Όταν υπάρχουν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας δεδομένων που καθορίζουν από κοινού τον σκοπό και τα μέσα επεξεργασίας, θεωρούνται από κοινού υπεύθυνοι επεξεργασίας. Αποφασίζουν από κοινού να επεξεργαστούν προσωπικά δεδομένα για κοινό σκοπό. Η από κοινού ευθύνη επεξεργασίας μπορεί να λάβει πολλές μορφές και η συμμετοχή των διαφόρων υπευθύνων επεξεργασίας μπορεί να είναι άνιση. Ως εκ τούτου, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά στη συμμόρφωση με τον ΓΚΠΔ.

Είναι σημαντικό να σημειωθεί ότι η από κοινού ευθύνη επεξεργασίας συνεπάγεται από κοινού ευθύνη για μια δραστηριότητα επεξεργασίας.

• Παράδειγμα από κοινού υπευθύνου επεξεργασίας: Οι εταιρείες Α και Β έχουν ξεκινήσει ένα προϊόν με την επωνυμία τους και επιθυμούν να διοργανώσουν μια εκδήλωση για την προώθηση αυτού του προϊόντος. Για τον σκοπό αυτό, αποφασίζουν να μοιραστούν δεδομένα από τις αντίστοιχες βάσεις δεδομένων πελατών και μελλοντικών πελατών τους και αποφασίζουν σχετικά με τον κατάλογο των προσκεκλημένων στην εκδήλωση. Συμφωνούν επίσης σχετικά με τους τρόπους αποστολής των προσκλήσεων στην εκδήλωση, τον τρόπο συλλογής ανατροφοδότησης κατά τη διάρκεια της εκδήλωσης και τις επακόλουθες ενέργειες μάρκετινγκ. Οι εταιρείες Α και Β μπορούν να θεωρηθούν από κοινού υπεύθυνοι επεξεργασίας για την επεξεργασία προσωπικών δεδομένων που σχετίζονται με τη διοργάνωση της διαφημιστικής εκδήλωσης, καθώς αποφασίζουν από κοινού για τον από κοινού καθορισμένο σκοπό και τα βασικά μέσα της επεξεργασίας δεδομένων στο πλαίσιο αυτό.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Μια έγκυρη σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία  είναι υποχρεωτική βάσει του ΓΚΠΔ. Για μια παράβαση μπορεί να επιβληθεί διοικητικό πρόστιμο έως 10 εκατ. ευρώ ή έως 2% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.

Για να σας καθοδηγήσουν κατά τη σύναψη συμφωνίας υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η δανική και σλοβενική αρχή προστασίας δεδομένων, καθώς και η Ευρωπαϊκή Επιτροπή, έχουν καταρτίσει πρότυπες συμφωνίες.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.

• Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα  άτομα, πρέπει να τη γνωστοποιήσετε  στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
• Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.

Περισσότερες πληροφορίες:

• Παραβιάσεις δεδομένων

Οι ΥΠΔ μπορούν να εκπληρώνουν άλλα καθήκοντα εντός του οργανισμού, αλλά αυτό δεν μπορεί να οδηγήσει σε σύγκρουση συμφερόντων. Αυτό σημαίνει ότι ο ΥΠΔ δεν μπορεί να έχει θέση με την  οποία να καθορίζει τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας. Τα αντικρουόμενα καθήκοντα αφορούν κυρίως διευθυντικές θέσεις (επικεφαλής, διευθύνων σύμβουλος, οικονομικός διευθυντής, προϊστάμενος ανθρώπινου δυναμικού, προϊστάμενος ΤΠ, διευθύνων σύμβουλος), αλλά μπορούν επίσης να περιλαμβάνουν και άλλα καθήκοντα, εάν οδηγούν στον καθορισμό των σκοπών και των μέσων επεξεργασίας.

• Ο ΥΠΔ πρέπει να είναι σε θέση να εκτελεί τα καθήκοντα και τις αρμοδιότητές  του με ανεξάρτητο τρόπο. Αυτό σημαίνει ότι ο οργανισμός σας:
• δεν μπορεί να δίνει οδηγίες στον ΥΠΔ όσον αφορά στην άσκηση των καθηκόντων του ως ΥΠΔ·
• δεν επιτρέπεται να τιμωρεί ή να απολύει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.

Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Εάν ο οργανισμός σας συλλέγει τα προσωπικά δεδομένα απευθείας από φυσικά πρόσωπα, πρέπει να παρέχει τις απαραίτητες πληροφορίες κατά τη στιγμή της συλλογής.

Σε περίπτωση έμμεσης συλλογής προσωπικών δεδομένων, ο οργανισμός σας πρέπει να παράσχει τις πληροφορίες το αργότερο εντός ενός μηνός από την αρχική λήψη των προσωπικών δεδομένων. Αυτή η μέγιστη περίοδος ενός μηνός μπορεί να μειωθεί:

• εάν τα προσωπικά δεδομένα χρησιμοποιούνται για τον σκοπό της επικοινωνίας με το υποκείμενο των δεδομένων. Στην περίπτωση αυτή, πρέπει να ενημερώσετε το υποκείμενο των δεδομένων το αργότερο κατά τον χρόνο της πρώτης κοινοποίησης στο υποκείμενο των δεδομένων·
• εάν τα δεδομένα κοινοποιούνται  σε άλλον αποδέκτη, ο οργανισμός ενημερώνει σχετικά τα υποκείμενα των δεδομένων το αργότερο κατά τη κοινοποίηση των προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Ο ΓΚΠΔ προβλέπει συγκεκριμένα δικαιώματα για τα φυσικά πρόσωπα που πρέπει να γίνονται σεβαστά. Μπορείτε να το κάνετε αυτό:

• ενημερώνοντας τα φυσικά πρόσωπα των οποίων τα δεδομένα επεξεργάζεστε σχετικά με τις πράξεις επεξεργασίας σας και τους σκοπούς επεξεργασίας όταν συλλέγετε τα δεδομένα τους, για παράδειγμα μέσω δήλωσης απορρήτου στον ιστότοπό σας∙
• απαντώντας σε αιτήματα φυσικών προσώπων για άσκηση των δικαιωμάτων τους, όπως αιτήματα πρόσβασης, διόρθωσης, εναντίωσης, διαγραφής ή φορητότητας.

Οι οργανισμοί που είναι διαφανείς όσον αφορά τη χρήση προσωπικών δεδομένων φυσικών προσώπων και οι οποίοι σέβονται τα δικαιώματα αυτών διατρέχουν μικρότερο κίνδυνο να αποτελέσουν αντικείμενο καταγγελιών.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Θα πρέπει να απαντήσετε χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες, εάν η αίτηση είναι υπερβολικά περίπλοκη και απαιτείται περισσότερος χρόνος για να απαντηθεί, υπό την προϋπόθεση ότι το άτομο ενημερώνεται σχετικά εντός ενός μηνός από την παραλαβή του αιτήματος.

Αυτό γίνεται δωρεάν.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των φυσικών προσώπων

Δεν μπορείτε να αποθηκεύετε προσωπικά δεδομένα για πάντα.

Κατά κανόνα, τα προσωπικά δεδομένα μπορούν να αποθηκεύονται μόνο για όσο χρονικό διάστημα είναι αναγκαίο υπό το πρίσμα των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία.

Σε ορισμένες περιπτώσεις, η περίοδος αποθήκευσης μπορεί να καθοριστεί από συγκεκριμένους νόμους, για παράδειγμα, οι εργασιακοί κανονισμοί καθορίζουν την περίοδο αποθήκευσης για τη μισθοδοσία.

Οι οργανισμοί θα πρέπει να εφαρμόζουν πολιτικές διατήρησης δεδομένων για να διασφαλίζουν ότι τα προσωπικά δεδομένα δεν διατηρούνται για μεγαλύτερο χρονικό διάστημα από ό,τι είναι απαραίτητο. Τα προσωπικά δεδομένα των φυσικών προσώπων πρέπει να διαγράφονται ή να ανωνυμοποιούνται όταν τα δεδομένα αυτά δεν είναι πλέον απαραίτητα για τον σκοπό για τον οποίο υποβλήθηκαν σε επεξεργασία.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Η δημοσίευση των ονομάτων των νικητών ενός διαγωνισμού στον ιστότοπό σας θα μπορούσε να θεωρηθεί έννομο συμφέρον, εάν μπορείτε να το τεκμηριώσετε  με τη διενέργεια στάθμισης προκειμένου να προσδιορίσετε κατά πόσον τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων.

Μια καλή πρακτική θα ήταν να θεσπιστεί μια εσωτερική διαδικασία στην οποία θα επεξηγούνται οι κανόνες σχετικά με τη δημοσίευση των προσωπικών δεδομένων των νικητών.

Επιπλέον, η επεξεργασία προσωπικών δεδομένων για τους σκοπούς αυτούς θα πρέπει να αποτελεί μέρος της πολιτικής απορρήτου του διαγωνισμού, έτσι ώστε οι συμμετέχοντες να ενημερώνονται εκ των προτέρων για τον τρόπο επεξεργασίας των δεδομένων τους.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων