Από την 25 Μαΐου του 2018 τέθηκε σε ισχύ ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (General Data Protection Regulation (GDPR) ΕΕ 2016/679 , που ενέκρινε το Ευρωπαϊκό Κοινοβούλιο στις 27 Απριλίου του 2016. Η νέα νομοθεσία αντικαθιστά την υφιστάμενη Ευρωπαϊκή Οδηγία του 1995 για την Προστασία Δεδομένων και είναι μία νέα δέσμη αυστηρότερων μέτρων για τον έλεγχο ευαίσθητων πληροφοριών, τη διαφάνεια στη χρήση προσωπικών δεδομένων και την προστασία των πολιτών.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) εφαρμόζεται σε οποιοδήποτε εγκατεστημένο στην Ευρωπαϊκή Ένωση φυσικό ή νομικό πρόσωπο, δημόσια αρχή η φορέα ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης, καθώς και σε μη εγκατεστημένο στην Ευρωπαϊκή Ένωση, εφόσον αυτό προσφέρει αγαθά και υπηρεσίες με η χωρίς πληρωμή στα φυσικά πρόσωπα εντός Ευρωπαϊκής Ένωσης ή παρακολουθεί την συμπεριφορά τους που λαμβάνει χώρα εντός της Ευρωπαϊκής Ένωσης. Ο Γενικός Κανονισμός εφαρμόζεται εφόσον πραγματοποιείται επεξεργασία προσωπικών δεδομένων με αυτοματοποιημένο τρόπο ή με μη αυτοματοποιημένο τρόπο, αν τα δεδομένα περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Ο Γενικός Κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο δραστηριότητας, η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, είτε από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας, ή από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001, ο οποίος προσαρμόζονται στις αρχές και τους κανόνες του Γενικού Κανονισμού. Ο Γενικός Κανονισμός δεν θίγει τις διατάξεις της οδηγίας 2000/31/ΕΚ για την ευθύνη των μεσαζόντων παροχής υπηρεσιών.
Σύμφωνα με το άρθρο 4 του Κανονισμού, ως δεδομένο προσωπικού χαρακτήρα ορίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Ως δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών ορίζονται τα δεδομένα, που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. Ως επεξεργασία ορίζεται κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Ως παραβίαση δεδομένων προσωπικού χαρακτήρα θεωρείται κάθε παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία
Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων, να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς. Τα δεδομένα θα πρέπει να είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να είναι ακριβή και να επικαιροποιούνται, και να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, ενώ μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Επίσης θα πρέπει να εγγυάται η ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, όπως την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη συμμόρφωσης με τα ως άνω και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση αυτή
Η επεξεργασία των προσωπικών δεδομένων είναι νόμιμη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Η επεξεργασία των προσωπικών δεδομένων ειδικών κατηγοριών επιτρέπεται εάν παρέχεται ρητή συγκατάθεση, είτε εάν είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης, είτε για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, που είναι σωματικά ή νομικά ανίκανο να συγκαταθέσει, είτε εάν η επεξεργασία διενεργείται στο πλαίσιο των νόμιμων δραστηριοτήτων μη κερδοσκοπικού φορέα και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του και ότι τα δεδομένα αυτά δεν κοινοποιούνται χωρίς τη συγκατάθεση τους, είτε εάν τα δεδομένα έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων, είτε εάν η επεξεργασία είναι απαραίτητη για τη άσκηση νομικών αξιώσεων ή για λόγους ουσιαστικού δημόσιου συμφέροντος, είτε για σκοπούς προληπτικής ή επαγγελματικής ιατρικής εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών ή είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, ή σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, είτε για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς.
Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή και η ανάκληση αυτή δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.
Όσο αφορά την συγκατάθεση παιδιού, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη. Ο υπεύθυνος επεξεργασίας θα πρέπει να καταβάλλει εύλογες προσπάθειες για να επαληθεύσει ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία. Το υποκείμενο των δεδομένων έχει μία σειρά δικαιωμάτων, όπως το δικαίωμα στην ενημέρωση για τους σκοπούς επεξεργασίας, για το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, για τις κατηγορίες των δεδομένων και αποδέκτες τους, δικαίωμα διόρθωσης ή περιορισμού των δεδομένων υπό προϋποθέσεις, το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών
Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται να τα διαγράψει σύμφωνα με τα ανωτέρω, τότε θα πρέπει να λάβει εύλογα μέτρα για να ενημερώσει τους άλλους υπευθύνους επεξεργασίας ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή των εν λόγω δεδομένων προσωπικού χαρακτήρα.
Η διαγραφή δεν μπορεί να πραγματοποιηθεί σε βαθμό που η επεξεργασία είναι απαραίτητη για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας ή για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας ή για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
Ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. Κάθε υπεύθυνος επεξεργασίας οφείλει να τηρεί γραπτώς, μεταξύ άλλων και σε ηλεκτρονική μορφή, αρχείο των δραστηριοτήτων επεξεργασίας με τις ακόλουθες πληροφορίες: το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων, τους σκοπούς της επεξεργασίας, περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των αποδεκτών, όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, τις προβλεπόμενες προθεσμίες διαγραφής των δεδομένων όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας.
Η υποχρέωση αυτή δεν ισχύει για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας ενημερώνει άμεσα και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που έλαβε γνώση για την παραβίαση των δεδομένων την εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Ο υπεύθυνος επεξεργασίας ορίζει τον υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, είτε οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή. Ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων, δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του και λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους και με την άσκηση των δικαιωμάτων τους. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. Ο υπεύθυνος προστασίας δεδομένων παρακολουθεί τη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων και ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, τα οποία δεν πρέπει να συνεπάγονται σύγκρουση συμφερόντων. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων). Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.