• Κατευθυντήριες γραμμές 9/2022 σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του ΓΚΠΔ

    4 April 2023
    Publication Type:

  • Κατευθυντήριες γραμμές 3/2021 σχετικά με την εφαρμογή του άρθρου 65 παράγραφος 1 στοιχείο α) του ΓΚΠΔ

    24 May 2023
    Publication Type:

  • Γνώμη 4/2024 σχετικά με την έννοια της κύριας εγκατάστασης υπευθύνου επεξεργασίας κατά το άρθρο 4 σημείο 16) στοιχείο α) του ΓΚΠΔ

    13 February 2024
    Publication Type:

  • ΕΣΠΔ Στρατηγική 2024-2027

    18 April 2024
    Publication Type:

    • Ποιος είναι ο υπεύθυνος επεξεργασίας και ποιος είναι ο εκτελών την επεξεργασία; 
    Ο ΓΚΠΔ κάνει διάκριση μεταξύ δύο κύριων ρόλων: του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία. Η διάκριση αυτή είναι ζωτικής σημασίας, δεδομένου ότι ο υπεύθυνος επεξεργασίας φέρει μεγαλύτερη ευθύνη και υπόκειται σε περισσότερες υποχρεώσεις από ό,τι ο εκτελών την επεξεργασία.

    Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία μπορούν να είναι φυσικά ή νομικά πρόσωπα, για παράδειγμα: ΜΜΕ, δημόσια αρχή, εταιρεία, οργανισμός, κρατικός φορέας, ένωση κ.λπ.

    Ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα μιας πράξης επεξεργασίας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας αποφασίζει τον σκοπό και τον τρόπο μιας πράξης επεξεργασίας, ενώ οι εκτελούντες την επεξεργασία επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας. Η επεξεργασία που διενεργείται από τους εκτελούντες την επεξεργασία πρέπει να ρυθμίζεται από σύμβαση με τον υπεύθυνο επεξεργασίας ή άλλη νομική πράξη.

    Παραδείγματα υπευθύνων επεξεργασίας:

    • εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των πελατών τους για να ολοκληρώσουν μια πώληση·
    • χρηματοπιστωτικά ιδρύματα που επεξεργάζονται προσωπικά δεδομένα των πελατών τους·
    • ενώσεις που επεξεργάζονται τα δεδομένα των μελών τους·
    • σχολεία ή πανεπιστήμια που επεξεργάζονται προσωπικά δεδομένα σπουδαστών και εκπαιδευτικών·
    • νοσοκομεία που επεξεργάζονται προσωπικά δεδομένα των ασθενών τους·
    • κυβερνητικές υπηρεσίες που επεξεργάζονται προσωπικά δεδομένα πολιτών.

     

    Παραδείγματα εκτελούντων την επεξεργασία:

    • μια ΜΜΕ προσλαμβάνει υπηρεσία τήρησης λογιστικών βιβλίων για να τηρεί τα βιβλία και τα αρχεία της, η ΜΜΕ είναι υπεύθυνος επεξεργασίας και η υπηρεσία τήρησης λογιστικών βιβλίων είναι εκτελών την επεξεργασία·
    • μια εταιρεία μισθοδοσίας επεξεργάζεται προσωπικά δεδομένα για μια ΜΜΕ. Η εταιρεία μισθοδοσίας θα ενεργεί ως εκτελών την επεξεργασία εάν επεξεργάζεται αποκλειστικά τα προσωπικά δεδομένα για λογαριασμό της ΜΜΕ. Η ΜΜΕ καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων και, ως εκ τούτου, είναι υπεύθυνος επεξεργασίας.
    • μια ΜΜΕ αναθέτει σε μια εταιρεία μάρκετινγκ να συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου μέσω ιστότοπων τρίτων.  Η εταιρεία μάρκετινγκ το πράττει αυτό σύμφωνα με τις ρητές οδηγίες της ΜΜΕ και για τους αποκλειστικούς σκοπούς της ΜΜΕ. Η εταιρεία μάρκετινγκ ενεργεί ως εκτελών την επεξεργασία αυτής της συλλογής προσωπικών δεδομένων.

     

    Περισσότερες πληροφορίες:

    Βρήκες την απάντησή σου;

    Ο ΥΠΔ μπορεί να είναι υφιστάμενος υπάλληλος με επαρκή γνώση του ΓΚΠΔ (εάν τα επαγγελματικά καθήκοντα του εργαζομένου είναι συμβατά με εκείνα του ΥΠΔ και αυτό δεν οδηγεί σε συγκρούσεις συμφερόντων) ή εξωτερικό πρόσωπο. Ο ΥΠΔ θα πρέπει να είναι σε θέση να εκτελεί καθήκοντα ανεξάρτητα και θα πρέπει να είναι σε θέση να λογοδοτεί  απευθείας στην ανώτατη διοίκηση.

     

    Περισσότερες πληροφορίες:

    Για το ίδιο θέμα:
    Βρήκες την απάντησή σου;

    Εάν ο οργανισμός σας συλλέγει τα προσωπικά δεδομένα απευθείας από φυσικά πρόσωπα, πρέπει να παρέχει τις απαραίτητες πληροφορίες κατά τη στιγμή της συλλογής.

    Σε περίπτωση έμμεσης συλλογής προσωπικών δεδομένων, ο οργανισμός σας πρέπει να παράσχει τις πληροφορίες το αργότερο εντός ενός μηνός από την αρχική λήψη των προσωπικών δεδομένων. Αυτή η μέγιστη περίοδος ενός μηνός μπορεί να μειωθεί:

    • εάν τα προσωπικά δεδομένα χρησιμοποιούνται για τον σκοπό της επικοινωνίας με το υποκείμενο των δεδομένων. Στην περίπτωση αυτή, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων το αργότερο κατά τον χρόνο της πρώτης κοινοποίησης στο υποκείμενο των δεδομένων·
    • εάν τα δεδομένα κοινοποιούνται  σε άλλον αποδέκτη, ο οργανισμός ενημερώνει σχετικά τα υποκείμενα των δεδομένων το αργότερο κατά τη κοινοποίηση των προσωπικών δεδομένων.

     

    Περισσότερες πληροφορίες:

    Για το ίδιο θέμα:
    Βρήκες την απάντησή σου;

    Τα άτομα μπορούν να σας ρωτήσουν αν επεξεργάζεστε τα δεδομένα τους και, όπου συμβαίνει αυτό, έχουν δικαίωμα πρόσβασης σε αυτά τα δεδομένα. Έτσι, όταν συμβαίνει αυτό και εάν επεξεργάζεστε τα δεδομένα τους, θα πρέπει, για παράδειγμα, να παράσχετε ένα αντίγραφο των προσωπικών τους δεδομένων, δωρεάν, μαζί με τυχόν απαραίτητες πρόσθετες πληροφορίες. Όταν ένα αίτημα υποβάλλεται ηλεκτρονικά, ο οργανισμός σας θα πρέπει να παρέχει τις απαιτούμενες πληροφορίες σε ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή, εκτός εάν το άτομο ζητήσει κάτι διαφορετικό.

     

    Περισσότερες πληροφορίες:

    Για το ίδιο θέμα:
    Βρήκες την απάντησή σου;

    Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.

    • Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα  άτομα, πρέπει να τη γνωστοποιήσετε  στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
    • Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

    Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.

     

    Περισσότερες πληροφορίες:

    Βρήκες την απάντησή σου;
    Subscribe to