Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Transcript

1 Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Εισαγωγή στο Γενικό Κανονισμό Δρ. Πρόδρομος Τσιαβός Πανωραία Σπηλιοπούλου Ελευθέριος Κεραμίδας

2 Δομή Μαθήματος 1. Εισαγωγικά Στοιχεία 2. Νέες ρυθμίσεις 3. Πεδίο Εφαρμογής 4. Βασικοί Ορισμοί 5. Αρχές 6. Τι δεδομένα έχω; 7. Τι πρέπει να κάνω για να είμαι έτοιμος για τον Γενικό Κανονισμό 8. Νόμιμη Βάση Επεξεργασίας 9. Δικαιώματα 10. Λογοδοσία και Διακυβέρνηση 11. Ασφάλεια 12. Διεθνείς μεταφορές δεδομένων 13. Παραβιάσεις 14. Εξαιρέσεις

3 1

4 Εισαγωγικά Στοιχεία Γιατί προστασία; Μόνο προστασία; Γιατί ένας Κανονισµός; Χρονοδιάγραµµα

5 α

6 Γιατί προστασία; Πληροφορικοποίηση της κοινωνικής και οικονοµικής δραστηριότητας Αυξηµένη διακινδύνευση του προσώπου Ανάγκη ενίσχυσης της ασφάλειας δικαίου και δηµιουργίας της αναγκαίας εµπιστοσύνης για την ανάπτυξη της ψηφιακής οικονοµίας Ανάγκη προστασίας όχι µόνο από την επεξεργασία από το δηµόσιο αλλά και από τον ιδιωτικό τοµέα Η προστασία του προσώπου έναντι της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα είναι θεµελιώδες δικαίωµα (άρθρο 8 παρ.1 Χάρτη Θεµελιωδών Δικαιωµάτων της Ε.Ε, άρθρο 16 παρ. 1 της Συνθήκης για τη λειτουργία της Ε.Ε). Αυτόβουλη παροχή δεδοµένων Παροχή προσωποποιηµένων ή «προσωποποιηµένων» υπηρεσιών

7 β

8 Μόνο προστασία; Ανάγκη για άνοιγµα, διαµοιρασµό και επαναχρησιµοποιήση της πληροφορίας: Ν. 4305/2014: περαιτέρω χρήση δηµόσιας πληροφορίας Ν. 3882/2010: γεωχωρική πληροφορία (INSPIRE) Συµφωνίες διαµοιρασµού πληροφορίας µε εµπορικούς εταίρους (π.χ. logistics, ανάδοχοι, outsourcing κλπ) Ανάγκη διαµοιρασµού πληροφορίας µέσα στην επιχείρηση

9 Μόνο προστασία; Η 5 η Ελευθερία: Ελεύθερη και απρόσκοπτη ροή της γνώσης/ πληροφορίας/ δεδοµένων εντός της ΕΕ Ο Γενικός Κανονισµός για την Προστασία των Δεδοµένων ως µέρος της στρατηγικής για την Ενιαία Ψηφιακή Αγορά Μέρος ευρύτερων νοµοθετικών παρεµβάσεων για την ελεύθερη ροή της πληροφορίας Οδηγία 2013/37 EE του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 26ης Ιουνίου 2013 για την τροποποίηση της οδηγίας 2003/98/ΕΚ σχετικά µε την περαιτέρω χρήση πληροφοριών του δηµόσιου τοµέα Σχέδιο Κανονισµού για την ελεύθερη ροή των δεδοµένων µη προσωπικού χαρακτήρα (COM(2017) 495 final)

10 Μόνο προστασία; προστασία ροή

11 Μόνο προστασία; Στοιχεία από το Γενικό Κανονισμό: Σκέψη 3: «Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου επιδιώκει την εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.» Σκέψη 4: ««Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας» Σκέψη 6: «Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.» Σκέψη 9: «Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης.» Σκέψη 12: «Το άρθρο 16 παράγραφος 2 ΣΛΕΕ αναθέτει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο να θεσπίσουν τους κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες για την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.»

12 Μόνο προστασία; Στοιχεία από το Γενικό Κανονισμό: Τίτλος: «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)» Άρθρο 3, παρ.1: «Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.»

13 γ

14 Γιατί Κανονισµός; Οι Κανονισµοί είναι νοµικές πράξεις που ορίζονται στο άρθρο 288 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ). Έχουν γενική ισχύ, είναι δεσµευτικοί ως προς όλα τα µέρη τους και ισχύουν άµεσα σε όλες τις χώρες της Ευρωπαϊκής Ένωσης (ΕΕ). Για παράδειγµα, όταν η ΕΕ αποφάσισε να αναλάβει δράση για την καλύτερη προστασία της ανθρώπινης υγείας και του περιβάλλοντος από τους κινδύνους που συνδέονται µε τις χηµικές ουσίες, εξέδωσε έναν κανονισµό για αυτό το θέµα. Ο κανονισµός ανήκει στο παράγωγο δίκαιο της ΕΕ. Εγκρίνεται από τα θεσµικά όργανα της ΕΕ µε βάση τις ιδρυτικές Συνθήκες και αποσκοπεί στην ενιαία εφαρµογή της νοµοθεσίας της ΕΕ σε όλες της χώρες της. Ο κανονισµός θεσπίζεται βάσει νοµοθετικής διαδικασίας. Είναι µια νοµοθετική πράξη που εγκρίνεται από το Συµβούλιο και το Κοινοβούλιο µε συνήθη ή ειδική νοµοθετική διαδικασία. Ο κανονισµός απευθύνεται σε αφηρηµένες κατηγορίες προσώπων και όχι σε αναγνωρίσιµους αποδέκτες. Το στοιχείο αυτό τον διαφοροποιεί από την απόφαση, η οποία ορίζεται στο άρθρο 288 της ΣΛΕΕ. Είναι δεσµευτικός ως προς όλα τα µέρη του. Ο κανονισµός πρέπει να τηρείται πλήρως από εκείνους για τους οποίους ισχύει. Πηγή:

15 Γιατί Κανονισµός; Προβλήµατα στην οµοιόµορφη και συνεκτική εφαρµογή της ισχύουσας Οδηγίας (Οδηγία 95/46/ΕΚ) Ανάγκη ελεύθερης και απρόσκοπτης ροής προσωπικών δεδοµένων και προστασία του προσώπου Ανάγκη ασφάλειας δικαίου και διαφάνειας Ανάγκη συνεκτικής παρακολούθησης της επεξεργασίας σε όλη την Ε.Ε, ισοδύναµες κυρώσεις, αποτελεσµατική συνεργασία κρατών µελών Σκοπός η δηµιουργίας Ενιαίας (Ψηφιακής) Αγοράς

16 δ

17 Χρονοδιάγραµµα Πηγή: pageid=33,311094&_dad=portal& _schema=portal

18 Χρονοδιάγραµµα O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο στις 16 Απριλίου 2016 και θα τεθεί σε άμεση εφαρμογή σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης απότην 25η Μαΐου 2018 Αναμένεται η θέσπιση εθνικών νομοθετικών μέτρων για τον περαιτέρω προσδιορισμό και την εξειδίκευση της εφαρμογής των κανόνων δικαίου που ορίζονται στον Κανονισμό μέχρι τις 6 Μαΐου 2018 (Κεφάλαια VI- VIIΣύσταση εθνικής εποπτικής Αρχής ενεργοποίηση μηχανισμού συνεκτικότητας) Παρούσα Κατάσταση: Έχει συσταθεί εθνική νομοπαρασκευαστική επιτροπή και αναμένεται η κατάθεση του πρώτου draft του νομοσχεδίου Το διάστημα που μεσολαβεί από την ψήφιση μέχρι τη θέση σε ισχύ αποτελεί περίοδο προσαρμογής έτσι ώστε να εξασφαλιστεί η πλήρης συμμόρφωση με τους νέους νομοθετικούς κανόνες για τους φορείς που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού Στο διάστημα αυτό, οι εθνικές αρχές προστασίας δεδομένων, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων και η ομάδα εργασίας του άρθρου 29 (WP29) εκδίδουν γνωμοδοτήσεις και άλλες οδηγίες σχετικά με τη μετάβαση στο νέο καθεστώς προστασίας προσωπικών δεδομένων

19 2

20 Νέες Ρυθµίσεις Οριζόντιες Ρυθµίσεις Υποχρεώσεις

21 α

22 Οριζόντιες Ρυθµίσεις Αύξηση διοικητικών προστίµων (πρόστιµα έως 20 εκ. ευρώ ή 4% του ετήσιου τζίρου) Διεύρυνση των δικαιωµάτων των υποκειµένων προσωπικών δεδοµένων Κατάργηση Γνωστοποιήσεων στην Αρχή Διεύρυνση εδαφικού πεδίου εφαρµογής. Ο Κανονισµός εφαρµόζεται και στις περιπτώσεις που: α) η επεξεργασία γίνεται σε χώρα εκτός Ε.Ε. (εάν η εγκατάσταση του υπευθύνου ή εκτελούντος την επεξεργασία βρίσκεται στην Ε.Ε. β)η εγκατάσταση του υπευθύνου ή εκτελούντος την επεξεργασία βρίσκεται εκτός Ε.Ε. (εάν η επεξεργασία αφορά υποκείµενα δεδοµένων που βρίσκονται εντός Ε.Ε. π.χ. e-shop) Διεύρυνση των Ευαίσθητων Δεδοµένων µε τα Γενετικά και Βιοµετρικά Δεδοµένα

23 β

24 Υποχρεώσεις Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει ανά πάσα στιγµή τη συµµόρφωσή του («αρχή της λογοδοσίας») Αρχείο καταγραφής Δραστηριοτήτων Υποχρέωση ενηµέρωσης σε περίπτωση παραβίασης στο Υποκείµενο και στην Αρχή εντός 72 ωρών Κατάλληλα οργανωτικά µέτρα ασφαλείας, από τον σχεδιασµό και εξ ορισµού (privacy by design / by default), ψευδωνυµοποίηση, ανωνυµοποίηση, κρυπτογράφηση Υποχρεώσεις και Ευθύνες τόσο στον υπεύθυνο όσο και στον εκτελούντα την επεξεργασία. Εισαγωγή ρόλου data protection officer (DPO)

25 3

26 Πεδίο Εφαρµογής Που εφαρµόζεται (ουσιαστικό πεδίο) Που δεν εφαρµόζεται (ουσιαστικό πεδίο) Που εφαρµόζεται (εδαφικό πεδίο) Υπεύθυνοι Επεξεργασίας και Εκτελούντες την Επεξεργασία Προσωπικά και Ευαίσθητα Δεδοµένα

27 α

28 Που εφαρµόζεται (ουσιαστικό πεδίο) Εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης Ορισμοί: «επεξεργασία»: ενδεικτικά: η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση

29 β

30 Που δεν εφαρµόζεται (ουσιαστικό πεδίο) α) στην επεξεργασία προσωπικών δεδομένων που λαμβάνει χώρα στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης (π.χ. Εθνική Ασφάλεια) β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ (κοινή εξωτερική πολιτική και πολιτική ασφαλείας) γ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια

31 Άρθρο 2 Γενικού Κανονισμού: «Ουσιαστικό Πεδίο Εφαρμογής» Τι να διαβάσω;

32 γ

33 Που εφαρµόζεται (εδαφικό πεδίο) Περίπτωση Ι: - επεξεργασία δεδομένωνπροσωπικού χαρακτήρα - στο πλαίσιο δραστηριοτήτων μιας εγκατάστασης - Όπου ο υπεύθυνος επεξεργασίας/ εκτελών επεξεργασία είναι εγκατεστημένος στην ΕΕ SOS: αδιάφορο που γίνεται η επεξεργασία (εντός/ εκτός ΕΕ)

34 Που εφαρµόζεται (εδαφικό πεδίο) Περίπτωση ΙΙ: - επεξεργασία δεδομένων προσωπικού χαρακτήρα - Υποκείμενο επεξεργασίας βρίσκεται στην ΕΕ - Απόυπεύθυνο επεξεργασίας/ εκτελούντα την επεξεργασία εγκατεστημένο εκτός ΕΕ - Δραστηριότητα επεξεργασίας αφορά στην προσφορά αγαθών ή υπηρεσιών στο υποκείμενο στην ΕΕ - Παρακολούθηση της συμπεριφοράς, στοβαθμόπου συμβαίνει εντός ΕΕ

35 Που εφαρµόζεται (εδαφικό πεδίο) Περίπτωση ΙΙΙ: - επεξεργασία δεδομένωνπροσωπικού χαρακτήρα - Όπου ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός ΕΕ - Αλλά δυνάμει συμφωνίας δημοσίου διεθνούς δικαίου εφαρμόζεται το δίκαιο κράτους μέλους

36 Άρθρο 3 Γενικού Κανονισμού: «Εδαφικό Πεδίο Εφαρμογής» Τι να διαβάσω;

37 δ

38 Υπεύθυνοι επεξεργασίας/ Εκτελούντες την επεξεργασία Ι Ο Γενικός Κανονισµός εφαρµόζεται σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία Ο Υπεύθυνος Επεξεργασίας καθορίζει του σκοπούς και τον τρόπο επεξεργασίας δεδοµένων προσωπικού χαρακτήρα Ο Εκτελών την επεξεργασία είναι υπεύθυνος για την επεξεργασία των δεδοµένων για λογαριασµό του Υπεύθυνου Επεξεργασίας. Η επεξεργασία από τον εκτελούντα διέπεται από σύµβαση, που δεσµεύει τον εκτελούντα σε σχέση µε τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείµενο και τη διάρκεια της επεξεργασίας, τη φύση και το σκοπό, το είδος των δεδοµένων, τις κατηγορίες των υποκειµένων, τα δικαιώµατα και τις υποχρεώσεις του υπευθύνου.

39 Υπεύθυνοι επεξεργασίας/ Εκτελούντες την επεξεργασία ΙΙ Εάν είσαι Εκτελών την Επεξεργασία, ο Γενικός Κανονισµός σου επιβάλλει µια σειρά από νόµιµες υποχρεώσεις, π.χ. έχεις την υποχρέωση να διατηρείς αρχείο των προσωπικών δεδοµένων και των δραστηριοτήτων επεξεργασίας αυτών, υπέχεις νόµιµη ευθύνη σε σχέση µε την παραβίαση των προσωπικών δεδοµένων, δεν προσλαµβάνεις άλλον εκτελούντα χωρίς προηγούµενη άδεια του υπευθύνου την επεξεργασία Ο Υπεύθυνος Επεξεργασίας δεν απαλλάσσεται από τις υποχρεώσεις του, εάν υπάρχει Εκτελών την Επεξεργασία Ο Γενικός Κανονισµός επιβάλλει επιπλέον υποχρεώσεις προκειµένου οι συµβατικοί όροι ανάµεσα σε Υπεύθυνο και Εκτελούντα την επεξεργασία να ακολουθούν τις επιταγές του Γενικού Κανονισµού

40 Άρθρα 3, Σκέψεις 22-25, Γενικού Κανονισμού Τι να διαβάσω;

41 ε

42 Προσωπικά & Ευαίσθητα Προσωπικά δεδοµένα Ο Γενικός Κανονισµός εφαρµόζεται σε προσωπικά δεδοµένα, δηλαδή σε οποιαδήποτε πληροφορία σχετίζεται µε ένα ταυτοποιηµένο ή ταυτοποιήσιµο πρόσωπο («Υποκείµενο των δεδοµένων») Ο ορισµός του Γενικού Κανονισµού καλύπτει ένα ευρύ φάσµα από προσωπικούς προσδιοριστές π.χ. όνοµα, ταυτότητα, δεδοµένα τοποθεσίας, διαδικτυακούς προσδιοριστές, καλύπτοντας ένα ευρύτατο φάσµα από τρόπους µε τους οποίους συλλέγονται δεδοµένα και υποστηρίζοντας διαφορετικά είδη τεχνολογίας. Ο Γενικός Κανονισµός εφαρµόζεται τόσο σε αυτοµατοποιηµένα όσο και σε χειροκίνητα συστήµατα αρχειοθέτησης, όπου τα προσωπικά δεδοµένα είναι διαθέσιµα σύµφωνα µε ορισµένα κριτήρια, π.χ. χρονολογικά αρχειοθετηµένα αναλογικά δεδοµένα. Εάν τα προσωπικά δεδοµένα έχουν ψευδωνυµοποιηθεί εµπίπτουν στο πεδίο εφαρµογής του Γενικού Κανονισµού, ανάλογα µε το πόσο ευλόγως πιθανό (έξοδα, χρόνος, διαθέσιµα µέσα και τεχνολογία) είναι να αποδοθούν τα δεδοµένα σε ένα συγκεκριµένα πρόσωπο µε τη χρήση συµπληρωµατικών πληροφοριών.

43 Προσωπικά & Ευαίσθητα Ευαίσθητα δεδοµένα Ι Ο Γενικός κανονισµός εντάσσει τα Ευαίσθητα Προσωπικά Δεδοµένα στις «Ειδικές Κατηγορίες Δεδοµένων Προσωπικού Χαρακτήρα» Ο ΚΑΝΟΝΑΣ: Απαγορεύεται η επεξεργασία Ειδικών Κατηγοριών δεδοµένων που αποκαλύπτουν: τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήµατα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συµµετοχή σε συνδικαλιστική οργάνωση καθώς και η επεξεργασία γενετικών και βιοµετρικών δεδοµένων µε σκοπό την αδιαµφισβήτητη ταυτοποίηση προσώπου καθώς και δεδοµένων υγείας ή που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισµό Μολονότι τα προσωπικά δεδοµένα που αφορούν σε ποινικές καταδίκες και αδικήµατα δεν περιλαµβάνονται στις Ειδικές Κατηγορίες, παρόµοιες επιπλέον ασφαλιστικές δικλείδες περιλαµβάνονται στη ρύθµισή τους

44 Προσωπικά & Ευαίσθητα Ευαίσθητα δεδοµένα ΙΙ ΕΞΑΙΡΕΣΕΙΣ: α)ρητή συγκατάθεση υποκειµένου β)επεξεργασία απαραίτητη στο πλαίσιο εργατικού, ασφαλιστικού δικαίου γ)επεξεργασία απαραίτητη για προστασία ζωτικών συµφερόντων του υποκειµένου δ)στο πλαίσιο νόµιµων δραστηριοτήτων ιδρυµάτων, οργανώσεων, ΜΚΟ και µόνο για τα µέλη τους ε)δεδοµένα που έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο στ)επεξεργασία απαραίτητη για τη θεµελίωση, άσκηση ή υποστήριξη νοµικών αξιώσεων (δικαστήρια) ζ)επεξεργασία απαραίτητη για λόγους ουσιαστικού δηµοσίου συµφέροντος ανάλογο προς τον επιδιωκόµενο στόχο η)επεξεργασία απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής (διάγνωση, περίθαλψη κ.ά) Θ)επεξεργασία απαραίτητη για λόγους δηµόσιας υγείας ι)επεξεργασία απαραίτητη για σκοπούς αρχειοθέτησης προς το δηµόσιο συµφέρον, επιστηµονικής έρευνας ή για στατιστικούς σκοπούς

45 Άρθρα 2, 4, 9, 10+ Σκέψεις 1, 2, 26,51 Γενικού Κανονισμού Τι να διαβάσω;

46 4

47 Βασικοί Ορισµοί Προσωπικά Δεδοµένα Παραδείγµατα Επεξεργασία Κατάρτιση Προφίλ Ψευδωνυµοποίηση Σύστηµα Αρχειοθέτησης Υπεύθυνος Επεξεργασίας Εκτελών την Επεξεργασία Τρίτος Συγκατάθεση Παραβίαση Γενετικά Δεδοµένα Κύρια Εγκατάσταση Ενδιαφερόµενη Εποπτική Αρχή Διασυνοριακή Επεξεργασία

48 α

49 Προσωπικά δεδοµένα «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

50 Ονοματεπώνυμο Διεύθυνση Ε- mail IP- Address Μισθός ΙΒΑΝ Τηλέφωνο Αριθμοί μητρώου (π.χ. Ταμείων ασφάλισης) passwords φυλετική ή εθνοτική καταγωγή πολιτικά φρονήματα θρησκευτικές ή φιλοσοφικές πεποιθήσεις συμμετοχή σε συνδικαλιστική οργάνωση γενετικά/βιομετρικά δεδομένα δεδομένα που αφορούν την υγεία (ιστορικό ασθενούς) Συναλλακτική συμπεριφορά Παραδείγµατα

51 Προσοχή! Ως προσωπικά δεδομένα θεωρούνται: Μόνο αυτά που ανήκουν σε φυσικό πρόσωπο όχι σε θανόντες όχι σε Νομικά Πρόσωπα

52 β

53 Επεξεργασία «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

54 γ

55 Κατάρτιση Προφίλ «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου

56 δ

57 Ψευδωνυµοποίηση «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

58 ε

59 Σύστημα αρχειοθέτησης «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση

60 στ

61 Υπεύθυνος Επεξεργασίας «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους

62 ζ

63 Εκτελών την Επεξεργασία «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

64 η

65 Τρίτος «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

66 θ

67 Συγκατάθεση «συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικούχαρακτήρα πουτο αφορούν

68 ι

69 Παραβίαση «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

70 ια

71 Γενετικά δεδομένα/ βιομετρικά δεδομένα/ δεδομένα υγείας «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικούπροσώπου, «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλο σκοπικά «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

72 ιβ

73 Κύρια Εγκατάσταση α) όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές β) όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού

74 ιγ

75 Ενδιαφερόμενη Εποπτική Αρχή Η εποπτική αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι: α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής β) τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή γ) έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή,

76 ιδ

77 Διασυνοριακή Επεξεργασία α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένοςσε περισσότερα του ενόςκράτη μέλη ή β) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενόςκράτη μέλη.

78 Άρθρο 4 Γενικού Κανονισμού: «Ορισμοί» Τι να διαβάσω;

79 5

80 Αρχές νομιμότητα, αντικειμενικότητα και διαφάνεια περιορισμός του σκοπού ελαχιστοποίηση των δεδομένων ακρίβεια περιορισμός της περιόδου αποθήκευσης ακεραιότητα και εμπιστευτικότητα λογοδοσία

81 α

82 «νομιμότητα, αντικειμενικότητα και διαφάνεια» υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέσημε το υποκείμενο των δεδομένων

83 β

84 «περιορισμός του σκοπού» συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1

85 γ

86 «ελαχιστοποίηση των δεδομένων» είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία

87 δ

88 «ακρίβεια» είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας

89 ε

90 «περιορισμός της περιόδου αποθήκευσης» διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων

91 στ

92 «ακεραιότητα και εμπιστευτικότητα» υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων

93 ζ

94 «λογοδοσία» Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (αρ.1 παρ.1 Γενικού Κανονισμού)

95 Άρθρο 5 + Σκέψη 39 Γενικού Κανονισμού Τι να διαβάσω;

96 6

97 Τι δεδοµένα έχω; Τι είναι ένας Κατάλογος Πληροφοριακών Πόρων (Information Asset Register) Όνομα Πληροφοριακού Πόρου (ΠΠ) Λειτουργία Τοποθεσία Κύριος Όγκος Προσωπικά Δεδομένα Πρόσβαση Διαμοιρασμός Μορφότυπος Διατήρηση Κίνδυνος/ Επίδραση Βασική Αξία

98 α

99 Κατάλογος Πληροφοριακών Πόρων Κάθε Οργανισμός παράγει, προμηθεύεται και διατηρεί ένα πλήθος πληροφοριακών πόρων Προκειμένου να μπορεί να προσδιορίσει τόσο την αξία όσο και τη διακινδύνευση που προκύπτει από τη χρήση αυτών είναι απαραίτητο να δημιουργηθεί ένας Κατάλογος Πληροφοριακών Πόρων (ΚΠΠ) Ο ΚΠΠ είναι απαραίτητος προκειμένου να εντοπίσουμε ιδίως: Το πλήθος και είδος των πόρων Τις επιχειρησιακές ανάγκες που εξυπηρετούν Τον κύκλο ζωής τους Τη μεγιστοποίηση της αξίας τους

100 β

101 Όνομα Προσδιορίζουμε ένα όνομα/ χαρακτηρισμό του Πληροφοριακού Πόρου

102 γ

103 Λειτουργία Σύντομη περιγραφή του ίδιου του πληροφοριακού πόρου Πιο αναλυτική περιγραφή των συστατικών του πόρου Περιγραφή του πού χρησιμοποιείται ο πόρος

104 δ

105 Τοποθεσία Πού βρίσκεται ο πόρος (αναλογικό ή ψηφιακό σύστημα) Σε περίπτωση που είναι σε ψηφιακό χώρο, ξέρω το filepath; Εάν βρίσκεται σε διαδικτυακό δίσκο, πώς ρυθμίζεται η πρόσβαση;

106 ε

107 Κύριος Ποιός δημιούργησε τον πόρο ή από πού προέρχεται ο πόρος; Ποιός είναι ο ιδιοκτήτης/ κύριος του πόρου; Ποιό τμήμα είναι υπεύθυνο για τον πόρο; Ποιά είναι τα εμπλεκόμενα μέρη σε σχέση με τον πόρο;

108 στ

109 Ποιός είναι ο όγκος του Πόρου; Εάν είναι σύνολο δεδομένων- αριθμός αρχείων Εάν είναι μεμονωμένο αρχείο- μέγεθος αρχείου Όγκος

110 ζ

111 Περιέχει ο Πόρος Προσωπικά Δεδομένα Ειδικές κατηγορίες προσωπικών δεδομένων Προσωπικά Δεδομένα

112 η

113 Πρόσβαση Ποιά πλευρά της επιχείρησης εξυπηρετεί ο πόρος; Τι είδους επιχειρησιακοί κίνδυνοι συνδέονται με τον πόρο; Πώς μπορεί να βρεθεί η πληροφορία επί του πόρου; Πώς μπορεί να υπάρχει πρόσβαση στην πληροφορία και ποιός έχει πρόσβαση σε αυτήν; Τι προαπαιτούμενα έχει η επεξεργασία της πληροφορίας; Τι προαπαιτούμενα έχει η κατανόηση της πληροφορίας; Κατά πόσο υπάρχει εμπιστοσύνη σε σχέση με την αλήθεια του περιεχομένου της πληροφορίας;

114 θ

115 Διαμοιρασμός Με ποιούς οργανισμούς/ τμήματα/ φορείς γίνεται διαμοιρασμός της πληροφορίας; Με ποιά συμφωνία γίνεται ο διαμοιρασμός της πληροφορίας;

116 ια

117 Σε ποιό μορφότυπο βρίσκεται και διακινείται ο πόρος; Μορφότυπος

118 ιβ

119 Διατήρηση Για πόσο καιρό θα πρέπει ο πόρος να είναι διαθέσιμος για άμεση πρόσβαση; Τι συμβαίνει με τον πόρο όταν σταματήσει να υπάρχει ανάγκη για άμεση πρόσβαση; Ποιές είναι οι προϋποθέσεις για καταστροφή του πόρου και πώς πιστοποιείται αυτή;

120 ιγ

121 Κίνδυνοι/ Αντίκτυπο Ποιοι είναι οι κίνδυνοι σε σχέση με τον πόρο; Ποιοι είναι οι κίνδυνοι στην επιχείρηση σε σχέση με τον πόρο (π.χ. από την απώλεια, φθορά ή μη ορθή χρήση του);

122 ιδ

123 Βασική Αξία Ποιά είναι η αξία του πόρου για την επιχείρηση; Ποιό είναι το κόστος αντικατάστασης της πληροφορίας για την επιχείρηση;

124 7

125 Πώς να προετοιµαστώ για τον Γενικό Κανονισµό; Βασικά Βήματα Σύσταση Ομάδας Διακυβέρνησης Αποτίμηση Υφιστάμενης Κατάστασης Εκτίμηση Αντικτύπου Σύνταξη και Επικαιροποίηση Πολιτικών και Διαδικασιών Βασικοί Γνώμονες Επικαιροποίησης Διαδικασιών Τεχνικά Μέτρα Συνεχιζόμενα Μέτρα

126 α

127 Έως την 25 Μαΐου 2018 Σύσταση Ομάδας Διακυβέρνησης και ορισμός ΥπευθύνουΠροστασίαςΔεδομένων (DPO) Ολοκλήρωση της χαρτογράφησης δεδομένων (Data mapping) / καταγραφή της ροής των δεδομένων (data flows) διαμόρφωση αρχείου καταγραφής επεξεργασίας δεδομένων Διενέργεια Εκτίμησης Επιπτώσεων για την Προστασία Δεδομένων (Data protection Impact Assessments) και Σχεδιασμό Αντιμετώπισης Περιστατικών (Incident Response Planning) Σύνταξη/ επικαιροποίηση πολιτικών και διαδικασιών Λήψη τεχνικών και οργανωτικών μέτρων Εκπαίδευση προσωπικού Βασικά Βήματα Μετά την 25 η Μαΐου 2018 Εφαρμογή διαδικασιών Παρακολούθηση (Monitoring) και συνεχής επικαιροποίηση

128 β

129 Σύσταση Ομάδας Διακυβέρνησης v Καθορισμός βασικών υπηρεσιακών παραγόντων (key stakeholders) που παίρνουν αποφάσεις επεξεργασίας δεδομένων σε κάθε τμήμα και σύσταση ομάδας εργασίας για την προστασία δεδομένων (data protection governance group), στην οποία συμμετέχουν: Διεύθυνση Υπηρεσιών Πληροφορικής Διεύθυνση ΝομικήςΥποστήριξης/ Δικαστικού Οικονομική Γραμματείας Διοίκησης Διεύθυνση Ανθρωπίνου Δυναμικού και Εκπαίδευσης Τμήμα Ασφάλειας v Ορισμός Υπευθύνου Προστασίας Δεδομένω/Data Protection Officer (DPO) v Απόφαση για τυχόν υπανάθεση μέρους εργασιών σε εξωτερικούς συνεργάτες (χαρτογράφηση δεδομένων/εκπαίδευσηκ.ά)

130 γ

131 Σύσταση Ομάδας Διακυβέρνησης Ø Data Mapping - Καταγραφή κατηγοριών προσωπικών δεδομένων και υφιστάμενων μορφών επεξεργασίας τους ανά τμήμα Πιο συγκεκριμένα, θα πρέπει να γίνει καταγραφή της παρακάτω πληροφορίας η οποία αναφέρεται σε όλο τον κύκλο ζωής των δεδομένων: Είδος προσωπικών δεδομένων Από ποιόν τα συλλέξαμε, πως (ηλεκτρονικά, με φόρμα, με συναίνεση ή ανευ) και για ποιον σκοπό Πού βρίσκονται αποθηκευμένα (και back- up) Ποια συστήματα χρησιμοποιούμε για την επεξεργασία τους Data Flows- Ποια τμήματα έχουν πρόσβαση σε αυτά εσωτερικά Data transfer identification - Συνεργασία με τυχόν εξωτερικούς παρόχους υπηρεσιών Data retention ποιος είναι ο χρόνος διατήρησης κάθε κατηγορίας δεδομένων Διαδικασίες καταστροφής δεδομένων εφόσον υπάρχουν τόσο για το φυσικό όσο και για το ψηφιακό αρχείο Ø Συγκέντρωση των εν ισχύ πολιτικών/εγγράφων λήψης συναίνεσης και κάθε άλλου υλικού που άπτεται της προστασίας προσωπικών δεδομένων και χρησιμοποιείται αυτή τη στιγμή από οποιοδήποτε τμήμα. Ø Καταγραφή των υφιστάμενων τεχνικών μέτρων προστασίας εφόσον υπάρχουν

132 δ

133 Εκτίμηση Αντικτύπου Διενέργεια Εκτίμησης Αντικτύπου στις περιπτώσεις που αυτό απαιτείται (άρθρο 35 του Κανονισμού) Απαιτείται όταν γίνεται μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 του Κανονισμού στις οποίες περιλαμβάνονται ρητά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν: τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τηναδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένωνπου αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

134 ε

135 Εκτίμηση Αντικτύπου Διαμόρφωση ή/και επικαιροποίηση (στις περιπτώσεις που ήδη υπάρχουν): Standard Operation Procedures (π.χ. για την άσκηση κάθε σχετικού δικαιώματος του υποκειμένου προστασίας προσωπικών δεδομένων όπως αυτό προκύπτει από τον Κανονισμό, π.χ. για την περίπτωση παραβίασης) Πολιτικής Προστασίας Προσωπικών Δεδομένων Οδηγών, όρων χρήσης, πολιτικών, εσωτερικών σημειωμάτων, φόρμας λήψης συναίνεσης επεξεργασίας προσωπικών δεδομένων όπου απαιτείται Συμβατικών όρων/ ρητρών

136 στ

137 Επικαιροποίηση Διαδικασιών Εξάλειψη των non- added- value tasks (μείωση της περιττής χειροκίνητης εισαγωγής δεδομένων) Εξασφάλιση συμμόρφωσης με τις βασικές αρχές που θέτει ο Κανονισμός οι οποίες είναι αλληλένδετα συνδεδεμένες με τα δικαιώματα των υποκειμένων προσωπικών δεδομένων όπως αυτά προσδιορίζονται μέσα απότον Κανονισμό (είτε αυτά αφορούν υπαλλήλους, εξωτερικούςσυνεργάτεςκλπ). Τα βασικά δικαιώματα του υποκειμένου προσωπικών δέδομένων τα οποία πρέπει να είναι σε θέση να ασκήσει ανά πάσα στιγμήμετά τις25/5/2018 είναι ενδεικτικά τα ακόλουθα: Ø Δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και λήψης ενημέρωσης για τον σκοπό/ τους αποδέκτες/ τον χρόνο αποθήκευσης τους κ.α. Ø Δικαίωμα απαίτησης άμεσης διόρθωσης ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν Ø Δικαίωμα εναντίωσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν υπό προυποθέσεις Ø Δικαίωμα απαίτησης περιορισμού της επεξεργασίας των προσωπικών του δεδομένων υπό προϋποθέσεις. Ø Δικαίωμα λήψης των δεδομένων που το αφορούν, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και δικαίωμα διαβίβασης των εν λόγω δεδομένων σε άλλον υπεύθυνο επεξεργασίας, υπό προϋποθέσεις (δικαίωμα στη φορητότητα) Ø Δικαίωμα απαίτησης διαγραφής των δεδομένων προσωπικού χαρακτήρα που το αφορούν (γνωστό και ως «Δικαίωμα στη λήθη»)

138 ζ

139 Τεχνικά Μέτρα Εκτός από την εφαρμογή οργανωτικών μέτρων, ο Κανονισμός επιτάσσει και την εφαρμογή κατάλληλων τεχνικών μέτρων που να εξασφαλίζουν την προστασία των προσωπικών δεδομένων (μέτρων ασφάλειας δεδομένων, μεθόδων κρυπτογράφησης προσωπικών δεδομένων κλπ). Επιπλέον ο Κανονισμός κάνει αναφορά με τεχνικές data protection by design (αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό) και data protection by default (αρχή της προστασίας των δεδομένων εξ ορισμού). Πιο συγκεκριμένα κατά το γράμμα του Κανονισμού (άρθρο 25) «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση,το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δενκαθίστανται προσβάσιμα χωρίς τηνπαρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικώνπροσώπων».

140 η

141 Συνεχιζόμενα μέτρα Παρακολούθηση υλοποίησης Πολιτικής Προστασίας/ Κανονισμού Προστασίας Προσωπικών Δεδομένων Εσωτερικοί έλεγχοι Συνεχής επικαιροποίηση πακέτου υλικού Επικοινωνία με τις αρμόδιες εποπτικές και άλλες αρχές Εκπαίδευση προσωπικού

142 8

143 Νόµιµη Βάση Επεξεργασίας Γενικό Πλαίσιο Νόμιμες βάσεις: ü Συγκατάθεση ü Εκτέλεση Σύμβασης ü Έννομη Υποχρέωση ü Ζωτικό Συμφέρον ü Εκπλήρωση Καθήκοντος σε σχέση με δημόσιο συμφέρον/ δημόσια εξουσία ü Έννομο συμφέρον Ειδικές Κατηγορίες Δεδομένων Δεδομένα σε σχέση με ποινικά αδικήματα

144 α

145 Γενικό Πλαίσιο Ι Η νόμιμη βάση είναι απαραίτητη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα Υπάρχουν έξι (6) τύποι νόμιμης βάσης επεξεργασίας Η νόμιμη βάση συναρτάται με το σκοπό επεξεργασίας Οι περισσότερες μορφές νόμιμης βάσης χρησιμοποιούνται με βάση την «αρχή της αναλογικότητας» (πρόσφορο και αναγκαίο μέσο), δλδ εάν ο ίδιος σκοπός μπορεί να επιτευχθεί, σε λογικά πλαίσια, με άλλο μέσο, χωρίς την επεξεργασία, τότε αυτή δεν πρέπει να γίνει. Η νόμιμη βάση είναι προϋπόθεση της επεξεργασίας και άρα προηγείται Η νόμιμη βάση επεξεργασίας δεν πρέπει να αλλάζει χωρίς να εξακριβωθεί η συμβατότητα του σκοπού βάσει του οποίου τα δεδομένα συλλέχθηκαν αρχικώς μετον νέο σκοπό.

146 Πότε είναι η επεξεργασία απαραίτητη Πολλές από τις νόμιμες βάσεις, αλλά όχι όλες, προϋποθέτουν την αναγκαιότητα της επεξεργασίας Σε κάθε περίπτωση η επεξεργασία θα πρέπει να είναι στοχευμένη και αναλογική σε σχέση με το σκοπό της επεξεργασίας Η προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να σταθμίζεται με άλλα θεμελιώδη δικαιώματα του υποκειμένου, βάσει της αρχής της αναλογικότητας. Μπορεί ο ίδιος σκοπός να επιτευχθεί χωρίς επεξεργασία των συγκεκριμένων ή όλων των προσωπικών δεδομένων; Η αναγκαιότητα δεν προκύπτει από την επιλογή του επιχειρηματικού μοντέλου

147 Γενικό Πλαίσιο ΙΙ Το σημείωμα επεξεργασίας δεδομένων προσωπικού χαρακτήρα θα πρέπει να περιέχει τη νόμιμη βάση και τους σκοπούς επεξεργασίας Εάν ο σκοπός της επεξεργασίας αλλάξει μπορεί να συνεχιστεί η επεξεργασία με την ίδια νόμιμη βάση εφόσον αυτή είναι συμβατή με το νέο σκοπό, εκτός εάν η αρχική νόμιμη βάση είναι η συγκατάθεση, οπότε πρέπει να καλύπτεται από αυτήν Εάν η επεξεργασία αφορά σε ειδικές κατηγορίες δεδομένων, τότε θα πρέπει να συντρέχει η νόμιμη βάση με όποιες επιπλέον προϋποθέσεις υπάρχουν σε σχέση με την επεξεργασία της ειδικής κατηγορίας δεδομένων Εάν έχουμε μια περίπτωση επεξεργασίας δεδομένων που περιέχουν στοιχεία ποινικής καταδίκης ή αδικημάτων θα πρέπει να εντοπίζεται τόσο η γενική νόμιμη βάση, όσο και η επιπλέον νόμιμη βάση επεξεργασίας των στοιχείων αυτών.

148 Η επεξεργασία πρέπει να είναι σύννομη, δίκαιη και διαφανής Γιατί η νόμιμη βάση είναι σημαντική; Για να είναι νόμιμη, θα πρέπει να έχει κάποια νόμιμη βάση σύμφωνα με το άρθρο 6 Για να ικανοποιείται η αρχή της λογοδοσίας του αρ.5(2), θα πρέπει να αποδεικνύεται ότι υπάρχει νόμιμη βάση Εάν η επεξεργασία δεν είναι νόμιμη, τότε το υποκείμενο μπορεί να ζητήσει τη διαγραφή των δεδομένων Επειδή το υποκείμενο έχει δικαίωμα πληροφόρησης σε σχέση με τη νόμιμη βάση επεξεργασίας (αρ. 13 και 14), αυτή θα πρέπει να περιλαμβάνεται στο σχετικό σημείωμα Η νόμιμη βάση συναρτάται με τα δικαιώματα του υποκειμένου. Για παράδειγμα: Το δικαίωμα στη λήθη δεν εφαρμόζεται όταν η νόμιμη βάση επεξεργασίας είναι η έννομη υποχρέωση ή η δημόσια αποστολή (αρ. 17(3)(β)) Το δικαίωμα στη φορητότητα των δεδομένων αφορά μόνο στη νόμιμη βάση της συγκατάθεσης ή της συμβάσεως Το δικαίωμα εναντίωσης εφαρμόζεται μόνο στην περίπτωση της δημόσιας αποστολής ή του εννόμου συμφέροντος

149 Άρθρο 6 + Σκέψεις 49, 40 και Κεφάλαιο ΙΙΙ του Γενικού Κανονισμού Τι να διαβάσω;

150 Ποιες είναι οι νόμιμες βάσεις επεξεργασίας Ι; Συγκατάθεση: «το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς» Εκτέλεση σύμβασης: «η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης» Έννομη Υποχρέωση: «η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας» και είναι σύμφωνη με το δίκαιο της Ένωσης ή του κράτους μέλους

151 Ποιες είναι οι νόμιμες βάσεις επεξεργασίας ΙΙ; Διαφύλαξη Ζωτικού Συμφέροντος: «η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου» Δημόσιο Συμφέρον ή εξουσία: «η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας» και είναι σύμφωνη με το δίκαιο της Ένωσης ή του κράτους μέλους

152 Ποιες είναι οι νόμιμες βάσεις επεξεργασίας ΙΙΙ; Έννομο Συμφέρον: «η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί»

153 Άρθρο 6(1) + 6(2) + Σκέψη 40 του Γενικού Κανονισμού Τι να διαβάσω;

154 Πως αποφασίζουμε ποια νόμιμη βάση ισχύει Ι; Μπορούμε να λάβουμε υπόψη μας πολλαπλούς παράγοντες, όπως: Το σκοπό της επεξεργασίας τι προσπαθούμε να πετύχουμε Εάν μπορούμε να πετύχουμε το σκοπό με κάποιον άλλο τρόπο Εάν έχουμε επιλογή ως προς την επεξεργασία ή όχι των δεδομένων Εάν είμαστε δημόσια αρχή Εάν υπάρχουν περισσότερες από μία νόμιμες βάσεις επιλέγουμε την πλέον κατάλληλη Εάν είμαστε δημόσια αρχή, τότε εξετάζουμε εάν η επεξεργασία σχετίζεται με τους καταστατικούς μας σκοπούς

155 Πως αποφασίζουμε ποια νόμιμη βάση ισχύει ΙΙ; Εάν η επεξεργασία δεν γίνεται στη βάση της έννομης υποχρέωσης, σύμβασης, ζωτικού συμφέροντος ή δημόσιας αποστολής, θα πρέπει να γίνει επιλογή ανάμεσα στο έννομο συμφέρον ή στη συγκατάθεση. Ειδικότερα, θα πρέπει να εξετασθεί: Ποιον ωφελεί η επεξεργασία; Θα περίμενε το υποκείμενο να λάβει χώρα η σχετική επεξεργασία; Ποιά είναι η σχέση του τελούντος την επεξεργασία και του υποκειμένου; Υπάρχει σχέση εξουσίας σε σχέση με το υποκείμενο; Ποιο είναι το αντίκτυπο της επεξεργασίας; Είναι ευάλωτο το υποκείμενο; Υπάρχει πιθανότητα εναντίωσης από κάποια από τα υποκείμενα; Μπορεί να σταματήσει η επεξεργασία εάν υποβληθεί σχετικό αίτημα;

156 Πως αποφασίζουμε ποια νόμιμη βάση ισχύει ΙΙΙ; Το έννομο συμφέρον προτιμάται όταν: Επιθυμούμε να διατηρήσουμε τον έλεγχο στην επεξεργασία Μπορούμε να αποδειχθεί ότι είναι σύμφωνη με τις λογικές προσδοκίες του ατόμου και δεν πρόκειται να έχει κάποιο μη αναμενόμενο αντίκτυπο σε αυτό Η συγκατάθεση προτιμάται όταν: Θέλουμε να δώσουμε πλήρη έλεγχο και ευθύνη στο υποκείμενο Μπορούμε ανά πάσα στιγμή να διακόψουμε την επεξεργασία

157 Μπορούμε να αλλάξουμε τη νόμιμη βάση επεξεργασίας; Ο κανόνας είναι: ΟΧΙ Εάν υπάρχει γνήσια αλλαγή συνθηκών, θα πρέπει να γίνει ενημέρωση του υποκειμένου και καταγραφή της αλλαγής (= νέα επεξεργασία)

158 Τι συμβαίνει εάν αλλάξει ο σκοπός της επεξεργασίας Ι; Θα πρέπει ο νέος σκοπός να είναι συμβατός με τον αρχικό σκοπό Θα απαιτηθεί ενδεχομένως νέα νόμιμη βάση Εάν η νόμιμη βάση είναι η συγκατάθεση: Θα πρέπει να δοθεί νέα συγκατάθεση που ρητώς καλύπτει το νέο σκοπό Ο νέος σκοπός δεν είναι ανάγκη να είναι συμβατός με τον παλιό

159 Τι συμβαίνει εάν αλλάξει ο σκοπός της επεξεργασίας ΙΙ; Για να ελέγξω εάν ο νέος σκοπός είναι συμβατός με τον παλιό θα πρέπει να ελέγξω: Σύνδεσμο ανάμεσα σε παλιό και νέο σκοπό Το πλαίσιο εντός του οποίου έγινε η συλλογή των δεδομένων και τι θα περίμενε λογικά το υποκείμενο σε σχέση με την επεξεργασία Τη φύση των δεδομένων (π.χ. εάν ανήκουν σε ειδική κατηγορία) Τις πιθανές συνέπειες που έχει η νέα επεξεργασία για το άτομο Εάν υπάρχουν πιθανά μέτρα απομείωσης κινδύνου (π.χ. ψευδωνυμοποίηση) Εάν ο νέος σκοπός είναι πολύ διαφορετικός από τον αρχικό ή μη αναμενόμενος ή έχει αδικαιολόγητο αντίκτυπο στο υποκείμενο είναι πιθανό να είναι ασύμβατος με τον αρχικό σκοπό και άρα απαιτεί νέα νόμιμη βάση επεξεργασίας.

160 Τι συμβαίνει εάν αλλάξει ο σκοπός της επεξεργασίας ΙΙΙ; Ο Γενικός Κανονισμός καταγράφει ως συμβατούς με τους αρχικούς, σε κάθε περίπτωση, τους ακόλουθους σκοπούς : Την αρχειοθέτηση για λόγους δημοσίου συμφέροντος Τους ερευνητικούς ή επιστημονικούς σκοπούς Τους στατιστικούς σκοπούς Ακόμη κι αν ο νέος σκοπός επεξεργασίας είναι νόμιμος, θα πρέπει να εξετασθεί εάν είναι δίκαιος και διαφανής και θα πρέπει να δίδεται στο υποκείμενο πληροφορία σε σχέση με το νέο σκοπό επεξεργασίας

161 Άρθρο 6(4), 5(1)(β), + Σκέψεις 50 και 61 Τι να διαβάσω;

162 Πώς πρέπει να γίνεται η τεκμηρίωση της νόμιμης βάσης; Επιβάλλεται από την αρχή της λογοδοσίας Για κάθε σκοπό επεξεργασίας θα πρέπει να υπάρχει και η καταγραφή της νόμιμής του βάσης καθώς και του λόγου για τον οποίο εφαρμόζεται αυτή η βάση Δεν υπάρχει τύπος για αυτή την καταγραφή

163 Άρθρο 5(2), 24 Τι να διαβάσω;

164 Τι πρέπει να κοινοποιούμε; Στο σημείωμα πρέπει να κοινοποιείται η νόμιμη βάση ή βάσεις Ειδικότερα θα πρέπει να κοινοποιούνται: Οι σκοποί της επεξεργασίας Η νόμιμη βάση της επεξεργασίας Η υποχρέωση είναι η ίδια είτε η συλλογή γίνεται απευθείας από το υποκείμενο είτε γίνεται από άλλες πηγές

165 Άρθρα 13(1)(γ), 14(1)(γ) + Σκέψη 39 Τι να διαβάσω;

166 Ειδικές Κατηγορίες Δεδομένων και Ποινικά Αδικήματα Θα πρέπει να εντοπίζονται: Η γενική νόμιμη βάση Η προϋπόθεση επεξεργασίας της ειδικής κατηγορίας δεδομένων σύμφωνα με το άρθρο 9 Πρέπει να γίνεται τεκμηρίωση/ καταγραφή και των δύο για λόγους συμμόρφωσης και λογοδοσίας Το ίδιο ισχύει, σύμφωνα με το άρθρο 10, και για τα δεδομένα που αφορούν σε ποινικά αδικήματα

167 Τι να προσέξω Άσκηση εργασίας Ι ü Έχω αναλύσει τους σκοπούς της επεξεργασίας κι έχω επιλέξει την πλέον κατάλληλη/ες νόμιμες βάση/εις σε σχέση μεκάθε επεξεργασία ü Έχω εξετάσει εάν η επεξεργασία, ως μέσο, είναι απαραίτητη/ανάλογη/πρόσφορη/αναγκαία με το σχετικό σκοπό και έχω διασφαλίσει ότι δεν υπάρχει άλλος λιγότερο επεμβατικός τρόπος να επιτευχθεί αυτός ο σκοπός ü Έχω καταγράψει την απόφαση για την επιλογή νόμιμης βάσης προκειμένου να διασφαλίσω τη συμμόρφωση μετο Γενικό Κανονισμό ü Στο Σημείωμα ενημέρωσης του υποκειμένου δεδομένων προσωπικού χαρακτήρα έχω συμπεριλάβει το σκοπό επεξεργασίας και τη νόμιμη βάση ü Όπου υπάρχει επεξεργασία ειδικών κατηγοριών δεδομένων έχω εντοπίσει τους επιπλέονόρους επεξεργασίας αυτώνκαι τους έχω καταγράψει ü Όπου υπάρχει επεξεργασία δεδομένων που αφορούν σε ποινικά αδικήματα, έχω εντοπίσει τους επιπλέονόρους επεξεργασίας αυτώνκαι τους έχω καταγράψει

168 Ποιες είναι οι καινοτομίες του Γενικού Κανονισμού Ι; Η ανάγκη ύπαρξης και καταγραφής νόμιμης βάσης δεν είναι καινούργια Υπάρχουν αυξημένες προϋποθέσεις διαφάνειας και λογοδοσίας Γενικά πρέπει να γίνει επισκόπηση της επεξεργασίας επιλογή της αρμόζουσας νόμιμης βάσης Έλεγχος ότι εφαρμόζεται στη συγκεκριμένη περίπτωση Η μεγαλύτερη διαφορά αφορά στους φορείς του δημοσίου τομέα σε σχέση με: Την έννοια της δημόσιας αποστολής Τον περιορισμό της χρήσης της συγκατάθεσης ως νόμιμης βάσης Τον περιορισμός της χρήσης του εννόμου συμφέροντος ως νόμιμης βάσης

169 Ποιες είναι οι καινοτομίες του Γενικού Κανονισμού ΙΙ; Μετά την εφαρμογή του Γενικού Κανονισμού η αλλαγή νόμιμης βάσης μετά τον αρχικό της προσδιορισμό δεν είναι επιτρεπτή Θα πρέπει να γίνεται η σωστή τεκμηρίωση της νόμιμης βάσης σύμφωνα με τα αρ. 5(2) και 24 του Γενικού Κανονισμού Πρέπει να γίνεται εξαρχής ενημέρωση του υποκειμένου σε σχέση με τη νόμιμη βάση επεξεργασίας. Κάτι τέτοιο πρέπει να γίνει μέχρι τις και να υπάρχει σε όλα τα μελλοντικά σημειώματα.

170 Άρθρο 6 + Σκέψη 171 και / Άρθρο 5(2) του Γενικού Κανονισμού Τι να διαβάσω;

171 β

172 Γενικό πλαίσιο Συγκατάθεσης Ι Η συγκατάθεση δεν είναι πανάκεια. Εάν είναι δύσκολο να βρεθεί, αναζητούμε άλλες νόμιμες βάσεις Η συγκατάθεση είναι χρήσιμη για το χτίσιμο εμπιστοσύνης Εάν οι υπάρχουσες συγκαταθέσεις δεν ανταποκρίνονται στο επίπεδο του Γενικού Κανονισμού, απαιτούνται νέες Η συγκατάθεση απαιτεί θετική συναίνεση Η ρητή συγκατάθεση απαιτεί πολύ καθαρή και συγκεκριμένη συναίνεση Η συγκατάθεση πρέπει να βρίσκεται σε ξεχωριστό σημείο σε σχέση με τους υπόλοιπους συναλλακτικούς όρους Η συγκατάθεση πρέπει να αφορά σε συγκεκριμένο αντικείμενο. Η γενική και αόριστη συγκατάθεση δεν είναι αρκετή

173 Γενικό πλαίσιο Συγκατάθεσης ΙΙ Η συγκατάθεση πρέπει να είναι σύντομη και σαφής Εάν υπάρχουν τρίτοι υπεύθυνοι/ εκτελούντες την επεξεργασία θα πρέπει να αναφέρονται ρητώς Πρέπει να είναι σαφές πως γίνεται η ανάκληση της συναίνεσης και να επικοινωνείται σαφώς Η συγκατάθεση πρέπει να είναι τεκμηριωμένη (ποιός, πότε, πώς, πού, τι) Η συγκατάθεση πρέπει να ελέγχεται και να ανανεώνεται όταν χρειάζεται Αποφεύγουμε να κάνουμε τη συγκατάθεση προϋπόθεση για την παροχή μίας υπηρεσίας Οι δημόσιες αρχές και εργαζόμενοι θα πρέπει να αποφεύγουν τη συγκατάθεση ως νόμιμη βάση και θα πρέπει να αποδεικνύουν ότι δίδεται ελεύθερα

174 Καταγραφή συγκατάθεσης Κρατώ αρχείο του πότε και πώς έλαβα τη συγκατάθεση από ένα άτομο Κρατώ αρχείο με ακριβώς ό,τι ειπώθηκε κατά την παροχή συγκατάθεσης

175 Διαχείριση Συγκατάθεσης Ελέγχω σε τακτά χρονικά διαστήματα ότι η σχέση με το υποκείμενο, η επεξεργασίας και οι σκοποί της δεν έχουν αλλάξει Δημιουργώ διαδικασίες για να ανανεώνω τη συγκατάθεση σε τακτά διαστήματα Χρησιμοποιώ τεχνικά εργαλεία (dashboards) για τη διαχείριση της συγκατάθεσης Κάνω εύκολη την ανάκληση της συγκατάθεσης σε οποιοδήποτε χρονικό σημείο και δημοσιοποιώ τον τρόπο με τον οποίο μπορεί να γίνει αυτό Υλοποιώ την απόφαση για ανάκληση της συγκατάθεσης όσο το δυνατόν το γρηγορότερο Δε λειτουργώ τιμωρητικά για τα άτομα που έχουν ανακαλέσει τη συγκατάθεσή τους

176 Απαραίτητη πληροφορία Δημιουργώ σημείωμα που περιέχει τα ακόλουθα σημεία: Το όνομα του οργανισμού που τελεί την επεξεργασία Το όνομα των τρίτων υπεύθυνων επεξεργασίας που εξαρτώνται από τη συγκατάθεση Γιατί χρειάζομαι τα δεδομένα Τι θα κάνω με τα δεδομένα αυτά Ότι το τα άτομα μπορεί να αποσύρουν τη συγκατάθεσή τους οποιαδήποτε στιγμή

177 Τι να προσέξω Άσκηση εργασίας II ü Έχω εξετάσει ότι η συγκατάθεση είναι η βέλτιστη νόμιμη βάση επεξεργασίας ü Έχω διακρίνει τη συγκατάθεση από τους άλλους συναλλακτικούς όρους ü Η συγκατάθεση είναι θετική ενέργεια ü Δε χρησιμοποιώ προσυμπληρωμένες φόρμες για τη λήψη συγκατάθεσης ü Χρησιμοποιώ απλή και κατανοητή γλώσσα ü Προσδιορίζω γιατί χρειάζομαι τα δεδομένα και τι θα κάνω με αυτά ü Παρέχω συγκεκριμένες επιλογές για συγκατάθεση ανάλογα με τον τύπο και σκοπό της επεξεργασίας ü Ονοματίζω τρίτους υπεύθυνους επεξεργασίας που βασίζονται στη συγκατάθεση ü Ενημερώνω το υποκείμενο ότι μπορεί να αποσύρει τη συγκατάθεσή του ü Διασφαλίζω ότι το υποκείμενο μπορεί να αρνηθεί τη συγκατάθεση χωρίς αρνητικές επιπτώσεις ü Δεν κάνουμε τη συγκατάθεση προϋπόθεση για την παροχή υπηρεσίας ü Εάν η υπηρεσία απευθύνεται σε παιδιά, η συγκατάθεση υπάρχει μόνο εφόσον έχουμε μέτρα προσδιορισμού της ηλικίας του παιδιού

178 Άρθρα 4(11), 6(1)(α), 7, 8, 9(2)(α) + Σκέψεις 32, 38, 40, 42, 43, 171 Τι να διαβάσω;

179 γ

180 Γενικό πλαίσιο Συμβάσεων Η νόμιμη βάση των συμβάσεων είναι αποδεκτή εφόσον χρησιμοποιείται: Προκειμένου να εκπληρωθούν συμβατικές υποχρεώσεις απέναντι στο υποκείμενο Επειδή το υποκείμενο έχει ζητήσει από τον υπεύθυνο να προβεί σε μία ενέργεια πριν από την έναρξη της συμβατικής σχέσης (π.χ. να δώσει μια προσφορά) Η επεξεργασία πρέπει να είναι απαραίτητη. Εάν οι συμβατικές υποχρεώσεις ή η ενέργεια είναι δυνατό να εκπληρωθούν χωρίς την επεξεργασία, τότε η νόμιμη αυτή βάση δεν ισχύει. Πρέπει να τεκμηριώνεται η απόφαση για το λόγο χρήσης της συγκεκριμένης νόμιμης βάσης και να διασφαλίζεται η τεκμηρίωση της αιτιολόγησής της

181 Τι νέο φέρνει ο Γενικός Κανονισμός; Η νόμιμη βάση των συμβάσεων παραμένει σχεδόν η ίδια με την υπάρχουσα Οδηγία Πρέπει να δώσουμε έμφαση: Στην τεκμηρίωση της απόφασης Στην ενημέρωση του υποκειμένου Τι λέει ο Γενικός Κανονισμός 6(1)(β): «η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,»

182 Πότε είναι πιθανό να χρησιμοποιήσουμε αυτή τη νόμιμη βάση; Όταν έχουμε μία σύμβαση με ένα πρόσωπο και είναι απαραίτητη η επεξεργασία των δεδομένων του προκειμένου να ολοκληρωθούν οι υποχρεώσεις που αφορούν στη σύμβαση αυτή Δεν υπάρχει ακόμη σύμβαση με ένα πρόσωπο, αλλά είναι απαραίτητο να γίνει κάποια ενέργεια (π.χ. η παροχή μιας προσφοράς) προκειμένου να γίνει η σύμβαση και η ενέργεια αυτή απαιτεί επεξεργασία Δεν εφαρμόζεται η νόμιμη βάση της σύμβασης: Όταν υπάρχει ανάγκη επεξεργασίας των στοιχείων του προσώπου Α, αλλά η σύμβαση είναι με το πρόσωπο Β Όταν οι προσυμβατικές ενέργειες δε γίνονται για λογαριασμό του υποκειμένου

183 Η αναγκαιότητα κρίνεται με βάση την αρχή της αναλογικότητας Πότε είναι η επεξεργασία απαραίτητη για την κατάρτιση συμβολαίου Η βάση δεν υφίσταται όταν υπάρχουν τρόποι πέραν της επεξεργασίας προκειμένου να καταρτισθεί η σύμβαση Η βάση υφίσταται μόνο όταν η επεξεργασία είναι απαραίτητη για να εκπληρώσουμε τις υποχρεώσεις που απορρέουν από τη σύμβαση και όχι για να διατηρήσουμε το επιχειρηματικό μας μοντέλο Εάν δεν πληρούνται οι προϋποθέσεις επεξεργασίας πρέπει να αναζητηθεί άλλη νόμιμη βάση Δεν απαιτείται τύπος για τη σύμβαση Παραδείγματα: Προσφορά [ΝΑΙ] Διεύθυνση παράδοσης/ πληρωμής [ΝΑΙ] Κατάρτιση προφιλ [ΌΧΙ]

184 Τι άλλο πρέπει να λάβω υπόψη μου Ι; Εάν η επεξεργασία είναι απαραίτητη για την εκπλήρωση της σύμβασης, δεν απαιτείται ξεχωριστή συγκατάθεση Εάν έχουμε ειδική κατηγορία δεδομένων, τότε εκτός από αυτή τη νόμιμη βάση, χρειάζεται η εκπλήρωση και ξεχωριστών προϋποθέσεων για την επεξεργασία των δεδομένων Εάν έχουμε ανήλικο, τότε θα πρέπει να αναζητήσουμε επιπλέον νόμιμη βάση, ιδίως το έννομο συμφέρον. Εάν δεν αρκεί αυτή η νόμιμη βάση και αναζητηθεί η συγκατάθεση, τότε θα πρέπει να μην είναι προϋπόθεση για την ολοκλήρωση της σύμβασης. Διαφορετικά, δεν έχουμε ελεύθερη συγκατάθεση

185 Τι άλλο πρέπει να λάβω υπόψη μου ΙΙ; Εάν χρησιμοποιείται η σύμβαση ως νόμιμη αιτία, τότε το δικαίωμα του προσώπου να αντιτίθεται στο δικαίωμα να μην υπάγεται σε απόφαση που υπάγεται σε αυτοματοποιημένη διαδικασία λήψης απόφασης δεν ισχύει. Ισχύει το δικαίωμα στη φορητότητα των δεδομένων Πρέπει να τεκμηριώνεται ο σκοπός της επεξεργασίας, η νόμιμη βάση και ο λόγος επιλογής της στο Σημείωμα

186 Άρθρα 6(1)(β) και Σκέψη 44 Τι να διαβάσω;

187 δ

188 Γενικό πλαίσιο νόμιμης υποχρέωσης Η νόμιμη αυτή βάση χρησιμοποιείται όταν η επεξεργασία δεδομένων είναι απαραίτητη προκειμένου να υπάρχει συμμόρφωση με διάταξη νόμου Δεν εφαρμόζεται στις συμβατικές υποχρεώσεις Η επεξεργασία πρέπει να είναι απαραίτητη. Εάν μπορεί κάποιος να συμμορφώνεται με το γράμμα των διατάξεων χωρίς να προβαίνει σε επεξεργασία των δεδομένων, τότε η νόμιμη αυτή βάση δεν εφαρμόζεται Πρέπει να γίνεται τεκμηρίωση της νόμιμης αυτής βάσης και αιτιολόγησή της Θα πρέπει είτε να καθορίζεται η συγκεκριμένη διάταξη νόμου είτε η κατάλληλη πηγή από όπου προέρχεται η οδηγία για την εφαρμογή της διάταξης νόμου (π.χ. εγκύκλιος)

189 Πρέπει να είναι αναλογική και εύλογη η ανάγκη επεξεργασίας προκειμένου να υπάρχει συμμόρφωση με διάταξη νόμου Πότε είναι η επεξεργασία απαραίτητη Δεν εφαρμόζεται εάν η συμμόρφωση είναι στη διακριτική ευχέρεια του υπεύθυνου επεξεργασίας Ο νόμος που επιβάλλει την επεξεργασία θα διατυπώνει τις προϋποθέσεις υπό τις οποίες η επεξεργασίας είναι νόμιμη

190 Τι νέο φέρνει ο Γενικός Κανονισμός; Όχι κάτι το ιδιαίτερο: ισχύει ότι και κατά την προϊσχύουσα του Κανονισμού Οδηγία Πρέπει να δώσουμε έμφαση: Στην τεκμηρίωση της απόφασης Στην ενημέρωση του υποκειμένου Τι λέει ο Γενικός Κανονισμός 6(1)(γ): «η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας»

191 Κατά βάση, όταν η επεξεργασία είναι απόρροια της υποχρέωσης συμμόρφωσης με το νόμο Ο νόμος μπορεί να είναι εθνικός ή κοινοτικός Σύμφωνα με τη Σκέψη 41: Πότε είναι πιθανό να εφαρμόζεται η βάση για έννομη υποχρέωση Ι «Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους.»

192 Πότε είναι πιθανό να εφαρμόζεται η βάση για έννομη υποχρέωση ΙΙ Παραδείγματα: Εργοδότης προσωπικά δεδομένα εργαζόμενου με αναφορά σε νομοθεσία εγκυκλίους [ΝΑΙ] Υποχρέωση ενημέρωση εποπτικών αρχών [ΝΑΙ] Δικαστήριο ζητά επεξεργασία δεδομένων προσωπικού χαρακτήρα [ΝΑΙ] Ανεξάρτητη αρχή ζητά στοιχεία [ΝΑΙ] Η συμβατική υποχρέωση δε συνιστά νόμιμη βάση εδώ. Δεν μπορεί να αποφευχθεί νόμιμη υποχρέωση συμβατικά. Εάν η σύμβαση είναι με το υποκείμενο θα πρέπει να αναζητηθεί η νόμιμη βάση της σύμβασης Εάν η σύμβαση είναι με τρίτον θα πρέπει να αναζητηθεί η νόμιμη βάση του εννόμου συμφέροντος

193 Τι άλλο πρέπει να λάβουμε υπόψη; Εάν η επεξεργασία γίνεται για την εκπλήρωση νόμιμης υποχρέωσης, τότε το υποκείμενο δεν έχει το δικαίωμα στη διαγραφή/ λήθη Στη φορητότητα Στην εναντίωση

194 Τι να προσέξω Άσκηση εργασίας IΙI ü Να τεκμηριώσουμε ότι η επεξεργασία είναι αναγκαία για τη συμμόρφωση με νόμο ü Να προσδιορίσουμε την απαραίτητη πηγή από την οποία προκύπτει η υποχρέωση ü Να περιλάβουμε στο σημείωμα πληροφορία για το σκοπό και τη νόμιμη βάση της επεξεργασίας

195 Άρθρα 6(1)(γ) και Σκέψεις 41 και 45 Τι να διαβάσω;

196 ε

197 Γενικό πλαίσιο ζωτικού συμφέροντος Χρησιμοποιείται όταν θέλουμε να προστατέψουμε τη ζωή κάποιου Η επεξεργασία πρέπει να είναι αναγκαία. Εάν η προστασία μπορεί να γίνει χωρίς την επεξεργασία, τότε η βάση δεν ισχύει Δεν μπορεί να βασίζεται κάποιος στο ζωτικό συμφέρον, εάν το πρόσωπο μπορεί να δώσει ή να αρνηθεί τη συγκατάθεσή του Θα πρέπει να αξιολογηθεί η χρήση αυτής της νόμιμης βάσης και να γίνει τεκμηρίωσή της ώστε να μπορεί να αιτιολογηθεί

198 Τι νέο φέρνει ο Γενικός Κανονισμός Ι; Προσιδιάζει στο προηγούμενο νομικό πλαίσιο Διαφοροποίηση: Δεν είναι μόνο το ζωτικό συμφέρον του υποκειμένου, αλλά οποιουδήποτε που μπορεί να επιφέρει τη χρήση της νόμιμης αυτής βάσης Πρέπει να γίνει επισκόπηση υπαρχόντων μορφών επεξεργασίας προκειμένου να διασφαλισθεί ότι η επεξεργασία μπορεί να συνεχισθεί ή να γίνει νέα επεξεργασία εξαιτίας αυτής της βάσης στο μέλλον Πρέπει να γίνει τεκμηρίωση της βάσης

199 Τι νέο φέρνει ο Γενικός Κανονισμός ΙΙ; Τι λέει ο Γενικός Κανονισμός 6(1)(δ): «η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,»

200 Πότε έχουμε ζωτικά συμφέροντα Η Σκέψη 46 δίνει ξεκάθαρο το πλαίσιο που αφορά σε θέματα ζωής και θανάτου: «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ' αρχήν να διενεργείται μόνο εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση»

201 Πότε είναι πιθανό να εφαρμόσουμε αυτή τη νόμιμη βάση Είναι πιθανό να εφαρμοστεί σε περιπτώσεις ιατρικής ανάγκης, όταν η πρόσβαση στα δεδομένα αυτά είναι απαραίτητη και η συγκατάθεση δεν μπορεί να δοθεί Δεν θα εφαρμόζεται σε περιπτώσεις προγραμματισμένης επίσκεψης, εκεί θα πάμε στις βάσεις της δημόσιας αποστολής ή των νόμιμων συμφερόντων Η προστασία των ζωτικών συμφερόντων τρίτων θα εμφανίζεται συνήθως στις περιπτώσεις παιδιών Τα ζωτικά συμφέροντα μπορεί να εφαρμοστούν και σε μεγάλης κλίμακας επεξεργασία (π.χ. επιδημιολογικά δεδομένα) Όταν χρησιμοποιούνται τα δεδομένα ενός προσώπου για να προστατευτεί κάποιο άλλο θα πρέπει να αναζητείται άλλη βάση (έννομο συμφέρον) και μόνο εάν δεν επαρκεί να επανερχόμαστε σε αυτή των ζωτικών συμφερόντων

202 Τι άλλο θα πρέπει να προσέξουμε Η βάση θα εφαρμόζεται κυρίως στην περίπτωση των ιατρικών δεδομένων Με δεδομένο ότι πρόκειται για ειδική κατηγορία δεδομένων θα πρέπει να προσδιοριστούν και πληρωθούν οι επιπλέον προϋποθέσεις του άρθρου 9 Υπάρχει συγκεκριμένη προϋπόθεση στο αρ. 9(2)(γ) σε σχέση με την επεξεργασία ειδικής κατηγορίας δεδομένων όταν πρόκειται να προστατευθούν τα ζωτικά συμφέροντα προσώπου Εάν μπορεί το πρόσωπο να δώσει ή να άρει συγκατάθεση δεν μπορεί να εφαρμοσθεί η διάταξη για τα ζωτικά συμφέροντα

203 Άρθρα 6(1)(δ), 9(2)(γ) και Σκέψη 46 Τι να διαβάσω;

204 στ

205 Δημόσια Αποστολή Η βάση αυτή χρησιμοποιείται όταν χρειάζεται να γίνει νόμιμη επεξεργασία: Κατά την άσκηση δημόσια εξουσίας/ αρχής, όπως ορίζεται στο νόμο Προκειμένου να επιτελεσθεί ένα συγκεκριμένο καθήκον προς δημόσιο όφελος και όπως ορίζεται στο νόμο Αφορά κατά βάση τους φορείς του δημοσίου τομέα, αλλά και κάθε φορέα που μπορεί να ασκεί δημόσια εξουσία ή αποστολή ως προς τη δράση του αυτή Δε χρειάζεται αναφορά σε συγκεκριμένη διάταξη για τη νόμιμη επεξεργασία των δεδομένων, αλλά απαιτείται αναφορά στη διάταξη από την οποία προκύπτει η δημόσια εξουσία ή αποστολή Η επεξεργασία πρέπει να είναι αναγκαία Πρέπει να πραγματοποιείται τεκμηρίωση, ιδίως σε σχέση με την άσκηση της δημόσια εξουσίας ή αποστολής

206 Τι νέο φέρνει ο Γενικός Κανονισμός; Προσιδιάζει τις προγενέστερες διατάξεις της υφιστάμενης Οδηγίας Βασικές διαφορές: η ανάγκη ρητής αναφοράς στη διάταξη νόμου στην οποία βασίζεται η συγκεκριμένη πράξη ή αρμοδιότητα Οι δημόσιες αρχές δεν μπορούν να βασίζονται στο έννομο συμφέρον για να προβαίνουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα Αυξημένες υποχρεώσεις λογοδοσίας μέσα από την τεκμηρίωση της νόμιμης βάσης του δημοσίου καθήκοντος, υπηρεσίας ή εξουσίας Το Σημείωμα θα πρέπει να επικαιροποιηθεί προκειμένου να ανταποκρίνεται στη νόμιμη βάση

207 Τι λέει ο Γενικός Κανονισμός Άρθρο 6(1)(ε): «η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,»

208 Πότε εφαρμόζεται η νόμιμη βάση της δημόσιας εξουσίας Όταν τελώ αρμοδιότητες ή πραγματοποιώ ενέργειες δημοσίου συμφέροντος που προσδιορίζονται ως τέτοιες από το νόμο Ασκώ δημόσια εξουσία που προσδιορίζεται ως τέτοια από το νόμο Πρέπει να τεκμηριώνεται η αναγκαιότητα της επεξεργασίας για την άσκηση της εξουσίας

209 Αναγκαιότητα Αναγκαία σημαίνει ότι η επεξεργασία είναι στοχευμένη και πραγματοποιείται αναλογικά προς την επίτευξη του συγκεκριμένου σκοπού επεξεργασίας Δεν υπάρχει νόμιμη βάση εάν η δημόσια αποστολή μπορεί να επιτευχθεί χωρίς να πραγματοποιηθεί η επεξεργασία Η έννοια του δημόσιου καθήκοντος/ αποστολής/ υπηρεσίας δεν είναι απαραίτητα η ίδια με αυτή της Οδηγίας για την περαιτέρω χρήση δημόσιας πληροφορίας

210 Τι σημαίνει «κατά το νόμο» άσκηση δημόσιας εξουσίας Δεν περιλαμβάνει μόνο νόμους ψηφισμένους από το κοινοβούλιο, αλλά και κανονιστικές πράξεις Πρέπει να υπάρχει τουλάχιστον αναφορά στο νόμο ή σε κανονιστικό πλαίσιο ή εγκύκλιο / οδηγία σε σχέση με τη δημόσια αποστολή

211 Ποιος ασκεί δημόσια εξουσία Δεν έχει να κάνει με τη φύση του οργανισμού αλλά της πράξης Παράδειγμα: Ιδιώτης παρέχων υπηρεσίες συγκοινωνίας, ύδρευσης ή ηλεκτρικού Εάν πρόκειται για ιδιώτη θα πρέπει να εξετασθεί και η βάση του εννόμου συμφέροντος

212 Η δημόσια αποστολή καλύπτει: Την απονομή δικαιοσύνης Κοινοβουλευτικές λειτουργίες Νομοθετικές λειτουργίες Κυβερνητικές/ διοικητικές λειτουργίες Η λίστα αυτή είναι ενδεικτική Σε κάθε περίπτωση θα πρέπει να γίνεται τεκμηρίωση Πότε εφαρμόζεται αυτή η νόμιμη βάση

213 Τα δικαιώματα λήθης, φορητότητας, δεν εφαρμόζονται Υπάρχει το δικαίωμα εναντίωσης Εάν δεν είμαστε σίγουροι χρησιμοποιούμε άλλη νόμιμη βάση Τι άλλο πρέπει να λάβω υπόψη μου; Εάν πρόκειται για φορέα του δημοσίου τομέα, η βάση του εννόμου συμφέροντος μπορεί να χρησιμοποιηθεί σε σχέση με τις δραστηριότητες που είναι εκτός της δημόσιας αποστολής του οργανισμού Και μετά την αλλαγή σκοπού μπορεί να γίνεται στις περιπτώσεις: Αρχειοθέτησης Επιστημονικών/ ερευνητικών σκοπών Στατιστικών σκοπών

214 Άρθρα 6(1)(ε), 6(3)) και Σκέψεις 41, 45 και 50 Τι να διαβάσω;

215 ζ

216 Γενικό πλαίσιο Εννόμου συμφέροντος Ι Πρόκειται για την πλέον ευέλικτη νόμιμη βάση Χρησιμοποιείται στις περιπτώσεις που υπάρχει ένα αποτέλεσμα που το υποκείμενο αναμένει, η επίπτωση στην ιδιωτικότητα είναι περιορισμένη και υπάρχει καλή αιτιολογία για την επεξεργασία Όταν χρησιμοποιείται, ο υπεύθυνος επεξεργασίας αναλαμβάνει επιπλέον ευθύνη σε σχέση με την προστασία των δικαιωμάτων και συμφερόντων των υποκειμένων Οι δημόσιες αρχές μπορούν να χρησιμοποιήσουν αυτή τη βάση μόνο για πράξεις εκτός της άσκησης δημόσιας εξουσίας

217 Γενικό πλαίσιο Εννόμου συμφέροντος ΙΙ Υπάρχουν τρία στοιχεία στη βάση του εννόμου συμφέροντος (τεστ των τριών σταδίων): Προσδιορισμός του εννόμου συμφέροντος Απόδειξη ότι η επεξεργασία είναι απαραίτητη για την επίτευξή του Εξισορρόπηση με τα δικαιώματα, τα συμφέροντα και τις ελευθερίες του υποκειμένου Τα έννομα συμφέροντα μπορεί να είναι του υπευθύνου επεξεργασίας ή τρίτου. Συμπεριλαμβάνουν: Εμπορικά συμφέροντα Ατομικά συμφέροντα Κοινωνικά Συμφέροντα Η επεξεργασία πρέπει να είναι αναγκαία Πρέπει να γίνει εκτίμηση εννόμων συμφερόντων, να τεκμηριωθεί και να αρχειοθετηθεί Το έννομο συμφέρον πρέπει να προσδιορίζεται στο σημείωμα

218 Τι νέο φέρνει ο κανονισμός Μπορεί να χρησιμοποιηθεί και για το έννομο συμφέρον τρίτου προσώπου και της ευρύτερης κοινωνίας Δίδεται μεγαλύτερη έμφαση στην προστασία ανηλίκων Οι δημόσιες αρχές δυσκολεύονται να χρησιμοποιήσουν αυτή τη βάση Πρέπει να υπάρχει τεκμηρίωση

219 Τι λέει ο κανονισμός Άρθρο 6(1)(στ): «η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.»

220 Τεστ των 3 σταδίων Τεστ σκοπού: επιδιώκεις ένα νόμιμο συμφέρον; Τεστ αναγκαιότητας: είναι η επεξεργασία αναγκαία για αυτό το σκοπό; Τεστ εξισορρόπησης: τα συμφέροντα του προσώπου ξεπερνούν το έννομο συμφέρον; Παραδείγματα: Δεδομένα υπαλλήλων, marketing, καταπολέμηση απάτης, δια- ομιλικές μεταφορές, Ασφάλεια Πληροφοριακών συστημάτων Αποκάλυψη εγκληματικών πράξεων ή προβλημάτων ασφαλείας στις αρχές.

221 Όταν το αντίκτυπο στην ιδιωτικότητα είναι μικρό και αναμενόμενο Πότε μπορούμε να χρησιμοποιήσουμε αυτή τη νόμιμη βάση marketing: αναλογικότητα, ελάχιστο αντίκτυπο, αναμενόμενο, δεν θα υπάρξει αντίθεση Στην διάθεση δεδομένων σε τρίτους ισχύουν οι ίδιες αρχές Οι δημόσιες αρχές μπορούν να βασίζονται σε αυτή την αιτία μόνο για πράξεις εκτός της δημόσιας αποστολής τους.

222 Τι άλλο πρέπει να κάνω; Να αναφέρω στο σημείωμα το έννομο συμφέρον Μπορεί να γίνει αλλαγή σκοπού επεξεργασίας εφόσον υπάρχει συμβατότητα με τον αρχικό Εάν ακολουθείται αυτή η βάση δεν εφαρμόζεται το δικαίωμα μεταφοράς Εάν χρησιμοποιείται αυτή η βάση για λόγους marketing το δικαίωμα της εναντίωσης μπορεί να εφαρμοστεί άμεσα Σε όλες τις άλλες περιπτώσεις η επεξεργασία πρέπει επίσης να σταματάει εκτός εάν υπερισχύει το έννομο συμφέρον

223 LIA Έννομο συμφέρον Γιατί θέλω να επεξεργαστώ δεδομένα τι προσπαθώ να επιτύχω Ποιος ευνοείται από την επεξεργασία και με ποιόν τρόπο Υπάρχει κάποιο ευρύτερο δημόσιο όφελος από την επεξεργασία Πόσο σημαντικό είναι το όφελος αυτό Ποιο θα ήταν το αντίκτυπο από τη μη επεξεργασία Θα μπορούσε η χρήση των δεδομένων να είναι εκτός ηθικών κανόνων ή παράνομη; Αναγκαιότητα: Η επεξεργασία υπηρετεί το έννομο συμφέρον Υπάρχει ένας λογικός τρόπος να γίνει αυτό; Υπάρχει άλλος λιγότερο παρεμβατικός τρόπος να γίνει αυτό; Πως μπορούμε να χρησιμοποιήσουμε τη βάση Ι

224 Εξισορρόπηση: Ποια είναι η σχέση με το πρόσωπο Υπάρχουν ευαίσθητα δεδομένα Θα περίμενε το υποκείμενο η χρήση να γίνει κατά αυτό τον τρόπο Μπορούμε να εξηγήσουμε στο πρόσωπο τη χρήση Υπάρχει κάποιος που θα αντιτεθεί στην επεξεργασία Πόσο σημαντικό θα είναι το αντίκτυπο στο πρόσωπο Επεξεργάζομαι δεδομένα παιδιών Είναι κάποιο από τα πρόσωπα ευάλωτο Μπορώ να εφαρμόσω μέσα για να μειώσω το αντίκτυπο Μπορώ να προσφέρω έξοδο (opt- out) από την επεξεργασία; Πως μπορούμε να χρησιμοποιήσουμε τη βάση ΙΙ

225 Τι να προσέξω Ι Άσκηση εργασίας IV ü Προσδιορίζω ότι το έννομο συμφέρον είναι η πλέον κατάλληλη βάση ü Κατανοώ ότι είναι ευθύνη μου να προστατεύω τα συμφέροντα του ατόμου ü Καταρτίζω έκθεση/ ανάλυση εννόμων συμφερόντων (Legitimate Interests Assessment LIA) ü Προσδιορίζω τα σχετικά έννομα συμφέροντα ü Διασφαλίζω ότι η επεξεργασία είναι απαραίτητη και δεν υπάρχει τρόπος χωρίς επεξεργασία που να τα διασφαλίζει ü Έχω κάνει άσκηση εξισορρόπησης και είμαι βέβαιος ότι τα συμφέροντα του προσώπου δεν υπερκεράζουν το έννομο συμφέρον

226 Τι να προσέξω ΙΙ Άσκηση εργασίας V ü Χρησιμοποιώ τα δεδομένα του προσώπου κατά τρόπο που να είναι αναμενόμενος από αυτό, εκτός εάν έχω έναν βάσιμο λόγο ü Δεν χρησιμοποιώ τα δεδομένα του προσώπου κατά τρόπο που να παραβιάζω την ιδιωτικότητα του ή που μπορεί να προξενήσει βλάβη, εκτός εάν έχω βάσιμο λόγο ü Προστατεύουμε τους ανηλίκους ü Έχουμε δημιουργήσει πλέγμα προστασίας για να μειώσουμε το αντίκτυπο όπου αυτό είναι δυνατόν ü Εξετάζουμε κατά πόσο είναι δυνατόν το υποκείμενο να αιτηθεί τη λήξη της επεξεργασίας των δεδομένων του ü Εάν η έκθεση αντικτύπου εννόμου συμφέροντος (ΕΑΕΣ) εμφανίζει μεγάλο αντίκτυπο για την ιδιωτικότητα, εξετάζω κατά πόσο είναι δυνατόν να γίνει έκθεση αντικτύπου προσωπικών δεδομένων (ΕΑΠΔ) ü Εξετάζω σε τακτά χρονικά διαστήματα την ΕΑΕΣ και την επαναλαμβάνω εάν αλλάξουν οι συνθήκες ü Περιλαμβάνω στο σημείωμα στοιχεία για το έννομο συμφέρον

227 9

228 Δικαιώµατα Του Υποκειµένου ü Δικαίωμα Πληροφόρησης ü Δικαίωμα Πρόσβασης ü Δικαίωμα Διόρθωσης ü Δικαίωμα Διαγραφής (Δικαίωμα στη «Λήθη») ü Δικαίωμα Περιορισμού της Επεξεργασίας ü Δικαίωμα στη Φορητότητα των Δεδομένων ü Δικαίωμα Εναντίωσης ü Δικαιώματα σε σχέση με την αυτοματοποιημένη ατομική λήψη αποφάσεων

229 α

230 Το δικαίωμα Πληροφόρησης Το δικαίωμα πληροφόρησης διασφαλίζει το δικαίωμα της θεμιτής επεξεργασίας με διαφανή τρόπο σύμφωνα με την αρχή της «νομιμότητας, αντικειμενικότητας και διαφάνειας» δίνει έμφαση στη διαφάνεια σε σχέση με τη χρήση δεδομένων προσωπικού χαρακτήρα

231 Τι πληροφορία πρέπει να παρέχω στο Υποκείμενο Ι Ο Γενικός Κανονισμός καθορίζει Την πληροφορία που πρέπει να παρέχεται στο Υποκείμενο Το πότε πρέπει να πληροφορώ το Υποκείμενο Η πληροφορία που παρέχεται στο Υποκείμενο εξαρτάται από το εάν τα προσωπικά δεδομένα προήλθαν απευθείας από το υποκείμενο ή όχι Η πληροφορία που παρέχεται σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να έχει τα ακόλουθα χαρακτηριστικά: Να είναι σύντομη, διαφανής, κατανοητή και εύκολα προσβάσιμη Να είναι ξεκάθαρη και γραμμένη σε απλή γλώσσα, ειδικά εάν απευθύνεται σε ένα παιδί Να είναι δωρεάν

232 Τι πληροφορία πρέπει να παρέχω στο Υποκείμενο ΙΙ Τι πληροφορία πρέπει να παρέχω Ταυτότητα και στοιχεία επαφής του Υπεύθυνου Επεξεργασίας (ή το εκπροσώπου του) καθώς και του υπεύθυνου προστασίας δεδομένων Σκοπός της επεξεργασίας και νόμιμη βάση επεξεργασίας Έννομο συμφέρον του υπεύθυνου επεξεργασίας ή του τρίτου Κατηγορίες Προσωπικών Δεδομένων Οποιονδήποτε αποδέκτη ή κατηγορίες αποδεκτών των προσωπικών δεδομένων Λεπτομέρειες σε σχέση με τη μεταφορά των δεδομένων σε Τρίτη χώρα καθώς και τους μηχανισμούς προστασίας των δεδομένων Τα δεδομένα προήλθαν από το Υποκείμενο Χ Χ Χ Χ Χ Τα δεδομένα προήλθαν από Τρίτη πηγή Χ Χ Χ Χ Χ Χ

233 Τι πληροφορία πρέπει να παρέχω στο Υποκείμενο ΙΙΙ Τι πληροφορία πρέπει να παρέχω Περίοδος διατήρησης δεδομένων ή κριτήρια για τον προσδιορισμό της περιόδου διατήρησης Τα δεδομένα προήλθαν από το Υποκείμενο Χ Τα δεδομένα προήλθαν από Τρίτη πηγή Την ύπαρξη καθενός από τα δικαιώματα του Υποκειμένου Χ Χ Το δικαίωμα ανάκλησης της συγκατάθεσης οποιαδήποτε στιγμή Χ Χ Την πηγή των προσωπικών δεδομένων και εάν προήλθαν από δημόσια προσβάσιμεςπηγές Εάν η παροχή δεδομένων προσωπικού χαρακτήρα είναι αποτέλεσμα νόμιμης ή συμβατικής προϋπόθεσης ή υποχρέωσης και τις πιθανές συνέπειες της αδυναμίας να δοθούν τα προσωπικά δεδομένα Το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή Χ Χ Χ Χ Χ

234 Τι πληροφορία πρέπει να παρέχω στο Υποκείμενο IV Τι πληροφορία πρέπει να παρέχω Την ύπαρξη συστήματος αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της δημιουργίας προφίλ, καθώς και την πληροφορία σε σχέση με τον τρόπο λήψης αποφάσεων, τη σημασία και τις συνέπειες αυτών Πότε πρέπει να παρέχεται η σχετική πληροφορία Τα δεδομένα προήλθαν από το Υποκείμενο Χ Κατά το χρόνο συλλογής των δεδομένων Τα δεδομένα προήλθαν από Τρίτη πηγή Χ Εντός ευλόγου χρόνου (εντός μηνός από τη λήψη των δεδομένων) Εάν τα δεδομένα χρησιμοποιούνται για επικοινωνία με το Υποκείμενο, το αργότερο, όταν λάβει χώρα η πρώτη επικοινωνία Εάν εικάζεται η αποκάλυψη των δεδομένων σε τρίτο αποδέκτη, το αργότερο, πριν την αποκάλυψη των δεδομένων

235 Άρθρα 12(1), 12(5), 12(7), 13 και 14 + Σκέψεις Γενικού Κανονισμού Οδηγίες της Επιτροπής του άρθρου 29 σε σχέση με τη διαφάνεια Τι να διαβάσω;

236 β

237 Το δικαίωμα Πρόσβασης Το δικαίωμα Πρόσβασης Το Υποκείμενο έχει δικαίωμα πρόσβασης στην προσωπική του πληροφορία καθώς και σε συμπληρωματική σχετική πληροφορία Το δικαίωμα πρόσβασης επιτρέπει στο Υποκείμενο να έχει γνώση και να μπορεί να επιβεβαιώσει τη νομιμότητα της επεξεργασίας

238 Σε τι πληροφορία έχει δικαίωμα πρόσβασης το Υποκείμενο Σύμφωνα με το Γενικό Κανονισμό το Υποκείμενο έχει δικαίωμα: Να επιβεβαιώνει εάν/ ότι τα δεδομένα του τυγχάνουν επεξεργασίας Να έχει πρόσβαση στα προσωπικά του δεδομένα Να λαμβάνει άλλη συμπληρωματική πληροφορία η οποία σε μεγάλο βαθμό ταυτίζεται με την πληροφορία που πρέπει να υπάρχει σε ένα σημείωμα ιδιωτικότητας/ προσωπικών δεδομένων (βλ. αρ. 15) Ποιος είναι ο σκοπός του δικαιώματος πρόσβασης σύμφωνα με το Γενικό Κανονισμό: Για να έχει το υποκείμενο γνώση και να μπορεί να διασφαλίσει τη νομιμότητα της επεξεργασίας (βλ. Σκέψη 63) Μπορεί να επιβληθεί κάποιο τέλος για την άσκηση του δικαιώματος πρόσβασης; Κανονικά όχι: η πρόσβαση είναι δωρεάν Μπορεί να επιβληθεί ένα «εύλογο τέλος» εάν το αίτημα πρόσβασης είναι καταφανώς αβάσιμο ή καταχρηστικό, ιδίως εάν είναι επαναλαμβανόμενο Εάν απαιτούνται πολλαπλά αντίγραφα Το τέλος πρέπει να αντιστοιχεί στο διοικητικό κόστος παροχής της σχετικής πληροφορίας

239 Χρόνος και όρια Συμμόρφωσης Η πληροφορία πρέπει να παρέχεται χωρίς καθυστέρηση και το αργότερο σε διάστημα ενός μηνός από τη λήψη των δεδομένων Η περίοδος συμμόρφωσης μπορεί να επεκταθεί σε άλλους δύο μήνες όπου οι αιτήσεις είναι πολλές ή περίπλοκες Στην περίπτωση αυτή πρέπει να ενημερωθεί το Υποκείμενο σε διάστημα ενός μηνός από τη λήψη του αιτήματος και να του εξηγηθεί γιατί η παράταση είναι απαραίτητη Τι συμβαίνει εάν το αίτημα είναι καταφανώς αβάσιμο ή καταχρηστικό: Μπορεί να επιβληθεί ένα εύλογο τέλος που να ανταποκρίνεται στο διοικητικό κόστος παροχής της σχετικής πληροφορίας Ο Υπεύθυνος Επεξεργασίας μπορεί να αρνηθεί να παράσχει τη σχετική πληροφορία. Στην περίπτωση αυτή η άρνηση θα πρέπει να αιτιολογηθεί στο Υποκείμενο και να του εξηγηθεί ότι υπάρχει δικαίωμα καταγγελίας/ υποβολής παραπόνων στην εποπτική αρχή και δυνατότητα δικαστικής προστασίας χωρίς υπαίτια καθυστέρηση και σε κάθε περίπτωση το αργότερο εντός ενός μηνός

240 Πως πρέπει να παρέχεται η πληροφορία Πρέπει να επιβεβαιώνεται η ταυτότητα του προσώπου που πραγματοποιεί το αίτημα, με τη χρήση «ευλόγων μέσων» Εάν η αίτηση γίνεται ηλεκτρονικά, η πληροφορία θα πρέπει να παρέχεται με έναν κοινά χρησιμοποιούμενο ψηφιακό μορφότυπο Ο Γενικός Κανονισμός εμπεριέχει ως βέλτιστη πρακτική τη δυνατότητα, όπου αυτό είναι δυνατόν, να παρέχεται η δυνατότητα στο υποκείμενο να έχει πρόσβαση στην προσωπική του πληροφορία μέσα από τη χρήση ασφαλούς σύνδεσης διαδικτυακά και εξατομικευμένα (Σκέψη 63). Το δικαίωμα απόκτησης αντιγράφου της προσωπικής πληροφορίας ή το να υπάρχει πρόσβαση στην προσωπική πληροφορία μέσω απομακρυσμένου διαδικτυακού συστήματος δεν θα πρέπει να έχει επηρεάζει αρνητικά τα δικαιώματα άλλων Εάν ο Υπεύθυνος Επεξεργασίας επεξεργάζεται μεγάλο όγκο δεδομένων, ο Γενικός Κανονισμός παρέχει το δικαίωμα να ρωτηθεί το Υποκείμενο να προσδιορίσει την πληροφορία στην οποία θέλει να έχει πρόσβαση (Σκέψη 63) Ο Γενικός Κανονισμός δε θεσπίζει εξαίρεση για την επεξεργασία μεγάλου όγκου δεδομένων, αλλά το σχετικό αίτημα μπορεί να θεωρηθεί αβάσιμο ή καταχρηστικό

241 Άρθρα 12 και 15 + Σκέψη 63 του Γενικού Κανονισμού Τι να διαβάσω;

242 γ

243 Το δικαίωμα Διόρθωσης Το Υποκείμενο έχει δικαίωμα διόρθωσης της προσωπικής του πληροφορίας Τα προσωπικά δεδομένα μπορεί να διορθωθούν εάν είναι ανακριβή ή ημιτελή Το δικαίωμα Διόρθωσης

244 Πότε πρέπει να διορθώνονται τα προσωπικά δεδομένα Πότε πρέπει να διορθώνονται τα προσωπικά δεδομένα: Εάν είναι ανακριβή ή ημιτελή Εάν τα δεδομένα έχουν δοθεί σε τρίτους, καθένας τους πρέπει να ειδοποιηθεί και να ενημερωθεί για τη διόρθωση, εκτός εάν κάτι τέτοιο είναι αδύνατο ή περιλαμβάνει δυσανάλογη προσπάθεια. Εάν ζητηθεί από το Υποκείμενο, θα πρέπει να ενημερωθεί για τους τρίτους στους οποίους έχει πάει η σχετική πληροφορία Για πόσο διάστημα πρέπει να υπάρχει συμμόρφωση Η συμμόρφωση πρέπει να γίνεται εντός μηνός από τη λήψη των δεδομένων Ο χρόνος αυτός μπορεί να διπλασιαστεί εάν η διόρθωση είναι περίπλοκη Εάν δεν πραγματοποιηθεί η σχετική διόρθωση, τότε θα πρέπει να ενημερωθεί για την αιτία το Υποκείμενο καθώς και για το δικαίωμά του να υποβάλλει καταγγελία στην Εποπτεύουσα Αρχή και να τύχει δικαστικής προστασίας

245 Άρθρα 12, 16 και 19 του Γενικού Κανονισμού Τι να διαβάσω;

246 δ

247 Το δικαίωμα στη «Λήθη» Το δικαίωμα Διαγραφής Είναι γνωστό και ως «δικαίωμα στη Λήθη» Η γενικότερη αρχή πίσω από το δικαίωμα αυτό είναι η δυνατότητα που πρέπει να έχει το υποκείμενο να ζητά τη διαγραφή δεδομένων για τα οποία δεν υπάρχει κάποιος επιτακτικός λόγος για τη συνεχιζόμενη επεξεργασία τους

248 Πότε εφαρμόζεται Το δικαίωμα διαγραφής δεν καθιερώνει ένα απόλυτο δικαίωμα Λήθης Εφαρμόζεται μόνο σε συγκεκριμένες περιστάσεις και υπό συγκεκριμένες προϋποθέσεις: Όταν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με το σκοπό για τον οποίο συνελέγησαν ή έτυχαν επεξεργασίας αρχικά. Όταν το υποκείμενο αποσύρει τη συγκατάθεσή του Όταν το Υποκείμενο αντιτίθεται στην επεξεργασία και δεν υπάρχει υπερισχύον έννομο συμφέρον για τη συνέχιση της επεξεργασίας Όταν η επεξεργασία των δεδομένων είναι παράνομη ή αντίθετη στο Γενικό Κανονισμό Όταν τα δεδομένα πρέπει να διαγραφούν ως αποτέλεσμα νόμιμης υποχρέωσης Όταν τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας ως αποτέλεσμα της παροχής μιας υπηρεσίας της Κοινωνίας της Πληροφορίας σε έναν ανήλικο Το δικαίωμα δεν εφαρμόζεται μόνο στις περιπτώσεις απροειδοποίητης ή ουσιαστικής βλάβης, αλλά κάτι τέτοιο ενισχύει το δικαίωμα στη Λήθη Υπάρχουν περιπτώσεις στις οποίες δεν εφαρμόζεται το δικαίωμα στη Λήθη

249 Πότε δεν εφαρμόζεται Ο Υπεύθυνος Επεξεργασίας μπορεί να αρνηθεί την άσκηση του δικαιώματος στη Διαγραφή: Προκειμένου να ασκηθεί το δικαίωμα στην ελευθερία της έκφρασης ή της πρόσβασης στην πληροφορία Προκειμένου να υπάρχει συμμόρφωση με κάποια νόμιμη υποχρέωση ως αποτέλεσμα της άσκησης δημόσιας εξουσίας ή της εξυπηρέτησης δημόσιας αποστολής Για λόγους δημόσιας υγείας για το δημόσιο συμφέρον Για λόγους αρχειοθέτησης, για το δημόσιο συμφέρον, για επιστημονική, ιστορική έρευνα ή στατιστικούς σκοπούς Για την άσκηση ή απόκρουση νόμιμων απαιτήσεων

250 Πως εφαρμόζεται σε δεδομένα ανηλίκων Υπάρχει έμφαση στην προστασία ανηλίκων, ιδίως σε διαδικτυακά και επιγραμμικά (online) περιβάλλοντα Πρέπει να δίδεται ιδιαίτερη προσοχή όταν ο ανήλικος παρέχει τη συγκατάθεσή του και στη συνέχεια ζητεί τη διαγραφή των δεδομένων, ανεξαρτήτως του χρόνου όπου γίνεται το αίτημα αυτό, ειδικά σε υπηρεσίες κοινωνικής δικτύωσης σε διαδικτυακά fora. Ο λόγος είναι ότι ο ανήλικος μπορεί να μην έχει κατανόηση του περιεχομένου της συγκατάθεσης και των κινδύνων που αυτή συνεπάγεται (Σκέψη 65)

251 Ενημέρωση άλλων οργανισμών Εάν τα δεδομένα έχουν μεταφερθεί σε τρίτους, τότε αυτοί θα πρέπει να ειδοποιούνται και να ενημερώνονται για τη διαγραφή των σχετικών δεδομένων, εκτός εάν αυτό είναι αδύνατο ή περιλαμβάνει δυσανάλογη προσπάθεια. Ο Γενικός Κανονισμός καθιστά σαφές ότι οι οργανισμοί που καθιστούν προσωπικά δεδομένα δημόσια, θα πρέπει να ενημερώσουν άλλους οργανισμούς που επεξεργάζονται τα δεδομένα αυτά να διαγράψουν τα σχετικά δικαιώματα, τους υπερσυνδέσμους σε αυτά, καθώς και τα αντίγραφά τους. Όσο δύσκολο κι αν είναι αυτό, θα πρέπει να γίνεται η δραστηριότητα αυτή, ιδίως στο περιβάλλον των κοινωνικών δικτύων Παράδειγμα: Διαγραφή από μηχανή αναζήτησης μπορεί να επιφέρει τη διαγραφή και από έναν διαδικτυακό τόπο ειδήσεων, αλλά μπορεί και όχι εάν αυτόαντιτίθεται στοδικαίωμα της ελεύθερης πληροφόρησης

252 Άρθρα 17και 19 + Σκέψεις 65 και 66 του Γενικού Κανονισμού Τι να διαβάσω;

253 ε

254 Δικαίωμα στον περιορισμό της επεξεργασίας Το δικαίωμα περιορισμού της επεξεργασίας Το Υποκείμενο έχει το δικαίωμα να σταματήσει ή να περιορίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα Εάν η επεξεργασία είναι προφυλαγμένη, μπορεί να επιτραπεί η αποθήκευση, αλλά όχι η περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα Μπορεί να διατηρηθεί μόνο τόση πληροφορία, όση είναι αναγκαία για το Υποκείμενο προκειμένου να διασφαλισθεί ότι ο περιορισμός θα γίνει σεβαστός στο μέλλον

255 Ποτέ εφαρμόζεται Όταν το Υποκείμενο αμφισβητεί την ακρίβεια των προσωπικών δεδομένων, μέχρι να πιστοποιηθεί η ακρίβεια των προσωπικών δεδομένων Όταν ένα πρόσωπο έχει αντιτεθεί στην επεξεργασία (η οποία ήταν απαραίτητη για την άσκηση δημόσιας αποστολής ή έννομων συμφερόντων) και γίνεται στάθμιση των συμφερόντων του Υποκειμένου και του Υπεύθυνου Επεξεργασίας Όταν η επεξεργασία ήταν παράνομη και το πρόσωπο εναντιώνεται στη διαγραφή και ζητεί τον περιορισμό της επεξεργασίας Εάν ο Υπεύθυνος Επεξεργασίας δε χρειάζεται πλέον τα δεδομένα, αλλά το Υποκείμενο τα χρειάζεται προκειμένου να εγκαθιδρύσει, να ασκήσει ή να υπερασπιστεί νόμιμη αξίωση Μπορεί να χρειαστεί να γίνει επισκόπηση διαδικασιών προκειμένου να εντοπιστεί πού και πώς θα γίνει ο περιορισμός της επεξεργασίας Πρέπει να ενημερωθούν αντίστοιχα όλοι οι τρίτοι που επεξεργάζονται τα σχετικά δεδομένα για τον περιορισμό Θα πρέπει να ενημερωθεί το Υποκείμενο εάν ο περιορισμός παύει πλέον να ισχύει

256 Άρθρα 18 και 19 + Σκέψη 67 του Γενικού Κανονισμού Τι να διαβάσω;

257 στ

258 Δικαίωμα στη Φορητότητα Το δικαίωμα φορητότητας: Επιτρέπει στο Υποκείμενο να αποκτά και να επαναχρησιμοποιεί τα δεδομένα του για δικούς του σκοπούς σε πολλαπλές υπηρεσίες Επιτρέπει την επιλογή της βέλτιστης υπηρεσίας για το Υποκείμενο σε σχέση με τα δεδομένα του

259 Πότε εφαρμόζεται Το δικαίωμα στη φορητότητα εφαρμόζεται: Σε προσωπικά δεδομένα τα οποία το Υποκείμενο έχει παράσχει σε έναν Υπεύθυνο Επεξεργασίας Όταν η επεξεργασία βασίζεται στη συγκατάθεση του Υποκειμένου ή στην εκτέλεση σύμβασης Όταν η επεξεργασία πραγματοποιείται με αυτοματοποιημένα μέσα Πως γίνεται συμμόρφωση: Τα δεδομένα πρέπει να δίδονται με έναν δομημένο, κοινά χρησιμοποιούμενο και μηχαναγνώσιμο τρόπο Ανοιχτοί μορφότυποι συμπεριλαμβάνουν και το μορφότυπο CSV Μηχαναγνώσιμο σημαίνει ότι το λογισμικό μπορεί να εξάγει συγκεκριμένα σύνολα δεδομένων Αυτά επιτρέπουν και σε άλλους οργανισμούς να κάνουν χρήση των δεδομένων Τα προσωπικά δεδομένα πρέπει να δίδονται χωρίς χρέωση Τα δεδομένα μπορεί να μεταφέρονται, εφόσον ζητηθεί, απευθείας σε τρίτο οργανισμό, εάν αυτό είναι τεχνικά εφικτό χωρίς όμως να υπάρχει υποχρέωση τεχνικής προσαρμογής στα τεχνικά/ πληροφοριακά συστήματα του τρίτου οργανισμού Εάν τα προσωπικά δεδομένα αφορούν περισσότερα από ένα άτομα η φορητότητα δε θα πρέπει να επηρεάζει τα δικαιώματα τρίτων

260 Χρόνος Συμμόρφωσης Η συμμόρφωση θα πρέπει να γίνεται χωρίς υπαίτια καθυστέρηση και εντός ενός μηνός Μπορεί να γίνει επέκταση των προθεσμιών στους δύο μήνες εάν το αίτημα είναι περίπλοκο ή εάν έχουν ληφθεί πολλές αιτήσεις. Το Υποκείμενο θα πρέπει να ενημερωθεί σχετικά εντός ενός μηνός από την κατάθεση της αίτησης. Εάν δεν υπάρχει ικανοποίηση του αιτήματος θα πρέπει να αιτιολογείται στο υποκείμενο και να του εξηγείται ότι μπορεί να υποβληθεί καταγγελία στην εποπτική αρχή και να ζητηθεί δικαστική προστασία χωρίς υπαίτια καθυστέρηση και εντός ενός μηνός

261 Άρθρα 12 και 20 + Σκέψη 68 του Γενικού Κανονισμού Οδηγίες της Επιτροπής του Άρθρου 29 Τι να διαβάσω;

262 ζ

263 Δικαίωμα Εναντίωσης Το δικαίωμα Εναντίωσης μπορεί να ασκηθεί έναντι: Της επεξεργασίας που γίνεται στη βάση έννομου συμφέροντος ή της πραγματοποίησης δημόσιας αποστολής ή της άσκησης εξουσίας (συμπεριλαμβανομένης της κατάρτισης προφίλ) Του άμεσου μάρκετινγκ Της επεξεργασίας για στατιστικούς, επιστημονικού και ιστορικής έρευνας σκοπούς

264 Συμμόρφωση σε σχέση με έννομο συμφέρον Πρέπει να αφορά σε λόγους που σχετίζονται με συγκεκριμένη κατάσταση Πρέπει να σταματήσει η επεξεργασία εκτός εάν: Μπορεί να αποδειχθούν νόμιμοι επιτακτικοί λόγοι επεξεργασίας που υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του προσώπου Η επεξεργασία γίνεται για τη δημιουργία, άσκηση ή απόκρουση νόμιμης αξίωσης Πρέπει να γίνει ενημέρωση του Υποκειμένου για το δικαίωμά του να εναντιωθεί κατά την πρώτη επικοινωνία με αυτό Αυτό πρέπει να γίνεται ρητώς και να παρουσιάζεται καθαρά και ξεχωριστά από οποιαδήποτε άλλη πληροφορία

265 Συμμόρφωση σε σχέση με ερευνητικούς σκοπούς Θα πρέπει να αφορά σε λόγους που σχετίζονται με την ιδιαίτερη κατάσταση του προσώπου Εάν η έρευνα αφορά σε δημόσια αποστολή, τότε δεν εφαρμόζεται το δικαίωμα εναντίωσης Εάν η υπηρεσία παρέχεται ψηφιακά, θα πρέπει να δίδεται η δυνατότητα του ατόμου να εναντιωθεί με τη χρήση διαδικτυακών μέσων

266 Άρθρα 12 και 21 + Σκέψεις 69 και 70 του Γενικού Κανονισμού Τι να διαβάσω;

267 η

268 Δικαίωμα σε σχέση με την αυτοματοποιημένη λήψη αποφάσεων Το δικαίωμα (αρ. 22) σχετίζεται: Με την επεξεργασία που γίνεται για την αυτοματοποιημένη (χωρίς ανθρώπινη παρέμβαση) λήψη αποφάσεων που αφορούν στο άτομο Με τη δημιουργία προφίλ, δηλαδή την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποσκοπεί στην αξιολόγηση ορισμένων χαρακτηριστικών του ατόμου Η αυτοματοποιημένη επεξεργασία επιτρέπεται μόνο όταν: Είναι απαραίτητη για την έναρξη συμβολαίου ή την εφαρμογή του Υπάρχει εξουσιοδότηση από την ΕΕ ή το Κράτος Μέλος και εφαρμόζεται στον Υπεύθυνο Επεξεργασίας Βασίζεται στη ρητή συγκατάθεση του Υποκειμένου Εάν υπάρχει επεξεργασία του άρθρου 22: Το Υποκείμενο θα πρέπει να ενημερώνεται Θα πρέπει να υπάρχει δυνατότητα εισαγωγής του ανθρώπινου παράγοντα Θα πρέπει να υπάρχουν τακτικοί έλεγχοι, ώστε να επιβεβαιώνεται ότι το σύστημα λειτουργεί ορθά

269 Τι να προσέξω Άσκηση εργασίας VI Συμμόρφωση με το Γενικό Κανονισμό: ü Υπάρχει νόμιμη βάση για αυτοματοποιημένη επεξεργασία/ προφιλ και τεκμηρίωση στην πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα ü Αποστέλλεται στο Υποκείμενο γνωστοποίηση όταν τα δεδομένα έχουν ληφθεί από εμμέσως ü Εξηγείται πως το Υποκείμενο μπορεί να δει την πληροφορία που έχει χρησιμοποιηθεί για τη δημιουργία προφιλ ü Εξηγείται πως μπορεί να γίνει εναντίωση στο προφιλ, συμπεριλαμβανομένου του προφιλ που χρησιμοποιείται για μαρκετινγκ ü Υπάρχουν διαδικασίες ώστε οι πελάτες να μπορούν να έχουν πρόσβαση στα προσωπικά δεδομένα βάσει των οποίων διαμορφώνεται το προφίλ τους και να το διορθώνουν ώστε να είναι ακριβές ü Υπάρχουν επιπλέον έλεγχοι προκειμένου να διασφαλίζεται η προστασία των πλέον ευάλωτων ομάδων ü Συγκεντρώνεται μόνο η ελάχιστη αναγκαία πληροφορία και υπάρχει σαφής πολιτική διατήρησης δεδομένων για τα δημιουργούμενα προφίλ

270 Βέλτιστες Πρακτικές Πραγματοποιείται Εκτίμηση Αντικτύπου Προσωπικών Δεδομένων για να σκεφτούμε και να αντιμετωπίσουμε τους κινδύνους πριν ξεκινήσει νέα διαδικασία αυτοματοποιημένης λήψης αποφάσεων ή δημιουργία προφίλ Εξηγούμε στους πελάτες μας για τις διαδικασίες δημιουργίας προφίλ και αυτοματοποιημένης λήψης αποφάσεων, την πληροφορία που χρησιμοποιούμε για τη δημιουργία προφίλ και την προέλευση της σχετικής πληροφορίας Ανωνυμοποιούμε τα δεδομένα κατά τη διαδικασία δημιουργίας προφίλ

271 Τι να προσέξω Άσκηση εργασίας VI Συμμόρφωση με το Γενικό Κανονισμό για την αποκλειστικά με αυτοματοποιημένο τρόπο λήψη αποφάσεων: ü Πραγματοποιούμε Έκθεση Αντικτύπου για να εντοπίσουμε τους κινδύνους για το Υποκείμενο, να δείξουμε πως θα τους αντιμετωπίσουμε και τι μέτρα πρέπει να βάλουμε σε εφαρμογή για να τηρήσουμε τις απαιτήσεις του Γενικού Κανονισμού ü Επεξεργαζόμαστε την πληροφορία σύμφωνα με το αρ 22(1) για συμβατικούς σκοπούς και μπορούμε να αποδείξουμε για ποιο λόγο είναι απαραίτητη ή ü ü ü ü ü ü ü Επεξεργαζόμαστε την πληροφορία σύμφωνα με το αρ. 22(1) επειδή έχουμε ρητή και καταγεγραμμένη συγκατάθεση. Μπορούμε να δείξουμε πως και πότε λάβαμε τη συγκατάθεση. Εξηγούμε στο Υποκείμενο πως μπορεί να αποσύρει τη συγκατάθεσή του έχουμε έναν απλό τρόπο ώστε να γίνει αυτό ή Επεξεργαζόμαστε την πληροφορία σύμφωνα με το αρ. 22(1) επειδή είμαστε εξουσιοδοτημένοι ή υποχρεωμένοι να το κάνουμε. Δεν κάνουμε χρήση ειδικών κατηγοριών δεδομένων εκτός εάν υπάρχει νόμιμη βάση και μπορούμε να την αποδείξουμε. Διαγράφουμε τα δεδομένα ειδικών κατηγοριών που έχουν δημιουργηθεί κατά λάθος. Εξηγούμε ότι κάνουμε χρήση αυτοματοποιημένης λήψης αποφάσεων συμπεριλαμβανομένης της δημιουργίας προφίλ. Εξηγούμε την πληροφορία που χρησιμοποιούμε, για ποιο λόγο και ποιες μπορεί να είναι οι συνέπειες Έχουμε εύκολο τρόπο αναθεώρησης των αυτοματοποιημένων αποφάσεων Έχουμε εντοπίσει πρόσωπα στον οργανισμό μας που είναι εξουσιοδοτημένα να πραγματοποιούν ελέγχους και να αλλάζουν αποφάσεις Εξετάζουμε συχνά το σύστημά μας για να αποφύγουμε λάθη και προκαταλήψεις και ενσωματώνουμε τα αποτελέσματα στη διαδικασία σχεδιασμού.

272 Βέλτιστες Πρακτικές Χρησιμοποιούμε οπτικοποιήσεις για να εξηγήσουμε τι πληροφορία συλλέγουμε/ χρησιμοποιούμε και γιατί αυτό είναι σχετικό με τη διαδικασία Έχουμε προσυπογράψει ένα τυποποιημένο σύνολο από ηθικές αρχές για το χτίσιμο εμπιστοσύνης με τους πελάτες μας. Αυτό είναι διαθέσιμο στο διαδικτυακό μας τόπο και σε σχετικά έντυπα.

273 Άρθρα 4(4), 9, 12, 13, 14, 15, 21, 22, 35(1)/(3) του Γενικού Κανονισμού Οδηγίες της Επιτροπής του Άρθρου 29 για την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ, τη συγκατάθεση, τη δημιουργία Εκθέσεων Αντικτύπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Τι να διαβάσω;

274 10

275 Λογοδοσία και Διακυβέρνηση Γενικό Πλαίσιο Συμβάσεις Τεκμηρίωση Προστασία Δεδομένων Προσωπικού Χαρακτήρα εξ ορισμού και από το σχεδιασμό Εκθέσεις Αντικτύπου Δεδομένων Προσωπικού Χαρακτήρα Υπεύθυνοι Επεξεργασίας Δεδομένων Κώδικες Δεοντολογίας και Πιστοποιήσεις

276 α

277 Γενικό Πλαίσιο Η αρχή της λογοδοσίας του άρθρου 5(2) προϋποθέτει ότι ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι συμμορφώνεται με τις αρχές του Γενικού Κανονισμού Πως διασφαλίζεται η τήρηση της αρχής της Λογοδοσίας: Με την εφαρμογή τεχνικών και οργανωτικών μέσων που διασφαλίζουν τη συμμόρφωση με τους κανόνες του Γενικού Κανονισμού. Αυτά μπορεί να περιλαμβάνει εσωτερικές πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα, όπως εκπαιδεύσεις, εσωτερικούς ελέγχους των δραστηριοτήτων επεξεργασίας και επιθεωρήσεις των εσωτερικών πολιτικών ανθρωπίνου δυναμικού Διατήρηση τεκμηρίωσης των δραστηριοτήτων επεξεργασίας Διορισμό Υπεύθυνου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (DPO) Εφαρμογή κανόνων που αφορούν στην προστασία δεδομένων προσωπικού χαρακτήρα εξορισμού και από το σχεδιασμό: Ελαχιστοποίηση δεδομένων Ψευδωνυμοποίηση Διαφάνεια Παρακολούθηση από το Υποκείμενο της διαδικασίας επεξεργασίας Δημιουργία και βελτίωση των συνθηκών ασφαλείας σε διαρκή βάση Χρήση Εκθέσεων Αντικτύπου όπου αυτό είναι απαραίτητο Επίσης μπορεί να γίνεται χρήση εγκεκριμένων κωδίκων δεοντολογίας ή συστημάτων πιστοποίησης όπου αυτό είναι σκόπιμο

278 β

279 Συμβάσεις Όπου για λογαριασμό ενός Υπευθύνου Επεξεργασίας ενεργεί ένας εκτελών την επεξεργασία είναι απαραίτητη η χρήση συμβάσεων Η σύμβαση είναι απαραίτητη ώστε και τα δύο μέρη να κατανοούν τις υποχρεώσεις και την ευθύνη τους Ο Γενικός Κανονισμός αναφέρει τι θα πρέπει να υπάρχει στη σύμβαση Στο μέλλον αναμένεται να έχουμε τυποποιημένους όρους συμβάσεων από την ΕΕ ή τις εποπτικές αρχές και θα αποτελέσουν μέρος των συστημάτων πιστοποίησης. Προς το παρόν δεν έχουμε τέτοιους κανόνες. Οι Υπεύθυνοι Επεξεργασίας έχουν ευθύνη για τη συμμόρφωση με τον Γενικό Κανονισμό και πρέπει να διορίζουν εκτελούντες την επεξεργασία που προσφέρουν επαρκείς εγγυήσεις ότι οι αρχές του Γενικού Κανονισμού μπορούν να εφαρμοστούν. Στο μέλλον η πιστοποίηση του εκτελούντα θα καλύπτει αυτή την προϋπόθεση αλλά ακόμη δεν βρισκόμαστε σε αυτό το σημείο. Οι εκτελούντες την επεξεργασίας πρέπει να ενεργούν μόνο στη βάση των οδηγιών του Υπεύθυνου Επεξεργασίας που τεκμηριώνονται.

280 Τι να προσέξω Άσκηση Εργασίας VII 1. Η σύμβαση θα πρέπει να περιέχει υποχρεωτικά τα ακόλουθα στοιχεία (κατηγορία Α): ü Το αντικείμενο και τη διάρκεια της επεξεργασίας ü Τη φύση και το σκοπό της επεξεργασίας ü Τον τύπο των προσωπικών δεδομένων και τις κατηγορίες των Υποκειμένων ü Τις υποχρεώσεις και τα δικαιώματα του εκτελούντος την επεξεργασίας 2. Η σύμβαση θα πρέπει να περιέχει υποχρεωτικά τα ακόλουθα στοιχεία (κατηγορία Β): ü Ο εκτελών την επεξεργασία θα πρέπει να ενεργεί μόνο στη βάση γραπτών οδηγιών από τον υπεύθυνο επεξεργασίας, εκτός εάν ο νόμος ορίζει κάτι διαφορετικό ü Ο εκτελών την επεξεργασία πρέπει να διασφαλίζει ότι οι υπάλληλοι που θα επεξεργάζονται τα δεδομένα θα καλύπτονται από ρήτρες εμπιστευτικότητας ü Ο εκτελών την επεξεργασία πρέπει να λαμβάνει τα κατάλληλα μέτρα ασφαλείας ü Ο εκτελών την επεξεργασία μπορεί να προσλάβει υπεργολάβο μόνο με την με γραπτό συμβόλαιο άδεια του υπεύθυνου επεξεργασίας ü Ο εκτελών την επεξεργασία πρέπει να επικουρεί τον υπεύθυνο επεξεργασία σε σχέση με την εκπλήρωση των δικαιωμάτων του Υποκειμένου σύμφωνα με το Γενικό Κανονισμό ü Ο εκτελών την επεξεργασία θα πρέπει να διαγράψει ή να επιστρέψει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας, όπως ζητείται κατά το λήξη της συμφωνίας ü Ο εκτελών την επεξεργασία θα πρέπει να δέχεται επιθεωρήσεις και ελέγχους και να προσφέρει στον υπεύθυνο επεξεργασίας το σύνολο της πληροφορίας που είναι απαραίτητο ώστε να τηρούνται οι υποχρεώσεις του άρ. 28 και να τον ενημερώνει άμεσα εάν υπάρξει οποιαδήποτε παραβίαση του Γενικού Κανονισμού ή άλλου νόμου περί προστασίας δεδομένων προσωπικού χαρακτήρα Κράτους Μέλους της ΕΕ

281 Βέλτιστες Πρακτικές Αναφέρουμε ρητώς ότι τίποτε στη σύμβαση δεν μπορεί να απαλλάξει τον εκτελούντα την επεξεργασία από τη δική του απευθείας ευθύνη βάσει του Γενικού Κανονισμού Αποφεύγουμε την αποποίηση ευθύνης

282 Άρθρα Σκέψεις του Γενικού Κανονισμού Τι να διαβάσω;

283 γ

284 Τι να προσέξω (προϋποθέσεις) Άσκηση Εργασίας VIII ü Εάν είσαι υπεύθυνος επεξεργασίας τεκμηριώνεις όλη την πληροφορία του άρ. 30(1) του Γενικού Κανονισμού ü Εάν είσαι εκτελών την επεξεργασία τεκμηριώνεις όλη την πληροφορία του άρ. 30(2) του Γενικού Κανονισμού ü Εάν επεξεργαζόμαστε ειδικές κατηγορίες δεδομένων ή αξιόποινες πράξεις τεκμηριώνουμε: Τους όρους επεξεργασίας σύμφωνα με τους σχετικούς νόμους Τη νόμιμη βάση επεξεργασίας Εάν διατηρούμε ή διαγράφουμε τα δεδομένα σύμφωνα με την πολιτική μας ü Η τεκμηρίωση γίνεται γραπτώς ü Η τεκμηρίωση γίνεται με αρθρωτό τρόπο ούτως ώστε να υπάρχει σύνδεση ανάμεσα στα διαφορετικά είδη πληροφορίας ü Διενεργούμε τακτικούς ελέγχους και επιθεωρήσεις των προσωπικών δεδομένων που επεξεργαζόμαστε και ενημερώνουμε την τεκμηρίωσή μας αναλόγως

285 Βέλτιστες Πρακτικές 1. Όταν προετοιμάζουμε το κείμενο με τις δραστηριότητες επεξεργασίας: ü Κάνουμε επιθεωρήσεις πληροφορίας για να δούμε τι προσωπικά δεδομένα επεξεργάζεται ο οργανισμός μας ü Διανέμουμε ερωτηματολόγια και μιλάμε με το προσωπικό στον οργανισμό ώστε να έχουμε καλύτερη εικόνα των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός του οργανισμού ü Επεξεργαζόμαστε τις πολιτικές, κανονισμούς, συμβάσεις και συμφωνίας προκειμένου να δούμε τι κάνουμε σε σχέση με τη διατήρηση, ασφάλεια και διαμοιρασμό πληροφορίας 2. Ως μέρος της δραστηριότητάς μας σε σχέση με την επεξεργασία τεκμηριώνουμε: ü Την πληροφορία που απαιτείται για τα σημειώματα ιδιωτικότητας ü Αρχείο συγκαταθέσεων ü Συμβάσεις ανάμεσα σε Υπευθύνους και Εκτελούντες την επεξεργασία ü Την τοποθεσία των δεδομένων προσωπικού χαρακτήρα ü Αρχείο Εκθέσεων Αντικτύπου Δεδομένων Προσωπικού Χαρακτήρα ü Αρχείο Παραβιάσεων δεδομένων προσωπικού χαρακτήρα 3. Η τεκμηρίωση μας γίνεται σε ηλεκτρονική μορφή ώστε να είμαστε σε θέση να την ενημερώνουμε σε τακτά χρονικά διαστήματα

286 δ

287 Εξορισμού και από το σχεδιασμό προστασία Απαιτεί τεχνικά και οργανωτικά μέτρα και ένταξη της προστασίας στις δραστηριότητες και διαδικασίες του οργανισμού Πάντοτε ενυπήρχε στους κανόνες προστασίας

288 ε

289 Γενικά Στοιχεία Οι Εκθέσεις Αντικτύπου βοηθούν τους οργανισμούς να εντοπίσουν τους πλέον αποτελεσματικούς τρόπους ώστε να συμφωνούν με τους κανόνες προστασίας και να ανταποκρίνονται στις ανάγκες των Υποκειμένων για σεβασμό της ιδιωτικότητας Μπορεί να είναι οργανικό μέρος της προστασίας της ιδιωτικότητας από το σχεδιασμό Ο Γενικός Κανονισμός θέτει τα βασικά στοιχεία τους

290 Πότε θα πρέπει να κάνω Έκθεση Αντικτύπου Όταν χρησιμοποιώ νέες τεχνολογίες και η επεξεργασία είναι πολύ πιθανόν να συνεπάγεται μεγάλη διακινδύνευση για τα δικαιώματα και τις ελευθερίες του Υποκειμένου Αυτό συμβαίνει ιδίως: Όταν υπάρχουν συστηματικές και εκτεταμένες δραστηριότητες επεξεργασίας, συμπεριλαμβανομένης της δημιουργίας προφίλ και όπου οι αποφάσεις έχουν έννομες ή άλλες σημαντικές επιδράσεις στο πρόσωπο Όταν υπάρχει εκτεταμένη επεξεργασία δεδομένων ειδικών κατηγοριών ή προσωπικών δεδομένων για αξιόποινες πράξεις Όταν γίνεται συστηματική και σε μεγάλη έκταση χρήση τεχνολογιών CCTV

291 Τι θα πρέπει να περιέχει η Έκθεση Αντικτύπου Περιγραφή των δραστηριοτήτων επεξεργασίας και των σκοπών και όπου απαιτείται του εννόμου συμφέροντος του Υπευθύνου Επεξεργασίας Μια εκτίμηση της αναγκαιότητας και αναλογικότητας της επεξεργασίας σε σχέση με τον επιδιωκόμενο σκοπό Την εκτίμηση κινδύνου για το Υποκείμενο Επεξεργασίας Τα μέτρα που πρέπει να λαμβάνονται για την αντιμετώπιση κινδύνου, συμπεριλαμβανομένης της ασφάλειας και τις προσπάθειας εφαρμογής Η Έκθεση μπορεί να περιλαμβάνει περισσότερα του ενός Έργα

292 Άρθρα 35, 26 και 83 + Σκέψεις 84 και του Γενικού Κανονισμού Τι να διαβάσω;

293 στ

294 Υπεύθυνος Προστασίας Προσωπικών Δεδομένων Πρέπει να υπάρχει Υπεύθυνος Προστασίας Προσωπικών Δεδομένων: Όταν είσαι οργανισμός που ασκεί δημόσια εξουσία (εκτός από τα δικαστήρια) Όταν διενεργείται εκτεταμένη και συστηματική παρακολούθηση προσώπων (π.χ. επιγραμμική (online) παρακολούθηση συμπεριφοράς) Όταν γίνεται εκτεταμένη επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων που σχετίζονται με αξιόποινες πράξεις Όλοι οι οργανισμοί μπορούν να τοποθετήσουν Υπεύθυνο Προστασίας ανεξαρτήτως εάν υπάρχει υποχρέωση

295 Καθήκοντα Υπεύθυνου Προστασίας Τα ελάχιστα καθήκοντα ορίζονται στο αρ. 39 και είναι τα εξής: Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους εργαζόμενους σε σχέση με τις υποχρεώσεις συμμόρφωσης με το Γενικό Κανονισμό Να παρακολουθεί την εφαρμογή και τη συμμόρφωση με το Γενικό Κανονισμό και άλλους εθνικούς κανόνες προστασίας δεδομένων προσωπικού χαρακτήρα συμπεριλαμβανομένων των εσωτερικών κανονισμών και διαδικασιών επεξεργασίας δεδομένων Να συμβουλεύει σε σχέση με τη διενέργεια εκθέσεων επιπτώσεων Να εκπαιδεύει το προσωπικό και να διενεργεί εσωτερικούς ελέγχους Να είναι το σημείο επαφής για τις εποπτικές αρχές και τα Υποκείμενα επεξεργασίας

296 Άλλα θέματα Θα πρέπει να διασφαλίζεται: Ότι ο Υπεύθυνος Προστασίας αναφέρεται στο υψηλότερο επίπεδο της ιεραρχίας (επίπεδο ΔΣ) Ότι ο Υπεύθυνος Προστασίας λειτουργεί ανεξάρτητα και δεν μπορεί να απολυθεί ή να τιμωρηθεί για την επιτέλεση των καθηκόντων του Ότι παρέχονται στον Υπεύθυνο Προστασίας τα κατάλληλα μέσα προκειμένου να μπορεί να κάνει τη δουλειά του Μπορούμε να αναθέσουμε καθήκοντα Υπευθύνου Προστασίας σε έναν από τους Υπάρχοντες Εργαζομένους: Ναι, εφόσον είναι συμβατά με τα καθήκοντά του και δεν υπάρχει σύγκρουση καθηκόντων ή συμφερόντων Επίσης μπορεί να γίνει ανάθεση των σχετικών καθηκόντων σε εξωτερικό συνεργάτη Χρειάζεται ειδικά προσόντα ο Υπεύθυνος Προστασίας; Πρέπει να έχουν επαγγελματική γνώση και εμπειρία σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα Αυτό θα πρέπει να κρίνεται αναλογικά σε σχέση με το μέγεθος του οργανισμού, το είδος και την έκταση των υπό επεξεργασία δεδομένων κλπ

297 Άρθρα και 83 + Σκέψη 97 του Γενικού Κανονισμού Τι να διαβάσω;