Συχνές ερωτήσεις
Τι είναι η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και πότε είναι υποχρεωτική;
Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων ή ΕΑΠΔ είναι μια γραπτή εκτίμηση που θα πρέπει να ετοιμάσει ο οργανισμός σας για να αξιολογήσει τον αντίκτυπο μιας προγραμματισμένης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων και να καταδείξετε τη συμμόρφωση.
Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των προγραμματισμένων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.
Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:
- την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες·
- συστηματική και εκτεταμένη αξιολόγηση των προσωπικών πτυχών ενός ατόμου με βάση την αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και επί της οποίας βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σε σχέση με το εν λόγω άτομο ή επηρεάζουν σημαντικά με παρόμοιο τρόπο τα φυσικά πρόσωπα·
- συστηματική παρακολούθηση μιας δημοσίως προσβάσιμης περιοχής σε μεγάλη κλίμακα.
Το ΕΣΠΔ έχει καταρτίσει κατευθυντήριες γραμμές στις οποίες απαριθμούνται τα κριτήρια που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του κατά πόσον μια ΕΑΠΔ είναι υποχρεωτική ή όχι. Οι αρχές προστασίας δεδομένων (ΑΠΔ) έχουν επίσης δημοσιεύσει καταλόγους πράξεων επεξεργασίας που προϋποθέτουν την κατάρτιση ΕΑΠΔ. Επιπλέον, αρκετές ΑΠΔ έχουν αναπτύξει οδηγούς, λογισμικό ή εργαλεία αυτοαξιολόγησης για να σας βοηθήσουν με την αξιολόγησή σας.
Περισσότερες πληροφορίες:
Χρειάζεται πιστοποίηση για να γίνω υπεύθυνος προστασίας δεδομένων (ΥΠΔ);
Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.
Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.
Περισσότερες πληροφορίες:
Είναι ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) υπεύθυνος για τη συμμόρφωση με τον ΓΚΠΔ;
Ο ΥΠΔ δεν μπορεί να θεωρηθεί υπεύθυνος για τη μη συμμόρφωση με τον ΓΚΠΔ. Η συμμόρφωση με τον ΓΚΠΔ αποτελεί ευθύνη του οργανισμού που διόρισε τον ΥΠΔ.
Περισσότερες πληροφορίες:
Ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία;
Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.
Περισσότερες πληροφορίες:
Οι εκτελούντες την επεξεργασία πρέπει επίσης να συμμορφώνονται με τον ΓΚΠΔ;
Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.
Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.
Περισσότερες πληροφορίες:
Ποιες είναι οι ευθύνες μου στο πλαίσιο του ΓΚΠΔ;
Ο ΓΚΠΔ επιβάλλει υποχρεώσεις σε όλους τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα, ανεξάρτητα από το αν είναι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία.
Ειδικότερα, θα πρέπει:
- Να αναρωτηθείτε εάν ο σκοπός για τον οποίο μπορούν να συλλεχθούν τα προσωπικά δεδομένα είναι δικαιολογημένος και να συλλέξετε μόνο προσωπικά δεδομένα που είναι απαραίτητα για τον(τους) συγκεκριμένο(-ους) σκοπό(-ούς) που προβλέπονται·
- Να διατηρείτε τα προσωπικά δεδομένα των φυσικών προσώπων ακριβή και ενημερωμένα και να διαγράφετε τα δεδομένα όταν δεν είναι πλέον απαραίτητα·
- Να σέβεστε τα δικαιώματα των φυσικών προσώπων, ενημερώνοντάς τα για τον τρόπο και τον λόγο επεξεργασίας των δεδομένων τους και παρέχοντάς τους τη δυνατότητα να ασκούν τα δικαιώματά τους·
- Να διασφαλίζετε ότι διαθέτετε κατάλληλη νομική βάση για την επεξεργασία των προσωπικών δεδομένων. Σε περίπτωση που σκοπεύετε να βασιστείτε στη συγκατάθεση των φυσικών προσώπων, να ζητήσετε τη συγκατάθεσή τους πριν από την επεξεργασία των προσωπικών τους δεδομένων.
- Να διασφαλίζετε ότι ο χειρισμός των προσωπικών δεδομένων των φυσικών προσώπων γίνεται με ασφαλή τρόπο·
- Να τηρείτε αρχείο δραστηριοτήτων επεξεργασίας.
Οι εκτελούντες την επεξεργασία θα πρέπει να τηρούν τις υποχρεώσεις που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία και δεν πρέπει να επεξεργάζονται τα δεδομένα με άλλον τρόπο παρά μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας.
Περισσότερες πληροφορίες:
Ποιος μπορεί να εκπληρώσει τον ρόλο του υπευθύνου προστασίας δεδομένων (ΥΠΔ);
Ο ΥΠΔ μπορεί να είναι υφιστάμενος υπάλληλος με επαρκή γνώση του ΓΚΠΔ (εάν τα επαγγελματικά καθήκοντα του εργαζομένου είναι συμβατά με εκείνα του ΥΠΔ και αυτό δεν οδηγεί σε συγκρούσεις συμφερόντων) ή εξωτερικό πρόσωπο. Ο ΥΠΔ θα πρέπει να είναι σε θέση να εκτελεί καθήκοντα ανεξάρτητα και θα πρέπει να είναι σε θέση να λογοδοτεί απευθείας στην ανώτατη διοίκηση.
Περισσότερες πληροφορίες:
Πώς μπορώ να σεβαστώ τα δικαιώματα προστασίας δεδομένων των φυσικών προσώπων;
Ο ΓΚΠΔ προβλέπει συγκεκριμένα δικαιώματα για τα φυσικά πρόσωπα που πρέπει να γίνονται σεβαστά. Μπορείτε να το κάνετε αυτό:
- ενημερώνοντας τα φυσικά πρόσωπα των οποίων τα δεδομένα επεξεργάζεστε σχετικά με τις πράξεις επεξεργασίας σας και τους σκοπούς επεξεργασίας όταν συλλέγετε τα δεδομένα τους, για παράδειγμα μέσω δήλωσης απορρήτου στον ιστότοπό σας∙
- απαντώντας σε αιτήματα φυσικών προσώπων για άσκηση των δικαιωμάτων τους, όπως αιτήματα πρόσβασης, διόρθωσης, εναντίωσης, διαγραφής ή φορητότητας.
Οι οργανισμοί που είναι διαφανείς όσον αφορά τη χρήση προσωπικών δεδομένων φυσικών προσώπων και οι οποίοι σέβονται τα δικαιώματα αυτών διατρέχουν μικρότερο κίνδυνο να αποτελέσουν αντικείμενο καταγγελιών.
Περισσότερες πληροφορίες:
Τι είναι τα cookies;
Τα cookies είναι μικρά αρχεία που αποθηκεύονται σε μια συσκευή, όπως ένας υπολογιστής, μια κινητή συσκευή ή οποιαδήποτε άλλη συσκευή που μπορεί να αποθηκεύσει πληροφορίες. Τα cookies εξυπηρετούν μια σειρά από σημαντικές λειτουργίες, όπως να απομνημονεύουν τους χρήστες και τις προηγούμενες αλληλεπιδράσεις τους με έναν ιστότοπο. Μπορούν να χρησιμοποιηθούν για την παρακολούθηση των προϊόντων σε ένα ηλεκτρονικό καλάθι αγορών ή για την παρακολούθηση των πληροφοριών όταν εισάγονται στοιχεία σε μια ηλεκτρονική φόρμα αίτησης.
Τα cookies ελέγχου ταυτότητας είναι επίσης σημαντικά για την ταυτοποίηση των χρηστών όταν συνδέονται σε τραπεζικές υπηρεσίες και άλλες διαδικτυακές υπηρεσίες. Οι πληροφορίες που αποθηκεύονται στα cookies μπορούν να περιλαμβάνουν προσωπικά δεδομένα, όπως μια διεύθυνση IP, ένα όνομα χρήστη, ένα μοναδικό αναγνωριστικό ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου.
Τι μπορώ να κάνω σε περίπτωση που ο εκτελών την επεξεργασία δεν επιθυμεί να υπογράψει σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία;
Μια έγκυρη σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία είναι υποχρεωτική βάσει του ΓΚΠΔ. Για μια παράβαση μπορεί να επιβληθεί διοικητικό πρόστιμο έως 10 εκατ. ευρώ ή έως 2% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.
Για να σας καθοδηγήσουν κατά τη σύναψη συμφωνίας υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η δανική και σλοβενική αρχή προστασίας δεδομένων, καθώς και η Ευρωπαϊκή Επιτροπή, έχουν καταρτίσει πρότυπες συμφωνίες.
Περισσότερες πληροφορίες: