Τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν τη διαγραφή των προσωπικών δεδομένων που τα αφορούν και, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει τα προσωπικά δεδομένα. Θα πρέπει να απαντήσετε χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες εάν η αίτηση είναι υπερβολικά περίπλοκη και απαιτείται περισσότερος χρόνος για να ικανοποιηθεί το αίτημα, υπό την προϋπόθεση ότι το άτομο ενημερώνεται σχετικά εντός ενός μηνός από την παραλαβή του αιτήματος.

Είναι σημαντικό να σημειωθεί ότι το δικαίωμα διαγραφής δεν είναι απόλυτο. Δεν εφαρμόζεται όταν τα εν λόγω δεδομένα είναι απαραίτητα για:

• άσκηση του δικαιώματος στην ελευθερία της έκφρασης και της πληροφόρησης (π.χ. για δημοσιογραφικούς σκοπούς)·
• συμμόρφωση με νομική υποχρέωση που απαιτεί την επεξεργασία προσωπικών δεδομένων (π.χ. επεξεργασία αρχείων σχετικά με τις ώρες εργασίας των εργαζομένων)·
• λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας
• σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς· και
• θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.

Όταν τα προσωπικά δεδομένα που πρόκειται να διαγραφούν είχαν προηγουμένως διαβιβαστεί σε άλλους οργανισμούς, πρέπει να ενημερώσετε αυτούς τους παραλήπτες ότι το άτομο έχει ζητήσει διαγραφή, εκτός εάν αυτό αποδειχθεί αδύνατο ή θα απαιτούσε δυσανάλογες προσπάθειες.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Ο ΓΚΠΔ προβλέπει συγκεκριμένα δικαιώματα για τα φυσικά πρόσωπα που πρέπει να γίνονται σεβαστά. Μπορείτε να το κάνετε αυτό:

• ενημερώνοντας τα φυσικά πρόσωπα των οποίων τα δεδομένα επεξεργάζεστε σχετικά με τις πράξεις επεξεργασίας σας και τους σκοπούς επεξεργασίας όταν συλλέγετε τα δεδομένα τους, για παράδειγμα μέσω δήλωσης απορρήτου στον ιστότοπό σας∙
• απαντώντας σε αιτήματα φυσικών προσώπων για άσκηση των δικαιωμάτων τους, όπως αιτήματα πρόσβασης, διόρθωσης, εναντίωσης, διαγραφής ή φορητότητας.

Οι οργανισμοί που είναι διαφανείς όσον αφορά τη χρήση προσωπικών δεδομένων φυσικών προσώπων και οι οποίοι σέβονται τα δικαιώματα αυτών διατρέχουν μικρότερο κίνδυνο να αποτελέσουν αντικείμενο καταγγελιών.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Για να θεωρηθεί έγκυρη η συγκατάθεση, πρέπει:

• να παρέχεται ελεύθερα·
• να είναι συγκεκριμένη·
• να δίνεται εν πλήρη επιγνώσει· και
• να είναι αδιαμφισβήτητη.

Αυτό σημαίνει ότι τα φυσικά πρόσωπα πρέπει να έχουν πραγματικά ελεύθερη επιλογή ως προς το αν συμφωνούν ή όχι με την επεξεργασία των προσωπικών τους δεδομένων· χρειάζονται επαρκείς πληροφορίες ώστε να μπορούν να κατανοήσουν ποια δεδομένα υποβάλλονται σε επεξεργασία, για ποιο σκοπό και πώς γίνεται αυτό· χρειάζονται επίσης επαρκή ενημέρωση σχετικά με τα αιτήματα συγκατάθεσης.

Επιπλέον, θα πρέπει να υπάρχει σαφής θετική ενέργεια από το άτομο (χωρίς προεπιλεγμένα τετραγωνίδια και χωριστά από τους ισχύοντες γενικούς όρους).

Επιπλέον, τα άτομα πρέπει να είναι σε θέση να αποσύρουν ελεύθερα τη συγκατάθεσή τους (χωρίς αρνητικές συνέπειες) εάν αλλάξουν γνώμη αργότερα.

Περισσότερες πληροφορίες:

• Νόμιμη Επεξεργασία προσωπικών δεδομένων

Τα απαραίτητα μέτρα ασφαλείας μπορεί να διαφέρουν ανάλογα με τη φύση των προσωπικών δεδομένων που επεξεργάζεστε και τους σχετικούς κινδύνους για τα άτομα. Σε κάθε περίπτωση, υπάρχουν ορισμένα ελάχιστα μέτρα που πρέπει να εφαρμόζετε:

• να ασφαλίζετε την πρόσβαση στις εγκαταστάσεις·
• να χρησιμοποιείτε τακτικά ενημερωμένο λογισμικό προστασίας από ιούς·
• να επιλέγετε προσεκτικά τους κωδικούς πρόσβασής σας·
• να υποχρεώνετε τους χρήστες να επαληθεύουν την ταυτότητά τους πριν από τη χρήση των εγκαταστάσεων του υπολογιστή·
• να εφαρμόζετε πολιτική δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων σε περίπτωση συμβάντος.
• Επιπλέον, ορισμένα βασικά μέτρα, όπως το κλείδωμα της οθόνης σας ενώ είστε μακριά και το κλείδωμα του γραφείου στο τέλος της ημέρας δεν είναι ποτέ εκτός τόπου...

Περισσότερες πληροφορίες:

• Ασφαλή προσωπικά δεδομένα

Το ΕΣΠΔ δημοσιεύει τακτικά δελτία τύπου, νέα, ιστολόγια και άλλο περιεχόμενο στον ιστότοπό του και στα μέσα κοινωνικής δικτύωσής του (Twitter: @EU_EDPB· LinkedIn: Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) προκειμένου να ενημερώνει την κοινότητα προστασίας δεδομένων και το ευρύ κοινό σχετικά με τις εργασίες του.

Ο ιστότοπος του ΕΣΠΔ διαθέτει επίσης δύο τροφοδοσίες RSS, στις οποίες μπορείτε να εγγραφείτε για αυτόματες ενημερώσεις σχετικά με τα νέα του ΕΣΠΔ και τις τελευταίες δημοσιεύσεις του.

Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Κάθε οργανισμός, ανεξάρτητα από το μέγεθος ή τον τομέα του, που είναι εγκατεστημένος στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ή προσφέρει προϊόντα ή υπηρεσίες σε άτομα στον ΕΟΧ, και επεξεργάζεται προσωπικά δεδομένα, είτε με αυτοματοποιημένα μέσα είτε όχι, πρέπει να συμμορφώνεται με τον ΓΚΠΔ. Ακόμη και αν ο ΓΚΠΔ αφορά κυρίως την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, οι πράξεις επεξεργασίας που εκτελούνται με χειροκίνητη επεξεργασία  θα υπόκεινται επίσης στον ΓΚΠΔ από τη στιγμή που τα έντυπα αρχεία οργανώνονται με συστηματικό τρόπο, π.χ. με αλφαβητική σειρά σε φοριαμό αρχειοθέτησης.

Παραδείγματα πράξεων επεξεργασίας περιλαμβάνουν τη συλλογή, την καταγραφή, την οργάνωση, τη χρήση, την τροποποίηση, την αποθήκευση, την αποκάλυψη, την τροποποίηση και τη διαγραφή των προσωπικών δεδομένων των φυσικών προσώπων.

Ωστόσο, η εφαρμογή του ΓΚΠΔ διαφοροποιείται ανάλογα με τη φύση, το πλαίσιο, τους σκοπούς και τους κινδύνους των πράξεων επεξεργασίας που εκτελούνται. Για τις ΜΜΕ των οποίων η κύρια δραστηριότητα δεν είναι η επεξεργασία προσωπικών δεδομένων, οι υποχρεώσεις μπορεί να είναι λιγότερο αυστηρές από ό,τι για μια μεγάλη εταιρεία.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.

Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Ο ΓΚΠΔ εφαρμόζεται όσον αφορά τη χρήση cookies όταν αυτά χρησιμοποιούνται για την επεξεργασία προσωπικών δεδομένων, αλλά υπάρχουν επίσης πιο συγκεκριμένοι κανόνες για τα cookies, συμπεριλαμβανομένης της  οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Η αποθήκευση ενός cookie, ή η απόκτηση πρόσβασης σε ένα cookie που έχει ήδη αποθηκευτεί, στον τερματικό εξοπλισμό ενός χρήστη επιτρέπεται μόνο υπό την προϋπόθεση ότι ο ενδιαφερόμενος συνδρομητής ή χρήστης έχει ενημερωθεί επαρκώς (ιδίως για τους σκοπούς της επεξεργασίας) και έχει δώσει τη συγκατάθεσή του.

Η μόνη εξαίρεση είναι τα τεχνικά απαραίτητα cookies. Οι οργανισμοί δεν χρειάζεται να ζητούν συγκατάθεση όταν χρησιμοποιούν τεχνικά απαραίτητα cookies στους ιστότοπούς τους.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Σε γενικές γραμμές, κάθε οργανισμός θα πρέπει να τηρεί αρχείο δραστηριοτήτων επεξεργασίας. Αυτός είναι ένας κατάλογος όλων των εργασιών επεξεργασίας και μπορεί να σας βοηθήσει να κάνετε σωστές εκτιμήσεις σχετικά με τις ευθύνες σας βάσει του ΓΚΠΔ και τους πιθανούς κινδύνους.

Κάθε μία από αυτές τις εργασίες επεξεργασίας πρέπει να περιγράφεται στο αρχείο με τις ακόλουθες πληροφορίες:

• τον σκοπό της επεξεργασίας (π.χ. αφοσίωση πελατών)·
• τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ.)·
• ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες — π.χ.: το τμήμα που είναι αρμόδιο για τις προσλήψεις, η υπηρεσία ΤΠ, η διοίκηση, οι πάροχοι υπηρεσιών, οι εταίροι...)·
• κατά περίπτωση, πληροφορίες σχετικά με διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ),
• όπου είναι δυνατόν, η περίοδος αποθήκευσης (η περίοδος για την οποία τα δεδομένα είναι χρήσιμα από επιχειρησιακή άποψη και από άποψη αρχειοθέτησης).
• όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.

Το αρχείο των δραστηριοτήτων επεξεργασίας εμπίπτει στην ευθύνη του διευθυντή του οργανισμού σας.

Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία δραστηριοποιείστε, εφόσον σας ζητηθεί.

Δεν απαιτείται από τους οργανισμούς που απασχολούν λιγότερα από 250 άτομα να αναφέρουν στο αρχείο τους καθαρά περιστασιακές δραστηριότητες (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες δραστηριότητες όπως το άνοιγμα καταστήματος).

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ