Γενικός Κανονισμός για την Προστασία των Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΕΕ) 2016/679 ( ΓΚΠΔ ) (αγγλικά:General Data Protection Regulation, GDPR) είναι ένας κανονισμός στην νομοθεσία της ΕΕ για την προστασία των δεδομένων και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση (ΕΕ) και στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Αναφέρεται επίσης στη μεταφορά προσωπικών δεδομένων εκτός των χωρών της ΕΕ και του ΕΟΧ. Ο πρωταρχικός στόχος του GDPR είναι να δώσει στα άτομα τον έλεγχο των προσωπικών τους δεδομένων και να απλοποιήσει το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις ενοποιώντας τον κανονισμό εντός της Ευρωπαϊκής Ένωσης. [1] Συμπληρώνοντας την Οδηγία Προστασίας Δεδομένων 95/46 / ΕΚ, ο εν λόγω κανονισμός περιέχει διατάξεις και απαιτήσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων ατόμων (που ονομάζονται επίσημα υποκείμενα δεδομένων στον ΓΚΠΔ) που βρίσκονται στον ΕΟΧ και ισχύει για οποιαδήποτε επιχείρηση - ανεξάρτητα από την τοποθεσία, την υπηκοότητα ή την κατοικία των υποκειμένων των δεδομένων - που επεξεργάζεται τις προσωπικές πληροφορίες των ατόμων εντός του ΕΟΧ.

Αρχές και νόμιμοι σκοποί

[Επεξεργασία | επεξεργασία κώδικα]

Ο ΓΚΠΔ ορίζει έξι "αρχές" σχετικά με τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.[2][3] Η πρώτη από αυτές ορίζει ότι η επεξεργασία των δεδομένων πρέπει να γίνεται με νόμιμο, δίκαιο και διαφανή τρόπο. Ο ΓΚΠΔ προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για "συγκεκριμένους, σαφείς και νόμιμους σκοπούς".[4][5][6] Το άρθρο 6 αναπτύσσει αυτή την αρχή διευκρινίζοντας ότι τα δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να υποβάλλονται σε επεξεργασία, εκτός εάν υπάρχει τουλάχιστον μία νομική βάση για την επεξεργασία αυτή.[7][8][9][10] Άλλες αρχές αφορούν τον "περιορισμό του σκοπού", την "ελαχιστοποίηση των δεδομένων", την "ακρίβεια", τον "περιορισμό της αποθήκευσης" και την "ακεραιότητα και εμπιστευτικότητα".[11]

Το άρθρο 6 αναφέρει ότι νόμιμοι σκοποί είναι:

  • (α) Όταν το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των προσωπικών του δεδομένων,
  • (β) Για την εκπλήρωση συμβατικών υποχρεώσεων με το υποκείμενο των δεδομένων ή για την εκτέλεση καθηκόντων κατόπιν αιτήματος του υποκειμένου των δεδομένων το οποίο βρίσκεται σε διαδικασία σύναψης σύμβασης,
  • (γ) Για τη συμμόρφωση με τις νομικές υποχρεώσεις του υπευθύνου επεξεργασίας δεδομένων,
  • (δ) Για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
  • (ε) Για την εκτέλεση καθήκοντος προς το δημόσιο συμφέρον ή με επίσημη εξουσιοδότηση,
  • (στ) Για τα έννομα συμφέροντα του υπευθύνου επεξεργασίας ή τρίτου, εκτός εάν τα συμφέροντα αυτά υπερισχύουν των συμφερόντων του υποκειμένου των δεδομένων ή των δικαιωμάτων του βάσει του Χάρτη Θεμελιωδών Δικαιωμάτων (ιδίως στην περίπτωση των παιδιών).[12]

Διασυνοριακή ροή δεδομένων

[Επεξεργασία | επεξεργασία κώδικα]

«Διασυνοριακή επεξεργασία» αποτελεί: α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή β) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη. (Άρθρο 4 περ. 23 ΓΚΠΔ)

Oι διασυνοριακές ροές των δεδομένων καθορίζονται στα άρθρα 44-49 του ΓΚΠΔ. Οι διασυνοριακές ροές δεδομένων δύνανται να πραγματοποιούνται όταν υφίστανται: απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής, όσον αφορά την ισχύουσα νομοθεσία περί προστασίας των δεδομένων στην τρίτη χώρα (άρθρο 45)· κατάλληλες εγγυήσεις, όπως τυποποιημένες συμβατικές ρήτρες (standard data protection clauses, SCCs) και δεσμευτικοί εταιρικοί κανόνες (binding corporate rules, BCRs) που παρέχονται από τον υπεύθυνο επεξεργασίας δεδομένων (άρθρο 46)· παρεκκλίσεις (άρθρο 49), όπως η ρητή συγκατάθεση[13][14].

  1. «Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων)». Αρχειοθετήθηκε από το πρωτότυπο στις 19 Ιουλίου 2015. Ανακτήθηκε στις 2 Απριλίου 2016. 
  2. «Principles relating to processing of personal data». gdpr.eu. 
  3. «Article 5 GDPR». gdprhub.eu. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  4. «Lawfulness of processing». gdpr.eu. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  5. «Social Media Data Collection and Privacy: Key Action Items». hoggo.io. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  6. «GDPR Privacy Standards (Internal)». double-retail.gitbook.io. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  7. «Article 6 GDPR. Lawfulness of processing». gdpr-text.com. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  8. «GDPR: EU General Data Protection Regulation». www.termsfeed.com. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  9. «The GDPR: What is sensitive personal data?». www.itgovernance.eu. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  10. «Principles of the processing and protection of personal data». americanacademy.com. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  11. «Document 32016R0679». eur-lex.europa.eu. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  12. «REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL». eur-lex.europa.eu. Ανακτήθηκε στις 2 Δεκεμβρίου 2023. 
  13. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. (2020). «Συστάσεις 01/2020 σχετικά με τα μέτρα που συμπληρώνουν τα εργαλεία διαβίβασης για τη διασφάλιση της συμμόρφωσης με το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ». Ανακτήθηκε στις 12 Δεκεμβρίου 2023.
  14. Ρίζου, Σ. (2022). «Διασυνοριακή ροή οικονομικών δεδομένων: νομική προσέγγιση». Ανακτήθηκε στις 12 Δεκεμβρίου 2023.

Εξωτερικοί σύνδεσμοι

[Επεξεργασία | επεξεργασία κώδικα]