Πολιτική Προστασίας Δ.Π.Χ.

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., ως πιστοποιημένος φορέας παροχής υπηρεσιών εκπαίδευσης και συμβουλευτικής, δίνει ιδιαίτερη σημασία στην προστασία των προσωπικών δεδομένων, όλων των προσώπων, που συνεργάζονται ή επικοινωνούν μαζί της, με οποιαδήποτε ιδιότητα, όπως ενδεικτικά εκπαιδευόμενοι, εκπαιδευτές, συνεργάτες, προμηθευτές, εργαζόμενοι κλπ. Για το λόγο αυτό λαμβάνει όλα τα κατάλληλα μέτρα, για να προστατέψει τα προσωπικά δεδομένα που επεξεργάζεται και να διασφαλίσει, ότι η επεξεργασία των προσωπικών δεδομένων πραγματοποιείται πάντοτε σύμφωνα με τις υποχρεώσεις που τίθενται από το νομικό πλαίσιο.

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. με έδρα το Κιλκίς, Δοϊράνης 56, email: [email protected] τηλ.: 2341029690, website: www.epimorfotiki.gr όπως νόμιμα εκπροσωπείται, γνωστοποιεί ότι, για τους σκοπούς άσκησης των εκπαιδευτικών δραστηριοτήτων της και υλοποίησης των πάσης φύσεως προγραμμάτων που αναλαμβάνει, προβαίνει σε συλλογή και επεξεργασία προσωπικών δεδομένων, στο πλαίσιο της συμμόρφωσης με την ισχύουσα εθνική νομοθεσία και τον Ευρωπαϊκό Κανονισμό 2016/679 (GDPR) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής «Κανονισμός») όπως ισχύει.

Παρακαλούμε να διαβάσετε προσεκτικά αυτούς τους όρους και τη σχετική Πολιτική Ασφάλειας και Προστασίας Προσωπικών Δεδομένων της Εταιρείας μας. Με τη χρήση των ιστοσελίδων μας και την υπογραφή της σχετικής δήλωσης συγκατάθεσης, αποδέχεστε ανεπιφύλακτα τις πρακτικές που περιγράφονται στην παρούσα και της οποίας οι όροι διέπουν εφεξής τη μεταξύ μας συμβατική σχέση και ενσωματώνονται στους όρους χρήσης της κάθε υπηρεσίας μας.

Τι είναι τα προσωπικά δεδομένα σας;

Στα προσωπικά δεδομένα σας ανήκει κάθε πληροφορία, σε χαρτί ή ηλεκτρονικό μέσο, η οποία είναι δυνατό να οδηγήσει, είτε απευθείας, είτε συνδυαστικά με άλλα δεδομένα, στην μοναδική σας αναγνώριση/ταυτοποίηση ή στον εντοπισμό σας ως φυσικό πρόσωπο. Στην κατηγορία αυτή ανήκουν κατά περίπτωση, στοιχεία όπως: ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, Α.Δ.Τ., φυσικές και ηλεκτρονικές διευθύνσεις σας (email), αριθμοί σταθερών και κινητών τηλεφώνων σας, στοιχεία παραληπτών μηνυμάτων SMS/MMS, στοιχεία τραπεζικών λογαριασμών, στοιχεία τραπεζικών/χρεωστικών/προπληρωμένων καρτών σας, αναγνωριστικά στοιχεία εξοπλισμού ή τερματικών συσκευών σας (υπολογιστή, smartphone, tablet), ιστορικό διαδικτυακών αναζητήσεών σας (log files, cookies κ.λπ.) και οποιαδήποτε άλλη πληροφορία επιτρέπει τη μοναδική ταυτοποίησή σας κατά τις διατάξεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ 769/2016), της εκάστοτε ισχύουσας ελληνικής νομοθεσίας και των αποφάσεων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Ποιες κατηγορίες προσωπικών δεδομένων συλλέγουμε και επεξεργαζόμαστε;

Τα προσωπικά δεδομένα που μας παρέχετε, όπως ενδεικτικά το ονοματεπώνυμο, email, κινητό/σταθερό τηλέφωνο, έτος γέννησης, μορφωτικό επίπεδο, διεύθυνση κατοικίας, τα επεξεργαζόμαστε μόνο όταν έχουμε νόμιμο λόγο να το κάνουμε.

Επεξεργαζόμαστε και προστατεύουμε τα προσωπικά σας δεδομένα, μόνο κατόπιν ρητής συγκατάθεσής σας, στα πλαίσια της σύννομης και σύμφωνα με το σχετικό Νομοθετικό και Κανονιστικό πλαίσιο για Φορείς Εκπαίδευσης – Κατάρτισης, πληροφορικής και συμβουλευτικής, συλλογής στοιχείων από εκπαιδεύσεις/ πιστοποιήσεις γνώσεων/τεχνικής υποστήριξης, στο πλαίσιο των ενεργειών Marketing, αλλά και στα πλαίσια της επικοινωνίας/υποστήριξης/πληροφόρησής σας καθώς και σε οποιαδήποτε άλλη δραστηριότητα της εταιρείας μας.

Ποιοι είναι οι νόμιμοι λόγοι συλλογής και επεξεργασίας των προσωπικών σας δεδομένων;

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. θα χρησιμοποιήσει τις πληροφορίες σας για ακόλουθους σύννομους σκοπούς επεξεργασίας, στο πλαίσιο της μεταξύ μας σύμβασης ή εφόσον μας έχετε δώσει ρητή και ειδική συγκατάθεσή σας (την οποία μπορείτε ελεύθερα να ανακαλέσετε οποτεδήποτε), ανά υπηρεσία.

Νόμιμοι λόγοι επεξεργασίας των προσωπικών σας δεδομένων συνιστούν:

(α) η παροχή των υπηρεσιών που μας αναθέτετε και επιθυμείτε να λάβετε από εμάς, όπως για παράδειγμα η συμμετοχή σε ένα πρόγραμμα κατάρτισης ανέργων/εργαζομένων ή πιστοποίησης (π.χ. πιστοποίηση Τεχνικού Ασφαλείας), η επαγγελματική συνεργασία (π.χ. σαν εκπαιδευτής, επιστημονικός συνεργάτης, ερευνητής, κ.λπ.) και κατά συνέπεια η εκπλήρωση των συμβατικών μας υποχρεώσεων στο πλαίσιο αυτό, δηλαδή των υπηρεσιών μας εκπαίδευσης/ συμβουλευτικής/αξιολόγησης.

(β) η συμμόρφωση με υποχρέωση που επιβάλλεται από το νόμο, όπως κανονιστική συμμόρφωση για φορολογικούς σκοπούς.

(γ) η χρήση σε εσωτερικές λειτουργίες και ανάλυση, όπως εσωτερική διαχείριση, πρόληψη έναντι απάτης, χρήση από πληροφοριακά συστήματα διοίκησης, τιμολόγησης, λογιστικής, χρέωσης και ελέγχου.

(δ) η συγκατάθεση που παρέχετε υπό τις συγκεκριμένες προϋποθέσεις, που θέτει το νομικό πλαίσιο, προκειμένου να λαμβάνετε ενημερώσεις για προγράμματα, υπηρεσίες, προσφορές κλπ. από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., η οποία επεξεργάζεται προσωπικά δεδομένα σύμφωνα με το ισχύον κάθε φορά πλαίσιο

(ε) στο πλαίσιο έρευνας για την καταγραφή εκπαιδευτικών αναγκών, αξιολόγησης σεμιναρίων, δράσεων και προγραμμάτων, ή/και της αγοράς εργασίας, ή/και στο πλαίσιο π.χ. ερευνών για την εκπαίδευση/κατάρτιση, το περιβάλλον, τον πολιτισμό την οικονομία, κ.λπ.

(στ) η υποβολή προτάσεων και υλοποίηση πάσης φύσεως προγραμμάτων (εθνικών ή ευρωπαϊκών, συγχρηματοδοτούμενων ή μη κλπ), με οποιαδήποτε ιδιότητα κι αν συμμετέχετε σε αυτά (ενδεικτικά, εταίροι, προμηθευτές κλπ).

 

Πώς και γιατί χρησιμοποιούμε τα προσωπικά δεδομένα σας;

Προσωπικά δεδομένα συλλέγονται:

(α)Κατά    την     εγγραφή     σας     σε    συγκεκριμένα     προγράμματα     κατάρτισης/ συμβουλευτικής, που υλοποιούνται από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε.

·         Ενημέρωση για νέα προγράμματα κατάρτισης που σας αφορούν

Τα δεδομένα που συλλέγουμε έντυπα ή μέσω της ιστοσελίδας μας www.epimorfotiki.gr, ενδέχεται να χρησιμοποιηθούν για να επικοινωνήσουμε μαζί σας για προωθητικούς και διαφημιστικούς σκοπούς, για να σας ενημερώσουμε για νέα προγράμματα κατάρτισης και προσφορές που μπορεί να σας ενδιαφέρουν, μέσω email, SMS, instant messaging ή τηλεφώνου, εφόσον έχετε δώσει τη συγκατάθεσή σας, υπό τις συγκεκριμένες προϋποθέσεις που θέτει το νομικό πλαίσιο. Σε κάθε περίπτωση θα σας ενημερώσουμε για το σκοπό για τον οποίο συλλέγουμε και επεξεργαζόμαστε τα στοιχεία που θα σας ζητηθούν.

·         Προσωποποιημένη ενημέρωση (profiling)

Θέλοντας να σας προσφέρουμε την καλύτερη δυνατή εμπειρία, τα προσωπικά δεδομένα που συλλέγουμε έντυπα ή μέσω της ιστοσελίδας μας www.epimorfotiki.gr, ενδέχεται να χρησιμοποιούνται για αποστολή προσωποποιημένων ενημερώσεων, εφόσον έχετε δώσει τη συγκατάθεσή σας, υπό τις συγκεκριμένες προϋποθέσεις που θέτει το νομικό πλαίσιο. H προσωποποίηση βάσει των αναγκών και των προτιμήσεών σας, προκύπτει από τα στοιχεία που αντλούμε από τα προσωπικά σας δεδομένα, όπως το επάγγελμα, η περιοχή κατοικίας κ.λπ., βάσει των διαθέσιμων προγραμμάτων που ίσως σας αφορούν.

(β)Κατά την υλοποίηση προγραμμάτων κατάρτισης στα οποία συμμετέχετε, ως συνεργάτες.

(γ)Κατά την υποβολή προτάσεων και κατά την υλοποίηση άλλων προγραμμάτων.

Τα προσωπικά δεδομένα που συλλέγονται, είναι τα απολύτως απαραίτητα για την συμμετοχή σας στο συγκεκριμένο πρόγραμμα και την εξυπηρέτηση του συγκεκριμένου σκοπού επεξεργασίας, ενώ στη συνέχεια η εταιρεία μας τα διαγράφει ή τα καταστρέφει. Μπορείτε ανά πάσα στιγμή να μας ρωτήσετε και να πληροφορηθείτε ποια δεδομένα συλλέγουμε για σας και να τα διορθώσετε ή να ζητήσετε τη διαγραφή τους, εκτός αν η τήρησή τους επιβάλλεται από τη νομοθεσία ή τη σύμβαση, για λόγους φορολογικούς, αποδεικτικούς ή δικαστικούς ή για δίωξη αξιόποινων πράξεων.

Πού κοινοποιούνται τα δεδομένα σας;

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. δεν διαβιβάζει τα προσωπικά δεδομένα σε τρίτους, παρά μόνο όταν απαιτείται σαφώς από τη Νομοθεσία/Κανονιστικό πλαίσιο ή όταν λειτουργεί ως «ενδιάμεσος φορέας» και στην έκταση που αυτό επιβάλλεται, για να ολοκληρώσει μια υπηρεσία και να εκπληρώσει αιτήματα σχετικά με τις εκ μέρους της παρεχόμενες υπηρεσίες.

Τέτοια τρίτα μέρη, ενδέχεται να είναι επίσημοι Κρατικοί Φορείς (π.χ. ΟΑΕΔ, Υπουργείο Εργασίας κ.λπ.), όταν κληθούμε να συμμορφωθούμε με τη νομοθεσία/ κανονισμούς για φορείς εκπαίδευσης/συμβουλευτικής/πληροφορικής ή/και να αποτρέψουμε σε βάρος μας και σε βάρος των πελατών μας έκνομες ενέργειες (π.χ. απάτη, εξύβριση, προσβολή προσωπικότητας κλπ.).

Στην περίπτωση που τα δεδομένα υποβλήθηκαν για συμμετοχή σε πρόγραμμα ιδιωτικού ανάδοχου φορέα, τότε αυτά μεταβιβάζονται σε αυτόν, ο οποίος έχει και την τελική ευθύνη για την επεξεργασία και ασφάλειά τους. Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. επιλέγει αξιόπιστους συνεργάτες και προσπαθούμε να θέτουμε συμβατικούς περιορισμούς σε τρίτους, που τυχόν λαμβάνουν τα προσωπικά σας δεδομένα, ώστε να διασφαλίσουμε στο μέτρο του δυνατού, ότι τα χρησιμοποιούν σύμφωνα με την παρούσα πολιτική και τους ισχύοντες στην Ευρώπη και διεθνώς νόμους περί προστασίας δεδομένων.

Κατά την υποβολή προτάσεων και την υλοποίηση διακρατικών ή ευρωπαϊκών προγραμμάτων, μπορεί να χρειαστεί να διαβιβάσουμε τα προσωπικά σας δεδομένα σε δημόσιους και ιδιωτικούς φορείς άλλων χωρών εντός και εκτός Ευρωπαϊκής Ένωσης, καθώς και σε Επιτροπές Ελέγχου της Ευρωπαϊκής Ένωσης.

Χρονικό Διάστημα Αποθήκευσης

Το χρονικό διάστημα αποθήκευσης των δεδομένων αποφασίζεται με βάση τα παρακάτω ειδικότερα κριτήρια ανάλογα με την περίπτωση:

• Όταν η επεξεργασία επιβάλλεται ως υποχρέωση από διατάξεις του ισχύοντος νομικού πλαισίου, τα προσωπικά σας δεδομένα θα αποθηκεύονται για όσο χρονικό διάστημα επιβάλλουν οι σχετικές διατάξεις.
• Όταν η επεξεργασία εκτελείται με βάση σύμβαση, τα προσωπικά σας δεδομένα αποθηκεύονται και τηρούνται για όσο χρονικό διάστημα ορίζει η σύμβαση και για τη θεμελίωση, άσκηση, ή/και υποστήριξη νομικών αξιώσεων με βάση τη σύμβαση.
• Τα προσωπικά δεδομένα που μας διαθέσατε με σκοπό την ενημέρωσή σας για νέα προγράμματα και υπηρεσίες, τηρούνται μέχρι την ανάκληση της συγκατάθεσής σας. Η ανάκληση μπορεί να πραγματοποιηθεί από εσάς οποιαδήποτε στιγμή. Η ανάκληση της συγκατάθεσής δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση κατά το χρονικό διάστημα πριν την ανάκλησή της.

Για να ανακαλέσετε τη συγκατάθεσή σας μπορείτε να αποστείλετε email στο

[email protected].

Ποια είναι τα δικαιώματα σας σε σχέση με τα προσωπικά σας δεδομένα;

Κάθε φυσικό πρόσωπο τα δεδομένα του οποίου είναι αντικείμενο επεξεργασίας από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε, απολαμβάνει τα ακόλουθα δικαιώματα:

Δικαίωμα πρόσβασης:

Έχετε δικαίωμα να έχετε επίγνωση και να επαληθεύετε τη νομιμότητα της επεξεργασίας. Έτσι λοιπόν, έχετε δικαίωμα να έχετε πρόσβαση στα δεδομένα και να λάβετε συμπληρωματικές πληροφορίες σχετικά με την επεξεργασία τους.

Δικαίωμα διόρθωσης:

Έχετε δικαίωμα να μελετήσετε, να διορθώσετε, να επικαιροποιήσετε ή να τροποποιήσετε τα προσωπικά σας δεδομένα.

Δικαίωμα διαγραφής:

Έχετε δικαίωμα να υποβάλετε αίτημα διαγραφής των προσωπικών σας δεδομένων όταν τα επεξεργαζόμαστε με βάση την συγκατάθεσή σας ή με προκειμένου να προστατεύσουμε τα έννομα συμφέροντα μας. Σε όλες τις υπόλοιπες περιπτώσεις (όπως ενδεικτικά όταν υπάρχει σύμβαση, υποχρέωση επεξεργασίας προσωπικών δεδομένων που επιβάλλεται από το νόμο, δημόσιο συμφέρον), το εν λόγω δικαίωμα υπόκειται σε συγκεκριμένους περιορισμούς ή δεν υφίσταται ανάλογα με την περίπτωση.

Δικαίωμα του περιορισμού της επεξεργασίας:

Έχετε δικαίωμα να ζητήσετε περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων στις ακόλουθες περιπτώσεις: (α) όταν αμφισβητείται την ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) όταν αντιτίθεστε στη διαγραφή προσωπικών δεδομένων και ζητάτε αντί διαγραφής τον περιορισμό χρήσης αυτών, (γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς επεξεργασίας, σας είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) όταν εναντιώνεστε στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που μας αφορούν και υπερισχύουν των λόγων για τους οποίους εναντιώνεστε στην επεξεργασία.

Δικαίωμα εναντίωσης στην επεξεργασία:

Έχετε δικαίωμα να εναντιωθείτε ανά πάσα στιγμή στην επεξεργασία των προσωπικών σας δεδομένων στις περιπτώσεις που, όπως περιγράφεται παραπάνω, αυτή είναι απαραίτητη για σκοπούς εννόμων συμφερόντων που επιδιώκουμε ως υπεύθυνοι επεξεργασίας, καθώς επίσης και στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.

Δικαίωμα στη φορητότητα:

Έχετε δικαίωμα να λάβετε χωρίς χρέωση τα προσωπικά σας δεδομένα σε μορφή που θα σας επιτρέπει να έχετε πρόσβαση σε αυτά, να τα χρησιμοποιήσετε και να τα επεξεργαστείτε με τις κοινώς διαδεδομένες μεθόδους επεξεργασίας. Επίσης, έχετε δικαίωμα να μας ζητήσετε, εφόσον είναι τεχνικά εφικτό, να διαβιβάσουμε τα δεδομένα και απευθείας σε άλλον υπεύθυνο επεξεργασίας. Το δικαίωμα σας αυτό υπάρχει για τα δεδομένα που μας έχετε παράσχει εσείς και η επεξεργασία τους διενεργείται με αυτοματοποιημένα μέσα με βάση της συγκατάθεσή σας ή σε εκτέλεση σχετικής σύμβασης.

Δικαίωμα ανάκλησης της συγκατάθεσης:

Τέλος, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. σας ενημερώνει, ότι όπου η επεξεργασία βασίζεται στη συγκατάθεσή σας, έχετε δικαίωμα να την ανακαλέσετε ελεύθερα, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση σας, προτού την ανακαλέσετε. Σε όλες τις υπόλοιπες περιπτώσεις (όπως ενδεικτικά όταν υπάρχει σύμβαση, υποχρέωση επεξεργασίας προσωπικών δεδομένων που επιβάλλεται από το νόμο, δημόσιο συμφέρον), το εν λόγω δικαίωμα υπόκειται σε συγκεκριμένους περιορισμούς ή δεν υφίσταται ανάλογα με την περίπτωση.

Για να ασκήσετε οποιοδήποτε δικαίωμα σε σχέση με τα προσωπικά σας δεδομένα ή να ανακαλέσετε τη συγκατάθεσή σας μπορείτε να αποστείλετε email στο [email protected]

Δικαίωμα καταγγελίας στην ΑΠΔΠΧ:

Έχετε δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr): Τηλεφωνικό Κέντρο: +30 210 6475600, Fax:

+30 210 6475628, Ηλεκτρονικό Ταχυδρομείο: [email protected].

Ασφάλεια Προσωπικών Δεδομένων

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε διαθέτει εκπαιδευμένο και υπεύθυνο προσωπικό, καθώς και Υπεύθυνο Προστασίας Προσωπικών Δεδομένων (Data Protection Officer, DPO). Εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, με στόχο την ασφαλή επεξεργασία των προσωπικών δεδομένων και την αποτροπή τυχαίας απώλειας ή καταστροφής και μη εξουσιοδοτημένης ή/και παράνομης πρόσβασης σε αυτά, χρήσης, τροποποίησης ή αποκάλυψής τους (καθιέρωση επιπέδων πρόσβασης, εξουσιοδοτημένοι υπάλληλοι, ενημέρωση προσωπικού, περιοδικοί έλεγχοι, διαδικασία διαχείρισης συμβάντων – μητρώο καταγραφής συμβάντων διαρροής). Σε κάθε περίπτωση, ο τρόπος λειτουργίας του διαδικτύου και το γεγονός ότι είναι ελεύθερο στον οποιονδήποτε δεν επιτρέπει να παρασχεθούν εγγυήσεις, ότι μη εξουσιοδοτημένα τρίτα πρόσωπα δεν θα αποκτήσουν ποτέ τη δυνατότητα να παραβιάσουν τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα, αποκτώντας πρόσβαση και προβαίνοντας ενδεχομένως σε χρήση προσωπικών δεδομένων για μη εξουσιοδοτημένους ή/και αθέμιτους σκοπούς.

Σύνδεσμοι προς ιστοσελίδες τρίτων

Οι ιστοσελίδες της εταιρείας μας ενδέχεται να περιέχουν συνδέσμους ή μελλοντικούς συνδέσμους, που οδηγούν σε ιστοσελίδες τρίτων, οι οποίες λειτουργούν και συντηρούνται αποκλειστικά από αυτούς και τις οποίες δεν ελέγχουμε. Συνεπώς, δεν φέρουμε καμία ευθύνη για το περιεχόμενο, τις ενέργειες ή τις πολιτικές αυτών των ιστοσελίδων. Σας παρακαλούμε να διαβάσετε προσεκτικά τις αντίστοιχες πολιτικές προστασίας δεδομένων στις διαφορετικές ιστοσελίδες που επισκέπτεστε.

Επικοινωνία για ερωτήσεις ή σχόλια

Εάν έχετε ερωτήσεις ή σχόλια σχετικά με την παρούσα πολιτική ασφάλειας και προστασίας προσωπικών δεδομένων, μπορείτε να μας στείλετε e-mail στην ηλεκτρονική διεύθυνση [email protected] ή να επικοινωνήσετε μαζί μας στην ταχυδρομική διεύθυνση Δοϊράνης 56 – ΤΚ 61100 Κιλκίς ή μας τηλεφωνήσετε στον αριθμό 2341029690.

Ισχύς Πολιτικής Ασφάλειας και Προστασίας Προσωπικών Δεδομένων

Η παρούσα Πολιτική δημοσιεύτηκε από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. στις

25/5/2018 και υπόκειται σε περιοδική βελτίωση και αναθεώρηση.

Τυχόν αλλαγές στην παρούσα Πολιτική θα έχουν εφαρμογή στις πληροφορίες που συλλέγονται, από την ημερομηνία που θα δημοσιευτεί η αναθεωρημένη έκδοση, καθώς και στις υπάρχουσες πληροφορίες, τις οποίες κατέχουμε. Η χρήση της ιστοσελίδας μετά τη δημοσίευση αλλαγών, συνεπάγεται την αποδοχή από εσάς, των αλλαγών αυτών.

ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΙΤΗΜΑΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΑΠΟ ΤΗΝ ΕΤΑΙΡΕΙΑ «ΕΠΙΜΟΡΦΩΤΙΚΗ ΚΙΛΚΙΣ Μ.Ε.Π.Ε».

Εισαγωγή

Το νέο κανονιστικό πλαίσιο αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων ή εν συντομία ΓΚΠΔ),

«τοποθετεί́» τα δικαιώματα των φυσικών προσώπων στο επίκεντρο κάθε επεξεργασίας και απαιτεί́ από́ τους υπεύθυνους επεξεργασίας να επεξεργάζονται τα δεδομένα προσωπικού́ χαρακτήρα με διαφάνεια και υπευθυνότητα. Επομένως, το κανονιστικό́ πλαίσιο προσφέρει στα υποκείμενα των δεδομένων τη δυνατότητα άσκησης πληθώρας δικαιωμάτων σε σχέση με την επεξεργασία των δεδομένων προσωπικού́ χαρακτήρα που τα αφορούν. Σημειώνεται, πως υποκείμενα των δεδομένων θεωρούνται όλα τα φυσικά προσώπων, που συνεργάζονται ή επικοινωνούν με την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., με οποιαδήποτε ιδιότητα, όπως ενδεικτικά εκπαιδευόμενοι, εκπαιδευτές, συνεργάτες, προμηθευτές, εργαζόμενοι κλπ.

Η παρούσα διαδικασία, λοιπόν, αφορά κάθε αίτημα που λαμβάνει η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. από τα υποκείμενα των δεδομένων, σχετικά με την άσκηση των δικαιωμάτων τους, όπως αυτά απορρέουν από το Γενικό Κανονισμό Προστασίας Δεδομένων. Ειδικότερα, τα δικαιώματα που απορρέουν από το ΓΚΠΔ για τα φυσικά πρόσωπα και τα οποία καλείται να διαχειριστεί η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., έχον το ρόλο του υπεύθυνου επεξεργασίας, είναι τα εξής:

 

·         Πρόσβαση στα δεδομένα προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει επιβεβαίωση για το κατά́ πόσον τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν υφίστανται επεξεργασία από́ την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., καθώς και, εάν αυτό́ συμβαίνει, αντίγραφο των εν λόγω δεδομένων και των λοιπών, προβλεπόμενων από́ το ΓΚΠΔ, συμπληρωματικών πληροφοριών. Το δικαίωμα της πρόσβασης βοηθάει τα φυσικά́ πρόσωπα να κατανοήσουν πώς και γιατί́ χρησιμοποιούνται τα δεδομένα τους από́ την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., καθώς και να ελέγξουν ότι διενεργείται νόμιμα η επεξεργασία.

·         Διόρθωση των δεδομένων προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διόρθωση των δεδομένων του, όταν αυτά είναι ανακριβή ή τη συμπλήρωση των δεδομένων του, όταν αυτά είναι ελλιπή.

·         Διαγραφή των δεδομένων προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει η διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εφόσον δεν επιθυμεί πια αυτά τα δεδομένα να αποτελούν αντικείμενο επεξεργασίας. Το εν λόγω δικαίωμα δεν είναι απόλυτο και ισχύει μόνο υπό ορισμένες προϋποθέσεις.

·         Περιορισμός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, όταν συντρέχει κάποιος συγκεκριμένος λόγος, ήτοι αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας, το υποκείμενο έχει αντιρρήσεις ως προς την αυτοματοποιημένη επεξεργασία. Ως εκ τούτου, προκύπτει ότι το εν λόγω δικαίωμα, είναι εναλλακτικό του δικαιώματος για διαγραφή και του δικαιώματος εναντίωσης, καθώς και ότι δύναται να ασκηθεί συνδυαστικά με το δικαίωμα της διόρθωσης ή της εναντίωσης. Σημειώνεται, ότι το δικαίωμα του περιορισμού της επεξεργασίας δεν είναι απόλυτο και ισχύει μόνο υπό ορισμένες προϋποθέσεις.

·         Φορητότητα των δεδομένων προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων, έχει το δικαίωμα να ζητήσει να λάβει τα δεδομένα που έχει παράσχει στην Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., ώστε να τα επαναχρησιμοποιήσει για δικούς του σκοπούς σε άλλες υπηρεσίες και οργανισμούς. Το εν λόγω δικαίωμα διευκολύνει το υποκείμενο των δεδομένων να διακινεί, να αντιγράφει ή να μεταφέρει, εύκολα, τα δεδομένα προσωπικού χαρακτήρα που το αφορούν από ένα περιβάλλον τεχνολογιών πληροφορικής σε άλλο, με ασφαλή τρόπο. Το δικαίωμα στη φορητότητα μπορεί να ασκηθεί με σκοπό είτε να μεταφερθούν τα δεδομένα του υποκειμένου από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. είτε προς αυτήν, εφόσον, πάντα, πληρούνται οι απαιτούμενες από το ΓΚΠΔ συνθήκες.

·         Εναντίωση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα

Το υποκείμενο των δεδομένων έχει το δικαίωμα να εναντιωθεί́ στην επεξεργασία των δεδομένων προσωπικού́ χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παρ. 1 στοιχείο ε) και στ) του ΓΚΠΔ, συμπεριλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Συγκεκριμένα, το υποκείμενο έχει το δικαίωμα να αντιτάσσεται στην όποια επεξεργασία των δεδομένων του από́ την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., η οποία είναι απαραίτητη για την εκπλήρωση καθήκοντός της προς το δημόσιο συμφέρον ή κατά́ την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτήν, ως υπεύθυνου επεξεργασίας. Επιπλέον, όταν η επεξεργασία είναι απαραίτητη για τους σκοπούς εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεομένων, που επιβάλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. Στην περίπτωση αυτή ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός αν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Επιπλέον, όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς έρευνας ή στατιστικούς σκοπούς, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

Για την αποτελεσματική διαχείριση των εν λόγω αιτημάτων, απαιτείται η συνεργασία και ο συντονισμός όλων των εμπλεκόμενων μερών της Επιμορφωτικής Κιλκίς (π.χ. γραμματεία, Υπεύθυνος Προστασίας Δεδομένων, Νομικός Σύμβουλος, Τεχνικός Υπεύθυνος) καθώς και των τρίτων μερών (π.χ. πάροχοι υπηρεσιών, προμηθευτές, εξωτερικοί συνεργάτες κ.λπ.) που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε.

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. οφείλει να ικανοποιήσει χωρίς καθυστέρηση κάθε δικαίωμα υποκειμένου αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και το αργότερο σε ένα μήνα από την υποβολή του αιτήματος. Η προθεσμία του ενός μηνός δύναται να παραταθεί για δύο μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγηθεί είναι μεγάλος. Ωστόσο, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. οφείλει να ενημερώσει το υποκείμενο των δεδομένων για την εν λόγω παράταση, εντός ενός μήνα από την υποβολή του αιτήματος.

Συμπερασματικά, η παρούσα διαδικασία έχει υιοθετηθεί από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. με σκοπό να εξασφαλίσει, ότι τα αιτήματα των υποκειμένων λαμβάνονται, αξιολογούνται και διεκπεραιώνονται αποτελεσματικά και εντός του απαιτούμενου χρονικού πλαισίου. Η διαδικασία αποτελείται από τις ενέργειες που παρουσιάζονται παρακάτω και ενεργοποιείται κάθε φορά που λαμβάνεται ένα νέο αίτημα σχετικά με την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων.

Αναλυτική περιγραφή διαδικασίας

Βήμα 1: Παραλαβή του αιτήματος του υποκειμένου

Το υποκείμενο των δεδομένων καταθέτει, μέσω των διαθέσιμων καναλιών, το αίτημά́ του σχετικά́ με τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν, προκειμένου να ασκήσει το αντίστοιχο δικαίωμά́/δικαιώματά́ του. Τα κανάλια επικοινωνίας μέσω των οποίων το υποκείμενο δύναται να αιτηθεί́ την άσκηση των δικαιωμάτων του στην Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. είναι τα εξής τρία:

• Φυσική́ Παρουσία: Το υποκείμενο των δεδομένων συμπληρώνει στη Γραμματεία της Επιμορφωτικής, το τυποποιημένο έντυπο «Αίτηση Άσκησης Δικαιωμάτων».
• Ιστοσελίδα της Επιμορφωτικής (www.epimorfotiki.gr): Το υποκείμενο των δεδομένων αφού́ επισκεφτεί́ την ιστοσελίδα της Επιμορφωτικής, συμπληρώνει την ηλεκτρονική́ φόρμα για την άσκηση δικαιωμάτων των υποκειμένων.
• Ταχυδρομείο (φυσικό́ ή ηλεκτρονικό́): Το υποκείμενο των δεδομένων, μπορεί́ να ασκήσει κάποιο από́ τα δικαιώματά́ του συντάσσοντας ελεύθερο κείμενο, και αποστέλλοντάς το στο αρμόδιο τμήμα, ήτοι Γραμματεία, μέσω ταχυδρομείου ή μέσω ηλεκτρονικού́ ταχυδρομείου (email).

Επομένως, ο παραλήπτης των εν λόγω αιτημάτων του υποκείμενου διαφέρει ανάλογα με το κανάλι μέσω του οποίου στάλθηκε το αίτημα στην Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. και ανάλογα με την κατηγορία υποκειμένων (π.χ. εκπαιδευόμενος, εκπαιδευτής, συνεργάτης) στην οποία ανήκει το φυσικό́ πρόσωπο που άσκησε το αίτημα.

Περαιτέρω σημειώνεται, ότι ένα αίτημα μπορεί́ να κατατεθεί́ από́ τρίτο πρόσωπο για λογαριασμό́ ενός υποκειμένου των δεδομένων με την προσκόμιση κατάλληλης εξουσιοδότησης.

 

Η διαδικασία συνεχίζεται στο βήμα 2.

 

Βήμα 2: Ταυτοποίηση και ενημέρωση του υποκειμένου για τη λήψη του αιτήματος

 

Κατά́ τη λήψη του αιτήματος, ο αρμόδιος εργαζόμενος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που το παραλαμβάνει οφείλει, εντός εύλογου χρονικού́ διαστήματος, να προχωρήσει στην ταυτοποίηση του υποκειμένου των δεδομένων που έχει καταθέσει το αίτημα, καθώς και στην επικαιροποίηση των παρεχόμενων στοιχείων επικοινωνίας, σε περίπτωση που το αίτημα έχει κατατεθεί μέσω του τυποποιημένου εντύπου. Επομένως, ο αρμόδιος εργαζόμενος που έχει λάβει το αίτημα, είναι και υπεύθυνος για την διεξαγωγή́ οποιωνδήποτε ελέγχων απαιτούνται για την ταυτοποίηση του υποκειμένου.

Ο παρακάτω πίνακας περιγράφει τις ελάχιστες απαιτούμενες πληροφορίες για την ταυτοποίηση του υποκειμένου των δεδομένων:

Κανάλι επικοινωνίας	Στοιχεία ταυτοποίησης
Φυσική παρουσία	Ταυτότητα
Ιστοσελίδα	Τηλεφωνική επικοινωνία και ταυτοποίηση υποκειμένου
Ταχυδρομείο (φυσικό ή ηλεκτρονικό)	Τηλεφωνική επικοινωνία και ταυτοποίηση υποκειμένου

Συγχρόνως, ο αρμόδιος εργαζόμενος που παρέλαβε το αίτημα εκ μέρους της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., ενημερώνει το υποκείμενο, ότι το αίτημά του έχει παραληφθεί επιτυχώς και έχει αρχίσει η αξιολόγησή του. Η εν λόγω ενέργεια είναι απαραίτητη για την αποτελεσματική παρακολούθηση του χρονικού πλαισίου που πρέπει να τηρηθεί μέχρι την περάτωση του αιτήματος, καθώς και για την αποφυγή αδικαιολόγητων καθυστερήσεων. 

 

Σημειώνεται, ότι από τη στιγμή που ταυτοποιηθεί το υποκείμενο των δεδομένων, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. οφείλει να διαχειριστεί το αίτημά του και να του απαντήσει εντός τριάντα (30) ημέρων, με δυνατότητα παράτασης επιπλέον εξήντα (60) ημερών. Σε περίπτωση δε, που δεν είναι δυνατόν να επαληθευτεί η ταυτότητα του υποκειμένου των δεδομένων από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., σύμφωνα με τον παραπάνω πίνακα, τότε δύναται να απορριφθεί το αίτημα του υποκειμένου.

 

Η διαδικασία συνεχίζεται στο βήμα 3.

 

Βήμα 3: Καταχώρηση του αιτήματος στο αρχείο καταγραφής αιτημάτων

Στη συνέχεια, ο αρμόδιος εργαζόμενος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., που έχει λάβει το αίτημα του υποκειμένου των δεδομένων, το καταχωρεί στο «Αρχείο Καταγραφής Αιτημάτων». Το εν λόγω αρχείο έχει καταγεγραμμένα και συγκεντρωμένα όλα τα αιτήματα που έχει λάβει η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., στο σύνολό τους, σχετικά με δικαιώματα των υποκειμένων των δεδομένων.

 

Για κάθε αίτημα πρέπει να καταχωρίζονται στο αρχείο οι παρακάτω πληροφορίες:

• Στοιχεία ταυτοποίησης του υποκειμένου των δεδομένων (ταυτότητα, διαβατήριο, άδεια οδήγησης κ.λπ.), εκτός εάν ενεργεί κάποιος τρίτος για λογαριασμό του υποκειμένου των δεδομένων.
• Το είδος του δικαιώματος που ασκήθηκε (δικαίωμα πρόσβασης, δικαίωμα διόρθωσης, δικαίωμα διαγραφής, κ.λπ.)
• Το κανάλι μέσω του οποίου η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. παρέλαβε το αίτημα του υποκειμένου.
• Σε περίπτωση του το υποκείμενο των δεδομένων επιθυμεί να λάβει την απάντηση στο αίτημά του μέσω συγκεκριμένου καναλιού επικοινωνίας, το κανάλι μέσω του οποίου η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε πρόκειται να απαντήσει στο αίτημά του.

• Χρήσιμες λεπτομέρειες και πληροφορίες σχετικά με το αίτημα του υποκειμένου των δεδομένων.
• Σε περίπτωση που το αίτημα του υποκειμένου έχει αξιολογηθεί ως υπερβολικό ή αβάσιμο, τους λόγους τους οποίους οδήγησαν σε αυτό το αποτέλεσμα.
• Την ημερομηνία παραλαβής του αιτήματος από τον υπεύθυνο της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε.
• Την ημερομηνία που πραγματοποιήθηκε η ταυτοποίηση του υποκειμένου.
• Την ημερομηνία έκδοσης της απάντησης από την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε.
• Το κανάλι μέσω του οποίου στάλθηκε η απάντηση στο υποκείμενο των δεδομένων. Το «Αρχείο Καταγραφής Αιτημάτων» ενημερώνεται συνεχώς, καθώς οι προαναφερθείσες πληροφορίες συμπληρώνονται καθ’ όλη τη διάρκεια της παρούσας διαδικασίας.

 

Η διαδικασία συνεχίζεται στο βήμα 4.

 

Βήμα 4: Προώθηση του αιτήματος στον ΥΠΔ

Όλα τα αιτήματα των υποκειμένων που λαμβάνονται από οποιονδήποτε υπεύθυνο της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., ανεξάρτητα από το κανάλι μέσω του οποίου στάλθηκαν σε αυτόν, πρέπει να αποστέλλονται στον ΥΠΔ. Επομένως, οποιοσδήποτε αρμόδιος εργαζόμενος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε λαμβάνει κάποιο αίτημα που αφορά άσκηση δικαιώματος υποκειμένου, οφείλει να το προωθήσει στον ΥΠΔ, έτσι ώστε να λάβει χώρα η αξιολόγησή του και να γίνουν οι περαιτέρω απαραίτητες ενέργειες.

 

Η διαδικασία συνεχίζεται στο βήμα 5. Βήμα 5: Αξιολόγηση του αιτήματος

Σε αυτό το στάδιο της διαδικασίας ο ΥΠΔ, αφού λάβει το αίτημα του υποκειμένου, είναι υπεύθυνος να το αξιολογήσει ενδελεχώς, ώστε να αποφασίσει εάν θα προχωρήσει ή όχι στην ικανοποίησή του.

Αφού, αρχικά, αναλύσει όλες τις διαθέσιμες πληροφορίες, κρίνει εάν οι εν λόγω πληροφορίες είναι επαρκείς ή εάν χρειάζονται πρόσθετες πληροφορίες από το υποκείμενο προκειμένου να αξιολογηθεί αποτελεσματικά το αίτημά του.

Σε περίπτωση που οι διαθέσιμες πληροφορίες κριθούν ελλιπείς και χρειάζονται πρόσθετες πληροφορίες από το υποκείμενο των δεδομένων, η διαδικασία συνεχίζεται στο βήμα 6.

Διαφορετικά, δηλαδή σε περίπτωση που οι πληροφορίες που έχει στην κατοχή του ο ΥΠΔ είναι επαρκείς, τότε είναι σε θέση να προχωρήσει στην περαιτέρω αξιολόγηση του αιτήματος του υποκειμένου σχετικά με το δικαίωμα/τα δικαιώματά του.

Για την περαιτέρω αξιολόγηση του αιτήματος, ο ΥΠΔ οφείλει, μεταξύ άλλων, να αναζητήσει τις απαραίτητες πληροφορίες μέσω των πληροφοριακών συστημάτων που έχει στη διάθεσή του και να επικοινωνήσει με τον αντίστοιχο υπάλληλο της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε, που ενδέχεται να σχετίζεται με το αίτημα του υποκειμένου των δεδομένων.

Επιπλέον, το Αρχείο των Δραστηριοτήτων Επεξεργασίας, στο οποίο βρίσκονται καταγεγραμμένες όλες οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για τις οποίες είναι υπεύθυνη η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., δύναται να χρησιμοποιηθεί ως σημείο αναφοράς για την αξιολόγηση του αιτήματος, καθώς περιέχει σημαντικές πληροφορίες όπως:

• Ο σκοπός της επεξεργασίας
• Οι αποδέκτες των εν λόγω δεδομένων εντός ή εκτός του οργανισμού
• Τα πληροφοριακά συστήματα που εμπλέκονται στην επεξεργασία των εν λόγω δεδομένων
• Η νομική βάση της επεξεργασίας

Ο παρακάτω πίνακας παρουσιάζει την ικανότητα άσκησης των δικαιωμάτων των υποκειμένων, η οποία προκύπτει σε σχέση με τη νομική βάση επεξεργασίας. Τα αιτήματα τα οποία δεν δύναται να ικανοποιηθούν για το λόγο αυτό, θεωρούνται προδήλως αβάσιμα.

 

Νομική βάση	Δικαίωμα στην πρόσβαση	Δικαίωμα στη διόρθωση	Δικαίωμα στη διαγραφή	Δικαίωμα περιορισμού	Δικαίωμα εναντίωσης	Δικαίωμα φορητότητας
Συναίνεση	P	P	P	P	P	P
Εκτέλεση σύμβασης	P	P	O	P	O	P
Έννομη υποχρέωση	P	P	O	P	O	O
Ζωτικό συμφέρον	P	P	P	P	O	O
Δημόσιο συμφέρον	P	P	O	P	P	O

 

Έχοντας στην κατοχή του όλες αυτές τις πληροφορίες, ο ΥΠΔ μπορεί να αξιολογήσει αποτελεσματικά το αίτημα του υποκειμένου σχετικά με τα δικαιώματά του και να το χαρακτηρίσει ως «Ικανοποιήσιμο» ή «Μη ικανοποιήσιμο». Ο Νομικός Σύμβουλος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. δύναται να συνδράμει και να υποστηρίζει τον ΥΠΔ κατά τη διάρκεια της εν λόγω αξιολόγησης.

 

Στον ακόλουθο πίνακα παρουσιάζετε ένας ενδεικτικός οδηγός σχετικά με την αξιολόγηση των αιτημάτων των υποκειμένων:

 

ΠΙΝΑΚΑΣ ΑΞΙΟΛΟΓΗΣΗΣ ΑΙΤΗΜΑΤΩΝ
Αίτημα	Περιγραφή	Παραδείγματα αιτημάτων
Ικανοποιήσιμο	Αίτημα το οποίο δύναται να υλοποιηθεί εντός του προβλεπόμενου χρονικού πλαισίου (30 μέρες)	· Διόρθωση δεδομένων · Πρόσβαση στα δεδομένα · Περιορισμός στην επεξεργασία των δεδομένων
Μη ικανοποιήσιμο	Ενημέρωση υποκειμένου	· Το υποκείμενο έχει αιτηθεί πρόσβαση στα δεδομένα του το οποίο όμως θα έχει σαν αποτέλεσμα την αποκάλυψη δεδομένων που αφορούν σε τρίτο φυσικό πρόσωπο · Το υποκείμενο έχει ασκήσει το δικαίωμα στη φορητότητα των δεδομένων του, όμως προηγουμένως έχει αιτηθεί τη διαγραφή των εν λόγω δεδομένων

 

Σε περίπτωση που το αίτημα του υποκειμένου των δεδομένων αξιολογηθεί ως

«Ικανοποιήσιμο», η διαδικασία συνεχίζεται στο βήμα 7. Διαφορετικά, σε περίπτωση που το αίτημα αξιολογηθεί ως «Μη ικανοποιήσιμο», η διαδικασία συνεχίζεται στο βήμα 10.

Ωστόσο, σε κάθε περίπτωση ο ΥΠΔ ενημερώνει τη γραμματεία της Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., ώστε αυτή με τη σειρά της να προβεί στις απαραίτητες ενέργειες ή/και ενημερώσεις με βάση τη διαδικασία.

Βήμα 6: Αίτηση πρόσθετων πληροφοριών από το υποκείμενο

 

Σε περίπτωση που κατά́ την αξιολόγηση του αιτήματος κριθούν ελλιπείς οι διαθέσιμες πληροφορίες, τότε ο αρμόδιος εργαζόμενος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. αιτείται πρόσθετες πληροφορίες από́ το υποκείμενο των δεδομένων, προκειμένου να αξιολογηθεί́ αποτελεσματικά́ το αίτημά́ του σχετικά́ με την άσκηση των δικαιωμάτων του. Αφού́ το υποκείμενο των δεδομένων παράσχει τις απαραίτητες πληροφορίες, η διαδικασία συνεχίζεται στο βήμα 5.

 

Βήμα 7: Διεκπεραίωση των απαιτούμενων ενεργειών

 

Ο υπάλληλος που έχει λάβει το αίτημα, ενημερώνει τους υπεύθυνους της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που εμπλέκονται στην ικανοποίηση του αιτήματος, σχετικά́ με τις απαιτούμενες ενέργειες που πρέπει να εκτελέσουν.

Αφού́ ενημερωθούν οι υπεύθυνοι, θα πρέπει να διεκπεραιώσουν τις απαιτούμενες ενέργειες για την ικανοποίηση του αιτήματος.

Παρακάτω παρουσιάζονται οι ενέργειες που πρέπει να διενεργηθούν ανάλογα με το δικαίωμα που έχει ασκήσει το υποκείμενο των δεδομένων:

Δικαίωμα στην πρόσβαση: Αρχικά́, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να συλλέξει και να συγκεντρώσει όλες τις απαιτούμενες, βάσει του ΓΚΠΔ, πληροφορίες σχετικά́ με τα δεδομένα προσωπικού́ χαρακτήρα που αφορούν το υποκείμενο. Στη συνέχεια, αφού́ επιβεβαιώσει, ότι οι πληροφορίες που θα κοινοποιηθούν δεν επηρεάζουν δυσμενώς τα δικαιώματα και τις ελευθερίες τρίτων φυσικών προσώπων, πρέπει να τις μετατρέψει σε αναγνώσιμη και απολύτως κατανοητή́ μορφή́. Τέλος, παρέχει στο υποκείμενο αντίγραφο των δεδομένων προσωπικού́ χαρακτήρα που υποβάλλονται σε επεξεργασία από́ την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., λαμβάνοντας υπόψη του το μέσο επικοινωνίας που έχει επιλέξει το υποκείμενο για τη μεταξύ́ τους επικοινωνία.

Δικαίωμα διόρθωσης: Το αίτημα του υποκειμένου σχετικά́ με τη διόρθωση ή τη συμπλήρωση των δεδομένων του, πρέπει να επικοινωνηθεί στα αρμόδια τμήματα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. (Γραμματεία, τμήμα Ευρωπαϊκών προγραμμάτων), που επεξεργάζονται τα δεδομένα προσωπικού́ χαρακτήρα, προκειμένου να διορθωθούν τα ανακριβή́ ή να συμπληρωθούν τα ελλιπή́ δεδομένα του, στο σύνολο του οργανισμού́. Επιπλέον, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να ανακοινώσει το αίτημα διόρθωσης του υποκειμένου σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν, ώστε να εξασφαλίσει ότι θα διεκπεραιωθεί́ αποτελεσματικά́ το αίτημα της διόρθωσης.

Δικαίωμα διαγράφης: Το αίτημα του υποκειμένου σχετικά́ με τη διαγραφή́ των δεδομένων του, εφόσον είναι βάσιμο, πρέπει να επικοινωνηθεί στα τμήματα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που επεξεργάζονται δεδομένα προσωπικού́ χαρακτήρα, προκειμένου να διαγραφούν τα εν λόγω δεδομένα στο σύνολο του οργανισμού́. Επιπλέον, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να επικοινωνήσει το αίτημα διαγραφής του υποκειμένου σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν, ώστε να εξασφαλίσει ότι θα διεκπεραιωθεί́ αποτελεσματικά́ το αίτημά́ του. Σε περίπτωση δε που η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. έχει δημοσιοποιήσει τα δεδομένα προσωπικού́ χαρακτήρα, πρέπει να λάβει εύλογα μέτρα και να διενεργήσει όλες τις απαραίτητες ενέργειες προκειμένου να ενημερώσει σχετικά́ με το αίτημα διαγραφής του υποκειμένου τους υπευθύνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα προσωπικού́ χαρακτήρα, ώστε να διαγράψουν οποιουσδήποτε συνδέσμους ή αντίγραφα ή αναπαραγωγή́ των εν λόγω δεδομένων.

Δικαίωμα στον περιορισμό́ της επεξεργασίας: Αρχικά́, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., από́ τη στιγμή́ που το αίτημα του υποκειμένου είναι βάσιμο, πρέπει να προχωρήσει σε παύση της επεξεργασίας των δεδομένων προσωπικού́ χαρακτήρα του υποκειμένου. Για να επιτευχθεί αυτό́ αποτελεσματικά́, πρέπει να επικοινωνηθεί το αίτημα του υποκειμένου σε όλα τα τμήματα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που επεξεργάζονται δεδομένα προσωπικού́ χαρακτήρα, ώστε να προβούν στις απαραίτητες ενέργειες. Επιπλέον, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να ανακοινώσει το αίτημα του υποκειμένου σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν, ώστε να εξασφαλίσει ότι θα διεκπεραιωθεί αποτελεσματικά́ το αίτημα του περιορισμού́ της επεξεργασίας των δεδομένων του. Σημειώνεται, ότι όταν ισχύει το εν λόγω δικαίωμα και έχει υλοποιηθεί́ ο περιορισμός της επεξεργασίας, δεν επιτρέπεται καμιά μορφή́ επεξεργασίας των δεδομένων προσωπικού́ χαρακτήρα, παρά μόνο η αποθήκευσή́ τους.

Δικαίωμα στη φορητότητα των δεδομένων:

• Σε περίπτωση που το υποκείμενο των δεδομένων ζητήσει να λάβει ή να διαβιβαστούν σε άλλον υπεύθυνο επεξεργασίας τα δεδομένα προσωπικού́ χαρακτήρα που το αφορούν, το αίτημά́ του πρέπει να επικοινωνηθεί σε όλα τα τμήματα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που επεξεργάζονται δεδομένα προσωπικού́ χαρακτήρα προκειμένου να συλλεχθούν όλα τα δεδομένα που αφορούν στο υποκείμενο. Έπειτα, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε., αφού́ επιβεβαιώσει ότι οι πληροφορίες που θα διαβιβαστούν δεν επηρεάζουν δυσμενώς τα δικαιώματα και τις ελευθερίες τρίτων φυσικών προσώπων, πρέπει να τις μετατρέψει σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από́ μηχανήματα μορφότυπο (π.χ. XML, RDF, JSON, CSV). Επιπλέον, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. οφείλει να χρησιμοποιεί́ ασφαλείς μεθόδους τόσο για τη διαβίβαση των δεδομένων προσωπικού́ χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας όσο και για τη παράδοση του αντιγράφου των δεδομένων στο ίδιο το υποκείμενο.
• Σε περίπτωση που η Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. πρέπει να παραλάβει δεδομένα προσωπικού́ χαρακτήρα, είτε από́ το υποκείμενο των δεδομένων, είτε από́ άλλον υπεύθυνο επεξεργασίας, αρχικά́ πρέπει να ελέγξει και να επιβεβαιώσει τη συμβατότητα του μορφότυπου που έχει λάβει με τα συστήματά́ της. Αν το μορφότυπο δεν είναι συμβατό́, πρέπει να επικοινωνήσει με τον αποστολέα του

προκειμένου να ζητήσει να του δοθούν / αποσταλούν εκ νέου τα δεδομένα προσωπικού́ χαρακτήρα, σε συμβατή́ με τα συστήματά́ της μορφή́. Αν το μορφότυπο είναι συμβατό́, τότε η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να ενημερώσει τα συστήματά́ της.

Δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων: Αρχικά́, η Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., από́ τη στιγμή́ που το αίτημα του υποκειμένου πληροί́ τις απαιτούμενες από́ το ΓΚΠΔ προϋποθέσεις και είναι βάσιμο, πρέπει να σταματήσει την επεξεργασία των δεδομένων προσωπικού́ χαρακτήρα του υποκειμένου. Για να επιτευχθεί́ αυτό́ αποτελεσματικά́, πρέπει να επικοινωνηθεί το αίτημα του υποκειμένου σε όλα τα τμήματα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. που επεξεργάζονται δεδομένα προσωπικού́ χαρακτήρα, ώστε να προβούν στις απαραίτητες ενέργειες. Σε περίπτωση δε, ανάκλησης του αιτήματος της εναντίωσης από́ το υποκείμενο, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. μπορεί́ να αρχίσει να επεξεργάζεται ξανά́ τα δεδομένα του υποκειμένου.

Σε κάθε περίπτωση η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. οφείλει να εφαρμόσει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, όπως να εξασφαλίζει την ανθρώπινη παρέμβαση στη λήψη της απόφασης ή το δικαίωμα έκφρασης άποψης ή/και αμφισβήτησης της απόφασης από το υποκείμενο.

Κάθε τμήμα της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε. είναι υπεύθυνο να επικοινωνεί με τυχόν τρίτα μέρη στα οποία έχουν γνωστοποιηθεί τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου και σχετίζονται με το εν λόγω αίτημα, προκειμένου να διεκπεραιωθεί αποτελεσματικά το αίτημά του.

Οι ενέργειες που περιγράφονται παραπάνω, λαμβάνουν χώρα υπό́ τη συνεχή́ επίβλεψη του ΥΠΔ, έτσι ώστε να αναγνωρίζονται χωρίς καθυστέρηση περιπτώσεις πολύπλοκων υλοποιήσεων, οι οποίες μπορούν να οδηγήσουν σε καθυστέρηση του αιτήματος. Σε περίπτωση που οι ενέργειες ενός τμήματος δύνανται να επιφέρουν καθυστερήσεις, η διαδικασία συνεχίζεται στο βήμα 8. Διαφορετικά́, δηλαδή́ σε περίπτωση που οι απαραίτητες ενέργειες για την ικανοποίηση του αιτήματος του υποκειμένου διεκπεραιωθούν εντός του απαιτούμενου χρονικού́ πλαισίου, η διαδικασία συνεχίζεται στο βήμα 9.

 

Βήμα 8: Τεκμηριωμένη ενημέρωση του υποκειμένου για καθυστέρηση της ικανοποίησης του αιτήματός του

 

Ο αρμόδιος εργαζόμενος του εκάστοτε τμήματος της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., είναι υπεύθυνος να ενημερώσει το υποκείμενο των δεδομένων, σε περίπτωση που το αίτημά́ του δεν δύναται να ικανοποιηθεί από́ την Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. εντός του ορισμένου, από́ τον ΓΚΠΔ, χρονικού́ πλαισίου των τριάντα (30) ημερών. Η εν λόγω ενημέρωση πρέπει να περιέχει τεκμηριωμένους τους λόγους για τους οποίους καθυστέρησε η ικανοποίηση του αιτήματος του υποκειμένου των δεδομένων.

Σημειώνεται, ότι η ενημέρωση του υποκειμένου για καθυστέρηση της ικανοποίησης του αιτήματός του μπορεί́, εάν είναι απαραίτητο, να αποσταλεί́ αργότερα κατά́ τη διάρκεια αυτής της διαδικασίας.

Η διαδικασία συνεχίζεται στο βήμα 9.

Βήμα 9: Ενημέρωση ΥΠΔ για την υλοποίηση

Μόλις το αρμόδιο τμήμα ολοκληρώσει όλες τις απαιτούμενες ενέργειες για την ικανοποίηση του αιτήματος του υποκειμένου, οφείλει να ενημερώσει τον ΥΠΔ, ότι υλοποιήθηκε το αίτημα και ότι δεν απαιτούνται άλλες ενέργειες από τη μεριά του.

Η διαδικασία συνεχίζεται στο βήμα 10.

 

Βήμα 10: Σύνταξη της απάντησης προς το υποκείμενο

Ο ΥΠΔ οφείλει να αναλύσει όλες τις διαθέσιμες πληροφορίες, τόσο αυτές που έχουν ως πηγή́ το υποκείμενο των δεδομένων, όσο και αυτές που έχουν προέλθει από́ τις διεκπεραιωτικές ενέργειες των λοιπών συναρμοδίων τμημάτων της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., καθώς και να συντάξει την απάντηση προς το υποκείμενο των δεδομένων. Οι εν λόγω ενέργειες διενεργούνται, τόσο σε περίπτωση ικανοποίησης, όσο και σε περίπτωση μη ικανοποίησης του αιτήματός του.

Σε κάθε περίπτωση, η απάντηση που θα δοθεί́ στο υποκείμενο των δεδομένων σχετικά́ με την ικανοποίηση ή μη του αιτήματός του πρέπει να είναι τεκμηριωμένη.

Η διαδικασία συνεχίζεται στο βήμα 11.

 

Βήμα 11: Ενημέρωση του υποκειμένου για την ικανοποίηση ή όχι του αιτήματός του

Η Γραμματεία ή το τμήμα Ευρωπαϊκών προγραμμάτων της Επιμορφωτικής Κιλκίς Μ.Ε.Π.Ε., πρέπει να ενημερώσει το υποκείμενο των δεδομένων κατάλληλα για την ικανοποίηση ή μη του αιτήματός του.

Επομένως, η απάντηση στο υποκείμενο των δεδομένων, επικοινωνείται από́ το αντίστοιχο τμήμα στο υποκείμενο των δεδομένων, μέσω του καναλιού́ επικοινωνίας που έχει επιλέξει. Ενδεικτικά́:

• Με επιστολή́ στη δηλωμένη ταχυδρομική́ διεύθυνση του υποκειμένου των δεδομένων
• Ηλεκτρονικά́, είτε σε περίπτωση που το έχει ζητήσει το υποκείμενο των δεδομένων είτε σε περίπτωση που το αίτημα έχει υποβληθεί́ με ηλεκτρονικά́ μέσα.
• Προφορικά́, σε περίπτωση που το έχει ζητήσει το υποκείμενο των δεδομένων

Τέλος, ενημερώνει το αρχείο καταγραφής αιτημάτων ώστε το αίτημα να είναι καταχωρισμένο με την κατάλληλη σήμανση και να φαίνεται ότι έχει ολοκληρωθεί́ (π.χ. ολοκληρωμένο). Σημειώνεται, ότι το εν λόγω αρχείο αποδεικνύει, ότι το αίτημα του υποκειμένου έχει ληφθεί́ εγκαίρως υπόψη και έχουν διενεργηθεί επ’ αυτού́ οι απαιτούμενες ενέργειες, καθώς και ότι η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. συμμορφώνεται με τις σχετικές απαιτήσεις του ΓΚΠΔ.

 

H διαδικασία ολοκληρώνεται.

ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΜΒΑΝΤΩΝ

 

ΔΙΑΧΕΙΡΙΣΗ ΠΑΡΑΒΙΑΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΗΝ ΕΤΑΙΡΕΙΑ ΕΠΙΜΟΡΦΩΤΙΚΗ ΚΙΛΚΙΣ Μ.Ε.Π.Ε.

 

Ορισμοί:

Ορισμός παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 4 παρ. 12 ΓΚΠΔ):

Παραβίαση προσωπικών δεδομένων, είναι η παραβίαση της ασφάλειας που οδηγεί σε τυχαία και παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

 

Η Ομάδα Εργασίας του άρθρου 29 (νυν Ευρωπαϊκό́ Συμβούλιο Προστασίας Δεδομένων) στις Κατευθυντήριες Γραμμές της (WP250) κατηγοριοποίησε παραβιάσεις τις λαμβάνοντας υπόψη της τις αρχές ασφάλειας των πληροφοριακών συστημάτων σε:

• «Παραβίαση εμπιστευτικότητας» - μη εξουσιοδοτημένη ή τυχαία κοινολόγηση ή πρόσβαση σε προσωπικά δεδομένα
• «Παραβίαση ακεραιότητας» - μη εξουσιοδοτημένη ή τυχαία αλλοίωση των προσωπικών δεδομένων
• «Παραβίαση διαθεσιμότητας» - μη εξουσιοδοτημένη ή τυχαία απώλεια πρόσβασης ή καταστροφή προσωπικών δεδομένων

 

Διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας και Γνωστοποίησης Παραβιάσεων Άρθρο 33 – Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην ΑΠΔΠΧ

Άρθρο 34 – Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

 

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. ως Υπεύθυνος Επεξεργασίας, για να ανταποκριθεί στις υποχρεώσεις των άρθρων 33 και 34, αλλά και για να αποφύγει αναίτια γνωστοποίηση συμβάντων, που δεν συνιστούν παραβιάσεις δεδομένων προσωπικού χαρακτήρα ή συνιστούν, αλλά δεν προκαλούν κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων έχει υιοθετήσει διαδικασία αντιμετώπισης περιστατικών ασφάλειας και γνωστοποίησης παραβιάσεων η οποία περιλαμβάνει:

• Ρόλους των οργάνων της εταιρείας και ενέργειες που απαιτούνται
• Τρόπους αναφοράς του συμβάντος, συγκέντρωση στοιχείων, αξιολόγηση συμβάντος
• Διοίκηση της εταιρίας, ενημέρωση εμπλεκομένων, ΑΠΔΠΧ,
• Τρόπους και μέτρα περιορισμού των επιπτώσεων του περιστατικού παραβίασης

Στάδια διαδικασίας αντιμετώπισης περιστατικών ασφαλείας

Εκκίνηση διαδικασίας

Επιβεβαίωση ή όχι περιστατικού

Συγκέντρωση στοιχείων

Αξιολόγηση συμβάντος ως περιστατικού παραβίασης προσωπικών δεδομένων

Εκκίνηση διαδικασίας

Η Διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας μπορεί να εκκινηθεί:

• από τις διαδικασίες της εταιρείας:
  • Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας
  • Καταγραφής και Τεκμηρίωσης των Αδυναμιών Συμμόρφωσης
• από Πελάτες – Υποκείμενα των Δεδομένων, οι οποίοι αντιλαμβάνονται πιθανά συμβάντα/περιστατικά ασφάλειας
• από εργαζόμενους της Εταιρείας (π.χ. τον Τεχνικό)
• από Εκτελούντες την Επεξεργασία
• από τη ΑΠΔΠΧ ή άλλες Δημόσιες Αρχές
• από τον Τύπο

 

Επιβεβαίωση ή όχι περιστατικού

Τα αρμόδια όργανα λαμβάνουν γνώση του συμβάντος και το αξιολογούν προκειμένου να το χαρακτηρίσουν ή όχι ως περιστατικό ασφάλειας.

Με βάση τα αποτελέσματα της αξιολόγησης, αποφασίζουν:

α) εάν το συμβάν δύναται να αποτελεί περιστατικό ασφάλειας και β) εάν το συμβάν δεν είναι περιστατικό ασφάλειας.

 

Συγκέντρωση στοιχείων:

Συλλογή:

• στοιχείων που μπορούν να χρησιμοποιηθούν για την αντιμετώπιση και την αξιολόγηση των επιπτώσεων του περιστατικού
• κάθε πληροφορίας που αφορά το συμβάν (ένδειξη, απόδειξη ή στοιχείο), απαραίτητη σε περίπτωση ελέγχου από την Εποπτική Αρχή

Αξιολόγηση περιστατικού

Σύμφωνα με τα ευρήματα της συλλογής στοιχείων, ο ΥΠΔ αξιολογεί αν από το περιστατικό προκύπτουν κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και αν απαιτείται να ενημερωθεί η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

 

Ενημέρωση ΑΠΔΠΧ:

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. ενημερώνει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αμελλητί, μέσα σε χρονικό διάστημα 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης των προσωπικών δεδομένων, εκτός αν έχει αξιολογηθεί, ότι το περιστατικό δεν αποτελεί κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. είναι υπεύθυνη για την παροχή κατ’ ελάχιστο των ακόλουθων πληροφοριών στην ΑΠΔΠΧ:

• Περιγραφή της φύσης της παραβίασης και πιθανές επιπτώσεις του περιστατικού
• Κατηγορίες και κατά προσέγγιση αριθμό υποκειμένων των δεδομένων που επηρεάζονται από το περιστατικό
• Κατηγορίες προσωπικών δεδομένων και αριθμός επηρεαζόμενων αρχείων που περιέχουν προσωπικά δεδομένα
• Ενδεχόμενες συνέπειες της παραβίασης
• Μέτρα που έχουν ληφθεί ή που έχουν προταθεί άμεσα να υλοποιηθούν με σκοπό την αντιμετώπιση του περιστατικού παραβίασης ή/και τον περιορισμό των επιπτώσεών του
• Όνομα και στοιχεία επικοινωνίας του ΥΠΔ

 

• Αν η γνωστοποίηση στην εποπτική αρχή. δεν πραγματοποιηθεί εντός 72 ωρών, πρέπει να συνοδεύεται από αιτιολόγηση για την καθυστέρηση (σύμφωνα με το άρθρο 33 παράγραφος 1).

 

Για την ενημέρωση της ΑΠΔΠΧ χρησιμοποιείται η τυποποιημένη φόρμα γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων, διαθέσιμη στον ιστότοπο της ΑΠΔΠΧ (www.dpa.gr), η οποία δύναται να αφορά:

• Αρχική γνωστοποίηση (αν πρόκειται για υποβολή κάποιων πρώτων διαθέσιμων στοιχείων, ενώ εκκρεμούν κάποια γιατί ακόμα δεν είναι διαθέσιμα)
• Συμπληρωματική γνωστοποίηση (αν παρέχονται συμπληρωματικά στοιχεία επί προηγούμενης υποβληθείσας ως αρχική)
• Πλήρη γνωστοποίηση (αν παρέχονται όλες οι πληροφορίες επί του περιστατικού)

 

Για την ασφάλεια της ηλεκτρονικής αποστολής η εν λόγω φόρμα αποστέλλεται κρυπτογραφημένη, με τέτοιο τρόπο ώστε να μπορεί να αναγνωστεί (αποκρυπτογραφηθεί) μόνο από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

Για να διασφαλιστεί αυτό, χρησιμοποιείται το λογισμικό GnuPG (GPG), το οποίο αποτελεί ελεύθερη διανομή του προτύπου OpenPGP. Η κρυπτογράφηση πραγματοποιείται στη συμπληρωμένη φόρμα γνωστοποίησης τοπικά στο υπολογιστικό σύστημα του Υπεύθυνου Επεξεργασίας, ανεξάρτητα από το πρόγραμμα/υπηρεσία ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί, και ακολούθως το επισυνάπτει ως κρυπτογραφημένο πλέον αρχείο, σε μήνυμα ηλεκτρονικού ταχυδρομείου.

Το δημόσιο κλειδί της Αρχής, με το οποίο κρυπτογραφείται η συμπληρωθείσα φόρμα γνωστοποίησης πριν αυτή επισυναφθεί στο μήνυμα ηλεκτρονικού ταχυδρομείου που θα αποσταλεί στην Αρχή, είναι:

• Key id: 445EA68B
• Key Fingerprint: AD28 60E4 2CBA CA97 A2AD A5F1 75BD F233 445E A68B

Με τον ίδιο τρόπο θα κρυπτογραφηθεί και όποιο άλλο τυχόν συνοδευτικό αρχείο της φόρμας.

 

Η ηλεκτρονική φόρμα αποστέλλεται στην ηλεκτρονική διεύθυνση: [email protected]

 

Ενημέρωση υποκειμένων των δεδομένων

Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού́ χαρακτήρα στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού́ χαρακτήρα ενδέχεται να θέσει σε υψηλό́ κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

 

Η ανακοίνωση στο υποκείμενο των δεδομένων δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις παρακάτω προϋποθέσεις:

• η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση
• η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. έλαβε στη συνέχεια μέτρα που διασφαλίζουν, ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίας των υποκειμένων των δεδομένων
• η ανακοίνωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

 

Οι ανακοινώσεις αυτές θα πραγματοποιούνται το συντομότερο δυνατό, σε συνεργασία με την εποπτική αρχή, τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές επιβολής του νόμου.

 

Αρχείο καταγραφής περιστατικών παραβίασης:

Ανεξαρτήτως του αν η παραβίαση πρέπει να γνωστοποιηθεί στην εποπτική αρχή, η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. πρέπει να τηρεί αρχεία για όλες τις παραβιάσεις, όπως επεξηγεί το άρθρο 33 παράγραφος 5:

«Η Επιμορφωτική Κιλκίς Μ.Ε.Π.Ε. τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίσταται

• στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα
• τις συνέπειες και
• τα ληφθέντα διορθωτικά μέτρα

 

Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.»