Όχι, η επεξεργασία ευαίσθητων δεδομένων απαγορεύεται γενικά, εκτός από πολύ συγκεκριμένες περιπτώσεις:

• Το άτομο έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των ευαίσθητων δεδομένων του.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει τις υποχρεώσεις του, ιδίως στο πλαίσιο της απασχόλησης, της κοινωνικής ασφάλισης και της κοινωνικής προστασίας. Για παράδειγμα, ο υπεύθυνος επεξεργασίας ενδέχεται να χρειαστεί να επεξεργαστεί τα ευαίσθητα δεδομένα ενός προσώπου προκειμένου να είναι σε θέση να καθορίσει εάν δικαιούται ορισμένες παροχές κοινωνικής ασφάλισης ή επιδόματα απασχόλησης.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων ενός προσώπου όταν είναι ανίκανο, από φυσικής ή νομικής άποψης, να δώσει τη συγκατάθεσή του. Για παράδειγμα, εάν ένα άτομο μείνει αναίσθητο ως αποτέλεσμα ατυχήματος και απαιτεί άμεση ιατρική περίθαλψη, τα δεδομένα υγείας του μπορεί να χρειαστεί να υποβληθούν σε επεξεργασία για την παροχή της κατάλληλης ιατρικής περίθαλψης.
• Η επεξεργασία ευαίσθητων δεδομένων πραγματοποιείται στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, ένωσης ή άλλης μη κερδοσκοπικής οργάνωσης με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό σκοπό, και μόνο για την επεξεργασία των προσωπικών δεδομένων των μελών τους, πρώην μελών ή προσώπων που έχουν τακτική επαφή μαζί τους.
• Τα ευαίσθητα δεδομένα έχουν προδήλως δημοσιοποιηθεί  από το ίδιο το άτομο.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη στο πλαίσιο νομικών διαδικασιών.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για θέματα σημαντικού δημόσιου συμφέροντος.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη στο πλαίσιο της προληπτικής ή επαγγελματικής ιατρικής. Για παράδειγμα, η αξιολόγηση των ευαίσθητων δεδομένων ενός ατόμου, όπως τα ιατρικά του δεδομένα, μπορεί να είναι απαραίτητη προκειμένου να προσδιοριστεί αν το άτομο είναι ικανό να εργαστεί.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για θέματα δημόσιας υγείας βάσει του ενωσιακού ή του εθνικού δικαίου. Για παράδειγμα, η επεξεργασία ευαίσθητων δεδομένων φυσικών προσώπων μπορεί να είναι απαραίτητη για τη διασφάλιση υψηλής ποιότητας υγειονομικής περίθαλψης και υψηλής ποιότητας ιατρικών προϊόντων, ή για την καταπολέμηση σοβαρών απειλών κατά της υγείας, όπως είναι οι ιοί.
• Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Για παράδειγμα, η επεξεργασία ευαίσθητων δεδομένων μπορεί να είναι απαραίτητη για την παροχή ακριβών στατιστικών στοιχείων σχετικά με την κατάσταση μιας χώρας σε συγκεκριμένο τομέα.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η συγκατάθεση θα μπορούσε πράγματι να αποτελέσει έγκυρη νομική βάση για την αποθήκευση των βιογραφικών σημειωμάτων των αιτούντων εργασία. Μια άλλη πιθανή νομική βάση θα μπορούσε να είναι το έννομο συμφέρον. Σε αυτή την περίπτωση, θα πρέπει να διενεργήσετε  στάθμιση για να αποδείξετε ότι τα έννομα συμφέροντα του οργανισμού σας υπερτερούν των δικαιωμάτων των αιτούντων.

Σε κάθε περίπτωση, θα πρέπει να ενημερώσετε τους υποψηφίους ότι σκοπεύετε να αποθηκεύσετε τα δεδομένα τους και για ποιους σκοπούς.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Ναι, αλλά για να γίνει αυτό, θα πρέπει πρώτα να καθορίσετε τη νομική βάση για την επεξεργασία αυτού του είδους προσωπικών δεδομένων. Για παράδειγμα, η επεξεργασία θα μπορούσε να θεωρηθεί ως έννομο συμφέρον για τον οργανισμό σας. Κατά την επεξεργασία προσωπικών δεδομένων με βάση το έννομο συμφέρον, είναι πάντα απαραίτητο να διενεργείται στάθμιση για να καθορίζεται  κατά πόσον τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων, ιδίως εάν πρόκειται για παιδιά.

Μια άλλη πιθανή νομική βάση για την εν λόγω επεξεργασία θα μπορούσε να είναι η συγκατάθεση. Σε κάθε περίπτωση, τα άτομα θα πρέπει πάντα να ενημερώνονται εκ των προτέρων ότι η εκδήλωση φωτογραφίζεται ή βιντεοσκοπείται.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Θα πρέπει να απαντήσετε χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες, εάν η αίτηση είναι υπερβολικά περίπλοκη και απαιτείται περισσότερος χρόνος για να απαντηθεί, υπό την προϋπόθεση ότι το άτομο ενημερώνεται σχετικά εντός ενός μηνός από την παραλαβή του αιτήματος.

Αυτό γίνεται δωρεάν.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Δεν μπορείτε να αποθηκεύετε προσωπικά δεδομένα για πάντα.

Κατά κανόνα, τα προσωπικά δεδομένα μπορούν να αποθηκεύονται μόνο για όσο χρονικό διάστημα είναι αναγκαίο υπό το πρίσμα των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία.

Σε ορισμένες περιπτώσεις, η περίοδος αποθήκευσης μπορεί να καθοριστεί από συγκεκριμένους νόμους, για παράδειγμα, οι εργασιακοί κανονισμοί καθορίζουν την περίοδο αποθήκευσης για τη μισθοδοσία.

Οι οργανισμοί θα πρέπει να εφαρμόζουν πολιτικές διατήρησης δεδομένων για να διασφαλίζουν ότι τα προσωπικά δεδομένα δεν διατηρούνται για μεγαλύτερο χρονικό διάστημα από ό,τι είναι απαραίτητο. Τα προσωπικά δεδομένα των φυσικών προσώπων πρέπει να διαγράφονται ή να ανωνυμοποιούνται όταν τα δεδομένα αυτά δεν είναι πλέον απαραίτητα για τον σκοπό για τον οποίο υποβλήθηκαν σε επεξεργασία.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν τη διαγραφή των προσωπικών δεδομένων που τα αφορούν και, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει τα προσωπικά δεδομένα. Θα πρέπει να απαντήσετε χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες εάν η αίτηση είναι υπερβολικά περίπλοκη και απαιτείται περισσότερος χρόνος για να ικανοποιηθεί το αίτημα, υπό την προϋπόθεση ότι το άτομο ενημερώνεται σχετικά εντός ενός μηνός από την παραλαβή του αιτήματος.

Είναι σημαντικό να σημειωθεί ότι το δικαίωμα διαγραφής δεν είναι απόλυτο. Δεν εφαρμόζεται όταν τα εν λόγω δεδομένα είναι απαραίτητα για:

• άσκηση του δικαιώματος στην ελευθερία της έκφρασης και της πληροφόρησης (π.χ. για δημοσιογραφικούς σκοπούς)·
• συμμόρφωση με νομική υποχρέωση που απαιτεί την επεξεργασία προσωπικών δεδομένων (π.χ. επεξεργασία αρχείων σχετικά με τις ώρες εργασίας των εργαζομένων)·
• λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας
• σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς· και
• θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.

Όταν τα προσωπικά δεδομένα που πρόκειται να διαγραφούν είχαν προηγουμένως διαβιβαστεί σε άλλους οργανισμούς, πρέπει να ενημερώσετε αυτούς τους παραλήπτες ότι το άτομο έχει ζητήσει διαγραφή, εκτός εάν αυτό αποδειχθεί αδύνατο ή θα απαιτούσε δυσανάλογες προσπάθειες.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Ο ΓΚΠΔ προβλέπει συγκεκριμένα δικαιώματα για τα φυσικά πρόσωπα που πρέπει να γίνονται σεβαστά. Μπορείτε να το κάνετε αυτό:

• ενημερώνοντας τα φυσικά πρόσωπα των οποίων τα δεδομένα επεξεργάζεστε σχετικά με τις πράξεις επεξεργασίας σας και τους σκοπούς επεξεργασίας όταν συλλέγετε τα δεδομένα τους, για παράδειγμα μέσω δήλωσης απορρήτου στον ιστότοπό σας∙
• απαντώντας σε αιτήματα φυσικών προσώπων για άσκηση των δικαιωμάτων τους, όπως αιτήματα πρόσβασης, διόρθωσης, εναντίωσης, διαγραφής ή φορητότητας.

Οι οργανισμοί που είναι διαφανείς όσον αφορά τη χρήση προσωπικών δεδομένων φυσικών προσώπων και οι οποίοι σέβονται τα δικαιώματα αυτών διατρέχουν μικρότερο κίνδυνο να αποτελέσουν αντικείμενο καταγγελιών.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Για να θεωρηθεί έγκυρη η συγκατάθεση, πρέπει:

• να παρέχεται ελεύθερα·
• να είναι συγκεκριμένη·
• να δίνεται εν πλήρη επιγνώσει· και
• να είναι αδιαμφισβήτητη.

Αυτό σημαίνει ότι τα φυσικά πρόσωπα πρέπει να έχουν πραγματικά ελεύθερη επιλογή ως προς το αν συμφωνούν ή όχι με την επεξεργασία των προσωπικών τους δεδομένων· χρειάζονται επαρκείς πληροφορίες ώστε να μπορούν να κατανοήσουν ποια δεδομένα υποβάλλονται σε επεξεργασία, για ποιο σκοπό και πώς γίνεται αυτό· χρειάζονται επίσης επαρκή ενημέρωση σχετικά με τα αιτήματα συγκατάθεσης.

Επιπλέον, θα πρέπει να υπάρχει σαφής θετική ενέργεια από το άτομο (χωρίς προεπιλεγμένα τετραγωνίδια και χωριστά από τους ισχύοντες γενικούς όρους).

Επιπλέον, τα άτομα πρέπει να είναι σε θέση να αποσύρουν ελεύθερα τη συγκατάθεσή τους (χωρίς αρνητικές συνέπειες) εάν αλλάξουν γνώμη αργότερα.

Περισσότερες πληροφορίες:

• Νόμιμη Επεξεργασία προσωπικών δεδομένων

Τα απαραίτητα μέτρα ασφαλείας μπορεί να διαφέρουν ανάλογα με τη φύση των προσωπικών δεδομένων που επεξεργάζεστε και τους σχετικούς κινδύνους για τα άτομα. Σε κάθε περίπτωση, υπάρχουν ορισμένα ελάχιστα μέτρα που πρέπει να εφαρμόζετε:

• να ασφαλίζετε την πρόσβαση στις εγκαταστάσεις·
• να χρησιμοποιείτε τακτικά ενημερωμένο λογισμικό προστασίας από ιούς·
• να επιλέγετε προσεκτικά τους κωδικούς πρόσβασής σας·
• να υποχρεώνετε τους χρήστες να επαληθεύουν την ταυτότητά τους πριν από τη χρήση των εγκαταστάσεων του υπολογιστή·
• να εφαρμόζετε πολιτική δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων σε περίπτωση συμβάντος.
• Επιπλέον, ορισμένα βασικά μέτρα, όπως το κλείδωμα της οθόνης σας ενώ είστε μακριά και το κλείδωμα του γραφείου στο τέλος της ημέρας δεν είναι ποτέ εκτός τόπου...

Περισσότερες πληροφορίες:

• Ασφαλή προσωπικά δεδομένα

Το ΕΣΠΔ δημοσιεύει τακτικά δελτία τύπου, νέα, ιστολόγια και άλλο περιεχόμενο στον ιστότοπό του και στα μέσα κοινωνικής δικτύωσής του (Twitter: @EU_EDPB· LinkedIn: Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) προκειμένου να ενημερώνει την κοινότητα προστασίας δεδομένων και το ευρύ κοινό σχετικά με τις εργασίες του.

Ο ιστότοπος του ΕΣΠΔ διαθέτει επίσης δύο τροφοδοσίες RSS, στις οποίες μπορείτε να εγγραφείτε για αυτόματες ενημερώσεις σχετικά με τα νέα του ΕΣΠΔ και τις τελευταίες δημοσιεύσεις του.