Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού βάση του GDPR
Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του GDPR. Παράγοντες που λαμβάνονται υπόψη είναι: οι τελευταίες εξελίξεις της τεχνολογίας, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, οι σκοποί της επεξεργασίας, καθώς και οι κίνδυνοι.
Προκειμένου, λοιπόν, ο υπεύθυνος επεξεργασίας να μπορεί να αποδείξει συμμόρφωση προς τον Κανονισμό, θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, ανταποκρινόμενος έτσι στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.
Σύμφωνα με την αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό, κατά τη στιγμή του σχεδιασμού των συστημάτων επεξεργασίας και του καθορισμού των μέσων επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να ενσωματώνει και να εφαρμόζει κατάλληλα μέτρα και να χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας, όπως ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα, κρυπτογράφηση, ελαχιστοποίηση της επεξεργασίας των δεδομένων και ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή όταν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους,οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών πρέπει να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, ώστε να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων.
Σύμφωνα με την αρχή της προστασίας των δεδομένων εξ ορισμού, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, εξασφαλίζεται η ιδιωτικότητα και υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα μέτρα αυτά διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα, χωρίς την παρέμβαση φυσικού προσώπου, σε αόριστο αριθμό φυσικών προσώπων.
