«Νομιμότητα, αντικειμενικότητα, διαφάνεια»

Εκτός από την αιτιολόγηση της επεξεργασίας σε μία από τις νομικές βάσεις που αναφέρονται στο άρθρο 6 του ΓΚΠΔ, η επεξεργασία πρέπει να πραγματοποιείται με διαφάνεια και θεμιτό τρόπο. Η αρχή της διαφάνειας περιλαμβάνει την υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα των δεδομένων ολοκληρωμένες και κατανοητές πληροφορίες σχετικά με την επεξεργασία χρησιμοποιώντας σαφή και απλή διατύπωση. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. (βλ. επίσης αιτιολογική σκέψη 39 ΓΚΠΔ).

«Περιορισμός του σκοπού»

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Οι σκοποί της επεξεργασίας πρέπει να προσδιορίζονται ήδη κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα και να γνωστοποιούνται στα υποκείμενα των δεδομένων. Τα δεδομένα που συλλέγονται επιτρέπεται στη συνέχεια να υποβληθούν σε επεξεργασία μόνο για τους σκοπούς για τους οποίους συλλέχθηκαν αρχικά. Εάν έχετε συλλέξει δεδομένα από συμμετέχοντες/ουσες για την υλοποίηση ενός προγράμματος κατάρτισης, δεν μπορείτε απλώς να χρησιμοποιήσετε τα δεδομένα αυτά για άλλους σκοπούς, για παράδειγμα για να στείλετε διαφημίσεις στους/στις συμμετέχοντες/ουσες.

«Ελαχιστοποίηση δεδομένων»

Θα πρέπει να συλλέγεται μόνο η ποσότητα των δεδομένων προσωπικού χαρακτήρα που απαιτείται για τον εκάστοτε σκοπό. Να εξετάζετε πάντα ποια δεδομένα χρειάζεστε πραγματικά για την εφαρμογή. Για παράδειγμα, για την αποστολή ενός ενημερωτικού δελτίου απαιτείται μόνο μια διεύθυνση ηλεκτρονικού ταχυδρομείου. Στην περίπτωση αυτή θα ήταν απαράδεκτη η υποχρεωτική παροχή ονόματος, διεύθυνσης ή ημερομηνίας γέννησης. 

«Ακρίβεια»

Ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι τα δεδομένα που συλλέγει είναι ακριβή. Αυτό σημαίνει ότι τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να διορθώνουν τα δεδομένα τους. Τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή πρέπει να διαγράφονται. 

«Περιορισμός της περιόδου αποθήκευσης»

Το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζεται στο ελάχιστο δυνατό που απαιτείται για τον σκοπό της επεξεργασίας. Εάν παύσει ο σκοπός συλλογής, πρέπει να διαγραφούν, εκτός εάν υπάρχουν άλλες νομικές διατάξεις που δικαιολογούν ή απαιτούν μεγαλύτερη διάρκεια αποθήκευσης (π.χ. εθνική νομοθεσία).

Σύμφωνα με τον εν λόγω κανονισμό, τα προσωπικά δεδομένα των συμμετεχόντων/ουσών θα πρέπει να διαγράφονται μετά το τέλος ενός προγράμματος κατάρτισης. Ωστόσο, μπορεί να υπάρχουν λόγοι που επιτρέπουν στον φορέα να διατηρεί τα δεδομένα στο σύστημα:

• Διευκολύνει τους/τις συμμετέχοντες/ουσες να ζητήσουν ξανά πιστοποιητικό κατάρτισης.
• Οι συμμετέχοντες/ουσες έχουν προσωπική πρόσβαση σε μια πλατφόρμα ηλεκτρονικής μάθησης μέσω της οποίας μπορούν να εγγραφούν και σε άλλα μαθήματα.
• Ο φορέας χρειάζεται τα δεδομένα των συμμετεχόντων/ουσών για την εκπλήρωση των υποχρεώσεων λογοδοσίας προς τις δημόσιες αρχές (π.χ. για τα δημόσια χρηματοδοτούμενα μαθήματα κατάρτισης).

Ο φορέας υποχρεούται να ορίζει συγκεκριμένες περιόδους, μετά την πάροδο των οποίων διαγράφει τα αντίστοιχα δεδομένα προσωπικού χαρακτήρα. Η κυβέρνηση μπορεί να ορίζει διαφορετικές περιόδους διατήρησης, πράγμα που σημαίνει ότι ορισμένα τμήματα των αρχείων δεδομένων πρέπει να διαγράφονται νωρίτερα από άλλα. Σε αυτή την περίπτωση, ο φορέας είναι υπεύθυνος για την εξεύρεση των σχετικών κανονισμών και την εφαρμογή τους.   

«Ακεραιότητα και εμπιστευτικότητα»

Προστασία δεδομένων σημαίνει και ασφάλεια δεδομένων. Όποιος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα είναι παράλληλα υπεύθυνος για την ασφάλεια των δεδομένων αυτών. Αυτό σημαίνει κυρίως ασφάλεια έναντι μη εξουσιοδοτημένης πρόσβασης ή διαβίβασης σε τρίτους. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη για την ασφάλεια της επεξεργασίας.

«Λογοδοσία»

Σε περίπτωση αμφιβολίας, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει συμμόρφωσή του με τον ΓΚΠΔ. Πρέπει να είναι σε θέση να αποδείξει ότι έχουν εφαρμοστεί κατάλληλα και αποτελεσματικά μέτρα για τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα.