Γενικά
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Πλαισιώθηκε νομοθετικά από τον Ν. 2472/1997 που βασιζόταν στην κοινοτική Οδηγία 95/46, η οποία καταργήθηκε από τον Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016 (στο εξής ΓΚΠΔ). Ως ειδικότερος νόμος του Κανονισμού ο οποίος τέθηκε σε ισχύ την 25/5/2018 ψηφίστηκε ο Ν. 4624/2019 με τον οποίο καταργήθηκαν κατά το πλείστον οι διατάξεις του Ν. 2472/97 και έγιναν κυρίως αναφορές στον δημόσιο τομέα.
Η παρούσα πολιτική αποτελεί εκπλήρωση της υποχρέωσης ενημέρωσης του Δήμου Σερβίων σύμφωνα με τα άρθρα 12, 13 και 14 του ΓΚΠΔ προς τα φυσικά πρόσωπα. Συγκεκριμένα η Πολιτική αυτή έχει ως ρόλο την ενημέρωση των εργαζομένων στον Δήμο μας για την επεξεργασία των προσωπικών δεδομένων τόσο των ιδίων όσο και τον πολιτών που συναλλάσσονται με τις υπηρεσίες του Δήμου.
1. Έννοιες
«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να γίνει γνωστή («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας
«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρειεπιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
«δεδομένα ειδικής κατηγορίας»:προσωπικού χαρακτήρα δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
«κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.
2. Ρόλοι
Υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για το σύνολο των επεξεργασιών που διενεργούνται από τις υπηρεσίες του Οργανισμού Εσωτερικής Υπηρεσίας του Δήμου είναι ο Δήμος Σερβιών, νομικό πρόσωπο δημοσίου δικαίου (οργανισμός τοπικής αυτοδιοίκησης, όπως νόμιμα εκπροσωπείται (κατά τον ορισμό του άρθρου 4 αρ. 7 του Γενικού Κανονισμού Προστασίας Δεδομένων). Ο Δήμος Σερβιών καθορίζει τον σκοπό και τον τρόπο της επεξεργασίας δεδομένων από τις ανωτέρω υπηρεσίες.
Οι εργαζόμενοι, με οποιαδήποτε εργασιακή σχέση, στις ανωτέρω υπηρεσίες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα είναι “πρόσωπα που ενεργούν υπό την εποπτεία του υπεύθυνου επεξεργασίας” (κατά τον ορισμό του άρθρου 29 του Γ.Κ.Π.Δ.)
Άλλα φυσικά ή νομικά πρόσωπα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας είναι “εκτελούντες την επεξεργασία” (κατά τον ορισμό του άρθρου 4 αρ. 8 του Γ.Κ.Π.Δ.). Παράδειγμα εκτελούντων την επεξεργασία μπορεί να αποτελέσει εξωτερική τεχνική εταιρεία υπολογιστών που συνεργάζεται με το Δήμο, η εταιρεία που μπορεί να εγκαταστήσει κάμερες για λογαριασμό του Δήμου κλπ.
3. Ο υπεύθυνος προστασίας δεδομένων
3.1.Ο Δήμος έχει ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (άρθρο 37 Γ.Κ.Π.Δ.). Τα στοιχεία επικοινωνίας με τον Υ.Π.Δ. είναι: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.
3.2. Καθήκοντα του Υ.Π.Δ. είναι:
α) |
ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον Γ.Κ.Π.Δ. και από άλλες διατάξεις σχετικά με την προστασία δεδομένων, |
|
β) |
παρακολουθεί τη συμμόρφωση με τον Γ.Κ.Π.Δ., με άλλες διατάξεις σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, |
|
γ) |
παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 Γ.Κ.Π.Δ., |
|
δ) |
συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, |
|
ε) |
ενεργεί ως σημείο επικοινωνίας για την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 Γ.Κ.Π.Δ., και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. |
4. Νομιμότητα επεξεργασιών δεδομένων από τον Δήμο
4.1. Η επεξεργασία προσωπικών δεδομένων από τον Δήμο επιτρέπεται μόνον εφόσον προβλέπεται από σχετικές διατάξεις, στις ακόλουθες περιπτώσεις:
Α) εφόσον είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον Δήμο (άρθρο 6 περ. ε Γ.Κ.Π.Δ.)
Β) εφόσον είναι απαραίτητη για τη συμμόρφωση του Δήμου με έννομη υποχρέωσή του. Κατά κύριο λόγο, ο Δήμος επεξεργάζεται μόνο τα δεδομένα που είναι υποχρεωμένος να επεξεργάζεται για να ασκήσει τις προβλεπόμενες από την νομοθεσία αρμοδιότητές του (άρθρο 6 περ. γ’ Γ.Κ.Π.Δ.). Όλες οι αρμοδιότητες που προβλέπονται ήδη από την νομοθεσία για τον Δήμο, εξακολουθούν να ασκούνται με νομική βάση της επεξεργασίας δεδομένων την διάταξη που ήδη τις προβλέπει.
Γ) εφόσον είναι απαραίτητη για την διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (άρθρο 6 περ. δ Γ.Κ.Π.Δ.)
Δ) εφόσον είναι απαραίτητα για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου πριν από τη σύναψη της σύμβασης (άρθρο 6 περ. β’ Γ.Κ.Π.Δ.)
4.2. Κατ’ αρχήν δεν επιτρέπεται επεξεργασία από τον Δήμο δεδομένων προσωπικού χαρακτήρα που βασίζεται στην “συγκατάθεση” του υποκειμένου των δεδομένων. Τέτοια συγκατάθεση δεν νοείται να παρέχει ο πολίτης στον Δήμο. Oι πολίτες που παρέχουν τα δεδομένα τους για να ασκήσουν δικαιώματα ή να απολαύσουν παροχές από τον Δήμο, δεν το πράττουν στην βάση της συγκατάθεσή τους, αλλά στο πλαίσιο της υποχρέωσης του Δήμου για ενάσκηση των αρμοδιοτήτων του, κατόπιν βεβαίως προηγούμενης ενημέρωσης των πολιτών. Ωστόσο, σε περιπτώσεις που μια υπηρεσία του Δήμου παρέχεται στον πολίτη ως “υπηρεσία επιπρόσθετης αξίας”, δηλαδή ο πολίτης μπορεί να την απολαύσει στην συμβατική της μορφή χωρίς συγκατάθεση ή και χωρίς καν να δώσει προσωπικά δεδομένα, αλλά η επιπρόσθετη αξία συνίσταται στην δυνατότητα ηλεκτρονικής ενεργοποίησης ή και παρακολούθησης, σε αυτές τις περιπτώσεις επιτρέπεται η επεξεργασία των προσωπικών δεδομένων επί τη βάσει της “συγκατάθεσης”.
4.3. Δεν νοείται επεξεργασία δεδομένων από τον Δήμο δεδομένων προσωπικού χαρακτήρα που βασίζεται σε “έννομο συμφέρον” που υπερέχει των δικαιωμάτων και ελευθεριών του ατόμου (άρθρο 6 in. fin. Γ.Κ.Π.Δ.)
5. Διαφάνεια και ενημέρωση
5.1. Με την ανακοίνωση της παρούσας Πολιτικής Προστασίας Προσωπικών Δεδομένων Δήμου Σερβιών, τα υποκείμενα των δεδομένων ενημερώνονται για τους όρους υπό τους οποίους ο Δήμος επεξεργάζεται τα δεδομένα που τα αφορούν (άρθρο 12 Γ.Κ.Π.Δ.)
5.2. Στην περίπτωση που ο Δήμος συλλέγει δεδομένα από το ίδιο το υποκείμενο των δεδομένων, όπως π.χ. όταν το υποκείμενο του υποβάλλει μια αίτηση ή διαθέτει τα στοιχεία του για να αποκτήσει πρόσβαση σε μια δημοτική υπηρεσία ή παροχή ή να ασκήσει κάποιο σχετικό δικαίωμα, η δημοτική υπηρεσία παρέχει τις εξής πληροφορίες στο υποκείμενο των δεδομένων, με ευδιάκριτη σήμανση στο ίδιο το έντυπο της αίτησης ή στην ηλεκτρονική μορφή επικοινωνίας του πολίτη με την υπηρεσία:
α) | την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, |
β) | τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, |
γ) | τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία |
δ) | τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν, |
ε) | κατά περίπτωση, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν. |
στ) | το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, |
ζ) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, |
η) | όταν η επεξεργασία βασίζεται στην συγκατάθεση, την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, |
θ) | το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, |
ι) | κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών, |
ια) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
5.3. Στην περίπτωση που ο Δήμος συλλέγει δεδομένα από άλλες πηγές και όχι από το ίδιο το υποκείμενο των δεδομένων, παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες, εκτός αν η συλλογή τους προβλέπεται ρητά στην νομοθεσία, οπότε δεν είναι υποχρεωμένος να προβεί στην σχετική ενημέρωση του υποκειμένου περί:
α) | την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, |
β) | τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, |
γ) | τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, |
δ) | τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, |
ε) | τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως, |
στ) | κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν. |
ζ) | το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, |
η) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, |
θ) | όταν η επεξεργασία βασίζεται στην συγκατάθεση, την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, |
ι) | το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα |
ια) | την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό, |
ιβ) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
5.4 Ο Δήμος υποχρεούται να διαθέσει όλες τις πληροφορίες που προβλέπονται από τα παρακάτω δικαιώματα στο υποκείμενο των δεδομένων εντός μηνός από την παραλαβή του αιτήματος. Η προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο Δήμος ενημερώνει το υποκείμενο των δεδομένων για την παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται με ηλεκτρονικά μέσα.
ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ
6. Δικαίωμα πρόσβασης
6.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
α) | τους σκοπούς της επεξεργασίας, |
β) | τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, |
γ) | τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς, |
δ) | εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, |
ε) | την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία, |
στ) | το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή, |
ζ) | όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους, |
η) | την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 Γ.Κ.Π.Δ. και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. |
6.2. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.
6.3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.
6.4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 6.3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
7. Δικαίωμα διόρθωσης
Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Μπορεί επίσης να ζητήσει την επαλήθευση των δεδομένων του πριν από τη διόρθωσή τους. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.
8. Δικαίωμα διαγραφής
8.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) | τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, |
β) | το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, |
γ) | το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 Γ.Κ.Π.Δ. (επεξεργασία για σκοπούς ενάσκησης καθήκοντος που αφορά το δημόσιο συμφέρον ή ενάσκηση δημόσιας εξουσίας) και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2 Γ.Κ.Π.Δ. (απευθείας εμπορική προώθηση προϊόντων ή υπηρεσιών), |
δ) | τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα, |
ε) | τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας, |
στ) | τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών με συγκατάθεση από παιδί. |
8.2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
8.3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:
α) | για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, |
β) | για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, |
γ) | για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 9 παράγραφος 3 Γ.Κ.Π.Δ., |
δ) | για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή |
ε) | για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. |
9. Δικαίωμα περιορισμού της επεξεργασίας
9.1. Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) | η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα, |
β) | η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ' αυτής, τον περιορισμό της χρήσης τους, |
γ) | ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, |
δ) | το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 Γ.Κ.Π.Δ., εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων. |
9.2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 8.1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
9.3. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 8.1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.
10. Δικαίωμα στην φορητότητα των δεδομένων
10.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:
α) | η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) Γ.Κ.Π.Δ. και |
β) | η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα. |
10.2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 9.1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
10.3. Το δικαίωμα που αναφέρεται στην παράγραφο 9.1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17 Γ.Κ.Π.Δ. (δικαίωμα διαγραφής). Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
10.4. Το δικαίωμα που αναφέρεται στην παράγραφο 9.1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
11. Δικαίωμα εναντίωσης
11.1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) Γ.Κ.Π.Δ. (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
11.2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.
11.3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.
11.4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 10.1 και 10.2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
11.5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.
11.6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.
12. Αυτοματοποιημένη λήψη απόφασης
12.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο.
12.2. Η παράγραφος 11.1 δεν εφαρμόζεται όταν η απόφαση:
α) | είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων, |
β) | επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή |
γ) | βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων. |
12.3. Στις περιπτώσεις που αναφέρονται στην παράγραφο 11.2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.
12.4. Οι αποφάσεις που αναφέρονται στην παράγραφο 11.2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.
12.5 Ο Δήμος Σερβίων δεν προβαίνει σε αυτοματοποιημένη λήψη απόφασης εκτός εάν πρόκειται να χρησιμοποιήσει αντίστοιχο λογισμικό προς εξυπηρέτηση των πολιτών με ανθρώπινη παρέμβαση και όχι εξολοκλήρου με αυτοματοποιημένα μέσα. Στο πλαίσιο της ηλεκτρονικής διακυβέρνησης ο Δήμος θα χρησιμοποιεί λογισμικό ως «εργαλείο» για τη διαβίβαση εγγράφων και όχι για την αυτοματοποιημένη λήψη αποφάσεων.
13. Αρχεία των δραστηριοτήτων της επεξεργασίας
13.1. Ο Δήμος Σερβίων τηρεί “Αρχείο των δραστηριοτήτων της επεξεργασίας”. Σε αυτό καταγράφεται κάθε ιδιαίτερη περίπτωση επεξεργασίας δεδομένων, υπό τους όρους του άρθρου 30 του Γ.Κ.Π.Δ. Το “Αρχείο των δραστηριοτήτων της επεξεργασίας” τηρείται στην Διεύθυνση Πληροφορικής.
13.2. Όταν μία υπηρεσία του Δήμου προτίθεται να εκκινήσει την διενέργεια μιας νέας επεξεργασίας δεδομένων προσωπικού χαρακτήρα, με οποιαδήποτε νομική βάση, υποχρεούται να φροντίζει για την σχετική επικαιροποίηση του “Αρχείου των δραστηριοτήτων της επεξεργασίας”. Συγκεκριμένα, υποχρεούται να υποβάλλει έγγραφο με τα εξής στοιχεία:
α) | την επωνυμία και τα στοιχεία επικοινωνίας της υπηρεσίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων, |
β) | τους σκοπούς της επεξεργασίας, |
γ) | περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, |
δ) | τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς, |
ε) | όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων, |
στ) | όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων, |
ζ) | όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1 του Γ.Κ.Π.Δ. |
14. Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
14.1. Ως “παραβίαση δεδομένων προσωπικού χαρακτήρα”, νοείται η η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία (άρθρο 4 αρ. 12 του Γ.Κ.Π.Δ.). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην Αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Κάθε πρόσωπο που απασχολείται στον Δήμο, εφόσον διαπιστώσει τέτοια παραβίαση οφείλει αμελλητί να την γνωστοποιήσει στo Δήμο που είναι αρμόδιος για τη γνωστοποίηση της παραβίασης στην Αρχή.
14.2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
14.3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 13.1 κατ' ελάχιστο:
α) | περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα, |
β) | ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες, |
γ) | περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, |
δ) | περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Σημείωση: Ειδικό έντυπο για την παραβίαση δεδομένων υπάρχει αναρτημένο στην ιστοσελίδα της Αρχής Προστασίας Προσωπικών Δεδομένων https://www.dpa.gr/ |
14.4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
14.5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
14.6. To άρθρο αυτό εφαρμόζεται με λήψη υπόψη των “Κατευθυντήριων γραμμών σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του Κανονισμού 2016/679” της Ομάδας Εργασίας του Άρθρου 29 για την Προστασία των Δεδομένων (εκδόθηκε 3.10.2017, αναθεωρήθηκε και εκδόθηκε τις 6.2.2018.
15. Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
15.1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
15.2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 14.1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 13 παράγραφος 3 στοιχεία β), γ) και δ).
15.3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 14.1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α) | ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση, |
β) | ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, |
γ) | προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ' αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο. |
15.4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.
15.5. To άρθρο αυτό εφαρμόζεται με λήψη υπόψη των “Κατευθυντήριων γραμμών σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του Κανονισμού 2016/679” της Ομάδας Εργασίας του Άρθρου 29 για την Προστασία των Δεδομένων (εκδόθηκε 3.10.2017, αναθεωρήθηκε και εκδόθηκε τις 6.2.2018.
16. Εκτίμηση αντικτύπου
16.1. Όταν πρόκειται να εφαρμοστεί για πρώτη φορά ένα είδος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ιδίως με χρήση νέων τεχνολογιών (π.χ. λογισμικό, λειτουργία καμερών) και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η δημοτική υπηρεσία ενημερώνει την Διεύθυνση Πληροφορικής. Ο Δήμος διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
16.2. Ο Δήμος ζητεί τη γνώμη του Υπευθύνου Προστασίας Δεδομένων, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
16.3. Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:
α) | συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, |
β) | μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 Γ.Κ.Π.Δ. ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 Γ.Κ.Π.Δ. ή |
γ) | συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα. |
16.4. Η εκτίμηση περιέχει τουλάχιστον:
α) | συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας, |
β) | εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς, |
γ) | εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και |
δ) | τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων. |
16.5. Ο Δήμος ζητεί τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πριν από την επεξεργασία, όταν η δυνάμει του παρόντος άρθρου και του άρθρου 35 Γ.Κ.Π.Δ. εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.
17. Ασφάλεια των δεδομένων
17.1.Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Δήμος εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
α) | της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, |
β) | της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, |
γ) | της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, |
δ) | διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. |
17.2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
17.3. Ο Δήμος λαμβάνει μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
18. Ασφαλή σημεία
Τα δεδομένα πρέπει να αποθηκεύονται με ασφάλεια.
Η εκτίμηση επικινδυνότητας πρέπει να προσδιορίζει το κατάλληλο επίπεδο προστασίας που πρέπει να εφαρμόζεται για τη διασφάλιση της αποθήκευσης των δεδομένων.
Η φυσική ασφάλεια πρέπει να αρχίζει με το ίδιο το κτίριο και πρέπει να διεξάγεται αξιολόγηση της ευαισθησίας της περιμέτρου.
Το κτίριο πρέπει να διαθέτει τους κατάλληλους μηχανισμούς ελέγχου για τον τύπο δεδομένων και εξοπλισμού που αποθηκεύονται εκεί. Αυτά θα μπορούσαν να περιλαμβάνουν, αλλά δεν περιορίζονται στα εξής:
- Οι συναγερμοί τοποθετούνται και ενεργοποιούνται εκτός ωρών εργασίας
- Κλειδαριές παραθύρων και θυρών
- Ρολά παραθύρωνστους χαμηλότερουςορόφους
- Μηχανισμοί ελέγχου πρόσβασης που είναι εγκατεστημένοι σε όλες τις προσβάσιμες πόρτες (όπου χρησιμοποιούνται κωδικοί, θα πρέπει να αλλάζουν τακτικά και να είναι γνωστοί μόνο σε όσους έχουν άδεια πρόσβασης στην περιοχή / κτίριο)
- Κάμερες CCTV
- Προστασία από βλάβες - π.χ. πυρκαγιά, πλημμύρα, βανδαλισμό
Το προσωπικό που εργάζεται σε ασφαλείς περιοχές θα πρέπει να αμφισβητήσει όποιον δεν φέρει σήμα ή αντιλαμβάνεται ότι δεν ανήκει στο εξουσιοδοτημένο προσωπικό.
Τα αναγνωριστικά και τα εργαλεία πρόσβασης / διέλευσης (π.χ. διακριτικά, κλειδιά, κωδικοί εισόδου κ.λπ.) πρέπει να τηρούνται μόνο από υπαλλήλους που έχουν εξουσιοδοτηθεί να έχουν πρόσβαση σε αυτές τις περιοχές και δεν πρέπει να δανείζονται / παρέχονται σε κανέναν άλλο.
Τα κλειδιά σε όλες τις ασφαλείς περιοχές που στεγάζουν τον εξοπλισμό πληροφορικής και τα ντουλάπια IT που κλειδώνουν, αποθηκεύονται κεντρικά από τον Διαχειριστή Ασφάλειας Πληροφοριών ανάλογα με την περίπτωση.
Σε όλες τις περιπτώσεις όπου υπάρχουν διαδικασίες ασφαλείας, πρέπει να εκδοθούν οδηγίες για την αντιμετώπιση της παράβασης ασφαλείας.
Σε περίπτωση που υπάρχουν παραβιάσεις ή όταν ένα μέλος του προσωπικού αποχωρεί εκτός των κανονικών συνθηκών τερματισμού, όλα τα εργαλεία αναγνώρισης / πρόσβασης (π.χ. εμβλήματα, κλειδιά κ.λπ.) θα πρέπει να ανακτηθούν από το μέλος του προσωπικού και οι κωδικοί θυρών / πρόσβασης θα πρέπει να αλλάξουν αμέσως.
19. Προστασία προσωπικών δεδομένων ιστοσελίδας
Η ιστοσελίδα του Δήμου Σερβιών δεν περιλαμβάνει σύστημα εγγραφής και εισόδου χρηστών. Παρόλα αυτά, η ιστοσελίδα μπορεί να συγκεντρώνει στοιχεία αναγνώρισης των Χρηστών, χρησιμοποιώντας αντίστοιχες τεχνολογίες, όπως cookies ή/και την παρακολούθηση διευθύνσεων Πρωτοκόλλου Internet (IP).
Τα cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στο σκληρό δίσκο κάθε Χρήστη και δεν λαμβάνουν γνώση οποιουδήποτε εγγράφου ή αρχείου από τον υπολογιστή του, χρησιμοποιούνται για τη διευκόλυνση πρόσβασης του Χρήστη όσον αφορά στη χρησιμοποίηση συγκεκριμένων υπηρεσιών ή/και σελίδων του Ιστοτόπου για στατιστικούς λόγους και προκειμένου να καθορίζονται οι περιοχές οι οποίες είναι χρήσιμες ή δημοφιλείς. Δύο τύποι cookies μπορούν να χρησιμοποιούνται: (α) cookies «περιήγησης» – αυτά είναι παροδικά cookies που παραμένουν στο φάκελο των cookies στον browsersaw για όσο χρόνο ο Χρήστης είναι συνδεδεμένος με τον Ιστότοπο και (β) «επίμονα» cookies – αυτά παραμένουν στο φάκελο cookies του browser που χρησιμοποιεί ο Χρήστης για πολύ περισσότερο (αν και το για πόσο χρόνο εξαρτάται από τη διάρκεια ζωής του συγκεκριμένου cookie). Tα cookies περιήγησης χρησιμοποιούνται για να βελτιώσουν την πλοήγηση του Χρήστη στον Ιστότοπο και για να συλλέξουν συγκεντρωτικές στατιστικές πληροφορίες. Αυτές οι συγκεντρωτικές στατιστικές πληροφορίες χρησιμοποιούνται για σκοπούς εσωτερικής χρήσης και μόνο και δεν θα παρασχεθούν σε τρίτους. Τα επίμονα cookies χρησιμοποιούνται στον Ιστότοπο για να αποθηκεύουν πληροφορίες στον υπολογιστή του Χρήστη για διάφορους σκοπούς, ενδεικτικά για την ανάκτηση συγκεκριμένων πληροφοριών που έχει ο Χρήστης παράσχει, για τον καθορισμό των περιοχών του Ιστοτόπου που βρίσκουν οι Χρήστες πιο ενδιαφέρουσες και τη διαμόρφωση του Ιστοτόπου σύμφωνα με τις προτιμήσεις του Χρήστη. Τα στοιχεία αυτά μπορεί να περιλαμβάνουν επίσης τον τύπο του φυλλομετρητή (browser) που χρησιμοποιεί ο Χρήστης, το είδος του υπολογιστή, το λειτουργικό του σύστημα, τους παρόχους διαδικτυακών υπηρεσιών και λοιπές πληροφορίες τέτοιου είδους. Επιπλέον, το πληροφοριακό σύστημα του Ιστότοπου συλλέγει αυτόματα πληροφορίες σχετικά με τις τοποθεσίες που επισκέπτεται ο Χρήστης και σχετικά με τους συνδέσμους σε ιστοχώρους τρίτων που ενδέχεται να επιλέξει μέσω της χρήσης του Ιστότοπου. Ο Χρήστης του Ιστότοπου μπορεί να ρυθμίσει το πρόγραμμα του για πλοήγηση στο Διαδίκτυο (webbrowser) κατά τέτοιο τρόπο, ώστε, είτε να τον προειδοποιεί για τη χρήση των cookies σε συγκεκριμένες υπηρεσίες, είτε να μην επιτρέπει την αποδοχή της χρήσης cookies σε καμία περίπτωση. Σε περίπτωση που ο Χρήστης των συγκεκριμένων υπηρεσιών και σελίδων δεν επιθυμεί τη χρήση cookies για την αναγνώριση του δεν μπορεί να έχει περαιτέρω πρόσβαση στις υπηρεσίες αυτές.
Ο υπολογιστής του κάθε Χρήστη λαμβάνει μία διεύθυνση IP κάθε φορά που αυτός έχει πρόσβαση στο Διαδίκτυο. Μέσω αυτής, ο υπολογιστής του Χρήστη μπορεί να λαμβάνει και να αποστέλλει δεδομένα. Γενικά, κάθε φορά που ο Χρήστης συνδέεται στο Διαδίκτυο, η ΙΡ διεύθυνση του Χρήστη αλλάζει. Όμως, υπό κάποιες συνθήκες (π.χ. με κάποιες συνδέσεις broadband) η ΙΡ διεύθυνση του Χρήστη καθίσταται σταθερή. Μία σταθερή διεύθυνση ΙΡ μπορεί να συσχετισθεί με το συγκεκριμένο υπολογιστή Χρήστη και συνεπώς μπορεί να οδηγεί σε προσωπικές πληροφορίες του Χρήστη. Οι πληροφορίες Weblog είναι μη προσωπικές πληροφορίες που συλλέγονται από τον υπολογιστή που φιλοξενεί τον ιστότοπο κάθε φορά που τον επισκέπτεται κάποιος Χρήστης. Παραδείγματα του τύπου των πληροφοριών που μπορεί να συλλέγονται με τη χρήση της ΙΡ διεύθυνσης ή / και των weblog πληροφοριών περιλαμβάνουν λεπτομέρειες της ημερομηνίας και της ώρας επίσκεψης στον ιστότοπο και τον τύπο του browser και του λειτουργικού συστήματος υπολογιστή, που χρησιμοποιήθηκε. Υπάρχει λοιπόν η δυνατότητα χρησιμοποίησης της ΙΡ διεύθυνσή του Χρήστη ή και των weblog πληροφοριών για να συλλεχθούν συγκεντρωτικές πληροφορίες για το πώς γίνεται χρήση του Ιστοτόπου και για το πώς ο Ιστότοπος μπορεί να βελτιωθεί.
Όλες οι πληροφορίες που συλλέγονται από τα cookies πρέπει να αποστέλλονται ανωνυμοποιημένες , σεβόμενοι πάντα τις ρυθμίσεις του λογισμικού περιήγησης περί απορρήτου («Να μην γίνεται εντοπισμός»). Χρησιμοποιούνται μόνο για να μας βοηθήσουν να βελτιώσουμε τον τρόπο λειτουργίας, το περιεχόμενο και τις παρεχόμενες υπηρεσίες της ιστοσελίδας. Σχετική ένδειξη περί αποδοχής των ρυθμίσεων θα πρέπει να υπάρχει κατά την είσοδο του κάθε χρήστη στην ιστοσελίδα.
Η Πολιτική Προστασίας ιστοσελίδας θα αποτελέσει χωριστό κείμενο.
20. Πρόσβαση σε δημόσια έγγραφα
Το δικαίωμα πρόσβασης των δημοτών σε δημόσια έγγραφα αποτελεί ειδικότερη έκφανση του δικαιώματος στην πληροφόρηση, το οποίο βρίσκει έρεισμα στο άρθρο 5Α του Συντάγματος. Τα δημόσια έγγραφα διακρίνονται στα διοικητικά και τα ιδιωτικά. Διοικητικά έγγραφα θεωρούνται όσα συντάσσονται από διοικητικό όργανο, δηλαδή από όργανο που ανήκει στο Δημόσιο, τους ΟΤΑ και τα ΝΠΔΔ. Σύμφωνα με τον Κώδικα Διοικητικής Διαδικασίας άρθρο 5 παρ. 1, ως διοικητικά έγγραφα νοούνται όσα συντάσσονται από τις δημόσιες υπηρεσίες όπως εκθέσεις, μελέτες, πρακτικά, στατιστικά στοιχεία, εγκύκλιες οδηγίες, απαντήσεις της Διοίκησης, γνωμοδοτήσεις και αποφάσεις (ΣτΕ 3416/2001) επίσης θα πρέπει να θεωρηθούν και τα μη προερχόμενα μεν από δημ. υπηρεσίες, αλλά χρησιμοποιηθέντα ή ληφθέντα υπ’ όψιν για τον καθορισμό της διοικητικής δράσεως, ή την διαμόρφωση γνώμης ή κρίσεως διοικ. Οργάνου (Γνωμ. 620/1999 του Ε’ Τμήματος του Ν.Σ.Κ.). Φέρουν το χαρακτήρα του διοικητικού εγγράφου και τα ιδιωτικά έγγραφα που υποβάλλει ο ενδιαφερόμενος, εφόσον ενσωματώνονται στο διοικητικό έγγραφο όπως συμβαίνει με την εκδιδόμενη από την πολεοδομική Υπηρεσία οικοδομική άδεια, που ενσωματώνει τα υποβληθέντα από τον ενδιαφερόμενο σχέδια της τεχνικής μελέτης, δοθέντος ότι η άδεια αναφέρεται σ’ αυτά (Γνωμοδότηση 243/2000, Τμήμα Β’ΓΣΚ ). Εφόσον ο νόμος δεν περιέχει ορισμό των ιδιωτικών εγγράφων, εξ αντιδιαστολής συνάγεται το συμπέρασμα ότι στην έννοια περιλαμβάνονται τα έγγραφα που συντάσσονται από Ν.Π.Ι.Δ. του δημόσιου ή του ιδιωτικού τομέα ή από οποιοδήποτε τρίτο πρόσωπο, το οποίο δεν είναι όργανο του Δημοσίου, Ο.Τ.Α. ή Ν.Π.Δ.Δ., και βρίσκονται στα αρχεία της διοίκησης και έχουν λάβει αριθμό πρωτοκόλλου, αποκτώντας έτσι χαρακτήρα δημόσιου εγγράφου. (Π.Δ. 456/1984 (Αστικός Κώδικας), Άρθρο 902 «Όποιος έχει έννομο συμφέρον να πληροφορηθεί το περιεχόμενο ενός εγγράφου που βρίσκεται στην κατοχή άλλου έχει δικαίωμα να απαιτήσει την επίδειξη ή και αντίγραφό του, αν το έγγραφο συντάχθηκε για το συμφέρον αυτού που το ζητεί, ή πιστοποιεί έννομη σχέση που αφορά και αυτόν, ή σχετίζεται με διαπραγματεύσεις που έγιναν σχετικά με τέτοια έννομη σχέση είτε απευθείας από τον ίδιο είτε για το συμφέρον του, με τη μεσολάβηση τρίτου.) Ο χαρακτηρισμός από τη Διοίκηση ενός εγγράφου ως «εμπιστευτικού», δεν συνιστά απόρρητο προβλεπόμενο από ειδικές διατάξεις και κατά συνέπεια δεν είναι λόγος απόρριψης του αιτήματος, σύμφωνα με τις διατάξεις της παρ. 3 του άρθρου 5 του Κ.Δ.Δ. , εκτός αν το έγγραφο αφορά θέμα, η γνωστοποίηση του οποίου μπορεί, ενδεχομένως, να προκαλέσει βλάβη του δημοσίου συμφέροντος. (σχετ. ΔΙΣΚΠΟ/Φ16/6228/19-4-2005)
Επομένως, όταν ζητείται πρόσβαση σε έγγραφα που περιέχουν απλά προσωπικά δεδομένα ( άρθρο 4 ΓΚΠΔ: «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)·το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου) τρίτου προσώπου, ο Δήμος χωρίς συγκατάθεση του υποκειμένου οφείλει να τα χορηγήσει, εφόσον δεν αναφέρονται στην ιδιωτική η οικογενειακή ζωή αυτού και δεν παραβλάπτεται απόρρητο προβλεπόμενο από ειδικές διατάξεις (π.χ. ιατρικό, φορολογικό, τραπεζικό, εμπορικό, βιομηχανικό). Στα πλαίσια της επεξεργασίας προσωπικών δεδομένων από Δήμο η συγκατάθεση του υποκειμένου – δημότη δεν αποτελεί έγκυρη νομιμοποιητική βάση κατά κύριο λόγο για την επεξεργασία προσωπικών δεδομένων. Υπάρχει ανισότητα ισχύος ανάμεσα σε μια δημόσια αρχή και σε ένα υποκείμενο δεδομένων, η οποία αποστερεί από την συγκατάθεση το κριτήριο της ελευθερίας. Στην υπ’ αριθμ. 43 σκέψη του Προοιμίου του ΓΚΠΔ αναφέρεται χαρακτηριστικά ότι : «Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης.» Οι πολίτες δεν νοείται να παρέχουν συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων τους από το Δήμο αλλά η επεξεργασία των προσωπικών δεδομένων υλοποιείται στα πλαίσια των αρμοδιοτήτων δημοσίου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας. Υπάρχουν ειδικές περιπτώσεις κατά τις οποίες χωρεί η λήψη συγκατάθεσης από τους πολίτες.
21. Χρόνος διατήρησης δεδομένων
Η Δήμος ανήκει στους ΟΤΑ. Επομένως τηρεί τα δεδομένα προσωπικού χαρακτήρα για τόσο χρόνο όσο ορίζεται από το νόμο ανά περίπτωση.
22. Διαύγεια
Σύμφωνα με τον ν. 3861/2010 φορείς των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δεύτερου βαθμού νοούνται τα αιρετά όργανα των Οργανισμών Τοπικής Αυτοδιοίκησης (Ο.Τ.Α.) πρώτου και δεύτερου βαθμού και τα νομικά πρόσωπα και επιχειρήσεις των Ο.Τ.Α.. Στο διαδίκτυο αναρτώνται:
1) νόμοι που εκδίδονται και δημοσιεύονται κατά το Σύνταγμα,
2) πράξεις νομοθετικού περιεχομένου του άρθρου 44 παρ. 1 του Συντάγματος,
3) τα προεδρικά διατάγματα κανονιστικού χαρακτήρα,
4) λοιπές πράξεις κανονιστικού χαρακτήρα με εξαίρεση τις κανονιστικές πράξεις που αφορούν την οργάνωση, διάρθρωση, σύνθεση, διάταξη, εφοδιασμό και εξοπλισμό των Ενόπλων Δυνάμεων της Χώρας, καθώς και κάθε άλλη πράξη, η δημοσιοποίηση της οποίας προκαλεί βλάβη στην εθνική άμυνα και ασφάλεια της χώρας,
5) ερμηνευτικές εγκύκλιοι και εγκύκλιοι για την εφαρμογή της νομοθεσίας,
«6) οι προϋπολογισμοί, απολογισμοί, ισολογισμοί των φορέων που υπάγονται στο πεδίο εφαρμογής του παρόντος νόμου». Η περίπτ. 6 αντικαταστάθηκε ως άνω από την παρ. 2 άρθρ. 23 Νομ. 4210/21-21 Νοεμ. 2013 (ΦΕΚ Α΄ 254).
«6α) οι πράξεις της ανάληψης υποχρέωσης δαπάνης, της απόφασης έγκρισης δαπάνης και της οριστικοποίησης της πληρωμής που περιέχει το ακριβές ποσό που θα πληρωθεί για κάθε επιμέρους δαπάνη των φορέων που υπάγονται στο πεδίο εφαρμογής του παρόντος νόμου.»
Η παρ. 6α προστέθηκε με την παρ. 3 άρθρ. 23 Νομ. 4210/21-21 Νοεμ. 2013 (ΦΕΚ Α΄ 254).
«Από την υποχρέωση πρωτογενούς ανάρτησης εξαιρούνται τα έγγραφα και τα στοιχεία δημοσίων συμβάσεων που καταχωρίζονται υποχρεωτικά στο Κεντρικό Ηλεκτρονικό Μητρώο Δημοσίων Συμβάσεων (ΚΗΜΔΗΣ) του άρθρου 11 του ν. 4013/2011 (Α' 204). Τα στοιχεία αυτά αντλούνται αυτομάτως από το ΚΗΜΔΗΣ.»
Το μέσα σε «» εδάφ. προστέθηκε με την παρ. 2 άρθρ. 197 Νομ. 4281/8-8 Αυγ. 2014 (ΦΕΚ Α΄ 160), με έναρξη ισχύος από την δημοσίευση της απόφασης της παρ. 5 άρθρ. 139 ιδίου Νομ., σύμφωνα με την παρ. 6 άρθρ. 201 ιδίου Νομ.
7) πράξεις διορισμού μονομελών οργάνων και συγκρότησης συλλογικών οργάνων διοίκησης των φορέων του Δημοσίου, των Ν.Π.Δ.Δ., των φορέων του ευρύτερου δημόσιου τομέα και των φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού, καθώς και οι τροποποιήσεις αυτών,
8) πράξεις διορισμού, αποδοχής παραίτησης, αντικατάστασης ή παύσης Γενικών Γραμματέων Υπουργείων και Περιφερειών, Ειδικών Γραμματέων Υπουργείων, μελών συλλογικών οργάνων διοίκησης φορέων του Δημοσίου, των Ν.Π.Δ.Δ., των φορέων του ευρύτερου δημόσιου τομέα και φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού,
9) πράξεις συγκρότησης αμειβόμενων ή μη επιτροπών, ομάδων εργασίας, ομάδων έργου και συναφών οργάνων γνωμοδοτικής ή άλλης αρμοδιότητας, ανεξαρτήτως αν τα μέλη τους αμείβονται ή όχι,
10) πράξεις καθορισμού των αμοιβών και αποζημιώσεων των μελών μονομελών και συλλογικών οργάνων διοίκησης, μελών επιτροπών, ομάδων εργασίας, ομάδων έργου και συναφών οργάνων γνωμοδοτικής ή άλλης αρμοδιότητας,
11) προκηρύξεις πλήρωσης θέσεων με διαγωνισμό ή με επιλογή, στις οποίες περιλαμβάνονται και οι προκηρύξεις για επιλογή και πλήρωση θέσεων διευθυντικών στελεχών των Ν.Π.Δ.Δ., φορέων του ευρύτερου δημόσιου τομέα, και των επιχειρήσεων και φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού, καθώς και οι προκηρύξεις εξετάσεων υποψηφίων δικηγόρων, συμβολαιογράφων και άμισθων υποθηκοφυλάκων,
12) προκηρύξεις πλήρωσης θέσεων διδακτικού ερευνητικού προσωπικού (ΔΕΠ) του πανεπιστημιακού τομέα και του εκπαιδευτικού προσωπικού (ΕΠ) του τεχνολογικού τομέα της ανώτατης εκπαίδευσης,
13) πίνακες επιτυχόντων, διοριστέων και επιλαχόντων των προκηρύξεων επιλογής προσωπικού, στις περιπτώσεις κατά τις οποίες η δημοσίευση τους προβλέπεται από την κείμενη νομοθεσία,
14) περιλήψεις πράξεων διορισμού, μετάταξης, διαθεσιμότητας, αποδοχής παραίτησης, λύσης της υπαλληλικής σχέσης ή υποβιβασμού υπαλλήλων, μόνιμων και μετακλητών, και διευθυντικών στελεχών του Δημοσίου, των Ν.Π.Δ.Δ., φορέων του ευρύτερου δημόσιου τομέα, φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού, καθώς και αντιστοίχων πράξεων που αφορούν δημόσιους λειτουργούς, των οποίων η δημοσίευση απαιτείται κατά την κείμενη νομοθεσία, και περιλήψεις πράξεων διορισμού και συμβάσεων με σχέση εργασίας ιδιωτικού δικαίου ή συμβάσεων έργου στο Δημόσιο, τα Ν.Π.Δ.Δ., τους φορείς του ευρύτερου δημόσιου τομέα και φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού,
«Από την υποχρέωση πρωτογενούς ανάρτησης εξαιρούνται τα έγγραφα και τα στοιχεία δημοσίων συμβάσεων που καταχωρίζονται υποχρεωτικά στο Κεντρικό Ηλεκτρονικό Μητρώο Δημοσίων Συμβάσεων (ΚΗΜΔΗΣ) του άρθρου 11 του ν. 4013/2011 (Α' 204). Τα στοιχεία αυτά αντλούνται αυτομάτως από το ΚΗΜΔΗΣ.»
Το μέσα σε «» εδάφ. προστέθηκε με την παρ. 3 άρθρ. 197 Νομ. 4281/8-8 Αυγ. 2014 (ΦΕΚ Α΄ 160), με έναρξη ισχύος από την δημοσίευση της απόφασης της παρ. 5 άρθρ. 139 ιδίου Νομ., σύμφωνα με την παρ. 6 άρθρ. 201 ιδίου Νομ.
15) το σύνολο των συμβάσεων και των πράξεων που αναφέρονται σε αναπτυξιακούς νόμους, στις οποίες συμπεριλαμβάνονται οι πράξεις υπαγωγής επενδύσεων σε διατάξεις αναπτυξιακών νόμων και οι αποφάσεις έναρξης παραγωγικής λειτουργίας επενδύσεων,
«Από την υποχρέωση πρωτογενούς ανάρτησης εξαιρούνται τα έγγραφα και τα στοιχεία δημοσίων συμβάσεων που καταχωρίζονται υποχρεωτικά στο Κεντρικό Ηλεκτρονικό Μητρώο Δημοσίων Συμβάσεων (ΚΗΜΔΗΣ) του άρθρου 11 του ν. 4013/2011 (Α' 204). Τα στοιχεία αυτά αντλούνται αυτομάτως από το ΚΗΜΔΗΣ.»
Το μέσα σε «» εδάφ. προστέθηκε με την παρ. 4 άρθρ. 197 Νομ. 4281/8-8 Αυγ. 2014 (ΦΕΚ Α΄ 160), με έναρξη ισχύος από την δημοσίευση της απόφασης της παρ. 5 άρθρ. 139 ιδίου Νομ., σύμφωνα με την παρ. 6 άρθρ. 201 ιδίου Νομ.
16) περιλήψεις διακηρύξεων, αποφάσεις και πράξεις κατακύρωσης και ανάθεσης δημόσιων συμβάσεων έργων, προμηθειών, υπηρεσιών και μελετών του Δημοσίου, των Ν.Π.Δ.Δ., φορέων του ευρύτερου δημόσιου τομέα και φορέων των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού,
«Από την υποχρέωση πρωτογενούς ανάρτησης εξαιρούνται τα έγγραφα και τα στοιχεία δημοσίων συμβάσεων που καταχωρίζονται υποχρεωτικά στο Κεντρικό Ηλεκτρονικό Μητρώο Δημοσίων Συμβάσεων (ΚΗΜΔΗΣ) του άρθρου 11 του ν. 4013/2011 (Α' 204). Τα στοιχεία αυτά αντλούνται αυτομάτως από το ΚΗΜΔΗΣ.»
Το μέσα σε «» εδάφ. προστέθηκε με την παρ. 5 άρθρ. 197 Νομ. 4281/8-8 Αυγ. 2014 (ΦΕΚ Α΄ 160), με έναρξη ισχύος από την δημοσίευση της απόφασης της παρ. 5 άρθρ. 139 ιδίου Νομ., σύμφωνα με την παρ. 6 άρθρ. 201 ιδίου Νομ.
17) πράξεις αποδοχής δωρεών στο Ελληνικό Δημόσιο, στα Ν.Π.Δ.Δ., σε φορέα του ευρύτερου δημόσιου τομέα ή σε φορείς των οργανισμών τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού, καθώς και συμβάσεων πολιτιστικών χορηγιών του ν. 3525/2007 (ΦΕΚ 16 Α`),
18) πράξεις δωρεών, επιχορηγήσεων, παραχώρησης χρήσης περιουσιακών στοιχείων από το Δημόσιο, τα Ν.Π.Δ.Δ., τους φορείς των Ο.Τ.Α. ή φορείς του ευρύτερου δημόσιου τομέα σε φυσικά πρόσωπα, νομικά πρόσωπα ιδιωτικού δικαίου και νομικά πρόσωπα δημοσίου δικαίου,
19) οι πράξεις: α) παραχώρησης δημόσιων και δημοτικών κτημάτων, καθορισμού χρήσης γης παραχωρούμενου δημόσιου κτήματος, αλλαγής χρήσης γης κοινόχρηστου κτήματος, β) καθορισμού εθνικών δρυμών, δασών και δασικών εκτάσεων, γ) χαρακτηρισμού εκτάσεων ως αναδασωτέων, δ) καθορισμού αιγιαλού, παραλίας, λιμνών, ποταμών, ρεμάτων και χειμάρρων, ε) καθορισμού βιομηχανικών ζωνών, στ) καθορισμού λατομικών ζωνών, ζ) σύνταξης και έγκρισης πολεοδομικών μελετών και Γενικού Πολεοδομικού σχεδίου, έγκρισης και τροποποίησης χωροταξικών και ρυμοτομικών σχεδίων, προσδιορισμού ή τροποποίησης ορίων οικισμού και έγκρισης της μεταφοράς αυτού, η) σύνταξης και έγκρισης Ζωνών Οικιστικού Ελέγχου (ΖΟΕ), θ) καθορισμού και τροποποίησης όρων δόμησης, ι) χορήγησης, αναστολής χορήγησης, τροποποίησης οικοδομικών αδειών, ια) χωροθέτησης, ιβ) καθορισμού αρχαιολογικών χώρων, ιγ) χαρακτηρισμών κτιρίων ως διατηρητέων και αποχαρακτηρισμών αυτών. Αναρτώνται επίσης οι πράξεις ανάκλησης και ακύρωσης των παραπάνω πράξεων,
20) οι γνωμοδοτήσεις και τα πρακτικά γνωμοδοτήσεων του Νομικού Συμβουλίου του Κράτους,
21) οι πράξεις και γνωμοδοτήσεις των ανεξάρτητων και ρυθμιστικών διοικητικών αρχών, η δημοσίευση των οποίων προβλέπεται από την κείμενη νομοθεσία,
22) ατομικές διοικητικές πράξεις, η δημοσίευση των οποίων προβλέπεται από ειδική διάταξη νόμου.
Κατά τα παραπάνω αναφερόμενα από τον Νόμο ο Δήμος υποχρεώνεται να αναρτά στην διαδικτυακή ιστοσελίδα της Διαύγειας όλες τις προαναφερόμενες πράξεις που συντάσσει οι οποίες περιέχουν προσωπικά δεδομένα των συμμετεχόντων στις πράξεις.
Σύμφωνα επίσης με το άρθρο 5 του παραπάνω νόμου η ανάρτηση των πράξεων, που αναφέρονται στο άρθρο 2 στο Διαδίκτυο και η οργάνωση της αναζήτησης πληροφοριών πραγματοποιείται με την επιφύλαξη των κανόνων για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Δεν αναρτώνται πράξεις, στις οποίες περιλαμβάνονται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στην κείμενη νομοθεσία ή όπως αυτά αναφέρονται ως ειδικής κατηγορίας προσωπικά δεδομένα κατά τον ΓΚΠΔ 679/2016.
Η ανάρτηση των ως άνω πράξεων όταν αφορά στις Προμήθειες δεν μπορεί να περιέχει ανώνυμα δεδομένα, καθόσον η ίδια η φύση της νομοθεσίας και της ανάρτησης στη Διαύγεια οφείλει να έχει χαρακτήρα διαφανή για το συγκεκριμένο τμήμα. Ωστόσο για τα λοιπά τμήματα όπου ο νόμος δεν ορίζει την διαφάνεια και την ανάρτηση των ονομάτων θα πρέπει να ψευδωνυμοποιούνται τα δεδομένα πριν την ανάρτηση. Η παραπάνω τεχνική προστασίας προτείνεται από τον GDPR στο άρθρο 25 για την προστασία των προσωπικών δεδομένων για την προστασία των προσωπικών δεδομένων των πολιτών ήδη από τον χρόνο λήψης τους και πριν από την επεξεργασία τους.