Γενικός Κανονισμός

Προσωπικών Δεδομένων
 Περιεχόμενα
Λίγα λόγια για τον ΓΚΠΔ, General Data Protection Regulation (GDPR) https://gdpr.eu/what-is-gdpr/
• Παραβιάσεις του ΓΚΠΔ- Ποινές
• Σενάρια συμμόρφωσης με τον ΓΚΠΔ
• Προσωπικά Δεδομένα
• Είναι τα Cookies Προσωπικά Δεδομένα;
• Ασφάλεια Επεξεργασίας
• Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
• Εκτίμηση αντίκτυπου
• Προστασία δεδομένων «από τον σχεδιασμό» και «εξ ορισμού»
• Γνωστοποίηση παραβίασης δεδομένων
• Δικαιώματα
• Νομοθεσία
Λίγα λόγια για τον ΓΚΠΔ (GDPR)
 Απόρρητο των δεδομένων
Τα δεδομένα ανήκουν στους ανθρώπους και πρέπει να
δίνουν τη συγκατάθεσή τους για να τα χρησιμοποιούν οι
εταιρείες, να τα μοιράζονται, να τα πωλούν και γι' αυτό
το λόγο έχουμε ειδοποιήσεις για τα cookies σχεδόν σε
κάθε ιστότοπο.
Οι χρήστες πρέπει να δίνουν ρητή συγκατάθεση μετά από
ενημέρωση. Αυτό είναι ίσως το πιο σημαντικό ζήτημα,
τουλάχιστον όσον αφορά τους περισσότερους
καταναλωτές.
Ο οργανισμός ή η εταιρεία πρέπει να εξηγεί τον σκοπό
για τον οποίο συλλέγει αυτά τα δεδομένα, πώς
συλλέγονται, πώς υποβάλλονται σε επεξεργασία, και
επίσης πρέπει να δίνει στους πελάτες την ευκαιρία να
κατεβάζουν τα δεδομένα για να δουν τι έχει η εταιρεία
για αυτούς, να τα διορθώνουν, αν χρειάζεται διόρθωση,
ακόμη και να τα διαγράφουν (δικαίωμα στη λήθη).
ΓΚΠΔ (GDPR): Πότε και γιατί;
• Ο Γενικός Κανονισμός Προστασίας Δεδομένων • Οι βασικές αρχές του ΓΚΠΔ περιλαμβάνουν
(ΓΚΠΔ) είναι ένας κανονισμός της Ευρωπαϊκής • την προστασία της ιδιωτικής ζωής μέσω του
Ένωσης (ΕΕ) που τέθηκε σε ισχύ στις 25 Μαΐου σχεδιασμού,
2018.
• τη διαφάνεια,
• Αντικαθιστά την οδηγία της ΕΕ για την προστασία • την ελαχιστοποίηση των δεδομένων και
των δεδομένων του 1995 και αποσκοπεί στην
• τη λογοδοσία.
ενίσχυση και ενοποίηση της προστασίας των
δεδομένων των φυσικών προσώπων εντός της ΕΕ. • Οι οργανισμοί πρέπει να εφαρμόζουν κατάλληλα
• Ο ΓΚΠΔ ισχύει για όλους τους οργανισμούς, τεχνικά και οργανωτικά μέτρα για να
διασφαλίζουν την ασφάλεια των προσωπικών
ανεξαρτήτως τοποθεσίας, που επεξεργάζονται
δεδομένων και να αποδεικνύουν τη συμμόρφωση
προσωπικά δεδομένα ατόμων εντός της ΕΕ.
με τον κανονισμό.
• Παρέχει στα άτομα τον έλεγχο των προσωπικών
• Η μη συμμόρφωση με τον ΓΚΠΔ μπορεί να
τους δεδομένων και του τρόπου με τον οποίο
οδηγήσει σε σημαντικά πρόστιμα.
συλλέγονται, υποβάλλονται σε επεξεργασία και
αποθηκεύονται.
ΓΚΠΔ (GDPR): Πότε και γιατί;
Ο Κανονισμός ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των
δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Δεν υπάγεται σε
αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων
ή νομικών προσώπων.
Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από
ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που
διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια
επαγγελματική ή εμπορική δραστηριότητα.
Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της
ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή
χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων
πρέπει να τηρείται.
Αρχή Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα https://www.dpa.gr/
• Συνταγματικά κατοχυρωμένη ανεξάρτητη
δημόσια Αρχή
• Αποστολή: Eποπτεία της εφαρμογής του
Γενικού Κανονισμού Προστασίας
Δεδομένων, του ν. 4624/2019, του ν.
3471/2006 και άλλων ρυθμίσεων που
αφορούν την προστασία του ατόμου από
την επεξεργασία δεδομένων προσωπικού
χαρακτήρα, καθώς και την ενάσκηση των
αρμοδιοτήτων που της ανατίθενται κάθε
φορά.
Συγκατάθεση του χρήστη
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ)
ορίζει τρεις νομικές βάσεις για την επεξεργασία
δεδομένων προσωπικού χαρακτήρα:
• Συμβατική αναγκαιότητα: Αυτή η βάση
χρησιμοποιείται όταν η επεξεργασία δεδομένων
προσωπικού χαρακτήρα είναι απαραίτητη για την
εκτέλεση σύμβασης με το υποκείμενο των
δεδομένων ή για τη λήψη μέτρων κατόπιν
αιτήματος του υποκειμένου των δεδομένων πριν
από τη σύναψη σύμβασης.
• Συγκατάθεση: Αυτή η βάση χρησιμοποιείται όταν
το υποκείμενο των δεδομένων έχει δώσει
ελεύθερα, συγκεκριμένα, εν επιγνώσει και σαφώς
τη συγκατάθεσή του για την επεξεργασία των
προσωπικών του δεδομένων. Το υποκείμενο των
δεδομένων πρέπει να έχει το δικαίωμα να
ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.
• Δικαιολογημένα συμφέροντα: Αυτή η βάση
χρησιμοποιείται όταν η επεξεργασία δεδομένων
προσωπικού χαρακτήρα είναι απαραίτητη για τα έννομα
συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας
ή τρίτος, εκτός εάν τα συμφέροντα αυτά υπερισχύουν
των συμφερόντων ή των θεμελιωδών δικαιωμάτων και
ελευθεριών του υποκειμένου των δεδομένων.
Οι οργανισμοί πρέπει να εξετάζουν προσεκτικά αυτές τις
νομικές βάσεις όταν επεξεργάζονται δεδομένα
προσωπικού χαρακτήρα και να επιλέγουν τη βάση που
ταιριάζει καλύτερα στη συγκεκριμένη κατάστασή τους.
Σε ορισμένες περιπτώσεις, μπορεί να υπάρχουν
πολλαπλές νομικές βάσεις για την ίδια πράξη
επεξεργασίας.
Παραβιάσεις του ΓΚΠΔ- Ποινές
Μελέτη Περίπτωσης: Κίνδυνοι ασφαλείας για τους
χρήστες του Facebook όσον αφορά τα προσωπικά
δεδομένα
• Παραβιάσεις απορρήτου: είτε μέσω παραβίασης είτε
μέσω των πρακτικών κοινής χρήσης δεδομένων του
Facebook.
• Στοχευμένη διαφήμιση: Το Facebook συλλέγει μεγάλο
όγκο δεδομένων χρηστών, τα οποία μπορούν να
χρησιμοποιηθούν για τη στοχευμένη διαφήμιση και
την επιρροή της συμπεριφοράς των χρηστών.
• Εξόρυξη δεδομένων: Το Facebook συλλέγει δεδομένα
από τους χρήστες του, τα οποία μπορούν να
χρησιμοποιηθούν για εξόρυξη και ανάλυση
δεδομένων. Τα δεδομένα αυτά μπορούν στη συνέχεια
να πωληθούν ή να χρησιμοποιηθούν για άλλους
σκοπούς χωρίς τη γνώση ή τη συγκατάθεση του
χρήστη.
• Μη εξουσιοδοτημένη πρόσβαση: Οι χάκερ μπορούν να
αποκτήσουν πρόσβαση σε λογαριασμούς στο Facebook
και να κλέψουν προσωπικές πληροφορίες, όπως
διαπιστευτήρια σύνδεσης ή οικονομικές πληροφορίες.
• Κατάχρηση δεδομένων: Το Facebook μπορεί να
χρησιμοποιήσει δεδομένα χρηστών για σκοπούς με τους
οποίους ο χρήστης μπορεί να μην συμφωνεί, όπως
πολιτική προπαγάνδα ή χειραγώγηση.
Είναι σημαντικό για τους χρήστες του Facebook να
γνωρίζουν αυτούς τους κινδύνους και να λαμβάνουν
μέτρα για την προστασία των προσωπικών τους
δεδομένων, όπως η τακτική επανεξέταση των ρυθμίσεων
απορρήτου τους, η προσοχή σε ύποπτους συνδέσμους ή
μηνύματα και η χρήση ισχυρών και μοναδικών κωδικών
πρόσβασης.
 Ε.Ε.: Πρόστιμο 390 εκατ. ευρώ στη Meta για τις
εξατομικευμένες διαφημίσεις σε Facebook και Instagram
H αρμόδια ιρλανδική Αρχή επέβαλε σήμερα πρόστιμο ύψους 390
εκατομμυρίων ευρώ στη Meta, τη μητρική των Facebook και
Instagram, κρίνοντας ότι η εταιρεία έχει αναγκάσει τους χρήστες της
να συμφωνήσουν σε εξατομικευμένες διαφημίσεις, παραβιάζοντας
όμως έτσι τους ευρωπαϊκούς κανόνες για την προστασία δεδομένων.

Η Meta υπέστη σήμερα μια «μεγάλη ήττα», όπως αναφέρουν σε

άρθρο τους οι New York Times. Μια «μεγάλη ήττα» η οποία θα
μπορούσε να υπονομεύσει σημαντικά και τις -μέσω Facebook και
Instagram- διαφημιστικές δραστηριότητες της εταιρείας στην Ευρώπη.
Σύμφωνα με την αρμόδια Αρχή προστασίας προσωπικών δεδομένων της
Ιρλανδίας (που λειτουργεί ως ο κύριος ρυθμιστής της Meta στην Ε.Ε. επειδή τα
κεντρικά ευρωπαϊκά γραφεία της εταιρείας βρίσκονται στο Δουβλίνο), οι Αρχές
της Ε.Ε. έκριναν ότι, εντάσσοντας τη νομική συναίνεση (legal consent) στους
όρους παροχής υπηρεσιών (terms of service), η εταιρεία ουσιαστικά ανάγκασε
τους χρήστες να αποδέχονται εξατομικευμένες διαφημίσεις, παραβιάζοντας
έτσι την ευρωπαϊκή νομοθεσία (βλ. GDPR).

https://www.kathimerini.gr/world/562214059/ee-prostimo-390-ekat-eyro-sti-meta-gia-tis-
exatomikeymenes-diafimiseis-se-facebook-kai-instagram/
 Σχετικά Ντοκυμανταίρ
https:// www. thesocialdilemma.com
https:/ /www. netflix.com/gr-en/title/80117542
 Το κόστος της μη συμμόρφωσης
• Η μη τήρηση των κανόνων του
ΓΚΠΔ μπορεί να οδηγήσει σε
σημαντικά πρόστιμα που
μπορούν να φθάσουν μέχρι τα
20 εκατομμύρια ευρώ ή το 4%
του συνολικού κύκλου εργασιών
της επιχείρησης για ορισμένες
παραβάσεις.
• Η Αρχή Προστασίας Δεδομένων
μπορεί επίσης να επιβάλει
συμπληρωματικά διορθωτικά
μέτρα, π.χ., να διατάξει την
διακοπή της επεξεργασίας
προσωπικών δεδομένων.
Πρόστιμο ύψους 9 εκατομμυρίων ευρώ σε Cosmote και ΟΤΕ
για παραβιάσεις της νομοθεσίας προσωπικών δεδομένων
• Το πρόστιμο αφορά την υπόθεση κυβερνεπίθεσης
που είχε δεχθεί η εταιρεία το 2020.
• Όπως αναφέρεται στην απόφαση, κατόπιν
γνωστοποίησης περιστατικού παραβίασης
προσωπικών δεδομένων εκ μέρους της εταιρείας
COSMOTE (διαρροή δεδομένων κλήσεων
συνδρομητών το χρονικό διάστημα 1/9/2020 –
5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις
οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο
αυτό, εξέτασε τη νομιμότητα της τήρησης των
αρχείων που διέρρευσαν καθώς και τα
εφαρμοζόμενα μέτρα ασφάλειας.
• Περισσότερα……
https://www.lawspot.gr/nomika-nea/prostimo-ypsoys-
9-ekatommyrion-eyro-se-cosmote-kai-ote-gia-
paraviaseis-tis-nomothesias?lspt_destination=upgrade
SIM Swapping: Πρόστιμο 3,94 εκατ. ευρώ στη Vodafone για
παραβίαση της νομοθεσίας περί προστασίας προσωπικών
δεδομένων

• Η AEPD σημείωσε ότι οι κακόβουλοι

• Κακόβουλοι χρήστες λάμβαναν
χρήστες έλαβαν αντίγραφο των καρτών
αντίγραφο των καρτών SIM μέσω της
SIM των υποκειμένων των δεδομένων
εταιρείας στην Ισπανία και στη συνέχεια
μέσω της Vodafone και στη
πραγματοποιούσαν τραπεζικές
συνέχεια πραγματοποίησαν διάφορες
μεταφορές.
τραπεζικές μεταφορές από διαδικτυακές
• Η απόφαση αφορούσε τη μη εφαρμογή τραπεζικές υπηρεσίες και συνήψαν
κατάλληλων μέτρων ασφαλείας για την συμβάσεις σε βάρος των θιγόμενων.
πρόληψη της δόλιας αντιγραφής καρτών
• Μετά τις έρευνές της, η AEPD διαπίστωσε
SIM (πρακτική γνωστή ως SIM swapping).
ότι η Vodafone δεν είχε επαληθεύσει
σωστά την ταυτότητα των κακόβουλων
χρηστών πριν από την έκδοση των
καρτών SIM. Περισσότερα……
Πρόστιμο 25.000 ευρώ για τηλεφωνικές
προωθητικές ενέργειες (ΑΠΔΠΧ 57/2021)
• Η Αρχή Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα εξέτασε δύο καταγγελίες
αναφορικά με αυτοματοποιημένες
τηλεφωνικές προωθητικές ενέργειες από μία
εταιρεία (η μία εκ των οποίων ανακλήθηκε
από τον καταγγέλλοντα και ενώ η εξέτασή
της από την Αρχή είχε ήδη αρχίσει), καθώς
και τη γενικότερη πρακτική της αναφορικά με
τις δραστηριότητες προωθητικού χαρακτήρα
που πραγματοποιεί.
Στις συγκεκριμένες περιπτώσεις, βάσει των
ανωτέρω, προκύπτει ότι η καταγγελλόμενη
εταιρεία, πραγματοποίησε, ως υπεύθυνος
επεξεργασίας, αυτοματοποιημένες
τηλεφωνικές προωθητικές ενέργειες.
• Από την εξέταση των στοιχείων του φακέλου
της υπόθεσης, προκύπτει ότι η εταιρεία
προβαίνει σε αυτοματοποιημένες κλήσεις για
την προώθηση προϊόντων και υπηρεσιών
χωρίς την προηγούμενη ειδική προς τούτο
συγκατάθεση των υποκειμένων των
δεδομένων. Και τούτο, διότι ο βασικός
ισχυρισμός της ότι οι κλήσεις
πραγματοποιούνται μόνο σε όσους έχουν
δώσει ρητή προς τούτο προηγούμενη
συγκατάθεση, καθώς επίσης και ότι οι
κλήσεις δεν είναι αυτοματοποιημένες,
κρίθηκε αβάσιμος.
• Περισσότερα ……
Τεχνητή Νοημοσύνη: Κυρώσεις στο chatbot Replika
επέβαλε η αρχή προστασίας δεδομένων της Ιταλίας
Η ιταλική αρχή προστασίας δεδομένων Garante
επέβαλε κυρώσεις στο ‘Replika’. Το chatbot με
τεχνητή νοημοσύνη, το οποίο δημιουργεί έναν
“εικονικό φίλο” χρησιμοποιώντας διεπαφές κειμένου
και βίντεο, δεν θα μπορεί προς το παρόν να
επεξεργάζεται προσωπικά δεδομένα Ιταλών
χρηστών. H Garante επέβαλε στην εταιρεία με έδρα
τις ΗΠΑ, που έχει αναπτύξει και λειτουργεί την
εφαρμογή, προσωρινό περιορισμό με άμεση ισχύ.
Πρόσφατες αναφορές σε μέσα ενημέρωσης, καθώς
και έρευνες που πραγματοποίησε η Garante στο
“Replika” έδειξαν ότι η εφαρμογή ενέχει
πραγματικούς κινδύνους για τα παιδιά – πρωτίστως
το γεγονός ότι τους παρέχονται απαντήσεις που
είναι απολύτως ακατάλληλες για την ηλικία τους.
https://replika.com/
Ο “εικονικός φίλος” παρουσιάζεται ως ικανός να
βελτιώσει τη συναισθηματική κατάσταση των
χρηστών και να τους βοηθήσει να κατανοήσουν τις
σκέψεις τους και να καταπραΰνουν το άγχος τους
μέσω της διαχείρισης του στρες, της
κοινωνικοποίησης και της αναζήτησης της αγάπης.
Αυτά τα χαρακτηριστικά συνεπάγονται
αλληλεπιδράσεις με τη διάθεση ενός ατόμου και
μπορεί να επιφέρουν αυξημένους κινδύνους για τα
άτομα που δεν έχουν ακόμη μεγαλώσει ή είναι
συναισθηματικά ευάλωτα.
Το “Replika” παραβιάζει τον Γενικό Κανονισμό
Προστασίας Δεδομένων: δεν συμμορφώνεται με τις
απαιτήσεις διαφάνειας και επεξεργάζεται μη
νομίμως δεδομένα προσωπικού χαρακτήρα.
Περισσότερα …..
Σενάρια Συμμόρφωσης με τον ΓΚΠΔ
1ο Σενάριο - Οργανισμοί εντός ΕΕ
Ας υποθέσουμε ότι μια εταιρεία εδρεύει στη Για παράδειγμα, εάν η εταιρεία έχει δραστηριότητες
Γερμανία και έχει δραστηριότητες σε διάφορες στη Γαλλία, θα υπόκειται στη γαλλική νομοθεσία
χώρες της ΕΕ. περί προστασίας δεδομένων, η οποία ενδέχεται να
επιβάλλει πρόσθετες απαιτήσεις πέραν εκείνων που
Η εταιρεία θα υπόκειται στη γερμανική νομοθεσία,
περιγράφονται στον ΓΚΠΔ και στον κανονισμό για την
καθώς και στον ΓΚΠΔ και στον κανονισμό για την
προστασία της ιδιωτικής ζωής στις ηλεκτρονικές
προστασία της ιδιωτικής ζωής στις ηλεκτρονικές
επικοινωνίες.
επικοινωνίες, οι οποίοι είναι και οι δύο κανονισμοί
σε επίπεδο ΕΕ. Η εταιρεία πρέπει να διασφαλίσει ότι
συμμορφώνεται πλήρως με όλους τους σχετικούς
Η εταιρεία θα υπόκειται επίσης στους ειδικούς
νόμους και κανονισμούς σε κάθε χώρα της ΕΕ στην
νόμους περί προστασίας δεδομένων κάθε χώρας της
οποία δραστηριοποιείται, προκειμένου να
ΕΕ στην οποία δραστηριοποιείται, καθώς οι νόμοι
προστατεύει την ιδιωτική ζωή και την ασφάλεια των
αυτοί ενδέχεται να διαφέρουν ελαφρώς από τους
προσωπικών δεδομένων.
κανονισμούς της ΕΕ.
2ο Σενάριο - Οργανισμοί εκτός ΕΕ
• Εάν μια εταιρεία που εδρεύει στις ΗΠΑ
πωλεί αγαθά σε άτομα στην ΕΕ και
συλλέγει και επεξεργάζεται τα
προσωπικά δεδομένα των εν λόγω
ατόμων στο πλαίσιο της εν λόγω
πώλησης, τότε ο ΓΚΠΔ θα εφαρμόζεται
στην εν λόγω εταιρεία.
• Ο Γενικός Κανονισμός για την Προστασία
Δεδομένων (ΓΚΠΔ) εφαρμόζεται εκτός της
ΕΕ, εάν ένας οργανισμός επεξεργάζεται
προσωπικά δεδομένα ατόμων που
βρίσκονται στην ΕΕ. Ο ΓΚΠΔ εφαρμόζεται
ανεξάρτητα από το αν ο οργανισμός
εδρεύει εντός ή εκτός της ΕΕ.
• Οι οργανισμοί εκτός της ΕΕ πρέπει να
ορίσουν αντιπρόσωπο που βρίσκεται στην
ΕΕ, εάν δεν έχουν εγκατάσταση στην ΕΕ
και επεξεργάζονται μεγάλες ποσότητες
δεδομένων προσωπικού χαρακτήρα
πολιτών της ΕΕ. Ο αντιπρόσωπος ενεργεί
ως σημείο επαφής για τα υποκείμενα των
δεδομένων και την εποπτική αρχή.
• Συνοπτικά, ο ΓΚΠΔ εφαρμόζεται
εξωεδαφικά εάν γίνεται επεξεργασία
δεδομένων προσωπικού χαρακτήρα
πολιτών της ΕΕ, ανεξάρτητα από την
τοποθεσία της έδρας του οργανισμού που
επεξεργάζεται τα δεδομένα.
Προσωπικά Δεδομένα
Δεδομένα προσωπικού χαρακτήρα
• Τα δεδομένα προσωπικού χαρακτήρα είναι
πληροφορίες που αφορούν ένα ταυτοποιημένο ή
ταυτοποιήσιμο εν ζωή άτομο.
• Διαφορετικές πληροφορίες οι οποίες, εάν
συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν
στην ταυτοποίηση ενός συγκεκριμένου ατόμου,
αποτελούν επίσης δεδομένα προσωπικού
χαρακτήρα.
• Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού
χαρακτήρα ανεξάρτητα από
• την τεχνολογία (αυτοματοποιημένη ή
χειροκίνητη επεξεργασία) που χρησιμοποιείται
για την επεξεργασία τους.
• τον τρόπο που αποθηκεύονται τα δεδομένα
(σε σύστημα τεχνολογίας πληροφοριών, μέσω
βιντεοεπιτήρησης ή σε έντυπη μορφή)
Δεδομένα προσωπικού χαρακτήρα
Προσωπικά δεδομένα είναι όλες οι πληροφορίες που
αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο
πρόσωπο, το οποίο καλείται υποκείμενο των
δεδομένων. Αφορούν πληροφορίες όπως:
• όνομα και επώνυμο
• διεύθυνση κατοικίας
• αριθμός δελτίου ταυτότητας/διαβατηρίου
• ηλεκτρονική διεύθυνση
• αναγνωριστικός αριθμός κάρτας
• δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων
τοποθεσίας σε κινητό τηλέφωνο)
• διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
• αναγνωριστικά cookie.
Ειδικές κατηγορίες δεδομένων
Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων • προσωπικά δεδομένα που
σχετικά με τα εξής χαρακτηριστικά ενός προσώπου: σχετίζονται με ποινικές
• φυλετική ή εθνοτική καταγωγή καταδίκες και αδικήματα, εκτός
αν αυτό επιτρέπεται από τη
• σεξουαλικός προσανατολισμός
νομοθεσία της ΕΕ ή την εθνική
• πολιτικά φρονήματα νομοθεσία
• θρησκευτικές ή φιλοσοφικές πεποιθήσεις
• συμμετοχή σε συνδικαλιστικές οργανώσεις
• γενετικά ή βιομετρικά δεδομένα και δεδομένα υγείας,
εξαιρουμένων ειδικών περιπτώσεων (π.χ. όταν έχετε
δώσει την πλήρη συγκατάθεσή σας ή όταν η
επεξεργασία απαιτείται για λόγους ουσιαστικού
δημόσιου συμφέροντος, βάσει της νομοθεσίας της ΕΕ
ή της εθνικής νομοθεσίας).
Επεξεργασία δεδομένων προσωπικού χαρακτήρα
Περιλαμβάνει τη
Ο όρος «επεξεργασία» καλύπτει • συλλογή,
ευρύ φάσμα πράξεων που
• καταχώριση,
πραγματοποιούνται σε δεδομένα
προσωπικού χαρακτήρα, είτε με • οργάνωση,
χειροκίνητα είτε με τεχνολογικά • διάρθρωση,
μέσα. • αποθήκευση,
Ο Κανονισμός εφαρμόζεται στην εξ • προσαρμογή ή μεταβολή,
ολοκλήρου ή μερική επεξεργασία • ανάκτηση,
δεδομένων προσωπικού • αναζήτηση πληροφοριών,
χαρακτήρα με αυτοματοποιημένα • χρήση,
μέσα καθώς και στη μη • κοινολόγηση με διαβίβαση,
αυτοματοποιημένη επεξεργασία, • διάδοση ή κάθε άλλη μορφή διάθεσης,
εάν αποτελεί μέρος διαρθρωμένου • συσχέτιση ή συνδυασμό,
συστήματος αρχειοθέτησης. • περιορισμό,
• διαγραφή ή καταστροφή.
Παραδείγματα επεξεργασίας δεδομένων
προσωπικού χαρακτήρα
• διαχείριση προσωπικού και μισθοδοσία
• προσπέλαση/αναζήτηση πληροφοριών σε βάση
δεδομένων επαφών που περιλαμβάνει δεδομένα
προσωπικού χαρακτήρα
• αποστολή διαφημιστικών ηλεκτρονικών
μηνυμάτων
• δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου
σε ιστότοπο
• αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC
• μαγνητοσκόπηση (τηλεόραση κλειστού
κυκλώματος)
Για την αποστολή ηλεκτρονικών μηνυμάτων απευθείας εμπορικής προώθησης
πρέπει επίσης να συμμορφώνεστε με τους κανόνες για το μάρκετινγκ που
ορίζονται στην οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές
επικοινωνίες (ePrivacy Directive).
Είναι τα Cookies Προσωπικά Δεδομένα;
Πώς τα cookies συλλέγουν δεδομένα
• Τα cookies είναι μικρά αρχεία κειμένου που Υπάρχουν δύο κύριοι τύποι cookies: τα
αποθηκεύονται στον υπολογιστή ή τη συσκευή cookies συνόδου και τα μόνιμα cookies. Τα
ενός χρήστη από έναν ιστότοπο.
Χρησιμοποιούνται για να θυμούνται τις cookies συνόδου είναι προσωρινά και
προτιμήσεις ενός χρήστη, το ιστορικό περιήγησης διαρκούν μόνο όσο διαρκεί η συνεδρία του
και άλλες πληροφορίες σχετικά με τις χρήστη στον ιστότοπο, ενώ τα μόνιμα
αλληλεπιδράσεις του με έναν ιστότοπο. cookies παραμένουν στη συσκευή του
• Όταν ένας χρήστης επισκέπτεται έναν ιστότοπο, ο χρήστη ακόμη και μετά την αποχώρησή του
ιστότοπος στέλνει ένα cookie στο πρόγραμμα από τον ιστότοπο και μπορούν να
περιήγησης του χρήστη, το οποίο στη συνέχεια χρησιμοποιηθούν για να υπενθυμίζουν τις
αποθηκεύεται στον υπολογιστή του χρήστη.
προτιμήσεις του την επόμενη φορά που θα
• Αργότερα, όταν ο χρήστης επισκέπτεται ξανά τον τον επισκεφθεί.
ίδιο ιστότοπο, το πρόγραμμα περιήγησής του
στέλνει το cookie πίσω στον ιστότοπο,
επιτρέποντας στον ιστότοπο να θυμάται τις
προτιμήσεις και τις προηγούμενες ενέργειες του
χρήστη.
Πώς τα cookies συλλέγουν δεδομένα
• Μέσω των cookies οι ιστότοποι μπορούν
να συλλέγουν πληροφορίες σχετικά με τις
συνήθειες περιήγησης ενός χρήστη, όπως
οι σελίδες που έχει επισκεφθεί και οι
σύνδεσμοι στους οποίους έχει κάνει κλικ.
• Οι πληροφορίες αυτές χρησιμοποιούνται
συχνά από τους ιστότοπους για τη
βελτίωση της εμπειρίας του χρήστη, για
παράδειγμα με το να θυμούνται τις
γλωσσικές προτιμήσεις του χρήστη ή με
το να του εμφανίζουν πιο σχετικές
διαφημίσεις.
• Είναι σημαντικό να σημειωθεί ότι τα cookies
μπορούν επίσης να χρησιμοποιηθούν για
σκοπούς παρακολούθησης, επιτρέποντας
στις εταιρείες να συλλέγουν πληροφορίες
σχετικά με τις διαδικτυακές δραστηριότητες
ενός χρήστη σε πολλούς ιστότοπους και να
τις χρησιμοποιούν για στοχευμένη
διαφήμιση ή άλλους σκοπούς.
• Ορισμένοι χρήστες ενδέχεται να επιλέξουν
να αποκλείσουν ή να διαγράψουν τα cookies
για λόγους προστασίας της ιδιωτικής ζωής ή
για να αποτρέψουν τη συλλογή και χρήση
των δεδομένων τους για παρακολούθηση.
Είναι τα Cookies Προσωπικά Δεδομένα;
• Τα cookies μπορούν να αποθηκεύουν
πληροφορίες όπως το ιστορικό περιήγησης ενός
χρήστη, τον τύπο της συσκευής, τα διαπιστευτήρια
σύνδεσης, τη γλωσσική προτίμηση, τα
περιεχόμενα του καλαθιού αγορών και την
τοποθεσία, οι οποίες μπορούν να
χρησιμοποιηθούν για την ταυτοποίηση του
χρήστη. Κατά συνέπεια, οι πληροφορίες που
αποθηκεύονται στα cookies μπορούν να
θεωρηθούν δεδομένα προσωπικού χαρακτήρα
σύμφωνα με τον ΓΚΠΔ.
• Ως εκ τούτου, οι εταιρείες πρέπει να
συμμορφώνονται με τους κανονισμούς του ΓΚΠΔ
όταν χρησιμοποιούν cookies,
συμπεριλαμβανομένης της λήψης της
συγκατάθεσης του χρήστη, της παροχής διαφανών
πληροφοριών σχετικά με τη χρήση των cookies.
Cookies και ΓΚΠΔ (GDPR)
• Για να συμμορφωθούν με τον ΓΚΠΔ, οι
εταιρείες πρέπει να παρέχουν σαφείς
πληροφορίες σχετικά με τη χρήση των
cookies, συμπεριλαμβανομένων των τύπων
των χρησιμοποιούμενων cookies, του σκοπού
τους και του τρόπου διαχείρισης και
αφαίρεσής τους.
• Οι πληροφορίες αυτές μπορούν να
παρέχονται μέσω μιας ειδοποίησης για τα
cookies ή μιας πολιτικής απορρήτου.
• Επιπλέον, οι εταιρείες πρέπει να εφαρμόζουν
κατάλληλα τεχνικά και οργανωτικά μέτρα για
να διασφαλίζουν την ασφάλεια των
προσωπικών δεδομένων που συλλέγονται
μέσω των cookies.
 Tracking Cookies τρίτων
ΠΑΡΑΔΕΙΓΜΑ ΑΜΕΤΡΗΤΩΝ ΜΠΙΣΚΟΤΩΝ ΤΡΙΤΩΝ !
https://www.dailymail.co.uk/video/health/video-3124163/Video-John-Watt-
Im-not-going-died-suddenly-statistic.html
 Video
Why social media likes say more than you might think

https://www.youtube.com/watch?v=hgWie9dnssU

https:// www. youtube.com/watch?v=hgWie9dnssU

Ασφάλεια επεξεργασίας
 Ασφάλεια επεξεργασίας
Οι εταιρείες/οι οργανισμοί που επεξεργάζονται δεδομένα
προσωπικού χαρακτήρα πρέπει να εφαρμόζουν μέτρα
προστασίας.
Για τον προσδιορισμό των κατάλληλων μέτρων ασφάλειας
ακολουθείται προσέγγιση με βάση τον κίνδυνο (risk-based
approach) (άρθρα 25 και 32), λαμβάνοντας υπόψη:
•Τις τελευταίες εξελίξεις της τεχνολογίας,
•Το κόστος εφαρμογής των μέτρων ασφάλειας,
•Τα χαρακτηριστικά της επεξεργασίας (φύση, πεδίο
εφαρμογής, πλαίσιο και σκοποί επεξεργασίας),
•Τους κινδύνους για τα δικαιώματα και τις ελευθερίες των
φυσικών προσώπων από την επεξεργασία,
συνυπολογίζοντας για κάθε κίνδυνο τη διαφορετική
πιθανότητα υλοποίησής του και τη σοβαρότητα των
συνεπειών, αν αυτός επέλθει.
Τα μέτρα ασφάλειας πρέπει να αντιστοιχούν
στο επίπεδο κινδύνου των δραστηριοτήτων
επεξεργασίας δεδομένων που εκτελούν και
μπορούν να τεκμηριώνονται σε επιμέρους
διαδικασίες ή σε γενικότερες πολιτικές
ασφάλειας.
Τα υλοποιημένα μέτρα πρέπει να
υποβάλλονται σε περιοδική, τουλάχιστον,
αναθεώρηση, αλλά και να είναι
αποδεδειγμένα επικυρωμένα από την
διοίκηση του υπευθύνου ή του εκτελούντος
την επεξεργασία.
Ασφάλεια επεξεργασίας
Οι υποχρεώσεις του υπευθύνου επεξεργασίας
σχετικά με την ασφάλεια της επεξεργασίας
προσδιορίζονται ρητά στο άρθρο 32 ΓΚΠΔ, ενώ
η γενικότερη ευθύνη του για τον προσδιορισμό
των κατάλληλων τεχνικών και οργανωτικών
μέτρων προκειμένου να διασφαλίζει και να
μπορεί να αποδεικνύει τη νομιμότητα μιας
επεξεργασίας πηγάζει και από το άρθρο 24
ΓΚΠΔ.
Επίσης, στον ΓΚΠΔ για πρώτη φορά
προσδιορίζεται ρητά αυτοτελής υποχρέωση και
των εκτελούντων την επεξεργασία για λήψη
μέτρων ασφάλειας.
Στον ΓΚΠΔ προτείνονται τα ακόλουθα
«ενδεδειγμένα» τεχνικά και οργανωτικά μέτρα
ασφάλειας:
• Ψευδωνυμοποίηση και Κρυπτογράφηση.
• Διασφάλιση Απορρήτου, Ακεραιότητας,
Διαθεσιμότητας και Αξιοπιστίας.
• Αποκατάσταση Διαθεσιμότητας και της
πρόσβασης σε περίπτωση συμβάντος.
• Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της
αποτελεσματικότητας των μέτρων.
• Χρήση εγκεκριμένου κώδικα δεοντολογίας ή
μηχανισμού πιστοποίησης για την απόδειξη
της συμμόρφωσης.
Ασφάλεια επεξεργασίας
• Η ψευδωνυμοποίηση είναι μια τεχνική προστασίας της ιδιωτικής
ζωής κατά την οποία οι προσωπικά αναγνωρίσιμες πληροφορίες
αντικαθίστανται με ένα ψευδώνυμο, επιτρέποντας τη χρήση των
δεδομένων για σκοπούς όπως η έρευνα, η ανάλυση και η υποβολή
εκθέσεων, ενώ παράλληλα μειώνεται ο κίνδυνος ατομικής
ταυτοποίησης.
• Αυτό επιτυγχάνεται με το διαχωρισμό των αρχικών δεδομένων από
τα χαρακτηριστικά αναγνώρισής τους, με αποτέλεσμα ένα σύνολο
δεδομένων που μπορεί να χρησιμοποιηθεί για σκοπούς άλλους από
εκείνους για τους οποίους συλλέχθηκαν τα αρχικά δεδομένα, χωρίς
να διακυβεύεται η ιδιωτικότητα των ατόμων.
Κουΐζ Ερωτήσεων
Ποιο τεχνικό μέτρο βάσει του άρθρου 32
του ΓΚΠΔ αφορά τα δεδομένα κατά τη
διαμετακόμιση και τα δεδομένα σε
κατάσταση ηρεμίας;
• τακτική δοκιμή και αξιολόγηση
• ανωνυμοποίηση και κρυπτογράφηση
προσωπικών δεδομένων
• εμπιστευτικότητα, ακεραιότητα και
διαθεσιμότητα
• δυνατότητα αποκατάστασης
Η εταιρεία σας δραστηριοποιείται στη Γαλλία και τη Γερμανία.
Σε περίπτωση παραβίασης δεδομένων που επηρεάζει όλους
τους διεθνείς πελάτες σας, ποιες απαιτήσεις κοινοποίησης
πρέπει να τηρήσετε;
• Πρέπει να συμμορφωθείτε με τις απαιτήσεις κοινοποίησης
της Γαλλίας για τους Γάλλους πελάτες και της Γερμανίας για
τους Γερμανούς πελάτες.
• Δεν υπάρχει απαίτηση κοινοποίησης βάσει του ΓΚΠΔ, υπό
την προϋπόθεση ότι επικοινωνείτε με την εποπτική αρχή
εντός 72 ωρών.
• Πρέπει να συμμορφώνεστε με τις απαιτήσεις της
Ευρωπαϊκής Ένωσης για κοινοποίηση, σε περίπτωση
παραβίασης που αφορά προσωπικά δεδομένα πελατών.
• Εφόσον παρέχετε πληροφορίες στους πελάτες σε τεχνική
γλώσσα πληροφορικής, θα συμμορφώνεστε με τους
κανονισμούς του ΓΚΠΔ.
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
 Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
Ο DPO (ΥΠΔ) σημαίνει "Υπεύθυνος Προστασίας
Δεδομένων" και είναι μια θέση που απαιτείται βάσει του
Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Ο DPO είναι υπεύθυνος για την εποπτεία της
στρατηγικής προστασίας δεδομένων ενός οργανισμού
και τη διασφάλιση της συμμόρφωσής του με τον ΓΚΠΔ
και άλλους νόμους περί προστασίας δεδομένων.
Ο DPO είναι επίσης το κύριο σημείο επαφής με τις αρχές
προστασίας δεδομένων και πρέπει να διατηρεί
ενημερωμένη γνώση του ΓΚΠΔ και της σχετικής
νομοθεσίας.
Ο ΥΠΔ διαδραματίζει σημαντικό ρόλο στη διασφάλιση
της συμμόρφωσης μιας εταιρείας με τον ΓΚΠΔ και της
προστασίας των προσωπικών δεδομένων των πελατών
και των εργαζομένων της.
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
Η εταιρεία ή ο οργανισμός σας, είτε είναι υπεύθυνος
επεξεργασίας είτε εκτελών την επεξεργασία, οφείλει να διορίσει
ΥΠΔ εφόσον η εταιρεία ή ο οργανισμός σας:
• παρακολουθεί άτομα, σε τακτική ή συστηματική βάση, ή
επεξεργάζεται ειδικές κατηγορίες δεδομένων. Εν προκειμένω, η
παρακολούθηση της συμπεριφοράς φυσικών προσώπων
περιλαμβάνει όλες τις μορφές ανίχνευσης και κατάρτισης
προφίλ στο διαδίκτυο, συμπεριλαμβανομένων των σκοπών της
συμπεριφορικής διαφήμισης.
• έχει ως μία από τις κύριες επιχειρηματικές της δραστηριότητες
την επεξεργασία δεδομένων
• επεξεργάζεται δεδομένα σε ευρεία κλίμακα.
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
Παραδείγματα
Μη υποχρεωτικός διορισμός ΥΠΔ
• στέλνετε στους πελάτες σας διαφημιστικό υλικό
μόνο μία φορά τον χρόνο
• είστε τοπικός κοινοτικός γιατρός και
επεξεργάζεστε δεδομένα προσωπικού χαρακτήρα
των ασθενών σας·
• έχετε ένα μικρό δικηγορικό γραφείο και
επεξεργάζεστε δεδομένα προσωπικού χαρακτήρα
των πελατών σας.
Παραδείγματα
Υποχρεωτικός διορισμός ΥΠΔ
νοσοκομείο που επεξεργάζεται μεγάλο όγκο
ευαίσθητων δεδομένων·
εταιρεία παροχής υπηρεσιών ασφάλειας υπεύθυνη
για την παρακολούθηση εμπορικών κέντρων και
δημόσιων χώρων·
μικρή εταιρεία ευρέσεως εξειδικευμένου
προσωπικού που καταρτίζει προφίλ φυσικών
προσώπων.
αν επεξεργάζεστε προσωπικά δεδομένα για να
στοχοθετήσετε διαφημίσεις μέσω μηχανών
αναζήτησης βάσει της συμπεριφοράς των ατόμων
στο διαδίκτυο
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
Παράδειγμα του ρόλου του Υπεύθυνου Προστασίας
Δεδομένων (ΥΠΔ) σε μια εταιρεία:
Μια εταιρεία επεξεργάζεται μεγάλες ποσότητες
προσωπικών δεδομένων για τους πελάτες και τους
υπαλλήλους της. Ο ΓΚΠΔ απαιτεί από την εταιρεία να
διορίσει έναν ΥΠΔ για να διασφαλίσει ότι οι
δραστηριότητες επεξεργασίας δεδομένων της
διεξάγονται σύμφωνα με τον κανονισμό.
Οι αρμοδιότητες του ΥΠΔ μπορεί να περιλαμβάνουν:
• Παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ
και τους συναφείς νόμους περί προστασίας
δεδομένων.
• Παροχή συμβουλών στην εταιρεία σχετικά με τις
υποχρεώσεις της όσον αφορά την προστασία των
δεδομένων και παροχή εκπαίδευσης στους
υπαλλήλους σχετικά με τις υποχρεώσεις αυτές.
•Διενέργεια εκτιμήσεων επιπτώσεων στην προστασία της
ιδιωτικής ζωής για τον εντοπισμό και την αντιμετώπιση
πιθανών κινδύνων για τα δεδομένα προσωπικού
χαρακτήρα.
•Να λειτουργεί ως σημείο επαφής για αιτήματα φυσικών
προσώπων που αφορούν την επεξεργασία των δεδομένων
τους προσωπικού χαρακτήρα και την άσκηση των
δικαιωμάτων τους·
•Να συνεργάζεται με ΑΠΔ και να λειτουργεί ως σημείο
επαφής για ΑΠΔ σχετικά με ζητήματα που αφορούν την
επεξεργασία.
•Διατήρηση επικαιροποιημένων γνώσεων σχετικά με τον
ΓΚΠΔ και τη σχετική νομοθεσία.
•Ενημέρωση της εταιρείας για τις αλλαγές στους νόμους και
τους κανονισμούς περί προστασίας δεδομένων.
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
• Ο υπεύθυνος επεξεργασίας (το φυσικό ή νομικό • Τα στοιχεία επικοινωνίας του υπευθύνου
πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας προστασίας δεδομένων πρέπει να
που, μόνα ή από κοινού με άλλα )ορίζει τους σκοπούς δημοσιοποιούνται προκειμένου να
της επεξεργασίας δεδομένων προσωπικού χαρακτήρα διασφαλίζεται η απρόσκοπτη επικοινωνία με τα
και τα μέσα με τα οποία αυτή πραγματοποιείται. υποκείμενα των δεδομένων.
• Ο εκτελών την επεξεργασία (το φυσικό ή νομικό • Στην δικιά σας υπηρεσία ποιος είναι ο
πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας) υπεύθυνος προστασίας δεδομένων (ΥΠΔ);
επεξεργάζεται δεδομένα προσωπικού χαρακτήρα
μόνο εκ μέρους του υπεύθυνου επεξεργασίας.
• Ο ρόλος του ΥΠΔ είναι συμβουλευτικός (όχι
αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη
μη συμμόρφωση με τον Κανονισμό.
• Υπεύθυνος να διασφαλίζει και να μπορεί να
αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα
με τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο
εκτελών την επεξεργασία.
Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
Παραδείγματα Είστε εταιρεία λιανικής πώλησης που
αποφασίζει να αποθηκεύσει αντίγραφο
Υπεύθυνος επεξεργασίας και εκτελών την
ασφαλείας της βάσης δεδομένων των πελατών
επεξεργασία
σε διακομιστή νέφους.
Μια ζυθοποιία έχει πολλούς εργαζομένους.
Για αυτόν τον σκοπό, συνάπτετε σύμβαση με
Υπογράφει σύμβαση με εταιρεία πληρωμών για την
έναν πάροχο υπηρεσιών νέφους που είναι
καταβολή των μισθών.
γνωστός για τα υψηλά πρότυπα προστασίας
Η ζυθοποιία ενημερώνει την εταιρεία πληρωμών για δεδομένων που εφαρμόζει και ο οποίος διαθέτει
το πότε πρέπει να γίνεται η πληρωμή των μισθών, επίσης πιστοποιημένο σύστημα
πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση κρυπτογράφησης δεδομένων.
και παρέχει όλα τα υπόλοιπα στοιχεία που είναι
Ο πάροχος υπηρεσιών νέφους είναι ο εκτελών
απαραίτητα για το εκκαθαριστικό σημείωμα
την επεξεργασία καθώς, αποθηκεύοντας τα
αποδοχών και την πληρωμή. Η εταιρεία πληρωμών
δεδομένα προσωπικού χαρακτήρα των πελατών
παρέχει σύστημα ΙΤ και αποθηκεύει τα δεδομένα των
σας στους διακομιστές του, θα επεξεργάζεται
εργαζομένων. Η ζυθοποιία είναι ο υπεύθυνος
δεδομένα προσωπικού χαρακτήρα εκ μέρους
επεξεργασίας δεδομένων και η εταιρεία πληρωμών
σας.
είναι ο εκτελών την επεξεργασία των δεδομένων.
Εκτίμηση αντίκτυπου
Security Assessment
https://www.dpa.gr/el/foreis/ektimisi_adiktipou_kai_diavouleush/
ektimisi_adiktipou
Εκπόνηση μελέτης Εκτίμησης Αντικτύπου
σχετικά με την Προστασία Δεδομένων
Ερώτημα
• Μελετήστε το άρθρο
https://www.lawspot.gr/nomika-nea/kameres-se-
dimosia-sholeia-kai-paidikes-hares-kai-prostasia-
prosopikon-dedomenon-apdph-60
Κάμερες σε δημόσια σχολεία και παιδικές χαρές και
προστασία προσωπικών δεδομένων (ΑΠΔΠΧ 60/20
21)
• Γιατί η Αρχή απηύθυνε προειδοποίηση στον Δήμο
Παλλήνης ότι η σκοπούμενη βιντεοεπιτήρηση
σχολικών μονάδων χωρίς τη διενέργεια Εκτίμησης
Αντικτύπου σχετικά με την Προστασία Δεδομένων
παραβιάζει τις διατάξεις του ΓΚΠΔ;
 Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
προστασίας δεδομένων (ΕΑΠΔ);
Η υποχρέωση για τη διενέργεια εκτίμησης
αντικτύπου σχετικά με την προστασία δεδομένων
(ΕΑΠΔ) προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ
όταν οι πράξεις επεξεργασίας ενδέχεται να
επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και
τις ελευθερίες των φυσικών προσώπων ιδίως με τη
χρήση νέων τεχνολογιών και συνεκτιμώντας το
φύση, το πεδίο εφαρμογής, το πλαίσιο και τους
σκοπούς της επεξεργασίας.
Ενδεικτικά είδη πράξεων επεξεργασίας οι οποίες
ενέχουν υψηλό κίνδυνο παρατίθενται στο άρθρο 35
παρ. 3 του ΓΚΠΔ (βλ. αιτ. 91 του ΓΚΠΔ).
Template: https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf
https://www.dpa.gr/sites/default/files/2019-10/arti
cle_35_dpia_list_gr_2.pdf
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Πιο συγκεκριμένα, ο ΓΚΠΔ απαιτεί από τους
οργανισμούς να διενεργούν ΕΑΠΔ κατά την
επεξεργασία δεδομένων προσωπικού χαρακτήρα
στις ακόλουθες ενδεικτικές περιπτώσεις:
•Επεξεργασία ευαίσθητων δεδομένων προσωπικού
χαρακτήρα: όπως δεδομένα σχετικά με την υγεία,
τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά
φρονήματα, τις θρησκευτικές ή φιλοσοφικές
πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική
οργάνωση, καθώς και γενετικά ή βιομετρικά
δεδομένα, εκτός εάν είναι αναγκαία για λόγους
ουσιαστικού δημόσιου συμφέροντος.
• Πράξεις επεξεργασίας μεγάλης κλίμακας:
Απαιτείται έκθεση αντικτύπου όταν ένας
οργανισμός προβαίνει σε πράξεις επεξεργασίας
μεγάλης κλίμακας οι οποίες ενδέχεται να
προκαλέσουν υψηλό κίνδυνο για τα δικαιώματα
ιδιωτικής ζωής των ατόμων. Για παράδειγμα, εάν
ένας οργανισμός συλλέγει και επεξεργάζεται
μεγάλες ποσότητες δεδομένων προσωπικού
χαρακτήρα από μεγάλο αριθμό ατόμων, ενδέχεται
να απαιτείται έκθεση επιπτώσεων.
• Χρήση νέων τεχνολογιών: Απαιτείται έκθεση
αντικτύπου όταν ένας οργανισμός χρησιμοποιεί
νέες τεχνολογίες για εργασίες επεξεργασίας
δεδομένων που δεν έχουν ακόμη δοκιμαστεί
ευρέως και θα μπορούσαν να θέσουν σε κίνδυνο
τα δικαιώματα ιδιωτικής ζωής των ατόμων.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
•Συστηματική παρακολούθηση: Απαιτείται έκθεση
αντικτύπου όταν ένας οργανισμός προβαίνει σε
συστηματική παρακολούθηση ενός προσβάσιμου στο
κοινό χώρου σε μεγάλη κλίμακα, όπως με τη χρήση
καμερών ή άλλων τεχνολογιών παρακολούθησης.
Αυτά είναι μερικά μόνο παραδείγματα για το πότε
μπορεί να απαιτηθεί από έναν οργανισμό να συντάξει
έκθεση επιπτώσεων βάσει του ΓΚΠΔ. Σκοπός της
Έκθεσης Επιπτώσεων είναι να διασφαλιστεί ότι οι
οργανισμοί έχουν αξιολογήσει και κατανοήσει τους
κινδύνους που συνδέονται με την επεξεργασία
δεδομένων προσωπικού χαρακτήρα και να
διασφαλιστεί ότι λαμβάνονται τα κατάλληλα μέτρα για
τον μετριασμό των εν λόγω κινδύνων.
• Επεξεργασία δεδομένων προσωπικού χαρακτήρα
για σκοπούς επιστημονικής ή ιστορικής έρευνας ή
για στατιστικούς σκοπούς, όταν η επεξεργασία
ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα
δικαιώματα και τις ελευθερίες των ατόμων.
Είναι σημαντικό να σημειωθεί ότι, ακόμη και αν η
επεξεργασία δεν εμπίπτει σε μία από τις παραπάνω
κατηγορίες, μπορεί να είναι απαραίτητη η διενέργεια
ΕΑΠΔ, εάν ο υπεύθυνος επεξεργασίας διαπιστώσει
ότι η επεξεργασία ενδέχεται να οδηγήσει σε υψηλό
κίνδυνο για τα δικαιώματα και τις ελευθερίες των
ατόμων.
Στις περιπτώσεις αυτές, η ΕΑΠΔ πρέπει να
διενεργείται για να διασφαλιστεί ότι λαμβάνονται τα
κατάλληλα μέτρα για τον μετριασμό των κινδύνων
που συνδέονται με την επεξεργασία δεδομένων
προσωπικού χαρακτήρα.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Η εκτίμηση αντικτύπου ΕΑΠΔ πρέπει να εξετάζει τα Η εκτίμηση αντικτύπου ΕΑΠΔ πρέπει να περιέχει τα
ακόλουθα στοιχεία: στοιχεία που απαριθμούνται στο άρθρο 35
παράγραφος 7 του ΓΚΠΔ, τα οποία περιλαμβάνουν:
• Τύπος των δεδομένων προσωπικού χαρακτήρα
που υποβάλλονται σε επεξεργασία • περιγραφή των πράξεων επεξεργασίας
• Σκοπός της επεξεργασίας • αξιολόγηση της αναγκαιότητας και της
αναλογικότητας της επεξεργασίας
• Κατηγορίες ατόμων που θίγονται
• αξιολόγηση των κινδύνων για τα δικαιώματα και
• Πιθανές συνέπειες για τα άτομα
τις ελευθερίες των υποκειμένων των δεδομένων
• Τεχνικά και οργανωτικά μέτρα που πρέπει να
• μέτρα για την αντιμετώπιση των εν λόγω
εφαρμοστούν για τον μετριασμό των κινδύνων.
κινδύνων.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Παράδειγμα εκτίμησης αντικτύπου
• Τίτλος:
XYZ Company (Online Retailer)
• Εισαγωγή:
Η παρούσα έκθεση αντικτύπου εκπονήθηκε από την
εταιρεία XYZ για να αξιολογήσει τις πιθανές
επιπτώσεις των εργασιών επεξεργασίας δεδομένων
της στα δικαιώματα προστασίας της ιδιωτικής ζωής
των πελατών της.
Σκοπός της παρούσας έκθεσης είναι να διασφαλίσει
ότι η εταιρεία XYZ έχει αξιολογήσει και κατανοήσει
τους κινδύνους που συνδέονται με την επεξεργασία
δεδομένων προσωπικού χαρακτήρα και να
διασφαλίσει ότι λαμβάνονται τα κατάλληλα μέτρα
για τον μετριασμό των εν λόγω κινδύνων.
• Λειτουργίες επεξεργασίας δεδομένων:
Η εταιρεία XYZ συλλέγει και επεξεργάζεται τους
ακόλουθους τύπους δεδομένων προσωπικού
χαρακτήρα από τους πελάτες της: όνομα, διεύθυνση,
διεύθυνση ηλεκτρονικού ταχυδρομείου και
πληροφορίες πληρωμής.
Τα εν λόγω προσωπικά δεδομένα συλλέγονται μέσω
του ιστότοπου της εταιρείας, κατά τη διαδικασία της
αγοράς.
Τα προσωπικά δεδομένα χρησιμοποιούνται για
διάφορους σκοπούς, συμπεριλαμβανομένης της
επεξεργασίας πληρωμών, της παροχής υποστήριξης
πελατών και της διεξαγωγής εκστρατειών
μάρκετινγκ.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Αξιολόγηση της αναγκαιότητας και της
αναλογικότητας των πράξεων επεξεργασίας:
Η εταιρεία θα αξιολογήσει εάν η χρήση των
δεδομένων αυτών είναι απαραίτητη για την επίτευξη
των στόχων της και εάν τα οφέλη της επεξεργασίας
αντισταθμίζουν την πιθανή βλάβη στην ιδιωτική ζωή
των πελατών.
Αξιολόγηση των κινδύνων:
Η εταιρεία XYZ έχει αξιολογήσει τους ακόλουθους
κινδύνους για τα δικαιώματα προστασίας της
ιδιωτικής ζωής των πελατών της που σχετίζονται με
τις εργασίες επεξεργασίας δεδομένων της:
• Μη εξουσιοδοτημένη πρόσβαση σε προσωπικά
δεδομένα: Υπάρχει ο κίνδυνος να αποκτήσουν μη
εξουσιοδοτημένα άτομα πρόσβαση στα
προσωπικά δεδομένα των πελατών της XYZ
Company.
• Απώλεια ή κλοπή προσωπικών δεδομένων:
Υπάρχει κίνδυνος απώλειας ή κλοπής προσωπικών
δεδομένων, είτε λόγω τεχνικών βλαβών είτε λόγω
κακόβουλων επιθέσεων.
• Επεξεργασία ευαίσθητων προσωπικών
δεδομένων: Η XYZ Company επεξεργάζεται
πληροφορίες πληρωμής επεξεργάζεται
πληροφορίες πληρωμής, οι οποίες θα μπορούσαν
ενδεχομένως να αποκαλύψουν πληροφορίες
σχετικά με την οικονομική κατάσταση του πελάτη.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Μέτρα μετριασμού:
Η εταιρεία XYZ έχει λάβει τα ακόλουθα μέτρα για τον
μετριασμό των κινδύνων για τα δικαιώματα
προστασίας της ιδιωτικής ζωής των πελατών και των
υπαλλήλων της:
Τεχνικά μέτρα: Η εταιρεία XYZ έχει εφαρμόσει
κατάλληλα τεχνικά μέτρα για την προστασία των
προσωπικών δεδομένων, όπως κρυπτογράφηση και
ασφαλείς διακομιστές.
• Οργανωτικά μέτρα: Η εταιρεία XYZ έχει
εφαρμόσει κατάλληλα οργανωτικά μέτρα για να
διασφαλίσει ότι τα προσωπικά δεδομένα
αντιμετωπίζονται με ασφάλεια και
εμπιστευτικότητα από τους υπαλλήλους της.
• Πολιτικές απορρήτου: Η εταιρεία XYZ έχει
αναπτύξει σαφείς και συνοπτικές πολιτικές
απορρήτου που εξηγούν ποια προσωπικά δεδομένα
συλλέγονται, πώς θα χρησιμοποιηθούν και σε ποιον
θα κοινοποιηθούν.
Συμπέρασμα:
Η εταιρεία XYZ Company έχει αξιολογήσει τις πιθανές
επιπτώσεις των εργασιών επεξεργασίας δεδομένων
της στα δικαιώματα προστασίας της ιδιωτικής ζωής
των πελατών της και έχει λάβει τα κατάλληλα μέτρα
για τον μετριασμό των κινδύνων για τα εν λόγω
δικαιώματα.
Η εταιρεία XYZ δεσμεύεται να σέβεται τα δικαιώματα
προστασίας της ιδιωτικής ζωής των πελατών και των
υπαλλήλων της και να συμμορφώνεται με τις
απαιτήσεις του ΓΚΠΔ.
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Παράδειγμα εκτίμησης αντικτύπου Αξιολόγηση της αναγκαιότητας και της
αναλογικότητας των πράξεων επεξεργασίας:
Ας υποθέσουμε ότι μια εταιρεία σχεδιάζει να
εφαρμόσει ένα νέο σύστημα αναγνώρισης προσώπου Η εταιρεία θα αξιολογήσει εάν η χρήση της
στα καταστήματά της για την παρακολούθηση της αναγνώρισης προσώπου είναι απαραίτητη για την
συμπεριφοράς των πελατών και τη βελτίωση των επίτευξη των στόχων της και εάν τα οφέλη της
προσπαθειών μάρκετινγκ. Η διαδικασία της ΕΑΠΔ θα επεξεργασίας αντισταθμίζουν την πιθανή βλάβη
περιλάμβανε τα ακόλουθα βήματα: στην ιδιωτική ζωή των πελατών.
Συστηματική περιγραφή των εργασιών επεξεργασίας:
Η εταιρεία θα περιέγραφε πώς λειτουργεί η
τεχνολογία αναγνώρισης προσώπου, ποια δεδομένα
συλλέγονται (π.χ. εικόνες των προσώπων των
πελατών), πώς αποθηκεύονται και επεξεργάζονται τα
δεδομένα και ποιος είναι ο σκοπός της επεξεργασίας
(π.χ. παρακολούθηση της συμπεριφοράς των
πελατών).
Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου
σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Αξιολόγηση των κινδύνων για τα
δικαιώματα και τις ελευθερίες των
υποκειμένων των δεδομένων:
Η εταιρεία θα αξιολογούσε τους κινδύνους
για την προστασία της ιδιωτικής ζωής που
συνδέονται με τη συλλογή και τη χρήση
εικόνων προσώπου, όπως ο κίνδυνος μη
εξουσιοδοτημένης πρόσβασης σε
ευαίσθητα δεδομένα ή το ενδεχόμενο
μεροληπτικών διακρίσεων.
Μέτρα για την αντιμετώπιση των κινδύνων:
Τέλος, η εταιρεία θα περιγράφει τα μέτρα
που λαμβάνει για τον μετριασμό των
κινδύνων για την προστασία της ιδιωτικής
ζωής, όπως η εφαρμογή ισχυρών μέτρων
ασφαλείας για την προστασία των
δεδομένων και η διασφάλιση ότι οι πελάτες
είναι πλήρως ενημερωμένοι και δίνουν τη
συγκατάθεσή τους για την επεξεργασία.
 Microsoft Security Assessment Tool

Το Baseline Security Analyzer αποτελεί ένα εργαλείο ελέγχου συμμόρφωσης
ενός υπολογιστικού συστήματος με βέλτιστες πρακτικές. Παρ’ όλ’ αυτά, ένα
Πληροφοριακό Σύστημα (ΠΣ) δεν αποτελείται μόνο από υπολογιστικά
συστήματα (τεχνολογία), αλλά και από ανθρώπους, εφαρμογές και διαδικασίες.
Η αποτίμηση του ρίσκου αποτελεί ολιστική προσέγγιση και είναι ένα ιδιαίτερα
χρήσιμο εργαλείο στον καθορισμό της στρατηγικής ασφάλειας ενός ΠΣ.

Το Security Assessment Tool της Microsoft (MSAT) αποτελεί ένα ενδεικτικό
εργαλείο, το οποίο μέσα από μια σειρά ερωτήσεων και πιθανών απαντήσεων
βασισμένων σε πρότυπα, όπως το ISO17799, οδηγεί στη δημιουργία δύο
εκτιμήσεων:

Business Risk Profile (Προφίλ επιχειρησιακού ρίσκου)

Defense in Depth Assessment (Αξιολόγηση άμυνας σε βάθος)
 Δραστηριότητα: MSAT

Κατεβάστε και εγκαταστήστε το MSAT. Εκτελέστε το και
παρουσιάστε τα αποτελέσματα. URL:

https://www.microsoft.com/en-us/download/details.aspx?
id=12273

Εναλλακτικό URL:

http://infosec.uom.gr/Study/LAB/ISS/6519/MSATEnglish.zip

Το MSAT προϋποθέτει το .NET Framework
Προστασία δεδομένων «εκ σχεδιασμού»
και «εξ ορισμού»
Τι σημαίνει η προστασία δεδομένων «εκ
σχεδιασμού» και «εξ ορισμού»;

Κατά τη νομοθεσία της ΕΕ για την

προστασία των δεδομένων, η
προστασία των δεδομένων πρέπει να
ενσωματώνεται στα αρχικά στάδια του
σχεδιασμού των προϊόντων και των
υπηρεσιών.
Τι σημαίνει η προστασία δεδομένων «εκ
σχεδιασμού» και «εξ ορισμού»;
εκ σχεδιασμού
Οι εταιρείες/οργανισμοί ενθαρρύνονται να
εφαρμόζουν τεχνικά και οργανωτικά μέτρα στα
αρχικά στάδια του σχεδιασμού των πράξεων
επεξεργασίας, με τέτοιον τρόπο ώστε να
διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και
προστασίας δεδομένων ήδη από την αρχή.
εξ ορισμού
Εξ ορισμού, οι εταιρείες/οργανισμοί πρέπει να
διασφαλίζουν ότι τα δεδομένα προσωπικού
χαρακτήρα υποβάλλονται σε επεξεργασία με το
υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής
π.χ.
• μόνο τα απαραίτητα δεδομένα πρέπει να
υποβάλλονται σε επεξεργασία,
• σύντομη περίοδος αποθήκευσης,
• περιορισμένη προσβασιμότητα έτσι ώστε εξ
ορισμού τα δεδομένα προσωπικού χαρακτήρα να
μην είναι προσβάσιμα από αόριστο αριθμό
φυσικών προσώπων («προστασία δεδομένων εξ
ορισμού»).
Τι σημαίνει η προστασία δεδομένων «εκ
σχεδιασμού» και «εξ ορισμού»;
Παραδείγματα
• Ένας δικτυακός τόπος επιτρέπει στους χρήστες να
δημιουργήσουν λογαριασμό, αλλά αντί να ζητά το
πλήρες όνομά τους, απαιτεί μόνο ένα όνομα
χρήστη. Με αυτόν τον τρόπο, ο ιστότοπος μπορεί
να εξακολουθήσει να παρέχει εξατομικευμένες
υπηρεσίες, ελαχιστοποιώντας παράλληλα τον όγκο
των προσωπικών δεδομένων που συλλέγονται.
• Μια εφαρμογή για κινητά χρησιμοποιεί
κρυπτογράφηση για την προστασία των
προσωπικών δεδομένων των χρηστών της κατά τη
μετάδοση και την αποθήκευση τους.
Παραδείγματα
• Μια πλατφόρμα κοινωνικής δικτύωσης θα πρέπει
να ενθαρρύνεται να ορίζει τις ρυθμίσεις των
προφίλ των χρηστών έτσι ώστε να προστατεύουν
όσο το δυνατόν περισσότερο το ιδιωτικό
απόρρητο, για παράδειγμα, περιορίζοντας από την
αρχή την προσβασιμότητα στα προφίλ των
χρηστών έτσι ώστε να μην είναι προσβάσιμα εξ
ορισμού από αόριστο αριθμό ατόμων.
Τι σημαίνει η προστασία δεδομένων «εκ
σχεδιασμού» και «εξ ορισμού»;
Παράδειγμα “Προστασίας εκ σχεδιασμού" για ένα • Ασφαλής αποθήκευση και μεταφορά δεδομένων:
ηλεκτρονικό κατάστημα: Το ηλεκτρονικό κατάστημα εφαρμόζει κατάλληλα
τεχνικά και οργανωτικά μέτρα για την προστασία
• Ελαχιστοποίηση της συλλογής δεδομένων: Το
των προσωπικών δεδομένων, όπως
ηλεκτρονικό κατάστημα ζητά μόνο τον ελάχιστο
κρυπτογράφηση και ασφαλείς διακομιστές, ώστε
αριθμό προσωπικών δεδομένων που είναι
να διασφαλίζεται η προστασία των προσωπικών
απαραίτητα για την ολοκλήρωση μιας
δεδομένων κατά την αποθήκευση και τη
συναλλαγής, όπως όνομα, διεύθυνση και
μεταφορά τους.
πληροφορίες πληρωμής.
• Έλεγχος των προσωπικών δεδομένων από τον
• Παροχή σαφών πολιτικών απορρήτου: Το
χρήστη: Το ηλεκτρονικό κατάστημα παρέχει στους
ηλεκτρονικό κατάστημα διαθέτει σαφή και
πελάτες τη δυνατότητα πρόσβασης, ενημέρωσης
συνοπτική πολιτική απορρήτου, η οποία είναι
και διαγραφής των προσωπικών τους δεδομένων
εύκολα προσβάσιμη στους πελάτες, η οποία εξηγεί
και δίνει στους πελάτες τη δυνατότητα να
ποια προσωπικά δεδομένα συλλέγονται, πώς θα
εξαιρεθούν από τις επικοινωνίες μάρκετινγκ.
χρησιμοποιηθούν και σε ποιον θα κοινοποιηθούν.
Γνωστοποίηση περιστατικών παραβίασης
δεδομένων
Γνωστοποίηση παραβίασης δεδομένων
προσωπικού χαρακτήρα στην Αρχή
Ερώτημα:
• Σας έχει τύχει να απαντήσετε όλοι σε ένα
μήνυμα ηλεκτρονικού ταχυδρομείου με
πολλά άτομα και να συμπεριλάβετε ένα
συνημμένο, παρόλο που προοριζόταν για
ένα πιο περιορισμένο κοινό;
• H διαρροή αυτή δεδομένων αποτελεί
παραβίαση δεδομένων προσωπικού
χαρακτήρα (εμπιστευτικότητας,
ακεραιότητας, διαθεσιμότητας);
• Ποια αρχή της ασφάλειας παραβιάζεται;
• Τι πρέπει να γίνει στην περίπτωση αυτή
σύμφωνα το άρθρο 33 του ΓΚΠΔ;
Γνωστοποίηση παραβίασης δεδομένων
προσωπικού χαρακτήρα στην Αρχή
• Άρθρο 33 του ΓΚΠΔ ή το άρθρο 63 του ν.
4624/2019
Σε περίπτωση που από το περιστατικό ενδέχεται να
προκληθεί κίνδυνος στα δικαιώματα και τις
ελευθερίες των προσώπων τα οποία αυτό αφορά, οι
υπεύθυνοι επεξεργασίας οφείλουν να
γνωστοποιήσουν το εν λόγω περιστατικό στην Αρχή.
Η εν λόγω γνωστοποίηση πρέπει να γίνεται αμελλητί
και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή
που ο υπεύθυνος επεξεργασίας ενημερωθεί για το
περιστατικό.
Μελετήστε το αρχείο υποβολής γνωστοποίησης
περιστατικού παραβίασης στην Αρχή.
Τι παρατηρείτε;
Γνωστοποίηση παραβίασης δεδομένων
προσωπικού χαρακτήρα στην Αρχή
• Άρθρο 34 του ΓΚΠΔ
Περαιτέρω, όταν η παραβίαση ενδέχεται να θέσει σε
υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες
των φυσικών προσώπων τα οποία αφορά το
περιστατικό, τότε ο υπεύθυνος επεξεργασίας οφείλει
να ανακοινώνει αμελλητί την παραβίαση και στα
πρόσωπα αυτά.
Η ανακοίνωση στα φυσικά πρόσωπα πρέπει να γίνει
με τον πλέον πρόσφορο και αποτελεσματικό τρόπο,
με τη μορφή προσωποποιημένης πληροφόρησης και
όχι μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης,
στο βαθμό που αυτό είναι εφικτό.
Σημειώνεται ότι η Αρχή δύναται σε κάθε περίπτωση
να δώσει εντολή στον υπεύθυνο επεξεργασίας να
ενημερώσει τα φυσικά πρόσωπα για το περιστατικό.
Γνωστοποίηση παραβίασης δεδομένων
προσωπικού χαρακτήρα στην Αρχή
•Η γνωστοποίηση πρέπει να περιέχει • Επισημαίνεται ότι ακόμα και αν το
συγκεκριμένες πληροφορίες περιστατικό δεν μπορεί να προκαλέσει
κίνδυνο για τα φυσικά πρόσωπα που αφορά,
•φύση/έκταση του περιστατικού,
οπότε και δεν απαιτείται η υποβολή της ως
•κατηγορίες προσώπων που επλήγησαν άνω γνωστοποίησης στην Αρχή, ο υπεύθυνος
•αιτία και συνέπειες αυτού επεξεργασίας οφείλει σε κάθε περίπτωση
•ενέργειες που έγιναν προς αντιμετώπισή του, … να τηρεί δικό του εσωτερικό σχετικό αρχείο.
•Ακόμα και αν οι πληροφορίες αυτές δεν είναι όλες
διαθέσιμες κατά την υποβολή της γνωστοποίησης,
πρέπει να υποβληθεί ως αρχική και να
ακολουθήσει στη συνέχεια, χωρίς αδικαιολόγητη
καθυστέρηση, επικαιροποίησή της (με υποβολή
συμπληρωματικής γνωστοποίησης).
Γνωστοποίηση παραβίασης δεδομένων
προσωπικού χαρακτήρα στην Αρχή
Παραδείγματα Εάν είχε πράγματι εφαρμόσει κατάλληλα μέτρα
προστασίας (π.χ. κρυπτογράφηση των δεδομένων),
Ο οργανισμός πρέπει να ειδοποιήσει την ΑΠΔ και τα
δεν θα ήταν πιθανό να προκύψει ουσιώδης κίνδυνος
φυσικά πρόσωπα
και το νοσοκομείο θα μπορούσε να είχε απαλλαγεί
Ένας υπάλληλος νοσοκομείου αποφασίζει να από την υποχρέωση να ειδοποιήσει τους ασθενείς.
αντιγράψει στοιχεία ασθενών σε CD και τα
Η εταιρεία πρέπει να ειδοποιήσει τους πελάτες και
δημοσιεύει στο διαδίκτυο. Το νοσοκομείο το
αυτοί έπειτα μπορεί να πρέπει να ειδοποιήσουν την
ανακαλύπτει μερικές μέρες αργότερα. Από τη στιγμή
ΑΠΔ και τα φυσικά πρόσωπα
που λαμβάνει γνώση το νοσοκομείο, πρέπει σε 72
Σε μια υπηρεσία νέφους σημειώνεται απώλεια
ώρες να ενημερώσει την εποπτική αρχή και
αρκετών σκληρών δίσκων που περιέχουν δεδομένα
επιπλέον, καθώς τα προσωπικά στοιχεία περιέχουν
προσωπικού χαρακτήρα τα οποία ανήκουν σε
ευαίσθητες πληροφορίες, για παράδειγμα εάν ο/η
αρκετούς πελάτες της. Η εταιρεία πρέπει να
ασθενής πάσχει από καρκίνο, είναι έγκυος κ.λπ.,
ειδοποιήσει τους εν λόγω πελάτες αμέσως μόλις
πρέπει να ενημερώσει και τους ασθενείς. Στην
αντιληφθεί την παραβίαση. Οι πελάτες της πρέπει να
περίπτωση αυτή, είναι αμφίβολο εάν το νοσοκομείο
ειδοποιήσουν την ΑΠΔ και τα φυσικά πρόσωπα
είχε εφαρμόσει κατάλληλα τεχνικά και οργανωτικά
ανάλογα με τα δεδομένα που είχαν υποβληθεί σε
μέτρα προστασίας .
επεξεργασία από τον εκτελούντα την επεξεργασία.
Δικαιώματα
 Δικαιώματα

Ο Γενικός Κανονισμός Προστασίας Δεδομένων

(ΓΚΠΔ) παρέχει τα ακόλουθα δικαιώματα στα άτομα:
• Δικαίωμα πρόσβασης
• Δικαίωμα διόρθωσης
• Δικαίωμα διαγραφής ("δικαίωμα στη λήθη")
• Δικαίωμα περιορισμού της επεξεργασίας
• Δικαίωμα φορητότητας των δεδομένων
• Δικαίωμα αντίρρησης
• Δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων,
συμπεριλαμβανομένης της κατάρτισης προφίλ.
Μπορώ να ζητήσω από μιαν εταιρεία να
διαγράψει τα προσωπικά μου δεδομένα;
• Ναι, μπορείτε να ζητήσετε να διαγραφούν τα
δεδομένα σας προσωπικού χαρακτήρα όταν, για
παράδειγμα, τα δεδομένα που διαθέτει η εταιρεία
για εσάς δεν είναι πλέον απαραίτητα ή εάν τα
δεδομένα σας έχουν χρησιμοποιηθεί παράνομα.
Τα δεδομένα προσωπικού χαρακτήρα που
παρασχέθηκαν όταν ήσασταν παιδί μπορούν να
διαγραφούν οποιαδήποτε στιγμή.
• Αυτό το δικαίωμα ισχύει και στο διαδίκτυο και
αναφέρεται συχνά ως «δικαίωμα στη λήθη». Σε
συγκεκριμένες περιπτώσεις, μπορείτε να ζητήσετε
από εταιρείες που έχουν δημοσιεύσει προσωπικά
σας δεδομένα στο διαδίκτυο να τα διαγράψουν.
• Οι εν λόγω εταιρείες υποχρεούνται επίσης να
προβούν σε εύλογες ενέργειες για να
ενημερώσουν άλλες εταιρείες (υπεύθυνους
επεξεργασίας) που επεξεργάζονται τα δεδομένα
προσωπικού χαρακτήρα ότι το υποκείμενο των
δεδομένων έχει ζητήσει τη διαγραφή τυχόν
συνδέσμων προς τα δεδομένα αυτά ή αντιγράφων
τους.
• Πρέπει να έχετε υπόψη ότι αυτό το δικαίωμα δεν
είναι απόλυτο, πράγμα που σημαίνει ότι άλλα
δικαιώματα, όπως η ελευθερία έκφρασης και η
επιστημονική έρευνα, διασφαλίζονται επίσης.
Μπορώ να ζητήσω από μιαν εταιρεία να
διαγράψει τα προσωπικά μου δεδομένα;
• Τα δεδομένα πρέπει να διαγραφούν
• Έχετε γίνει μέλος σε έναν ιστότοπο κοινωνικής
δικτύωσης. Μετά από κάποιον καιρό, αποφασίζετε
να αποχωρήσετε από αυτόν. Έχετε το δικαίωμα να
ζητήσετε από την εταιρεία να διαγράψει τα
προσωπικά δεδομένα που σας ανήκουν.
Τα δεδομένα δεν μπορούν να διαγραφούν αμέσως
Μια νέα τράπεζα προσφέρει συμφέροντα στεγαστικά
δάνεια. Ετοιμάζεστε ν’ αγοράσετε ένα καινούργιο
σπίτι και αποφασίζετε να αλλάξετε τράπεζα. Ζητάτε
από την «παλιά» τράπεζα να κλείσει όλους τους
λογαριασμούς και να διαγράψει όλα τα προσωπικά
σας στοιχεία. Ωστόσο, η παλιά τράπεζα υπόκειται σε
νόμο που υποχρεώνει τις τράπεζες να αποθηκεύουν
όλα τα στοιχεία των πελατών για 10 χρόνια. Η παλιά
τράπεζα δεν μπορεί να διαγράψει έτσι απλά τα
προσωπικά στοιχεία σας. Σε αυτήν την περίπτωση,
μπορείτε να ζητήσετε τον περιορισμό της
επεξεργασίας των δεδομένων σας προσωπικού
χαρακτήρα. Η τράπεζα μπορεί έπειτα μόνο να
αποθηκεύσει τα δεδομένα για τη χρονική περίοδο
που απαιτείται από τον νόμο και δεν μπορεί να τα
υποβάλει σε άλλου είδους επεξεργασία.
 Μπορώ να ζητήσω από μιαν εταιρεία να
διαγράψει τα προσωπικά μου δεδομένα;
Όταν κάνετε έρευνα στο διαδίκτυο με βάση το
ονοματεπώνυμό σας, τα αποτελέσματα
εμφανίζουν έναν σύνδεσμο προς ένα άρθρο
εφημερίδας. Οι πληροφορίες στην εφημερίδα
χρονολογούνται πολλά χρόνια πριν και
σχετίζονται με ένα ζήτημα —μια δημοπρασία
ακινήτου που συνδεόταν με διαδικασίες
αποπληρωμής χρέους— που διευθετήθηκε εδώ
και πολύ καιρό και δεν έχει καμία σημασία
τώρα. Εάν δεν είστε δημόσιο πρόσωπο και το
συμφέρον σας όσον αφορά την αφαίρεση του
άρθρου υπερβαίνει το γενικό δημόσιο συμφέρον
για πρόσβαση στις πληροφορίες, τότε η μηχανή
αναζήτησης υποχρεούται να αφαιρέσει από τα
αποτελέσματα τους συνδέσμους προς
ιστοσελίδες που περιλαμβάνουν το
ονοματεπώνυμό σας.
Πώς μπορώ να έχω πρόσβαση στα δεδομένα μου
προσωπικού χαρακτήρα που κατέχει μια εταιρεία/ ένας
οργανισμός;
• Έχετε το δικαίωμα να ζητήσετε και να λάβετε
επιβεβαίωση από την εταιρεία/τον οργανισμό σχετικά με
το εάν διαθέτει ή όχι δεδομένα προσωπικού χαρακτήρα
που σας αφορούν.
• Εάν πράγματι διαθέτουν δεδομένα σας προσωπικού
χαρακτήρα, τότε έχετε το δικαίωμα να αποκτήσετε
πρόσβαση στα εν λόγω δεδομένα, να σας παράσχουν ένα
αντίγραφο και να λάβετε τυχόν σχετικές επιπλέον
πληροφορίες (όπως ο λόγος επεξεργασίας των
δεδομένων σας προσωπικού χαρακτήρα, οι κατηγορίες
των δεδομένων προσωπικού χαρακτήρα που
χρησιμοποιούνται κ.λπ.).
• Αυτό το δικαίωμα δεν είναι απόλυτο: η χρήση του
δικαιώματος πρόσβασης στα προσωπικά σας δεδομένα
δεν θα πρέπει να επηρεάζει τα δικαιώματα και τις
ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή
δικαιώματα διανοητικής ιδιοκτησίας.
• Το δικαίωμα πρόσβασης θα πρέπει να μπορεί
να ασκηθεί με ευκολία και να παρέχεται ανά
«εύλογο χρονικό διάστημα». Η εταιρεία ή ο
οργανισμός θα πρέπει να παρέχει ένα
αντίγραφο των δεδομένων σας προσωπικού
χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα
είναι δυνατό να υπόκεινται σε λογικές
χρεώσεις. Όταν το αίτημα υποβάλλεται με
ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού
μηνύματος), και εκτός εάν υποβάλετε
διαφορετικό αίτημα, οι πληροφορίες θα πρέπει
να παρέχονται σε ηλεκτρονική μορφή που
χρησιμοποιείται ευρέως.
Μπορώ να υπόκειμαι σε αυτοματοποιημένη ατομική λήψη
αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ;
• Κατάρτιση προφίλ γίνεται όταν αξιολογούνται
προσωπικές πτυχές σας με σκοπό την
πραγματοποίηση προβλέψεων σχετικά με εσάς,
ακόμα και εάν δεν λαμβάνεται απόφαση. Για
παράδειγμα, εάν μια εταιρεία ή ένας οργανισμός
αξιολογεί τα χαρακτηριστικά σας (όπως η ηλικία,
το φύλο, το ύψος σας) ή σας ταξινομεί σε μια
κατηγορία, αυτό σημαίνει ότι γίνεται κατάρτιση
του προφίλ σας.
• Λήψη αποφάσεων με βάση μόνο
αυτοματοποιημένα μέσα γίνεται όταν
λαμβάνονται αποφάσεις σχετικά με σας με
τεχνολογικά μέσα και χωρίς καμία ανθρώπινη
παρέμβαση. Τέτοιες αποφάσεις μπορούν να
ληφθούν ακόμα και χωρίς την κατάρτιση προφίλ.
• Το δίκαιο περί προστασίας δεδομένων ορίζει ότι
έχετε το δικαίωμα να μην υπόκεισθε σε απόφαση
με βάση μόνο αυτοματοποιημένα μέσα, εάν η
απόφαση παράγει έννομα αποτελέσματα που
αφορούν εσάς ή κατά παρόμοιο τρόπο σας
επηρεάζουν σε σημαντικό βαθμό.
• Παράδειγμα
• Χρησιμοποιείτε διαδικτυακή τράπεζα για δάνειο.
Σας ζητείται να εισαγάγετε τα δεδομένα σας και ο
αλγόριθμος της τράπεζας σας δηλώνει εάν η
τράπεζα θα σας χορηγήσει το δάνειο ή όχι και
προσδιορίζει το προτεινόμενο επιτόκιο. Πρέπει να
ενημερωθείτε ότι έχετε τη δυνατότητα να
εκφράσετε τη γνώμη σας, να προσβάλετε την
απόφαση και να αξιώσετε να ελεγχθεί από φυσικό
πρόσωπο η απόφαση που λήφθηκε μέσω του
αλγορίθμου.
Τι συμβαίνει εάν τα δεδομένα που έχω
μοιραστεί διαρρεύσουν;
Παραβίαση δεδομένων προσωπικού χαρακτήρα • Παράδειγμα
επέρχεται όταν υπάρξει παραβίαση ασφαλείας που
• Κάνατε κράτηση για ένα ταξί μέσω διαδικτυακής
οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια,
εφαρμογής. Η εταιρεία ταξί υπέστη μαζική
αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση
παραβίαση δεδομένων προσωπικού χαρακτήρα
δεδομένων προσωπικού χαρακτήρα που
και έχουν κλαπεί δεδομένα οδηγών και χρηστών.
υποβλήθηκαν σε επεξεργασία.
Υπάρχουν ενδείξεις ότι δεν είχε τεθεί σε ισχύ
Εάν αυτό συμβεί, ο οργανισμός που κατέχει τα κανένα συγκεκριμένο μέτρο ασφαλείας για την
δεδομένα προσωπικού χαρακτήρα πρέπει να προστασία των δεδομένων προσωπικού
ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη χαρακτήρα. Η εταιρεία όφειλε να σας ενημερώσει
καθυστέρηση. σχετικά με την παραβίαση. Σε αυτήν την
περίπτωση, μπορείτε να υποβάλετε καταγγελία
Εάν η παραβίαση των δεδομένων προσωπικού
κατά της εταιρείας ταξί στην εθνική αρχή
χαρακτήρα είναι πιθανό να θέσει σε υψηλό κίνδυνο
προστασίας δεδομένων (ΑΠΔ).
τα δικαιώματα και τις ελευθερίες σας και ο κίνδυνος
δεν έχει περιοριστεί, τότε εσείς, ως άτομο, πρέπει
επίσης να ενημερωθείτε.
 Πώς πρέπει να ζητείται η συγκατάθεσή μου;
Ένα αίτημα συγκατάθεσης πρέπει να υποβάλλεται με σαφή και
συνοπτικό τρόπο, με διατύπωση που να είναι εύκολα κατανοητή
και να είναι σαφώς διακριτό από άλλες πληροφορίες όπως όροι
και προϋποθέσεις. Το αίτημα πρέπει να προσδιορίζει τη χρήση
που θα γίνει στα δεδομένα σας προσωπικού χαρακτήρα και να
περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρείας που
επεξεργάζεται τα δεδομένα. Η συγκατάθεση πρέπει να δίνεται
ελεύθερα, να είναι συγκεκριμένη, εν επιγνώσει και
αδιαμφισβήτητη.
Ο όρος «εν επιγνώσει» σημαίνει ότι πρέπει να έχετε ενημερωθεί
σχετικά με την επεξεργασία των δεδομένων σας προσωπικού
χαρακτήρα, καθώς και οπωσδήποτε σχετικά με τα εξής:
•την ταυτότητα του οργανισμού που επεξεργάζεται τα δεδομένα·
•τους σκοπούς για τους οποίους γίνεται η επεξεργασία των
δεδομένων·
• το είδος των δεδομένων που θα υποβληθούν σε
επεξεργασία·
• τη δυνατότητα ανάκλησης της συγκατάθεσης (π.χ.
με την αποστολή ηλεκτρονικού μηνύματος για
ανάκληση της συγκατάθεσης)·
• όπου είναι απαραίτητο, το γεγονός ότι τα
δεδομένα θα χρησιμοποιηθούν μόνο για
αυτοματοποιημένη λήψη αποφάσεων,
συμπεριλαμβανομένης της κατάρτισης προφίλ·
• το κατά πόσον η συγκατάθεση σχετίζεται με
διεθνή διαβίβαση των δεδομένων σας, τους
ενδεχόμενους κινδύνους των διαβιβάσεων
δεδομένων προς χώρες εκτός της ΕΕ εάν δεν
υπάρχει για τις χώρες αυτές απόφαση της
Επιτροπής περί επάρκειας και δεν προβλέπονται
κατάλληλες εγγυήσεις.
Πώς πρέπει να ζητείται η συγκατάθεσή μου;

Παραδείγματα

Εγγράφεστε σε ωδείο για να παρακολουθήσετε μαθήματα πιάνου. Η φόρμα

εγγραφής περιέχει ένα μακροσκελές έγγραφο με μικρή γραμματοσειρά στο
οποίο χρησιμοποιούνται εξειδικευμένοι νομικοί και τεχνικοί όροι, το οποίο δίνει
τη δυνατότητα στο ωδείο να διαβιβάσει τα προσωπικά στοιχεία σας σε
λιανέμπορους που πωλούν μουσικά όργανα.
Το ωδείο παραβιάζει τη νομοθεσία, καθώς η συγκατάθεσή σας σχετικά με τη
λήψη υλικού εμπορικής προώθησης (πιθανώς από λιανέμπορους μουσικών
οργάνων) δεν σας ζητήθηκε όπως ορίζεται από τη νομοθεσία.
Πώς πρέπει να ζητείται η συγκατάθεσή μου;
• Παραδείγματα • Ακόμα και εάν δεν απενεργοποιήσετε το πλαίσιο
• Δεν απαιτείται συγκατάθεση σύμφωνα με τη επιλογής, η τράπεζα δεν θα έχει λάβει έγκυρη
νομοθεσία συγκατάθεση, καθώς τα προεπιλεγμένα πλαίσια
δεν θεωρούνται έγκυρη συγκατάθεση σύμφωνα
• Ανοίγετε έναν τραπεζικό λογαριασμό στο διαδίκτυο με τον ΓΚΠΔ.
και θέλετε να επιβεβαιώσετε το αίτημά σας.
Εμφανίζεται μια σελίδα με δύο πλαίσια επιλογής στα
οποία αναγράφεται «Αποδέχομαι τους όρους και τις
προϋποθέσεις» και «Συμφωνώ ότι η απόφαση
σχετικά με το εάν πληρώ τις προϋποθέσεις για
πιστωτική κάρτα βασίζεται μόνο στην κατάρτιση
προφίλ χωρίς καμία ανθρώπινη παρέμβαση». Και τα
δύο πλαίσια επιλογής είναι ενεργοποιημένα
(επιλεγμένα) από προεπιλογή. Πρέπει να
απενεργοποιήσετε το πλαίσιο επιλογής εάν δεν
θέλετε να υπόκεισθε σε απόφαση σχετικά με το εάν
πληροίτε τις προϋποθέσεις για πιστωτική κάρτα μόνο
βάσει κατάρτισης προφίλ.
 Μπορούν να συλλέγονται δεδομένα προσωπικού
χαρακτήρα παιδιών;
• Αυτό το είδος δεδομένων προσωπικού χαρακτήρα
καλύπτεται από επιπλέον προστασία, καθώς τα παιδιά
έχουν μικρότερη επίγνωση των κινδύνων και των
συνεπειών της κοινοποίησης δεδομένων καθώς και των
δικαιωμάτων τους. Τυχόν πληροφορίες που απευθύνονται
συγκεκριμένα σε ένα παιδί θα πρέπει να προσαρμόζονται
έτσι ώστε να είναι εύκολα προσβάσιμες και να είναι
γραμμένες σε σαφή και απλή γλώσσα.
• Για τις περισσότερες διαδικτυακές υπηρεσίες απαιτείται η
συγκατάθεση ενός γονιού ή ενός κηδεμόνα για την
επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός
παιδιού βάσει συγκατάθεσης μέχρι μια ορισμένη ηλικία.
Αυτό ισχύει για τους ιστότοπους κοινωνικής δικτύωσης
καθώς και για τις πλατφόρμες που χρησιμεύουν για τη
μεταφόρτωση μουσικής ή την αγορά διαδικτυακών
παιχνιδιών.
• Το όριο ηλικίας για τη λήψη γονικής συγκατάθεσης είναι
τα 15 έτη για την Ελλάδα.
• Παραδείγματα
• Απαιτείται γονική συγκατάθεση
• Έχετε μια κόρη 12 ετών. Θέλει να εγγραφεί σε ένα
δημοφιλές δίκτυο κοινωνικής δικτύωσης και της
ζητούν τη συγκατάθεσή της για την επεξεργασία
πληροφοριών σχετικά με τη θρησκεία της. Είναι
υποχρεωτική η συγκατάθεσή σας σε περίπτωση
που θέλει να εγγραφεί στο εν λόγω δίκτυο.
• Δεν απαιτείται γονική συγκατάθεση
• Ο 17χρονος γιος σας σκέφτεται να συμμετάσχει σε
έρευνα στο διαδίκτυο σχετικά με τις
καταναλωτικές πρακτικές του όσον αφορά την
αγορά ρούχων. Ο ιστότοπος ζητά τη συγκατάθεσή
του για την επεξεργασία των δεδομένων του.
Καθώς είναι άνω των 16 ετών, μπορεί να δώσει τη
συγκατάθεσή του χωρίς να ζητήσει τη δική σας.
Ποια είναι τα κύρια σημεία του Γενικού Κανονισμού για την
Προστασία των Δεδομένων (ΓΚΠΔ) που πρέπει να γνωρίζει
κάθε δημόσια διοίκηση;
Ποια είναι τα κύρια σημεία του Γενικού Κανονισμού
για την Προστασία των Δεδομένων (ΓΚΠΔ) που
πρέπει να γνωρίζει κάθε δημόσια διοίκηση;
• Κάθε δημόσια διοίκηση υπόκειται στους κανόνες
του ΓΚΠΔ όταν επεξεργάζεται δεδομένα
προσωπικού χαρακτήρα που αφορούν φυσικό
πρόσωπο.
• Η πλειονότητα των δεδομένων προσωπικού
χαρακτήρα που τηρούνται από δημόσιες
διοικήσεις συνήθως τίθενται σε επεξεργασία με
βάση μια νομική υποχρέωση ή στον βαθμό που
τούτο είναι απαραίτητο για την εκπλήρωση
καθήκοντος που εκτελείται προς το δημόσιο
συμφέρον ή κατά την άσκηση δημόσιας εξουσίας
που έχει ανατεθεί σε αυτές.
• Κατά την επεξεργασία δεδομένων προσωπικού
χαρακτήρα, κάθε δημόσια διοίκηση οφείλει να
τηρεί ορισμένες βασικές αρχές, στις οποίες
περιλαμβάνονται οι εξής:
• δίκαιη και νόμιμη επεξεργασία·
• περιορισμός σκοπού·
• ελαχιστοποίηση δεδομένων και διατήρηση
δεδομένων.
Σε περίπτωση επεξεργασίας με βάση το δίκαιο, το εν
λόγω δίκαιο θα πρέπει ήδη να διασφαλίζει ότι αυτές
οι αρχές τηρούνται (π.χ. είδη δεδομένων, περίοδος
αποθήκευσης και κατάλληλες εγγυήσεις).
Πριν από την επεξεργασία δεδομένων προσωπικού
χαρακτήρα, πρέπει να ενημερώνονται τα φυσικά
πρόσωπα σχετικά με την επεξεργασία, π.χ. για τους
σκοπούς της, τα είδη δεδομένων που συλλέγονται,
τους αποδέκτες, καθώς και για τα δικαιώματά τους
όσον αφορά την προστασία των δεδομένων.
Ποια είναι τα κύρια σημεία του Γενικού Κανονισμού
για την Προστασία των Δεδομένων (ΓΚΠΔ) που
πρέπει να γνωρίζει κάθε δημόσια διοίκηση;
• Κάθε δημόσια διοίκηση πρέπει να διορίσει έναν
υπεύθυνο προστασίας δεδομένων (ΥΠΔ), ωστόσο,
μπορεί να διορίζεται ένας και μοναδικός
υπεύθυνος προστασίας δεδομένων για πολλούς
δημόσιους φορείς και ως εκ τούτου να τον
μοιράζονται ή μπορούν να αναθέτουν αυτά τα
καθήκοντα σε έναν εξωτερικό ΥΠΔ.
• Πρέπει επίσης να διασφαλίζει ότι έχει εφαρμόσει
κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία
καθιστούν ασφαλή τα δεδομένα προσωπικού
χαρακτήρα.
• Σε περίπτωση εξωτερικής ανάθεσης μέρους της
επεξεργασίας σε οργανισμό (που αποκαλείται
«εκτελών την επεξεργασία»), πρέπει να υφίσταται
σύμβαση ή άλλη νομική πράξη που να εγγυάται ότι ο
εκτελών την επεξεργασία παρέχει επαρκείς εγγυήσεις
για την υλοποίηση κατάλληλων τεχνικών και
οργανωτικών μέτρων που να ανταποκρίνονται στα
πρότυπα του ΓΚΠΔ.
• Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα
που κατέχει μια δημόσια διοίκηση κοινολογηθούν
τυχαία ή παράνομα σε μη εξουσιοδοτημένους
αποδέκτες ή είναι προσωρινά μη διαθέσιμα ή έχουν
αλλοιωθεί, πρέπει να ειδοποιηθεί η αρχή προστασίας
δεδομένων (ΑΠΔ) σχετικά με την παραβίαση χωρίς
αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72
ωρών από τη στιγμή που διαπιστώνεται η παραβίαση.
Επίσης, ενδέχεται να πρέπει η δημόσια διοίκηση να
ενημερώσει τα άτομα σχετικά με την παραβίαση.
Τι γίνεται σε περίπτωση που μια δημόσια διοίκηση δεν
συμμορφώνεται με τους κανόνες προστασίας δεδομένων;
• Οι αρχές προστασίας δεδομένων έχουν
διαφορετικά εργαλεία στη διάθεσή τους σε
περιπτώσεις μη συμμόρφωσης.
• Σε περίπτωση πιθανής παράβασης, μπορεί να
εκδοθεί προειδοποίηση.
• Σε περίπτωση διαπιστωμένης παράβασης,
ενδέχεται να επιβληθεί, π.χ., επίπληξη ή
προσωρινή ή οριστική απαγόρευση της
επεξεργασίας.
• Τα φυσικά πρόσωπα μπορούν να ζητήσουν
αποζημίωση εάν ένας δημόσιος φορέας έχει
παραβιάσει τον ΓΚΠΔ με αποτέλεσμα να υποστούν
υλική ζημία (π.χ. οικονομική απώλεια) ή μη υλική
ζημία (π.χ. δυσφήμιση ή ψυχική οδύνη).
• Ο ΓΚΠΔ διασφαλίζει ότι θα τους καταβληθεί
αποζημίωση, ανεξάρτητα από τον αριθμό των
οργανισμών που συμμετείχαν στην επεξεργασία
των δεδομένων τους.
• Η αξίωση αποζημίωσης μπορεί να εγερθεί είτε
άμεσα στον υπαίτιο δημόσιο φορέα είτε ενώπιον
των αρμόδιων εθνικών δικαστηρίων.