Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

 

Το Ελληνικό Μεσογειακό Πανεπιστήμιο (ΕΛΜΕΠΑ) στο πλαίσιο συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 καθώς και το εθνικό νομικό πλαίσιο που διέπει την προστασία των δεδομένων προσωπικού χαρακτήρα τα οποία επεξεργάζεται είτε ως Υπεύθυνος Επεξεργασίας είτε ως Εκτελών την Επεξεργασία, έχει θεσπίσει την παρούσα πολιτική προκειμένου να κοινοποιούνται προς κάθε ενδιαφερόμενο ή εμπλεκόμενο στις διαδικασίες διαχείρισης δεδομένων οι βασικές αρχές του Πανεπιστημίου.

H Πολιτική του Ιδρύματος καθώς και το σύνολο των ακολουθουμένων διαδικασιών έχουν θεσπιστεί με βάση τους παρακάτω πυλώνες αξιών:

  1. Τα προσωπικά δεδομένα αποτελούν μοναδική περιουσία κάθε φυσικού προσώπου και πρέπει να προστατεύονται από την λανθασμένη ή μη εξουσιοδοτημένη επεξεργασία.
  2. Η ιδιωτικότητα του κάθε φυσικού προσώπου είναι βασικό δικαίωμα του εκάστοτε φυσικού προσώπου το οποίο σε καμία περίπτωση δεν πρέπει να καταπατάται.
  3. Ο βασικός τρόπος προστασίας των δεδομένων είτε είναι σε ηλεκτρονική είτε είναι σε έντυπη μορφή είναι πρωτίστως η διασφάλιση της ελεγχόμενης πρόσβασης και η διατήρηση κατάλληλων υποδομών για την επεξεργασία τους.
  4. Σε κάθε περίπτωση πρέπει να διαφυλάσσονται η ιδιωτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των δεδομένων.

Το ΕΛΜΕΠΑ επιλέγει τις διαδικασίες και τους μηχανισμούς ασφαλείας που θα υιοθετεί για κάθε επιμέρους υποδομή ή διεργασία εφαρμόζοντας ένα ευρύτερο στρατηγικό σχεδιασμό που βασίζεται στα παρακάτω στάδια:

  1. Αναγνώριση των δεδομένων και των ροών τους.
  2. Αξιολόγηση υφιστάμενων πρακτικών βάσει νομικών απαιτήσεων.
  3. Εκπόνηση μελέτης Αντίκτυπου Κινδύνου από την επεξεργασία δεδομἐνων (DPIA) για τον υπολογισμό του τελικού αντικτύπου των επιπτώσεων στα φυσικά πρόσωπα όπου αυτό χρειάζεται.
  4. Καθορισμό μηχανισμών βάσει των αποτελεσμάτων της παραπάνω ανάλυσης και υπολογισμό του εναπομείναντος ρίσκου.

Με βάση τα παραπάνω, προκειμένου το ίδρυμα να είναι σε θέση να συμμορφώνεται τόσο με το νομικό πλαίσιο όσο και με τις αρχές θέτει για τη λειτουργία του, έχουν υιοθετηθεί οι παρακάτω μηχανισμοί, διαδικασίες και μέτρα:

  1. Πολιτική ελέγχου φυσικής πρόσβασης στις εγκαταστάσεις του ιδρύματος όπου πραγματοποιείται επεξεργασία ή/και αποθήκευση δεδομένων προσωπικού χαρακτήρα: διαβαθμισμένη πρόσβαση εργαζομένων, συνεχής συνοδεία επισκεπτών, αρχεία καταγραφής πρόσβασης (access logs), κτλ.
  2. Πολιτική ελέγχου λογικής πρόσβασης (κατανομή ρόλων και αντίστοιχη απόδοση δικαιωμάτων.
  3. πρόσβασης, λογαριασμούς χρηστών (user accounts), πολιτική προστασίας όλων των πληροφοριακών συστημάτων).
  4. Μέτρα ενεργητικής και παθητικής πυροπροστασίας.
  5. Διαδικασίες διαχωρισμού αρμοδιοτήτων (περιγραφές θέσεων εργασίας (job descriptions), διάκριση καθηκόντων και περιοχής ευθύνης (separated duties & areas of responsibility), αναλυτικές διαδικασίες για την λειτουργία.
  6. Διαδικασίες επιλογής και αξιολόγησης προσωπικού (απαιτήσεις σε προσόντα και συστάσεις, υπογραφή συμβάσεων εχεμύθειας – εμπιστευτικότητας – τραπεζικού απορρήτου).
  7. Μέτρα προστασίας πληροφοριακών συστημάτων (προσαρμοσμένες πολιτικές του τοίχους ασφαλείας (firewall customized policies), έλεγχος της κίνησης (traffic control), αρχεία καταγραφής της κίνησης (traffic logs), αντιιικό σε εξυπηρετητές και υπολογιστές-πελάτες (antivirus σε servers & clients), συστήματα αδιάλειπτης παροχής ενέργειας (ups systems), κλείδωμα των Η/Υ (computer locking), έλεγχος πρόσβασης (access control) κτλ).
  8. Διαδικασίες συστηματικών ελέγχων (εσωτερικές επιθεωρήσεις, εξωτερικές επιθεωρήσεις φορείς πιστοποίησης, εσωτερικοί συνεχείς έλεγχοι για την τήρηση των μέτρων ελέγχου).
  9. Πρακτικές παρακολούθησης υποδομών (συναγερμός ασφαλείας, ομάδα άμεσης επέμβασης και υπηρεσίες περιπολίας (patrol services), ανιχνευτές κίνησης, ανιχνευτές πυρασφάλειας).
  10. Διαχείριση συνεργατών – προμηθευτών (διαδικασίες και κριτήρια για την επιλογή – αξιολόγηση, διενέργεια ελέγχων στους προμηθευτές και συνεργάτες, σύναψη δεσμευτικών συμβάσεων συνεργασίας με ειδικούς όρους περί εχεμύθειας – εμπιστευτικότητας – προστασίας δεδομένων).

Ως Υπεύθυνο Προστασίας Δεδομένων το Ίδρυμα έχει ορίσει την εταιρεία ΠΡΟΩΘΗΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΕΞΥΠΗΡΕΤΗΣΗΣ ΕΠΕ με υπεύθυνο φυσικό πρόσωπο τον κ. Γεώργιο Τσουλούφα. Εφ’ όσον επιθυμείτε την άμεση επικοινωνία σας με τον DPO του ιδρύματος, μπορείτε να χρησιμοποιήσετε το email dpo@hmu.gr.