Προσωπικά δεδομένα

ΓΕΝΙΚΗ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ
ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΕΕ 2016/679 GDPR

 

IDEAL Μονοπρόσωπη ΙΚΕ

 

1 ΔΗΛΩΣΗ ΠΟΛΙΤΙΚΗΣ

Η εταιρεία καθαριστηρίου και υπηρεσιών καθαρισμού Ideal (στο εξής η “Εταιρεία”) λειτουργεί ως μια σύγχρονη εταιρεία, όπου δραστηριοποιείται στην Ελλάδα και συλλέγει και επεξεργάζεται προσωπικά δεδομένα υπαλλήλων, πελατών και τρίτων συνεργατών στο πλαίσιο διεκπεραίωσης των υπηρεσιών με το καλύτερο δυνατό τρόπο.
Δεδομένης της συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στην ΕΤΑΙΡΙΑ υπάρχει ισχυρή δέσμευση επεξεργασίας αυτών σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), τους Ελληνικούς νόμους περί προστασίας δεδομένων και οποιονδήποτε άλλο σχετικό νόμο και κώδικα δεοντολογίας για την προστασία των δεδομένων (στο εξής συλλογικά θα αναφέρονται ως «νόμοι περί προστασίας Δεδομένων Προσωπικού Χαρακτήρα – ΔΠΧ»).

2 ΣΚΟΠΟΣ

Σκοπός αυτής της Πολιτικής είναι να διασφαλίσει ότι η Εταιρεία θα εκπληρώνει τις ρυθμιστικές και κανονιστικές απαιτήσεις προστασίας ΔΠΧ και θα διασφαλίζει ότι όλες οι πληροφορίες προσωπικού χαρακτήρα και τα δεδομένα των φυσικών προσώπων υποβάλλονται σε επεξεργασία σύμφωνα με το συμφέρον και τα δικαιώματα των ατόμων.

Οι νόμοι για την προστασία των ΔΠΧ περιλαμβάνουν διατάξεις που προωθούν την υπευθυνότητα και την λογοδοσία και ως εκ τούτου η Εταιρεία έχει θέσει σε εφαρμογή ολοκληρωμένα και αποτελεσματικά μέτρα διακυβέρνησης για την τήρηση αυτών των διατάξεων. Στόχος αυτών των μέτρων είναι η ελαχιστοποίηση του κινδύνου παραβίασης και της προστασίας των ΔΠΧ.

Η Πολιτική αυτή χρησιμεύει επίσης ως έγγραφο και σημείο αναφοράς για το σύνολο των υπαλλήλων και συνεργαζόμενων τρίτων σχετικά με τις ευθύνες χρήσης και πρόσβασης στα προσωπικά δεδομένα καθώς και τους μηχανισμούς διαχείρισης των αιτημάτων των υποκειμένων των δεδομένων.

3 ΕΥΡΟΣ ΕΦΑΡΜΟΓΗΣ

Η Πολιτική ισχύει για όλους τους πελάτες, το προσωπικό της Εταιρείας (μόνιμο, ορισμένου χρόνου και προσωρινής απασχόλησης προσωπικό), τρίτους αντιπροσώπους ή υπεργολάβους, εργαζόμενους που εμπλέκονται στην επεξεργασία ΔΠΧ. Η τήρηση αυτής της πολιτικής είναι υποχρεωτική και η μη συμμόρφωση μπορεί να οδηγήσει σε πειθαρχικές ενέργειες.

3.1 Ορισμοί

  • «Συναίνεση» του υποκειμένου των δεδομένων νοείται κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και αναμφισβήτητη ένδειξη της επιθυμίας του υποκειμένου των δεδομένων με την οποία αυτός ή αυτή, με δήλωση ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία των προσωπικών δεδομένων που τον αφορούν ή την αφορούν.
  • «Διασυνοριακή Επεξεργασία» νοείται η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία:
  • πραγματοποιείται σε περισσότερα του ενός Κράτη Μέλη ή
  • η οποία επηρεάζει ουσιωδώς ή ενδέχεται να επηρεάσει τα υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη.
  • «Υπεύθυνος επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο Κράτους Μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο Κράτους Μέλους.
  • «Εκτελών την επεξεργασία» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου της επεξεργασίας.
  • «Νόμοι προστασίας δεδομένων» νοούνται, για τους σκοπούς του παρόντος εγγράφου, η συλλογική περιγραφή του ΓΚΠΔ, του νομοσχεδίου προστασίας δεδομένων και κάθε άλλης σχετικής νομοθεσίας περί προστασίας δεδομένων, με την οποία συμμορφώνεται η Εταιρεία.
  • «Υποκείμενο Δεδομένων» νοείται ένα φυσικό πρόσωπο το οποίο αποτελεί το αντικείμενο των δεδομένων προσωπικού χαρακτήρα.
  • «ΓΚΠΔ» νοείται ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) (2016/679).
  • «Δεδομένα Προσωπικού Χαρακτήρα» κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε ηλεκτρονικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
  • «Προσωπικά δεδομένα ειδικών κατηγοριών» (ευαίσθητα προσωπικά δεδομένα) δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
  • «Επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
  • «Κατάρτιση προφίλ» νοείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.
  • «Αποδέκτης» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
  • «Εποπτική Αρχή» νοείται ανεξάρτητη δημόσια αρχή που έχει συσταθεί από κράτος μέλος.
  • «Τρίτος» νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

4 ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΙΣΤΟΡΙΚΗ ΑΝΑΔΡΟΜΗ)

Το Ελληνικό Κράτος ανέπτυξε και θέσπισε νόμο για την προστασία των δεδομένων προσωπικού χαρακτήρα το 1997 ταυτόχρονα με την ίδρυση της Ελληνικής Ανεξάρτητης Αρχής. Με αυτόν τον νόμο, το Ελληνικό Κράτος εισήγαγε τις απαραίτητες Ευρωπαϊκές οδηγίες και απαιτήσεις για τα κράτη μέλη σχετικά με την προστασία των προσωπικών δεδομένων κατά την επεξεργασία ή την ανταλλαγή πληροφοριών, απαιτούσε την ενημέρωση του νόμου (οδηγία 95/46/ΕΚ της ΕΕ).

Η τεχνολογία ωστόσο, και η ψηφιακή εποχή καθώς και η ραγδαία αύξηση των επιχειρήσεων και των υπηρεσιών που λειτουργούν διασυνοριακά επεσήμαναν την διεθνή ασυμφωνία των Κρατών Μελών αναφορικά με τους νόμους περί προστασίας ΔΠΧ.

Για το λόγο αυτό, τον Ιανουάριο του 2012, η ​​Ευρωπαϊκή Επιτροπή πρότεινε ένα νέο κανονισμό που θα εφαρμόζεται σε όλα τα κράτη μέλη της ΕΕ και θα φέρει μια τυποποιημένη και συνεπή προσέγγιση στην επεξεργασία και ανταλλαγή προσωπικών πληροφοριών ανάμεσα στα Κράτη Μέλη.

Τον Απρίλιο του 2016, το Συμβούλιο εγκρίνει τη θέση του σε πρώτη ανάγνωση, και τον Μάιο του ίδιου έτους τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679.

4.1 Ελληνική Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) είναι συνταγματικά κατοχυρωμένη ανεξάρτητη Αρχή. Η ΑΠΔΠΧ ιδρύθηκε με το νόμο 2472/1997, ο οποίος ενσωματώνει στο ελληνικό δίκαιο την Ευρωπαϊκή Οδηγία 95/46/ΕΚ. Η Οδηγία αυτή θέτει κανόνες για την προστασία των προσωπικών δεδομένων σε όλες τις χώρες της Ευρωπαϊκής Ένωσης.

Επίσης, όσον αφορά την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, η ΑΠΔΠΧ εφαρμόζει τον νόμο 3471/2006 που αντίστοιχα ενσωματώνει στο εθνικό δίκαιο την Ευρωπαϊκή Οδηγία 58/2002.

Στο πλαίσιο της παροχής των υπηρεσιών μας επεξεργαζόμαστε δεδομένα προσωπικού χαρακτήρα και λειτουργούμε ως Υπεύθυνος Επεξεργασίας.

4.2 Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ)
Στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε μια σημαντική μεταρρύθμιση του πλαισίου προστασίας δεδομένων της, εγκρίνοντας τη δέσμη μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, που περιλαμβάνει τον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ), ο οποίος αντικατέστησε την από εικοσαετίας ισχύουσα οδηγία 95/46/ΕΚ («Οδηγία για την προστασία των δεδομένων»). Το νέο μέσο για την προστασία των δεδομένων σε όλη την ΕΕ, ο γενικός κανονισμός για την προστασία τέθηκε σε εφαρμογή την 25η Μαΐου 2018, δύο έτη μετά την έκδοση και τη θέση του σε ισχύ.

4.2.1 Προσωπικά Δεδομένα
Οι πληροφορίες που προστατεύονται βάσει του ΓΚΠΔ είναι γνωστές ως «προσωπικά δεδομένα» και ορίζονται ως: «Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε ηλεκτρονικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.»

4.2.2 Αρχές ΓΚΠΔ
Το άρθρο 5 της νομοθεσίας για την προστασία των δεδομένων απαιτεί τα δεδομένα προσωπικού χαρακτήρα να:
1) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με ξεκάθαρο τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
2) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
3) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
4) είναι ακριβή και, όταν είναι εφικτό, επικαιροποιούνται. Λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
5) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
6) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Σύμφωνα με το άρθρο 5, παράγραφος 2, «ο υπεύθυνος της επεξεργασίας έχει την ευθύνη για την τήρηση των αρχών / κανόνων προστασίας των δεδομένων και θα πρέπει να είναι σε θέση να αποδεικνύει τη συμμόρφωσή τους («Λογοδοσία»), περιγράφοντας λεπτομερώς και συνοψίζοντας τα μέτρα και τους ελέγχους που έχουν θεσπίσει για την προστασία των προσωπικών πληροφοριών και τον περιορισμό των κινδύνων της επεξεργασίας.

5 ΑΝΤΙΚΕΙΜΕΝΟ ΚΑΙ ΣΤΟΧΟΙ

Στην ΕΤΑΙΡΙΑ δεσμευόμαστε να διασφαλίσουμε ότι όλα τα προσωπικά δεδομένα που βρίσκονται στην κατοχή της, συλλέγονται και επεξεργάζονται σύμφωνα με τους νόμους και τις αρχές περί προστασίας δεδομένων, μαζί με τους σχετικούς κανονισμούς ή/και κώδικες δεοντολογίας που καθορίζονται από την Εποπτική Αρχή και τον Εθνικό νόμο. Διασφαλίζουμε την ασφαλή, ηθική και ξεκάθαρη επεξεργασία όλων των προσωπικών δεδομένων και έχουμε ικανούς και αναγκαίους μηχανισμούς ώστε τα υποκείμενα των δεδομένων (πελάτες) να μπορούν να ασκούν τα δικαιώματά τους σχετικά με την προστασία δεδομένων.

Η ΕΤΑΙΡΙΑ έχει αναπτύξει τους παρακάτω στόχους για την εκπλήρωση των υποχρεώσεών της για την προστασία δεδομένων και για τη διασφάλιση της διαρκής συμμόρφωσης με τις κανονιστικές απαιτήσεις.

Πιο συγκεκριμένα, στην ΕΤΑΙΡΙΑ διασφαλίζουμε ότι:

  • Προστατεύουμε τα δικαιώματα των ατόμων (πελατών, υπαλλήλων, συνεργατών) όσον αφορά την επεξεργασία προσωπικών τους πληροφοριών
  • Αναπτύσσουμε, εφαρμόζουμε και διατηρούμε πολιτική, διαδικασία, σχέδιο ελέγχου και πρόγραμμα κατάρτισης για την συμμόρφωση με την νομοθεσία προστασίας δεδομένων
  • Κάθε επιχειρηματική πρακτική, λειτουργία και διαδικασία που διεξάγεται από την Εταιρεία αξιολογείται και παρακολουθείται ως προς την συμμόρφωση με την ισχύουσα νομοθεσία προστασίας προσωπικών δεδομένων
  • Τα προσωπικά δεδομένα (συμπεριλαμβανομένων των δεδομένων πελατών , υπαλλήλων και τρίτων συνεργατών) υποβάλλονται σε επεξεργασία μόνο εφόσον πληρούν τη νομιμότητα και τα κανονιστικά κριτήρια επεξεργασίας του ΓΚΠΔ
  • Καταγράφουμε τη συναίνεση επεξεργασίας των δεδομένων των υποκειμένων (πελατών, υπαλλήλων, συνεργατών) κατά την στιγμή της συλλογής παρέχοντας πλήρη ενημέρωση για τους σκοπούς και τους τρόπους επεξεργασίας τους
  • Όλοι οι εργαζόμενοι της ΕΤΑΙΡΙΑΣ (συμπεριλαμβανομένων των συνεργατών) είναι πλήρως ενήμεροι και καταρτισμένοι ως προς τις υποχρεώσεις προστασίας της επεξεργασίας των προσωπικών δεδομένων και της ασφάλειας αυτών στο πλαίσιο των εργασιών τους
  • Έχουμε θεσπίσει ένα συνεχές πρόγραμμα παρακολούθησης, επανεξέτασης και βελτίωσης των μηχανισμών προστασίας ΔΠΧ και της επεξεργασίας τους εντοπίζοντας πιθανά κενά ασφάλειας ή / και σημεία μη συμμόρφωσης
  • Παρακολουθούμε και ενημερώνουμε τις δημοσιεύσεις και τις αναφορές της Ελληνικής Εποπτικής Αρχής, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) και των γνωμοδοτήσεων επί των σημείων και άρθρων του ΓΚΠΔ
  • Παρέχουμε σαφείς γραμμές αναφοράς και εποπτείας όσον αφορά την προστασία δεδομένων
  • Αποθηκεύουμε, διατηρούμε και καταστρέφουμε όλα τα ΔΠΧ και ιδιαίτερα τα δεδομένα των πελατών, σύμφωνα με τους όρους και τις προϋποθέσεις που θέτουν οι νόμοι περί προστασίας προσωπικών δεδομένων αλλά και ο κώδικας ιατρικής δεοντολογίας (Ν.3418)
  • Οι εργαζόμενοι στην ΕΤΑΙΡΙΑ γνωρίζουν τα δικαιώματά τους βάσει της νομοθεσίας περί προστασίας δεδομένων και τους παρέχονται οι απαραίτητες πληροφορίες άσκησης των δικαιωμάτων τους του άρθρου 13 και 14 του ΓΚΠΔ
  • Προστατεύουμε τα προσωπικά δεδομένα και έχουμε αναπτύξει και τεκμηριώσει κατάλληλα τεχνικά και οργανωτικά μέτρα και ελέγχους για την ασφάλεια των προσωπικών δεδομένων.

6 ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ

6.1 Λογοδοσία & Συμμόρφωση
Λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών επεξεργασίας προσωπικών δεδομένων και δεδομένων πελατών που διενεργούμε στην ΕΤΑΙΡΙΑ, εφαρμόζουμε επίσης κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύσουμε τα ΔΠΧ και να εξασφαλίσουμε συμμόρφωση με τους νόμους περί προστασίας προσωπικών δεδομένων και τους κώδικες δεοντολογίας τους οποίους έχουμε υιοθετήσει.

Στο πλαίσιο της εταιρικής μας ευθύνης και λογοδοσίας προσπαθούμε να διαθέτουμε τους κατάλληλους μηχανισμούς που αποδεικνύουν ότι όλες οι δραστηριότητες επεξεργασίας εκτελούνται σύμφωνα με τους νόμους περί προστασίας προσωπικών δεδομένων και ότι εφαρμόζουμε ισχυρές πολιτικές, διαδικασίες, μέτρα και ελέγχους για την προστασία των δεδομένων.

Πιο συγκεκριμένα, η εταιρική μας ευθύνη και λογοδοσία περιλαμβάνει:

  • Ενημέρωση των ανώτερων στελεχών και των υπαλλήλους μας σχετικά με τις απαιτήσεις της νομοθεσίας περί προστασίας προσωπικών δεδομένων και τις πιθανές επιπτώσεις στο ενδεχόμενο μη συμμόρφωσης.
  • Προσδιορισμός σημαντικών ρόλων και αρμοδιοτήτων για την υποστήριξη του προγράμματος ενημέρωσης και συμμόρφωσης με τον ΓΚΠΔ σε συγκεκριμένα άτομα με επαρκή γνώση, εμπειρία και πρόσβαση σε ανώτερα εγκριτικά κλιμάκια προς εξασφάλιση άμεσων αποφάσεων και δέσμευση των κατάλληλων πόρων.

Τα τεχνικά και οργανωτικά μέτρα που έχει εφαρμόσει η ΕΤΑΙΡΙΑ για τη διασφάλιση και την απόδειξη της συμμόρφωσης με τους νόμους, τους κανονισμούς και τους κώδικες δεοντολογίας για την προστασία των προσωπικών δεδομένων περιγράφονται λεπτομερώς στο παρόν έγγραφο και στις συναφείς πολιτικές.

6.1.1 Προστασία βάσει Σχεδιασμού
Στην ΕΤΑΙΡΙΑ συλλέγουμε και επεξεργαζόμαστε ΔΠΧ στο πλαίσιο της αρχής της «προστασίας βάσει σχεδιασμού» που σημαίνει ελαχιστοποίηση των κινδύνων που συνεπάγονται της επεξεργασίας μέσω υιοθέτησης διαδικασιών πρόληψης και σχεδιασμού προστασίας σε συστήματα, λειτουργίες και δραστηριότητες.

Ελαχιστοποίηση Δεδομένων
Λαμβάνουμε κάθε δυνατό και πρόσφορο μέτρο ώστε η επεξεργασία να περιλαμβάνει μόνο τα απολύτως αναγκαία ΔΠΧ. Αποκτούμε, διατηρούμε, επεξεργαζόμαστε και μοιραζόμαστε μόνο τα δεδομένα που είναι απαραίτητα για την εκτέλεση των υπηρεσιών και των νομικών μας υποχρεώσεων και τα διατηρούμε μόνο για όσο διάστημα είναι απαραίτητο.

Τα συστήματα, οι υπάλληλοι, οι διαδικασίες και οι δραστηριότητες μας έχουν ως στόχο να περιορίσουν τη συλλογή προσωπικών πληροφοριών στο βαθμό που είναι αναγκαία και για την επίτευξη του καθορισμένου σκοπού. Η ελαχιστοποίηση της επεξεργασίας των προσωπικών δεδομένων μας επιτρέπει να μειώσουμε τους κινδύνους και τις παραβιάσεις της προστασίας δεδομένων και υποστηρίξουμε τις διαδικασίες συμμόρφωσης με τους ισχύοντες νόμους και κανονισμούς προστασίας προσωπικών δεδομένων.

Ενδεικτικά μέτρα ελαχιστοποίησης επεξεργασίας ΔΠΧ περιλαμβάνουν:

  • Κάθε ηλεκτρονική και έντυπη συλλογή ΔΠΧ (π.χ. εταιρικό site, έντυπα, εσωτερικές φόρμες) διαθέτει μόνο τα απαραίτητα, προκαθορισμένα πεδία που σχετίζονται με το σκοπό της συλλογής και της επακόλουθης επεξεργασίας και δεν περιλαμβάνει «προαιρετικά» πεδία
  • Έχουμε υιοθετήσει διαδικασίες αντικατάστασης των ονομάτων και επωνύμων των πελατών με τον μοναδικό αριθμό μητρώου σε εσωτερικές και εξωτερικές επεξεργασίες και ανταλλαγές δεδομένων
  • Έχουμε σχεδιάσει διαδικασίες περιορισμού χρήσης έντυπων αρχείων δίνοντας προτεραιότητα σε διαδικασίες διαχείρισης ηλεκτρονικών αρχείων αλλά και καταστροφής εγγράφων για όλα τα τμήματα που επεξεργάζονται ΔΠΧ και σε πολλές περιπτώσεις δεδομένα πελατών.

Ψευδωνυμοποίηση
Χρησιμοποιούμε ψευδωνυμοποίηση, όπου είναι δυνατόν, για την καταγραφή και αποθήκευση προσωπικών δεδομένων με τρόπο που να εξασφαλίζει ότι η ταυτοποίηση των φυσικών προσώπων δεν είναι δυνατή χωρίς την χρήση ξεχωριστών πρόσθετων πληροφοριών (προσωπικών αναγνωριστικών). Η ψευδωνυμοποίηση σημαίνει ότι το υποκείμενο των δεδομένων παραμένει πιθανό να προσδιοριστεί έμμεσα και ως εκ τούτου χρησιμοποιούμε αυτήν την τεχνική σε συνδυασμό με άλλα τεχνικά και επιχειρησιακά μέτρα για τη μείωση του κινδύνου και την προστασία των δεδομένων.

Δεδομένα σε έντυπη μορφή
Λόγω της φύσης των δραστηριοτήτων της ΕΤΑΙΡΙΑΣ, πολλές φορές είναι απαραίτητη η συλλογή και επεξεργασία δεδομένων (δεδομένα πελατών, συνεργατών,) σε έντυπη μορφή με περιορισμένες δυνατότητες (π.χ. αντίγραφα αρχείων πελατών, τιμολόγια συνεργατών). Όπου αυτό είναι εφικτό, υιοθετούμε στενευμένες πρακτικές προστασίας των προσωπικών δεδομένων που ενδεικτικά περιλαμβάνουν:

  • Την απευθείας επικοινωνία και παράδοση πληροφοριών που εμπεριέχουν προσωπικά δεδομένα κατευθείαν στο υποκείμενο των δεδομένων και όχι σε οποιονδήποτε τρίτο
  • Η παράδοση πληροφοριών που εμπεριέχουν προσωπικά δεδομένα σε οποιονδήποτε τρίτο επιτρέπεται μόνο εφόσον το υποκείμενο των δεδομένων έχει συναινέσει και επίσημα εξουσιοδοτήσει προς αυτόν τον σκοπό. Κάθε τρίτος παραλήπτης, διαφορετικός από το ίδιο το υποκείμενο, λαμβάνει πληροφορίες
    φαξ και εφόσον αυτό κρίνεται απαραίτητο την επιβεβαίωση λήψης από τον εξουσιοδοτημένο παραλήπτη
  • Την προτεραιότητα χρήσης ηλεκτρονικών μέσων (πχ e-mail) για την εξωτερική επικοινωνία.

6.2 Νομική Βάση Επεξεργασίας (Νομοθεσία)
Βασικός πυρήνας όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων που διενεργεί η ΕΤΑΙΡΙΑ είναι η διασφάλιση της νομιμότητας της επεξεργασίας των δεδομένων αυτών. Η νομική βάση επεξεργασίας τεκμηριώνεται στο κεντρικό μητρώο / αρχείο επεξεργασίας που είναι διαθέσιμο για έλεγχο προς την αρμόδια εποπτική αρχή.

Στην ΕΤΑΙΡΙΑ συλλέγουμε και επεξεργαζόμαστε προσωπικά δεδομένα μόνο εφόσον ισχύουν ένα ή / και περισσότερα από τα παρακάτω κριτήρια νόμιμης επεξεργασίας:

  • Το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς
  • Η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης στην οποία συμμετέχει το υποκείμενο στο οποίο αναφέρονται τα δεδομένα ή για τη λήψη μέτρων κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης
  • Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με μια νομική υποχρέωση μας
  • Η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.
  • Η επεξεργασία είναι απαραίτητη για την εκτέλεση ενός έργου που εκτελείται προς το δημόσιο συμφέρον ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Εταιρεία.
  • Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία ή τρίτος (εκτός εάν τα συμφέροντα αυτά παραβιάζουν τα θεμελιώδη δικαιώματα και τις ελευθερίες του υποκειμένου στο οποίο αναφέρονται τα δεδομένα).

6.3 Επεξεργασία Δεδομένων από Τρίτους
Η ΕΤΑΙΡΙΑ στο πλαίσιο των δραστηριοτήτων της χρησιμοποιεί εξειδικευμένους εξωτερικούς παρόχους και κατά περίπτωση ανταλλάσσει και διακινεί πληροφορίες, μεταξύ αυτών και προσωπικά δεδομένα.
Ως βασικός Υπεύθυνος Επεξεργασίας έχουμε την αυστηρή και ρητή υποχρέωση ελέγχου και αξιολόγησης των εξωτερικών φορέων / παρόχων πριν την σύναψη συμβατικής σχέσης. Ειδικότερα ελέγχουμε:

  • Την εμπειρία και εξειδίκευση του εξωτερικού παρόχου / συνεργάτη σε σχέση με την ανατεθείσα δραστηριότητα,
  • Τις υιοθετημένες, επίσημες διαδικασίες και μηχανισμούς προστασίας και ασφάλειας πληροφοριών
  • Τις διαδικασίες ελέγχου και αξιολόγησης κινδύνων που έχει θεσπίσει ο υποψήφιος εξωτερικός πάροχος / συνεργάτης,
  • Την επίσημη πολιτική προστασίας προσωπικών δεδομένων του εξωτερικού παρόχου / συνεργάτη.

Η υποχρέωση και ευθύνη προστασίας των προσωπικών δεδομένων περιλαμβάνει και την συμβατική σχέση που καταρτούμε με τους εξωτερικούς παρόχους / συνεργάτες μας ώστε να περιλαμβάνει τις υποχρεώσεις τους, την διάρκεια της επεξεργασίας, τα εκατέρωθεν δικαιώματα, τα δικαιώματα των υποκειμένων καθώς και την φύση και σκοπό της εξωτερικής επεξεργασίας. Πιο συγκεκριμένα, κάθε εξωτερική επεξεργασία προσωπικών δεδομένων τεκμηριώνεται σε επίσημη σύμβαση και ορίζει ότι ο Εκτελών την Επεξεργασία:

  • Επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τεκμηριωμένες οδηγίες μας
  • Επιδιώκει την εξουσιοδότησή μας να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό (εκτός αν αυτό απαιτείται από νόμο στον οποίο υπόκειται ο εκτελών την επεξεργασία)
  • Θα μας ενημερώσει για οποιαδήποτε νομική απαίτηση για τη μεταφορά δεδομένων πριν από την επεξεργασία
  • Εξασφαλίζει ότι τα άτομα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα της ΕΤΑΙΡΙΑΣ έχουν δεσμευτεί ατομικά για εμπιστευτικότητα ή υπόκεινται σε κατάλληλη νομοθετική υποχρέωση εμπιστευτικότητας
  • Λαμβάνει όλα τα μέτρα για την ασφάλεια των προσωπικών δεδομένων ανά πάσα στιγμή
  • Σέβεται, υποστηρίζει και συμμορφώνεται με την υποχρέωσή μας να απαντάμε σε αιτήματα για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων
  • Βοηθά την ΕΤΑΙΡΙΑ να διασφαλίζει την συμμόρφωση της ως προς την ασφάλεια των δεδομένων, τον περιορισμό των κινδύνων, την κοινοποίηση παραβίασης και την αξιολόγηση των επιπτώσεων της παραβίασης της ιδιωτικής ζωής
  • Όταν ζητηθεί, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα μετά το τέλος της παροχής υπηρεσιών που σχετίζονται με την επεξεργασία και διαγράφει τα υπάρχοντα αντίγραφα όπου είναι δυνατόν
  • Παρέχει στην Εταιρεία όλες τις πληροφορίες που είναι απαραίτητες για να αποδείξει την συμμόρφωση με τις υποχρεώσεις που ορίζονται στη σύμβαση και στην Πολιτική
  • Επιτρέπει και υποστηρίζει τους ελέγχους, την παρακολούθηση, τις επιθεωρήσεις και την υποβολή εκθέσεων, όπως ορίζεται στη σύμβαση
  • Ενημερώνει αμέσως την ΕΤΑΙΡΙΑ για τυχόν παραβιάσεις, μη συμμόρφωση ή αδυναμία εκπλήρωσης των καθηκόντων που περιγράφονται στη σύμβαση

6.4 Διατήρηση Δεδομένων & Καταστροφή
Η ΕΤΑΙΡΙΑ έχει θεσπίσει διαδικασίες διατήρησης και διαγραφής προσωπικών δεδομένων όπως ορίζει ο ΓΚΠΔ και οι εγχώριες νομοθεσίες.

6.5 Έλεγχος και Παρακολούθηση Συμμόρφωσης
Η ΕΤΑΙΡΙΑ έχει οργανώσει περιοδικούς και έκτακτους ελέγχους για να διαπιστώσει έγκαιρα κάθε σημείο μη συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ που δύναται να εξελιχθεί σε κίνδυνο για τις ελευθερίες και δικαιώματα των υποκειμένων.

Στόχος των εσωτερικών ελέγχων / παρακολούθησης συμμόρφωσης είναι:

  • Η επιβεβαίωση ότι είναι σε ισχύ οι κατάλληλες πολιτικές και διαδικασίες
  • Ο έλεγχος της επάρκειας και της αποτελεσματικότητας των μέτρων και μηχανισμών προστασίας που εφαρμόζονται.
  • Η αποκάλυψη / ανάδειξη παραβιάσεων ή ενδεχόμενων παραβιάσεων συμμόρφωσης
  • Ο προσδιορισμός των κινδύνων και η αξιολόγηση και επιλογή των βέλτιστων μέτρων μείωσης κινδύνων και επιπτώσεων
  • Η σύσταση τεκμηριωμένων και αιτιολογημένων προτάσεων προς την Διοίκηση που έχουν ως στόχο την προστασία της ΕΤΑΙΡΙΑΣ από τους κινδύνους μη συμμόρφωσης αλλά και την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων που εμπιστεύονται την επεξεργασία των προσωπικών τους δεδομένων στον οργανισμό.

7 ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ

7.1 Συγκατάθεση & Δικαίωμα στην Ενημέρωση
Η συλλογή προσωπικών δεδομένων ένα σημαντικό κομμάτι των δραστηριοτήτων της ΕΤΑΙΡΙΑΣ. Παρά το γεγονός ότι το είδος των δραστηριοτήτων του οργανισμού βασίζεται σε συνδυασμό κριτηρίων νομικής βάσης, λόγω της σημασίας που δίνουμε στα προσωπικά δεδομένα, θεσπίζουμε επιπρόσθετες διαδικασίες ενημέρωσης και λήψης συγκατάθεσης των υποκειμένων όπου χρειάζεται.

Κατά συνέπεια η ΕΤΑΙΡΙΑ ακολουθεί όλους τους κανόνες που απαιτούνται όταν η επεξεργασία βασίζεται σε συγκατάθεση, διασφαλίζοντας ότι:

  • Οι αιτήσεις συναίνεσης είναι ξεκάθαρες, χρησιμοποιώντας απλή γλώσσα και είναι απαλλαγμένες από τυχόν δυσανάγνωστους, ακατάληπτους όρους.
  • Παρέχεται ελεύθερα, στο πλαίσιο συγκεκριμένης και διαφανούς ενημέρωσης του υποκειμένου.
  • Η συγκατάθεση παρέχεται πάντοτε με δήλωση ή σαφή θετική ενέργεια (θετική συμμετοχή), η οποία συνεπάγεται συμφωνία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
  • Οι μηχανισμοί συγκατάθεσης είναι εκ των προτέρων σαφείς και εύκολοι στη χρήση και την κατανόηση.
  • Δεν χρησιμοποιούνται ποτέ προ-επιλεγμένα πεδία επιλογής (opt-out).
  • Όταν η συγκατάθεση αφορά σε περισσότερες επεξεργασίες, φροντίζουμε να υπάρχει δυνατότητα επιλεγμένης, μερικής συγκατάθεσης.
  • Διατηρούμε λεπτομερή αρχεία συγκατάθεσης και μπορούμε να αποδείξουμε τουλάχιστον:
    – ότι τα υποκείμενα έχουν συναινέσει στη χρήση και επεξεργασία των προσωπικών του δεδομένων
    – ότι τα υποκείμενα έχουν ενημερωθεί για την ταυτότητα της ΕΤΑΙΡΙΑΣ που εκτελεί χρέη Υπευθύνου Επεξεργασίας καθώς και για οποιοδήποτε τρίτο μέρος επεξεργάζεται ή θα επεξεργαστεί τα δεδομένα του
    – την έκδοση και περιεχόμενο της παρεχόμενης πληροφόρησης προς το υποκείμενο που αντιστοιχεί στην συγκεκριμένη ημερομηνία λήψης συγκατάθεσης
    – τον τρόπο λήψης της συγκατάθεσης
  • Έχουμε εξασφαλίσει ότι η ανάκληση της συγκατάθεσης είναι το ίδιο εύκολη, σαφής και απλή όσο η λήψη αυτής
  • Οι αιτήσεις για ανάκληση της συγκατάθεσης υποβάλλονται σε εσωτερική επεξεργασία και διαχείριση αμέσως και χωρίς την οποιαδήποτε επιβάρυνση του υποκειμένου
  • Έχουν αναπτυχθεί και εφαρμοστεί όπου χρειάζονται έλεγχοι και διαδικασίες για την ανανέωση της συγκατάθεσης,

7.2 Ενημέρωση & Δήλωση Απορρήτου
Όταν συλλέγουμε προσωπικά δεδομένα απευθείας από το υποκείμενο των δεδομένων (π.χ. μέσω συγκατάθεσης), παρέχουμε επαρκή πληροφόρηση μέσω κειμένων Δήλωσης Απορρήτου που περιλαμβάνουν:

  • Την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπεύθυνου επεξεργασίας.
  • Τους σκοπούς επεξεργασίας στους οποίους θα υπαχθούν τα προσωπικά δεδομένα
  • Τους παραλήπτες ή οι κατηγορίες αποδεκτών των προσωπικών δεδομένων (κατά περίπτωση).
  • Το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα
  • Την τεκμηρίωση κατά περίπτωση του δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής, περιορισμός της επεξεργασίας, εναντίωσης στην επεξεργασία, μεταφοράς δεδομένων, καθώς και το δικαίωμα άρσης συγκατάθεσης

Οι ανωτέρω πληροφορίες παρέχονται στο υποκείμενο των δεδομένων κατά τον χρόνο συλλογής των Δεδομένων Προσωπικού Χαρακτήρα.

7.2.1 Προσωπικά Δεδομένα Εργαζομένων
Σύμφωνα με τις οδηγίες και γνωμοδοτήσεις του ΓΚΠΔ, η επεξεργασία προσωπικών δεδομένων των εργαζομένων στην ΕΤΑΙΡΙΑ βασίζεται στη συγκατάθεση των υποκειμένων – εργαζομένων και λοιπών φυσικών προσώπων.

7.3 Δικαίωμα Πρόσβασης
Διασφαλίζουμε και λαμβάνουμε τα κατάλληλα μέτρα για την παροχή των πληροφοριών που αναφέρονται στα άρθρα 13 και 14 και κάθε επικοινωνία βάσει των άρθρων 15 έως 22 και 34 (συλλογικά, Τα Δικαιώματα των Υποκειμένων των Δεδομένων) σχετικά με την επεξεργασία των προσωπικών δεδομένων σε συνοπτική, ξεκάθαρη, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και κατανοητή γλώσσα.

Οι πληροφορίες αυτές παρέχονται δωρεάν κατόπιν γραπτών αιτήσεων με την προϋπόθεση της επαλήθευσης της ταυτότητας του υποκειμένου (π.χ. προφορικά, ηλεκτρονικά) εντός 30 ημερών από την ημερομηνία παραλαβής της αίτησης.

7.4 Δικαίωμα στη Φορητότητα
Η ΕΤΑΙΡΙΑ παρέχει όλες τις διαθέσιμες πληροφορίες που αφορούν σε προσωπικά δεδομένα υποκειμένων κατόπιν σχετικής αίτησης. Διαθέτουμε τις απαραίτητες διαδικασίες συμμόρφωσης με το δικαίωμα μεταφοράς (data portability) δεδομένων των ατόμων και εξασφαλίζουμε ότι όλα τα προσωπικά δεδομένα είναι άμεσα διαθέσιμα σε μορφή που επιτρέπει στα υποκείμενα την μεταφορά και χρήση τους για δικούς τους σκοπούς.

Όλες οι αιτήσεις παροχής πληροφοριών και φορητότητας από τα υποκείμενα διεκπεραιώνονται εντός της εκ του νόμου προθεσμίας.

Όλες οι αιτήσεις ενημέρωσης και διαβίβασης δεδομένων στο πλαίσιο του δικαιώματος της φορητότητας αξιολογούνται για να διασφαλιστεί ότι αφορούν μόνο το υποκείμενο που αιτείται και η οποιαδήποτε μεταβίβαση δεν θίγει τα δικαιώματα και ελευθερίες άλλων φυσικών προσώπων.

7.5 Διόρθωση & Διαγραφή
7.5.1 Διόρθωση Δεδομένων
Σύμφωνα με το άρθρο 5 (δ) του ΓΚΠΔ, όλα τα δεδομένα που τηρούνται και επεξεργάζονται από την ΕΤΑΙΡΙΑ επανεξετάζονται και επαληθεύονται για την ακρίβειά τους όπου και όταν είναι εφικτό. Όταν εντοπίζονται ανακρίβειες ή / και όταν το υποκείμενο των δεδομένων ή ο υπεύθυνος επεξεργασίας μας πληροφορούν ότι τα δεδομένα που διατηρούμε είναι ανακριβή, λαμβάνουμε κάθε εύλογο μέτρο για να διασφαλίσουμε ότι αυτές οι ανακρίβειες διορθώνονται άμεσα.

Σε περίπτωση αίτησης διόρθωσης προσωπικών δεδομένων η διαδικασία ολοκληρώνεται εντός της εκ του νόμου οριζόμενης προθεσμίας και το υποκείμενο των δεδομένων ενημερώνεται σχετικά για την επιτυχή ολοκλήρωση της διαδικασίας.

7.5.2 Δικαίωμα Διαγραφής
Στην ΕΤΑΙΡΙΑ συμμορφωνόμαστε πλήρως με το Δικαίωμα Διαγραφής (άρθρο 5 στοιχείο του ΓΚΠΔ) γνωστό και ως «Δικαίωμα στη Λήθη» και διασφαλίζει ότι τα προσωπικά δεδομένα που προσδιορίζουν ένα υποκείμενο των δεδομένων δεν επεξεργάζονται και δεν διατηρούνται για περισσότερο χρόνο από όσο είναι απαραίτητο για την εξυπηρέτηση των σκοπών για τους οποίους αρχικά συλλέχθηκαν.

Τυχόν αιτήματα για διαγραφή δεδομένων από πελάτες μας, ελέγχονται και αξιολογούνται στο πλαίσιο τόσο των άρθρων του ΓΚΠΔ, που αναφέρεται στην παράγραφο (Διατήρηση και Διαγραφή Δεδομένων) της Πολιτικής.

7.6 Δικαίωμα Περιορισμού της Επεξεργασίας
Αξιολογούμε και ελέγχουμε κάθε πιθανό αίτημα περιορισμού της επεξεργασίας όταν πληρούνται τα νόμιμα κριτήρια. Η ΕΤΑΙΡΙΑ φροντίζει για τον περιορισμό στην επεξεργασία δεδομένων στις ακόλουθες περιπτώσεις (κριτήρια περιορισμού):

  • Η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα
  • Το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων
  • Η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους
  • Ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.

7.7 Εναντίωση και Αυτοματοποιημένη Λήψη Αποφάσεων
Στην ΕΤΑΙΡΙΑ δεν επεξεργαζόμαστε προσωπικά δεδομένα με τρόπο που να προωθεί την κατάρτιση προφίλ και την αυτοματοποιημένη λήψη αποφάσεων.

8 ΈΛΕΓΧΟΙ & ΠΑΡΑΚΟΛΟΥΘΗΣΗ

Αυτό το έγγραφο πολιτικής και διαδικασίας περιγράφει λεπτομερώς τους εκτεταμένους ελέγχους, τα μέτρα και τις μεθόδους που χρησιμοποιεί η Εταιρεία για την προστασία δεδομένων προσωπικού χαρακτήρα, την υπεράσπιση των δικαιωμάτων των υποκειμένων στα οποία αναφέρονται τα δεδομένα, τον μετριασμό των κινδύνων, την ελαχιστοποίηση των παραβιάσεων και τη συμμόρφωση με την νομοθεσία περί προστασίας δεδομένων και τους συναφείς νόμους και κώδικες δεοντολογίας. Εκτός αυτών, διεξάγουμε επίσης τακτικούς ελέγχους και διαδικασίες παρακολούθησης της συμμόρφωσης προκειμένου να διασφαλιστεί ότι τα μέτρα και οι έλεγχοι που εφαρμόζονται για την προστασία των υποκειμένων των δεδομένων και των πληροφοριών τους είναι επαρκείς , αποτελεσματικοί και συμμορφωμένοι ανά πάσα στιγμή.
Στόχος των εσωτερικών ελέγχων προστασίας δεδομένων είναι:

  • Βεβαίωση ότι υπάρχουν οι κατάλληλες πολιτικές και διαδικασίες.
  • Να επαληθεύσουμε ότι ακολουθούνται αυτές οι πολιτικές και διαδικασίες.
  • Έλεγχος της επάρκειας και της αποτελεσματικότητας των μέτρων και των ελέγχων που εφαρμόζονται.
  • Για την ανίχνευση παραβιάσεων ή ενδεχόμενων παραβιάσεων συμμόρφωσης.
  • Να προσδιοριστούν οι κίνδυνοι και να αξιολογηθούν οι εφαρμοζόμενες μετριαστικές δράσεις για την ελαχιστοποίηση τους.
  • Να συστήσει λύσεις και σχέδια δράσης στην Ανώτατη Διοίκηση για βελτιώσεις στην προστασία των υποκειμένων των δεδομένων και τη διαφύλαξη των προσωπικών τους δεδομένων.
  • Παρακολούθηση της συμμόρφωσης με την νομοθεσία περί προστασίας δεδομένων και επίδειξη βέλτιστης πρακτικής

9 ΑΡΜΟΔΙΟΤΗΤΕΣ – ΕΥΘΥΝΕΣ

Η συνολική ευθύνη και διαχείριση των διαδικασιών εποπτείας και συμμόρφωσης της ΕΤΑΙΡΙΑΣ με τον ΓΚΠΔ βασίζεται στους εξής ρόλους:

  • Η Διοίκηση ως πρώτο επίπεδο άμυνας / προστασίας έχει την ευθύνη δέσμευσης των αναγκαίων και απαραίτητων πόρων για την εφαρμογή των κατάλληλων μηχανισμών προστασίας και συμμόρφωσης με τον ΓΚΠΔ
  • Οι Υπεύθυνοι Τμημάτων που έχει ενεργό εκτελεστικό ρόλο οργάνωσης και ελέγχου των έργων και ενεργειών συμμόρφωσης της ΕΤΑΙΡΙΑΣ
  • Οι Υπάλληλοι / Εργαζόμενοι που επεξεργάζονται σε καθημερινή βάση προσωπικά δεδομένα και δεδομένα πελατών, έχοντας την ευθύνη της προστασίας και άμεσης ενημέρωσης των αρμόδιων υπευθύνων σε περίπτωση διαπίστωσης παραβίασης ή διαρροής προσωπικών δεδομένων
  • Οι Εξωτερικοί Συνεργάτες που επεξεργάζονται προσωπικά δεδομένα και δεδομένα πελατών και έχουν αυτοτελή ευθύνη προστασίας των δεδομένων αυτών και της επεξεργασίας τους στο πλαίσιο των αυστηρών απαιτήσεων του ΓΚΠΔ καθώς και αυτοί επίσης την υποχρέωση της άμεσης ενημέρωσης των αρμόδιων υπευθύνων της ΕΤΑΙΡΙΑΣ σε περίπτωση διαπίστωσης παραβίασης ή διαρροής προσωπικών δεδομένων

Ο Διαχειριστής της ΕΤΑΙΡΙΑΣ έχει την συνολική ευθύνη ίδρυσης και λειτουργίας του συνολικού πλαισίου συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ).