ΜΟΔΙΠ

Μονάδα Διασφάλισης Ποιότητας

Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Το Ελληνικό Μεσογειακό Πανεπιστήμιο (ΕΛΜΕΠΑ) στο πλαίσιο συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679, καθώς και το εθνικό νομικό πλαίσιο που διέπει την προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία επεξεργάζεται είτε ως Υπεύθυνος Επεξεργασίας είτε ως Εκτελών την Επεξεργασία, έχει θεσπίσει την παρούσα πολιτική προκειμένου να κοινοποιούνται, προς κάθε ενδιαφερόμενο ή εμπλεκόμενο στις διαδικασίες διαχείρισης δεδομένων, οι βασικές αρχές του Πανεπιστημίου.

H Πολιτική του Ιδρύματος καθώς και το σύνολο των ακολουθούμενων διαδικασιών έχουν θεσπιστεί με βάση τους παρακάτω πυλώνες αξιών:

  1. Τα προσωπικά δεδομένα αποτελούν μοναδική περιουσία κάθε φυσικού προσώπου και πρέπει να προστατεύονται από τη λανθασμένη ή μη εξουσιοδοτημένη επεξεργασία.
  2. Η ιδιωτικότητα είναι βασικό δικαίωμα του εκάστοτε φυσικού προσώπου, το οποίο σε καμία περίπτωση δεν πρέπει να καταπατάται.
  3. Ο βασικός τρόπος προστασίας των δεδομένων είτε είναι σε ηλεκτρονική είτε είναι σε έντυπη μορφή είναι πρωτίστως η διασφάλιση της ελεγχόμενης πρόσβασης και η διατήρηση κατάλληλων υποδομών για την επεξεργασία τους.
  4. Σε κάθε περίπτωση πρέπει να διαφυλάσσεται η ιδιωτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των δεδομένων.

Το ΕΛΜΕΠΑ επιλέγει τις διαδικασίες και τους μηχανισμούς ασφαλείας που θα υιοθετεί για κάθε επιμέρους υποδομή ή διεργασία εφαρμόζοντας έναν ευρύτερο στρατηγικό σχεδιασμό που βασίζεται στα παρακάτω στάδια:

  1. Αναγνώριση των δεδομένων και των ροών τους.
  2. Αξιολόγηση υφιστάμενων πρακτικών βάσει νομικών απαιτήσεων.
  3. Εκπόνηση μελέτης Αντίκτυπου Κινδύνου από την επεξεργασία δεδομἐνων (DPIA) για τον υπολογισμό του τελικού αντίκτυπου των επιπτώσεων στα φυσικά πρόσωπα, όπου αυτό χρειάζεται.
  4. Καθορισμό μηχανισμών βάσει των αποτελεσμάτων της παραπάνω ανάλυσης και υπολογισμό του εναπομείναντος ρίσκου.

Με βάση τα παραπάνω, προκειμένου το ίδρυμα να είναι σε θέση να συμμορφώνεται τόσο με το νομικό πλαίσιο όσο και με τις αρχές, έχουν υιοθετηθεί οι παρακάτω μηχανισμοί, διαδικασίες και μέτρα:

  1. Πολιτική ελέγχου φυσικής πρόσβασης στις εγκαταστάσεις του ιδρύματος όπου πραγματοποιείται επεξεργασία ή/και αποθήκευση δεδομένων προσωπικού χαρακτήρα: διαβαθμισμένη πρόσβαση εργαζομένων, συνεχής συνοδεία επισκεπτών, αρχεία καταγραφής πρόσβασης (access logs) κτλ.
  2. Πολιτική ελέγχου λογικής πρόσβασης (κατανομή ρόλων και αντίστοιχη απόδοση δικαιωμάτων πρόσβασης, λογαριασμούς χρηστών (user accounts), πολιτική προστασίας όλων των πληροφοριακών συστημάτων).
  3. Μέτρα ενεργητικής και παθητικής πυροπροστασίας.
  4. Διαδικασίες διαχωρισμού αρμοδιοτήτων (περιγραφές θέσεων εργασίας (job descriptions), διάκριση καθηκόντων και περιοχής ευθύνης (separated duties & areas of responsibility), αναλυτικές διαδικασίες για την λειτουργία).
  5. Διαδικασίες επιλογής και αξιολόγησης προσωπικού (απαιτήσεις σε προσόντα και συστάσεις, υπογραφή συμβάσεων εχεμύθειας – εμπιστευτικότητας – τραπεζικού απορρήτου).
  6. Μέτρα προστασίας πληροφοριακών συστημάτων (προσαρμοσμένες πολιτικές του τοίχους ασφαλείας (firewall customized policies), έλεγχος της κίνησης (traffic control), αρχεία καταγραφής της κίνησης (traffic logs), αντιικό σε εξυπηρετητές και υπολογιστές-πελάτες (antivirus σε servers & clients), συστήματα αδιάλειπτης παροχής ενέργειας (ups systems), κλείδωμα των Η/Υ (computer locking), έλεγχος πρόσβασης (access control) κτλ).
  7. Διαδικασίες συστηματικών ελέγχων (εσωτερικές επιθεωρήσεις, εξωτερικές επιθεωρήσεις, φορείς πιστοποίησης, εσωτερικοί συνεχείς έλεγχοι για την τήρηση των μέτρων ελέγχου).
  8. Πρακτικές παρακολούθησης υποδομών (συναγερμός ασφαλείας, ομάδα άμεσης επέμβασης και υπηρεσίες περιπολίας (patrol services), ανιχνευτές κίνησης, ανιχνευτές πυρασφάλειας).
  9. Διαχείριση συνεργατών – προμηθευτών (διαδικασίες και κριτήρια για την επιλογή – αξιολόγηση, διενέργεια ελέγχων στους προμηθευτές και συνεργάτες, σύναψη δεσμευτικών συμβάσεων συνεργασίας με ειδικούς όρους περί εχεμύθειας – εμπιστευτικότητας – προστασίας δεδομένων).

Ως Υπεύθυνο Προστασίας Δεδομένων το Ίδρυμα έχει ορίσει την εταιρεία ΠΡΟΩΘΗΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΕΞΥΠΗΡΕΤΗΣΗΣ ΕΠΕ με υπεύθυνο φυσικό πρόσωπο τον κ. Θεμιστοκλή Σιώρο. Εφ’ όσον επιθυμείτε την άμεση επικοινωνία σας με τον DPO του ιδρύματος, μπορείτε να χρησιμοποιήσετε το email dpo@hmu.gr.