1. Σκοπός
Σκοπός της παρούσας Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
εφεξής «η Πολιτική») είναι να ρυθμίζει τον τρόπο με τον οποίο ο Φιλανθρωπικός
Οργανισμός με την επωνυμία «ΜΑΝΑ» (εφεξής «το ΜΑΝΑ») σέβεται και προστατεύει
τα δεδομένα προσωπικού χαρακτήρα τα οποία τηρεί και επεξεργάζεται στα πλαίσια των
δραστηριοτήτων του.
Ειδικότερα, η παρούσα Πολιτική στοχεύει στην κατανόηση από τα στελέχη, από το
προσωπικό, τους εθελοντές και τις «ωφελούμενες γυναίκες» του ΜΑΝΑ, των βασικών
εννοιών και του πλαισίου ευθυνών που συνεπάγεται η διαχείριση προσωπικών δεδομένων σύμφωνα με το Γενικό Κανονισμό για την Προστασία Δεδομένων 679/2016/ΕΕ (εφεξής «ο ΓΚΠΔ»), την εθνική νομοθεσία, τις γνωμοδοτήσεις, αποφάσεις και πράξεις της Εθνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «η ΑΠΔΠΧ») και στην υιοθέτηση σύννομων και ορθών πρακτικών διαχείρισης προσωπικών δεδομένων, με βάση τις διατάξεις της παρούσης.
Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέχει επιπρόσθετα θέση ενημέρωσης των υποκειμένων των δεδομένων στα οποία κοινοποιείται σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ και αποτελείται από το σύνολο των επιμέρους Πολιτικών τoυ ΜΑΝΑ που αφορούν:
– Τις υποχρεώσεις, τους ρόλους και τις ευθύνες των στελεχών, του προσωπικού και των εθελοντών του ΜΑΝΑ.
Την Πολιτική Ασφαλούς Διαχείρισης προσωπικών δεδομένων
Την Πολιτική Διατήρησης και Καταστροφής Αρχείων
Την Πολιτική Ορθής Λήψης, Διαχείρισης και Ανάκλησης των Συγκαταθέσεων
Την Πολιτική Διαχείρισης Αιτημάτων των υποκειμένων των δεδομένων για την άσκηση δικαιωμάτων των υποκειμένων των δεδομένων
Την Πολιτική Διαχείρισης Περιστατικών Παραβίασης Δεδομένων
Την Πολιτική Χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας
Την Πολιτική Καθαρού Γραφείου και Οθόνης
Τα στελέχη, το προσωπικό και οι εθελοντές του ΜΑΝΑ λαμβάνουν γνώση της Πολιτικής και δεσμεύονται να τη μελετήσουν, να θέσουν στη Διοίκηση τυχόν απορίες τους και να τηρούν απαρέγκλιτα τις διατάξεις της Πολιτικής, καθ’ όλο το διάστημα της συνεργασίας τους/απασχόλησής τους στο ΜΑΝΑ, ανεξαρτήτως καθεστώτος.
2. Πεδίο εφαρμογής
Στις διατάξεις της παρούσας Πολιτικής οφείλει να συμμορφώνεται πλήρως η Διοίκηση,και το Προσωπικό του ΜΑΝΑ, ανεξαρτήτως βαθμού,καθεστώτος ή ειδικότητας,που απασχολείται επί του παρόντοςμε συμβάσειςεργασίαςορισμένου ή αορίστου χρόνου, πλήρως ή μερικώς απασχολούμενο Προσωπικό, καθώς και τυχόν εξωτερικοί συνεργάτες ή εθελοντές, που παρέχουνυπηρεσίες ή εθελοντική εργασία στο ΜΑΝΑ, υπό τον όρο ότι απασχολούνται στις εγκαταστάσεις τουή /και για λογαριασμό του και προβαίνουν σε επεξεργασία προσωπικών δεδομένων που τηρούνται από το ΜΑΝΑ, στα πλαίσια της άσκησης των καθηκόντων τους.
Στην τήρηση της παρούσας Πολιτικής δεσμεύεται επίσης:
– ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer- εφεξήςχάρινσυντομίας“DPO”), τoυ ΜΑΝΑ, (εφόσον ορισθεί)
– οι εκτελούντες επεξεργασία για λογαριασμό του ΜΑΝΑ, και δη τυχόν εξωτερικός λογιστής, συνεργαζόμενος φωτογράφος, τυχόν συντηρητές εφαρμογών πληροφορικής, προσωπικό συνεργείων καθαρισμού κλπ.
Το ΜΑΝΑ δεσμεύεται να γνωστοποιεί την παρούσα Πολιτική σε κάθε παρόν ή νέο στέλεχος, εργαζόμενο, συνεργάτη, εθελοντή, εκτελούντα επεξεργασία σύμφωνα με τα παραπάνω και να διασφαλίζει με πρόσφορο μέσο τη γνώση και τη δέσμευση αυτών για την ορθήτήρηση της Πολιτικής και των πρακτικών που περιγράφονται εντός της ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Βασικοί Ορισμοί- Αρχές νόμιμης επεξεργασίας
3.1. Το ΜΑΝΑ έχει δεσμευθεί να σέβεται και να προστατεύει τα προσωπικά δεδομένα τα οποία συλλέγει και επεξεργάζεται στα πλαίσια των δραστηριοτήτων του, συμμορφούμενο πλήρως με τις υποχρεώσεις που απορρέουν από το Ευρωπαϊκό και το εσωτερικό Κανονιστικό Πλαίσιο για την προστασία προσωπικών δεδομένων. Για τους σκοπούς της ορθής εφαρμογής της Πολιτικής, το ΜΑΝΑ ενημερώνει τους υπόχρεους για την τήρηση της Πολιτικής για τους παρακάτω ορισμούς σύμφωνα με τη νομοθεσία:
«Δεδομένα προσωπικού χαρακτήρα» (εφεξής «προσωπικά δεδομένα») είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.
«Ευαίσθητα δεδομένα» ή «δεδομένα ειδικών κατηγοριών»<, είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια, στη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό, στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις / σωματεία προσώπων, καθώς και στα σχετικά με ποινικές διώξεις ή καταδίκες. Επίσης περιλαμβάνονται τα γενετικά και τα βιομετρικά δεδομένα, με σκοπό την αδιαμφισβήτητη ταυτοποίηση ενός προσώπου. «Δεδομένα υγείας>» είναι οι πληροφορίες που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του. Τα δεδομένα που αφορούν την υγεία περιλαμβάνουν πληροφορίες σχετικά με το φυσικό πρόσωπο που συλλέγονται κατά την εγγραφή για υπηρεσίες υγείας και κατά την παροχή αυτών. Tέτοιες πληροφορίες μπορεί να είναι ένας αριθμός, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας, πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.
«Υποκείμενο των δεδομένων» είναι το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα μπορεί να προσδιορισθεί άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
«Υπεύθυνος επεξεργασίας», το φυσικό ή νομικό πρόσωπο που καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, εν προκειμένω ο Φιλανθρωπικός Οργανισμός «ΜΑΝΑ».
«Εκτελών την επεξεργασία» είναι κάθε φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου επεξεργασίας.
«Επεξεργασία προσωπικών δεδομένων» είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
«<Κατάρτιση προφίλ<» είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση/πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις ενός φυσικού προσώπου.
«Παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή κακόβουλη καταστροφή, απώλεια, αλλαγή, την μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση στα μεταφερθέντα, αποθηκευμένα ή άλλως επεξεργασμένα δεδομένα προσωπικού χαρακτήρα.
«Ωφελούμενες γυναίκες»νοούνται στην παρούσα Πολιτική οι γυναίκες οι οποίες νοσούν από καρκίνο του μαστού ή άλλης μορφής γυναικολογικό καρκίνο και εντάσσονται στα προγράμματα ψυχοκοινωνικής υποστήριξης του ΜΑΝΑ.
3.2. Αρχές νόμιμης επεξεργασίας προσωπικών δεδομένων:
Κάθε επεξεργασία προσωπικών δεδομένων από το ΜΑΝΑ θα πρέπει να υπακούει στις ακόλουθες αρχές, προκειμένου να θεωρείται νόμιμη και να πληροί τις απαιτήσεις του ΓΚΠΔ και του εθνικού νομοθετικού πλαισίου για την προστασία δεδομένων:
– Τα δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
– Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ («περιορισμός του σκοπού»),
– Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
– Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
– Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
– Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Nόμιμες βάσεις επεξεργασίας προσωπικών δεδομένων
Οποιαδήποτε επεξεργασία προσωπικών δεδομένων από τoΜΑΝΑ στα πλαίσια των σκοπών και της δραστηριότητάς του (ψυχοκοινωνική υποστήριξη των γυναικών που νοσούν από καρκίνο), θα πρέπει να εδράζεται σε νόμιμη βάση επεξεργασίας.
4. Οι νόμιμες βάσεις επεξεργασίας σύμφωνα με το ΓΚΠΔ είναι οι εξής:
– Η συγκατάθεση του υποκειμένου των δεδομένων για έναν ή περισσότερους σκοπούς.
– Η εκτέλεση σύμβασης, της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος, ή η λήψη μέτρων κατ’ αίτηση του υποκειμένου των δεδομένων στο προσυμβατικό στάδιο.
– Η συμμόρφωση με έννομη υποχρέωση του υπευθύνου της επεξεργασίας.
– Η διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.
– Η εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας του Υπευθύνου της Επεξεργασίας.
– Η εκπλήρωση έννομων συμφερόντων του Υπευθύνου Επεξεργασίας ή τρίτων, υπό τον όρο ότι έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
2.2 Οι νόμιμες βάσεις επεξεργασίας ευαίσθητων προσωπικών δεδομένων είναι οι εξής:
– η ρητή συγκατάθεση του υποκειμένου για έναν ή περισσότερους συγκεκριμένους σκοπούς.
– η εκτέλεση των υποχρεώσεων και η άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων.
– η προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.
– η επεξεργασία στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.
– η επεξεργασία προδήλως δημοσιοποιημένων προσωπικών δεδομένων.
– η θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα.
– η επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
– η επεξεργασία για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας.
– η επεξεργασία για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας,
– η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
Το ΜΑΝΑ συλλέγει και επεξεργάζεται κατά περίπτωση προσωπικά δεδομένα επί τη βάσει της συγκατάθεσης, της σύμβασης, της συμμόρφωσής του προς έννομες υποχρεώσεις του και του εννόμου συμφέροντός του.
5. Υποχρεώσεις – Ρόλοι – Ευθύνες.
Η τήρηση και επεξεργασία προσωπικών δεδομένων από το ΜΑΝΑ συνεπάγεται υποχρεώσεις και ευθύνες για τη διοίκηση, τα στελέχη, το προσωπικό και τους συνεργάτες του, αναλόγως της θέσης και των καθηκόντων τους.
5.1. Υποχρεώσεις Διοίκησης:
Η Διοίκηση του ΜΑΝΑ έχει τις εξής υποχρεώσεις:
– Καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων
– Δίνει εντολές και κατευθύνσεις στο προσωπικό, τους συνεργάτες, καθώς και σε τυχόν εκτελούντες επεξεργασία για λογαριασμό του ΜΑΝΑ.
– Διασφαλίζει τη νομιμότητα της επεξεργασίας των δεδομένων και την τήρηση των ορθών διαδικασιών και πρακτικών επεξεργασίας δεδομένων από όλα τα στελέχη,το προσωπικό και τους συνεργάτες του ΜΑΝΑ.
– Διασφαλίζει την ορθή συμβατική δέσμευση και την επίβλεψη των μέτρων ασφαλείας τυχόν εκτελούντων την επεξεργασία.
– Διασφαλίζει την τήρηση της ασφάλειας, του απορρήτου και της εμπιστευτικότητας των προσωπικών δεδομένων από όλα τα στελέχη, το προσωπικό και τους συνεργάτες μέσω των απαραίτητων δεσμεύσεων.
– Διασφαλίζει την ορθή τήρηση της παρούσας Πολιτικής.
– Διασφαλίζει την εκπαίδευση και την επιμόρφωση του Προσωπικού αναφορικά με τις υποχρεώσεις του.
– Φέρει εν γένει και οφείλει να αποδείξει τη συμμόρφωση τoυ ΜΑΝΑ με τις προϋποθέσεις του ΓΚΠΔ ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, των δικαστηρίων ή/και κάθε άλλης Εποπτικής Αρχής.
5.2. Υποχρεώσεις προσωπικού
Το προσωπικό και οι συνεργάτες του ΜΑΝΑ οφείλουν να τηρούν τις εντολές της Διοίκησης ως προς την ορθή τήρηση και επεξεργασία των προσωπικών δεδομένων στα πλαίσια της άσκησης των καθηκόντων τους, περιλαμβανομένων και των δεδομένων ειδικών κατηγοριών, τα οποία επεξεργάζονται στα πλαίσια των καθηκόντων τους. Ειδικότερα οι εργαζόμενοι που απασχολούνται από το ΜΑΝΑ, ανεξαρτήτως καθεστώτος, υπέχουν τις εξής υποχρεώσεις:
5.2.1Να τηρούν τον εμπιστευτικό χαρακτήρα των προσωπικών δεδομένων τα οποία περιέρχονται εις γνώση τους και τα οποία επεξεργάζονται στο πλαίσιο της άσκησης των καθηκόντων τους ή επ΄ ευκαιρία αυτής και να μην προβαίνουν σε κοινοποίηση, διαβίβαση ή καθ’ οιονδήποτε άλλον τρόπο αποκάλυψη αυτών σε τρίτους, παρά μόνον εφόσον αυτό καθίσταται απολύτως απαραίτητο στο πλαίσιο της άσκησης των καθηκόντων τους ή απαιτείται από διάταξη νόμου. Ως «τρίτος» νοείται κάθε φυσικό ή νομικό πρόσωπο, περιλαμβανομένων –ενδεικτικά και όχι περιοριστικά-, των εξωτερικών συνεργατών και προμηθευτών του ΜΑΝΑ, καθώς και προσώπων του οικογενειακού, φιλικού και κοινωνικού περιβάλλοντος του εργαζομένου. Ως τρίτος νοείται και μέλος του προσωπικού του ΜΑΝΑ, εφόσον δεν πρόκειται για επαγγελματία υγείας για τον οποίο ισχύουν ειδικές υποχρεώσεις εχεμύθειας ή η άσκηση των καθηκόντων ή της εργασίας που τους έχει ανατεθεί δεν προϋποθέτει ή/και απαιτεί την κοινοποίηση και γνώση των ως άνω δεδομένων.
5.2.2 Να χρησιμοποιούν και να διαχειρίζονται τα προσωπικά δεδομένα αποκλειστικά για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία από το ΜΑΝΑ τηρώντας τις εντολές αυτού και λαμβάνοντας υπόψη τις υποδείξεις της Διοίκησης.
5.2.3 Η χρήση των δεδομένων που αφορούν την υγεία, τα οποία περιέρχονται εις γνώση του προσωπικού, των εθελοντών και των συνεργατών λόγω της δραστηριότητας του ΜΑΝΑ ή/και στο πλαίσιο της άσκησης των συναφών καθηκόντων επιτρέπεται να αποτελέσουν αντικείμενο επεξεργασίας από το προσωπικό του ΜΑΝΑ για λόγους έρευνας, εφόσον το εγκρίνει η Διοίκηση, παρέχονται εγγυήσεις ως προς την τήρηση της εμπιστευτικότητας και οργανωτικών και τεχνικών μέτρων ασφαλείας και τα δεδομένα ψευδωνυμοποιούνται ή ανωνυμοποιούνται.
5.2.4 Να μην προβαίνουν σε αθέμιτη ή μη εξουσιοδοτημένη πρόσβαση, επέμβαση, συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, χρήση, διάδοση και κάθε άλλης μορφής διάθεση, συσχετισμό, συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας ή και περιλαμβάνονται σε ηλεκτρονικό ή φυσικό αρχείο του ΜΑΝΑ.
5.2.5 Να συμμορφώνονται και να ακολουθούν τις εντολές, υποδείξεις και οδηγίες που έχουν λάβει ειδικά από το ΜΑΝΑ, ή γνωρίζουν λόγω της φύσης των καθηκόντων τους αναφορικά με τα μέτρα φυσικής, οργανωτικής και τεχνικής ασφάλειας για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των προσωπικών δεδομένων.
5.2.6 Το προσωπικό, οι εθελοντές και όσοι δεσμεύονται από την παρούσα Πολιτική υποχρεούνται να ανακοινώσουν στην Διοίκηση του ΜΑΝΑ οποιαδήποτε παραβίαση των κανόνων και οδηγιών επεξεργασίας προσωπικών δεδομένων ή παραβίαση της ασφάλειας αυτών υποπέσει στην αντίληψή τους. Ειδικότερα οφείλουν να ενημερώνουν εγκαίρως, τη Διοίκηση για οποιαδήποτε παραβίαση προσωπικών δεδομένων υποπέσει στην αντίληψή τους, περιλαμβανομένων των ενεργειών που απαριθμούνται στον όρο 5.3.4. του παρόντος, καθώς και για οποιαδήποτε παραβίαση της ασφάλειας του φυσικού ή/και του ηλεκτρονικού αρχείου των προσωπικών δεδομένων εν γένει, η οποία συνεπάγεται ή μπορεί να οδηγήσει σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα ηλεκτρονικά ή φυσικά αρχεία του ΜΑΝΑ.
5.2.7 Να επικοινωνούν με τη Διοίκηση (ή τον Υπεύθυνο Προστασίας Δεδομένων-εφόσον ορισθεί) του ΜΑΝΑ για οποιαδήποτε δική τους απορία αναφορικά με την προστασία προσωπικών δεδομένων και για οποιοδήποτε ζήτημα προσωπικών δεδομένων τεθεί υπ’ όψιν τους ή υποπέσει στην αντίληψή τους στα πλαίσια της άσκησης των καθηκόντων τους ή/και εν γένει κατά τις ώρες παραμονής τους στους χώρους και εγκαταστάσεις του ΜΑΝΑ, περιλαμβανομένων αιτημάτων των «ωφελούμενων γυναικών» να ασκήσουν τα δικαιώματα που τους αναγνωρίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων 679/2016 (ενημέρωση, πρόσβαση, διόρθωση, εναντίωση, διαγραφή, περιορισμός της επεξεργασίας, φορητότητα, εναντίωση στο profiling, καταγγελία στην Εποπτική Αρχή), παραπόνων αναφορικά με την προστασία των προσωπικών τους δεδομένων, παραλείψεων και μη τήρησης των τεχνικών και οργανωτικών μέτρων ασφαλείας των προσωπικών δεδομένων και των όρων του παρόντος Κανονισμού κλπ.
5.28 Να παρέχουν εν γένει κάθε βοήθεια στο ΜΑΝΑ προκειμένου να προστατεύσει τον απόρρητο χαρακτήρα, την ασφάλεια και την εμπιστευτικότητα των προσωπικών δεδομένων τα οποία οι ίδιοι ή τρίτοι , άμεσα ή έμμεσα, αποκάλυψαν ή άλλως διέθεσαν σε μη εξουσιοδοτημένο χρήστη ή κάτοχοκαι να συνεργάζονται με το ΜΑΝΑ, ώστε να ανακτήσει την κατοχή των προσωπικών δεδομένων και να εμποδίσει περαιτέρω μη εξουσιοδοτημένη χρήση ή αποκάλυψη ή καθ’ οιονδήποτε άλλο τρόπο παραβίαση της ασφάλειας των προσωπικών δεδομένων που τηρεί .
5.29 Σε περίπτωση που κάποιος εργαζόμενος νόμιμα κληθεί να αποκαλύψει προσωπικά δεδομένα, πέραν όσων απαιτούνται στα πλαίσια της άσκησης των καθηκόντων του, ο εργαζόμενος θα παράσχει άμεσα στο ΜΑΝΑ έγγραφη ειδοποίηση πριν την εν λόγω αποκάλυψη, προκειμένου να του επιτραπείνα ασκήσει όλα τα νόμιμα δικαιώματά του ενώπιον όλων των αρχών ή/και δικαστηρίων, εκτός εάν η ειδοποίηση αυτή απαγορεύεται από τον νόμο.
5.2.10 Σε περίπτωση λήξης της συνεργασίας με το ΜΑΝΑ, με πρωτοβουλία οιουδήποτε εκ των συμβαλλομένων μερών, οι εργαζόμενοι αναγνωρίζουν ότι δεν έχουν κανένα δικαίωμα επεξεργασίας των προσωπικών δεδομένων που τηρεί το ΜΑΝΑ και κανένα δικαίωμα πρόσβασης στα φυσικά και ηλεκτρονικά αρχεία προσωπικών δεδομένων του ΜΑΝΑ, περιλαμβανομένης και της εταιρικής ηλεκτρονικής αλληλογραφίας και των δεδομένων των «ωφελούμενων γυναικών» σε οποιοδήποτε φυσικό ή ηλεκτρονικό αρχείο και ως εκ τούτου, υποχρεούνται:
(α) Να παραδώσουν αμέσως στο ΜΑΝΑ τυχόν ηλεκτρονικά αρχεία ή έγγραφα που περιέχουν προσωπικά δεδομένα, όπως ιατρικά δεδομένα ή αιτήσεις συμμετοχής των ωφελούμενων γυναικών στα προγράμματα του ΜΑΝΑ, τα οποία βρίσκονται στην κατοχή τους ή σε τρίτους και να προσκομίσουν έγγραφη βεβαίωση με την οποία θα δηλώνουν ότι δεν έχουν κρατήσει στην κατοχή τους έγγραφα, ηλεκτρονικά αρχεία ή οποιασδήποτε άλλης μορφής αντίγραφα των προσωπικών δεδομένων που τηρεί το ΜΑΝΑ για τους σκοπούς του και ότι έχουν επιστρέψει κάθε φυσικό αρχείο και έχουν διαγράψει από κάθε ηλεκτρονική συσκευή που έχουν στην κατοχή τους (κινητό τηλέφωνο, Η/Υ, φορητές συσκευές αποθήκευσης κλπ.) οποιοδήποτε αρχείο προσωπικών δεδομένων στο οποίο είχαν φυσική ή ηλεκτρονική πρόσβαση κατά την διάρκεια της συνεργασίας τους με τοΜΑΝΑ.
(β) Να μην απομακρύνουν από τις εγκαταστάσεις του ΜΑΝΑ χωρίς να εξουσιοδοτηθούν ή να τους δοθούν οδηγίες από το νόμιμο εκπρόσωπο ή εξουσιοδοτημένο πρόσωπο σχετικώς, οιοδήποτε έγγραφο, αντικείμενο ή αρχείο που περιέχει προσωπικά δεδομένα, ή φωτοτυπία ή οποιαδήποτε άλλη αναπαραγωγή αυτού.
(γ) Να απέχουν από κάθε κακόβουλη ενέργεια, όπως καταστροφή, διαγραφή, αναπαραγωγή, αντιγραφή, κοινοποίηση, δημοσιοποίηση, διάδοση κ.ο.κ. προσωπικών δεδομένων, τα οποία περιλαμβάνονται σε φυσικό ή/και ηλεκτρονικό αρχείο του ΜΑΝΑ και να απέχουν από κάθε παραβίαση καθ’ οιονδήποτε τρόπο της ασφάλειας, της εμπιστευτικότητας, της ακεραιότητας και του απόρρητου χαρακτήρα των προσωπικών δεδομένων του ΜΑΝΑ.
(δ) Να τηρούν όλες τις παραπάνω υποχρεώσεις μετά το πέρας της συνεργασίας τους με το ΜΑΝΑ για αόριστη χρονική περίοδο.
6. Ασφαλής Διαχείριση Προσωπικών Δεδομένων
6.1. Το ΜΑΝΑ δεσμεύεται να διαχειρίζεται με ασφάλεια τα προσωπικά δεδομένα, τα οποία τηρεί και των οποίων προβαίνει σε επεξεργασία. Η δέσμευση αυτή αφορά τη Διοίκηση, το προσωπικό, τους εθελοντές και συνεργάτες του ΜΑΝΑ ανεξαρτήτως καθεστώτος, καθώς και τυχόν εκτελούντες επεξεργασία για λογαριασμό του ΜΑΝΑ.
Η υποχρέωση ασφαλούς διαχείρισης προσωπικών δεδομένων εκτείνεται:
– Σε φυσικά αρχεία προσωπικών δεδομένων, όπως είναι, ενδεικτικά και όχι περιοριστικά, κάθε έντυπο σε φυσική (έγχαρτη) μορφή που περιέχει προσωπικά δεδομένα, οι φάκελοι του προσωπικού και των εθελοντών, τα βιογραφικά σημειώματα των εθελοντών, οι φάκελοι που αφορούν τις «ωφελούμενες γυναίκες» και περιέχουν δεδομένα υγείας αυτών (ιατρικές εξετάσεις, το πρόγραμμα που παρακολουθούν, καθώς και κάθε είδους έγγραφο που τις αφορά, ιατρικού περιεχομένου ή μη).
– Σε ηλεκτρονικά αρχεία κάθε είδους, περιλαμβανομένων και email, των PDF αρχείων.
– Σε φωτογραφίες, βιντεοσκοπήσεις και εν γένει οπτικοακουστικό υλικό από εκδηλώσεις κλπ., το οποίο χρησιμοποιείται για σκοπούς προβολής του έργου και της δράσης του ΜΑΝΑ και ευαισθητοποίησης του κοινωνικού συνόλου.
Η ασφαλής τήρηση και επεξεργασία προσωπικών δεδομένων περιλαμβάνει τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας και την υιοθέτηση ορθών πρακτικών διαχείρισης προσωπικών δεδομένων. Ειδικότερα:
– Τα φυσικά και ηλεκτρονικά αρχεία και το δικαίωμα πρόσβασης σε αυτά διαβαθμίζονται με βάση το περιεχόμενό τους, ανάλογα με τον απόρρητο χαρακτήρα και το περιεχόμενό τους.
– Τα φυσικά αρχεία προσωπικών δεδομένων θα πρέπει να τηρούνται σε προστατευμένους και κλειδωμένους χώρους (κλειδωμένα ντουλάπια, κλειδωμένα συρτάρια κλπ.), τα κλειδιά των οποίων κατέχουν μόνον τα μέλη εκείνα του προσωπικού τα οποία νομιμοποιούνται να έχουν πρόσβαση βάσει των καθηκόντων τους.
– Ιδιαίτερη προσοχή δίνεται στην ασφαλή τήρηση και την προστασία του απορρήτου των φυσικών αρχείων που περιλαμβάνουν δεδομένα ειδικών κατηγοριών (ευαίσθητα προσωπικά δεδομένα των ωφελούμενων γυναικών). Η τήρηση των αρχείων αυτών ανατίθεται από το ΜΑΝΑ σε πρόσωπα που είτε απολαμβάνουν του ιατρικού απορρήτου, είτε δεσμεύονται με ειδικές ρήτρες τήρησης επαγγελματικής εχεμύθειας και η επεξεργασία των δεδομένων λαμβάνει χώρα αποκλειστικά στα πλαίσια των σκοπών και των δραστηριοτήτων του ΜΑΝΑ.
– Απαγορεύεται η φωτοτυπία, κοινοποίηση ή καθ’ οιονδήποτε άλλο τρόπο αναπαραγωγή αρχείων των «ωφελούμενων γυναικών» για σκοπούς άλλους από τους σκοπούς επεξεργασίας του ΜΑΝΑ.
– Η περαιτέρω επεξεργασία των προσωπικών δεδομένων των ωφελούμενων γυναικών (περιλαμβανομένων και δεδομένων ειδικών κατηγοριών αυτών) επιτρέπεται μόνον γιασκοπούς αρχειοθέτησης, για στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, υπό τον όρο της ειδικής προς τούτο συγκατάθεσης των υποκειμένων και της λήψης των απαραίτητων μέτρων προστασίας των δεδομένων τους, περιλαμβανομένων και τεχνικών κωδικοποίησης και ανωνυμοποίησης των δεδομένων.
– Τα ηλεκτρονικά αρχεία, η διαχείριση ηλεκτρονικού ταχυδρομείου και τυχόν απομακρυσμένη πρόσβαση στα ηλεκτρονικά συστήματα του ΜΑΝΑ από το προσωπικό του γίνεται σύμφωνα με τους όρους και τις διαδικασίες που περιγράφονται στην Πολιτική Ασφαλείας (IT Security Policy) του ΜΑΝΑ.
– Η ανάθεση επεξεργασίας δεδομένων σε τρίτους εκτελούντες γίνεται με τις απαραίτητες συμβατικές δεσμεύσεις και ελέγχεται ανά τακτά χρονικά διαστήματα η λήψη των απαραίτητων μέτρων ασφαλείας από αυτούς, σύμφωνα με τους συμβατικούς όρους και τις απαιτήσεις του ΓΚΠΔ και σύμφωνα με ρητές οδηγίες ως προς την εγγραφή των εθελοντών δοτών και την τήρηση των δεδομένων, οι οποίες παρατίθενται αναλυτικά κατωτέρω.
– Σε περίπτωση τυχόν παραβίασης των δεδομένων το προσωπικό και τα στελέχη του ΜΑΝΑ, ακολουθείται η διαδικασία διαχείρισης περιστατικών παραβίασης που περιγράφεται στην παρούσα Πολιτική.
– Το ΜΑΝΑ τηρεί φάκελο των απαραίτητων νομικών εγγράφων συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ (έντυπα συγκατάθεσης, συμβάσεις ανάθεσης επεξεργασίας, ρήτρες και συμφωνίες εμπιστευτικότητας), καθώς και με τις Πολιτικές και Διαδικασίες της ως προς την ορθή διαχείριση των προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις του ΓΚΠΔ.
7. Πολιτική Διατήρησης και Καταστροφής αρχείων
7.1. Πεδίο εφαρμογής: Η Πολιτική Διατήρησης και Καταστροφής Αρχείων ισχύει για όλα τα φυσικά αρχεία που τηρούνται στα πλαίσια της λειτουργίας και δραστηριότητας του ΜΑΝΑ, συμπεριλαμβανομένων των πρωτότυπων εγγράφων και των αντιγράφων. Ισχύει επίσης για τα ηλεκτρονικά αρχεία του ΜΑΝΑ. Η Πολιτική αυτή δεσμεύει τη Διοίκηση, το προσωπικό, τους εθελοντές και τους εν γένει εξωτερικούς συνεργάτες ή/και εκτελούντες επεξεργασία του ΜΑΝΑ, στο βαθμό που αναλαμβάνουν τη διαχείριση και αποθήκευση αρχείων του Συλλόγου, τα οποία (αρχεία) περιέχουν προσωπικά δεδομένα.
7.2. Αρμοδιότητες: Το ΜΑΝΑ ορίζει το χρόνο τήρησης των φυσικών και ηλεκτρονικών αρχείων προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις της αρχής του περιορισμού της περιόδου αποθήκευσης που επιβάλλει >ο ΓΚΠΔ, τις προβλέψεις της εκάστοτε ισχύουσας εθνικής νομοθεσίας για το χρόνο τήρησης αρχείων ανά κατηγορία και τις σχετικές υποδείξεις του DPO.
Η Διοίκηση του ΜΑΝΑ μπορεί να δώσει εντολή παράτασης του χρόνου διατήρησης ενός αρχείου για λόγους νομικούς, λογιστικούς – φορολογικούς, ελεγκτικούς, ιατρικούς ή άλλους λόγους. Στην περίπτωση αυτή, η Διοίκηση αναλαμβάνει τη γνωστοποίηση της ύπαρξης και του περιεχομένου της εντολής διατήρησης ενός αρχείου προς το προσωπικό που επεξεργάζεται το σχετικό αρχείο και τη λήψη μέτρων διασφάλισης ότι το εν λόγω αρχείο δεν θα καταστραφεί/διαγραφεί από το προσωπικό και τους εθελοντές και εν γένει συνεργάτες του ΜΑΝΑ.
Ο Υπεύθυνος για την Τήρηση των αρχείων αναλαμβάνει την επίβλεψη της ορθής τήρησης της Πολιτικής Διατήρησης και Καταστροφής αρχείων του ΜΑΝΑ, προβαίνοντας στις ακόλουθες ενέργειες:
– Είναι αρμόδιος για την τήρηση και τροποποίηση του Χρονοδιαγράμματος Διατήρησης Αρχείων όποτε κρίνεται απαραίτητο για τη συμμόρφωση με τις εκάστοτε νομοθετικές απαιτήσεις (νομικές, λογιστικές-ελεγκτικές, φορολογικές, απαιτήσεις τήρησης ιατρικών αρχείων).
– Συμπληρώνει το Χρονοδιάγραμμα Διατήρησης Αρχείων με νέες κατηγορίες εγγράφων και αρχείων του ΜΑΝΑ».
– Επανεξετάζει ετησίως το Χρονοδιάγραμμα Διατήρησης Αρχείων.
– Παρακολουθεί τη συμμόρφωση του ΜΑΝΑ με αυτήν την Πολιτική.
– Προτείνει μεθόδους ασφαλούς καταστροφής φυσικών αρχείων (π.χ. καταστροφέας εγγράφων) και οριστικής διαγραφής ηλεκτρονικών αρχείων
Όλα τα μέλη του προσωπικού είναι υπεύθυνα για:
– Τη δημιουργία και τη διατήρηση αρχείων τα οποία σχετίζονται με το αντικείμενο της εργασίας τους.
– Την αποθήκευση των αρχείων σε εγκεκριμένα αποθηκευτικά μέσα.
– Τη συμμόρφωση με την παρούσα πολιτική και τις διαδικασίες διαχείρισης αρχείων που περιγράφονται σε αυτήν.
– Την καταστροφή/διαγραφή των αρχείων που έχουν φτάσει στο τέλος της περιόδου διατήρησής τους με τις ενδεδειγμένες μεθόδους καταστροφής/ διαγραφής.
7.3. Χρονοδιάγραμμα τήρησης αρχείων
Τύπος αρχείου ————–Περίοδος διατήρησης
Βιογραφικά σημειώματα ———–Διετία κατ’ ανώτατον
Φάκελος εργαζομένων ————Καθ’ όλη τη διάρκεια της εργασιακής σχέσης και προθεσμία της παραγραφής μετά το πέρας αυτής (20ετία)
Aρχεία εθελοντών ——-Kαθόλη τη διάρκεια της συνεργασίας και 5ετία μετά το πέρας αυτής
Αρχεία «ωφελούμενων γυναικών» ——20ετία από την ολοκλήρωση της παρακολούθησης των προγραμμάτων του ΜΑΝΑ
Στοιχεία δωρητών μέσω Ιστοσελίδας (paypal)——10ετία μετά την πραγματοποίηση της δωρεάς
Οπτικοακουστικό υλικό από εκδηλώσεις προβολής του σκοπού του Συλλόγου ΜΑΝΑ ——10ετία από το πέρας της εκδήλωσης
Δεδομένα ηλεκτρονικού ταχυδρομείου και λοιπά ηλεκτρονικά έγγραφα ——–Τα δεδομένα εταιρικής ηλεκτρονικής αλληλογραφίας τηρούνται για 12 μήνες ως «ενεργό» αρχείο/Ο χρόνος τήρησης των λοιπών ηλεκτρονικών εγγράφων (πχ. PDF αρχεία) κρίνεται ανάλογα με το περιεχόμενό του.
Άλλο/προσδιορίστε
8. Λήψη, διαχείριση, ανάκληση συγκαταθέσεων
Το ΜΑΝΑ μεριμνά για την εξασφάλιση της ορθής λήψης της συγκατάθεσης των υποκειμένων των δεδομένων, στις περιπτώσεις κατά τις οποίες η νόμιμη βάση επεξεργασίας των δεδομένων είναι η συγκατάθεση του υποκειμένου των δεδομένων. Ειδικότερα, το ΜΑΝΑ προβαίνει στις απαιτούμενες ενέργειες προκειμένου:
– Να ενημερώνει πλήρως τα υποκείμενα σύμφωνα με τις απαιτήσεις των άρθρων 13 και 14 του Κανονισμού, πριν από τη λήψη της συγκατάθεσης, με απλή, συνοπτική και κατανοητή γλώσσα και σε εύκολα προσβάσιμη μορφή.
– Να λαμβάνει τη συγκατάθεση του υποκειμένου εγγράφως ή σε ηλεκτρονική μορφή. Σε περίπτωση συγκατάθεσης του υποκειμένου των δεδομένων με θετική ενέργεια (π.χ. αποστολή βιογραφικού σημειώματος), να λαμβάνει μέριμνα για την ενημέρωση των υποκειμένων των δεδομένων ότι συγκεκριμένη ενέργεια αυτών συνεπάγεται τη συγκατάθεσή τους στην επεξεργασία των δεδομένων τους, το χρόνο τήρησης των δεδομένων τους, καθώς και το δικαίωμα ανάκλησης της συγκατάθεσής τους.
– Να τηρεί αρχείο των έγγραφων/ηλεκτρονικών συγκαταθέσεων των υποκειμένων των δεδομένων.
– Να εξασφαλίζει ότι η συγκατάθεση του υποκειμένου είναι ελεύθερη, συγκεκριμένη ανά σκοπό επεξεργασίας και δίδεται εν πλήρη επιγνώσει του υποκειμένου των δεδομένων.
– Να εξασφαλίζει στα υποκείμενα τον τρόπο ελεύθερης, άμεσης και εύκολης ανάκλησης της συγκατάθεσής τους (π.χ. μέσω αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου σε εξουσιοδοτημένο προς τούτο πρόσωπο του ΜΑΝΑ ή στον Υπεύθυνο Προστασίας Δεδομένων του ΜΑΝΑ, εφόσον ορισθεί), ενημερώνοντας τα υποκείμενα ότι η ανάκληση της συγκατάθεσής τους δεν αίρει τη νομιμότητα της μέχρι του σημείου της ανακλήσεως επεξεργασίας των δεδομένων τους.
– Να προβαίνει σε διαγραφή των δεδομένων του υποκειμένου σε περίπτωση ανάκλησης της συγκατάθεσης, εκτός εάν η τήρηση αυτών καθίσταται απαραίτητη σε συμμόρφωση με υποχρεώσεις του ΜΑΝΑ που απορρέουν από τη νομοθεσία ή για την προάσπιση έννομων συμφερόντων του ΜΑΝΑ ενώπιον Δικαστηρίων.
9. Διαχείριση αιτημάτων άσκησης δικαιώματος υποκειμένων των δεδομένων
9.1. Υποχρεώσεις του ΜΑΝΑ ως προς την άσκηση δικαιωμάτων:
Τα υποκείμενα των δεδομένων (εργαζόμενοι, εθελοντές, εξωτερικοί συνεργάτες, ωφελούμενες γυναίκες κλπ.) έχουν τα εξής δικαιώματα αναφορικά με τα προσωπικά δεδομένα τους:
– το δικαίωμα πρόσβασης, για να πληροφορηθούν τα υποκείμενα ποια δεδομένα τους επεξεργάζεται ο Υπεύθυνος Επεξεργασίας, για ποιο σκοπό και τους αποδέκτες αυτών,
– το δικαίωμα διόρθωσης, για να διορθωθούν τυχόν ελλείψεις ή ανακρίβειες των δεδομένων,
– το δικαίωμα διαγραφής («δικαίωμα στη λήθη»), για να διαγραφούν τα προσωπικά δεδομένα των υποκειμένων από τα αρχεία του Υπευθύνου Επεξεργασίας, εφόσον όμως η επεξεργασία τους δεν είναι πλέον απαραίτητη ή η διατήρηση των δεδομένων δεν απαιτείται για τη συμμόρφωση του Υπευθύνου Επεξεργασίας με τις έννομες υποχρεώσεις της ή για την προάσπιση των έννομων συμφερόντων του ενώπιον των Δικαστηρίων,
– το δικαίωμα περιορισμού της επεξεργασίας, σε περίπτωση αμφισβήτησης της ακρίβειας των δεδομένων από το υποκείμενο
– το δικαίωμα φορητότητας, για να λάβει το υποκείμενο τα δεδομένα σε δομημένο και κοινώς χρησιμοποιούμενο μορφότυπο
– το δικαίωμα εναντίωσης, σε περίπτωση που το υποκείμενο δεν επιθυμεί τη χρήση των δεδομένων του για σκοπούς απευθείας εμπορικής προώθησης, περιλαμβανομένης και της εναντίωσης στην κατάρτιση προφίλ.
– το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).
Το ΜΑΝΑ υποχρεούται να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, εκτός από τις περιπτώσεις κατά τις οποίες δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων και οφείλει να ανταποκριθεί σε κάθε σχετικό αίτημα εντός ενός (1) μηνός από την παραλαβή του, προθεσμία που μπορεί να παραταθεί κατά δύο (2) ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων, ενημερώνοντας τα υποκείμενα των δεδομένων για την παράταση που απαιτείται καθώς και για τους λόγους της καθυστέρησης.
Το ΜΑΝΑ αναλαμβάνει τη διαχείριση των αιτημάτων άσκησης δικαιώματος των υποκειμένων των δεδομένων, προβαίνοντας στις ακόλουθες ενέργειες:
– Αιτείται στοιχεία διακρίβωσης της ταυτότητας του υποκειμένου των δεδομένων σε περίπτωση που αυτή δεν είναι σαφής (π.χ. φωτοτυπία ταυτότητας, αριθμό διαβατηρίου, στοιχεία επικοινωνίας με αυτό).
– Σε περίπτωση άσκησης δικαιώματος μέσω αντιπροσώπου, προβαίνει στις απαραίτητες ενέργειες διαπίστωσης της νομικής ή φυσικής αδυναμίας του φυσικού προσώπου να ασκήσει αυτοπροσώπως το δικαίωμα και εισηγείται αντίστοιχα στη Διοίκηση την αναγκαιότητα ανταπόκρισης στο αίτημα του αντιπροσώπου.
– Παρέχει στο υποκείμενο το «Έντυπο άσκησης δικαιώματος» προς συμπλήρωση και μεριμνά για την ορθή συμπλήρωση, την παραλαβή και την ορθή τήρηση αυτού.
– Αναλαμβάνει την ενημέρωση του υποκειμένου των δεδομένων με κάθε πρόσφορο μέσο, περιλαμβανομένης και της ενημέρωσης με ηλεκτρονικά μέσα, σε περίπτωση που απαιτείται χρονικό διάστημα πέραν του ενός μηνός για την ικανοποίηση του δικαιώματος και ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της καθυστέρησης.
– Σε περίπτωση που η Διοίκηση του ΜΑΝΑ αποφασίσει να μην ενεργήσει επί αιτήματος υποκειμένου των δεδομένων για ικανοποίηση δικαιώματος, το ΜΑΝΑ ενημερώνει εγγράφως το υποκείμενο εντός (1) μηνός από την παραλαβή του αιτήματος για τους λόγους μη ενέργειας και για τη δυνατότητα καταγγελίας στην ΑΠΔΠΧ και άσκησης δικαστικής προσφυγής.
– Ενημερώνει και αναλαμβάνει την είσπραξη ευλόγου τέλους του ΜΑΝΑ για την εκτέλεση της ζητούμενης από το υποκείμενο ενέργειας, σε περιπτώσεις προδήλως αβάσιμων ή υπερβολικών και επαναλαμβανόμενων αιτημάτων.
– Ενημερώνει το υποκείμενο περί της μη ικανοποίησης αιτήματος το οποίο το ΜΑΝΑ θεωρεί προδήλως αβάσιμο ή υπερβολικό.
9.2. Διαδικασία ικανοποίησης δικαιωμάτων: Οι παραπάνω ενέργειες και υποχρεώσεις του ΜΑΝΑ ισχύουν για την άσκηση αιτήματος για οποιοδήποτε δικαίωμα. Το ΜΑΝΑ διαχειρίζεται αιτήματα για την ικανοποίηση εκάστου δικαιώματος ως εξής:
9.2.1. Δικαίωμα πρόσβασης:
Το ΜΑΝΑ παρέχει επιβεβαίωση στα υποκείμενα των δεδομένων για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υφίστανται επεξεργασία και, σε θετική περίπτωση, ακολουθεί την εξής διαδικασία ικανοποίησης του δικαιώματος πρόσβασης στα εν λόγω δεδομένα και στις πληροφορίες της επεξεργασίας:
– Αξιολόγηση Αιτήματος: Αφού εξακριβωθεί η ταυτότητα του υποκειμένου που υποβάλει το σχετικό αίτημα, σύμφωνα με τα όσα ορίζονται παραπάνω υπό [9.1.], εν συνεχεία αξιολογείται η εγκυρότητά του αιτήματος. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, το ΜΑΝΑ ενημερώνει εγγράφως το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή τoυ.
– Eφόσον το αίτημα αξιολογηθεί ως έγκυρο, το ΜΑΝΑ παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο σε συνδυασμό με τις ακόλουθες πληροφορίες που αφορούν την εν λόγω επεξεργασία:
(α) τους σκοπούς της επεξεργασίας (πχ. συμμετοχή στα προγράμματα του ΜΑΝΑ)
(β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που συλλέγονται
(γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
(δ) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
(ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,
(στ) το δικαίωμα υποβολής καταγγελίας στην ΑΠΔΠΧ,
(ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
(η) την τυχόν ύπαρξη αυτοματοποιημένης λήψης αποφάσεων οι οποίες παράγουν έννομα αποτελέσματα που αφορούν το υποκείμενο ή το επηρεάζουν σημαντικά με παρόμοιο τρόπο, συμπεριλαμβανομένης της κατάρτισης προφίλ, συμπεριλαμβανομένων αυτών που βασίζονται σε ειδικές κατηγορίες δεδομένων, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
(θ) σε περίπτωση όπου πραγματοποιείται διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, πληροφορίες και σχετικά με την εν λόγω διαβίβαση και τις νόμιμες εγγυήσεις αυτής.
– για επιπλέον αντίγραφα που μπορεί να ζητηθούν, το ΜΑΝΑ μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Σε περίπτωση μη επιβολής τέλους, το ΜΑΝΑ ολοκληρώνει την διεκπεραίωση του αιτήματος, μετά την αξιολόγηση της εγκυρότητάς του.
– Η ικανοποίηση του δικαιώματος πρόσβασης από ΜΑΝΑ λαμβάνει χώρα υπό τον όρο ότι δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
9.2.2. Δικαίωμα διόρθωσης: Το ΜΑΝΑ προβαίνει χωρίς αδικαιολόγητη καθυστέρηση σε διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, εφόσον το υποκείμενο των δεδομένων το απαιτήσει ή εφόσον διαπιστωθεί καθ’ οιονδήποτε άλλο τρόπο ανακρίβεια των δεδομένων. Επιπρόσθετα, το υποκείμενο των δεδομένων που έχει υπόψη του τους σκοπούς της επεξεργασίας, έχει δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.
– Για την άσκηση του δικαιώματος, η οποία μπορεί να γίνει μέσω επιστολής, email, μέσω της Ιστοσελίδας www.manaorg.com ή και με προφορικό αίτημα, το ΜΑΝΑ παρέχει στο υποκείμενο το «Έντυπο άσκησης δικαιώματος» προς συμπλήρωση στο υποκείμενο και μεριμνά για την ορθή συμπλήρωση, την παραλαβή και την ορθή τήρηση αυτού.
– Το αρμόδιο προς τούτο προσωπικό του ΜΑΝΑ μεριμνά για την άμεση διόρθωση/συμπλήρωση των ανακριβών/ελλιπών δεδομένων αντίστοιχα.
– Το ΜΑΝΑ ανακοινώνει κάθε διόρθωση που διενεργείται σύμφωνα με τα παραπάνω στο υποκείμενο και σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός αν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια.
9.2.3. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»):
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από το ΜΑΝΑ τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και το ΜΑΝΑ υποχρεούται να διαγράψει αυτά, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ασκώντας το δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, περιλαμβανομένης της κατάρτισης προφίλ
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση στην οποία υπόκειται το ΜΑΝΑ,
στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1 του ΓΚΠΔ.
Το ΜΑΝΑ δύναται να αρνηθεί την ικανοποίηση του δικαιώματος στις περιπτώσεις όπου η επεξεργασία είναι απαραίτητη:
α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,
β) για την τήρηση νομικής υποχρέωσης του ΜΑΝΑ που επιβάλλει την επεξεργασία ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο ΜΑΝΑ.
γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, υπό την ύπαρξη εγγυήσεων για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου
δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς , εφόσον το δικαίωμα στη λήθη είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή
ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων του ΜΑΝΑ.
Η εγκυρότητά του αιτήματος αξιολογείται από το ΜΑΝΑ με βάση και τις ανωτέρω εξαιρέσεις, ιδίως δε αξιολογείται η μη ικανοποίηση αιτήματος για δεδομένα ωφελούμενων γυναικών.
Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο ή εφόσον συντρέχει νόμιμος λόγος μη ικανοποίησης αυτού, το ΜΑΝΑ ενημερώνει εγγράφως εντός μηνός το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή του.
Εφόσον το ΜΑΝΑ έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σε διαγραφή, οφείλει, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, να λάβει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα αντίστοιχα δεδομένα ότι το υποκείμενο ζήτησε τη διαγραφή από αυτούς τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων.
9.2.4. Δικαίωμα περιορισμού της επεξεργασίας
Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από το ΜΑΝΑ τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται, για χρονικό διάστημα που επιτρέπει στο ΜΑΝΑ να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,
γ) το ΜΑΝΑ δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το δικαίωμα εναντίωσης, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
– Κατόπιν της λήψης του σχετικού αιτήματος, αξιολογείται η εγκυρότητά του αιτήματος από τον Υπεύθυνο Επεξεργασίας. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, το ΜΑΝΑ ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημά του με αιτιολογημένη απόφασή του.
– Εφόσον το αίτημα κριθεί έγκυρο, υιοθετείται κατά περίπτωση η κατάλληλη μέθοδος περιορισμού (π.χ. προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, αφαίρεση προσβασιμότητας των επιλεγμένων προσωπικών δεδομένων προσωπικού χαρακτήρα από τους χρήστες, προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα κλπ).
– Σε περίπτωση αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ’ αρχήν να διασφαλίζεται με τεχνικά μέσα κατά τρόπο ώστε τα δεδομένα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Σε κάθε περίπτωση, το γεγονός ότι η επεξεργασία δεδομένων είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα.
– Εφόσον η επεξεργασία έχει περιοριστεί σύμφωνα με τα ως άνω, τα εν λόγω δεδομένα εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημοσίου συμφέροντος.
– Eπιπρόσθετα, το υποκείμενο των δεδομένων που έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με τα ανωτέρω, ενημερώνεται από το MANA πριν από την άρση του περιορισμού επεξεργασίας.
– Στη συνέχεια, το ΜΑΝΑ ανακοινώνει κάθε περιορισμό επεξεργασίας που διενεργείται σύμφωνα με τα παραπάνω σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός αν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων,το ΜΑΝΑ το ενημερώνει για τους εν λόγω αποδέκτες.
9.2.5. Δικαίωμα στη φορητότητα των δεδομένων
Το ΜΑΝΑ έχει την υποχρέωση, εφόσον το ζητήσει το υποκείμενο των δεδομένων, να του παρέχει τα προσωπικά δεδομένα που το αφορούν και τα οποία το ίδιο το υποκείμενο έχει παράσχει, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και να ικανοποιεί το δικαίωμα του υποκειμένου να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση όταν πληρούνται οι κάτωθι προϋποθέσεις:
α) η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή είναι αναγκαία για την εκτέλεση σύμβασης της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος και
β) (η επεξεργασία) διενεργείται με αυτοματοποιημένα μέσα
Το υποκείμενο των δεδομένων δύναται κατά την άσκηση του δικαιώματός του να ζητά την απευθείας διαβίβαση των δεδομένων του από τον έναν υπεύθυνο επεξεργασία σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. H διαδικασία ικανοποίησης του δικαιώματος έχει ως εξής:
– Κατόπιν της λήψης του σχετικού αιτήματος , αξιολογείται η εγκυρότητα αυτού και η δυνατότητα ικανοποίησής του.
– Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, το ΜΑΝΑ ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή του.
– Κατά την αξιολόγηση του αιτήματος λαμβάνονται υπόψη τα δεδομένα που περιλαμβάνονται στο αίτημα, καθώς τα δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του δικαιώματος στην φορητότητα, τα οποία πρέπει να είναι:
– προσωπικά δεδομένα που αφορούν το υποκείμενο των δεδομένων. Συνεπώς, δεδομένα που έχουν ανωνυμοποιηθεί δεν αφορούν το συγκεκριμένο δικαίωμα. Ωστόσο, δεδομένα που έχουν ψευδωνυμοποιηθεί και μπορούν να ταυτοποιήσουν το υποκείμενο είναι εντός του πεδίου εφαρμογής.
– προσωπικά δεδομένα που το υποκείμενο έχει παράσχει στον υπεύθυνο επεξεργασίας. Πρόκειται για δεδομένα τα οποία ενεργητικά και συνειδητά έχει παράσχει το υποκείμενο (πχ. διεύθυνση e-mail, όνομα χρήστη, ηλικία κτλ), αλλά και για παρατηρούμενα δεδομένα (observed data) που έχουν παρασχεθεί από το υποκείμενο μέσα από τη χρήση της υπηρεσίας ή της συσκευής (πχ. το ιστορικό αναζητήσεων, δεδομένα θέσης και κίνησης). Συνεπώς, σε αυτές τις κατηγορίες δεν περιλαμβάνονται τα «συναγόμενα δεδομένα» (inferred data) και τα «παράγωγα δεδομένα» (derived data), στα οποία συμπεριλαμβάνονται δεδομένα προσωπικού χαρακτήρα που δημιουργούνται από τον υπεύθυνο επεξεργασίας με βάση τα δεδομένα που παρέχει το υποκείμενο των δεδομένων. Ακολούθως, δεδομένα που προέρχονται από τη δραστηριότητα ή από την παρατήρηση της συμπεριφοράς ενός ατόμου περιλαμβάνονται στο εν λόγω δικαίωμα, δεν περιλαμβάνονται όμως δεδομένα που προκύπτουν από τη μετέπειτα ανάλυση της εν λόγω συμπεριφοράς.
Το συγκεκριμένο δικαίωμα δεν αποσκοπεί στην ανάκτηση και διαβίβαση δεδομένων που περιέχουν δεδομένα προσωπικού χαρακτήρα άλλων (μη συναινούντων) υποκειμένων σε νέο υπεύθυνο επεξεργασίας.
Το ΜΑΝΑ ανταποκρίνεται στο αίτημα φορητότητας του υποκειμένου χρησιμοποιώντας διαλειτουργικό μορφότυπο και χορηγώντας στο υποκείμενο ένα αντίγραφο ή διαβιβάζοντας τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας. Η διαλειτουργικότητα του μορφότυπου διευκολύνεται όταν αυτός είναι δομημένος, κοινώς χρησιμοποιούμενος και αναγνώσιμος από μηχανήματα. Ωστόσο, αυτές οι απαιτήσεις δεν δημιουργούν υποχρέωση στο ΜΑΝΑ να υιοθετεί ή διατηρεί συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη.
Ένας τρόπος απάντησης στα αιτήματα φορητότητας δεδομένων είναι η προσφορά μιας κατάλληλα ασφαλούς και τεκμηριωμένης διεπαφής προγραμματισμού εφαρμογών (Application Programming Interfaces, APIs). Σε κάθε περίπτωση, ακόμα και σε αιτήματα μεγάλης συλλογής δεδομένων η ανταπόκριση θα γίνεται με τέτοιο τρόπο ώστε το πρόσωπο να είναι σε θέση να κατανοήσει πλήρως τον ορισμό, το σχήμα και τη δομή των δεδομένων προσωπικού χαρακτήρα.
Εφόσον δεν υπάρχουν τεχνολογικοί περιορισμοί ή άλλοι νομοθετικοί περιορισμοί, το ΜΑΝΑ δύναται να παρέχει τα δεδομένα σε μορφή όπως CSV, XML and JSON.
9.2.7. Δικαίωμα εναντίωσης:
Το ΜΑΝΑ έχει την υποχρέωση να μην υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία εφόσον το υποκείμενο των δεδομένων αντιτάσσεται ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και η οποία βασίζεται:
α) στην εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στο ΜΑΝΑ ή
β) στα έννομα συμφέροντα του ΜΑΝΑ ως υπευθύνου επεξεργασίας ή τρίτου μέρους,
περιλαμβανομένης και της κατάρτισης προφίλ στη βάση των ως άνω διατάξεων. Με την κατάρτιση προφίλ νοείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.
Εναπόκειται στη συνέχεια στο ΜΑΝΑ να αποδείξει ότι υφίστανται επιτακτικοί και νόμιμοι λόγοι οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων προκειμένου να συνεχίσει την επεξεργασία ή για λόγους θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων.
Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του δικαιούται να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, εκτός αν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημοσίου συμφέροντος.
Κατόπιν της λήψης του σχετικού αιτήματος και εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, το ΜΑΝΑ ενημερώνει εγγράφως το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή του.
Εφόσον το αίτημα αξιολογηθεί ως έγκυρο, το ΜΑΝΑ απέχει από την επεξεργασία των δεδομένων του υποκειμένου για την οποία ασκήθηκε το δικαίωμα και να ενημερώσει σχετικά το υποκείμενο των δεδομένων.
10. Πολιτική Διαχείρισης Περιστατικών Παραβίασης
Παραβίαση Δεδομένων Προσωπικού Χαρακτήραείναι “η παραβίαση της ασφάλειας” που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”
Κατηγοριοποίηση παραβιάσεων
Οι παραβιάσεις μπορούν να κατηγοριοποιηθούν σύμφωνα με τις ακόλουθες τρεις αρχές ασφαλείας πληροφοριών:
– “Παραβίαση εμπιστευτικότητας” όταν υπάρχει μη εξουσιοδοτημένη πρόσβαση ή τυχαία αποκάλυψη προσωπικών δεδομένων.
– “Παραβίαση διαθεσιμότητας” όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία απώλεια πρόσβασης ή καταστροφής προσωπικών δεδομένων.
– “Παραβίαση ακεραιότητας” όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία αλλοίωση των προσωπικών δεδομένων.
Ανάλογα με τις περιστάσεις, μια παραβίαση μπορεί να αφορά ταυτόχρονα την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα των προσωπικών δεδομένων, καθώς και οποιοδήποτε συνδυασμό αυτών.
Σκοπός αυτής της Πολιτικής είναι η τυποποίηση των ενεργειών αντιμετώπισης από το ΜΑΝΑ κάθε αναφερόμενου περιστατικού παραβίασης δεδομένων και η διασφάλιση της ορθής καταγραφής και γνωστοποίησης σύμφωνα με τον Κανονισμό περί Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ).
Η υιοθέτηση των ανωτέρω ενεργειών αντιμετώπισης έχει ως στόχο να διασφαλίσει ότι:
– Τα περιστατικά (παραβίασης δεδομένων) αναφέρθηκαν εγκαίρως και μπορούν να ερευνηθούν σωστά.
– Τα περιστατικά αντιμετωπίζονται από κατάλληλα εξουσιοδοτημένο και εξειδικευμένο προσωπικό.
– Όλες οι πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας συλλέγονται, καταγράφονται και διατηρούνται.
– Γίνεται σαφής η επίδραση της παραβίασης και λαμβάνεται μέριμνα για την πρόληψη περαιτέρω ζημιών.
– Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενημερώνεται όπως απαιτείται.
– Τα υποκείμενα των δεδομένων που επηρεάζονται από την παραβίαση ενημερώνονται όπως απαιτείται.
– Τα περιστατικά αντιμετωπίζονται έγκαιρα και αποκαθίστανται οι κανονικές διαδικασίες.
– Τα περιστατικά επανεξετάζονται για τον εντοπισμό βελτιώσεων στις πολιτικές και τις διαδικασίες.
Πεδίο εφαρμογής: Η Πολιτική Διαχείρισης Παραβίασης Προσωπικών Δεδομένων πρέπει να ακολουθείται από όλους τους εργαζομένους, τα στελέχη καθώς και τρίτους εξωτερικούς συνεργάτες ή/και εκτελούντες που ενεργούν για λογαριασμό του ΜΑΝΑ.
Το πεδίο εφαρμογής της παρούσας πολιτικής περιλαμβάνει τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται σε οποιαδήποτε μορφή ή μέσο (χαρτί ή ψηφιακή/ηλεκτρονική μορφή). Η πολιτική δεν ισχύει για πληροφορίες που έχουν ταξινομηθεί/χαρακτηρισθεί ως Δημόσιες.
10.1 Διαχείριση της περιστατικού παραβίασης
Οι παραβιάσεις δεδομένων πρέπει να εξετάζονται κατά περίπτωση, ύστερα από αξιολόγηση των σχετικών κινδύνων και τη συγκεκριμένη εκτίμηση επικινδυνότητας για να αποφασιστεί η κατάλληλη πορεία δράσης. Οι μέθοδοι ασφαλείας δεδομένων πρέπει να είναι ανάλογες με την ευαισθησία των πληροφοριών και κάθε πειθαρχική ενέργεια ανάλογη με τη σοβαρότητα της παραβίασης. Η υιοθέτηση των κατάλληλων ενεργειών αντιμετώπισης έχει ως στόχο να διασφαλίσει ότι:
– Τα περιστατικά (παραβίασης δεδομένων) αναφέρθηκαν εγκαίρως και μπορούν να ερευνηθούν σωστά.
– Τα περιστατικά αντιμετωπίζονται από κατάλληλα εξουσιοδοτημένο και εξειδικευμένο προσωπικό.
– Όλες οι πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας συλλέγονται, καταγράφονται και διατηρούνται.
– Γίνεται σαφής η επίδραση της παραβίασης και λαμβάνεται μέριμνα για την πρόληψη περαιτέρω ζημιών.
– Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενημερώνεται όπως απαιτείται.
– Τα υποκείμενα των δεδομένων που επηρεάζονται από την παραβίαση ενημερώνονται όπως απαιτείται.
– Τα περιστατικά αντιμετωπίζονται έγκαιρα και αποκαθίστανται οι κανονικές διαδικασίες.
– Τα περιστατικά επανεξετάζονται για τον εντοπισμό βελτιώσεων στις πολιτικές και τις διαδικασίες.
10.2. Βήματα διαχείρισης περιστατικού παραβίασης
Βήμα 1. Ενημέρωση για την παραβίαση & Κατάρτιση σχεδίου αντιμετώπισης περιστατικών
Αναφορά παραβιάσεων ασφαλείας δεδομένων
Σε περίπτωση που οι δεσμευόμενοι από την παρούσα Πολιτική λάβουν ευθέως ή και μέσω τρίτου γνώση για την ύπαρξη περιστατικού παραβίασης, ενημερώνουν άμεσα με κάθε πρόσφορο μέσο (προφορικά, τηλεφωνικά, μέσω email) για την ύπαρξη του περιστατικού, τις συνθήκες και το χρόνο τέλεσης αυτού ή τον εκτιμώμενο χρόνο τέλεσης, εφόσον δεν είναι σε θέση να το προσδιορίσουν ακριβώς. Η αναφορά πρέπει να περιλαμβάνει πλήρη, ακριβέστατη και λεπτομερειακή περιγραφή του περιστατικού, συμπεριλαμβανομένου του ποιος αναφέρει το περιστατικό και ποια είναι η κατηγορία των επηρεαζόμενων δεδομένων.
Το ΜΑΝΑ ορίζει συγκεκριμένο πρόσωπο από το προσωπικό ως αρμόδιο για τη διαχείριση του περιστατικού παραβίασης, το οποίο και προβαίνει στις ακόλουθες ενέργειες:
– Παρέχει στο πρόσωπο που ανέφερε την παραβίαση το «Έντυπο Αναφοράς Περιστατικού Παραβίασης» προς συμπλήρωση (ιδ. ΠΑΡΑΡΤΗΜΑ Ι) και κατευθύνει τον αναφέροντα την παραβίαση για την ορθή και πλήρη συμπλήρωση αυτού.
– Διεξάγει έρευνα για τα επιβεβαιωμένα όσο και τα ύποπτα περιστατικά παραβίασης ασφαλείας, καταγράφει όλες τις πληροφορίες που σχετίζονται με την παραβίαση ασφαλείας.
– Ανάλογα με τα περιστατικά της παραβίασης, καταρτίζει ένα Σχέδιο αντιμετώπισης παραβίασης που περιλαμβάνει τις προτεινόμενες ενέργειες αντιμετώπισης αυτού και το γνωστοποιεί εγγράφως στη Διοίκηση του ΜΑΝΑ προς έγκριση. Στο Σχέδιο αντιμετώπισης παραβίασης περιλαμβάνεται και η εκτίμηση του DPOεάν απαιτείται γνωστοποίηση του περιστατικού στην ΑΠΔΠΧ και ενημέρωση των υποκειμένων των δεδομένων, σύμφωνα με το περιστατικό της παραβίασης και τις σχετικές προβλέψεις του ΓΚΠΔ. Για παραβίαση που αφορά ψηφιακά δεδομένα, το πρόσωπο που είναι αρμόδιο για τη διαχείριση του περιστατικού (ή ο DPO, εφόσον ορισθεί), με τη συνδρομή του Υπευθύνου για την Τεχνολογική Ασφάλειας του ΜΑΝΑ, καταρτίζει αντίστοιχα Σχέδιο Αντιμετώπισης Περιστατικού Παραβίασης ψηφιακών δεδομένων.
– Κατόπιν εγκρίσεως του σχεδίου, το ΜΑΝΑ προβαίνει (κατά περίπτωση) σε γνωστοποίηση της παραβίασης προς την ΑΠΔΠΧ και σε ενημέρωση των υποκειμένων των δεδομένων για την παραβίαση της ασφάλειας των δεδομένων τους.
– Υποδεικνύει προς τη Διοίκηση τις απαιτούμενες ενέργειες για την αντιμετώπιση του περιστατικού και τη μείωση των συνεπειών της παραβίασης και μεριμνά για την υλοποίησή τους, κατόπιν εγκρίσεως των ενεργειών αυτών από τη Διοίκηση.
Βήμα 2. Ενέργειες κατά τη στιγμή της παραβίασης ασφαλείας δεδομένων
– Για παραβίαση που αφορά ψηφιακά δεδομένα: Εφαρμόζεται το Σχέδιο αντιμετώπισης περιστατικών παραβίασης ψηφιακών δεδομένων, με τη συνδρομή και του Υπευθύνου Τεχνολογικής Ασφάλειας του ΜΑΝΑ.
– Για παραβίαση που αφορά μη ψηφιακά δεδομένα ή φυσική παραβίαση:
– Ο αρμόδιος για τη διαχείριση του περιστατικού και το προσωπικό διερευνούν αμέσως το περιστατικό και λαμβάνουν τα απαραίτητα μέτρα για να περιορίσουν την περαιτέρω απώλεια δεδομένων.
– Το προσωπικό με τις υποδείξεις του αρμοδίου προσώπου ασφαλίζουν τη φυσική περιοχή. (Αλλαγή κλειδαριών, κωδικών πρόσβασης ή καρτών, αν είναι απαραίτητο).
– Σε περίπτωση κακόβουλης ενέργειας, προσδιορίζεται από τη Διοίκηση εάν είναι σκόπιμο να κληθούν οι αστυνομικές αρχές και περιορίζεται η κυκλοφορία στην πληγείσα περιοχή μέχρι την ολοκλήρωση των ερευνών από τις αστυνομικές αρχές.
– Προσδιορίζονται τα μέτρα που είναι απαραίτητα για την αποτροπή της επανάληψης.
Βήμα 3. Καταγραφή της παραβίασης ασφαλείας προσωπικών δεδομένων.
– Όλες οι πληροφορίες που σχετίζονται με την παραβίαση θα πρέπει να συλλέγονται από το ΜΑΝΑ, έτσι ώστε να μπορεί να αναλυθεί για να προσδιοριστεί το μέγεθος της παραβίασης, τα απαραίτητα βήματα αποκατάστασης και να αποδοθούν οι τυχόν νομικές ευθύνες.
– Οι πληροφορίες που πρέπει να συλλέγονται και να καταγράφονται είναι οι εξής:
– Ημερομηνία, ώρα, διάρκεια και τοποθεσία της παραβίασης δεδομένων.
– Πώς ανακαλύφθηκε η παραβίαση, από ποιον, καθώς και οποιεσδήποτε λεπτομέρειες που αφορούν την παραβίαση (π.χ., μέθοδος εισβολής, σημεία εισόδου ή εξόδου, διαδρομές που ακολουθούνται, προσβληθέντα συστήματα, αν τα δεδομένα διαγράφηκαν /τροποποιήθηκαν).
– Πληροφορίες σχετικά με τα προσβληθέντα δεδομένα, αν τα δεδομένα έχουν κρυπτογραφηθεί / ψευδωνυμοποιηθεί / ανωνυμοποιηθεί και δημιουργία λίστας προσώπων των οποίων τα προσωπικά δεδομένα έχουν προσβληθεί.
– Σε περίπτωση μη γνωστοποίησης του περιστατικού στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, οι λόγοι για τους οποίους δεν συντρέχει ανάγκη γνωστοποίησης.
– Το ΜΑΝΑ έχει την υποχρέωση τήρησης Εσωτερικού Μητρώου Περιστατικών Παραβίασης όπου καταγράφονται οι πληροφορίες όλων των περιστατικών παραβίασης ασφαλείας δεδομένων (ακόμη και για τα περιστατικά που δεν ενέχουν κίνδυνο).
Βήμα 4. Ανάλυση των άμεσων συνεπειών της παραβίασης
– Ο αρμόδιος για τη διαχείριση του περιστατικού παραβίασης αξιολογεί και εξηγεί προς τη Διοίκηση του ΜΑΝΑ τα αίτια του συμβάντος.
– Λαμβάνονται οι απαραίτητες ενέργειες για την ανάκτηση των προσωπικών δεδομένων που έχουν παραβιαστεί και προσδιορίζονται τα επηρεαζόμενα υποκείμενα των δεδομένων.<
– Προσδιορίζονται και αξιολογούνται από τον αρμόδιο οι πιθανές επιπτώσεις στα δεδομένα που προσβλήθηκαν.
– Εξακριβώνεται με τη συνδρομή και του Υπευθύνου Τεχνολογικής Ασφαλείας του ΜΑΝΑ αν άλλα συστήματα απειλούνται με άμεσο ή μελλοντικό κίνδυνο. Η ανάλυση της παραβίασης της ασφαλείας δεδομένων μπορεί να απαιτεί τη συνδρομή εξειδικευμένων συμβούλων πληροφορικής για τη συλλογή των ανωτέρω πληροφοριών και την ολοκλήρωση των αναλύσεων.
– Εκτιμάται ο πιθανός κίνδυνος για τα άτομα των οποίων τα δεδομένα έχουν προσβληθεί. (Μηδενικός – Κίνδυνος – Υψηλός Κίνδυνος) και ενημερώνεται η Διοίκηση.
Βήμα 5. Ανάλυση των νομικών συνεπειών της παραβίασης.
Σε συνδυασμό με τη γενική ανάλυση που διεξήχθη παραπάνω ακολουθεί και διεξαγωγή ειδικής ανάλυσης των νομικών ζητημάτων που προκύπτουν λόγω της παραβίασης από το νομικό σύμβουλο του ΜΑΝΑ ή από τον DPO, σε περίπτωση που ορισθεί και είναι νομικός. Η νομική ανάλυση πρέπει να περιλαμβάνει τουλάχιστον τα ακόλουθα θέματα:
– Συμβατικές απαιτήσεις γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα: Έλεγχος των συμφωνιών προς συνεργάτες, προμηθευτές, τρίτες εταιρείες, και οποιωνδήποτε άλλων σχετικών εταιρικών συμφωνιών, για τη διαπίστωση αν το ΜΑΝΑ οφείλει να γνωστοποιήσει ή έχει άλλες υποχρεώσεις προς τρίτους όσον αφορά τα προσβληθέντα δεδομένα.
– Νομοθετικές απαιτήσεις γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Έλεγχος απαίτησης γνωστοποίησης στην ΑΠΔΠΧ – Προϋποθέσεις γνωστοποίησης:
– Ύπαρξη παραβίασης δεδομένων προσωπικού χαρακτήρα και
– Ύπαρξη κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δικαιωμάτων λόγω της παραβίασης δεδομένων προσωπικού χαρακτήρα.
– Νομοθετικές απαιτήσεις ανακοίνωσης παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων: Έλεγχος απαίτησης ανακοίνωσης στα υποκείμενα των δεδομένων – Προϋποθέσεις ανακοίνωσης:
– Ύπαρξη παραβίασης δεδομένων προσωπικού χαρακτήρα και
– Ύπαρξη υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δικαιωμάτων λόγω της παραβίασης δεδομένων προσωπικού χαρακτήρα.
– Δεν απαιτείται ανακοίνωση, εάν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
– Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προστασίας στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, που τα καθιστούν μη κατανοητά σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, (π.χ κρυπτογράφηση).
– Λήψη μέτρων που διασφαλίζουν ότι δεν θα είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
– Απαιτούνται δυσανάλογες προσπάθειες ανακοίνωσης. Στην περίπτωση αυτή, πρέπει να γίνει αντ’ αυτής δημόσια ανακοίνωση ή παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων μπορούν να ενημερωθούν με εξίσου αποτελεσματικό τρόπο.
– Ευθύνη τρίτων μερών έναντι του ΜΑΝΑ για ενέργειες ή παράλειψη ενεργειών που προκάλεσαν την παραβίαση και έλεγχος δυνατότητας αξίωσης αποζημίωσης από τρίτα μέρη.
– Ευθύνη εργαζομένων: Έρευνα για πιθανή παραβίαση των πολιτικών του ΜΑΝΑ από τους εργαζομένους ή/και τους εθελοντές και εν γένει εξωτερικούς συνεργάτες.
Βήμα 6. Οργάνωση συστήματος διαχείρισης αιτημάτων ενημέρωσης.
Ανάλογα με το μέγεθος μιας παραβίασης ασφαλείας δεδομένων και τον αριθμό των επηρεαζόμενων προσώπων, ένας σημαντικός όγκος αιτημάτων ενημέρωσης μπορεί να αποσταλεί στο ΜΑΝΑ. Ο αρμόδιος για τη διαχείριση του περιστατικού παραβίασης σχεδιάζει ένα Σύστημα Διαχείρισης Αιτημάτων Ενημέρωσης, το οποίο θα πρέπει να καλύπτει τα ακόλουθα θέματα:
– Τρόπος επικοινωνίας με το κοινό (συγκεκριμένος αριθμός, διεύθυνση email).
– Τρόπος επικοινωνίας με τους εργαζομένους.<
– Τρόπος επικοινωνίας με εξωτερικούς συνεργάτες, εκτελούντες, εθελοντές κλπ.
– (Επικουρικά) Εξωτερική ανάθεση δραστηριοτήτων τηλεφωνικού κέντρου
– Προετοιμασία απαντήσεων επί των αιτημάτων.
– Προετοιμασίαδικτυακού τόπου «Συχνές Ερωτήσεις (FAQ)». Οι συχνές ερωτήσεις μπορούν να βοηθήσουν στη μείωση του αριθμού των κλήσεων προς ένα τηλεφωνικό κέντρο.
Βήμα 7. Γνωστοποίηση παραβίασης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Στην περίπτωση που εκτιμηθεί από τον αρμόδιο για τη διαχείριση του περιστατικού ότι η παραβίαση ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, το ΜΑΝΑ πρέπει να γνωστοποιήσει στην ΑΠΔΠΧ το περιστατικό παραβίασης εντός 72 ωρών από τη στιγμή που απέκτησε γνώση του.
Διαδικασία:
– Συμπλήρωση της Φόρμας Γνωστοποίησης Παραβίασης Δεδομένων από τον υπεύθυνο διαχείρισης του περιστατικού ή τον DPO, εφόσον ορισθεί.
– Υποβολή της συμπληρωμένης Φόρμας Γνωστοποίησης Παραβίασης Δεδομένων στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθώς και τυχόν συμπληρωματικών εγγράφων σε κρυπτογραφημένη μορφή στη διεύθυνση databreach@dpa.gr
– Επικοινωνία του αρμοδίου για τη διαχείριση του περιστατικού με την ΑΠΔΠΧ για την αντιμετώπιση του περιστατικού της παραβίασης.
Βήμα 8. Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων
Στην περίπτωση που εκτιμηθεί από το ΜΑΝΑ ότι η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, το ΜΑΝΑ θα πρέπει, εκτός από την γνωστοποίηση στην ΑΠΔΠΧ, να ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων.
Η ανακοίνωση προς τα υποκείμενα πραγματοποιείται αμελλητί σε οποιοδήποτε στάδιο της αντιμετώπισης του περιστατικού της παραβίασης δεδομένων, όταν διαπιστωθεί ότι το περιστατικό παραβίασης ασφαλείας οδήγησε σε παραβίαση δεδομένων προσωπικού χαρακτήρα και συντρέχει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
Η ανακοίνωση πρέπει:
– Να είναι ατομική (μέσω Email, SMS, Επιστολής, κ.α.)
– Να είναι σαφής και κατανοητή.
– Σε περίπτωση που η ατομική ανακοίνωση απαιτεί δυσανάλογες προσπάθειες, ο αρμόδιος για τη διαχείριση του περιστατικού εισηγείται τον τρόπο δημόσιας ανακοίνωσης ή άλλο παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.
– Ο αρμόδιος για τη διαχείριση του περιστατικού ετοιμάζει το κείμενο της ανακοίνωσης, το οποίο εγκρίνεται από τη Διοίκηση και μεριμνά για τον τρόπο αποστολής της ανακοίνωσης στα υποκείμενα ή την ανάρτηση αντίστοιχα της δημόσιας ανακοίνωσης στην Ιστοσελίδα του ΜΑΝΑ.
Βήμα 9. Ενέργειες μετά την παραβίαση της ασφαλείας δεδομένων προσωπικού χαρακτήρα
Ο αρμόδιος για τη διαχείριση του περιστατικού πρέπει να διασφαλίσει ότι έχουν διαλευκανθεί πλήρως τα αίτια και οι συνθήκες της παραβίασης και ότι η Διοίκηση και το προσωπικό έχουν ενημερωθεί για τα αποτελέσματα, ανάλογα με την περίπτωση. Ειδικότερα, ο αρμόδιος προβαίνει στις εξής ενέργειες:
– Διεξάγει πλήρη ανάλυση της παραβίασης ασφαλείας δεδομένων για τον προσδιορισμό των βασικών αιτίων.
– Ελέγχει τα μέτρα περιορισμού της παραβίασης ασφαλείας δεδομένων για τη διασφάλιση ότι η παραβίαση έχει αντιμετωπιστεί ολοκληρωτικά.<
– Καθορίζει σχέδιο πρόληψης αντίστοιχης παραβίασης ασφάλειας δεδομένων, το οποίο και εγκρίνεται από τη Διοίκηση του ΜΑΝΑ.
– Αξιολογεί τις πολιτικές και διαδικασίες συλλογής, διατήρησης, αποθήκευσης και επεξεργασίας δεδομένων για τον καθορισμό των απαραίτητων αναθεωρήσεων και τροποποιήσεων τους.
– Αξιολογεί την ανάγκη για πρόσθετη εκπαίδευση των εργαζομένων σε πολιτικές και διαδικασίες προστασίας δεδομένων.
– Αναθεωρεί συμβάσεις επεξεργασίας προς τρίτους.
– Ελέγχει και επικαιροποιεί όπου απαιτείται τις σχετικές πολιτικές απορρήτου και τους όρουςχρήσης της Ιστοσελίδας
– Αξιολογεί τις ενέργειες και την ταχύτητα ανταπόκρισης του προσωπικού και της Διοίκησης κατά τη διάρκεια της παραβίασης.
– Τροποποιεί το Σχέδιο αντιμετώπισης παραβιάσεων ασφαλείας για τη βελτίωση της αποτελεσματικότητας στον τομέα της πρόληψης.
11. Πολιτική χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας
Οι εργαζόμενοι, κατά την άσκηση των καθηκόντων τους, οφείλουν να προβαίνουν σε χρήση επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας του ΜΑΝΑ (όπως είναι οι ηλεκτρονικοί υπολογιστές, οι τηλεφωνικές συσκευές, τα κινητά τηλέφωνα κλπ.) για σκοπούς που σχετίζονται με τη διεκπεραίωση της εργασίας τους. Στα πλαίσια της υποχρέωσής τους αυτής, οι εργαζόμενοι οφείλουν:
– Να αποφεύγουν τη χρήση (προσωπικού ή εταιρικού) κινητού τηλεφώνου εν ώρα εργασίας για προσωπικούς σκοπούς. Σε κάθε περίπτωση, η συνομιλία στο κινητό τηλέφωνο για προσωπικούς σκοπούς θα πρέπει να περιορίζεται στο απολύτως απαραίτητο και δυνατόν να λαμβάνει χώρα κατά την ώρα του διαλείμματος και με την απαραίτητη διακριτικότητα.
– Να χρησιμοποιούν τους ηλεκτρονικούς υπολογιστές και τον εξοπλισμό του ΜΑΝΑ για σκοπούς που σχετίζονται με την άσκηση των καθηκόντων τους και να αποφεύγουν την πλοήγηση σε ιστοσελίδες που δεν σχετίζονται με τη διεκπεραίωση της εργασίας τους, περιλαμβανομένης και της χρήσης των μέσων κοινωνικής δικτύωσης για προσωπικούς σκοπούς εν ώρα εργασίας. Ρητώς απαγορεύεται η πλοήγηση σε ιστοσελίδες με παράνομο ή ανήθικο περιεχόμενο καθώς και η πλοήγηση σε ανασφαλείς διαδικτυακούς τόπους εν γένει.
– Να απέχουν από τη χρήση του επαγγελματικού ηλεκτρονικού ταχυδρομείου (επαγγελματική αλληλογραφία) για προσωπικούς σκοπούς, καθώς και για έκνομες ενέργειες, περιλαμβανομένης και της άσκησης ανταγωνιστικής δραστηριότητας. Το ΜΑΝΑ διατηρεί το δικαίωμα να προβαίνει περιστασιακά σε έλεγχο της επαγγελματικής αλληλογραφίας, ιδίως για τη διακρίβωση τυχόν παράνομης δραστηριότητας του εργαζόμενου, κατόπιν σχετικής ενημέρωσης των ελεγχόμενων εργαζομένων. Ρητώς αναγνωρίζεται ότι η επαγγελματική αλληλογραφία αποτελεί περιουσιακό αγαθό του ΜΑΝΑ, το οποίο και διατηρεί το δικαίωμα τήρησης και χρήσης αυτής και μετά το πέρας της εργασιακής σχέσης.
– Να μην προβαίνουν καθ’ υπέρβαση των καθηκόντων τους σε εξαγωγή ή/και μη εξουσιοδοτημένη κοινοποίηση ή/και αντιγραφή σε προσωπικά μέσα αποθήκευσης (πχ. Flash disks) ηλεκτρονικών ή/και φυσικών αρχείων, που αποτελούν περιουσία του ΜΑΝΑ, περιλαμβανομένων και αρχείων προσωπικών δεδομένων, και να απέχουν από κάθε χρήση αυτών για προσωπικούς σκοπούς.
– Σε περίπτωση εξ αποστάσεως εργασίας και απομακρυσμένης πρόσβασης στο δίκτυο του ΜΑΝΑ, οι εργαζόμενοι οφείλουν να απέχουν από την πρόσβαση μέσω ηλεκτρονικών υπολογιστών που δεν πληρούν τις απαραίτητες προϋποθέσεις ασφαλείας (π.χ. δεν έχουν αντιικό σύστημα προστασίας) και οφείλουν να περιορίζουν κάθε εξ αποστάσεως πρόσβαση μόνο στο απολύτως απαραίτητο για την εκπλήρωση των καθηκόντων τους. Σε περίπτωση παραβίασης των παραπάνω προϋποθέσεων ασφαλείας, οφείλουν να ενημερώσουν άμεσα το ΜΑΝΑ.
– Μετά τη λήξη της εργασιακής σύμβασης, οι εργαζόμενοιοφείλουν να επιστρέψουν τυχόν εξοπλισμό (όπως ηλεκτρονικούς υπολογιστές, κινητά τηλέφωνα κλπ.) που τους έχουν παραχωρηθεί από το ΜΑΝΑ και αποτελούν ιδιοκτησία του, αφού προηγουμένως διαγράψουν από τον εξοπλισμό οποιοδήποτε αρχείο με προσωπικό περιεχόμενο. Σε περίπτωση που οι Εργαζόμενοι χρησιμοποιούν προσωπικό εξοπλισμό (κινητά τηλέφωνα, ηλεκτρονικούς υπολογιστές) για επαγγελματικούς σκοπούς στα πλαίσια της εκτέλεσης των καθηκόντων τους, οφείλουν μετά τη λήξη της εργασιακής σύμβασης για οποιοδήποτε λόγο, να παράσχουν γραπτή διαβεβαίωση προς το ΜΑΝΑ ότι διέγραψαν από τον ατομικό τους εξοπλισμό κάθε επαγγελματικό περιεχόμενο (π.χ. επαγγελματικό email).
12. Πολιτική καθαρού γραφείου και οθόνης
Oι εργαζόμενοι θα πρέπει να αφήσουν το χώρο εργασίας τους (γραφείο, εξοπλισμός, έγγραφα, πληροφορίες, κλπ.) σε μια ασφαλή κατάσταση όταν φεύγουν από το χώρο εργασίας τους κατά την διάρκεια της ημέρας καθώς και στο τέλος της κάθε εργάσιμης ημέρας, προκειμένου να διαφυλάσσεται η ασφάλεια και η εμπιστευτικότητα των πληροφοριών που διαχειρίζονται στα πλαίσια της άσκησης των καθηκόντων τους, περιλαμβανομένων και των προσωπικών δεδομένων.
ΚΑΘΑΡΟ ΓΡΑΦΕΙΟ ΚΑΤΑ ΤΗ ΔΙΑΡΚΕΙΑ ΚΑΙ ΜΕΤΑ ΤΟ ΠΕΡΑΣ ΤΗΣ ΕΡΓΑΣΙΜΗΣ ΜΕΡΑΣ
Μετά το πέρας της εργάσιμης ημέρας, όλοι οι εργαζόμενοι πρέπει να καθαρίζουν τα γραφεία τους και το χώρο εργασίας τους εν γένει και να ασφαλίσουν τόσο τον εξοπλισμό όσο και οποιαδήποτε έγγραφα σχετίζονται με την εργασία τους. Τα έγγραφα θα πρέπει να τοποθετούνται στον κατάλληλο χώρο (ντουλάπι ή συρτάρι αρχειοθέτησης). Όλα τα έγγραφα που περιέχουν προσωπικά δεδομένα θα πρέπει να τοποθετούνται σε ένα προφυλαγμένο και, ει δυνατόν, κλειδωμένο αρχείο. Οι ακόλουθες κατευθυντήριες γραμμές θα πρέπει να τηρούνται από όλους τους εργαζόμενους ανεξαιρέτως:
– Οι εργαζόμενοι θα πρέπει να αφιερώνουν μια προγραμματισμένη ώρα κάθε μέρα για να καθαρίσουν τα χαρτιά από το γραφείο τους.
– Ο υπολογιστής θα πρέπει να αποσυνδέεται, όταν ο χώρος εργασίας είναι αφύλακτος.
– Η λειτουργία του υπολογιστή θα πρέπει να τερματίζεται στο τέλος της εργάσιμης ημέρας.
– Οι εργαζόμενοι οφείλουν να αφαιρέσουν όλες τις Εμπιστευτικές και Εσωτερικής χρήσης πληροφορίες, περιλαμβανομένων και των προσωπικών δεδομένων, από το γραφείο τους και να τις τηρούν σε ένα ντουλάπι ή συρτάρι ή αρχείο, όταν ο σταθμός εργασίας τους είναι αφύλακτος και στο τέλος της εργάσιμης ημέρας.
– Όλα τα εμπιστευτικά και για εσωτερική χρήση έγγραφα, περιλαμβανομένων και όσων περιέχουν προσωπικά δεδομένα, θα αποθηκεύονται σε συρτάρια ή ντουλάπια και θα πρέπει να είναι πάντα κλειδωμένα, εφόσον υπάρχει η αντίστοιχη υποδομή.
Όλα τα ντουλάπια που περιέχουν εμπιστευτικά αρχεία ή πληροφορίες εσωτερικής χρήσης όταν δεν χρησιμοποιούνται ή όταν είναι αφύλακτα θα πρέπει να ασφαλίζονται και να κλειδώνονται. Η πρόσβαση σε αυτά θα πρέπει να δικαιολογείται από τη θέση και τα καθήκοντα του εργαζομένου
– Οι εργαζόμενοι δεν θα πρέπει να αφήνουν τα κλειδιά που χρησιμοποιούνται για να έχουν πρόσβαση σε εμπιστευτικές ή εσωτερικής χρήσης πληροφορίες σε ένα αφύλακτο χώρο εργασίας.
– Το σύνολο του εξοπλισμού (φορητοί υπολογιστές, άλλος εξοπλισμός, κλπ) θα πρέπει να είναι κλειδωμένο σε ένα συρτάρι ή ντουλάπι όταν ο χώρος εργασίας είναι αφύλακτος ή στο τέλος της εργάσιμης ημέρας.
– Απαγορεύεται η δημόσια ανάρτηση κωδικών πρόσβασης πάνω ή κάτω από έναν υπολογιστή, σε πίνακες ανακοινώσεων ή σε οποιαδήποτε άλλη προσβάσιμη τοποθεσία.
– Τα αντίγραφα των εγγράφων που περιέχουν εμπιστευτικές ή εσωτερική χρήσης πληροφορίες από εκτυπωτές και συσκευές φαξ θα πρέπει να αφαιρούνται αμέσως και να καταστρέφονται με ασφαλείς μεθόδους καταστροφής (π.χ. καταστροφέας εγγράφων).
– Τα ντουλάπια του γραφείου και της ντουλάπας αρχειοθέτησης στο τέλος της ημέρας ή αν οι εργαζόμενοι απουσιάζουν για μεγάλο χρονικό διάστημα από το χώρο εργασίας σας κατά τη διάρκεια της ημέρας θα πρέπει να κλειδώνουν.
– Συσκευές μαζικής αποθήκευσης, όπως CD-ROM, DVD ή USB, κλπ., θα πρέπει να θεωρούνται ευαίσθητες και εμπιστευτικές και να τηρούνται ασφαλώς σε κλειδωμένα συρτάρια στο τέλος της ημέρας ή αν οι εργαζόμενοι φύγουν από το χώρο εργασίας κατά τη διάρκεια της ημέρας.
– Όλα τα απορρίμματα χαρτιού, εκθέσεις και κορδέλες εκτυπωτή θα πρέπει να καταστρέφονται με τη χρήση του ειδικού εξοπλισμού (καταστροφέας εγγράφων).
13. Επικαιροποίηση-τροποποίηση της Πολιτικής
Το ΜΑΝΑ διατηρεί δικαίωμα τροποποίησης της παρούσας Πολιτικής όποτε ήθελε κριθεί απαραίτητο, αναλόγως με τις ανάγκες και πρακτικές που υιοθετεί και με τις απαιτήσεις της νομοθεσίας, ως εκάστοτε ισχύει.
Η Διοίκηση του ΜΑΝΑ λαμβάνει απόφαση για την επικαιροποίηση της Πολιτικής και αναλαμβάνει την ενημέρωση, με κάθε πρόσφορο τρόπο (π.χ. με την αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου), του προσωπικού, των εθελοντών και όσων δεσμεύονται από αυτήν για τις τροποποιήσεις και παρακολουθεί τη συμμόρφωση του Προσωπικού κλπ. προς αυτές.