Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Κάθε οργανισμός, ανεξάρτητα από το μέγεθος ή τον τομέα του, που είναι εγκατεστημένος στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ή προσφέρει προϊόντα ή υπηρεσίες σε άτομα στον ΕΟΧ, και επεξεργάζεται προσωπικά δεδομένα, είτε με αυτοματοποιημένα μέσα είτε όχι, πρέπει να συμμορφώνεται με τον ΓΚΠΔ. Ακόμη και αν ο ΓΚΠΔ αφορά κυρίως την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, οι πράξεις επεξεργασίας που εκτελούνται με χειροκίνητη επεξεργασία  θα υπόκεινται επίσης στον ΓΚΠΔ από τη στιγμή που τα έντυπα αρχεία οργανώνονται με συστηματικό τρόπο, π.χ. με αλφαβητική σειρά σε φοριαμό αρχειοθέτησης.

Παραδείγματα πράξεων επεξεργασίας περιλαμβάνουν τη συλλογή, την καταγραφή, την οργάνωση, τη χρήση, την τροποποίηση, την αποθήκευση, την αποκάλυψη, την τροποποίηση και τη διαγραφή των προσωπικών δεδομένων των φυσικών προσώπων.

Ωστόσο, η εφαρμογή του ΓΚΠΔ διαφοροποιείται ανάλογα με τη φύση, το πλαίσιο, τους σκοπούς και τους κινδύνους των πράξεων επεξεργασίας που εκτελούνται. Για τις ΜΜΕ των οποίων η κύρια δραστηριότητα δεν είναι η επεξεργασία προσωπικών δεδομένων, οι υποχρεώσεις μπορεί να είναι λιγότερο αυστηρές από ό,τι για μια μεγάλη εταιρεία.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.

Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Ο ΓΚΠΔ εφαρμόζεται όσον αφορά τη χρήση cookies όταν αυτά χρησιμοποιούνται για την επεξεργασία προσωπικών δεδομένων, αλλά υπάρχουν επίσης πιο συγκεκριμένοι κανόνες για τα cookies, συμπεριλαμβανομένης της  οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Η αποθήκευση ενός cookie, ή η απόκτηση πρόσβασης σε ένα cookie που έχει ήδη αποθηκευτεί, στον τερματικό εξοπλισμό ενός χρήστη επιτρέπεται μόνο υπό την προϋπόθεση ότι ο ενδιαφερόμενος συνδρομητής ή χρήστης έχει ενημερωθεί επαρκώς (ιδίως για τους σκοπούς της επεξεργασίας) και έχει δώσει τη συγκατάθεσή του.

Η μόνη εξαίρεση είναι τα τεχνικά απαραίτητα cookies. Οι οργανισμοί δεν χρειάζεται να ζητούν συγκατάθεση όταν χρησιμοποιούν τεχνικά απαραίτητα cookies στους ιστότοπούς τους.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Σε γενικές γραμμές, κάθε οργανισμός θα πρέπει να τηρεί αρχείο δραστηριοτήτων επεξεργασίας. Αυτός είναι ένας κατάλογος όλων των εργασιών επεξεργασίας και μπορεί να σας βοηθήσει να κάνετε σωστές εκτιμήσεις σχετικά με τις ευθύνες σας βάσει του ΓΚΠΔ και τους πιθανούς κινδύνους.

Κάθε μία από αυτές τις εργασίες επεξεργασίας πρέπει να περιγράφεται στο αρχείο με τις ακόλουθες πληροφορίες:

• τον σκοπό της επεξεργασίας (π.χ. αφοσίωση πελατών)·
• τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ.)·
• ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες — π.χ.: το τμήμα που είναι αρμόδιο για τις προσλήψεις, η υπηρεσία ΤΠ, η διοίκηση, οι πάροχοι υπηρεσιών, οι εταίροι...)·
• κατά περίπτωση, πληροφορίες σχετικά με διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ),
• όπου είναι δυνατόν, η περίοδος αποθήκευσης (η περίοδος για την οποία τα δεδομένα είναι χρήσιμα από επιχειρησιακή άποψη και από άποψη αρχειοθέτησης).
• όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.

Το αρχείο των δραστηριοτήτων επεξεργασίας εμπίπτει στην ευθύνη του διευθυντή του οργανισμού σας.

Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία δραστηριοποιείστε, εφόσον σας ζητηθεί.

Δεν απαιτείται από τους οργανισμούς που απασχολούν λιγότερα από 250 άτομα να αναφέρουν στο αρχείο τους καθαρά περιστασιακές δραστηριότητες (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες δραστηριότητες όπως το άνοιγμα καταστήματος).

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Σύμφωνα με τον ΓΚΠΔ, υπάρχουν, κατ’ αρχήν, δύο βασικοί τρόποι διαβίβασης προσωπικών δεδομένων σε χώρα εκτός ΕΟΧ ή διεθνή οργανισμό. Οι διαβιβάσεις μπορούν να πραγματοποιούνται βάσει απόφασης επάρκειας ή, ελλείψει τέτοιας απόφασης, βάσει κατάλληλων εγγυήσεων, συμπεριλαμβανομένων εκτελεστών δικαιωμάτων και ένδικων μέσων για φυσικά πρόσωπα.

Περισσότερες πληροφορίες:

• Διεθνείς διαβιβάσεις

Ναι, μπορείτε, αλλά ο ΓΚΠΔ επιβάλλει ορισμένες υποχρεώσεις στις επιχειρήσεις που μοιράζονται προσωπικά δεδομένα. Ο οργανισμός σας πρέπει να ενημερώσει τα άτομα ότι θα κοινοποιήσετε τα δεδομένα τους σε τρίτους. Πρέπει επίσης να τους ενημερώσετε για τους σκοπούς, την ασφάλεια, την πρόσβαση και τα μέτρα διατήρησης που θα ισχύουν.

Το πρώτο βήμα για την εγκατάσταση CCTV είναι ο προσδιορισμός του σκοπού ή των σκοπών για αυτό. Οι σκοποί εγκατάστασης CCTV μπορούν να ποικίλουν: ασφάλεια των εγκαταστάσεων, συνδρομή στην πρόληψη και τον εντοπισμό κλοπών και άλλων εγκλημάτων ή προστασία της ζωής και της υγείας των εργαζομένων, λόγω της φύσης της εργασίας.

Όπως συμβαίνει με κάθε επεξεργασία προσωπικών δεδομένων, η καταγραφή των φυσικών προσώπων πρέπει να έχει νομική βάση σύμφωνα με τον ΓΚΠΔ. Η συγκατάθεση μπορεί να αποτελεί νομική βάση για την εν λόγω επεξεργασία δεδομένων. Ωστόσο, αυτό είναι απίθανο να ισχύει για τη χρήση CCTV στις περισσότερες περιπτώσεις, καθώς θα είναι δύσκολο να εξασφαλιστεί  η ελεύθερη συγκατάθεση όλων των ατόμων που είναι πιθανό να καταγράφονται. Η συνηθέστερη νομική βάση για τέτοιου είδους επεξεργασία προσωπικών δεδομένων είναι το έννομο συμφέρον. Όταν η επεξεργασία βασίζεται στο έννομο συμφέρον, θα πρέπει να διεξάγετε στάθμιση προκειμένου να προσδιορίσετε αν τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων του ατόμου.

Θα πρέπει να ενημερώσετε τα άτομα ότι καταγράφονται. Αυτό μπορεί να γίνει με την τοποθέτηση ευανάγνωστων πινακίδων σε περίοπτη θέση. Επιπλέον, σε όλες τις εισόδους θα πρέπει να τοποθετείται πινακίδα με ένδειξη του σκοπού του συστήματος CCTV και της ταυτότητας και των στοιχείων επικοινωνίας του υπευθύνου επεξεργασίας των δεδομένων.

Τα άτομα που καταγράφονται από σύστημα CCTV θα πρέπει να ενημερώνονται ως προς τα ακόλουθα:

• την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας δεδομένων·
• τους σκοπούς της επεξεργασίας·
• τη νομική βάση της επεξεργασίας (εάν είναι το έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με το ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποια οντότητα επιδιώκει κάθε έννομο συμφέρον).
• τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, ΥΠΔ (εάν υπάρχει ΥΠΔ)·
• τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων·
• τις ρυθμίσεις ασφαλείας για τα πλάνα του συστήματος CCTV·
• την περίοδο διατήρησης του βίντεο από CCTV·
• την ύπαρξη δικαιωμάτων των φυσικών προσώπων βάσει του ΓΚΠΔ και το δικαίωμα υποβολής καταγγελίας στην εθνική αρχή προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων
• Σεβασμός των δικαιωμάτων των ατόμων

Ναι, οι πελάτες σας, όταν πραγματοποιούν τηλεφωνική κλήση, πρέπει να ενημερώνονται για τους σκοπούς της καταγραφής, τους αποδέκτες των καταγραφών, το δικαίωμά τους να εναντιωθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων