Συχνές ερωτήσεις
Μπορώ να διαβιβάσω προσωπικά δεδομένα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ);
Σύμφωνα με τον ΓΚΠΔ, υπάρχουν, κατ’ αρχήν, δύο βασικοί τρόποι διαβίβασης προσωπικών δεδομένων σε χώρα εκτός ΕΟΧ ή διεθνή οργανισμό. Οι διαβιβάσεις μπορούν να πραγματοποιούνται βάσει απόφασης επάρκειας ή, ελλείψει τέτοιας απόφασης, βάσει κατάλληλων εγγυήσεων, συμπεριλαμβανομένων εκτελεστών δικαιωμάτων και ένδικων μέσων για φυσικά πρόσωπα.
Περισσότερες πληροφορίες:
Ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία;
Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.
Περισσότερες πληροφορίες:
Ο οργανισμός μου πρέπει να συμμορφώνεται με τον ΓΚΠΔ;
Κάθε οργανισμός, ανεξάρτητα από το μέγεθος ή τον τομέα του, που είναι εγκατεστημένος στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ή προσφέρει προϊόντα ή υπηρεσίες σε άτομα στον ΕΟΧ, και επεξεργάζεται προσωπικά δεδομένα, είτε με αυτοματοποιημένα μέσα είτε όχι, πρέπει να συμμορφώνεται με τον ΓΚΠΔ. Ακόμη και αν ο ΓΚΠΔ αφορά κυρίως την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, οι πράξεις επεξεργασίας που εκτελούνται με χειροκίνητη επεξεργασία θα υπόκεινται επίσης στον ΓΚΠΔ από τη στιγμή που τα έντυπα αρχεία οργανώνονται με συστηματικό τρόπο, π.χ. με αλφαβητική σειρά σε φοριαμό αρχειοθέτησης.
Παραδείγματα πράξεων επεξεργασίας περιλαμβάνουν τη συλλογή, την καταγραφή, την οργάνωση, τη χρήση, την τροποποίηση, την αποθήκευση, την αποκάλυψη, την τροποποίηση και τη διαγραφή των προσωπικών δεδομένων των φυσικών προσώπων.
Ωστόσο, η εφαρμογή του ΓΚΠΔ διαφοροποιείται ανάλογα με τη φύση, το πλαίσιο, τους σκοπούς και τους κινδύνους των πράξεων επεξεργασίας που εκτελούνται. Για τις ΜΜΕ των οποίων η κύρια δραστηριότητα δεν είναι η επεξεργασία προσωπικών δεδομένων, οι υποχρεώσεις μπορεί να είναι λιγότερο αυστηρές από ό,τι για μια μεγάλη εταιρεία.
Περισσότερες πληροφορίες:
Οι εκτελούντες την επεξεργασία πρέπει επίσης να συμμορφώνονται με τον ΓΚΠΔ;
Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.
Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.
Περισσότερες πληροφορίες:
Ποια είναι τα καθήκοντα του υπευθύνου προστασίας δεδομένων (ΥΠΔ);
Τα καθήκοντα του ΥΠΔ περιλαμβάνουν, μεταξύ άλλων, τα εξής:
- να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τη συμμόρφωση με την προστασία των δεδομένων·
- να παρακολουθεί τη συμμόρφωση με την προστασία των δεδομένων·
- να παρέχει συμβουλές σχετικά με αιτήματα που αφορούν στην εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ)·
- να ενεργεί ως σημείο επαφής για την αρχή προστασίας δεδομένων (ΑΠΔ) και να συνεργάζεται με την εν λόγω ΑΠΔ·
- να ενεργεί ως σημείο επαφής για τα άτομα.
Επιπλέον, η παρουσία του ΥΠΔ συνιστάται γενικά όταν λαμβάνονται αποφάσεις με επιπτώσεις στην προστασία των δεδομένων. Θα πρέπει επίσης να ζητείται η γνώμη του ΥΠΔ αμέσως μόλις συμβεί παραβίαση δεδομένων ή άλλο περιστατικό.
Περισσότερες πληροφορίες:
Ποιες είναι οι νομικές βάσεις για την επεξεργασία στο πλαίσιο του ΓΚΠΔ;
Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται προσωπικά δεδομένα μόνο σε μία από τις ακόλουθες περιπτώσεις:
- με τη συγκατάθεση των ατόμων·
- όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης (σύμβαση μεταξύ του οργανισμού σας και ενός ατόμου)·
- για την εκπλήρωση νομικής υποχρέωσης δυνάμει ενωσιακής ή εθνικής νομοθεσίας·
- όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον δυνάμει ενωσιακής ή εθνικής νομοθεσίας·
- για την προστασία των ζωτικών συμφερόντων ενός ατόμου·
για τα έννομα συμφέροντα του οργανισμού σας — εκτός εάν υπερισχύουν τα δικαιώματα και οι ελευθερίες των ατόμων.
Επιπλέον, ο ΓΚΠΔ θεσπίζει πρόσθετες προϋποθέσεις για την επεξεργασία ευαίσθητων δεδομένων.
Περισσότερες πληροφορίες:
Πρέπει να ορίσω υπεύθυνο προστασίας δεδομένων (ΥΠΔ);
Ο ορισμός υπευθύνου προστασίας δεδομένων είναι υποχρεωτικός στις ακόλουθες τρεις περιπτώσεις:
- ο οργανισμός είναι δημόσια αρχή·
- οι κύριες δραστηριότητες του οργανισμού συνίστανται στην τακτική και συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα, για παράδειγμα γεωγραφικός εντοπισμός μέσω κινητής εφαρμογής ή επιτήρηση εμπορικών κέντρων και δημόσιων χώρων μέσω συστήματος CCTV ·
- οι κύριες δραστηριότητες του οργανισμού συνίστανται στην μεγάλης κλίμακας επεξεργασία ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα.
Μπορείτε πάντα να ορίσετε έναν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, ακόμη και αν αυτό δεν απαιτείται από τον νόμο. Λάβετε υπόψη ότι σε αυτή την περίπτωση, πρέπει να συμμορφώνεστε με όλες τις διατάξεις του ΓΚΠΔ σχετικά με τα καθήκοντα και τη θέση του υπευθύνου προστασίας δεδομένων.
Περισσότερες πληροφορίες:
Τι είναι τα cookies;
Τα cookies είναι μικρά αρχεία που αποθηκεύονται σε μια συσκευή, όπως ένας υπολογιστής, μια κινητή συσκευή ή οποιαδήποτε άλλη συσκευή που μπορεί να αποθηκεύσει πληροφορίες. Τα cookies εξυπηρετούν μια σειρά από σημαντικές λειτουργίες, όπως να απομνημονεύουν τους χρήστες και τις προηγούμενες αλληλεπιδράσεις τους με έναν ιστότοπο. Μπορούν να χρησιμοποιηθούν για την παρακολούθηση των προϊόντων σε ένα ηλεκτρονικό καλάθι αγορών ή για την παρακολούθηση των πληροφοριών όταν εισάγονται στοιχεία σε μια ηλεκτρονική φόρμα αίτησης.
Τα cookies ελέγχου ταυτότητας είναι επίσης σημαντικά για την ταυτοποίηση των χρηστών όταν συνδέονται σε τραπεζικές υπηρεσίες και άλλες διαδικτυακές υπηρεσίες. Οι πληροφορίες που αποθηκεύονται στα cookies μπορούν να περιλαμβάνουν προσωπικά δεδομένα, όπως μια διεύθυνση IP, ένα όνομα χρήστη, ένα μοναδικό αναγνωριστικό ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου.
Τι μπορώ να κάνω σε περίπτωση που ο εκτελών την επεξεργασία δεν επιθυμεί να υπογράψει σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία;
Μια έγκυρη σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία είναι υποχρεωτική βάσει του ΓΚΠΔ. Για μια παράβαση μπορεί να επιβληθεί διοικητικό πρόστιμο έως 10 εκατ. ευρώ ή έως 2% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.
Για να σας καθοδηγήσουν κατά τη σύναψη συμφωνίας υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η δανική και σλοβενική αρχή προστασίας δεδομένων, καθώς και η Ευρωπαϊκή Επιτροπή, έχουν καταρτίσει πρότυπες συμφωνίες.
Περισσότερες πληροφορίες:
Τι πρέπει να περιλαμβάνεται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία;
Η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να ορίζει ότι ο εκτελών την επεξεργασία:
- επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ·
- διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα έχουν δεσμευθεί να τηρούν την εμπιστευτικότητα ή ότι υπόκεινται σε κατάλληλη εκ του νόμου υποχρέωση εμπιστευτικότητας·
- διασφαλίζει την ασφάλεια της επεξεργασίας·
- δεν αναθέτει σε άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας·
- επικουρεί τον υπεύθυνο επεξεργασίας στην εκπλήρωση των υποχρεώσεών του να ανταποκρίνεται στα αιτήματα των ατόμων για την άσκηση των δικαιωμάτων τους·
- επικουρεί τον υπεύθυνο επεξεργασίας στην ασφάλεια της επεξεργασίας, στην κοινοποίηση παραβιάσεων δεδομένων και στην εκτέλεση ΕΑΠΔ·
- κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά τη λήξη της παροχής των υπηρεσιών·
- θέτει στη διάθεση του υπευθύνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ·
- επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των ελέγχων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλο εξουσιοδοτημένο, από τον υπεύθυνο επεξεργασίας, ελεγκτή.
Επιπλέον, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας δεδομένων εάν, κατά τη γνώμη του, οι οδηγίες παραβιάζουν τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις για την προστασία των δεδομένων.
Περισσότερες πληροφορίες: