Πλοήγηση
GDPR > Άρθρο 6. Νομιμότητα της επεξεργασίας
Μεταφόρτωση

Άρθρο 6 GDPR. Νομιμότητα της επεξεργασίας

Article 6 GDPR. Lawfulness of processing

1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

Οδηγίες & Νομολογία Σχετικά Άρθρα

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

Οδηγίες & Νομολογία Αιτιολογικές σκέψεις

(44) Η επεξεργασία θα πρέπει επίσης να είναι σύννομη εφόσον είναι αναγκαία στο πλαίσιο σύμβασης ή πρόθεσης σύναψης σύμβασης.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

Σχετικά Άρθρα

γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

Αιτιολογικές σκέψεις

(45) Όταν η επεξεργασία διενεργείται σύμφωνα με νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή όταν είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να έχει βάση στο δίκαιο της Ένωσης ή κράτους μέλους. Ο παρών κανονισμός δεν απαιτεί συγκεκριμένο νόμο για κάθε μεμονωμένη επεξεργασία. Μπορεί να αρκεί ένας μόνο νόμος ως βάση για περισσότερες από μία πράξεις επεξεργασίας με βάση νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Επίσης, ο καθορισμός του σκοπού της επεξεργασίας θα πρέπει να εναπόκειται στο δίκαιο της Ένωσης ή κράτους μέλους. Επιπλέον, το εν λόγω δίκαιο θα μπορούσε να προσδιορίζει τις γενικές προϋποθέσεις του παρόντος κανονισμού που διέπουν τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και να θεσπίζει προδιαγραφές για τον καθορισμό του υπευθύνου επεξεργασίας, του είδους των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία, των εκάστοτε υποκειμένων των δεδομένων, των οντοτήτων στις οποίες μπορούν να κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, των περιορισμών σκοπού, της περιόδου αποθήκευσης και άλλων μέτρων για την εξασφάλιση σύννομης και δίκαιης επεξεργασίας. Επίσης, θα πρέπει να εναπόκειται στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών ο καθορισμός του κατά πόσον ο υπεύθυνος επεξεργασίας που εκπληρώνει καθήκον που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο που διέπεται από το δημόσιο δίκαιο ή, σε περίπτωση που αυτό δικαιολογείται από λόγους δημόσιου συμφέροντος, μεταξύ άλλων για λόγους υγείας, όπως η δημόσια υγεία και η κοινωνική προστασία και η διαχείριση των υπηρεσιών υγειονομικής περίθαλψης, από το ιδιωτικό δίκαιο, όπως μία επαγγελματική οργάνωση.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

Αιτιολογικές σκέψεις

(46) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ' αρχήν να διενεργείται μόνο εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

Οδηγίες & Νομολογία Αιτιολογικές σκέψεις

(115) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες να απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να μεταβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Οδηγίες & Νομολογία Αιτιολογικές σκέψεις

(47) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, η εν λόγω νομική βάση δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους. H επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία για τους σκοπούς πρόληψης της απάτης, συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. H επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι διενεργείται χάριν έννομου συμφέροντος.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Οι υπεύθυνοι επεξεργασίας που είναι μέλη ομίλου επιχειρήσεων ή ιδρυμάτων που συνδέονται με κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πελατών ή εργαζομένων. Οι γενικές αρχές της διαβίβασης δεδομένων προσωπικού χαρακτήρα, εντός ομίλου επιχειρήσεων, προς επιχείρηση εγκατεστημένη σε τρίτη χώρα δεν θίγονται.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία και ανάλογη για τους σκοπούς της διασφάλισης της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να ανθίσταται, σε ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες θέτουν σε κίνδυνο τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, ή που προσφέρονται από δημόσιες αρχές, από ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), από ομάδες παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών (CSIRT), από παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και από παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας δεδομένων. Αυτό θα μπορούσε να περιλαμβάνει, λόγου χάρη, την αποτροπή ανεξουσιοδότητης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων κωδικών και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.

Αιτιολογικές σκέψεις

(40) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συγκατάθεση του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον παρόντα κανονισμό, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

Όταν το υποκείμενο των δεδομένων παρέσχε τη συναίνεσή του ή η επεξεργασία βασίζεται στο δίκαιο της Ένωσης ή κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση, ειδικότερα, σημαντικών σκοπών στο πλαίσιο γενικού δημόσιου συμφέροντος, θα πρέπει να επιτρέπεται στον υπεύθυνο επεξεργασία να προβαίνει στην περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ανεξάρτητα από τη συμβατότητα των σκοπών. Σε κάθε περίπτωση, θα πρέπει να διασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους άλλους αυτούς σκοπούς και σχετικά με τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος προβολής αντιρρήσεων. Η επισήμανση πιθανών εγκληματικών πράξεων ή απειλών κατά της δημόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και η διαβίβαση των σχετικών δεδομένων προσωπικού χαρακτήρα σε αρμόδια αρχή σε μία μεμονωμένη υπόθεση ή σε περισσότερες από μία υποθέσεις που αφορούν την ίδια αξιόποινη πράξη ή τις ίδιες απειλές για τη δημόσια ασφάλεια θα πρέπει να θεωρείται ως εμπίπτουσα στο πλαίσιο του θεμιτού συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας. Ωστόσο, η διαβίβαση αυτή στο πλαίσιο του θεμιτού συμφέροντος του υπευθύνου επεξεργασίας ή η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν είναι συμβατή με νομική, επαγγελματική ή άλλη δεσμευτική υποχρέωση τήρησης απορρήτου.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.

3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:

3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:

α) το δίκαιο της Ένωσης, ή

(a) Union law; or

β) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

(b) Member State law to which the controller is subject.

Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.

Αιτιολογικές σκέψεις

(41) Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο») και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:

4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,

(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,

(b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

γ) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,

(c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;

δ) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,

(d) the possible consequences of the intended further processing for data subjects;

ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.

(e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6(4)(e) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


για πρόσβαση στο πλήρες κείμενο

ISO 27701 Αιτιολογικές σκέψεις Οδηγίες & Νομολογία Σχετικά Άρθρα Αφήστε ένα σχόλιο
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:


για πρόσβαση στο πλήρες κείμενο

Αιτιολογικές σκέψεις

(40) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συγκατάθεση του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον παρόντα κανονισμό, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(41) Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο») και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

(42) Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιο βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου [10], θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Οδηγία 93/13/EOK του Συμβουλίου, της 5ης Απριλίου 1993, σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές (ΕΕ L 95 της 21.4.1993, σ. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Η συγκατάθεση θεωρείται ότι δεν έχει παρασχεθεί ελεύθερα, εάν δεν επιτρέπεται να δοθεί χωριστή συγκατάθεση σε διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ακόμη και αν ενδείκνυται στη συγκεκριμένη περίπτωση, ή όταν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, προϋποθέτει τη συγκατάθεση, ακόμη και αν η συγκατάθεση αυτή δεν είναι αναγκαία για την εν λόγω εκτέλεση.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(44) Η επεξεργασία θα πρέπει επίσης να είναι σύννομη εφόσον είναι αναγκαία στο πλαίσιο σύμβασης ή πρόθεσης σύναψης σύμβασης.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

(45) Όταν η επεξεργασία διενεργείται σύμφωνα με νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή όταν είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να έχει βάση στο δίκαιο της Ένωσης ή κράτους μέλους. Ο παρών κανονισμός δεν απαιτεί συγκεκριμένο νόμο για κάθε μεμονωμένη επεξεργασία. Μπορεί να αρκεί ένας μόνο νόμος ως βάση για περισσότερες από μία πράξεις επεξεργασίας με βάση νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Επίσης, ο καθορισμός του σκοπού της επεξεργασίας θα πρέπει να εναπόκειται στο δίκαιο της Ένωσης ή κράτους μέλους. Επιπλέον, το εν λόγω δίκαιο θα μπορούσε να προσδιορίζει τις γενικές προϋποθέσεις του παρόντος κανονισμού που διέπουν τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και να θεσπίζει προδιαγραφές για τον καθορισμό του υπευθύνου επεξεργασίας, του είδους των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία, των εκάστοτε υποκειμένων των δεδομένων, των οντοτήτων στις οποίες μπορούν να κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, των περιορισμών σκοπού, της περιόδου αποθήκευσης και άλλων μέτρων για την εξασφάλιση σύννομης και δίκαιης επεξεργασίας. Επίσης, θα πρέπει να εναπόκειται στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών ο καθορισμός του κατά πόσον ο υπεύθυνος επεξεργασίας που εκπληρώνει καθήκον που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο που διέπεται από το δημόσιο δίκαιο ή, σε περίπτωση που αυτό δικαιολογείται από λόγους δημόσιου συμφέροντος, μεταξύ άλλων για λόγους υγείας, όπως η δημόσια υγεία και η κοινωνική προστασία και η διαχείριση των υπηρεσιών υγειονομικής περίθαλψης, από το ιδιωτικό δίκαιο, όπως μία επαγγελματική οργάνωση.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(46) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει επίσης να θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ' αρχήν να διενεργείται μόνο εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(47) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του. Δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, η εν λόγω νομική βάση δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους. H επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία για τους σκοπούς πρόληψης της απάτης, συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. H επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι διενεργείται χάριν έννομου συμφέροντος.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Οι υπεύθυνοι επεξεργασίας που είναι μέλη ομίλου επιχειρήσεων ή ιδρυμάτων που συνδέονται με κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πελατών ή εργαζομένων. Οι γενικές αρχές της διαβίβασης δεδομένων προσωπικού χαρακτήρα, εντός ομίλου επιχειρήσεων, προς επιχείρηση εγκατεστημένη σε τρίτη χώρα δεν θίγονται.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία και ανάλογη για τους σκοπούς της διασφάλισης της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να ανθίσταται, σε ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες θέτουν σε κίνδυνο τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, ή που προσφέρονται από δημόσιες αρχές, από ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), από ομάδες παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών (CSIRT), από παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και από παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας δεδομένων. Αυτό θα μπορούσε να περιλαμβάνει, λόγου χάρη, την αποτροπή ανεξουσιοδότητης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων κωδικών και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

Όταν το υποκείμενο των δεδομένων παρέσχε τη συναίνεσή του ή η επεξεργασία βασίζεται στο δίκαιο της Ένωσης ή κράτους μέλους που συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση, ειδικότερα, σημαντικών σκοπών στο πλαίσιο γενικού δημόσιου συμφέροντος, θα πρέπει να επιτρέπεται στον υπεύθυνο επεξεργασία να προβαίνει στην περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ανεξάρτητα από τη συμβατότητα των σκοπών. Σε κάθε περίπτωση, θα πρέπει να διασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους άλλους αυτούς σκοπούς και σχετικά με τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος προβολής αντιρρήσεων. Η επισήμανση πιθανών εγκληματικών πράξεων ή απειλών κατά της δημόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και η διαβίβαση των σχετικών δεδομένων προσωπικού χαρακτήρα σε αρμόδια αρχή σε μία μεμονωμένη υπόθεση ή σε περισσότερες από μία υποθέσεις που αφορούν την ίδια αξιόποινη πράξη ή τις ίδιες απειλές για τη δημόσια ασφάλεια θα πρέπει να θεωρείται ως εμπίπτουσα στο πλαίσιο του θεμιτού συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας. Ωστόσο, η διαβίβαση αυτή στο πλαίσιο του θεμιτού συμφέροντος του υπευθύνου επεξεργασίας ή η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν είναι συμβατή με νομική, επαγγελματική ή άλλη δεσμευτική υποχρέωση τήρησης απορρήτου.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

(155) Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

(155) Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

Οδηγίες & Νομολογία Σχετικά Άρθρα Αφήστε ένα σχόλιο
[js-disqus]