Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος προστασίας προσωπικών δεδομένων.
Διατάξεις που ξεχωρίζουν:
Συγκατάθεση παιδιού (για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας)
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας απευθείας σε αυτό που θεμελιώνεται σε συγκατάθεση είναι σύννομη, εάν το παιδί που παρέχει τη συγκατάθεση για την επεξεργασία αυτή έχει συμπληρώσει το 15ο έτος. Εάν το παιδί είναι ηλικίας κάτω των 15 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
Ορισμός Υπευθύνου Προστασίας Δεδομένων
- Εκτός από τις περιπτώσεις που αναφέρονται στο άρθρο 37 παρ. 1 του Κανονισμού υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
- Τα δικαστήρια και οι εισαγγελικές αρχές δεν έχουν υποχρέωση ορισμού υπευθύνου προστασίας δεδομένων.
- Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως. Κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση και τα καθήκοντα που έχει ο υπεύθυνος προστασίας δεδομένων σύμφωνα με τα οριζόμενα στα άρθρα 28 και 39 του Κανονισμού και ο τρόπος με τον οποίο θα τα ασκεί, λαμβανομένων υπόψη της φύσης και των λειτουργιών κάθε υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή την παύση του υπευθύνου προστασίας προσωπικών δεδομένων. Ο ορισμός μπορεί να ανανεώνεται.
- Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία κοινοποιούν στην Αρχή το όνομα και την ιδιότητα του υπευθύνου προστασίας δεδομένων.
- Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας και οφείλει να μην ανακοινώνει ή αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών.
Συγκατάθεση του υποκειμένου
- Όταν η επεξεργασία βασίζεται, σύμφωνα με ρητή διάταξη νόμου, στη συγκατάθεση του υποκειμένου των δεδομένων ή αφορά μέτρα που έχει ζητήσει το ίδιο το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα ή αιτήθηκε μέτρα που συνεπάγονται τέτοια επεξεργασία.
- Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά με τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα που υπόκειται σε επεξεργασία και ιδίως για την περίπτωση που η επεξεργασία αφορά ειδικές κατηγορίες δεδομένων, τον υπεύθυνο επεξεργασίας, την προβλεπόμενη διάρκεια αυτής και τους συνήθεις αποδέκτες των δεδομένων. Το υποκείμενο των δεδομένων ενημερώνεται επίσης για τις κατά νόμο συνέπειες της συγκατάθεσης ή της μη παροχής της καθώς και για το δικαίωμα ανάκλησης αυτής.
- Η συγκατάθεση είναι σαφής, συγκεκριμένη, έγγραφη και εν πλήρει επιγνώσει, δήλωση, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η συγκατάθεση θεωρείται έγκυρη μόνο όταν βασίζεται στην ελεύθερη απόφαση του υποκειμένου, ενώ αξιολογούνται οι συνθήκες υπό τις οποίες δόθηκε.
- Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της
- Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης, η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
- Εάν πρόκειται για επεξεργασία ειδικών κατηγοριών δεδομένων, η συγκατάθεση πρέπει διακριτά και ευκρινώς να αναφέρεται σε αυτά τα δεδομένα.