GDPR

Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Εκπαιδευτικού Οργανισμού Γραβάνης

1. Σκοπός της Πολιτικής Προστασίας ΔΠΧ

Ο Εκπαιδευτικός Οργανισμός Γραβάνης (εφεξής «ΕΟΓ») με έδρα την Ελεούσα-Ιωάννινα, Πλ. Μακρυγιάννη 2 & Παπαφλέσσα, προκειμένου να πετύχει την συμμόρφωση που οφείλει σύμφωνα με το ισχύον εθνικό και Ενωσιακό Δίκαιο και ειδικότερα με τον νόμο 4624/19 και τον ΓΚΠΔ 2016/679 της Ε.Ε., προχώρησε στη σύνταξη της παρούσας Πολιτικής Προστασίας Προσωπικών Δεδομένων.

Σκοπός της πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα αποτελεί η θέσπιση κανόνων και διαδικασιών καθώς και η υιοθέτηση των απαραίτητων οργανωτικών και τεχνικών μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων που επεξεργάζεται το ΚΞΓ, σύμφωνα με τις απαιτήσεις του εθνικού και Ενωσιακού νομοθετικού πλαισίου.

2. Πεδίο εφαρμογής της Πολιτικής Προστασίας ΔΠΧ

Η παρούσα πολιτική εφαρμόζεται σε όλους τους εργαζομένους του ΕΟΓ και σε όλα τα προσωπικά δεδομένα που επεξεργάζεται ο ΕΟΓ ή τρίτοι εκτελούντες για αυτό επεξεργασία.

3. Συντομεύσεις

ΔΠΧ / ΠΔ: Δεδομένα Προσωπικού Χαρακτήρα / Προσωπικά Δεδομένα

ΓΚΠΔ/GDPR: Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ΕΕ 2016/679 /  General Data Protection Regulation EU 2016/679

ΠΠΠΔ: Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΔΠΧ: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΕΟΓ: Εκπαιδευτικός Οργανισμός Γραβάνης

ΥΠΔ: Υπεύθυνος Προστασίας Δεδομένων

4. Έννοιες και ορισμοί

Για την εφαρμογή της παρούσας πολιτικής από τον ΕΟΓ, οι κάτωθι όροι έχουν την ακόλουθη σημασία:

1. «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας (διεύθυνση ΙΡ, e-mail κλπ.) ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2. «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
3. «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.
4. «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
5. «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, που μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας για την παρούσα πολιτική είναι ο Σύλλογος.
6. «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.
7. «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες.
8. «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
9. «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
10. «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν ιδίως από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.
11. «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.
12. «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, συμπεριλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
13. «επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανόμενων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα. Για την παρούσα πολιτική ως επιχείρηση νοείται η επιχείρηση της οποίας η επωνυμία αναφέρεται στην πρώτη σελίδα της παρούσας.
14. «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις.
15. «δεσμευτικοί εταιρικοί κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα.
16. «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51 του ΓΚΠΔ και που για την Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
17. Βασικές αρχές που τηρεί ο Εκπαιδευτικός Οργανισμός Γραβάνης κατά την επεξεργασία ΔΠΧ

Συμμόρφωση με τους νόμους:

Ο ΕΟΓ θα συμμορφώνεται με το ισχύον εθνικό και Ενωσιακό Δίκαιο και ειδικότερα με τον νόμο 4624/19 και τον ΓΚΠΔ 2016/679 της Ε.Ε., καθώς και με τις τυχόν αποφάσεις και υποδείξεις της ΑΠΔΠΧ.

Σεβασμός των δικαιωμάτων των υποκειμένων :

Ο ΕΟΓ σέβεται τα δικαιώματα των υποκειμένων των δεδομένων όπως αυτά αναλύονται παρακάτω και δεσμεύεται στην λήψη όλων των απαραίτητων οργανωτικών και τεχνικών μέτρων για την κατοχύρωση και διευκόλυνση της άσκησης αυτών των δικαιωμάτων.

Νομιμότητα της επεξεργασίας – Λογοδοσία:

Ο ΕΟΓ προβαίνει μόνο σε νόμιμη επεξεργασία δεδομένων. Τα προσωπικά δεδομένα που επεξεργάζεται ο Σύλλογος ακολουθούν τις εξής αρχές:

α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).

β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).

δ) είναι ακριβή και όταν είναι αναγκαίο επικαιροποιούνται,  δηλαδή λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).

ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα («περιορισμός της περιόδου αποθήκευσης»).

στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Ο ΕΟΓ φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τα παραπάνω («λογοδοσία»). Για τον σκοπό αυτό υιοθέτησε την παρούσα πολιτική και λαμβάνει όλα τα αναγκαία μέτρα τεκμηρίωσης της νόμιμης επεξεργασίας των προσωπικών δεδομένων.

Ο ΕΟΓ προβαίνει σε επεξεργασία μόνον εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς.

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.

γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

ε) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

6. Συγκατάθεση των Υποκειμένων των ΔΠΧ

Προϋποθέσεις και διαδικασία για την λήψη συγκατάθεσης του υποκειμένου

1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο ΕΟΓ πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα. Για αυτόν τον λόγο ο ΕΟΓ θα κρατάει αρχείο σε ηλεκτρονική ή έγγραφη μορφή όλων των συγκαταθέσεων που λαμβάνει.
2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται από τον ΕΟΓ κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησης της. Η ανάκληση της συγκατάθεσης πρέπει να είναι εξίσου εύκολη με την παροχή της.
4. ΔΠΧ Ειδικών Κατηγοριών (πρώην «Ευαίσθητα Προσωπικά Δεδομένα»)
5. 
   Ο ΕΟΓ δεν προβαίνει στην επεξεργασία ΔΠΧ που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση. Επίσης ο ΕΟΓ δεν προβαίνει στην επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου.
6. Εξαίρεση αποτελούν τα δεδομένα υγείας εργαζομένων και ανήλικων τέκνων εργαζομένων που παρέχονται από τους ίδιους στα πλαίσια της εργατικής και ασφαλιστικής νομοθεσίας (π.χ. πιστοποιητικά ασθενείας για δικαιολόγηση απουσιών ή για άλλες εργασιακές ανάγκες όπως εκτίμηση της ικανότητας προς εργασία, ονόματα και ηλικία ανήλικων τέκνων προσωπικού για το υπολογισμό επιδομάτων κλπ.) και που εξαιρούνται από την απαγόρευση σύμφωνα με το άρθρο 9 παρ. 2 εδάφιο β του ΓΚΠΔ.
7. Για την επεξεργασία Ειδικών Κατηγοριών ΔΠΧ θα παρέχονται κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.
8. Χρόνος διατήρησης Δεδομένων Προσωπικού Χαρακτήρα

Ο ΕΟΓ διατηρεί τα δεδομένα για όσο χρόνο αυτό είναι απαραίτητο για την πραγματοποίηση του σκοπού της επεξεργασίας ή για όσο σκοπό είναι απαραίτητο για την εκτέλεση των νομικών της υποχρεώσεων.

Δεδομένα Προσωπικού Χαρακτήρα υπαλλήλων

Τα δεδομένα των υπαλλήλων τηρούνται έως είκοσι (20) έτη από τη λήξη της σύμβασης εργασίας, εφόσον αυτό απαιτείται στο πλαίσιο ενδεχόμενων ελέγχων από ο ΕΦΚΑ ή άλλες αρμόδιες δημόσιες αρχές, ή περισσότερο αν αυτό απαιτείται από την ισχύουσα νομοθεσία ή για την επίλυση οποιασδήποτε δικαστικής ή εξωδικαστικής διαφοράς ή διαιτησίας.

Μετά την λήξη της σύμβασης εργασίας τους, τα δεδομένα προσωπικού χαρακτήρα των υπαλλήλων φυλάσσονται σε ασφαλή χώρο και οποιαδήποτε πρόσβαση σε αυτά γίνεται μόνο μετά από αίτηση των ιδίων ή στο πλαίσιο ελέγχου αρμόδιας αρχής ή προκειμένου ο Σύλλογος να εκπληρώσει υποχρεώσεις της που πηγάζουν από το νόμο ή για να προστατεύσει τα συμφέροντα της.

Δεδομένα Προσωπικού Χαρακτήρα υποψηφίων υπαλλήλων

Τα δεδομένα των υποψηφίων υπαλλήλων τηρούνται έως έξι (6) μήνες μετά την ολοκλήρωση της διαδικασίας επιλογής – πλήρωσης της θέσης εργασίας για την οποία υπέβαλαν το βιογραφικό τους και σε κάθε περίπτωση μέχρι ένα (1) χρόνο από την ημερομηνία που τα υπέβαλαν. Για την τήρηση των δεδομένων για μεγαλύτερο χρόνο, ο ΕΟΓ θα λαμβάνει την έγγραφη συγκατάθεση των υποψηφίων.

Δεδομένα Προσωπικού Χαρακτήρα προμηθευτών, συνεργατών και πελατών

Τα δεδομένα των προμηθευτών, συνεργατών και πελατών του ΚΞΓ τηρούνται έως είκοσι (20) έτη από την λήξη της συνεργασίας, εφόσον αυτό απαιτείται στο πλαίσιο ενδεχόμενων ελέγχων από τις αρμόδιες δημόσιες αρχές, ή περισσότερο αν αυτό απαιτείται από την ισχύουσα νομοθεσία ή για την επίλυση οποιασδήποτε δικαστικής ή εξωδικαστικής διαφοράς ή διαιτησίας.

9. Δικαιώματα των Υποκειμένων των ΔΠΧ

Αιτήματα των Υποκειμένων των ΔΠΧ

Ο ΕΟΓ παρέχει στα υποκείμενα των δεδομένων, πληροφορίες για την επεξεργασία των ΔΠΧ τους, χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή σχετικού αιτήματος τους.

Η εν λόγω προθεσμία μπορεί σε εξαιρετικές περιπτώσεις να παραταθεί κατά δύο ακόμη μήνες, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο ΕΟΓ ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.

Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 του ΓΚΠΔ καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 του ΓΚΠΔ, παρέχονται δωρεάν στο υποκείμενο. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο ΕΟΓ μπορεί είτε να επιβάλει την καταβολή εύλογου τέλους (λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας) είτε να αρνηθεί να δώσει συνέχεια στο αίτημα.

Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

Σχετικά αιτήματα μπορούν να υποβάλλονται με ηλεκτρονικό μήνυμα στο email [του Υπεύθυνου Προστασία Δεδομένων] ΕΟΓ: info@gravanis.edu.gr

Πληροφορίες που παρέχει το ΚΞΓ (Υπεύθυνος Επεξεργασίας) όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, o ΕΟΓ κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και κατά περίπτωση του εκπροσώπου του υπευθύνου επεξεργασίας,

β) τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων, κατά περίπτωση,

γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία.

 δ) εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ’ του ΓΚΠΔ τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,

ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

στ) κατά περίπτωση, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο του ΓΚΠΔ, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφο τους ή στο πού διατέθηκαν.

2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:

α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα.

β) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση, διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων.

γ) όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α’ ή στο άρθρο 9 παράγραφος 2 στοιχείο α’, την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θίγει η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,

δ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή.

ε) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών.

στ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4, και τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

3. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
4. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες.

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και εάν συμβαίνει τούτο, έχει το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

α) τους σκοπούς της επεξεργασίας.

β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα.

γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν ή πρόκειται να κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς.

δ) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο τα δεδομένα προσωπικού χαρακτήρα θα αποθηκευτούν ή όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα.

ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία.

στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή.

ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους.

η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4, και τουλάχιστον στις περιπτώσεις αυτές, πληροφορίες σχετικά με τη λογική που ακολουθείται καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.
3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.
4. Το δικαίωμα να λαμβάνεται αντίγραφο, που αναφέρεται στην παράγραφο 3, δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη χωρίς αδικαιολόγητη καθυστέρηση διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α’ ή το άρθρο 9 παράγραφος 2 στοιχείο α’ και δεν υπάρχει άλλη νομική βάση για την επεξεργασία.

γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2.

δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα.

ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν ώστε να τηρηθεί νομική υποχρέωση βάσει του Ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας.

στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, που αναφέρονται στο άρθρο 8 παράγραφος 1.

2. Όταν ο υπεύθυνος επεξεργασίας έχει κοινοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να τα διαγράψει, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων και τεχνικών μέτρων, για να ενημερώσει τους εκτελούντες επεξεργασία που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση.

β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας.

γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με         το άρθρο 9 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 9 παράγραφος 3 του ΓΚΠΔ.

δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή

ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Δικαίωμα περιορισμού της επεξεργασίας

1. Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα.

β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους.

γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.

δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1 τα εν λόγω δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία, εκτός της αποθήκευσης, μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

Δικαίωμα στη φορητότητα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγοι δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν: α) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α’ ή το άρθρο 9 παράγραφος 2στοιχείο α’ ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β’ του ΓΚΠΔ και β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.
2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17 του ΓΚΠΔ. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Δικαίωμα εναντίωσης

1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε’ ή στ’, περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων.

Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση. άσκηση ή υποστήριξη νομικών αξιώσεων.

2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.
3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.
4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την

επιφύλαξη της οδηγίας 2002/58/Ε.Κ. το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί σε αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1 του ΓΚΠΔ, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί. για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημοσίου συμφέροντος.

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ.

O ΕΟΓ δεν προβαίνει σε αυτοματοποιημένη ατομική λήψη αποφάσεων, ή/και σε κατάρτιση προφίλ. Σε περίπτωση που στο μέλλον το ΚΞΓ προβεί σε τέτοιες ενέργειες, θα τηρηθούν οι προϋποθέσεις του ΓΚΠΔ.

10. Επεξεργασία ΔΠΧ Υπαλλήλων / Εργαζομένων

Λόγοι επεξεργασίας και νομική βάση επεξεργασίας των ΔΠΧ υπαλλήλων/εργαζομένων από τον ΕΟΓ

Ο ΕΟΓ, σαν Υπεύθυνος Επεξεργασίας, επεξεργάζεται τα δεδομένα των υπαλλήλων για τους παρακάτω λόγους:

1. Στο πλαίσιο της εκτέλεσης της μεταξύ τους σύμβασης εργασίας (π.χ. για την επεξεργασία των στοιχείων των τραπεζικών λογαριασμών των εργαζόμενων με σκοπό τη κατάθεση του μισθού τους, κ.λπ.). Νομική βάση της επεξεργασίας: Εκτέλεση σύμβασης.
2. Για την συμμόρφωση του ΕΟΓ με έννομες υποχρεώσεις του (π.χ. για τη διαβίβαση των προβλεπόμενων από τη νομοθεσία ΔΠΧ των εργαζόμενων προς τον ΕΦΚΑ). Νομική βάση της επεξεργασίας: Νομική υποχρέωση του Υπεύθυνου Επεξεργασίας.
3. ΔΠΧ Ειδικών Κατηγοριών των εργαζόμενων, όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του Υπευθύνου Επεξεργασίας ή των εργαζόμενων στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκτίμηση της ικανότητας των εργαζόμενων προς εργασία. Νομική βάση της επεξεργασίας: Νομική υποχρέωση του Υπεύθυνου Επεξεργασίας ή των Υποκειμένων των δεδομένων.
4. Για τους σκοπούς των νόμιμων συμφερόντων που επιδιώκει ο ΕΟΓ. Νομική βάση της επεξεργασίας: Εξυπηρέτηση των νόμιμων συμφερόντων του Υπεύθυνου Επεξεργασίας.
5. Για τους σκοπούς της προβολής του ΕΟΓ (π.χ. ανάρτηση φωτογραφιών των εργαζόμενων του ΕΟΓ στην ιστοσελίδα του). Νομική βάση της επεξεργασίας: Συναίνεση των Υποκειμένων των Δεδομένων.

Οι υπάλληλοι/εργαζόμενοι θα ενημερώνονται πλήρως από τον ΕΟΓ για την επεξεργασία των ΔΠΧ τους, για τα δικαιώματα που έχουν στα ΔΠΧ τους και για τον τρόπο άσκησης των δικαιωμάτων αυτών, με απλό, σαφή και κατανοητό τρόπο, σύμφωνα με το ισχύον εθνικό και Ενωσιακό δίκαιο.

Χρήση εταιρικής τηλεφωνίας (Εφόσον παρέχεται)

Ο ΕΟΓ παρέχει στους υπαλλήλους της πρόσβαση στην εταιρική σταθερή τηλεφωνία μέσω τηλεφωνικού κέντρου, χωρίς τη χρήση ατομικών γραμμών.

Η έκδοση αναλυτικών λογαριασμών των σταθερών τηλεφωνικών συνδέσεων τον ΕΟΓ που ενδέχεται περιστασιακά να ζητείται για επαλήθευση χρεώσεων ή για άλλους τεχνικούς λόγους, δεν παρέχει δυνατότητα αντιστοίχισης των πραγματοποιηθέντων κλήσεων σε συγκεκριμένους χρήστες τηλεφωνίας.

Ο ΕΟΓ ενδέχεται να παρέχει σε υπαλλήλους της τη χρήση κινητών τηλεφώνων. Ο ΕΟΓ διατηρεί το δικαίωμα να ζητά την έκδοση αναλυτικών λογαριασμών όλων των κινητών τηλεφωνικών του συνδέσεων όταν αυτό κρίνεται αναγκαίο για την επαλήθευση χρεώσεων ή για άλλους τεχνικούς λόγους.

Χρήση εταιρικών Email (Εφόσον παρέχονται)

Η αποστολή και λήψη ηλεκτρονικών μηνυμάτων αλληλογραφίας από εταιρικούς λογαριασμούς επιτρέπεται μόνο για εργασιακούς σκοπούς.

Ο ΕΟΓ δεν ελέγχει το περιεχόμενο των μηνυμάτων των ατομικών εταιρικών λογαριασμών που έχει παραχωρήσει στους υπαλλήλους σε συστηματική βάση, διατηρεί όμως αυτό το δικαίωμα σε συγκεκριμένες περιπτώσεις, προκειμένου να υπερασπιστεί τα νόμιμα συμφέροντα του από σημαντικές απειλές (π.χ. από την μη εξουσιοδοτημένη διαβίβαση εμπιστευτικών πληροφοριών).

Ο ω οφείλει να ενημερώσει εκ των προτέρων τους υπαλλήλους του σε περίπτωση διενέργειας τέτοιων ελέγχων.

Πρόσβαση στο Internet (Εφόσον παρέχεται)

Ο ΕΟΓ δεν προβαίνει σε προληπτική και γενική συλλογή δεδομένων χρήσης του διαδικτύου από τους υπαλλήλους.

Σε εξαιρετικές περιπτώσεις επιτρέπεται η περιορισμένη συλλογή δεδομένων σχετικά με επισκέψεις στο διαδίκτυο για την αποφυγή επισκέψεων σε συγκεκριμένες ιστοσελίδες (π.χ. παράνομου περιεχομένου).

Ο ΕΟΓ οφείλει να ενημερώσει εκ των προτέρων τους υπαλλήλους του σε περίπτωση συλλογής τέτοιων δεδομένων.

Κάμερες Ασφαλείας (Γενικά δεν επιτρέπονται)

Η ύπαρξη και µόνο καμερών σε χώρους όπου δραστηριοποιούνται ανήλικοι (όπως φροντιστήρια κλπ.) χρήζει ιδιαίτερης προσοχής, αφού δεν είναι εύκολο να αξιολογηθούν οι συνέπειες που μια  τέτοια επεξεργασία μπορεί να έχει για την ελεύθερη ανάπτυξη της προσωπικότητας των ανηλίκων.

Συγκεκριμένα, υπάρχει ο κίνδυνος να περιοριστεί η ανάπτυξη της έννοιας της ελευθερίας τους, εάν πιστέψουν από μικρή ηλικία ότι είναι φυσιολογικό να παρακολουθούνται µέσω καμερών.

Συνεπώς η χρήση συστημάτων βιντεοεπιτήρησης πρέπει να αποφεύγεται. Σε εξαιρετικές περιπτώσεις, η κατ’ εξαίρεση εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης για λόγους ασφαλείας, θα πρέπει να γίνει αντικείμενο ενδελεχούς μελέτης και να ικανοποιεί οι όλες κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τις διατάξεις της σχετικής νομοθεσίας.

11. Αρμόδιος για θέματα Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔ)

Ο ΕΟΓ έχει αναθέσει το ρόλο του αρμόδιου για θέματα προστασίας δεδομένων προσωπικού χαρακτήρα (ΑΠΔ) στον Λάμπρο Γραβάνη.

Η θέση αυτή αποσκοπεί στην διευκόλυνση του ΕΟΓ σε θέματα προστασίας ΔΠΧ και δεν ταυτίζεται με κανέναν τρόπο με την θέση του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ), όπως αυτή ορίζεται από τον ΓΚΠΔ. Ο ΕΟΓ δεν έχει υποχρέωση ορισμού ΥΠΔ, σύμφωνα με την ισχύουσα νομοθεσία.

Ο ΑΠΔ είναι υπεύθυνος για την παρακολούθηση και τον έλεγχο της εφαρμογής της παρούσας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα και των σχετικών οργανωτικών και τεχνικών μέτρων ασφαλείας.

Οι εργαζόμενοι, οι μαθητές και τα υπόλοιπα Υποκείμενα των ΔΠΧ, μπορούν να επικοινωνούν με τον ΑΠΔ για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων.

Τα στοιχεία επικοινωνίας του ΑΠΔ είναι τα εξής: e-mail: gravanislampros@gmail.com και τηλ.+306944334670. Το εν λόγω email και κατά περίπτωση ο αριθμός τηλεφώνου, θα περιλαμβάνονται στις επικοινωνίες του ΕΟΓ προς τρίτους, προκειμένου αυτοί να γνωρίζουν που να απευθύνονται για θέματα προστασίας των προσωπικών τους δεδομένων.

12. Λήψη Οργανωτικών και Τεχνικών Μέτρων

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

Ο ΕΟΓ λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, εφαρμόζει και θα εφαρμόζει, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως η ελαχιστοποίηση των δεδομένων, η τήρηση τους σε ειδικά κλειδωμένους χώρους, η πρόσβαση σε Η/Υ μόνο με κωδικούς, η υποχρεωτική τήρηση εχεμύθειας από τους υπαλλήλους της κλπ.), σχεδιασμένα για την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

Ο ΕΟΓ λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι εξ ορισμού υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας.

Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα σε αόριστο αριθμό φυσικών προσώπων.

13. Εκπαίδευση προσωπικού

Ο ΕΟΓ ενημερώνει τους υπαλλήλους του για θέματα δεδομένων προσωπικού χαρακτήρα και ειδικότερα εκπαιδεύει τους υπαλλήλους που ασχολούνται με επεξεργασία δεδομένων προσωπικού χαρακτήρα στην σύννομη επεξεργασία και τις απαιτήσεις του ΓΚΠΔ.

Η εκπαίδευση αυτή πραγματοποιείται στο πλαίσιο της αρχικής εκπαίδευσης κάθε στελέχους και επαναλαμβάνεται σε ετήσια βάση για όλο το προσωπικό που ασχολείται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η εκπαίδευση μπορεί να γίνεται με χρήση έντυπου ή οπτικοακουστικού υλικού.

14. Ο ΕΟΓως Εκτελών Επεξεργασία

Ο ΕΟΓ ενδέχεται να αναλαμβάνει την εκτέλεση διεργασιών για λογαριασμό άλλων επιχειρήσεων ή οργανισμών, που περιλαμβάνουν και επεξεργασία προσωπικών δεδομένων.

Σε αυτές τις περιπτώσεις, σύμφωνα με τον ΓΚΠΔ, ο ΕΟΓ θεωρείται Εκτελών επεξεργασία και  οφείλει να υπογράφει συμβάσεις με τους Υπεύθυνους Επεξεργασίας, σχετικά με την επεξεργασία των ΔΠΧ.

Ο ΕΟΓ δεσμεύεται να επεξεργάζεται τα δεδομένα αυτά σύμφωνα με τις οδηγίες του Υπεύθυνου Επεξεργασίας και τις διατάξεις της εθνικής και της Ενωσιακής νομοθεσίας..

15. Συμβάσεις με τρίτους Εκτελούντες την Επεξεργασία

1) Ο ΕΟΓ μπορεί να αναθέσει βάσει σύμβασης ορισμένες εργασίες – αρμοδιότητες του σε τρίτα φυσικά ή νομικά πρόσωπα. Στο πλαίσιο της εκτέλεσης αυτών των εργασιών – αρμοδιοτήτων, ο συνεργάτης μπορεί να προβαίνει σε επεξεργασία προσωπικών δεδομένων για λογαριασμό του ΕΟΓ. Τέτοιες περιπτώσεις μπορεί να αναφέρονται σε σύμβαση με λογιστικό γραφείο, με εταιρεία για την μισθοδοσία των υπαλλήλων του ΕΟΓ, για τη διενέργεια προωθητικών ενεργειών, κ.λπ.

2) Ο ΕΟΓ επιλέγει τα ως άνω τρίτα πρόσωπα ή εταιρείες αφού έχει λάβει επαρκείς διαβεβαιώσεις για την καταλληλότητα τους, υπογράφοντας σχετικούς διασφαλιστικούς συμβατικούς όρους για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων εκ μέρους των, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.

3) Σύμφωνα με αυτούς τους διασφαλιστικούς συμβατικούς όρους που ο ΕΟΓ υπογράφει με τους Εκτελούντες επεξεργασία προσωπικών δεδομένων για λογαριασμό του, ο Εκτελών την επεξεργασία δεν μπορεί να προσλάβει υπεργολάβους χωρίς την προηγούμενη γραπτή άδεια του ΕΟΓ.

4) Οι διασφαλιστικοί συμβατικοί όροι θα πρέπει να καθορίζουν το αντικείμενο, τη φύση, τον σκοπό και τη διάρκεια της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων των δεδομένων, τα δικαιώματα του υπευθύνου επεξεργασίας και τις υποχρεώσεις του εκτελούντος την επεξεργασία, και θα προβλέπουν ειδικότερα ότι ο Εκτελών την επεξεργασία:

α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία. Σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημοσίου συμφέροντος.

β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ.

δ) τηρεί τους όρους που αναφέρονται παραπάνω για την πρόσληψη άλλου εκτελούντος την επεξεργασία.

ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στην ενότητα περί δικαιωμάτων του υποκειμένου των δεδομένων.

στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία.

ζ) κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα.

η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

θ) ενημερώνει αμέσως τον Υπεύθυνο Επεξεργασίας εάν κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

ι) Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα παραπάνω, επιβάλλονται στον άλλον εκτελούντα μέσω σύμβασης, ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ. Ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.

Σχετικές οδηγίες και υποδείγματα: 6. Οδηγίες για συμβάσεις με Εκτελούντες Επεξεργασία

16. Επιθεωρήσεις και Αναθεωρήσεις της Πολιτικής Προστασίας ΔΠΧ

Η παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δεν πρέπει να είναι στατική́ αλλά να αξιολογείται και να αναθεωρείται σύμφωνα με τις αλλαγές του εθνικού και Ενωσιακού νομοθετικού πλαισίου που διέπει την επεξεργασία των ΔΠΧ, τις αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων, των δραστηριοτήτων και των διεργασιών του ΕΟΓ, καθώς και τις εξελίξεις της τεχνολογίας της πληροφορίας.

Η παρούσα πολιτική πρέπει να ελέγχεται για την εφαρμογή και την αποτελεσματικότητα της κάθε έτος ή νωρίτερα αν υπάρχει ανάγκη, και εφόσον κρίνεται αναγκαίο να αναθεωρείται.

Στη διαδικασία επιθεώρησης και αναθεώρησης της Πολιτικής Προστασίας ΔΠΧ πρέπει να συμμετέχουν ο αρμόδιος για θέματα προσωπικών δεδομένων, ο υπεύθυνος πληροφοριακών συστημάτων καθώς και οι επικεφαλής των εμπλεκομένων τμημάτων ή υπάλληλοι εξουσιοδοτημένοι από αυτούς.

Εφόσον κρίνεται αναγκαίο, στη διαδικασία επιθεώρησης και αναθεώρησης της Πολιτικής Προστασίας ΔΠΧ μπορεί να συμμετέχει εξωτερικός συνεργάτης ειδικός σε θέματα προστασίας ΔΠΧ, ή η επιθεώρηση και η αναθεώρηση να ανατίθεται σε εξωτερικό φορέα.

Τα πορίσματα και οι προτάσεις των ετήσιων και των εκτάκτων επιθεωρήσεων της Πολιτικής Προστασίας ΔΠΧ θα πρέπει να τίθενται υπόψη της διοίκησης του ΚΞΓ και να διατηρούνται για μελλοντική  αναφορά.

 © 2020 Απαγορεύεται η αναπαραγωγή και η κοινοποίηση σε τρίτους