1. Εισαγωγή
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι δικαίωμα υψίστης αξίας. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) διασφαλίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Στις 25.05.2018 τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679, ο οποίος αυστηροποίησε το πλαίσιο προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (εφεξής ο «Κανονισμός» κι ευρέως γνωστός ως General Data Protection Regulation - «GDPR»).
Η παρούσα Πολιτική θεσπίστηκε για την εκπλήρωση της υποχρέωσης της Αρχής που απορρέει από το Άρθρο 13 του Κανονισμού, να παρέχει στους πολίτες πληροφόρηση, πώς χρησιμοποιεί τα δεδομένα που συλλέγει / διατηρεί, υπό την ιδιότητα και το ρόλο της ως υπεύθυνος επεξεργασίας.
2. Όροι
Σύμφωνα με την ερμηνεία του Κανονισμού:
«δεδομένα προσωπικού χαρακτήρα» (στο εξής «ΔΠΧ») είναι η κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, ενώ
«επεξεργασία» είναι η κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή δεδομένων προσωπικού χαρακτήρα
«Υπεύθυνος Επεξεργασίας» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Εκτελών την Επεξεργασία» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για κατά εντολή και για λογαριασμό του υπευθύνου επεξεργασίας.
«Υποκείμενο των Δεδομένων» (στο εξής «ΥΤΔ») είναι το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, βάσει αριθμού ταυτότητας ή βάσει συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του, από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
«Aποδέκτης» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
«Τρίτος» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
Η Αρχή επεξεργάζεται ΔΠΧ στο πλαίσιο εκτέλεσης των καθηκόντων, αρμοδιοτήτων και εξουσιών της, της νόμιμης λειτουργίας της και της συνεργασίας της με πολίτες και εταιρείες/ οργανισμούς του δημοσίου ή ιδιωτικού τομέα. Η Αρχή έχει πρόσβαση σε όλα τα ΔΠΧ και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση της αποστολής της και την άσκηση των εξουσιών της, χωρίς να δύναται να της αντιταχθεί κανενός είδους απόρρητο, εξαιρουμένου μόνο του δικηγορικού απορρήτου.
3. Η Αρχή προβαίνει σε συλλογή και επεξεργασία ΔΠΧ σύμφωνα με τις αρμοδιότητες που της δίνονται από τον Περί Ελεγκτών Νόμο του 2017 (Ν53(Ι)2017):
Επεξεργασία δεδομένων κατά τους ελέγχους
Αφορά στην εκπλήρωση καθηκόντων εποπτείας της Αρχής ώστε να παρακολουθεί και επιβάλλει την εφαρμογή του Νόμου, την αξιολόγηση του επιπέδου συμμόρφωσης των διαφόρων οντοτήτων με το Νόμο, την καταγραφή των διαδικασιών που εφαρμόζονται και την παρακολούθηση των διορθωτικών μέτρων που εφαρμόζονται. Η Αρχή συλλέγει τα ΔΠΧ από τους Υπεύθυνους Επεξεργασίας, τους εκτελούντες την επεξεργασία και από τρίτες πηγές όπως π.χ. από το Τμήμα Εφόρου Εταιρειών και Διανοητικής Ιδιοκτησίας.
Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του Άρθρου 6(1)(γ) και (ε) του Κανονισμού, δυνάμει των οποίων η Αρχή επεξεργάζεται και αποκτά πρόσβαση σε όλα τα ΔΠΧ που απαιτούνται για την εκτέλεση των καθηκόντων της, και προς το δημόσιο συμφέρον / άσκηση Δημόσιας εξουσίας. Το σχετικό καθήκον της Αρχής απορρέει από το Μέρος ΙΙΙ του Νόμου.
Τα ΔΠΧ που κατά κανόνα συλλέγονται είναι: Ονοματεπώνυμο, θέση, στοιχεία επικοινωνίας, καθώς και πληροφορίες που αφορούν στους υπαλλήλους των ελεγχόμενων οντοτήτων, ονοματεπώνυμο και στοιχεία επικοινωνίας συνεργατών, πελατών ή υπαλλήλων αυτών.
Στα πλαίσια του ελέγχου δυνατό να συλλεγούν οποιαδήποτε προσωπικά δεδομένα ΥΤΔ που συνδέονται με την υπό εξέταση οντότητα και/ή προσωπικά δεδομένα που διατηρεί η ελεγχόμενη οντότητα για έλεγχο της νομιμότητας της επεξεργασίας στην οποία προβαίνει.
Τήρηση Μητρώου Ελεγκτών
Σκοπός είναι η τήρηση Μητρώου Νόμιμων Ελεγκτών από την Αρχή ώστε να εφαρμόζει το Νόμο. Η Αρχή συλλέγει τα ΔΠΧ απευθείας από τους Υπευθύνους Προστασίας Δεδομένων ή από τον εργοδότη τους, (υπεύθυνο επεξεργασίας / εκτελών την επεξεργασία)
Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του Άρθρου 6(1)(γ) και (ε) του Κανονισμού, δυνάμει των οποίων η Αρχή επεξεργάζεται και αποκτά πρόσβαση σε όλα τα ΔΠΧ που απαιτούνται για την εκτέλεση των καθηκόντων της, και προς το δημόσιο συμφέρον / άσκηση Δημόσιας εξουσίας. Το εν λόγω καθήκον απορρέει από το Μέρος VIII του Νόμου.
Τα ΔΠΧ που κατά κανόνα συλλέγονται είναι: Ονοματεπώνυμο, διεύθυνση, αριθμός καταχώρησης.
Επεξεργασία ΔΠΧ για τους σκοπούς Διαγωνισμών και Προσφορών
Η επεξεργασία γίνεται για σκοπούς διενέργειας διαγωνισμών σύμφωνα με τον περί Ρύθμισης Διαδικασιών Σύναψης Δημοσίων Συμβάσεων και για Συναφή Θέματα Νόμο του 2016 και για την τήρηση σχετικού αρχείου. Η Αρχή συλλέγει τα ΔΠΧ από τους προσφοροδότες για σκοπούς κατακύρωσης του Διαγωνισμού, ανάθεσης και υλοποίησης της σύμβασης, εντοπισμού τυχόν παραβιάσεων και για σκοπούς διαφάνειας.
Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του Άρθρου 6(1)(γ) και (ε) του Κανονισμού, δυνάμει των οποίων η Αρχή επεξεργάζεται και αποκτά πρόσβαση σε όλα τα ΔΠΧ που απαιτούνται για την εκτέλεση των καθηκόντων του και προς το δημόσιο συμφέρον / άσκηση Δημόσιας εξουσίας. Το εν λόγω καθήκον απορρέει από τον περί Ρύθμισης Διαδικασιών Σύναψης Δημοσίων Συμβάσεων και για Συναφή Θέματα Νόμο του 2016, ως τροποποιήθηκε.
Τα ΔΠΧ που κατά κανόνα συλλέγονται είναι: Στοιχεία ταυτοποίησης, επικοινωνίας, βιογραφικά υπαλλήλων προσφοροδότη.
4. Αποδέκτες δεδομένων
Κατά κανόνα δεν κοινοποιούνται ούτε διαβιβάζονται δεδομένα σε τρίτους. Σε ορισμένες περιπτώσεις, ωστόσο, η Αρχή έχει την υποχρέωση να κοινοποιεί τα δεδομένα των υποκειμένων σε τρίτους στο πλαίσιο της εκτέλεσης των καθηκόντων, εξουσιών και αρμοδιοτήτων της. Για παράδειγμα, μπορεί να καταστεί αναγκαίο να μοιραστεί, η Αρχή, ΔΠΧ με άλλες δημόσιες Αρχές ή ομόλογες εποπτικές αρχές, ή Δικαστικές Αρχές, Αρχές επιβολής του νόμου και Νομική Υπηρεσία αν επιβάλλεται από το νόμο ή στο πλαίσιο δικαστικής διαδικασίας, ή κατά τη διεκπεραίωση καταγγελιών, αιτημάτων ή ελέγχων. Μπορεί επίσης να υπάρξει ανταλλαγή πληροφοριών με εμπειρογνώμονα που παρέχει υπηρεσίες στην Αρχή, στο πλαίσιο της εκτέλεσης, των δυνάμει σύμβασης, καθηκόντων του και σύμφωνα με το Άρθρο 25 του Περί Ελεγκτών Νόμου του 2017 (Ν53(Ι)2017).
Επίσης όταν κατά περίπτωση η Αρχή αναθέτει σε συνεργάτες της την διενέργεια ελέγχων και/ή τη τήρηση του μητρώου για λογαριασμό της, επιβάλλονται μέσω των όρων της σχετικής σύμβασης και στους εντεταλμένους συνεργάτες οι ίδιες υποχρεώσεις όσον αφορά στην προστασία των ΔΠΧ προκειμένου να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του Κανονισμού και του Νόμου.
5. Χρόνος Τήρησης ΔΠΧ
Η χρονική διάρκεια διατήρησης των ΔΠΧ, από την Αρχή, αποφασίζεται ανάλογα με κάθε επιδιωκόμενο σκοπό και καθορίζεται στην πολιτική διατήρησης των δεδομένων. Για τον καθορισμό της χρονικής περιόδου λαμβάνονται υπόψη επιβαλλόμενες υποχρεώσεις από εθνική ή ενωσιακή νομοθεσία καθώς και οι πρόνοιες του περί Κρατικού Αρχείου Νόμου Ν. 208/1991 και άλλοι κανόνες ή σχετικές εγκύκλιοι.
6. Δικαιώματα ΥΤΔ
Δυνάμει της ισχύουσας νομοθεσίας τα ΥΤΔ έχουν τα ακόλουθα δικαιώματα τηρουμένων πάντοτε των περιορισμών που τίθενται από την κατά περίπτωση νομική βάση της επεξεργασίας:
6.1. Δικαίωμα πρόσβασης
Τα ΥΤΔ έχουν δικαίωμα να ζητήσουν πληροφορίες για την επεξεργασία των ΔΠΧ από την Αρχή καθώς και αντίγραφα εγγράφων που περιλαμβάνουν ΔΠΧ τους. Μπορούν να ενημερωθούν, μεταξύ άλλων, για τους σκοπούς της επεξεργασίας, τις κατηγορίες των δεδομένων, τον χρόνο φύλαξης τους, τους αποδέκτες καθώς και την προέλευσή τους.
6.2 Δικαίωμα διόρθωσης
Τα ΥΤΔ έχουν δικαίωμα να αιτηθούν τη διόρθωση/ επικαιροποίηση/ συμπλήρωση ανακριβών ΔΠΧ που τους αφορούν.
6.3 Δικαίωμα διαγραφής
Τα ΥΤΔ έχουν το δικαίωμα διαγραφής των ΔΠΧ τους το οποίο θα ικανοποιείται υπό τις προϋποθέσεις του Άρθρου 17 του Κανονισμού, όπως για παράδειγμα εφόσον δεν υπάρχει νομική υποχρέωση για τη διατήρησή τους.
6.4 Δικαίωμα περιορισμού της επεξεργασίας
Τα ΥΤΔ έχουν το δικαίωμα να αιτηθούν περιορισμό της επεξεργασίας - (α) όταν αμφισβητείται η ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) όταν αντιτίθενται στη διαγραφή προσωπικών δεδομένων και ζητούν αντί διαγραφής τον περιορισμό της χρήσης αυτών, (γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς της επεξεργασίας, είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) όταν εναντιώνονται στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που υπερισχύουν των λόγων για τους οποίους εναντιώνονται στην επεξεργασία.
6.5 Δικαίωμα γνωστοποίησης
Ο Υπεύθυνος Επεξεργασίας ενημερώνει κάθε διόρθωση ή διαγραφή δεδομένων ή περιορισμό της επεξεργασίας σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν νόμιμα τα προσωπικά του δεδομένα και ενημερώνει αναλόγως το υποκείμενο των δεδομένων.
6.6 Δικαίωμα στη φορητότητα
Το δικαίωμα αυτό ισχύει μόνο εάν η Αρχή επεξεργάζεται τα ΔΠΧ με βάση τη συγκατάθεση των ΥΤΔ ή για τον σκοπό της σύναψης ή της εκτέλεσης σύμβασης και η επεξεργασία είναι αυτοματοποιημένη, και αφορά μόνο τα ΔΠΧ που έχουν παραχωρήσει τα ίδια τα ΥΤΔ. Σε τέτοια περίπτωση τα ΥΤΔ έχουν δικαίωμα να λάβουν χωρίς χρέωση τα ΔΠΧ που τους αφορούν σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο ή να αιτηθούν, εφόσον είναι τεχνικά εφικτό, να διαβιβάσει η Αρχή τα δεδομένα απευθείας σε άλλον υπεύθυνο επεξεργασίας.
6.7 Δικαίωμα Εναντίωσης
Τα ΥΤΔ έχουν το δικαίωμα της εναντίωσης στην επεξεργασία των ΔΠΧ που τους αφορούν, η οποία βασίζεται στο δημόσιο συμφέρον / άσκηση δημόσιας εξουσίας ή στο έννομο συμφέρον, για λόγους που σχετίζονται με την ιδιαίτερη κατάσταση του. Σε αυτή την περίπτωση, σταματά η επεξεργασία των ΔΠΧ που τους αφορούν, εκτός εάν: υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών των ΥΤΔ ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
7. Υπεύθυνος Επεξεργασίας Δεδομένων
Για κάθε επεξεργασία προσωπικών δεδομένων που διενεργείται στο πλαίσιο κάθε πιθανής αλληλεπίδρασής σας με την Αρχή, Υπεύθυνος Επεξεργασίας είναι η:
ΑΡΧΗ ΔΗΜΟΣΙΑΣ ΕΠΟΠΤΕΙΑΣ ΕΛΕΓΚΤΙΚΟΥ ΕΠΑΓΓΕΛΜΑΤΟΣ
Διεύθυνση:
Λεωφ. Μακαρίου 56 & Δημοφώντος 1-3
Lamda Tower, 2ος όροφος
1075 Λευκωσία
Τηλ. 22 284800
Φαξ 22 284898
E - mail: info@cypaob.gov.cy
8. Υπεύθυνος Προστασίας Δεδομένων (DPO)
Για την άσκηση των δικαιωμάτων των ΥΤΔ καθώς και για κάθε ζήτημα που σχετίζεται με την επεξεργασία ΔΠΧ από την Αρχή, υπό την ιδιότητά της ως υπεύθυνος επεξεργασίας μπορείτε να επικοινωνείτε με τον Υπεύθυνο Προστασίας Δεδομένων (DPO) της Αρχής στην ηλεκτρονική διεύθυνση info@cmllc.eu ή στην ταχυδρομική διεύθυνση της Αρχής, υπόψιν του Υπεύθυνου Προστασίας Δεδομένων.
Νοείται, ότι η Αρχή θα καταβάλει κάθε δυνατή προσπάθεια να απαντήσει σε κάθε αίτημα, χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος, εκτός εξαιρετικών περιπτώσεων, στις οποίες η εν λόγω προθεσμία μπορεί ευλόγως να παραταθεί λαμβάνοντας υπόψη την πολυπλοκότητα του αιτήματος ή/και τον αριθμό των αιτημάτων.
9. Πληρωμή τέλους
Δεν απαιτείται η καταβολή οποιουδήποτε τέλους για την άσκηση των δικαιωμάτων από τα ΥΤΔ.
Ωστόσο, ενδέχεται να επιβληθεί εύλογο τέλος, εάν το αίτημά για πρόσβαση κρίνεται από την Αρχή σαφώς αβάσιμο, καταχρηστικό ή υπερβολικό.
10. Δικαίωμα καταγγελίας
Επίσης κάθε επηρεαζόμενο φυσικό ή νομικό πρόσωπο έχει δικαίωμα καταχώρησης παραπόνου στο Γραφείο της Επιτρόπου για την Προστασία των Προσωπικών Δεδομένων στην ηλεκτρονική διεύθυνση dataprotection.gov.cy και στο ηλεκτρονικό ταχυδρομείο commissioner@dataprotection.gov.cy
Η παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τελευταία φορά αναθεωρήθηκε στις 3/4/2024.