Πολιτική προστασίας δεδομένων

ΕΙΣΑΓΩΓΗ

Ποιοι είμαστε;
Το Πανεπιστήμιο Λεμεσού, εφεξής το "Πανεπιστήμιο Λεμεσού" ή το "Πανεπιστήμιο", αποτελεί μετεξέλιξη του Cyprus International Institute of Management (CIIM), μιας φημισμένης σχολής επιχειρήσεων που λειτουργεί στην Κύπρο από το 1990, όταν ιδρύθηκε ως Ιδιωτική Σχολή Ανώτατης Εκπαίδευσης, από μια ομάδα κορυφαίων στελεχών της κυπριακής οικονομίας και καταξιωμένων ακαδημαϊκών από κορυφαία πανεπιστήμια του εξωτερικού.

Το UoL οφείλει να συμμορφώνεται με τον Γενικό Κανονισμό της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων (GDPR) και άλλες σχετικές νομοθετικές διατάξεις που προστατεύουν τα δικαιώματα προστασίας της ιδιωτικής ζωής. Καθώς το UoL είναι υπεύθυνος επεξεργασίας δεδομένων, αλλά και κοινός υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δεδομένων για ορισμένες δραστηριότητες, το εδαφικό πεδίο εφαρμογής της εν λόγω νομοθεσίας, και ως εκ τούτου της παρούσας πολιτικής, ισχύει για όλη την επεξεργασία δεδομένων προσωπικού χαρακτήρα από και για το UoL, ανεξάρτητα από τον τόπο όπου πραγματοποιείται η επεξεργασία.

Σύμφωνα με τον ΓΚΠΔ, το UoL πρέπει να προστατεύει τις προσωπικές πληροφορίες και να ελέγχει τον τρόπο με τον οποίο χρησιμοποιούνται οι εν λόγω πληροφορίες σύμφωνα με τα νόμιμα δικαιώματα των υποκειμένων των δεδομένων, δηλαδή των ατόμων των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία.

Όλα τα υποκείμενα των δεδομένων δικαιούνται να γνωρίζουν:

• Τα δικαιώματά τους βάσει της νομοθεσίας περί προστασίας δεδομένων και πώς να χρησιμοποιούν αυτά τα δικαιώματα.
• Τι κάνει το UoL προκειμένου να συμμορφωθεί με τις νομικές του υποχρεώσεις βάσει του νόμου περί προστασίας δεδομένων.

Η κατάχρηση δεδομένων προσωπικού χαρακτήρα, μέσω απώλειας, αποκάλυψης ή μη συμμόρφωσης με τις αρχές προστασίας δεδομένων και τα δικαιώματα των υποκειμένων των δεδομένων, μπορεί να έχει ως αποτέλεσμα σημαντική νομική, οικονομική ζημία και ζημία φήμης. Αυτό μπορεί να περιλαμβάνει κυρώσεις έως και 20 εκατ. ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών για σοβαρές παραβάσεις του νόμου, αξιώσεις αποζημίωσης και απώλεια εσόδων από προσλήψεις και έρευνα.

Για τη διαχείριση αυτών των κινδύνων, η παρούσα πολιτική καθορίζει τις ευθύνες όλων των διευθυντών, των υπαλλήλων, των εργολάβων και οποιουδήποτε άλλου μπορεί να έχει πρόσβαση ή να χρησιμοποιεί προσωπικά δεδομένα κατά τη διάρκεια της εργασίας του για το UoL.

ΣΚΟΠΟΣ

Η παρούσα πολιτική και οι υποστηρικτικές της διαδικασίες και οδηγίες έχουν σχεδιαστεί για να βοηθήσουν το UoL να συμμορφωθεί με τις υποχρεώσεις του ως Υπεύθυνος Επεξεργασίας Δεδομένων και, κατά περίπτωση, ως Κοινός Υπεύθυνος Επεξεργασίας ή Εκτελών την Επεξεργασία σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων.

Το UoL είναι υπεύθυνο και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις ακόλουθες αρχές προστασίας δεδομένων ("υπευθυνότητα"). Συνοπτικά, οι Αρχές αναφέρουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι:

• Επεξεργάζονται νόμιμα, δίκαια και με τρόπο διαφανή για το υποκείμενο των δεδομένων ("νομιμότητα, αμεροληψία και διαφάνεια").
• Συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς. ("περιορισμός σκοπού").
• Επαρκείς, συναφείς και περιορισμένες στο αναγκαίο για τους σκοπούς αυτούς ("ελαχιστοποίηση των δεδομένων").
• Ακριβή και επικαιροποιημένα ("ακρίβεια").
• Διατηρούνται σε μορφή που μπορεί να ταυτοποιήσει τα άτομα για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι απαραίτητο για τον σκοπό αυτό ("περιορισμός αποθήκευσης").
• Διατηρούνται ασφαλή από μη εξουσιοδοτημένη πρόσβαση, επεξεργασία, τυχαία ή σκόπιμη απώλεια ή καταστροφή ("ακεραιότητα και εμπιστευτικότητα").

Η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς είναι συμβατή με τις αρχές του σκοπού και του περιορισμού της αποθήκευσης, με την επιφύλαξη κατάλληλων εγγυήσεων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Σύμφωνα με το νόμο περί προστασίας δεδομένων το UoL πρέπει επίσης:

• Ενημερώνει προληπτικά τα υποκείμενα των δεδομένων σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων και τα δικαιώματά τους βάσει του νόμου,
• Εκπληρώνει τις νομικές υποχρεώσεις του ως υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δεδομένων, συμπεριλαμβανομένης της προστασίας δεδομένων εκ κατασκευής και εξ ορισμού, της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων, της τήρησης αρχείων των δραστηριοτήτων επεξεργασίας, των μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας, του χειρισμού των παραβιάσεων των δεδομένων, του ορισμού και του ρόλου του υπευθύνου προστασίας δεδομένων,
• Να επιτρέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε άλλες χώρες μόνο εάν οι χώρες αυτές διατηρούν το ίδιο επίπεδο προστασίας των δικαιωμάτων ιδιωτικής ζωής των ενδιαφερόμενων υποκειμένων των δεδομένων.

Η παρούσα πολιτική καθορίζει ένα πλαίσιο διακυβέρνησης και λογοδοσίας για τη συμμόρφωση με την προστασία των δεδομένων σε όλο το UoL. Περιλαμβάνει όλες τις πολιτικές και διαδικασίες που απαιτούνται για την προστασία των πληροφοριών του UoL με τη διατήρηση:

• Εμπιστευτικότητα: προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και αποκάλυψη
• Ακεραιότητα: τη διασφάλιση της ακρίβειας και της πληρότητας των πληροφοριών και την αποτροπή της μη εξουσιοδοτημένης τροποποίησης ή διαγραφής τους
• Διαθεσιμότητα: εξασφάλιση ότι οι πληροφορίες και οι συναφείς υπηρεσίες είναι διαθέσιμες στους εξουσιοδοτημένους χρήστες όποτε και όπου απαιτείται
• Ανθεκτικότητα: την ικανότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε πληροφορίες, συστήματα επεξεργασίας και υπηρεσίες σε περίπτωση φυσικού ή τεχνικού συμβάντος.

ΣΤΟΧΟΙ

Το UoL θα εφαρμόσει τις Αρχές Προστασίας Δεδομένων και τις λοιπές απαιτήσεις της νομοθεσίας περί προστασίας δεδομένων στη διαχείριση όλων των προσωπικών δεδομένων καθ' όλη τη διάρκεια του κύκλου ζωής των πληροφοριών, υιοθετώντας τους ακόλουθους στόχους πολιτικής.

Να επεξεργάζεστε τα δεδομένα προσωπικού χαρακτήρα δίκαια και νόμιμα

Αυτό σημαίνει ότι θα:

• Συλλέγετε και χρησιμοποιείτε τα δεδομένα προσωπικού χαρακτήρα μόνο σύμφωνα με τις νόμιμες προϋποθέσεις που ορίζονται στον ΓΚΠΔ,
• Τεκμηριώνουμε κάθε προϋπόθεση στην οποία βασιζόμαστε- διατηρούμε τις πληροφορίες αυτές σε ένα επίσημο σύνολο αρχείων δραστηριοτήτων επεξεργασίας- επανεξετάζουμε και επικαιροποιούμε τακτικά τα αρχεία αυτά και τα διαθέτουμε στο Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε άλλες εποπτικές αρχές και στα υποκείμενα των δεδομένων κατόπιν αιτήματος,
• Να αντιμετωπίζουμε τους ανθρώπους δίκαια, χρησιμοποιώντας τα προσωπικά τους δεδομένα για σκοπούς και με τρόπο που εύλογα θα ανέμεναν,
• Διασφαλίζουμε ότι εάν συλλέγουμε τα προσωπικά δεδομένα κάποιου ατόμου για έναν σκοπό, π.χ. αίτηση εργασίας, δεν θα επαναχρησιμοποιήσουμε τα δεδομένα του για έναν διαφορετικό σκοπό στον οποίο το άτομο δεν συμφώνησε ή δεν περίμενε, π.χ. για την προώθηση αγαθών και υπηρεσιών για έναν εξωτερικό προμηθευτή,
• Βασιστείτε στη συγκατάθεση ως προϋπόθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο όταν:
  1. Πρώτα λαμβάνουμε τη συγκεκριμένη, ενημερωμένη και ελεύθερα δοθείσα συγκατάθεση του υποκειμένου των δεδομένων, και
  2. Το υποκείμενο των δεδομένων δίνει τη συγκατάθεσή του, με δήλωση ή σαφή θετική ενέργεια που τεκμηριώνουμε, και ότι το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή χωρίς να θιγούν τα συμφέροντά του.

Ενημέρωση των υποκειμένων των δεδομένων για το τι κάνουμε με τα προσωπικά τους δεδομένα

Αυτό σημαίνει ότι, στο σημείο που συλλέγουμε τα προσωπικά τους δεδομένα, θα εξηγήσουμε στα υποκείμενα των δεδομένων με σαφή, συνοπτικό και προσιτό τρόπο:

• Την ταυτότητα και τα στοιχεία επικοινωνίας του UoL και τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων,
• Ποια προσωπικά δεδομένα συλλέγουμε,
• Για ποιους σκοπούς συλλέγουμε και χρησιμοποιούμε τα δεδομένα τους,
• Σε ποιες νόμιμες προϋποθέσεις βασιζόμαστε για την επεξεργασία δεδομένων για κάθε σκοπό και πώς αυτό επηρεάζει τα δικαιώματά τους,
• Εάν σκοπεύουμε να επεξεργαστούμε τα δεδομένα για άλλους σκοπούς και τα δικαιώματά τους να αντιταχθούν,
• Τις πηγές από τις οποίες λαμβάνουμε τα δεδομένα τους, όταν έχουμε λάβει τα δεδομένα από τρίτους,
• Εάν χρησιμοποιούμε αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και εάν ναι, τον αντίκτυπο στα υποκείμενα των δεδομένων και τα δικαιώματά τους να αντιταχθούν,
• Εάν πρέπει να παράσχουν δεδομένα για να ανταποκριθούν σε μια νομοθετική ή συμβατική απαίτηση και, εάν ναι, τις συνέπειες της μη παροχής των δεδομένων,
• Οι υποχρεώσεις μας για την προστασία των προσωπικών τους δεδομένων,
• Σε ποιον μπορούμε να αποκαλύψουμε τα δεδομένα τους και γιατί,
• Σε ποιες άλλες χώρες ενδέχεται να στείλουμε τα δεδομένα τους, γιατί πρέπει να το κάνουμε αυτό και ποιες διασφαλίσεις ισχύουν σε κάθε περίπτωση,
• Κατά περίπτωση, ποια προσωπικά δεδομένα δημοσιεύουμε και γιατί,
• Πώς τα υποκείμενα των δεδομένων μπορούν να ενημερώνουν τα προσωπικά δεδομένα που διατηρούμε,
• Πόσο καιρό σκοπεύουμε να διατηρήσουμε τα δεδομένα τους,
• Πώς να ασκούν τα δικαιώματά τους βάσει της νομοθεσίας περί προστασίας δεδομένων.

Θα δημοσιεύουμε αυτές τις πληροφορίες στον ιστότοπό μας και, όπου χρειάζεται, σε έντυπη μορφή. Θα επανεξετάζουμε τακτικά το περιεχόμενο αυτών των ειδοποιήσεων απορρήτου και θα ενημερώνουμε τα υποκείμενα των δεδομένων μας για τυχόν σημαντικές αλλαγές που ενδέχεται να τα επηρεάσουν.

Θα παρέχουμε απλούς και ασφαλείς τρόπους στο προσωπικό μας και σε άλλα υποκείμενα των δεδομένων να ενημερώνουν τις πληροφορίες που διατηρούμε για αυτά, όπως οι διευθύνσεις κατοικίας.

Όταν επεξεργαζόμαστε προσωπικά δεδομένα για να ενημερώνουμε τους ανθρώπους σχετικά με τις δραστηριότητες και τις εκδηλώσεις του UoL, θα παρέχουμε σε κάθε επικοινωνία έναν απλό τρόπο για να εξαιρεθείτε από περαιτέρω επικοινωνίες μάρκετινγκ.

Με αυτούς τους τρόπους θα παρέχουμε λογοδοσία για τη χρήση των προσωπικών δεδομένων και θα αποδεικνύουμε ότι θα διαχειριζόμαστε τα δεδομένα των ανθρώπων σύμφωνα με τα δικαιώματα και τις προσδοκίες τους.

Υπεράσπιση των δικαιωμάτων του ατόμου ως υποκειμένου των δεδομένων

Αυτό σημαίνει ότι θα υπερασπιστούμε τα δικαιώματά τους σε:

• Να λάβουν δωρεάν αντίγραφο των πληροφοριών που περιλαμβάνουν τα προσωπικά τους δεδομένα, εντός ενός μηνός από την υποβολή του αιτήματός τους,
• Να διορθώσετε ανακριβή προσωπικά δεδομένα και να συμπληρώσετε ελλιπή προσωπικά δεδομένα,
• Να διαγραφούν τα προσωπικά τους δεδομένα όταν δεν χρειάζονται πλέον, εάν τα δεδομένα έχουν υποστεί παράνομη επεξεργασία ή εάν το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, εκτός εάν υπάρχει υπέρτερο νομικό ή δημόσιο συμφέρον για τη συνέχιση της επεξεργασίας των δεδομένων,
• Να περιορίσουν την επεξεργασία των προσωπικών τους δεδομένων έως ότου επιλυθεί μια διαφωνία σχετικά με την ακρίβεια ή τη χρήση των δεδομένων ή όταν το UoL δεν χρειάζεται πλέον να διατηρεί προσωπικά δεδομένα, αλλά το υποκείμενο των δεδομένων χρειάζεται τα δεδομένα για μια νομική αξίωση,
• Φορητότητα δεδομένων: όταν ένα υποκείμενο των δεδομένων έχει παράσχει προσωπικά δεδομένα στο UoL με συγκατάθεση ή σύμβαση για αυτοματοποιημένη επεξεργασία και ζητά ένα αντίγραφο αναγνώσιμο από μηχανή ή να του αποσταλούν σε άλλον υπεύθυνο επεξεργασίας δεδομένων,
• Να αντιταχθούν και να αποτρέψουν την περαιτέρω επεξεργασία των δεδομένων τους για τα νόμιμα συμφέροντα ή το δημόσιο συμφέρον του UoL, εκτός εάν το UoL μπορεί να αποδείξει επιτακτικούς νόμιμους λόγους για τη συνέχιση της επεξεργασίας,
• Αποτροπή της επεξεργασίας των δεδομένων τους για άμεσο μάρκετινγκ,
• Να σταματήσει το UoL να επεξεργάζεται δεδομένα που λαμβάνονται για διαδικτυακές υπηρεσίες, όπως τα μέσα κοινωνικής δικτύωσης, όταν η συγκατάθεση για την επεξεργασία δόθηκε προηγουμένως από ένα παιδί ή για λογαριασμό ενός παιδιού, το οποίο ανακαλεί τη συγκατάθεσή του,
• Να αντιταχθεί στη λήψη αποφάσεων που τους αφορούν αποκλειστικά με αυτοματοποιημένα μέσα,
• Διεκδικήστε αποζημίωση για ζημίες που προκλήθηκαν από παραβίαση της νομοθεσίας περί προστασίας δεδομένων.

Εφαρμόζουμε τις αρχές της "προστασίας δεδομένων εκ κατασκευής και εξ ορισμού" σε όλη την επεξεργασία των προσωπικών μας δεδομένων.

Αυτό σημαίνει ότι θα:

• Χρησιμοποιήστε αναλογική αξιολόγηση κινδύνων για την προστασία της ιδιωτικής ζωής και των πληροφοριών και, όπου χρειάζεται, αξιολόγηση επιπτώσεων στην προστασία των δεδομένων, για να εντοπίζετε και να μετριάζετε τους κινδύνους για την προστασία της ιδιωτικής ζωής σε κάθε στάδιο κάθε έργου ή πρωτοβουλίας που συνεπάγεται επεξεργασία δεδομένων προσωπικού χαρακτήρα και κατά τη διαχείριση αναβαθμίσεων ή βελτιώσεων σε συστήματα και διαδικασίες που χρησιμοποιούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
• Υιοθετούμε την ελαχιστοποίηση των δεδομένων: θα συλλέγουμε, θα αποκαλύπτουμε και θα διατηρούμε τα ελάχιστα προσωπικά δεδομένα για τον ελάχιστο χρόνο που απαιτείται για τον σκοπό,
• Ανωνυμοποιείτε τα δεδομένα προσωπικού χαρακτήρα όπου είναι απαραίτητο και σκόπιμο, π.χ. όταν τα χρησιμοποιείτε για στατιστικούς σκοπούς, ώστε να μην είναι πλέον δυνατή η ταυτοποίηση των ατόμων.

Προστασία προσωπικών δεδομένων

Αυτό σημαίνει ότι θα χρησιμοποιήσουμε τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να:

• Έλεγχος της πρόσβασης στα προσωπικά δεδομένα, ώστε το προσωπικό, οι εργολάβοι και άλλα άτομα που εργάζονται σε επιχειρήσεις του UoL να βλέπουν μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση των καθηκόντων τους,
• Να απαιτεί από όλο το προσωπικό του UoL, τους εργολάβους και άλλους που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα κατά τη διάρκεια της εργασίας τους να ολοκληρώνουν βασική εκπαίδευση για την προστασία των δεδομένων, η οποία συμπληρώνεται, κατά περίπτωση, από διαδικασίες και οδηγίες σχετικές με τους συγκεκριμένους ρόλους τους,
• Καθορίζει και παρακολουθεί τη συμμόρφωση με τα πρότυπα ασφαλείας για τη διαχείριση των προσωπικών δεδομένων ως μέρος του ευρύτερου πλαισίου πολιτικών και διαδικασιών ασφάλειας πληροφοριών του UoL,
• Μείωση των κινδύνων αποκάλυψης με ψευδωνυμοποίηση των προσωπικών δεδομένων, όπου είναι δυνατόν,
• Να παρέχει τα κατάλληλα εργαλεία στο προσωπικό, τους εργολάβους και άλλους για την ασφαλή χρήση και επικοινωνία προσωπικών δεδομένων όταν εργάζονται εκτός του UoL, για παράδειγμα μέσω της παροχής ασφαλούς εικονικού ιδιωτικού δικτύου, κρυπτογράφησης και λύσεων cloud,
• Λαμβάνουμε όλα τα εύλογα μέτρα για να εξασφαλίσουμε ότι όλοι οι προμηθευτές, οι εργολάβοι, οι πράκτορες και άλλα εξωτερικά μέρη που επεξεργάζονται προσωπικά δεδομένα για το UoL θα συμμορφώνονται με ελεγχόμενους ελέγχους ασφαλείας για την προστασία των δεδομένων μας και θα συνάπτουν τις Συμφωνίες Επεξεργαστών Δεδομένων,
• Διατήρηση συμφωνιών κοινοχρησίας δεδομένων με εκπαιδευτικούς εταίρους και άλλους εξωτερικούς φορείς με τους οποίους ενδέχεται να χρειαστεί να μοιραστούμε προσωπικά δεδομένα για την παροχή ακαδημαϊκών προγραμμάτων, κοινών υπηρεσιών ή κοινών έργων, ώστε να διασφαλίζεται η κατάλληλη διακυβέρνηση, η λογοδοσία και ο έλεγχος της χρήσης των δεδομένων αυτών,
• Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα εκτός της Ευρωπαϊκής Ένωσης, να θέτουν σε εφαρμογή κατάλληλες συμφωνίες και ελεγχόμενους ελέγχους ασφαλείας για τη διατήρηση των δικαιωμάτων προστασίας της ιδιωτικής ζωής,
• Διασφαλίζουμε ότι οι συνεργάτες και οι υπάλληλοί μας γνωρίζουν πώς εφαρμόζεται η νομοθεσία περί προστασίας δεδομένων στη χρήση προσωπικών δεδομένων κατά τη διάρκεια της επιχειρηματικής μας σχέσης και πώς μπορούν να λαμβάνουν τα κατάλληλα μέτρα για την προστασία των δικών τους προσωπικών δεδομένων και τον σεβασμό της ιδιωτικής ζωής των άλλων,
• Διαχείριση όλων των αιτημάτων πρόσβασης και των αιτημάτων τρίτων για προσωπικές πληροφορίες σχετικά με το προσωπικό και άλλα υποκείμενα των δεδομένων σύμφωνα με τις διαδικασίες μας για την απάντηση σε αιτήματα για προσωπικά δεδομένα,
• Να προβαίνουν σε κατάλληλες και έγκαιρες ρυθμίσεις για να διασφαλίζουν την εμπιστευτική καταστροφή των προσωπικών δεδομένων σε όλα τα μέσα και μορφές όταν δεν απαιτούνται πλέον για τις δραστηριότητες του UoL.
• Παρέχετε τα κατάλληλα εργαλεία στο προσωπικό, τους εργολάβους και άλλους για την ασφαλή χρήση και κοινοποίηση προσωπικών δεδομένων όταν

Διατήρηση προσωπικών δεδομένων μόνο για όσο χρονικό διάστημα απαιτείται

Αυτό σημαίνει ότι θα:

• Εφαρμόστε τις πολιτικές διατήρησης αρχείων του UoL για τη διατήρηση αρχείων και πληροφοριών που περιέχουν προσωπικά δεδομένα μόνο για όσο χρονικό διάστημα απαιτείται για τους σκοπούς για τους οποίους συλλέχθηκαν.

Στη συνέχεια, σύμφωνα με τις συστάσεις της πολιτικής διατήρησης, θα:

• Καταστρέφουν τα αρχεία με ασφάλεια κατά τρόπο κατάλληλο για τη μορφή τους- Ή
• να τα μεταφέρετε κατόπιν συμφωνίας στον ανάδοχο αποθήκευσης αρχείων μας για περιορισμένο χρονικό διάστημα, εφόσον απαιτείται για νομικούς και αποδεικτικούς σκοπούς- Ή
• Μεταφορά των αρχείων για αρχειοθέτηση προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς.

Ορισμένα αρχεία του UoL που περιέχουν προσωπικά δεδομένα προορίζονται για μόνιμη διατήρηση ως αρχεία ή για επιστημονικούς, ιστορικούς και στατιστικούς σκοπούς. Κατά τη διαχείριση της πρόσβασης σε αρχεία που περιέχουν δεδομένα προσωπικού χαρακτήρα, θα εφαρμόζουμε κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και των ελευθεριών των ενδιαφερόμενων υποκειμένων των δεδομένων:

• Εφαρμογή εξαιρέσεων στα δημόσια δικαιώματα πρόσβασης σε πληροφορίες, ανάλογα με την περίπτωση, σύμφωνα με τα δικαιώματα των υποκειμένων των δεδομένων στην ιδιωτική ζωή,
• Αποσυντονισμός προσωπικών δεδομένων, π.χ. με ψευδωνυμοποίηση,
• Απόκρυψη πρόσβασης σε συγκεκριμένες κατηγορίες αρχείων

Διαχείριση τυχόν παραβιάσεων της ασφάλειας των δεδομένων αμέσως και καταλλήλως

Αυτό σημαίνει ότι θα λάβουμε όλα τα απαραίτητα μέτρα για να μειώσουμε τον αντίκτυπο των περιστατικών που αφορούν προσωπικά δεδομένα, ακολουθώντας τις πολιτικές και τις διαδικασίες του UoL.

Όταν μια παραβίαση δεδομένων είναι πιθανό να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ο υπεύθυνος προστασίας δεδομένων θα επικοινωνήσει με το γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και θα αναφέρει την παραβίαση, σύμφωνα με τις κανονιστικές απαιτήσεις, εντός 72 ωρών από την ανακάλυψή της. Ο Υπεύθυνος Προστασίας Δεδομένων θα συστήσει επίσης, όπου απαιτείται, δράσεις για την ενημέρωση των υποκειμένων των δεδομένων και τη μείωση των κινδύνων για την ιδιωτική τους ζωή που προκύπτουν από την παραβίαση.

SCOPE

Ποιες πληροφορίες περιλαμβάνονται στην Πολιτική

Η παρούσα πολιτική ισχύει για όλα τα προσωπικά δεδομένα που δημιουργούνται ή λαμβάνονται κατά τη διάρκεια της επιχειρηματικής δραστηριότητας του UoL, σε όλες τις μορφές, οποιασδήποτε ηλικίας. Τα δεδομένα προσωπικού χαρακτήρα μπορεί να τηρούνται ή να διαβιβάζονται σε έντυπη, φυσική και ηλεκτρονική μορφή ή να κοινοποιούνται προφορικά σε συνομιλίες ή μέσω τηλεφώνου.

Ποιος επηρεάζεται από την πολιτική;

Τα υποκείμενα των δεδομένων περιλαμβάνουν, αλλά δεν περιορίζονται σε:

• Υποψήφιοι υποψήφιοι για εργασία, υποψήφιοι για εργασία, νυν και πρώην εργαζόμενοι, μέλη της οικογένειας όπου υπάρχουν επαφές έκτακτης ανάγκης ή πλησιέστεροι συγγενείς, εργαζόμενοι που απασχολούνται μέσω εταιρειών προσωρινής απασχόλησης, υποκείμενα ερευνών, εξωτερικοί ερευνητές, πελάτες, φοιτητές, άτομα που υποβάλλουν αιτήματα για πληροφορίες ή έρευνες, καταγγέλλοντες, επαγγελματικές επαφές και εκπρόσωποι, εταίροι και εργολάβοι.

Χρήστες προσωπικών δεδομένων

Η πολιτική ισχύει για οποιονδήποτε αποκτά, καταγράφει, έχει πρόσβαση, αποθηκεύει ή χρησιμοποιεί προσωπικά δεδομένα κατά τη διάρκεια της εργασίας του για το UoL. Οι χρήστες προσωπικών δεδομένων περιλαμβάνουν υπαλλήλους και συνεργάτες, εργολάβους, προμηθευτές, πράκτορες, συνεργάτες του UoL και εξωτερικούς ερευνητές και επισκέπτες.

Πού εφαρμόζεται η πολιτική

Η παρούσα πολιτική ισχύει για όλες τις τοποθεσίες από τις οποίες γίνεται πρόσβαση στα προσωπικά δεδομένα του UoL, συμπεριλαμβανομένης της οικιακής χρήσης.

Καθώς το UoL δραστηριοποιείται διεθνώς, μέσω της έδρας του στην Κύπρο και μέσω συμφωνιών με εταίρους σε άλλες δικαιοδοσίες, το πεδίο εφαρμογής της πολιτικής θα περιλαμβάνει τις εν λόγω υπερπόντιες εγκαταστάσεις και διεθνείς δραστηριότητες και θα λαμβάνει δεόντως υπόψη τη νομοθεσία εκτός Κύπρου και εκτός ΕΕ που ενδέχεται να εφαρμόζεται.

ΓΡΑΜΜΈΣ ΕΥΘΎΝΗΣ

Όλοι οι χρήστες των πληροφοριών του UoL είναι υπεύθυνοι για:

• Ολοκλήρωση των σχετικών δραστηριοτήτων κατάρτισης και ευαισθητοποίησης που παρέχονται από το UoL για την υποστήριξη της συμμόρφωσης με την παρούσα πολιτική,
• Λαμβάνουν όλα τα απαραίτητα μέτρα για να διασφαλίσουν ότι δεν προκύπτουν παραβιάσεις της ασφάλειας των πληροφοριών από τις ενέργειές τους,
• Αναφορά όλων των ύποπτων παραβιάσεων ή περιστατικών ασφάλειας πληροφοριών αμέσως στον υπεύθυνο προστασίας δεδομένων, Ελένη Αντωνίου, στη διεύθυνση dpo@uol.ac.cy ώστε να μπορούν να ληφθούν τα κατάλληλα μέτρα για την ελαχιστοποίηση της βλάβης,
• Ενημέρωση του UoL για τυχόν αλλαγές στις πληροφορίες που έχουν παράσχει στο UoL σε σχέση με την απασχόλησή τους, για παράδειγμα, αλλαγές στη διεύθυνση ή στα στοιχεία του τραπεζικού λογαριασμού.

Ο Διευθύνων Σύμβουλος του UoL έχει την τελική ευθύνη για τη συμμόρφωση του UoL με τη νομοθεσία περί προστασίας δεδομένων.

Ο υπεύθυνος προστασίας δεδομένων είναι υπεύθυνος για:

• Ενημέρωση και παροχή συμβουλών στα ανώτερα διοικητικά στελέχη και σε όλο το προσωπικό του UoL σχετικά με τις υποχρεώσεις τους βάσει της νομοθεσίας περί προστασίας δεδομένων,
• Προώθηση μιας κουλτούρας προστασίας των δεδομένων, π.χ. μέσω δραστηριοτήτων κατάρτισης και ευαισθητοποίησης,
• Επανεξέταση και σύσταση πολιτικών, διαδικασιών, προτύπων και ελέγχων για τη διατήρηση και την επίδειξη της συμμόρφωσης με τη νομοθεσία περί προστασίας δεδομένων και την ενσωμάτωση της ιδιωτικής ζωής από το σχεδιασμό και την προεπιλογή σε όλο το UoL,
• Παροχή συμβουλών σχετικά με την εκτίμηση αντικτύπου για την προστασία των δεδομένων και παρακολούθηση της απόδοσής της,
• Παρακολούθηση και υποβολή εκθέσεων σχετικά με τη συμμόρφωση προς τον διευθύνοντα σύμβουλο και άλλα αρμόδια συμβούλια,
• Τήρηση αρχείων των δραστηριοτήτων επεξεργασίας,
• Παροχή ενός σημείου επαφής για τα υποκείμενα των δεδομένων όσον αφορά όλα τα ζητήματα που σχετίζονται με τα δικαιώματά τους βάσει της νομοθεσίας περί προστασίας δεδομένων,
• Διερεύνηση παραβιάσεων προσωπικών δεδομένων, σύσταση δράσεων για τη μείωση του αντικτύπου και της πιθανότητας επανάληψής τους,
• Λειτουργία ως σημείο επαφής και συνεργασία με το Γραφείο του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για θέματα σχετικά με την επεξεργασία.

Όλοι οι επικεφαλής των τμημάτων είναι υπεύθυνοι για την εφαρμογή της πολιτικής στους τομείς δραστηριότητάς τους και για την τήρηση της από το προσωπικό τους. Αυτό περιλαμβάνει:

• Ανάθεση γενικών και ειδικών αρμοδιοτήτων για τη διαχείριση της προστασίας δεδομένων,
• Διαχείριση των δικαιωμάτων πρόσβασης για τα περιουσιακά στοιχεία και τα συστήματα πληροφοριών, ώστε να διασφαλίζεται ότι το προσωπικό, οι εργολάβοι και οι πράκτορες έχουν πρόσβαση μόνο στα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την εκπλήρωση των καθηκόντων τους,
• Διασφάλιση ότι όλο το προσωπικό στους τομείς ευθύνης του παρακολουθεί τη σχετική εκπαίδευση που παρέχεται από το UoL και γνωρίζει τις ευθύνες του για την προστασία των δεδομένων,
• Διασφάλιση ότι το προσωπικό που είναι υπεύθυνο για οποιεσδήποτε τοπικά διαχειριζόμενες υπηρεσίες ΤΠ συνεργάζεται με το προσωπικό του UoL για να θέσει σε εφαρμογή ισοδύναμους ελέγχους ασφαλείας ΤΠ,
• Βοήθεια προς τον υπεύθυνο προστασίας δεδομένων για την τήρηση ακριβών και ενημερωμένων αρχείων των δραστηριοτήτων επεξεργασίας δεδομένων.

Ο διευθυντής πληροφορικής είναι υπεύθυνος για τη διασφάλιση ότι τα συστήματα και οι υπηρεσίες πληροφορικής που διαχειρίζονται κεντρικά ενσωματώνουν την προστασία της ιδιωτικής ζωής εκ κατασκευής και εξ ορισμού και για την προώθηση ορθών πρακτικών στην ασφάλεια της πληροφορικής μεταξύ του προσωπικού.

Ο επικεφαλής του τμήματος ανθρώπινου δυναμικού είναι υπεύθυνος για την τήρηση των σχετικών πολιτικών και διαδικασιών ανθρώπινου δυναμικού, ώστε να υποστηρίζεται η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων.

ΠΑΡΑΚΟΛΟΎΘΗΣΗ ΚΑΙ ΑΞΙΟΛΌΓΗΣΗ

Ο Υπεύθυνος Προστασίας Δεδομένων θα υποστηρίζει την παρακολούθηση των νέων και των συνεχιζόμενων κινδύνων προστασίας δεδομένων και θα ενημερώνει το σχετικό μητρώο δραστηριοτήτων του UoL, αναφέροντας το αμέσως στον Διευθύνοντα Σύμβουλο, όπως απαιτείται. Ο ΥΠΔ θα συνεργάζεται με τον διευθυντή πληροφορικής για να διασφαλίσει ότι οι κίνδυνοι ασφάλειας πληροφορικής που σχετίζονται με την προστασία δεδομένων καταγράφονται στο μητρώο και ότι όλα τα τμήματα καταγράφουν τους κινδύνους προστασίας δεδομένων και ασφάλειας πληροφοριών στα μητρώα τους και τους κλιμακώνουν, εφόσον χρειάζεται, στον ΥΠΔ.

Ο Υπεύθυνος Προστασίας Δεδομένων θα υποβάλλει τακτικές εκθέσεις στο Διοικητικό Συμβούλιο του UoL σχετικά με τη συμμόρφωση με την προστασία των δεδομένων.

ΕΦΑΡΜΟΓΉ

Η πολιτική αυτή εφαρμόζεται μέσω της ανάπτυξης, της εφαρμογής, της παρακολούθησης και της αναθεώρησης των συστατικών στοιχείων του Συστήματος Διαχείρισης του UoL.

Αυτά θα απαιτήσουν:

• Ο υπεύθυνος προστασίας δεδομένων να συνεργάζεται με τους επικεφαλής όλων των τμημάτων για την επανεξέταση και επικαιροποίηση των αξιολογήσεων κινδύνου πληροφοριών και των αρχείων των δραστηριοτήτων επεξεργασίας και να λαμβάνει τα απαραίτητα μέτρα για τον εντοπισμό και την προστασία των δεδομένων προσωπικού χαρακτήρα και των συστημάτων που χρησιμοποιούνται για την επεξεργασία των δεδομένων,
• Συντονισμός των προσπαθειών μεταξύ των αρμόδιων επικεφαλής και των επαγγελματιών ειδικών για την ενσωμάτωση της πληροφορικής, της φυσικής ασφάλειας, των ανθρώπων, της διαχείρισης πληροφοριών, της διαχείρισης κινδύνων και της επιχειρησιακής συνέχειας για την επίτευξη αποτελεσματικών και αναλογικών ελέγχων ασφάλειας πληροφοριών,
• Αναθεώρηση και ανανέωση όλων των σχετικών πολιτικών και διαδικασιών,
• Γενική κατάρτιση και ευαισθητοποίηση σε θέματα που αφορούν συγκεκριμένο ρόλο,
• Ενσωμάτωση της προστασίας της ιδιωτικής ζωής από το σχεδιασμό και την προεπιλογή και των σχετικών απαιτήσεων διακυβέρνησης πληροφοριών στις προμήθειες και στο σχεδιασμό έργων,
• Πολιτικές και διαδικασίες διαχείρισης περιστατικών ασφάλειας πληροφοριών,
• Διαχείριση επιχειρησιακής συνέχειας,
• Παρακολούθηση της συμμόρφωσης και επανεξέταση των ελέγχων για την κάλυψη των επιχειρηματικών αναγκών.

ΣΧΕΤΙΚΈΣ ΠΟΛΙΤΙΚΈΣ ΚΑΙ ΔΙΑΔΙΚΑΣΊΕΣ:

• Πολιτική απορρήτου
• Πολιτική και διαδικασία παραβίασης δεδομένων
• Πολιτική και διαδικασία αίτησης πρόσβασης του υποκειμένου των δεδομένων (SAR)
• Πολιτική ήχου και ηχογράφησης
• Πολιτική για το σύστημα CCTV
• Ειδοποίηση απορρήτου εργαζομένων