκτός ΕΕ, εάν συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα ατόμων που βρίσκονται εντός της ΕΕ.

 

4. Τι είναι τα προσωπικά δεδομένα και οι ειδικές κατηγορίες προσωπικών δεδομένων;

Τα προσωπικά δεδομένα είναι πληροφορίες που μπορούν να σχετίζονται με ένα φυσικό πρόσωπο. Τα δεδομένα θεωρούνται προσωπικά, αν το πρόσωπο που αφορά μπορεί να εντοπιστεί.

Ειδικές κατηγορίες δεδομένων (γνωστές και ως ευαίσθητα προσωπικά δεδομένα) είναι δεδομένα σχετικά με θρησκευτικές, φιλοσοφικές, πολιτικές ή συνδικαλιστικές απόψεις ή δραστηριότητες, υγεία, γενετική ή βιομετρική πληροφόρηση, φυλετική και εθνική καταγωγή, της σεξουαλικής ζωής του ατόμου ή του σεξουαλικού προσανατολισμού.

 

5. Τι σημαίνει "επεξεργασία δεδομένων";

Η επεξεργασία δεδομένων είναι οποιαδήποτε δραστηριότητα που περιλαμβάνει προσωπικά δεδομένα, ανεξάρτητα από τα μέσα και τη διαδικασία, π.χ. τη συλλογή, αποθήκευση, χρήση, αναθεώρηση, αποκάλυψη, αρχειοθέτηση, προβολή και καταστροφή προσωπικών δεδομένων.

 

6. Ποια είναι η διαφορά μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία;

Ο υπεύθυνος επεξεργασίας δεδομένων είναι το νομικό πρόσωπο που αποφασίζει για το σκοπό, το περιεχόμενο και τη διαδικασία επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο εκτελών την επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας δεδομένων.

Στο πλαίσιο του GDPR, τόσο ο ελεγκτής όσο και ο επεξεργαστής έχουν ορισμένες υποχρεώσεις. Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίσει ότι οι συμβάσεις με τους εκτελούντες την επεξεργασία συμμορφώνονται με το GDPR.

 

7. Ποιες είναι οι βασικές αρχές κατά την επεξεργασία προσωπικών δεδομένων;

Ανεξάρτητα από το πόσο ήσσονος σημασίας είναι η επεξεργασία, η επεξεργασία των προσωπικών δεδομένων πρέπει να έχει σταθερή νομική βάση. Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να παρέχουν σαφείς απόψεις για τον τρόπο λειτουργίας της επεξεργασίας και τις συνέπειες για το υποκείμενο των δεδομένων προτού συλλέξουν και επεξεργαστούν τα δεδομένα.

Ο περιορισμός του σκοπού απαιτεί από τους υπεύθυνους επεξεργασίας δεδομένων να καθορίζουν τους λόγους συλλογής και επεξεργασίας δεδομένων. Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να διασφαλίζουν ότι τα δεδομένα θα επεξεργάζονται σύμφωνα με τον αρχικό σκοπό. Τα δεδομένα δεν πρέπει να υποβάλλονται σε επεξεργασία όταν ο σκοπός έχει αλλάξει χωρίς σταθερό νομικό υπόβαθρο. Επίσης, η ιχνηλασιμότητα των δεδομένων καθ 'όλη τη διάρκεια του κύκλου ζωής δεδομένων είναι απαραίτητη για να γνωρίζουμε πότε η επεξεργασία δεν είναι πια σύμφωνα με τον αρχικό σκοπό.

Η ελαχιστοποίηση των δεδομένων συνεπάγεται τη μείωση του ποσού των συλλεγόμενων δεδομένων σε ό, τι είναι απαραίτητο για την αλληλεπίδραση με το υποκείμενο των δεδομένων.

Η αρχή περιορισμού της αποθήκευσης επικεντρώνεται στη διατήρηση των αναγνωρίσιμων δεδομένων μόνο για την περίοδο κατά την οποία τα δεδομένα εξυπηρετούν το σκοπό της. Οι υπεύθυνοι επεξεργασίας δεδομένων έχουν την πλήρη ευθύνη να διατηρούν την παρακολούθηση δεδομένων και να αφαιρούν τα δεδομένα όταν δεν επεξεργάζονται πλέον για τον αρχικό τους σκοπό.

Η ακεραιότητα και η εμπιστευτικότητα αποτελούν μέρος της βάσης της ασφάλειας των πληροφοριών. Η προστασία της ιδιωτικής ζωής του υποκειμένου των δεδομένων επιτυγχάνεται διατηρώντας την ακεραιότητά του είναι η διατήρηση της ακρίβειας και της συνέπειας των αποθηκευμένων δεδομένων. Επίσης, η εμπιστευτικότητα των δεδομένων επιτυγχάνεται με την προστασία των πληροφοριών από αποκάλυψη σε μη εξουσιοδοτημένη πρόσβαση. Τα μέτρα για την αρχή αυτή εφαρμόζονται και λειτουργούν καθ 'όλη τη διάρκεια του κύκλου ζωής των δεδομένων.

Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να λάβουν τα απαραίτητα μέτρα για να εξασφαλίσουν την ακρίβεια των ληφθέντων δεδομένων και να επαληθεύσουν την πηγή δεδομένων. Επιπλέον, εξετάζονται τυχόν προκλήσεις όσον αφορά την ακρίβεια των πληροφοριών και ενημερώνονται, όταν χρειάζεται.

Η λογοδοσία είναι μια νέα ιδέα που εισάγεται στο GDPR. Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να είναι υπόλογοι και να είναι σε θέση να αποδείξουν τη συμμόρφωση με τις διατάξεις των κανονισμών. Η επίδειξη μπορεί να επιτευχθεί με διάφορους τρόπους, από την επεξεργασία μη νόμιμων προσωπικών δεδομένων, για την εφαρμογή των αρχών προστασίας της ιδιωτικής ζωής σε συστήματα πληροφορικής.

Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να λαμβάνουν κατάλληλα διοικητικά, τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων.

 

8. Ποια δικαιώματα έχουν τα άτομα;

Ένα από τα βασικά στοιχεία του GDPR είναι τα δικαιώματα που παρέχονται στα φυσικά πρόσωπα, όπως περιγράφεται παρακάτω:

 

Δικαίωμα πληροφόρησης. Tο δικαίωμα να ενημερώνεται για τη συλλογή και χρήση των δεδομένων προσωπικού χαρακτήρα του.

Δικαίωμα πρόσβασης. Το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει αυτό, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο.

Δικαίωμα διόρθωσης. Το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Δικαίωμα διαγραφής. To δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και υπό ορισμένες προϋποθέσεις.

Δικαίωμα περιορισμού. Το δικαίωμα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας υπό ορισμένες προϋποθέσεις.

Δικαίωμα εναντίωσης. Το δικαίωμα να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έτσι, ο υπεύθυνος επεξεργασίας δεν θα υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Δικαίωμα στη φορητότητα. Το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο είχαν παρασχεθεί τα δεδομένα προσωπικού χαρακτήρα.

Δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο.

 

Σε κάθε περίπτωση, εάν το υποκείμενο των δεδομένων θεωρεί ότι η προστασία των προσωπικών του δεδομένων παραβιάζεται με οποιονδήποτε τρόπο, έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

9. Ποιες είναι οι κυρώσεις σε περίπτωση μη συμμόρφωσης;

Οι κυρώσεις σε χαμηλότερο επίπεδο θα μπορούσαν να επιβληθούν έως 10 εκατ. Ευρώ ή 2% σε παγκόσμιο κύκλο εργασιών, όποιο είναι υψηλότερο και μπορούν να φτάσουν έως και 20 εκατ. Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών, όποιο είναι υψηλότερο.

 

10. Τι είναι ενημέρωση για την προστασίας προσωπικών δεδομένων (Privacy Notice);

Είναι μια δήλωση που παρέχει τις πληροφορίες σχετικά με τους τρόπους με τους οποίους χρησιμοποιούνται, αποκαλύπτονται και διαχειρίζονται τα δεδομένα του υποκείμενου δεδομένων. Πληρούν την νομική απαίτηση για την προστασία του πελάτη ή του ιδιωτικού απορρήτου. Η ενημέρωση πρέπει να είναι σαφής, εύκολη στην πρόσβαση και δωρεάν.

 

11. Ποιες είναι οι νόμιμες βάσεις της επεξεργασίας;

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να τύχουν επεξεργασίας μόνο όταν αυτό είναι νόμιμο. Οι εκτελούντες την επεξεργασία θα πρέπει να συμμορφώνονται με την παρούσα Πολιτική, καθώς και με τους σχετικούς νόμους και κανονισμούς. Η εν λόγω επεξεργασία είναι νόμιμη εάν ισχύει κάποιο από τα κάτωθι:

  • εάν το υποκείμενο των δεδομένων έχει καταστήσει τα δεδομένα του γενικώς προσβάσιμα, π.χ. πληροφορίες που εμφανίζονται σε εφημερίδες ή το χρυσό οδηγό, και δεν έχει απαγορεύσει την επεξεργασία τους,
  • για την εκτέλεση σύμβασης, μέρος της οποίας είναι το υποκείμενο των δεδομένων,
  • προκειμένου να προχωρήσει η διαδικασία, κατόπιν αιτήματος του υποκειμένου των δεδομένων, πριν από τη σύναψη μιας σύμβασης,
  • για λόγους συμμόρφωσης του υπευθύνου επεξεργασίας με τις νομικές του υποχρεώσεις,
  • για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
  • για την υλοποίηση μιας εργασίας προς το δημόσιο συμφέρον,
  • εάν τα έννομα συμφέροντα του υπευθύνου επεξεργασίας ή ενός τρίτου μέρους υπερισχύουν εκείνων του υποκειμένου των δεδομένων, εκτός εάν υπάρχουν θεμελιώδη δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων που υπερέχουν έναντι των εν λόγω συμφερόντων.
  • εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για αυτή την επεξεργασία (δείτε παρακάτω πρόσθετες πληροφορίες για τη συγκατάθεση).

 

Οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα μπορούν να τύχουν επεξεργασίας νόμιμα μόνο όταν ισχύει κάποια από τις κάτωθι προϋποθέσεις:

  • η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ελλάδας ή της Ένωσης,
  • η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του,
  • η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,
  • η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων,
  • η επεξεργασία είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος,
  • η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας,
  • η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας,
  • η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς,
  • όταν το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του.

 

12. Πότε απαιτείται συγκατάθεση;

Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων πρέπει να ενημερωθεί αρμοδίως και να δώσει ενεργά τη συγκατάθεσή του.

Η συγκατάθεση δεν πρέπει απαραιτήτως να δίνεται γραπτώς, ωστόσο, προκειμένου αυτή να αποδεικνύεται (σε δικαστήρια και αρχές), συστήνεται να δίνεται γραπτώς ή σε επιτρεπόμενες ηχογραφήσεις. Το υποκείμενο των δεδομένων μπορεί να άρει τη συγκατάθεσή του οποιαδήποτε στιγμή. Κατά την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα βάσει συγκατάθεσης, η εν λόγω συγκατάθεση θα πρέπει να δίνεται ρητά.

Δεν απαιτείται συγκατάθεση σε περίπτωση που η επεξεργασία γίνεται σύμφωνα με διαφορετική νομική βάση. Για παιδιά κάτω των 16 ετών (π.χ. στο πλαίσιο δράσεων Εταιρικής Κοινωνικής Ευθύνης), είναι απαραίτητη η συγκατάθεση του γονέα ή κηδεμόνα για την επεξεργασία των δεδομένων.

 

13. Ποιες είναι οι αρμοδιότητες του Επικεφαλής Προστασίας Δεδομένων (ΕΠΔ);

Ο Επικεφαλής Προστασίας Δεδομένων (ΕΠΔ) είναι υπεύθυνος για το συντονισμό της προστασίας των δεδομένων. Συγκεκριμένα, θα πρέπει να:

  • παρακολουθεί ανεξάρτητα τη συμμόρφωση της εταιρείας με τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,
  • παρακολουθεί και εφαρμόζει ανεξάρτητα το επεξηγηματικό υλικό που θα ληφθεί μελλοντικά από την Ευρωπαϊκή Επιτροπή αναφορικά με την εφαρμογή των διατάξεων ΓΚΠΔ,
  • βοηθά τα διευθυντικά στελέχη για τη διασφάλιση της νομικής και κανονιστικής συμμόρφωσης εντός του πλαισίου της προστασίας των δεδομένων,
  • παρακολουθεί συχνά, κατά ανεξάρτητο τρόπο, τη συμμόρφωση με την παρούσα πολιτική,
  • τηρεί κατάλογο με τις βάσεις δεδομένων και κατάλογο με τις παραβιάσεις της προστασίας δεδομένων προσωπικού χαρακτήρα,
  • παρακολουθεί και συμμετέχει σε Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ),
  • είναι υπεύθυνος για να απαντά σε αιτήματα των υποκειμένων των δεδομένων για πληροφορίες,
  • είναι υπεύθυνος για το σχεδιασμό εκπαίδευσης που θα αυξάνει τη γνώση για την προστασία των δεδομένων και θα παρέχει συμβουλές στο προσωπικό που επεξεργάζεται δεδομένα, και συγκεκριμένα στους υπαλλήλους του υπεύθυνου επεξεργασίας, για τις υποχρεώσεις που έχουν αναφορικά με την επεξεργασία δεδομένων,
  • δρα ως σημείο επαφής για τις εποπτικές αρχές αναφορικά με ζητήματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και να συνεργάζεται με τις αρχές για οποιοδήποτε άλλο θέμα.

 

Χρήσιμοι σύνδεσμοι:

Περισσότερες πληροφορίες σχετικά με τη Κανονισμό, μπορείτε να βρείτε εδώ.