GDPR

Ιστορικό του γενικού κανονισμού για την προστασία των δεδομένων προσωπικού χαρακτήρα («GDPR»)

Ο γενικός κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα ΕΕ 2016/679 αντικαθιστά την Οδηγία της ΕΕ για την προστασία των δεδομένων του 1995 όπως επίσης αντικαθιστά τις νομοθεσίες των επιμέρους κρατών μελών που αναπτύχθηκαν σύμφωνα με την οδηγία 95/46 / ΕΚ για την προστασία των προσωπικών δεδομένων. Σκοπός του είναι να προστατεύσει τα "δικαιώματα και τις ελευθερίες” των φυσικών προσώπων (δηλαδή τα ζώντα άτομα ) και να διασφαλίσει ότι τα προσωπικά δεδομένα δεν θα υποστούν επεξεργασία χωρίς τα ίδια τα υποκείμενα των δεδομένων να το γνωρίζουν και, όπου είναι δυνατόν, ότι τα δεδομένα προσωπικού χαρακτήρα θα τύχουν επεξεργασίας με τη συγκατάθεσή τους.

Ορισμοί που χρησιμοποιεί ο Οργανισμός (προερχόμενοι από το GDPR)

Ουσιαστικό Πεδίο Εφαρμογής (Άρθρο 2) - το GDPR ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα εν’ όλω ή εν μέρει με αυτοματοποιημένα μέσα (π.χ. με υπολογιστή ) και στη επεξεργασία, εκτός από αυτοματοποιημένα μέσα προσωπικών δεδομένων ( π.χ. αρχεία εγγράφων ) που αποτελούν μέρος ενός συστήματος αρχειοθέτησης ή προορίζονται να αποτελέσουν μέρος ενός συστήματος αρχειοθέτησης.

Εδαφικό Πεδίο Εφαρμογής (Άρθρο 3) - το GDPR θα εφαρμόζεται σε όλους τους υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ (Ευρωπαϊκή Ένωση) οι οποίοι επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων, στο πλαίσιο της εν λόγω εγκατάστασης. Θα ισχύει επίσης για τους υπεύθυνους επεξεργασίας εκτός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα προκειμένου να προσφέρουν αγαθά και υπηρεσίες ή να παρακολουθούν τη συμπεριφορά των υποκειμένων των δεδομένων που διαμένουν στην ΕΕ.

Ορισμοί του Άρθρου 4

Κύρια Εγκατάσταση - η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην ΕΕ θα είναι ο τόπος στον οποίο ο υπεύθυνος της επεξεργασίας λαμβάνει τις βασικές αποφάσεις ως προς τον σκοπό και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Η κύρια εγκατάσταση ενός υπεύθυνου επεξεργασίας στην ΕΕ θα είναι διοικητικά του κέντρο. Εάν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός της ΕΕ, θα πρέπει να διορίσει έναν αντιπρόσωπο στη διοικητική περιφέρεια στην οποία ο υπεύθυνος της επεξεργασίας δραστηριοποιείται, ώστε αυτός να ενεργεί για λογαριασμό του υπεύθυνου επεξεργασίας και να ασχολείται με τις εποπτικές αρχές.

Δεδομένα Προσωπικού Χαρακτήρα - κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

Ειδικές κατηγορίες προσωπικών δεδομένων - τα προσωπικά δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστικές οργανώσεις και την επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα με σκοπό τον μοναδικό εντοπισμό φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα που αφορούν φυσικά πρόσωπα σεξουαλική ζωή ή γενετήσιου προσανατολισμού.

Υπεύθυνος Επεξεργασίας - το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Υποκείμενο των δεδομένων - κάθε ζωντανό άτομο που αποτελεί το αντικείμενο των προσωπικών δεδομένων που κατέχει ο Οργανισμός.

Επεξεργασία - κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Κατάρτιση Προφίλ - οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου. Ο ορισμός αυτός συνδέεται με το δικαίωμα του υποκειμένου των δεδομένων να αντιτίθεται στη διαμόρφωση προφίλ και το δικαίωμα ενημέρωσης του υποκειμένου σχετικά με την ύπαρξη προφίλ, των μέτρων που βασίζονται στον προσδιορισμό του προφίλ και των προβλεπόμενων επιπτώσεων της συγκεκριμένης ανάλυσης στο άτομο.

Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα - η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβά¬στηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει τις παραβιάσεις προσωπικών δεδομένων στην εποπτική αρχή όταν η παραβίαση ενδέχεται να επηρεάσει αρνητικά τα προσωπικά δεδομένα ή την ιδιωτικότητα του υποκειμένου των δεδομένων.

Συγκατάθεση Του Υποκειμένου των Δεδομένων - κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

Παιδί – Ο νέος Κανονισμός GDPR ορίζει ως παιδί κάθε πρόσωπο κάτω από την ηλικία των 16 ετών, αν και αυτό μπορεί να μειωθεί στα 13 έτη ανά νομοθεσία κράτους μέλους. Η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνο αν έχει ληφθεί η γονική ή η συγκατάθεση του κηδεμόνα. Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι ο κάτοχος γονικής μέριμνας του παιδιού συγκατατίθεται ή επιτρέπει την επεξεργασία.

Τρίτος - οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

Σύστημα αρχειοθέτησης - κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.

ΔΗΛΩΣΗ ΠΟΛΙΤΙΚΗΣ

Το Διοικητικό Συμβούλιο και η Διοίκηση του Οργανισμού, που βρίσκεται στην Θερμοπυλών 2, Βριλήσσια δεσμεύονται για τη συμμόρφωση με όλους τους σχετικούς νόμους της ΕΕ και της Ελλάδος ως κράτους μέλους της Ένωσης όσον αφορά τα δεδομένα προσωπικού χαρακτήρα και την προστασία των «δικαιωμάτων και ελευθεριών» των ατόμων των οποίων τα δεδομένα ο Οργανισμός συλλέγει και επεξεργάζεται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) περιγράφεται με αυτήν την πολιτική και άλλες σχετικές πολιτικές, όπως της Πολιτική Ασφάλειας Πληροφοριών, μαζί με τις συνδεδεμένες επιχειρηματικές διεργασίες και διαδικασίες.

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και αυτή η πολιτική ισχύουν για όλες τις λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα του Οργανισμού, συμπεριλαμβανομένων εκείνων που εκτελούνται σε προσωπικά δεδομένα πελατών, εργαζομένων, προμηθευτών και συνεργατών και οποιωνδήποτε άλλων προσωπικών δεδομένων που επεξεργάζεται ο οργανισμός από οποιαδήποτε πηγή.Ο Οργανισμός έχει θέσει στόχους για την προστασία των δεδομένων και της ιδιωτικότητας, και τους υλοποιεί μέσω του Συστήματος Διαχείρισης Προσωπικών Πληροφοριών (ΣΔΠΠ-PIMS).

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για την αναθεώρηση του αρχείου των δραστηριοτήτων επεξεργασίας ετησίως υπό το πρίσμα οποιωνδήποτε αλλαγών στις δραστηριότητες του Οργανισμού (όπως αυτές καθορίζονται από τις αλλαγές στο αρχείο των δραστηριοτήτων επεξεργασίας και μέσω της ανασκόπησης της διαχείρισης) και σε τυχόν πρόσθετες απαιτήσεις που προσδιορίζονται μέσω της “Διαδικασίας Εκτίμησης Επιπτώσεων της Προστασίας Δεδομένων (ΕΕΠΔ-DPIA)”.

Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους, το προσωπικό [και τα ενδιαφερόμενα μέρη] του Οργανισμού , όπως προμηθευτές και παρόχους υπηρεσιών. Οποιαδήποτε παραβίαση του νέου Κανονισμού GDPR ή του Συστήματος Διαχείρισης Προσωπικών Πληροφοριών (ΣΔΠΠ-PIMS) θα αντιμετωπιστεί σύμφωνα με την πειθαρχική πολιτική του Οργανισμού και μπορεί επίσης να αποτελέσει ποινικό αδίκημα, οπότε το θέμα θα πρέπει να αναφερθεί το συντομότερο δυνατόν στις αρμόδιες αρχές

Οι Συνεργάτες και τυχόν τρίτα μέρη που συνεργάζονται ή επιτελούν εργασίες για λογαριασμό του Οργανισμού και που έχουν ή ενδέχεται να έχουν πρόσβαση σε δεδομένα, προσωπικού χαρακτήρα αναμένεται να έχουν διαβάσει, κατανοήσει και να συμμορφώνονται με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που βρίσκονται στην κατοχή από τον Οργανισμό χωρίς να έχει πρώτα συνάψει συμφωνία εμπιστευτικότητας δεδομένων, η οποία επιβάλλει στις υποχρεώσεις του τρίτου μέρους, όχι λιγότερο επαχθείς υποχρεώσεις από εκείνες για τις οποίες έχει δεσμευθεί ο Οργανισμός και παρέχει στον Οργανισμό το δικαίωμα να ελέγχει τα τρίτα μέρη για τη συμμόρφωσή τους με τους όρους που περιγράφονται στη Σύμβαση.

ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΠΛΗΡΟΦΟΡΙΩΝ (ΣΔΠΠ - PIMS)

Δήλωση πολιτικής

Για να υποστηρίξει τη συμμόρφωση με το GDPR, το Διοικητικό Συμβούλιο του Οργανισμού ενέκρινε και υποστήριξε την ανάπτυξη, υλοποίηση, συντήρηση και συνεχή βελτίωση ενός τεκμηριωμένου Συστήματος Διαχείρισης Προσωπικών Πληροφοριών (ΣΔΠΠ - PIMS) για τον Οργανισμό.

Όλοι οι εργαζόμενοι και τα μέλη του προσωπικού του Οργανισμού [καθώς και τα τρίτα μέρη που προσδιορίζονται στο ΣΔΠΠ] αναμένεται να συμμορφωθούν με αυτήν την πολιτική και με το ΣΔΠΠ μέσω του οποίου εφαρμόζεται αυτή η πολιτική. Όλοι οι εργαζόμενοι και τα μέλη του προσωπικού , καθώς και ορισμένα εξωτερικά τρίτα μέρη, θα λάβουν [ή θα υποχρεωθούν να περάσουν από] την κατάλληλη εκπαίδευση. Οι συνέπειες της παραβίασης αυτής της πολιτικής ορίζονται στην πειθαρχική πολιτική του Οργανισμού και στις συμβάσεις και τις συμφωνίες με τρίτους.

Κατά τον προσδιορισμό του πεδίου εφαρμογής της Πολιτικής για τη συμμόρφωση με τον νέο Κανονισμό GDPR [και το Πρότυπο BS 10012: 2017], ο Οργανισμός λαμβάνει υπόψη:

  • Τυχόν εξωτερικά και εσωτερικά ζητήματα που σχετίζονται με το σκοπό του Οργανισμού και επηρεάζουν την ικανότητά του να επιτύχει τα επιδιωκόμενα αποτελέσματα του ΣΔΠΠ,
  • Τις ειδικές ανάγκες και τις προσδοκίες των ενδιαφερομένων μερών που σχετίζονται με την εφαρμογή του ΣΔΠΠ/PIMS,
  • Τους Οργανωτικούς στόχους και υποχρεώσεις,
  • Τα αποδεκτά επίπεδα κινδύνου του Οργανισμού, και
  • Κάθε ισχύουσα νομική, κανονιστική ή συμβατική υποχρέωση του Οργανισμού.

Οι στόχοι του Οργανισμού για συμμόρφωση με το νέο Κανονισμό GDPR και το ΣΔΠΠ/PIMS:

  • Είναι συνεπείς με αυτήν την πολιτική
  • Είναι μετρήσιμοι
  • Λαμβάνουν υπόψη τις απαιτήσεις του νέου Κανονισμού GDPR [και του Προτύπου BS 10012: 2017 για την προστασία της ιδιωτικότητας] και τα αποτελέσματα από τις αναλύσεις κινδύνου και τα μέτρα μείωσης του κινδύνου
  • Παρακολουθούνται συνεχώς
  • Επικοινωνούνται
  • Επικαιροποιούνται κατά περίπτωση

Ο Οργανισμός τεκμηριώνει αυτούς τους στόχους στους αντίστοιχους καταγεγραμμένους στόχους συμμόρφωσης με τις απαιτήσεις του Προτύπου του GDPR και το ΣΔΠΠ-PIMS.

Προκειμένου να επιτευχθούν αυτοί οι στόχοι, ο Οργανισμός έχει καθορίσει:

  • Τι θα γίνει
  • Ποιοί πόροι θα απαιτηθούν
  • Ποιός θα είναι υπεύθυνος
  • Πότε θα ολοκληρωθούν
  • Πώς θα αξιολογούνται τα αποτελέσματα

ΕΥΘΥΝΕΣ ΚΑΙ ΡΟΛΟΙ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)

Ο Οργανισμός είναι [ υπεύθυνος για την επεξεργασία των δεδομένων / ή εκτελών την επεξεργασία] σύμφωνα με τον νέο Κανονισμό GDPR.

Η Ανώτατη Διοίκηση και όλοι όσοι διαδραματίζουν διευθυντικό ή εποπτικό ρόλο σε όλο τον Οργανισμό είναι υπεύθυνοι για την ανάπτυξη και την ενθάρρυνση ορθών διαδικασιών διαχείρισης δεδομένων προσωπικού χαρακτήρα στον Οργανισμό, όσο και για το ότι οι ευθύνες καθορίζονται στις ατομικές περιγραφές θέσεων εργασίας.

O Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO), είναι ένας ρόλος που ορίζεται στον νέο Κανονισμό GDPR, θα πρέπει να είναι μέλος της ανώτερης διοικητικής ομάδας του Οργανισμού, και είναι υπόλογος στο Διοικητικό Συμβούλιο του Ονόματος Οργανισμού για τη διαχείριση των προσωπικών δεδομένων εντός του Οργανισμού όσο και για την διασφάλιση ότι η συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα και ότι η χρήση ορθών πρακτικών μπορεί να αποδεικνύεται ανά πάσα στιγμή. Αυτή η λογοδοσία περιλαμβάνει:

Την ανάπτυξη και εφαρμογή του GDPR όπως απαιτείται από αυτή την πολιτική, και

Τα μέτρα ασφάλειας και την διαχείριση κινδύνων μέσα στο πλαίσιο εφαρμογής της πολιτικής αυτής.

O Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO), τον οποίο το Διοικητικό Συμβούλιο θεωρεί ότι διαθέτει τα κατάλληλα προσόντα και την απαιτούμενη εμπειρία, έχει διοριστεί για να αναλάβει την ευθύνη για την καθημερινή τήρηση της παρούσας πολιτικής από τον Οργανισμό και , ειδικότερα , έχει άμεση ευθύνη για την εξασφάλιση ότι ο Οργανισμός συμμορφώνεται με τον νέο Κανονισμό GDPR, όπως και ότι οι Διευθυντές / Εκτελεστικά μέλη του Οργανισμού στο πλαίσιο των καθημερινών τους δραστηριοτήτων οι οποίες σχετίζονται με την διαχείριση των δεδομένων προσωπικού χαρακτήρα στην περιοχή ευθύνης τους.

O Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO), έχει συγκεκριμένες ευθύνες σε σχέση με διαδικασίες όπως οι διαδικασίες άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων και είναι το πρώτο σημείο επαφής για να αναζητήσουν οι εργαζόμενοι διευκρινίσεις σχετικά με οποιαδήποτε πτυχή της τήρησης της συμμόρφωσης με τον νέο Κανονισμό περί της Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα (GDPR).

Η συμμόρφωση με τη νομοθεσία περί προστασίας των δεδομένων προσωπικού χαρακτήρα είναι ευθύνη όλων των υπαλλήλων και των μελών του προσωπικού του Οργανισμού που επιτελεί επεξεργασία προσωπικών δεδομένων.

Η Πολιτική Κατάρτισης του Προσωπικού του Οργανισμού πάνω στα θέματα του GDPR καθορίζει συγκεκριμένες απαιτήσεις κατάρτισης και ευαισθητοποίησης των εργαζομένων και των μελών του προσωπικού σε σχέση με συγκεκριμένους επιχειρηματικούς ρόλους.

Οι εργαζόμενοι και τα μέλη του προσωπικού του Οργανισμού είναι υπεύθυνοι για την διασφάλιση ότι τα προσωπικά δεδομένα που τους αφορούν, και τα οποία παρέχονται από τους ίδιους στον Οργανισμό είναι ακριβή και ενημερωμένα.

ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Όλες οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα του Οργανισμού πρέπει να διεξάγονται σύμφωνα με το αρχές προστασίας δεδομένων προσωπικού χαρακτήρα, όπως αυτές ορίζονται στο Άρθρο 5 του νέου Κανονισμού GDPR. Οι πολιτικές και οι διαδικασίες του Οργανισμού έχουν σχεδιαστεί για να διασφαλίζεται η συμμόρφωση με τις αρχές αυτές.

Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία

Νομιμότητα – Να αναγνωρισθεί η νόμιμη βάση πριν ξεκινήσει η επεξεργασία των προσωπικών δεδομένων. Αυτές συχνά αναφέρονται ως "συνθήκες επεξεργασίας", όπως για παράδειγμα η συγκατάθεση.

Δικαιοσύνη - για να είναι δίκαιη η επεξεργασία, ο υπεύθυνος επεξεργασίας πρέπει να θέτει συγκεκριμένα στοιχεία υπόψη των υποκειμένων των δεδομένων, εφ' όσον αυτό είναι εφικτό. Αυτό ισχύει είτε τα προσωπικά δεδομένα αποκτήθηκαν απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είτε από άλλες πηγές.

Ο νέος Κανονισμός GDPR έχει αυξημένες απαιτήσεις σχετικά με τις πληροφορίες που πρέπει να είναι διαθέσιμες στα υποκείμενα των δεδομένων, οι οποίες καλύπτονται από την απαίτηση για «Διαφάνεια».

Διαφάνεια – Ο νέος Κανονισμός GDPR περιλαμβάνει κανόνες για την παροχή πληροφοριών σχετικά με τα προσωπικά δεδομένα στα υποκείμενα των δεδομένων στα Άρθρα 12, 13 και 14. Αυτοί είναι λεπτομερείς και συγκεκριμένοι, δίνοντας έμφαση στην κατανόηση και την πρόσβαση των υποκειμένων των δεδομένων στις ανακοινώσεις του Οργανισμού περί απορρήτου. Οι πληροφορίες πρέπει να κοινοποιούνται στο υποκείμενο των δεδομένων σε κατανοητή μορφή με σαφή και απλή γλώσσα.

Ο Οργανισμός μέσω της Ειδοποίησης Ιδιωτικότητας η οποία καταγράφεται στο έγγραφο, προβλέπει ότι συγκεκριμένες πληροφορίες πρέπει να παρέχονται στο υποκείμενο των δεδομένων:

  • Η ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, ενδεχομένως, του εκπροσώπου του.
  • Τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ/DPO).
  • Τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση της επεξεργασίας.
  • Την περίοδο για την οποία θα αποθηκεύονται τα προσωπικά δεδομένα.
  • Η παροχή δικαιώματος υποβολής αιτήματος πρόσβασης, διόρθωσης, λήθης ή διατύπωσης αντιρρήσεων για την επεξεργασία και οι προϋποθέσεις (ή η έλλειψη αυτών) σχετικά με την άσκηση αυτών των δικαιωμάτων από τα υποκείμενα των δεδομένων, όπως το αν θα επηρεαστεί η νομιμότητα προηγούμενης επεξεργασίας.
  • Τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα.
  • Τους παραλήπτες ή τις κατηγορίες παραληπτών των προσωπικών δεδομένων, κατά περίπτωση.
  • Όπου απαιτείται, ενημέρωση ότι ο υπεύθυνος της επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα και το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα.
  • Οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για να διασφαλισθεί το δίκαιον της επεξεργασίας.

Τα προσωπικά δεδομένα μπορούν να συλλεχθούν μόνο για συγκεκριμένους , σαφείς και νόμιμους σκοπούς

Τα προσωπικά δεδομένα που λαμβάνονται για συγκεκριμένο σκοπό, δεν πρέπει να χρησιμοποιούνται για σκοπό που διαφέρει από εκείνον που κοινοποιήθηκε προς το υποκείμενο των δεδομένων και επίσημα προς την Εποπτική Αρχή μέσω των αρχείων δραστηριοτήτων επεξεργασίας του Άρθρου 30 του νέου Κανονισμού GDPR.

Τα προσωπικά δεδομένα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε ό, τι είναι απαραίτητο για την επεξεργασία

O Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για τη διασφάλιση ότι ο Οργανισμός δεν συλλέγει πληροφορίες που δεν είναι απολύτως απαραίτητες για τον σκοπό για τον οποίο αποκτήθηκαν.

Όλα τα έντυπα συλλογής δεδομένων (σε ηλεκτρονική ή έγχαρτη μορφή), συμπεριλαμβανομένων των απαιτήσεων για συλλογή δεδομένων μέσω νέων συστημάτων πληροφοριών, πρέπει να περιλαμβάνουν μια δήλωση δίκαιης επεξεργασίας ή να παρέχεται ο σύνδεσμος με τη δήλωση προστασίας προσωπικών δεδομένων και να εγκρίνονται από τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ/DPO).

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα μεριμνήσει ώστε [σε ετήσια βάση ] όλες οι μέθοδοι συλλογής δεδομένων να επανεξεταστούν από τον [εσωτερικό έλεγχο / εξωτερικούς εμπειρογνώμονες] για να διασφαλιστεί ότι τα συλλεγέντα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβάλλοντα.

Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και ενημερωμένα και να γίνεται προσπάθεια να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση

Τα δεδομένα που αποθηκεύονται από τον υπεύθυνο επεξεργασίας πρέπει να αναθεωρούνται και να ενημερώνονται ανάλογα με τις ανάγκες. Δεν πρέπει να διατηρούνται δεδομένα εκτός αν είναι εύλογη η υπόθεση ότι αυτά είναι ακριβή.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για την διασφάλιση ότι όλο το προσωπικό εκπαιδεύεται σχετικά με τη σημασία της συλλογής επακριβών δεδομένων και την συντήρησή τους.

Είναι επίσης η ευθύνη του υποκειμένου των δεδομένων να διασφαλίζει ότι τα δεδομένα που βρίσκονται στην κατοχή του Οργανισμού είναι ακριβή και ενημερωμένα. Η συμπλήρωση ενός εντύπου εγγραφής ή φόρμας αίτησης από το υποκείμενο των δεδομένων θα περιλαμβάνει δήλωση ότι τα δεδομένα που περιέχονται σε αυτήν είναι ακριβή κατά την ημερομηνία υποβολής.

Οι υπάλληλοι, τα μέλη του προσωπικού, οι πελάτες, οι συνεργάτες και οι τρίτοι, υποχρεούνται να κοινοποιούν στο Οργανισμό τυχόν αλλαγές στα δεδομένα που τους αφορούν, ώστε να είναι δυνατή η ενημέρωση των προσωπικών τους αρχείων που διατηρεί ο Οργανισμός. Είναι ευθύνη του Οργανισμού για να διασφαλιστεί ότι η κοινοποίηση σχετικά με την αλλαγή των προσωπικών δεδομένων καταγράφεται και η επεξεργασία γίνεται στα νέα επικαιροποιημένα δεδομένα.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για τη διασφάλιση της θέσπισης κατάλληλων πολιτικών και διαδικασιών για την διατήρηση της ακρίβειας των δεδομένων και την συνεχή ενημέρωσή τους, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία αυτά μπορεί να αλλάξουν και τυχόν άλλους σχετικούς παράγοντες.

Τουλάχιστον σε ετήσια βάση, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα επανεξετάζει τις ημερομηνίες διακράτησης όλων των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον Οργανισμό, τα οποία διατηρούνται στο αρχείο δραστηριοτήτων επεξεργασίας, και θα εντοπίζει όλα τα δεδομένα που δεν απαιτούνται πλέον στο πλαίσιο του καταγεγραμμένου σκοπού επεξεργασίας. Αυτά τα δεδομένα θα διαγράφονται με ασφάλεια σύμφωνα με την διαδικασία ασφαλούς καταστροφής αποθηκευτικών μέσων.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για την απάντηση σε αιτήματα για διόρθωση που υποβάλλονται από τα υποκείμενα των δεδομένων, εντός ενός μηνός από την υποβολή του αιτήματος. Το διάστημα αυτό μπορεί να επεκταθεί κατά δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν ο Οργανισμός αποφασίσει να μην συμμορφωθεί με το αίτημα, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) πρέπει να απαντήσει στα υποκείμενα των δεδομένων για να εξηγήσει το σκεπτικό της απόφασης και να ενημερώσει για το δικαίωμά τους να διαμαρτυρηθούν προς την εποπτική αρχή ή και να καταφύγουν σε δικαστική προσφυγή.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) είναι υπεύθυνος για τη λήψη των κατάλληλων μέτρων ώστε, εάν έχουν διαβιβαστεί ανακριβή ή παρωχημένα δεδομένα προσωπικού χαρακτήρα σε τρίτους, αυτοί να ενημερωθούν ότι οι πληροφορίες είναι ανακριβείς ή / και παρωχημένες και δεν πρέπει να χρησιμοποιούνται για την λήψη αποφάσεων σχετικά με τα συγκεκριμένα υποκείμενα των δεδομένων, όπως και για τη διαβίβαση οποιασδήποτε διόρθωσης επί των προσωπικών δεδομένων σε τρίτα μέρη όπου αυτό απαιτείται.

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να τηρούνται με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί μόνον εφόσον αυτό είναι αναγκαίο για την επεξεργασία.

Όταν τα προσωπικά δεδομένα διατηρούνται πέρα από την ημερομηνία επεξεργασίας, θα [ ελαχιστοποιούνται/ κρυπτογραφούνται / ψευδωνυμοποιούνται ] προκειμένου να προστατεύεται η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση παραβίασης των δεδομένων.

Τα προσωπικά δεδομένα θα διατηρούνται σύμφωνα με τη διαδικασία Διατήρησης Εγγράφων και, μόλις περατωθεί η ημερομηνία διακράτησής τους, θα πρέπει να καταστρέφονται με ασφάλεια σύμφωνα με τη διαδικασία αυτή.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) πρέπει να εγκρίνει ρητά κάθε διατήρηση δεδομένων που υπερβαίνει τις περιόδους διακράτησης που ορίζονται στο αρχείο των δραστηριοτήτων επεξεργασίας του Οργανισμού, και πρέπει να διασφαλίζεται ότι η αιτιολογία είναι σαφώς προσδιορισμένη και σύμφωνη με τις απαιτήσεις της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα . Η έγκριση δε αυτή θα πρέπει να είναι καταγεγραμμένη.

Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να διασφαλίζεται η απαραίτητη Ασφάλεια

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα προβεί σε Αξιολόγηση του Κινδύνου, λαμβάνοντας υπόψη το πλαίσιο των διαδικασιών επεξεργασίας του Οργανισμού και όλα τα εφαρμοζόμενα μέτρα προστασίας.

Για τον προσδιορισμό της καταλληλότητας των μέτρων προστασίας, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα πρέπει επίσης να εξετάσει την έκταση της πιθανής ζημίας ή απώλειας που μπορεί να προκληθεί στα φυσικά πρόσωπα (π.χ. μέλη του προσωπικού, πελάτες ή προμηθευτές) σε περίπτωση παραβίασης της ασφάλειας, καθώς και τυχόν επίπτωση στη φήμη του Οργανισμού, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης εκ μέρους των πελατών.

Κατά την αξιολόγηση των κατάλληλων τεχνικών μέτρων, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα εξετάσει τα εξής:

  • Προστασία με κωδικό πρόσβασης.
  • Αυτόματο κλείδωμα υπολογιστών.
  • Κατάργηση δικαιωμάτων πρόσβασης σε USB και άλλα αποθηκευτικά μέσα μνήμης.
  • Χρήση λογισμικού προστασίας από ιούς και χρήση τειχών προστασίας (Firewalls).
  • Δικαιώματα πρόσβασης στο δίκτυο του Οργανισμού βάσει ρόλων, συμπεριλαμβανομένων εκείνων που εκχωρούνται σε έκτακτο προσωπικό.
  • Κρυπτογράφηση συσκευών που εγκαταλείπουν τις εγκαταστάσεις του Οργανισμού, όπως φορητοί υπολογιστές, USB media, κ.λ.π..
  • Ασφάλεια Τοπικών και Ευρυζωνικών Δικτύων.
  • Χρήση Τεχνολογικών μεθόδων για την προστασία της ιδιωτικότητας, όπως η ψευδωνυμοποίηση και η ανωνυμοποίηση.
  • Προσδιορισμός κατάλληλων διεθνών προτύπων ασφαλείας που εφαρμόζει ο Οργανισμός.

Κατά την αξιολόγηση των κατάλληλων οργανωτικών μέτρων, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) θα εξετάσει τα εξής:

  • Την απαραίτητη εκπαίδευση για την προστασία των δεδομένων προσωπικού χαρακτήρα προς όλα τα μέλη του ανθρωπίνου δυναμικού του Οργανισμού.
  • Μέτρα που πιστοποιούν την αξιοπιστία των εργαζομένων ( όπως αναφορές προηγούμενης εργασίας, συστατικές επιστολές, κ.λπ. ).
  • Η συμπερίληψη της προστασίας των δεδομένων στις συμβάσεις εργασίας.
  • Προσδιορισμός των μέτρων πειθαρχικής δράσης για παραβιάσεις δεδομένων προσωπικού χαρακτήρα.
  • Παρακολούθηση της συμμόρφωσης του προσωπικού με τα σχετικά πρότυπα Ασφάλειας.
  • Έλεγχοι φυσικής και λογικής πρόσβασης σε ηλεκτρονικά και φυσικά αρχεία.
  • Υιοθέτηση σαφούς πολιτικής «καθαρού γραφείου».
  • Αποθήκευση έγχαρτων δεδομένων σε αντιπυρικούς φοριαμούς που κλειδώνουν.
  • Περιορισμός της χρήσης φορητών ηλεκτρονικών συσκευών εκτός του χώρου εργασίας.
  • Περιορισμός της χρήσης των προσωπικών συσκευών του εργαζομένου για χρήση εντός του χώρου εργασίας.
  • Υιοθέτηση σαφών κανόνων σχετικά με τους κωδικούς πρόσβασης.
  • Δημιουργία τακτικών αντιγράφων ασφαλείας των προσωπικών δεδομένων και αποθήκευση των μέσων σε εναλλακτικό απομακρυσμένο χώρο.
  • Η επιβολή συμβατικών υποχρεώσεων στους οργανισμούς-παραλήπτες των δεδομένων προσωπικού χαρακτήρα ώστε να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας κατά τη μεταφορά δεδομένων εκτός του ΕΟΧ.

Αυτά τα μέτρα προστασίας έχουν επιλεγεί με βάση τους κινδύνους που προσδιορίστηκαν για τα προσωπικά δεδομένα και τις πιθανότητες βλάβης ή κινδύνου για τα φυσικά πρόσωπα τα δεδομένα των οποίων υπόκεινται σε επεξεργασία.

Η συμμόρφωση του Οργανισμού με αυτή την αρχή περιέχεται στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS), το οποίο έχει αναπτυχθεί σύμφωνα με το ISO / IEC 27001: 2013 και την πολιτική ασφάλειας των πληροφοριών που περιγράφεται.

Ο υπεύθυνος της επεξεργασίας πρέπει να είναι σε θέση να αποδεικνύει τη συμμόρφωση με τις υπόλοιπες αρχές του GDPR (Αρχή της Λογοδοσίας)

Το GDPR περιλαμβάνει διατάξεις που προωθούν την υπευθυνότητα και τη διακυβέρνηση των δεδομένων προσωπικού χαρακτήρα. Αυτές συμπληρώνουν τις απαιτήσεις διαφάνειας του νέου Κανονισμού GDPR. Συμμορφούμενος ο Οργανισμός με την αρχή της αρχή της Λογοδοσίας όπως αυτή αναφέρεται στο άρθρο 5 παράγραφος 2 του Κανονισμού είναι σε θέση να αποδεικνύει ότι συμμορφώνεται με τις αρχές αυτές και δηλώνει ρητά ότι αναλαμβάνει την ευθύνη.

Ο Οργανισμός θα αποδεικνύει ότι συμμορφώνεται με τις αρχές προστασίας των δεδομένων προσωπικού χαρακτήρα με την εφαρμογή πολιτικών για την προστασία των δεδομένων, θεσπίζοντας και ακολουθώντας κώδικες δεοντολογίας, εφαρμόζοντας Οργανωτικά και Τεχνικά μέτρα προστασίας, καθώς και στην υιοθέτηση τεχνικών όπως η προστασία των δεδομένων από τον σχεδιασμό, διεξαγωγή ασκήσεων «Εκτίμησης Επιπτώσεων της Προστασίας Δεδομένων (ΕΕΠΔ)», διαδικασίες κοινοποίησης παραβίασης δεδομένων προς την εποπτική αρχή και ύπαρξης σχεδίων αντιμετώπισης περιστατικών ασφαλείας.

ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που έχει στη κατοχή του ο Οργανισμός:

  • Να υποβάλουν αίτημα πρόσβασης για θέματα σχετικά με τη φύση των δεδομένων προσωπικού χαρακτήρα που ο Οργανισμός έχει στη κατοχή του και γνωστοποίηση σε ποιους τα δεδομένα έχουν τυχόν διαβιβασθεί.
  • Να αποφεύγεται επεξεργασία που μπορεί να προκαλέσει πιθανή ζημιά ή δυσφορία για τα υποκείμενα των δεδομένων.
  • Να εμποδίζεται η επεξεργασία για σκοπούς άμεσου μάρκετινγκ (προώθηση προϊόντος).
  • Να ενημερωθούν για τυχόν μηχανισμούς αυτοματοποιημένης διαδικασίας λήψης αποφάσεων που θα τους επηρεάσει σημαντικά.
  • Να μην έχουν σημαντικές αποφάσεις που τους επηρεάζουν και οι οποίες έχουν ληφθεί μόνο μέσω αυτοματοποιημένης διαδικασίας.
  • Να διεκδικήσουν αποζημίωση εάν υποστούν ζημία από οποιαδήποτε παράβαση του νέου Κανονισμού GDPR.
  • Να ασκήσουν το δικαίωμά τους για την διόρθωση, την απαγόρευση, τη διαγραφή, συμπεριλαμβανομένου του δικαιώματος στη λήθη ή να καταστρέφονται ανακριβή δεδομένα.
  • Να ζητήσει από την εποπτική αρχή να εκτιμήσει εάν έχει παραβιαστεί οποιαδήποτε διάταξη του νέου Κανονισμού GDPR από τον υπεύθυνο της επεξεργασίας.
  • Να τους παρασχεθούν τα προσωπικά τους δεδομένα σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβασθούν τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα.
  • Να αντιτάσσεται σε οποιοδήποτε αυτοματοποιημένο προφίλ που τους αφορά και το οποίο έχει δημιουργηθεί χωρίς συγκατάθεση.

Ο Οργανισμός διασφαλίζει ότι τα υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματα:

Τα υποκείμενα των δεδομένων μπορούν να υποβάλλουν αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν όπως περιγράφεται στην αντίστοιχη διαδικασία. Ο Οργανισμός δεσμεύεται ότι θα διασφαλίζει ότι θα αποκρίνεται στα αιτήματα πρόσβασης των υποκειμένων των δεδομένων σύμφωνα με όσα προβλέπονται στον νέο Κανονισμό GDPR.

Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλλουν καταγγελίες στον Οργανισμό σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τη διεκπεραίωση ενός αιτήματος που έχει υποβληθεί αλλά επίσης και τις προσφυγές που υποβλήθηκαν από ένα υποκείμενο των δεδομένων σχετικά με τον τρόπο με τον οποίο διεκπεραιώνονται οι καταγγελίες τους σύμφωνα με την αντίστοιχη διαδικασία.

ΣΥΓΚΑΤΑΘΕΣΗ

Ο Οργανισμός κατανοεί την έννοια της «συγκατάθεσης» που σημαίνει ότι η συγκατάθεση του υποκειμένου των δεδομένων έχει δοθεί ρητά και ελεύθερα, και αποτελεί μια συγκεκριμένη, ενημερωμένη και σαφή ένδειξη των επιθυμιών του υποκειμένου των δεδομένων ότι με δήλωσή του ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία των προσωπικών δεδομένων που το αφορούν. Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.

Ο Οργανισμός κατανοεί την έννοια της «συγκατάθεσης» που σημαίνει ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα προσωπικού χαρακτήρα έχει ενημερωθεί πλήρως για την προβλεπόμενη επεξεργασία και έχει υποδηλώσει τη συμφωνία του, ενώ έχει τη δυνατότητα να το πράξει χωρίς να του ασκούνται πιέσεις. Η συγκατάθεση που αποκτάται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Πρέπει να υπάρξει κάποια ενεργή επικοινωνία μεταξύ των μερών για να αποδεικνύεται η ενεργός συγκατάθεση. Η συγκατάθεση δεν μπορεί να συναχθεί από τη μη απάντηση σε μια επικοινωνία. Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι έχει ληφθεί η συγκατάθεση του υποκειμένου των δεδομένων για τη διαδικασία της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Όσον αφορά ευαίσθητα δεδομένα προσωπικού χαρακτήρα του Άρθρου 9, πρέπει να ληφθεί η ρητή γραπτή συγκατάθεση των υποκειμένων των δεδομένων, εκτός εάν υπάρχει άλλη νομική βάση για την επεξεργασία.

Στις περισσότερες περιπτώσεις, η συγκατάθεση για την επεξεργασία των προσωπικών και ευαίσθητων δεδομένων προσωπικού χαρακτήρα επιτυγχάνεται συνήθως με την χρήση τυποποιημένων εγγράφων συγκατάθεσης του Οργανισμού [παραπομπή] π.χ. όταν ένας νέος πελάτης υπογράφει μια σύμβαση, ή κατά την εισδοχή ενός φυσικού προσώπου σε διάφορα προγράμματα.

Όπου ο Οργανισμός παρέχει ηλεκτρονικές υπηρεσίες σε παιδιά, πρέπει να λαμβάνεται γονική συγκατάθεση ή τη συγκατάθεση του νόμιμου κηδεμόνα. Η απαίτηση αυτή ισχύει για παιδιά ηλικίας κάτω των 16 ετών (εκτός εάν το κράτος μέλος έχει προβλέψει χαμηλότερο όριο ηλικίας, το οποίο όμως δεν μπορεί να είναι κατώτερο από 13).

ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Όλοι οι υπάλληλοι και τα μέλη προσωπικού του Οργανισμού είναι υπεύθυνοι για την διασφάλιση ότι όλα τα δεδομένα προσωπικού χαρακτήρα που ο Οργανισμός έχει στην κατοχή του και τα οποία τους αφορούν, διατηρούνται με ασφάλεια και να μην αποκαλύπτονται κάτω από οποιεσδήποτε συνθήκες σε οποιονδήποτε τρίτο, εκτός αν ο τρίτος έχει ειδικά εξουσιοδοτηθεί από τον Οργανισμό ότι δύναται να λαμβάνει τέτοιες πληροφορίες και έχει συνάψει αντίστοιχη συμφωνία εμπιστευτικότητας.

Πρόσβαση στα δεδομένα προσωπικού χαρακτήρα θα δίδεται μόνο σε όσους την χρειάζονται και η πρόσβαση θα παρέχεται μόνο σύμφωνα με την Πολιτική Ελέγχου Προσβάσεων. Όλα τα προσωπικά δεδομένα θα πρέπει να αντιμετωπίζονται με την υψηλότερη ασφάλεια και πρέπει να τηρούνται:

  • Σε κλειδωμένο δωμάτιο με ελεγχόμενη πρόσβαση, και / ή
  • Σε ένα συρτάρι με κλειδαριά ή σε πυρασφαλή φοριαμό με κλειδαριά, και / ή
  • Εάν είναι σε ηλεκτρονική μορφή, προστατεύονται με κωδικό πρόσβασης σύμφωνα με τις απαιτήσεις της εταιρικής πολιτικής στην Πολιτική Ελέγχου Προσβάσεων, και / ή
  • Αποθηκευμένα σε (αφαιρούμενα) μέσα υπολογιστή που είναι κρυπτογραφημένα σύμφωνα με την Πολιτική Παροχής Μέσων Αποθήκευσης.

Πρέπει να ληφθεί μέριμνα ώστε οι οθόνες και οι τερματικοί σταθμοί των υπολογιστών να μην είναι ορατοί, εκτός από τους εξουσιοδοτημένους υπαλλήλους και τα μέλη του προσωπικού του Οργανισμού. Όλοι οι υπάλληλοι και τα μέλη του προσωπικού καλούνται να υπογράψουν την Πολιτική Αποδεκτής Χρήσης Πόρων Πληροφορικής, προτού τους δοθεί πρόσβαση σε εταιρικές πληροφορίες οποιουδήποτε είδους, η οποία περιγράφει λεπτομερώς τους κανόνες σχετικά με τα χρονικά διαστήματα κλειδώματος της οθόνης των τερματικών.

Οι μη ηλεκτρονικές εγγραφές δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται να παραμένουν εκεί όπου μπορούν να γίνουν προσβάσιμες από μη εξουσιοδοτημένο μέλη του προσωπικού και δεν μπορούν να απομακρυνθούν από τις εγκαταστάσεις του Οργανισμού χωρίς ρητή [γραπτή] εξουσιοδότηση. Όταν τα φυσικά αρχεία δεν απαιτούνται πλέον για την καθημερινή διαχείριση των πελατών, θα πρέπει να διαγράφονται από την ασφαλή φύλαξη, σύμφωνα με τη διαδικασία Ασφαλούς Διαγραφής Αρχείων.

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαγράφονται ή να καταστρέφονται σύμφωνα με την Διαδικασία Ασφαλούς Διαγραφής Αρχείων. Τα φυσικά αρχεία που έχουν φθάσει την ημερομηνία διακράτησής τους πρέπει να καταστρέφονται σύμφωνα με την Διαδικασία Ασφαλούς Διαγραφής Αρχείων. Οι σκληροί δίσκοι των αποσυρόμενων υπολογιστών πρέπει να αφαιρούνται και να διαγράφονται τα δεδομένα τους με ασφαλή τρόπο πριν από την διάθεσή τους.

Η απομακρυσμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα παρουσιάζει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή ζημίας για τα δεδομένα προσωπικού χαρακτήρα. Το μέλη του προσωπικού πρέπει να έχουν ειδική εξουσιοδότηση για την επεξεργασία των δεδομένων εκτός των εγκαταστάσεων του Οργανισμού.

ΓΝΩΣΤΟΠΟΙΗΣΗ ΔΕΔΟΜEΝΩΝ

Ο Οργανισμός διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποκαλύπτονται σε μη εξουσιοδοτημένους τρίτους, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κυβερνητικών οργάνων και, σε ορισμένες περιπτώσεις, της αστυνομίας. Όλοι οι υπάλληλοι και τα μέλη του προσωπικού του Οργανισμού θα πρέπει να είναι πολύ προσεκτικοί όταν καλούνται να αποκαλύψουν δεδομένα προσωπικού χαρακτήρα για κάποιο φυσικό πρόσωπο σε τρίτους [και θα πρέπει να λάβουν ειδική εκπαίδευση που τους επιτρέπει να αντιμετωπίζουν αποτελεσματικά τον εν λόγω κίνδυνο]. Είναι σημαντικό να έχουμε κατά νου κατά πόσον η γνωστοποίηση των πληροφοριών αυτών είναι σχετική, και απαραίτητη, για τη διεξαγωγή των δραστηριοτήτων του Οργανισμού.

Όλες οι αιτήσεις γνωστοποίησης δεδομένων για έναν από τους ανωτέρω λόγους πρέπει να συνοδεύονται από τις απαραίτητες αιτήσεις και όλες αυτές οι γνωστοποιήσεις πρέπει πρώτα να εγκρίνονται από τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ/DPO) του Οργανισμού.

ΔΙΑΤΗΡΗΣΗ ΚΑΙ ΚΑΤΑΣΤΡΟΦΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Ο Οργανισμός δεν φυλάσσει τα δεδομένα προσωπικού χαρακτήρα υπό μορφή που επιτρέπει την αναγνώριση των προσώπων στα οποία αναφέρονται τα δεδομένα, και για χρονικό διάστημα μεγαλύτερο από αυτό που είναι αναγκαίο σε σχέση με τους σκοπούς για τους οποίους αρχικά συλλέχθηκαν τα δεδομένα.

Ο Οργανισμός μπορεί να αποθηκεύει τα δεδομένα προσωπικού χαρακτήρα για μεγαλύτερο χρονικό διάστημα από το όριο διακράτησης εάν τα δεδομένα προσωπικού χαρακτήρα θα πρόκειται να υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης, για λόγους δημόσιου συμφέροντος, για λόγους επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την επιφύλαξη της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων.

Η περίοδος διακράτησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα καθορίζεται στη Διαδικασία Διακράτησης Δεδομένων μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου, συμπεριλαμβανομένων τυχόν νομικών και κανονιστικών υποχρεώσεων του Οργανισμού για τη διατήρηση των δεδομένων για αντίστοιχο χρονικό διάστημα.

Οι Διαδικασίες Διατήρησης και Καταστροφής των Δεδομένων Προσωπικού Χαρακτήρα του Οργανισμού θα πρέπει να τηρείται σε όλες τις περιστάσεις.

Τα προσωπικά δεδομένα πρέπει να καταστρέφονται με ασφάλεια σύμφωνα με την έκτη αρχή του νέου Κανονισμού GDPR – τα δεδομένα προσωπικού χαρακτήρα πρέπει να τυγχάνουν της επεξεργασίας με τον κατάλληλο τρόπο ώστε να διατηρείται η ασφάλεια, προστατεύοντας έτσι τα "δικαιώματα και τις ελευθερίες" των υποκειμένων των δεδομένων. Κάθε καταστροφή των προσωπικών δεδομένων θα γίνεται σύμφωνα με τη διαδικασία ασφαλούς καταστροφής δεδομένων.

ΜΕΤΑΦΟΡΑ ΔΕΔΟΜΈΝΩΝ

Όλες οι μεταφορές δεδομένων από χώρες του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) προς χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (που αναφέρονται στον νέο Κανονισμό GDPR ως «τρίτες χώρες») είναι παράνομες, εκτός εάν υπάρχει κατάλληλο επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων".

Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ απαγορεύεται εκτός εάν ισχύουν μία ή περισσότερες από τις καθορισμένες διασφαλίσεις ή εξαιρέσεις:

Απόφαση επάρκειας

Η Ευρωπαϊκή Επιτροπή μπορεί και αξιολογεί τρίτες χώρες, περιοχές ή / και ειδικούς τομείς εντός των τρίτων χωρών, προκειμένου να αποφανθεί εάν υπάρχει σε αυτές το κατάλληλο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Σε αυτές τις περιπτώσεις δεν απαιτείται έγκριση για τη μεταφορά δεδομένων προσωπικού χαρακτήρα. Οι χώρες που είναι μέλη του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), αλλά όχι της ΕΕ, γίνονται δεκτές ότι πληρούν τις προϋποθέσεις για μια απόφαση επάρκειας. Κατάλογος των χωρών που ανταποκρίνονται σήμερα στις απαιτήσεις επάρκειας της Επιτροπής δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Ασπίδα προστασίας προσωπικών δεδομένων

Εάν ο Οργανισμός επιθυμεί να μεταφέρει δεδομένα προσωπικού χαρακτήρα από την ΕΕ σε έναν οργανισμό στις Ηνωμένες Πολιτείες, θα πρέπει προηγούμενα να ελέγξει ότι ο Οργανισμός έχει εγγραφεί στο Privacy Shield του Υπουργείου Εμπορίου των ΗΠΑ. Οι υποχρεώσεις που ισχύουν για τις εταιρείες βάσει του Privacy Shield περιλαμβάνονται στις «Αρχές Προστασίας Προσωπικών Δεδομένων». Το Υπουργείο Εμπορίου των ΗΠΑ είναι υπεύθυνο για τη διαχείριση και την ασπίδα προστασίας προσωπικών δεδομένων διασφαλίζοντας ότι οι εταιρείες θα ανταποκριθούν στις δεσμεύσεις τους. Προκειμένου να είναι σε θέση να πάρουν την σχετική πιστοποίηση, οι εταιρείες πρέπει να έχουν μια πολιτική απορρήτου σύμφωνα με τις αρχές περί προστασίας της ιδιωτικότητας, π.χ. την χρήση, την αποθήκευση και την περαιτέρω μεταφορά των προσωπικών δεδομένων σύμφωνα με ένα ικανό σύνολο κανόνων προστασίας δεδομένων και μέτρων ασφαλείας. Η προστασία που παρέχεται στα δεδομένα προσωπικού χαρακτήρα ισχύει ανεξάρτητα από το εάν τα προσωπικά δεδομένα αφορούν κατοίκους της ΕΕ ή όχι. Οι οργανισμοί πρέπει να ανανεώνουν την "ιδιότητα μέλους" τους στην Ασπίδα Προστασίας Προσωπικών Δεδομένων σε ετήσια βάση. Εάν δεν το κάνουν, δεν μπορούν πλέον να λαμβάνουν και να χρησιμοποιούν προσωπικά δεδομένα προερχόμενα από την ΕΕ μέσα σ’ αυτό το πλαίσιο.

Αξιολόγηση της επάρκειας από τον υπεύθυνο επεξεργασίας δεδομένων

Κατά την αξιολόγηση της επάρκειας του παραλήπτη των δεδομένων, ο υπεύθυνος της επεξεργασίας ο οποίος μεταφέρει δεδομένα προσωπικού χαρακτήρα εκτός ΕΕ, πρέπει να λάβει υπόψη τους ακόλουθους παράγοντες:

  • τη φύση των πληροφοριών που μεταφέρονται,
  • τη χώρα ή την περιοχή προέλευσης και τον τελικό προορισμό των δεδομένων προσωπικού χαρακτήρα,
  • πώς θα χρησιμοποιηθούν τα προσωπικά δεδομένα και για πόσο καιρό,
  • τους νόμους και τις πρακτικές της χώρας του παραλήπτη των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των σχετικών κωδίκων δεοντολογίας και των διεθνών υποχρεώσεων, και
  • τα μέτρα ασφαλείας που πρέπει να ληφθούν όσον αφορά τα προσωπικά δεδομένα που μεταφέρονται στο εξωτερικό.

Δεσμευτικοί Εταιρικοί Κανόνες

Ο Οργανισμός δύναται να χρησιμοποιεί εγκεκριμένους δεσμευτικούς εταιρικούς κανόνες για τη μεταφορά δεδομένων εκτός ΕΟΧ. Αυτό απαιτεί την προηγούμενη υποβολή στην αρμόδια εποπτική αρχή προς έγκριση των κανόνων που ο Οργανισμός πρόκειται να επικαλεστεί.

Πρότυπες Ρήτρες Συμβάσεων

Ο Οργανισμός μπορεί να υιοθετεί εγκεκριμένες πρότυπες συμβατικές ρήτρες για τη διαβίβαση δεδομένων εκτός του ΕΟΧ. Εάν ο Οργανισμός υιοθετήσει τις [πρότυπες συμβατικές ρήτρες που έχουν εγκριθεί από την αρμόδια εποπτική αρχή], υπάρχει αυτόματη αναγνώριση της επάρκειας.

Εξαιρέσεις

Εφόσον δεν υπάρχει απόφαση επάρκειας, ή ιδιότητα του μέλους του Privacy Shield, ή/και δεσμευτικοί εταιρικοί κανόνες, ή / και οι πρότυπες συμβατικές ρήτρες, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, πραγματοποιείται μόνο με την προϋπόθεση ενός από τους παρακάτω όρους:

  • το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στην προτεινόμενη μεταφορά αφού πρώτα έχει ενημερωθεί σχετικά για τους ενδεχόμενους κινδύνους αυτών των μεταφορών για το υποκείμενο των δεδομένων λόγω της έλλειψης απόφασης επάρκειας και των κατάλληλων διασφαλίσεων,
  • η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου της επεξεργασίας ή για την εφαρμογή των προ-συμβατικών μέτρων που λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα,
  • η μεταφορά είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης που συνάπτεται προς το συμφέρον του υποκειμένου των δεδομένων μεταξύ του υπεύθυνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
  • η μεταφορά είναι απαραίτητη για σημαντικούς λόγους δημοσίου συμφέροντος.
  • η μεταφορά είναι απαραίτητη για τη σύσταση, άσκηση ή υπεράσπιση νομικών απαιτήσεων, και / ή
  • η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλων προσώπων, όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του.

ΜΗΤΡΩΟ ΠΟΡΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ / ΑΠΟΓΡΑΦΗ ΔΕΔΟΜΕΝΩΝ

Ο Οργανισμός έχει καθιερώσει μια διαδικασία καταγραφής και αποτύπωσης της ροής των δεδομένων προσωπικού χαρακτήρα στο Αρχείο Δραστηριοτήτων Επεξεργασίας, ως μέρος της προσέγγισής του για την αντιμετώπιση των κινδύνων και των ευκαιριών στο πλαίσιο του έργου συμμόρφωσης με το νέο Κανονισμό GDPR.

Το Αρχείο Δραστηριοτήτων Επεξεργασίας όπου καταγράφονται τα δεδομένα προσωπικού χαρακτήρα καθώς και η ροή τους περιλαμβάνει:

  • Τις επιχειρηματικές δραστηριότητες που χρησιμοποιούν προσωπικά δεδομένα,
  • Τη πηγή προέλευσης των δεδομένων προσωπικού χαρακτήρα,
  • Του αριθμού των υποκειμένων των δεδομένων στα οποία αναφέρονται τα δεδομένα,
  • Περιγραφή κάθε στοιχείου των προσωπικών δεδομένων,
  • Την δραστηριότητα επεξεργασίας,
  • Τις κατηγορίες των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία,
  • Τεκμηριώνει τον σκοπό για τον οποίο χρησιμοποιείται κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα,
  • Καταγράφονται οι παραλήπτες και οι δυνητικοί παραλήπτες των προσωπικών δεδομένων,
  • Αποτυπώνεται ο ρόλος του Οργανισμού σε όλη τη ροή δεδομένων,
  • Τα βασικά συστήματα και οι χώροι αποθήκευσης των δεδομένων,
  • Οποιαδήποτε μεταφορά δεδομένων, και
  • Όλες τις απαιτήσεις διακράτησης και διαγραφής των δεδομένων προσωπικού χαρακτήρα.

Ο Οργανισμός έχει επίγνωση των κινδύνων που συνδέονται με την επεξεργασία συγκεκριμένων τύπων προσωπικών δεδομένων .

Ο Οργανισμός αξιολογεί το επίπεδο κινδύνου για τα φυσικά πρόσωπα που σχετίζεται με την επεξεργασία των προσωπικών τους δεδομένων. Οι Εκτιμήσεις Επιπτώσεων της Προστασίας Δεδομένων (ΕΕΠΔ) διεξάγονται σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον ίδιο τον Οργανισμό αλλά και σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τρίτους Οργανισμούς για λογαριασμό του Οργανισμού.

Ο Οργανισμός θα διαχειρίζεται τους κινδύνους που εντοπίζονται από την ανάλυση κινδύνου, προκειμένου να μειωθεί η πιθανότητα μη συμμόρφωσης με αυτήν την πολιτική.

Σε περίπτωση που το είδος της επεξεργασίας , ιδίως με τη χρήση των νέων τεχνολογιών και λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Οργανισμός πρέπει, πριν από τη διεξαγωγή της επεξεργασίας, να προβεί σε αξιολόγηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων. Μια ενιαία ΕΕΠΔ μπορεί να εκτιμήσει μια σειρά παρόμοιων διαδικασιών επεξεργασίας που παρουσιάζουν παρόμοιους υψηλούς κινδύνους.

Όταν, ως αποτέλεσμα της ΕΕΠΔ , είναι σαφές ότι ο Οργανισμός πρόκειται να αρχίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θα μπορούσαν να προκαλέσουν ζημία ή / και δυσφορία στα υποκείμενα των δεδομένων, η απόφαση για το αν θα πρέπει να προχωρήσει ο Οργανισμός στην επεξεργασία πρέπει να αποσταλεί για έλεγχο προς τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ/DPO).

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO) πρέπει, εφόσον υπάρχουν σημαντικές ανησυχίες, είτε ως προς την πιθανή βλάβη ή τη δυσφορία των υποκειμένων των δεδομένων, είτε λόγω του μεγάλου όγκου των δεδομένων προσωπικού χαρακτήρα, να απευθύνει το θέμα στην εποπτική αρχή.

Επιλέγονται οι κατάλληλοι μηχανισμοί ελέγχου [από το Παράρτημα Α των ISO 27001, ISO 27017, ISO 27018 , κ.λ.π . ] και τίθενται σε εφαρμογή για να μειωθεί το επίπεδο κινδύνου όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε αποδεκτό επίπεδο, με αναφορά στα τεκμηριωμένα κριτήρια αποδοχής κινδύνου που έχει θεσπίσει ο Οργανισμός και τις απαιτήσεις του νέου Κανονισμού GDPR.