ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΟΡΓΑΝΙΣΜΟΥ ΑΣΤΙΚΩΝ ΣΥΓΚΟΙΝΩΝΙΩΝ ΑΘΗΝΩΝ (Ο.Α.Σ.Α.) Α.Ε.

  1. ΕΙΣΑΓΩΓΗ

Ο «Οργανισμός Αστικών Συγκοινωνιών Αθηνών (Ο.Α.Σ.Α.) Α.Ε.» (στο εξής «Οργανισμός ή ΟΑΣΑ») είναι επιχείρηση κοινωφελούς χαρακτήρα που ιδρύθηκε ως νομικό πρόσωπο ιδιωτικού δικαίου με τον ν.2175/93 (Α΄211) και υπόκειται νομοθετικά στις διατάξεις των ν. 3920/2011 (Α’ 33), ν. 3429/2005 (Α’ 314), ν. 4389/2016 (Α’ 94) και ν. 4548/2018 (Α’ 104), όπως ισχύουν. Σκοπός του Ο.Α.Σ.Α. είναι ο στρατηγικός και επιχειρησιακός σχεδιασμός, ο συντονισμός και ο έλεγχος του συγκοινωνιακού έργου που εκτελείται από τα μέσα (επίγεια και υπόγεια) μαζικής μεταφοράς στην περιφέρεια Αττικής. Η Ο.Α.Σ.Α. Α.Ε. είναι ο μοναδικός μέτοχος των εταιρειών παροχής συγκοινωνιακού έργου, «ΟΔΙΚΕΣ ΣΥΓΚΟΙΝΩΝΙΕΣ» (Ο.ΣΥ. Α.Ε) αρμόδια για τη λειτουργία των Λεωφορείων και των Τρόλεϊ και «ΣΤΑΘΕΡΕΣ ΣΥΓΚΟΙΝΩΝΙΕΣ» (ΣΤΑ.ΣΥ. Α.Ε), αρμόδια για τη λειτουργία των γραμμών 1 (πρώην ηλεκτρικός σιδηρόδρομος), 2 & 3 του ΜΕΤΡΟ και του Τραμ. Οι τρεις εταιρείες αποτελούν τον Όμιλο Ο.Α.Σ.Α..

Στις 25 Μαΐου 2018 τέθηκε σε πλήρη εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)» (εφεξής: «ΓΚΠΔ»). Για τα μέτρα εφαρμογής του Κανονισμού εκδόθηκε, στην Ελλάδα, ο Ν. 4624/2019 (ΦΕΚ Α΄ 137/29.8.2019) «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις».

Με την παρούσα Πολιτική ο Οργανισμός δεσμεύεται ότι σέβεται την ιδιωτικότητα των φυσικών προσώπων, τα προσωπικά δεδομένα των οποίων επεξεργάζεται (πελάτες, εργαζόμενοι, προμηθευτές και τυχόν λοιπά τρίτα μέρη) και εξειδικεύει τα μέτρα με τα οποία θα ανταποκρίνεται στην ανάγκη για την ουσιαστική προστασία των εν λόγω προσωπικών δεδομένων και την τήρηση με συνέπεια της ως άνω νομοθεσίας.

  1. Ορισμοί

Για τους σκοπούς της παρούσας Πολιτικής ορίζονται ως:

  1. «Ανοικτά δεδομένα»: τα δεδομένα οι πληροφορίες και τα δεδομένα του δημόσιου τομέα που διατίθενται από τη στιγμή της ανάρτησης, δημοσίευσης ή αρχικής διάθεσής τους, ελεύθερα προς περαιτέρω χρήση και αξιοποίηση για εμπορικούς ή μη εμπορικούς σκοπούς, χωρίς να απαιτείται οποιαδήποτε ενέργεια του ενδιαφερομένου ή πράξη της διοίκησης σύμφωνα με το άρ. 2 ΠΔ 28/2015.

  1. «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον, είτε όχι. Ωστόσο, οι δημόσιες Αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες.

  1. «Αρχείο Δραστηριοτήτων Επεξεργασίας (Record of Processing Activities -RPA): το αρχείο που οφείλει να τηρεί ο ΟΑΣΑ ως υπεύθυνος επεξεργασίας σύμφωνα με το άρ. ΓΚΠΔ.

  1. «Γενικές αρχές προστασίας δεδομένων»: Οι αρχές που αναλύονται στο Κεφ. 4 της παρούσας Πολιτικής και διέπουν την επεξεργασία προσωπικών δεδομένων και τις υποχρεώσεις που απορρέουν από αυτές.

  1. «Αυτόματο Σύστημα Συλλογής Κομίστρου» (ΑΣΣΚ): Το ενιαίο Αυτόματο Σύστημα Συλλογής Κομίστρου για τις Εταιρείες του Ομίλου ΟΑΣΑ. Το ΑΣΣΚ, στηρίζεται σε έξυπνες κάρτες, με τις οποίες δίνεται η δυνατότητα ανάπτυξης σύνθετων προϊόντων για την εξυπηρέτηση των αναγκών διαφορετικών κοινωνικών ομάδων με όλα τα μέσα αστικής συγκοινωνίας, επιτρέπεται η εφαρμογή ενιαίας τιμολογιακής πολιτικής σε όλα τα συγκοινωνιακά μέσα, διασφαλίζονται τα έσοδα των εταιριών αστικών συγκοινωνιών, δίνεται η δυνατότητα ποσοτικής και ποιοτικής μέτρησης του μεταφορικού έργου.

  1. «Βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.

  1. «Γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.

  1. «Δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

  1. «Δεδομένα προσωπικού χαρακτήρα / προσωπικά δεδομένα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («Υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε αναγνωριστικό ταυτότητας σε απ’ ευθείας σύνδεση (on-line ID) ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

  1. «Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα»: δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

  1. «Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό των Υπευθύνων Επεξεργασίας, όπως αυτοί ορίζονται ανωτέρω.

  1. «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

  1. «Εποπτική Αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

  1. «Κλειστό κύκλωμα τηλεόρασης (CCTV)»: Σύστημα επιτήρησης χώρου με δυνατότητα καταγραφής εικόνας και ήχου.

  1. «Κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

  1. «Παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

  1. «Περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.

  1. «Προσωπικό του ΟΑΣΑ»: οι εργαζόμενοι στον ΟΑΣΑ με εξηρτημένη σχέση εργασίας, καθώς και οι προσωρινώς εργαζόμενοι, υπεργολάβοι, σύμβουλοι και τρίτοι με τους οποίους έχουν συναφθεί συμβάσεις εμπιστευτικότητας ή δεσμεύονται με επαγγελματικό απόρρητο.

  1. «Συγκατάθεση» του Υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το Υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

  1. «Σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο, είτε αποκεντρωμένο, είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.

  1. «Σύστημα Τηλεματικής» το σύστημα που καταγράφει το στίγμα της γεωγραφικής θέσης εκάστου οχήματος που αποτελεί τον στόλο της ΟΣΥ και επιτρέπει την παρακολούθηση του στόλου σε πραγματικό χρόνο.

  1. «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια Αρχή, υπηρεσία ή φορέας, με εξαίρεση το Υποκείμενο των δεδομένων, τον Υπεύθυνο Επεξεργασίας, τον Εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

  1. «Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, που, μόνο ή από κοινού με άλλα, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

  1. «Υπεύθυνος Προστασίας Δεδομένων» (ΥΠΔ): είναι το προβλεπόμενο πρόσωπο στα άρ. 37 κ.επ. ΓΚΠΔ. Ο ΟΑΣΑ ορίζει έναν ΥΠΔ για τον Οργανισμό. Ο ΥΠΔ του ΟΑΣΑ θα αναφέρεται στο Διευθύνοντα Σύμβουλο που θα εξασφαλίζει ότι ο ΥΠΔ δύναται να επιτελεί τα καθήκοντά του και ότι του παρέχονται οι απαραίτητοι πόροι προκειμένου να ανταποκριθεί στις υποχρεώσεις εκ του ΓΚΠΔ.

  1. «Ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο Υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

  1. ΣΚΟΠΟΣ – ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

Ο Οργανισμός είναι ιδιαιτέρως ευαισθητοποιημένος αναφορικά με τη διασφάλιση των προσωπικών δεδομένων. Η επεξεργασία τους σύμφωνα με τις βέλτιστες παγκόσμιες πρακτικές αποτελεί ουσιαστικό μέρος των στρατηγικών του έναντι των πελατών, των εργαζομένων και όλων των ενδιαφερομένων.

Οι βασικοί σκοποί της παρούσας Πολιτικής συνίστανται στα κάτωθι:

  1. Να δηλωθεί η δέσμευση του Οργανισμού ως προς την συμμόρφωσή του με την κείμενη νομοθεσία και τις Γενικές Αρχές Προστασίας Δεδομένων (κατωτ. Κεφ. 4) για την αποτελεσματικότερη και νομότυπη διαχείριση των προσωπικών δεδομένων, ιδίως μέσω των μέσων της πληροφορικής.

  1. Να παράσχει γενικές οδηγίες για τα θέματα προστασίας των προσωπικών δεδομένων που σχετίζονται με τη συλλογή, χρήση, επεξεργασία, αποκάλυψη, παρακολούθηση κλπ., των προσωπικών δεδομένων που επεξεργάζεται ο Οργανισμός, εξασφαλίζοντας συγκεκριμένο επίπεδο ευαισθητοποίησης του προσωπικού του ΟΑΣΑ.

  1. Να ορίσει τις βασικές απαιτήσεις που πρέπει να τηρούνται κατά την επεξεργασία των προσωπικών δεδομένων, λαμβάνοντας υπ’ όψιν τις διατάξεις του ΓΚΠΔ και του Ν. 4624/2019 και να ανταποκριθεί στην εκ του νόμου υποχρέωση καταγραφής των δραστηριοτήτων επεξεργασίας.

Η παρούσα Πολιτική αναμένεται να υλοποιηθεί σε συνδυασμό με:

  1. Τις Οδηγίες του ΕΣΠΔ,

  1. Τις Οδηγίες της ΑΠΔΠΧ,

  1. Τον Γενικό και τον υπηρεσιακό κανονισμό του ΟΑΣΑ,

  1. Τις επιμέρους διαδικασίες για την διαχείριση χρηστών και την παροχή δικαιωμάτων πρόσβασης σε δεδομένα και εφαρμογές κ.α.

Η παρούσα Πολιτική καταλαμβάνει τον ΟΑΣΑ και το Προσωπικό του και την επεξεργασία όλων των δεδομένων από τον ίδιο τον ΟΑΣΑ ή από τρίτους για λογαριασμό του.

  1. ΕΝΑΡΞΗ ΙΣΧΥΟΣ

Η παρούσα Πολιτική ισχύει από την 01/11/2019

Η Πολιτική θα επανεξετάζεται τουλάχιστον ανά έτος και κάθε φορά που θα χρειαστεί να συμπεριληφθούν οι εξελίξεις της νομοθεσίας, της νομολογίας ή/και οι βέλτιστες πρακτικές, στην στρατηγική και την οργάνωση του Οργανισμού.

  1. ΑΡΧΕΣ ΠΟΥ ΔΙΕΠΟΥΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΠΟΥ ΑΠΟΡΡΕΟΥΝ ΑΠΟ ΑΥΤΕΣ

  1. Γενικές αρχές προστασίας δεδομένων

Όταν ο Οργανισμός προβαίνει σε επεξεργασία προσωπικών δεδομένων εφαρμόζει με συνέπεια τις κάτωθι γενικές αρχές, σύμφωνα με τις οποίες:

  1. Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία («αρχή της νομιμότητας και της αντικειμενικότητας»).

  1. Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται μόνο για περιορισμένους, σαφώς προσδιορισμένους και νόμιμους σκοπούς, η δε επεξεργασία τους δεν πρέπει να γίνεται κατά τρόπο ασύμβατο με τους σκοπούς αυτούς («αρχή του περιορισμού του σκοπού»).

  1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, σχετικά και όχι υπερβολικά σε σχέση με το σκοπό που δικαιολογεί την επεξεργασία τους («αρχή της ελαχιστοποίησης των δεδομένων»).

  1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και να επικαιροποιούνται, όταν αυτό είναι απαραίτητο («αρχή της ακρίβειας»).

  1. Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να διατηρούνται για χρονικό διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για την επεξεργασία τους («αρχή του περιορισμού της περιόδου αποθήκευσης»).

  1. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πρέπει να γίνεται με σεβασμό στα δικαιώματα του Υποκειμένου επεξεργασίας, ιδίως στο δικαίωμα ενημέρωσης, πρόσβασης και αντίρρησης του Υποκειμένου στα δεδομένα που το αφορούν («αρχή της διαφάνειας»).

  1. Ως προς τα δεδομένα προσωπικού χαρακτήρα, πρέπει να λαμβάνονται κατάλληλα μέτρα ασφάλειας για την προστασία, είτε από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, είτε από τυχαία απώλεια, καταστροφή ή φθορά («αρχή της ακεραιότητας και της εμπιστευτικότητας»).

  1. Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να διαβιβάζονται σε άλλες χώρες, οι οποίες δεν παρέχουν επαρκές επίπεδο προστασίας των δικαιωμάτων του Υποκειμένου («αρχή της ασφαλούς διαβίβασης»).

  1. Γενική αρμοδιότητα για την συμμόρφωση με τις ως άνω αρχές:

  1. Το σύνολο του προσωπικού του ΟΑΣΑ έχει ενημερωθεί για την παρούσα Πολιτική και τις ως άνω Γενικές αρχές και θα επεξεργάζεται τα προσωπικά δεδομένα μόνο για τους ως άνω νόμιμους σκοπούς και μόνον για την εκτέλεση των καθηκόντων τους.

  1. Ο ΥΠΔ παρέχει την ως άνω ενημέρωση και εξασφαλίζει ότι το προσωπικό έχει εκπαιδευθεί επαρκώς για την κατά τα ανωτέρω διαχείριση προσωπικών δεδομένων.

  1. Εντός των καθηκόντων του (κατωτ. Κεφ 17) ο ΥΠΔ εφαρμόζει και τεκμηριώνει όλες τις απαραίτητες διαδικασίες προκειμένου η επεξεργασία να είναι σύμφωνη με τις ανωτέρω γενικές αρχές.

  1. Ο ΥΠΔ είναι υπεύθυνος για την εφαρμογή και την ερμηνεία της παρούσας Πολιτικής.

  1. Λογοδοσία

Ο Οργανισμός διασφαλίζει ότι είναι σε θέση να αποδείξει επαρκώς τη συμμόρφωσή του με τις αρχές περί προστασίας της ιδιωτικότητας και των προσωπικών δεδομένων. Για το σκοπό αυτό, έχουν καθιερωθεί και διατηρούνται σαφείς τομείς ευθύνης, εσωτερικοί και εξωτερικοί έλεγχοι, καθώς και έλεγχος της επεξεργασίας όλων των προσωπικών δεδομένων.

Ο Οργανισμός επιδιώκει να τεκμηριώνει όλες τις διαδικασίες και τρόπους ενέργειας που στοχεύουν στην αντιμετώπιση προβλημάτων προστασίας δεδομένων σε πρώιμη κατάσταση κατά την κατασκευή συστημάτων πληροφοριών ή την αντιμετώπιση παραβιάσεων δεδομένων.

Η αρχή της υποχρέωσης λογοδοσίας ορίζει ότι όσο πιο πιθανοί και σοβαροί είναι οι κίνδυνοι που σχετίζονται με την υπό κρίση κάθε φορά επεξεργασία δεδομένων, τόσο σοβαρότερα είναι τα μέτρα που πρέπει να λαμβάνονται για την εξουδετέρωσή τους. Ο Οργανισμός λαμβάνει υπ’ όψιν τους παράγοντες που συνιστούν επικίνδυνη επεξεργασία, όπως:

  1. κινδύνους που ενδέχεται να προκαλέσουν διακρίσεις, υποκλοπή ταυτότητας ή απάτη,

  1. κινδύνους που μπορεί να προκαλέσουν βλάβη της φήμης ή οποιοδήποτε άλλο οικονομικό / κοινωνικό μειονέκτημα.

  1. ΝΟΜΙΚΗ ΒΑΣΗ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Ο Οργανισμός οφείλει να θεμελιώνει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σε μία από τις παρακάτω νομικές βάσεις που αποτελούν, κατά περίπτωση και με την επιφύλαξη ειδικότερων διατάξεων της εκάστοτε ισχύουσας νομοθεσίας, νόμιμους σκοπούς επεξεργασίας:

  1. Η επεξεργασία βασίζεται στη Συγκατάθεση του Υποκειμένου των δεδομένων. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στη Συγκατάθεση του Υποκειμένου των δεδομένων, ο Οργανισμός διασφαλίζει πάντοτε ότι η συγκατάθεση λαμβάνεται κατά τις επιταγές του ΓΚΠΔ από τα Υποκείμενα των δεδομένων. Ειδικά για τις σχέσεις με τους εργαζομένους η επεξεργασία με βάση την συγκατάθεση θα πραγματοποιείται μόνον κατ’ εξαίρεση και υπό τις προϋποθέσεις του άρ. 27 παρ. 2 Ν. 4624/2019.

  1. Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης.

  1. Η επεξεργασία είναι απαραίτητη για να πραγματοποιηθούν ενέργειες κατ' αίτηση του Υποκειμένου των δεδομένων κατά το προσυμβατικό στάδιο.

  1. Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση του Οργανισμού με υποχρεώσεις που επιβάλλονται από την εκάστοτε ισχύουσα νομοθεσία.

  1. Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του Υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, όπως λ.χ. για την προστασία της ζωής ή της υγείας φυσικού προσώπου που τίθεται σε άμεσο κίνδυνο, για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή στις περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.

  1. Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον Οργανισμό.

  1. Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει o Οργανισμός.

  1. ΑΠΑΡΑΙΤΗΤΕΣ ΠΛΗΡΟΦΟΡΙΕΣ ΠΟΥ ΠΑΡΕΧΟΝΤΑΙ ΣΤΟ ΥΠΟΚΕΙΜΕΝΟ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΤΟΥ ΔΕΔΟΜΕΝΩΝ

Με την παρούσα Πολιτική τα Υποκείμενα των δεδομένων ενημερώνονται επαρκώς και σαφώς ως προς τις διαδικασίες προστασίας των προσωπικών δεδομένων που εφαρμόζει ο Οργανισμός και ειδικότερα για όλες τις λεπτομέρειες που αφορούν την επεξεργασία των προσωπικών τους δεδομένων σύμφωνα με τα κατωτέρω. Σημειώνεται ότι Οργανισμός συλλέγει δεδομένα μόνον από τα ίδια τα Υποκείμενα, :

  1. Υπεύθυνος Επεξεργασίας, είναι ο Οργανισμός: «Οργανισμός Αστικών Συγκοινωνιών Αθηνών (Ο.Α.Σ.Α.) Α.Ε.», με έδρα την Αθήνα, οδός Μετσόβου αρ. 15, Τηλέφωνο: 210 82 00 979 - 210 82 00 015, 210 82 00 958 Φαξ: 210 82 12 219, Email: oasa@oasa.gr

  1. τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων, είναι dpo@oasa.gr , Τηλέφωνο: 210 82 00 943.

  1. σκοποί της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και νομική βάση για την εκάστοτε επεξεργασία, είναι οι ακόλουθοι:

ΔΕΔΟΜΕΝΑ

ΣΚΟΠΟΣ

ΝΟΜΙΚΗ ΒΑΣΗ

Εργαζομένων

Επεξεργασία για την Διοικητική Λειτουργία του Οργανισμού και την μισθοδοσία των εργαζομένων

Άρθρο 6 παρ. 1 περ. β του ΓΚΠΔ, (εκτέλεση της σύμβασης εργασίας που συνάπτεται μεταξύ του ΟΑΣΑ και του προσλαμβανόμενου υπαλλήλου (αρ. 13 N. 3429/2005) και για την εφαρμογή των διατάξεων του Υπαλληλικού Κώδικα (Ν. 3528/2007)

Επιβατών

Λειτουργία Ηλεκτρονικού Εισιτηρίου και έκδοση Καρτών (ΑΣΣΚ)

Η σύμβαση μεταφοράς με τον επιβάτη (6§1 περ. β’ ΓΚΠΔ)

Επιβατών

Έλεγχος Κομίστρου / Επιβολή προστίμων

Η σύμβαση μεταφοράς με τον επιβάτη (6§1 περ. β’ ΓΚΠΔ)

Παραπονούμενοι επιβάτες

Διαχείριση παραπόνων

Εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον (6§1 περ. ε’ ΓΚΠΔ)

Παραβατών Λεωφορειολωρίδων

Διαχείριση φωτογραφιών καταγραφής παραβάσεων Λεωφορειολωρίδων

Ο ΟΑΣΑ ενεργεί ως Εκτελών την επεξεργασία για λογαριασμό της Ελληνικής Αστυνομίας

Εργαζομένων και επισκεπτών του κτιρίου

Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV)

Άρθρο 6 παρ. 1 περ. στ: η επεξεργασία είναι απαραίτητη για την εκπλήρωση των εννόμων συμφερόντων που επιδιώκει ο ΟΑΣΑ

  1. τα έννομα συμφέροντα που επιδιώκει ο Οργανισμός είναι τα ακόλουθα:

Σχεδιασμός, προγραμματισμός, οργάνωση, συντονισμός και έλεγχος του παρεχόμενου Συγκοινωνιακού Έργου στην περιοχή αρμοδιότητας του, με γνώμονα την παροχή επαρκούς ποσότητας και ποιότητας υπηρεσιών στο επιβατικό κοινό όπως ενδεικτικά: προώθηση πωλήσεων, προγραμματισμός, είσπραξη και έλεγχοι του κομίστρου, Παροχή υπηρεσιών συγκοινωνιακών πληροφοριών προς τους πολίτες.

  1. αποδέκτες των δεδομένων είναι:

α)Δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στους οποίους κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, για διοικητικούς ή υπηρεσιακούς σκοπούς.

β)Η Ανώνυμη Εταιρεία Παροχής Υπηρεσιών Ηλεκτρονικού Εισιτηρίου – Hellas Smarticket με το διακριτικό τίτλο «HST Α.Ε.». Η HST έχει αναλάβει, τη μελέτη, χρηματοδότηση, εγκατάσταση, υποστήριξη λειτουργίας, συντήρηση και τεχνική διαχείριση του Ενιαίου Αυτόματου Συστήματος Συλλογής Κομίστρου (ΑΣΣΚ) για τις εταιρείες του Ομίλου ΟΑΣΑ η εν λόγω Εταιρεία επιτελεί ρόλο «Εκτελούντος την Επεξεργασία» κατά την έννοια του άρ. 4 στ. 8 του ΓΚΠΔ,

γ)Η εταιρεία INFORM P. LYKOS S.A. στην οποία αποστέλλονται σε ηλεκτρονικό αρχείο τα αιτήματα έκδοσης καρτών, για την πλήρωση των αναγκών εκτύπωσης, εμφακέλλωσης και αποστολής. Ομοίως η εν λόγω Εταιρεία επιτελεί ρόλο «Εκτελούντος την Επεξεργασία» κατά την έννοια του άρ. 4 στ. 8 του ΓΚΠΔ,

δ)Η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης Α.Ε. «ΗΔΙΚΑ» που έχει αναλάβει την αυτόματη επαλήθευση των δεδομένων που έχει καταχωρίσει το Υποκείμενο των δεδομένων για την προσωποποίηση της κάρτας διέλευσης με δικαίωμα ελεύθερης ή μειωμένης μετακίνησης (άνεργοι, ΑΜΕΑ). Σημειώνεται ότι τα δεδομένα αυτά δεν καταχωρίζονται σε αρχείο του ΟΑΣΑ. Η εν λόγω Εταιρεία επιτελεί επίσης ρόλο «Εκτελούντος την Επεξεργασία» κατά την έννοια του άρ. 4 στ. 8 του ΓΚΠΔ.

ε)Η εταιρεία The Records Hub SA που έχει αναλάβει την ψηφιοποίηση και φύλαξη του φυσικού αρχείου του Οργανισμού. Η εν λόγω Εταιρεία επιτελεί επίσης ρόλο «Εκτελούντος την Επεξεργασία» κατά την έννοια του άρ. 4 στ. 8 του ΓΚΠΔ

  1. τα δικαιώματα των Υποκειμένων των δεδομένων (κατωτ. Κεφ 7),

  1. όταν η επεξεργασία βασίζεται στην παροχή Συγκατάθεσης, το δικαίωμα ανάκλησης της Συγκατάθεσης των Υποκειμένων οποτεδήποτε, καθώς και τις συνέπειες τέτοιας ανάκλησης,

  1. το δικαίωμα υποβολής καταγγελίας στην ΑΠΔΠΧ, και τη διεύθυνση κλπ στοιχεία όπου υποβάλλεται η καταγγελία.

  1. ΙΚΑΝΟΠΟΙΗΣΗ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Ο Οργανισμός ικανοποιεί και διευκολύνει τα Υποκείμενα των δεδομένων να ασκούν τα παρακάτω δικαιώματα:

  1. Δικαίωμα πρόσβασης

Το Υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει, ανά πάσα στιγμή, επιβεβαίωση από τον Οργανισμό για το εάν και κατά πόσο τα προσωπικά δεδομένα του υποβάλλονται σε επεξεργασία και, σε αυτή την περίπτωση. Ο ΟΑΣΑ αναγνωρίζει ότι η πρόσβαση θα πρέπει να παρέχεται χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός ενός μηνός.

  1. Δικαίωμα διόρθωσης

Το Υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει, χωρίς αδικαιολόγητη καθυστέρηση από τον Οργανισμό τη διόρθωση ανακριβών ή ανεπίκαιρων δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επίσης, έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Περαιτέρω, ο Οργανισμός αναλαμβάνει την υποχρέωση να ανακοινώνει κάθε διόρθωση δεδομένων προσωπικού χαρακτήρα σε κάθε αποδέκτη, στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο Οργανισμός αναλαμβάνει την υποχρέωση να ενημερώνει το Υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον ζητηθεί από αυτό.

  1. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Το Υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον Οργανισμό και υπό τις προϋποθέσεις του άρ. 18 του ΓΚΠΔ τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν, το οποίο θα ικανοποιείται χωρίς αδικαιολόγητη καθυστέρηση.

  1. Δικαίωμα περιορισμού της επεξεργασίας

Το Υποκείμενο των δεδομένων δικαιούται να ζητήσει από τον Οργανισμό τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν υπό τις προϋποθέσεις του αρ. 21 ΓΚΠΔ. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιοριστεί, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία αποκλειστικά μόνο για συγκεκριμένες εξαιρέσεις.

  1. Δικαίωμα στη φορητότητα των δεδομένων

Το Υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει στον Οργανισμό σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο (machine readable format) ανάλογα με την εφαρμογή επεξεργασίας (pdf, xlsx, docx, html, tiff), υπό τις προϋποθέσεις του άρ. 20 ΓΚΠΔ.

  1. Δικαίωμα εναντίωσης

Το Υποκείμενο των δεδομένων δικαιούται να εναντιωθεί, ανά πάσα στιγμή, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός όταν αυτή είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον Οργανισμό ή όταν η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο Οργανισμός. Μόλις ασκηθεί το δικαίωμα εναντίωσης, τα προσωπικά δεδομένα δεν υποβάλλονται πλέον σε επεξεργασία, εκτός εάν αποδεικνύεται η ύπαρξη νόμιμων και επιτακτικών λόγων για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του Υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Ο Οργανισμός εγγυάται ότι, εάν το Υποκείμενο εναντιωθεί στην επεξεργασία δεδομένων που το αφορούν, δεν υποβάλλει πλέον τα εν λόγω δεδομένα σε επεξεργασία, πλην των ως άνω περιπτώσεων.

  1. Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

Το Υποκείμενο των δεδομένων διατηρεί το δικαίωμα, υπό τις προϋποθέσεις του άρ. 22 ΓΚΠΔ να εναντιωθεί σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, όταν η απόφαση αυτή παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζουν σημαντικά. Ο Οργανισμός δεν προβαίνει στην παρούσα χρονική περίοδο σε αυτοματοποιημένη ατομική λήψη αποφάσεων. Σε κάθε, όμως, περίπτωση και εφόσον στο μέλλον αποφασίσει να προχωρήσει σε αυτοματοποιημένη ατομική λήψη αποφάσεων, θα ικανοποιεί το εν λόγω δικαίωμα.

  1. Γενική διασφάλιση των δικαιωμάτων των Υποκειμένων

Συνολικά ο Οργανισμός διασφαλίζει ότι:

  1. Καθορίζονται και υιοθετούνται διαδικασίες που θα επιτρέπουν την εύκολη άσκηση των δικαιωμάτων των Υποκειμένων των δεδομένων, ώστε να λαμβάνονται αμέσως όλες οι απαιτούμενες ενέργειες.

  1. Τα Υποκείμενα δεδομένων λαμβάνουν πληροφορίες σχετικά με τις ενέργειες που έχουν αναληφθεί.

  1. Τα Υποκείμενα των δεδομένων γνωρίζουν τις λεπτομέρειες άσκησης των ως άνω δικαιωμάτων.

  1. Εκτός αν προκύψουν εξαιρετικές περιστάσεις, όλες οι ενέργειες που αφορούν θέματα ικανοποίησης δικαιωμάτων των Υποκειμένων των δεδομένων πραγματοποιούνται χωρίς κόστος για τα Υποκείμενα.

  1. ΕΞΕΙΔΙΚΕΥΜΕΝΕΣ ΕΠΕΞΕΡΓΑΣΙΕΣ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΟΝ ΟΑΣΑ

  1. ΔΕΔΟΜΕΝΑ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ

Η ιδιωτικότητα και η προστασία των προσωπικών δεδομένων των εργαζομένων είναι ιδιαίτερα σημαντική για τον ΟΑΣΑ. Ο Οργανισμός λαμβάνει όλα τα απαραίτητα μέτρα προκειμένου να υιοθετήσει την προσήκουσα νομική βάση για τη συλλογή, τη χρήση, την επεξεργασία και την ανταλλαγή προσωπικών δεδομένων των εργαζομένων με τον τρόπο που ορίζεται στην παρούσα Πολιτική Προστασίας Δεδομένων και τη νομοθεσία για την προστασία των προσωπικών δεδομένων καθώς και την κείμενη εργατική, φορολογική και κοινωνικοασφαλιστική νομοθεσία.

Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων συμπληρώνει, αλλά δεν υποκαθιστά, ούτε αντικαθιστά άλλες συγκαταθέσεις που ενδεχομένως είχαν παρασχεθεί προηγουμένως στον Οργανισμό και δεν επηρεάζει οποιαδήποτε δικαιώματα που μπορεί να έχουν οι εργαζόμενοι κατά νόμο σε σχέση με τη συλλογή, χρήση και επεξεργασία των προσωπικών τους δεδομένων. Η συγκεκριμένη Πολιτική περιγράφει τον τρόπο με τον οποίο ο ΟΑΣΑ διαχειρίζεται τα προσωπικά δεδομένα των εργαζομένων σε σχέση με την απασχόληση ή την ενδεχόμενη απασχόλησή τους στον ΟΑΣΑ. Ειδικότερα:

  1. Ανά τακτά χρονικά διαστήματα μπορεί να καταστεί απαραίτητο οι εργαζόμενοι να παράσχουν στον Οργανισμό προσωπικά δεδομένα σχετικά με τον εαυτό τους και πρόσωπα της οικογενείας τους ή του οικογενειακού τους περιβάλλοντος, για σκοπούς που σχετίζονται με την απασχόληση, την κείμενη νομοθεσία, ή την αίτησή τους για πρόσληψη στον Οργανισμό.

  1. Εάν η αίτηση για πρόσληψη γίνει δεκτή, προσωπικά δεδομένα σχετικά με τον αιτούντα και άτομα της οικογενείας του μπορούν να ζητηθούν από τον εργαζόμενο και κατά τη διάρκεια της περιόδου απασχόλησης στον Οργανισμό.

  1. Όταν τα προσωπικά δεδομένα υποβάλλονται από έναν εργαζόμενο για λογαριασμό άλλου φυσικού προσώπου ή αφορούν άλλο άτομο εκτός από εκείνον, ο εργαζόμενος πρέπει να δηλώνει και να εγγυάται στον Οργανισμό ότι όλες οι απαραίτητες Συγκαταθέσεις (που έχουν παρασχεθεί σύμφωνα με την ισχύουσα νομοθεσία προστασίας δεδομένων, για τους σκοπούς που αναφέρονται στα σχετικά κεφάλαια της παρούσας Πολιτικής) έχουν ληφθεί από τα συγκεκριμένα πρόσωπα και ο εργαζόμενος έχει διατηρήσει την απόδειξη αυτών των Συγκαταθέσεων, η οποία πρέπει να παρέχεται στον Οργανισμό κατόπιν αιτήσεώς του.

  1. Παραδείγματα Προσωπικών Δεδομένων, τα οποία οι εργαζόμενοι μπορεί να ζητηθεί να παράσχουν στον Οργανισμό περιλαμβάνουν:

  1. το ονοματεπώνυμο, το δελτίο αστυνομικής ταυτότητας ή το διαβατήριο, τον αριθμό τηλεφώνου, τη διεύθυνση αλληλογραφίας, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και κάθε άλλη πληροφορία σχετικά με τον υπάλληλο,

  1. το ιστορικό απασχόλησης του εργαζόμενου, το υπόβαθρο εκπαίδευσης, τα σχετικά πτυχία και πιστοποιητικά και τα επίπεδα εισοδήματος,

  1. τα δεδομένα που απαιτούνται από το νόμο, όπως τον ΑΦΜ, τον αριθμό κοινωνικής ασφάλισης (ΑΜΚΑ) και παρόμοια.

  1. Ο Οργανισμός μπορεί να συλλέγει, να χρησιμοποιεί ή/και να επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων για τους ακόλουθους σκοπούς:

  1. Αξιολόγηση της καταλληλότητας για πρόσληψη σε συγκεκριμένες θέσεις.

  1. Καθορισμός, επεξεργασία και αναθεώρηση των μισθών, αμοιβών, των κινήτρων, αποδοχών και άλλων παροχών.

  1. Αξιολόγηση (μη αυτοματοποιημένη) της απόδοσης του εργαζομένου.

  1. Εξέταση και επεξεργασία αιτήσεων για συνεχή ανάπτυξη δεξιοτήτων και κατάρτιση, συμπεριλαμβανομένης της συμμετοχής σε σεμινάρια, προγράμματα κατάρτισης και ανάπτυξης του προσωπικού.

  1. Παροχή στον εργαζόμενο των απαραίτητων πόρων και βοήθειας σε σχέση με την εκτέλεση των καθηκόντων του (συμπεριλαμβανομένων, ενδεικτικά, των ταξιδιωτικών διευθετήσεων για λογαριασμό των εργαζομένων).

  1. Παρακολούθηση της συμμόρφωσης με τους εσωτερικούς κανόνες και πολιτικές του Οργανισμού.

  1. Προστασία και υλοποίηση των συμβατικών και νομικών δικαιωμάτων και υποχρεώσεων του Οργανισμού.

  1. Οποιονδήποτε άλλο σκοπό ορίζεται στη σύμβαση εργαζομένου – εργοδότη, σύμφωνα με το εφαρμοστέο δίκαιο.

  1. Οποιοδήποτε άλλο σκοπό σχετίζεται εύλογα με τα προαναφερθέντα.

  1. Οι εργαζόμενοι οφείλουν να εξασφαλίζουν ότι όλα τα προσωπικά δεδομένα που υποβάλλονται στον Οργανισμό είναι πλήρη, ακριβή, αληθή και σωστά και να ενημερώνουν για τυχόν μεταβολές.

  1. ΣΥΣΤΗΜΑ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΙΣΙΤΗΡΙΟΥ (Ενιαίο Αυτόματο Σύστημα Συλλογής Κομίστρου / ΑΣΣΚ)

  1. Το ΑΣΣΚ περιλαμβάνει την έκδοση ηλεκτρονικών καρτών για όλα τα μέσα μαζικής μεταφοράς (λεωφορεία, τρόλεϊ, μετρό, τραμ και προαστιακό) στην ευρύτερη περιοχή της Αθήνας. Οι ηλεκτρονικές κάρτες αντικατέστησαν πλήρως τα χάρτινα εισιτήρια, τις κάρτες απεριορίστων διαδρομών και τις κάρτες δικαιούχων μετακίνησης και υποστηρίζουν δύο τύπους κομίστρου: της «Προσωποποιημένης Κάρτας», του «Πολλαπλού Εισιτηρίου» και της «Απρόσωπης Κάρτας».

  1. Ειδικά, στο πλαίσιο της Προσωποποιημένης Κάρτας απαιτείται η ταυτοποίηση του Υποκειμένου των δεδομένων. Σκοπός είναι να παρέχεται η χρήση των προϊόντων απεριορίστων διαδρομών (μηνιαίες, ετήσιες κάρτες κ.λπ.), το δικαίωμα έκπτωσης στις κατηγορίες των επιβατών που το δικαιούνται (λ.χ. έκπτωση λόγω έκδοσης μηνιαίας κάρτας, φοιτητικής ιδιότητας κ.λπ.), να μην εκδίδονται πολλαπλές κάρτες ανά άτομο, καθώς και να επιτρέπεται στους χρήστες να ζητούν την ακύρωση μιας απολεσθείσας ή κλαπείσας κάρτας.

  1. Η χρήση του ηλεκτρονικού εισιτηρίου παρέχει επίσης τη δυνατότητα στον ΟΑΣΑ να γνωρίζει επακριβώς το πλήθος των μετακινήσεων για εκείνες τις κατηγορίες επιβατών, για τους οποίους είναι υποχρεωμένοι οι Δημόσιοι Φορείς, υπό την εποπτεία των οποίων βρίσκονται οι εν λόγω δικαιούχοι, να αποζημιώνουν τον ΟΑΣΑ για το μεταφορικό έργο που παρέχει (π.χ. το Υπουργείο Παιδείας για τους φοιτητές κ.λπ.).

  1. Ως εκ των ανωτέρω πραγματοποιείται συλλογή και επεξεργασία προσωπικών δεδομένων των επιβατών που αιτούνται και χρησιμοποιούν την «Προσωποποιημένη Κάρτα» για τους ακόλουθους σκοπούς:

α)Αποφυγή επιβίβασης σε μέσο μεταφοράς χωρίς την καταβολή του προβλεπόμενου κομίστρου,

β)Παροχή νέων υπηρεσιών στο επιβατικό κοινό όπως:

i)έκδοση νέας κάρτας - σε περίπτωση απώλειας για οποιοδήποτε λόγο - με μεταφορά του υπολειπόμενου προ-πληρωμένου ποσού στη νέα κάρτα,

ii)δυνατότητα αγοράς προϊόντων κομίστρου και μέσω διαδικτύου.

γ)Διευκόλυνση της διαδικασίας ελέγχου παραβάσεων και επιβολής προστίμου.

δ)Παροχή δυνατότητας στον ΟΑΣΑ να εξάγει στατιστικές πληροφορίες προκειμένου να βελτιώσει τις παρεχόμενες υπηρεσίες.

  1. Σύστημα Τηλεματικής

Η χρήση της τηλεματικής παρέχει τη δυνατότητα στον ΟΑΣΑ να γνωρίζει επακριβώς την εκτέλεση του συγκοινωνιακού έργου, την παρακολούθηση και την αλληλεπίδραση της λειτουργίας των οχημάτων, αλλά και της εν γένει πληροφόρησης του επιβατικού κοινού σε πραγματικό χρόνο για την εκτέλεση των δρομολογίων.

Το σύστημα της τηλεματικής χρησιμοποιεί μη προσωποποιημένα δεδομένα των οδηγών και το στίγμα του στόλου οχημάτων της ΟΣΥ και η χρήση τους είναι για υπηρεσιακούς σκοπούς της εκτέλεσης του μεταφορικού έργου.

  1. Κλειστό κύκλωμα τηλεόρασης (CCTV)

Ο ΟΑΣΑ, συλλέγει κι επεξεργάζεται προσωπικά δεδομένων και συγκεκριμένα δεδομένα εικόνας, μέσω συστήματος κλειστού κυκλώματος τηλεόρασης, με αποκλειστικό σκοπό την προστασία και ασφάλεια προσώπων και αγαθών του Οργανισμού.

Ο ΟΑΣΑ έχει προβλέψει τα ακόλουθα:

  1. Το σύστημα CCTV δεν αποσκοπεί στη λήψη ή σε άλλη επεξεργασία εικόνων που αποκαλύπτουν «ειδικές κατηγορίες δεδομένων».

  1. Οι κάμερες του κλειστού κυκλώματος τηλεόρασης είναι σταθερές, δεν έχουν δυνατότητα στρέψης και εστίασης σε πραγματικό χρόνο.

  1. Το σύστημα CCTV δεν έχει τη δυνατότητα επεξεργασίας δεδομένων ήχου.

  1. Η διάρκεια αποθήκευσης των δεδομένων του CCTV περιορίζεται σε χρονικό διάστημα μικρότερο των επτά (7) ημερών.

  1. Η πρόσβαση στα δεδομένα του κλειστού κυκλώματος τηλεόρασης περιορίζεται αυστηρά σε μικρό αριθμό σαφώς καθορισμένων χρηστών του Οργανισμού.

  1. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ ΩΣ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ

  1. Τήρηση αρχείων των δραστηριοτήτων επεξεργασίας

Ο Οργανισμός τηρεί Αρχείο των Δραστηριοτήτων Επεξεργασίας (Record of Processing Activities RPA), στις οποίες προβαίνει σύμφωνα με το άρθρο 30 ΓΚΠΔ, ανεξάρτητα από τον αριθμό των ατόμων που απασχολεί, αναγνωρίζοντας ότι η επεξεργασία, στην οποία προβαίνει, δεν είναι περιστασιακή και αφορά ειδικές κατηγορίες δεδομένων. Το αρχείο αυτό τηρείται εγγράφως και οπωσδήποτε σε ηλεκτρονική μορφή, τίθεται δε στη διάθεση της ΑΠΔΠΧ κατόπιν σχετικού αιτήματός της.

Ι.Το αρχείο που τηρεί ο Οργανισμός ως Υπεύθυνος Επεξεργασίας, περιλαμβάνει υποχρεωτικά τις ακόλουθες πληροφορίες:

  1. το όνομα και τα στοιχεία επικοινωνίας του ΟΑΣΑ ως Υπευθύνου Επεξεργασίας και, κατά περίπτωση, τυχόν από κοινού Υπευθύνου Επεξεργασίας και του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ),

  1. στοιχεία τυχόν Εκτελούντων την επεξεργασία,

  1. τους σκοπούς της επεξεργασίας,

  1. περιγραφή των κατηγοριών των Υποκειμένων των δεδομένων και περιγραφή των κατηγοριών των δεδομένων προσωπικού χαρακτήρα,

  1. τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων τυχόν αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,

  1. όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και όποτε κρίνεται απαραίτητο και της τεκμηρίωσης των κατάλληλων εγγυήσεων,

  1. όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,

  1. όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που λαμβάνονται.

ΙΙ.Όταν ο Οργανισμός λειτουργεί ως Εκτελών την επεξεργασία, το αρχείο του Οργανισμού και του Υπευθύνου Επεξεργασίας περιλαμβάνει υποχρεωτικά τις ακόλουθες πληροφορίες:

  1. το όνομα και τα στοιχεία επικοινωνίας του Οργανισμού ως Εκτελούντος την επεξεργασία και των Υπευθύνων Επεξεργασίας, εκ μέρους των οποίων ενεργεί ο Οργανισμός, καθώς και του Υπευθύνου Προστασίας Δεδομένων,

  1. τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε Υπευθύνου Επεξεργασίας,

  1. όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και όποτε κρίνεται απαραίτητο και της τεκμηρίωσης των κατάλληλων εγγυήσεων.

  1. όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που λαμβάνονται.

  1. Προστασία των προσωπικών δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

Για να επιτευχθεί η εφαρμογή των αρχών και απαιτήσεων που αναφέρθηκαν, αλλά και η ικανοποίηση των δικαιωμάτων των Υποκειμένων των δεδομένων, ο Οργανισμός έχει υιοθετήσει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να παρέχεται προστασία των προσωπικών δεδομένων ήδη από το σχεδιασμό κατά τις επιταγές του άρ. 25 ΓΚΠΔ. Προς τον σκοπό αυτό, όταν προβλέπονται νέες διαδικασίες ή συναλλαγές, αυτές θα αξιολογούνται με τεκμηριωμένο τρόπο και από την άποψη προστασίας προσωπικών δεδομένων, ώστε να διασφαλίζεται ότι όλα τα κατάλληλα μέτρα έχουν προσδιοριστεί και, κατά συνέπεια, εφαρμοστεί, μόλις ξεκινήσει η εκτέλεση των νέων διαδικασιών ή των συναλλαγών.

Περαιτέρω, ο Οργανισμός έχει υιοθετήσει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλιστεί, εκ των προτέρων, ότι θα συλλέγονται μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για κάθε συγκεκριμένο σκοπό επεξεργασίας (προστασία των προσωπικών δεδομένων εξ ορισμού). Η υποχρέωση αυτή εφαρμόζεται, επίσης, όσον αφορά στο εύρος των προσωπικών δεδομένων που συλλέγονται, το βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Περαιτέρω, τα μέτρα αυτά εξασφαλίζουν ότι εξ ορισμού τα προσωπικά δεδομένα δε θα είναι προσβάσιμα χωρίς την παρέμβαση του προσωπικού σε αόριστο αριθμό φυσικών προσώπων.

Ειδικότερα, ο Οργανισμός φροντίζει να υλοποιούνται τα κάτωθι μέτρα:

  1. Στη Διεύθυνση Ανθρώπινου Δυναμικού τα ληφθέντα βιογραφικά σημειώματα και οι υπηρεσιακοί φάκελοι φυλάσσονται από την εκτελούσα την επεξεργασία εταιρεία The Records Hub SA η οποία έχει δεσμευτεί συμβατικά με τον Οργανισμό και λαμβάνει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα σύμφωνα με τον ΓΚΠΔ.

  1. Στη Διεύθυνση Ελέγχου Κομίστρου τα αποδεικτικά για καταλογισθέντα πρόστιμα καταστρέφονται και διαγράφονται εντός πέντε (5) ετών, ενώ έχει οριστεί ως απώτατο χρονικό διάστημα διατήρησης των εν λόγω αρχείων τα είκοσι (20) έτη σύμφωνα με την φορολογική νομοθεσία. Το φυσικό αρχείο των καταλογισθέντων Πράξεων Βεβαίωσης Παράβασης και Επιβολής Προστίμου φυλάσσεται από την εκτελούσα την επεξεργασία εταιρεία The Records Hub SA η οποία συμβάλλεται με τον Οργανισμό η οποία έχει δεσμευτεί συμβατικά με τον Οργανισμό και λαμβάνει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα σύμφωνα με τον ΓΚΠΔ..

  1. Στο Τμήμα Ιατρού Εργασίας τα έγγραφα των ιατρικών εξετάσεων των εργαζομένων που περιέχουν ειδικά δεδομένα αποθηκεύονται σε αρχεία σε φυσική μορφή σε κλειδωμένο φοριαμό στο γραφείο του ιατρού εργασίας.

  1. Οι Διευθύνσεις και τα Τμήματα του Οργανισμού φυλάσσουν τα διοικητικά έγραφα (συμβάσεις, πρωτόκολλα, παράπονα, κλπ) σε ηλεκτρονική μορφή καθώς επίσης και το φυσικό αρχείο για επιχειρησιακούς και διοικητικούς σκοπούς. Το απώτατο χρονικό διάστημα διατήρησης των εν λόγω αρχείων καθορίζετε σύμφωνα με τις κείμενες διατάξεις.

  1. Η φύλαξη του φυσικού αρχείου εν γένει του Οργανισμού πραγματοποιείται από την εκτελούσα την επεξεργασία εταιρεία The Records Hub SA. Η καταστροφή του γίνεται με ειδικά μέσα και σε ειδικούς χώρους αναλόγως την φύση των αρχείων και των ηλεκτρονικών μέσων.

  1. Ο Οργανισμός για τη συνεργασία με Προμηθευτές φροντίζει να καταρτίζει ή να τροποποιεί υφιστάμενες συμβάσεις ώστε αυτές να ανταποκρίνονται στις ανωτέρω απαιτήσεις για την προστασία των προσωπικών δεδομένων κατά τον σχεδιασμό και εξ ορισμού.

  1. Κάθε φορά που αναπτύσσονται, σχεδιάζονται, επιλέγονται και χρησιμοποιούνται εφαρμογές, υπηρεσίες και προϊόντα που συνεπάγονται την επεξεργασία προσωπικών δεδομένων, λαμβάνονται υπόψη τα ως άνω ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων.

  1. Υιοθέτηση και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων

Ο Οργανισμός έχει λάβει και εφαρμόζει αποτελεσματικά και κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζει την προστασία των αρχών που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Για τη λήψη των κατάλληλων μέτρων λαμβάνονται υπ’ όψιν οι τελευταίες τεχνολογικές εξελίξεις, το κόστος εφαρμογής, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς επίσης και η πιθανότητα επέλευσης και η σοβαρότητα των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.

  1. Ελαχιστοποίηση των δεδομένων προσωπικού χαρακτήρα

Ο Οργανισμός περιορίζει τη συλλογή και την επεξεργασία στα δεδομένα προσωπικού χαρακτήρα, τα οποία είναι κατάλληλα, συναφή και απολύτως αναγκαία για την εξυπηρέτηση των σκοπών του.

Έχει λάβει, δε, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, τα οποία διασφαλίζουν ειδικά την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων:

  1. τόσο κατά το στάδιο της συλλογής των δεδομένων, ώστε να μην συλλέγονται δεδομένα περισσότερα από εκείνα που είναι κατάλληλα, συναφή και απολύτως αναγκαία για την εξυπηρέτηση των σκοπών του ΟΑΣΑ,

  1. όσο και κατά το στάδιο της επεξεργασίας τους, ώστε εάν είχαν συλλεγεί δεδομένα που δεν είναι κατάλληλα, συναφή και απολύτως αναγκαία για την εξυπηρέτηση των σκοπών του, να μην υπόκεινται σε περαιτέρω πράξεις επεξεργασίας. Προς το σκοπό αυτόν, ο Οργανισμός θα αξιολογεί περιοδικά κατά πόσο συγκεκριμένη κατηγορία ή συγκεκριμένες κατηγορίες δεδομένων εξακολουθούν να είναι κατάλληλες, συναφείς και απολύτως αναγκαίες για κάθε επιμέρους νόμιμο σκοπό επεξεργασίας με αποτέλεσμα τα προσωπικά δεδομένα να διαγράφονται ή να ανωνυμοποιούνται, μόλις δεν είναι πλέον απαραίτητα για τον συγκεκριμένο σκοπό.

  1. Περιορισμός της περιόδου αποθήκευσης των δεδομένων

  1. Ο Οργανισμός διατηρεί τα δεδομένα προσωπικού χαρακτήρα υπό μορφή που επιτρέπει την ταυτοποίηση του Υποκειμένου των δεδομένων μόνο για το χρονικό διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας τους, σε συμμόρφωση και με τις εκ του νόμου υποχρεώσεις τήρησης δεδομένων για συγκεκριμένο χρονικό διάστημα.

  1. Ως απώτατο χρονικό διάστημα διατήρησης των δεδομένων για όλες τις επιμέρους κατηγορίες ορίζονται τα είκοσι (20) έτη, με εξαίρεση τις περιπτώσεις, όπου υφίστανται εκκρεμείς δικαστικές και μη διεκδικήσεις και έλεγχοι και ως εκ τούτου ο χρόνος διατήρησης των σχετικών δεδομένων πρέπει να παρατείνεται.

  1. Τα δεδομένα αποθηκεύονται για μεγαλύτερα διαστήματα, μόνο για στατιστικούς σκοπούς και εφόσον εφαρμόζονται μέθοδοι ανωνυμοποίησης . Τα δεδομένα που έχουν ήδη συλλεχθεί για συγκεκριμένο σκοπό δεν υπόκεινται σε περαιτέρω επεξεργασία που δεν είναι συμβατή με τον αρχικό σκοπό.

  1. Για τη συμμόρφωση με την υποχρέωση του χρονικού περιορισμού της περιόδου αποθήκευσης και επεξεργασίας, ο Οργανισμός έχει προβεί σε ταξινόμηση των προσωπικών δεδομένων και έχει ορίσει εκ των προτέρων προθεσμίες για τη διαγραφή ή για την περιοδική επανεξέτασή τους.

  1. Ο Οργανισμός προβαίνει σε διαγραφή ηλεκτρονικών αρχείων ή καταστροφή εντύπων που περιέχουν δεδομένα προσωπικού χαρακτήρα με αυστηρή τήρηση των κατάλληλων μέτρων ασφαλείας, προκειμένου να διασφαλίζεται ότι τα δεδομένα πράγματι διαγράφονται και δεν είναι δυνατόν να ανακτηθούν στη συνέχεια. Τέτοια μέτρα ασφάλειας είναι ενδεικτικά τα ακόλουθα:

i.η καταστροφή των εγγράφων με κατάλληλο μηχάνημα, ώστε να μην είναι δυνατή στη συνέχεια η ανάγνωση ή η ανασυγκρότηση του κειμένου,

ii.η διαγραφή των δεδομένων από ηλεκτρονικά μέσα αποθήκευσης με συγκεκριμένο πρωτόκολλο διαγραφής (χωρίς δυνατότητα ανάκλησης των δεδομένων) ή η καταστροφή τους με τρόπο, ώστε να μην είναι δυνατή η χρήση τους.

  1. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΑΡΑΒΙΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

  1. Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην ΑΠΔΠΧ

Εφ’ όσον διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, ο Οργανισμός έχει υιοθετήσει στο Τμήμα Πληροφορικής ειδική διαδικασία για τη διασφάλιση της ορθής διαχείρισης τέτοιων περιστατικών, συμπεριλαμβανομένης της έγκαιρης κοινοποίησης του περιστατικού στην ΑΠΔΠΧ, εντός 72 ωρών από τη στιγμή που θα αποκτήσει γνώση του γεγονότος.

  1. Ανακοίνωση παραβίασης των δεδομένων προσωπικού χαρακτήρα στο Υποκείμενο των δεδομένων

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των Υποκειμένων των δεδομένων, ο Οργανισμός ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο Υποκείμενο των δεδομένων.

Προς τον σκοπό της συμμόρφωσης με τις εν λόγω υποχρεώσεις, ο Οργανισμός αναλαμβάνει την υποχρέωση να θέσει σε λειτουργία όλα τα κατάλληλα μέτρα τεχνολογικής προστασίας και εν γένει οργανωτικά μέτρα, ώστε κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα να εντοπίζεται άμεσα και να γνωστοποιείται αμελλητί, τόσο στην ΑΠΔΠΧ, όσο και στο Υποκείμενο των δεδομένων.

  1. ΥΠΟΧΡΕΩΣΕΙΣ ΓΙΑ ΤΟΥΣ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Πριν επιλεγεί ορισμένος Εκτελών την επεξεργασία, θα διασφαλίζεται ότι έχει θεσπίσει κατάλληλα τεχνικά και οργανωτικά μέτρα ικανά να εξασφαλίσουν τη συμμόρφωση με τις αρχές και τις απαιτήσεις για την προστασία των Προσωπικών Δεδομένων, καθώς και την άσκηση των δικαιωμάτων των Υποκειμένων των δεδομένων. Ειδικότερα, ο Εκτελών την επεξεργασία οφείλει:

  1. να τηρεί αρχείο όλων των δραστηριοτήτων επεξεργασίας (ανωτ. παρ. 9.1),

  1. να διορίζει Υπεύθυνο Προστασίας Δεδομένων, εφόσον απαιτείται, και

  1. σε περίπτωση μεταφοράς Προσωπικών Δεδομένων εκτός ΕΟΧ, να εφαρμόζει τις διασφαλίσεις που περιγράφονται κατωτέρω.

Ο ΟΑΣΑ διασφαλίζει ότι τα στελέχη του Εκτελούντος που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν δεσμευτεί για εμπιστευτικότητα ή ότι δεσμεύονται από την υποχρέωση τήρησης απορρήτου.

Κάθε φορά που επιλέγεται τρίτο μέρος για να εκτελέσει δραστηριότητες που περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων, θα συντάσσεται σύμβαση μεταξύ του Οργανισμού και του Εκτελούντος την επεξεργασία, η οποία θα καθορίζει τις μεταξύ τους σχέσεις και θα εφαρμόζεται στο εξής, ώστε τα δύο μέρη να κατανοήσουν τις ευθύνες και τις υποχρεώσεις τους.

Ο Οργανισμός λαμβάνει κάθε πρόσφορο μέτρο ώστε να ορίζει μόνο Εκτελούντες την επεξεργασία που θα μπορούν να παρέχουν «επαρκείς εγγυήσεις» ότι θα τηρηθούν οι απαιτήσεις του ΓΚΠΔ και θα προστατευθούν τα δικαιώματα των προσώπων, στα οποία αναφέρονται τα δεδομένα.

Περαιτέρω, εξασφαλίζει ότι οι Εκτελούντες την επεξεργασία θα ενεργούν μόνο βάσει τεκμηριωμένων οδηγιών του και θα επεξεργάζονται τα προσωπικά δεδομένα σύμφωνα με την παρούσα Πολιτική (της οποίας θα έχει λάβει γνώση) και τους ισχύοντες νόμους και κανονισμούς περί Προστασίας Προσωπικών Δεδομένων.

  1. ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΟΑΣΑ ΩΣ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Σε κάθε περίπτωση που, σε σχέση με συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο Οργανισμός ενεργεί ως Εκτελών την επεξεργασία, αναλαμβάνει να τηρεί τα κάτωθι:

  1. Επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με την παρούσα Πολιτική και τους ισχύοντες νόμους και κανονισμούς περί προστασίας προσωπικών δεδομένων, καθώς και με τις οδηγίες του Υπευθύνου Επεξεργασίας

  1. Διασφαλίζει ότι τα άτομα στελέχη που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν δεσμευτεί με ρήτρες εμπιστευτικότητας ή ότι δεσμεύονται από την υποχρέωση τήρησης απορρήτου.

  1. Προσθέτει στο αρχείο δραστηριοτήτων επεξεργασίας τις σχετικές επεξεργασίες.

  1. Εφαρμόζει και σε αυτή την περίπτωση τα τεχνικά και οργανωτικά μέτρα που ισχύουν για τις επεξεργασίες υπό την ιδιότητα Υπευθύνου Επεξεργασίας.

  1. Σε περίπτωση μεταφοράς προσωπικών δεδομένων εκτός ΕΟΧ, εφαρμόζει τις διασφαλίσεις που περιγράφονται κατωτέρω.

  1. Καθορίζει με σύμβαση τη σχέση με τον Υπεύθυνο Επεξεργασίας δεδομένων.

  1. Δεν διορίζει άλλον Εκτελούντα την επεξεργασία χωρίς την προηγούμενη ειδική εξουσιοδότηση του Υπεύθυνου Επεξεργασίας δεδομένων.

  1. Κάθε φορά που δεσμεύει άλλους για την εκτέλεση των συγκεκριμένων δραστηριοτήτων επεξεργασίας εξ ονόματος του Υπεύθυνου Επεξεργασίας, υπογράφει σύμβαση με τον νέο Εκτελούντα την επεξεργασία για να του επιβάλει τις ίδιες υποχρεώσεις προστασίας δεδομένων που καθορίζονται στη σύμβαση με τον Υπεύθυνο Επεξεργασίας δεδομένων.

  1. Δεσμεύεται να βοηθήσει τον Υπεύθυνο Επεξεργασίας δεδομένων να εκπληρώσει τις υποχρεώσεις του όσον αφορά στην ανταπόκριση στις αιτήσεις που σχετίζονται με τα δικαιώματα των υποκειμένων των δεδομένων, καθώς και με τη διενέργεια Εκτίμησης Αντικτύπου.

  1. Ειδοποιεί άμεσα τον Υπεύθυνο Επεξεργασίας δεδομένων σε σχέση με οποιαδήποτε παραβίαση προσωπικών δεδομένων ή συμβάν που επηρεάζει τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας δεδομένων,

  1. Μετά τη λήξη της παροχής υπηρεσιών, διαγράφει τα υπάρχοντα αντίγραφα των δεδομένων προσωπικού χαρακτήρα, κατόπιν αιτήματος του Υπευθύνου Επεξεργασίας, εκτός αν κατά την κείμενη νομοθεσία απαιτείται η αποθήκευση των δεδομένων. Θέτει επίσης στη διάθεση του Υπευθύνου Επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις νομικές υποχρεώσεις του ως Εκτελούντος την επεξεργασία και επιδεικνύει συνεργασία με τους ελέγχους, συμπεριλαμβανομένων των επιθεωρήσεων, που διεξάγονται από τον Υπεύθυνο Επεξεργασίας ή άλλον ελεγκτή, ο οποίος διορίζεται από τον Υπεύθυνο Επεξεργασίας δεδομένων.

  1. ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΑ ΜΕΡΗ

Ο Οργανισμός στο πλαίσιο των δραστηριοτήτων του διαβιβάζει προσωπικά δεδομένα σε τρίτα μέρη. Στα εν λόγω μέρη συμπεριλαμβάνονται δημόσιοι, ή ιδιωτικοί φορείς, καθώς και εξωτερικοί πάροχοι υπηρεσιών.

Πριν τη διαβίβαση των εν λόγω προσωπικών δεδομένων ο Οργανισμός εξασφαλίζει ότι:

  1. Υφίστανται καθορισμένοι ρόλοι, αρμοδιότητες και απαιτήσεις πρόσβασης σχετικά με την προστασία των δεδομένων ως προς τους εξωτερικούς παρόχους υπηρεσιών.

  1. οι απαιτήσεις που εισάγει ο ΓΚΠΔ για την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής στις συμβάσεις με τον ΟΑΣΑ.

  1. Η διαβίβαση προσωπικών δεδομένων σε τρίτα μέρη, πραγματοποιείται μόνο για τους σκοπούς που προσδιορίζονται στον ΓΚΠΔ ή για σκοπούς συμβατούς με αυτούς.

  1. Η αναλυτική περιγραφή των προσωπικών δεδομένων που διαβιβάζονται και των σκοπών για τους οποίους μπορούν να χρησιμοποιηθούν έχει ενσωματωθεί σε γραπτή συμφωνία.

  1. Παρακολουθεί, ελέγχει και εκπαιδεύει το προσωπικού του Οργανισμού σχετικά με την περιγραφόμενη εξουσιοδοτημένη ανταλλαγή προσωπικών δεδομένων με τρίτους και τις συνέπειες της μη εξουσιοδοτημένης χρήσης ή ανταλλαγής προσωπικών δεδομένων.

  1. Αξιολογεί οποιαδήποτε προτεινόμενη νέα ανταλλαγή προσωπικών δεδομένων με τρίτους, για να εκτιμηθεί αν απαιτείται Μελέτη Αντικτύπου και πρόσθετη ή νέα ενημέρωση των Υποκειμένων των δεδομένων.

  1. ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Ο Οργανισμός διασφαλίζει ότι τυχόν μεταφορές δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) πραγματοποιούνται μόνο αφού εγκριθούν οι ακόλουθες συνιστώμενες διασφαλίσεις. Θα προτιμηθούν οι διασφαλίσεις με την ακόλουθη σειρά:

  1. Η χώρα εκτός ΕΟΧ διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως αυτό αξιολογείται από την Ευρωπαϊκή Επιτροπή.

  1. Η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης προς όφελος του Υποκειμένου μεταξύ του Οργανισμού και άλλου φυσικού ή νομικού προσώπου.

  1. Η μεταφορά είναι απαραίτητη για την εδραίωση, άσκηση ή υπεράσπιση νομικής αξίωσης.

  1. Το Υποκείμενο των δεδομένων ρητά συμφωνεί με τη συγκεκριμένη μεταφορά προσωπικών δεδομένων.

  1. Όταν η μεταφορά δεν είναι επαναλαμβανόμενη και αφορά μόνο έναν περιορισμένο αριθμό Υποκειμένων των δεδομένων, είναι απαραίτητη για σκοπούς επιτακτικού νόμιμου συμφέροντος που επιδιώκει τον Οργανισμό, υπό την προϋπόθεση ότι όλες οι περιστάσεις έχουν αξιολογηθεί, ο Οργανισμός έχει εγκρίνει όλες τις απαραίτητες διασφαλίσεις για την επεξεργασία και η εποπτική Αρχή έχει ενημερωθεί δεόντως για τη μεταφορά.

  1. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ

Ο Οργανισμός παρακολουθεί τα συστήματα και πραγματοποιεί ανά έτος -ελέγχους ακεραιότητας και ασφάλειας για την προστασία όλων των υπολογιστικών και τηλεπικοινωνιακών συστημάτων, των προσωπικών δεδομένων και πληροφοριών, ώστε να εξουδετερώνει ή να μειώνει:

i.τυχόν μη εξουσιοδοτημένη πρόσβαση, μεταβολές ή / και αποκάλυψη δεδομένων και

ii.τυχαία απώλεια, διαγραφή ή καταστροφή δεδομένων.

Οι έλεγχοι προορίζονται, επίσης, για την αντιμετώπιση των κινδύνων που απορρέουν από την ενδεχόμενη επίβουλη χρήση των συστημάτων πληροφορικής και τηλεπικοινωνιών.

Οι εν λόγω έλεγχοι περιλαμβάνουν, μεταξύ άλλων, τα ακόλουθα:

Έλεγχοι πρόσβασης:

Active Directory

Λειτουργικό σύστημα ,

Windows Server 2019, Windows Server 2008 r2, Windows 7, Windows 10

Σύστημα βάσης δεδομένων ,

Oracle, Mysql

Λογισμικό εφαρμογών

Κεφάλαιο/ Atlantis – Λογιστικό και εμπορικό

Πάπυρος – Πρωτόκολλο

Ασφάλεια δικτύου και πρόσβασης:,

Active Directory, λογισμικό αντιμετώπισης ιών και κακόβουλου λογισμικού ESET, Fortigate / Fortyclient

Ταυτοποίηση και έλεγχος ταυτότητας χρηστών ,

Active Directory

Firewalls

Fortigate 100D Firewall

Kρυπτογραφικοί έλεγχοι (encryption, hashing, κ.λπ.),

NTLMv2, Kerberos

Έλεγχοι διαβίβασης μηνυμάτων (ηλεκτρονικό ταχυδρομείο, τηλεπικοινωνίες κ.λπ.),

Λογισμικό ESET, 365 Exchange

Μηχανισμός παρακολούθησης, αναφοράς και επίλυσης περιστατικών ασφάλειας και παραβίασης δεδομένων

Windows Logging, ESET Logging, Fortigate Logging

  1. ΑΝΟΙΧΤΑ ΔΕΔΟΜΕΝΑ

Ο ΟΑΣΑ πέραν των προϋποθέσεων του άρ. 11 ΠΔ 28/2015 ως προς τα Ανοικτά Δεδομένα ακολουθεί και την υπ’ αριθμ. 4060/2018 απόφαση ΔΣ ΟΑΣΑ και τις κατωτέρω γενικές αρχές:

Διαθεσιμότητα και Προσβασιμότητα: Ο ΟΑΣΑ εξασφαλίζει ότι τα δεδομένα διατίθενται αυτούσια, έχουν ένα λογικό κόστος αναπαραγωγής, και κατά προτίμηση είναι διαθέσιμα για λήψη από το Διαδίκτυο στο data.gov.gr, κεντρικός κατάλογος των δημόσιων δεδομένων που παρέχει πρόσβαση σε βάσεις δεδομένων των φορέων της ελληνικής κυβέρνησης.

Επαναχρησιμοποίηση και Αναδιανομή: Ο ΟΑΣΑ εξασφαλίζει ότι τα δεδομένα είναι διαθέσιμα υπό όρους που επιτρέπουν την επαναχρησιμοποίηση και την αναδιανομή τους, συμπεριλαμβανομένης και της ανάμειξης με άλλα σύνολα δεδομένων. Σύμφωνα και με υπ’ αριθμ. 4060/2018 απόφαση ΔΣ ΟΑΣΑ ότι:

Κατά τη διάθεση των δεδομένων θα τηρούνται οι εξής όροι:

(α) ο Ο.Α.Σ.Α. θα αναφέρεται ως δημιουργός και κάτοχος των δεδομένων, (β) τα δεδομένα δεν επιτρέπεται να μεταπωλούνται ή παρέχονται σε τρίτους με σκοπό το άμεσο ή έμμεσο κέρδος, όπως τα ανωτέρω υπό (α) και (β) κωδικοποιούνται στην άδεια Creative Commons 4.0 «Αναφορά Δημιουργού - Μη Εμπορική Χρήση – Όχι Παράγωγα Έργα 4.0 (CC BY–NC-ND) [https://creativecommons.ellak.gr/2015/08/21/enas-aplos-odigos-gia-tis-adies -creative-commons-4-0/], η οποία και θα αποτελεί το συμβατικό κείμενο της άδειας χρήσης των δεδομένων αυτών

Καθολική Συμμετοχή: Ο ΟΑΣΑ εξασφαλίζει ότι η διάθεση αυτών των δεδομένων δεν υπόκειται σε διακρίσεις με βάση τον τομέα δραστηριότητας ή τα πρόσωπα και τις ομάδες.

  1. ΥΠΟΧΡΕΩΣΗ ΟΡΙΣΜΟΥ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Ο Οργανισμός, υπό την ιδιότητα του Υπευθύνου Επεξεργασίας, έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer).

Ο ορισμός του Υπεύθυνου Προστασίας έχει γίνει εγγράφως προς την ΑΠΔΠΧ στις 15/02/2019, έχει καταχωριστεί στο αρχείο της Αρχής και έχει λάβει αριθμό πρωτοκόλλου [Γ/ΕΙΣ/1301/18-02-2019].

Ο Οργανισμός διασφαλίζει ότι ο Υπεύθυνος Προστασίας Δεδομένων συμμετέχει, προσηκόντως και εγκαίρως, σε όλα τα ζητήματα, τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

Επίσης διασφαλίζει, ότι ο Υπεύθυνος Προστασίας Δεδομένων δε λαμβάνει εντολές για την άσκηση των καθηκόντων του, δεν απολύεται, ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του. Ο Υπεύθυνος Προστασίας Δεδομένων λογοδοτεί απευθείας στο Διευθύνοντα Σύμβουλο του Οργανισμού.

Ο Οργανισμός εξασφαλίζει ότι ο Υπεύθυνος Προστασίας Δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

  1. Ενημερώνει και συμβουλεύει τον Οργανισμό και το προσωπικό του, το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, αναφορικά με τις υποχρεώσεις τους που απορρέουν από την παρούσα Πολιτική και από άλλες διατάξεις της ισχύουσας νομοθεσίας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα.

  1. Παρακολουθεί τη συμμόρφωση του Οργανισμού με την παρούσα Πολιτική και με άλλες διατάξεις της ισχύουσας νομοθεσίας.

  1. Εφόσον του ζητηθεί, παρέχει συμβουλές όσον αφορά στη διενέργεια της Εκτίμησης Αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίηση των σχετικών υποχρεώσεων.

  1. Συνεργάζεται με την ΑΠΔΠΧ.

  1. Ενεργεί ως σημείο επικοινωνίας για την ΑΠΔΠΧ για ζητήματα που σχετίζονται με την επεξεργασία και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε θέμα.

  1. ΕΠΟΠΤΕΥΟΥΣΑ ΑΡΧΗ

Κάθε Υποκείμενο των δεδομένων, εφόσον θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τις διατάξεις του ΓΚΠΔ, έχει το δικαίωμα να υποβάλει καταγγελία ενώπιον της εθνικής εποπτικής Αρχής, ήτοι στην:

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

Γραφεία: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα,

Τηλεφωνικό Κέντρο: +30-210 6475600, Fax: +30-210 6475628,

ηλεκτρονικό ταχυδρομείο: contact@dpa.gr .