Ορισμένα είδη προσωπικών δεδομένων ανήκουν σε ειδικές κατηγορίες προσωπικών δεδομένων, πράγμα που σημαίνει ότι προϋποθέτουν μεγαλύτερη  προστασία, τα λεγόμενα ευαίσθητα δεδομένα. Τα ευαίσθητα δεδομένα περιλαμβάνουν δεδομένα που αποκαλύπτουν πληροφορίες σχετικά με:

• την υγεία ενός ατόμου·
• τον σεξουαλικό προσανατολισμό ενός ατόμου·
• τη φυλετική ή εθνοτική καταγωγή ενός ατόμου·
• τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ενός ατόμου· τη συμμετοχή ενός ατόμου σε συνδικαλιστική οργάνωση·
• τα βιομετρικά και γενετικά δεδομένα ενός ατόμου.

Η επεξεργασία ευαίσθητων δεδομένων ενός ατόμου απαγορεύεται γενικά, εκτός από ειδικές περιστάσεις που δικαιολογούν την επεξεργασία τους.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Προσωπικά δεδομένα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο άτομο. Ταυτοποιήσιμο  άτομο είναι οποιοσδήποτε μπορεί να ταυτοποιηθεί, είτε άμεσα είτε έμμεσα. Διαφορετικές πληροφορίες που αθροιστικά θα μπορούσαν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου συνιστούν προσωπικά δεδομένα.

Παραδείγματα προσωπικών δεδομένων περιλαμβάνουν:

• όνομα και επώνυμο·
• διεύθυνση κατοικίας·
• διεύθυνση ηλεκτρονικού ταχυδρομείου·
• αριθμό δελτίου ταυτότητας·
• δεδομένα θέσης·
• διεύθυνση πρωτοκόλλου διαδικτύου (IP)·
• αναγνωριστικό cookie·
• τραπεζικούς λογαριασμούς·
• φορολογικές εκθέσεις·
• βιομετρικά δεδομένα (όπως δακτυλικά αποτυπώματα)·
• αριθμό κοινωνικής ασφάλισης·
• αριθμό διαβατηρίου·
• αποτελέσματα εξετάσεων·
• βαθμούς στο σχολείο·
• ιστορικό περιήγησης·
• φωτογραφία ατόμου·
• αριθμό εγγραφής οχήματος κ.λπ.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Οι οργανισμοί πρέπει, σε περίπτωση  συλλογής προσωπικών δεδομένων απευθείας  από τα ενδιαφερόμενα άτομα, να παρέχουν πληροφορίες σχετικά με τις πράξεις επεξεργασίας με συνοπτικό και διαφανή τρόπο, χρησιμοποιώντας κατανοητή, εύκολα προσβάσιμη, σαφή και απλή γλώσσα. Αυτό μπορεί να γίνει γραπτώς (π.χ. στην οπίσθια όψη μιας προσφοράς) ή με ηλεκτρονικά μέσα (π.χ. σε ιστότοπο). Εάν το ζητήσει ο ενδιαφερόμενος, μπορείτε επίσης να παράσχετε αυτές τις πληροφορίες προφορικά, αλλά πρέπει να είστε σε θέση να το αποδείξετε στη συνέχεια.

Ακόμη και όταν τα δεδομένα συλλέχθηκαν έμμεσα, δηλαδή εάν δεν συλλέγετε απευθείας τα προσωπικά δεδομένα από ένα άτομο, αλλά για παράδειγμα μέσω τρίτου, θα πρέπει να παράσχετε τις ίδιες λεπτομερείς πληροφορίες στα άτομα.

Όταν υπάρχουν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας δεδομένων που καθορίζουν από κοινού τον σκοπό και τα μέσα επεξεργασίας, θεωρούνται από κοινού υπεύθυνοι επεξεργασίας. Αποφασίζουν από κοινού να επεξεργαστούν προσωπικά δεδομένα για κοινό σκοπό. Η από κοινού ευθύνη επεξεργασίας μπορεί να λάβει πολλές μορφές και η συμμετοχή των διαφόρων υπευθύνων επεξεργασίας μπορεί να είναι άνιση. Ως εκ τούτου, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά στη συμμόρφωση με τον ΓΚΠΔ.

Είναι σημαντικό να σημειωθεί ότι η από κοινού ευθύνη επεξεργασίας συνεπάγεται από κοινού ευθύνη για μια δραστηριότητα επεξεργασίας.

• Παράδειγμα από κοινού υπευθύνου επεξεργασίας: Οι εταιρείες Α και Β έχουν ξεκινήσει ένα προϊόν με την επωνυμία τους και επιθυμούν να διοργανώσουν μια εκδήλωση για την προώθηση αυτού του προϊόντος. Για τον σκοπό αυτό, αποφασίζουν να μοιραστούν δεδομένα από τις αντίστοιχες βάσεις δεδομένων πελατών και μελλοντικών πελατών τους και αποφασίζουν σχετικά με τον κατάλογο των προσκεκλημένων στην εκδήλωση. Συμφωνούν επίσης σχετικά με τους τρόπους αποστολής των προσκλήσεων στην εκδήλωση, τον τρόπο συλλογής ανατροφοδότησης κατά τη διάρκεια της εκδήλωσης και τις επακόλουθες ενέργειες μάρκετινγκ. Οι εταιρείες Α και Β μπορούν να θεωρηθούν από κοινού υπεύθυνοι επεξεργασίας για την επεξεργασία προσωπικών δεδομένων που σχετίζονται με τη διοργάνωση της διαφημιστικής εκδήλωσης, καθώς αποφασίζουν από κοινού για τον από κοινού καθορισμένο σκοπό και τα βασικά μέσα της επεξεργασίας δεδομένων στο πλαίσιο αυτό.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Η εκτίμηση αντικτύπου  σχετικά με την προστασία των δεδομένων ή ΕΑΠΔ είναι μια γραπτή εκτίμηση που θα πρέπει να ετοιμάσει ο οργανισμός σας για να αξιολογήσει τον αντίκτυπο μιας προγραμματισμένης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων και να καταδείξετε τη συμμόρφωση.

Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των προγραμματισμένων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.

Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:

• την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες·  
• συστηματική και εκτεταμένη αξιολόγηση των προσωπικών πτυχών ενός ατόμου με βάση την αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και επί της οποίας βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σε σχέση με το εν λόγω άτομο ή επηρεάζουν σημαντικά με παρόμοιο τρόπο τα φυσικά πρόσωπα·
• συστηματική παρακολούθηση μιας δημοσίως προσβάσιμης περιοχής σε μεγάλη κλίμακα.

Το ΕΣΠΔ έχει καταρτίσει κατευθυντήριες γραμμές στις οποίες απαριθμούνται τα κριτήρια που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του κατά πόσον μια ΕΑΠΔ είναι υποχρεωτική ή όχι. Οι αρχές προστασίας δεδομένων (ΑΠΔ) έχουν επίσης δημοσιεύσει καταλόγους πράξεων επεξεργασίας που προϋποθέτουν την κατάρτιση  ΕΑΠΔ. Επιπλέον, αρκετές ΑΠΔ έχουν αναπτύξει οδηγούς, λογισμικό ή εργαλεία αυτοαξιολόγησης για να σας βοηθήσουν με την αξιολόγησή σας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Ο ΓΚΠΔ παρέχει  στα άτομα τον έλεγχο της επεξεργασίας των προσωπικών τους δεδομένων. Για να γίνει αυτό, η διαφάνεια είναι καίριας σημασίας. Αυτό σημαίνει ότι πρέπει να ενημερώσετε τα άτομα των οποίων επεξεργάζεστε τα δεδομένα σχετικά με τις πράξεις επεξεργασίας και τους σκοπούς σας. Με άλλα λόγια, πρέπει να τους εξηγήσετε ποιος επεξεργάζεται τα δεδομένα τους, αλλά και πώς και γιατί. Μόνο εάν η χρήση προσωπικών δεδομένων  είναι «διαφανής» για τα επηρεαζόμενα άτομα , μπορούν να αξιολογήσουν τους πιθανούς κινδύνους και να λάβουν αποφάσεις σχετικά με τα προσωπικά τους δεδομένα.

Σύμφωνα με τον ΓΚΠΔ, είστε υποχρεωμένοι να μοιραστείτε τις ακόλουθες πληροφορίες με τα άτομα:

• την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας·
• τους σκοπούς της επεξεργασίας·
• τη νομική βάση της επεξεργασίας (εάν έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποια οντότητα επιδιώκει κάθε έννομο συμφέρον).
• τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας·
• τα στοιχεία επικοινωνίας του ΥΠΔ (εάν υπάρχει ΥΠΔ)·
• τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων·
• Πληροφορίες σχετικά με ενδεχόμενη διαβίβαση δεδομένων εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) (κατά περίπτωση: την ύπαρξη ή μη απόφασης επάρκειας ή αναφορά στις κατάλληλες διασφαλίσεις και τον τρόπο με τον οποίο οι πληροφορίες αυτές μπορούν να τεθούν στη διάθεση των υποκειμένων των δεδομένων)·
• τις κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία, όταν τα δεδομένα δεν λαμβάνονται από το άτομο.

Επιπλέον, ο ΓΚΠΔ απαιτεί από τον οργανισμό σας να παρέχει τις ακόλουθες πληροφορίες για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας:

• την περίοδο διατήρησης ή, όταν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό της εν λόγω περιόδου·
• το δικαίωμα υποβολής αιτήματος  πρόσβασης, διαγραφής, διόρθωσης, περιορισμού, αντίρρησης και φορητότητας των προσωπικών δεδομένων·
• το δικαίωμα υποβολής καταγγελίας σε αρχή προστασίας δεδομένων·
• εάν η νομική βάση για την επεξεργασία είναι η συγκατάθεση: το δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή·
• σε περίπτωση αυτοματοποιημένης λήψης αποφάσεων, σχετικές πληροφορίες σχετικά με την υποκείμενη λογική και τις προβλεπόμενες συνέπειες της επεξεργασίας για το υποκείμενο των δεδομένων·
• την πηγή των προσωπικών δεδομένων (εάν δεν τα λάβατε απευθείας από το ενδιαφερόμενο πρόσωπο)·
• εάν το φυσικό πρόσωπο υποχρεούται να παράσχει τα προσωπικά δεδομένα (με νόμο ή σύμβαση ή για τη συνομολόγηση σύμβασης) και τις συνέπειες της άρνησης παροχής των δεδομένων.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Επεξεργασία προσωπικών δεδομένων νοείται κάθε είδους δραστηριότητα (πράξη επεξεργασίας) που εκτελείται επί ή αφορά σε προσωπικά δεδομένα φυσικών προσώπων. Περιλαμβάνει τη συλλογή,  καταχώριση,  οργάνωση,  διάρθρωση,  αποθήκευση,  προσαρμογή ή μεταβολή, ανάκτηση,  αναζήτηση πληροφοριών, έρευνα,  χρήση,  κοινολόγηση με διαβίβαση,  διάδοση ή κάθε άλλης μορφής διάθεση, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή προσωπικών δεδομένων.

Οι ΥΠΔ μπορούν να εκπληρώνουν άλλα καθήκοντα εντός του οργανισμού, αλλά αυτό δεν μπορεί να οδηγήσει σε σύγκρουση συμφερόντων. Αυτό σημαίνει ότι ο ΥΠΔ δεν μπορεί να έχει θέση με την  οποία να καθορίζει τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας. Τα αντικρουόμενα καθήκοντα αφορούν κυρίως διευθυντικές θέσεις (επικεφαλής, διευθύνων σύμβουλος, οικονομικός διευθυντής, προϊστάμενος ανθρώπινου δυναμικού, προϊστάμενος ΤΠ, διευθύνων σύμβουλος), αλλά μπορούν επίσης να περιλαμβάνουν και άλλα καθήκοντα, εάν οδηγούν στον καθορισμό των σκοπών και των μέσων επεξεργασίας.

• Ο ΥΠΔ πρέπει να είναι σε θέση να εκτελεί τα καθήκοντα και τις αρμοδιότητές  του με ανεξάρτητο τρόπο. Αυτό σημαίνει ότι ο οργανισμός σας:
• δεν μπορεί να δίνει οδηγίες στον ΥΠΔ όσον αφορά στην άσκηση των καθηκόντων του ως ΥΠΔ·
• δεν επιτρέπεται να τιμωρεί ή να απολύει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Μια έγκυρη σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία  είναι υποχρεωτική βάσει του ΓΚΠΔ. Για μια παράβαση μπορεί να επιβληθεί διοικητικό πρόστιμο έως 10 εκατ. ευρώ ή έως 2% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.

Για να σας καθοδηγήσουν κατά τη σύναψη συμφωνίας υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η δανική και σλοβενική αρχή προστασίας δεδομένων, καθώς και η Ευρωπαϊκή Επιτροπή, έχουν καταρτίσει πρότυπες συμφωνίες.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Τα καθήκοντα του ΥΠΔ περιλαμβάνουν, μεταξύ άλλων, τα εξής:

• να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τη συμμόρφωση με την προστασία των δεδομένων·
• να παρακολουθεί  τη συμμόρφωση με την προστασία των δεδομένων·
• να παρέχει συμβουλές σχετικά με αιτήματα που αφορούν στην εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ)·
• να ενεργεί ως σημείο επαφής για την αρχή προστασίας δεδομένων (ΑΠΔ) και να συνεργάζεται με την εν λόγω ΑΠΔ·
• να ενεργεί ως σημείο επαφής για τα άτομα.

Επιπλέον, η παρουσία του ΥΠΔ συνιστάται γενικά όταν λαμβάνονται αποφάσεις με επιπτώσεις στην προστασία των δεδομένων. Θα πρέπει επίσης να ζητείται η γνώμη του ΥΠΔ αμέσως μόλις συμβεί παραβίαση δεδομένων ή άλλο περιστατικό.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων