Ναι, οι πελάτες σας, όταν πραγματοποιούν τηλεφωνική κλήση, πρέπει να ενημερώνονται για τους σκοπούς της καταγραφής, τους αποδέκτες των καταγραφών, το δικαίωμά τους να εναντιωθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Ο ΓΚΠΔ επιβάλλει υποχρεώσεις σε όλους τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα, ανεξάρτητα από το αν είναι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία.

Ειδικότερα, θα πρέπει:

• Να αναρωτηθείτε εάν ο σκοπός για τον οποίο μπορούν να συλλεχθούν τα προσωπικά δεδομένα είναι δικαιολογημένος και να συλλέξετε μόνο προσωπικά δεδομένα που είναι απαραίτητα για τον(τους) συγκεκριμένο(-ους) σκοπό(-ούς) που προβλέπονται·
• Να διατηρείτε τα προσωπικά δεδομένα των φυσικών προσώπων ακριβή και ενημερωμένα και να διαγράφετε τα δεδομένα όταν δεν είναι πλέον απαραίτητα·
• Να σέβεστε τα δικαιώματα των φυσικών προσώπων, ενημερώνοντάς τα για τον τρόπο και τον λόγο επεξεργασίας των δεδομένων τους και παρέχοντάς τους τη δυνατότητα να ασκούν τα δικαιώματά τους·
• Να διασφαλίζετε ότι διαθέτετε κατάλληλη νομική βάση για την επεξεργασία των προσωπικών δεδομένων. Σε περίπτωση που σκοπεύετε να βασιστείτε στη συγκατάθεση των φυσικών προσώπων, να ζητήσετε τη συγκατάθεσή τους πριν από την επεξεργασία των προσωπικών τους δεδομένων.
• Να διασφαλίζετε ότι ο χειρισμός των προσωπικών δεδομένων των φυσικών προσώπων γίνεται με ασφαλή τρόπο·
• Να τηρείτε αρχείο δραστηριοτήτων  επεξεργασίας.

Οι εκτελούντες την επεξεργασία θα πρέπει να τηρούν τις υποχρεώσεις  που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία και δεν πρέπει να επεξεργάζονται τα δεδομένα με άλλον τρόπο παρά μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ
• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία
• Βασικές αρχές προστασίας δεδομένων

Εάν ο οργανισμός σας συλλέγει τα προσωπικά δεδομένα απευθείας από φυσικά πρόσωπα, πρέπει να παρέχει τις απαραίτητες πληροφορίες κατά τη στιγμή της συλλογής.

Σε περίπτωση έμμεσης συλλογής προσωπικών δεδομένων, ο οργανισμός σας πρέπει να παράσχει τις πληροφορίες το αργότερο εντός ενός μηνός από την αρχική λήψη των προσωπικών δεδομένων. Αυτή η μέγιστη περίοδος ενός μηνός μπορεί να μειωθεί:

• εάν τα προσωπικά δεδομένα χρησιμοποιούνται για τον σκοπό της επικοινωνίας με το υποκείμενο των δεδομένων. Στην περίπτωση αυτή, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων το αργότερο κατά τον χρόνο της πρώτης κοινοποίησης στο υποκείμενο των δεδομένων·
• εάν τα δεδομένα κοινοποιούνται  σε άλλον αποδέκτη, ο οργανισμός ενημερώνει σχετικά τα υποκείμενα των δεδομένων το αργότερο κατά τη κοινοποίηση των προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Τα απαραίτητα μέτρα ασφαλείας μπορεί να διαφέρουν ανάλογα με τη φύση των προσωπικών δεδομένων που επεξεργάζεστε και τους σχετικούς κινδύνους για τα άτομα. Σε κάθε περίπτωση, υπάρχουν ορισμένα ελάχιστα μέτρα που πρέπει να εφαρμόζετε:

• να ασφαλίζετε την πρόσβαση στις εγκαταστάσεις·
• να χρησιμοποιείτε τακτικά ενημερωμένο λογισμικό προστασίας από ιούς·
• να επιλέγετε προσεκτικά τους κωδικούς πρόσβασής σας·
• να υποχρεώνετε τους χρήστες να επαληθεύουν την ταυτότητά τους πριν από τη χρήση των εγκαταστάσεων του υπολογιστή·
• να εφαρμόζετε πολιτική δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων σε περίπτωση συμβάντος.
• Επιπλέον, ορισμένα βασικά μέτρα, όπως το κλείδωμα της οθόνης σας ενώ είστε μακριά και το κλείδωμα του γραφείου στο τέλος της ημέρας δεν είναι ποτέ εκτός τόπου...

Περισσότερες πληροφορίες:

• Ασφαλή προσωπικά δεδομένα

Οι οργανισμοί πρέπει, σε περίπτωση  συλλογής προσωπικών δεδομένων απευθείας  από τα ενδιαφερόμενα άτομα, να παρέχουν πληροφορίες σχετικά με τις πράξεις επεξεργασίας με συνοπτικό και διαφανή τρόπο, χρησιμοποιώντας κατανοητή, εύκολα προσβάσιμη, σαφή και απλή γλώσσα. Αυτό μπορεί να γίνει γραπτώς (π.χ. στην οπίσθια όψη μιας προσφοράς) ή με ηλεκτρονικά μέσα (π.χ. σε ιστότοπο). Εάν το ζητήσει ο ενδιαφερόμενος, μπορείτε επίσης να παράσχετε αυτές τις πληροφορίες προφορικά, αλλά πρέπει να είστε σε θέση να το αποδείξετε στη συνέχεια.

Ακόμη και όταν τα δεδομένα συλλέχθηκαν έμμεσα, δηλαδή εάν δεν συλλέγετε απευθείας τα προσωπικά δεδομένα από ένα άτομο, αλλά για παράδειγμα μέσω τρίτου, θα πρέπει να παράσχετε τις ίδιες λεπτομερείς πληροφορίες στα άτομα.

Η εκτίμηση αντικτύπου  σχετικά με την προστασία των δεδομένων ή ΕΑΠΔ είναι μια γραπτή εκτίμηση που θα πρέπει να ετοιμάσει ο οργανισμός σας για να αξιολογήσει τον αντίκτυπο μιας προγραμματισμένης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων και να καταδείξετε τη συμμόρφωση.

Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των προγραμματισμένων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.

Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:

• την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες·  
• συστηματική και εκτεταμένη αξιολόγηση των προσωπικών πτυχών ενός ατόμου με βάση την αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και επί της οποίας βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σε σχέση με το εν λόγω άτομο ή επηρεάζουν σημαντικά με παρόμοιο τρόπο τα φυσικά πρόσωπα·
• συστηματική παρακολούθηση μιας δημοσίως προσβάσιμης περιοχής σε μεγάλη κλίμακα.

Το ΕΣΠΔ έχει καταρτίσει κατευθυντήριες γραμμές στις οποίες απαριθμούνται τα κριτήρια που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του κατά πόσον μια ΕΑΠΔ είναι υποχρεωτική ή όχι. Οι αρχές προστασίας δεδομένων (ΑΠΔ) έχουν επίσης δημοσιεύσει καταλόγους πράξεων επεξεργασίας που προϋποθέτουν την κατάρτιση  ΕΑΠΔ. Επιπλέον, αρκετές ΑΠΔ έχουν αναπτύξει οδηγούς, λογισμικό ή εργαλεία αυτοαξιολόγησης για να σας βοηθήσουν με την αξιολόγησή σας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Τα άτομα μπορούν να σας ρωτήσουν αν επεξεργάζεστε τα δεδομένα τους και, όπου συμβαίνει αυτό, έχουν δικαίωμα πρόσβασης σε αυτά τα δεδομένα. Έτσι, όταν συμβαίνει αυτό και εάν επεξεργάζεστε τα δεδομένα τους, θα πρέπει, για παράδειγμα, να παράσχετε ένα αντίγραφο των προσωπικών τους δεδομένων, δωρεάν, μαζί με τυχόν απαραίτητες πρόσθετες πληροφορίες. Όταν ένα αίτημα υποβάλλεται ηλεκτρονικά, ο οργανισμός σας θα πρέπει να παρέχει τις απαιτούμενες πληροφορίες σε ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή, εκτός εάν το άτομο ζητήσει κάτι διαφορετικό.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.

• Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα  άτομα, πρέπει να τη γνωστοποιήσετε  στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
• Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.

Περισσότερες πληροφορίες:

• Παραβιάσεις δεδομένων

1. Βεβαιωθείτε ότι τα δεδομένα που λάβατε συλλέχθηκαν νόμιμα και ότι τα ενδιαφερόμενα φυσικά πρόσωπα έχουν ενημερωθεί σχετικά με την επεξεργασία των προσωπικών τους δεδομένων.
2. Σε περίπτωση που τρίτος επεξεργάζεται προσωπικά δεδομένα για λογαριασμό σας, βεβαιωθείτε ότι έχετε συνάψει σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων.

Και φυσικά, να έχετε συμμορφωθεί με όλες τις υποχρεώσεις των υπευθύνων επεξεργασίας.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δεδομένων