Πολιτική για τη συλλογή και χρήση ευαίσθητων προσωπικών δεδομένων

Το Πανεπιστήμιο μέσω των Διοικητικών Υπηρεσιών του σε συγκεκριμένες περιπτώσεις συλλέγει και επεξεργάζεται ειδικών κατηγοριών προσωπικά δεδομένα (ή αλλιώς ευαίσθητα προσωπικά δεδομένα).

Σύμφωνα με τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων (679/2016/ΕΕ) (ΓΚΠΔ ή GDPR) δεδομένα ειδικών κατηγοριών ορίζονται τα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

Οι κύριες κατηγορίες προσωπικών δεδομένων ειδικής κατηγορίας από τις ανωτέρω που επεξεργάζεται το Πανεπιστήμιο στα πλαίσια διεκπεραίωσης της λειτουργίας του είναι:

  • δεδομένα (σωματικής ή/και ψυχικής) υγείας εργαζομένων, φοιτητών, αποφοίτων ή/και συγγενών αυτών, συμμετεχόντων σε έρευνες (π.χ. βεβαίωση ασθένειας, αναπηρίας, πιστοποιητικό υγείας, στοιχεία στο πλαίσιο παροχής ψυχολογικής/ψυχοκοινωνικής στήριξης, δεδομένα έρευνας κ.λπ.),
  • δεδομένα υγείας τρίτων λόγω της λειτουργίας της Επιτροπής Προσφυγών από μέλη του Τμήματος Ιατρικής του Πανεπιστημίου
  • δεδομένα θρησκεύματος φοιτητών,
  • δεδομένα φυλετικής ή εθνοτικής καταγωγής φοιτητών και αποφοίτων (π.χ. για παροχή ψυχοκοινωνικής στήριξης)
  • δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη συμμετοχή σε συνδικαλιστική οργάνωση (π.χ. άδειες συνδικαλιστικού τύπου και σχετικά στοιχεία)

Το Πανεπιστήμιο αναγνωρίζοντας την κρισιμότητα των δεδομένων αυτών και τη σημασία διαφύλαξης της προστασίας τους τηρεί τις ακόλουθες αρχές:

  • Ορίζει και συλλέγει σε κάθε περίπτωση τα απολύτως απαραίτητα προσωπικά δεδομένα:
    • όπως αυτά προδιαγράφονται κάθε φορά σε σχετικές νομοθεσίες, προεδρικά διατάγματα, υπουργικές αποφάσεις, κ.λπ.
    • με βάση τον σκοπό επεξεργασίας.
  • Διενεργεί επεξεργασία των εν λόγω δεδομένων στηριζόμενος στις νομιμοποιητικές βάσεις του άρθρου 9 του ΓΚΠΔ, οι οποίες επιλέγονται κάθε φορά σε συνεργασία του Επικεφαλής της Διεύθυνσης που διενεργείται η επεξεργασία, της Νομικής υπηρεσίας του Πανεπιστημίου και του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) ή του Αναπληρωτή Υπεύθυνου Προστασίας Δεδομένων (Αν. ΥΠΔ) και αποτυπώνονται στο Αρχείο Δραστηριοτήτων Επεξεργασίας.Συγκεκριμένα, οι βάσεις νομιμότητας της επεξεργασίας με βάση τον Ευρωπαϊκό Κανονισμό 679/2016/ΕΕ (GDPR) αφορούν επεξεργασία, η οποία:
    • βασίζεται στη ρητή συγκατάθεση που έχει παρασχεθεί από το υποκείμενο των δεδομένων για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων (άρθρο 9.2 α/ΓΚΠΔ),
    • είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων (άρθρο 9.2 β/ΓΚΠΔ),
    • είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί (άρθρο 9.2 γ/ΓΚΠΔ),
    • διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 9.2 δ/ΓΚΠΔ),
    • αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων (άρθρο 9.2 ε/ΓΚΠΔ),
    • είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα (άρθρο 9.2 στ/ΓΚΠΔ),
    • είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων (άρθρο 9.2 ζ/ΓΚΠΔ),
    • είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3 του άρθρου 9 του ΓΚΠΔ (άρθρο 9.2 η/ΓΚΠΔ),
    • λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατρο-τεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου (άρθρο 9.2 θ/ΓΚΠΔ),
    • είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων (άρθρο 9.2 ι/ΓΚΠΔ).
  • Μεριμνά για την τήρηση της ακεραιότητας και εμπιστευτικότητας. Συγκεκριμένα, πρόσβαση στα εν λόγω δεδομένα έχουν μόνο εξουσιοδοτημένοι υπάλληλοι από κάθε Διεύθυνση/Τμήμα και όχι όλα τα στελέχη. Αυτό ισχύει τόσο για το φυσικό αρχείο όσο και για το ηλεκτρονικό. Το Πανεπιστήμιο ενημερώνει τα στελέχη αυτά για την παρούσα Πολιτική και την υποχρέωσή τους για τήρηση της εμπιστευτικότητας των δεδομένων που λαμβάνουν γνώση και διαχειρίζονται και τις σχετικές συνέπειες μη τήρησης αυτής.Ειδικότερα, βάσει του άρθρου 22 παρ. 3 του Ν. 4624/2019 το Πανεπιστήμιο λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και στις ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, προβαίνει στην υλοποίηση των παρακάτω ενδεδειγμένων μέτρων που προτείνει η νομοθεσία:
    • τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ,
    • μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο προσδιορισμός του εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή αφαιρεθεί τα προσωπικά δεδομένα,
    • μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία,
    • περιορισμοί πρόσβασης εντός του Πανεπιστημίου και στους εκτελούντες την επεξεργασία,
    • η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα,
    • η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα,
    • μέτρα για τη διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος,
    • διαδικασίες για την τακτική δοκιμή, εκτίμηση κα αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας,
    • ειδικοί κανόνες διασφάλισης της συμμόρφωσης με τη νομοθεσία και τον ΓΚΠΔ σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς,
    • ορισμό Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ/DPO).
  • Πληροφορεί το φυσικό πρόσωπο για την επεξεργασία που πρόκειται να διενεργηθεί με τα δεδομένα που συλλέγονται, παρέχοντας τα ακόλουθα σημεία στα κείμενα πληροφόρησης που συντάσσονται για τις επεξεργασίας των δεδομένων:
    • την ταυτότητα και τα στοιχεία επικοινωνίας του Πανεπιστημίου ως υπευθύνου επεξεργασίας (ή/και άλλων οργανισμών που λειτουργούν με το Πανεπιστήμιο ως από κοινού υπεύθυνοι επεξεργασίας),
    • τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) και του Αναπληρωτή Υπεύθυνου Προστασίας Δεδομένων (Αν. ΥΠΔ),
    • τους σκοπούς της επεξεργασίας, για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομιμοποιητική βάση για την επεξεργασία,
    • εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του ΓΚΠΔ, τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
    • τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,
    • την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία κατάλληλων εγγυήσεων για τη διαβίβαση,
    • το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
    • την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος εναντίωσης/αντίρρησης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, και τους τρόπους άσκησης των δικαιωμάτων αυτών,
    • όταν η επεξεργασία βασίζεται στη συγκατάθεση του φυσικού προσώπου, την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
    • το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
    • κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,
    • την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων (εφόσον εφαρμόζεται ή εφαρμοστεί μελλοντικά), συμπεριλαμβανομένης της κατάρτισης προφίλ, και, τουλάχιστον για αυτές τις περιπτώσεις, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
    • Στις περιπτώσεις όπου τα δεδομένα δεν έχουν συλλεχθεί απευθείας από το φυσικό πρόσωπο, επιπρόσθετα των ανωτέρω να παρέχεται ενημέρωση σχετικά με τις κατηγορίες των προσωπικών δεδομένων και την πηγή άντλησης/ λήψης των δεδομένων (και ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό), όπως επίσης και βάσει ποιου πλαισίου (π.χ. συνεργασία με άλλο φορέα).
  • Οι Διευθύνσεις/Τμήματα του Πανεπιστημίου τηρούν τα οριζόμενα στη “Διαδικασία για την αποθήκευση και καταστροφή των δεδομένων” για την προστασία τόσο του φυσικού όσο και του ηλεκτρονικού αρχείου.
  • Ορίζει χρόνους τήρησης και για τα δεδομένα ειδικών κατηγοριών δεδομένων, σύμφωνα με την εθνική νομοθεσία και τους σκοπούς επεξεργασίας των δεδομένων, καταγράφει τους χρόνους στο έντυπο «Μητρώο χρόνων τήρησης και καταστροφής δεδομένων» και μεριμνά για την ασφαλή καταστροφή αυτών, βάσει των πολιτικών/διαδικασιών που έχει αναπτύξει, όταν ο χρόνος τήρησης παρέλθει.
  • Σε περίπτωση που ασκούνται αιτήματα δικαιωμάτων φυσικών προσώπων από τα social media, ακολουθείται η σχετική διαδικασία διαχείρισης αιτημάτων δικαιωμάτων, ωστόσο σημειώνετια ότι για την απάντηση προτιμάται η λήψη από το φυσικό πρόσωπο διεύθυνσης (ταχυδρομικής ή ηλεκτρονικής) που να μπορεί να σταλεί η απάντηση σε αυτή και δεν απαντώνται αιτήματα πολιτών μέσω social media και ειδικότερα αυτά που εμπεριέχουν δεδομένα ειδικών κατηγοριών (π.χ. δεδομένα υγείας).
  • Επιπλέον, τηρεί όλες τις ανωτέρω απαιτήσεις, καθώς και τις απαιτήσεις του ΓΚΠΔ τόσο στην καθημερινή επεξεργασία δεδομένων, όσο και σε επεξεργασία δεδομένων για τη διαφάνεια της λειτουργίας, όπως κατά την ανάρτηση πράξεων, οι οποίες εμπεριέχουν ευαίσθητα προσωπικά δεδομένα, στην ηλεκτρονική πλατφόρμα «Διαύγεια» ή σε άλλη δημόσια ιστοσελίδα. Και σε αυτές τις περιπτώσεις λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων που αφορούν οι πράξεις αυτές (π.χ. ελαχιστοποίηση των δεδομένων που δημοσιεύονται).

    Η παρούσα Πολιτική εφαρμόζεται από το σύνολο του προσωπικού του Πανεπιστημίου και συνεργατών που αναλαμβάνουν την επεξεργασία προσωπικών δεδομένων ειδικών κατηγοριών για λογαριασμό του.

    Η παρούσα τέθηκε σε ισχύ στις 02/10/2025. Σε περίπτωση τροποποίησής της θα αναφέρεται η ημερομηνία που αυτή έλαβε χώρα. Ισχύουσα θεωρείται πάντοτε η Πολιτική για τη συλλογή και χρήση ευαίσθητων προσωπικών δεδομένων, όπως διαμορφώθηκε από την πιο πρόσφατη τροποποίηση.