ΕΝΗΜΕΡΩΣΗ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Η προστασία των δεδομένων προσωπικού χαρακτήρα (ΔΠΧ), αποτελεί βασικό μέλημα του Δήμου Ηρακλείου. Στο πλαίσιο του Γενικού Κανονισμού Προστασίας των Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ), που τέθηκε σε ισχύ από την 25/05/2018, όπως εκάστοτε ισχύει, με το παρόν κείμενο παρέχεται χρήσιμη ενημέρωση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και τα δικαιώματα των υποκειμένων της επεξεργασίας, σύμφωνα με το άρθρο 12 του παραπάνω Κανονισμού.
Σύμφωνα με τον παραπάνω Κανονισμό, στο άρθρο 4 αναφέρεται ότι νοούνται ως:
Ο Δήμος Ηρακλείου, σύμφωνα με το άρθο 37 του ΓΚΠΔ, έχει ορίσει Υπευθύνη Προστασίας Δεδομένων. O/η Υπεύθυνος/η Προστασίας Δεδομένων (DPO) μεριμνά, με ανεξάρτητο τρόπο, για την επίβλεψη της στρατηγικής και της συμμόρφωσης του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ 2016/679 Ε.Ε (GDPR) και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων). Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό.
Η προστασία αφορά όλα τα δεδομένα προσωπικού χαρακτήρα, που έχουν περιέλθει ή θα περιέλθουν σε γνώση των Υπηρεσιών του Δήμου Ηρακλείου, στο πλαίσιο της νόμιμης λειτουργίας του και της συνεργασίας του με πολίτες και φορείς του δημοσίου ή ιδιωτικού τομέα.
Ο Κανονισμός (ΕΕ) 2016/679, δεν καταργεί υποχρεώσεις που προκύπτουν από διατάξεις άλλων νόμων. Οι Υπηρεσίες του Δήμου Ηρακλείου, συνεχίζουν να λειτουργούν και να παρέχουν υπηρεσίες προς του δημότες εντός του πλαισίου των νομικά τεκμηριωμένων αρμοδιοτήτων τους.
Ο Δήμος Ηρακλείου προκειμένου να λειτουργεί σε συμμόρφωση με το ισχύον νομοθετικό πλαίσιο έχει προβεί σε σειρά ενεργειών που απαιτούνται, εφαρμόζοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη νόμιμη τήρηση, την επεξεργασία και την ασφαλή φύλαξη των αρχείων δεδομένων προσωπικού χαρακτήρα, έτσι ώστε να διασφαλίζει και να προστατεύει με κάθε τρόπο την επεξεργασία των προσωπικών δεδομένων από απώλεια ή διαρροή, αλλοίωση, διαβίβαση ή την με οποιονδήποτε άλλο τρόπο αθέμιτη επεξεργασία τους.
Νομιμότητα επεξεργασίας
Ο Δήμος Ηρακλείου ως υπεύθυνος επεξεργασίας, κατά την έννοια του άρθρου 4 παρ. 7 του Γενικού Κανονισμού Προστασίας Δεδομένων, συλλέγει δεδομένα προσωπικού χαρακτήρα για σκοπούς ενάσκησης αρμοδιοτήτων του. Η επεξεργασία προσωπικών δεδομένων από τον Δήμο επιτρέπεται μόνον εφόσον προβλέπεται από σχετικές διατάξεις
Η νομική βάση για την εν λόγω επεξεργασία είναι:
Το άρθρο 6 παρ. 1 στοιχεία β΄ του ΓΚΠΔ, «η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης»,
Το άρθρο 6 παρ. 1 στοιχεία γ΄ του ΓΚΠΔ, «η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας». Ο Δήμος επεξεργάζεται μόνο τα δεδομένα που είναι υποχρεωμένος να επεξεργάζεται για να ασκήσει τις προβλεπόμενες από την νομοθεσία αρμοδιότητές του. Όλες οι αρμοδιότητες που προβλέπονται ήδη από την νομοθεσία για τον Δήμο, εξακολουθούν να ασκούνται με νομική βάση της επεξεργασίας δεδομένων την διάταξη που ήδη τις προβλέπει.
Το άρθρο 6 παρ. 1 στοιχεία δ΄ του ΓΚΠΔ, «η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου»
Το άρθρο 6 παρ. 1 στοιχεία ε΄ του ΓΚΠΔ, «η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας».
Επίσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, είναι το άρθρο 9 παρ. 2 στοιχεία β, ζ και ι του παραπάνω κανονισμού.
Οι πολίτες που παρέχουν τα δεδομένα τους για να ασκήσουν δικαιώματα ή να απολαύσουν παροχές από τον Δήμο, δεν το πράττουν στην βάση της συγκατάθεσή τους, αλλά στο πλαίσιο της υποχρέωσης του Δήμου για ενάσκηση των αρμοδιοτήτων του, κατόπιν βεβαίως προηγούμενης ενημέρωσης των πολιτών. Ωστόσο, σε περιπτώσεις που μια υπηρεσία του Δήμου παρέχεται στον πολίτη ως “υπηρεσία επιπρόσθετης αξίας”, σε αυτές τις περιπτώσεις επιτρέπεται η επεξεργασία των προσωπικών δεδομένων επί τη βάσει της “συγκατάθεσης”.
Ως προς την εγκατάσταση cookies για την προσωποποιημένη περιήγηση στον διαδικτυακό τόπο μας, η νομική βάση είναι η συγκατάθεση των υποκειμένων των δεδομένων κατά το άρθρο 6 παρ. 1 (α) του ΓΚΠΔ.
Ποια δεδομένα συλλέγουμε και από που.
Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τις Υπηρεσίες του Δήμου Ηρακλείου, περιορίζονται στα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και είναι τα τελείως απαραίτητα για τη συμμόρφωσή του σε κάθε έννομη υποχρέωσή του ή την εκπλήρωση των καθηκόντων του, που εκτελείται προς το δημόσιο συμφέρον ή την άσκηση της δημόσιας εξουσίας που του έχει ανατεθεί. Τα προσωπικά δεδομένα δίδονται στον Οργανισμό μας απευθείας από τα υποκείμενα, επίσης, λαμβάνουμε προσωπικές πληροφορίες έμμεσα, από τη λειτουργία συστήματος βιντεοεπιτήρησης, σε μεμονωμένες εγκαταστάσεις του Οργανισμού μας, στοιχεία που εννόμως αντλούμε από άλλες Κυβερνητικές Υπηρεσίες, στα πλαίσια εκτέλεσης των εννόμων υποχρεώσεων μας, από τους διαδικτυακούς μας τόπους (cookies, μέσω του πρόγραμμα περιήγησης στο web, κλπ).
Λόγω της φύσης των δραστηριοτήτων του Οργανισμού μας, τα Προσωπικά Δεδομένα που συλλέγει αφορούν κυρίως τις εξής κατηγορίες υποκειμένων:
Ενδεικτικά δεδομένα που συλλέγονται:
Επισημαίνουμε ότι δεν συλλέγουμε προσωπικά δεδομένα ειδικών κατηγοριών, πέραν των προβλέψεων του άρθρου 9 του ΓΚΠΔ και σε καμία περίπτωση προσωπικά δεδομένα που αφορούν στην φυλή, θρησκεία, σεξουαλικό προσανατολισμό ή γενετικά βιομετρικά δεδομένα κ.λπ., τα οποία λαμβάνουν επιπλέον προστασία σύμφωνα με την ευρωπαϊκή νομοθεσία προστασίας των δεδομένων προσωπικού χαρακτήρα.
Ιδιαίτερα ως προς την ιδιωτικότητα των παιδιών
Προσωπικά δεδομένα παιδιών μπορεί να συλλέγονται αποκλειστικά στα πλαίσιο της εκτέλεσης των έννομων υποχρεώσεών μας και της εργασιακής σχέσης των εργαζομένων μας, ήτοι για την περιγραφή της οικογενειακής κατάστασης των εργαζομένων για θέματα αποδοχών, εργασιακών δικαιωμάτων κ.λπ. Νοείται ότι τα στοιχεία αυτά παρέχονται με τη συγκατάθεση του προσώπου που έχει τη γονική μέριμνα του παιδιού.
Κατάρτιση Προφίλ
Ο Οργανισμός δεν χρησιμοποιεί προσωπικά δεδομένα για τη δημιουργία προφίλ.
Αρχές επεξεργασίας
Η επεξεργασία προσωπικών δεδομένων (απλών και ειδικών κατηγοριών «ευαίσθητων») από το Δήμο Ηρακλείου, διέπεται από τις αρχές που περιγράφονται με σαφήνεια στο άρθρο 5 του ΓΚΠΔ.
Οι Υπηρεσίες του Δήμου Ηρακλείου επεξεργάζονται τα ΔΠΧ, σύμφωνα με την ισχύουσα νομοθεσία και με διαφάνεια. Στο πλαίσιο της διαφάνειας, επιδιώκεται η ενημέρωση του υποκειμένου να γίνεται με τρόπο συνοπτικό, κατανοητό, με σαφή και απλή διατύπωση («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
Τα ΔΠΧ που παρέχονται στον Δήμο Ηρακλείου, δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς που συλλέγονται. Οι σκοποί αυτοί είναι καθορισμένοι, ρητοί και νόμιμοι, στο πλαίσιο λειτουργίας του και της παροχής υπηρεσιών προς τους πολίτες, («περιορισμός του σκοπού»).
Ο Δήμος Ηρακλείου συγκεντρώνει μόνο τα ΔΠΧ που είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).
Στόχος των Υπηρεσιών του Δήμου Ηρακλείου είναι τα ΔΠΧ που συλλέγονται να είναι ακριβή και να επικαιροποιούνται, όταν είναι αναγκαίο, λαμβάνοντας όλα τα εύλογα μέτρα για την άμεση διόρθωση ή διαγραφή ανακριβών παίρνοντας υπόψη τους επιδιωκόμενους σκοπούς της επεξεργασίας («ακρίβεια»).
Τα ΔΠΧ διατηρούνται σε φυσικά ή ψηφιακά αρχεία για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας. Το διάστημα αυτό καθορίζεται από την ισχύουσα νομοθεσία («περιορισμός της περιόδου αποθήκευσης»).
Στις αρμόδιες Υπηρεσίες του Δήμου παίρνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε τα ΔΠΧ να υποβάλλονται σε επεξεργασία κατά τέτοιο τρόπο, που να εξασφαλίζεται η ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, όπως η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, («ακεραιότητα και εμπιστευτικότητα»).
Ο Δήμος Ηρακλείου φέρει την ευθύνη της επεξεργασίας των ΔΠΧ και είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές του GDPR, ενώπιον των εποπτικών αρχών και των δικαστηρίων («λογοδοσία»).
Επισημαίνουμε ότι Δήμος Ηρακλείου χρησιμοποιεί στην ιστοσελίδα του "cookies". Για λεπτομέρειες σχετικά με τα cookies, μπορείτε να ενημερωθείτε από τους Όρους Χρήσης στην ιστοσελίδα του (www.heraklion.gr).
Πού γνωστοποιούμε τα δεδομένα
Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται αποκλειστικά και μόνο για τους σκοπούς για τους οποίους υποβάλλονται.
Ο Δήμος Ηρακλείου, σε καμία περίπτωση δεν πωλεί, εκμισθώνει, ή με οποιονδήποτε άλλο τρόπο παραχωρεί ή διαβιβάζει σε τρίτους προσωπικά στοιχεία, που υποβάλλονται στις Υπηρεσίες του. Εξαίρεση αποτελεί η περίπτωση κατά την οποία η κοινοποίηση των στοιχείων επιβάλλεται από ρητή διάταξη νόμου και αποκλειστικά προς τις αρμόδιες αρχές.
Σε περίπτωση που μετά από εφαρμογή της ισχύουσας νομοθεσίας, περί σύναψης δημοσίων συμβάσεων, προκύψει ανάδοχος ο οποίος κατά την εκτέλεση της σύμβασης έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται ο Δήμος Ηρακλείου, τότε με ευθύνη των αρμοδίων Υπηρεσιών υπογράφεται σύμβαση εμπιστευτικότητας- εχεμύθειας ή οι όροι αυτής της σύμβασης ενσωματώνονται εντός της κύριας σύμβασης.
Στόχος της παραπάνω ενέργειας είναι να εξασφαλιστούν επαρκείς διαβεβαιώσεις για την εφαρμογή από τους αναδόχους κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του GDPR και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
Πώς προστατεύουμε τα δεδομένα
Η επεξεργασία των προσωπικών δεδομένων υπόκειται στους όρους της παρούσας πολιτικής προστασίας δεδομένων, καθώς και στις σχετικές διατάξεις της ελληνικής νομοθεσίας και του ενωσιακού δικαίου για την προστασία του ατόμου και την προστασία δεδομένων προσωπικού χαρακτήρα.
Ο Δήμος Ηρακλείου λαμβάνει όλα τα εύλογα φυσικά, τεχνικά και οργανωτικά μέτρα ασφάλειας ώστε τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, παράνομη καταστροφή ή κοινολόγηση και φθορά.
Προστασία δεδομένων κατά τον σχεδιασμό («Data protection by design»): Ο Δήμος κατά τον αρχικό σχεδιασμό υπηρεσιών (ηλεκτρονικών και μη) δημιουργεί φιλικές συνθήκες για την προστασία των δεδομένων των υποκειμένων, όπως στις ηλεκτρονικές υπηρεσίες στις οποίες δίνεται η δυνατότητα να επιλέγονται ρυθμίσεις που θα προστατεύουν περισσότερο τα προσωπικά δεδομένα.
Προστασία δεδομένων εξ ορισμού («Data protection by default»): Ο Δήμος εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για τον σκοπό της επεξεργασίας.
Γνωστοποίηση παραβιάσεων δεδομένων
Ο Δήμος έχει υποχρέωση, μόλις αντιληφθεί παραβίαση, να ενημερώσει τις αρμόδιες εποπτικές Αρχές και το υποκείμενο των δεδομένων, εφόσον η παραβίαση θέτει αυτό σε σοβαρό κίνδυνο, σύμφωνα με τα προβλεπόμενα στα άρθρα 33 και 34 του ΓΚΠΔ.
Εκτίμηση αντικτύπου και προηγούμενη διαβούλευση
Όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των ατόμων, ιδίως επειδή είναι συστηματική, μεγάλης κλίμακας, αφορά ειδικές κατηγορίες δεδομένων και βασίζεται στη χρήση νέων τεχνολογιών, ο Δήμος είναι υποχρεωμένος να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (Data protection impact assessment). Όταν βάσει της διενεργηθείσας εκτίμησης αντικτύπου και παρά την πρόβλεψη μέτρων προστασίας παραμένει υψηλή επικινδυνότητα της επεξεργασίας, ο Δήμος υποχρεούται να προβεί σε προηγούμενη διαβούλευση με την εποπτική Αρχή.
Αρχεία δραστηριοτήτων επεξεργασίας
Ο Δήμος οφείλει να τηρεί, ανά Υπηρεσία και συνολικά, αρχεία με την περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων. Η τήρηση των αρχείων αυτών όχι μόνο αποτελεί υποχρέωση από το άρθρο 30 ΓΚΠΔ ως εργαλείο λογοδοσίας, αλλά είναι και χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων.
Διάρκεια τήρησης των δεδομένων
Ο Δήμος Ηρακλείου διατηρεί τα δεδομένα προσωπικού χαρακτήρα, μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας τους, όπως ορίζει κατά περίπτωση η ισχύουσα νομοθεσία, στα πλαίσια της εκπλήρωσης των καθηκόντων του και της άσκησης της δημόσιας εξουσίας που του έχει ανατεθεί, επίσης για όσο χρονικό διάστημα είναι απαραίτητο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
Δικαιώματα των υποκειμένων των δεδομένων
Τα υποκείμενα των δεδομένων διατηρούν όλα τα δικαιώματα που απορρέουν από τις εφαρμοστέες ελληνικές και ενωσιακές διατάξεις, ιδίως τα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης, συμπλήρωσης, διαγραφής, περιορισμού της επεξεργασίας των προσωπικών του δεδομένων, λαμβάνοντας υπόψη ότι ο GDPR δεν καταργεί υποχρεώσεις που προκύπτουν από διατάξεις άλλων νόμων.
Ειδικότερα, τηρουμένου του νομοθετικού πλαισίου προστασίας προσωπικών δεδομένων, όπως κάθε φορά ισχύει, δίνεται σε κάθε υποκείμενο των δεδομένων τα παρακάτω:
Όταν η άσκηση των παραπάνω δικαιωμάτων εξαρτάται αποκλειστικά από ενέργειες των Υπηρεσιών του Δήμου Ηρακλείου, αφού εξακριβωθεί η νομιμότητα του αιτήματος, η ανταπόκριση του Δήμου Ηρακλείου στο αίτημα λαμβάνει χώρα εντός της προβλεπόμενης από τον Κανονισμό προθεσμίας του ενός μηνός. Σε κάθε περίπτωση παρέχεται ενημέρωση για τυχόν αιτιολογημένη ανάγκη παράτασης του διαστήματος αυτού.
Γνωστοποίηση Αλλαγών
Διατηρούμε το δικαίωμα αλλαγής των ανωτέρω όρων σύμφωνα με το εκάστοτε ισχύον νομικό πλαίσιο.
Σε περίπτωση που οι ανωτέρω όροι υποστούν οποιαδήποτε μεταβολή, θα παρέχεται ενημέρωση με ανακοινώσεις μέσω του ιστότοπου μας.
Τρόπος άσκησης των δικαιωμάτων σας
Κάθε αίτημα αναφορικά με τα προσωπικά δεδομένα και την άσκηση των δικαιωμάτων σας πρέπει να απευθύνεται εγγράφως προς το Δήμο Ηρακλείου και την Υπεύθυνη Προστασίας Δεδομένων (DPO).
Υπεύθυνη Προστασίας Δεδομένων για το Δήμο Ηρακλείου:
Δέσποινα Καραμπατζάκη, ΠΕ Πληροφορικής
Στοιχεία Επικοινωνίας:
Διεύθυνση: Αγίου Τίτου 1, 71202, Ηράκλειο
Τηλέφωνο: 2813 409192
e-mail: dpo@heraklion.gr
Δικαίωμα προσφυγής στην Αρχή
Έχετε το δικαίωμα να προσφύγετε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για ζητήματα που αφορούν την επεξεργασία προσωπικών σας δεδομένων. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, μπορείτε να επισκεφθείτε την ιστοσελίδα της (www.dpa.gr / Τα δικαιώματά μου / Υποβολή καταγγελίας), όπου υπάρχουν αναλυτικές πληροφορίες.
Τελικές διατάξεις
Οι ανωτέρω όροι καθώς και οποιαδήποτε τροποποίηση τους, διέπονται και συμπληρώνονται από το ελληνικό δίκαιο, το δίκαιο της Ευρωπαϊκής Ένωσης και τις σχετικές διεθνείς συνθήκες. Οποιαδήποτε διάταξη των ανωτέρω όρων καταστεί αντίθετη προς το νόμο, παύει αυτοδικαίως να ισχύει και αφαιρείται από το παρόν, χωρίς σε καμία περίπτωση να θίγεται η ισχύς των λοιπών όρων.