Η έκδοση του Γενικού Κανονισμού για την Προστασία Δεδομένων το 2016 εκσυγχρόνισε τη νομοθεσία της ΕΕ για την προστασία δεδομένων, καθιστώντας την κατάλληλη για την προστασία των θεμελιωδών δικαιωμάτων στο πλαίσιο
των οικονομικών και κοινωνικών προκλήσεων της ψηφιακής εποχής. Ο ΓΚΠΔ διαφυλάσσει και αναπτύσσει τις βασικές αρχές και τα δικαιώματα του υποκειμένου των δεδομένων που προβλέπονται στην Οδηγία για την Προστασία Δεδομένων.
Επιπλέον, θέσπισε νέες υποχρεώσεις για τους οργανισμούς, οι οποίοι οφείλουν να εφαρμόζουν προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού· να διορίζουν υπεύθυνο προστασίας δεδομένων σε ορισμένες περιπτώσεις· να σέβονται το νέο δικαίωμα φορητότητας των δεδομένων· και να σέβονται την αρχή της λογοδοσίας. Βάσει του δικαίου της ΕΕ, οι κανονισμοί ισχύουν άμεσα· δεν απαιτούνται μέτρα μεταφοράς τους στην εθνική έννομη τάξη. Επομένως, ο Γενικός Κανονισμός για την Προστασία Δεδομένων προβλέπει ενιαίο σύνολο κανόνων περί προστασίας δεδομένων σε ολόκληρη την ΕΕ. Με τον τρόπο αυτόν δημιουργούνται συνεκτικοί κανόνες περί προστασίας δεδομένων σε ολόκληρη την ΕΕ, θεσπίζοντας ένα περιβάλλον ασφάλειας δικαίου από το οποίο μπορούν να επωφεληθούν οι οικονομικοί φορείς και τα φυσικά πρόσωπα ως «υποκείμενα των δεδομένων».
Ο Κανονισμός 2016/679 της Ευρωπαϊκής Ένωσης, ευρύτερα γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ (και στα αγγλικά General Data Protection Regulation – GDPR), ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018.

Τα προσωπικά δεδομένα περιλαμβάνουν οποιεσδήποτε πληροφορίες σχετίζονται με ένα ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο (ένα άτομο ή όπως θα το αναφέρουμε ένα «υποκείμενο δεδομένων»). Ένα υποκείμενο δεδομένων μπορεί να ταυτοποιηθεί άμεσα ή έμμεσα από μια ποικιλία πληροφοριών. Παραδείγματα πληροφοριών που μπορούν να θεωρηθούν προσωπικά δεδομένα περιλαμβάνουν όνομα, αριθμό ταυτότητας, φωτογραφία, διεύθυνση ηλεκτρονικού ταχυδρομείου, στοιχεία τράπεζας, δημοσιεύσεις σε ιστότοπους κοινωνικής δικτύωσης, ιατρικές πληροφορίες ή διεύθυνση IP υπολογιστή.

Δεν θεωρούνται προσωπικά δεδομένα, ο αριθμός μητρώου εταιρείας, η ηλεκτρονική διεύθυνση του τύπου πληροφορίες@εταιρεία.com καθώς και τα ανώνυμα δεδομένα.

Ευαίσθητα προσωπικά δεδομένα είναι τα δεδομένα που αφορούν φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια και την ερωτική ζωή, τα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων κ.α.

Το υποκείμενο  δεδομένων μπορεί να είναι μόνο ζων φυσικό πρόσωπο (κατά πλάσμα δικαίου, και το έμβρυο, εφόσον γεννηθεί ζωντανό παιδί). Εξαιρούνται του προστατευτικού πεδίου εφαρμογής των ρυθμίσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα οι θανόντες και τα νομικά πρόσωπα. Υποκείμενα δεδομένων δεν αποτελούν μόνο οι ωφελούμενοι των εκ του νόμου παρερχομένων υπηρεσιών αλλά και οι εργαζόμενοι εντός του φορέα.

Οποαδήποτε ενέργεια που γίνεται επι προσωπικών δεδομένων με σκοπό τη συλλογή, οργάνωση, αποθήκευση, ανάκτηση, χρήση, διάδοση, περιορισμό, καταχώρηση, σιάρθρωση, προσαρμογή ή μεταβολή, αναζήτηση πληροφοριών, κοινοποίηση, συσχέτιση, διαγραφή κ.α. είτε αυτή γίνεται με τη χρήση χειροκίνητων ή αυτοματοποιημένων μέσων θεωρείται επεξεργασία των προσωπικών δεδομένων.

Παραδείγματα επεξεργασίας δεδομένων αποτελούν, η διαχείριση προσωπικού και η μισθοδοσία του, η προσπέλαση ή και αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η δημοσίευση φωτογραφίας ενός ατόμου σε ιστότοπο, η αποθήκευση IP διευθύνσεων ή διευθύνσεων MAC , η μαγνητοσκόπηση από CCTV, κλειστό κύκλωμα τηλεόρασης, η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.

Η νομιμότητα επεξεργασίας δεδομένων γενικά μπορεί να λάβει χώρα αν συντρέχουν οι παρακάτω προϋποθέσεις.

Η συλλογή να γίνεται με θεμιτό και νόμιμο τρόπο για καθορισμένους, σαφείς και νόμιμους σκοπούς.

Η επεξεργασία μπορεί να γίνεται μόνο ενόψει προκαθορισμένων σκοπών επεξεργασίας.

Τα δεδομένα προς συλλογή και επεξεργασία από τα υποκείμενα πρέπει να είναι συναφή και όχι περισσότερα από όσα κάθε φορά απαιτούνται για το σκοπό της επεξεργασίας.

Τα δεδομένα να είναι ακριβή και να ενημερωμένα εφόσον υπόκεινται σε αλλαγές

Η διατήρηση των δεδομένων να είναι σε τέτοια μορφή που να επιτρέπεται ο προσδιορισμός της ταυτότητας των υποκειμένων.

O Υπεύθυνος επεξεργασίας ορίζεται το φυσικό ή νομικό πρόσωπο, δημόσια αρχή η υπηρεσία η άλλος φορέα που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων.

Η εταιρεία τι οργανισμός θεωρείται Από κοινού υπεύθυνος επεξεργασίας όταν σε συνεργασία με έναν ή περισσότερους γιατί και πως θα πρέπει να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα

Ο νέος κανονισμός επιβάλλει μία σειρά νέων υποχρεώσεων τους υπεύθυνους επεξεργασίας και είναι οι εξής:

1. ευθύνη περί οργανωτικών και τεχνικών μέτρων
2. προστασία δεδομένων κατά το σχεδιασμό
3. προστασία δεδομένων εξ ορισμού
4. ασφάλεια επεξεργασία
5. γνωστοποίηση παραβιάσεων δεδομένων
6. εκτίμηση επιπτώσεων και προηγούμενη διαβούλευση

Ο υπεύθυνος προστασίας διευκολύνει τη συμμόρφωση του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του γενικού κανονισμού προστασίας δεδομένων και μεσολαβεί διαφόρων ενδιαφερόμενων

Προβλέπονται συγκεκριμένα καθήκοντα σε υπεύθυνος προστασίας δεδομένων αντίστοιχες υποχρεώσεις του υπεύθυνου επεξεργασίας  (εργοδότη)

Ο ρόλος του είναι συμβουλευτικός

 δεν φέρει ευθύνη για μη συμμόρφωση του υπεύθυνου επεξεργασίας με τον κανονισμό

διασφαλίζει και αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό

 καθίσταται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία

Ο εκτελών την επεξεργασία μπορεί να είναι φυσικό ή νομικό πρόσωπο δημόσια αρχή η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας  και ενδέχεται να καθορίζει κάποια ειδικότερα τεχνικά και οργανωτικά ζητήματα. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος εκτός εταιρείας. Ωστόσο σε περίπτωση ομίλου επιχειρήσεων μία επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης

Οι ευθύνες του είναι να ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.  Επίσης διορίζει τον υπεύθυνο προστασίας δεδομένων ιδίως όταν η επεξεργασία αφορά δεδομένα υγείας. Είναι υπόλογος όπως και ο υπεύθυνος επεξεργασίας σε περίπτωση δικαστικής προσφυγής από το υποκείμενο επεξεργασίας.  Τέλος μπορεί να του επιβληθεί πρόστιμο από την εποπτική αρχή όπως και στον υπεύθυνο επεξεργασίας

Αφορά το σύνολο των επιχειρήσεων και δημόσιου τομέα  που με οποιονδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων συνεργατών πελατών η φυσικών προσώπων

Να διενεργούν τακτικούς ελέγχους ασφαλείας των δικτύων και Υποδομών

 Να υλοποιούν πολιτικές ασφαλείας και διαδικασίες

 Να εκπαιδεύσουν τους χρήστες των πληροφοριακών τους Συστημάτων  για την ορθή χρήση των Συστημάτων αυτών

 Να εφαρμόζουν αρχή διαφάνεια στον τρόπο συλλογής επεξεργασία και τήρησης των δεδομένων

 Να εφαρμόζουν την αρχή της λογοδοσίας

Πρέπει να εφαρμόσει τεχνικά και οργανωτικά μέτρα όπως:

1. Η ψευδωνυμοποίηση, και η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα
2. Η διαδικασία της τακτικής δοκιμής εκτίμησης και αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων της εταιρείας
3. Η δυνατότητα αποκατάστασης της διαθεσιμότητας και πρόσβασης των δεδομένων προσωπικού χαρακτήρα
4. Η δυνατότητα της διασφάλισης του απορρήτου της ακεραιότητας της διαθεσιμότητας και αξιοπιστίας των Συστημάτων και υπηρεσιών επεξεργασίας σε συνεχή βάση

Τα προσωπικά δεδομένα πρέπει να φυλάσσονται για τον ελάχιστο δυνατό χρόνο.  Επίσης πρέπει να έχει καθοριστεί η προθεσμία διαγραφής ή  επανεξέτασης των προσωπικών δεδομένων που έχουν αποθηκευτεί. Ο μόνος λόγος να φυλαχτούν τα δεδομένα  προσωπικού χαρακτήρα για μεγαλύτερη περίοδο είναι για σκοπούς δημοσίου συμφέροντος ή με σκοπό την επιστημονική ή ιστορική έρευνα. Όταν τα δεδομένα συλλέγονται για σκοπούς επιστημονικής ή ιστορικής έρευνας, στατιστικούς σκοπούς ή σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή των κρατών μελών μπορεί να προβλέπει παρεκκλίσεις από την υποχρέωση ενημέρωσης, εφόσον αυτή είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των ειδικών σκοπών.

Η συγκατάθεση πρέπει να δίνεται ελεύθερα  να είναι συγκεκριμένη και αδιαμφισβήτητη.  Το υποκείμενο πρέπει να ενημερώνεται για την ταυτότητα του οργανισμού που θα επεξεργαστεί τα προσωπικά δεδομένα τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων καθώς και για το είδος των δεδομένων που θα υποβληθούν σε επεξεργασία.  Επίσης πρέπει να δίνεται η δυνατότητα ανάκλησης της συγκατάθεσης το υποκείμενου και να δηλώνεται εάν τα προσωπικά δεδομένα θα χρησιμοποιηθούν για αυτοματοποιημένη λήψη αποφάσεων συμπεριλαμβανομένης και της κατάρτισης δημιουργίας  προφίλ.

Για την άσκηση των δικαιωμάτων σας θα πρέπει να υποβληθεί αίτημα και να επικοινωνήσετε με την εταιρεία ή τον οργανισμό που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, δηλαδή τον  υπεύθυνο επεξεργασίας και τον υπεύθυνο προστασία δεδομένων (DPO). 

Με την επιφύλαξη περιορισμένων εξαιρέσεων, κάθε υποκείμενο δεδομένων δικαιούται να ενημερώνεται σχετικά με οποιαδήποτε επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν από τον εκάστοτε υπεύθυνο επεξεργασίας.

Τα υποκείμενα των δεδομένων έχουν δικαίωμα:

• πρόσβασης στα δεδομένα τους και εξασφάλισης ορισμένων πληροφοριών σχετικά με την επεξεργασία·
• διόρθωσης των δεδομένων τους από τον υπεύθυνο επεξεργασίας, εάν τα δεδομένα είναι ανακριβή διαγραφής των δεδομένων τους από τον υπεύθυνο επεξεργασίας, κατά περίπτωση, εάν ο υπεύθυνος επεξεργασίας επεξεργάζεται τα δεδομένα που τα αφορούν κατά παράβαση του νόμου·
• προσωρινού περιορισμού της επεξεργασίας·
• μεταφοράς των δεδομένων που τα αφορούν σε άλλον υπεύθυνο επεξεργασίας, υπό ορισμένες προϋποθέσεις.

Επιπλέον, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να εναντιωθούν στην επεξεργασία:

• για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους·
• λόγω χρήσης των δεδομένων που τα αφορούν για άμεση εμπορική προώθηση.
• Τα υποκείμενα των δεδομένων έχουν δικαίωμα να μην υπόκεινται σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, οι οποίες παράγουν έννομα αποτελέσματα ή τα επηρεάζουν σημαντικά.

Τα υποκείμενα των δεδομένων έχουν επίσης δικαίωμα:

• εξασφάλισης ανθρώπινης παρέμβασης από τον υπεύθυνο επεξεργασίας·
• έκφρασης άποψης και αμφισβήτησης της απόφασης που βασίζεται σε αυτοματοποιημένη επεξεργασία.

Σύμφωνα με το δίκαιο τόσο του Συμβουλίου της Ευρώπης όσο και της ΕΕ, τα φυσικά πρόσωπα έχουν δικαίωμα υποβολής αιτημάτων και καταγγελιών στην αρμόδια εποπτική αρχή εάν θεωρούν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν δεν πραγματοποιείται σύμφωνα με τον νόμο.

Ο κανονισμός  προβλέπει δυνατότητες προσφυγής για τα υποκείμενα των δεδομένων σε περιπτώσεις παραβίασης των δικαιωμάτων τους, καθώς και κυρώσεις σε βάρος των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που δεν συμμορφώνονται με τις διατάξεις του κανονισμού.

Προβλέπει επίσης δικαίωμα αποζημίωσης και ευθύνη.

• Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλουν καταγγελία σε εποπτική αρχή για εικαζόμενες παραβάσεις του κανονισμού, το δικαίωμα πραγματικής δικαστικής προσφυγής και το δικαίωμα αποζημίωσης. 
• Κατά την άσκηση του δικαιώματος πραγματικής δικαστικής προσφυγής, τα υποκείμενα των δεδομένων μπορούν να εκπροσωπούνται από μη κυβερνητικές οργανώσεις που δραστηριοποιούνται στον τομέα της προστασίας δεδομένων. 
• Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ευθύνεται για τυχόν υλική και μη υλική ζημία που προκύπτει ως αποτέλεσμα της παράβασης. Οι εποπτικές αρχές έχουν την εξουσία να επιβάλλουν διοικητικά πρόστιμα για παραβάσεις του κανονισμού έως 20 000 000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών –ανάλογα με το ποιο είναι υψηλότερο.