Συχνές ερωτήσεις
Μπορώ να επεξεργάζομαι προσωπικά δεδομένα μόνο όταν έχω τη συγκατάθεση του ατόμου;
Η επεξεργασία προσωπικών δεδομένων επιτρέπεται εφόσον υπάρχει νομική βάση γι’ αυτό. Εκτός από την ελεύθερη, συγκεκριμένη, εν πλήρη επιγνώσει και αδιαμφισβήτητη συγκατάθεση, μπορούν να χρησιμοποιηθούν και άλλες νομικές βάσεις για την επεξεργασία.
Με άλλα λόγια, η συγκατάθεση είναι απαραίτητη όταν δεν ισχύει καμία από τις άλλες νομικές βάσεις.
Περισσότερες πληροφορίες:
Μπορώ να καταγράψω τηλεφωνικές συνομιλίες με πελάτες προκειμένου να βελτιώσω την ποιότητα των υπηρεσιών μου ή χρειάζομαι τη συγκατάθεσή τους για αυτό;
Ναι, οι πελάτες σας, όταν πραγματοποιούν τηλεφωνική κλήση, πρέπει να ενημερώνονται για τους σκοπούς της καταγραφής, τους αποδέκτες των καταγραφών, το δικαίωμά τους να εναντιωθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.
Περισσότερες πληροφορίες:
Πώς μπορώ να λάβω έγκυρη συγκατάθεση;
Για να θεωρηθεί έγκυρη η συγκατάθεση, πρέπει:
- να παρέχεται ελεύθερα·
- να είναι συγκεκριμένη·
- να δίνεται εν πλήρη επιγνώσει· και
- να είναι αδιαμφισβήτητη.
Αυτό σημαίνει ότι τα φυσικά πρόσωπα πρέπει να έχουν πραγματικά ελεύθερη επιλογή ως προς το αν συμφωνούν ή όχι με την επεξεργασία των προσωπικών τους δεδομένων· χρειάζονται επαρκείς πληροφορίες ώστε να μπορούν να κατανοήσουν ποια δεδομένα υποβάλλονται σε επεξεργασία, για ποιο σκοπό και πώς γίνεται αυτό· χρειάζονται επίσης επαρκή ενημέρωση σχετικά με τα αιτήματα συγκατάθεσης.
Επιπλέον, θα πρέπει να υπάρχει σαφής θετική ενέργεια από το άτομο (χωρίς προεπιλεγμένα τετραγωνίδια και χωριστά από τους ισχύοντες γενικούς όρους).
Επιπλέον, τα άτομα πρέπει να είναι σε θέση να αποσύρουν ελεύθερα τη συγκατάθεσή τους (χωρίς αρνητικές συνέπειες) εάν αλλάξουν γνώμη αργότερα.
Περισσότερες πληροφορίες:
Τι πρέπει να κάνω όταν κάποιος ρωτάει πώς επεξεργάζομαι τα δεδομένα του;
Τα άτομα μπορούν να σας ρωτήσουν αν επεξεργάζεστε τα δεδομένα τους και, όπου συμβαίνει αυτό, έχουν δικαίωμα πρόσβασης σε αυτά τα δεδομένα. Έτσι, όταν συμβαίνει αυτό και εάν επεξεργάζεστε τα δεδομένα τους, θα πρέπει, για παράδειγμα, να παράσχετε ένα αντίγραφο των προσωπικών τους δεδομένων, δωρεάν, μαζί με τυχόν απαραίτητες πρόσθετες πληροφορίες. Όταν ένα αίτημα υποβάλλεται ηλεκτρονικά, ο οργανισμός σας θα πρέπει να παρέχει τις απαιτούμενες πληροφορίες σε ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή, εκτός εάν το άτομο ζητήσει κάτι διαφορετικό.
Περισσότερες πληροφορίες:
Τι πρέπει να κάνω σε περίπτωση παραβίασης δεδομένων;
Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.
- Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα άτομα, πρέπει να τη γνωστοποιήσετε στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
- Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.
Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.
Περισσότερες πληροφορίες:
Τι συνιστά σύγκρουση συμφερόντων για έναν υπεύθυνο προστασίας δεδομένων (ΥΠΔ);
Οι ΥΠΔ μπορούν να εκπληρώνουν άλλα καθήκοντα εντός του οργανισμού, αλλά αυτό δεν μπορεί να οδηγήσει σε σύγκρουση συμφερόντων. Αυτό σημαίνει ότι ο ΥΠΔ δεν μπορεί να έχει θέση με την οποία να καθορίζει τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας. Τα αντικρουόμενα καθήκοντα αφορούν κυρίως διευθυντικές θέσεις (επικεφαλής, διευθύνων σύμβουλος, οικονομικός διευθυντής, προϊστάμενος ανθρώπινου δυναμικού, προϊστάμενος ΤΠ, διευθύνων σύμβουλος), αλλά μπορούν επίσης να περιλαμβάνουν και άλλα καθήκοντα, εάν οδηγούν στον καθορισμό των σκοπών και των μέσων επεξεργασίας.
- Ο ΥΠΔ πρέπει να είναι σε θέση να εκτελεί τα καθήκοντα και τις αρμοδιότητές του με ανεξάρτητο τρόπο. Αυτό σημαίνει ότι ο οργανισμός σας:
- δεν μπορεί να δίνει οδηγίες στον ΥΠΔ όσον αφορά στην άσκηση των καθηκόντων του ως ΥΠΔ·
- δεν επιτρέπεται να τιμωρεί ή να απολύει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.
Περισσότερες πληροφορίες:
Πώς μπορώ να απαντήσω σε ένα αίτημα διαγραφής;
Τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν τη διαγραφή των προσωπικών δεδομένων που τα αφορούν και, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει τα προσωπικά δεδομένα. Θα πρέπει να απαντήσετε χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες εάν η αίτηση είναι υπερβολικά περίπλοκη και απαιτείται περισσότερος χρόνος για να ικανοποιηθεί το αίτημα, υπό την προϋπόθεση ότι το άτομο ενημερώνεται σχετικά εντός ενός μηνός από την παραλαβή του αιτήματος.
Είναι σημαντικό να σημειωθεί ότι το δικαίωμα διαγραφής δεν είναι απόλυτο. Δεν εφαρμόζεται όταν τα εν λόγω δεδομένα είναι απαραίτητα για:
- άσκηση του δικαιώματος στην ελευθερία της έκφρασης και της πληροφόρησης (π.χ. για δημοσιογραφικούς σκοπούς)·
- συμμόρφωση με νομική υποχρέωση που απαιτεί την επεξεργασία προσωπικών δεδομένων (π.χ. επεξεργασία αρχείων σχετικά με τις ώρες εργασίας των εργαζομένων)·
- λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας
- σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς· και
- θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.
Όταν τα προσωπικά δεδομένα που πρόκειται να διαγραφούν είχαν προηγουμένως διαβιβαστεί σε άλλους οργανισμούς, πρέπει να ενημερώσετε αυτούς τους παραλήπτες ότι το άτομο έχει ζητήσει διαγραφή, εκτός εάν αυτό αποδειχθεί αδύνατο ή θα απαιτούσε δυσανάλογες προσπάθειες.
Περισσότερες πληροφορίες:
Τι είναι η δήλωση ιδιωτικότητας;
Οι οργανισμοί πρέπει, σε περίπτωση συλλογής προσωπικών δεδομένων απευθείας από τα ενδιαφερόμενα άτομα, να παρέχουν πληροφορίες σχετικά με τις πράξεις επεξεργασίας με συνοπτικό και διαφανή τρόπο, χρησιμοποιώντας κατανοητή, εύκολα προσβάσιμη, σαφή και απλή γλώσσα. Αυτό μπορεί να γίνει γραπτώς (π.χ. στην οπίσθια όψη μιας προσφοράς) ή με ηλεκτρονικά μέσα (π.χ. σε ιστότοπο). Εάν το ζητήσει ο ενδιαφερόμενος, μπορείτε επίσης να παράσχετε αυτές τις πληροφορίες προφορικά, αλλά πρέπει να είστε σε θέση να το αποδείξετε στη συνέχεια.
Ακόμη και όταν τα δεδομένα συλλέχθηκαν έμμεσα, δηλαδή εάν δεν συλλέγετε απευθείας τα προσωπικά δεδομένα από ένα άτομο, αλλά για παράδειγμα μέσω τρίτου, θα πρέπει να παράσχετε τις ίδιες λεπτομερείς πληροφορίες στα άτομα.
Τι σημαίνει η επεξεργασία προσωπικών δεδομένων;
Επεξεργασία προσωπικών δεδομένων νοείται κάθε είδους δραστηριότητα (πράξη επεξεργασίας) που εκτελείται επί ή αφορά σε προσωπικά δεδομένα φυσικών προσώπων. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, έρευνα, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλης μορφής διάθεση, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή προσωπικών δεδομένων.