Τι είναι τα προσωπικά δεδομένα;
Προσωπικά δεδομένα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο άτομο.
Παραδείγματα του είδους των πληροφοριών που μπορούν να επιτρέψουν την άμεση ή έμμεση ταυτοποίηση ενός ατόμου και, ως εκ τούτου, να χαρακτηριστούν ως προσωπικά δεδομένα, είναι:
- όνομα, επώνυμο, αριθμοί τηλεφώνου πελατών, ενδιαφερόμενων μερών, εργαζομένων, παρόχων·
- αριθμοί αναγνώρισης, όπως αριθμός πελάτη-φυσικού προσώπου, αριθμός υπαλλήλου-φυσικού προσώπου,
- αριθμός κράτησης·
- διευθύνσεις ηλεκτρονικού ταχυδρομείου, δεδομένα θέσης·
- ιστορικό περιήγησης ενός ατόμου·
- ιστορικό αγορών και οι αποδείξεις ενός ατόμου·
- φωτογραφίες, βίντεο και ηχογραφήσεις που περιέχουν εικόνες ή ήχους ατόμων.
Με αυτά τα προσωπικά δεδομένα ένα άτομο μπορεί να ταυτοποιηθεί άμεσα ή έμμεσα:
- εάν ο οργανισμός σας επεξεργάζεται, για παράδειγμα, το όνομα ή το επώνυμο ενός ατόμου, τα εν λόγω προσωπικά δεδομένα επιτρέπουν την άμεση ταυτοποίηση του εν λόγω ατόμου·
- εάν ο οργανισμός σας επεξεργάζεται, για παράδειγμα, τον αριθμό πελάτη ή τον αριθμό κράτησης, αυτά τα προσωπικά δεδομένα ενδέχεται να επιτρέπουν την έμμεση ταυτοποίηση του εν λόγω ατόμου.
- Κάθε είδος πληροφοριών που υποβάλλονται σε επεξεργασία σε σχέση με το άτομο που ταυτοποιείται άμεσα ή έμμεσα (π.χ. προτιμήσεις, συνήθειες) θεωρούνται επίσης προσωπικά δεδομένα.
Διαβάστε περισσότερα
Ειδικές κατηγορίες προσωπικών δεδομένων
Ορισμένα είδη προσωπικών δεδομένων, τα οποία συνήθως καλούνται ευαίσθητα δεδομένα, ανήκουν σε ειδικές κατηγορίες που χρήζουν μεγαλύτερης προστασίας. Σύμφωνα με το άρθρο 9 του ΓΚΠΔ, τα ευαίσθητα δεδομένα περιλαμβάνουν δεδομένα που αποκαλύπτουν πληροφορίες σχετικά με:
- την υγεία ενός ατόμου·
- τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός ατόμου·
- τη φυλετική ή εθνοτική καταγωγή ενός ατόμου·
- τις πολιτικές πεποιθήσεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ενός ατόμου·
- τα βιομετρικά και γενετικά δεδομένα ενός ατόμου·
- τη συμμετοχή σε συνδικαλιστικές οργανώσεις.
Η επεξεργασία ευαίσθητων δεδομένων ενός ατόμου κατ’ αρχήν απαγορεύεται, εκτός από συγκεκριμένες περιστάσεις που δικαιολογούν την επεξεργασία αυτή (όπως η ρητή συγκατάθεση).
Για περισσότερες λεπτομέρειες σχετικά με τις συνθήκες υπό τις οποίες μπορούν να υποβληθούν σε επεξεργασία ευαίσθητα δεδομένα, δείτε Νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα
Προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα
Η επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα υπόκειται σε αυστηρούς νομικούς όρους. Αυτά τα προσωπικά δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο από επίσημη αρχή, όπως η αστυνομία, υπό τον έλεγχο επίσημης αρχής ή εφόσον επιτρέπεται από το εθνικό δίκαιο.
Κατάλογος ελέγχου ορθών πρακτικών του ΓΚΠΔ
- Αναρωτηθείτε αν ο σκοπός για τον οποίο μπορούν να συλλεχθούν τα προσωπικά δεδομένα είναι δικαιολογημένος.
- Συλλέγετε μόνο προσωπικά δεδομένα που είναι απαραίτητα για τον/τους συγκεκριμένο/-ους επιδιωκόμενο/-ους σκοπό/-ούς.
- Ενημερώνετε τα φυσικά πρόσωπα σχετικά με το πώς και για ποιους σκοπούς μπορούν να υποβάλλονται σε επεξεργασία τα προσωπικά τους δεδομένα.
- Ελέγχετε αν διαθέτετε κατάλληλη νομική βάση για την επεξεργασία προσωπικών δεδομένων. Σε περίπτωση που σκοπεύετε να βασιστείτε στη συγκατάθεση των φυσικών προσώπων, ζητήστε τη συγκατάθεσή τους πριν από την επεξεργασία των προσωπικών τους δεδομένων.
- Βεβαιωθείτε ότι τα προσωπικά δεδομένα των ατόμων τυγχάνουν χειρισμού με ασφαλή τρόπο.
- Διατηρείτε τα προσωπικά δεδομένα των ατόμων ακριβή και ενημερωμένα.
- Διαγράφετε τα προσωπικά δεδομένα των ατόμων όταν δεν είναι πλέον απαραίτητα. Λάβετε υπόψη ότι η εθνική νομοθεσία μπορεί να σας υποχρεώσει να διατηρήσετε ορισμένα δεδομένα (π.χ. για φορολογικούς λόγους).
Τι σημαίνει επεξεργασία προσωπικών δεδομένων;
Η επεξεργασία των προσωπικών δεδομένων των φυσικών προσώπων περιλαμβάνει κάθε είδους δραστηριότητα (πράξη επεξεργασίας) που εκτελείται με αυτοματοποιημένα μέσα ή μη στα προσωπικά δεδομένα των φυσικών προσώπων.
Παραδείγματα πράξεων επεξεργασίας περιλαμβάνουν τη συλλογή, την καταγραφή, την οργάνωση, τη χρήση, την τροποποίηση, την αποθήκευση, την αποκάλυψη προσωπικών δεδομένων φυσικών προσώπων.
Ακόμη και αν ο ΓΚΠΔ αφορά κυρίως την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, οι πράξεις επεξεργασίας που εκτελούνται με μη αυτόματο τρόπο θα υπόκεινται επίσης στον ΓΚΠΔ από τη στιγμή που τα έντυπα αρχεία οργανώνονται με συστηματικό τρόπο, π.χ. με αλφαβητική σειρά σε αρχειοθήκη.
Διαβάστε περισσότερα
Εφαρμόζεται ο ΓΚΠΔ στον οργανισμό σας;
Ο ΓΚΠΔ μπορεί να εφαρμοστεί σε όλους τους ιδιωτικούς και δημόσιους οργανισμούς εάν:
- ο οργανισμός είναι εγκατεστημένος στην ΕΕ ή στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ ‒ χώρες της ΕΕ + Ισλανδία, Λιχτενστάιν και Νορβηγία)·
- ο οργανισμός δεν είναι εγκατεστημένος στον ΕΟΧ, αλλά τα προϊόντα ή οι υπηρεσίες του προσφέρονται σε άτομα που βρίσκονται στον ΕΟΧ, ή ο οργανισμός παρακολουθεί τη συμπεριφορά των ατόμων που βρίσκονται στον ΕΟΧ.
Ο ΓΚΠΔ εφαρμόζεται επίσης με τον ίδιο τρόπο σε κάθε υπεργολάβο που ενδέχεται να επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων για λογαριασμό ιδιωτικού ή δημόσιου οργανισμού.
Στην πράξη, ο ΓΚΠΔ εφαρμόζεται σε εσάς εάν ισχύει μία από τις ακόλουθες προϋποθέσεις
- Είστε εταιρεία με έδρα σε χώρα του ΕΟΧ·
- Είστε οργανισμός με έδρα σε χώρα εκτός ΕΟΧ, ο οποίος πωλεί αγαθά ή προσφέρει υπηρεσίες, ακόμη και δωρεάν, με στόχο άτομα σε χώρα του ΕΟΧ·
- Είστε εταιρεία πληροφορικής με έδρα σε χώρα εκτός ΕΟΧ, στην οποία έχει ανατεθεί υπεργολαβικά από ιδιωτικό οργανισμό που εδρεύει στον ΕΟΧ η διαχείριση των βάσεων δεδομένων ΤΠ, όπως η βάση δεδομένων πελάτη·
- Είστε πάροχος υπηρεσιών με έδρα τον ΕΟΧ και επεξεργάζεστε προσωπικά δεδομένα για λογαριασμό άλλης εταιρείας.
Οι βασικές αρχές του ΓΚΠΔ
Κατά την επεξεργασία των προσωπικών δεδομένων των ατόμων, ο οργανισμός σας πρέπει να συμμορφώνεται με τις ακόλουθες 6 βασικές αρχές του ΓΚΠΔ. Επιπλέον, ο οργανισμός σας πρέπει να είναι σε θέση να αποδεικνύει τη συμμόρφωσή του με αυτές τις αρχές.
Νομιμότητα, αντικειμενικότητα και διαφάνεια
Κάθε επεξεργασία προσωπικών δεδομένων πρέπει να είναι νόμιμη, αντικειμενική και διαφανής.
Ο οργανισμός σας μπορεί να επεξεργάζεται τα προσωπικά δεδομένα ενός ατόμου μόνο εάν η σχεδιαζόμενη πράξη επεξεργασίας είναι νόμιμη· ως εκ τούτου, βασίζεται στη συγκατάθεση του ατόμου, είναι απαραίτητη για την εκτέλεση μιας σύμβασης, ή βασίζεται σε μία από τις άλλες νομικές βάσεις για την επεξεργασία δεδομένων που αναφέρονται στο άρθρο 6 του ΓΚΠΔ.
Εάν η επεξεργασία βασίζεται στη συγκατάθεση, ο οργανισμός σας πρέπει να διασφαλίσει ότι η συγκατάθεση αυτή παρέχεται ελεύθερα, είναι συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη. Με άλλα λόγια, δεν πρέπει να υπάρχει αμφιβολία ότι τα άτομα γνωρίζουν σε τι συμφωνούν, για ποιους σκοπούς γίνεται η επεξεργασία και ότι αυτή η συγκατάθεση δόθηκε ενεργά πριν από την έναρξη της επεξεργασίας. Επιπλέον, τα άτομα θα πρέπει να είναι σε θέση να ανακαλούν ελεύθερα τη συγκατάθεσή τους. Εάν αντιληφθείτε ότι η επεξεργασία των δεδομένων τους θα είναι ούτως ή άλλως απαραίτητη (δηλαδή στο πλαίσιο σύμβασης), αυτό σημαίνει ότι η συγκατάθεση δεν αποτελεί την κατάλληλη νομική βάση.
Περιορισμός του σκοπού
Ο οργανισμός σας μπορεί να συλλέγει προσωπικά δεδομένα μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς. Η επεξεργασία των δεδομένων ενός ατόμου πρέπει να περιορίζεται αυστηρά στους σκοπούς που καθορίστηκαν αρχικά και, ως εκ τούτου, να μην υποβάλλονται σε επεξεργασία για μεταγενέστερους ή άλλους σκοπούς που είναι ασύμβατοι με τους αρχικούς σκοπούς.
Ελαχιστοποίηση δεδομένων
Ο οργανισμός σας μπορεί να επεξεργάζεται μόνο προσωπικά δεδομένα που είναι απαραίτητα και αναλογικά σε σχέση με τον επιδιωκόμενο σκοπό.
Ακρίβεια
Τα προσωπικά δεδομένα των ατόμων που επεξεργάζεται ο οργανισμός σας πρέπει να είναι ακριβή και ενημερωμένα. Τα ανακριβή προσωπικά δεδομένα πρέπει να διορθώνονται ή να διαγράφονται.
Περιορισμός της περιόδου αποθήκευσης
Η αποθήκευση των προσωπικών δεδομένων των φυσικών προσώπων πρέπει να είναι χρονικά περιορισμένη, υπό το πρίσμα του σκοπού για τον οποίο συλλέχθηκαν και υποβλήθηκαν σε επεξεργασία τα δεδομένα αυτά. Ως εκ τούτου, τα προσωπικά δεδομένα των φυσικών προσώπων πρέπει να διαγράφονται ή να ανωνυμοποιούνται όταν τα δεδομένα αυτά δεν είναι πλέον απαραίτητα. Στην πράξη, αυτό σημαίνει ότι ο οργανισμός σας θα πρέπει να εφαρμόζει μια εσωτερική πολιτική σχετικά με τις περιόδους διατήρησης δεδομένων για κάθε διαφορετικό σκοπό, καθώς και μια διαδικασία για τη διαγραφή των δεδομένων.
Ασφάλεια
Η επεξεργασία των δεδομένων των φυσικών προσώπων πρέπει να γίνεται με ασφαλή τρόπο. Υπό την έννοια αυτή, πρέπει να θεσπιστούν ισχυρές διασφαλίσεις για την προστασία των δεδομένων, όπως κατάλληλα μέτρα κυβερνοασφάλειας, ώστε να διασφαλίζεται η επαρκής προστασία των δεδομένων των φυσικών προσώπων. Τα μέτρα αυτά πρέπει να αποτρέπουν την τυχαία, μη εξουσιοδοτημένη ή παράνομη αποκάλυψη, απώλεια, καταστροφή ή ζημία των προσωπικών δεδομένων των φυσικών προσώπων.
Διαβάστε περισσότερα
γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) του ΓΚΠΔ στο πλαίσιο της παροχής επιγραμμικών υπηρεσιών στα υποκείμενα των δεδομένων
ΕΣΠΔ