Απάντηση
Η εταιρεία ή ο οργανισμός σας μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο στις ακόλουθες περιπτώσεις:
- με τη συγκατάθεση των οικείων ατόμων·
- εάν υπάρχει συμβατική υποχρέωση (σύμβαση ανάμεσα στην εταιρεία ή τον οργανισμό σας και έναν πελάτη)·
- για την εκπλήρωση νομικής υποχρέωσης (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία)·
- όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία)·
- για την προστασία των ζωτικών συμφερόντων ενός ατόμου·
- προς χάριν των έννομων συμφερόντων του οργανισμού σας, αλλά μόνο αφού ελέγξετε ότι τα θεμελιώδη δικαιώματα και οι ελευθερίες του ατόμου του οποίου δεδομένα επεξεργάζεστε δεν επηρεάζονται σοβαρά. Εάν τα δικαιώματα του ατόμου υπερισχύουν των συμφερόντων σας, τότε δεν επιτρέπεται επεξεργασία με βάση έννομο συμφέρον. Η αξιολόγηση σχετικά με το εάν τα έννομα συμφέροντα της εταιρείας ή του οργανισμού σας για επεξεργασία υπερισχύουν των συμφερόντων των οικείων ατόμων εξαρτάται από τις ιδιαίτερες περιστάσεις κάθε περίπτωσης.
Παραδείγματα
Συγκατάθεση
Η εταιρεία ή ο οργανισμός σας προσφέρει μια μουσική εφαρμογή και ζητάτε τη συγκατάθεση των πολιτών για να επεξεργαστείτε τις μουσικές τους προτιμήσεις έτσι ώστε να τους προτείνετε ειδικά επιλεγμένα τραγούδια και πιθανές συναυλίες.
Συμβατική υποχρέωση
Η εταιρεία ή ο οργανισμός σας πουλά αγαθά στο διαδίκτυο. Μπορεί να επεξεργάζεται δεδομένα που είναι απαραίτητα για ορισμένες ενέργειες κατόπιν αιτήματος του ατόμου πριν από τη σύναψη της σύμβασης και για την εκτέλεση της σύμβασης. Έτσι μπορείτε να επεξεργαστείτε το ονοματεπώνυμο, τη διεύθυνση παράδοσης, τον αριθμό πιστωτικής κάρτας (εάν η πληρωμή γίνεται με κάρτα) κ.λπ.
Νομική υποχρέωση
Είστε ο ιδιοκτήτης μιας εταιρείας που απασχολεί εργαζομένους. Για τη λήψη κάλυψης κοινωνικής ασφάλισης, η νομοθεσία σάς υποχρεώνει να παρέχετε δεδομένα προσωπικού χαρακτήρα (π.χ. εβδομαδιαίο εισόδημα των εργαζομένων σας) στη σχετική αρχή.
Δημόσιο συμφέρον
Παράδειγμα: μια επαγγελματική ένωση, π.χ. ένας δικηγορικός σύλλογος ή μια ένωση επαγγελματιών υγείας, μπορεί, σύμφωνα με δημόσια εξουσία που της έχει ανατεθεί, να κινήσει πειθαρχικές διαδικασίες εναντίον κάποιων εκ των μελών της.
Ζωτικά συμφέροντα ενός ατόμου
Ένα νοσοκομείο περιθάλπει έναν ασθενή μετά από ένα σοβαρό τροχαίο ατύχημα· το νοσοκομείο δεν χρειάζεται τη συγκατάθεσή του για να ψάξει την ταυτότητά του έτσι ώστε να ελέγξει εάν το εν λόγω άτομο συμπεριλαμβάνεται στη βάση δεδομένων του νοσοκομείου για να βρει το ιατρικό ιστορικό του ή να επικοινωνήσει με τους συγγενείς του.
Τα έννομα συμφέροντα του οργανισμού σας
Η εταιρεία ή ο οργανισμός σας διασφαλίζει την ασφάλεια του δικτύου που χρησιμοποιεί μέσω της παρακολούθησης της χρήσης των συσκευών τεχνολογίας πληροφοριών των εργαζομένων. Μπορεί να επεξεργάζεται νομίμως δεδομένα προσωπικού χαρακτήρα για αυτόν τον σκοπό μόνο εάν επιλέξει τη λιγότερο επεμβατική μέθοδο όσον αφορά τα δικαιώματα προστασίας της ιδιωτικής ζωής και των δεδομένων των εργαζομένων σας, για παράδειγμα, περιορίζοντας την πρόσβαση σε ορισμένους ιστότοπους. (Σημειωτέον ότι αυτό δεν μπορεί να γίνει σε κράτη μέλη της ΕΕ όπου η εθνική νομοθεσία ορίζει αυστηρότερους κανόνες για την επεξεργασία στο πλαίσιο της απασχόλησης).
Παραπομπές
Examples
Consent
Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them.
Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.
Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.
Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.
Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.
Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).