Πολιτική προστασίας προσωπικών δεδομένων
Πολιτική προστασίας προσωπικών δεδομένων (Privacy Policy)
Κατά την υλοποίηση ενός έργου συμβουλευτικής συγκεντρώνονται δεδομένα χρηστών τα οποία συγκροτούν τα αντίστοιχα Μητρώα (Συμβουλευομένων, Συμβούλων, κ.ο.κ.), αλλά και δεδομένα που εισάγονται με την υλοποίηση των επιμέρους δράσεων του έργου (Συμπλήρωση ψυχομετρικών εργαλείων ή άλλων ερωτηματολογίων, αποτελέσματα συνεδριών, κ.α.) Η αποτελεσματική προστασία των προσωπικών δεδομένων των χρηστών κρίνεται ως θέμα ύψιστης σημασίας τόσο λειτουργικά όσο και ως υποχρέωση συμμόρφωσης με τους κανονισμούς και τις αρχές που ορίζει ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (2016/679) – (GDPR).
Το σύστημα παρέχει τις παρακάτω σχετικές λειτουργικότητες:
• Λειτουργία σε περιβάλλον HTTPS. Όλες οι επιμέρους λειτουργίες παρέχονται εντός πρωτοκόλλου HTTPS και πάνω από secure channel SSL/TLS. Συμπεριλαμβάνονται όλες οι αιτήσεις (requests) προς τον server
• Αποδοχή / Συναίνεση συλλογής δεδομένων. Το σύστημα παρέχει λειτουργικότητες καταχώρησης και καταγραφής της συναίνεσης του χρήστη αναφορικά με τη συλλογή και διαχείριση των δεδομένων που έχει ήδη εισάγει στο σύστημα (λ.χ. κατά την αίτησή του) ή των δεδομένων που θα συλλεχθούν κατά τη διάρκεια υλοποίησης των δράσεων συμβουλευτικής.
• Ενημέρωση περί συλλεγόμενων δεδομένων. Ο χρήστης μπορεί να ενημερωθεί αναλυτικά και με σαφή τρόπο για το ποια δεδομένα συλλέγονται, τους λόγους για τους οποίους γίνεται η συλλογή τους, τον τρόπο χρήσης τους, καθώς επίσης και για τη διάρκεια διατήρησης αυτών των δεδομένων στο σύστημα. Επίσης, μπορεί να ενημερωθεί αναλυτικά για τους όρους χρήσης του συστήματος και τις διαδικασίες συμβουλευτικής στις οποίες θα συμμετάσχει. Στη συνέχεια, επιλέγει να δηλώσει τη σχετική συγκατάθεσή του (consent) συνολικά ή επιμερισμένα.
• Διαδικασία παύσης συμμετοχής. Αφορά τις περιπτώσεις όπου για διάφορους λόγους ένας χρήστης επιθυμεί να διακόψει τη συμμετοχή του στο έργο. Το σύστημα παρέχει και εδώ αντίστοιχες δυνατότητες, υποστηρίζοντας διαδικασίες παύσης της συγκατάθεσης συμμετοχής, και διαδικασίες "διακοπής επεξεργασίας δεδομένων". Ο χρήστης μπορεί να αποχωρήσει από το πρόγραμμα, αλλά σε κάθε περίπτωση ενημερώνεται με σαφή τρόπο για το ποια δεδομένα του θα διατηρηθούν και για το χρονικό διάστημα τήρησης αυτών μέχρι τη διαγραφή τους.
• Πολιτική ασφάλειας κωδικών πρόσβασης. Το σύστημα υποστηρίζει:
* Πολιτική πολυπλοκότητας κωδικών (ελάχιστο πλήθος χαρακτήρων, συμπερίληψη special characters, συμπερίληψη χαρακτήρων με κεφαλαία, συμπερίληψη αριθμητικών χαρακτήρων).
* Παραγωγή κωδικών με τυχαίο τρόπο και σύμφωνα με την πολιτική πολυπλοκότητας χωρίς την επέμβαση φυσικού προσώπου (διαχειριστή)
* Διαδικασίες επαναφοράς κωδικού χωρίς υπενθύμιση και χωρίς την επέμβαση φυσικού προσώπου (διαχειριστή)
* Διαδικασίες υποχρεωτικής αλλαγής κωδικού (λ.χ. κατά την 1η είσοδο στο σύστημα)
• Πολιτική / διαδικασία διαχείρισης των διαφορετικών δικαιωμάτων / προσβάσεων των χρηστών στο σύστημα. Όπως αναφέρθηκε στην ενότητα «Διαχείριση Χρηστών», το σύστημα έχει δομηθεί υιοθετώντας μια λογική ρόλων και δικαιωμάτων. Οι ρόλοι δημιουργούνται και λειτουργούν με τρόπο ιεραρχικό, όντας συνδεδεμένοι με αντίστοιχα permissions που με τη σειρά τους ορίζουν τη δυνατότητα πρόσβασης σε συγκεκριμένες λειτουργίες του συστήματος και σε συγκεκριμένα δεδομένα αυτού. Η λογική που ακολουθείται είναι αυτή της κατά το δυνατόν ελαχιστοποίησης (minimization) πρόσβασης και επεξεργασίας σε δεδομένα. Η αρχιτεκτονική των ρόλων διέπεται από μια κλιμακούμενη λογική, σύμφωνα με την οποία κάθε ρόλος που βρίσκεται χαμηλότερα στην ιεραρχία διαθέτει ένα υποσύνολο λειτουργικοτήτων και προβαλλόμενων δεδομένων σε σχέση με κάθε ρόλο που είναι «υψηλότερα» από αυτόν.
• Διαδικασία / Πολιτική ψευδωνυμοποίησης στοιχείων της βάσης δεδομένων (π.χ. data masking). Το σύστημα υποστηρίζει εφαρμογή πολιτικής ψευδωνυμοποίησης σε επιλεγμένα πεδία της βάσης δεδομένων. Η ψευδωνυμοποίηση (pseudonymization) παρέχει λειτουργία μετονομασίας των τιμών των πεδίων με βάση συγκεκριμένους αλγόριθμους έτσι ώστε οι τιμές να μην είναι αναγνωρίσιμες.
• Λειτουργία ταυτοποίησης / εξουσιοδότησης εισόδου 2 επιπέδων (2 factor authentication). Το σύστημα υποστηρίζει πλήρως διαδικασίες αυθεντικοποίησης εισόδου 2 επιπέδων. Ο χρήστης εισάγει το όνομα χρήστη (username) και τον κωδικό εισόδου (password) του. Στη συνέχεια, λαμβάνει στο προσωπικό του email ένα κωδικό πρόσβασης (token) το οποίο είναι ενεργό (valid) για περιορισμένο χρονικό διάστημα, και αποτελεί ουσιαστικά το 2ο επίπεδο ελέγχου της πρόσβασης. Η διαδικασία αυτή ισχύει για το σύνολο των χρηστών και των ρόλων του συστήματος.