Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Ο GDPR προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία . Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή. Σε όλες τις περιπτώσεις τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας που προβλέπει ο GDPR.

Χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα είναι:

• όνομα και επώνυμο
• διεύθυνση κατοικίας
• ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com
• αναγνωριστικός αριθμός κάρτας
• δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)
• διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
• αναγνωριστικό cookie
• το αναγνωριστικό διαφήμισης του τηλεφώνου σας
• δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό.

Τα δεδομένα προσωπικού χαρακτήρα που θεωρούνται «ευαίσθητα» και υπόκεινται σε συγκεκριμένες προϋποθέσεις επεξεργασίας είναι:

• δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις
• συμμετοχή σε συνδικαλιστική οργάνωση
• γενετικά δεδομένα, βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου
• δεδομένα σχετικά με την υγεία
• δεδομένα σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός ατόμου.

Ο γενικός κανόνας είναι ότι η επεξεργασία δεδομένων των ανωτέρω κατηγοριών απαγορεύεται. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις βάσει των οποίων μια εταιρεία ή ένας οργανισμός μπορεί ενδεχομένως να επεξεργάζεται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όταν για παράδειγμα:

• έχετε δώσει ρητή συγκατάθεση
• υπάρχει νόμος ο οποίος διέπει έναν συγκεκριμένο τύπο επεξεργασίας δεδομένων για συγκεκριμένο σκοπό που αφορά το δημόσιο συμφέρον ή τη δημόσια υγεία
• νόμος που συμπεριλαμβάνει επαρκείς εγγυήσεις προβλέπει την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε τομείς όπως η δημόσια υγεία, η απασχόληση και η κοινωνική προστασία.

Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Τι σημαίνει το δικαίωμα της «φορητότητας δεδομένων»;

Με την εφαρμογή του GDPR δεν επιτρέπεται τα δεδομένα ενός προσώπου να «ασφαλίζονται» σε μια εταιρεία ή σε ένα πάροχο υπηρεσιών και ο χρήστης θα μπορεί να λαμβάνει τα προσωπικά του δεδομένα και να τα μεταφέρει εκεί που επιθυμεί.

Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;

Ο GDPR εφαρμόζεται:

α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων ή

β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ.

Με την εφαρμογή του GDPR οι χρήστες έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες όχι μόνο για το ποιος επεξεργάζεται τα προσωπικά δεδομένα τους αλλά και το γιατί. Μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποια ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς αλλά και να απαιτούν τη διαγραφή τους από τις βάσεις δεδομένων εταιρειών. Αυτό εκτός από τις εταιρείες τεχνολογίας αφορά και τις τράπεζες, καταστήματα λιανεμπορίου και όποια εταιρεία ή οργανισμό διατηρεί προσωπικά δεδομένα, συμπεριλαμβανομένου του εργοδότη.

Όπως ορίζει ο κανονισμός, το δικαίωμα πρόσβασης θα πρέπει να μπορεί να ασκηθεί με ευκολία και να παρέχεται σε «εύλογο χρονικό διάστημα». Η εταιρεία ή ο οργανισμός θα πρέπει να παρέχει ένα αντίγραφο των δεδομένων σας προσωπικού χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα είναι δυνατό να υπόκεινται σε λογικές χρεώσεις. Όταν το αίτημα υποβάλλεται με ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού μηνύματος) οι πληροφορίες θα πρέπει να παρέχονται σε ηλεκτρονική μορφή, εκτός και αν διατυπώσετε διαφορετικό αίτημα.

Αυτό το δικαίωμα δεν είναι απόλυτο: η χρήση του δικαιώματος πρόσβασης στα προσωπικά σας δεδομένα δεν θα πρέπει να επηρεάζει τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή δικαιώματα διανοητικής ιδιοκτησίας.

Η ρυθμιστική αρχή στην Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η οποία λειτουργεί ως μια συνταγματικά κατοχυρωμένη ανεξάρτητη Αρχή. Η διενέργεια διοικητικών ελέγχων καθώς και η εξέταση σχετικών καταγγελιών, προσφυγών και ερωτημάτων σχετικά με την εφαρμογή του νόμου και την προστασία των δικαιωμάτων των αιτούντων όταν αυτά θίγονται από την επεξεργασία δεδομένων, περιλαμβάνονται μεταξύ των ελεγκτικών αρμοδιοτήτων της Αρχής.