Contents
• Ποια δεδομένα μπορούμε να επεξεργαστούμε και υπό ποιες συνθήκες;
• Ο τύπος και η ποσότητα των προσωπικών δεδομένων που μια εταιρεία / οργανισμός μπορεί να επεξεργαστεί εξαρτάται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιήθηκε) και την προβλεπόμενη χρήση. Η εταιρεία / ο οργανισμός πρέπει να σέβεται πολλούς βασικούς κανόνες, όπως:
• τα δεδομένα προσωπικού χαρακτήρα πρέπει να διεκπεραιώνονται με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αμεροληψία έναντι των ατόμων των οποίων τα προσωπικά δεδομένα αποτελούν αντικείμενο επεξεργασίας («νομιμότητα, δικαιοσύνη και διαφάνεια»)·
• πρέπει να υπάρχουν ειδικοί σκοποί για την επεξεργασία των δεδομένων και η εταιρεία / ο οργανισμός πρέπει να δηλώνει τους σκοπούς αυτούς σε άτομα όταν συλλέγουν τα προσωπικά τους δεδομένα. Μια εταιρεία / οργανισμός δεν μπορεί απλώς να συλλέξει προσωπικά δεδομένα για αόριστους σκοπούς ("περιορισμός του σκοπού").
• η εταιρεία / ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού ("ελαχιστοποίηση δεδομένων").
• η εταιρεία / ο οργανισμός πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους γίνεται η επεξεργασία και διορθώνοντας αν όχι («ακρίβεια») ·
• η εταιρεία / οργανισμός δεν μπορεί να χρησιμοποιήσει περαιτέρω τα προσωπικά δεδομένα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό.
• η εταιρεία / οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο διάστημα δεν είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν («περιορισμός αποθήκευσης»).
• η εταιρεία / οργανισμός πρέπει να εγκαταστήσει τις κατάλληλες τεχνικές και οργανωτικές διασφαλίσεις που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας απώλειας, καταστροφής ή ζημιάς, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).
• Μπορούν τα δεδομένα να υποστούν επεξεργασία για οποιονδήποτε σκοπό;
Όχι. Ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να είναι γνωστός και τα άτομα των οποίων τα δεδομένα επεξεργάζεστε πρέπει να ενημερώνονται. Δεν είναι δυνατόν να υποδείξετε απλώς ότι τα δεδομένα προσωπικού χαρακτήρα θα συλλέγονται και θα υποβάλλονται σε επεξεργασία. Αυτό είναι γνωστό ως η αρχή του «περιορισμού του σκοπού».
• Μπορούμε να χρησιμοποιήσουμε δεδομένα για άλλο σκοπό;
• Ναι, αλλά μόνο σε ορισμένες περιπτώσεις. Εάν η εταιρεία / ο οργανισμός σας έχει συλλέξει δεδομένα με βάση έννομο συμφέρον, σύμβαση ή ζωτικά συμφέροντα, μπορεί να χρησιμοποιηθεί για άλλο σκοπό, αλλά μόνο αφού ελέγξει ότι ο νέος σκοπός είναι συμβατός με τον αρχικό σκοπό.
• Πρέπει να ληφθούν υπόψη τα ακόλουθα σημεία:
• τη σχέση μεταξύ του αρχικού σκοπού και του νέου / επερχόμενου σκοπού.
• το πλαίσιο στο οποίο συλλέχθηκαν τα δεδομένα (ποια είναι η σχέση μεταξύ της εταιρείας / οργανισμού σας και του ατόμου;);
• τον τύπο και τη φύση των δεδομένων (είναι ευαίσθητα;);
• τις πιθανές συνέπειες της προβλεπόμενης περαιτέρω επεξεργασίας (πώς θα επηρεάσει το άτομο;);
• την ύπαρξη κατάλληλων διασφαλίσεων (όπως κρυπτογράφηση ή ψευδωνύμηση).
• Εάν η εταιρεία / ο οργανισμός σας επιθυμεί να χρησιμοποιήσει τα δεδομένα για στατιστικές ή για επιστημονική έρευνα, δεν είναι απαραίτητο να εκτελέσετε τη δοκιμή συμβατότητας.
• Εάν η εταιρεία / ο οργανισμός σας έχει συλλέξει τα δεδομένα με βάση συγκατάθεση ή βάσει νόμιμης απαίτησης, δεν είναι δυνατή η περαιτέρω επεξεργασία πέραν των όσων καλύπτονται από την αρχική συγκατάθεση ή τις διατάξεις του νόμου. Η περαιτέρω επεξεργασία απαιτεί τη λήψη νέας συγκατάθεσης ή νέας νομικής βάσης.
• Πόσα δεδομένα μπορούν να συλλεχθούν;
• Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία μόνο όταν δεν είναι λογικά εφικτό να πραγματοποιηθεί η επεξεργασία με άλλο τρόπο. Όπου είναι δυνατόν, είναι προτιμότερο να χρησιμοποιείτε ανώνυμα δεδομένα. Όπου απαιτούνται προσωπικά δεδομένα, πρέπει να είναι επαρκή, συναφή και να περιορίζεται σε ό, τι είναι απαραίτητο για τον σκοπό αυτό («ελαχιστοποίηση των δεδομένων»). Είναι ευθύνη της εταιρείας / οργανισμού σας ως ελεγκτής για να αξιολογήσετε πόσα δεδομένα χρειάζεστε και να διασφαλίσετε ότι δεν συλλέγονται άσχετα δεδομένα.
• Για πόσο καιρό μπορεί να διατηρούνται δεδομένα και είναι απαραίτητο να ενημερωθεί;
• Τα δεδομένα πρέπει να αποθηκεύονται για το συντομότερο δυνατό χρονικό διάστημα. Η περίοδος αυτή θα πρέπει να λαμβάνει υπόψη τους λόγους για τους οποίους η εταιρεία / οργανισμός σας χρειάζεται να επεξεργαστεί τα δεδομένα, καθώς και τυχόν νομικές υποχρεώσεις για τη διατήρηση των δεδομένων για ορισμένο χρονικό διάστημα (για παράδειγμα, οι εθνικοί νόμοι περί εργασίας, φορολογίας ή καταπολέμησης της απάτης που απαιτούν να διατηρείτε προσωπικά δεδομένα σχετικά με τους υπαλλήλους σας για καθορισμένο χρονικό διάστημα, διάρκεια εγγύησης προϊόντος κ.λπ.).
• Η εταιρεία / ο οργανισμός σας θα πρέπει να καθορίσει χρονικά όρια για τη διαγραφή ή την αναθεώρηση των αποθηκευμένων δεδομένων.
• Κατά παρέκκλιση, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διατηρούνται για μεγαλύτερο χρονικό διάστημα για σκοπούς αρχειοθέτησης για λόγους γενικού συμφέροντος ή για λόγους επιστημονικής ή ιστορικής έρευνας, υπό την προϋπόθεση ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως ανωνυμία, κρυπτογράφηση κ.λπ. .).
• Η εταιρεία / ο οργανισμός σας πρέπει επίσης να βεβαιωθεί ότι τα δεδομένα που τηρούνται είναι ακριβή και ενημερωμένα.
• Ποιες πληροφορίες πρέπει να παρέχονται σε άτομα των οποίων τα δεδομένα συλλέγονται;
• Τη στιγμή της συλλογής των δεδομένων τους, οι άνθρωποι πρέπει να ενημερώνονται με σαφήνεια τουλάχιστον για:
• ποια είναι η εταιρεία / ο οργανισμός σας (τα στοιχεία επικοινωνίας σας και αυτά του ΥΠΔ σας, αν υπάρχουν);
• γιατί η εταιρεία / ο οργανισμός σας θα χρησιμοποιεί τα προσωπικά δεδομένα (σκοπούς).
• τις κατηγορίες των σχετικών προσωπικών δεδομένων.
• τη νομική αιτιολόγηση της επεξεργασίας των δεδομένων τους,
• για πόσο χρονικό διάστημα θα διατηρούνται τα δεδομένα.
• ποιος άλλος θα μπορούσε να την λάβει;
• εάν τα προσωπικά τους δεδομένα θα μεταφερθούν σε παραλήπτη εκτός της ΕΕ.
• ότι έχουν δικαίωμα σε αντίγραφο των δεδομένων (δικαίωμα πρόσβασης σε προσωπικά δεδομένα) και σε άλλα βασικά δικαιώματα στον τομέα της προστασίας δεδομένων (βλ. Πλήρη κατάλογο δικαιωμάτων).
• το δικαίωμα τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων (ΑΠΔ) ·
• το δικαίωμα τους να αποσύρουν τη συγκατάθεσή τους ανά πάσα στιγμή.
• κατά περίπτωση, την ύπαρξη αυτόματης λήψης αποφάσεων και τη σχετική λογική, συμπεριλαμβανομένων των συνεπειών της.
• Οι πληροφορίες μπορούν να παρέχονται γραπτώς, προφορικά κατόπιν αιτήματος του ατόμου όταν η ταυτότητα του προσώπου αυτού αποδεικνύεται με άλλα μέσα ή με ηλεκτρονικά μέσα, κατά περίπτωση. • Η εταιρεία / ο οργανισμός σας πρέπει να το κάνει με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο, με σαφή και απλή γλώσσα και δωρεάν.
• Όταν τα στοιχεία αποκτώνται από άλλη εταιρεία / οργανισμό, η εταιρεία / οργανισμός σας θα πρέπει να παράσχει τις πληροφορίες που αναφέρονται παραπάνω στον ενδιαφερόμενο το αργότερο εντός ενός μηνός από την απόκτηση των προσωπικών δεδομένων από την εταιρεία σας. ή, σε περίπτωση επικοινωνίας της εταιρείας / οργανισμού σας με το άτομο, όταν τα δεδομένα χρησιμοποιούνται για να επικοινωνήσουν μαζί τους. ή, εάν προβλέπεται η γνωστοποίηση σε άλλη εταιρεία, όταν τα προσωπικά δεδομένα αποκαλύφθηκαν για πρώτη φορά.
• Η εταιρεία / ο οργανισμός σας υποχρεούται επίσης να ενημερώνει το άτομο για τις κατηγορίες δεδομένων και την πηγή από την οποία αποκτήθηκε, συμπεριλαμβανομένων και αν προέρχεται από πηγές που είναι προσιτές στο κοινό. Σε ειδικές περιπτώσεις που απαριθμούνται στο άρθρο 13 παράγραφος 4 και στο άρθρο 14 παράγραφος 5 του GDPR, η εταιρεία / οργανισμός σας μπορεί να απαλλαγεί από την υποχρέωση ενημέρωσης του ατόμου. Ελέγξτε αν αυτή η απαλλαγή ισχύει για την εταιρεία / οργανισμό σας.
• Ποια δεδομένα μπορούμε να επεξεργαστούμε και υπό ποιες συνθήκες;
• Ο τύπος και η ποσότητα των προσωπικών δεδομένων που μια εταιρεία / οργανισμός μπορεί να επεξεργαστεί εξαρτάται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιήθηκε) και την προβλεπόμενη χρήση. Η εταιρεία / ο οργανισμός πρέπει να σέβεται πολλούς βασικούς κανόνες, όπως:
• τα δεδομένα προσωπικού χαρακτήρα πρέπει να διεκπεραιώνονται με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αμεροληψία έναντι των ατόμων των οποίων τα προσωπικά δεδομένα αποτελούν αντικείμενο επεξεργασίας («νομιμότητα, δικαιοσύνη και διαφάνεια») ·
• πρέπει να υπάρχουν ειδικοί σκοποί για την επεξεργασία των δεδομένων και η εταιρεία / ο οργανισμός πρέπει να δηλώνει τους σκοπούς αυτούς σε άτομα όταν συλλέγουν τα προσωπικά τους δεδομένα. Μια εταιρεία / οργανισμός δεν μπορεί απλώς να συλλέξει προσωπικά δεδομένα για αόριστους σκοπούς ("περιορισμός του σκοπού").
• η εταιρεία / ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού ("ελαχιστοποίηση δεδομένων").
• η εταιρεία / ο οργανισμός πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους γίνεται η επεξεργασία και διορθώνοντας αν όχι («ακρίβεια») ·
• η εταιρεία / οργανισμός δεν μπορεί να χρησιμοποιήσει περαιτέρω τα προσωπικά δεδομένα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό.
• η εταιρεία / οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο διάστημα δεν είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν («περιορισμός αποθήκευσης»).
• η εταιρεία / οργανισμός πρέπει να εγκαταστήσει τις κατάλληλες τεχνικές και οργανωτικές διασφαλίσεις που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας απώλειας, καταστροφής ή ζημιάς, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).
• Τι κανόνες ισχύουν, εάν ο οργανισμός μου μεταφέρει δεδομένα εκτός της ΕΕ;
• Στον σημερινό παγκοσμιοποιημένο κόσμο, υπάρχουν μεγάλες ποσότητες διασυνοριακών μεταφορών δεδομένων προσωπικού χαρακτήρα, οι οποίες αποθηκεύονται μερικές φορές σε διακομιστές σε διάφορες χώρες. Η προστασία που παρέχεται από τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR) ταξιδεύει με τα δεδομένα, γεγονός που σημαίνει ότι εξακολουθούν να ισχύουν οι κανόνες προστασίας προσωπικών δεδομένων ανεξάρτητα από το πού προέρχονται τα δεδομένα. Αυτό ισχύει και όταν τα δεδομένα μεταφέρονται σε χώρα που δεν είναι μέλος της ΕΕ (εφεξής αποκαλούμενη «τρίτη χώρα»).
Save As PDF
Title:
Εφαρμογή του κανονισμού γενικής προστασίας δεδομένων
Keywords
Προστασία δεδομένων, δικαιώματα, υποχρεώσεις, εγγραφή, μάρκα
Author:
AE
Languages:
English
Να γνωστοποι萎σει τις βασικ苇ς αρχ苇ς και τις γενικ苇ς 苇ννοιες των κανονισμ蠋ν για την προστασ委α των προσωπικ蠋ν δεδομ苇νων, την πνευματικ萎 ιδιοκτησ委α και το μητρ蠋ο εμπορικ蠋ν σημ维των, μ苇σω μελ苇της των σημαντικ蠈τερων πτυχ蠋ν τους, διευκολ蠉νοντας 苇τσι την επισκ蠈πηση των δικαιωμ维των και των υποχρε蠋σεων και προσφ苇ροντας 苇να πρακτικ蠈 蠈ραμα με υφιστ维μενες υποχρε蠋σεις
Description:
Ο ν苇ος ευρωπα蠆κ蠈ς κανονισμ蠈ς για την προστασ委α δεδομ苇νων τ苇θηκε σε ισχ蠉 στις 25 Μα螑ου 2018 σε 蠈λες τις χ蠋ρες της Ευρωπα蠆κ萎ς 螆νωσης. Αυτ蠈ς ο ν苇ος κανονισμ蠈ς επηρε维ζει 蠈λες τις εταιρε委ες απ蠈 τη στιγμ萎 που διαθ苇τουν προσωπικ维 δεδομ苇να πελατ蠋ν, εργαζομ苇νων και τρ委των, ενισχ蠉οντας την ενεργ蠈 δ苇σμευση για τη διασφ维λιση των θεμελιωδ蠋ν δικαιωμ维των, ιδ委ως εκε委νων που αφορο蠉ν την ιδιωτικ萎 ζω萎 σε 蠈λους τους τομε委ς, αλλ维 κυρ委ως στο διαδ委κτυο
Να αποκτ萎σουν τις γν蠋σεις και τις δεξι蠈τητες για να γνωρ委ζουν το σ蠉στημα προστασ委ας των προσωπικ蠋ν δεδομ苇νων, στις πιο σχετικ苇ς πτυχ苇ς. Η αντιμετ蠋πιση και οι διαδικασ委ες που πρ苇πει να δ委δονται σε αυτ维 τα δεδομ苇να. Τα δικαι蠋ματα και τις υποχρε蠋σεις του κατ蠈χου και του προσ蠋που που ε委ναι υπε蠉θυνο γι 'αυτ维 και το σ蠉στημα κυρ蠋σεων σε περ委πτωση μη συμμ蠈ρφωσης.
Κατ维 τον 委διο τρ蠈πο, αντιμετωπ委ζονται θ苇ματα που σχετ委ζονται με τις εταιρε委ες, 蠈πως η πνευματικ萎 ιδιοκτησ委α και η καταχ蠋ριση σ萎ματος
• Ποια δεδομένα μπορούμε να επεξεργαστούμε και υπό ποιες συνθήκες; • Ο τύπος και η ποσότητα των προσωπικών δεδομένων που μια εταιρεία / οργανισμός μπορεί να επεξεργαστεί εξαρτάται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιήθηκε) και την προβλεπόμενη χρήση. Η εταιρεία / ο οργανισμός πρέπει να σέβεται πολλούς βασικούς κανόνες, όπως: • τα δεδομένα προσωπικού χαρακτήρα πρέπει να διεκπεραιώνονται με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αμεροληψία έναντι των ατόμων των οποίων τα προσωπικά δεδομένα αποτελούν αντικείμενο επεξεργασίας («νομιμότητα, δικαιοσύνη και διαφάνεια»)· • πρέπει να υπάρχουν ειδικοί σκοποί για την επεξεργασία των δεδομένων και η εταιρεία / ο οργανισμός πρέπει να δηλώνει τους σκοπούς αυτούς σε άτομα όταν συλλέγουν τα προσωπικά τους δεδομένα. Μια εταιρεία / οργανισμός δεν μπορεί απλώς να συλλέξει προσωπικά δεδομένα για αόριστους σκοπούς ("περιορισμός του σκοπού"). • η εταιρεία / ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού ("ελαχιστοποίηση δεδομένων"). • η εταιρεία / ο οργανισμός πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους γίνεται η επεξεργασία και διορθώνοντας αν όχι («ακρίβεια») · • η εταιρεία / οργανισμός δεν μπορεί να χρησιμοποιήσει περαιτέρω τα προσωπικά δεδομένα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό. • η εταιρεία / οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο διάστημα δεν είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν («περιορισμός αποθήκευσης»). • η εταιρεία / οργανισμός πρέπει να εγκαταστήσει τις κατάλληλες τεχνικές και οργανωτικές διασφαλίσεις που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας απώλειας, καταστροφής ή ζημιάς, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»). • Μπορούν τα δεδομένα να υποστούν επεξεργασία για οποιονδήποτε σκοπό; Όχι. Ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να είναι γνωστός και τα άτομα των οποίων τα δεδομένα επεξεργάζεστε πρέπει να ενημερώνονται. Δεν είναι δυνατόν να υποδείξετε απλώς ότι τα δεδομένα προσωπικού χαρακτήρα θα συλλέγονται και θα υποβάλλονται σε επεξεργασία. Αυτό είναι γνωστό ως η αρχή του «περιορισμού του σκοπού». • Μπορούμε να χρησιμοποιήσουμε δεδομένα για άλλο σκοπό; • Ναι, αλλά μόνο σε ορισμένες περιπτώσεις. Εάν η εταιρεία / ο οργανισμός σας έχει συλλέξει δεδομένα με βάση έννομο συμφέρον, σύμβαση ή ζωτικά συμφέροντα, μπορεί να χρησιμοποιηθεί για άλλο σκοπό, αλλά μόνο αφού ελέγξει ότι ο νέος σκοπός είναι συμβατός με τον αρχικό σκοπό. • Πρέπει να ληφθούν υπόψη τα ακόλουθα σημεία: • τη σχέση μεταξύ του αρχικού σκοπού και του νέου / επερχόμενου σκοπού. • το πλαίσιο στο οποίο συλλέχθηκαν τα δεδομένα (ποια είναι η σχέση μεταξύ της εταιρείας / οργανισμού σας και του ατόμου;); • τον τύπο και τη φύση των δεδομένων (είναι ευαίσθητα;); • τις πιθανές συνέπειες της προβλεπόμενης περαιτέρω επεξεργασίας (πώς θα επηρεάσει το άτομο;); • την ύπαρξη κατάλληλων διασφαλίσεων (όπως κρυπτογράφηση ή ψευδωνύμηση). • Εάν η εταιρεία / ο οργανισμός σας επιθυμεί να χρησιμοποιήσει τα δεδομένα για στατιστικές ή για επιστημονική έρευνα, δεν είναι απαραίτητο να εκτελέσετε τη δοκιμή συμβατότητας. • Εάν η εταιρεία / ο οργανισμός σας έχει συλλέξει τα δεδομένα με βάση συγκατάθεση ή βάσει νόμιμης απαίτησης, δεν είναι δυνατή η περαιτέρω επεξεργασία πέραν των όσων καλύπτονται από την αρχική συγκατάθεση ή τις διατάξεις του νόμου. Η περαιτέρω επεξεργασία απαιτεί τη λήψη νέας συγκατάθεσης ή νέας νομικής βάσης. • Πόσα δεδομένα μπορούν να συλλεχθούν; • Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία μόνο όταν δεν είναι λογικά εφικτό να πραγματοποιηθεί η επεξεργασία με άλλο τρόπο. Όπου είναι δυνατόν, είναι προτιμότερο να χρησιμοποιείτε ανώνυμα δεδομένα. Όπου απαιτούνται προσωπικά δεδομένα, πρέπει να είναι επαρκή, συναφή και να περιορίζεται σε ό, τι είναι απαραίτητο για τον σκοπό αυτό («ελαχιστοποίηση των δεδομένων»). Είναι ευθύνη της εταιρείας / οργανισμού σας ως ελεγκτής για να αξιολογήσετε πόσα δεδομένα χρειάζεστε και να διασφαλίσετε ότι δεν συλλέγονται άσχετα δεδομένα. • Για πόσο καιρό μπορεί να διατηρούνται δεδομένα και είναι απαραίτητο να ενημερωθεί; • Τα δεδομένα πρέπει να αποθηκεύονται για το συντομότερο δυνατό χρονικό διάστημα. Η περίοδος αυτή θα πρέπει να λαμβάνει υπόψη τους λόγους για τους οποίους η εταιρεία / οργανισμός σας χρειάζεται να επεξεργαστεί τα δεδομένα, καθώς και τυχόν νομικές υποχρεώσεις για τη διατήρηση των δεδομένων για ορισμένο χρονικό διάστημα (για παράδειγμα, οι εθνικοί νόμοι περί εργασίας, φορολογίας ή καταπολέμησης της απάτης που απαιτούν να διατηρείτε προσωπικά δεδομένα σχετικά με τους υπαλλήλους σας για καθορισμένο χρονικό διάστημα, διάρκεια εγγύησης προϊόντος κ.λπ.). • Η εταιρεία / ο οργανισμός σας θα πρέπει να καθορίσει χρονικά όρια για τη διαγραφή ή την αναθεώρηση των αποθηκευμένων δεδομένων. • Κατά παρέκκλιση, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διατηρούνται για μεγαλύτερο χρονικό διάστημα για σκοπούς αρχειοθέτησης για λόγους γενικού συμφέροντος ή για λόγους επιστημονικής ή ιστορικής έρευνας, υπό την προϋπόθεση ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως ανωνυμία, κρυπτογράφηση κ.λπ. .). • Η εταιρεία / ο οργανισμός σας πρέπει επίσης να βεβαιωθεί ότι τα δεδομένα που τηρούνται είναι ακριβή και ενημερωμένα. • Ποιες πληροφορίες πρέπει να παρέχονται σε άτομα των οποίων τα δεδομένα συλλέγονται; • Τη στιγμή της συλλογής των δεδομένων τους, οι άνθρωποι πρέπει να ενημερώνονται με σαφήνεια τουλάχιστον για: • ποια είναι η εταιρεία / ο οργανισμός σας (τα στοιχεία επικοινωνίας σας και αυτά του ΥΠΔ σας, αν υπάρχουν); • γιατί η εταιρεία / ο οργανισμός σας θα χρησιμοποιεί τα προσωπικά δεδομένα (σκοπούς). • τις κατηγορίες των σχετικών προσωπικών δεδομένων. • τη νομική αιτιολόγηση της επεξεργασίας των δεδομένων τους, • για πόσο χρονικό διάστημα θα διατηρούνται τα δεδομένα. • ποιος άλλος θα μπορούσε να την λάβει; • εάν τα προσωπικά τους δεδομένα θα μεταφερθούν σε παραλήπτη εκτός της ΕΕ. • ότι έχουν δικαίωμα σε αντίγραφο των δεδομένων (δικαίωμα πρόσβασης σε προσωπικά δεδομένα) και σε άλλα βασικά δικαιώματα στον τομέα της προστασίας δεδομένων (βλ. Πλήρη κατάλογο δικαιωμάτων). • το δικαίωμα τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων (ΑΠΔ) · • το δικαίωμα τους να αποσύρουν τη συγκατάθεσή τους ανά πάσα στιγμή. • κατά περίπτωση, την ύπαρξη αυτόματης λήψης αποφάσεων και τη σχετική λογική, συμπεριλαμβανομένων των συνεπειών της. • Οι πληροφορίες μπορούν να παρέχονται γραπτώς, προφορικά κατόπιν αιτήματος του ατόμου όταν η ταυτότητα του προσώπου αυτού αποδεικνύεται με άλλα μέσα ή με ηλεκτρονικά μέσα, κατά περίπτωση. • Η εταιρεία / ο οργανισμός σας πρέπει να το κάνει με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο, με σαφή και απλή γλώσσα και δωρεάν. • Όταν τα στοιχεία αποκτώνται από άλλη εταιρεία / οργανισμό, η εταιρεία / οργανισμός σας θα πρέπει να παράσχει τις πληροφορίες που αναφέρονται παραπάνω στον ενδιαφερόμενο το αργότερο εντός ενός μηνός από την απόκτηση των προσωπικών δεδομένων από την εταιρεία σας. ή, σε περίπτωση επικοινωνίας της εταιρείας / οργανισμού σας με το άτομο, όταν τα δεδομένα χρησιμοποιούνται για να επικοινωνήσουν μαζί τους. ή, εάν προβλέπεται η γνωστοποίηση σε άλλη εταιρεία, όταν τα προσωπικά δεδομένα αποκαλύφθηκαν για πρώτη φορά. • Η εταιρεία / ο οργανισμός σας υποχρεούται επίσης να ενημερώνει το άτομο για τις κατηγορίες δεδομένων και την πηγή από την οποία αποκτήθηκε, συμπεριλαμβανομένων και αν προέρχεται από πηγές που είναι προσιτές στο κοινό. Σε ειδικές περιπτώσεις που απαριθμούνται στο άρθρο 13 παράγραφος 4 και στο άρθρο 14 παράγραφος 5 του GDPR, η εταιρεία / οργανισμός σας μπορεί να απαλλαγεί από την υποχρέωση ενημέρωσης του ατόμου. Ελέγξτε αν αυτή η απαλλαγή ισχύει για την εταιρεία / οργανισμό σας. • Ποια δεδομένα μπορούμε να επεξεργαστούμε και υπό ποιες συνθήκες; • Ο τύπος και η ποσότητα των προσωπικών δεδομένων που μια εταιρεία / οργανισμός μπορεί να επεξεργαστεί εξαρτάται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιήθηκε) και την προβλεπόμενη χρήση. Η εταιρεία / ο οργανισμός πρέπει να σέβεται πολλούς βασικούς κανόνες, όπως: • τα δεδομένα προσωπικού χαρακτήρα πρέπει να διεκπεραιώνονται με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αμεροληψία έναντι των ατόμων των οποίων τα προσωπικά δεδομένα αποτελούν αντικείμενο επεξεργασίας («νομιμότητα, δικαιοσύνη και διαφάνεια») · • πρέπει να υπάρχουν ειδικοί σκοποί για την επεξεργασία των δεδομένων και η εταιρεία / ο οργανισμός πρέπει να δηλώνει τους σκοπούς αυτούς σε άτομα όταν συλλέγουν τα προσωπικά τους δεδομένα. Μια εταιρεία / οργανισμός δεν μπορεί απλώς να συλλέξει προσωπικά δεδομένα για αόριστους σκοπούς ("περιορισμός του σκοπού"). • η εταιρεία / ο οργανισμός πρέπει να συλλέγει και να επεξεργάζεται μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού ("ελαχιστοποίηση δεδομένων"). • η εταιρεία / ο οργανισμός πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους γίνεται η επεξεργασία και διορθώνοντας αν όχι («ακρίβεια») · • η εταιρεία / οργανισμός δεν μπορεί να χρησιμοποιήσει περαιτέρω τα προσωπικά δεδομένα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό. • η εταιρεία / οργανισμός πρέπει να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο διάστημα δεν είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν («περιορισμός αποθήκευσης»). • η εταιρεία / οργανισμός πρέπει να εγκαταστήσει τις κατάλληλες τεχνικές και οργανωτικές διασφαλίσεις που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας απώλειας, καταστροφής ή ζημιάς, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»). • Τι κανόνες ισχύουν, εάν ο οργανισμός μου μεταφέρει δεδομένα εκτός της ΕΕ; • Στον σημερινό παγκοσμιοποιημένο κόσμο, υπάρχουν μεγάλες ποσότητες διασυνοριακών μεταφορών δεδομένων προσωπικού χαρακτήρα, οι οποίες αποθηκεύονται μερικές φορές σε διακομιστές σε διάφορες χώρες. Η προστασία που παρέχεται από τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR) ταξιδεύει με τα δεδομένα, γεγονός που σημαίνει ότι εξακολουθούν να ισχύουν οι κανόνες προστασίας προσωπικών δεδομένων ανεξάρτητα από το πού προέρχονται τα δεδομένα. Αυτό ισχύει και όταν τα δεδομένα μεταφέρονται σε χώρα που δεν είναι μέλος της ΕΕ (εφεξής αποκαλούμενη «τρίτη χώρα»).