Δημόσια πολιτική προστασίας προσωπικών δεδομένων υποκειμένων έναντι επεξεργασίας
Εισαγωγή
1. Συμμόρφωση του ΕΣΥΠ με τον Κανονισμό (ΕΕ) 679/2016 και τον ν.4624/2019
Ο Κανονισμός 679/2016 της Ε.Ε. (εφεξής «Κανονισμός») θεσπίζει κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Το Εθνικό Σύστημα Υποδομών Ποιότητας (ΕΣΥΠ), Νομικό Πρόσωπο Ιδιωτικού Δικαίου εποπτευόμενο από το Υπουργείο Ανάπτυξης και Επενδύσεων, συμμορφώνεται πλήρως με τον Κανονισμό και την ισχύουσα εθνική νομοθεσία (ν. 4624/2019) για την προστασία των προσωπικών δεδομένων έναντι της επεξεργασίας τους με την εφαρμογή κατάλληλου συστήματος. Το σύστημα αυτό αποτελείται από διαδικασίες, όπως επίσης και από τα κατάλληλα για τον σκοπό αυτόν οργανωτικά και τεχνικά μέτρα.
2. Ορισμοί
Για τους σκοπούς εφαρμογής του Κανονισμού οι κρίσιμες έννοιες ορίζονται επακριβώς στο άρθρο 4 αυτού.
Συνοπτικά:
«Δεδομένα προσωπικού χαρακτήρα» ή «προσωπικά δεδομένα»: Αποκαλείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμός ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Στα προσωπικά δεδομένα ανήκει κάθε πληροφορία, σε έντυπο ή ηλεκτρονικό μέσο, η οποία είναι δυνατό να οδηγήσει, είτε απευθείας είτε συνδυαστικά με άλλα δεδομένα, στη μοναδική αναγνώριση / ταυτοποίηση ενός φυσικού προσώπου. Στην κατηγορία αυτή ανήκουν, ενδεικτικά, κατά περίπτωση, στοιχεία όπως Ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, Α.Δ.Τ., φυσικές & ηλεκτρονικές διευθύνσεις σας (emails), αριθμοί σταθερών και κινητών τηλεφώνων σας, στοιχεία παραληπτών μηνυμάτων SMS/MMS, στοιχεία τραπεζικών/χρεωστικών/προπληρωμένων καρτών σας, αναγνωριστικά στοιχεία εξοπλισμού ή τερματικών συσκευών σας – υπολογιστή – smartphone – tablet, ιστορικό διαδικτυακών αναζητήσεών σας (log files, cookies κλπ.), και οποιαδήποτε άλλη πληροφορία επιτρέπει την ταυτοποίηση ενός προσώπου.
Ο Κανονισμός προβλέπει και κάποιες «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα», για τις οποίες θεσπίζεται ακόμη αυστηρότερο πλαίσιο. Πρόκειται για τα προσωπικά δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, τα δεδομένα που αφορούν την υγεία, τα γενετικά ή βιομετρικά δεδομένα με σκοπό την ταυτοποίηση προσώπων, τα δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό, καθώς και αυτά που αφορούν σε ποινικές καταδίκες και αδικήματα.
–«Υποκείμενα των Δεδομένων» είναι τα φυσικά πρόσωπα στα οποία κάθε φορά αναφέρονται τα δεδομένα.
Σημειώνεται ότι φυσικά πρόσωπα, εκπρόσωποι Νομικών Προσώπων, που επικοινωνούν με το ΕΣΥΠ, δεν αποτελούν αντικείμενο του Κανονισμού και κατά συνέπεια αντικείμενο εφαρμογής της παρούσας Πολιτικής του ΕΣΥΠ. Ωστόσο, το ΕΣΥΠ σε κάθε περίπτωση εφαρμόζει κατάλληλες πολιτικές και μέτρα ασφάλειας και προστασίας πληροφοριών που καλύπτουν το σύνολο των δραστηριοτήτων και της λειτουργίας του σε κάθε περίπτωση.
- «Επεξεργασία»: Αποκαλείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
- «Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
– «Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
– «Συγκατάθεση» του υποκειμένου των δεδομένων»: Καλείται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, τα δεδομένα προσωπικού χαρακτήρα που το αφορούν ν’ αποτελέσουν αντικείμενο επεξεργασίας για έναν συγκεκριμένο σκοπό. Η συγκατάθεση πρέπει να διατυπώνεται σε απλή και κατανοητή γλώσσα και κατά τρόπο σαφώς διακριτό από άλλα θέματα. Η ανάκληση της συγκατάθεσης είναι πάντοτε ελεύθερη (κάτι για το οποίο ενημερώνεται εκ των προτέρων το υποκείμενο) και να γίνεται εύκολα, τουλάχιστον όπως η παροχή της.
3. Βασικές Αρχές για τη Συλλογή & Επεξεργασία Προσωπικών Δεδομένων
Το ΕΣΥΠ εφαρμόζει όλες τις Αρχές Επεξεργασίας του Κανονισμού, οι κυριότερες από τις οποίες είναι ότι τα δεδομένα πρέπει να:
-συλλέγονται για προκαθορισμένους, ρητούς και νόμιμους σκοπούς και να μην δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· («αρχή του σκοπού»),
-υποβάλλονται σε σύννομη και θεμιτή επεξεργασία και με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
-είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
-είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («αρχή της ακρίβειας»),
-διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα («αρχή της ελάχιστης διάρκειας»),
-υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους των δεδομένων προσωπικού χαρακτήρα, όπως μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Αρχή της Λογοδοσίας
Επιπλέον των παραπάνω, κεντρικό γνώρισμα του θεσμικού πλαισίου είναι ότι ο κάθε υπεύθυνος επεξεργασίας, όπως και κάθε εκτελών επεξεργασία, οφείλει να είναι σε θέση ανά πάσα στιγμή να αποδεικνύει ότι κάθε επιμέρους επεξεργασία προσωπικών δεδομένων που διενεργεί γίνεται σε πλήρη συμμόρφωση με τον Κανονισμό και με τις προβλέψεις του και ότι έχει λάβει όλα τα αναγκαία γι αυτό μέτρα.
1. Επεξεργασία Προσωπικών Δεδομένων
Η επεξεργασία Προσωπικών Δεδομένων από το ΕΣΥΠ πραγματοποιείται μόνον εφόσον συντρέχει μία από τις νόμιμες βάσεις επεξεργασίας, σύμφωνα με τα άρθρα 6 και 9 του Κανονισμού.
Ειδικότερα, για να είναι σύννομη κάποια επεξεργασία προσωπικών δεδομένων, εφόσον δεν πρόκειται για ειδικές κατηγορίες δεδομένων (βλ. παραπάνω), των οποίων κατ΄ αρχήν απαγορεύεται η επεξεργασία εκτός αν συντρέχουν κάποιες πολύ πιο αυστηρές προϋποθέσεις, θα πρέπει να συντρέχει έστω και μία από τις παρακάτω προϋποθέσεις:
-Το υποκείμενο των δεδομένων έχει συναινέσει.
-Η επεξεργασία είναι αναγκαία για εκτέλεση σύμβασης στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος.
-Η επεξεργασία είναι αναγκαία για συμμόρφωση με νόμιμη υποχρέωση του υπεύθυνου επεξεργασίας.
-Η επεξεργασία απαιτείται για την διαφύλαξη ζωτικού συμφέροντος του υποκειμένου.
-Η επεξεργασία απαιτείται στο πλαίσιο καθήκοντος που έχει ανατεθεί στον υπεύθυνο επεξεργασίας προς υπηρέτηση δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας.
-Η επεξεργασία είναι αναγκαία για τη διαφύλαξη των εννόμων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου, εκτός αν από τη σχετική στάθμιση προκύπτει ότι τα έννομα συμφέροντα του υποκειμένου είναι υπέρτερα.
Το ΕΣΥΠ συλλέγει & επεξεργάζεται Προσωπικά Δεδομένα αποκλειστικά και μόνο για νόμιμους σκοπούς.
4. Δικαιώματα Υποκειμένων Δεδομένων
1. Γενικά
Τα Υποκείμενα των Δεδομένων έχουν σημαντικά δικαιώματα σύμφωνα με τον Κανονισμό. Το ΕΣΥΠ δεσμεύεται να παρέχει οποιαδήποτε βοήθεια στα Υποκείμενα προκειμένου να κάνουν χρήση αυτών των δικαιωμάτων.
2. Είδη Δικαιωμάτων
Τα δικαιώματα των υποκειμένων σύμφωνα με τον Κανονισμό είναι τα εξής:
- Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα
- Δικαίωμα διόρθωσης ανακριβών δεδομένων και συμπλήρωσης ελλιπών δεδομένων
- Δικαίωμα περιορισμού της επεξεργασίας
Δικαίωμα εναντίωσης στην επεξεργασία (π.χ. στις περιπτώσεις κατάρτισης «προφίλ» ή απευθείας εμπορικής προώθησης σε τρίτους) - Δικαίωμα διαγραφής προσωπικών δεδομένων, εφόσον δεν τηρούνται για κάποιο νόμιμο σκοπό.
- Δικαίωμα φορητότητας των δεδομένων σε άλλον υπεύθυνο επεξεργασίας.
3. Άσκηση Δικαιωμάτων
Τα Υποκείμενα μπορούν να ασκούν τα δικαιώματά τους με την υποβολή σχετικών αιτημάτων προς το ΕΣΥΠ.
Το ΕΣΥΠ θα απαντήσει εγγράφως εντός ενός μηνός από την υποβολή του αιτήματος, εκτός αν συντρέχει άλλη περίπτωση που προβλέπεται από τον Κανονισμό.
4. Διαβίβαση δεδομένων σε τρίτους
Το ΕΣΥΠ κατά κανόνα, δεν διαβιβάζει τα προσωπικά δεδομένα σε τρίτους παρά μόνο όταν απαιτείται σαφώς από την Νομοθεσία / Κανονιστικό πλαίσιο.
Τέτοια τρίτα μέρη ενδέχεται να είναι επίσημοι Εποπτικοί / Κρατικοί Φορείς (πχ Γενική Γραμματεία Βιομηχανίας του εποπτεύοντος Υπουργείου)
Διαβίβαση προσωπικών δεδομένων σε χώρες εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) μπορούν να γίνουν μόνον όταν συντρέχουν οι προϋποθέσεις που προβλέπονται από τον Κανονισμό (όπως βάσει αποφάσεων επάρκειας της ΕΕ, εταιρικών δεσμευτικών κανόνων, τυποποιημένων συμβάσεων και εγκεκριμένων κωδίκων δεοντολογίας).
5. Ασφάλεια Επεξεργασίας
Το ΕΣΥΠ εφαρμόζει κατάλληλα οργανωτικά & τεχνικά μέτρα για την ασφάλεια & προστασία των Προσωπικών Δεδομένων και εν γένει των πληροφοριών, σύμφωνα με τα ισχύοντα σχετικά κατάλληλα πρότυπα και διαδικασίες ασφαλείας, τους όρους της παρούσας Πολιτικής και την εκάστοτε ισχύουσα νομοθεσία προστασίας δεδομένων.
Σύνδεσμοι προς ιστοσελίδες τρίτων
Οι ιστοσελίδες του ΕΣΥΠ ενδέχεται να περιέχουν συνδέσμους που οδηγούν σε άλλες ιστοσελίδες τρίτων, ανεξάρτητων φορέων, τις οποίες δεν ελέγχουμε. Συνεπώς εμείς δεν φέρουμε καμία απολύτως ευθύνη για το περιεχόμενο, τις ενέργειες ή τις πολιτικές αυτών των ιστοσελίδων. Σας παρακαλούμε να διαβάσετε προσεκτικά τις αντίστοιχες πολιτικές προστασίας δεδομένων στις διαφορετικές ιστοσελίδες που επισκέπτεστε, καθώς μπορεί να διαφέρουν σημαντικά από τη δική μας.
6. Υπεύθυνος Προστασίας Δεδομένων
Το ΕΣΥΠ, σε εφαρμογή του Κανονισμού και της ισχύουσας νομοθεσίας (ν.4624/2019), έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) με απόφαση της Διοίκησής του, ο οποίος έχει όλες τις αρμοδιότητες και καθήκοντα που ορίζει ο νόμος.
Ο ΥΠΔ αναφέρεται απευθείας στη Διοίκηση του ΕΣΥΠ σύμφωνα και με τα όσα ορίζονται στο άρθρο 7 του ν.4624/2019.
Ο ΥΠΔ δεσμεύεται κατά την εκτέλεση των καθηκόντων του από την τήρηση του απορρήτου ή της εμπιστευτικότητας, σύμφωνα με τις διατάξεις της εθνικής και της ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων.
Για οποιοδήποτε ζήτημα σχετικά με την παρούσα Πολιτική ή για την άσκηση των δικαιωμάτων σας μπορείτε να επικοινωνείτε με τον ΥΠΔ του ΕΣΥΠ στην παρακάτω ηλεκτρονική διεύθυνση:
Email: dpo@esyp.eu