Σκοπός

Σκοπός της παρούσας Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «η Πολιτική») είναι να ρυθμίζει τον τρόπο με τον οποίο η Επιτελική Δομή σέβεται και προστατεύει τα δεδομένα προσωπικού χαρακτήρα τα οποία τηρεί και επεξεργάζεται στα πλαίσια των δραστηριοτήτων της.

Ειδικότερα, η παρούσα Πολιτική στοχεύει στην κατανόηση από τα στελέχη και από το προσωπικό της Επιτελικής Δομής (ανεξαρτήτως καθεστώτος απασχόλησης), των βασικών εννοιών και του πλαισίου ευθυνών που συνεπάγεται η διαχείριση προσωπικών δεδομένων σύμφωνα με το Γενικό Κανονισμό για την Προστασία Δεδομένων 679/2016/ΕΕ (εφεξής «ο ΓΚΠΔ»), την εθνική νομοθεσία, τις γνωμοδοτήσεις, αποφάσεις και πράξεις της Εθνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «η ΑΠΔΠΧ») και στην υιοθέτηση σύννομων και ορθών πρακτικών διαχείρισης προσωπικών δεδομένων, με βάση τις διατάξεις της παρούσας Πολιτικής.

Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέχει επιπρόσθετα θέση ενημέρωσης των υποκειμένων των δεδομένων στα οποία κοινοποιείται σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ και αποτελείται από το σύνολο των επιμέρους Πολιτικών της Επιτελικής Δομής που αφορούν:

- Τις υποχρεώσεις και τις ευθύνες του/της ……………………………. ως Υπευθύνου Επεξεργασίας

- Τις υποχρεώσεις, τους ρόλους και τις ευθύνες των απασχολούμενων στην Επιτελική Δομή

- Την Πολιτική Ορθής Λήψης, Διαχείρισης και Ανάκλησης των Συγκαταθέσεων

- Την Πολιτική Ασφαλούς Διαχείρισης προσωπικών δεδομένων

- Την Πολιτική Διατήρησης και Καταστροφής Αρχείων

- Την Πολιτική Διαχείρισης Αιτημάτων των υποκειμένων των δεδομένων για την άσκηση δικαιωμάτων των υποκειμένων των δεδομένων

- Την Πολιτική Διαχείρισης Περιστατικών Παραβίασης Δεδομένων

- Την Πολιτική Χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας

- Την Πολιτική Καθαρού Γραφείου και Οθόνης

Τα στελέχη και το προσωπικό της Επιτελικής Δομής λαμβάνουν γνώση της Πολιτικής και δεσμεύονται να τη μελετήσουν, να θέσουν στη Διοίκηση τυχόν απορίες τους και να τηρούν απαρέγκλιτα τις διατάξεις της Πολιτικής, καθ’ όλο το διάστημα της συνεργασίας τους/απασχόλησής τους στην Επιτελική Δομή, ανεξαρτήτως καθεστώτος.

2. Πεδίο εφαρμογής

Στις διατάξεις της παρούσας Πολιτικής οφείλει να συμμορφώνεται πλήρως η Διοίκηση, τα στελέχη και το Προσωπικό της Επιτελικής Δομής, ανεξαρτήτως βαθμού, καθεστώτος ή ειδικότητας, που απασχολείται επί του παρόντος με συμβάσεις εργασίας ορισμένου ή αορίστου χρόνου, πλήρως ή μερικώς απασχολούμενο Προσωπικό, καθώς και εξωτερικοί συνεργάτες, που παρέχουν υπηρεσίες προς την Επιτελική Δομή, υπό τον όρο ότι απασχολούνται στις εγκαταστάσεις της και προβαίνουν σε επεξεργασία προσωπικών δεδομένων που τηρούνται από την Επιτελική Δομή στα πλαίσια της άσκησης των καθηκόντων τους.

Στην τήρηση της παρούσας Πολιτικής δεσμεύεται επίσης:

- τυχόν πρακτικώς ασκούμενοι ανεξαρτήτως ειδικότητας, καθ’ όλη τη διάρκεια της πρακτικής τους άσκησης στην Επιτελική Δομή.

- κατά περίπτωση οι εκτελούντες επεξεργασία για λογαριασμό της Επιτελικής Δομής.

Η Επιτελική Δομή δεσμεύεται να γνωστοποιεί την παρούσα Πολιτική σε κάθε παρόν ή νέο στέλεχος, εργαζόμενο, συνεργάτη, πρακτικώς ασκούμενο, εκτελούντα επεξεργασία σύμφωνα με τα παραπάνω και να διασφαλίζει με πρόσφορο μέσο τη γνώση και τη δέσμευση αυτών για την ορθή τήρηση της Πολιτικής και των πρακτικών που περιγράφονται εντός της ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

3. Βασικοί Ορισμοί- Αρχές νόμιμης επεξεργασίας

3.1. Η Επιτελική Δομή έχει δεσμευθεί να σέβεται και να προστατεύει τα προσωπικά δεδομένα τα οποία συλλέγει και επεξεργάζεται στα πλαίσια των δραστηριοτήτων της, συμμορφούμενη πλήρως με τις υποχρεώσεις που απορρέουν από το Ευρωπαϊκό και το εσωτερικό Κανονιστικό Πλαίσιο για την προστασία προσωπικών δεδομένων. Για τους σκοπούς της ορθής εφαρμογής της Πολιτικής, η Επιτελική Δομή ενημερώνει τους υπόχρεους για την τήρηση της Πολιτικής για τους παρακάτω ορισμούς σύμφωνα με τη νομοθεσία:

«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»).· Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.

«Υποκείμενο των δεδομένων» το ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο τα δεδομένα του οποίου υποβάλλονται σε επεξεργασία. Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

«Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα)»: κάθε πληροφορία που αφορά στη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν στην υγεία ή δεδομένων που αφορούν στη σεξουαλική ζωή φυσικού προσώπου ή στον γενετήσιο προσανατολισμό προσωπικού χαρακτήρα. Ως ευαίσθητα δεδομένα νοούνται και αυτά που αναφέρονται σε ποινικά αδικήματα και ποινικές καταδίκες.

«Δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

«Κατάρτιση προφίλ»: είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση/πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις ενός φυσικού προσώπου.

«Περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.

«Ανωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων.

«Ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

«Αρχείο δεδομένων»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο, είτε αποκεντρωμένο, είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.

«Συγκατάθεση»: του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

«Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Υπεύθυνος Επεξεργασίας είναι η Επιτελική Δομή.

«Από κοινού υπεύθυνοι επεξεργασίας»: δύο ή περισσότεροι υπεύθυνοι επεξεργασίας, οι οποίοι καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας.

«Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

«Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον, είτε όχι.

«Παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

3.2. Αρχές νόμιμης επεξεργασίας προσωπικών δεδομένων:

Κάθε επεξεργασία προσωπικών δεδομένων από την Επιτελική Δομή θα πρέπει να υπακούει στις ακόλουθες αρχές, προκειμένου να θεωρείται νόμιμη και να πληροί τις απαιτήσεις του ΓΚΠΔ και του εθνικού νομοθετικού πλαισίου για την προστασία δεδομένων:

Τα προσωπικά δεδομένα πρέπει να

- υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), Επισημαίνεται ότι δεν επιτρέπεται να καταφεύγει κανείς σε παραπλανητικές ή αθέμιτες μεθόδους ιδίως ως προς τη συλλογή των προσωπικών δεδομένων ή για τη θεμελίωση της επεξεργασίας στη συγκατάθεση

- συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς. Κάθε συλλογή (κατηγορίας) προσωπικών δεδομένων θα πρέπει να συσχετίζεται με έναν καθορισμένο και συγκεκριμένο σκοπό (όχι γενικού χαρακτήρα όπως π.χ. «άσκηση αρμοδιοτήτων»). Ο προσδιορισμός του σκοπού είναι σημαντικός γιατί σε συνδυασμό με αυτόν κρίνεται και η συμμόρφωση με τις άλλες αρχές. Τα προσωπικά δεδομένα δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους αρχικούς σκοπούς . Απαγορεύεται δηλ. η περαιτέρω επεξεργασία για σκοπούς που δεν έχουν συνάφεια με τον αρχικό. Ωστόσο θεωρείται συμβατή η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»).

- είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία μέτρο («ελαχιστοποίηση των δεδομένων»). Δεν πρέπει να συλλέγονται και να υποβάλλονται σε επεξεργασία προσωπικά δεδομένα που δεν είναι απαραίτητα και κατάλληλα για την επίτευξη του σκοπού επεξεργασίας, είναι άσχετα με τον σκοπό ή είναι περισσότερα από αυτά που χρειάζονται.

- είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται ώστε να μη δίδουν μία ασαφή, εσφαλμένη ή μη επίκαιρη «εικόνα» ως προς το πρόσωπο, τα δεδομένα του οποίου υπόκεινται σε επεξεργασία. Συγκεκριμένα είναι υποχρέωση να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»). Σημειώνεται ότι εκτός της ρητής υποχρέωσης αυτής ο Κανονισμός κατοχυρώνει τη διόρθωση/ επικαιροποίηση και ως δικαιώματα του υποκειμένου των δεδομένων.

- διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Το διάστημα αυτό σχετίζεται και με τη νομική βάση επί της οποίας θεμελιώνεται η επεξεργασία ενώ σε αρκετές περιπτώσεις προσδιορίζεται από νομοθετική ρύθμιση που διέπει άλλες υποχρεώσεις του Υπευθύνου Επεξεργασίας, όπως π.χ. φορολογικές διατάξεις. Σημαντικές για το διάστημα τήρησης είναι και οι προθεσμίες για την άσκηση ελέγχων που προβλέπονται από τον νόμο ή συμβατικές δεσμεύσεις (π.χ. έλεγχος δαπανών / παραστατικών σε ένα έργο). Η διάρκεια τήρησης μπορεί να καθορίζεται και από τις προθεσμίες που προβλέπει η νομοθεσία για την θεμελίωση, άσκηση ή/και υποστήριξη δικαιώματος ενώπιον δικαστηρίου (ή και διαιτητικού/ διοικητικού οργάνου). Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»).

- υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

4. Νόμιμες βάσεις επεξεργασίας προσωπικών δεδομένων

Οποιαδήποτε επεξεργασία προσωπικών δεδομένων από την Επιτελική Δομή στα πλαίσια των σκοπών και της δραστηριότητάς της Επιτελικής Δομής θα πρέπει να εδράζεται σε νόμιμη βάση επεξεργασίας.

Οι νόμιμες βάσεις επεξεργασίας σύμφωνα με το ΓΚΠΔ είναι οι εξής:

- Η συγκατάθεση του υποκειμένου των δεδομένων για έναν ή περισσότερους σκοπούς.

- Η εκτέλεση σύμβασης, της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος, ή η λήψη μέτρων κατ’ αίτηση του υποκειμένου των δεδομένων στο προσυμβατικό στάδιο. Η βάση αυτή έχει ιδιαίτερη σημασία για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο και για τους σκοπούς των συμβάσεων εργασίας/ έργου.

- Η συμμόρφωση με έννομη υποχρέωση του υπευθύνου της επεξεργασίας, εν προκειμένω της Επιτελικής Δομής.

- Η διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η νομική αυτή βάση είναι εξαιρετική και πρέπει να γίνεται χρήση της μόνο εφόσον διαπιστώνεται ανάγκη διαφύλαξης ζωτικού συμφέροντος (δηλ. συμφέροντος που σχετίζεται με τη ζωή ή την (ανήκεστο/ σοβαρή) βλάβη της υγείας ενός προσώπου).

- Η εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας του Υπευθύνου Επεξεργασίας.

- Η εκπλήρωση έννομων συμφερόντων του Υπευθύνου Επεξεργασίας, υπό τον όρο ότι δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των προσωπικών του δεδομένων.

Οι νόμιμες βάσεις επεξεργασίας ευαίσθητων προσωπικών δεδομένων είναι οι εξής:

- η [ρητή] συγκατάθεση του υποκειμένου για έναν ή περισσότερους συγκεκριμένους σκοπούς.

- η εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων.

- η προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.

- η επεξεργασία στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.

- η επεξεργασία προδήλως δημοσιοποιημένων προσωπικών δεδομένων.

- η θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα.

- η επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

- η επεξεργασία για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας.

- η επεξεργασία για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας,

- η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

5. Υποχρεώσεις – Ρόλοι – Ευθύνες.

Η τήρηση και επεξεργασία προσωπικών δεδομένων από την Επιτελική Δομή συνεπάγεται υποχρεώσεις και ευθύνες για τη διοίκηση, τα στελέχη, το προσωπικό και τους συνεργάτες της, αναλόγως της θέσης και των καθηκόντων τους.

5.1. Υποχρεώσεις Διοίκησης:

Η Διοίκηση της Επιτελικής Δομής, έχει τις εξής υποχρεώσεις:

- Καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων.

- Δίνει εντολές και κατευθύνσεις στο προσωπικό, τους συνεργάτες, καθώς και σε τυχόν εκτελούντες επεξεργασία για λογαριασμό της Επιτελικής Δομής.

- Διασφαλίζει τη νομιμότητα της επεξεργασίας των δεδομένων και την τήρηση των ορθών διαδικασιών και πρακτικών επεξεργασίας δεδομένων από όλα τα στελέχη, το προσωπικό και τους συνεργάτες της Επιτελικής Δομής.

- Διασφαλίζει την ορθή συμβατική δέσμευση και την επίβλεψη των μέτρων ασφαλείας τυχόν εκτελούντων την επεξεργασία.

- Διασφαλίζει την τήρηση της ασφάλειας, του απορρήτου και της εμπιστευτικότητας των προσωπικών δεδομένων από όλα τα στελέχη, το προσωπικό και τους συνεργάτες μέσω των απαραίτητων δεσμεύσεων.

- Διασφαλίζει την ορθή τήρηση της παρούσας Πολιτικής.

- Διασφαλίζει την εκπαίδευση και την επιμόρφωση του Προσωπικού αναφορικά με τις υποχρεώσεις του.

- Φέρει εν γένει και οφείλει να αποδείξει τη συμμόρφωση της Επιτελικής Δομής με τις προϋποθέσεις του ΓΚΠΔ ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, των δικαστηρίων ή/και κάθε άλλης Εποπτικής Αρχής.

5.2. Ρόλος και Υποχρεώσεις Υπευθύνου Προστασίας Δεδομένων:

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) της Επιτελικής Δομής είναι αρμόδιος για την παρακολούθηση της συμμόρφωσης της Επιτελικής Δομής με τον ΓΚΠΔ και τη νομοθεσία περί προστασίας προσωπικών δεδομένων. Διορίζεται επί τη βάσει των επαγγελματικών προσόντων και ιδίως της εμπειρογνωσίας του στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων και μπορεί να είναι μέλος του προσωπικού ή να παρέχει τις υπηρεσίες του βάσει σύμβασης παροχής υπηρεσιών (φυσικό ή νομικό πρόσωπο). Ενεργεί ως το κεντρικό σημείο επικοινωνίας για κάθε ζήτημα που άπτεται της προστασίας δεδομένων προσωπικού χαρακτήρα και δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων από τη Διοίκηση. Δεν απολύεται ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του. Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο της Επιτελικής Δομής και έχει τα εξής καθήκοντα:

- Ενημερώνει και συμβουλεύει την Επιτελική Δομή και το προσωπικό, συνεργάτες, εκτελούντες επεξεργασία αυτής αναφορικά με τις υποχρεώσεις τους που απορρέουν από τον ΓΚΠΔ και από άλλες εθνικές ή κοινοτικές διατάξεις σχετικά με την προστασία δεδομένων,

- Παρακολουθεί τη συμμόρφωση με τον ΓΚΠΔ και με τις εθνικές ή κοινοτικές διατάξεις σχετικά με την προστασία δεδομένων και με την παρούσα Πολιτική

- Εισηγείται στη διοίκηση μέτρα και πολιτικές προστασίας των προσωπικών δεδομένων.

- Συνεργάζεται με τη Διοίκηση αναφορικά με την κατανομή αρμοδιοτήτων στο ανθρώπινο δυναμικό, καθώς και την εκπαίδευση και την κατάρτιση των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας της Επιτελικής Δομής

- Προβαίνει σε ελέγχους αναφορικά με τη συμμόρφωση του προσωπικού, των συνεργατών και τυχόν εκτελούντων της Επιτελικής Δομής με τον ΓΚΠΔ, την εθνική νομοθεσία και την παρούσα Πολιτική

- Συντονίζει τη διατμηματική συνεργασία για τη δημιουργία μίας διαρκούς κουλτούρας προστασίας των δεδομένων ως πολύτιμου εταιρικού περιουσιακού στοιχείου

- Παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (άρθρο 35 ΓΚΠΔ) και παρακολουθεί την υλοποίησή της

- Συνεργάζεται με την ΑΠΔΠΧ για οποιοδήποτε ζήτημα προστασίας προσωπικών δεδομένων της Επιτελικής Δομής και ενεργεί ως σημείο επικοινωνίας με αυτήν για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του ΓΚΠΔ και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

- Αναλαμβάνει το συντονισμό και διαχείριση των αποκρίσεων σε περιστατικά ασφάλειας που σχετίζονται με δεδομένα προσωπικού χαρακτήρα (π.χ. μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη).

- Ενημερώνεται για τα αιτήματα των υποκειμένων για την άσκηση δικαιωμάτων και αναλαμβάνει τη διαχείριση της απόκρισης σε αυτά.

Οι απασχολούμενοι στην Επιτελική Δομή μπορούν υπό την ιδιότητα των να απευθύνονται στον Υπεύθυνο Προστασίας Δεδομένων για την άσκηση των δικαιωμάτων τους.

Ο Υπεύθυνος Προστασίας Δεδομένων έχει αρμοδιότητα για όλα τα θέματα που αφορούν στην προστασία προσωπικών δεδομένων στην Επιτελική Δομή. Για το λόγο αυτό, πρέπει να έχει πρόσβαση σε όλα τα αρχεία και στα συστήματα της Επιτελικής Δομής. Ο Υπεύθυνος Προστασίας Δεδομένων όπως και ο Αναπληρωτής του / δεσμεύεται από ιδιαίτερους όρους εμπιστευτικότητας.

Σύμφωνα με τον ΓΚΠΔ (αρ. 37 ΓΚΠΔ) και τις Κατευθυντήριες Οδηγίες της Ευρωπαϊκής Ομάδας Εργασίας Προσωπικών Δεδομένων, η Επιτελική Δομή δεν πληροί τις απαιτήσεις για τον υποχρεωτικό ορισμό ΥΠΔ:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας

β) οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ) οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

Σύσταση: Με βάση τα όσα αναπτύχθηκαν ανωτέρω, και των Κατευθυντήριων, δεν απαιτείται ο ορισμός ΥΠΔ από την Επιτελική Δομή. Προτείνεται ο ορισμός στελέχους της Επιτελικής Δομής για την κατ’ αναλογία άσκηση των καθηκόντων του ΥΠΔ και τη λειτουργία του ως προσώπου αναφοράς στο εταιρικό περιβάλλον για την προστασία των προσωπικών δεδομένων.

Σε κάθε περίπτωση η Επιτελική Δομή διατηρεί την ευχέρεια ορισμού ΥΠΔ σε εθελοντική βάση.

Αρμόδιος για την Προστασία Δεδομένων της Επιτελικής Δομής ορίζεται ο/η ………………………………………………………………….

Στοιχεία Επικοινωνίας:

Email: dpo@…………………………gr

Τηλέφωνο: ………………………………..

Ταχυδρομική Διεύθυνση: …………………………………….

5.3. Υποχρεώσεις προσωπικού

Το προσωπικό και οι συνεργάτες της Επιτελικής Δομής οφείλουν να τηρούν τις εντολές της Επιτελικής Δομής και τις οδηγίες του DPO ως προς την ορθή τήρηση και επεξεργασία των προσωπικών δεδομένων στα πλαίσια της άσκησης των καθηκόντων τους, περιλαμβανομένων και των δεδομένων ειδικών κατηγοριών, τα οποία επεξεργάζονται στα πλαίσια των καθηκόντων τους. Ειδικότερα οι εργαζόμενοι που απασχολούνται από την Επιτελική Δομή, ανεξαρτήτως καθεστώτος, υπέχουν τις εξής υποχρεώσεις:

- Να τηρούν τον εμπιστευτικό χαρακτήρα των προσωπικών δεδομένων τα οποία περιέρχονται εις γνώση τους και τα οποία επεξεργάζονται στο πλαίσιο της άσκησης των καθηκόντων του ή επ’ ευκαιρία αυτής και να μην προβαίνουν σε κοινοποίηση, διαβίβαση ή καθ’ οιονδήποτε άλλον τρόπο αποκάλυψη αυτών σε τρίτους, παρά μόνον εφόσον αυτό καθίσταται απολύτως απαραίτητο στο πλαίσιο της άσκησης των καθηκόντων τους ή απαιτείται από διάταξη νόμου. Ως «τρίτος» νοείται κάθε φυσικό ή νομικό πρόσωπο, περιλαμβανομένων –ενδεικτικά και όχι περιοριστικά-, των εξωτερικών συνεργατών και προμηθευτών της Επιτελικής Δομής, καθώς και προσώπων του οικογενειακού, φιλικού και κοινωνικού περιβάλλοντος του εργαζομένου. Ως τρίτος νοείται και μέλος του προσωπικού της Επιτελικής Δομής, εφόσον η άσκηση των καθηκόντων ή της εργασίας που τους έχει ανατεθεί δεν προϋποθέτει ή/και απαιτεί την κοινοποίηση και γνώση των ως άνω δεδομένων.

- Να χρησιμοποιούν και να διαχειρίζονται τα προσωπικά δεδομένα αποκλειστικά για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία από την Επιτελική Δομή τηρώντας τις εντολές αυτής.

- Να μην προβαίνουν σε αθέμιτη ή μη εξουσιοδοτημένη πρόσβαση, επέμβαση, συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, χρήση, διάδοση και κάθε άλλης μορφής διάθεση, συσχετισμό, συνδυασμό, περιορισμό, διαγραφή ή η καταστροφή δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας ή και περιλαμβάνονται σε ηλεκτρονικό ή φυσικό αρχείο της Επιτελικής Δομής.

- Να συμμορφώνονται και να ακολουθούν τις εντολές, υποδείξεις και οδηγίες που έχουν λάβει ειδικά από την Επιτελική Δομή, ή γνωρίζουν λόγω της φύσης των καθηκόντων του αναφορικά με τα μέτρα φυσικής, οργανωτικής και τεχνικής ασφάλειας για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των προσωπικών δεδομένων.

- Οι υπάλληλοι κι εν γένει οι απασχολούμενοι υποχρεούνται να ανακοινώνουν στην Επιτελική Δομή οποιαδήποτε παραβίαση των κανόνων και οδηγιών επεξεργασίας προσωπικών δεδομένων ή παραβίαση της ασφάλειας αυτών υποπέσει στην αντίληψή τους. Ειδικότερα οφείλουν να ενημερώνουν εγκαίρως, την Επιτελική Δομή για οποιαδήποτε παραβίαση προσωπικών δεδομένων υποπέσει στην αντίληψή του, περιλαμβανομένων των ενεργειών που απαριθμούνται στον όρο 4 του παρόντος, καθώς και για οποιαδήποτε παραβίαση της ασφάλειας του φυσικού ή/και του ηλεκτρονικού αρχείου των προσωπικών δεδομένων εν γένει, η οποία συνεπάγεται ή μπορεί να οδηγήσει σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα ηλεκτρονικά ή φυσικά αρχεία της Επιτελικής Δομής.

- Να επικοινωνούν με τα αρμόδια στελέχη της Επιτελικής Δομής για οποιαδήποτε δική τους απορία αναφορικά με την προστασία προσωπικών δεδομένων και για οποιοδήποτε ζήτημα προσωπικών δεδομένων τεθεί υπόψιν τους ή υποπέσει στην αντίληψή τους στα πλαίσια της άσκησης των καθηκόντων τους ή/και εν γένει κατά τις ώρες παραμονής τους στους χώρους και εγκαταστάσεις της Επιτελικής Δομής, περιλαμβανομένων αιτημάτων των προσώπων (υποκειμένων των δεδομένων) να ασκήσουν τα δικαιώματα που τους αναγνωρίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων 679/2016 (ενημέρωση, πρόσβαση, διόρθωση, εναντίωση, διαγραφή, περιορισμός της επεξεργασίας, φορητότητα, εναντίωση στο profiling, καταγγελία στην Εποπτική Αρχή), παραπόνων αναφορικά με την προστασία των προσωπικών τους δεδομένων, παραλείψεων και μη τήρησης των τεχνικών και οργανωτικών μέτρων ασφαλείας των προσωπικών δεδομένων και των όρων του παρόντος Κανονισμού κλπ.

- Να παρέχουν εν γένει κάθε βοήθεια στην Επιτελική Δομή προκειμένου να προστατεύσει τον απόρρητο χαρακτήρα, την ασφάλεια και την εμπιστευτικότητα των προσωπικών δεδομένων τα οποία οι ίδιοι ή τρίτοι , άμεσα ή έμμεσα, αποκάλυψαν ή άλλως διέθεσαν σε μη εξουσιοδοτημένο χρήστη ή κάτοχο και να συνεργάζονται με την Επιτελική Δομή, ώστε αυτή να ανακτήσει την κατοχή των προσωπικών δεδομένων και να εμποδίσει περαιτέρω μη εξουσιοδοτημένη χρήση ή αποκάλυψη ή καθ’ οιονδήποτε άλλο τρόπο παραβίαση της ασφάλειας των προσωπικών δεδομένων που τηρεί η Επιτελική Δομή .

- Σε περίπτωση που κάποιος εργαζόμενος νόμιμα κληθεί να αποκαλύψει προσωπικά δεδομένα, πέραν όσων απαιτούνται στα πλαίσια της άσκησης των καθηκόντων του ο εργαζόμενος θα παράσχει άμεσα στην Επιτελική Δομή έγγραφη ειδοποίηση πριν την εν λόγω αποκάλυψη, προκειμένου να της επιτραπεί να ασκήσει όλα τα νόμιμα δικαιώματά της ενώπιον όλων των αρχών ή/και δικαστηρίων, εκτός εάν η ειδοποίηση αυτή απαγορεύεται από τον νόμο.

- Σε περίπτωση λήξης της συνεργασίας με την Επιτελική Δομή, με πρωτοβουλία οιουδήποτε εκ των συμβαλλομένων μερών, οι εργαζόμενοι αναγνωρίζουν ότι δεν έχουν κανένα δικαίωμα επεξεργασίας των προσωπικών δεδομένων που τηρεί η Επιτελική Δομή και κανένα δικαίωμα πρόσβασης στα φυσικά και ηλεκτρονικά αρχεία προσωπικών δεδομένων της Επιτελικής Δομής, περιλαμβανομένης και της εταιρικής ηλεκτρονικής αλληλογραφίας, και ως εκ τούτου, υποχρεούνται:

α) Να παραδώσουν αμέσως στην Επιτελική Δομή τυχόν ηλεκτρονικά αρχεία ή έγγραφα που περιέχουν προσωπικά δεδομένα, τα οποία βρίσκονται στην κατοχή τους ή σε τρίτους και να προσκομίσουν έγγραφη βεβαίωση με την οποία θα δηλώνουν ότι δεν έχουν κρατήσει στην κατοχή τους έγγραφα, ηλεκτρονικά αρχεία ή οποιασδήποτε άλλης μορφής αντίγραφα των προσωπικών δεδομένων που τηρεί η Επιτελική Δομή και ότι έχουν επιστρέψει κάθε φυσικό αρχείο και έχουν διαγράψει από κάθε ηλεκτρονική συσκευή που έχουν στην κατοχή τους (κινητό τηλέφωνο, Η/Υ, φορητές συσκευές αποθήκευσης κλπ.) οποιοδήποτε αρχείο προσωπικών δεδομένων στο οποίο είχαν φυσική ή ηλεκτρονική πρόσβαση κατά την διάρκεια της συνεργασίας τους με την Επιτελική Δομή.

β) Να μην απομακρύνουν από τις εγκαταστάσεις της Επιτελικής Δομής χωρίς να εξουσιοδοτηθούν ή να τους δοθούν οδηγίες από το νόμιμο εκπρόσωπο ή εξουσιοδοτημένο πρόσωπο σχετικώς, οιοδήποτε έγγραφο, αντικείμενο ή αρχείο που περιέχει προσωπικά δεδομένα, ή φωτοτυπία ή οποιαδήποτε άλλη αναπαραγωγή αυτού.

γ) Να απέχουν από κάθε κακόβουλη ενέργεια, όπως καταστροφή, διαγραφή, αναπαραγωγή, αντιγραφή, κοινοποίηση, δημοσιοποίηση, διάδοση κ.ο.κ. προσωπικών δεδομένων, τα οποία περιλαμβάνονται σε φυσικό ή/και ηλεκτρονικό αρχείο της Επιτελικής Δομής και να απέχουν από κάθε παραβίαση καθ’ οιονδήποτε τρόπο της ασφάλειας, της εμπιστευτικότητας και του απόρρητου χαρακτήρα των προσωπικών δεδομένων της Επιτελικής Δομής

δ) Να τηρούν όλες τις παραπάνω υποχρεώσεις μετά το πέρας της συνεργασίας τους με την Επιτελική Δομή για αόριστη χρονική περίοδο.

6. Ασφαλής Διαχείριση Προσωπικών Δεδομένων

H Επιτελική Δομή δεσμεύεται να διαχειρίζεται με ασφάλεια τα προσωπικά δεδομένα, τα οποία τηρεί και των οποίων προβαίνει σε επεξεργασία. Η δέσμευση αυτή αφορά τη Διοίκηση, το προσωπικό, τους συνεργάτες ανεξαρτήτως καθεστώτος, καθώς και τυχόν εκτελούντες επεξεργασία για λογαριασμό της Επιτελικής Δομής.

Η υποχρέωση ασφαλούς διαχείρισης προσωπικών δεδομένων εκτείνεται:

- Σε φυσικά αρχεία προσωπικών δεδομένων, όπως είναι, ενδεικτικά και όχι περιοριστικά, κάθε έντυπο σε φυσική (έγχαρτη) μορφή που περιέχει προσωπικά δεδομένα, οι φάκελοι του προσωπικού, τα βιογραφικά σημειώματα, κ.α.

- Σε ηλεκτρονικά αρχεία κάθε είδους.

- Σε φωτογραφίες, μαγνητοφωνήσεις και εν γένει οπτικοακουστικό υλικό που τυχόν χρησιμοποιείται για έρευνες, εκδηλώσεις, δραστηριότητες

Η ασφαλής τήρηση και επεξεργασία προσωπικών δεδομένων περιλαμβάνει τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας και την υιοθέτηση ορθών πρακτικών διαχείρισης προσωπικών δεδομένων. Ειδικότερα:

- Τα φυσικά αρχεία προσωπικών δεδομένων θα πρέπει να τηρούνται σε προστατευμένους και κλειδωμένους χώρους (κλειδωμένα ντουλάπια, κλειδωμένα συρτάρια κλπ.), τα κλειδιά των οποίων κατέχουν μόνον τα μέλη εκείνα του προσωπικού τα οποία νομιμοποιούνται να έχουν πρόσβαση βάσει των καθηκόντων τους.

- Ιδιαίτερη προσοχή δίνεται στην ασφαλή τήρηση και την προστασία του απορρήτου των φυσικών αρχείων που περιλαμβάνουν δεδομένα ειδικών κατηγοριών (ευαίσθητα προσωπικά δεδομένα). Η τήρηση των αρχείων αυτών ανατίθεται από την Επιτελική Δομή σε πρόσωπα που δεσμεύονται με ρήτρα εχεμύθειας και η επεξεργασία των δεδομένων λαμβάνει χώρα αποκλειστικά στα πλαίσια των σκοπών και των δραστηριοτήτων της Επιτελικής Δομής.

- Η περαιτέρω επεξεργασία των προσωπικών δεδομένων επιτρέπεται μόνον για στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, υπό τον όρο της λήψης των απαραίτητων μέτρων προστασίας των δεδομένων τους, περιλαμβανομένων και τεχνικών κωδικοποίησης και ανωνυμοποίησης των δεδομένων.

- Τα ηλεκτρονικά αρχεία, η διαχείριση ηλεκτρονικού ταχυδρομείου και τυχόν απομακρυσμένη πρόσβαση στα ηλεκτρονικά συστήματα της Επιτελικής Δομής από το προσωπικό της γίνεται σύμφωνα με τους όρους και τις διαδικασίες που περιγράφονται στην Πολιτική Ασφαλείας (IT Security Policy) της Επιτελικής Δομής.

- Η ανάθεση επεξεργασίας δεδομένων σε τρίτους εκτελούντες γίνεται με τις απαραίτητες συμβατικές δεσμεύσεις και ελέγχεται ανά τακτά χρονικά διαστήματα η λήψη των απαραίτητων μέτρων ασφαλείας από αυτούς, σύμφωνα με τους συμβατικούς όρους και τις απαιτήσεις του ΓΚΠΔ.

- Η Επιτελική Δομή τηρεί Αρχείο Δραστηριοτήτων Επεξεργασίας. Αρμόδιος για τη συμπλήρωση και επικαιροποίηση του Αρχείου είναι.

- Σε περίπτωση τυχόν παραβίασης των δεδομένων, το προσωπικό και τα στελέχη της Επιτελικής Δομής ακολουθούν τη διαδικασία διαχείρισης περιστατικών παραβίασης που περιγράφεται στην παρούσα Πολιτική.

- Η Επιτελική Δομή δια των αρμοδίων στελεχών της τηρεί φάκελο των απαραίτητων νομικών εγγράφων συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ (έντυπα συγκατάθεσης, συμβάσεις ανάθεσης επεξεργασίας, ρήτρες και συμφωνίες εμπιστευτικότητας) , καθώς και με τις Πολιτικές και Διαδικασίες της ως προς την ορθή διαχείριση των προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις του ΓΚΠΔ.

7. Πολιτική Διατήρησης και Καταστροφής αρχείων

7.1. Πεδίο εφαρμογής: Η Πολιτική Διατήρησης και Καταστροφής Αρχείων ισχύει για όλα τα φυσικά αρχεία που τηρούνται στα πλαίσια της λειτουργίας και δραστηριότητας της Επιτελικής Δομής, συμπεριλαμβανομένων των πρωτότυπων εγγράφων και των αντιγράφων. Ισχύει επίσης για τα ηλεκτρονικά αρχεία της Επιτελικής Δομής. Η Πολιτική αυτή δεσμεύει τη Διοίκηση, τα στελέχη, το προσωπικό και τους εξωτερικούς συνεργάτες ή/και εκτελούντες επεξεργασία της Επιτελικής Δομής, στο βαθμό που αναλαμβάνουν τη διαχείριση και αποθήκευση αρχείων της Επιτελικής Δομής, τα οποία (αρχεία) περιέχουν προσωπικά δεδομένα.

7.2. Αρμοδιότητες: Η Επιτελική Δομή ορίζει το χρόνο τήρησης των φυσικών και ηλεκτρονικών αρχείων προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις της αρχής του περιορισμού της περιόδου αποθήκευσης που επιβάλλει ο ΓΚΠΔ, τις προβλέψεις της εκάστοτε ισχύουσας εθνικής νομοθεσίας για το χρόνο τήρησης αρχείων ανά κατηγορία.

Η Διοίκηση της Επιτελικής Δομής μπορεί να δώσει εντολή παράτασης του χρόνου διατήρησης ενός αρχείου για λόγους νομικούς, λογιστικούς – ελεγκτικούς και φορολογικούς ή άλλους λόγους. Στην περίπτωση αυτή, αρμόδιο στέλεχος της Επιτελικής Δομής αναλαμβάνει τη γνωστοποίηση της ύπαρξης και του περιεχομένου της εντολής διατήρησης ενός αρχείου προς το προσωπικό που επεξεργάζεται το σχετικό αρχείο και τη λήψη μέτρων διασφάλισης ότι το εν λόγω αρχείο δεν θα καταστραφεί/διαλυθεί από το προσωπικό.

αρμόδιο στέλεχος της Επιτελικής Δομής αναλαμβάνει την επίβλεψη της ορθής τήρησης της Πολιτικής Διατήρησης και Καταστροφής αρχείων της Επιτελικής Δομής, προβαίνοντας στις ακόλουθες ενέργειες:

- Είναι αρμόδιος για την τήρηση και τροποποίηση του Χρονοδιαγράμματος Διατήρησης Αρχείων όποτε κρίνεται απαραίτητο για τη συμμόρφωση με τις εκάστοτε νομοθετικές απαιτήσεις (νομικές, λογιστικές-ελεγκτικές, φορολογικές, απαιτήσεις τήρησης αρχείων).

- Συμπληρώνει το Χρονοδιάγραμμα Διατήρησης Αρχείων με νέες κατηγορίες εγγράφων και αρχείων της Επιτελικής Δομής.

- Επανεξετάζει ετησίως το Χρονοδιάγραμμα Διατήρησης Αρχείων.

- Παρακολουθεί τη συμμόρφωση της Επιτελικής Δομής με αυτήν την Πολιτική.

- Προτείνει μεθόδους ασφαλούς καταστροφής φυσικών αρχείων (π.χ. καταστροφέας εγγράφων) και οριστικής διαγραφής ηλεκτρονικών αρχείων

Όλα τα μέλη του προσωπικού είναι υπεύθυνα για:

- Τη δημιουργία και τη διατήρηση αρχείων τα οποία σχετίζονται με το αντικείμενο της εργασίας τους.

- Την αποθήκευση των αρχείων σε εγκεκριμένα αποθηκευτικά μέσα.

- Τη συμμόρφωση με την πολιτική και τις διαδικασίες διαχείρισης αρχείων της Επιτελικής Δομής

- Την καταστροφή/διαγραφή των αρχείων που έχουν φτάσει στο τέλος της περιόδου διατήρησής τους με τις ενδεδειγμένες μεθόδους.

7.3. Χρονοδιάγραμμα τήρησης αρχείων

Ενδεικτικά έχουν τεθεί ορισμένα αρχεία, η τήρηση των οποίων είτε προκύπτει από τη χαρτογράφηση, είτε αποτελεί κοινή γνώση. Η Επιτελική Δομή μπορεί να συμπληρώνει και να προσθαφαιρεί αναλόγως

Τύπος αρχείου	Περίοδος διατήρησης
Βιογραφικά σημειώματα	Διετία κατ’ ανώτατον δύο έτη
Φάκελος εργαζομένων	Καθ’ όλη τη διάρκεια της εργασιακής σχέσης και προθεσμία της παραγραφής μετά το πέρας αυτής για πέντε έτη. Είκοσι έτη σε περίπτωση που ο πρώην εργαζόμενος εγείρει αξίωση αδικαιολόγητου πλουτισμού κατά της Επιτελικής Δομής ή σωρεύσει τέτοια αξίωση σε εργατική αγωγή.
Στοιχεία πελατών	Να συμπληρωθεί από την Επιτελική Δομή
Στοιχεία τιμολόγησης υπηρεσιών	Να συμπληρωθεί από την Επιτελική Δομή μετά το πέρας της έκδοσης του τιμολογίου για σκοπούς φορολογικού ελέγχου
Στοιχεία προμηθευτών
Δεδομένα ερευνών
Δεδομένα ηλεκτρονικού ταχυδρομείου και λοιπά ηλεκτρονικά έγγραφα	Τα δεδομένα εταιρικής ηλεκτρονικής αλληλογραφίας τηρούνται για 12 μήνες ως «ενεργό» αρχείο/Ο χρόνος τήρησης των λοιπών ηλεκτρονικών εγγράφων (πχ. PDF αρχεία) κρίνεται ανάλογα με το περιεχόμενό του.
Άλλο-προσδιορίστε

8. Λήψη, διαχείριση, ανάκληση συγκαταθέσεων

Η Επιτελική Δομή, μεριμνά για την εξασφάλιση της ορθής λήψης της συγκατάθεσης των υποκειμένων των δεδομένων, στις περιπτώσεις κατά τις οποίες η νόμιμη βάση επεξεργασίας των δεδομένων είναι η συγκατάθεση του υποκειμένου των δεδομένων. Ειδικότερα, η Επιτελική Δομή προβαίνει στις απαιτούμενες ενέργειες προκειμένου:

- Να ενημερώνει πλήρως τα υποκείμενα σύμφωνα με τις απαιτήσεις των άρθρων 13 και 14 του Κανονισμού, πριν από τη λήψη της συγκατάθεσης, με απλή, συνοπτική και κατανοητή γλώσσα και σε εύκολα προσβάσιμη μορφή.

Χρόνος ενημέρωσης

- Κατά τη συλλογή των δεδομένων από την Επιτελική Δομή

- Πριν από κάθε περαιτέρω επεξεργασία αυτών για διαφορετικούς σκοπούς

- Εντός 1 μηνός από την πρώτη επικοινωνία με το υποκείμενο (όταν ληφθούν τα δεδομένα από τρίτον)

- Κατά την πρώτη κοινοποίηση σε αποδέκτη

Η ενημέρωση αυτή έχει κατ’ ελάχιστο το ακόλουθο περιεχόμενο

Ταυτότητα & στοιχεία επικοινωνίας υπευθύνου επεξεργασίας/εκπροσώπου/υπευθύνου προστασίας δεδομένων

Πηγή προέλευσης προσωπικών δεδομένων

Σκοπός & νόμιμη βάση επεξεργασίας

Κατηγορίες προσωπικών δεδομένων

Αποδέκτες/κατηγορίες αποδεκτών

Διασυνοριακή διαβίβαση εκτός ΕΕ

Περίοδος αποθήκευσης ή κριτήρια καθορισμού αυτής

Δικαιώματα του υποκειμένου

Δικαίωμα ανάκλησης της συγκατάθεσης

Δικαίωμα καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Νομική/συμβατική υποχρέωση παροχής δεδομένων/ υποχρέωση του υποκειμένου για παροχή/συνέπειες μη παροχής

Αυτοματοποιημένη λήψη αποφάσεων + profiling

- Να λαμβάνει τη συγκατάθεση του υποκειμένου εγγράφως ή σε ηλεκτρονική μορφή. Σε περίπτωση συγκατάθεσης του υποκειμένου των δεδομένων με θετική ενέργεια (π.χ. αποστολή βιογραφικού σημειώματος), να λαμβάνει μέριμνα για την ενημέρωση των υποκειμένων των δεδομένων ότι συγκεκριμένη ενέργεια αυτών συνεπάγεται τη συγκατάθεσή τους στην επεξεργασία των δεδομένων τους, το χρόνο τήρησης αυτών καθώς και το δικαίωμα ανάκλησης της συγκατάθεσής τους.

- Να τηρεί με την επιμέλεια αρμοδίου στελέχους της αρχείο των έγγραφων/ηλεκτρονικών συγκαταθέσεων των υποκειμένων των δεδομένων.

- Να εξασφαλίζει ότι η συγκατάθεση του υποκειμένου είναι ελεύθερη, συγκεκριμένη ανά σκοπό επεξεργασίας και δίδεται εν πλήρη επιγνώσει του υποκειμένου των δεδομένων.

- Να εξασφαλίζει στα υποκείμενα τον τρόπο ελεύθερης, άμεσης και εύκολης ανάκλησης της συγκατάθεσής τους (π.χ. μέσω αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου σε καθορισμένη ηλεκτρονική διεύθυνση), ενημερώνοντας τα υποκείμενα ότι η ανάκληση της συγκατάθεσής τους δεν αίρει τη νομιμότητα της μέχρι του σημείου της ανακλήσεως επεξεργασίας των δεδομένων τους.

- Να προβαίνει σε διαγραφή των δεδομένων του υποκειμένου σε περίπτωση ανάκλησης της συγκατάθεσης, εκτός εάν η τήρηση αυτών καθίσταται απαραίτητη σε συμμόρφωση με υποχρεώσεις της Επιτελικής Δομής που απορρέουν από τη νομοθεσία ή για την προάσπιση έννομων συμφερόντων της ενώπιον Δικαστηρίων.

Εφόσον προβλέπεται δυνατότητα/ περίπτωση συγκατάθεσης μέσω ιστοτόπου η Επιτελική Δομή φροντίζει ώστε να παρέχει, μέσω του ιστοτόπου της, εύχρηστο μηχανισμό αιτήματος συγκατάθεσης, ώστε τα Υποκείμενα των Δεδομένων να μπορούν να εκφράσουν σαφώς τη συγκατάθεση τους. Η Επιτελική Δομή οφείλει να παρέχει εκτενή και σαφή πληροφόρηση.

9. Διαχείριση αιτημάτων άσκησης δικαιώματος υποκειμένων των δεδομένων

9.1. Υποχρεώσεις Επιτελικής Δομής ως προς την άσκηση δικαιωμάτων:

Τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες, εξωτερικοί συνεργάτες ωφελούμενοι έργων / καταρτιζόμενοι κλπ.) έχουν τα εξής δικαιώματα αναφορικά με τα προσωπικά δεδομένα τους:

- το δικαίωμα πρόσβασης, για να πληροφορηθούν τα υποκείμενα ποια δεδομένα τους επεξεργάζεται ο Υπεύθυνος Επεξεργασίας, για ποιο σκοπό και τους αποδέκτες αυτών,

- το δικαίωμα διόρθωσης, για να διορθωθούν τυχόν ελλείψεις ή ανακρίβειες των δεδομένων,

- το δικαίωμα διαγραφής («δικαίωμα στη λήθη»), για να διαγραφούν τα προσωπικά δεδομένα των υποκειμένων από τα αρχεία του Υπευθύνου Επεξεργασίας, εφόσον όμως η επεξεργασία τους δεν είναι πλέον απαραίτητη ή η διατήρηση των δεδομένων δεν απαιτείται για τη συμμόρφωση του Υπευθύνου Επεξεργασίας με τις έννομες υποχρεώσεις του ή για την προάσπιση των έννομων συμφερόντων του ενώπιον των Δικαστηρίων,

- το δικαίωμα περιορισμού της επεξεργασίας, σε περίπτωση αμφισβήτησης της ακρίβειας των δεδομένων από το υποκείμενο

- το δικαίωμα φορητότητας, για να λάβει το υποκείμενο τα δεδομένα σε δομημένο και κοινώς χρησιμοποιούμενο μορφότυπο

- το δικαίωμα εναντίωσης, σε περίπτωση που το υποκείμενο δεν επιθυμεί τη χρήση των δεδομένων του για σκοπούς απευθείας εμπορικής προώθησης.

- το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).

Η Επιτελική Δομή υποχρεούται να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, εκτός από τις περιπτώσεις κατά τις οποίες δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

Η Επιτελική Δομή οφείλει να ανταποκριθεί σε κάθε σχετικό αίτημα εντός ενός μηνός από την παραλαβή του, η προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων, ενημερώνοντας τα υποκείμενα των δεδομένων για την παράταση που απαιτείται καθώς και για τους λόγους της καθυστέρησης.

Αρμόδιο στέλεχος της Επιτελικής Δομής αναλαμβάνει τη διαχείριση των αιτημάτων άσκησης δικαιώματος των υποκειμένων των δεδομένων, προβαίνοντας στις ακόλουθες ενέργειες:

- Αιτείται στοιχεία διακρίβωσης της ταυτότητας του υποκειμένου των δεδομένων σε περίπτωση που αυτή δεν είναι σαφής (π.χ. φωτοτυπία ταυτότητας, αριθμό διαβατηρίου, στοιχεία επικοινωνίας με αυτό).

- Σε περίπτωση άσκησης δικαιώματος μέσω αντιπροσώπου, προβαίνει στις απαραίτητες ενέργειες διαπίστωσης της νομικής ή φυσικής αδυναμίας του φυσικού προσώπου να ασκήσει αυτοπροσώπως το δικαίωμα και εισηγείται αντίστοιχα στη Διοίκηση την αναγκαιότητα ανταπόκρισης στο αίτημα του αντιπροσώπου.

- Παρέχει στο υποκείμενο το «Έντυπο άσκησης δικαιώματος» προς συμπλήρωση και μεριμνά για την ορθή συμπλήρωση, την παραλαβή και την ορθή τήρηση αυτού.

- Αναλαμβάνει την ενημέρωση του υποκειμένου των δεδομένων με κάθε πρόσφορο μέσο, περιλαμβανομένης και της ενημέρωσης με ηλεκτρονικά μέσα, σε περίπτωση που απαιτείται χρονικό διάστημα πέραν του μηνός για την ικανοποίηση του δικαιώματος και ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της καθυστέρησης.

- Σε περίπτωση που η Διοίκηση της Επιτελικής Δομής αποφασίσει να μην ενεργήσει επί αιτήματος υποκειμένου των δεδομένων για ικανοποίηση δικαιώματος, ενημερώνει εγγράφως το υποκείμενο εντός μηνός από την παραλαβή του αιτήματος για τους λόγους μη ενέργειας και για τη δυνατότητα καταγγελίας στην ΑΠΔΠΧ και άσκησης δικαστικής προσφυγής.

- Ενημερώνει και αναλαμβάνει την είσπραξη ευλόγου τέλους της Επιτελικής Δομής για την εκτέλεση της ζητούμενης από το υποκείμενο ενέργειας, σε περιπτώσεις προδήλως αβάσιμων ή υπερβολικών και επαναλαμβανόμενων αιτημάτων.

- Ενημερώνει το υποκείμενο περί της μη ικανοποίησης αιτήματος το οποίο η Επιτελική Δομή θεωρεί προδήλως αβάσιμο ή υπερβολικό.

9.2. Διαδικασία ικανοποίησης δικαιωμάτων: Οι παραπάνω ενέργειες και υποχρεώσεις της Επιτελικής Δομής ισχύουν για την άσκηση αιτήματος για οποιοδήποτε δικαίωμα. Η Επιτελική Δομή διαχειρίζεται αιτήματα για την ικανοποίηση εκάστου δικαιώματος ως εξής:

9.2.1. Δικαίωμα πρόσβασης:

Η Επιτελική Δομή μέσω αρμοδίου στελέχους της παρέχει επιβεβαίωση στα υποκείμενα των δεδομένων για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υφίστανται επεξεργασία και, σε θετική περίπτωση, ακολουθεί την εξής διαδικασία ικανοποίησης του δικαιώματος πρόσβασης στα εν λόγω δεδομένα και στις πληροφορίες της επεξεργασίας:

- Αξιολόγηση Αιτήματος: Αφού εξακριβωθεί η ταυτότητα του υποκειμένου που υποβάλει το σχετικό αίτημα από το καθορισμένο στέλεχος της Επιτελικής Δομής, σύμφωνα με τα όσα ορίζονται παραπάνω υπό [9.1.],αξιολογείται η εγκυρότητά του αιτήματος. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η Επιτελική Δομή ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του αρμοδίου στελέχους της.

- Εφόσον το αίτημα αξιολογηθεί ως έγκυρο, η Επιτελική Δομή παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο σε συνδυασμό με τις ακόλουθες πληροφορίες που αφορούν την εν λόγω επεξεργασία:

α) τους σκοπούς της επεξεργασίας

β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που συλλέγονται

γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,

δ) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,

η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων οι οποίες παράγουν έννομα αποτελέσματα που αφορούν το υποκείμενο ή το επηρεάζουν σημαντικά με παρόμοιο τρόπο, συμπεριλαμβανομένης της κατάρτισης προφίλ, συμπεριλαμβανομένων αυτών που βασίζονται σε ειδικές κατηγορίες δεδομένων, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

θ) σε περίπτωση όπου πραγματοποιείται διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, πληροφορίες και σχετικά με την εν λόγω διαβίβαση και τις νόμιμες εγγυήσεις αυτής.

- για επιπλέον αντίγραφα που μπορεί να ζητηθούν, η Επιτελική Δομή μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Σε περίπτωση μη επιβολής τέλους, η Επιτελική Δομή ολοκληρώνει την διεκπεραίωση του αιτήματος, μετά την αξιολόγηση της εγκυρότητάς του.

- Η ικανοποίηση του δικαιώματος πρόσβασης από την Επιτελική Δομή λαμβάνει χώρα υπό τον όρο ότι δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

9.2.2. Δικαίωμα διόρθωσης :

Η Επιτελική Δομή μέσω αρμοδίου στελέχους της προβαίνει χωρίς αδικαιολόγητη καθυστέρηση σε διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, εφόσον το υποκείμενο των δεδομένων το απαιτήσει να προβεί ή εφόσον διαπιστώσει καθ’ οιονδήποτε άλλο τρόπο ανακρίβεια των δεδομένων. Επιπρόσθετα, το υποκείμενο των δεδομένων που έχει υπόψη του τους σκοπούς της επεξεργασίας έχει δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

- Για την άσκηση του δικαιώματος, η οποία μπορεί να γίνει μέσω επιστολής, email ή προφορικού αιτήματος, αρμόδιο στέλεχος της Επιτελικής Δομής παρέχει στο υποκείμενο το «Έντυπο άσκησης δικαιώματος» προς συμπλήρωση στο υποκείμενο και μεριμνά για την ορθή συμπλήρωση, την παραλαβή και την ορθή τήρηση αυτού.

- Αρμόδιο στέλεχος της Επιτελικής Δομής ενημερώνει την Επιτελική Δομή για την άσκηση του σχετικού αιτήματος και μεριμνά σε συνεργασία με τους αρμόδιους από το προσωπικό για την άμεση διόρθωση/συμπλήρωση των ανακριβών/ελλιπών δεδομένων αντίστοιχα.

- Αρμόδιο στέλεχος της Επιτελικής Δομής ανακοινώνει κάθε διόρθωση που διενεργείται σύμφωνα με τα παραπάνω στο υποκείμενο και σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός αν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια.

9.2.3. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»):

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από την Επιτελική Δομή τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και η Επιτελική Δομή υποχρεούται να διαγράψει αυτά, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ασκώντας το δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, περιλαμβανομένης της κατάρτισης προφίλ

δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση στην οποία υπόκειται η Επιτελική Δομή,

στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1 του ΓΚΠΔ, αφορούν δηλ. υποκείμενο των δεδομένων που κατά τη συλλογή ήταν παιδί υπό την έννοια του Κανονισμού

Η Επιτελική Δομή δύναται να αρνηθεί την ικανοποίηση του δικαιώματος στις περιπτώσεις όπου η επεξεργασία είναι απαραίτητη:

α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

β) για την τήρηση νομικής υποχρέωσης της Επιτελικής Δομής που επιβάλλει την επεξεργασία ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Επιτελική Δομή.

γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, ήτοι όταν η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας ή όταν η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, υπό την ύπαρξη εγγυήσεων για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου

δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς , εφόσον το δικαίωμα στη λήθη είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή

ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της Επιτελικής Δομής.

Η εγκυρότητά του αιτήματος αξιολογείται από το αρμόδιο στέλεχος της Επιτελικής Δομής, με βάση και τις ανωτέρω εξαιρέσεις, ιδίως δε αξιολογείται η μη ικανοποίηση αιτήματος για δεδομένα στους οποίους παρασχέθηκαν στα πλαίσια των έννομων υποχρεώσεων τήρησης από την Επιτελική Δομή.

Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο ή εφόσον συντρέχει νόμιμος λόγος μη ικανοποίησης αυτού, η Επιτελική Δομή ενημερώνει εντός μηνός το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του καθορισμένου στελέχους της.

Εφόσον η Επιτελική Δομή έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σε διαγραφή, οφείλει λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής να λάβει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων για να ενημερώσει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα αντίστοιχα δεδομένα ότι το υποκείμενο ζήτησε τη διαγραφή από αυτούς τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων. Η εν λόγω ενημέρωση λαμβάνει χώρα μέσω του καθορισμένου στελέχους της.

9.2.4. Δικαίωμα περιορισμού της επεξεργασίας

Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από την Επιτελική Δομή τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται, για χρονικό διάστημα που επιτρέπει στην Επιτελική Δομή να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,

β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,

γ) η Επιτελική Δομή δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το δικαίωμα εναντίωσης, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

- Κατόπιν της λήψης του σχετικού αιτήματος, αξιολογείται η εγκυρότητά του αιτήματος από τον Υπεύθυνο Προστασίας Δεδομένων. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η Επιτελική Δομή μέσω καθορισμένου στελέχους της ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημά του με αιτιολογημένη απόφασή της.

- Εφόσον το αίτημα κριθεί έγκυρο, υιοθετείται κατά περίπτωση η κατάλληλη μέθοδος περιορισμού (π.χ. προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, αφαίρεση προσβασιμότητας των επιλεγμένων προσωπικών δεδομένων προσωπικού χαρακτήρα από τους χρήστες, προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα κλπ).

- Σε περίπτωση αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ’ αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Σε κάθε περίπτωση, το γεγονός ότι η επεξεργασία δεδομένων είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα. Τα ανωτέρω προτείνονται κατά περίπτωση από αρμόδιο στέλεχος της Επιτελικής Δομής.

- Εφόσον η επεξεργασία έχει περιοριστεί σύμφωνα με τα ως άνω, τα εν λόγω δεδομένα εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημοσίου συμφέροντος.

- Επιπρόσθετα, το υποκείμενο των δεδομένων που έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με τα ανωτέρω, ενημερώνεται από το αρμόδιο στέλεχος της Επιτελικής Δομής πριν από την άρση του περιορισμού επεξεργασίας.

- Στη συνέχεια, η Επιτελική Δομή ανακοινώνει κάθε περιορισμό επεξεργασίας που διενεργείται σύμφωνα με τα παραπάνω σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός αν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων, η Επιτελική Δομή το ενημερώνει μέσω αρμοδίου στελέχους της για τους εν λόγω αποδέκτες.

9.2.5. Δικαίωμα στη φορητότητα των δεδομένων

Η Επιτελική Δομή έχει την υποχρέωση εφόσον το ζητήσει το υποκείμενο των δεδομένων να του παρέχει τα προσωπικά δεδομένα που το αφορούν και τα οποία το ίδιο το υποκείμενο έχει παράσχει, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και να ικανοποιεί το δικαίωμα του υποκειμένου να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση όταν πληρούνται οι κάτωθι προϋποθέσεις:

α) η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή είναι αναγκαία για την εκτέλεση σύμβασης της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος και

β) (η επεξεργασία) διενεργείται με αυτοματοποιημένα μέσα

Το υποκείμενο των δεδομένων δύναται κατά την άσκηση του δικαιώματός του να ζητά την απευθείας διαβίβαση των δεδομένων του από τον έναν υπεύθυνο επεξεργασία σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. H διαδικασία ικανοποίησης του δικαιώματος έχει ως εξής:

- Κατόπιν της λήψης του σχετικού αιτήματος, αρμόδιο στέλεχος της Επιτελικής Δομής ενημερώνεται σχετικά με το αίτημα φορητότητας που υπεβλήθη την συγκεκριμένη ημερομηνία.

- Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η Επιτελική Δομή ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του αρμοδίου στελέχους της.

- Κατά την αξιολόγηση του αιτήματος λαμβάνονται υπόψη τα δεδομένα που περιλαμβάνονται στο αίτημα, καθώς τα δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του δικαιώματος στην φορητότητα, τα οποία πρέπει να είναι:

- προσωπικά δεδομένα που αφορούν το υποκείμενο των δεδομένων. Συνεπώς, δεδομένα που έχουν ανωνυμοποιηθεί δεν αφορούν το συγκεκριμένο δικαίωμα. Ωστόσο, δεδομένα που έχουν ψευδωνυμοποιηθεί και μπορούν να ταυτοποιήσουν το υποκείμενο είναι εντός του πεδίου εφαρμογής.

- προσωπικά δεδομένα που το υποκείμενο έχει παράσχει στον υπεύθυνο επεξεργασίας. Πρόκειται για δεδομένα τα οποία ενεργητικά και συνειδητά έχει παράσχει το υποκείμενο (πχ. διεύθυνση e-mail, όνομα χρήστη, ηλικία κτλ), αλλά και για παρατηρούμενα δεδομένα (observed data) που έχουν παρασχεθεί από το υποκείμενο μέσα από τη χρήση της υπηρεσίας ή της συσκευής (πχ. το ιστορικό αναζητήσεων, δεδομένα θέσης και κίνησης). Συνεπώς, σε αυτές τις κατηγορίες δεν περιλαμβάνονται τα «συναγόμενα δεδομένα» (inferred data) και τα «παράγωγα δεδομένα» (derived data), στα οποία συμπεριλαμβάνονται δεδομένα προσωπικού χαρακτήρα που δημιουργούνται από τον υπεύθυνο επεξεργασίας με βάση τα δεδομένα που παρέχει το υποκείμενο των δεδομένων. Ακολούθως, δεδομένα που προέρχονται από τη δραστηριότητα ή από την παρατήρηση της συμπεριφοράς ενός ατόμου περιλαμβάνονται στο εν λόγω δικαίωμα, δεν περιλαμβάνονται όμως δεδομένα που προκύπτουν από τη μετέπειτα ανάλυση της εν λόγω συμπεριφοράς.

Το συγκεκριμένο δικαίωμα δεν αποσκοπεί στην ανάκτηση και διαβίβαση δεδομένων που περιέχουν δεδομένα προσωπικού χαρακτήρα άλλων (μη συναινούντων) υποκειμένων σε νέο υπεύθυνο επεξεργασίας.

Η Επιτελική Δομή ανταποκρίνεται στο αίτημα φορητότητας του υποκειμένου χρησιμοποιώντας διαλειτουργικό μορφότυπο και χορηγώντας στο υποκείμενο ένα αντίγραφο ή διαβιβάζοντας τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας. Η διαλειτουργικότητα του μορφότυπου διευκολύνεται όταν αυτός είναι δομημένος, κοινώς χρησιμοποιούμενος και αναγνώσιμος από μηχανήματα. Ωστόσο, αυτές οι απαιτήσεις δεν δημιουργούν υποχρέωση στην Επιτελική Δομή να υιοθετεί ή διατηρεί συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη.

Ένας τρόπος απάντησης στα αιτήματα φορητότητας δεδομένων είναι η προσφορά μιας κατάλληλα ασφαλούς και τεκμηριωμένης διεπαφής προγραμματισμού εφαρμογών (Application Programming Interfaces, APIs). Σε κάθε περίπτωση, ακόμα και σε αιτήματα μεγάλης συλλογής δεδομένων η ανταπόκριση θα γίνεται με τέτοιο τρόπο ώστε το πρόσωπο να είναι σε θέση να κατανοήσει πλήρως τον ορισμό, το σχήμα και τη δομή των δεδομένων προσωπικού χαρακτήρα.

Εφόσον δεν υπάρχουν τεχνολογικοί περιορισμοί ή άλλοι νομοθετικοί περιορισμοί, η Επιτελική Δομή δύναται να παρέχει τα δεδομένα σε μορφή όπως CSV, XML and JSON.

9.2.6. Δικαίωμα εναντίωσης:

Η Επιτελική Δομή έχει την υποχρέωση να μην υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία εφόσον το υποκείμενο των δεδομένων αντιτάσσεται ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και η οποία βασίζεται:

α) στην εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Επιτελική Δομή ή

β) στα έννομα συμφέροντα της Επιτελικής Δομής ως υπευθύνου επεξεργασίας ή τρίτου μέρους,

περιλαμβανομένης και της κατάρτισης προφίλ στη βάση των ως άνω διατάξεων. Με την κατάρτιση προφίλ νοείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

Εναπόκειται στη συνέχεια στην Επιτελική Δομή να αποδείξει μέσω αρμοδίου στελέχους της ότι υφίστανται επιτακτικοί και νόμιμοι λόγοι οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων προκειμένου να συνεχίσει την επεξεργασία ή για λόγους θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων.

Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση, είτε πρόκειται για αρχική, είτε για περαιτέρω επεξεργασία.

Σε αυτή την περίπτωση που τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του δικαιούται να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, εκτός αν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημοσίου συμφέροντος.

Κατόπιν της λήψης του σχετικού αιτήματος και εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η Επιτελική Δομή ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω αρμοδίου στελέχους της.

Εφόσον το αίτημα αξιολογηθεί ως έγκυρο, η Επιτελική Δομή απέχει από την επεξεργασία των δεδομένων του υποκειμένου για την οποία ασκήθηκε το δικαίωμα και να ενημερώσει σχετικά το υποκείμενο των δεδομένων.

10. Πολιτική Διαχείρισης Περιστατικών Παραβίασης

Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα είναι “η παραβίαση της ασφάλειας” που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”

Κατηγοριοποίηση παραβιάσεων

Οι παραβιάσεις μπορούν να κατηγοριοποιηθούν σύμφωνα με τις ακόλουθες τρεις αρχές ασφαλείας πληροφοριών:

- “Παραβίαση εμπιστευτικότητας” όταν υπάρχει μη εξουσιοδοτημένη πρόσβαση ή τυχαία αποκάλυψη προσωπικών δεδομένων.

- “Παραβίαση διαθεσιμότητας” όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία απώλεια πρόσβασης ή καταστροφής προσωπικών δεδομένων.

- “Παραβίαση ακεραιότητας” όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία αλλοίωση των προσωπικών δεδομένων.

Ανάλογα με τις περιστάσεις, μια παραβίαση μπορεί να αφορά ταυτόχρονα την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα των προσωπικών δεδομένων, καθώς και οποιοδήποτε συνδυασμό αυτών.

Σκοπός αυτής της Πολιτικής είναι η τυποποίηση των ενεργειών αντιμετώπισης από την Επιτελική Δομή κάθε αναφερόμενου περιστατικού παραβίασης δεδομένων και η διασφάλιση της ορθής καταγραφής και γνωστοποίησης σύμφωνα με τον Κανονισμό περί Προστασίας Προσωπικών Δεδομένων (GDPR).

Η υιοθέτηση των ανωτέρω ενεργειών αντιμετώπισης έχει ως στόχο να διασφαλίσει ότι:

- Τα περιστατικά (παραβίασης δεδομένων) αναφέρθηκαν εγκαίρως και μπορούν να ερευνηθούν σωστά.

- Τα περιστατικά αντιμετωπίζονται από κατάλληλα εξουσιοδοτημένο και εξειδικευμένο προσωπικό.

- Όλες οι πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας συλλέγονται, καταγράφονται και διατηρούνται.

- Γίνεται σαφής η επίδραση της παραβίασης και λαμβάνεται μέριμνα για την πρόληψη περαιτέρω ζημιών.

- Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενημερώνεται όπως απαιτείται.

- Τα υποκείμενα των δεδομένων που επηρεάζονται από την παραβίαση ενημερώνονται όπως απαιτείται.

- Τα περιστατικά αντιμετωπίζονται έγκαιρα και αποκαθίστανται οι κανονικές διαδικασίες.

- Τα περιστατικά επανεξετάζονται για τον εντοπισμό βελτιώσεων στις πολιτικές και τις διαδικασίες.

Πεδίο εφαρμογής: Η Πολιτική Διαχείρισης Παραβίασης Προσωπικών Δεδομένων πρέπει να ακολουθείται από όλους τους εργαζομένους, τα στελέχη καθώς και τρίτους εξωτερικούς συνεργάτες ή/και εκτελούντες που ενεργούν για λογαριασμό της Επιτελικής Δομής.

Το πεδίο εφαρμογής της παρούσας πολιτικής περιλαμβάνει τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται σε οποιαδήποτε μορφή ή μέσο (χαρτί ή ψηφιακή/ηλεκτρονική μορφή). Η πολιτική δεν ισχύει για πληροφορίες που έχουν ταξινομηθεί/χαρακτηρισθεί ως Δημόσιες.

10.1 Διαχείριση της περιστατικού παραβίασης

Οι παραβιάσεις δεδομένων πρέπει να εξετάζονται κατά περίπτωση, ύστερα από αξιολόγηση των σχετικών κινδύνων και τη συγκεκριμένη εκτίμηση επικινδυνότητας για να αποφασιστεί η κατάλληλη πορεία δράσης. Οι μέθοδοι ασφαλείας δεδομένων πρέπει να είναι ανάλογες με την ευαισθησία των πληροφοριών και κάθε πειθαρχική ενέργεια ανάλογη με τη σοβαρότητα της παραβίασης. Η υιοθέτηση των κατάλληλων ενεργειών αντιμετώπισης έχει ως στόχο να διασφαλίσει ότι:

- Τα περιστατικά (παραβίασης δεδομένων) αναφέρθηκαν εγκαίρως και μπορούν να ερευνηθούν σωστά.

- Τα περιστατικά αντιμετωπίζονται από κατάλληλα εξουσιοδοτημένο και εξειδικευμένο προσωπικό.

- Όλες οι πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας συλλέγονται, καταγράφονται και διατηρούνται.

- Γίνεται σαφής η επίδραση της παραβίασης και λαμβάνεται μέριμνα για την πρόληψη περαιτέρω ζημιών.

- Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενημερώνεται όπως απαιτείται.

- Τα υποκείμενα των δεδομένων που επηρεάζονται από την παραβίαση ενημερώνονται όπως απαιτείται.

- Τα περιστατικά αντιμετωπίζονται έγκαιρα και αποκαθίστανται οι κανονικές διαδικασίες.

- Τα περιστατικά επανεξετάζονται για τον εντοπισμό βελτιώσεων στις πολιτικές και τις διαδικασίες.

10.2. Βήματα διαχείρισης περιστατικού παραβίασης

Βήμα 1. Ενημέρωση για την παραβίαση & Κατάρτιση σχεδίου αντιμετώπισης περιστατικών

Αναφορά παραβιάσεων ασφαλείας δεδομένων

Σε περίπτωση που οι δεσμευόμενοι από την παρούσα Πολιτική λάβουν ευθέως ή και μέσω τρίτου γνώση για την ύπαρξη περιστατικού παραβίασης, ενημερώνουν άμεσα με κάθε πρόσφορο μέσο (προφορικά, τηλεφωνικά, μέσω email) για την ύπαρξη του περιστατικού, τις συνθήκες και το χρόνο τέλεσης αυτού ή τον εκτιμώμενο χρόνο τέλεσης, εφόσον δεν είναι σε θέση να το προσδιορίσουν ακριβώς. Η αναφορά πρέπει να περιλαμβάνει πλήρη, ακριβέστατη και λεπτομερειακή περιγραφή του περιστατικού, συμπεριλαμβανομένου του ποιος αναφέρει το περιστατικό και ποια είναι η κατηγορία των επηρεαζόμενων δεδομένων.

Αρμόδιο στέλεχος της Επιτελικής Δομής προβαίνει στις ακόλουθες ενέργειες:

- Παρέχει στο πρόσωπο που ανέφερε την παραβίαση το «Έντυπο Αναφοράς Περιστατικού Παραβίασης» προς συμπλήρωση και κατευθύνει τον αναφέροντα την παραβίαση για την ορθή και πλήρη συμπλήρωση αυτού.

- Διεξάγει έρευνα για τα επιβεβαιωμένα όσο και τα ύποπτα περιστατικά παραβίασης ασφαλείας, καταγράφει όλες τις πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας.

- Ανάλογα με τα περιστατικά της παραβίασης, καταρτίζει ένα Σχέδιο αντιμετώπισης παραβίασης που περιλαμβάνει τις προτεινόμενες ενέργειες αντιμετώπισης αυτού και το γνωστοποιεί εγγράφως στη Διοίκηση της Επιτελικής Δομής προς έγκριση. Στο Σχέδιο αντιμετώπισης παραβίασης περιλαμβάνεται και η εκτίμηση του DPO εάν απαιτείται γνωστοποίηση του περιστατικού στην ΑΠΔΠΧ και ενημέρωση των υποκειμένων των δεδομένων, σύμφωνα με το περιστατικό της παραβίασης και τις σχετικές προβλέψεις του ΓΚΠΔ. Για παραβίαση που αφορά ψηφιακά δεδομένα αρμόδιο στέλεχος της Επιτελικής Δομής, με τη συνδρομή του Υπευθύνου για την Τεχνολογική Ασφάλεια της Επιτελικής Δομής , καταρτίζει αντίστοιχα Σχέδιο Αντιμετώπισης Περιστατικού Παραβίασης ψηφιακών δεδομένων.

- Κατόπιν εγκρίσεως του σχεδίου, αρμόδιο στέλεχος της Επιτελικής Δομής, προβαίνει (κατά περίπτωση) σε γνωστοποίηση της παραβίασης προς την ΑΠΔΠΧ και σε ενημέρωση των υποκειμένων των δεδομένων για την παραβίαση της ασφάλειας των δεδομένων τους.

- Υποδεικνύει προς τη Διοίκηση τις απαιτούμενες ενέργειες για την αντιμετώπιση του περιστατικού και τη μείωση των συνεπειών της παραβίασης και μεριμνά για την υλοποίησή τους, κατόπιν εγκρίσεως των ενεργειών αυτών από τη Διοίκηση.

Βήμα 2. Ενέργειες κατά τη στιγμή της παραβίασης ασφαλείας δεδομένων

- Για παραβίαση που αφορά ψηφιακά δεδομένα: Εφαρμόζεται το Σχέδιο αντιμετώπισης περιστατικών παραβίασης ψηφιακών δεδομένων, με τη συνδρομή και του Υπευθύνου Τεχνολογικής Ασφάλειας της Επιτελικής Δομής.

- Για παραβίαση που αφορά μη ψηφιακά δεδομένα ή φυσική παραβίαση:

- Το αρμόδιο στέλεχος της Επιτελικής Δομής και το προσωπικό διερευνούν αμέσως το περιστατικό και λαμβάνουν τα απαραίτητα μέτρα για να περιορίσουν την περαιτέρω απώλεια δεδομένων.

- Το προσωπικό με τις υποδείξεις αρμοδίου στελέχους της Επιτελικής Δομής ασφαλίζουν τη φυσική περιοχή. (Αλλαγή κλειδαριών, κωδικών πρόσβασης ή καρτών, αν είναι απαραίτητο).

- Σε περίπτωση κακόβουλης ενέργειας, προσδιορίζεται από τη Διοίκηση εάν είναι σκόπιμο να κληθούν οι αστυνομικές αρχές και περιορίζεται η κυκλοφορία στην πληγείσα περιοχή μέχρι την ολοκλήρωση των ερευνών από τις αστυνομικές αρχές.

- Προσδιορίζονται τα μέτρα που είναι απαραίτητα για την αποτροπή της επανάληψης.

Βήμα 3. Καταγραφή της παραβίασης ασφαλείας προσωπικών δεδομένων.

- Όλες οι πληροφορίες που σχετίζονται με την παραβίαση θα πρέπει να συλλέγονται από τον Υπεύθυνο Διαχείρισης Περιστατικού, έτσι ώστε να μπορεί να αναλυθεί για να προσδιοριστεί το μέγεθος της παραβίασης, τα απαραίτητα βήματα αποκατάστασης και να αποδοθούν οι τυχόν νομικές ευθύνες.

- Οι πληροφορίες που πρέπει να συλλέγονται και να καταγράφονται είναι οι εξής:

- Ημερομηνία, ώρα, διάρκεια και τοποθεσία της παραβίασης δεδομένων.

- Πώς ανακαλύφθηκε η παραβίαση, από ποιον, καθώς και οποιεσδήποτε λεπτομέρειες που αφορούν την παραβίαση (π.χ., μέθοδος εισβολής, σημεία εισόδου ή εξόδου, διαδρομές που ακολουθούνται, προσβληθέντα συστήματα, αν τα δεδομένα διαγράφηκαν /τροποποιήθηκαν.

- Πληροφορίες σχετικά με τα προσβληθέντα δεδομένα, αν τα δεδομένα έχουν κρυπτογραφηθεί / ψευδωνυμοποιηθεί / ανωνυμοποιηθεί και δημιουργία λίστας προσώπων των οποίων τα προσωπικά δεδομένα έχουν προσβληθεί.

- Σε περίπτωση μη γνωστοποίησης του περιστατικού στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, οι λόγοι για τους οποίους δεν συντρέχει ανάγκη γνωστοποίησης.

- Αρμόδιο στέλεχος της Επιτελικής Δομής έχει την υποχρέωση τήρησης Εσωτερικού Μητρώου Περιστατικών Παραβίασης όπου καταγράφονται οι πληροφορίες όλων των περιστατικών παραβίασης ασφαλείας δεδομένων (ακόμη και για τα περιστατικά που δεν ενέχουν κίνδυνο).

Βήμα 4. Ανάλυση των άμεσων συνεπειών της παραβίασης

- Αρμόδιο στέλεχος της Επιτελικής Δομής αξιολογεί και εξηγεί προς τη Διοίκηση της Επιτελικής Δομής τα αίτια του συμβάντος.

- Λαμβάνονται οι απαραίτητες ενέργειες για την ανάκτηση των προσωπικών δεδομένων που έχουν παραβιαστεί και προσδιορίζονται τα επηρεαζόμενα υποκείμενα των δεδομένων.

- Προσδιορίζονται και αξιολογούνται από αρμόδιο στέλεχος της Επιτελικής Δομής οι πιθανές επιπτώσεις στα δεδομένα που προσβλήθηκαν.

- Εξακριβώνεται με τη συνδρομή και του Υπευθύνου Τεχνολογικής Ασφαλείας της Επιτελικής Δομής αν άλλα συστήματα απειλούνται με άμεσο ή μελλοντικό κίνδυνο. Η ανάλυση της παραβίασης της ασφαλείας δεδομένων μπορεί να απαιτεί τη συνδρομή εξειδικευμένων συμβούλων πληροφορικής για τη συλλογή των ανωτέρω πληροφοριών και την ολοκλήρωση των αναλύσεων.

- Εκτιμάται ο πιθανός κίνδυνος για τα άτομα των οποίων τα δεδομένα έχουν προσβληθεί. (Μηδενικός – Κίνδυνος – Υψηλός Κίνδυνος) και ενημερώνεται η Διοίκηση.

Βήμα 5. Ανάλυση των νομικών συνεπειών της παραβίασης.

Σε συνδυασμό με τη γενική ανάλυση που διεξήχθη παραπάνω ακολουθεί και διεξαγωγή ειδικής ανάλυσης των νομικών ζητημάτων που προκύπτουν λόγω της παραβίασης από το νομικό σύμβουλο της Επιτελικής Δομής ή άλλον εξειδικευμένο δικηγόρο στα θέματα προστασίας δεδομένων σε συνεργασία με το αρμόδιο στέλεχος της Επιτελικής Δομής. Η νομική ανάλυση πρέπει να περιλαμβάνει τουλάχιστον τα ακόλουθα θέματα:

- Συμβατικές απαιτήσεις γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα:

- Έλεγχος των εταιρικών συμφωνιών προς συνεργάτες, προμηθευτές, τρίτες εταιρείες, και οποιωνδήποτε άλλων σχετικών εταιρικών συμφωνιών, για τη διαπίστωση αν η Επιτελική Δομή οφείλει να γνωστοποιήσει ή έχει άλλες υποχρεώσεις προς τρίτους όσον αφορά τα προσβληθέντα δεδομένα.

- Νομοθετικές απαιτήσεις γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Έλεγχος απαίτησης γνωστοποίησης στην ΑΠΔΠΧ – Προϋποθέσεις γνωστοποίησης:

- Ύπαρξη παραβίασης δεδομένων προσωπικού χαρακτήρα και

- Ύπαρξη κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δικαιωμάτων λόγω της παραβίασης δεδομένων προσωπικού χαρακτήρα.

- Νομοθετικές απαιτήσεις ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων: Έλεγχος απαίτησης ανακοίνωσης στα υποκείμενα των δεδομένων – Προϋποθέσεις ανακοίνωσης:

- Ύπαρξη παραβίασης δεδομένων προσωπικού χαρακτήρα και

- Ύπαρξη υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δικαιωμάτων λόγω της παραβίασης δεδομένων προσωπικού χαρακτήρα.

Δεν απαιτείται ανακοίνωση, εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

- Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προστασίας στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, που τα καθιστούν μη κατανοητά σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, (π.χ κρυπτογράφηση).

- Λήψη μέτρων που διασφαλίζουν ότι δεν θα είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

- Απαιτούνται δυσανάλογες προσπάθειες ανακοίνωσης. Στην περίπτωση αυτή, πρέπει να γίνει αντ’ αυτής δημόσια ανακοίνωση ή παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων μπορούν να ενημερωθούν με εξίσου αποτελεσματικό τρόπο.

- Ευθύνη τρίτων μερών έναντι της Επιτελικής Δομής για ενέργειες ή παράλειψη ενεργειών που προκάλεσαν την παραβίαση και έλεγχος δυνατότητας αξίωσης αποζημίωσης από τρίτα μέρη.

- Ευθύνη εργαζομένων: Έρευνα για πιθανή παραβίαση των πολιτικών της Επιτελικής Δομής από τους εργαζομένους.

- Ευθύνη της Επιτελικής Δομής έναντι των υποκειμένων των δεδομένων.

- Αξιολόγηση νομικού κινδύνου αναφορικά με πιθανές κυρώσεις που μπορεί να αντιμετωπίσει η Επιτελική Δομή.

Σε οποιαδήποτε φάση της παραπάνω διαδικασίας, ο νομικός σύμβουλος της Επιτελικής Δομής αποφασίζει εάν θα ζητήσει τη συνδρομή εξωτερικού νομικού συμβούλου.

Βήμα 6. Οργάνωση συστήματος διαχείρισης αιτημάτων ενημέρωσης.

Ανάλογα με το μέγεθος μιας παραβίασης ασφαλείας δεδομένων και τον αριθμό των επηρεαζόμενων προσώπων, ένας σημαντικός όγκος αιτημάτων ενημέρωσης μπορεί να αποσταλεί στην Επιτελική Δομή. Αρμόδιο στέλεχος της Επιτελικής Δομής σχεδιάζει ένα Σύστημα Διαχείρισης Αιτημάτων Ενημέρωσης, το οποίο θα πρέπει να καλύπτει τα ακόλουθα θέματα:

- Τρόπος επικοινωνίας με το κοινό (συγκεκριμένος αριθμός, διεύθυνση email).

- Τρόπος επικοινωνίας με τους εργαζομένους.

- Τρόπος επικοινωνίας με εξωτερικούς συνεργάτες, εκτελούντες κλπ.

- (Επικουρικά) Εξωτερική ανάθεση δραστηριοτήτων τηλεφωνικού κέντρου

- Προετοιμασία απαντήσεων επί των αιτημάτων.

- Προετοιμασία δικτυακού τόπου «Συχνές Ερωτήσεις (FAQ)». Οι συχνές ερωτήσεις μπορούν να βοηθήσουν στη μείωση του αριθμού των κλήσεων προς ένα τηλεφωνικό κέντρο.

Βήμα 7. Γνωστοποίηση παραβίασης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Στην περίπτωση που εκτιμηθεί από τον Υπεύθυνο Προστασίας Δεδομένων ότι η παραβίαση ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιτελική Δομή πρέπει να γνωστοποιήσει στην ΑΠΔΠΧ το γεγονός εντός 72 ωρών από τη στιγμή που απέκτησε γνώση του.

Διαδικασία:

- Συμπλήρωση της Φόρμας Γνωστοποίησης Παραβίασης Δεδομένων από τον DPO.

- Υποβολή της συμπληρωμένης Φόρμας Γνωστοποίησης Παραβίασης Δεδομένων στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθώς και τυχόν συμπληρωματικών εγγράφων σε κρυπτογραφημένη μορφή στη διεύθυνση databreach@dpa.gr

- Επικοινωνία του αρμοδίου στελέχους της Επιτελικής Δομής με την ΑΠΔΠΧ για την αντιμετώπιση του περιστατικού της παραβίασης.

Βήμα 8. Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων

Στην περίπτωση που εκτιμηθεί από το αρμόδιο στέλεχος της Επιτελικής Δομής ότι η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιτελική Δομή πρέπει, εκτός από την γνωστοποίηση στην ΑΠΔΠΧ, να ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων.

Η ανακοίνωση πρέπει να πραγματοποιηθεί αμελλητί σε οποιοδήποτε στάδιο της αντιμετώπισης του περιστατικού της παραβίασης δεδομένων όταν διαπιστωθεί ότι το περιστατικό παραβίασης ασφαλείας οδήγησε σε παραβίαση δεδομένων προσωπικού χαρακτήρα και συντρέχει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δικαιωμάτων.

Η ανακοίνωση πρέπει:

- Να είναι ατομική (μέσω Email, SMS, Επιστολής, κ.α.)

- Να είναι σαφής και κατανοητή.

- Σε περίπτωση που η ατομική ανακοίνωση απαιτεί δυσανάλογες προσπάθειες, το αρμόδιο στέλεχος της Επιτελικής Δομής εισηγείται τον τρόπο δημόσιας ανακοίνωσης ή άλλο παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

- Το αρμόδιο στέλεχος της Επιτελικής Δομής ετοιμάζει το κείμενο της ανακοίνωσης, το οποίο εγκρίνεται από τη Διοίκηση και μεριμνά για τον τρόπο αποστολής της ανακοίνωσης στα υποκείμενα ή την ανάρτηση αντίστοιχα της δημόσιας ανακοίνωσης στην Ιστοσελίδα της Επιτελικής Δομής.

Βήμα 9. Ενέργειες μετά την παραβίαση της ασφαλείας δεδομένων προσωπικού χαρακτήρα

Αρμόδιο στέλεχος της Επιτελικής Δομής πρέπει να διασφαλίσει ότι έχουν διαλευκανθεί πλήρως τα αίτια και οι συνθήκες της παραβίασης και ότι η Διοίκηση και το προσωπικό έχουν ενημερωθεί για τα αποτελέσματα, ανάλογα με την περίπτωση. Ειδικότερα, το αρμόδιο στέλεχος της Επιτελικής Δομής προβαίνει στις εξής ενέργειες:

- Διεξάγει πλήρη ανάλυση της παραβίασης ασφαλείας δεδομένων για τον προσδιορισμό των βασικών αιτίων.

- Ελέγχει τα μέτρα περιορισμού της παραβίασης ασφαλείας δεδομένων για τη διασφάλιση ότι η παραβίαση έχει αντιμετωπιστεί ολοκληρωτικά.

- Καθορίζει σχέδιο πρόληψης αντίστοιχης παραβίασης ασφάλειας δεδομένων, το οποίο και εγκρίνεται από τη Διοίκηση της Επιτελικής Δομής

- Αξιολογεί τις πολιτικές και διαδικασίες συλλογής, διατήρησης, αποθήκευσης και επεξεργασίας δεδομένων για τον καθορισμό των απαραίτητων αναθεωρήσεων και τροποποιήσεων τους.

- Αξιολογεί την ανάγκη για πρόσθετη εκπαίδευση των εργαζομένων σε πολιτικές και διαδικασίες προστασίας δεδομένων.

- Εισηγείται την αναθεώρηση συμβάσεων, ρητρών κλπ.

- Ελέγχει και επικαιροποιεί όπου απαιτείται τις σχετικές πολιτικές απορρήτου και τους όρους χρήσης της Ιστοσελίδας

- Αξιολογεί τις ενέργειες και την ταχύτητα ανταπόκρισης του προσωπικού και της Διοίκησης κατά τη διάρκεια της παραβίασης.

- Τροποποιεί το Σχέδιο αντιμετώπισης παραβιάσεων ασφαλείας για τη βελτίωση της αποτελεσματικότητας στον τομέα της πρόληψης.

11. Πολιτική χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας

Οι εργαζόμενοι, κατά την άσκηση των καθηκόντων τους, οφείλουν να προβαίνουν σε χρήση επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας της Επιτελικής Δομής (όπως είναι οι ηλεκτρονικοί υπολογιστές, οι τηλεφωνικές συσκευές, τα κινητά τηλέφωνα κλπ.) για σκοπούς που σχετίζονται με τη διεκπεραίωση της εργασίας τους. Στα πλαίσια της υποχρέωσής τους αυτής, οι εργαζόμενοι οφείλουν:

- Να αποφεύγουν τη χρήση (προσωπικού ή εταιρικού) κινητού τηλεφώνου εν ώρα εργασίας για προσωπικούς σκοπούς. Σε κάθε περίπτωση, η συνομιλία στο κινητό τηλέφωνο για προσωπικούς σκοπούς θα πρέπει να περιορίζεται στο απολύτως απαραίτητο και δυνατόν να λαμβάνει χώρα εν ώρα του διαλείμματος και με την απαραίτητη διακριτικότητα.

- Να χρησιμοποιούν τους ηλεκτρονικούς υπολογιστές και τον εξοπλισμό της Επιτελικής Δομής για σκοπούς που σχετίζονται με την άσκηση των καθηκόντων τους και να αποφεύγουν την πλοήγηση σε ιστοσελίδες που δεν σχετίζονται με τη διεκπεραίωση της εργασίας τους, περιλαμβανομένης και της χρήσης των μέσων κοινωνικής δικτύωσης εν ώρα εργασίας. Ρητώς απαγορεύεται η πλοήγηση σε ιστοσελίδες με παράνομο ή ανήθικο περιεχόμενο καθώς και η πλοήγηση σε ανασφαλείς διαδικτυακούς τόπους εν γένει.

- Να απέχουν από τη χρήση του επαγγελματικού ηλεκτρονικού ταχυδρομείου (επαγγελματική αλληλογραφία) για προσωπικούς σκοπούς, καθώς και για έκνομες ενέργειες, περιλαμβανομένης και της άσκησης ανταγωνιστικής δραστηριότητας. Η Επιτελική Δομή διατηρεί το δικαίωμα να προβαίνει περιστασιακά σε έλεγχο της επαγγελματικής αλληλογραφίας, ιδίως για τη διακρίβωση τυχόν παράνομης δραστηριότητας του εργαζόμενου, κατόπιν σχετικής ενημέρωσης των ελεγχόμενων εργαζομένων. Ρητώς αναγνωρίζεται ότι η επαγγελματική αλληλογραφία αποτελεί περιουσιακό αγαθό της Επιτελικής Δομής, η οποία και διατηρεί το δικαίωμα τήρησης και χρήσης αυτής και μετά το πέρας της εργασιακής σχέσης.

- Να μην προβαίνουν καθ’ υπέρβαση των καθηκόντων τους σε εξαγωγή ή/και μη εξουσιοδοτημένη κοινοποίηση ή/και αντιγραφή σε προσωπικά μέσα αποθήκευσης (πχ. Flash disks) ηλεκτρονικών ή/και φυσικών αρχείων, που αποτελούν περιουσία της Επιτελικής Δομής, περιλαμβανομένων και αρχείων προσωπικών δεδομένων, και να απέχουν από κάθε χρήση αυτών για προσωπικούς σκοπούς.

- Σε περίπτωση εξ αποστάσεως εργασίας και απομακρυσμένης πρόσβασης στο δίκτυο της Επιτελικής Δομής, οι εργαζόμενοι οφείλουν να απέχουν από την πρόσβαση μέσω ηλεκτρονικών υπολογιστών που δεν πληρούν τις απαραίτητες προϋποθέσεις ασφαλείας (π.χ. δεν έχουν αντιικό σύστημα προστασίας) και οφείλουν να περιορίζουν κάθε εξ αποστάσεως πρόσβαση μόνο στο απολύτως απαραίτητο για την εκπλήρωση των καθηκόντων τους. Σε περίπτωση παραβίασης των παραπάνω προϋποθέσεων ασφαλείας, οφείλουν να ενημερώσουν άμεσα την Επιτελική Δομή.

- Μετά τη λήξη της εργασιακής σύμβασης, οι εργαζόμενοι οφείλουν να επιστρέψουν τυχόν εξοπλισμό (όπως ηλεκτρονικούς υπολογιστές, κινητά τηλέφωνα κλπ.) που τους έχουν παραχωρηθεί από την Επιτελική Δομή και αποτελούν ιδιοκτησία της, αφού προηγουμένως διαγράψουν από τον εξοπλισμό οποιοδήποτε αρχείο με προσωπικό περιεχόμενο. Σε περίπτωση που οι Εργαζόμενοι χρησιμοποιούν προσωπικό εξοπλισμό (κινητά τηλέφωνα, ηλεκτρονικούς υπολογιστές) για επαγγελματικούς σκοπούς στα πλαίσια της εκτέλεσης των καθηκόντων τους, οφείλουν μετά τη λήξη της εργασιακής σύμβασης για οποιοδήποτε λόγο, να παράσχουν γραπτή διαβεβαίωση προς την Επιτελική Δομή ότι διέγραψαν από τον ατομικό τους εξοπλισμό κάθε επαγγελματικό περιεχόμενο (π.χ. επαγγελματικό email).

12. Πολιτική καθαρού γραφείου και οθόνης

Oι εργαζόμενοι θα πρέπει να αφήνουν το χώρο εργασίας τους (γραφείο, εξοπλισμός, έγγραφα, πληροφορίες, κλπ.) σε μια ασφαλή κατάσταση όταν φεύγουν από το χώρο εργασίας τους κατά την διάρκεια της ημέρας καθώς και στο τέλος της κάθε εργάσιμης ημέρας, προκειμένου να διαφυλάσσεται η ασφάλεια και η εμπιστευτικότητα των πληροφοριών που διαχειρίζονται στα πλαίσια της άσκησης των καθηκόντων τους, περιλαμβανομένων και των προσωπικών δεδομένων.

ΚΑΘΑΡΟ ΓΡΑΦΕΙΟ ΚΑΤΑ ΤΗ ΔΙΑΡΚΕΙΑ ΚΑΙ ΜΕΤΑ ΤΟ ΠΕΡΑΣ ΤΗΣ ΕΡΓΑΣΙΜΗΣ ΜΕΡΑΣ

Μετά το πέρας της εργάσιμης ημέρας, όλοι οι εργαζόμενοι πρέπει να καθαρίζουν τα γραφεία τους και το χώρο εργασίας τους εν γένει και να ασφαλίσουν τόσο τον εξοπλισμό όσο και οποιαδήποτε έγγραφα σχετίζονται με την εργασία τους. Τα έγγραφα θα πρέπει να τοποθετούνται στον κατάλληλο χώρο (ντουλάπι ή συρτάρι αρχειοθέτησης). Όλα τα έγγραφα που περιέχουν προσωπικά δεδομένα θα πρέπει να τοποθετούνται σε ένα προφυλαγμένο και, ει δυνατόν, κλειδωμένο αρχείο. Οι ακόλουθες κατευθυντήριες γραμμές θα πρέπει να τηρούνται από όλους τους εργαζόμενους ανεξαιρέτως:

- Οι εργαζόμενοι θα πρέπει να αφιερώνουν μια προγραμματισμένη ώρα κάθε μέρα για να καθαρίσουν τα χαρτιά από το γραφείο τους.

- Ο υπολογιστής θα πρέπει να αποσυνδέεται, όταν ο χώρος εργασίας είναι αφύλακτος.

- Η λειτουργία του υπολογιστή θα πρέπει να τερματίζεται στο τέλος της εργάσιμης ημέρας.

- Οι εργαζόμενοι οφείλουν να αφαιρέσουν όλες τις Εμπιστευτικές και Εσωτερικής χρήσης πληροφορίες, περιλαμβανομένων και των προσωπικών δεδομένων, από το γραφείο τους και να τις τηρούν σε ένα ντουλάπι ή συρτάρι ή αρχείο, όταν ο σταθμός εργασίας τους είναι αφύλακτος και στο τέλος της εργάσιμης ημέρας.

- Όλα τα εμπιστευτικά και για εσωτερική χρήση έγγραφα, περιλαμβανομένων και όσων περιέχουν προσωπικά δεδομένα, θα αποθηκεύονται σε συρτάρια ή ντουλάπια και θα πρέπει να είναι πάντα κλειδωμένα, εφόσον υπάρχει η αντίστοιχη υποδομή.

- Όλα τα ντουλάπια που περιέχουν εμπιστευτικά αρχεία ή πληροφορίες εσωτερικής χρήσης όταν δεν χρησιμοποιούνται ή όταν είναι αφύλακτα θα πρέπει να ασφαλίζονται και να κλειδώνονται. Η πρόσβαση σε αυτά θα πρέπει να δικαιολογείται από τη θέση και τα καθήκοντα του εργαζομένου

- Οι εργαζόμενοι δεν θα πρέπει να αφήνουν τα κλειδιά που χρησιμοποιούνται για να έχουν πρόσβαση σε εμπιστευτικές ή εσωτερικής χρήσης πληροφορίες σε ένα αφύλακτο χώρο εργασίας.

- Το σύνολο του εξοπλισμού (φορητοί υπολογιστές, άλλος εξοπλισμός, κλπ) θα πρέπει να είναι κλειδωμένο σε ένα συρτάρι ή ντουλάπι όταν ο χώρος εργασίας είναι αφύλακτος ή στο τέλος της εργάσιμης ημέρας.

- Απαγορεύεται η δημόσια ανάρτηση κωδικών πρόσβασης πάνω ή κάτω από έναν υπολογιστή, σε πίνακες ανακοινώσεων ή σε οποιαδήποτε άλλη προσβάσιμη τοποθεσία.

- Τα αντίγραφα των εγγράφων που περιέχουν εμπιστευτικές ή εσωτερική χρήσης πληροφορίες από εκτυπωτές και συσκευές φαξ θα πρέπει να αφαιρούνται αμέσως και να καταστρέφονται με ασφαλείς μεθόδους καταστροφής (π.χ. καταστροφέας εγγράφων).

- Τα ντουλάπια του γραφείου και της ντουλάπας αρχειοθέτησης στο τέλος της ημέρας ή αν οι εργαζόμενοι απουσιάζουν για μεγάλο χρονικό διάστημα από το χώρο εργασίας σας κατά τη διάρκεια της ημέρας θα πρέπει να κλειδώνουν..

- Συσκευές μαζικής αποθήκευσης, όπως CD-ROM, DVD ή USB, κλπ., θα πρέπει να θεωρούνται ευαίσθητες και εμπιστευτικές και να τηρούνται ασφαλώς σε κλειδωμένα συρτάρια στο τέλος της ημέρας ή αν οι εργαζόμενοι φύγουν από το χώρο εργασίας κατά τη διάρκεια της ημέρας.

- Όλα τα απορρίμματα χαρτιού, εκθέσεις και κορδέλες εκτυπωτή θα πρέπει να καταστρέφονται με τη χρήση του ειδικού εξοπλισμού (καταστροφέας εγγράφων).

13. Επικαιροποίηση-τροποποίηση της Πολιτικής

Η Επιτελική Δομή διατηρεί δικαίωμα τροποποίησης της παρούσας Πολιτικής όποτε ήθελε κριθεί απαραίτητο, αναλόγως με τις ανάγκες και πρακτικές που υιοθετεί και με τις απαιτήσεις της νομοθεσίας, ως εκάστοτε ισχύει.

Αρμόδιο στέλεχος της Επιτελικής Δομής δύναται να εισηγείται την ανάγκη τροποποίησης μέρους ή του συνόλου της Πολιτικής και να προτείνει την αντίστοιχη διατύπωση σε περίπτωση που θεωρεί ότι χρειάζεται επικαιροποίηση. Η Διοίκηση της Επιτελικής Δομής λαμβάνει απόφαση για την επικαιροποίηση της Πολιτικής και αρμόδιο στέλεχος της Επιτελικής Δομής αναλαμβάνει την ενημέρωση, με κάθε πρόσφορο τρόπο (π.χ. με την αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου), του προσωπικού για τις τροποποιήσεις και παρακολουθεί τη συμμόρφωση του Προσωπικού προς αυτές.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.