GDPR κανόνες προσωπικών δεδομένων
|
Ειδικές κατηγορίες δεδομένωνΔεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων σχετικά με τα εξής χαρακτηριστικά ενός προσώπου:
|
Ποιος παρακολουθεί μέσα στην επιχείρηση τον τρόπο επεξεργασίας των προσωπικών δεδομένων;
Ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) που μπορεί να έχει οριστεί από την επιχείρηση, είναι αρμόδιος να παρακολουθεί την επεξεργασία των προσωπικών δεδομένων, καθώς και να ενημερώνει και να συμβουλεύει τους υπαλλήλους επεξεργασίας των προσωπικών δεδομένων σχετικά με τις υποχρεώσεις τους. Ο ΥΠΔ συνεργάζεται επίσης με την Αρχή Προστασίας Δεδομένων (ΑΠΔ), λειτουργώντας ως σημείο επαφής μεταξύ της ΑΠΔ και μεμονωμένων ατόμων.
Πότε πρέπει να ορίζετε έναν υπεύθυνο προστασίας δεδομένων;Οφείλετε να ορίσετε έναν ΥΠΔ εάν η επιχείρησή σας:
Ο ΥΠΔ μπορεί να προέρχεται από το προσωπικό του οργανισμού σας ή να είναι εξωτερικός συνεργάτης βάσει σύμβασης παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι μεμονωμένο άτομο ή μέρος οργανισμού. Επεξεργασία δεδομένων για άλλη επιχείρησηΟ υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναθέσει την επεξεργασία δεδομένων μόνο σε άτομο που παρέχει επαρκείς εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνονται σε γραπτή σύμβαση μεταξύ των ενδιαφερόμενων μερών. Η σύμβαση αυτή πρέπει επίσης να περιέχει ορισμένες υποχρεωτικές ρήτρες, π.χ., ότι ο εκτελών την επεξεργασία θα επεξεργάζεται προσωπικά δεδομένα μόνον όταν του δίδεται σχετική εντολή από τον υπεύθυνο επεξεργασίας δεδομένων. Μεταφορά δεδομένων εκτός της ΕΕΌταν προσωπικά δεδομένα μεταφέρονται εκτός της ΕΕ, η προστασία που παρέχει ο ΓΚΠΔ εξακολουθεί να ισχύει για τα εν λόγω δεδομένα. Αυτό σημαίνει ότι αν εξάγετε δεδομένα στο εξωτερικό, η επιχείρησή σας πρέπει να διασφαλίζει ότι τηρείται ένα από τα παρακάτω μέτρα:
Όταν έχει δοθεί συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, μπορείτε να επεξεργαστείτε τα δεδομένα μόνο για τους σκοπούς για τους οποίους δόθηκε η συγκατάθεση. Πρέπει επίσης να δίνετε στο υποκείμενο των δεδομένων τη δυνατότητα να αποσύρει τη συγκατάθεσή του. Παροχή διαφανών πληροφοριώνΠρέπει να παρέχετε στα υποκείμενα των δεδομένων σαφείς πληροφορίες σχετικά με το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα και γιατί. Οφείλετε να παρέχετε τουλάχιστον τις παρακάτω πληροφορίες:
Ειδικοί κανόνες για τα παιδιάΑν συλλέγετε προσωπικά δεδομένα από παιδί βάσει συγκατάθεσης, για παράδειγμα από λογαριασμό μέσων κοινωνικής δικτύωσης ή λογαριασμό τηλεφόρτωσης, οφείλετε να λάβετε πρώτα γονική συγκατάθεση, π.χ. στέλνοντας ειδοποίηση στον γονέα ή στον κηδεμόνα του παιδιού. Η ηλικία μέχρι την οποία ένα πρόσωπο θεωρείται παιδί διαφέρει ανάλογα με τη χώρα κατοικίας, αλλά συνήθως είναι μεταξύ 13 και 16 ετών. Δικαίωμα πρόσβασης και δικαίωμα φορητότητας των δεδομένωνΠρέπει να διασφαλίζετε ότι τα υποκείμενα των δεδομένων έχουν το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα, δωρεάν. Αν λάβετε σχετικό αίτημα, οφείλετε:
Δικαίωμα διόρθωσης και δικαίωμα προβολής αντιρρήσεωνΑν ένα υποκείμενο δεδομένων πιστεύει ότι τα προσωπικά του δεδομένα είναι εσφαλμένα, ελλιπή ή ανακριβή, έχει το δικαίωμα να ζητήσει τη διόρθωση ή τη συμπλήρωσή τους χωρίς καμία καθυστέρηση. Στην περίπτωση αυτή, οφείλετε να ενημερώσετε όλους τους παραλήπτες των προσωπικών δεδομένων ότι κάποια από τα προσωπικά δεδομένα που τους κοινοποιήσατε έχουν μεταβληθεί ή διαγραφεί. Αν διαβιβάσατε εσφαλμένα προσωπικά δεδομένα, οφείλετε, ενδεχομένως, να ενημερώσετε σχετικά οποιονδήποτε τα είδε (εκτός αν αυτό προϋποθέτει δυσανάλογες προσπάθειες). Το υποκείμενο των δεδομένων μπορεί επίσης να αντιταχθεί - ανά πάσα στιγμή - στην επεξεργασία των προσωπικών του δεδομένων για μια συγκεκριμένη χρήση, όταν η επιχείρησή σας τα επεξεργάζεται βάσει του νόμιμου συμφέροντός της, ή για λόγους δημοσίου συμφέροντος. Στην περίπτωση αυτή οφείλετε να διακόψετε την επεξεργασία των προσωπικών δεδομένων, εκτός αν έχετε νόμιμο συμφέρον που υπερισχύει των συμφερόντων του υποκειμένου των δεδομένων. Ομοίως, το υποκείμενο των δεδομένων μπορεί να ζητήσει την περιορισμένη επεξεργασία των προσωπικών του δεδομένων εφόσον έχει οριστεί κατά πόσον το νόμιμο συμφέρον σας υπερισχύει των δικών του συμφερόντων. Ωστόσο, σε περίπτωση άμεσης εμπορικής προώθησης, υποχρεούστε πάντα να διακόψετε την επεξεργασία των προσωπικών δεδομένων εφόσον το ζητήσει το υποκείμενο των δεδομένων. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)Σε ορισμένες περιπτώσεις, το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας να διαγράψει τα προσωπικά του δεδομένα, π.χ. όταν τα δεδομένα αυτά δεν χρειάζονται πλέον για την επίτευξη του σκοπού της επεξεργασίας. Ωστόσο, η επιχείρησή σας δεν υποχρεούται να πράξει κάτι τέτοιο, εφόσον:
Παραβιάσεις δεδομένων - παροχή κατάλληλης ειδοποίησηςΠαραβίαση δεδομένων έχουμε όταν τα προσωπικά δεδομένα για τα οποία είστε υπεύθυνος δημοσιοποιούνται, κατά τύχη ή παράνομα, σε μη εξουσιοδοτημένους παραλήπτες, καθίστανται προσωρινά μη διαθέσιμα ή αλλοιώνονται. Αν συμβεί όντως παραβίαση δεδομένων και η παραβίαση θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, οφείλετε να ειδοποιήσετε την Αρχή Προστασίας Δεδομένων εντός 72 ωρών αφότου αντιληφθείτε την παραβίαση. Ανάλογα με το κατά πόσο η παραβίαση των δεδομένων δημιουργεί υψηλό κίνδυνο για τους θιγομένους, μπορεί να ζητηθεί από την επιχείρησή σας να τους ενημερώσει. Διεκπεραίωση αιτήσεωνΑν η επιχείρησή σας λάβει αίτηση από υποκείμενο δεδομένων που επιθυμεί να ασκήσει τα δικαιώματά του, οφείλετε να απαντήσετε χωρίς καθυστέρηση και οπωσδήποτε εντός 1 μηνός από τη λήψη της αίτησης. Ο χρόνος της απάντησής σας μπορεί να παραταθεί κατά 2 μήνες για πολύπλοκα ή πολλαπλά αιτήματα, εφόσον το υποκείμενο των δεδομένων ενημερωθεί για την παράταση. Η διεκπεραίωση των αιτήσεων γίνεται δωρεάν. Αν μία αίτηση απορριφθεί, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων για τους λόγους της απόρριψης καθώς και για το δικαίωμά του να υποβάλει καταγγελία στην Αρχή Προστασίας Δεδομένων. Εκτίμηση επιπτώσεωνΗ διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία δεδομένων (DPIA) είναι υποχρεωτική όταν η επικείμενη επεξεργασία θέτει σε μεγάλο κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, π.χ. κατά τη χρήση νέων τεχνολογιών. Τέτοιος μεγάλος κίνδυνος προκύπτει όταν:
Αν τα μέτρα που ορίζονται στην DPIA αδυνατούν να εξαλείψουν όλους τους εντοπισμένους υψηλούς κινδύνους, πρέπει να ζητηθεί η γνώμη της Αρχής Προστασίας Δεδομένων προτού πραγματοποιηθεί η σχεδιαζόμενη επεξεργασία δεδομένων. Τήρηση αρχείωνΠρέπει να μπορείτε να αποδείξετε ότι η επιχείρησή σας ενεργεί σύμφωνα με τον ΓΚΠΔ και πληροί όλες τις υποχρεώσεις της - κυρίως μετά από σχετικό αίτημα ή στο πλαίσιο επιθεώρησης από την Αρχή Προστασίας Δεδομένων. Ένας τρόπος για να γίνει αυτό είναι να τηρείτε λεπτομερή αρχεία στοιχείων, όπως:
Αν η επιχείρησή σας είναι ΜΜΕen ή μικρότερη, δεν χρειάζεται να τηρείτε αρχεία για τις δραστηριότητες επεξεργασίας που πραγματοποιείτε, εφόσον αυτές:
Προστασία δεδομένων εξ ορισμού σημαίνει ότι η επιχείρησή σας πρέπει πάντα να επιλέγει τις πλέον ευνοϊκές για την προστασία της ιδιωτικής ζωής ρυθμίσεις ως προεπιλεγμένες ρυθμίσεις. Για παράδειγμα, αν είναι δυνατές δύο ρυθμίσεις σχετικά με την προστασία της ιδιωτικής ζωής και μία από τις ρυθμίσεις εμποδίζει την πρόσβαση τρίτων σε προσωπικά δεδομένα, αυτή η ρύθμιση θα πρέπει να χρησιμοποιείται ως προεπιλεγμένη ρύθμιση. Παραβίαση των κανόνων και ποινέςΗ μη τήρηση των κανόνων του ΓΚΠΔ μπορεί να οδηγήσει σε σημαντικά πρόστιμα που μπορούν να φθάσουν μέχρι τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού κύκλου εργασιών της επιχείρησης για ορισμένες παραβάσεις. Η Αρχή Προστασίας Δεδομένων μπορεί επίσης να επιβάλει συμπληρωματικά διορθωτικά μέτρα, π.χ., να σας διατάξει να διακόψετε την επεξεργασία προσωπικών δεδομένων. |