7.7

Πολιτική Προστασίας Προσωπικών Δεδομένων

 

1.

Εισαγωγή

 

Η Πολιτική αυτή απευθύνεται σε όλα τα μέλη του προσωπικού και όλους τους φοιτητές που εργοδοτούνται στο Πανεπιστήμιο οι οποίοι επεξεργάζονται ή/και έχουν πρόσβαση σε προσωπικά δεδομένα.

 

Όλα τα μέλη του προσωπικού και όλοι οι φοιτητές που εργοδοτούνται στο Πανεπιστήμιο  που είτε επεξεργάζονται ή/και έχουν πρόσβαση σε προσωπικά δεδομένα πρέπει:

 

Α.

Nα συμμορφώνονται με τις αρχές που θέτει ο Γενικός Κανονισμός για την Προστασία Δεδομένων, τόσο κατά τη διάρκεια εργοδότησής τους, όσο και με το πέρας αυτής (βλέπε ενότητα 5 πιο κάτω).

 

 

Β.

Να λειτουργούν σύμφωνα με τις αρμοδιότητες, τις ευθύνες τους, και τη δομή σύμφωνα με την οποία θα εφαρμόζεται ο Κανονισμός στο Πανεπιστήμιο Κύπρου (βλέπε ενότητα 6 πιο κάτω).

 

 

Μεγάλο μέρος των εργασιών που το Πανεπιστήμιο Κύπρου καλείται να εκτελεί, αφορά την επεξεργασία προσωπικών δεδομένων των φοιτητών, αποφοίτων, μελών του ακαδημαϊκού και διοικητικού προσωπικού, προμηθευτών, συνεργατών και άλλων.

 

Σκοπός της παρούσας Πολιτικής είναι η διασφάλιση της προστασίας των προσωπικών δεδομένων από το Πανεπιστήμιο των υφιστάμενων και  μελλοντικών φοιτητών,  των αποφοίτων , των μελών του προσωπικού του Πανεπιστημίου και όλων των άλλων προσώπων που για οποιοδήποτε λόγο το Πανεπιστήμιο στο πλαίσιο επίτευξης των σκοπών του, συλλέγει και επεξεργάζεται προσωπικά τους δεδομένα.  

 

Οι παραβιάσεις δεδομένων προκαλούν αρνητικές επιπτώσεις στα δικαιώματα και τις ελευθερίες των ατόμων που επηρεάζονται και  έχουν αρνητικές επιπτώσεις στην εταιρική εικόνα και φήμη του Πανεπιστημίου.

 

Είναι ευθύνη του συνόλου των μελών του προσωπικού και των εργαζόμενων φοιτητών που έχουν πρόσβαση ή επεξεργάζονται προσωπικά δεδομένα να συμμορφώνονται με αυτή την Πολιτική Προστασίας Δεδομένων του οργανισμού.

 

Η μη συμμόρφωση του Πανεπιστημίου με τις αρχές που διέπουν την προστασία των προσωπικών δεδομένων  δύναται να έχει συνέπειες όπως την καταβολή υψηλών προστίμων και άλλες νομικές κυρώσεις, ενώ ενδέχεται ο εκτελών την επεξεργασία να οφείλει να αποζημιώσει το Πανεπιστήμιο για το τυχόν ποσό που θα καταβάλει το Πανεπιστήμιο είτε ως πρόστιμο είτε ως αποζημιώσεις σε περίπτωση που αποδεδειγμένα η παραβίαση των προσωπικών δεδομένων έγινε λόγω πλημμελούς εκτέλεσης των καθηκόντων του.

 

2.

ΣΚΟΠΟΣ

 

Ο σκοπός αυτής της πολιτικής είναι:

 

2.1

Να επεξηγήσει τις απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα 2016/679 (ΕΕ) σε ότι αφορά την προστασία των προσωπικών δεδομένων

 

2.2

Να προσδιορίσει τις αρμοδιότητες και τις ευθύνες, και να θέσει τη δομή σύμφωνα με την οποία θα εφαρμόζεται ο Κανονισμός

 

3.

ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

 

Αυτή η πολιτική ισχύει για όλα τα προσωπικά δεδομένα που επεξεργάζεται το Πανεπιστήμιο είτε για λογαριασμό του είτε για λογαριασμό κάποιου άλλου.

 

Τα προσωπικά δεδομένα που επεξεργάζονται από το Πανεπιστήμιο αφορούν τους φοιτητές, τους αποφοίτους, τους υποψήφιους φοιτητές, τα μέλη του ακαδημαϊκού και διοικητικού προσωπικού, τους αιτητές για εργοδότηση στο Πανεπιστήμιο, τους συνταξιούχους, τους προμηθευτές, τους προσφοροδότες και προσωπικά δεδομένα που τυγχάνουν επεξεργασίας στα πλαίσια των ερευνητικών και συμβουλευτικών υπηρεσιών του Πανεπιστημίου.

 

Τα προσωπικά δεδομένα μπορεί να έχουν ηλεκτρονική ή έντυπη ή οπτικοακουστική μορφή.

 

Τα προσωπικά δεδομένα είναι κάθε πληροφορία που ταυτοποιεί ή δύναται να ταυτοποιήσει ένα φυσικό πρόσωπο (‘υποκείμενο των δεδομένων’) όπως: όνομα και επώνυμο, διεύθυνση κατοικίας, ηλεκτρονική διεύθυνση (π.χ. όνομα.επώνυμο@εταιρεία.com), αναγνωριστικός αριθμός κάρτας, δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο), διεύθυνση διαδικτυακού πρωτοκόλλου (IP address), αναγνωριστικό cookie.

 

Οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα αφορούν στα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή και στις ποινικές διώξεις και καταδίκες του. Αυτή η κατηγορία των ευαίσθητων προσωπικών δεδομένων απαιτεί ενισχυμένα μέτρα ασφαλείας, όπως κρυπτογράφηση, προστασία με κωδικό πρόσβασης και αυστηρότερες ηλεκτρονικές και χειροκίνητες ρυθμίσεις πρόσβασης (π.χ. κλειδωμένα αποθηκευτικά αρχεία).

 

’λλες κατηγορίες δεδομένων που απαιτούν επίσης ενισχυμένη προστασία είναι για παράδειγμα τα τραπεζικά δεδομένα ή άλλα οικονομικά στοιχεία ή στοιχεία ταυτοποίησης όπως αριθμοί δελτίων ταυτότητας και κοινωνικής ασφάλισης.

 

Αυτή η πολιτική ισχύει επίσης για δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση τα οποία θα μπορούσαν να αποδοθούν σε φυσικά πρόσωπα με τη χρήση συμπληρωματικών πληροφοριών π.χ. αριθμός φοιτητή ή αριθμός εργοδοτούμενου.

 

4.

ΔΙΚΑΙΩΜΑΤΑ

 

Ο Κανονισμός αποσκοπεί στην ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, ιδίως την προστασία των προσωπικών δεδομένων και της ελεύθερης κυκλοφορίας τους. Ως εκ τούτου ο Γενικός Κανονισμός Προστασίας Δεδομένων αναγνωρίζει στα υποκείμενα των προσωπικών δεδομένων ορισμένα δικαιώματα ως ακολούθως:

 

4.1

Δικαίωμα ενημέρωσης: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα της ενημέρωσης σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τους λόγους που συλλέγονται, επεξεργάζονται και από ποιον, καθώς επίσης με ποιους μοιράζονται τα προσωπικά τους δεδομένα.

 

4.2

Δικαίωμα πρόσβασης στα δεδομένα: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν και να λάβουν αντίγραφο οποιωνδήποτε πληροφοριών που τηρούνται σχετικά με το πρόσωπό τους.

 

4.3

Δικαίωμα διόρθωσης: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να αιτηθούν διόρθωση τυχόν ανακριβειών ή λανθασμένων πληροφοριών καθώς και σε συμπλήρωση ελλιπών δεδομένων που τους αφορούν. 

 

4.4

Δικαίωμα στη διαγραφή (λήθη): Τα υποκείμενα των δεδομένων όταν δεν επιθυμούν  πλέον την επεξεργασία και διατήρηση των προσωπικών τους δεδομένων, έχουν το δικαίωμα να ζητήσουν τη διαγραφή τους, υπό την προϋπόθεση ότι τα δεδομένα δεν τηρούνται για κάποιο συγκεκριμένο νόμιμο και δηλωμένο σκοπό ή ενδέχεται να είναι αναγκαία τεκμήρια σε περίπτωση που εξετάζεται ποινικό αδίκημα του ατόμου.

 

4.5

Δικαίωμα περιορισμού της επεξεργασίας: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν από τον υπεύθυνο της επεξεργασίας τον περιορισμό της επεξεργασίας όταν η ακρίβεια των δεδομένων αμφισβητείται ή είναι παράνομη ή ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, ή όταν ο υπεύθυνος επεξεργασίας πρόκειται να προβεί στην διαγραφή τους.

 

4.6

Δικαίωμα στη φορητότητα δεδομένων: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να λαμβάνουν δεδομένα προσωπικού χαρακτήρα για περαιτέρω ιδιωτική χρήση καθώς και να τα διαβιβάζουν από έναν υπεύθυνο επεξεργασίας (Πανεπιστήμιο) σε άλλον «χωρίς αντίρρηση». Μπορούν επίσης να ζητήσουν  από τον υπεύθυνο επεξεργασίας (Πανεπιστήμιο) να λαμβάνουν τα δεδομένα τους σε κοινώς αναγνωρίσιμο μορφότυπο, καθώς επίσης και την απευθείας διαβίβαση των δεδομένων σε άλλον υπεύθυνο επεξεργασίας, εφόσον αυτό είναι τεχνικά δυνατό.

 

4.7

Δικαίωμα εναντίωσης: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να αντιτάσσονται, ανά πάσα στιγμή για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα. Επιπλέον, όταν τα προσωπικά δεδομένα υφίστανται επεξεργασία για σκοπούς της απευθείας εμπορικής προώθησης (συμπεριλαμβανομένης της κατάρτισης προφίλ), τα υποκείμενα των δεδομένων έχουν δικαίωμα να εναντιωθούν στην επεξεργασία αυτή.

 

4.8

Δικαίωμα στην εναντίωση: Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να αντιτάσσονται στη λήψη αποφάσεων με    αυτοματοποιημένα μέσα.

 

Τα υποκείμενα των δεδομένων μπορούν να έχουν πρόσβαση στα προσωπικά τους δεδομένα (σύμφωνα και με το «Δικαίωμα Πρόσβασης» όπως αναφέρεται πιο πάνω) κάνοντας χρήση του ειδικού διαμορφωμένου εντύπου «Αίτημα Πρόσβασης στα Προσωπικά Δεδομένα».

 

5.

ΥΠΟΧΡΕΩΣΕΙΣ

 

Για τη συμμόρφωση με τον Κανονισμό, τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται και να επεξεργάζονται με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων, να είναι ασφαλισμένα και να μην μεταφέρονται παράνομα σε τρίτα πρόσωπα. Όλα τα μέλη του προσωπικού και όλοι οι φοιτητές που εργοδοτούνται στο Πανεπιστήμιο  που είτε επεξεργάζονται ή/και έχουν πρόσβαση σε προσωπικά δεδομένα πρέπει να συμμορφώνονται με τις ακόλουθες αρχές που θέτει ο Γενικός Κανονισμός για την Προστασία Δεδομένων, τόσο κατά τη διάρκεια εργοδότησής τους, όσο και με το πέρας αυτής:

 

5.1

ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

 

5.1.1

Νομιμότητα, Αντικειμενικότητα και Διαφάνεια

 

Τα προσωπικά δεδομένα πρέπει να επεξεργάζονται με θεμιτό, νόμιμο και διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.

 

Νόμιμη επεξεργασία υπάρχει όταν:

 

(α)

Έχει δοθεί συναίνεση από το υποκείμενο των δεδομένων

 

(β)

Γίνεται στα πλαίσια εκτέλεσης σύμβασης

 

(γ)

Επιβάλλεται συμμόρφωση με έννομη υποχρέωση του Υπεύθυνου Επεξεργασίας (Πανεπιστήμιου Κύπρου)

 

Επιβάλλεται διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων

 

(δ)

Αποτελεί μέρος εκπλήρωσης καθήκοντος για δημόσιο συμφέρον

 

(ε)

Αποτελεί μέρος του έννομου συμφέροντος του Υπεύθυνου Επεξεργασίας (Πανεπιστήμιου Κύπρου)

 

5.1.2

Περιορισμός του Σκοπού

 

Τα προσωπικά δεδομένα θα πρέπει να λαμβάνονται μόνο για ένα συγκεκριμένο σκοπό ή για περισσότερους συγκεκριμένους σκοπούς και δεν πρέπει να υποβάλλονται σε περαιτέρω επεξεργασία με οποιοδήποτε τρόπο ασυμβίβαστο με το σκοπό ή τους σκοπούς αυτούς.

 

Τα προσωπικά δεδομένα δεν πρέπει να χρησιμοποιούνται ή να μοιράζονται εκτός αν έχει δοθεί σχετική συγκατάθεση από το υποκείμενο των δεδομένων.

 

5.1.3

Ελαχιστοποίηση των Δεδομένων

 

 

Τα προσωπικά δεδομένα πρέπει να είναι σχετικά με τον σκοπό αλλά όχι περισσότερα απ’ ότι απαιτείται για τον προδιαγραμμένο σκοπό για τον οποίο επεξεργάζονται.

 

5.1.4

Ακρίβεια Δεδομένων

 

Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και να ανανεώνονται/ διορθώνονται όταν αυτό απαιτείται.

 

5.1.5

Περιορισμένη διατήρηση Δεδομένων

 

Τα προσωπικά δεδομένα δεν πρέπει να αποθηκεύονται / διατηρούνται για περισσότερη χρονική περίοδο από όσο απαιτείται.

 

5.1.6

Ακεραιότητα και Εμπιστευτικότητα

 

Πρέπει να λαμβάνονται κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία.

 

5.1.7

Λογοδοσία

Η αρχή της λογοδοσίας συνιστά ακρογωνιαίο λίθο του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ). Σύμφωνα με τον ΓΚΠΔ, επιχειρήσεις και οργανισμοί οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση αυτή.

 

 

Επιπλέον, τα προσωπικά δεδομένα δεν πρέπει να μεταφέρονται έξω από την Ευρωπαϊκή Ένωση. Αν είναι απαραίτητη η μεταφορά προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης, να ζητηθεί η συμβουλή του Υπεύθυνου Προστασίας Δεδομένων.

 

5.2

ΕΝΗΜΕΡΩΣΗ ΠΡΟΣ ΤΑ ΥΠΟΚΕΙΜΕΝΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΝΟΜΙΜΗ ΕΠΕΞΕΡΓΑΣΙΑ

 

Στα υποκείμενα των δεδομένων  πρέπει να δίνεται ενημέρωση για την προστασία των προσωπικών τους δεδομένων και των δικαιωμάτων πριν τη συλλογή ή/και επεξεργασία των δεδομένων τους.

 

5.3

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΡΙΤΟΥΣ

 

5.3.1

Επαρκείς διαβεβαιώσεις από τρίτους ότι η επεξεργασία πληροί τις απαιτήσεις του Κανονισμού

 

Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό του Πανεπιστημίου από τρίτους (εκτελούντες την επεξεργασία), το Πανεπιστήμιο χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του Κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

 

5.3.2

Μη πρόσληψη άλλου εκτελούντα την επεξεργασία χωρίς την έγκριση του Πανεπιστημίου

 

Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

 

5.3.3

Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση

 

Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.

 

5.4

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΗΔΗ ΑΠΟ ΤΟΝ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ’ ΟΡΙΣΜΟΥ

 

5.4.1

Κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας και κατά τη στιγμή της επεξεργασίας

 

5.4.1.1

Ασφάλεια των προσωπικών δεδομένων

 

O υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία έχουν υποχρέωση να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων έναντι των κινδύνων.

 

Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις και το κόστος της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν.

 

Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.

 

5.4.1.2

Τι προβλέπει ο Γενικός Κανονισμός για την Προστασία Δεδομένων( ΓΚΠΔ);

 

Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων: Αρχή της ακεραιότητας και της εμπιστευτικότητας (άρθρο 5 του ΓΚΠΔ).

 

5.4.1.3

Ασφάλεια επεξεργασίας (άρθρο 32)

 

Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

 

α.

της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

 

β.

της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της      διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

 

γ.

Της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

 

δ.

διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

 

Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

 

Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.

 

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.

 

5.4.1.4

Εκτίμηση αντικτύπου (άρθρο 35)

 

Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους. Η ΕΑΠΔ αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας και παρέχει συνδρομή στους υπεύθυνους επεξεργασίας όχι μόνον προκειμένου να συμμορφώνονται με τις προδιαγραφές του ΓΚΠΔ, αλλά και για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης προς τον Κανονισμό. Με άλλα λόγια, η ΕΑΠΔ είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.

 

5.4.2

Επεξεργασία μόνο απαραίτητων προσωπικών δεδομένων και μόνο για τον εκάστοτε     σκοπό της επεξεργασίας

 

Πρέπει να εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζεται ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

 

 

5.5

ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

 

Αποτελεί ευθύνη όλων των  μελών του προσωπικού και όλων των φοιτητών που εργοδοτούνται στο Πανεπιστήμιο να ενημερώνουν άμεσα τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας σε περίπτωση που είτε  τυχαία είτε παράνομα προσωπικά δεδομένα καταστρέφονται, χάνονται, μεταβάλλονται, κοινοποιούνται ή έτυχαν πρόσβασης, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία που δεν ήταν στα πλαίσια των νενομισμένων κανονισμών, πολιτικών ή διαδικασιών του Πανεπιστημίου.

 

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, το Πανεπιστήμιο μέσω του εξουσιοδοτημένου υπεύθυνου επεξεργασίας ενημερώνει εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή (Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

 

Η οποιαδήποτε παράνομη ή μη νενομισμένη επεξεργασία προσωπικών δεδομένων θα επιφέρει πειθαρχική δίωξη που μπορεί να οδηγήσει και σε ποινική δίωξη.

 

6.

ΑΡΜΟΔΙΟΤΗΤΕΣ ΚΑΙ ΕΥΘΥΝΕΣ

 

6.1

Υπεύθυνος Επεξεργασίας - Το Συμβούλιο του Πανεπιστημίου

 

Το Συμβούλιο του Πανεπιστημίου εξουσιοδοτεί όλους τους Προϊστάμενους Υπηρεσιών και μελών του ακαδημαϊκού προσωπικού που εξασκούν διοικητικά καθήκοντα (π.χ. Κοσμήτορες, Προέδροι Τμημάτων και υπεύθυνοι ερευνητικών προγραμμάτων) να επιβλέπουν την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων στις οντότητες τους και κατά την κρίση τους να θέτουν θέματα στο Συμβούλιο για συζήτηση.

 

6.2

Εξουσιοδοτημένοι υπεύθυνοι επεξεργασίας - Προϊστάμενοι Υπηρεσιών, Διευθυντής Βιβλιοθήκης και μέλη του ακαδημαϊκού προσωπικού που εξασκούν διοικητικά καθήκοντα (π.χ. Κοσμήτορες και Προέδροι Τμημάτων)

 

Οι υποχρεώσεις κάθε εξουσιοδοτημένου υπεύθυνου επεξεργασίας περιλαμβάνουν τα πιο κάτω:

 

6.2.1

ιασφαλίζει ότι τα προσωπικά δεδο΅ένα που χειρίζεται η οργανωτική οντότητα της ευθύνης του, τυγχάνουν επεξεργασίας σύ΅φωνα ΅ε τις βασικές αρχές προστασίας των προσωπικών δεδο΅ένων.

 

6.2.2

ιασφαλίζει ότι γίνονται όλες οι αναγκαίες διαδικασίες για την τακτική αναθεώρηση, διόρθωση ή διαγραφή περιττών για την οργανωτική οντότητα, προσωπικών δεδο΅ένων.

 

6.2.3

ιασφαλίζει ότι τα μέλη του προσωπικού κάτω από την ευθύνη του που χειρίζονται τα προσωπικά δεδο΅ένα είναι ενή΅εροι για τις υποχρεώσεις τους.

 

6.2.4

ιασφαλίζει ότι ότι τα μέλη του προσωπικού κάτω από την ευθύνη του που χειρίζονται τα προσωπικά δεδο΅ένα των εργοδοτου΅ένων τυγχάνουν της απαιτού΅ενης εκπαίδευσης.

 

6.2.5

Ενη΅ερώνει τα υποκείμενα των δεδομένων για τα δικαιώ΅ατα που τους παρέχει ο Κανονισμός.

 

6.2.6

Λα΅βάνει τα απαιτού΅ενα οργανωτικά και τεχνικά ΅έτρα για την ασφάλεια των προσωπικών δεδο΅ένων.

 

6.2.7

Καθορίζει και επιβλέπει την πολιτική του οργανισ΅ού σε θέ΅ατα προστασίας προσωπικών δεδο΅ένων.

 

6.2.8

Διατηρεί το αρχείο δραστηριοτήτων για τα προσωπικά δεδομένα που επεξεργάζεται η οργανωτική οντότητα της ευθύνης του.

 

6.2.9

Αναφέρει τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται η οργανωτική οντότητα της ευθύνης του σύμφωνα με τις πρόνοιες του Κανονισμού.

 

Οι Προϊστάμενοι Υπηρεσιών, ο Διευθυντής Βιβλιοθήκης και μέλη του ακαδημαϊκού προσωπικού που εξασκούν διοικητικά καθήκοντα (π.χ. Κοσμήτορες και Προέδροι Τμημάτων) ΅πορεί να το βρουν χρήσι΅ο να ορίζουν κάποιο άτο΅ο στο οποίο να ανατίθεται καθήκοντα που αφορούν στην παρακολούθηση των πιο πάνω αρχών και το οποίο θα ασχολείται ΅ε τα θέ΅ατα προστασίας των προσωπικών δεδο΅ένων της οργανωτικής οντότητας της ευθύνης τους.

 

6.3

Υπεύθυνοι Τομέων/ Υπεύθυνοι Γραφείων/ Μέλη του προσωπικού που βάση καθηκόντων επεξεργάζονται προσωπικά δεδομένα (Εκτελούντες την επεξεργασία)

 

Οι Υπεύθυνοι Τομέων/ Υπεύθυνοι Γραφείων και τα μέλη του προσωπικού που βάση καθηκόντων επεξεργάζονται προσωπικά δεδομένα:

 

6.3.1

επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει των εντολών του   εξουσιοδοτημένου υπευθύνου επεξεργασίας (διοικητικού προϊστάμενου τους).

 

6.3.2

έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας.

 

6.3.3

απαντούν σε αιτήματα για άσκηση των προβλεπόμενων δικαιωμάτων του υποκειμένου των     δεδομένων.

 

6.3.4

ακολουθούν τα μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων που καθορίζονται από τον υπεύθυνο επεξεργασίας.

 

6.4

Υπεύθυνος Προστασίας Δεδομένων

 

Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον Κανονισμό εντός του Πανεπιστημίου. Ο ρόλος του είναι συμβουλευτικός. Τα κύρια καθήκοντα του είναι να ενημερώνει τον υπεύθυνο επεξεργασίας για τις υποχρεώσεις του και να παρέχει συμβουλές, εφόσον του ζητηθεί.  Αποτελεί επίσης το σημείο επαφής μεταξύ του Οργανισμού και του Γραφείου του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

Στο πλαίσιο των καθηκόντων παρακολούθησης της συμμόρφωσης, ο Υπεύθυνος Προστασίας Δεδομένων μπορεί:

 

·      να συλλέξει πληροφορίες με σκοπό τον προσδιορισμό δραστηριοτήτων επεξεργασίας,

·      να αναλύει και να ελέγχει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας, και

·      να ενημερώσει ή/ και να συμβουλέψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για θέματα που αφορούν την συμμόρφωση με τον Κανονισμό.

 

Τα στοιχεία επαφής με τον Υπεύθυνο Προστασίας Δεδομένων είναι τα ακόλουθα[1]:

 

Χρύσω Αγαπίου

Υπεύθυνη Λειτουργός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Γραφείο Πρύτανη

Πανεπιστήμιο Κύπρου

 

 

Τηλέφωνο: 22 894361

Ηλεκτρονικό ταχυδρομείο: dpo@ucy.ac.cy

 

Τ.Θ. 20537 | 1678 Λευκωσία

Κτήριο Συμβουλίου – Συγκλήτου «Αναστάσιος Γ. Λεβέντης»

Λεωφ. Πανεπιστημίου 1 | Πανεπιστημιούπολη

 

7.

ΟΡΙΣΜΟΙ

 

7.1

«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

 

7.2

«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

 

7.3

«κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

 

7.4

«ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

 

7.5

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

 

7.6

«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

 

7.7

«τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

 

 

7.8

«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

 

7.9

«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

 

7.10

«εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος (Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)

 

 

 

 

 

 

 

Η Πολιτική Προστασίας Προσωπικών Δεδομένων εγκρίθηκε κατά τη συνεδρία της Επιτροπής Προσωπικού και Κανονισμών αρ. 6/2019,  ημερ. 01/07/2019.

 

 

 

 

 



[1] Σημειώση: Αντικατάσταση προηγούμενου Υπεύθυνου Προστασίας Δεδομένων με απόφαση του Συμβουλίου (συνεδρία αρ. 12/2019, 2/12/ 2019).