Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Εισαγωγή

Η εποχή που διανύουμε, με την ευρύτατη και πολυσχιδή χρήση του διαδικτύου, την ανάπτυξη της ψηφιακής οικονομίας, τη χρήση μέσων κοινωνικής δικτύωσης με την ταυτόχρονη διάθεση των δεδομένων σε διεθνές επίπεδο, κατέστησε την ανάγκη προστασίας των δεδομένων προσωπικού χαρακτήρα ως επιτακτική ανάγκη.

Απόρροια αυτής της ανάγκης ήταν η θέσπιση ενός Ευρωπαϊκού νομικού πλαισίου προστασίας των δεδομένων, η οποία οδήγησε στην κατάργηση της Οδηγίας 95/46/ΕΚ και τη θέσπιση του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Γενικός Κανονισμός για την Προστασία Δεδομένων «ΓΚΠΔ»). Ο Κανονισμός τέθηκε σε ισχύ την 25η Μαΐου 2018.

Στο πλαίσιο της συμμόρφωσης με τα οριζόμενα στον Κανονισμό και σύμφωνα με το άρθρο 37 αυτού, το Πρυτανικό Συμβούλιο του Πανεπιστημίου Ιωαννίνων όρισε «Υπεύθυνο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα», τα στοιχεία επικοινωνίας του οποίου είναι: Σταυρούλα Σταθαρά, τηλ. 26510-07321, e-mail: dpo@uoi.gr.

Έχετε, λοιπόν, τη δυνατότητα να επικοινωνείτε είτε προφορικά είτε εγγράφως μέσω ηλεκτρονικού ταχυδρομείου, για οποιοδήποτε θέμα σας απασχολεί και άπτεται του πεδίου των δεδομένων προσωπικού χαρακτήρα, τόσο σε συμβουλευτικό επίπεδο όσο και σε επίπεδο καταγγελιών. Το γραφείο «Υπευθύνου Προστασίας» θα σας κατευθύνει για τον τρόπο με τον οποίο θα προβείτε στις ενδεδειγμένες ενέργειες.

Παρακάτω θα προσπαθήσουμε συνοπτικά να εξηγήσουμε την έννοια των δεδομένων προσωπικού χαρακτήρα και να σας εισαγάγουμε στις έννοιες του διαχωρισμού αυτών σε «απλά», κατά το άρθρο 4 ΓΚΠΔ και των «Ειδικών κατηγοριών δεδομένων», σύμφωνα με το άρθρο 9 ΓΚΠΔ. Επίσης, θα παραθέσουμε τις βασικές έννοιες που εισάγει ο Κανονισμός, τις οποίες μέσω της προσπάθειας συμμόρφωσης στις επιταγές του ΓΚΠΔ που υποχρεούμαστε να καταβάλουμε ως ΝΠΔΔ «Πανεπιστήμιο Ιωαννίνων», θα συναντούμε κατά τη διάρκεια της επικοινωνίας και της συνεργασίας μας.

Προσωπικά Δεδομένα - Διαχωρισμός

Ως δεδομένα προσωπικού χαρακτήρα-«απλά», σύμφωνα με το άρθρο 4 του συνημμένου Κανονισμού νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα,  αριθμό ταυτότητας, δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

Τα προσωπικά δεδομένα διακρίνονται σε «απλά» και «ειδικών κατηγοριών».

Ο Κανονισμός παρέχει στα δεδομένα «Ειδικών κατηγοριών» του άρθρου 9 διευρυμένη προστασία, απαγορεύοντας καταρχήν στην παράγραφο 1  την «Επεξεργασία τους», την οποία στη συνέχεια με την παράγραφο 2, επιτρέπει υπό ρητά αναφερόμενους όρους, ορίζοντας επί λέξει «Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις» (βλέπε αρθ 9) του συνημμένου Κανονισμού. Επίσης, ορίζει αυστηρότερες προϋποθέσεις για την πρόσβαση σε αυτού του είδους τα δεδομένα και την τήρηση αρχείων που να τα εμπεριέχουν.

Τα δεδομένα προσωπικού χαρακτήρα μπορούν, στο πλαίσιο διαμόρφωσης αποθετηρίων και τήρησης των σχετικών αρχείων, είτε να συνίστανται σε στοιχεία αναγνώρισης είτε να αναφέρονται σε ενδιαφέροντα – συνήθειες, δεδομένα ακαδημαϊκής δραστηριότητας, δεδομένα θέσης, τα οποία να συνδέονται με συγκεκριμένο πρόσωπο.

Δεδομένα «ειδικών κατηγοριών» είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων, με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν στην υγεία, ή δεομένων που αφορούν στη σεξουαλική ζωή φυσικού προσώπου, ή τον γενετήσιο προσανατολισμό.

Παράδειγμα: Το ονοματεπώνυμο, η διεύθυνση ηλεκτρονικού ταχυδρομείου (email), η διεύθυνση πρωτοκόλλου διαδικτύου (IP address), τα στοιχεία θέασης, διαβάσματος αρχείων, τα στοιχεία που αφορούν λήψεις ή παραγγελίες αρχείων ενός ηλεκτρονικού αποθετηρίου αποτελούν προσωπικά δεδομένα.

Ορισμοί Κανονισμού (σύμφωνα με το άρθρο 4 ΓΚΠΔ)
  1. «επεξεργασία» είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
  2. «περιορισμός της επεξεργασίας» είναι η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.
  3. «κατάρτιση προφίλ» είναι η οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.
  4. «ψευδωνυμοποίηση» είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
  5. «σύστημα αρχειοθέτησης» είναι κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.
  6. «υπεύθυνος επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
  7. «εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου της επεξεργασίας.
  8. «αποδέκτης» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
  9. «τρίτος» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
  10. «συγκατάθεση» του υποκειμένου των δεδομένων είναι κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
  11. «παραβίαση δεδομένων προσωπικού χαρακτήρα» είναι η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
  12. «γενετικά δεδομένα» είναι τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.
  13. «βιομετρικά δεδομένα» είναι τα δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.
  14. «δεδομένα που αφορούν την υγεία» είναι τα δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
Αρχεία - Σύνδεσμοι
Υπεύθυνος Προστασίας Δεδομένων

Σταυρούλα Σταθαρά

Μεταβατικό Κτίριο Διοίκησης
1ος όροφος
Πανεπιστήμιο Ιωαννίνων
45110 Ιωάννινα

Τηλ: 26510 07321
E-mail: dpo@uoi.gr