Data protection guide for small business logo
Close menu
Back to EDPB

Η Αρχή Προστασίας Δεδομένων & Εσύ

Σύμφωνα με τον ΓΚΠΔ, η εφαρμογή του αποτελεί ευθύνη των εθνικών αρχών προστασίας δεδομένων (ΑΠΔ). Κάθε χώρα του ΕΟΧ διαθέτει τη δική της ανεξάρτητη αρχή προστασίας δεδομένων, η οποία επιβλέπει την εφαρμογή του ΓΚΠΔ, συμπεριλαμβανομένου του χειρισμού των καταγγελιών. Για την επεξεργασία δεδομένων που πραγματοποιείται σε περισσότερες από μία χώρες του ΕΟΧ, ο ΓΚΠΔ παρέχει ένα σύστημα συνεργασίας μεταξύ των αρμόδιων ΑΠΔ, στο πλαίσιο του οποίου συνεργάζονται για την επίτευξη συναίνεσης. Δείτε εδώ πληροφορίες για τις ΑΠΔ.

Ο ΓΚΠΔ παρέχει ορισμένα δικαιώματα στα φυσικά πρόσωπα, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας στην αρμόδια αρχή όταν φοβούνται ότι έχει υπάρξει παραβίαση των δικαιωμάτων προστασίας των δεδομένων τους.

Καθήκοντα και εξουσίες των αρχών προστασίας δεδομένων (ΑΠΔ)

Καθήκοντα των ΑΠΔ

Κάθε ΑΠΔ του ΕΟΧ έχει την ευθύνη να παρακολουθεί και να επιβάλλει την εφαρμογή του ΓΚΠΔ και να προωθεί την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων σε σχέση με την επεξεργασία προσωπικών δεδομένων. Οι ΑΠΔ έχουν επίσης καθήκον να συμβουλεύουν το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα θεσμικά όργανα και φορείς και να παρέχουν πληροφορίες σε κάθε φυσικό πρόσωπο σχετικά με την άσκηση των δικαιωμάτων τους. Οι ΑΠΔ προωθούν επίσης την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους βάσει του ΓΚΠΔ. Οι ΑΠΔ χειρίζονται καταγγελίες φυσικών προσώπων, διεξάγουν έρευνες σχετικά με την ορθή εφαρμογή του ΓΚΠΔ και συνεργάζονται με άλλες ΑΠΔ για την εφαρμογή του ΓΚΠΔ. Οι αρχές είναι επίσης αρμόδιες για τα ακόλουθα:

  • εγκρίνουν και θεσπίζουν τυποποιημένες συμβατικές ρήτρες·
  • εγκρίνουν δεσμευτικούς εταιρικούς κανόνες·
  • εγκρίνουν κώδικες δεοντολογίας·
  • ενθαρρύνουν τη θέσπιση μηχανισμών πιστοποίησης της προστασίας των δεδομένων·
  • συμβάλλουν στις δραστηριότητες του ΕΣΠΔ·
  • εκπληρώνουν οποιαδήποτε άλλα καθήκοντα σχετίζονται με την προστασία των προσωπικών δεδομένων.

Διαβάστε περισσότερα
άρθρο 57 ΓΚΠΔ
EUR-Lex

Εξουσίες των ΑΠΔ

Με τον ΓΚΠΔ, οι εξουσίες των εθνικών ΑΠΔ  έχουν διευρυνθεί   σε σημαντικό βαθμό. Το άρθρο 58 του ΓΚΠΔ καθορίζει τις εξουσίες καθεμίας από τις εν λόγω εθνικές αρχές, διακρίνοντάς  τις σαφώς σε τρεις κύριες ομάδες:

  • εξουσίες έρευνας·
  • διορθωτικές εξουσίες·
  • συμβουλευτικές εξουσίες.

Εξουσίες έρευνας

Οι ΑΠΔ ασκούν τις εξουσίες έρευνας που διαθέτουν προκειμένου να διαπιστώσουν εάν υπάρχει παράβαση του ΓΚΠΔ, την έκταση  και τη φύση της. Μεταξύ άλλων, οι ΑΠΔ μπορούν:

  • να δίνουν εντολή στους οργανισμούς να παρέχουν κάθε πληροφορία σχετική με την έρευνα·
  • να διεξάγουν έρευνες με τη μορφή ελέγχων και να ενημερώνουν τους οργανισμούς για εικαζόμενη παράβαση του ΓΚΠΔ.
  • να αποκτούν πρόσβαση σε όλα τα προσωπικά δεδομένα που κατέχει ένας οργανισμός και σε όλες τις πληροφορίες που είναι αναγκαίες για την εκτέλεση των καθηκόντων του, συμπεριλαμβανομένης της πρόσβασης στις εγκαταστάσεις του οργανισμού, και σε τυχόν εξοπλισμό και μέσα επεξεργασίας δεδομένων, σύμφωνα με το ενωσιακό και το εθνικό δικονομικό δίκαιο.
  • να επανεξετάζουν τις πιστοποιήσεις που εκδίδονται δυνάμει του άρθρου 42 παράγραφος 7 του ΓΚΠΔ.

Διορθωτικές εξουσίες

Όταν διαπιστώνεται παράβαση των διατάξεων του ΓΚΠΔ ως αποτέλεσμα της έρευνας ή θεωρείται ότι μια πράξη επεξεργασίας ενέχει κίνδυνο ή δεν πληροί συγκεκριμένες προϋποθέσεις, οι ΑΠΔ έχουν το δικαίωμα να ασκούν μία ή περισσότερες από τις διορθωτικές εξουσίες τους, για παράδειγμα:

  • Προειδοποίηση ή απαγόρευση επεξεργασίας: σε περίπτωση υφιστάμενων κινδύνων, οι ΑΠΔ μπορούν να απευθύνουν προειδοποιήσεις στους οργανισμούς, προκειμένου να αποτρέπεται η παραβίαση των διατάξεων  του ΓΚΠΔ με τις εν λόγω  πράξεις επεξεργασίας τους. Οι ΑΠΔ μπορούν επίσης να διατάσσουν προσωρινό ή οριστικό περιορισμό, συμπεριλαμβανομένης της απαγόρευσης των δραστηριοτήτων επεξεργασίας των οργανισμών, καθώς και να τους διατάσσουν να κοινοποιούν τις παραβιάσεις δεδομένων που έχουν διαπραχθεί στα θιγόμενα πρόσωπα.
  • Εντολή συμμόρφωσης: προκειμένου να διασφαλίζεται η συμμόρφωση με τον ΓΚΠΔ ή κατά τον χειρισμό υποθέσεων  στις οποίες δεν πληρούνται συγκεκριμένα  κριτήρια ή προϋποθέσεις, οι ΑΠΔ έχουν την εξουσία να διατάσσουν τους οργανισμούς να συμμορφώνονται με τα αιτήματα των φυσικών προσώπων κατά την άσκηση των  δικαιωμάτων τους βάσει του ΓΚΠΔ. Σε ορισμένες περιπτώσεις, ενδέχεται να απαιτηθεί από τους οργανισμούς να ευθυγραμμίσουν τις πράξεις επεξεργασίας τους με τις διατάξεις του ΓΚΠΔ με συγκεκριμένο τρόπο και εντός καθορισμένης χρονικής περιόδου.
  • Αναστολή των ροών δεδομένων ή ανάκληση της πιστοποίησης: οι ΑΠΔ μπορούν επίσης να ασκούν τις εξουσίες τους προκειμένου να αναστέλλουν τυχόν ροές δεδομένων προς αποδέκτες σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Επιπλέον, μπορούν να ανακαλέσουν πιστοποίηση ή να διατάξουν τον φορέα πιστοποίησης να αποσύρει μια εκδοθείσα πιστοποίηση σύμφωνα με τα άρθρα 42 και 43 του ΓΚΠΔ. Στις περιπτώσεις που οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον, διατάσσουν τον φορέα πιστοποίησης να μην εκδίδει πιστοποίηση.
  • Επιπλήξεις: σε περίπτωση διαπιστωμένων παραβάσεων, οι ΑΠΔ μπορούν να απευθύνουν επίπληξη στους  οργανισμούς.
  • Διοικητικά πρόστιμα: Οι ΑΠΔ μπορούν επίσης να επιβάλλουν διοικητικά πρόστιμα που καθορίζονται στο άρθρο 83 του ΓΚΠΔ, επιπλέον ή αντί των άλλων μέτρων που αναφέρονται ανωτέρω. Το καθεστώς διοικητικών κυρώσεων απαιτεί κατά περίπτωση αξιολόγηση των περιστάσεων κάθε μεμονωμένης παράβασης. Η αξιολόγηση θα πρέπει να λαμβάνει υπόψη παράγοντες όπως η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εκ προθέσεως ή εξ αμελείας χαρακτήρας της, τα μέτρα προς μετριασμό της ζημιάς  που ενδέχεται να έχουν εφαρμοστεί, τα τεχνικά και οργανωτικά μέτρα (δηλαδή η ασφάλεια) που εφαρμόστηκαν και ο τρόπος με τον οποίο η ΑΠΔ έλαβε γνώση του ζητήματος.

Το μέγιστο επίπεδο της πιθανής κύρωσης εξαρτάται από το είδος της παράβασης:

  • μπορεί να ανέλθει κατ’ ανώτατο όριο στα 10 εκατομμύρια ευρώ ή στο 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών κατά το προηγούμενο οικονομικό έτος (για παράδειγμα, για παραβίαση της «προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό και εξ ορισμού», μη συμμόρφωση με την υποχρέωση σύναψης συμφωνίας επεξεργασίας δεδομένων ή μη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων ή μη διορισμό υπευθύνου προστασίας δεδομένων) σύμφωνα με το άρθρο 83 παράγραφος 4 του ΓΚΠΔ· ή
  • μπορεί να ανέλθει κατ’ ανώτατο όριο σε 20 εκατομμύρια ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών κατά το προηγούμενο οικονομικό έτος (για παράδειγμα, για παραβίαση των βασικών αρχών σχετικά με την επεξεργασία, για την παράνομη επεξεργασία προσωπικών δεδομένων χωρίς νομική βάση ή για παραβιάσεις των δικαιωμάτων των υποκειμένων των δεδομένων) σύμφωνα με το άρθρο 83 παράγραφος 5 του ΓΚΠΔ.

Μπορείτε να βρείτε περισσότερες λεπτομέρειες σχετικά με τα διοικητικά πρόστιμα που συνδέονται με παραβιάσεις διαφόρων άρθρων του ΓΚΠΔ στο άρθρο 83 του ΓΚΠΔ και τις κατευθυντήριες γραμμές του ΕΣΠΔ σχετικά με τον υπολογισμό των διοικητικών προστίμων βάσει του ΓΚΠΔ.

Διαβάστε περισσότερα
άρθρο 83 του ΓΚΠΔ
EUR-Lex
Κατευθυντήριες γραμμές για τον υπολογισμό των διοικητικών προστίμων
ΕΣΠΔ
Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό των διοικητικών προστίμων
WP29

Συμβουλευτικές αρμοδιότητες

Κάθε ΑΠΔ έχει συγκεκριμένο εξουσιοδοτικό και συμβουλευτικό ρόλο στο πλαίσιο του ΓΚΠΔ, μέσω του οποίου μπορεί να παρέχει υποστήριξη σε οργανισμούς και να εγκρίνει συγκεκριμένες δραστηριότητες επεξεργασίας. Μερικά παραδείγματα είναι τα εξής:

  • Προηγούμενη διαβούλευση: συμβουλεύει τους υπευθύνους επεξεργασίας δεδομένων σύμφωνα με τη διαδικασία προηγούμενης διαβούλευσης βάσει του άρθρου 36 του ΓΚΠΔ.
  • Γνωμοδοτήσεις σχετικά με τις νομοθετικές δραστηριότητες: εκδίδει, είτε με δική της πρωτοβουλία είτε κατόπιν αιτήματος, γνωμοδοτήσεις προς το εθνικό της κοινοβούλιο, την κυβέρνηση ή, σύμφωνα με την εθνική νομοθεσία, προς άλλα θεσμικά όργανα και οργανισμούς, καθώς και προς το κοινό, για οποιοδήποτε θέμα σχετικό με την προστασία των προσωπικών δεδομένων.
  • Κώδικες δεοντολογίας και πιστοποίηση: εγκρίνει σχέδια κωδίκων δεοντολογίας, διενεργεί διαπίστευση φορέων πιστοποίησης ή εκδίδει πιστοποιήσεις και εγκρίνει κριτήρια πιστοποίησης.

Η άσκηση των προαναφερόμενων εξουσιών των ΑΠΔ υπόκειται σε κατάλληλες διασφαλίσεις, συμπεριλαμβανομένης της πραγματικής δικαστικής προσφυγής και της ορθής διαδικασίας, όπως ορίζονται στο ενωσιακό και το εθνικό δίκαιο σύμφωνα με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ. Κάθε ΑΠΔ έχει την εξουσία να γνωστοποιεί τις παραβάσεις του ΓΚΠΔ στις δικαστικές αρχές και, κατά περίπτωση, να κινεί ή να συμμετέχει με άλλον τρόπο σε νομικές διαδικασίες, προκειμένου να επιβάλλει τις διατάξεις του ΓΚΠΔ. Πρόσθετες εξουσίες μπορούν να παρέχονται στις ΑΠΔ από το εθνικό τους δίκαιο.

Διαβάστε περισσότερα
άρθρο 58 ΓΚΠΔ
EUR-Lex

Συνεργασία και Μηχανισμός μίας Στάσης

Ο ΓΚΠΔ εφαρμόζεται σε ολόκληρο τον ΕΟΧ, χρησιμοποιώντας ένα σύνολο κανόνων προστασίας δεδομένων για όλες τις χώρες. Η προσέγγιση αυτή στηρίζει τις διεθνείς εταιρείες, αλλά και τις μικρομεσαίες στις προσπάθειές τους να αναπτυχθούν και να επεκταθούν προσφέροντας τις υπηρεσίες τους σε περισσότερες από μία χώρες του ΕΟΧ.

Προκειμένου να μειωθεί ο διοικητικός φόρτος της επεξεργασίας προσωπικών δεδομένων σε δύο ή περισσότερες χώρες του ΕΟΧ, ο ΓΚΠΔ παρέχει ένα σύστημα συνεργασίας μεταξύ των ΑΠΔ ‒ τον λεγόμενο μηχανισμό «μίας στάσης», προκειμένου να επιτευχθεί συναίνεση μεταξύ των πολυάριθμων ΑΠΔ.

Όταν ένας οργανισμός επεξεργάζεται δεδομένα σε δύο ή περισσότερες χώρες του ΕΟΧ, η αρμόδια αρχή που επιλαμβάνεται καταγγελίας ή παραβίασης δεδομένων, για παράδειγμα, είναι η αρχή της χώρας στην οποία ο υπεύθυνος επεξεργασίας έχει την κύρια εγκατάστασή του. Αυτό διευκολύνει τους υπευθύνους επεξεργασίας δεδομένων, δεδομένου ότι δεν υποχρεούνται να συμμορφώνονται με τους διαφορετικούς νόμους σε κάθε χώρα στην οποία δραστηριοποιούνται. Επιπλέον, είναι υποχρεωμένοι να συναλλάσσονται μόνο με μία ΑΠΔ. Ανάλογα με το είδος της επιχείρησής σας και τα προϊόντα και τις υπηρεσίες που προσφέρετε, η διασυνοριακή επεξεργασία μπορεί επίσης να ισχύει και για τη ΜΜΕ σας. Πολλές μικρότερες επιχειρήσεις, όπως τα ηλεκτρονικά καταστήματα, οι ιστότοποι ηλεκτρονικού εμπορίου, οι κινητές και ηλεκτρονικές εφαρμογές προσφέρουν υπηρεσίες σε πολλές χώρες.

Εάν η ΜΜΕ σας επεξεργάζεται δεδομένα φυσικών προσώπων σε διαφορετικές χώρες του ΕΟΧ, είστε υποχρεωμένοι να προσδιορίσετε ποια είναι η αρμόδια ΑΠΔ ή η επικεφαλής αρχή. Πρόκειται συνήθως για την ΑΠΔ που βρίσκεται στη χώρα του ΕΟΧ όπου βρίσκεται η έδρα του οργανισμού σας και όπου λαμβάνονται αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων.

 

Στην πράξη

  • Οι έμποροι επιγραμμικής λιανικής πώλησης, για παράδειγμα, που πωλούν ρούχα μέσω των διαδικτυακών καταστημάτων τους σε πελάτες σε διάφορες χώρες του ΕΟΧ, μπορούν να επεξεργάζονται προσωπικά δεδομένα και συχνά το κάνουν. Σε μια τέτοια διασυνοριακή περίπτωση, αρμόδια αρχή πρέπει να είναι η χώρα της κύριας εγκατάστασης του εμπόρου επιγραμμικής λιανικής πώλησης («κύρια εγκατάσταση επιχειρηματικής δραστηριότητας»).

 

Μόλις προσδιορίσετε ποια ΑΠΔ είναι η επικεφαλής, το μόνο που χρειάζεται είναι να επικοινωνήσετε μαζί τους. Η επικεφαλής ΑΠΔ συνεργάζεται και συμμετέχει σε συζητήσεις με άλλες ενδιαφερόμενες ΑΠΔ του ΕΟΧ.

Όταν μια καταγγελία με διασυνοριακό στοιχείο πρέπει να διεκπεραιωθεί στο πλαίσιο της συνεργασίας με άλλη ΑΠΔ, λαμβάνονται τα ακόλουθα μέτρα συνεργασίας:

  • Εάν άλλη ΑΠΔ λάβει την καταγγελία, έχει την υποχρέωση να ενημερώσει την επικεφαλής ΑΠΔ σχετικά με την υπόθεση·
  • Η ενδιαφερόμενη ΑΠΔ μπορεί να συμμετάσχει στη σύνταξη απόφασης σχετικά με την καταγγελία·
  • Κατά την προετοιμασία της απόφασης, η επικεφαλής ΑΠΔ πρέπει να λαμβάνει υπόψη τη γνώμη της ενδιαφερόμενης ΑΠΔ.

Διαβάστε περισσότερα
άρθρο 56 ΓΚΠΔ
EUR-Lex
άρθρο 60 ΓΚΠΔ
EUR-Lex
Διαδικασία μηχανισμού μίας στάσης
ΕΣΠΔ
Το ΕΣΠΔ εγγυάται τα ίδια δικαιώματα για όλους
ΕΣΠΔ
Κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 60 του ΓΚΠΔ
ΕΣΠΔ

Καθορισμός της επικεφαλής αρχής προστασίας δεδομένων

Βασικές έννοιες

Διασυνοριακή επεξεργασία προσωπικών δεδομένων

Σύμφωνα με τον ΓΚΠΔ, ο προσδιορισμός μιας επικεφαλής αρχής προστασίας δεδομένων αφορά μόνο τους οργανισμούς που διενεργούν διασυνοριακή επεξεργασία προσωπικών δεδομένων.

Ο ΓΚΠΔ ορίζει τη «διασυνοριακή επεξεργασία» ως:

  1. επεξεργασία προσωπικών δεδομένων που πραγματοποιείται σε περισσότερες από μία χώρες του ΕΟΧ όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερες από μία χώρες του ΕΟΧ· ή
  2. επεξεργασία προσωπικών δεδομένων που πραγματοποιείται σε μία και μόνη εγκατάσταση ενός οργανισμού στον ΕΟΧ, αλλά η οποία επηρεάζει ουσιωδώς ή ενδέχεται να επηρεάσει σημαντικά φυσικά πρόσωπα σε περισσότερες από μία χώρες του ΕΟΧ.

Διαβάστε περισσότερα
Άρθρο 4.23 ΓΚΠΔ
EUR-Lex
της ομάδας εργασίας του άρθρου 29: κατευθυντήριες γραμμές σχετικά με την επικεφαλής εποπτική αρχή
Ευρωπαϊκή Επιτροπή newsrool

Στην πράξη

  • Αυτό σημαίνει ότι όταν ένας οργανισμός διαθέτει εγκαταστάσεις στη Γερμανία και την Κροατία, για παράδειγμα, και η επεξεργασία προσωπικών δεδομένων πραγματοποιείται στο πλαίσιο των δραστηριοτήτων του, αυτό συνιστά διασυνοριακή επεξεργασία.
  • Εναλλακτικά, ο οργανισμός μπορεί να έχει εγκατάσταση μόνο στη Γερμανία. Ωστόσο, εάν η δραστηριότητα επεξεργασίας έχει σημαντική επίδραση – ή είναι πιθανό να έχει σημαντική επίδραση –  σε φυσικά πρόσωπα στη Γερμανία και την Κροατία, τότε αυτό συνιστά επίσης διασυνοριακή επεξεργασία.

 

Τι σημαίνει «σημαντική επίδραση»

Το γεγονός ότι ένας οργανισμός επεξεργάζεται έναν συγκεκριμένο όγκο – ακόμη και μεγάλο – προσωπικών δεδομένων φυσικών προσώπων, σε πολλές χώρες του ΕΟΧ, δεν σημαίνει κατ’ ανάγκη ότι η επεξεργασία έχει, ή είναι πιθανό να έχει, σημαντική επίδραση. Η επεξεργασία με μικρή ή μηδενική επίδραση δεν συνιστά διασυνοριακή επεξεργασία, ανεξάρτητα από τον αριθμό των ατόμων που επηρεάζει.

Οι ΑΠΔ θα ερμηνεύουν τη «σημαντική επίδραση» κατά περίπτωση. Θα λαμβάνουν υπόψη το πλαίσιο της επεξεργασίας, το είδος των δεδομένων, τον σκοπό της επεξεργασίας και παράγοντες όπως το αν η επεξεργασία:

  • προκαλεί ή είναι πιθανό να προκαλέσει ζημία, απώλεια ή δυσχέρεια σε φυσικά πρόσωπα·
  • έχει, ή είναι πιθανό να έχει, πραγματική επίδραση όσον αφορά στον περιορισμό των δικαιωμάτων των φυσικών προσώπων ή στην άρνηση ευκαιρίας·
  • επηρεάζει ή ενδέχεται να επηρεάσει την υγεία, την ευημερία ή την ψυχική ηρεμία των φυσικών προσώπων·
  • επηρεάζει ή ενδέχεται να επηρεάσει τη χρηματοπιστωτική ή οικονομική κατάσταση ή συγκυρία των φυσικών προσώπων·
  • αφήνει τα φυσικά πρόσωπα απροστάτευτα σε διακρίσεις ή σε καταχρηστική  μεταχείριση·
  • περιλαμβάνει την ανάλυση ειδικών κατηγοριών προσωπικών ή άλλων δεδομένων, ιδίως των προσωπικών δεδομένων των παιδιών·
  • προκαλεί, ή είναι πιθανό να προκαλέσει στα φυσικά πρόσωπα σημαντική αλλαγή στη συμπεριφορά τους·
  • έχει απίθανες, απρόβλεπτες ή ανεπιθύμητες συνέπειες για τα φυσικά πρόσωπα·
  • δημιουργεί αμηχανία ή άλλα αρνητικά αποτελέσματα, συμπεριλαμβανομένης της δυσφήμησης· ή περιλαμβάνει την επεξεργασία ενός ευρέος φάσματος προσωπικών δεδομένων.

Επικεφαλής αρχή προστασίας δεδομένων

Με απλά λόγια, μια «επικεφαλής αρχή προστασίας δεδομένων» ή επικεφαλής ΑΠΔ είναι η ΑΠΔ με την κύρια ευθύνη για τη διαχείριση μιας διασυνοριακής δραστηριότητας επεξεργασίας δεδομένων, για παράδειγμα, όταν ένα άτομο υποβάλλει καταγγελία σχετικά με την επεξεργασία των προσωπικών του δεδομένων. Η επικεφαλής ΑΠΔ συντονίζει κάθε έρευνα και συνεργάζεται με τις «ενδιαφερόμενες» ΑΠΔ. Ο προσδιορισμός της επικεφαλής ΑΠΔ εξαρτάται από τον προσδιορισμό της τοποθεσίας της «κύριας εγκατάστασης» ή της «μόνης εγκατάστασης» του υπευθύνου επεξεργασίας στην ΕΕ.

Εάν ένας οργανισμός είναι εγκατεστημένος σε μία μόνο χώρα του ΕΟΧ, διαθέτει μόνη  εγκατάσταση στον ΕΟΧ και η ΑΠΔ της εν λόγω χώρας είναι η επικεφαλής ΑΠΔ.

Εάν ένας οργανισμός είναι εγκατεστημένος σε περισσότερες από μία χώρες στον ΕΟΧ, είναι απαραίτητο να προσδιοριστεί η κύρια εγκατάστασή του, ώστε να μπορεί να προσδιοριστεί η επικεφαλής ΑΠΔ.

Διαβάστε περισσότερα
άρθρο 56 ΓΚΠΔ
EUR-Lex

Κύρια εγκατάσταση

Για να καθοριστεί πού βρίσκεται η κύρια εγκατάσταση, είναι πρώτα απαραίτητο να προσδιοριστεί η τοποθεσία της κεντρικής διοίκησης του οργανισμού στον ΕΟΧ («τόπος κεντρικής διοίκησης· έδρα»), αν υπάρχει. Αυτός είναι ο τόπος όπου λαμβάνονται οι αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων.

Σε περιπτώσεις κατά τις οποίες οι αποφάσεις που αφορούν διαφορετικές δραστηριότητες διασυνοριακής επεξεργασίας λαμβάνονται εντός της κεντρικής διοίκησης, υπάρχει μία και μόνη επικεφαλής ΑΠΔ στον ΕΟΧ για τις διάφορες δραστηριότητες επεξεργασίας δεδομένων που ασκούνται από την πολυεθνική εταιρεία. Ωστόσο, μπορεί να υπάρχουν περιπτώσεις στις οποίες μια εγκατάσταση διαφορετική από τον τόπο της κεντρικής διοίκησης λαμβάνει αυτόνομες αποφάσεις σχετικά με τους σκοπούς και τα μέσα μιας συγκεκριμένης δραστηριότητας επεξεργασίας. Σε αυτές τις περιπτώσεις, είναι σημαντικό για τις εταιρείες να προσδιορίσουν επακριβώς πού λαμβάνονται οι αποφάσεις σχετικά με τον σκοπό και τα μέσα επεξεργασίας. Ο ορθός προσδιορισμός της κύριας εγκατάστασης είναι προς το συμφέρον των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, διότι διευκρινίζει σε ποια ΑΠΔ πρέπει να απευθυνθούν όσον αφορά τις διάφορες υποχρεώσεις τους προς συμμόρφωση με τον ΓΚΠΔ.

Διαβάστε περισσότερα
Άρθρο 4.16 ΓΚΠΔ
EUR-Lex

Στην πράξη

  • Ένας λιανοπωλητής ειδών ένδυσης έχει την έδρα του (δηλαδή τον «τόπο κεντρικής διοίκησης») στη Σόφια της Βουλγαρίας. Διαθέτει εγκαταστάσεις σε διάφορες άλλες χώρες του ΕΟΧ, οι οποίες βρίσκονται σε επαφή με φυσικά πρόσωπα εκεί. Όλες οι εγκαταστάσεις χρησιμοποιούν το ίδιο λογισμικό για την επεξεργασία των προσωπικών δεδομένων των πελατών για σκοπούς μάρκετινγκ. Όλες οι αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων των πελατών για σκοπούς μάρκετινγκ λαμβάνονται στην έδρα της Σόφιας. Αυτό σημαίνει ότι η επικεφαλής ΑΠΔ της εταιρείας για αυτή τη διασυνοριακή δραστηριότητα επεξεργασίας είναι η ΑΠΔ της Βουλγαρίας.

 

Οργανισμοί μη εγκατεστημένοι στον ΕΟΧ

Εάν ο οργανισμός σας δεν είναι εγκατεστημένος στον ΕΟΧ, αλλά υπόκειται στον ΓΚΠΔ, καθώς εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, ενδέχεται να χρειαστεί να ορίσει εκπρόσωπο σε μία από τις χώρες του ΕΟΧ.

Ωστόσο, εάν ένας οργανισμός δεν διαθέτει εγκατάσταση στον ΕΟΧ, η απλή παρουσία εκπροσώπου σε μία από τις χώρες του ΕΟΧ δεν ενεργοποιεί το σύστημα «μηχανισμού μίας στάσης». Αυτό σημαίνει ότι οι οργανισμοί χωρίς καμία εγκατάσταση στον ΕΟΧ πρέπει να απευθύνονται σε τοπικές ΑΠΔ σε κάθε χώρα του ΕΟΧ στην οποία δραστηριοποιούνται, μέσω του τοπικού αντιπροσώπου τους.

Διαβάστε περισσότερα
άρθρο. 27 ΓΚΠΔ
EUR-Lex

Ρόλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

Το ΕΣΠΔ είναι ένα ανεξάρτητο ευρωπαϊκό όργανο με νομική προσωπικότητα που συμβάλλει στη συνεκτική εφαρμογή των κανόνων προστασίας των δεδομένων σε ολόκληρο τον ΕΟΧ και προωθεί τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων του ΕΟΧ. Το ΕΣΠΔ απαρτίζεται από τους επικεφαλής των ΑΠΔ και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) ή τους εκπροσώπους τους. 

Μάθετε περισσότερα για το ΕΣΠΔ

Στο ΕΣΠΔ, οι ΑΠΔ συνεργάζονται προκειμένου:

  • να παρέχουν γενική καθοδήγηση (συμπεριλαμβανομένων κατευθυντήριων γραμμών, γνωμοδοτήσεων, συστάσεων και βέλτιστων πρακτικών) σχετικά με τη νομοθεσία για την προστασία των δεδομένων, και ιδίως τον ΓΚΠΔ·
  • να συμβουλεύουν την Ευρωπαϊκή Επιτροπή για κάθε ζήτημα που αφορά στην προστασία των προσωπικών δεδομένων καθώς και νέα προτεινόμενη νομοθεσία στην ΕΕ·
  • να εκδίδουν αποφάσεις και γνωμοδοτήσεις για τη διασφάλιση της συνεκτικότητας σε διασυνοριακές υποθέσεις προστασίας δεδομένων.

Αντί να απαντά σε συγκεκριμένα μεμονωμένα αιτήματα, το ΕΣΠΔ εκδίδει γενικές κατευθυντήριες γραμμές.

Το ΕΣΠΔ έχει εκδώσει διάφορα έγγραφα καθοδήγησης που αφορούν άμεσα τις εταιρείες, συμπεριλαμβανομένων των ΜΜΕ. Αυτές οι κατευθυντήριες γραμμές αποσαφηνίζουν διαφορετικές έννοιες του ΓΚΠΔ, όπως τις βασικές αρχές επεξεργασίας, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τις διεθνείς διαβιβάσεις δεδομένων και τα δικαιώματα των υποκειμένων των δεδομένων. Μπορείτε να βρείτε μια επισκόπηση των εν λόγω εγγράφων εδώ.

 

Μηχανισμός συνεκτικότητας

Ο μηχανισμός συνεκτικότητας μπορεί να έχει άμεσο αντίκτυπο στις ΜΜΕ. Κατά πρώτο λόγο, ο μηχανισμός συνεκτικότητας μπορεί να ενεργοποιηθεί όταν η επικεφαλής ΑΠΔ και οι ενδιαφερόμενες ΑΠΔ δεν μπορούν να καταλήξουν σε συναίνεση για συγκεκριμένη διασυνοριακή υπόθεση. Σε τέτοιες περιπτώσεις, η υπόθεση παραπέμπεται στο ΕΣΠΔ, το οποίο εκδίδει δεσμευτική απόφαση για την επίλυση της διαφοράς.

Επιπλέον, το ΕΣΠΔ εκδίδει γνωμοδοτήσεις συνεκτικότητας σχετικά με ορισμένα σχέδια αποφάσεων που καταρτίζουν οι ΑΠΔ του ΕΟΧ, τα οποία έχουν διασυνοριακές επιπτώσεις (π.χ. σε μια νέα δέσμη τυποποιημένων συμβάσεων ή σε κώδικες δεοντολογίας).

Το ΕΣΠΔ μπορεί επίσης να εκδίδει γνωμοδοτήσεις  για τη διασφάλιση της συνεκτικότητας σχετικά με οποιοδήποτε ζήτημα γενικής εφαρμογής του ΓΚΠΔ ή οποιοδήποτε ζήτημα έχει επιπτώσεις σε περισσότερες από μία χώρες του ΕΟΧ. Στόχος του έργου αυτού είναι να διασφαλίσει ότι ο ΓΚΠΔ γίνεται αντιληπτός και εφαρμόζεται με συνεκτικότητα σε διάφορες χώρες του ΕΟΧ. 

Διαβάστε περισσότερα
άρθρο 63 ΓΚΠΔ
EUR-Lex
άρθρο 64 ΓΚΠΔ
EUR-Lex
άρθρο 65 ΓΚΠΔ
EUR-Lex
άρθρο 66 ΓΚΠΔ
EUR-Lex
άρθρο 67 ΓΚΠΔ
EUR-Lex
άρθρο 70 ΓΚΠΔ
EUR-Lex
Ενημερωτικό γράφημα σχετικά με τις διαδικασίες συνεκτικότητας στο πλαίσιο του ΓΚΠΔ
ΕΣΠΔ