Ο ΓΚΠΔ επιδιώκει την εναρμόνιση της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, αλλά και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών (πρβλ. άρθρο 1 ΓΚΠΔ). Το Κεφάλαιο II του Γενικού Κανονισμού για την Προστασία Δεδομένων, με τίτλο «Αρχές», προβλέπει ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να συμμορφώνεται προς τις αρχές που προβλέπονται στο άρθρο 5 ΓΚΠΔ.

 Ειδικότερα, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να γίνεται νομίμως, με διαφανή τρόπο, για καθορισμένους, ρητούς και νόμιμους σκοπούς («περιορισμός του σκοπού») και με τη συγκατάθεση του ενδιαφερομένου ή για άλλους νόμιμους λόγους, που προβλέπονται από τον ΓΚΠΔ (άρθρο 6 ΓΚΠΔ).

Εξάλλου, συμφώνα με την αρχή της αντικειμενικότητας, τα προσωπικά δεδομένα υποβάλλονται σε θεμιτή επεξεργασία, με την έννοια ότι οι πληροφορίες υπόκεινται σε επεξεργασία με τρόπους που ευλόγως αναμένει το υποκείμενο των δεδομένων. Οι σχετικές προσδοκίες του υποκειμένου των δεδομένων πλαισιώνονται από τον τρόπο με τον οποίο ελήφθησαν τα δεδομένα προσωπικού χαρακτήρα, από το αν το υποκείμενο έχει ενημερωθεί για την επεξεργασία, από το σκοπό επεξεργασίας που του γνωστοποιήθηκε και από το αν θα μπορούσε να αναμένει ότι τα δεδομένα προσωπικού χαρακτήρα θα χρησιμοποιούνταν με τον τρόπο με τον οποίο χρησιμοποιούνται.

Συναφώς, η αρχή της διαφάνειας της επεξεργασίας επιβάλει την ενημέρωση των υποκειμένων των δεδομένων κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα που τα αφορούν (άρθρο 13 παρ. 1 ΓΚΠΔ) ή εντός εύλογης προθεσμίας, όταν τα δεδομένα δεν συλλέγονται απευθείας από τα υποκείμενα (άρθρο 14 παρ. 3 στοιχ. α) ΓΚΠΔ) σχετικά με τη σκοπούμενη επεξεργασία τους. Η αρχή της αντικειμενικότητας βαίνει πέραν των υποχρεώσεων διαφάνειας, καθώς συνδέεται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα με δεοντολογικό τρόπο.

Επιπλέον, τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα και συναφή, ενώ η επεξεργασία τους πρέπει να περιορίζεται στο αναγκαίο μέτρο για την εκπλήρωση νόμιμου σκοπού («ελαχιστοποίηση των δεδομένων»), Η αρχή της ελαχιστοποίησης επιβάλλει στο υπεύθυνο επεξεργασίας να περιορίζει την επεξεργασία σε εκείνα τα κατάλληλα δεδομένα που παρουσιάζουν άμεση συνάφεια προς το συγκεκριμένο σκοπό που επιδιώκεται με την επεξεργασία. Μάλιστα, τα δεδομένα πρέπει να είναι ακριβή, να επικαιροποιούνται, όταν είναι αναγκαίο
(«ακρίβεια») και να μην διατηρούνται πέραν του αναγκαίου («περιορισμός της περιόδου αποθήκευσης»).

Εξάλλου, σύμφωνα με το άρθρο 5 παρ. 1 στοιχ. στ) ΓΚΠΔ, τα προσωπικά δεδομένα «υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)».

Πέρα από τη συμμόρφωση με τις παραπάνω αρχές, προκειμένου να είναι η επεξεργασία προσωπικών δεδομένων σύννομη, πρέπει σε κάθε περίπτωση να θεμελιώνεται σε μία νόμιμη βάση. Οι νόμιμοι αυτοί λόγοι επεξεργασίας απαριθμούνται περιοριστικά στο άρθρο 6 ΓΚΠΔ για τα μη ευαίσθητα δεδομένα προσωπικού χαρακτήρα. Συναφώς, αναφορικά με τις ειδικές κατηγορίες δεδομένων (ή ευαίσθητα προσωπικά δεδομένα), η επεξεργασία των οποίων καταρχήν απαγορεύεται, στο άρθρο 9 ΓΚΠΔ προ βλέπεται εξαντλητικός κατάλογος εξαιρέσεων από την απαγόρευση αυτή.

Συγκεκριμένα, σύμφωνα με το άρθρο 6 ΓΚΠΔ, η επεξεργασία είναι σύννομη μόνον εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: το υποκείμενο έχει δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους σκοπούς (άρθρο 6 παρ. 1 στοιχ. α) ΓΚΠΔ), η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για τη λήψη μέτρων πριν από τη σύναψη της σύμβασης κατόπιν αίτησης του υποκειμένου των δεδομένων (άρθρο 6 παρ. 1 στοιχ. β) ΓΚΠΔ), η επεξεργασία είναι αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσης του υπεύθυνου επεξεργασίας (άρθρο 6 παρ. 1 στοιχ. γ) ΓΚΠΔ), η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (άρθρο 6 παρ. 1 στοιχ. δ) ΓΚΠΔ), η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (άρθρο 6 παρ. 1 στοιχ. ε) ΓΚΠΔ), και η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση εννόμου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου, στον οποίο ανακοινώνονται τα δεδομένα, το οποίο (συμφέρον) υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του υποκειμένου, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί (άρθρο 6 παρ. 1 στοιχ. στ) ΓΚΠΔ).

Πρέπει να επισημανθεί ότι δεν αρκεί απλώς η επεξεργασία να είναι σύννομη, αλλά ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τον Κανονισμό («λογοδοσία»). Επί της ουσίας, η αρχή της λογοδοσίας αντιστρέφει το «βάρος της απόδειξης», όσον αφορά τη νομιμότητα της επεξεργασίας και τη συμμόρφωση με τον ΓΚΠΔ, από τις αρχές προστασίας δεδομένων στους ίδιους τους υπεύθυνους επεξεργασίας.

Υπενθυμίζεται ότι προκειμένου να καταστεί νόμιμη η επεξεργασία δεδομένων προσωπικού χαρακτήρα, πέρα από την ύπαρξη νόμιμης βάσης επεξεργασίας (άρθρο 6 ΓΚΠΔ), θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 ΓΚΠΔ. Όπως συναφώς έχει κριθεί από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ»), «[η] ύπαρξη ενός νόμιμου θεμελίου (άρ. 6 ΓΚΠΔ) δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση τήρησης των αρχών (άρ. 5 παρ. 1 ΓΚΠΔ) αναφορικά με τον θεμιτό χαρακτήρα, την αναγκαιότητα και την αναλογικότητα, και την αρχή της ελαχιστοποίησης. Σε περίπτωση κατά την οποία παραβιάζεται κάποια εκ των προβλεπομένων στο άρθρο 5 παρ. 1 ΓΚΠΔ αρχών, η εν λόγω επεξεργασία παρίσταται ως μη νόμιμη (αντικείμενη στις διατάξεις του ΓΚΠΔ) και παρέλκει η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ.  Έτσι, η κατά παράβαση των αρχών του άρθρου 5 ΓΚΠΔ μη νόμιμη συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θεραπεύεται από την ύπαρξη νόμιμου σκοπού και νομικής βάσης (πρβλ. ΑΠΔΠΧ 38/2ΟΟ4)».

Πηγή: Κ. Κόμνιος, 2. Οι αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε: Ζητήματα από την εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων στη διεθνή διαιτησία, 2021, σ. 10-15