Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

12. Δημόσιες Αρχές

Προετοιμασία και Υποχρεώσεις Δημοσίων Αρχών

Ορισμός Δημόσιες Αρχές για τους σκοπούς του Κανονισμού:

Θεωρούνται οι Αρχές του Δημόσιου και ευρύτερου Δημόσιου τομέα συμπεριλαμβανομένων όλων των ανεξάρτητων Αρχών και των Αρχών τοπικής αυτοδιοίκησης, Δικαστικές Αρχές όταν δεν ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας και Βουλή των Αντιπροσώπων.

Ποιος είναι ο υπεύθυνος επεξεργασίας;

Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το Νόμο, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από τον εν λόγω Νόμο.

Υπεύθυνος επεξεργασίας θεωρείται δηλαδή η νομική οντότητα (συλλογικό όργανο/ Υπουργείο/Τμήμα /Υπηρεσία/ Ανεξάρτητο Γραφείο) π.χ Η ΕΔΥ ως ανεξάρτητη στη Δημοκρατία Αρχή, συλλογικό όργανο και νομική οντότητα θεωρείται, για τους σκοπούς του Κανονισμού «υπεύθυνος επεξεργασίας» σχετικά με όλες τις επεξεργασίες που εκτελεί σε προσωπικά δεδομένα, είτε σε αυτοματοποιημένη μορφή είτε όχι.


Τι αλλάζει και τι καταργείται με το νέο Γενικό Κανονισμό;

Στόχοι του νέου Κανονισμού:
  • η προαγωγή της διαφάνειας
  • η ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων,
  • η ενισχυμένη ασφάλεια των προσωπικών δεδομένων
  • η εισαγωγή της αρχής της λογοδοσίας στην αρμόδια Εποπτική Αρχή (Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) με την έννοια της απόδειξης της συμμόρφωσης με τις πρόνοιες του Κανονισμού
  • οι ενισχυμένες και αποτρεπτικές διοικητικές κυρώσεις.

Τι καταργείται!
    · Οι Γνωστοποιήσεις Σύστασης και Λειτουργίας Αρχείου/Έναρξης Επεξεργασίας. Αντικαθίστανται με την τήρηση Αρχείου Δραστηριοτήτων της επεξεργασίας. Για περισσότερες πληροφορίες σχετικά με το αρχείο δραστηριοτήτων πατήστε εδώ.
    · Οι άδειες για επεξεργασία ευαίσθητων δεδομένων (νυν ειδικών κατηγοριών προσωπικών δεδομένων) στον τομέα του εργατικού δικαίου.
    · Οι Άδειες για διασύνδεση αρχείων. Για περισσότερες πληροφορίες σχετικά με τις διασυνδέσεις πατήστε εδώ.
    · Οι Αποφάσεις για την άρση της υποχρέωσης ενημέρωσης των υποκειμένων των δεδομένων.
    · Η καταβολή τέλους των €17 από τα υποκείμενα για άσκηση του δικαιώματος πρόσβασης, διόρθωσης και αντίρρησης.
    Τι αλλάζει!
      · Οι Άδειες διαβίβασης σε τρίτες χώρες. Ο Κανονισμός προβλέπει αναθεωρημένο πλαίσιο για τις διαβιβάσεις σε τρίτες χώρες. Μεταξύ άλλων, ο Επίτροπος θα εγκρίνει τη νομική βάση της διαβίβασης π.χ. τυποποιημένες συμβατικές ρήτρες, δεσμευτικούς εταιρικούς κανόνες, κώδικα δεοντολογίας, μηχανισμό πιστοποίησης. Για περισσότερες πληροφορίες σχετικά με τις διαβιβάσεις πατήστε εδώ.
      · Ο Επίτροπος μπορεί να περιορίσει την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων και δεδομένων που αφορούν στην υγεία (βλ. εφαρμοστικές διατάξεις)

    Προετοιμασία για τον Κανονισμό

    1. Υπεύθυνος προστασίας δεδομένων

    Ως σημείο εκκίνησης είναι ο ορισμός υπεύθυνου προστασίας δεδομένων κύρια καθήκοντα του οποίου είναι να ενημερώνει και συμβουλεύει τον υπεύθυνο, να παρακολουθεί τη συμμόρφωση με τον Κανονισμό, να συνεργάζεται και να ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή.

    Κατά την ενάσκηση των καθηκόντων του θα πρέπει να διασφαλίζεται η πλήρης ανεξαρτησία του καθώς και ότι δεν λαμβάνει εντολές, και λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή εκτελούντα την επεξεργασία, κατά περίπτωση.

    Για περισσότερες πληροφορίες σχετικά με τον υπεύθυνο προστασίας δεδομένων πατήστε εδώ.

    2. Αρχείο δραστηριοτήτων

    Στο αρχείο αυτό καταγράφονται επακριβώς οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας (συλλογή, καταχώριση, φύλαξη, διαβίβαση, κλπ.), από κάθε Δημόσια Αρχή είτε υπέχει θέση υπεύθυνου επεξεργασίας είτε εκτελούντος την επεξεργασία, καθώς επίσης και τα συστήματα αρχειοθέτησης (αρχεία) που τηρούνται.

    Στο μέρος της ιστοσελίδας θα βρείτε ολοκληρωμένο δείγμα αρχείου δραστηριοτήτων σε μορφή excel με λεπτομερή Οδηγό συμπλήρωσης. Το αρχείο αυτό συμπληρώνουν και διατηρούν στις εγκαταστάσεις τους οι υπεύθυνοι επεξεργασίας σε έγγραφη και ηλεκτρονική μορφή.

    Το αρχείο τίθεται στη διάθεση του Επιτρόπου ύστερα από σχετικό αίτημά του. Δεν πρέπει να αποστέλλεται στον Επίτροπο, εκτός εάν ζητηθεί.

    Με το πέρας της καταγραφής και της συμπλήρωσης του αρχείου δραστηριοτήτων η Δημόσια Αρχή είτε υπό την ιδιότητά της ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία θα πρέπει να είναι σε θέση να αποτιμήσει τα αποτελέσματα της καταγραφής και να προβεί σε προγραμματισμό όλων των απαραίτητων ενεργειών που απαιτούνται με σκοπό την καθολική συμμόρφωσή της με τις υποχρεώσεις του Κανονισμού ξεκινώντας από τις βασικές αρχές της επεξεργασίας προσωπικών δεδομένων (βλέπετε άρθρο 5 του ΓΚΠΔ).

    3. Παραδείγματα Συστημάτων Αρχειοθέτησης και επεξεργασιών που διενεργούν Δημόσιες Αρχές με βάση τη νομοθεσία και την αποστολή τους

    π.χ ΕΔΥ:
      1. Αρχείο και επεξεργασία για σκοπούς πλήρωσης θέσεων στη Δημόσια Υπηρεσία. (υποψήφιοι για πρόσληψη / επιλεγέντες για διορισμό / μη επιλεγέντες για διορισμό).
      2. Φάκελοι δικαστικού ελέγχου/προσφυγών για σκοπούς υπεράσπισης.
      3. Φάκελοι για σκοπούς εκτέλεσης αποσπάσεων και μεταθέσεων.
      4. Φάκελοι γνωματεύσεων, δικαστικών αποφάσεων και επανεξετάσεων.
      5. Φάκελοι αδειών.
      6. Προσωπικοί φάκελοι Δημοσίων Υπαλλήλων.
      7. Φάκελοι Υπηρεσιακών Εκθέσεων Δημοσίων Υπαλλήλων.
      8. Πειθαρχικοί Φάκελοι.
      9. Φάκελοι καταγγελιών εναντίον Δημοσίων Υπαλλήλων (15.30.007).

    4. Αρχές της επεξεργασίας προσωπικών δεδομένων

    Οι βασικές αρχές επεξεργασίας είναι αυτές που προνοεί το άρθρο 5 του ΓΚΠΔ. Για τις βασικές αρχές πατήστε εδώ ή βλέπετε τις αναλυτικές οδηγίες στο κάτω μέρος της σελίδας.

    5. Νομική βάση επεξεργασίας προσωπικών δεδομένων από Δημόσιες Αρχές

    Οι Δημόσιες Αρχές προβαίνουν σε συλλογή και επεξεργασία (σε ηλεκτρονική και έντυπη μορφή) και διατήρηση συστημάτων αρχειοθέτησης (αρχεία) προσωπικών δεδομένων ήτοι των διοικούμενων, πολιτών, υπαλλήλων τους, αιτητών κ.α. τηρουμένων των αρμοδιοτήτων και εξουσιών τους όπως ενδεχομένως απονέμονται από το Σύνταγμα της Κυπριακής Δημοκρατίας, τις εθνικές, εναρμονιστικές, κυρωτικές νομοθεσίες, τις πρωτογενείς και τις συναφείς δευτερογενείς νομοθεσίες και την αποστολή τους.

    Η νομική βάση και /ή νομιμότητα των επεξεργασιών που εκτελούν Δημόσιες Αρχές θα πρέπει να αναζητείται κυρίως στα στοιχεία (γ) ή (ε) της παρ.1 του άρθρου 6 του Κανονισμού.

    Ιδιαίτερη έμφαση θα πρέπει να δοθεί στην παρ.(3) του άρθρου 6 με βάση την οποία ενδεχομένως να πρέπει να γίνουν σχετικές τροποποιήσεις στις οικείες νομοθεσίες με βάση τις οποίες αποδίδονται υποχρεώσεις συλλογής και επεξεργασίας για σκοπούς προσαρμογής τους με τον Κανονισμό.

    6. Ειδικές κατηγορίες προσωπικών δεδομένων

    Η επεξεργασία ειδικών κατηγοριών (ευαίσθητων) προσωπικών δεδομένων γίνεται μόνο υπό προϋποθέσεις που καθορίζει το άρθρο 9 του Κανονισμού (π.χ δεδομένα υγείας).

    7. Ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων

    Κάθε Δημόσια Αρχή έχει υποχρέωση να ενημερώσει το προσωπικό και να καθιερώσει μηχανισμούς, να οργανώσει κατάλληλα την υπηρεσία με την απονομή ρόλων ώστε να διευκολύνεται η άσκηση των δικαιωμάτων των διοικούμενων τα οποία απορρέουν από τον Κανονισμό π.χ δικαίωμα ενημέρωσης, πρόσβασης κλπ αλλά και να επιτευχθεί σε κάθε περίπτωση η συμμόρφωση με τον Κανονισμό σε κάθε επίπεδο εντός της Δημόσιας Αρχής.

    8. Ασφάλεια των δεδομένων

    Απαιτείται να σχεδιαστούν και να τεθούν σε λειτουργία συστήματα διαχείρισης πληροφοριών και διαδικασίες που να αποσκοπούν στη διασφάλιση ενός υψηλού επιπέδου ασφάλειας των προσωπικών δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (data protection by design and by default) αυστηρά προσαρμοσμένα στις βασικές αρχές της επεξεργασίας δεδομένων.

    Αναφορικά με το επίπεδο ασφάλειας των συστημάτων σε κάθε περίπτωση θα πρέπει να εφαρμόζονται, μεταξύ άλλων, τα τεχνικά και οργανωτικά μέτρα ασφάλειας τα οποία να εξασφαλίζουν επίπεδο ασφάλειας των προσωπικών δεδομένων ανάλογο με τους κινδύνους στους οποίους εκτίθενται οι επεξεργασίες δεδομένων.

    Για περισσότερες πληροφορίες σχετικά με την ασφάλεια Δεδομένων πατήστε εδώ.

    9. Ανάθεση επεξεργασίας σε εκτελούντα την επεξεργασία

    Η ανάθεση επεξεργασίας σε εκτελών την επεξεργασία γίνεται με έγγραφη ανάθεση σύμφωνα με το περιεχόμενο του άρθρου 28.

    Αποτελεί πάγια και θεσμοθετημένη πολλές φορές πρακτική και /ή διαδικασία η ανάθεση εργολαβίας από Δημόσιες Αρχές σε ιδιωτικούς οργανισμούς. Όταν η εργολαβία αφορά στη συλλογή ή σε οποιασδήποτε μορφής επεξεργασία προσωπικών δεδομένων από τον εκτελών την επεξεργασία εκ μέρους και για λογαριασμό του υπεύθυνου επεξεργασίας η επιλογή του πρώτου θα πρέπει να γίνεται με κριτήρια που αφορούν στην αξιοπιστία του όσον αφορά τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων με τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας και την καθιέρωση διαδικασιών ώστε να διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.

    Η σχετική ανάθεση διέπεται υποχρεωτικά από γραπτή σύμβαση ή άλλη νομική πράξη του ενωσιακού ή εθνικού δικαίου αμφότερες οι οποίες θα πρέπει απαραίτητα να περιλαμβάνουν τα στοιχεία της παρ. 3 του άρθρου 28.

    Η γραπτή σύμβαση ανάθεσης της επεξεργασίας μπορεί να αποτελεί μέρος ευρύτερης σύμβασης εργολαβίας.

    10. Γνωστοποίηση παραβιάσεων προσωπικών δεδομένων

    Η Γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στον Επίτροπο πρέπει να γίνεται εντός αποκλειστικής προθεσμίας σύμφωνα με τα άρθρα 33 και 34 του Κανονισμού.

    Οι Δημόσιες αρχές πρέπει να καθιερώσουν μηχανισμούς και πλάνα άμεσης επικοινωνίας για σκοπούς έγκαιρης ανταπόκρισης στις υποχρεώσεις γνωστοποίησης της παραβίασης στην εποπτική Αρχή και στα υποκείμενα των δεδομένων.

    Η επικαιροποίηση των στοιχείων επαφής των υποκειμένων των δεδομένων κατά τακτά χρονικά διαστήματα συνδράμει θετικά τόσο στη διατήρηση ακριβών και έγκυρων πληροφοριών όσο και στην επικοινωνία μαζί τους σε περίπτωση που λάβει χώρα περιστατικό ασφάλειας το οποίο συνεπάγεται την παραβίαση προσωπικών δεδομένων.

    11. Εκτίμηση αντικτύπου

    Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους.

    Σχετικός κατάλογος συναφών επεξεργασιών έχει αναρτηθεί στην ιστοσελίδα του Γραφείου. Η διενέργεια ΕΑΠΔ είναι υποχρεωτική για τις δραστηριότητες επεξεργασίας που περιλαμβάνονται στον κατάλογο.

    Για περισσότερες πληροφορίες σχετικά με την εκτίμηση αντικτύπου πατήστε εδώ.

    Οι πιο πάνω πληροφορίες σχετικά με την προετοιμασία και τις υποχρεώσεις Δημοσίων Αρχών, παρουσιάζονται αναλυτικά με τα αντίστοιχα άρθρα του Κανονισμού στο πιο κάτω έγγραφο.

    Σχετικά θέματα:

    Το Τμήμα Δημόσιας Διοίκησης και Προσωπικού ετοίμασε Εγκύκλιο σχετικά με τη διαχείριση αρχείων και εγγράφων που περιέχουν προσωπικά δεδομένα στη Δημόσια Υπηρεσία (ημερ. 24/5/2018). Η εγκύκλιος είναι διαθέσιμη στην ιστοσελίδα του Τμήματος.




    Κατεβάστε το αρχείο τύπου Acrobat Οδηγίες για Δημόσιες αρχές.pdf



    Last Update:

    17/02/2020 01:31:04 PM

     
    Back To Top