Τεχνολογια - Επιστημη

20 ερωτήσεις και απαντήσεις για την εφαρμογή του GDPR

Ο νέος ευρωπαϊκός Γενικός Κανονισμός για την Προστασία των Δεδομένων τίθεται σε ισχύ από τις 25 Μαΐου. Τι αλλάζει;

Δημήτρης Αθανασιάδης
10’ ΔΙΑΒΑΣΜΑ

Από τις 25 Μαΐου 2018, με την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (General Data Protection Regulation), θα ισχύει η ίδια δέσμη κανόνων για την προστασία των δεδομένων σε όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και εάν βρίσκεται η έδρα τους.

Η εφαρμογή αυστηρότερων κανόνων για την προστασία των δεδομένων συνεπάγεται, κατά το σκεπτικό της Κομισιόν, ότι οι πολίτες θα ελέγχουν καλύτερα τα δεδομένα τους προσωπικού χαρακτήρα και οι επιχειρήσεις θα ωφεληθούν από την εφαρμογή ισότιμων όρων ανταγωνισμού, αποτελώντας μια από τις μεγαλύτερες μεταρρυθμίσεις των τελευταίων χρόνων.

Μάθετε πώς προστατεύονται τα δεδομένα προσωπικού χαρακτήρα που σας αφορούν, τα δικαιώματα που σας βοηθούν να επανακτήσετε τον έλεγχο των δεδομένων σας και τι να κάνετε εάν τα πράγματα πάνε στραβά.

Τι αποτελεί επεξεργασία δεδομένων;

Ο όρος «επεξεργασία» καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται στην εξ ολοκλήρου ή μερική επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη μη αυτοματοποιημένη επεξεργασία, εάν αποτελεί μέρος διαρθρωμένου συστήματος αρχειοθέτησης.

Ποια είναι χαρακτηριστικά παραδείγματα επεξεργασίας δεδομένων;

  • διαχείριση προσωπικού και μισθοδοσία
  • προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα
  • αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων
  • καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα
  • δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο
  • αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC
  • μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).

Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;

Ο ΓΚΠΔ εφαρμόζεται:

α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων· ή

β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ.

Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον ΓΚΠΔ. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)]. Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Τι είναι τα δεδομένα προσωπικού χαρακτήρα;

Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή. Σε όλες τις περιπτώσεις τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας που προβλέπει ο ΓΚΠΔ.

Ποια είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα;

  • όνομα και επώνυμο
  • διεύθυνση κατοικίας
  • ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com
  • αναγνωριστικός αριθμός κάρτας
  • δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)
  • διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
  • αναγνωριστικό cookie
  • το αναγνωριστικό διαφήμισης του τηλεφώνου σας
  • δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.

Ποια είναι παραδείγματα δεδομένων που δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα;

  • αριθμός μητρώου εταιρείας
  • ηλεκτρονική διεύθυνση του τύπου πληροφορίες@εταιρεία.com
  • ανώνυμα δεδομένα.

Ποια δεδομένα προσωπικού χαρακτήρα θεωρούνται ευαίσθητα;

Τα παρακάτω δεδομένα προσωπικού χαρακτήρα θεωρούνται «ευαίσθητα» και υπόκεινται σε συγκεκριμένες προϋποθέσεις επεξεργασίας:

  • δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  • συμμετοχή σε συνδικαλιστική οργάνωση
  • γενετικά δεδομένα, βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου
  • δεδομένα σχετικά με την υγεία
  • δεδομένα σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός ατόμου.

Πώς προστατεύονται τα δεδομένα σχετικά με τις θρησκευτικές πεποιθήσεις / τον γενετήσιο προσανατολισμό / την υγεία / τα πολιτικά φρονήματά μου;

Οι παρακάτω ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θεωρούνται «ευαίσθητες» και λαμβάνουν ειδική προστασία σύμφωνα με τον ΓΚΠΔ:

  • φυλετική ή εθνοτική καταγωγή
  • πολιτικά φρονήματα
  • θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  • συμμετοχή σε συνδικαλιστική οργάνωση
  • επεξεργασία γενετικών δεδομένων
  • βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου·
  • υγεία
  • σεξουαλική ζωή ή γενετήσιος προσανατολισμός.

Ο γενικός κανόνας είναι ότι η επεξεργασία δεδομένων των ανωτέρω κατηγοριών απαγορεύεται. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις βάσει των οποίων μια εταιρεία ή ένας οργανισμός μπορεί ενδεχομένως να επεξεργάζεται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όταν για παράδειγμα:

  • έχετε προδήλως δημοσιοποιήσει τα ευαίσθητα δεδομένα σας
  • έχετε δώσει ρητή συγκατάθεση
  • υπάρχει νόμος ο οποίος διέπει έναν συγκεκριμένο τύπο επεξεργασίας δεδομένων για συγκεκριμένο σκοπό που αφορά το δημόσιο συμφέρον ή τη δημόσια υγεία
  • νόμος που συμπεριλαμβάνει επαρκείς εγγυήσεις προβλέπει την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε τομείς όπως η δημόσια υγεία, η απασχόληση και η κοινωνική προστασία.

Οι κανόνες ισχύουν για τις μικρομεσαίες επιχειρήσεις;

Ναι, η εφαρμογή του κανονισμού για την προστασία των δεδομένων δεν εξαρτάται από το μέγεθος της εταιρείας ή του οργανισμού σας αλλά από τη φύση των δραστηριοτήτων σας. Οι δραστηριότητες που ενέχουν υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, είτε πραγματοποιούνται από μια ΜΜΕ είτε από μια μεγάλη επιχείρηση, συνεπάγονται την εφαρμογή πιο αυστηρών κανόνων. Ωστόσο, μερικές από τις υποχρεώσεις του ΓΚΠΔ μπορεί να μην εφαρμόζονται σε όλες τις ΜΜΕ.

Για παράδειγμα, εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους δεν χρειάζεται να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας εκτός εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί τακτική δραστηριότητα, ενέχει κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων ή αφορά ευαίσθητα δεδομένα ή ποινικά μητρώα.

Παρομοίως, οι ΜΜΕ θα πρέπει να διορίσουν έναν υπεύθυνο προστασίας δεδομένων μόνο εάν η επεξεργασία συνιστά την κύρια επιχειρηματική τους δραστηριότητα και ενέχει συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (όπως η παρακολούθηση φυσικών προσώπων ή η επεξεργασία ευαίσθητων δεδομένων ή ποινικώ

Ποια είναι τα δικαιώματα των χρηστών;

Με την εφαρμογή του ΓΚΠΔ οι χρήστες έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιος επεξεργάζεται τα προσωπικά δεδομένα τους αλλά γιατί. Μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποια ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς αλλά και να απαιτούν τη διαγραφή τους από τις βάσεις δεδομένων εταιρειών. Αυτό εκτός από τις εταιρείες τεχνολογίες, όπως η Google, το Facebook και το Twitter για παράδειγμα, αφορά και τις τράπεζες, καταστήματα λιανεμπορίου και όποια εταιρεία ή οργανισμό διατηρεί προσωπικά δεδομένα, συμπεριλαμβανομένου του εργοδότη.

Τι ισχύει αν χαθούν ή κλαπούν online προσωπικά δεδομένα;

Σε αυτή την περίπτωση η εταιρεία είναι υποχρεωμένη να ενημερώσει εντός 72 ωρών το άτομο. Σε διαφορετική περίπτωση κινδυνεύει με πρόστιμο. Σε περίπτωση που κάποιος έχει υποστεί ζημία, έχει πλέον το δικαίωμα να προσφύγει στη δικαιοσύνη ζητώντας αποζημίωση.

Τι σημαίνει το δικαίωμα της «φορητότητας δεδομένων»;

Με την εφαρμογή του ΓΚΠΔ δεν επιτρέπεται τα δεδομένα ενός προσώπου να «ασφαλίζονται» σε μια εταιρεία ή σε ένα πάροχο υπηρεσιών και ο χρήστης θα μπορεί να λαμβάνει τα προσωπικά του δεδομένα και να τα μεταφέρει εκεί που επιθυμεί. Αυτό μπορεί να ισχύει για μια λίστα τραγουδιών στο Spotify  που μπορεί κάποιος να μεταφέρει σε μια άλλη ανταγωνιστική υπηρεσία αλλά και για οικονομικά δεδομένα που διαχειρίζεται μια τράπεζα.  

Ισχύουν οι κανόνες προστασίας δεδομένων για τα δεδομένα εταιρείας;

Όχι, οι κανόνες ισχύουν μόνο για τα δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων, δεν διέπουν τα δεδομένα που αφορούν εταιρείες ή άλλες νομικές οντότητες. Ωστόσο, πληροφορίες που σχετίζονται με μονοπρόσωπες εταιρείες μπορεί να αποτελούν δεδομένα προσωπικού χαρακτήρα όταν καθιστούν δυνατή την ταυτοποίηση ενός φυσικού προσώπου. Οι κανόνες ισχύουν επίσης για όλα τα δεδομένα προσωπικού χαρακτήρα που σχετίζονται με φυσικά πρόσωπα κατά τη διάρκεια επαγγελματικής δραστηριότητας, όπως είναι, π.χ., οι εργαζόμενοι μιας εταιρείας/ενός οργανισμού, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου επιχείρησης του τύπου «όνομα.επώνυμο@εταιρεία.eu» ή οι επαγγελματικοί αριθμοί τηλεφώνου εργαζομένων.

Πώς μπορώ να έχω πρόσβαση στα δεδομένα μου προσωπικού χαρακτήρα που κατέχει μια εταιρεία/ένας οργανισμός;

Έχετε το δικαίωμα να ζητήσετε και να λάβετε επιβεβαίωση από την εταιρεία/τον οργανισμό σχετικά με το εάν διαθέτει ή όχι δεδομένα προσωπικού χαρακτήρα που σας αφορούν.

Εάν πράγματι διαθέτουν δεδομένα σας προσωπικού χαρακτήρα, τότε έχετε το δικαίωμα να αποκτήσετε πρόσβαση στα εν λόγω δεδομένα, να σας παράσχουν ένα αντίγραφο και να λάβετε τυχόν σχετικές επιπλέον πληροφορίες (όπως ο λόγος επεξεργασίας των δεδομένων σας προσωπικού χαρακτήρα, οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται κ.λπ.).

Το δικαίωμα πρόσβασης θα πρέπει να μπορεί να ασκηθεί με ευκολία και να παρέχεται ανά «εύλογο χρονικό διάστημα». Η εταιρεία ή ο οργανισμός θα πρέπει να παρέχει ένα αντίγραφο των δεδομένων σας προσωπικού χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα είναι δυνατό να υπόκεινται σε λογικές χρεώσεις. Όταν το αίτημα υποβάλλεται με ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού μηνύματος), και εκτός εάν υποβάλετε διαφορετικό αίτημα, οι πληροφορίες θα πρέπει να παρέχονται σε ηλεκτρονική μορφή που χρησιμοποιείται ευρέως.

Αυτό το δικαίωμα δεν είναι απόλυτο: η χρήση του δικαιώματος πρόσβασης στα προσωπικά σας δεδομένα δεν θα πρέπει να επηρεάζει τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή δικαιώματα διανοητικής ιδιοκτησίας.

Τι θα αλλάξει στις 25 Μαΐου στην εμπειρία πλοήγησης των χρηστών;

Καθιστώντας δυσκολότερη τη στοχευμένη ηλεκτρονική διαφήμιση, οι χρήστες που ζουν στην Ευρωπαϊκή Ένωση σε αντίθεση με τις ΗΠΑ, θα δουν λιγότερες διαφημίσεις να εμφανίζονται μετά από μια ηλεκτρονική αγορά τους, καθώς περιορίζεται η συλλογή και πώληση πληροφοριών από ιστοσελίδες και απαιτείται πρώτα η λήψη άδειας.

Τι πληροφορίες πρέπει να παρέχονται στα άτομα των οποίων δεδομένα συλλέγονται;

Τη στιγμή της συλλογής δεδομένων, πρέπει να παρέχονται με σαφήνεια στα άτομα πληροφορίες οπωσδήποτε για τα εξής:

  • ποια είναι η εταιρεία ή ο οργανισμός σας (τα στοιχεία επικοινωνίας σας και τα στοιχεία του ΥΠΔ, εάν υπάρχει)
  • τον λόγο για τον οποίο θα χρησιμοποιηθούν τα παρεχόμενα δεδομένα προσωπικού χαρακτήρα (σκοποί)
  • τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα
  • τη νομική αιτιολόγηση για την επεξεργασία των δεδομένων των ατόμων
  • το χρονικό διάστημα για το οποίο θα φυλαχθούν τα δεδομένα
  • ποιοι άλλοι μπορεί να τα λάβουν
  • εάν τα δεδομένα τους προσωπικού χαρακτήρα θα διαβιβαστούν σε αποδέκτη εκτός της ΕΕ
  • ότι τα άτομα έχουν δικαίωμα να λάβουν αντίγραφο των δεδομένων (δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα) και άλλα βασικά δικαιώματα στον τομέα της προστασίας δεδομένων (δείτε πλήρη κατάλογο των δικαιωμάτων)
  • το δικαίωμα υποβολής καταγγελίας ενώπιον αρχής προστασίας δεδομένων (ΑΠΔ)
  • το δικαίωμα ανάκλησης της συγκατάθεσής τους οποιαδήποτε στιγμή
  • ενδεχομένως, την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων και τη λογική αυτής, συμπεριλαμβανομένων των σχετικών συνεπειών.

Μπορούν να χρησιμοποιηθούν για εμπορική προώθηση δεδομένα που έχουν παρασχεθεί από τρίτο;

Πριν να αποκτήσετε έναν κατάλογο επαφών ή μια βάση δεδομένων με στοιχεία επικοινωνίας φυσικών προσώπων από άλλον οργανισμό, ο εν λόγω οργανισμός πρέπει να μπορεί να αποδείξει ότι τα δεδομένα αποκτήθηκαν σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων και ότι μπορούν να χρησιμοποιηθούν για διαφημιστικούς σκοπούς. Για παράδειγμα, εάν ο οργανισμός απέκτησε τα δεδομένα βάσει συγκατάθεσης, η συγκατάθεση θα πρέπει να περιελάβανε τη δυνατότητα διαβίβασης των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης.

Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι ο κατάλογος ή η βάση δεδομένων είναι ενημερωμένα και ότι δεν αποστέλλετε διαφημιστικό υλικό σε φυσικά πρόσωπα που αρνήθηκαν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι, εάν χρησιμοποιεί μέσα επικοινωνίας όπως ηλεκτρονικά μηνύματα για σκοπούς άμεσης εμπορικής προώθησης, συμμορφώνεται με τους κανόνες που θεσπίζονται στην οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Ποια δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις;

Το είδος και ο όγκος των δεδομένων προσωπικού χαρακτήρα που μπορεί να επεξεργάζεται η εταιρεία ή ο οργανισμός σας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο οργανισμός πρέπει να τηρεί διάφορους βασικούς κανόνες, όπως τους εξής:

  • τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία («νομιμότητα, αντικειμενικότητα και διαφάνεια»)
  • πρέπει να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των δεδομένων και η εταιρεία ή ο οργανισμός πρέπει να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα δεδομένα τους προσωπικού χαρακτήρα. Δεν μπορεί απλώς να συλλέγει δεδομένα προσωπικού χαρακτήρα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)
  • η εταιρεία ή ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)
  • η εταιρεία ή ο οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, και να τα διορθώνει στην αντίθετη περίπτωση («ακρίβεια»)
  • η εταιρεία ή ο οργανισμός δεν μπορεί να κάνει περαιτέρω χρήση των δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό
  • η εταιρεία ή ο οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)
  • η εταιρεία ή ο οργανισμός πρέπει να υλοποιήσει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).

Πόσα δεδομένα μπορούν να συλλεγούν;

Δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία μόνο στις περιπτώσεις που δεν είναι ευλόγως εφικτό να πραγματοποιηθεί η επεξεργασία με άλλον τρόπο. Όπου είναι δυνατόν, πρέπει να προτιμάται η χρήση ανώνυμων δεδομένων. Στις περιπτώσεις όπου απαιτούνται δεδομένα προσωπικού χαρακτήρα, αυτά πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε αυτά που είναι απαραίτητα για τον σκοπό («ελαχιστοποίηση δεδομένων»). Η εταιρεία ή ο οργανισμός σας, ως υπεύθυνος επεξεργασίας, έχει την υποχρέωση να αξιολογεί πόσα δεδομένα είναι απαραίτητα και να διασφαλίζει ότι δεν συλλέγονται δεδομένα που δεν είναι συναφή.

Μπορεί ο εργοδότης μου να μου ζητήσει να δώσω τη συγκατάθεσή μου σχετικά με τη χρήση των δεδομένων μου προσωπικού χαρακτήρα;

Η σχέση εργοδότη-εργαζομένου θεωρείται γενικά μη ισότιμη σχέση στην οποία ο εργοδότης κατέχει περισσότερη εξουσία από τον εργαζόμενο. Καθώς η συγκατάθεση πρέπει να δίνεται ελεύθερα, και λόγω της μη ισότιμης σχέσης, ο εργοδότης σας κατά κανόνα δεν μπορεί να βασίζεται στη συγκατάθεσή σας για να χρησιμοποιεί τα δεδομένα σας.

Μπορεί να υπάρχουν περιπτώσεις στις οποίες η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός εργαζομένου που βασίζεται στη συγκατάθεσή του είναι νόμιμη, ιδίως εάν είναι προς όφελος του εργαζομένου. Για παράδειγμα, εάν μια εταιρεία χορηγεί παροχές στον εργαζόμενο ή στα μέλη της οικογένειάς του (π.χ. εκπτώσεις στις υπηρεσίες της εταιρείας), η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του εργαζομένου επιτρέπεται και είναι νόμιμη, εφόσον έχει προηγηθεί η παροχή συγκατάθεσης κατόπιν ενημέρωσης.

Πώς μπορώ να έχω πρόσβαση στα δεδομένα μου προσωπικού χαρακτήρα που κατέχει μια εταιρεία/ένας οργανισμός;

Έχετε το δικαίωμα να ζητήσετε και να λάβετε επιβεβαίωση από την εταιρεία/τον οργανισμό σχετικά με το εάν διαθέτει ή όχι δεδομένα προσωπικού χαρακτήρα που σας αφορούν.

Εάν πράγματι διαθέτουν δεδομένα σας προσωπικού χαρακτήρα, τότε έχετε το δικαίωμα να αποκτήσετε πρόσβαση στα εν λόγω δεδομένα, να σας παράσχουν ένα αντίγραφο και να λάβετε τυχόν σχετικές επιπλέον πληροφορίες (όπως ο λόγος επεξεργασίας των δεδομένων σας προσωπικού χαρακτήρα, οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται κ.λπ.).

Το δικαίωμα πρόσβασης θα πρέπει να μπορεί να ασκηθεί με ευκολία και να παρέχεται ανά «εύλογο χρονικό διάστημα». Η εταιρεία ή ο οργανισμός θα πρέπει να παρέχει ένα αντίγραφο των δεδομένων σας προσωπικού χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα είναι δυνατό να υπόκεινται σε λογικές χρεώσεις. Όταν το αίτημα υποβάλλεται με ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού μηνύματος), και εκτός εάν υποβάλετε διαφορετικό αίτημα, οι πληροφορίες θα πρέπει να παρέχονται σε ηλεκτρονική μορφή που χρησιμοποιείται ευρέως.

Αυτό το δικαίωμα δεν είναι απόλυτο: η χρήση του δικαιώματος πρόσβασης στα προσωπικά σας δεδομένα δεν θα πρέπει να επηρεάζει τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή δικαιώματα διανοητικής ιδιοκτησίας.