Πολιτική Προστασίας Απορρήτου και Προσωπικών Δεδομένων

Εισαγωγή

Στις καθημερινές επιχειρησιακές δραστηριότητές του, ο «Δήμος Σερρών» χρησιμοποιεί μια ποικιλία δεδομένων σχετικά με ταυτοποιήσιμα άτομα, συμπεριλαμβανομένων των δεδομένων σχετικά με: 

• Υφιστάμενους, υποψήφιους και πρώην υπαλλήλους

• Πολίτες

• Προμηθευτές-Υπεργολάβους-Συνεργάτες

• Άλλα ενδιαφερόμενα μέρη (Αρχές, Δημόσιοι κλπ)

Κατά τη συλλογή και τη χρήση αυτών των δεδομένων, ο οργανισμός υπόκειται σε ποικίλες νομοθετικές ρυθμίσεις που ελέγχουν τον τρόπο διεξαγωγής των δραστηριοτήτων αυτών και στις διασφαλίσεις που πρέπει να εφαρμοστούν για την προστασία του.

Σκοπός αυτής της πολιτικής είναι να καθορίσει τη σχετική νομοθεσία και να περιγράψει τα βήματα του «Δήμου Σερρών» για να διασφαλίσει ότι συμμορφώνεται με αυτήν.

Αυτός ο έλεγχος ισχύει για όλα τα συστήματα, τους ανθρώπους και τις διαδικασίες που αποτελούν τα στοιχεία του οργανισμού, συμπεριλαμβανομένων των μελών του διοικητικού συμβουλίου, των διευθυντών, των υπαλλήλων, των προμηθευτών και άλλων τρίτων που έχουν πρόσβαση στα συστήματα και λειτουργία του «Δήμου Σερρών».

Για το παρόν έγγραφο ισχύουν οι ακόλουθες πολιτικές και διαδικασίες:

• GDPR-DOC-05 Ρόλοι, Ευθύνες και Εξουσίες GDPR
• GDPR- DOC-13 Απογραφή Στοιχείων Προσωπικών Δεδομένων
• GDPR-DOC-16 Πολιτική Διατήρησης και Προστασίας Δεδομένων
• GDPR-DOC-15 Διαδικασία Αντιμετώπισης Περιστατικών της Ασφάλειας Πληροφοριών

Πολιτική Προστασίας Απορρήτου και Προσωπικών Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων

Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (GDPR) είναι ένα από τα σημαντικότερα νομοθετήματα που επηρεάζουν τον τρόπο με τον οποίο ο «Δήμος Σερρών» εκτελεί τις δραστηριότητες επεξεργασίας πληροφοριών. Σημαντικά πρόστιμα ισχύουν σε περίπτωση που μια παράβαση θεωρείται ότι έχει συμβεί στο πλαίσιο του GDPR, το οποίο αποσκοπεί στην προστασία των προσωπικών δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Είναι πολιτική του «Δήμου Σερρών» να διασφαλίσει ότι η συμμόρφωσή της με το GDPR και με άλλες σχετικές νομοθετικές πράξεις είναι σαφής και τεκμηριωμένη ανά πάσα στιγμή.

Ορισμοί

Υπάρχουν συνολικά 26 ορισμοί που περιλαμβάνονται στο GDPR και δεν είναι κατάλληλο να τις αναπαραγάγουμε όλες εδώ. Ωστόσο, οι πιο θεμελιώδεις ορισμοί όσον αφορά αυτήν την πολιτική είναι οι εξής:

«Δεδομένα Προσωπικού Χαρακτήρα» ορίζονται:
κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου

«επεξεργασία»:
κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή

«υπεύθυνος επεξεργασίας»:
το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Αρχές που διέπουν την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα

Υπάρχει μια σειρά θεμελιωδών αρχών στις οποίες βασίζεται ο GDPR.
Αυτές είναι:

  1. Τα δεδομένα προσωπικού χαρακτήρα:
    1. υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
    2. συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
    3. είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
    4. είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται.Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»), 4.5.2016 L 119/35 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης EL (1)Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1),
    5. διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
    6. υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία τροποποίηση, απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («προστασία εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας»).
  2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
 

Ο «Δήμος Σερρών» δεσμεύεται ότι συμμορφώνεται με όλες αυτές τις αρχές τόσο στην/στις επεξεργασία/ες που αυτή τη στιγμή εκτελεί, όσο και στο πλαίσιο της εισαγωγής νέων μεθόδων επεξεργασίας, όπως πχ. τα νέα συστήματα Τεχνολογίας Πληροφοριών ή νέες μεθοδολογίες κλπ.

Δικαιώματα των Υποκειμένων των Δεδομένων

Η «Δήμος Σερρών» υποστηρίζει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων βάσει του GDPR, που είναι:

1. Το δικαίωμα ενημέρωσης
2. Το δικαίωμα πρόσβασης
3. Το δικαίωμα διόρθωσης
4. Το δικαίωμα διαγραφής
5. Το δικαίωμα περιορισμού της επεξεργασίας
6. Το δικαίωμα στη φορητότητα των δεδομένων
7. Το δικαίωμα εναντίωσης
8. Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και την
κατάρτιση προφίλ.

Κάθε ένα από αυτά τα δικαιώματα υποστηρίζεται από τις κατάλληλες διαδικασίες στο «Δήμο Σερρών» (GDPR-DOC-21 Διαδικασία Αιτήματος του Υποκειμένου των Δεδομένων) που επιτρέπουν την ανάληψη των απαιτούμενων ενεργειών εντός των χρονικών ορίων που ορίζονται στον GDPR.

Τα χρονικά πλαίσια αυτά παρουσιάζονται στον Πίνακα 1

Αίτημα Υποκειμένου των Δεδομένων Χρονικά Όρια
Το δικαίωμα ενημέρωσης Όταν συλλέγονται τα δεδομένα (εφόσον παρέχονται από το υποκείμενο των δεδομένων) ή εντός ενός μηνός (εάν δεν
παρέχονται από το υποκείμενο των δεδομένων)
Το δικαίωμα πρόσβασης Ένας μήνας
Το δικαίωμα διόρθωσης Ένας μήνας
Το δικαίωμα διαγραφής Χωρίς αδικαιολόγητη καθυστέρηση
Το δικαίωμα περιορισμού της επεξεργασίας Χωρίς αδικαιολόγητη καθυστέρηση
Το δικαίωμα στη φορητότητα των δεδομένων Ένας μήνας
Το δικαίωμα εναντίωσης Μετά την παραλαβή της ένστασης
Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ. Δεν διευκρινίζεται

Πίνακας1 – Χρονοδιαγράμματα για τα Αιτήματα των Υποκειμένων των Δεδομένων

Συγκατάθεση

Εάν δεν υπάρχει Νομική βάση για την επεξεργασία προσωπικών δεδομένων κατά τον GDPR, θα ζητείται ρητή συγκατάθεση από ένα υποκείμενο δεδομένων για τη συλλογή και επεξεργασία των δεδομένων του. Σε περίπτωση παιδιών ηλικίας κάτω των 15 ετών, θα ζητείται η συγκατάθεση των γονέων. Διαφανείς πληροφορίες σχετικές με τη χρήση των προσωπικών δεδομένων παρέχονται στα υποκείμενα των δεδομένων, τη στιγμή που λαμβάνεται η συγκατάθεση κι εξηγούνται τα δικαιώματά τους όσον αφορά τα δεδομένα τους, όπως το δικαίωμα ανάκλησης της συγκατάθεσης. Οι πληροφορίες αυτές παρέχονται σε προσιτή μορφή, γραμμένη σε σαφή γλώσσα και δωρεάν. Εάν τα προσωπικά δεδομένα δεν αποκτώνται απευθείας από το υποκείμενο των δεδομένων, τότε αυτές οι πληροφορίες παρέχονται μέσα σε εύλογο χρονικό διάστημα μετά τη λήψη των δεδομένων και οπωσδήποτε εντός ενός μηνός.

Προστασία Απορρήτου από το Σχεδιασμό και εξ Ορισμού

Ο «Δήμος Σερρών» έχει υιοθετήσει την αρχή της προστασίας απορρήτου από το σχεδιασμό και εξ ορισμού (σύμφωνα με το άρθρο 25 του GDPR) και διασφαλίζει ότι ο σχεδιασμός όλων των νέων ή σημαντικά αλλαγμένων συστημάτων που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, θα υπόκεινται στην κατάλληλη εξέταση των θεμάτων προστασίας απορρήτου, συμπεριλαμβανομένης της ολοκλήρωσης μίας ή περισσοτέρων εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων (GDPR-DOC-07 Διαδικασία Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων).

Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων θα περιλαμβάνει:

  • Εξέταση του πώς επεξεργάζονται τα προσωπικά δεδομένα και για ποιους σκοπούς
  • Αξιολόγηση του κατά πόσον η προτεινόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι τόσο αναγκαία όσο και αναλογική προς τον σκοπό (ούς)
  • Εκτίμηση των κινδύνων για τα άτομα κατά την επεξεργασία των προσωπικών δεδομένων
  • Ποια τεχνικά και οργανωτικά μέτρα είναι απαραίτητα για την αντιμετώπιση των εντοπισμένων κινδύνων και την απόδειξη της συμμόρφωσης με τη νομοθεσία

Οι εφαρμογές (Πληροφοριακά Συστήματα) ακολουθούν την αρχή της ελαχιστοποίησης των δεδομένων (data minimization), καθώς και της ποιότητας των δεδομένων και περιλαμβάνουν τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της κάθε επεξεργασίας. Επίσης, επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφαλείας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας σύμφωνα με την πολιτική GDPR-DOC-16 Πολιτική Διατήρησης και προστασίας Δεδομένων. Η χρήση τεχνικών όπως η ελαχιστοποίηση των δεδομένων, η κρυπτογράφηση και η ψευδωνυμοποίηση θα λαμβάνονται υπόψη όπου είναι εφαρμόσιμο και κατάλληλο.

Διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα

Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης επανεξετάζονται προσεκτικά πριν από τη πραγματοποίηση της διαβίβασης, ώστε να διασφαλιστεί ότι εμπίπτουν στα όρια που επιβάλλει ο GDPR. Αυτό εξαρτάται εν μέρει από την κρίση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια των διασφαλίσεων για τα προσωπικά δεδομένα που ισχύουν στη χώρα υποδοχής και αυτό μπορεί να αλλάξει με την πάροδο του χρόνου.

Υπεύθυνος Προστασίας Δεδομένων

Ο καθορισμένος ρόλος του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ – DPO) απαιτείται στο πλαίσιο του GDPR, επειδή ο «Δήμος Σερρών» επεξεργάζεται ιδιαίτερα ευαίσθητους τύπους δεδομένων σε μεγάλη κλίμακα. Ο ΥΠΔ διαθέτει το κατάλληλο επίπεδο γνώσεων είναι ένας εσωτερικός πόρος είτε να ανατεθεί σε έναν κατάλληλο πάροχο υπηρεσιών (GDPR-DOC-05 Ρόλοι Ευθύνες και Εξουσίες GDPR και GDPRDOC-09 Διαδικασία Ανάπτυξης Ικανοτήτων GDPR).

Οι εκτελούντες την επεξεργασία (Προμηθευτές υπηρεσιών)

Ο «Δήμος Σερρών» τηρεί κατάλογο όλων των εκτελούντων την επεξεργασία που χειρίζονται προσωπικά δεδομένα για λογαριασμό του εντός ή εκτός των εγκαταστάσεων του. Η σχετική ανάθεση εργασιών στους εκτελούντες την επεξεργασία γίνεται υποχρεωτικά εγγράφως με την χρήση των εντύπων GDPR-DOC-35 Συμφωνια εκτέλεσης της επεξεργασίας-Ατομική Επιχείρηση και GDPR-DOC-34 Συμφωνία εκτέλεσης της επεξεργασία.

Γνωστοποίηση Παραβίασης

Η πολιτική του «Δήμου Σερρών» είναι δίκαιη και αναλογική όταν εξετάζονται τα μέτρα που πρέπει να ληφθούν για την ενημέρωση των επηρεαζόμενων μερών σχετικά με τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τον GDPR, όταν γνωστοποιηθεί ότι σημειώθηκε παραβίαση, η οποία ενδέχεται να έχει ως αποτέλεσμα τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, η σχετική Αρχή Προστασίας Δεδομένων (ΑΠΔ) θα ενημερωθεί εντός 72 ωρών. Αυτό θα γίνεται σύμφωνα με τη GDPR-DOC-15 Διαδικασία Αντιμετώπισης Περιστατικών της Ασφάλειας Πληροφοριών που καθορίζει τη συνολική διαδικασία αντιμετώπισης περιστατικών ασφάλειας πληροφοριών. Σύμφωνα με τον GDPR, η αρμόδια ΑΠΔ έχει την εξουσία να επιβάλλει πρόστιμα ύψους έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20.000.000 ευρώ, όποιο είναι υψηλότερο, για παραβάσεις των κανονισμών.

Αντιμετώπιση της Συμμόρφωσης με τον GDPR

Οι ακόλουθες ενέργειες λαμβάνονται για να διασφαλιστεί ότι ο «Δήμος Σερρών» συμμορφώνεται ανά πάσα στιγμή με την αρχή της λογοδοσίας του GDPR:

• Η νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σαφής και αδιαμφισβήτητη
• Όλο το προσωπικό που ασχολείται με τη διαχείριση δεδομένων προσωπικού χαρακτήρα κατανοεί τις ευθύνες του για την τήρηση καλής πρακτικής προστασίας δεδομένων
• Η εκπαίδευση στην προστασία των δεδομένων παρέχεται σε όλο το προσωπικό
• Εφαρμόζονται κανόνες σχετικά με τη συγκατάθεση Υπάρχουν διαθέσιμες οδηγίες για τα υποκείμενα των δεδομένων που
επιθυμούν να ασκήσουν τα δικαιώματά τους όσον αφορά τα προσωπικά δεδομένα και τα αιτήματα αυτά αντιμετωπίζονται αποτελεσματικά
• Διεξάγονται τακτικές ανασκοπήσεις των διαδικασιών που αφορούν δεδομένα προσωπικού χαρακτήρα
• Η προστασία απορρήτου από το σχεδιασμό υιοθετείται για όλα τα νέα ή τροποποιημένα συστήματα και διαδικασίες
• Υπάρχουν έγγραφες δεσμεύσεις με τους εκτελούντες την επεξεργασία
• Καταγράφεται η ακόλουθη τεκμηρίωση των δραστηριοτήτων επεξεργασίας:

o Όνομα οργανισμού και σχετικές λεπτομέρειες
o Σκοπός της επεξεργασίας των προσωπικών δεδομένων
o Κατηγορίες ατόμων και προσωπικών δεδομένων που επεξεργάζονται
o Κατηγορίες παραληπτών προσωπικών δεδομένων
o Συμφωνίες και μηχανισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός της ΕΕ, συμπεριλαμβανομένων
λεπτομερειών σχετικά με τους ελέγχους που εφαρμόζονται
o Προγράμματα διατήρησης προσωπικών δεδομένων
o Σχετικοί τεχνικοί και οργανωτικοί έλεγχοι που έχουν τεθεί σε ισχύ

Η πολιτική προστασίας απορρήτου και προσωπικών δεδομένων καθώς και οι ενέργειες αυτές, θα επανεξετάζονται σε ετήσια βάση στο πλαίσιο της διαδικασίας ανασκόπησης της διοίκησης, του συστήματος διαχείρισης της ασφάλειας των πληροφοριών.