Αφιέρωμα στον Γενικό Κανονισμό Προστασίας των Προσωπικών Δεδομένων (GDPR)

GDPR

Με αφορμή την Παγκόσμια Ημέρα προστασίας των προσωπικών δεδομένων, ακολουθεί ένα σύντομο αφιέρωμα με τα βασικά στοιχεία του GDPR.

Τι είναι ο GDPR;

GDPR ή αλλιώς General Data Protection Regulation (Γενικός Κανονισμός Προστασίας Δεδομένων) είναι ένα σύνολο κανόνων που έχουν ως στόχο την  προστασία των προσωπικών δεδομένων των πολιτών (Κανονισμός 2016/679). Συνοπτικά, τους δίνει το δικαίωμα να ελέγχουν  τις πληροφορίες τους, αλλά ταυτόχρονα δεσμεύει αυστηρά τις επιχειρήσεις και τους οργανισμούς  να πραγματοποιούν με διαφάνεια, ασφάλεια και υπευθυνότητα, τη συλλογή, επεξεργασία και αποθήκευση αυτών των δεδομένων.

Τέθηκε επίσημα σε ισχύ σα νομοθέτημα στις 25 Μαΐου  2018 και αφορά κάθε επιχείρηση και οργανισμό που διαχειρίζεται δεδομένα Ευρωπαίων πολιτών, με την επιβολή σημαντικών προστίμων να αποτελεί κύρια συνέπεια μη συμμόρφωσής τους σε αυτό.

Η συμμόρφωση που σχεδιάστηκε, ανταποκρίνεται στον σημερινό σύγχρονο ψηφιακό κόσμο και διατυπώνει κανόνες και δεσμεύσεις που συνάδουν με την ταχύτητα της διαδικτυακής εποχής.

Γιατί δημιουργήθηκε;

Η προστασία των προσωπικών δεδομένων δεν αποτελεί σύγχρονη ανάγκη, αλλά εξελίσσεται εδώ και δεκαετίες ως θεμελιώδες ανθρώπινο δικαίωμα.

Ήδη από τα τέλη του 20ού αιώνα, τα κράτη της Ευρώπης αναγνώρισαν την ανάγκη προστασίας της ιδιωτικής ζωής, με τις πρώτες εθνικές νομοθεσίες και την Οδηγία 95/46/ΕΚ να αποτελούν το αρχικό ρυθμιστικό πλαίσιο.

Ωστόσο, οι κανόνες αυτοί σύντομα κρίθηκαν ανεπαρκείς, καθώς η ραγδαία τεχνολογική και ψηφιακή ανάπτυξη άλλαξε ριζικά τον τρόπο συλλογής, αποθήκευσης και επεξεργασίας των προσωπικών δεδομένων. Η εκτεταμένη χρήση του διαδικτύου, των μέσων κοινωνικής δικτύωσης, των ψηφιακών εφαρμογών και των σύγχρονων πληροφοριακών συστημάτων ανέδειξε την ανάγκη για ένα ενιαίο, αυστηρό και σύγχρονο νομικό πλαίσιο, ικανό να ανταποκριθεί στις νέες προκλήσεις και να διασφαλίσει ουσιαστικά τα δικαιώματα των πολιτών.

Συνοπτικά έχει δημιουργηθεί για να:

  • Κατοχυρώσει την προστασία των προσωπικών δεδομένων ως θεμελιώδες δικαίωμα των πολιτών της Ευρωπαϊκής Ένωσης.
  • Αντικαταστήσει το παρωχημένο νομοθετικό πλαίσιο, προσαρμόζοντάς το στις σύγχρονες ψηφιακές συνθήκες.
  • Εναρμονίσει τη νομοθεσία όλων των κρατών-μελών, εξασφαλίζοντας ενιαίο επίπεδο προστασίας.
  • Ενισχύσει τον έλεγχο των πολιτών στα προσωπικά τους δεδομένα, μέσω συγκεκριμένων και κατοχυρωμένων δικαιωμάτων.
  • Ανταποκριθεί στις τεχνολογικές εξελίξεις, όπως τα κοινωνικά δίκτυα, το cloud computing και τα big data.
  • Επιβάλει διαφάνεια και λογοδοσία στους οργανισμούς, σχετικά με τη διαχείριση των δεδομένων.
  • Θεσπίσει αυστηρές κυρώσεις, ώστε η προστασία των δεδομένων να εφαρμόζεται ουσιαστικά και όχι τυπικά

Που απευθύνεται;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) απευθύνεται σε όλους όσοι επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων, ανεξαρτήτως μεγέθους, τομέα δραστηριότητας ή νομικής μορφής. Στόχος του είναι να διασφαλίσει ότι η επεξεργασία προσωπικών δεδομένων πραγματοποιείται με τρόπο νόμιμο, διαφανή και ασφαλή.

Ο GDPR εφαρμόζεται:

  • Σε δημόσιους και ιδιωτικούς οργανισμούς, όπως κρατικές υπηρεσίες, νοσοκομεία, εταιρείες και εκπαιδευτικά ιδρύματα.
  • Σε φυσικά πρόσωπα που ασκούν επαγγελματική δραστηριότητα, εφόσον επεξεργάζονται προσωπικά δεδομένα στο πλαίσιο της εργασίας τους.
  • Σε επιχειρήσεις εντός της Ευρωπαϊκής Ένωσης, ανεξαρτήτως του τόπου αποθήκευσης των δεδομένων.
  • Σε οργανισμούς εκτός Ευρωπαϊκής Ένωσης, όταν προσφέρουν αγαθά ή υπηρεσίες ή παρακολουθούν τη συμπεριφορά πολιτών της ΕΕ.
  • Σε κάθε επεξεργασία προσωπικών δεδομένων φυσικών προσώπων, είτε αυτή γίνεται ψηφιακά είτε σε έντυπη μορφή.

Τι είναι τα Προσωπικά δεδομένα;

Κάθε πληροφορία ταυτοποιημένη ή ταυτοποιήσιμη που αφορά το φυσικό πρόσωπο όπως:

Α. Απλά προσωπικά δεδομένα

  • Στοιχεία Ταυτότητας (Ονοματεπώνυμο, όνομα μητρός, όνομα πατρός, ημερομηνία γέννησης, αριθμός ταυτότητας)
  • Διοικητικά & Οικονομικά Στοιχεία (ΑΜΚΑ, ΑΦΜ, IBAN, στοιχεία μισθοδοσίας)
  • Στοιχεία Επικοινωνίας (Διεύθυνση κατοικίας, τηλέφωνο, email)
  • Ψηφιακά Δεδομένα (IP address, cookies, username σε πλατφόρμες)
  • Οπτικό & Ηχητικό Υλικό (Φωτογραφία, βίντεο, ηχογράφηση φωνής)
  • Επαγγελματικά Στοιχεία (Επάγγελμα, Θέση εργασίας, Βιογραφικό σημείωμα, ιστορικό απασχόλησης)

Β. Ειδικές Κατηγορίες

  • Δεδομένα Υγείας (Ιατρικός φάκελος, διαγνώσεις, εξετάσεις, φαρμακευτική αγωγή, νοσηλείες)
  • Γενετικά Δεδομένα (DNA, κληρονομικές πληροφορίες)
  • Βιομετρικά δεδομένα (δακτυλικά αποτυπώματα, αναγνώριση προσώπου, ίριδα ματιού)
  • Φυλετική καταγωγή
  • Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  • Πολιτικές απόψεις
  • Δεδομένα σχετικά με την σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό

Ποιες είναι οι βασικές αρχές του GDPR;

  1. Νομιμότητα, διαφάνεια και δικαιοσύνη
    Τα δεδομένα συλλέγονται νόμιμα, δίκαια και ο πολίτης ξέρει γιατί και πώς χρησιμοποιούνται.
  2. Περιορισμός σκοπού
    Χρησιμοποιούνται μόνο για το συγκεκριμένο σκοπό που δηλώθηκε εξαρχής.
  3. Ελαχιστοποίηση δεδομένων
    Συλλογή μόνο των απαραίτητων δεδομένων και όχι περισσότερων.
  4. Ακρίβεια
    Τα δεδομένα πρέπει να είναι σωστά και ενημερωμένα.
  5. Περιορισμός χρόνου αποθήκευσης
    Κρατιούνται μόνο για το χρονικό διάστημα που χρειάζονται, και έπειτα διαγράφονται.
  6. Ακεραιότητα και εμπιστευτικότητα
    Προστασία από απώλεια, διαρροή ή μη εξουσιοδοτημένη πρόσβαση.
  7. Λογοδοσία
    Ο οργανισμός πρέπει να αποδεικνύει ότι τηρεί τον GDPR και συμμορφώνεται με όλα τα παραπάνω. 

Ποια είναι τα δικαιώματα των πoλιτών και οι υποχρεώσεις των επιχειρήσεων;

Δικαιώματα Πολιτών

Υποχρεώσεις Επιχειρήσεων

Δικαίωμα πρόσβασης: 
Να γνωρίζουν ποια δεδομένα τους συλλέγονται και πώς επεξεργάζονται.

Λήψη σαφούς συγκατάθεσης.

Δικαίωμα ενημέρωσης: 
Να ενημερώνονται για παραβιάσεις δεδομένων. 

Διαφάνεια στην επεξεργασία δεδομένων.

Δικαίωμα στη φορητότητα: 
Εύκολη μεταφορά των δεδομένων τους μεταξύ των παρόχων.

Ασφαλής αποθήκευση και προστασία από παραβιάσεις.

Δικαίωμα περιορισμού/τερματισμού επεξεργασίας:
Δυνατότητα άμεσου τερματισμού ή προσωρινού περιορισμού της επεξεργασίας των δεδομένων του, αν είναι ανακριβή.

Ενημέρωση των αρμόδιων αρχών και των ατόμων σε περίπτωση παραβίασης. 

Δικαίωμα στη λήθη: 
Δυνατότητα διαγραφής των δεδομένων τους.

Ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO), όπου απαιτείται.

Δικαίωμα εναντίωσης:
Δυνατότητα εναντίωσης στην επεξεργασία των προσωπικών του δεδομένων.

 

Δικαίωμα διόρθωσης: 
Δυνατότητα να αιτηθεί διόρθωση ανακριβειών ή συμπλήρωση ελλιπών προσωπικών δεδομένων που το αφορούν.

 


Ποια είναι η σχέση ISO & GDPR;

Τα διεθνή πρότυπα ISO λειτουργούν υποστηρικτικά προς το GDPR,  παρέχοντας δομημένα συστήματα διαχείρισης και ασφάλειας προσωπικών δεδομένων.

Μπορεί η πιστοποίηση ISO να μην σημαίνει αυτόματη συμμόρφωση με το GDPR, αλλά αποτελεί αποδεικτικό μέσο λογοδοσίας και υποστηρίζει την ορθή επεξεργασία.

Αντικείμενο GDPR

Σχετικό ISO
  • Προστασία Προσωπικών Δεδομένων

ISO/IEC 27001
  • Μέτρα Ασφάλειας & Έλεγχοι

ISO/IEC 27002
  • Διαχείριση Προσωπικών Δεδομένων (PΙΜS)

ISO/IEC 27701
  • Προστασία Δεδομένων στο Cloud

ISO/IEC 27018
  • Ασφάλεια Πληροφοριών σε Περιβάλλον Cloud

ISO/IEC 27017



Πηγές

  1. Europa.eu (2025) Προστασία δεδομένων στο πλαίσιο του ΓΚΠΔ.
    GDPR | Προσωπικά δεδομένα & ΓΚΠΔ - Your Europe
  2. Τσόλιας, Γ. (2017). GDPR-Υποχρεώσεις συμμόρφωσης στον Γενικό Κανονισμό Προσωπικών Δεδομένων: IT Security, 49/2017, σελ.6-10
  3. ISO (2016) Terms and conditions - Licence Agreement
    ISO - Terms and conditions - Licence Agreement

 

Ιαν. 2026

 

 

 

Τύπος άρθρου

Νομοθεσία & Πρότυπα
2026-01-22