Ποιος είναι ο υπεύθυνος επεξεργασίας και ποιος είναι ο εκτελών την επεξεργασία; 
Ο ΓΚΠΔ κάνει διάκριση μεταξύ δύο κύριων ρόλων: του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία. Η διάκριση αυτή είναι ζωτικής σημασίας, δεδομένου ότι ο υπεύθυνος επεξεργασίας φέρει μεγαλύτερη ευθύνη και υπόκειται σε περισσότερες υποχρεώσεις από ό,τι ο εκτελών την επεξεργασία.

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία μπορούν να είναι φυσικά ή νομικά πρόσωπα, για παράδειγμα: ΜΜΕ, δημόσια αρχή, εταιρεία, οργανισμός, κρατικός φορέας, ένωση κ.λπ.

Ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα μιας πράξης επεξεργασίας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας αποφασίζει τον σκοπό και τον τρόπο μιας πράξης επεξεργασίας, ενώ οι εκτελούντες την επεξεργασία επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας. Η επεξεργασία που διενεργείται από τους εκτελούντες την επεξεργασία πρέπει να ρυθμίζεται από σύμβαση με τον υπεύθυνο επεξεργασίας ή άλλη νομική πράξη.

Παραδείγματα υπευθύνων επεξεργασίας:

• εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των πελατών τους για να ολοκληρώσουν μια πώληση·
• χρηματοπιστωτικά ιδρύματα που επεξεργάζονται προσωπικά δεδομένα των πελατών τους·
• ενώσεις που επεξεργάζονται τα δεδομένα των μελών τους·
• σχολεία ή πανεπιστήμια που επεξεργάζονται προσωπικά δεδομένα σπουδαστών και εκπαιδευτικών·
• νοσοκομεία που επεξεργάζονται προσωπικά δεδομένα των ασθενών τους·
• κυβερνητικές υπηρεσίες που επεξεργάζονται προσωπικά δεδομένα πολιτών.

Παραδείγματα εκτελούντων την επεξεργασία:

• μια ΜΜΕ προσλαμβάνει υπηρεσία τήρησης λογιστικών βιβλίων για να τηρεί τα βιβλία και τα αρχεία της, η ΜΜΕ είναι υπεύθυνος επεξεργασίας και η υπηρεσία τήρησης λογιστικών βιβλίων είναι εκτελών την επεξεργασία·
• μια εταιρεία μισθοδοσίας επεξεργάζεται προσωπικά δεδομένα για μια ΜΜΕ. Η εταιρεία μισθοδοσίας θα ενεργεί ως εκτελών την επεξεργασία εάν επεξεργάζεται αποκλειστικά τα προσωπικά δεδομένα για λογαριασμό της ΜΜΕ. Η ΜΜΕ καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων και, ως εκ τούτου, είναι υπεύθυνος επεξεργασίας.
• μια ΜΜΕ αναθέτει σε μια εταιρεία μάρκετινγκ να συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου μέσω ιστότοπων τρίτων.  Η εταιρεία μάρκετινγκ το πράττει αυτό σύμφωνα με τις ρητές οδηγίες της ΜΜΕ και για τους αποκλειστικούς σκοπούς της ΜΜΕ. Η εταιρεία μάρκετινγκ ενεργεί ως εκτελών την επεξεργασία αυτής της συλλογής προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Ο ΥΠΔ μπορεί να είναι υφιστάμενος υπάλληλος με επαρκή γνώση του ΓΚΠΔ (εάν τα επαγγελματικά καθήκοντα του εργαζομένου είναι συμβατά με εκείνα του ΥΠΔ και αυτό δεν οδηγεί σε συγκρούσεις συμφερόντων) ή εξωτερικό πρόσωπο. Ο ΥΠΔ θα πρέπει να είναι σε θέση να εκτελεί καθήκοντα ανεξάρτητα και θα πρέπει να είναι σε θέση να λογοδοτεί  απευθείας στην ανώτατη διοίκηση.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Εάν ο οργανισμός σας συλλέγει τα προσωπικά δεδομένα απευθείας από φυσικά πρόσωπα, πρέπει να παρέχει τις απαραίτητες πληροφορίες κατά τη στιγμή της συλλογής.

Σε περίπτωση έμμεσης συλλογής προσωπικών δεδομένων, ο οργανισμός σας πρέπει να παράσχει τις πληροφορίες το αργότερο εντός ενός μηνός από την αρχική λήψη των προσωπικών δεδομένων. Αυτή η μέγιστη περίοδος ενός μηνός μπορεί να μειωθεί:

• εάν τα προσωπικά δεδομένα χρησιμοποιούνται για τον σκοπό της επικοινωνίας με το υποκείμενο των δεδομένων. Στην περίπτωση αυτή, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων το αργότερο κατά τον χρόνο της πρώτης κοινοποίησης στο υποκείμενο των δεδομένων·
• εάν τα δεδομένα κοινοποιούνται  σε άλλον αποδέκτη, ο οργανισμός ενημερώνει σχετικά τα υποκείμενα των δεδομένων το αργότερο κατά τη κοινοποίηση των προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Τα άτομα μπορούν να σας ρωτήσουν αν επεξεργάζεστε τα δεδομένα τους και, όπου συμβαίνει αυτό, έχουν δικαίωμα πρόσβασης σε αυτά τα δεδομένα. Έτσι, όταν συμβαίνει αυτό και εάν επεξεργάζεστε τα δεδομένα τους, θα πρέπει, για παράδειγμα, να παράσχετε ένα αντίγραφο των προσωπικών τους δεδομένων, δωρεάν, μαζί με τυχόν απαραίτητες πρόσθετες πληροφορίες. Όταν ένα αίτημα υποβάλλεται ηλεκτρονικά, ο οργανισμός σας θα πρέπει να παρέχει τις απαιτούμενες πληροφορίες σε ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή, εκτός εάν το άτομο ζητήσει κάτι διαφορετικό.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.

• Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα  άτομα, πρέπει να τη γνωστοποιήσετε  στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
• Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.

Περισσότερες πληροφορίες:

• Παραβιάσεις δεδομένων

Η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να ορίζει ότι ο εκτελών την επεξεργασία:

• επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ·
• διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα έχουν δεσμευθεί να τηρούν την εμπιστευτικότητα ή ότι υπόκεινται σε κατάλληλη εκ του νόμου υποχρέωση εμπιστευτικότητας·
• διασφαλίζει την ασφάλεια της επεξεργασίας·
• δεν αναθέτει σε άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας·
• επικουρεί τον υπεύθυνο επεξεργασίας στην εκπλήρωση των υποχρεώσεών του να ανταποκρίνεται στα αιτήματα των ατόμων για την άσκηση των δικαιωμάτων τους·
• επικουρεί τον υπεύθυνο επεξεργασίας στην ασφάλεια της επεξεργασίας, στην κοινοποίηση παραβιάσεων δεδομένων και στην εκτέλεση ΕΑΠΔ·
• κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά τη λήξη της παροχής των υπηρεσιών·
• θέτει στη διάθεση του υπευθύνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ·
• επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των ελέγχων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλο εξουσιοδοτημένο, από τον υπεύθυνο επεξεργασίας, ελεγκτή.

Επιπλέον, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας δεδομένων εάν, κατά τη γνώμη του, οι οδηγίες παραβιάζουν τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις για την προστασία των δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Ο ΓΚΠΔ ή ο Γενικός Κανονισμός για την Προστασία Δεδομένων δημιουργεί ένα εναρμονισμένο σύνολο κανόνων που εφαρμόζονται σε κάθε επεξεργασία προσωπικών δεδομένων από οργανισμούς (δημόσιους ή ιδιωτικούς, ανεξάρτητα από το μέγεθός τους) που είναι εγκατεστημένοι στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ή στοχεύουν άτομα στην ΕΕ. Πρωταρχικός στόχος του ΓΚΠΔ είναι να διασφαλίσει ότι τα προσωπικά δεδομένα απολαύουν του ίδιου υψηλού επιπέδου προστασίας οπουδήποτε  στον ΕΟΧ, αυξάνοντας την ασφάλεια δικαίου τόσο για τα φυσικά πρόσωπα όσο και για τους οργανισμούς που επεξεργάζονται δεδομένα και προσφέροντας υψηλό επίπεδο προστασίας στα φυσικά πρόσωπα.

Ο κανονισμός τέθηκε σε ισχύ στις 24 Μαΐου 2016 και εφαρμόζεται από τις 25 Μαΐου 2018.

Η ψευδωνυμοποίηση συνίσταται στη μετατροπή των προσωπικών δεδομένων, ώστε να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο πρόσωπο χωρίς τη χρήση πρόσθετων πληροφοριών, υπό την προϋπόθεση ότι οι εν λόγω πρόσθετες πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για να διασφαλιστεί ότι τα προσωπικά δεδομένα δεν αποδίδονται σε συγκεκριμένο άτομο. Στην πράξη, αυτό μπορεί να σημαίνει την αντικατάσταση προσωπικών δεδομένων (ονοματεπώνυμο, προσωπικός αριθμός, αριθμός τηλεφώνου κ.λπ.) σε ένα σύνολο δεδομένων με έμμεσα αναγνωριστικά δεδομένα (γνωστός και ως αύξων αριθμός κ.λπ.). Τα ψευδωνυμοποιημένα δεδομένα εξακολουθούν να αποτελούν προσωπικά δεδομένα και υπόκεινται στον ΓΚΠΔ.

Τα ανωνυμοποιημένα δεδομένα είναι δεδομένα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε το άτομο να μην είναι πλέον ταυτοποιήσιμο με οποιοδήποτε μέσο που είναι ευλόγως πιθανό να χρησιμοποιηθεί. Όταν η ανωνυμοποίηση εφαρμόζεται σωστά, ο ΓΚΠΔ δεν ισχύει πλέον για τα ανωνυμοποιημένα δεδομένα.

Περισσότερες πληροφορίες:

• Ασφαλή προσωπικά δεδομένα

Ορισμένα είδη προσωπικών δεδομένων ανήκουν σε ειδικές κατηγορίες προσωπικών δεδομένων, πράγμα που σημαίνει ότι προϋποθέτουν μεγαλύτερη  προστασία, τα λεγόμενα ευαίσθητα δεδομένα. Τα ευαίσθητα δεδομένα περιλαμβάνουν δεδομένα που αποκαλύπτουν πληροφορίες σχετικά με:

• την υγεία ενός ατόμου·
• τον σεξουαλικό προσανατολισμό ενός ατόμου·
• τη φυλετική ή εθνοτική καταγωγή ενός ατόμου·
• τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ενός ατόμου· τη συμμετοχή ενός ατόμου σε συνδικαλιστική οργάνωση·
• τα βιομετρικά και γενετικά δεδομένα ενός ατόμου.

Η επεξεργασία ευαίσθητων δεδομένων ενός ατόμου απαγορεύεται γενικά, εκτός από ειδικές περιστάσεις που δικαιολογούν την επεξεργασία τους.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων