Νόμιμη επεξεργασία προσωπικών δεδομένων

Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να βασίζονται σε «νομική βάση» για τη νόμιμη επεξεργασία των προσωπικών δεδομένων. Είναι σημαντικό να προσδιοριστεί η κατάλληλη νομική βάση, καθώς μπορεί να συνοδεύεται από ειδικές απαιτήσεις (π.χ. η συγκατάθεση πρέπει να είναι ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη) και να έχει συνέπειες στα δικαιώματα των ατόμων (π.χ. το δικαίωμα στη φορητότητα ισχύει μόνο όταν η νομική βάση είναι η συγκατάθεση ή η σύμβαση).

Σε αυτή τη σελίδα, θα βρείτε περισσότερες πληροφορίες σχετικά με τις διάφορες νομικές βάσεις στο πλαίσιο του ΓΚΠΔ. Μάθετε περισσότερα για τα δικαιώματα που ισχύουν ανά νομική βάση. 

Ποιες είναι οι υφιστάμενες νομικές βάσεις βάσει του ΓΚΠΔ;

Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται προσωπικά δεδομένα μόνο σε μία από τις ακόλουθες περιπτώσεις:

  • με τη συγκατάθεση των ενδιαφερομένων·
  • όταν υπάρχει συμβατική υποχρέωση (σύμβαση μεταξύ του οργανισμού σας και ενός ατόμου)·
  • για την εκπλήρωση νομικής υποχρέωσης δυνάμει της ενωσιακής ή εθνικής νομοθεσίας·
  • όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον δυνάμει της ενωσιακής ή εθνικής νομοθεσίας·
  • για την προστασία των ζωτικών συμφερόντων ενός ατόμου·
  • για τα έννομα συμφέροντα του οργανισμού σας (εκτός εάν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα των ατόμων).

Επιπλέον, ο ΓΚΠΔ θεσπίζει πρόσθετες προϋποθέσεις για την επεξεργασία ευαίσθητων δεδομένων.

Συγκατάθεση

Ο οργανισμός σας μπορεί να αποφασίσει να βασιστεί στη συγκατάθεση για την επεξεργασία προσωπικών δεδομένων.

Εάν ο υπεύθυνος επεξεργασίας χρησιμοποιεί τη συγκατάθεση ως νομική βάση για την επεξεργασία προσωπικών δεδομένων, πρέπει να διασφαλίζει ότι η συγκατάθεση αυτή παρέχεται ελεύθερα, εν πλήρει επιγνώσει, είναι συγκεκριμένη και αδιαμφισβήτητη. Αυτό σημαίνει ότι τα φυσικά πρόσωπα πρέπει να έχουν πραγματικά ελεύθερη επιλογή ως προς το αν συμφωνούν ή όχι με την επεξεργασία των προσωπικών τους δεδομένων· χρειάζονται επαρκείς πληροφορίες ώστε να μπορούν να κατανοήσουν ποια δεδομένα υποβάλλονται σε επεξεργασία, για ποιο σκοπό και πώς γίνεται αυτό· και πρέπει να είναι σε θέση να ανακαλέσουν ελεύθερα τη συγκατάθεσή τους (χωρίς αρνητικές συνέπειες) αν αλλάξουν γνώμη αργότερα.

Εάν ο οργανισμός πρέπει να επεξεργαστεί τα δεδομένα και δεν μπορεί πραγματικά να επιτρέψει στα φυσικά πρόσωπα να ανακαλέσουν τη συγκατάθεσή τους, αυτό αποτελεί ένδειξη ότι η συγκατάθεση δεν είναι η κατάλληλη νομική βάση για την επεξεργασία και είναι αναγκαίο να αξιολογηθεί εάν θα μπορούσε να εφαρμοστεί άλλη νομική βάση.

Προϋποθέσεις συγκατάθεσης

 

Ελεύθερη

Η συγκατάθεση παρέχεται ελεύθερα όταν τα άτομα είναι σε θέση να αρνηθούν και να ανακαλέσουν τη συγκατάθεσή τους χωρίς κίνδυνο εξωτερικής πίεσης ή αρνητικών συνεπειών. Τα άτομα πρέπει επίσης να έχουν το δικαίωμα να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή· αυτή η διαδικασία πρέπει να είναι εύκολη για τα άτομα (όσο εύκολη ήταν όταν την παρείχαν). Η ανάκληση της συγκατάθεσης δεν πρέπει να επηρεάζει την επεξεργασία των προσωπικών δεδομένων του ατόμου που πραγματοποιήθηκε πριν από την εν λόγω ανάκληση, όταν η συγκατάθεση εξακολουθούσε να ισχύει.

Για παράδειγμα, κατ’ αρχήν, οι εργαζόμενοι δεν είναι σε θέση να παρέχουν ελεύθερα τη συγκατάθεσή τους για την επεξεργασία που πραγματοποιείται από τον εργοδότη τους, καθώς μπορεί να αισθάνονται ότι δεν είναι σε θέση να απορρίψουν το αίτημα του εργοδότη τους.

 

Συγκεκριμένη

Για να είναι έγκυρη η συγκατάθεση, πρέπει επίσης να είναι συγκεκριμένη ως προς τον σκοπό της επεξεργασίας. Η προϋπόθεση αυτή συνδέεται στενά με την προϋπόθεση της συγκατάθεσης εν πλήρει επιγνώσει: τα φυσικά πρόσωπα πρέπει να ενημερώνονται για τους συγκεκριμένους σκοπούς σε απλή και κατανοητή γλώσσα, ώστε να έχουν σαφή ιδέα για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα τους. Αυτό σημαίνει επίσης ότι εάν αλλάξουν οι σκοποί της πράξης επεξεργασίας ή εάν προστεθούν πρόσθετες πράξεις επεξεργασίας, θα πρέπει να ζητηθεί εκ νέου η συγκατάθεσή τους. Ομοίως, εάν μια πράξη επεξεργασίας έχει πολλαπλούς σκοπούς, θα πρέπει να παρέχεται συγκατάθεση για καθέναν από αυτούς.

Για παράδειγμα, μια υπηρεσία συνεχούς ροής (streaming) συλλέγει τα προσωπικά δεδομένα των πελατών της για να τους προσφέρει εξατομικευμένες προτάσεις θέασης. Μετά από κάποιο χρονικό διάστημα, η υπηρεσία streaming αποφασίζει να μοιραστεί τα προσωπικά δεδομένα των πελατών της με τρίτους, ώστε να μπορούν να τους στέλνουν στοχευμένες διαφημίσεις με βάση τις συνήθειες θέασής τους. Δεδομένου ότι αυτός είναι ένας νέος σκοπός, η υπηρεσία streaming θα πρέπει να ζητήσει τη συγκατάθεση των πελατών της.

 

Εν πλήρει επιγνώσει

Όταν ζητάτε τη συγκατάθεση ενός ατόμου, ο οργανισμός σας πρέπει να διασφαλίζει ότι το αίτημα αυτό κοινοποιείται στο άτομο σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Θα πρέπει να παρέχονται πληροφορίες σχετικά με τους σκοπούς, την ταυτότητα του υπευθύνου επεξεργασίας, τις κατηγορίες δεδομένων, τους αποδέκτες και το δικαίωμα ανάκλησης της συγκατάθεσης.

 

Αδιαμφισβήτητη

Προκειμένου η συγκατάθεση να είναι αδιαμφισβήτητη, θα πρέπει να υπάρχει σαφής θετική ενέργεια (χωρίς προεπιλεγμένα τετραγωνίδια και χωριστά από τους ισχύοντες γενικούς όρους).

Συνιστάται η ανανέωση της συγκατάθεσης σε κατάλληλα χρονικά διαστήματα. Επιπλέον, πρέπει να είστε σε θέση να αποδείξετε ότι το άτομο του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία έχει δώσει τη συγκατάθεσή του, για παράδειγμα μέσω γραπτής ή υπογεγραμμένης δήλωσης ή με εκούσια ενέργεια όπως η συμπλήρωση τετραγωνιδίου.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
άρθρο 7 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
αιτιολογικές σκέψεις 42 και 43 του ΓΚΠΔ

EUR-Lex

Σύνδεσμος
Κατευθυντήριες γραμμές για τη συγκατάθεση

ΕΣΠΔ

Όροι που ισχύουν για τη συγκατάθεση των παιδιών

 

Ως υπεύθυνος επεξεργασίας δεδομένων, θα πρέπει να καταβάλλετε εύλογες προσπάθειες για να ελέγξετε την ηλικία του ατόμου.

Τα παιδιά ηλικίας 16 ετών και άνω θεωρούνται ότι μπορούν να δώσουν τη συγκατάθεσή τους.

Για παιδιά ηλικίας κάτω των 16 ετών, ο οργανισμός σας πρέπει να ζητήσει τη συγκατάθεση του νόμιμου κηδεμόνα ή γονέα του παιδιού. Σε αυτή την περίπτωση, θα πρέπει να καταβάλλετε εύλογες προσπάθειες για να ελέγξετε ότι το πρόσωπο που συναινεί εξ ονόματος του παιδιού έχει τη γονική μέριμνα. Επισημαίνεται, ωστόσο, ότι ο ΓΚΠΔ παρέχει στις χώρες της ΕΕ τη δυνατότητα, μέσω της εθνικής νομοθεσίας, να καθορίζουν την ηλικία συγκατάθεσης μεταξύ 13 και 16 ετών, όταν οι υπηρεσίες παρέχονται μέσω διαδικτύου. Ως εκ τούτου, συνιστάται να συμβουλεύεσθε το εθνικό σας δίκαιο σχετικά με το θέμα αυτό.

Όταν η συγκατάθεση μπορεί να παρέχεται από παιδιά, η γλώσσα που χρησιμοποιείται για την κοινοποίηση των πληροφοριών που σχετίζονται με την υπηρεσία θα πρέπει να προσαρμόζεται στην ηλικία τους.

Σύνδεσμος
άρθρο 8 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
Κατευθυντήριες γραμμές για τη συγκατάθεση

ΕΣΠΔ

Εκτέλεση σύμβασης

Η επεξεργασία των προσωπικών δεδομένων ενός ατόμου για την εκτέλεση σύμβασης αποτελεί έγκυρη νομική βάση, για παράδειγμα, στις ακόλουθες περιπτώσεις:

  • Ο οργανισμός σας πρέπει να επεξεργαστεί τα προσωπικά δεδομένα ενός ατόμου για την παροχή μιας υπηρεσίας.
  • Ένας δυνητικός πελάτης ή καταναλωτής σάς έχει ζητήσει να κάνετε κάτι πριν από τη σύναψη σύμβασης με τον οργανισμό σας, για παράδειγμα μπορεί να επιθυμεί να λάβει μια προσφορά για τις υπηρεσίες που παρέχετε, για τις οποίες μπορεί να χρειαστεί να επεξεργαστείτε ορισμένα από τα προσωπικά του δεδομένα.

Η επεξεργασία πρέπει να είναι απαραίτητη για την εκτέλεση σύμβασης. Στην πράξη, αυτό σημαίνει ότι ο οργανισμός σας δεν μπορεί να προχωρήσει στην εκτέλεση της σύμβασης ή της υπηρεσίας χωρίς τα εν λόγω προσωπικά δεδομένα. Συνιστάται ο οργανισμός σας να τεκμηριώνει τους λόγους για τους οποίους η επεξεργασία των δεδομένων ενός ατόμου είναι απαραίτητη για την εκτέλεση μιας σύμβασης.

Επιπλέον, θα πρέπει να προσπαθήσετε να συλλέξετε τον ελάχιστο αριθμό προσωπικών δεδομένων που απαιτούνται για την εκτέλεση της συμβατικής υπηρεσίας ή για τη λήψη σχετικών προσυμβατικών μέτρων. Ειδικότερα, δεν μπορείτε να χρησιμοποιήσετε τη σύμβαση για να διευρύνετε τεχνητά τις κατηγορίες προσωπικών δεδομένων ή τους τύπους πράξεων επεξεργασίας. Αντιθέτως, θα πρέπει να διασφαλίσετε ότι υπάρχει πραγματική αμοιβαία κατανόηση του συμβατικού σκοπού, με βάση τις προσδοκίες ενός μέσου ατόμου κατά τη σύναψη της σύμβασης.

Αυτή η νομική βάση μπορεί επίσης να ισχύει για ορισμένες ενέργειες που σχετίζονται με τη συμβατική εγγύηση, καθώς και για ορισμένες ενέργειες που μπορούν εύλογα να προβλεφθούν και είναι αναγκαίες στο πλαίσιο μιας κανονικής συμβατικής σχέσης, όπως η αποστολή επίσημων υπενθυμίσεων σχετικά με εκκρεμείς πληρωμές ή η διόρθωση σφαλμάτων ή καθυστερήσεων στην εκτέλεση της σύμβασης.

Αυτή η νομική βάση δεν ισχύει, ωστόσο, εάν επιθυμείτε να επεξεργαστείτε τα προσωπικά δεδομένα ενός ατόμου για σκοπούς μάρκετινγκ, πρόληψης απάτης, στοχευμένης διαφήμισης ή για οποιονδήποτε άλλο σκοπό που σχετίζεται με το επιχειρηματικό μοντέλο του οργανισμού σας. Σε τέτοιες περιπτώσεις, ενδέχεται να υπάρχουν άλλες νομικές βάσεις, όπως η συγκατάθεση ή το έννομο συμφέρον, υπό την προϋπόθεση ότι πληρούνται τα σχετικά κριτήρια.

Η νομοθεσία μπορεί επίσης να επιβάλλει την επεξεργασία προσωπικών δεδομένων ακόμη και μετά τη λήξη της σύμβασης (για παράδειγμα, τήρηση αρχείων για λογιστικούς σκοπούς).

Φυσικά, η σύμβαση πρέπει επίσης να είναι έγκυρη σύμφωνα με το εφαρμοστέο δίκαιο.

Στην πράξη

  • Είστε μια εταιρεία που πουλάει ρούχα, τόσο στο διαδίκτυο όσο και σε ένα φυσικό κατάστημα∙ μπορεί να χρειαστεί να επεξεργαστείτε ορισμένα από τα προσωπικά δεδομένα των πελατών σας, όπως στοιχεία πιστωτικής κάρτας, για να μπορέσετε να επεξεργαστείτε τις αγορές ρούχων που πραγματοποιούν οι πελάτες σας. Σε αυτή την περίπτωση, η επεξεργασία των προσωπικών δεδομένων των πελατών μπορεί να είναι απαραίτητη για την εκτέλεση μιας σύμβασης.
  • Είστε μια εταιρεία που παρέχει ασφάλειες κατοικίας. Ένας πιθανός πελάτης έχει ζητήσει μια προσφορά για την ασφάλιση της κατοικίας του. Ως εκ τούτου, ορισμένα από τα προσωπικά του δεδομένα μπορεί να είναι απαραίτητα για να του παράσχετε μια επακριβή τιμή για την ασφάλιση της κατοικίας του.
  • Είστε μια εταιρεία που πουλάει βιβλία, τα οποία ορισμένοι από τους πελάτες σας έχουν αγοράσει. Όταν αυτοί οι πελάτες αγόρασαν αυτά τα βιβλία, μπορεί να είχατε συλλέξει ορισμένα από τα προσωπικά τους δεδομένα, τα οποία ήταν απαραίτητα για την επεξεργασία της συναλλαγής. Τώρα επιθυμείτε να επεξεργαστείτε τα προσωπικά δεδομένα αυτών των πελατών, συμπεριλαμβανομένων των δεδομένων σχετικά με τις προηγούμενες αγορές τους, για να τους συστήσετε άλλα βιβλία που μπορεί να τους αρέσουν. Δεν μπορείτε να βασίζεστε στην επεξεργασία προσωπικών δεδομένων για την εκτέλεση μιας σύμβασης ως νομική βάση, επειδή η επεξεργασία των δεδομένων των πελατών με σκοπό τη διαφήμιση άλλων βιβλίων δεν είναι απαραίτητη για την εκτέλεση μιας σύμβασης.

Ως εκ τούτου, η εταιρεία σας θα πρέπει να ζητήσει τη συγκατάθεση των πελατών για να είναι σε θέση να διαφημίσει άλλα βιβλία σε αυτούς ή, ανάλογα με τις περιστάσεις, μπορεί να βασιστεί στο έννομο συμφέρον της.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
αιτιολογικές σκέψεις 43 του ΓΚΠΔ

EUR-Lex

Σύνδεσμος
Κατευθυντήριες γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής επιγραμμικών υπηρεσιών στα υποκείμενα των δεδομένων

ΕΣΠΔ

Συμμόρφωση με νομική υποχρέωση του υπευθύνου επεξεργασίας

Ο ΓΚΠΔ προβλέπει άλλη μια νομική βάση, και συγκεκριμένα: είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας δεδομένων.

Αυτή η νομική βάση μπορεί να χρησιμοποιηθεί όταν μια πράξη επεξεργασίας επιβάλλεται σε έναν οργανισμό από την ενωσιακή ή την εθνική νομοθεσία. Ειδικότερα, πρέπει να πληρούνται τέσσερις προϋποθέσεις:

  • η νομική υποχρέωση πρέπει να ορίζεται από το ενωσιακό ή το εθνικό δίκαιο στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας·
  • οι εν λόγω νομικές διατάξεις πρέπει να θεσπίζουν σαφή και συγκεκριμένη υποχρέωση επεξεργασίας των εν λόγω προσωπικών δεδομένων·
  • οι διατάξεις αυτές πρέπει τουλάχιστον να καθορίζουν τους σκοπούς της επεξεργασίας·
  • η υποχρέωση αυτή θα πρέπει να επιβάλλεται στον υπεύθυνο επεξεργασίας και όχι στα υποκείμενα των δεδομένων.

Εάν δεν πληρούνται αυτές οι προϋποθέσεις, η επεξεργασία δεν μπορεί να βασίζεται στη νομική υποχρέωση και πρέπει να αναζητηθεί άλλη νομική βάση.

Ο ΓΚΠΔ προβλέπει πολλές διαφορετικές περιστάσεις στις οποίες οι υπεύθυνοι επεξεργασίας δεδομένων είναι νομικά υποχρεωμένοι να επεξεργάζονται τα προσωπικά δεδομένα των πελατών τους. Για παράδειγμα, οι εργοδότες συνήθως πρέπει να επεξεργάζονται τα προσωπικά δεδομένα των εργαζομένων τους για σκοπούς κοινωνικής ασφάλισης ή μια επιχείρηση χρειάζεται συχνά να επεξεργάζεται τα προσωπικά δεδομένα των πελατών της για φορολογικούς σκοπούς.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Ζωτικά συμφέροντα ενός ατόμου

Η επεξεργασία δεδομένων για την προστασία των ζωτικών συμφερόντων ενός ατόμου μπορεί να γίνει μόνο σε σπάνιες και ειδικές περιπτώσεις. Αυτό μπορεί να συμβαίνει, για παράδειγμα, εάν χρειάζεται να επεξεργαστείτε προσωπικά δεδομένα για να προστατεύσετε τη ζωή κάποιου. Ωστόσο, βάσει του ΓΚΠΔ, η εν λόγω νομική βάση είναι πολύ περιορισμένης εμβέλειας και μπορεί να γίνει επίκλησή της μόνο σε περίπτωση έκτακτης ανάγκης.

Στην πράξη

Ο οργανισμός σας προσφέρει εκδρομές rafting. Κατά τη διάρκεια ενός από τα ταξίδια που οργανώνετε, ένας από τους συμμετέχοντες τραυματίζεται σοβαρά. Ως αποτέλεσμα, ο συμμετέχων είναι αναίσθητος και πρέπει να λάβει επείγουσα ιατρική περίθαλψη σε νοσοκομείο. Ως οργανισμός μπορεί να χρειαστεί να επικοινωνήσετε (= να επεξεργαστείτε) τα προσωπικά δεδομένα αυτού του ατόμου στο νοσοκομείο που πρέπει να το θεραπεύσει για να σώσει τη ζωή αυτού του ατόμου. Σε αυτό το πλαίσιο, μπορείτε να επεξεργαστείτε τα δεδομένα αυτού του ατόμου για να προστατεύσετε το ζωτικό συμφέρον του.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
αιτιολογική σκέψη 46 του ΓΚΠΔ

EUR-Lex

Δημόσιο συμφέρον

Σε ορισμένες ειδικές περιπτώσεις, ο οργανισμός σας ενδέχεται να είναι σε θέση να επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων για μια εργασία που εκτελείται προς το δημόσιο συμφέρον. Στην περίπτωση αυτή, η επεξεργασία πρέπει να βασίζεται στο ενωσιακό ή εθνικό δίκαιο. Ο σκοπός της πρέπει να καθορίζεται σε αυτή τη νομική βάση ή να είναι αναγκαίος για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας των δεδομένων. Ως εκ τούτου, αυτή η νομική βάση μπορεί να έχει σημασία, ιδίως, για πράξεις επεξεργασίας από δημόσιες αρχές με σκοπό την εκτέλεση των καθηκόντων τους.

Στην πράξη

Ο οργανισμός σας παρέχει ιατρικές υπηρεσίες, που περιλαμβάνουν οδοντίατρο και γενικό ιατρό. Μπορεί να χρειαστεί να επεξεργαστείτε τόσο τα προσωπικά δεδομένα του οδοντιάτρου όσο και του γενικού ιατρού για να διασφαλίσετε ότι τα προσόντα, η ηθική και η δεοντολογία τους πληρούν τα πρότυπα που ορίζονται στη χώρα όπου είναι εγκατεστημένος ο οργανισμός σας, ο οποίος παρέχει  ιατρικές υπηρεσίες.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
αιτιολογική σκέψη 45 του ΓΚΠΔ

EUR-Lex

Έννομο συμφέρον

Ο οργανισμός σας μπορεί να είναι σε θέση να επεξεργάζεται δεδομένα φυσικών προσώπων για θέματα έννομων συμφερόντων, υπό την προϋπόθεση ότι αυτά τα συμφέροντα (εμπορικά, προστασία της περιουσίας σας κ.λπ.) δεν δημιουργούν ανισορροπία εις βάρος των δικαιωμάτων και των συμφερόντων των ατόμων.

Ενώ ο ΓΚΠΔ και η σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) παρέχουν παραδείγματα έννομων συμφερόντων, δεν υπάρχει εξαντλητικός κατάλογος.

Ωστόσο, πρέπει να διασφαλίσετε ότι το συμφέρον αυτό πληροί ορισμένες απαιτήσεις:

  • πρέπει να είναι νόμιμο, σαφές, πραγματικό και ενεστώς·
  • η επεξεργασία πρέπει να είναι απαραίτητη για την επιδίωξη του συμφέροντος αυτού·
  • το έννομο συμφέρον πρέπει να λαμβάνει υπόψη τα δικαιώματα του ατόμου στην προστασία των δεδομένων, τα οποία δεν μπορούν να παραβλεφθούν. Στο πλαίσιο αυτής της απαίτησης, ο υπεύθυνος επεξεργασίας πρέπει να σταθμίζει το έννομο συμφέρον του με τα συμφέροντα ή τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και πρέπει επίσης να εξετάζει τι μπορεί ευλόγως να προσδοκούν τα πρόσωπα αυτά. Αυτή η εξισορρόπηση πρέπει να γίνεται υπό το πρίσμα των συγκεκριμένων συνθηκών υπό τις οποίες εκτελούνται οι εν λόγω διεργασίες.

Στην πράξη

Διευθύνετε μια εταιρεία ανακαινίσεων. Ένας από τους πελάτες σας αμφισβητεί την ποιότητα της ανακαίνισης της κουζίνας του και αρνείται να πληρώσει τον λογαριασμό στο ακέραιο. Ως πρώτο βήμα, διαβιβάζετε τα δεδομένα του πελάτη στον δικηγόρο σας προκειμένου να διαπραγματευτείτε έναν διακανονισμό με τον πελάτη.  Καθώς ο πελάτης εξακολουθεί να αρνείται να πληρώσει, αναθέτετε το ζήτημα σε μια εταιρεία είσπραξης οφειλών. Διαβιβάζετε μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για τη διαδικασία στην εταιρεία είσπραξης οφειλών και η εταιρεία διενεργεί μόνο περιορισμένους ελέγχους για να επιβεβαιώσει τα στοιχεία επικοινωνίας του πελάτη και να ξεκινήσει δικαστική διαδικασία.

Ενώ το πρώτο βήμα μπορεί να εξακολουθεί να εμπίπτει στην επεξεργασία που είναι αναγκαία για την εκτέλεση μιας σύμβασης, περαιτέρω μέτρα, όπως η πρόσληψη εταιρείας είσπραξης οφειλών, θα μπορούσαν να θεωρηθούν ότι εμπίπτουν στο έννομο συμφέρον του υπευθύνου επεξεργασίας. Δεδομένου ότι οι ενέργειες της εταιρείας δεν είναι πολύ παρεμβατικές και ο αντίκτυπος στον πελάτη είναι περιορισμένος, το έννομο συμφέρον θα μπορούσε να αποτελέσει κατάλληλη νομική βάση.

Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
αιτιολογική σκέψη 47 και 49 του ΓΚΠΔ

EUR-Lex

Επεξεργασία ευαίσθητων προσωπικών δεδομένων

Πρόσθετες απαιτήσεις ισχύουν εάν σκοπεύετε να επεξεργαστείτε δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός φυσικού προσώπου. Αυτές οι ειδικές κατηγορίες δεδομένων αναφέρονται συνήθως ως «ευαίσθητα δεδομένα».

Η επεξεργασία ευαίσθητων δεδομένων απαγορεύεται γενικά, εκτός από τις ακόλουθες ειδικές περιπτώσεις.

  • Το άτομο έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των ευαίσθητων δεδομένων του.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει τις υποχρεώσεις του, ιδίως στο πλαίσιο της απασχόλησης, της κοινωνικής ασφάλισης και της κοινωνικής προστασίας. Για παράδειγμα, ο υπεύθυνος επεξεργασίας δεδομένων ενδέχεται να χρειαστεί να επεξεργαστεί τα ευαίσθητα δεδομένα ενός προσώπου προκειμένου να είναι σε θέση να καθορίσει εάν δικαιούται ορισμένες παροχές κοινωνικής ασφάλισης ή επιδόματα απασχόλησης.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων ενός προσώπου όταν το φυσικό ή νομικό πρόσωπο είναι ανίκανο να δώσει τη συγκατάθεσή του. Για παράδειγμα, εάν ένα άτομο μείνει αναίσθητο λόγω ατυχήματος και απαιτεί άμεση ιατρική περίθαλψη, ενδέχεται να χρειαστεί επεξεργασία των ειδικών κατηγοριών προσωπικών δεδομένων για την παροχή της κατάλληλης ιατρικής περίθαλψης.
  • Η επεξεργασία ευαίσθητων δεδομένων πραγματοποιείται στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, ένωσης ή άλλης μη κερδοσκοπικής οργάνωσης με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό σκοπό, και μόνο για την επεξεργασία των προσωπικών δεδομένων των μελών τους, πρώην μελών ή προσώπων που έχουν τακτική επαφή μαζί τους.
  • Τα ευαίσθητα δεδομένα έχουν προδήλως δημοσιοποιηθεί από τα ίδια τα άτομα.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη στο πλαίσιο νομικών διαδικασιών.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για θέματα ουσιαστικού δημόσιου συμφέροντος.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη στο πλαίσιο της προληπτικής ή επαγγελματικής ιατρικής. Για παράδειγμα, η αξιολόγηση των ευαίσθητων δεδομένων ενός ατόμου, όπως τα ιατρικά του δεδομένα, μπορεί να είναι απαραίτητη για τον προσδιορισμό της ικανότητας εργασίας του στο πλαίσιο εργασιακής σχέσης.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για θέματα δημόσιας υγείας βάσει του ενωσιακού ή του εθνικού δικαίου. Για παράδειγμα, η επεξεργασία ευαίσθητων δεδομένων φυσικών προσώπων μπορεί να είναι απαραίτητη για τη διασφάλιση υψηλής ποιότητας υγειονομικής περίθαλψης και υψηλής ποιότητας ιατρικών προϊόντων ή για την καταπολέμηση σοβαρών απειλών κατά της υγείας, όπως οι ιοί.
  • Η επεξεργασία ευαίσθητων δεδομένων είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για επιστημονικούς, στατιστικούς, ιστορικούς ή ερευνητικούς σκοπούς. Για παράδειγμα, η επεξεργασία ευαίσθητων δεδομένων μπορεί να είναι απαραίτητη για την παροχή στατιστικών στοιχείων με ακρίβεια σχετικά με την κατάσταση μιας χώρας σε συγκεκριμένο τομέα.

Κατάλογος ελέγχου για την επεξεργασία ευαίσθητων προσωπικών δεδομένων

  • Διερωτηθείτε αν πρέπει να επεξεργαστείτε τις ειδικές κατηγορίες προσωπικών δεδομένων ενός ατόμου για την προβλεπόμενη επεξεργασία.
  • Προσδιορίστε τη νομική βάση (= νομική αιτιολόγηση) για την επεξεργασία των προσωπικών δεδομένων ενός ατόμου. Θα πρέπει να ανατρέξετε στο άρθρο 6 του ΓΚΠΔ.
  • Προσδιορίστε εάν τηρούνται οι πρόσθετοι όροι για την επεξεργασία ευαίσθητων δεδομένων. Θα πρέπει να ανατρέξετε στο άρθρο 9 του ΓΚΠΔ.
  • Προσδιορίστε τους κινδύνους και τις διασφαλίσεις για την προστασία των δεδομένων, όπως τα τεχνικά και οργανωτικά μέτρα που ενδέχεται να χρειαστεί να θέσει σε εφαρμογή ο οργανισμός σας κατά την επεξεργασία των ειδικών κατηγοριών προσωπικών δεδομένων των ατόμων.
  • Μην ξεχνάτε να τηρείτε αρχείο με τους λόγους για τους οποίους επεξεργάζεστε τις ειδικές κατηγορίες προσωπικών δεδομένων ενός ατόμου, τους κινδύνους που μπορεί να συνεπάγεται αυτό, καθώς και τα μέτρα που έχετε θέσει σε εφαρμογή για τον μετριασμό αυτών των κινδύνων.
Σύνδεσμος
άρθρο 6 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
άρθρο 9 ΓΚΠΔ

EUR-Lex

Σύνδεσμος
άρθρο 32 του ΓΚΠΔ

EUR-Lex

Σύνδεσμος
Πότε μπορούν να υποβληθούν σε επεξεργασία τα προσωπικά δεδομένα;

Ευρωπαϊκή Επιτροπή