Τρύφωνας Κόλλιας - Γενικός κανονισμός προσωπικών δεδομένων "GDPR" Αλλαγές & προκλήσεις

Τρύφωνας Κόλλιας - Γενικός κανονισμός προσωπικών δεδομένων "GDPR" Αλλαγές & προκλήσεις

A717e9d055b2284e573b2412e32f5397?s=128

WordPress Greek Community

February 27, 2018
Tweet

Transcript

  1. 4.

    Γιατί καταργείται η οδηγία 95/46/ΕΚ που υπήρχε;  Οικονομική &

    κοινωνική ολοκλήρωση  Ανάγκη συνεργασίας & ανταλλαγής δεδομένων  Ραγδαίες τεχνολογικές εξελίξεις  Αύξηση συλλογής προσωπικών δεδομένων  Δημοσιοποίηση προσωπικών πληροφοριών  Παγκοσμιοποίηση 4
  2. 5.

    Ο κανονισμός επιλέχθηκε γιατί η εφαρμογή του είναι: ▹ Υποχρεωτική

    ▹ Άμεση ▹ Oμοιόμορφη ▹ Δεσμευτική ▹ Και καταργεί κάθε αντίθετη εθνική ρύθμιση Το σχέδιο νόμου είναι ηδη σε διαβούλευση στο opengov απο τις 20/2/2018 μέχρι τις 5/3/2018 5
  3. 6.

    Ο κανονισμός αποσκοπεί  Στην ενδυνάμωση της προστασίας προσωπικών δεδομένων

     Στην ομοιόμορφη εφαρμογή σε όλη την Ε.Ε  Στο ισοδύναμο επίπεδο προστασίας 6
  4. 7.

    Ο κανονισμός εισάγει νέους ορισμούς 7 Απλά δεδομένα προσωπικού χαρακτήρα

    Γενετικά δεδομένα Βιομετρικά δεδομένα Ψευδωνυμοποίηση Ειδικές κατηγορίες δεδομένων Σύστημα αρχειοθέτησης Επεξεργασία Κατάρτιση προφίλ
  5. 8.

    Διεύρυνση εδαφικού πεδίου εφαρμογής ΓΚΠΔ ▹ Δραστηριότητα εγκατάστασης υπευθύνου ή

    εκτελούντος την επεξεργασία στην Ε.Ε. ακόμη και εάν η επεξεργασία λαμβάνει σε χώρα εκτός Ε.Ε. ▹ Δραστηριότητα εγκατάστασης υπευθύνου ή εκτελούντος την επεξεργασία εκτός Ε.Ε. αλλά η επεξεργασία αφορά υποκείμενα δεδομένων που βρίσκονται εντός Ε.Ε. (π.χ. e-shop, profiling) 8
  6. 9.

    Θεσπιζόμενες Αρχές επεξεργασίας δεδομένων 9 ▹ Νομιμότητα, αντικειμενικότητα και διαφάνεια

    ▹ Περιορισμός του σκοπού ▹ Ελαχιστοποίηση των δεδομένων ▹ Ακρίβεια ▹ Περιορισμός της περιόδου αποθήκευσης ▹ Ακεραιότητα & εμπιστευτικότητα ▹ Λογοδοσία
  7. 10.

    Αρχή Λογοδοσίας ▹ Απόδειξη Συγκατάθεσης υποκειμένου ▹ Διαφανής ενημέρωση, ανακοίνωση

    και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου ▹ παροχή πληροφοριών της παρ. 1 εντός ενός (1) μηνός από την παραλαβή του αιτήματος ή κατ’ εξαίρεση παράταση προθεσμίας για δυο (2) μήνες ▹ Ενημέρωση εντός ενός (1) μηνός για τους λόγους μη παροχής πληροφοριών και για την δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική Αρχή και άσκησης δικαστικής προσφυγής. ▹ Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων - τήρηση αποδεικτικού παράδοσης αντιγράφου ▹ Ευθύνη του υπευθύνου επεξεργασίας 10
  8. 11.

    Αρχή Λογοδοσίας ▹ Προστασία των δεδομένων ήδη από το σχεδιασμό

    και εξ’ ορισμού – privacy by design / privacy by default ▹ Υποχρεώσεις και δεσμεύσεις του εκτελούντος την επεξεργασία ▹ Τήρηση αρχείων δραστηριοτήτων επεξεργασίας ▹ Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή ▹ Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων-Privacy Impact Assessment ▹ Καθήκοντα του υπευθύνου προστασίας δεδομένων – DPO 11
  9. 12.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Δικαίωμα ενημέρωσης Παροχή αιτηθέντων πληροφοριών

    στο υποκείμενο των δεδομένων εντός 1 μηνός (με δικαίωμα παράτασης 2 μηνών) ή ενημέρωση για τους λόγους τυχόν άρνησης (άρ. 12 παρ. 3) Δικαίωμα πρόσβασης στα δεδομένα Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει αυτό, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα 12
  10. 13.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Δικαίωμα διόρθωσης Το υποκείμενο έχει

    το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας α) χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων που το αφορούν και β) τη συμπλήρωση ελλιπών δεδομένων, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Δικαίωμα στη λήθη Το υποκείμενο έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να τα διαγράψει, εάν ισχύουν οι αναφερόμενοι στο ΓΚΠΔ λόγοι 13
  11. 14.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Το δικαίωμα στη λήθη δεν

    ισχύει στον βαθμό που η επεξεργασία είναι απαραίτητη: ▹ για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, ▹ για την τήρηση νομικής υποχρέωσης ▹ για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας ▹ για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή επιστημονικής έρευνας ▹ για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. 14
  12. 15.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Δικαίωμα περιορισμού της επεξεργασίας Όταν

    η ακρίβεια των δεδομένων αμφισβητείται ή είναι παράνομη ή ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα για τους σκοπούς της επεξεργασίας ή το υποκείμενο έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων. 15
  13. 16.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Δικαίωμα στη φορητότητα δεδομένων ▹

    Το υποκείμενο έχει το δικαίωμα να λαμβάνει τα δεδομένα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα ▹ Το υποκείμενο μπρεί να ζητά την απευθείας διαβίβαση των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. 16
  14. 17.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Δικαίωμα εναντίωσης ▹ Το υποκείμενο

    δικαιούται να αντιτάσσεται ανά πάσα στιγμή στην επεξεργασία δεδομένων που το αφορούν (επεξεργασία από δημόσιες αρχές ή από ιδιώτες) ▹ Το δικαίωμα εναντίωσης επισημαίνεται ρητώς στο υποκείμενο και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία το αργότερο κατά την πρώτη επικοινωνία με αυτό. ▹ Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. 17
  15. 18.

    Ενδυνάμωση δικαιωμάτων & αυστηρότερες υποχρεώσεις Πλην όμως το δικαίωμα αυτό

    δεν ισχύει όταν η απόφαση: ▹ είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας ▹ επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κ-μ ή ▹ βασίζεται στη ρητή συγκατάθεση του υποκειμένου. 18
  16. 19.

    Υποχρεώσεις & ευθύνες αυτού που εκτελεί την εργασία 19 ▹

    Τήρηση αρχείου καταγραφής δραστηριοτήτων επεξεργασίας ▹ Συνεργασία με την εποπτική αρχή ▹ Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την διασφάλιση της επεξεργασίας ▹ Eνημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων ▹ Oρισμός υπευθύνου προστασίας δεδομένων [DPO] ▹ Yπόκειται στον έλεγχο της εποπτικής αρχής ▹ Yπόκειται σε κυρώσεις διοικητικής, αστικής και ποινικής φύσης
  17. 20.

    Υποχρεώσεις & ευθύνες αυτού που εκτελεί την εργασία 20 ▹

    Τήρηση αρχείου καταγραφής δραστηριοτήτων επεξεργασίας ▹ Συνεργασία με την εποπτική αρχή ▹ Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την διασφάλιση της επεξεργασίας ▹ Eνημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων ▹ Oρισμός υπευθύνου προστασίας δεδομένων [DPO] ▹ Yπόκειται στον έλεγχο της εποπτικής αρχής ▹ Yπόκειται σε κυρώσεις διοικητικής, αστικής και ποινικής φύσης
  18. 21.

    Υποχρεώσεις & ευθύνες αυτού που εκτελεί την εργασία 21 ▹

    Κατάργηση Γνωστοποιήσεων επεξεργασίας δεδομένων προς την εποπτική αρχή ▹ Περιορισμός αδειοδοτήσεων από την εποπτική αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 9) ▹ Εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού (privacy by design-by default) ▹ Γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή εντός 72 ωρών (άρ. 33). ▹ Ανακοίνωση παραβίασης δεδομένων στο υποκείμενο (άρ. 34) ▹ Διενέργεια εκτίμησης αντικτύπου (Privacy Impact Assessment) προ επικίνδυνης επεξεργασίας (άρ. 35)
  19. 22.

    Υποχρεώσεις & ευθύνες αυτού που εκτελεί την εργασία 22 ▹

    Προηγούμενη διαβούλευση με την εποπτική αρχή με βάση το αποτέλεσμα της εκτίμησης αντικτύπου (αρ. 36) ▹ Ορισμός Υπευθύνου Προστασίας Δεδομέων – DPO (αρ. 37) ▹ Εκπόνηση και τήρηση Κώδικα Δεοντολογίας (αρ. 40) ▹ Θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων (αρ. 42) ▹ Εκπροσώπηση υποκειμένων δεδομένων για την προστασία των δικαιωμάτων τους, επιβολή κυρώσεων και διεκδίκηση αποζημίωσης από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση (άρ. 80) – “Actio Popularis” ▹ Επιβολή διοικητικών προστίμων σε βάρος υπευθύνου ή εκτελούντος την επεξεργασία (άρ. 83)
  20. 23.

    Υπεύθυνος Προστασίας Δεδομένων 23 Ο υπεύθυνος επεξεργασίας και ο εκτελών

    την επεξεργασία: ▹ Διασφαλίζουν ότι ο DPO συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία των δεδομένων. ▹ Στηρίζουν τον DPO στην άσκηση των καθηκόντων του παρέχοντας απαραίτητους πόρους και πρόσβαση σε δεδομένα και πράξεις επεξεργασίας. ▹ Διασφαλίζουν ότι ο DPO δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις. Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο. ▹ Τα υποκείμενα επικοινωνούν με τον DPO. ▹ Ο DPO δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας. ▹ Ο DPO μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, χωρίς να υφίσταται σύγκρουση συμφερόντων .
  21. 24.

    Καθήκοντα του DPO 24 ▹ Ενημερώνει και συμβουλεύει σχετικά με

    την τήρηση των υποχρεώσεων βάσει της κείμενης νομοθεσίας, ▹ Παρακολουθεί τη συμμόρφωση ▹ Παρέχει συμβουλές σχετικά με την εκτίμηση αντικτύπου και παρακολουθεί την υλοποίησή της ▹ Συνεργάζεται με την εποπτική αρχή, ▹ Eνεργεί ως σημείο επικοινωνίας για την εποπτική αρχή. ▹ Λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
  22. 25.

    Υποχρεωτικός Διορισμός DPO ▹ Όταν η επεξεργασία διενεργείται από Δημόσια

    αρχή ή φορέα. ▹ Όταν οι βασικές (“core”) δραστηριότητες επεξεργασίας απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων των άρθρων 9 και 10 ΓΚΠΔ. ▹ Βασικές δραστηριότητες: π.χ. δεδομένα υγείας σε νοσοκομεία (ιατρικοί φάκελοι), δεδομένα εικόνας και ήχου από εταιρία παροχής υπηρεσιών ασφαλείας. ▹ Μεγάλης κλίμακας: π.χ. νοσοκομεία, ασφαλιστικές εταιρίες, τράπεζες, διαδικτυακή επεξεργασία με σκοπό την εμπορική προώθηση – διαφήμιση, profiling. ▹ Τακτική και συστηματική παρακολούθηση: π.χ. διαδικτυακή έρευνα συμπεριφοράς, profiling, εντοπισμός θέσης μέσω δεδομένων κινητού τηλεφώνου, κάρτες «επιβράβευσης πίστης» (“loyalty cards”) κ.λπ. 25
  23. 26.

    Tι σημαίνει μεγάλη κλίμακα Yπάρχουν κάποια κριτήρια όπως: ▹ Ο

    αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού, ▹ Ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων, ▹ Η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας, ▹ Η γεωγραφική έκταση της δραστηριότητας επεξεργασίας. 26
  24. 27.

    Μερικά παραδείγματα επεξεργασίας σε μεγάλη κλίμακα ▹ Δεδομένα ασθενών στο

    πλαίσιο της συνήθους λειτουργίας ενός νοσοκομείου, ▹ Δεδομένα μετακίνησης φυσικών προσώπων που χρησιμοποιούν το σύστημα δημόσιων μεταφορών μιας πόλης (π.χ., παρακολούθηση μέσω καρτών πολλαπλών διαδρομών), ▹ Δεδομένα σε πραγματικό χρόνο γεωγραφικού εντοπισμού πελατών διεθνούς αλυσίδας ταχυφαγείων για στατιστικούς σκοπούς από εκτελούντα την επεξεργασία που ειδικεύεται σε τέτοιου είδους δραστηριότητες, ▹ Δεδομένα πελατών στο πλαίσιο της συνήθους λειτουργίας μιας ασφαλιστικής εταιρείας ή μιας τράπεζας, ▹ Δεδομένα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης, ▹ Δεδομένα (περιεχόμενο, κίνηση, θέση) από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου. 27
  25. 28.

    Παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας ▹ H επεξεργασία

    δεδομένων ασθενών από ιδιώτη ιατρό, ▹ Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο. 28
  26. 29.

    Τακτική & συστηματική παρακολούθηση Η έννοια της τακτικής και συστηματικής

    παρακολούθησης των υποκειμένων δεν ορίζεται μεν στον ΓΚΠΔ, όμως περιλαμβάνει ξεκάθαρα όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης. Η έννοια της παρακολούθησης δεν περιορίζεται, πάντως, στο επιγραμμικό (on line) περιβάλλον. 29
  27. 30.

    Παραδείγματα δραστηριοτήτων που συνιστούν τακτική & συστηματική παρακολούθηση 30 ▹

    Λειτουργία δικτύου τηλεπικοινωνιών & παροχή υπηρεσιών ▹ Επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου ▹ Δραστηριότητες μάρκετινγκ βάσει δεδομένων ▹ Διαμόρφωση προφίλ και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου (π.χ., για σκοπούς βαθμολόγησης πιστοληπτικής ικανότητας, προσδιορισμού ασφαλίστρων, καταπολέμησης της απάτης, εντοπισμού πρακτικών νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες)· ▹ Εντοπισμός θέσης, πχ μέσω εφαρμογών για κινητά τηλέφωνα ▹ Προγράμματα επιβράβευσης αφοσιωμένων πελατών ▹ Συμπεριφορική διαφήμιση ▹ Παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών ▹ Τηλεόραση κλειστού κυκλώματος ▹ Συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός κ.λπ.
  28. 31.

    Τι επαγγελματικά προσόντα πρέπει να έχει ο DPO 31 ▹

    Εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο, καθώς και άριστη γνώση του ΓΚΠΔ, ▹ Γνώση των πράξεων επεξεργασίας που διενεργούνται, ▹ Γνώση του τομέα των τεχνολογιών πληροφοριών και της ασφάλειας δεδομένων, ▹ Γνώση του τομέα δραστηριότητας και του οργανισμού, ▹ Ικανότητα ανάπτυξης νοοτροπίας προστασίας των δεδομένων στους κόλπους του οργανισμού.
  29. 32.

    Βασικές υποχρεώσεις του υπεύθυνου επεξεργασίας 32 ▹ Προστασία των δεδομένων

    ήδη από το σχεδιασμό και εξ ορισμού ▹ Τήρηση Αρχείων των δραστηριοτήτων επεξεργασίας ▹ Διασφάλιση κατάλληλου επίπεδου ασφάλειας έναντι των κινδύνων ■ Ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων, ■ Διασφάλιση του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, ■ Αποκατάσταση της διαθεσιμότητας και της πρόσβασης σε δεδομένα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, ■ Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
  30. 33.

    Βασικές υποχρεώσεις του υπεύθυνου επεξεργασίας 33 ▹ Γνωστοποίηση παραβίασης δεδομένων

    ■ Στην εποπτική αρχή ■ Στο υποκείμενο των δεδομένων ▹ Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση
  31. 34.

    Γενικοί όροι επιβολής διοικητικών προστίμων 34 ▹ Κατά τη λήψη

    απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα: ▹ Η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων ν που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν, ▹ Ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, ▹ Οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα ▹ Ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν
  32. 35.

    Γενικοί όροι επιβολής διοικητικών προστίμων 35 ▹ Tυχόν σχετικές προηγούμενες

    παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ▹ Ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της, ▹ Οι κατηγορίες δεδομένων που επηρεάζει η παράβαση, ▹ Ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση, ▹ Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης ▹ Κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.