ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Συνήγορος του Φοιτητή
Εθνικό Μετσόβιο Πολυτεχνείο
Εισαγωγικά:
Ο Συνήγορος του Φοιτητή αποτελεί το θεσμό που θα γεφυρώσει τη πλευρά των φοιτητριών και φοιτητών του Εθνικού Μετσόβιου Πολυτεχνείου, με τη πλευρά των θεσμικών οργάνων, διδασκόντων/ουσών, υπηρεσιών ή στελεχών αυτού.
Ειδικότερα, σύμφωνα με το άρθρο 130 παρ. 4 περ. α του Ν. 4957/2022 ο Συνήγορος του Φοιτητή μεταξύ άλλων αρμοδιοτήτων του διερευνά υποθέσεις, αυτεπαγγέλτως ή ύστερα από αναφορά φοιτητή, και μεσολαβεί στα αρμόδια όργανα του ιδρύματος για την επίλυσή τους. Επιπλέον, σχεδιάζει και συντονίζει δράσεις εκπαίδευσης για τους φοιτητές και το προσωπικό του ιδρύματος, σε συνεργασία με άλλες μονάδες του ιδρύματος, καθώς και με εξωτερικούς φορείς, ενώ παράλληλα συμμετέχει στη χάραξη εσωτερικών πολιτικών και στην ανάπτυξη εργαλείων για την ενίσχυση της ακεραιότητας και της διαφάνειας. Ο συνήγορος του Φοιτητή συνεργάζεται με τα αρμόδια όργανα του Α.Ε.Ι. για τη σύνταξη του Κώδικα Δεοντολογίας του Α.Ε.Ι., Κανονισμού Διαχείρισης Φαινομένων Σύγκρουσης Συμφερόντων και πρωτοκόλλων αντιμετώπισης περιστατικών απάτης και διαφθοράς.
Ο Συνήγορος του Φοιτητή δεν έχει αρμοδιότητα σε θέματα εξετάσεων και βαθμολογίας των φοιτητών.
Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (General Data Protection Regulation (GDPR)» τέθηκε σε ισχύ το Μάιο του 2018 και προβλέπει ο πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα.
Σε εθνικό επίπεδο, η προστασία δεδομένων προσωπικού χαρακτήρα προκύπτει και από Ν. 4624/2019.
Κατόπιν τούτων, δεδομένου ότι η αλληλεπίδραση με το Συνήγορο του Φοιτητή και του σχετικού ιστοτόπου περιλαμβάνει την καταχώρηση, αποθήκευση και μεταφορά δεδομένων προσωπικού χαρακτήρα φοιτητών και προσωπικού του Ιδρύματος, η Πολιτική προστασίας των δεδομένων αυτών είναι σύμφωνη με τα παραπάνω κείμενα.
Ειδικότερα:
ΟΡΙΣΜΟΙ
Ως Δεδομένα Προσωπικού χαρακτήρα νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Ως επεξεργασία νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
Ως περιορισμός της επεξεργασίας νοείται η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.
Ως υπεύθυνος επεξεργασίας νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Ως εκτελών την επεξεργασία νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Ως τρίτος νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
Ως συγκατάθεση του υποκειμένου των δεδομένων νοείται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
ΑΡΧΕΣ
Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται πάντα σύμφωνα με τις εξής Αρχές:
- Νομιμότητα, αντικειμενικότητα και διαφάνεια
- Περιορισμός του σκοπού
- Ελαχιστοποίηση των δεδομένων
- Ακρίβεια
- Περιορισμός της περιόδου αποθήκευσης
- Ακεραιότητα και εμπιστευτικότητα
Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις παραπάνω Αρχές.
Νομιμότητα: Η επεξεργασία των συλλεγόμενων δεδομένων νομιμοποιείται μόνο εάν ισχύει κάτι από τα παρακάτω:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
ΤΡΟΠΟΙ ΣΥΛΛΟΓΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΟ ΣτΦ ΤΟΥ ΕΜΠ
Η συλλογή των προσωπικών δεδομένων υλοποιείται, για την εκπλήρωση των σκοπών επεξεργασίας, από το προσωπικό του Συνηγόρου του Φοιτητή του Ιδρύματος, που ενεργεί ως υπεύθυνος επεξεργασίας βάσει των καθηκόντων του.
Η συλλογή γίνεται κατά τη διαδικασία υποβολής των αιτήσεων ή δηλώσεων των φοιτητών, όπως επίσης κατά την σύναψη άλλης έννομης σχέσης.
- Η Συλλογή προσωπικών δεδομένων μπορεί επίσης να προκύψει μέσω:
Της χρήσης της ιστοσελίδας ή των ηλεκτρονικών πλατφόρμων ή άλλων ηλεκτρονικών προγραμμάτων και μέσων επικοινωνίας με το Συνήγορο του Φοιτητή του ΕΜΠ, όπως και μέσω αλληλογραφίας, είτε έγχαρτης είτε ηλεκτρονικής,
ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΣΥΛΛΕΓΕΙ ΤΟ ΕΜΠ
- Δεδομένα ταυτότητας (ονοματεπώνυμο, όνομα πατρός/μητρός, φωτογραφία, αριθμός ταυτότητας/διαβατηρίου, εκδούσα αρχή, ημερ. έκδοσης)
- Δημογραφικά δεδομένα (φύλο, εθνικότητα, υπηκοότητα, ημερ./τόπος γέννησης)
- Δεδομένα επικοινωνίας (ταχυδρομική διεύθυνση, σταθερό/κινητό τηλέφωνο, διεύθυνση ηλεκτρονικού ταχυδρομείου)
- Φορολογικά δεδομένα υποτρόφων και λοιπών κατηγοριών (Α.Φ.Μ., Δ.Ο.Υ., ατομικό/οικογενειακό εισόδημα, περιουσιακή κατάσταση)
- Βαθμολογική επίδοση φοιτητών
- Βιογραφικά φοιτητών και αποφοίτων
- Δεδομένα που αφορούν στο προσοντολόγιο διοικητικού, ακαδημαϊκού, ερευνητικού προσωπικού
- Δεδομένα οικογενειακής κατάστασης (ύπαρξη γάμου, αριθμός & ηλικίες τέκνων)
- Ασφαλιστικά δεδομένα (Α.Μ.Κ.Α., αρ. μητρώου ασφαλιστικών ταμείων)
- Ιατρικά δεδομένα (ιατρικό ιστορικό, ιατρικές γνωματεύσεις, ιατρικά πιστοποιητικά) σε ειδικές περιπτώσεις μόνο για την διευκόλυνση και παροχή ειδικών προνομίων ή/και τη διαφύλαξη ζωτικού συμφέροντος των υποκειμένων των δεδομένων ή άλλων φυσικών προσώπων
- Δεδομένα από τη χρήση ηλεκτρονικών υπηρεσιών (στοιχεία ηλεκτρονικής ταυτοποίησης χρήστη, cookies, google analytics, διευθύνσεις πρωτοκόλλου Internet (IP) κλπ.)
ΔΙΑΡΚΕΙΑ ΑΠΟΘΗΚΕΥΣΗΣ ΔΕΔΟΜΕΝΩΝ
Τα δεδομένα προσωπικού χαρακτήρα που συλλέγει το προσωπικό του Συνηγόρου του Φοιτητή του ΕΜΠ, για τους παραπάνω σκοπούς και με τους παραπάνω τρόπους, αποθηκεύονται για όσο χρονικό διάστημα απαιτείται προκειμένου να γίνονται οι απαραίτητες ενέργειες από το ΣτΦ για την απρόσκοπτη λειτουργία αυτού και την εξυπηρέτηση των συμφερόντων των εμπλεκομένων, κυρίως δε των φοιτητών.
Τα δεδομένα αυτά αποθηκεύονται με ασφάλεια και είναι προσβάσιμα από εξουσιοδοτημένο και εκπαιδευμένο προσωπικό του φορέα με σκοπό να αποφευχθεί οποιαδήποτε αλλοίωση ή διαρροή τους.
ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Το υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα:
- Το δικαίωμα πρόσβασης
Μπορείτε ανά πάσα στιγμή να ενημερωθείτε για τα προσωπικά σας δεδομένα, το οποία έχουν συλλεχθεί και αποθηκευτεί από το φορέα, και να έχετε πρόσβαση σε αυτά.
- Το δικαίωμα στη διόρθωση δεδομένων
Έχετε τη δυνατότητα να απευθυνθείτε στο φορέα αιτούμενοι τη διόρθωση ή συμπλήρωση δεδομένων που είναι ανακριβή ή ελλιπή.
- Το «δικαίωμα στη λήθη»
Με την προϋπόθεση ότι, ο φορέας δεν υποχρεούται από την νομοθεσία ή την εκ των πραγμάτων ανάγκη να ασκήσει τις υποχρεώσεις και τη λειτουργία του, μπορείτε να αιτηθείτε τη διαγραφή αυτών.
Λόγοι για τους οποίους μπορείτε να αιτηθείτε τη διαγραφή των δεδομένων σας είναι οι εξής:
- τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,
- το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
- το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία
- τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα
- τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας
- τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών.
Σε περίπτωση που αυτό δεν δύναται να συμβεί, ο φορέας οφείλει να ανταποκριθεί εγγράφως και άμεσα στο αίτημά σας με σχετική αιτιολόγηση.
- Το δικαίωμα στη φορητότητα των δεδομένων
Μπορείτε να αιτηθείτε από το φορέα τη διαβίβαση των δεδομένων σας σε άλλο φορέα.
- Το δικαίωμα στην εναντίωση και στον περιορισμό της επεξεργασίας
Σε περίπτωση που διαφωνείτε με τον τρόπο που επεξεργασίας των προσωπικών σας δεδομένων, μπορείτε να αιτηθείτε τη διακοπή ή τον περιορισμό της επεξεργασίας. Σε περίπτωση που αυτό δεν δύναται να συμβεί, ο φορέας οφείλει να ανταποκριθεί εγγράφως και άμεσα στο αίτημά σας με σχετική αιτιολόγηση.
- Το δικαίωμα άρσης συγκατάθεσης
Έχετε το δικαίωμα να αποσύρετε τη συγκατάθεσή σας στην επεξεργασία των δεδομένων σας ανά πάσα στιγμή. Σε περίπτωση που αυτό δεν δύναται να συμβεί, ο φορέας οφείλει να ανταποκριθεί εγγράφως και άμεσα στο αίτημά σας με σχετική αιτιολόγηση.
ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.
ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Το ΕΜΠ υποχρεούται στον ορισμό Υπευθύνου Προστασίας Δεδομένων (εφεξής ΥΠΔ). Τα υποκείμενα των δεδομένων μπορούν να συμβουλεύονται τον ΥΠΔ για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους βάσει του ΓΚΠΔ, του Ν.4624/2019 και άλλης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ είναι υποχρεωμένος να διατηρεί εμπιστευτικότητα ως προς την ταυτότητα των υποκειμένων των δεδομένων και σχετικά με τις περιστάσεις που επιτρέπουν την εξαγωγή συμπερασμάτων ως προς το υποκείμενο των δεδομένων, εκτός αν η ταυτότητα του υποκειμένου αποκαλύπτεται από αυτό.
Η επικοινωνία με τον ΥΠΔ γίνεται μέσω ηλεκτρονικής αλληλογραφίας, στο e-mail: dpo@mail.ntua.gr είτε με γραπτή αλληλογραφία προς ‘Υπεύθυνο Προστασίας Προσωπικών Δεδομένων ΕΜΠ, Πολυτεχνειούπολη Ζωγράφου, 15780, Αθήνα’.
Δείτε επίσης την Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του ΕΜΠ στον σύνδεσμο: https://www.ntua.gr/el/politiki-aporritou