"Υπεύθυνος επεξεργασίας" είναι οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.
"Εκτελών την επεξεργασία" είναι οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων).
Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δε φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.
Οι υποχρεώσεις του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας προσδιορίζονται ρητά στο άρθρο 32 ΓΚΠΔ, ενώ η γενικότερη ευθύνη του για τον προσδιορισμό των κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει τη νομιμότητα μιας επεξεργασίας πηγάζει και από το άρθρο 24 ΓΚΠΔ. Επίσης, στον ΓΚΠΔ για πρώτη φορά προσδιορίζεται ρητά αυτοτελής υποχρέωση και των εκτελούντων την επεξεργασία για λήψη μέτρων ασφάλειας.
Παραδοσιακά, ο όρος ασφάλεια πληροφορίας/δεδομένων (information/data security), χρησιμοποιείται για να περιγράψει τη μεθοδολογία, καθώς και τις μεθόδους και τεχνικές που ακολουθούνται προκειμένου να επιτευχθούν οι εξής στόχοι:
• Εμπιστευτικότητα (confidentiality): Τα δεδομένα δεν πρέπει να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.
• Ακεραιότητα (integrity): Τα δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.
• Διαθεσιμότητα (availability): Τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.
Πλήγμα σε οποιοδήποτε από τα ανωτέρω −από τυχαία ή εσκεμμένη ενέργεια− συνιστά, γενικά, περιστατικό ασφάλειας.
Στον ΓΚΠΔ προτείνονται τα ακόλουθα «ενδεδειγμένα» τεχνικά και οργανωτικά μέτρα ασφάλειας:
α) Ψευδωνυμοποίηση και Κρυπτογράφηση.
β) Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.
γ) Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
δ) Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.
ε) Χρήση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.
στ) Διαδικασίες χειρισμού περιστατικών παραβίασης.