1. Εισαγωγή
1.1. Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι δικαίωμα υψίστης αξίας. Σύμφωνα με την 1η παράγραφο του άρθρου 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και την 1η παράγραφο του άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης («ΣΛΕΕ»), κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
1.2. Στις 25/05/2018, τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679. Στόχος του εν λόγω Κανονισμού (εφεξής ο «Κανονισμός» κι ευρέως γνωστός ως General Data Protection Regulation – «GDPR»), ήταν η αυστηροποίηση του πλαισίου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και η ελεύθερη κυκλοφορία των δεδομένων αυτών.
1.3. Η θέσπιση της παρούσας Πολιτικής, αποσκοπεί στην εκπλήρωση της υποχρέωσης του Γραφείου, η οποία απορρέει από το Άρθρο 13 του Κανονισμού, να παρέχει πληροφόρηση στους πολίτες, για το πώς χρησιμοποιεί τα δεδομένα που συλλέγει/διατηρεί, υπό την ιδιότητα και τον ρόλο του ως υπεύθυνου επεξεργασίας.
2. Όροι
2.1. Στον Κανονισμό, οι κάτωθι όροι ερμηνεύονται ως ακολούθως:
«δεδομένα προσωπικού χαρακτήρα» (στο εξής «ΔΠΧ») είναι η κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
«επεξεργασία» είναι η κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή δεδομένων προσωπικού χαρακτήρα
«Υπεύθυνος Επεξεργασίας» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Εκτελών την Επεξεργασία» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για κατά εντολή και για λογαριασμό του υπευθύνου επεξεργασίας.
«Υποκείμενο των Δεδομένων» (στο εξής «ΥΤΔ») είναι το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, βάσει αριθμού ταυτότητας ή βάσει συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του, από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
«Αποδέκτης» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
«Τρίτος» είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
3. Επεξεργασία ΔΠΧ από το Γραφείο του Χρηματοοικονομικού Επιτρόπου
3.1. Το Γραφείο επεξεργάζεται ΔΠΧ, στο πλαίσιο εκτέλεσης των καθηκόντων, των αρμοδιοτήτων και εξουσιών του, καθώς και της νόμιμης λειτουργίας και της συνεργασίας του με πολίτες και εταιρείες/οργανισμούς του δημοσίου ή ιδιωτικού τομέα. Σημειώνεται ότι το Γραφείο έχει πρόσβαση σε όλα τα ΔΠΧ και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση της αποστολής του και την άσκηση των εξουσιών του, χωρίς να δύναται να του αντιταχθεί κανενός είδους απόρρητο, εξαιρουμένου μόνο του δικηγορικού απορρήτου.
i. Επεξεργασία δεδομένων σε σχέση με την υποβολή παραπόνων/ καταγγελιών/ αιτήσεων για αναδιαρθρώσεις
3.2. Η συλλογή και η επεξεργασία ΔΠΧ από το Γραφείο, γίνεται στις πιο κάτω περιπτώσεις:
(α) Η επεξεργασία των ΔΠΧ, γίνεται για σκοπούς εξέτασης αιτημάτων, παραπόνων και καταγγελιών που υποβάλλονται από ΥΤΔ και σχετίζονται με πράξεις/παραλήψεις χρηματοοικονομικών επιχειρήσεων που εμπίπτουν στην αρμοδιότητά του Χρηματοοικονομικού Επιτρόπου, σύμφωνα με τις πρόνοιες του περί της Σύστασης και Λειτουργίας του Ενιαίου Φορέα Εξώδικης Επίλυσης Διαφορών Χρηματοοικονομικής Φύσης Νόμου του 2010.
(β) Το Γραφείο συλλέγει τα ΔΠΧ απευθείας από τα υποκείμενα των δεδομένων, από τους νόμιμους εκπροσώπους τους ή από τις χρηματοοικονομικές επιχειρήσεις.
(γ) Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του άρθρου 6(1)(α), (γ) και (ε) του Κανονισμού, δυνάμει των οποίων το Γραφείο επεξεργάζεται και αποκτά πρόσβαση σε όλα τα ΔΠΧ που απαιτούνται για την εκτέλεση των καθηκόντων του.
(δ) Τα ΔΠΧ, τα οποία κατά κανόνα συλλέγονται, είναι το ονοματεπώνυμο, τα στοιχεία ταυτότητας και επικοινωνίας του παραπονούμενου και τυχόν άλλα προσωπικά δεδομένα που, ενδεχομένως, αποκαλύψει ο παραπονούμενος. Τέτοια, σχετίζονται με την ιδιαίτερη κατάσταση του σε σχέση με το παράπονο/καταγγελία/αίτηση (π.χ. οικονομικά, επαγγελματικά, δεδομένα υγείας κ.α.), καθώς και ΔΠΧ αναφορικά με τον Καθ’ ου το Παράπονο.
ii. Επεξεργασία ΔΠΧ για σκοπούς συνεργασίας στα θέματα των αρμοδιοτήτων του Γραφείου με τα αρμόδια όργανα άλλων κρατών μελών και με τις αρμόδιες εποπτικές αρχές της Δημοκρατίας
3.3. Η επεξεργασία γίνεται για σκοπούς συνεργασίας στα θέματα των αρμοδιοτήτων του Γραφείου με τα αρμόδια όργανα άλλων κρατών μελών και με τις αρμόδιες εποπτικές αρχές της Δημοκρατίας, σύμφωνα με τις πρόνοιες του άρθρου 24 του περί της Σύστασης και Λειτουργίας του Ενιαίου Φορέα Εξώδικης Επίλυσης Διαφορών Χρηματοοικονομικής Φύσης Νόμου του 2010. Σημειώνεται ότι το Γραφείο συλλέγει τα ΔΠΧ από τους καταναλωτές.
3.4. Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του άρθρου 6(1)(α), (γ) και (ε) του Κανονισμού, δυνάμει των οποίων το Γραφείο επεξεργάζεται και αποκτά πρόσβαση σε όλα τα ΔΠΧ που απαιτούνται για την εκτέλεση των καθηκόντων του και προς το δημόσιο συμφέρον/ άσκηση Δημόσιας εξουσίας.
3.5. Τα ΔΠΧ, τα οποία κατά κανόνα συλλέγονται, είναι τα ακόλουθα:
– Στοιχεία ταυτοποίησης,
– Στοιχεία επικοινωνίας,
– Στοιχεία για την επεξεργασία του παραπόνου του καταναλωτή.
iii. Επεξεργασία ΔΠΧ για τους σκοπούς τήρησης μητρώων
3.6. Η επεξεργασία των ΔΠΧ, γίνεται για σκοπούς τήρησης του Ειδικού Μητρώου Διαμεσολαβητών και του Ειδικού Μητρώου Εγκεκριμένων Αναλυτών Χρηματοοικονομικών Παραπόνων, σύμφωνα με τις πρόνοιες του άρθρου 9(1)(κ) του περί της Σύστασης και Λειτουργίας του Ενιαίου Φορέα Εξώδικης Επίλυσης Διαφορών Χρηματοοικονομικής Φύσης Νόμου του 2010. Το Γραφείο συλλέγει τα ΔΠΧ από τους χρηματοοικονομικούς αναλυτές και τους διαμεσολαβητές, οι οποίοι επιθυμούν να εγγραφούν στα εν λόγω μητρώα.
3.7. Η νομική βάση μπορεί να αντληθεί από τις διατάξεις του άρθρου 6(1)(α) του Κανονισμού, δυνάμει των οποίων το ΥΤΔ έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς.
3.8. Τα ΔΠΧ, τα οποία κατά κανόνα συλλέγονται, είναι τα ακόλουθα:
– Στοιχεία ταυτοποίησης,
– Στοιχεία επικοινωνίας,
– Στοιχεία πτυχίων και προσόντων.
4. Αποδέκτες δεδομένων
4.1. Τα ΔΠΧ, κατά κανόνα, δεν κοινοποιούνται ούτε διαβιβάζονται σε τρίτους. Σε ορισμένες, ωστόσο, περιπτώσεις, το Γραφείο έχει την υποχρέωση να κοινοποιεί τα δεδομένα των υποκειμένων σε τρίτους, στο πλαίσιο της εκτέλεσης των καθηκόντων, των εξουσιών και αρμοδιοτήτων του. Για παράδειγμα, μπορεί να καταστεί αναγκαίο το Γραφείο να μοιραστεί ΔΠΧ με άλλες δημόσιες Αρχές ή ομόλογες εποπτικές αρχές, ή με Δικαστικές Αρχές, με Αρχές επιβολής του νόμου και τη Νομική Υπηρεσία. Διευκρινίζεται ότι κάτι τέτοιο μπορεί να γίνει μόνο εάν επιβάλλεται από το νόμο, ή στο πλαίσιο δικαστικής διαδικασίας, ή κατά τη διεκπεραίωση καταγγελιών, αιτημάτων ή ελέγχων.
4.2. Σημειώνεται, επίσης, ότι μπορεί να υπάρξει ανταλλαγή πληροφοριών με εμπειρογνώμονα ο οποίος παρέχει υπηρεσίες στο Γραφείο, στο πλαίσιο της εκτέλεσης των, δυνάμει της σύμβασής του, καθηκόντων του.
4.3. Σημειώνεται περαιτέρω πως, όταν διεξάγεται έλεγχος από τον Γενικό Ελεγκτή της Δημοκρατίας ή από άλλους εξωτερικούς συνεργάτες του Φορέα, οι ίδιες υποχρεώσεις, σε ό,τι αφορά στην προστασία των ΔΠΧ, επιβάλλονται μέσω των όρων της σχετικής σύμβασης και στους εντεταλμένους συνεργάτες. Και αυτό, προκειμένου να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του Κανονισμού.
5. Χρόνος Τήρησης ΔΠΧ
5.1. Η διατήρηση των ΔΠΧ από το Γραφείο, αποφασίζεται ανάλογα με κάθε επιδιωκόμενο σκοπό και καθορίζεται στη βάση της πολιτικής διατήρησης των εν λόγω δεδομένων. Για τον καθορισμό της υπό συζήτηση χρονικής περιόδου, λαμβάνονται υπόψιν οι επιβαλλόμενες υποχρεώσεις από την εθνική ή ενωσιακή νομοθεσία, καθώς επίσης και οι πρόνοιες του περί Κρατικού Αρχείου Νόμου Ν. 208/1991. Επιπροσθέτως, η διατήρησή τους γίνεται, λαμβανομένου υπόψιν και άλλων κανόνων ή σχετικών εγκυκλίων του Τμήματος Δημόσιας Διοίκησης και Προσωπικού, αφού προηγουμένως έτυχαν σχετικής διαβούλευσης με το Γραφείο.
6. Δικαιώματα ΥΤΔ
6.1. Δυνάμει της ισχύουσας νομοθεσίας και τηρουμένων πάντοτε των περιορισμών που τίθενται από την κατά περίπτωση νομική βάση της επεξεργασίας, τα ΥΤΔ έχουν τα ακόλουθα δικαιώματα:
Δικαίωμα πρόσβασης
6.1.1. Τα ΥΤΔ έχουν το δικαίωμα να ζητήσουν πληροφορίες για την επεξεργασία των ΔΠΧ από το Γραφείο, καθώς και αντίγραφα εγγράφων που περιλαμβάνουν δικά τους ΔΠΧ. Μπορούν, επίσης, να τύχουν, μεταξύ άλλων, ενημέρωσης και για τους σκοπούς της επεξεργασίας, τις κατηγορίες των δεδομένων, τον χρόνο φύλαξης τους, τους αποδέκτες, καθώς και την προέλευσή τους.
Δικαίωμα διόρθωσης
6.1.2. Τα ΥΤΔ έχουν το δικαίωμα να αιτηθούν την διόρθωση/ επικαιροποίηση/ συμπλήρωση ανακριβών ΔΠΧ που τους αφορούν.
Δικαίωμα διαγραφής
6.1.3. Τα ΥΤΔ έχουν το δικαίωμα διαγραφής των ΔΠΧ τους, το οποίο θα ικανοποιείται υπό τις προϋποθέσεις του άρθρου 17 του Κανονισμού, όπως, για παράδειγμα, εφόσον δεν υπάρχει νομική υποχρέωση για τη διατήρησή τους.
Δικαίωμα περιορισμού της επεξεργασίας
6.1.4. Τα ΥΤΔ έχουν το δικαίωμα να αιτηθούν περιορισμό της επεξεργασίας, στις κάτωθι περιπτώσεις:
(α) όταν αμφισβητείται η ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση,
(β) όταν αντιτίθενται στη διαγραφή προσωπικών δεδομένων και ζητούν αντί διαγραφής τον περιορισμό της χρήσης αυτών,
(γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς της επεξεργασίας, είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και
(δ) όταν εναντιώνονται στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που υπερισχύουν των λόγων για τους οποίους εναντιώνονται στην επεξεργασία.
Δικαίωμα γνωστοποίησης
6.1.5. Ο Υπεύθυνος Επεξεργασίας, ενημερώνει για κάθε διόρθωση ή διαγραφή δεδομένων ή περιορισμό της επεξεργασίας σε κάθε αποδέκτη, στον οποίο γνωστοποιήθηκαν νόμιμα τα προσωπικά δεδομένα του. Ενημερώνει, επίσης, αναλόγως το υποκείμενο των δεδομένων.
Δικαίωμα στη φορητότητα
6.1.6. Το πιο πάνω δικαίωμα, ισχύει μόνον εάν το Γραφείο επεξεργάζεται τα ΔΠΧ με βάση τη συγκατάθεση των ΥΤΔ ή για τον σκοπό της σύναψης ή της εκτέλεσης σύμβασης. Σημειώνεται ότι η επεξεργασία είναι αυτοματοποιημένη και αφορά μόνον τα ΔΠΧ που έχουν παραχωρήσει τα ίδια τα ΥΤΔ. Σε τέτοια περίπτωση, τα ΥΤΔ έχουν δικαίωμα να λάβουν, χωρίς χρέωση, τα ΔΠΧ που τους αφορούν σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο ή να αιτηθούν, εφόσον είναι τεχνικά εφικτό, να διαβιβάσει το Γραφείο τα δεδομένα απευθείας σε άλλον υπεύθυνο επεξεργασίας.
Δικαίωμα Εναντίωσης
6.1.7. Τα ΥΤΔ έχουν το δικαίωμα της εναντίωσης στην επεξεργασία των ΔΠΧ που τους αφορούν, η οποία βασίζεται στο δημόσιο συμφέρον / άσκηση δημόσιας εξουσίας ή στο έννομο συμφέρον, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του. Σε αυτή την περίπτωση, σταματά η επεξεργασία των ΔΠΧ που τους αφορούν, εκτός εάν:
– υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών των ΥΤΔ ή
– για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
7. Υπεύθυνος Επεξεργασίας Δεδομένων
7.1. Για κάθε επεξεργασία προσωπικών δεδομένων που διενεργείται στο πλαίσιο κάθε πιθανής αλληλεπίδρασής σας με το Γραφείο, Υπεύθυνος Επεξεργασίας είναι το ΓΡΑΦΕΙΟ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΟΥ ΕΠΙΤΡΟΠΟΥ
7.2. Τα στοιχεία επικοινωνίας του Γραφείου, είναι τα ακόλουθα:
– Διεύθυνση: Κυπράνορος 15, 1061 Λευκωσία
– Τηλέφωνο: +357 22848919
– Φαξ: +357 22660118
– Email: dataprotection@financialombudsman.gov.cy
8. Υπεύθυνος Προστασίας Δεδομένων (DPO)
8.1. Για την άσκηση των δικαιωμάτων των ΥΤΔ, καθώς και για κάθε ζήτημα που άπτεται της επεξεργασίας ΔΠΧ από το Γραφείο, μπορείτε να επικοινωνείτε με τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Γραφείου (υπεύθυνος επεξεργασίας), στην ηλεκτρονική διεύθυνση dataprotection@financialombudsman.gov.cy ή στην ταχυδρομική διεύθυνση του Γραφείου, οδός Κυπράνορος 15, 1061 Λευκωσία, υπόψιν του Υπεύθυνου Προστασίας Δεδομένων.
8.2. Νοείται ότι το Γραφείο θα καταβάλει κάθε δυνατή προσπάθεια να απαντήσει σε έκαστο αίτημα, χωρίς καθυστέρηση, και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Σημειώνεται ότι, σε εξαιρετικές περιπτώσεις, η εν λόγω προθεσμία δύναται, ευλόγως, να παραταθεί, λαμβάνοντας υπόψιν την πολυπλοκότητα του αιτήματος ή/και τον αριθμό των αιτημάτων.
9. Πληρωμή τέλους
9.1. Δεν απαιτείται η καταβολή οποιουδήποτε τέλους από τα ΥΤΔ, για την άσκηση των δικαιωμάτων τους. Ωστόσο, ενδέχεται να επιβληθεί εύλογο τέλος, εάν το αίτημά τους για πρόσβαση κρίνεται από το Γραφείο σαφώς αβάσιμο, καταχρηστικό ή υπερβολικό.
Η τελευταία αναθεώρηση της παρούσης Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, πραγματοποιήθηκε τον Οκτώβριο του 2023.