Παραβίαση προσωπικών δεδομένων είναι μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα.

• Εάν η παραβίαση δεδομένων θέτει σε κίνδυνο τα  άτομα, πρέπει να τη γνωστοποιήσετε  στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών.
• Εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα άτομα, θα πρέπει επίσης να γνωστοποιήσετε την παραβίαση αυτή στα ενδιαφερόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Σε κάθε περίπτωση, για όλες τις παραβιάσεις — ακόμη και εκείνες που δεν κοινοποιούνται σε ΑΠΔ — πρέπει να καταγράψετε τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τα αποτελέσματά της και τα μέτρα προς αντιμετώπιση που ελήφθησαν.

Περισσότερες πληροφορίες:

• Παραβιάσεις δεδομένων

Οι ΥΠΔ μπορούν να εκπληρώνουν άλλα καθήκοντα εντός του οργανισμού, αλλά αυτό δεν μπορεί να οδηγήσει σε σύγκρουση συμφερόντων. Αυτό σημαίνει ότι ο ΥΠΔ δεν μπορεί να έχει θέση με την  οποία να καθορίζει τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας. Τα αντικρουόμενα καθήκοντα αφορούν κυρίως διευθυντικές θέσεις (επικεφαλής, διευθύνων σύμβουλος, οικονομικός διευθυντής, προϊστάμενος ανθρώπινου δυναμικού, προϊστάμενος ΤΠ, διευθύνων σύμβουλος), αλλά μπορούν επίσης να περιλαμβάνουν και άλλα καθήκοντα, εάν οδηγούν στον καθορισμό των σκοπών και των μέσων επεξεργασίας.

• Ο ΥΠΔ πρέπει να είναι σε θέση να εκτελεί τα καθήκοντα και τις αρμοδιότητές  του με ανεξάρτητο τρόπο. Αυτό σημαίνει ότι ο οργανισμός σας:
• δεν μπορεί να δίνει οδηγίες στον ΥΠΔ όσον αφορά στην άσκηση των καθηκόντων του ως ΥΠΔ·
• δεν επιτρέπεται να τιμωρεί ή να απολύει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Ναι, οι πελάτες σας, όταν πραγματοποιούν τηλεφωνική κλήση, πρέπει να ενημερώνονται για τους σκοπούς της καταγραφής, τους αποδέκτες των καταγραφών, το δικαίωμά τους να εναντιωθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Ναι, ο ΓΚΠΔ εφαρμόζεται εάν τα προσωπικά δεδομένα περιέχονται ή πρόκειται να περιληφθούν σε ένα σύστημα αρχειοθέτησης. Αυτό σημαίνει ότι ο ΓΚΠΔ ισχύει και για τα έντυπα αρχεία και όχι μόνο για την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.

Περισσότερες πληροφορίες:

• Βασικές αρχές προστασίας δεδομένων

Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Ο ΓΚΠΔ επιβάλλει υποχρεώσεις σε όλους τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα, ανεξάρτητα από το αν είναι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία.

Ειδικότερα, θα πρέπει:

• Να αναρωτηθείτε εάν ο σκοπός για τον οποίο μπορούν να συλλεχθούν τα προσωπικά δεδομένα είναι δικαιολογημένος και να συλλέξετε μόνο προσωπικά δεδομένα που είναι απαραίτητα για τον(τους) συγκεκριμένο(-ους) σκοπό(-ούς) που προβλέπονται·
• Να διατηρείτε τα προσωπικά δεδομένα των φυσικών προσώπων ακριβή και ενημερωμένα και να διαγράφετε τα δεδομένα όταν δεν είναι πλέον απαραίτητα·
• Να σέβεστε τα δικαιώματα των φυσικών προσώπων, ενημερώνοντάς τα για τον τρόπο και τον λόγο επεξεργασίας των δεδομένων τους και παρέχοντάς τους τη δυνατότητα να ασκούν τα δικαιώματά τους·
• Να διασφαλίζετε ότι διαθέτετε κατάλληλη νομική βάση για την επεξεργασία των προσωπικών δεδομένων. Σε περίπτωση που σκοπεύετε να βασιστείτε στη συγκατάθεση των φυσικών προσώπων, να ζητήσετε τη συγκατάθεσή τους πριν από την επεξεργασία των προσωπικών τους δεδομένων.
• Να διασφαλίζετε ότι ο χειρισμός των προσωπικών δεδομένων των φυσικών προσώπων γίνεται με ασφαλή τρόπο·
• Να τηρείτε αρχείο δραστηριοτήτων  επεξεργασίας.

Οι εκτελούντες την επεξεργασία θα πρέπει να τηρούν τις υποχρεώσεις  που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία και δεν πρέπει να επεξεργάζονται τα δεδομένα με άλλον τρόπο παρά μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ
• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία
• Βασικές αρχές προστασίας δεδομένων

Ο ορισμός υπευθύνου προστασίας δεδομένων είναι υποχρεωτικός στις ακόλουθες τρεις περιπτώσεις:

• ο οργανισμός είναι δημόσια αρχή·
• οι κύριες δραστηριότητες του οργανισμού συνίστανται στην τακτική και συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα, για παράδειγμα γεωγραφικός εντοπισμός μέσω κινητής εφαρμογής ή επιτήρηση εμπορικών κέντρων και δημόσιων χώρων μέσω συστήματος CCTV ·
• οι κύριες δραστηριότητες του οργανισμού συνίστανται στην μεγάλης κλίμακας επεξεργασία ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα.
  Μπορείτε πάντα να ορίσετε έναν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, ακόμη και αν αυτό δεν απαιτείται από τον νόμο. Λάβετε υπόψη ότι σε αυτή την περίπτωση, πρέπει να συμμορφώνεστε με όλες τις διατάξεις του ΓΚΠΔ σχετικά με τα καθήκοντα και τη θέση του υπευθύνου προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Οι οργανισμοί πρέπει, σε περίπτωση  συλλογής προσωπικών δεδομένων απευθείας  από τα ενδιαφερόμενα άτομα, να παρέχουν πληροφορίες σχετικά με τις πράξεις επεξεργασίας με συνοπτικό και διαφανή τρόπο, χρησιμοποιώντας κατανοητή, εύκολα προσβάσιμη, σαφή και απλή γλώσσα. Αυτό μπορεί να γίνει γραπτώς (π.χ. στην οπίσθια όψη μιας προσφοράς) ή με ηλεκτρονικά μέσα (π.χ. σε ιστότοπο). Εάν το ζητήσει ο ενδιαφερόμενος, μπορείτε επίσης να παράσχετε αυτές τις πληροφορίες προφορικά, αλλά πρέπει να είστε σε θέση να το αποδείξετε στη συνέχεια.

Ακόμη και όταν τα δεδομένα συλλέχθηκαν έμμεσα, δηλαδή εάν δεν συλλέγετε απευθείας τα προσωπικά δεδομένα από ένα άτομο, αλλά για παράδειγμα μέσω τρίτου, θα πρέπει να παράσχετε τις ίδιες λεπτομερείς πληροφορίες στα άτομα.

Όταν υπάρχουν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας δεδομένων που καθορίζουν από κοινού τον σκοπό και τα μέσα επεξεργασίας, θεωρούνται από κοινού υπεύθυνοι επεξεργασίας. Αποφασίζουν από κοινού να επεξεργαστούν προσωπικά δεδομένα για κοινό σκοπό. Η από κοινού ευθύνη επεξεργασίας μπορεί να λάβει πολλές μορφές και η συμμετοχή των διαφόρων υπευθύνων επεξεργασίας μπορεί να είναι άνιση. Ως εκ τούτου, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά στη συμμόρφωση με τον ΓΚΠΔ.

Είναι σημαντικό να σημειωθεί ότι η από κοινού ευθύνη επεξεργασίας συνεπάγεται από κοινού ευθύνη για μια δραστηριότητα επεξεργασίας.

• Παράδειγμα από κοινού υπευθύνου επεξεργασίας: Οι εταιρείες Α και Β έχουν ξεκινήσει ένα προϊόν με την επωνυμία τους και επιθυμούν να διοργανώσουν μια εκδήλωση για την προώθηση αυτού του προϊόντος. Για τον σκοπό αυτό, αποφασίζουν να μοιραστούν δεδομένα από τις αντίστοιχες βάσεις δεδομένων πελατών και μελλοντικών πελατών τους και αποφασίζουν σχετικά με τον κατάλογο των προσκεκλημένων στην εκδήλωση. Συμφωνούν επίσης σχετικά με τους τρόπους αποστολής των προσκλήσεων στην εκδήλωση, τον τρόπο συλλογής ανατροφοδότησης κατά τη διάρκεια της εκδήλωσης και τις επακόλουθες ενέργειες μάρκετινγκ. Οι εταιρείες Α και Β μπορούν να θεωρηθούν από κοινού υπεύθυνοι επεξεργασίας για την επεξεργασία προσωπικών δεδομένων που σχετίζονται με τη διοργάνωση της διαφημιστικής εκδήλωσης, καθώς αποφασίζουν από κοινού για τον από κοινού καθορισμένο σκοπό και τα βασικά μέσα της επεξεργασίας δεδομένων στο πλαίσιο αυτό.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία