Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται προσωπικά δεδομένα μόνο σε μία από τις ακόλουθες περιπτώσεις:

• με τη συγκατάθεση των ατόμων·
• όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης (σύμβαση μεταξύ του οργανισμού σας και ενός ατόμου)·
• για την εκπλήρωση νομικής υποχρέωσης δυνάμει  ενωσιακής ή εθνικής νομοθεσίας·
• όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον δυνάμει  ενωσιακής ή εθνικής νομοθεσίας·
• για την προστασία των ζωτικών συμφερόντων ενός ατόμου·

για τα έννομα συμφέροντα του οργανισμού σας — εκτός εάν υπερισχύουν τα δικαιώματα και οι ελευθερίες των ατόμων.
Επιπλέον, ο ΓΚΠΔ θεσπίζει πρόσθετες προϋποθέσεις για την επεξεργασία ευαίσθητων δεδομένων.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Τα cookies είναι μικρά αρχεία που αποθηκεύονται σε μια συσκευή, όπως ένας υπολογιστής, μια κινητή συσκευή ή οποιαδήποτε άλλη συσκευή που μπορεί να αποθηκεύσει πληροφορίες. Τα cookies εξυπηρετούν μια σειρά από σημαντικές λειτουργίες, όπως να απομνημονεύουν τους χρήστες και τις προηγούμενες αλληλεπιδράσεις τους με έναν ιστότοπο. Μπορούν να χρησιμοποιηθούν για την  παρακολούθηση των προϊόντων σε ένα ηλεκτρονικό καλάθι αγορών ή για την παρακολούθηση των πληροφοριών όταν εισάγονται στοιχεία σε μια ηλεκτρονική φόρμα αίτησης.

Τα cookies ελέγχου ταυτότητας είναι επίσης σημαντικά για την ταυτοποίηση των χρηστών όταν συνδέονται σε τραπεζικές υπηρεσίες και άλλες διαδικτυακές υπηρεσίες. Οι πληροφορίες που αποθηκεύονται στα cookies μπορούν να περιλαμβάνουν προσωπικά δεδομένα, όπως μια διεύθυνση IP, ένα όνομα χρήστη, ένα μοναδικό αναγνωριστικό ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου.

Η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να ορίζει ότι ο εκτελών την επεξεργασία:

• επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ·
• διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα έχουν δεσμευθεί να τηρούν την εμπιστευτικότητα ή ότι υπόκεινται σε κατάλληλη εκ του νόμου υποχρέωση εμπιστευτικότητας·
• διασφαλίζει την ασφάλεια της επεξεργασίας·
• δεν αναθέτει σε άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας·
• επικουρεί τον υπεύθυνο επεξεργασίας στην εκπλήρωση των υποχρεώσεών του να ανταποκρίνεται στα αιτήματα των ατόμων για την άσκηση των δικαιωμάτων τους·
• επικουρεί τον υπεύθυνο επεξεργασίας στην ασφάλεια της επεξεργασίας, στην κοινοποίηση παραβιάσεων δεδομένων και στην εκτέλεση ΕΑΠΔ·
• κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά τη λήξη της παροχής των υπηρεσιών·
• θέτει στη διάθεση του υπευθύνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ·
• επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των ελέγχων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλο εξουσιοδοτημένο, από τον υπεύθυνο επεξεργασίας, ελεγκτή.

Επιπλέον, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας δεδομένων εάν, κατά τη γνώμη του, οι οδηγίες παραβιάζουν τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις για την προστασία των δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Η επεξεργασία προσωπικών δεδομένων επιτρέπεται εφόσον υπάρχει νομική βάση γι’ αυτό. Εκτός από την ελεύθερη, συγκεκριμένη, εν πλήρη επιγνώσει και αδιαμφισβήτητη συγκατάθεση, μπορούν να χρησιμοποιηθούν και άλλες νομικές βάσεις για την επεξεργασία.

Με άλλα λόγια, η συγκατάθεση είναι απαραίτητη όταν δεν ισχύει καμία από τις άλλες νομικές βάσεις.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η συμμόρφωση με τον ΓΚΠΔ εποπτεύεται  από τις εθνικές αρχές προστασίας δεδομένων (ΑΠΔ). Οι ΑΠΔ μπορούν να διεξάγουν έρευνες και να επιβάλλουν κυρώσεις, όπου απαιτείται. Οι ΑΠΔ έχουν στη διάθεσή τους ορισμένα εργαλεία, συμπεριλαμβανομένων προστίμων έως 20 εκατ. ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο από τα δύο είναι υψηλότερο, επιπλήξεις και προσωρινές ή μόνιμες απαγορεύσεις επεξεργασίας.

Τα στοιχεία επικοινωνίας για όλες τις ΑΠΔ του ΕΟΧ διατίθενται στον ιστότοπο  του ΕΣΠΔ: Μέλη

Περισσότερες πληροφορίες:

• Αρχή Προστασίας Δεδομένων & Εσύ

Η εκτίμηση αντικτύπου  σχετικά με την προστασία των δεδομένων ή ΕΑΠΔ είναι μια γραπτή εκτίμηση που θα πρέπει να ετοιμάσει ο οργανισμός σας για να αξιολογήσει τον αντίκτυπο μιας προγραμματισμένης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων και να καταδείξετε τη συμμόρφωση.

Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των προγραμματισμένων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.

Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:

• την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες·  
• συστηματική και εκτεταμένη αξιολόγηση των προσωπικών πτυχών ενός ατόμου με βάση την αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και επί της οποίας βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σε σχέση με το εν λόγω άτομο ή επηρεάζουν σημαντικά με παρόμοιο τρόπο τα φυσικά πρόσωπα·
• συστηματική παρακολούθηση μιας δημοσίως προσβάσιμης περιοχής σε μεγάλη κλίμακα.

Το ΕΣΠΔ έχει καταρτίσει κατευθυντήριες γραμμές στις οποίες απαριθμούνται τα κριτήρια που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του κατά πόσον μια ΕΑΠΔ είναι υποχρεωτική ή όχι. Οι αρχές προστασίας δεδομένων (ΑΠΔ) έχουν επίσης δημοσιεύσει καταλόγους πράξεων επεξεργασίας που προϋποθέτουν την κατάρτιση  ΕΑΠΔ. Επιπλέον, αρκετές ΑΠΔ έχουν αναπτύξει οδηγούς, λογισμικό ή εργαλεία αυτοαξιολόγησης για να σας βοηθήσουν με την αξιολόγησή σας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.

Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Ναι, αλλά για να γίνει αυτό, θα πρέπει πρώτα να καθορίσετε τη νομική βάση για την επεξεργασία αυτού του είδους προσωπικών δεδομένων. Για παράδειγμα, η επεξεργασία θα μπορούσε να θεωρηθεί ως έννομο συμφέρον για τον οργανισμό σας. Κατά την επεξεργασία προσωπικών δεδομένων με βάση το έννομο συμφέρον, είναι πάντα απαραίτητο να διενεργείται στάθμιση για να καθορίζεται  κατά πόσον τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων, ιδίως εάν πρόκειται για παιδιά.

Μια άλλη πιθανή νομική βάση για την εν λόγω επεξεργασία θα μπορούσε να είναι η συγκατάθεση. Σε κάθε περίπτωση, τα άτομα θα πρέπει πάντα να ενημερώνονται εκ των προτέρων ότι η εκδήλωση φωτογραφίζεται ή βιντεοσκοπείται.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η συγκατάθεση θα μπορούσε πράγματι να αποτελέσει έγκυρη νομική βάση για την αποθήκευση των βιογραφικών σημειωμάτων των αιτούντων εργασία. Μια άλλη πιθανή νομική βάση θα μπορούσε να είναι το έννομο συμφέρον. Σε αυτή την περίπτωση, θα πρέπει να διενεργήσετε  στάθμιση για να αποδείξετε ότι τα έννομα συμφέροντα του οργανισμού σας υπερτερούν των δικαιωμάτων των αιτούντων.

Σε κάθε περίπτωση, θα πρέπει να ενημερώσετε τους υποψηφίους ότι σκοπεύετε να αποθηκεύσετε τα δεδομένα τους και για ποιους σκοπούς.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων