Ο ΓΚΠΔ εφαρμόζεται όσον αφορά τη χρήση cookies όταν αυτά χρησιμοποιούνται για την επεξεργασία προσωπικών δεδομένων, αλλά υπάρχουν επίσης πιο συγκεκριμένοι κανόνες για τα cookies, συμπεριλαμβανομένης της  οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Η αποθήκευση ενός cookie, ή η απόκτηση πρόσβασης σε ένα cookie που έχει ήδη αποθηκευτεί, στον τερματικό εξοπλισμό ενός χρήστη επιτρέπεται μόνο υπό την προϋπόθεση ότι ο ενδιαφερόμενος συνδρομητής ή χρήστης έχει ενημερωθεί επαρκώς (ιδίως για τους σκοπούς της επεξεργασίας) και έχει δώσει τη συγκατάθεσή του.

Η μόνη εξαίρεση είναι τα τεχνικά απαραίτητα cookies. Οι οργανισμοί δεν χρειάζεται να ζητούν συγκατάθεση όταν χρησιμοποιούν τεχνικά απαραίτητα cookies στους ιστότοπούς τους.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Σε γενικές γραμμές, κάθε οργανισμός θα πρέπει να τηρεί αρχείο δραστηριοτήτων επεξεργασίας. Αυτός είναι ένας κατάλογος όλων των εργασιών επεξεργασίας και μπορεί να σας βοηθήσει να κάνετε σωστές εκτιμήσεις σχετικά με τις ευθύνες σας βάσει του ΓΚΠΔ και τους πιθανούς κινδύνους.

Κάθε μία από αυτές τις εργασίες επεξεργασίας πρέπει να περιγράφεται στο αρχείο με τις ακόλουθες πληροφορίες:

• τον σκοπό της επεξεργασίας (π.χ. αφοσίωση πελατών)·
• τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ.)·
• ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες — π.χ.: το τμήμα που είναι αρμόδιο για τις προσλήψεις, η υπηρεσία ΤΠ, η διοίκηση, οι πάροχοι υπηρεσιών, οι εταίροι...)·
• κατά περίπτωση, πληροφορίες σχετικά με διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ),
• όπου είναι δυνατόν, η περίοδος αποθήκευσης (η περίοδος για την οποία τα δεδομένα είναι χρήσιμα από επιχειρησιακή άποψη και από άποψη αρχειοθέτησης).
• όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.

Το αρχείο των δραστηριοτήτων επεξεργασίας εμπίπτει στην ευθύνη του διευθυντή του οργανισμού σας.

Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία δραστηριοποιείστε, εφόσον σας ζητηθεί.

Δεν απαιτείται από τους οργανισμούς που απασχολούν λιγότερα από 250 άτομα να αναφέρουν στο αρχείο τους καθαρά περιστασιακές δραστηριότητες (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες δραστηριότητες όπως το άνοιγμα καταστήματος).

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Σύμφωνα με τον ΓΚΠΔ, υπάρχουν, κατ’ αρχήν, δύο βασικοί τρόποι διαβίβασης προσωπικών δεδομένων σε χώρα εκτός ΕΟΧ ή διεθνή οργανισμό. Οι διαβιβάσεις μπορούν να πραγματοποιούνται βάσει απόφασης επάρκειας ή, ελλείψει τέτοιας απόφασης, βάσει κατάλληλων εγγυήσεων, συμπεριλαμβανομένων εκτελεστών δικαιωμάτων και ένδικων μέσων για φυσικά πρόσωπα.

Περισσότερες πληροφορίες:

• Διεθνείς διαβιβάσεις

Ναι, μπορείτε, αλλά ο ΓΚΠΔ επιβάλλει ορισμένες υποχρεώσεις στις επιχειρήσεις που μοιράζονται προσωπικά δεδομένα. Ο οργανισμός σας πρέπει να ενημερώσει τα άτομα ότι θα κοινοποιήσετε τα δεδομένα τους σε τρίτους. Πρέπει επίσης να τους ενημερώσετε για τους σκοπούς, την ασφάλεια, την πρόσβαση και τα μέτρα διατήρησης που θα ισχύουν.

Το πρώτο βήμα για την εγκατάσταση CCTV είναι ο προσδιορισμός του σκοπού ή των σκοπών για αυτό. Οι σκοποί εγκατάστασης CCTV μπορούν να ποικίλουν: ασφάλεια των εγκαταστάσεων, συνδρομή στην πρόληψη και τον εντοπισμό κλοπών και άλλων εγκλημάτων ή προστασία της ζωής και της υγείας των εργαζομένων, λόγω της φύσης της εργασίας.

Όπως συμβαίνει με κάθε επεξεργασία προσωπικών δεδομένων, η καταγραφή των φυσικών προσώπων πρέπει να έχει νομική βάση σύμφωνα με τον ΓΚΠΔ. Η συγκατάθεση μπορεί να αποτελεί νομική βάση για την εν λόγω επεξεργασία δεδομένων. Ωστόσο, αυτό είναι απίθανο να ισχύει για τη χρήση CCTV στις περισσότερες περιπτώσεις, καθώς θα είναι δύσκολο να εξασφαλιστεί  η ελεύθερη συγκατάθεση όλων των ατόμων που είναι πιθανό να καταγράφονται. Η συνηθέστερη νομική βάση για τέτοιου είδους επεξεργασία προσωπικών δεδομένων είναι το έννομο συμφέρον. Όταν η επεξεργασία βασίζεται στο έννομο συμφέρον, θα πρέπει να διεξάγετε στάθμιση προκειμένου να προσδιορίσετε αν τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων του ατόμου.

Θα πρέπει να ενημερώσετε τα άτομα ότι καταγράφονται. Αυτό μπορεί να γίνει με την τοποθέτηση ευανάγνωστων πινακίδων σε περίοπτη θέση. Επιπλέον, σε όλες τις εισόδους θα πρέπει να τοποθετείται πινακίδα με ένδειξη του σκοπού του συστήματος CCTV και της ταυτότητας και των στοιχείων επικοινωνίας του υπευθύνου επεξεργασίας των δεδομένων.

Τα άτομα που καταγράφονται από σύστημα CCTV θα πρέπει να ενημερώνονται ως προς τα ακόλουθα:

• την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας δεδομένων·
• τους σκοπούς της επεξεργασίας·
• τη νομική βάση της επεξεργασίας (εάν είναι το έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με το ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποια οντότητα επιδιώκει κάθε έννομο συμφέρον).
• τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, ΥΠΔ (εάν υπάρχει ΥΠΔ)·
• τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων·
• τις ρυθμίσεις ασφαλείας για τα πλάνα του συστήματος CCTV·
• την περίοδο διατήρησης του βίντεο από CCTV·
• την ύπαρξη δικαιωμάτων των φυσικών προσώπων βάσει του ΓΚΠΔ και το δικαίωμα υποβολής καταγγελίας στην εθνική αρχή προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων
• Σεβασμός των δικαιωμάτων των ατόμων

Ναι, οι πελάτες σας, όταν πραγματοποιούν τηλεφωνική κλήση, πρέπει να ενημερώνονται για τους σκοπούς της καταγραφής, τους αποδέκτες των καταγραφών, το δικαίωμά τους να εναντιωθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η δημοσίευση των ονομάτων των νικητών ενός διαγωνισμού στον ιστότοπό σας θα μπορούσε να θεωρηθεί έννομο συμφέρον, εάν μπορείτε να το τεκμηριώσετε  με τη διενέργεια στάθμισης προκειμένου να προσδιορίσετε κατά πόσον τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων.

Μια καλή πρακτική θα ήταν να θεσπιστεί μια εσωτερική διαδικασία στην οποία θα επεξηγούνται οι κανόνες σχετικά με τη δημοσίευση των προσωπικών δεδομένων των νικητών.

Επιπλέον, η επεξεργασία προσωπικών δεδομένων για τους σκοπούς αυτούς θα πρέπει να αποτελεί μέρος της πολιτικής απορρήτου του διαγωνισμού, έτσι ώστε οι συμμετέχοντες να ενημερώνονται εκ των προτέρων για τον τρόπο επεξεργασίας των δεδομένων τους.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η επεξεργασία προσωπικών δεδομένων επιτρέπεται εφόσον υπάρχει νομική βάση γι’ αυτό. Εκτός από την ελεύθερη, συγκεκριμένη, εν πλήρη επιγνώσει και αδιαμφισβήτητη συγκατάθεση, μπορούν να χρησιμοποιηθούν και άλλες νομικές βάσεις για την επεξεργασία.

Με άλλα λόγια, η συγκατάθεση είναι απαραίτητη όταν δεν ισχύει καμία από τις άλλες νομικές βάσεις.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

1. Βεβαιωθείτε ότι τα δεδομένα που λάβατε συλλέχθηκαν νόμιμα και ότι τα ενδιαφερόμενα φυσικά πρόσωπα έχουν ενημερωθεί σχετικά με την επεξεργασία των προσωπικών τους δεδομένων.
2. Σε περίπτωση που τρίτος επεξεργάζεται προσωπικά δεδομένα για λογαριασμό σας, βεβαιωθείτε ότι έχετε συνάψει σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων.

Και φυσικά, να έχετε συμμορφωθεί με όλες τις υποχρεώσεις των υπευθύνων επεξεργασίας.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δεδομένων