Πολιτική Απορρήτου
1.1.Σκοπός
Σκοπός του παρόντος κειμένου είναι να περιγράψει την πολιτική που ακολουθεί η Εθνική Αναλογιστική Αρχή (Ε.Α.Α.) για να διασφαλίσει την προστασία των προσωπικών δεδομένων που επεξεργάζεται.
1.2.Εξαιρέσεις - Πεδίο εφαρμογής
Το αντικείμενο αυτού του εγγράφου περιλαμβάνει την πολιτική που ακολουθεί η Ε.Α.Α. για την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτή λαμβάνει χώρα είτε σε ψηφιακή είτε σε έντυπη μορφή μέσω ενός διαρθρωμένου συστήματος αρχειοθέτησης σε συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (Γ.Κ.Π.Δ.). Το κείμενο αποτελεί μέρος της συμμόρφωσης της Ε.Α.Α. με τον Γ.Κ.Π.Δ. Αυτή η πολιτική απευθύνεται στο προσωπικό και τους εξωτερικούς συνεργάτες της Ε.Α.Α., ενώ παράλληλα απευθύνεται στους πολίτες οι οποίοι έρχονται σε επαφή με αυτήν στο πλαίσιο οιονδήποτε συναλλαγών, αιτημάτων ή επικοινωνίας.
1.3.Πολιτική Προστασίας Προσωπικών Δεδομένων
1.3.1. Δήλωση Εφαρμογής
H εφαρμογή του Γ.Κ.Π.Δ. αποτελεί προτεραιότητα για την Ε.Α.Α. Ως δεδομένα προσωπικού χαρακτήρα νοείται: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για παράδειγμα σε αυτές τις πληροφορίες περιλαμβάνονται, ενδεικτικά, το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο κώδικας διαδικτυακού πρωτοκόλλου (IP), οι πληροφορίες για την εργασιακή κατάσταση, και άλλα. Τα δεδομένα ειδικών κατηγοριών, δηλαδή τα δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και τα γενετικά δεδομένα, τα βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, τα δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό, λαμβάνουν ειδικότερη προστασία. Οι κανόνες προστασίας ισχύουν όταν η συλλογή, η χρήση, η αποθήκευση, και κάθε άλλη πράξη επί των δεδομένων των φυσικών προσώπων γίνεται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Η πολιτική αυτή είναι σύμφωνη με τον Γενικό Κανονισμό για την Προστασία Δεδομένων της Ε.Ε. και το ισχύον εσωτερικό δίκαιο, καθώς και με τις γνωμοδοτήσεις, οδηγίες, κατευθυντήριες γραμμές, συστάσεις και αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
1.3.2. Ορισμοί
- «Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
- «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
- «Περιορισμός της Επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
- «Σύστημα Αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
- «Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
- «Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
- «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
- «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
- «Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
- «Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
- «Δεδομένα Ειδικών Κατηγοριών»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
- «Ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
1.3.3. Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα που συλλέγονται
Η Εθνική Αναλογιστική Αρχή στο πλαίσιο των δραστηριοτήτων της και της λειτουργίας της χάριν του δημοσίου συμφέροντος, συλλέγει δεδομένα προσωπικού χαρακτήρα πολιτών που εμπίπτουν στις αρμοδιότητές της, όσο και των εργαζομένων, των εν γένει συνεργατών της, αλλά και λοιπών φυσικών προσώπων με τα οποία συναλλάσσεται στο πλαίσιο των αρμοδιοτήτων της. Ανάλογα με τη μορφή και τον σκοπό επεξεργασίας ανά αρμοδιότητα, Η Εθνική Αναλογιστική Αρχή συλλέγει, και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως ενδεικτικά τα ακόλουθα:
Πολίτες / Εργαζόμενοι
Δεδομένα πολιτών/εργαζομένων και συνταξιούχων του ιδιωτικού και του δημόσιου φορέα τα οποία συλλέγει, οργανώνει, επεξεργάζεται και αξιολογεί για την εκπλήρωση της αποστολής της. Αυτά μπορεί να περιλαμβάνουν:
- Στοιχεία ταυτότητας και δημογραφικά (ονοματεπώνυμο, πατρώνυμο, φύλο, ημερομηνία γέννησης κ.λπ.),
- Στοιχειά ασφάλισης (ΑΜΚΑ ή ΑΥΠΑ, αριθμό και κατηγορία ενσήμων, κατηγορία σύνταξης, ασφαλιστικές εισφορές, φορέας ασφάλισης, επιδόματα, παλαιός και νέος ασφαλισμένος, ποσοστά αναπηρίας, ημερομηνία αίτησης για συνταξιοδότηση, ασφαλιστικη κλάση, κ.α. ),
- Στοιχεία επικοινωνίας (ταχυδρομική διεύθυνση, τηλέφωνο, email κ.λπ.), Δεδομένα υγείας (ιατρικές βεβαιώσεις και γνωματεύσεις, κ.λπ.),
- Οικονομικά στοιχεία (κατηγορία και ποσά συντάξεων, μισθολογικά ποσά, κρατήσεις, τραπεζικοί λογαριασμοί, εκκαθαριστικά εφορίας κ.λπ.),
- Στοιχεία οικογενειακής κατάστασης (οικογενειακή κατάσταση, ημερομηνία γέννησης συζύγου, προστατευόμενα μέλη, ημερομηνία γέννησης προστατευόμενων μελών κ.ο.κ.
- Στοιχεία επαγγελματικής κατάστασης (πληροφορίες αναφορικά με τις ημέρες ασφάλισης, κ.α.) Τα παραπάνω στοιχεία εφόσον παρέχονται από τα ασφαλιστικά ταμεία παρέχονται σε ανωνυμοποιημένη μορφή ενώ η επεξεργασία πρωτογενών δεδομένων πραγματοποιείται μόνο κατόπιν παραχώρησης τους από τα ίδια τα υποκείμενα των δεδομένων για την ικανοποίηση αιτήματος τους.
Τα παραπάνω στοιχεία εφόσον παρέχονται από τα ασφαλιστικά ταμεία παρέχονται σε ανωνυμοποιημένη μορφή ενώ η επεξεργασία πρωτογενών δεδομένων πραγματοποιείται μόνο κατόπιν παραχώρησης τους από τα ίδια τα υποκείμενα των δεδομένων για την ικανοποίηση αιτήματος τους.
Προμηθευτές / Ανάδοχοι
Δεδομένα προμηθευτών/αναδόχων της Ε.Α.Α., εφόσον πρόκειται για φυσικά πρόσωπα ή για τους νόμιμους εκπροσώπους/αντιπροσώπους νομικών προσώπων Αυτά μπορεί να περιλαμβάνουν:
- Στοιχεία ταυτότητας και δημογραφικά (ονοματεπώνυμο, πατρώνυμο κ.λπ.).
- Στοιχεία επικοινωνίας (ταχυδρομική διεύθυνση έδρας, τηλέφωνο, Email κ.λπ.).
- Αντίγραφα Ποινικού Μητρώου.
- Οικονομικά στοιχεία (Βεβαίωση Φορολογικής Ενημερότητας, Βεβαίωση Ασφαλιστικής Ενημερότητας IBAN, Εγγυητικές Επιστολές, κλπ.).
- Επαγγελματικά και στοιχεία επιπέδου εκπαίδευσης (εκπαιδευτικό επίπεδο αναδόχων, πιστοποιήσεις, πρότερη εμπειρία).
Δεδομένα άλλων φυσικών προσώπων
Δεδομένα άλλων φυσικών προσώπων που επισκέπτονται υποδομές της Ε.Α.Α. ή συνεργάζονται με αυτή.
Εργαζόμενοι (Ενεργοί και μη) / Υποψήφιοι Εργαζόμενοι
Δεδομένα εργαζομένων της Ε.Α.Α., υπό οποιαδήποτε εργασιακή σχέση καθώς και δεδομένα πρώην και υποψήφιων εργαζομένων, τα οποία τηρούνται σε υπηρεσιακούς φακέλους ή και τυχόν άλλων υπηρεσιών για σκοπούς λειτουργίας της εργασιακής σχέσης τους με την Ε.Α.Α. Αυτά μπορεί να περιλαμβάνουν:
- Στοιχεία ταυτότητας και δημογραφικά (ονοματεπώνυμο, πατρώνυμο κ.λπ.),
- Στοιχεία ασφάλισης (ΑΜΚΑ και λοιπά στοιχεία Μητρώου Φορέα Κοινωνικής Ασφάλισης αν απαιτούνται),
- Στοιχεία επικοινωνίας (ταχυδρομική διεύθυνση, τηλέφωνο, Email κ.λπ.),
- Δεδομένα υγείας (ιατρικές βεβαιώσεις και γνωματεύσεις, αναρρωτικές άδειες κ.λπ.),
- Οικονομικά στοιχεία (τραπεζικοί λογαριασμοί, εκκαθαριστικά εφορίας,
- Περιουσιακά στοιχεία (δήλωση Πόθεν Έσχες)
- Στοιχεία οικογενειακής κατάστασης (βεβαιώσεις και πιστοποιητικά, αριθμός και στοιχεία τέκνων κ.ο.κ.)
1.3.4. Σκοποί και Νομικές Βάσεις Επεξεργασίας
Η Εθνική Αναλογιστική Αρχή στο πλαίσιο των σχετικών με τις αρμοδιότητές της και της λειτουργίας της χάριν δημοσίου συμφέροντος, δύναται να συλλέγει, να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πολιτών και των άλλων φυσικών προσώπων τα οποία αναφέρθηκαν στην ανωτέρα παράγραφο εργαζομένων, και εν γένει συνεργατών της.
Επί της αρχής, η Ε.Α.Α. ενδέχεται να συλλέγει, επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για τους κάτωθι σκοπούς με τις αντίστοιχες νομικές βάσεις επεξεργασίας:
Σκοπός Επεξεργασίας | Νομικές Βάσεις |
Την λειτουργία της Ε.Α.Α. σε όλους τους τομείς αρμοδιοτήτων της, καθώς και η μελέτη, εκμετάλλευση, διοίκηση, διαχείριση Συστημάτων Πληροφορικής και Επικοινωνιών, εξοπλισμού, λογισμικού και υπηρεσιών αντίστοιχα. |
|
Την σύνταξη αναλογιστικών εκθέσεων στα πλαίσια του μακροχρόνιου οικονομικού και χρηματοδοτικού σχεδιασμού για την εξασφάλιση της κοινωνικής ανταποδοτικότητας και της βιωσιμότητας του Συστήματος Κοινωνικής Ασφάλισης |
|
Την παρακολούθηση της πορείας των αναλογιστικών δεδομένων και την γνωμοδότηση για ειδικότερα θέματα ασφαλιστικής αποτίμησης των ασφαλιστικών οργανισμών που έχουν μορφή Ν.Π.Δ.Δ., των ασφαλιστικών οργανισμών που έχουν μορφή Ν.Π.Ι.Δ. και υπάγονται στο Ν.3029/2002 και κάθε άλλου ασφαλιστικού οργανισμού που τελεί υπό την εποπτεία του Υπουργού Εργασίας και Κοινωνικών Υποθέσεων ή άλλου Υπουργού. |
|
Την σύνταξη ετήσιων εκθέσεων για καθένα από τους ασφαλιστικών οργανισμών που έχουν μορφή Ν.Π.Δ.Δ., των ασφαλιστικούς οργανισμούς που έχουν μορφή Ν.Π.Ι.Δ. και υπάγονται στο Ν.3029/2002 και κάθε άλλου ασφαλιστικού οργανισμού που τελεί υπό την εποπτεία του Υπουργού Εργασίας και κοινωνικών Υποθέσεων ή άλλου Υπουργού. |
|
Τον καθορισμό προδιαγραφών εκπόνησης αναλογιστικών μελετών. | Συμμόρφωση με έννομη υποχρέωση [αρθ. 6 §1 περ. γ) Γ.Κ.Π.Δ.] |
Την σύνταξη των ελληνικών αναλογιστικών πινάκων |
|
Τη διατύπωση γνώμης για τις προοπτικές οικονομικής βιωσιμότητας εν όψει προτάσεων ίδρυσης ασφαλιστικών οργανισμών που έχουν μορφή Ν.Π.Δ.Δ., των ασφαλιστικών οργανισμών που έχουν μορφή Ν.Π.Ι.Δ. και υπάγονται στο Ν.3029/2002 και κάθε άλλου ασφαλιστικού οργανισμού που τελεί υπό την εποπτεία του Υπουργού Εργασίας και κοινωνικών Υποθέσεων ή άλλου Υπουργού. |
|
Τη διενέργεια τακτικών και εκτάκτων αναλογιστικών ελέγχων των ασφαλιστικών οργανισμών που υπάγονται στο Ν.3029/2002. |
|
Τη συλλογή, οργάνωση, επεξεργασία και αξιολόγηση των απαραίτητων δεδομένων για την εκπλήρωση της αποστολής της. |
|
Ανταπόκριση σε αιτήματα πολιτών αναφορικά με την κοινωνική ασφάλιση |
|
Την συνεργασία με τις αντίστοιχες αρχές άλλων κρατών ή διεθνών και ευρωπαϊκών οργάνων και τη συμμετοχή σε δραστηριότητες αυτών |
|
Συλλογή και επεξεργασία των αναγκαίων δεδομένων εργαζομένων ή/και υποψήφιων εργαζομένων και συνεργατών της Ε.Α.Α. για την δέουσα εξυπηρέτηση υφιστάμενων εργασιακών σχέσεων ή σχέσεων συνεργασίας ή την εξέταση ενδεχόμενης μελλοντικής συνεργασίας |
|
ια κάθε άλλη μορφή επεξεργασίας, η Ε.Α.Α. ζητά ειδική γραπτή, ελεύθερη και κατόπιν προγενέστερης ενημέρωσης συγκατάθεση των υποκειμένων πριν την έναρξη της επεξεργασίας, εφόσον απαιτείται.
Η αναφορά σε περισσότερες της μίας νομικών βάσεων επεξεργασίας, δεν έχει την έννοια ότι η Ε.Α.Α. προβαίνει σε αλλαγή αυτών (lawful basis swapping) υποσκάπτοντας τα δικαιώματα των υποκειμένων των δεδομένων, αλλά ότι υφίστανται περιπτώσεις που είναι εφαρμοστέες περισσότερες από μία νόμιμες βάσεις επεξεργασίας.
Περαιτέρω και καθότι η Εθνική Αναλογιστική Αρχή εντάσσεται στον Υποτομέα της Κεντρικής Κυβέρνησης (σύμφωνα με το αρ.14 του ν.4270/2014 αλλά και το Μητρώο Υπηρεσιών και Φορέων της Ελληνικής Διοίκησης), συνεφαρμόζεται μετά το πέρας μιας επεξεργασίας η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, η οποία δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 5 παρ.1 περιπτ. β’ και αρ. 89 παράγραφος 1 του Γ.Κ.Π.Δ. Τέλος η Ε.Α.Α. δε χρησιμοποιεί ως κύρια νομική βάση επεξεργασίας τη συγκατάθεση των υποκειμένων των δεδομένων (είτε πρόκειται για απλά δεδομένα είτε για ειδικών κατηγοριών), σύμφωνα με τις συστάσεις της Ομάδας Εργασίας του Αρ.29 (πλέον Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων).
Σε εξαιρετικές περιπτώσεις δύναται να ζητηθεί η συγκατάθεση των υποκειμένων ως νόμιμη βάση επεξεργασίας (πχ για αποστολή ενημερωτικών μηνυμάτων για συμμετοχή σε εκδηλώσεις ή για παροχή επιπλέον υπηρεσιών) όταν η επεξεργασία δεν δύναται να συντελεστεί υπό διαφορετική νόμιμη βάση. Και σε αυτές τις περιπτώσεις τα υποκείμενα ενημερώνονται προγενεστέρως και κατάλληλα, πριν να παράσχουν τη συγκατάθεσή τους, και διατηρούν πλήρη δικαιώματα, μεταξύ άλλων και ανάκλησης της συγκατάθεσης.
1.3.5. Διαβίβαση/Κοινοποίηση δεδομένων σε τρίτα μέρη
Τα προσωπικά δεδομένα που συλλέγονται ενδέχεται να κοινοποιούνται ή διαβιβάζονται σε τρίτους, εφόσον αυτό επιβάλλεται για την εκπλήρωση υποχρεώσεων από το νόμο τηρουμένων των εγγυήσεων της οικείας νομοθεσίας. Δικαιώματα Φυσικών Προσώπων Η Ε.Α.Α. σέβεται τα δικαιώματα των φυσικών προσώπων αναφορικά με την προστασία των προσωπικών δεδομένων τους. Τα φυσικά πρόσωπα έχουν το δικαίωμα να:
- Ενημερώνονται σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
- Aποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν.
- Zητούν τη διόρθωση εσφαλμένων, ανακριβών ή τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.
- Yποβάλλουν αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη. Εφόσον εφαρμόζεται ως νομική βάση επεξεργασίας το αρ.6 παρ.1 περιπτ. ε’ ΓΚΠΔ (επεξεργασία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας και το αρ.9 παρ.2 περιπτ. β’, ζ, ι) στις περισσότερες επεξεργασίες της Ε.Α.Α., το δικαίωμα διαγραφής είναι περιορισμένο και θα κριθεί κατά περίπτωση υπό τις νόμιμές προϋποθέσεις. Άλλωστε σύμφωνα με την αιτιολογική σκέψη 4 του Γ.Κ.Π.Δ. το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας.
- Εναντιώνονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους, υπό την επιφύλαξη του αρ.21 παρ.6 ΓΚΠΔ.
- Υποβάλλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις.
- Υποβάλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (λεωφ. Κηφισίας 1-3, 11523 Αμπελόκηποι, τηλ. 210.647.5600, www.dpa.gr) ή στην εποπτική αρχή του κράτους μέλους της ΕΕ όπου διαμένουν ή εργάζονται ή στην εποπτική αρχή του τόπου της εικαζόμενης παράβασης.
1.3.6. Επικοινωνία Φυσικών Προσώπων
Τα ανωτέρω δικαιώματα καθώς και κάθε δικαίωμα σχετικά με τα προσωπικά δεδομένα, ασκούνται κατόπιν γραπτής αίτησης που κατατίθεται σε οποιοδήποτε σημείο που είναι προσβάσιμο από το κοινό, ή μέσω ηλεκτρονικής επικοινωνίας, αποστέλλοντας μήνυμα στο
1.3.7. Αρχές επεξεργασίας
Η Ε.Α.Α. τηρεί τις αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα (άρθρο 5 Γ.Κ.Π.Δ.):
- Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
- Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»).
- Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).
- Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
- Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»).
- Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
1.3.8. Αρχείο των δραστηριοτήτων επεξεργασίας
Η Ε.Α.Α. τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνη. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
- το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
- τους σκοπούς της επεξεργασίας,
- περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
- τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς Οργανισμούς,
- όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς Οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
- όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διαφόρων κατηγοριών δεδομένων,
- όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1
1.3.9. Ασφάλεια δεδομένων προσωπικού χαρακτήρα
Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Ε.Α.Α. εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με Γ.Κ.Π.Δ., υιοθετώντας και εφαρμόζοντας ολιστική πολιτική ασφάλειας των δεδομένων προσωπικού χαρακτήρα. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας από την Ε.Α.Α. λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Για την αποτροπή περίπτωσης παραβίασης δεδομένων προσωπικού χαρακτήρα, η Ε.Α.Α. ως υπεύθυνος επεξεργασίας έχει υιοθετήσει και εφαρμόζει πολιτική κατά επιθέσεων στα πληροφοριακά συστήματα που διαθέτει και διαχειρίζεται, καθώς και συγκεκριμένη πολιτική διαχείρισης τυχόν περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα.
1.3.10. Κατάρτιση προσωπικού
Η Ε.Α.Α. αποδέχεται ότι η προστασία των δεδομένων προσωπικού χαρακτήρα προϋποθέτει την ευαισθητοποίηση του ανθρώπινου δυναμικού της σχετικά με την προστασία των προσωπικών δεδομένων. Στην κατεύθυνση αυτή, αποδέχεται την υιοθέτηση και εφαρμογή των εξής αρχών:
- Προσανατολισμό της δέουσας εκπαίδευσης με εκμετάλλευση των Πρακτικών της Ορθής Πληροφόρησης (Fair Information Practices-FIP), που συμπυκνώνουν ένα σύνολο προτύπων που διέπουν τη συλλογή και χρήση των προσωπικών δεδομένων και την αντιμετώπιση θεμάτων ιδιωτικότητας και ακρίβειας. Σχετικά έχει συνταχθεί ειδικότερη πολιτική δέουσας εκπαίδευσης βάσει της οποίας προσδιορίζονται οι εκπαιδευτικοί στόχοι και η συχνότητα διεξαγωγής επιμορφώσεων.
- Κατανόηση της διαδικασίας ψευδωνυμοποίησης
- Η Ε.Α.Α. γενικότερα επιδιώκει την εκ μέρους του ανθρώπινου δυναμικού της συνειδητοποίηση βασικών εννοιών προστασίας δεδομένων προσωπικού χαρακτήρα.
1.3.11. Τροποποίηση
Η παρούσα πολιτική ενδέχεται να χρειαστεί τροποποίηση σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Σε περίπτωση που η τροποποίηση των υπόψη όρων είναι τέτοιας φύσης και έκτασης, ώστε να μην καλύπτεται από τους ανωτέρω όρους επεξεργασίας δεδομένων, η Ε.Α.Α. θα δημοσιοποιήσει την νέα έκδοση της πολιτικής.