Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων ( GDPR, άρθρα 5-12) οι αρχές επεξεργασίας είναι 

  1. Της συγκατάθεσης ενηλίκου (άρθρο 7)

Απαραίτητη είναι η συγκατάθεση του ενηλίκου στην επεξεργασία των προσωπικών του δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε. Η συγκατάθεση είναι σύννομη, όταν το υποκείμενο των δεδομένων έχει αληθινή  και ελεύθερη επιλογή, ή να αρνηθεί, ή να αποσύρει την συγκατάθεση, χωρίς να ζημιωθεί. Το υποκείμενο των δεδομένων πρέπει να γνωρίζει την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας. Εάν η συγκατάθεση παρέχεται με γραπτή δήλωση, που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.

  1. Της συγκατάθεσης παιδιού (άρθρο 8)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, απαραίτητη είναι  η συγκατάθεση, ή έγκριση, του έχοντος την γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέψουν με νόμο μικρότερη ηλικία των 16 ετών, με την προϋπόθεση ότι η εν λόγω δεν είναι κάτω από τα 13 έτη.

  1. Της νομιμότητας (άρθρο 5 και 6)

Η επεξεργασία δεν είναι νόμιμη, όταν δεν υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Επεξεργασία κατά τον αρχικό σκοπό.

Η επεξεργασία για να είναι νόμιμη κατά τον αρχικό σκοπό πρέπει να συντρέχει μία τουλάχιστον από τις παρακάτω  προϋποθέσεις.

α. το υποκείμενο των δεδομένων να έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού του χαρακτήρα για έναν, ή περισσότερους συγκεκριμένους σκοπούς.

β. η επεξεργασία να είναι απαραίτητη, α) για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος, ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, β) για τη συμμόρφωση με υποχρέωση του υπευθύνου επεξεργασίας, γ) για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, δ) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας.

Επεξεργασία μεταγενέστερη, για άλλους σκοπούς από τον αρχικό

Επεξεργασία, για άλλους σκοπούς από τον αρχικό, είναι νόμιμη, εφ όσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα αρχικά συλλέχθηκαν.

Για να εξακριβώσει ο υπεύθυνος επεξεργασίας κατά πόσο η επεξεργασία για άλλο σκοπό είναι σύννομη πρέπει να λάβει υπ όψιν του, α) Την σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα, β) Των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, γ) Την σχέση υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας, δ) Την φύση των δεδομένων, ιδίως ευαίσθητων, στ) Τις συνέπειες της περαιτέρω επεξεργασίας, ζ)Την ύπαρξη κατάλληλων εγγυήσεων, όπως κρυπτογράφηση ή ψευδωνυμοποίηση.

  1. Της ακρίβειας και αντικειμενικότητας (άρθρο 5).

Τα δεδομένα πρέπει να είναι ακριβή και το υποκείμενο της επεξεργασίας, να έχει ενημέρωση ως προς τα δεδομένα που επεξεργάζονται.

  1. Της ακεραιότητας και εμπιστευτικότητας (άρθρο 5).

Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο, που εγγυάται την ασφάλεια και την προστασία τους από παράνομη επεξεργασία, ή απώλεια, καταστροφή, ή φθορά τους.

  1. Της διαφάνειας (άρθρα 5και 12).

Τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή διαφανή επεξεργασία, με την συγκατάθεση του υποκειμένου. Η διαφάνεια διασφαλίζεται με την ενημέρωση του υποκειμένου για την συλλογή των δεδομένων και τον σκοπό της συλλογής. Η ενημέρωση οφείλει να είναι συνοπτική και κατανοητή, με σαφή και απλή διατύπωση.

  1. Της ανωνυμοποίησης των δεδομένων

Τα δεδομένα πρέπει να επεξεργάζονται κατά τρόπο, που να διασφαλίζεται η μη ταυτοποίηση του υποκειμένου των δεδομένων. Δύο είναι οι προτεινόμενοι τρόποι από τον Κανονισμό, η κρυπτογράφηση και η ψευδωνυμοποίηση.  Κρυπτογράφηση είναι, ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί, χωρίς τη γνώση της σωστής ακολουθίας. Η ακολουθία καλείται «κλειδί» και χρησιμοποιείται σε συνδυασμό με κατάλληλο αλγόριθμο. Η αντίστροφη διαδικασία είναι η αποκρυπτογράφηση και απαιτεί γνώση του κλειδιού. Ψευδωνυμοποίηση είναι, η τεχνική με την οποία τα δεδομένα δεν μπορούν, να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων, χωρίς τη χρήση συμπληρωματικών πληροφοριών. Οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα.  Βασικό παράδειγμα είναι η αντικατάσταση των ευαίσθητων δεδομένων με μη ευαίσθητα, το θόλωμα της εικόνας.

  1. Της ελαχιστοποίησης δεδομένων (άρθρο 5).

Τα δεδομένα που συλλέγονται πρέπει  να είναι κατάλληλα, συναφή, και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

  1. Της λογοδοσίας (άρθρο 5).

Με την αρχή της λογοδοσίας μετατοπίζεται το «βάρος της απόδειξης», από το ενιστάμενο πρόσωπο, στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.

(Αναλυτικά για την «αρχή της λογοδοσίας» στην ανάρτηση «Αρχή της λογοδοσίας στον  GDPR).