Πολιτική Προστασίας των Προσωπικών Δεδομένων |
|
«Οργανισμός» |
ΟΡΓΑΝΙΣΜΟΣ ΣΙΔΗΡΟΔΡΟΜΩΝ ΕΛΛΑΔΟΣ Α.Ε. (ΟΣΕ Α.Ε.) |
Σκοπός της Πολιτικής Προστασίας Προσωπικών Δεδομένων |
Η ανώνυμη εταιρία με την επωνυμία «Οργανισμός Σιδηροδρόμων Ελλάδος Α.Ε. (ΟΣΕ Α.Ε.) (εφεξής καλούμενη ως: «Ο Οργανισμός») συλλέγει, επεξεργάζεται και χρησιμοποιεί τα προσωπικά δεδομένα εργαζομένων, συνεργατών, μελών της διοίκησης, προμηθευτών και προστηθέντων τους, υποψηφίων εργαζομένων και υποψηφίων προμηθευτών, εκπαιδευομένων και εκπαιδευτών, εκπροσώπων και μελών εν γένει κρατικών και μη αρχών, τρίτων χρηστών των σιδηροδρομικών υποδομών, τρίτων που σχετίζονται με την εκμετάλλευση σιδηροδρομικών υποδομών και τη διαχείριση των σιδηροδρομικών μεταφορών, τρίτων (στο εξής: «υποκείμενο/α των δεδομένων») σύμφωνα με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων όπως τροποποιήθηκε ή/και αντικαταστάθηκε κατά διαστήματα, τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 (εφεξής “Γενικός Κανονισμός για την Προστασία των Δεδομένων” ή “GDPR”), (εφεξής καλούμενος ως «ΓΚΠΔ») ο οποίος είναι σε ισχύ από τις 25 Μαΐου 2018, καθώς και οποιεσδήποτε άλλες νομικές ή / και κανονιστικές απαιτήσεις.
Σκοπός αυτής της παρούσας πολιτικής η οποία αποτελεί την πολιτική προστασίας των δεδομένων του «Οργανισμού» είναι α.)να παρέχει στο «υποκείμενο των δεδομένων» τις πληροφορίες σχετικά με την επεξεργασία των προσωπικών του δεδομένων από τον «Οργανισμό» και β.)να ενημερώσει «το υποκείμενο των δεδομένων» σχετικά με τα δικαιώματα του αναφορικά με την προστασία των προσωπικών δεδομένων, βάσει του ισχύοντος νομοθετικού και κανονιστικού πλαισίου.
|
Ποιος είναι υπεύθυνος για την επεξεργασία των δεδομένων |
Ο.Σ.Ε. ΑΕ
|
Υπεύθυνος Προστασίας Προσωπικών Δεδομένων |
Για τον «Υπεύθυνο Προστασίας Δεδομένων» του «Οργανισμού» επικοινωνείτε στην Ηλεκτρονική Διεύθυνση
gdpr@osenet.gr
Εάν έχετε οποιεσδήποτε ερωτήσεις ή επιθυμείτε να λάβετε περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο «ο Οργανισμός» χρησιμοποιεί τα προσωπικά σας δεδομένα, μπορείτε να επικοινωνείτε στην παραπάνω διεύθυνση
|
Ι.Σύντομη εισαγωγή στον ΓΚΠΔ
Ο διατάξεις του ΓΚΠΔ εφαρμόζονται υποχρεωτικά στον «Οργανισμό» και συνεπώς οι σχετικές δραστηριότητες του «Οργανισμού» πρέπει να συμμορφώνονται με τις απαιτήσεις του ΓΚΠΔ.
Ια. Ορισμοί
α) Ως «Δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, δηλ του «υποκειμένου των δεδομένων»
β) «Επεξεργασία»: είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
γ) «Yπεύθυνος επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο το οποίο, από μόνο του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλεφθούν από το δίκαιο της Ένωσης ή των κρατών μελών. Μια οντότητα που αποφασίζει για το «γιατί» και το «πώς» της επεξεργασίας των δεδομένων θεωρείται «υπεύθυνος επεξεργασίας».
Όταν στο κείμενο αναφέρεται η λέξη «υπεύθυνος επεξεργασίας», εννοείται το πρόσωπο που επεξεργάζεται τα δεδομένα (είτε ο «υπεύθυνος επεξεργασίας» είτε o εκπρόσωπος του «υπεύθυνου επεξεργασίας» (υπάλληλοι)
ε) «Εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του «υπεύθυνου επεξεργασίας». Εάν ένας «υπεύθυνος επεξεργασίας» απασχολεί κάποιον τρίτο (π.χ. φορέα παροχής υπηρεσιών) για την επεξεργασία των προσωπικών δεδομένων για λογαριασμό του «υπεύθυνου επεξεργασίας», αυτός ο τρίτος θα χαρακτηριστεί ως «εκτελών την επεξεργασία».
Eίναι δυνατόν να υπάρχουν περισσότεροι «υπεύθυνοι επεξεργασίας» και «εκτελούντες την επεξεργασία» που εμπλέκονται στην ίδια δραστηριότητα επεξεργασίας δεδομένων.
στ) «Υποκείμενο των δεδομένων» σύμφωνα με την παρούσα πολιτική είναι το προσωπικό του «Οργανισμού» (εφεξής καλούμενο «προσωπικό») και οι συνεργάτες, μέλη της διοίκησης, προμηθευτές και προστηθέντες τους, υποψήφιοι εργαζόμενοι και υποψήφιοι προμηθευτές, εκπαιδευομένοι και εκπαιδευτές, εκπρόσωποι και μέλη εν γένει κρατικών και μη κρατικών αρχών, τρίτοι χρήστες των σιδηροδρομικών υποδομών, τρίτοι που σχετίζονται με την εκμετάλλευση σιδηροδρομικών υποδομών και τη διαχείριση των σιδηροδρομικών μεταφορών, και εν γένει τρίτοι ( εφεξής καλούμενοι «τρίτοι»)
Όπου στο κείμενο αναφέρονται οι λέξεις «Υποκείμενο των δεδομένων» εννοείται ότι ισχύει και στον πληθυντικό αριθμό.
Ιβ. Βασικές αρχές της Προστασίας των Δεδομένων
(1) Τα προσωπικά δεδομένα κάθε υποκειμένου υποβάλλονται σε σύννομη, θεμιτή και διαφανή επεξεργασία με νομιμότητα, αντικειμενικότητα και διαφάνεια.
(1.1)Το «υποκείμενο δεδομένων» πρέπει να γνωρίζει
- ότι τα δεδομένα του βρίσκονται υπό επεξεργασία
- για ποιο σκοπό υποβάλλονται σε επεξεργασία
- πώς να ασκήσει τα δικαιώματά του σε σχέση με τα δεδομένα
Δεν υπάρχει καμία υποχρέωση να ενημερώνεται το «υποκείμενο των δεδομένων» για ο,τιδήποτε είναι προφανές εντός του πλαισίου λειτουργίας «του Οργανισμού» ή από τις γενικές γνώσεις και πείρα περί τις συναλλαγές.
(2) Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς.
Περαιτέρω επεξεργασία με σκοπό αρχειοθέτησης για λόγους δημοσίου συμφέροντος, ιστορικής έρευνας και για στατιστικούς σκοπούς, δεν θεωρείται ασυμβίβαστη με τους αρχικούς σκοπούς («περιορισμός του σκοπού»).
(3) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία μέτρο («ελαχιστοποίηση των δεδομένων»)
(4) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όποτε απαιτείται, να ενημερώνονται.
Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
(5) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση τους με τα «υποκείμενα των δεδομένων» μόνο για το χρονικό διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα χρονικά διαστήματα, εφόσον
-υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον,
-για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και
εφόσον α.)εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο ΓΚΠΔ για τη διασφάλιση των δικαιωμάτων και ελευθεριών του «υποκειμένου των δεδομένων» («περιορισμός της περιόδου αποθήκευσης») β.) επικαιροποιούνται ανά τακτά χρονικά ώστε να διασφαλίζεται η ακρίβειά τους.
(6) Υποβάλλονται σε επεξεργασία κατά τρόπο ώστε να είναι εγγυημένη η ασφάλεια και η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
ΙΙα. Προσωπικά δεδομένα που διατηρεί «ο Οργανισμός» για «το προσωπικό»
Τα Προσωπικά Δεδομένα που διατηρεί «ο Οργανισμός» για «το προσωπικό», περιλαμβάνουν όχι μόνο εκείνα που απαιτεί ο νόμος για τη σύναψη της εργασιακής σύμβασης, αλλά και ορισμένα άλλα που απαιτούνται και χρησιμοποιούνται στον κλάδο για την επίτευξη υψηλού επιπέδου υπηρεσιών και άλλα που απαιτούνται για την διασφάλιση των συμφερόντων των ίδιων των υποκειμένων.
Για τους παραπάνω λόγους, το είδος των δεδομένων που διατηρούνται και ο σκοπός της επεξεργασίας δεδομένων, εξαρτώνται από τις απαιτήσεις που ζητούνται κάθε φορά από την εργασιακή, ασφαλιστική και φορολογική νομοθεσία, το σκοπό «του Οργανισμού» και τα συμφέροντα εκάστου υποκειμένου.
Χωρίς επεξεργασία δεδομένων «ο Οργανισμός», δεν μπορεί να συνάψει ή να εκτελέσει τους όρους της εργασιακής σύμβασης με το «υποκείμενο των δεδομένων».
Ενδεικτικά και όχι περιοριστικά, τα δεδομένα του «προσωπικού» του που επεξεργάζεται ο «Οργανισμός» αφορούν τα εξής:
όνομα, επώνυμο, ονοματεπώνυμο γονέων, έτος και τόπος γέννησης, τόπος κατοικίας, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός σταθερού και κινητού τηλεφώνου, οικογενειακή κατάσταση, αριθμός τέκνων, αριθμός και στοιχεία δελτίου ταυτότητας, αριθμός φορολογικού μητρώου, αριθμός κοινωνικής ασφάλισης ΑΜΚΑ, σπουδές και δεξιότητες, έτη προϋπηρεσίας, επαγγελματικό υπηρεσιακό ιστορικό, τραπεζικοί λογαριασμοί, στοιχεία ταυτoποίησης (π.χ. υπογραφή), βιογραφικό σημείωμα, υλικό εκ των κλειστών κυκλωμάτων παρακολούθησης.
Ειδικές κατηγορίες προσωπικών δεδομένων περιλαμβάνονται επίσης στα δεδομένα που συλλέγει και διατηρεί «ο Οργανισμός».
Ενδεικτικά και όχι αποκλειστικά αυτά είναι: ιατρικό ιστορικό, ιατρικά πιστοποιητικά, συνδικαλιστική δράση, θρησκεία, φωτογραφίες, εθνικότητα.
Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές στο χρονικό στάδιο της συλλογής των προσωπικών δεδομένων.
ΙΙβ. Σκοπός επεξεργασίας
«Ο Οργανισμός» επεξεργάζεται τα προσωπικά δεδομένα «του προσωπικού» για έναν ή περισσότερους από τους παρακάτω λόγους:
- Για την σύναψη σύμβασης στην οποία συμβάλλεται το «υποκείμενο των δεδομένων» ή για τη λήψη μέτρων κατόπιν αιτήματος του «υποκειμένου των δεδομένων». Ενδεικτικά και χωρίς περιορισμό, για:
-Κάλυψη των αναγκών «του Οργανισμού»
-Αξιολόγηση της ικανότητας του υποψηφίου
– Προετοιμασία / υπογραφή της σύμβασης εργασίας
-Συμμόρφωση με τις απαιτήσεις της εγχώριας και ευρωπαϊκής νομοθεσίας κατά την πρόσληψη και την απασχόληση.
-Εξυπηρέτηση των αναγκών του προσωπικού και των υποχρεώσεων «του Οργανισμού» που απορρέουν από το νόμο έναντι των εργαζομένων του
– Εξασφάλιση της απαραίτητης για την εργασία φυσικής κατάστασης του προσωπικού.
– Εξασφάλιση της αποτελεσματικότητας του προσωπικού για την εκτέλεση των εργασιών
-Προετοιμασία για μελλοντικές ανάγκες κάλυψης προσωπικού.
-Αναγνώριση των προσωπικού.
-Εξέλιξη του προσωπικού
-Σεβασμός του «Οργανισμού» στο διαφορετικό πολιτισμικό, φυλετικό και θρησκευτικό υπόβαθρο.
-Διευκόλυνση της επικοινωνίας
- Για τη συμμόρφωση με μια νομική υποχρέωση. Ενδεικτικά και χωρίς περιορισμό, με την
-Eγχώρια νομοθεσία
– Ευρωπαϊκή νομοθεσία.
– Υποστήριξη νομικών διαδικασιών
-Σεβασμός εργασιακών δικαιωμάτων και αξιώσεων και δικαιωμάτων κοινωνικής ασφάλισης και προστασίας
- Για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον.
- Για λόγους προστασίας των νόμιμων συμφερόντων «του Οργανισμού». Ενδεικτικά και χωρίς περιορισμό, για την:
-Ασφάλεια και προστασία «του Οργανισμού»
-Εκπλήρωση των σκοπών «του Οργανισμού»
-Ασφάλεια και προστασία των εγκαταστάσεων «του Οργανισμού» και των χρηστών
-Ασφάλεια και προστασία προσωπικού
- Για σκοπούς επιστημονικής ή ιστορικής έρευνας και για στατιστικούς σκοπούς
- Με βάση τη συναίνεση του προσωπικού «του Οργανισμού».
Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας με τον Υπεύθυνο Προστασίας.
ΙΙ.γ Για πόσο χρονικό διάστημα «ο Οργανισμός» διατηρεί τα δεδομένα του προσωπικού του
Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται για πέντε (5) χρόνια μετά τη συμπλήρωση του έτους στο οποίο έλαβε χώρα η λύση της σχέσεως εργασίας
Στην περίπτωση που ένας υποψήφιος για την θέση «του προσωπικού» δεν είναι αποδεκτός, τα προσωπικά δεδομένα αυτού θα καταστρέφονται το συντομότερο δυνατό κατά τις επιταγές του νόμου και χωρίς να μένουν ίχνη.
«Ο Οργανισμός» μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο
Α.) για λόγους εξασφάλισης των νομικών και οικονομικών του συμφερόντων.
Β) εάν υφίσταται σχετική υποχρέωση από την φορολογική και ασφαλιστική νομοθεσία.
Γ) για λόγους πρακτικούς ως προς την διαδικασία της εκκαθάρισης των αρχείων
Δ) για ενδεχόμενη μελλοντική απασχόληση του «υποκειμένου των δεδομένων». Στην περίπτωση αυτή θα πρέπει να το «υποκείμενο των δεδομένων» να έχει συναινέσει στη διατήρηση των προσωπικών του δεδομένων
Στις ανωτέρω περιπτώσεις «ο Οργανισμός», έχει διασφαλίσει
α.) ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών του δεδομένων και
β.)ότι τα διατηρούμενα προσωπικά δεδομένα επικαιροποιούνται κατά τακτά χρονικά διαστήματα ώστε να είναι διασφαλισμένη η ακρίβεια αυτών.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, θα πρέπει να διαγραφούν,- στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και να καταστραφούν όσα τηρούνται σε έγχαρτη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων»
ΙΙδ. Με ποιους μοιράζεται ο «Οργανισμός» τα προσωπικά δεδομένα «του προσωπικού»
Καμία πληροφορία σχετικά με τα δεδομένα προσωπικού χαρακτήρα των «υποκειμένων δεδομένων» δεν αποκαλύπτεται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον νομικό πλαίσιο και όταν απαιτείται για την εκπλήρωση των σκοπών της απασχόλησης.
Οι περιπτώσεις αυτές είναι :
α.) Όταν «ο Οργανισμός» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό του «Οργανισμού») υποχρεούται νομίμως να το πράξει ή όταν η γνωστοποίηση απαιτείται για λόγους συμμόρφωσης με το νομικό πλαίσιο που διέπει τον «Οργανισμό» ( Δημόσιες αρχές κ.λπ.)
β.) Όταν «ο Οργανισμός» έχει συμβατική υποχρέωση να το πράξει (με λογιστικές εταιρείες, με it εταιρείες, εταιρείες κινητής τηλεφωνίας, τράπεζες, για την μισθοδοσία, με ταξιδιωτικούς Πράκτορες, κ.λπ.)
γ.) Όταν για λόγους νόμιμου συμφέροντος «του Οργανισμού» απαιτείται η αποκάλυψη πληροφοριών (σε δικηγόρους, συμβούλους, δικαστικούς επιμελητές κλπ.).
δ.) Όταν η γνωστοποίηση γίνεται κατόπιν αιτήσεώς του υποκειμένου των δεδομένων ή με τη συναίνεσή του ή για την ικανοποίηση των συμβατικών υποχρεώσεων προς το προσωπικό.
ε.) Όταν το ίδιο το «υποκείμενο των δεδομένων», ζητά να μοιραστεί «ο Οργανισμός» τα δεδομένα του με τρίτους.
στ.)όταν υποχρεούται από δημόσιες ελεγκτικές και δικαστικές Αρχές
IΙΙ. Kαταγραφή Προσωπικών Δεδομένων στα Αρχεία Δραστηριοτήτων
Ο «Οργανισμός» διατηρεί σε έντυπη μορφή καθώς και ηλεκτρονικά τα αρχεία των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Σε αυτά τα αρχεία αναφέρεται και τεκμηριώνεται ποια προσωπικά δεδομένα υπάρχουν, από που προέρχονται και με ποιους μοιράζονται, πού φυλάσσονται, σε τι μορφή διατηρούνται, ποιος είναι ο λόγος και η νόμιμη βάση για την κατοχή τους, αν υπάρχει συγκατάθεση για τη διατήρησή τους
Επίσης από τα αρχεία αυτά προκύπτει ότι τα προσωπικά δεδομένα του προσωπικού του «Οργανισμού» υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, για περιορισμένους σκοπούς, δηλαδή συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο που δεν συμβιβάζεται με τους σκοπούς αυτούς, είναι επαρκή, σχετικά και περιορισμένα σε ό, τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, είναι ακριβή και ενημερωμένα, δεν διατηρούνται για μεγαλύτερο χρονικό διάστημα από το αναγκαίο, και σε περίπτωση μεταφοράς υπάρχει επαρκής προστασία.
ΙV. Μεταφορά Δεδομένων
«Ο Οργανισμός» μπορεί να μεταφέρει προσωπικά δεδομένα των υποκειμένων δεδομένων εντός και εκτός της Ευρωπαϊκής Ένωσης στις ακόλουθες περιπτώσεις
-Όταν το «υποκείμενο των δεδομένων» έχει συναινέσει ρητώς, στην προτεινόμενη μεταφορά,
-Όταν η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης,
-Όταν η μεταφορά αυτή είναι απαραίτητη για την έγερση, άσκηση, υποστήριξη νομικών αξιώσεων ή υπεράσπιση των δικαιωμάτων «του Οργανισμού»
-Όταν υπάρχει υποχρέωση βάσει διατάξεων της Ελληνικής Νομοθεσίας ή διεθνούς σύμβασης.
-Όταν η Ευρωπαϊκή Επιτροπή έχει εκδώσει κατ’εξουσιοδότηση πράξεις για την επαρκή προστασία των προσωπικών δεδομένων στη συγκεκριμένη χώρα ή σε διεθνή οργανισμό.
-Όταν η μεταφορά είναι απαραίτητη για λόγους δημοσίου συμφέροντος,
-Όταν η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του «υποκειμένου των δεδομένων» ή άλλων προσώπων, όταν το «υποκείμενο των δεδομένων» είναι φυσικά ή νομικά ανίκανο να δώσει συγκατάθεση.
V. Κύρια δικαιώματα του «υποκειμένου των δεδομένων»
Τα ακόλουθα είναι τα κύρια δικαιώματα που έχει το «υποκείμενο των δεδομένων» σύμφωνα με τις διατάξεις του ΓΚΠΔ καθώς και κάθε άλλη σχετική νομοθεσία αναφορικά με την προστασία των δεδομένων:
- Πληροφορίες και δικαίωμα πρόσβασης σε προσωπικά δεδομένα
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει πρόσβαση στα προσωπικά του δεδομένα.
Αυτό επιτρέπει «στο υποκείμενο των δεδομένων» να διορθώσει ελλιπή ή ανακριβή δεδομένα που διατηρεί «ο Οργανισμός» για αυτό, και ίσως χρειαστεί να επαληθευτεί η ακρίβεια των νέων δεδομένων.
Τα αιτήματα πρόσβασης «του υποκειμένου των δεδομένων» υποβάλλονται εγγράφως.
Τυποποιημένες φόρμες παρέχονται «στο υποκείμενο των δεδομένων» και διατίθενται και στην ιστοσελίδα «του Οργανισμού».
Όταν το άτομο που διαχειρίζεται τη διαδικασία πρόσβασης (Υπεύθυνος Προστασίας Δεδομένων) δεν γνωρίζει προσωπικά «το υποκείμενο των δεδομένων», πρέπει να ακολουθείται η διαδικασία ελέγχου της ταυτότητας του πριν από την παράδοση οποιωνδήποτε πληροφοριών.
- Δικαίωμα διόρθωσης
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση των προσωπικών δεδομένων που διατηρούνται από «τον Οργανισμό». Με αυτό το δικαίωμα «το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση οποιωνδήποτε ελλιπών ή ανακριβών δεδομένων και «ο Οργανισμός» μπορεί να χρειαστεί να επαληθεύσει την ακρίβεια των νέων δεδομένων που παρέχονται.
Τα αιτήματα διόρθωσης «του υποκειμένου των δεδομένων» υποβάλλονται εγγράφως.
Τυποποιημένες φόρμες παρέχονται «στο υποκείμενο των δεδομένων» και διατίθενται και στην ιστοσελίδα «του Οργανισμού».
Όταν το άτομο που διαχειρίζεται τη διαδικασία διόρθωσης (ΥΠΔ) δεν γνωρίζει προσωπικά «το υποκείμενο των δεδομένων», πρέπει να ακολουθείται η διαδικασία ελέγχου της ταυτότητας του πριν από την διόρθωση των τηρουμένων αρχείων.
- Δικαίωμα διαγραφής
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να διαγράψει τα προσωπικά δεδομένα που διατηρούνται από «τον Οργανισμό» όταν δεν υπάρχει κανένας βάσιμος λόγος για «τον Οργανισμό» να συνεχίσει την επεξεργασία τους.
Σε τέτοιες περιπτώσεις, «ο Οργανισμός» δικαιούται να διατηρεί τα δεδομένα εάν εξακολουθεί να έχει νόμιμους λόγους να επεξεργάζεται τα προσωπικά δεδομένα.
Τα αιτήματα διαγραφής «του υποκειμένου των δεδομένων» υποβάλλονται εγγράφως.
Τυποποιημένες φόρμες παρέχονται «στο υποκείμενο των δεδομένων» και διατίθενται και στην ιστοσελίδα «του Οργανισμού».
Όταν το άτομο που διαχειρίζεται τη διαδικασία διόρθωσης (ΥΠΔ) δεν γνωρίζει προσωπικά «το υποκείμενο των δεδομένων», πρέπει να ακολουθείται η διαδικασία ελέγχου της ταυτότητας του πριν από την διαγραφή των τηρουμένων αρχείων.
- Δικαίωμα περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει από τον «υπεύθυνο επεξεργασίας» τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από «το υποκείμενο των δεδομένων», για περίοδο που επιτρέπει στον «υπεύθυνο επεξεργασίας» να επαληθεύει την ακρίβεια των προσωπικών δεδομένων
β) η επεξεργασία είναι παράνομη και «το υποκείμενο των δεδομένων» αντιτίθεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί αντί αυτού τον περιορισμό της χρήσης τους ·
γ) ο «υπεύθυνος επεξεργασίας» δεν χρειάζεται πλέον τα προσωπικά δεδομένα για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από το «υποκείμενο των δεδομένων» για την έγερση, άσκηση ή υπεράσπιση νομικών αξιώσεων ·
δ) «το υποκείμενο των δεδομένων» έχει αντιταχθεί στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του «υπευθύνου επεξεργασίας» υπερισχύουν αυτών «του υποκειμένου των δεδομένων».
- Δικαίωμα στη φορητότητα των δεδομένων
«Το υποκείμενο των δεδομένων» δύναται να ζητήσει τη μεταφορά των προσωπικών του δεδομένων σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και στο βαθμό που αυτό δεν θα υπονομεύσει τα δικαιώματα άλλων «υποκειμένων». Η αίτηση υποβάλλεται εγγράφως και «ο Οργανισμός» οφείλει να απαντήσει εντός ενός μηνός (με παρατάσεις για ορισμένες περιπτώσεις) και κάθε πρόθεση μη συμμόρφωσης πρέπει να αιτιολογείται.
Στην συγκεκριμένη περίπτωση εξετάζεται εάν τα δεδομένα σχετίζονται με περισσότερα από ένα «υποκείμενο δεδομένων» και ο τρόπος αντιμετώπισης των δυσκολιών που αυτό δημιουργεί.
«Ο Οργανισμός» έχει αναπτύξει δυνατότητες μορφοποίησης για να ικανοποιηθούν αιτήματα πρόσβασης για την παροχή φορητών δεδομένων.
Τυποποιημένες φόρμες παρέχονται «στο υποκείμενο των δεδομένων» και διατίθενται και στην ιστοσελίδα «του Οργανισμού».
- Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων
«Ο Οργανισμός» δεν λαμβάνει αποφάσεις βάσει αυτοματοποιημένης επεξεργασίας.
- Δικαίωμα απόσυρσης συναίνεσης
«Το υποκείμενο των δεδομένων» μπορεί ανά πάσα στιγμή και χωρίς χρέωση να ανακαλέσει οποιαδήποτε συναίνεση παρείχε προηγουμένως σχετικά με την επεξεργασία των Προσωπικών του Δεδομένων.
Αυτό δεν θα επηρεάσει τη νομιμότητα της επεξεργασίας πριν την ανάκληση της συναίνεσης. Επίσης δεν θα επηρέασει την δυνατότητα «του Οργανισμού» να συνεχίσει την επεξεργασία των προσωπικών δεδομένων που αφορούν το συγκεκριμένο υποκείμενο εάν συντρέχουν άλλοι νόμιμοι λόγοι κατά τα προβλεπόμενα στους όρους ΙΙβ της παρούσας.
- Δικαίωμα υποβολής καταγγελίας
«Το υποκείμενο των δεδομένων» έχει δικαίωμα να υποβάλει στον Υπεύθυνο Προστασίας Δεδομένων του «Οργανισμού» ή στην Αρχή Προστασίας Δεδομένων, καταγγελία σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά του στοιχεία εάν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν παραβιάζει τον Γενικό Κανονισμό Προστασίας Δεδομένων και την εγχώρια νομοθεσία.
- VI. Υποχρεώσεις «Οργανισμού» αναφορικά με τον τρόπο επεξεργασίας των προσωπικών δεδομένων
- Περιορισμός της φυσικής πρόσβασης του προσωπικού του «Οργανισμού» στην προβολή / επεξεργασία δεδομένων του υποκειμένου. Ακεραιότητα/ Εμπιστευτικότητα
- Σύμφωνα με την αρχή της ακεραιότητας / εμπιστευτικότητας, τα δεδομένα
υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζεται η ασφάλεια αυτών και χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα ώστε να είναι εξασφαλισμένα από παράνομη επεξεργασία από τυχαία απώλεια, καταστροφή ή ζημία ή από χρήση από μη εξουσιοδοτημένα άτομα.
- Τα δεδομένα δεν μοιράζονται άτυπα με τα άλλα τμήματα ή Διευθύνσεις.
- Τα προσωπικά δεδομένα που μεταφέρονται από και προς τις εγκαταστάσεις «του
Οργανισμού» και αντιστρόφως, διαβιβάζονται μόνο στους αρμόδιους υπαλλήλους και στα αρμόδια τμήματα και όχι σε μη ελεγχόμενη ομάδα προσωπικού ή σε οποιονδήποτε άλλον παραλήπτη ή σε τμήματα ή Διευθύνσεις «του Οργανισμού» που οι αρμοδιότητες τους δεν σχετίζονται με την επεξεργασία των δεδομένων .
- Τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένους ανθρώπους,
είτε εντός «του Οργανισμού» είτε εξωτερικά.
- Οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα υπόκεινται
σε υποχρέωση εμπιστευτικότητας και οι τρίτοι με αντίστοιχη πρόσβαση υπογράφουν συμφωνία τήρησης απορρήτου για την προστασία ιδιωτικών ή εμπιστευτικών πληροφοριών ώστε να μην δημοσιοποιηθούν ή να γίνουν ευρέως γνωστές.
- Το προσωπικό «του Οργανισμού» εκπαιδεύεται περιοδικά για να κατανοεί τις ευθύνες
του κατά τη διαχείριση των δεδομένων
- Ακολουθούνται διαδικασίες κατά την αποχώρηση υπαλλήλου από «τον Οργανισμό»
(κατάργηση λογαριασμών, κωδικών, απαγόρευση πρόσβασης κλπ)
- Οδηγίες ασφαλείας / προστασίας αποθήκευσης για έντυπα και ηλεκτρονικά αρχεία – Επικοινωνία με δεδομένα και ευαίσθητα δεδομένα
- Τα έντυπα αρχεία τα οποία περιέχουν προσωπικά δεδομένα ασφαλίζονται σε
κλειδωμένα ντουλάπια.
- Εχουν θεσπιστεί:
α)Κατάλληλα μέτρα ψηφιακής ασφάλειας / οργάνωσης για τον έλεγχο και τη διαχείριση της πρόσβασης στο ηλεκτρονικό σύστημα αρχειοθέτησης.
β)Διαδικασίες δημιουργίας αντιγράφων ασφαλείας, προστασίας υπολογιστών, ασφαλούς χρήσης αποσπώμενων μέσων και σχεδιασμός έκτακτης ανάγκης και ανάκαμψης από καταστροφές
- Χρησιμοποιούνται ισχυροί κωδικοί πρόσβασης που δεν γνωστοποιούνται
- Απαγορεύεται η ελεύθερη πρόσβαση στο computer room.
- Λαμβάνονται μέτρα φυσικής φύλαξης των εγκαταστάσεων «του Οργανισμού» και
προστασίας από φυσικές καταστροφές
- Εφαρμόζεται πολιτική “τακτοποιήστε και κλειδώσετε”, η οποία σημαίνει πρακτική του
“να διατηρείται το γραφείο καθαρό” και “η οθόνη του υπολογιστή κλειδωμένη” όταν ο «υπάλληλος» είναι μακριά από το γραφείο του.
- Οι εργαζόμενοι εκπαιδεύονται πως θα διατηρούν όλα τα δεδομένα ασφαλή,
λαμβάνοντας λογικές προφυλάξεις.
- Χρησιμοποιούνται εργαλεία κρυπτογράφησης όταν μεταφέρονται ευαίσθητα δεδομένα
μέσω ηλεκτρονικού ταχυδρομείου.
- Εφαρμόζονται τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι τα μέτρα
συμμόρφωσης για την προστασία των προσωπικών δεδομένων εξετάζονται και ενσωματώνονται στις δραστηριότητες επεξεργασίας δεδομένων (προστασία της ιδιωτικής ζωής εκ του σχεδιασμού), όπως:
(α)Η ελαχιστοποίηση της αναφοράς δεδομένων προσωπικού χαρακτήρα μέσω ηλεκτρονικού ταχυδρομείου ή σε έντυπα.
(β) Ασφάλεια στον κυβερνοχώρο.
(γ) Η Κρυπτογράφηση και η Ψευδωνυμοποίηση
- Λαμβάνονται μέτρα προστασίας των επικοινωνιών
VII. Επικοινωνία «Οργανισμού» με τα «υποκείμενα των δικαιωμάτων» για τα δικαιώματα και τις υποχρεώσεις τους
Η Πολιτική Προστασίας Προσωπικών Δεδομένων «του Οργανισμού» θα είναι διαθέσιμη στην ιστοσελίδα του «Οργανισμού» .
Οιαδήποτε τροποποίηση της θα αναρτάται στην ιστοσελίδα «του Οργανισμού».
Αποτελεί σύσταση «του Οργανισμού» προς το «υποκείμενο των δεδομένων» να επισκέπτεται περιοδικά το δικτυακό τόπο «του Οργανισμού» για να ενημερώνεται για τον τρόπο με τον οποίο «ο Οργανισμός» προστατεύει και επεξεργάζεται τις προσωπικές πληροφορίες των «υποκειμένων των δεδομένων» σύμφωνα με τον ΓΚΠΔ .