ΚΕΝΤΡΙΚΑ ΓΡΑΦΕΙΑ: ΟΜΗΡΟΥ 9 ΑΘΗΝΑ - TΗΛ: 210 3626186
  • Αρχική
  • Γνωρίστε μας
  • Πολιτική Προστασία Προσωπικών Δεδομένων

Πολιτική Προστασία Προσωπικών Δεδομένων

1           Σκοπός και πεδίο εφαρμογής

Το φιλανθρωπικό σωματείο με την επωνυμία «Κάριτας Αθήνας» (στο εξής: ο φορέας / το σωματείο), υπό την ιδιότητά του ως Υπεύθυνου Επεξεργασίας δεδομένων προσωπικού χαρακτήρα, θεσπίζει και υιοθετεί την παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με σκοπό να προστατεύει τα προσωπικά δεδομένα και να αποφεύγει την μη ορθή χρήση αυτών.

 

Αυτή η πολιτική ισχύει για όλα τα φυσικά πρόσωπα που υφίστανται επεξεργασία των προσωπικών τους δεδομένων, τα οποία είναι - ενδεικτικά – τα πρόσωπα της διοίκησης του σωματείου, όλοι οι υπάλληλοι του φορέα, παλαιοί και νέοι, ακόμη κι όσοι εργάζονται εξ αποστάσεως, οι ωφελούμενοι και υποψήφιοι ωφελούμενοι, οι συνεργάτες και προμηθευτές του φορέα ανά τα χρόνια λειτουργίας του. Είναι επίσης όλοι όσοι έχουν αφήσει τα στοιχεία τους κατά καιρούς στη φόρμα συμμετοχής εθελοντή, συμπλήρωσαν μια έγχαρτη ή ηλεκτρονική φόρμα στην ιστοσελίδα του οργανισμού ή υπέβαλαν το βιογραφικό τους για κάποια θέση εργασίας. Η παρούσα πολιτική δημιουργεί ένα ελάχιστο πρότυπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2           Περιεχόμενο

2.1         Νομικό πλαίσιο

Η παρούσα πολιτική είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων του Ευρωπαϊκού Κοινοβουλίου (GDPR ή ΓΚΠΔ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως τροποποιήθηκε και ισχύει, καθώς και με το σύνολο του νομοθετικού και κανονιστικού πλαισίου που ισχύει στην Ελλάδα, περιλαμβανομένης οποιασδήποτε σχετικής ευρωπαϊκής και εθνικής νομοθεσίας, καθώς και του δευτερογενούς δικαίου /γνωμοδοτήσεων /αποφάσεων που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Δεδομένων.

2.2         Ορισμοί

«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

 «Ευαίσθητα προσωπικά δεδομένα»: τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

 «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή. Σε όλες τις περιπτώσεις τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας που προβλέπει ο ΓΚΠΔ.

 «Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

 «Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

 «Υποκείμενο Δεδομένων» κάθε ταυτοποιήσιμο φυσικό πρόσωπο, το οποίο διαμένει εντός της Ευρωπαϊκής Ένωσης και για το οποίο ο Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων διατηρεί Προσωπικά Δεδομένα.

 «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν  δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

«Κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

«Αρχείο δεδομένων»:  κάθε απόθεμα προσωπικών δεδομένων που είναι διαρθρωμένο κατά τρόπο που να επιτρέπει την ταυτοποίηση του εν λόγω προσώπου από τα δεδομένα. Π.χ. οποιοδήποτε εργαλείο πληροφορικής που περιέχει προσωπικά δεδομένα.

«Διαβίβαση»: η κατ’ οποιονδήποτε τρόπο παροχή πρόσβασης στα προσωπικά δεδομένα, για παράδειγμα επιτρέποντας πρόσβαση, μετάδοση ή δημοσίευση. 

«Εκτίμηση αντικτύπου στα προσωπικά δεδομένα»: μια συστηματική διαδικασία για τον εντοπισμό, την αξιολόγηση και την τεκμηρίωση των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

«Τρίτη Χώρα»: κάθε χώρα που δεν παρέχει επαρκή προστασία των Δεδομένων προσωπικού χαρακτήρα, όπως αυτή προβλέπεται στον Κανονισμό

2.3         Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων

2.3.1   Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Ο φορέας διασφαλίζει ότι κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα συμμορφώνεται με τις ακόλουθες αρχές:

  • αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας: τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα υποκείμενα των δεδομένων.
  • αρχή του περιορισμού του σκοπού: να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των δεδομένων και ο οργανισμός να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα δεδομένα τους προσωπικού χαρακτήρα. Δεν συλλέγονται δεδομένα προσωπικού χαρακτήρα για απροσδιόριστους σκοπούς.
  • αρχή της ελαχιστοποίησης των δεδομένων: ο οργανισμός συλλέγει και επεξεργάζεται μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την επίτευξη του ρητά δηλωθέντος σκοπού. Ο οργανισμός δεν κάνει περαιτέρω χρήση των δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό.
  • αρχή της ακρίβειας: ο οργανισμός διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, και τα διορθώνει στην αντίθετη περίπτωση.
  • αρχή του περιορισμού της περιόδου αποθήκευσης: ο οργανισμός διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν.
  • αρχές της ακεραιότητας και εμπιστευτικότητας: ο οργανισμός υλοποιεί κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία.

Αναλυτικότερα:

2.3.1.1       Νόμιμη επεξεργασία

Ο φορέας, ως υπεύθυνος επεξεργασίας δεδομένων, συλλέγει και υποβάλει τα προσωπικά δεδομένα σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Εάν η επεξεργασία γίνεται από τρίτο εκτελούντα την επεξεργασία, αυτός υποχρεούται να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις (νομικές βάσεις):

α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία),

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (σύμφωνα με τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία), 

στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

2.3.1.2       Συναίνεση - Συγκατάθεση

Ο φορέας διασφαλίζει ότι, πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων ενημερώνεται και δίνει τη συγκατάθεσή του ελεύθερα και οικειοθελώς. Προκειμένου να αποδεικνύεται η συναίνεση, ο φορέας κατά κανόνα χρησιμοποιεί τη γραπτή συγκατάθεση ή την επιτρεπόμενη καταγραφή κλήσεων. Το υποκείμενο των δεδομένων μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.

Δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:

α) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος,

β) προκειμένου να ληφθούν μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης,  

γ) για τη συμμόρφωση με τις νομικές υποχρεώσεις του υπεύθυνου επεξεργασίας δεδομένων, 

δ) για την προστασία των ζωτικών συμφερόντων ατόμου ( του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου),

ε) εάν τα νόμιμα συμφέροντα που επιδιώκει ο φορέας ή τρίτος υπερισχύουν των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

(Στις περιπτώσεις αυτές, η συναίνεση δεν αποτελεί τη νομική βάση της επεξεργασίας -σε περίπτωση αμφιβολίας, επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων του φορέα).

2.3.1.3       Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων

Στο πλαίσιο της δραστηριότητάς του και της συνεργασίας του με άλλους φορείς ή Αρχές, ο φορέας συλλέγει και επεξεργάζεται δεδομένα ειδικών κατηγοριών (τα λεγόμενα ευαίσθητα προσωπικά δεδομένα, ήτοι δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων).

Για την επεξεργασία των δεδομένων αυτών, ο φορέας εξασφαλίζει τη ρητή συγκατάθεση των υποκειμένων. Κατ’ εξαίρεση δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:

α) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του φορέα ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας πάντα τις κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,

β) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

γ) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

δ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

ε) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

στ) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του δικαίου της Ε.Ε ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και μόνον όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς,

ζ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

η) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

2.3.1.4       Υποχρέωση πληροφόρησης

Δεδομένου ότι το υποκείμενο δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και τους σκοπούς της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του, ο φορέας φροντίζει να ενημερώνει το υποκείμενο των δεδομένων τουλάχιστον για τα ακόλουθα: 

  • τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. του φορέα,
  • τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (DPO),
  • το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
  • το σκοπό της επεξεργασίας,
  • το έννομο συμφέρον του φορέα για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
  • τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
  • τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
  • την περίοδο διατήρησης των δεδομένων ή των κριτηρίων που χρησιμοποιήθηκαν για τον καθορισμό της,
  • εάν συντρέχει αυτοματοποιημένη λήψη αποφάσεων, τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
  • τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους.

2.3.1.5       Σκοπός επεξεργασίας

Ο φορέας διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύονται κατά τη στιγμή της συλλογής, ή για τους σκοπούς που προβλέπονται από το νόμο. Η επεξεργασία των προσωπικών δεδομένων γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται και αποθηκεύονται είναι τα απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους.  Κάθε πρόσωπο που επεξεργάζεται δεδομένα έχει αναλάβει τη δέσμευση να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.

Ο φορέας επεξεργάζεται προσωπικά δεδομένα προσωπικού, ωφελουμένων, υποψηφίων ωφελουμένων, προμηθευτών, παρόχων υπηρεσιών, εξωτερικών συνεργατών, ασθενών, εκτελούντων την επεξεργασία των προσωπικών δεδομένων για λογαριασμό του, καθώς και μελών Διοικητικού Συμβουλίου, για την λειτουργία και  διευκόλυνση της δραστηριότητάς του, σύμφωνα με τη νομοθεσία και το κανονιστικό πλαίσιο που τον διέπει, σε εθνικό και ευρωπαϊκό επίπεδο.

2.3.1.6       Αρχεία προσωπικού

Ο φορέας συλλέγει και επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων και στελεχών του, καθώς και των μελών της διοίκησής του. Ο φάκελος προσωπικού και τα προσωπικά δεδομένα που περιέχει ταξινομούνται ως «εμπιστευτικές πληροφορίες». Οι υπάλληλοι, τα στελέχη και τα μέλη της διοίκησης έχουν ενημερωθεί εγγράφως σχετικά με τον τρόπο με τον οποίο ο φορέας επεξεργάζεται τα προσωπικά τους δεδομένα, καθώς και για τα δικαιώματα που έχουν και τον τρόπο άσκησής τους.

2.3.1.7       Ποιότητα δεδομένων

Ο φορέας έχει ενημερώσει το προσωπικό που επεξεργάζεται τα προσωπικά δεδομένα για την υποχρέωση να διασφαλίζει ότι τα δεδομένα είναι ακριβή (ορθά και πλήρη) και, όταν είναι αναγκαίο, να προβαίνει σε επικαιροποίηση αυτών. Ο φορέας λαμβάνει κάθε εύλογο μέτρο (τεχνικό και οργανωτικό) προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, σε σχέση με τους σκοπούς της επεξεργασίας, διορθώνονται ή καταστρέφονται.

2.3.1.8       Εκτίμηση αντικτύπου στα προσωπικά δεδομένα

Ο φορέας διεξάγει εκτίμηση αντικτύπου στα προσωπικά δεδομένα, με τη δέουσα τεκμηρίωση και με τη βοήθεια του Υπευθύνου Προστασίας Δεδομένων, σε περίπτωση που η προγραμματισμένη δραστηριότητα επεξεργασίας μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.

Ο σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριαστούν οι κίνδυνοι για το απόρρητο των δεδομένων. Η αξιολόγηση διενεργείται πριν ξεκινήσουν οι εργασίες επεξεργασίας υψηλού κινδύνου.

Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:

  • συστηματική και εκτενή αξιολόγηση των προσωπικών πτυχών της προσωπικότητας του υποκειμένου των δεδομένων, που βασίζεται σε αυτοματοποιημένη επεξεργασία, εάν οι αποφάσεις που επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην αξιολόγηση αυτή,
  • επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα,
  • συστηματική και ευρείας κλίμακας παρακολούθηση μίας προσβάσιμης στο κοινό περιοχής, π.χ. παρακολούθηση με βίντεο ενός δημόσιου χώρου.

Όταν η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, ο φορέας προβαίνει σε επανεξέταση της συγκεκριμένης επεξεργασίας.

2.3.1.9       Διαβίβαση σε τρίτους

Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο, οπότε ο φορέας γνωστοποιεί στα υποκείμενα των δεδομένων τις κατηγορίες πιθανών αποδεκτών των προσωπικών τους δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως ή ψευδωνυμοποιημένα, εφόσον κρίνεται σκόπιμο και είναι εφικτό.

 

Οι τρίτοι εκτελούντες την επεξεργασία για λογαριασμό του φορέα (π.χ. εργολάβοι, εξωτερικοί συνεργάτες ή πάροχοι υπηρεσιών), συμφωνούν συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική και λαμβάνουν όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των προσωπικών δεδομένων των υποκειμένων σύμφωνα με την ισχύουσα νομοθεσία. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.

2.3.1.10   Διασυνοριακή διαβίβαση προσωπικών δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε Τρίτη Χώρα μόνο εάν η νομοθεσία της Τρίτης Χώρας προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που η νομοθεσία της Τρίτης Χώρας δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε αυτή τη χώρα μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προς τον οποίο πραγματοποιείται η διαβίβαση έχει παράσχει κατάλληλες εγγυήσεις κατά την έννοια του άρθρο 46 ΓΚΠΔ. Επίσης, ο φορέας ενδέχεται να διαβιβάσει προσωπικά δεδομένα σε αρμόδιες εθνικές αρχές προκειμένου να προωθηθούν μέσω αυτών στις αντίστοιχες αρχές τρίτων χωρών, στο πλαίσιο εκπλήρωσης υποχρεώσεών του εκ του νόμου.

 

Ο φορέας λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων, στην περίπτωση της διαβίβασης, με τη λήψη επαρκών διασφαλίσεων για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία, λαμβάνοντας υπόψη τις τεχνολογικές καινοτομίες και τις ιδιαιτερότητες της εκάστοτε επεξεργασίας.

2.3.1.11   Ασφάλεια δεδομένων

Ο φορέας εφαρμόζει τα κατάλληλα, τεχνικά και οργανωτικά, μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας δεδομένων προσωπικού χαρακτήρα, και για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και επεξεργασίας. Για τον σκοπό αυτό, λαμβάνονται υπόψη οι τεχνολογικές καινοτομίες και καθορίζονται διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της εκάστοτε επεξεργασίας

2.3.1.12    Αποθήκευση και διατήρηση δεδομένων

Ο φορέας διατηρεί τα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για το χρονικό διάστημα, το οποίο είναι απολύτως απαραίτητο για την εξυπηρέτηση των σκοπών, για τους οποίους έχουν συλλεχθεί. Ενδέχεται να διατηρεί τα δεδομένα και πέραν της εικοσαετίας, εφόσον από αυτά ενδέχεται να προκύψουν δικαιώματα και υποχρεώσεις έναντι αρχών ή ιδιωτών και πέραν του διαστήματος αυτού. Η διατήρηση των δεδομένων και εγγράφων τελεί σε συμμόρφωση με την ισχύουσα νομοθεσία, καθώς και με τη νομοθεσία περί προσωπικών δεδομένων. Οι περίοδοι διατήρησης έχουν οριστεί σύμφωνα με: (α) τις εκ του νόμου απορρέουσες υποχρεώσεις για τη διατήρηση δεδομένων για συγκεκριμένο χρονικό διάστημα, (β) τα χρονικά όρια της παραγραφής σύμφωνα με την εκάστοτε ισχύουσα νομοθεσία, (γ) πιθανές αντιδικίες, καθώς και (δ) κατευθυντήριες γραμμές που εκδίδονται από τις οικείες αρχές προστασίας δεδομένων καθώς και από άλλες εποπτικές αρχές. Ο φορέας καταστρέφει ή διαγράφει τα δεδομένα τα οποία δεν χρειάζεται πλέον να τηρεί, σύμφωνα με τα χρονικά όρια που έχουν οριστεί, με ασφάλεια. Σε περίπτωση που χρησιμοποιεί δεδομένα για στατιστικούς ή ερευνητικούς σκοπούς, διασφαλίζει ότι τα δεδομένα είναι ανώνυμα, έτσι ώστε να μην μπορεί το υποκείμενο να προσδιοριστεί με ή από αυτά με κανένα τρόπο.

2.3.2        Δικαιώματα των υποκειμένων των δεδομένων

Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα σύμφωνα με τον ΓΚΠΔ και με τις προϋποθέσεις και περιορισμούς που τίθενται σε αυτόν:

  • Το δικαίωμα ενημέρωσης,
  • Το δικαίωμα πρόσβασης,
  • Το δικαίωμα διόρθωσης,
  • Το δικαίωμα διαγραφής («δικαίωμα στη λήθη»),
  • Το δικαίωμα περιορισμού της επεξεργασίας,
  • Το δικαίωμα στη φορητότητα δεδομένων,
  • Το δικαίωμα εναντίωσης στην επεξεργασία,
  • Το δικαίωμα να μην υπόκεινται σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας.

Ο φορέας διασφαλίζει ότι το προσωπικό του σέβεται τα σχετικά αιτήματα των ο υποκειμένων των δεδομένων, τηρώντας τις τεθείσες διαδικασίες και, εφόσον απαιτείται, ζητά τη συμβουλή του DPO για την ικανοποίηση των δικαιωμάτων αυτών και τον χειρισμό των αιτημάτων.

Τα αιτήματα των υποκειμένων των δεδομένων υποβάλλονται γραπτώς στον φορέα στη διεύθυνση ηλεκτρονικού ταχυδρομείου Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. ή στον Υπεύθυνο Προστασίας Δεδομένων (DPO) στη διεύθυνση ηλεκτρονικού ταχυδρομείου Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. ή (ομοίως εγγράφως) στα γραφεία της διοίκησης του φορέα, Ομήρου 9, 10672, Αθήνα, υπόψιν Υπεύθυνου Προστασίας Προσωπικών Δεδομένων.

2.3.3        Καταγραφή παραβίασης δεδομένων

Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, η απώλεια, η αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συναίνεση ή για σκοπούς άλλους από εκείνους που υποδεικνύονται τη στιγμή της συλλογής.

Το πρόσωπο που ανακαλύπτει την παραβίαση προσωπικών δεδομένων λαμβάνει τα κατάλληλα μέτρα και εφαρμόζει τις ανάλογες διαδικασίες για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αναφέρει την παραβίαση στο DPO χωρίς καθυστέρηση. Ο DPO συστηματικά καταγράφει τις παραβιάσεις που του αποκαλύφθηκαν και αξιολογεί τους λόγους των παραβιάσεων. Επιπλέον, ο DPO, σε συνεννόηση με τον φορέα, λαμβάνει τυχόν περαιτέρω απαιτούμενα μέτρα για την αποκατάσταση της παραβίασης και την αποτροπή της επανάληψης των παραβιάσεων.

2.3.4        Ειδοποίηση για την παραβίαση των δεδομένων

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο φορέας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Επιπλέον, ο φορέας  οφείλει να ενημερώσει χωρίς καθυστέρηση το υποκείμενο των δεδομένων, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

2.3.5        Τήρηση αρχείου δραστηριοτήτων επεξεργασίας

Ο φορέας τηρεί κατάλογο όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων που διενεργεί. Ο κατάλογος περιλαμβάνει κατ’ ελάχιστον τις ακόλουθες πληροφορίες:

α) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας δεδομένων και κάθε κοινού υπεύθυνου επεξεργασίας δεδομένων, καθώς και του εκτελούντος την επεξεργασία, εάν υφίσταται

β) το όνομα και τα στοιχεία επικοινωνίας του DPO,

γ) την περιγραφή των τηρούμενων δεδομένων και της κατηγορίας στην οποία ανήκουν,

δ) τον σκοπό και τη νομική βάση της επεξεργασίας,

ε) την περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα,

στ) τις κατηγορίες των αποδεκτών δεδομένων, στους οποίους έχουν διαβιβαστεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες,

ζ) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατόν,

η) μια γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατόν,

θ) τη διενέργεια εκτίμησης αντικτύπου, εάν προβλέπεται

ι) την προηγούμενη ενημέρωση των υποκειμένων των δεδομένων

 

Τα τηρούμενα δεδομένα ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές που περιέχουν ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, καταχωρούνται σε ξεχωριστούς φακέλους, επισημαίνονται αντίστοιχα και υπόκεινται σε διαβάθμιση εμπιστευτικότητας.

2.3.6        Κατάρτιση και ευαισθητοποίηση

Ο φορέας φροντίζει ώστε το προσωπικό του να εκπαιδεύεται και να ενημερώνεται σε θέματα προστασίας και ασφάλειας δεδομένων προσωπικού χαρακτήρα σύμφωνα με το ισχύον νομοθετικό και κανονιστικό πλαίσιο καθώς και από τις πολιτικές και διαδικασίες που υιοθετεί. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διανέμει ενημερωτικό υλικό, πραγματοποιεί εκπαιδευτικές συναντήσεις με το προσωπικό και απαντά στα ερωτήματα που τίθενται.

2.4         Υποχρεώσεις κατά την υιοθέτηση νέων δραστηριοτήτων επεξεργασίας και νέων διαδικασιών

Η προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί αναπόσπαστο μέρος κάθε μορφής ανάπτυξης και εμβάθυνσης της οργάνωσης του φορέα. Κατά συνέπεια, σε περίπτωση υιοθέτησης νέων δραστηριοτήτων επεξεργασίας δεδομένων ή αξιολόγησης και επανασχεδιασμού των υφιστάμενων, λαμβάνεται υπόψη η αρχή της προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού.

2.4.1   Προστασία των δεδομένων από τον σχεδιασμό

Όταν εισάγονται νέα συστήματα επεξεργασίας δεδομένων, ο φορέας εξασφαλίζει υψηλό επίπεδο προστασίας δεδομένων. Ιδιαίτερα, κάθε νέο σύστημα και διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:

α) Πρέπει να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των προσωπικών δεδομένων από τη συλλογή έως την επεξεργασία και τη διαγραφή.

β) Τα συστήματα επεξεργασίας δεδομένων πρέπει να αποσκοπούν στη συλλογή των λιγότερων δυνατών προσωπικών δεδομένων που απαιτούνται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν. 

γ) Όταν η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας δεδομένων, τα προσωπικά δεδομένα πρέπει να καταστούν ανώνυμα κατά τρόπο που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μη μπορεί πλέον να ταυτοποιείται.   

δ) Εφόσον τα προσωπικά δεδομένα δεν μπορούν να είναι ανώνυμα, πρέπει να λαμβάνονται μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως η ψευδωνυμοποίηση, η κρυπτογράφηση ή ο περιορισμός πρόσβασης.

ε) Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα χορηγείται σύμφωνα με την αρχή της αναγκαιότητας, ήτοι τα προσωπικά δεδομένα καθίστανται προσβάσιμα μόνο σε εκείνα τα πρόσωπα που τα χρειάζονται αναγκαστικά για να εκτελούν καθορισμένους ρόλους και ευθύνες.

στ) Ο συστηματικός έλεγχος ποιότητας των προσωπικών δεδομένων πρέπει να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, πρέπει να δημιουργούνται διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.

ζ) Τα συστήματα επεξεργασίας δεδομένων πρέπει να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.

η) Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά τους δεδομένα.

2.4.2   Προστασίας των δεδομένων εξ ορισμού

Ο φορέας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

Εκτενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέξει ή συμφωνεί με ένα χαμηλότερο επίπεδο προστασίας, π.χ. με τη χειροκίνητη αλλαγή των ρυθμίσεων απορρήτου σε έναν ιστότοπο, ένα εργαλείο πληροφορικής ή αντίστοιχο, με μια λιγότερο περιοριστική επιλογή και συνεπώς δίνει τη ρητή συγκατάθεσή του στην εκτεταμένη επεξεργασία ("opt-in").

2.5         Υπεύθυνος Επεξεργασίας Δεδομένων

Ο φορέας, ως Υπεύθυνος Επεξεργασίας Δεδομένων, καθορίζει με διαφανή τρόπο τους σκοπούς και τα μέσα της επεξεργασίας. είναι υπεύθυνος για την ορθή επεξεργασία των προσωπικών δεδομένων και την τήρηση των απαιτήσεων προστασίας και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία.

2.6         Εκτελών την Επεξεργασία

Οι τυχόν τρίτοι, ως Εκτελούντες την Επεξεργασία, είναι υπεύθυνοι για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνουν από τον υπεύθυνο επεξεργασίας δεδομένων. Επιπλέον, οι εκτελούντες την επεξεργασία είναι υπεύθυνοι να ενημερώνουν χωρίς αδικαιολόγητη καθυστέρηση τον υπεύθυνο επεξεργασίας δεδομένων σχετικά με την παραβίαση της προστασίας δεδομένων.

Οι εκτελούντες την επεξεργασία πρέπει να δεσμεύουν συμβατικά οποιονδήποτε ενδεχόμενο υπεργολάβο, που λαμβάνει εντολή να εκτελέσει την επεξεργασία δεδομένων, αντί του εκτελούντος, να συμμορφώνεται με τις ίδιες οδηγίες που ο ίδιος έχει λάβει από τον υπεύθυνο επεξεργασίας δεδομένων. 

2.7         Υπεύθυνος Προστασίας Δεδομένων

Ο Φορέας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), ο οποίος είναι υπεύθυνος για το συντονισμό της προστασίας δεδομένων. Ο DPO:

α) παρακολουθεί τη συμμόρφωση του φορέα με τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,

β) παρακολουθεί και εφαρμόζει επεξηγηματικά έγγραφα της Επιτροπής της Ευρωπαϊκής Ένωσης, της Ομάδας Εργασίας του άρθρου 29  και της εθνικής Εποπτικής Αρχής σχετικά με την εκτέλεση των διατάξεων του ΓΚΠΔ,

γ) υποστηρίζει τη διοίκηση του φορέα στη διασφάλιση της συμμόρφωσης με τον νόμο στο πλαίσιο της προστασίας δεδομένων,

δ) παρακολουθεί τακτικά την τήρηση της πολιτικής αυτής,

ε) φροντίζει για την ορθή τήρηση του αρχείου δραστηριοτήτων επεξεργασίας και κάθε άλλου αρχείου και καταλόγου που περιλαμβάνει την τεκμηρίωση της συμμόρφωσης του φορέα,

στ) παρακολουθεί και να βοηθά στην εκτίμηση του αντικτύπου στα προσωπικά δεδομένα,

ζ) είναι υπεύθυνος για την απάντηση στα αιτήματα πληροφόρησης του υποκειμένου των δεδομένων,

η) είναι υπεύθυνος για την ευαισθητοποίηση του προσωπικού του φορέα αναφορικά με την προστασία των δεδομένων και την παροχή συμβουλών περί επεξεργασίας δεδομένων και υποχρεώσεων,

θ) ενεργεί ως πρόσωπο επικοινωνίας των εποπτικών αρχών σε θέματα που σχετίζονται με την επεξεργασία προσωπικών δεδομένων, και συνεργάζεται με τις αρχές σε οποιοδήποτε άλλο θέμα.

2.8         Διοίκηση

Η Διοίκηση του φορέα δεσμεύεται στην τήρηση και εφαρμογή αυτής της πολιτικής και παρέχει το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Η Διοίκηση διασφαλίζει ότι οι υπάλληλοι, τα στελέχη, οι συνεργάτες του φορέα και οι οντότητες για τις οποίες αυτοί είναι υπεύθυνοι, γνωρίζουν, κατανοούν και τηρούν τις απαιτήσεις αυτής της πολιτικής και είναι κατάλληλα εκπαιδευμένοι για να εκπληρώσουν πλήρως αυτό το καθήκον τους.

2.9         Παραβίαση της πολιτικής προστασίας δεδομένων

Κάθε παραβίαση αυτής της πολιτικής προστασίας δεδομένων συνεπάγεται σοβαρές ευθύνες αυτού που την παραβιάζει, οι οποίες ενδέχεται να επιφέρουν πειθαρχικές κυρώσεις έως και την απόλυση του υπαιτίου σε εξαιρετικά σοβαρές περιπτώσεις. Ανάλογα με το είδος και την έκταση της παραβίασης, ενδέχεται να υπάρχει η υποχρέωση αναφοράς της στην εποπτική αρχή και η επιβολή ποινικών, αστικών ή κανονιστικών κυρώσεων.

3           Λεπτομέρειες – παρατηρήσεις – αναφορά στις αρχές

Για περισσότερες πληροφορίες σε σχέση με την προστασία των προσωπικών δεδομένων, μπορείτε να ανατρέξετε στην ιστοσελίδα της Ευρωπαϊκής Επιτροπής (https://ec.europa.eu/info/law/law-topic/data-protection_el) ή της Αρχής προστασίας Δεδομένων Προσωπικού Χαρακτήρα

(https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL).

Για οποιαδήποτε παρατήρηση ή ερώτηση σχετικά με τα προσωπικά σας δεδομένα και την επεξεργασία τους από την Κάριτας Αθήνας, παρακαλείστε να επικοινωνήσετε μαζί μας στη διεύθυνση Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. ή Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε..

Έχετε δικαίωμα να απευθύνεστε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα, τηλ. κέντρο: 210 6475600, email: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.).

 

Η Κάριτας Αθήνας είναι σωματείο Μη Κερδοσκοπικού χαρακτήρα (MKO), αναγνωρισμένο από το κράτος, μέλος της Κάριτας Ελλάς (που αποτελεί σκέλος της Caritas Europa και της Caritas Internationalis, της Φιλανθρωπικής Οργάνωσης της Καθολικής Εκκλησίας, με ενεργό δράση σε περισσότερες από 165 χώρες στον κόσμο)

Στοιχεία Επικοινωνίας

Κάριτας Αθήνας
Ομήρου 9, 106 72 Αθήνα
Τηλ. / Φαξ: (+30) 210 3626 186
Εmail: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.
Ώρες γραφείου:
Δευτέρα έως Παρασκευή: 08.30 – 16.00

Τομέας Προσφυγικού Έργου
Καποδιστρίου 52, 104 32 Αθήνα
Τηλ.: (+30) 210 5246 637 & (+30) 210 5249 564
Φαξ: 210 5246 646
email: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.
Ώρες γραφείου:
Δευτέρα έως Παρασκευή: 08.00 – 16.00

Κέντρο Συμβουλευτικής
Καποδιστρίου 52, 104 32 - Αθήνα
Τηλ: 210 3317471
e-mail: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. 
Ώρες γραφείου:
Δευτέρα έως Παρασκευή: 08.00 – 16.00 (κατόπιν ραντεβού)


Caritas Athens Greece © 2019 All rights reserved.