Πολιτική Απορρήτου

Πολιτική Προστασίας Προσωπικών Δεδομένων του Γεωπονικού Πανεπιστημίου Αθηνών βάσει του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (ΕΕ) 2016/679

 

1.  Εισαγωγή – Προοίμιο

  Στο πλαίσιο της συμμόρφωσής του Πανεπιστημίου με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, ΓΚΠΔ) καταρτίστηκε η παρούσα Πολιτική Προστασίας για την επεξεργασία προσωπικών δεδομένων. Εκτός από τον ως άνω Γενικό Κανονισμό, η παρούσα Πολιτική έλαβε υπόψιν τις προβλέψεις του Ν. 4624/2019, του Ν. 3471/2006 περί προστασίας δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τις κατευθυντήριες οδηγίες, γνωμοδοτήσεις και αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).   Σκοπός του παρόντος είναι να οριοθετήσει τις γενικές αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Γεωπονικό Πανεπιστήμιο Αθηνών (εφεξής: Πανεπιστήμιο). Η Πολιτική Προστασίας στοχεύει να συμβάλει στην ορθή εφαρμογή του ΓΚΠΔ αποσαφηνίζοντας και εξειδικεύοντας τις υποχρεώσεις που απορρέουν από αυτόν για το Πανεπιστήμιο λαμβάνοντας, υπόψη τα ειδικά χαρακτηριστικά του της τριτοβάθμιας εκπαίδευσης.   Το παρόν κείμενο αποτυπώνει και ενδυναμώνει τις θεμελιώδεις αρχές επεξεργασίας προσωπικών δεδομένων και δημιουργεί ένα διαφανές πλαίσιο, το οποίο θα πρέπει να τυγχάνει σεβασμού από το σύνολο των ενδιαφερόμενων μερών του Πανεπιστημίου. Περαιτέρω, αποτελεί τη βάση για την επεξεργασία των δεδομένων από τους εργαζομένους του Πανεπιστημίου (διοικητικό, ακαδημαϊκό και λοιπό διδακτικό προσωπικό) ενώ βοηθά και κάθε νέο εργαζόμενο ή γενικά συνεργάτη να αντιλαμβάνεται το περιβάλλον μέσα στο οποίο οφείλει να ενσωματωθεί και τη γενικότερη κουλτούρα συνεργασίας, ως προς την προστασία των προσωπικών δεδομένων που θα τύχουν επεξεργασίας σε κάθε διεργασία.  

2.  Ορισμοί – Έννοιες

  Προσωπικά Δεδομένα: Κάθε πληροφορία που αφορά φυσικό πρόσωπο, το οποίο είναι είτε ταυτοποιημένο, είτε ταυτοποιήσιμο, δηλαδή του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα η έμμεσα.   Υποκείμενο προσωπικών δεδομένων: Το φυσικό πρόσωπο στο οποίο αφορούν τα προσωπικά στοιχεία.   Επεξεργασία προσωπικών δεδομένων: Κάθε πράξη που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα. Ενδεικτικά, κάθε συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή, μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή άλλη μορφή διάθεσης, συσχέτιση, συνδυασμός, περιορισμός, διαγραφή ή καταστροφή, θεωρούνται ως επεξεργασία προσωπικών δεδομένων. Επομένως, κατά τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων, ακόμα και η απλή συλλογή ή αποθήκευση δεδομένων συνιστούν επεξεργασία.   Υπεύθυνος επεξεργασίας: Το πρόσωπο ή φορέας που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.   Εκτελών την επεξεργασία: Το πρόσωπο ή φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.   Συγκατάθεση του υποκειμένου των δεδομένων: Κάθε ένδειξη βουλήσεως, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.   Αποδέκτης: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα είτε πρόκειται για τρίτο είτε όχι. Όμως, οι δημόσιες αρχές, που ζητούν να λάβουν δεδομένα, στο πλαίσιο συγκεκριμένης έρευνας, σύμφωνα με το δίκαιο της Ε.Ε. ή κράτους μέλους, δεν θεωρούνται αποδέκτες   Παραβίαση δεδομένων προσωπικού χαρακτήρα: Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, κοινολόγηση χωρίς άδεια, πρόσβαση χωρίς άδεια δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν με οποιοδήποτε τρόπο σε επεξεργασία.  

3.  Πεδίο Εφαρμογής

 

  • Στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων υπάγονται όλες οι εκπαιδευτικές και διοικητικές δομές του Πανεπιστημίου και τα νομικά πρόσωπα που ελέγχονται από αυτό (π.χ. η Εταιρεία Διαχείρισης και Αξιοποίησης Περιουσίας του Πανεπιστημίου).

 

  • Ο Γενικός Κανονισμός εφαρμόζεται στην επεξεργασία των προσωπικών δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο ανεξαρτήτως αν το σύστημα αυτό είναι μηχανογραφημένο ή μη.

 

  • O Γενικός Κανονισμός δεν εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων, όταν αυτή αφορά αποκλειστικά προσωπική / οικογενειακή δραστηριότητα των καθηγητών και των υπαλλήλων του Πανεπιστημίου, χωρίς σύνδεση με το Πανεπιστήμιο.

 

3.  Βασικές Αρχές Επεξεργασίας

 

  • Το Πανεπιστήμιο επεξεργάζεται προσωπικά δεδομένα, σύμφωνα με τις ρυθμίσεις του άρθρου 5 του ΓΚΠΔ. Η εν λόγω επεξεργασία διέπεται από νομιμότητα και διαφάνεια, υπόκειται στον περιορισμό του σκοπού επεξεργασίας, την ελαχιστοποίηση των δεδομένων, την ακρίβεια και την επικαιροποίησή τους, τον προσδιορισμό των χρόνων τήρησης, την ακεραιότητα την εμπιστευτικότητα και τη λογοδοσία.

 

  • Ειδικότερα, κάθε επεξεργασία προσωπικών δεδομένων από το Πανεπιστήμιο θα πρέπει να ακολουθεί τις ακόλουθες αρχές:

 

α. αρχή νομιμότητας, αντικειμενικότητας και διαφάνειας

Τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Με άλλα λόγια, το υποκείμενο πρέπει να γνωρίζει ποια δεδομένα του συλλέγονται. Η διαφάνεια αυτή απαιτεί η ενημέρωση του υποκειμένου να είναι συνοπτική, εύκολα προσβάσιμη, κατανοητή, με σαφή και απλή διατύπωση.  

β. αρχή περιορισμού του σκοπού

Τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς.  

γ. αρχή αναλογικότητας – ελαχιστοποίηση των δεδομένων

Τα δεδομένα πρέπει να είναι πρόσφορα, συναφή και αναγκαία για τους επιδιωκόμενους σκοπούς επεξεργασίας. Η επεξεργασία τους πρέπει να περιορίζεται στο ελάχιστο δυνατό.  

δ. αρχή ακρίβειας των δεδομένων

Τα δεδομένα πρέπει να είναι ακριβή, να επικαιροποιούνται και να λαμβάνονται τα κατάλληλα μέτρα για την άμεση διόρθωση ή διαγραφή ανακριβών σε σχέση με τους επιδιωκόμενους σκοπούς επεξεργασίας δεδομένων.  

ε. αρχή ακεραιότητας και εμπιστευτικότητας

Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία, την απώλεια, καταστροφή ή φθορά τους.  

στ. αρχή καθορισμού της χρονικής διάρκειας της επεξεργασίας

Τα δεδομένα πρέπει να τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για την επίτευξη των σκοπών της επεξεργασίας.  

ζ. αρχή λογοδοσίας του υπευθύνου επεξεργασίας

Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή με τον Κανονισμό ενώπιον των εποπτικών αρχών και των δικαστηρίων.    

4.  Σκοποί Επεξεργασίας

  Το Πανεπιστήμιο διασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων γίνεται για συγκεκριμένους σκοπούς, οι οποίοι καθορίζονται από το ίδιο στο πλαίσιο της δραστηριότητας του. Οι σκοποί αυτοί προσδιορίζονται από το θεσμικό πλαίσιο βάσει του οποίου λειτουργούν τα Α.Ε.Ι. και εν προκειμένω και το Γεωπονικό Πανεπιστήμιο Αθηνών (ν. 4957/2022). Η νομιμοποιητική βάση για την κάθε επεξεργασία που διενεργείται από το Πανεπιστήμιο καθορίζεται, επίσης, από το ίδιο κατά τρόπο που δεν θίγονται υπέρμετρα έννομα συμφέροντα και ελευθερίες των φυσικών προσώπων.  

5.  Νομιμοποιητικές βάσεις επεξεργασίας

 

  • Νομιμοποιητικές βάσεις επεξεργασίας προσωπικών δεδομένων από το Πανεπιστήμιο είναι οι εξής:
    • Άσκηση δημόσιας εξουσίας
    • Δημόσιο συμφέρον
    • Συμμόρφωση με έννομη υποχρέωση
    • Εκτέλεση σύμβασης
    • Συγκατάθεση του φυσικού προσώπου, όπου αυτή απαιτείται,
    • Διαφύλαξη ζωτικού συμφέροντος

 

  • Στις περιπτώσεις επεξεργασίας από το Πανεπιστήμιο προσωπικών δεδομένων ειδικών κατηγοριών, η επεξεργασία στηρίζεται είτε στη νομιμοποιητική βάση της θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων, είτε στην εκτέλεση υποχρεώσεων ή άσκησης δικαιωμάτων στο πλαίσιο του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, είτε για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει δικαίου ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας με υποχρέωση επαγγελματικού απορρήτου, είτε την εκπλήρωση σκοπών αρχειοθέτησης προς το δημόσιο συμφέρον, σκοποί επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, είτε για το ζωτικό συμφέρον του φυσικού προσώπου (αν το φυσικό πρόσωπο είναι ανίκανο να συγκατατεθεί) είτε για το δημόσιο συμφέρον.

 

  • Για την εκπλήρωση των παραπάνω σκοπών επεξεργασίας, η συλλογή των προσωπικών δεδομένων υλοποιείται από το προσωπικό του ΓΠΑ.

 

  • Η συλλογή προσωπικών δεδομένων πραγματοποιείται κατά τη διαδικασία υποβολής δηλώσεων εγγραφής των φοιτητών, όπως επίσης κατά την υποβολή αιτήσεων (από φοιτητές, καθηγητές, υπαλλήλους ή και συνεργαζόμενους με το ΓΠΑ), κατά τη σύναψη συμβάσεων ή κατά τη σύναψη άλλης έννομης σχέσης. Συλλογή προσωπικών δεδομένων, μπορεί επίσης να προκύψει μέσω της χρήσης της ιστοσελίδας ή των ηλεκτρονικών μέσων/ προγραμμάτων επικοινωνίας του ΓΠΑ. Μπορεί, επίσης να πραγματοποιηθεί, μέσω της συμμετοχής σε ερευνητικό πρόγραμμα ή μέσω της συμμετοχής σε εκδήλωση του Πανεπιστημίου.

 

  • Δεδομένα προσωπικού χαρακτήρα που συλλέγει το ΓΠΑ:
    • δεδομένα ταυτότητας
    • δημογραφικά δεδομένα (φύλο, ιθαγένεια, ημερομηνία και τόπος γέννησης, κλπ.)
    • δεδομένα επικοινωνίας (διεύθυνση κατοικίας, αριθμός τηλεφώνου, email)

 

  • φορολογικά και οικονομικά δεδομένα (Α.Φ.Μ., Δ.Ο.Υ., ατομικό εισόδημα, περιουσιακή κατάσταση),
  • βαθμολογική επίδοση φοιτητών,
  • βιογραφικά φοιτητών, αποφοίτων, υποψηφίων συνεργαζόμενων, συμβασιούχων με τον ΕΛΚΕ, κλπ.
  • δεδομένα που αφορούν στο προσοντολόγιο διοικητικού, ακαδημαϊκού και ερευνητικού προσωπικού
  • δεδομένα οικογενειακής κατάστασης (ύπαρξη γάμου, αριθμός τέκνων, κλπ.)
  • ασφαλιστικά δεδομένα (ΑΜΚΑ)
  • ιατρικά δεδομένα, (ιατρικό ιστορικό, ιατρικές γνωματεύσεις, ιατρικά πριστοποιητικά),
  • δεδομένα από τη χρήση ηλεκτρονικών υπηρεσιών (στοιχεία ηλεκτρονικής ταυτοποίησης χρήστη, cookies, google analytics, διευθύνσεις πρωτοκόλλου Internet κλπ.).

 

6.  Η συγκατάθεση των φυσικών προσώπων

 

  • Κατά τη διαδικασία λήψης της συναίνεσης από το υποκείμενο των προσωπικών δεδομένων, το Πανεπιστήμιο φροντίζει τα παρακάτω:
    • η συγκατάθεση να παρέχεται ελεύθερα, με σαφή θετική ενέργεια, για κάθε σκοπό επεξεργασίας χωριστά και να είναι συγκεκριμένη, ρητή και εν πλήρει επιγνώσει,
    • η συγκατάθεση να παρέχεται με οποιοδήποτε πρόσφορο τρόπο, που να επιτρέπει την απόδειξη της εκδήλωσης της βούλησης του υποκειμένου, λαμβάνοντας υπόψιν την αρχή της αναλογικότητας,
    • η συγκατάθεση να μην εξαρτάται από αιρέσεις ή περιορισμούς και
    • η συγκατάθεση να συνοδεύεται από κατάλληλη πληροφόρηση για την επεξεργασία προσωπικών δεδομένων του φυσικού προσώπου.

 

  • Το κείμενο συγκατάθεσης θα πρέπει να περιλαμβάνει τα ακόλουθα σημεία:
  • Όνομα του Υπεύθυνου Επεξεργασίας και των από κοινού Υπευθύνων (όπου εφαρμόζεται). Στην περίπτωση που είναι δραστηριότητες επεξεργασίας του Πανεπιστημίου, ο Υπεύθυνος Επεξεργασίας είναι το Πανεπιστήμιο.
  • Σκοπός ή σκοποί επεξεργασίας των προσωπικών δεδομένων που συλλέγονται, ανά περίπτωση συγκατάθεσης
  • Νομιμοποιητική βάση επεξεργασίας των προσωπικών δεδομένων
  • Το είδος των προσωπικών δεδομένων που συλλέγονται στο πλαίσιο του σκοπού επεξεργασίας για τον οποίο ζητείται η συγκατάθεση
  • Χρονικό διάστημα διατήρησης των προσωπικών δεδομένων ή τα κριτήρια που καθορίζουν το εν λόγω διάστημα

 

  • Ενημέρωση για το δικαίωμα ανάκλησης της συγκατάθεσης και τον τρόπο ανάκλησης αυτής
  • Αναφορά στη δυνατότητα του φυσικού προσώπου για υποβολή αιτήματος σχετικά με τα ακόλουθα δικαιώματα επί των προσωπικών δεδομένων: πρόσβαση και διόρθωση ή διαγραφή των δεδομένων, περιορισμό της επεξεργασίας ή δικαίωμα εναντίωσης στην επεξεργασία, δικαίωμα στη φορητότητα των δεδομένων, δικαίωμα ανάκλησης της συγκατάθεσης οποτεδήποτε, καθώς και δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή
  • Αποδέκτες δεδομένων (π.χ. Υπουργείο Παιδείας και Θρησκευμάτων) ή γενικές κατηγορίες πιθανών αποδεκτών προσωπικών δεδομένων (π.χ. Δημόσιες αρχές). Στην περίπτωση που αποτελεί κρίσιμο αποδέκτη για την επεξεργασία, η πληροφόρηση γίνεται με ονομαστική αναφορά

 

  • Η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια του φυσικού προσώπου δεν συνιστούν νόμιμη συγκατάθεση.

 

  • Το Πανεπιστήμιο τηρεί αρχεία συγκαταθέσεων και παρακολουθεί την ισχύ ή την τυχόν ανάκλησή της από τα φυσικά πρόσωπα.

 

  • Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν την ανάκλησή της.

 

7.  Η πληροφόρηση που παρέχεται στα φυσικά πρόσωπα

 

  • Το Πανεπιστήμιο μεριμνά ώστε τα φυσικά πρόσωπα να πληροφορούνται καταλλήλως για την επεξεργασία των δεδομένων τους και συγκεκριμένα να λαμβάνουν τις εξής πληροφορίες:
    • την ταυτότητα και τα στοιχεία επικοινωνίας του Πανεπιστημίου, ως υπευθύνου επεξεργασίας,
    • τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ),
    • τους σκοπούς της επεξεργασίας, για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
    • εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του ΓΚΠΔ, τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
    • τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,

 

  • την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία κατάλληλων εγγυήσεων για τη διαβίβαση,
  • το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
  • την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
  • όταν η επεξεργασία βασίζεται στη συγκατάθεση του φυσικού προσώπου, την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
  • το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και
  • κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών.

 

  • Η πληροφόρηση προς τα φυσικά πρόσωπα δίνεται με κάθε πρόσφορο τρόπο πριν από τυχόν επεξεργασία των προσωπικών δεδομένων, όπως, ενδεικτικά, με έντυπο πληροφόρησης, ηλεκτρονικό μήνυμα, σύμβαση, παράρτημα με όρους επεξεργασίας προσωπικών δεδομένων κ.α. Το Πανεπιστήμιο έχει υιοθετήσει κι εφαρμόζει διαδικασία σχετικά με για την επικαιροποίηση και προσαρμογή της πληροφόρησης που παρέχει στα φυσικά πρόσωπα.

 

8.  Αποδέκτες των προσωπικών δεδομένων των φυσικών προσώπων

 

  • Οι κύριοι αποδέκτες των προσωπικών δεδομένων των φυσικών προσώπων που επεξεργάζεται το Πανεπιστήμιο είναι:
    • εργαζόμενοι του Πανεπιστημίου, που είναι αρμόδιοι για την εκτέλεση συγκεκριμένης εργασίας,
    • δημόσιες υπηρεσίες και δημόσιοι φορείς, όπως εποπτικές αρχές, π.χ. Υπουργείο Παιδείας και Θρησκευμάτων, Υπουργείο Οικονομικών, Ελεγκτικό Συνέδριο, ΑΣΕΠ, Διαύγεια, Εθνικό Τυπογραφείο, Ίδρυμα Κρατικών Υποτροφιών κ.λπ.

 

  • συνεργάτες στους οποίους το Πανεπιστήμιο αναθέτει τη διεκπεραίωση εργασιών ή την εκτέλεση έργων για λογαριασμό του, όπως πχ. εταιρείες ανάπτυξης και υποστήριξης λογισμικού κ.α.
  • τράπεζες
  • τρίτα συνεργαζόμενα Πανεπιστημιακά ή ερευνητικά Ιδρύματα ή άλλοι φορείς του δημόσιου ή ιδιωτικού τομέα, στο πλαίσιο των ερευνητικών προγραμμάτων που διενεργούνται μέσω του Ειδικού Λογαριασμού Κονδυλίων Έρευνας.
  • φορείς της Ευρωπαϊκής Ένωσης (π.χ. Erasmus)

 

  • Το Πανεπιστήμιο μεριμνά στη λήψη και εφαρμογή όλων των κατάλληλων τεχνικών κι οργανωτικών μέτρων από τους αποδέκτες των δεδομένων που επεξεργάζεται, όπου αυτό είναι δυνατό. Όταν το Πανεπιστήμιο αναθέτει την επεξεργασία σε τρίτο, ήτοι εκτελούντα την επεξεργασία, ο τελευταίος θα πρέπει να παρέχει επαρκείς διαβεβαιώσεις, ιδίως από πλευράς αξιοπιστίας και πόρων, τεχνικών και οργανωτικών μέτρων που θα ανταποκρίνονται στην επεξεργασία που του ανατίθεται. Ο εκτελών την επεξεργασία δεσμεύεται συμβατικά προς το Πανεπιστήμιο για τη νομιμότητα της επεξεργασίας που θα διενεργήσει.

 

  • Το Πανεπιστήμιο λειτουργεί ως από κοινού Υπεύθυνος Επεξεργασίας με άλλους φορείς για συγκεκριμένες επεξεργασίες. Στην περίπτωση αυτή, το Πανεπιστήμιο ορίζει μαζί με τον άλλον φορέα τους σκοπούς και τα μέσα της επεξεργασίας.

 

9.  Δικαιώματα φυσικών προσώπων

 

  • Το Πανεπιστήμιο μεριμνά ώστε να παρέχει στα φυσικά πρόσωπα τα δικαιώματα σχετικά με την επεξεργασία των δεδομένων τους, όπως προβλέπονται στον ΓΚΠΔ, καθώς και στην ικανοποίησή τους εντός νόμιμων προθεσμιών. Το Πανεπιστήμιο παρέχει στα φυσικά πρόσωπα τα κάτωθι δικαιώματα για την επεξεργασία των δεδομένων τους:

 

α) δικαίωμα πρόσβασης:

Το Πανεπιστήμιο ενημερώνει το φυσικό πρόσωπο για το κατά πόσον ή όχι επεξεργάζεται προσωπικά δεδομένα που του ανήκουν. Το φυσικό πρόσωπο έχει δικαίωμα να αιτηθεί να ενημερωθεί σχετικά με τις κατηγορίες των υπό επεξεργασία δεδομένων (π.χ. βασικά δεδομένα, οικονομικά δεδομένα, μοναδικά αναγνωριστικά), τον σκοπό της επεξεργασίας (π.χ. διαχείριση φοιτητών στο πλαίσιο εκπαιδευτικού προγράμματος), τις κατηγορίες των αποδεκτών (π.χ. δημόσιοι φορείς), τυχόν διαβίβαση δεδομένων σε διεθνή οργανισμό ή Χώρα εκτός Ε.Ο.Χ., την πηγή λήψης τους (π.χ. απευθείας από το φυσικό πρόσωπο ή από άλλη τρίτη πηγή όπως δημόσιες αρχές στα πλαίσια ελέγχου γνησιότητας δικαιολογητικών), εάν η   επεξεργασία βασίζεται σε αυτοματοποιημένη λήψη αποφάσεων ή όχι, το δικαίωμα υποβολής αιτήματος στο Πανεπιστήμιο για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή/και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν το φυσικό πρόσωπο ή/και δικαίωμα εναντίωσης στην εν λόγω επεξεργασία και το δικαίωμα υποβολής καταγγελίας στην ΑΠΔΠΧ. Το φυσικό πρόσωπο δικαιούται να ζητήσει αντίγραφο των ανωτέρω προσωπικών δεδομένων του. Το Πανεπιστήμιο διατηρεί το δικαίωμα να μην ικανοποιήσει το δικαίωμα πρόσβασης του φυσικού προσώπου, σε περίπτωση που διαπιστωθεί ότι οι πληροφορίες που αναζητά το φυσικό πρόσωπο δεν συνδέονται άμεσα με αυτό.  

β) δικαίωμα διόρθωσης:

Το Πανεπιστήμιο ικανοποιεί το δικαίωμα διόρθωσης των προσωπικών δεδομένων, κατόπιν αιτήματος του φυσικού προσώπου, προκειμένου να τηρείται επικαιροποιημένο το φυσικό και ηλεκτρονικό αρχείο του. Ανάλογα με τον σκοπό επεξεργασίας, μπορούν να ζητηθούν από τα φυσικά πρόσωπα τα απαιτούμενα στοιχεία για την πλήρη τεκμηρίωση της επικαιροποίησης των προσωπικών δεδομένων.  

γ) δικαίωμα διαγραφής:

Το Πανεπιστήμιο ικανοποιεί το δικαίωμα των φυσικών προσώπων για διαγραφή των προσωπικών τους δεδομένων, εφόσον:

  • τα εν λόγω προσωπικά δεδομένα δεν είναι πλέον απαραίτητα για την επίτευξη συγκεκριμένων σκοπών,
  • το φυσικό πρόσωπο ανακαλέσει έγκυρα την συγκατάθεσή του και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
  • δεδομένα προσωπικού χαρακτήρα των οποίων ζητείται η διαγραφή παρανόμως υποβλήθηκαν σε επεξεργασία,
  • δεν συντρέχει νομική υποχρέωση του Πανεπιστημίου από το ενωσιακό ή το εθνικό δίκαιο για τη διατήρηση των δεδομένων,
  • δεν υφίσταται θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων του Πανεπιστημίου ή απόκρουση υφιστάμενων ή δυνητικών νομικών αξιώσεων του φυσικού προσώπου ή τρίτων στρεφόμενων κατά του Πανεπιστημίου,
  • δεν πρόκειται για επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον και
  • δεν πρόκειται για επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εφόσον είναι πιθανόν να καταστεί αδύνατη η επίτευξη των στατιστικών σκοπών και εφόσον τα δεδομένα είναι ανωνυμοποιημένα.

Εφόσον πληρούνται οι προϋποθέσεις για διαγραφή προσωπικών δεδομένων, το Πανεπιστήμιο προχωράει σε διαγραφή από το φυσικό και το ηλεκτρονικό αρχείο   του, ενώ σε περίπτωση διαβίβασης προσωπικών δεδομένων σε αποδέκτες εκτός του Πανεπιστημίου, οι τελευταίοι ενημερώνονται από το Πανεπιστήμιο για τη διαγραφή από το αρχείο τους.  

δ) δικαίωμα περιορισμού της επεξεργασίας:

Το Πανεπιστήμιο ικανοποιεί το δικαίωμα περιορισμού της επεξεργασίας στις περιπτώσεις όπου:

  • η ακρίβεια των δεδομένων αμφισβητείται από το φυσικό πρόσωπο και για όσο χρονικό διάστημα απαιτείται προκειμένου το Πανεπιστήμιο να επαληθεύσει την ακρίβεια των δεδομένων,
  • η επεξεργασία είναι παράνομη και το φυσικό πρόσωπο δεν επιθυμεί τη διαγραφή των δεδομένων του, παρά τον περιορισμό της χρήσης τους,
  • το Πανεπιστήμιο δεν χρειάζεται πλέον συγκεκριμένα προσωπικά δεδομένα, παρά μόνον για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων,
  • το φυσικό πρόσωπο ασκήσει το δικαίωμα εναντίωσης, εν αναμονή της επαλήθευσής του.

Το Πανεπιστήμιο ανακοινώνει κάθε περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια.  

ε) δικαίωμα φορητότητας:

Το Πανεπιστήμιο ικανοποιεί το δικαίωμα στη φορητότητα των προσωπικών δεδομένων σε άλλον υπεύθυνο επεξεργασίας, κατόπιν αιτήματος του φυσικού προσώπου σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. Το Πανεπιστήμιο αξιολογεί τους κινδύνους που συνεπάγεται η φορητότητα και λαμβάνει μέτρα για τον μετριασμό αυτών.   στ) δικαίωμα εναντίωσης: Το Πανεπιστήμιο ικανοποιεί το δικαίωμα εναντίωσης του φυσικού προσώπου προς την επεξεργασία, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του φυσικού προσώπου. Εφόσον έχει ασκηθεί το εν λόγω δικαίωμα, το Πανεπιστήμιο δεν υποβάλλει πλέον τα εν λόγω δεδομένα σε επεξεργασία, εκτός εάν αποδείξει ότι συντρέχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων και των δικαιωμάτων του φυσικού προσώπου.  

  • Το Πανεπιστήμιο παρέχει στο φυσικό πρόσωπο πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν των ως άνω δικαιωμάτων του χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται,

  λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Το Πανεπιστήμιο ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.  

  • Κάθε πρόσωπο που συνδέεται με οποιοδήποτε τρόπο με το ΓΠΑ, και του οποίου τα δεδομένα συλλέγονται από αυτό, μπορεί ανά πάσα στιγμή να στείλει μήνυμα στη διεύθυνση dpo@aua.gr, προκειμένου να εναντιωθεί στην συλλογή, την επεξεργασία ή την χρήση των προσωπικών του δεδομένων, ή να υποβάλει κάποιο αίτημα ή παρατήρηση. Το πρόσωπο που είναι εξουσιοδοτημένο για την παραλαβή και διαχείριση των μηνυμάτων αυτών (DPO), κρίνοντας κατά περίπτωση ανάλογα με τη σοβαρότητα της υπόθεσης, αναλαμβάνει να διεκπεραιώσει σχετική έρευνα και να προβεί στην ενημέρωση του υποκειμένου.

 

10.  Αρχείο Δραστηριοτήτων Επεξεργασίας

  Το Πανεπιστήμιο καταρτίζει και παρακολουθεί την ανάγκη για τυχόν επικαιροποίηση του Αρχείου Δραστηριοτήτων Επεξεργασίας, όπως επιβάλλει το άρ. 30 του ΓΚΠΔ για τις επεξεργασίας στις οποίες προβαίνει με το ρόλο του ως Υπεύθυνου Επεξεργασίας ή ως από κοινού Υπεύθυνου Επεξεργασίας με άλλον φορέα. Το Πανεπιστήμιο τηρεί το αρχείο σε ηλεκτρονική μορφή, ενώ τίθεται στη διάθεση Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κατόπιν αιτήματός της. Το Πανεπιστήμιο έχει υιοθετήσει σχετική διαδικασία για τη συστηματική επικαιροποίηση του Αρχείου Δραστηριοτήτων Επεξεργασίας.    

11.     Εκτίμηση Αντικτύπου για την προστασία της επεξεργασίας προσωπικών δεδομένων

  To Πανεπιστήμιο έχει εκπονήσει Μελέτη Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων, που καλύπτει τις απαιτήσεις του άρθρου 35 του ΓΚΠΔ, της σχετικής οδηγίας του WP 29, του ISO 29134 και των οδηγιών της αγγλικής και της γαλλικής εποπτικής αρχής, και παρακολουθεί την ανάγκη για τυχόν επικαιροποίησή της. Το Πανεπιστήμιο έχει υιοθετήσει σχετική διαδικασία για τη συστηματική επικαιροποίηση της Μελέτης Εκτίμησης Αντικτύπου.    

12.  Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ)

  Το Πανεπιστήμιο έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων, ο οποίος είναι διαθέσιμος για ζητήματα προστασίας προσωπικών δεδομένων. Κατά το αρ. 39 του ΓΚΠΔ, τα καθήκοντα του Υπεύθυνου Προστασίας Δεδομένων είναι τα εξής:

  • ενημερώνει και συμβουλεύει το Πανεπιστήμιο και τους υπαλλήλους σχετικά με τις υποχρεώσεις τους που απορρέουν από τον ΓΚΠΔ και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
  • παρακολουθεί τη συμμόρφωση με τον ΓΚΠΔ, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές και διαδικασίες του Πανεπιστημίου σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
  • παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της,
  • συνεργάζεται με την εποπτική αρχή και
  • ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή και τα φυσικά πρόσωπα για ζητήματα που σχετίζονται με την επεξεργασία.

 

13.  Διαβίβαση Δεδομένων σε χώρες εκτός Ε.Ο.Χ.

  Το Πανεπιστήμιο δύναται να διαβιβάσει προσωπικά δεδομένα σε συγκεκριμένους αποδέκτες εκτός Ε.Ο.Χ. λαμβάνοντας πάντοτε τα κατάλληλα μέτρα ασφαλείας και εγγυήσεις για την εκάστοτε διαβίβαση. Συγκεκριμένα, προσωπικά δεδομένα φυσικών προσώπων δύναται να διαβιβασθούν:

  • σε χώρες που θεωρήθηκαν από την Ευρωπαϊκή Επιτροπή ότι παρέχουν επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα, με βάση και τις προστασίες που παρέχονται από τη νομοθεσία της χώρας στην οποία θα μεταφερθούν τα δεδομένα.
  • σε οργανισμούς με έδρα τις ΗΠΑ εάν αποτελούν μέρος του Privacy Shield,
  • σε οργανισμούς μετά από σχετική συγκατάθεση των φυσικών προσώπων για τη διαβίβαση, ύστερα από ενημέρωση για τους πιθανούς κινδύνους λόγω έλλειψης απόφασης επάρκειας και κατάλληλων διασφαλίσεων,
  • όποτε είναι απαραίτητο για την εκτέλεση σύμβασης (μεταξύ προσώπου στο οποίο αναφέρονται τα δεδομένα και του Πανεπιστημίου) ή την εφαρμογή των προσυμβατικών μέτρων που ελήφθησαν κατόπιν αιτήματος του φυσικού προσώπου.

 

  • για την Εκτέλεση σύμβασης μεταξύ του Πανεπιστημίου και άλλου προσώπου προς όφελος του φυσικού προσώπου
  • στα πλαίσια κοινοποίησης δεδομένων σε διοικητική ή δικαστική αρχή τρίτης χώρας, η οποία βασίζεται σε διεθνή συμφωνία

 

14.  Γνωστοποίηση παραβιάσεων προσωπικών δεδομένων

 

  • Το Πανεπιστήμιο γνωστοποιεί στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κάθε περιστατικό παραβίασης προσωπικών δεδομένων, που μετά από αξιολόγηση του κινδύνου διαπιστώνεται ότι μπορεί να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, εντός εβδομήντα δύο (72) ωρών. Εάν η γνωστοποίηση πραγματοποιηθεί μετά την πάροδο 72 ωρών, το Πανεπιστήμιο πρέπει να είναι σε θέση να δικαιολογήσει την καθυστέρηση. Στην περίπτωση που κριθεί από το Πανεπιστήμιο ότι η παραβίαση ενδέχεται να θέσει σε σοβαρό κίνδυνο τα δικαιώματα των φυσικών προσώπων, ενημερώνονται και αυτά με κάθε πρόσφορο μέσο.

 

  • Το Πανεπιστήμιο τηρεί αρχείο σχετικό με τα περιστατικά παραβίασης, τις επιπτώσεις τους, τις αντίστοιχες ενέργειες του Πανεπιστημίου και τη σχετική κατά περίπτωση τεκμηρίωση, ενώ για τη γνωστοποίηση του περιστατικού παραβίασης χρησιμοποιούνται οι αντίστοιχες φόρμες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.