Με τον όρο «προσωπικά δεδομένα» νοούνται όλες οι πληροφορίες που σχετίζονται με ένα ταυτοποιήσιμο ή ταυτοποιημένο πρόσωπο, το υποκείμενο των δεδομένων. Στα προσωπικά δεδομένα περιλαμβάνεται το όνομα ενός προσώπου, ο αριθμός ταυτότητας/διαβατηρίου, η διεύθυνση διαμονής, το εισόδημα, δεδομένα υγείας που βοηθούν στην ταυτοποίηση προσώπου για ιατρικούς λόγους, ο κωδικός πρωτοκόλλου διαδικτύου (IP) κ.ά.
Υπάρχουν κάποιες ειδικές κατηγορίες δεδομένων, τα «ευαίσθητα προσωπικά δεδομένα», των οποίων η επεξεργασία απαγορεύεται. Τέτοια δεδομένα είναι ο σεξουαλικός προσανατολισμός, οι πολιτικές, φιλοσοφικές, θρησκευτικές πεποιθήσεις, η εθνοτική/φυλετική καταγωγή, τα βιομετρικά/γενετικά δεδομένα και δεδομένα υγείας (εκτός εάν έχει δοθεί συγκατάθεση προς επεξεργασία ή όταν αυτή είναι απαραίτητη βάσει νομοθεσίας ή για συγκεκριμένους σημαντικούς λόγους δημοσίου συμφέροντος), και όλες οι πληροφορίες που σχετίζονται με καταδίκες και ποινικά αδικήματα, εκτός εάν προβλέπεται εξαίρεση επ’ αυτού από την εθνική/ευρωπαϊκή νομοθεσία.
Τα πιο σημαντικά πρόσωπα σε περίπτωση επεξεργασίας προσωπικών δεδομένων είναι ο υπεύθυνος και ο εκτελών την επεξεργασία. Ο υπεύθυνος επεξεργασίας είναι αυτός ο οποίος αποφασίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων, ενώ ο εκτελών την επεξεργασία είναι εκείνος που επεξεργάζεται και αποθηκεύει τα προσωπικά δεδομένα, για όσο χρονικό διάστημα απαιτείται, κατόπιν εντολής και για λογαριασμό του υπευθύνου επεξεργασίας.
Σε επιχειρήσεις μεσαίου – μεγάλου μεγέθους, ανάλογα και με τις επιταγές του ΓΚΠΔ, ο οποίος είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (Κανονισμός ΕΕ 2016/679, «GDPR»), τότε ορίζεται ένα πρόσωπο ως υπεύθυνος προστασίας δεδομένων (ΥΠΔ), με την αρμοδιότητα να επιβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, να συμβουλεύει και να ενημερώνει καταλλήλως τους υπαλλήλους που επεξεργάζονται τα δεδομένα, σχετικά με τις υποχρεώσεις των τελευταίων βάσει της ισχύουσας νομοθεσίας. Ο ΥΠΔ λόγω της ιδιαίτερης θέσης του μεσολαβεί μεταξύ της Αρχής Προστασίας Δεδομένων (ΑΠΔ) και των ατόμων που σχετίζονται με την επεξεργασία των δεδομένων, οφείλει δηλαδή να συνεργάζεται και με τις δύο πλευρές.
Βάσει του ΓΚΠΔ, ο διορισμός προσώπου ως ΥΠΔ είναι απαραίτητος όταν 1) η εν λόγω επιχείρηση παρακολουθεί άτομα σε συστηματική βάση, ή όταν επεξεργάζεται ειδικές κατηγορίες (ευαίσθητων) προσωπικών δεδομένων, 2) όταν μία από τις βασικές επιχειρηματικές δραστηριότητες λειτουργίας της επιχείρησης είναι η προστασία δεδομένων και 3) όταν η επιχείρηση επεξεργάζεται προσωπικά δεδομένα σε εκτενή βαθμό - μεγάλη κλίμακα, π.χ. όταν μία εταιρεία ανεβάζει τακτικά διαφημίσεις σε μηχανές αναζήτησης στο διαδίκτυο, βάσει των αποτελεσμάτων αναζήτησης των προσώπων των οποίων τα δεδομένα επεξεργάζεται, τότε η επεξεργασία είναι συνεχής και λαμβάνει χώρα σε τεράστια έκταση, συνεπώς απαιτείται να οριστεί ΥΠΔ. Ο ΥΠΔ μπορεί να είναι υπάλληλος της εταιρείας ή κάποιος που εργάζεται ως εξωτερικός συνεργάτης με σύμβαση παροχής υπηρεσιών.
Η επεξεργασία δεδομένων είναι νόμιμη όταν λαμβάνει χώρα με τρόπο θεμιτό, για την εξυπηρέτηση ενός συγκεκριμένου σκοπού που μπορεί να επιτευχθεί μόνο κατόπιν της επεξεργασίας. Θεμιτή και σύννομη είναι η επεξεργασία δεδομένων, όταν π.χ. γίνεται κατόπιν συγκατάθεσης του υποκειμένου, ή όταν για την εκπλήρωση συμβατικής/νόμιμης υποχρέωσης, είναι απαραίτητο να γίνει επεξεργασία, όταν υπάρχει σχετικός λόγος δημοσίου συμφέροντος κλπ.
Το υποκείμενο των δεδομένων έχει οχτώ δικαιώματα, βάσει του τρίτου κεφαλαίου του ΓΚΠΔ, ο οποίος ενσωματώθηκε στη χώρα μας με το Ν. 4624/2019:
1) Δικαίωμα Ενημέρωσης σχετικά με την επεξεργασία των δεδομένων τους
2) Δικαίωμα Πρόσβασης στα συλλεχθέντα δεδομένα τους
3) Δικαίωμα Διόρθωσης
4) Δικαίωμα Διαγραφής/Δικαίωμα στη Λήθη
5) Δικαίωμα Περιορισμού της Επεξεργασίας
6) Δικαίωμα στη Φορητότητα των δεδομένων
7) Δικαίωμα Εναντίωσης
8) Δικαίωμα στη Μη Αυτοματοποιημένη Λήψη Αποφάσεων.