Ο γενικός κανονισμός για την προστασία των δεδομένων του 2016 αντικαθιστά την οδηγία της ΕΕ για την προστασία των δεδομένων του 1995 και αντικαθιστά τις νομοθεσίες των επιμέρους κρατών μελών που αναπτύχθηκαν σύμφωνα με την οδηγία 95/46 / ΕΚ για την προστασία των δεδομένων.
Σκοπός του είναι να προστατεύσει τα “δικαιώματα και τις ελευθερίες” των φυσικών προσώπων (δηλαδή τα εν ζωή άτομα) και να διασφαλίσει ότι τα προσωπικά δεδομένα τους δεν θα υποστούν επεξεργασία χωρίς να το γνωρίζουν και, όπου είναι δυνατόν, ότι αυτά θα επεξεργάζονται με τη συγκατάθεσή τους.
Ουσιαστικό πεδίο εφαρμογής (άρθρο 2): ο GDPR εφαρμόζεται στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Εδαφικό πεδίο εφαρμογής (άρθρο 3) : ο GDPR θα εφαρμόζεται σε όλους τους υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ (Ευρωπαϊκή Ένωση) και επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων στο πλαίσιο της ίδιας εγκατάστασης. Θα ισχύει επίσης για τους υπεύθυνους επεξεργασίας εκτός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα προκειμένου να προσφέρουν αγαθά και υπηρεσίες ή να παρακολουθούν τη συμπεριφορά των υποκειμένων των δεδομένων που διαμένουν στην ΕΕ.
Εγκατάσταση: η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην ΕΕ είναι ο τόπος στον οποίο ο υπεύθυνος της επεξεργασίας λαμβάνει τις βασικές αποφάσεις ως προς το σκοπό και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων. Η κύρια εγκατάσταση ενός μεταποιητή στην ΕΕ είναι το διοικητικό του κέντρο. Εάν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός της ΕΕ, θα πρέπει να διορίσει έναν εκπρόσωπο με δικαιοδοσία να ενεργεί για λογαριασμό του εκτελούντος την επεξεργασία και να τον αντιπροσωπεύει στις εποπτικές αρχές.
Προσωπικά δεδομένα: οποιαδήποτε πληροφορία σχετικά με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο, του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Ειδικές κατηγορίες προσωπικών δεδομένων: προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστικές οργανώσεις και επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα για τον μοναδικό εντοπισμό φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό ενός φυσικού προσώπου.
Υπεύθυνος επεξεργασίας: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο οργανισμός ή άλλος φορέας ο οποίος, από μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του, μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών.
Υποκείμενο των δεδομένων: κάθε εν ζωή άτομο που αποτελεί το αντικείμενο προσωπικών δεδομένων που κατέχει ο οργανισμός.
Επεξεργασία: κάθε εργασία ή σύνολο εργασιών που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με τη χρήση αυτοματοποιημένων μέσων είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, διαμόρφωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, κοινολόγηση με διαβίβαση, διάδοσης ή άλλης διάθεσης, ευθυγράμμισης ή συνδυασμού, περιορισμού, διαγραφής ή καταστροφής.
Κατάρτιση προφίλ: είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών στοιχείων που σχετίζονται με ένα φυσικό πρόσωπο ή στην ανάλυση ή την πρόβλεψη της απόδοσης του ατόμου στην εργασία, την οικονομική του κατάσταση, την τοποθεσία του, την υγεία του, τις προσωπικές του προτιμήσεις, την αξιοπιστία ή τη συμπεριφορά του. Ο ορισμός αυτός συνδέεται με το δικαίωμα του υποκειμένου των δεδομένων να αντιτίθεται στη διαμόρφωση προφίλ και το δικαίωμα ενημέρωσης σχετικά με την ύπαρξη χαρακτηριστικών στοιχείων ή μέτρων που βασίζονται στον προσδιορισμό του προφίλ και των προβλεπόμενων επιπτώσεων της ανάλυσης του στο άτομο.
Παραβίαση προσωπικών δεδομένων: παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή τυγχάνουν άλλης επεξεργασίας. Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει τις παραβιάσεις προσωπικών δεδομένων στην εποπτική αρχή όταν η παραβίαση ενδέχεται να επηρεάσει αρνητικά τα προσωπικά δεδομένα ή το απόρρητο του υποκειμένου των δεδομένων.
Συγκατάθεση του υποκειμένου των δεδομένων: σημαίνει κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής ένδειξη των επιθυμιών του υποκειμένου των δεδομένων με την οποία αυτός, με δήλωση ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Παιδί : ο GDPR ορίζει ένα παιδί ως άτομο κάτω από την ηλικία των 16 ετών, αν και αυτό μπορεί να μειωθεί σε 13 από το δίκαιο των κρατών μελών. Η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνο αν έχει ληφθεί συναίνεση των γονέων ή των ασκούντων την γονική μέριμνα. Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι ο κάτοχος γονικής μέριμνας σχετικά με το παιδί παρέχει ή επιτρέπει τη συγκατάθεσή του. H ελληνική νομοθεσία ορίζει ως ανήλικο, το παιδί μέχρι 15 ετών.
Τρίτος: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή φορέας εκτός από το υποκείμενο των δεδομένων τον υπεύθυνο επεξεργασίας, τον εκτελών την επεξεργασία και πρόσωπα τα οποία υπό την άμεση εξουσία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία έχουν εξουσιοδοτηθεί να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.
Σύστημα αρχειοθέτησης: κάθε δομημένο σύνολο προσωπικών δεδομένων, τα οποία είναι προσβάσιμα σύμφωνα με συγκεκριμένα κριτήρια, κεντρικά, αποκεντρωμένα ή διασκορπισμένα σε λειτουργική ή γεωγραφική βάση.
2.1 Το Διοικητικό Συμβούλιο και η διοίκηση της Εταιρείας, που βρίσκεται στην οδό Πτολεμαίων, αριθμό 38-40 στη Θεσσαλονίκη, δεσμεύονται να συμμορφώνονται με όλους τους σχετικούς νόμους της ΕΕ και των κρατών μελών όσον αφορά τα προσωπικά δεδομένα και την προστασία των “δικαιωμάτων και ελευθεριών” και όλες οι διεργασίες της εταιρείας να συμμορφώνονται με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).
2.2 Η συμμόρφωση με το GDPR περιγράφεται στην παρούσα πολιτική και σε άλλες σχετικές πολιτικές όπως στην Πολιτική Ασφάλειας Πληροφοριών μαζί με τις σχετικές τους διαδικασίες.
2.3 Τα όσα προβλέπει ο GDPR και η παρούσα πολιτική ισχύουν για όλες τις λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα της Εταιρείας, συμπεριλαμβανομένων εκείνων που εκτελούνται σε προσωπικά δεδομένα πελατών, εργαζομένων, προμηθευτών, υπεργολάβων και συνεργατών και οποιωνδήποτε άλλων προσωπικών δεδομένων που επεξεργάζεται ο οργανισμός από οποιαδήποτε πηγή.
2.4 Η Εταιρεία έχει καθορίσει στόχους για την προστασία των δεδομένων προσωπικού χαρακτήρα και την εξασφάλιση της ιδιωτικότητας οι οποίοι περιλαμβάνονται στην αντίστοιχη διαδικασία.
2.5 Ο Διαχειριστής είναι υπεύθυνος για την επανεξέταση του αρχείου επεξεργασίας ετησίως υπό το πρίσμα οποιωνδήποτε αλλαγών στις δραστηριότητες (της Εταιρείας και σε οποιεσδήποτε πρόσθετες απαιτήσεις προσδιορίζονται μέσω της αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα. Το αρχείο αυτό είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.
2.6 Η πολιτική αυτή ισχύει για όλους τους εργαζομένους καθώς και όλα τα υπόλοιπα ενδιαφερόμενα μέρη της Εταιρείας, όπως τους πελάτες, τους προμηθευτές και τους υπεργολάβους. Οποιαδήποτε παραβίαση του GDPR θα αντιμετωπιστεί σύμφωνα με την πειθαρχική πολιτική της Εταιρείας και μπορεί επίσης να αποτελεί ποινικό αδίκημα, οπότε το θέμα θα αναφερθεί το συντομότερο δυνατόν στις αρμόδιες αρχές.
2.7 Οι Συνεργάτες και τυχόν τρίτα μέρη που συνεργάζονται με την Εταιρεία και που έχουν ή ενδέχεται να έχουν πρόσβαση σε προσωπικά δεδομένα, αναμένεται να έχουν διαβάσει, κατανοήσει και συμμορφωθεί με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που κατέχονται από την Εταιρεία, χωρίς να έχει αρχικά συνάψει συμφωνία εμπιστευτικότητας δεδομένων. Η Εταιρεία έχει δικαίωμα να ελέγχει τη συμμόρφωση με τη συμφωνία.
Για να υποστηρίξει τη συμμόρφωση με τον GDPR, η Διοίκηση ενέκρινε και υποστήριξε την ανάπτυξη, υλοποίηση, συντήρηση και συνεχή βελτίωση ενός τεκμηριωμένου συστήματος διαχείρισης προσωπικών πληροφοριών (ΣΔΠΠ) για την Εταιρεία.
Όλοι οι εργαζόμενοι της Εταιρείας καθώς και οι εξωτερικοί συνεργάτες που έχουν πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται από την Εταιρεία αναμένεται να συμμορφωθούν με αυτήν την πολιτική και με το ΣΔΠΠ που εφαρμόζει αυτήν την πολιτική. Όλοι οι εργαζόμενοι της Εταιρείας θα λάβουν την κατάλληλη εκπαίδευση. Οι συνέπειες της παραβίασης αυτής της πολιτικής ορίζονται στην Πειθαρχική Πολιτική της Εταιρείας και σε συμβάσεις και συμφωνίες με τρίτους.
Κατά τον προσδιορισμό του πεδίου εφαρμογής της για τη συμμόρφωση με το τον GDPR, η Εταιρεία λαμβάνει υπόψη:
Οι στόχοι της Εταιρείας ως προς τη συμμόρφωση με τον GDPR είναι οι εξής:
Προκειμένου να επιτευχθούν αυτοί οι στόχοι, η Εταιρεία έχει καθορίσει:
3.1 Η ανώτατη διοίκηση και όλοι όσοι διαδραματίζουν διευθυντικό ή εποπτικό ρόλο στο σύνολο των διεργασιών της εταιρείας είναι υπεύθυνοι για την ανάπτυξη και την ενθάρρυνση πρακτικών ορθής διαχείρισης πληροφοριών σε αυτήν . Οι ευθύνες καθορίζονται στις ατομικές περιγραφές θέσεων εργασίας.
3.2 Ο διαχειριστής των δεδομένων αναλαμβάνει τη διαχείριση των προσωπικών δεδομένων στην Εταιρεία και διασφαλίζει ότι μπορεί να αποδειχθεί η συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων και τις ορθές πρακτικές. Αυτή η λογοδοσία περιλαμβάνει:
3.2.1 Ανάπτυξη και εφαρμογή του GDPR όπως απαιτείται από αυτήν την πολιτική και
3.2.2 Διαχείριση της ασφάλειας και της επικινδυνότητας σε σχέση με τη συμμόρφωση με την πολιτική.
3.3 Ο Διαχειριστής δεδομένων, ο οποίος έχει επιλεχθεί από το Διοικητικό Συμβούλιο ως κατάλληλα ειδικευμένος και έμπειρος, έχει οριστεί να αναλαμβάνει καθημερινά την ευθύνη για την συμμόρφωση της Εταιρείας με την πολιτική αυτή και, ειδικότερα, έχει την άμεση ευθύνη να διασφαλίζει ότι η Εταιρεία συμμορφώνεται με τον GDPR, στο σύνολο των διεργασιών της.
3.4 Ο Διαχειριστής αποτελεί το πρόσωπο στο οποίο πρέπει να απευθύνονται τόσο οι εργαζόμενοι όσο και τα τρίτα μέρη που ζητούν διευκρινίσεις σχετικά με οποιαδήποτε πτυχή της συμμόρφωσης με την προστασία δεδομένων προσωπικού χαρακτήρα.
3.5 Η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων είναι ευθύνη όλων των εργαζομένων της εταιρείας που επεξεργάζονται τα προσωπικά δεδομένα.
3.6 Η Πολιτική Εκπαίδευσης καθορίζει συγκεκριμένες απαιτήσεις κατάρτισης και ευαισθητοποίησης σε σχέση με τους συγκεκριμένους ρόλους των εργαζομένων.
Όλες οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα πρέπει να διεξάγονται σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται στο άρθρο 5 του GDPR. Οι πολιτικές και οι διαδικασίες της Εταιρείας έχουν σχεδιαστεί για να διασφαλίζουν τη συμμόρφωση με τις αρχές αυτές.
4.1 Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια).
Σύννομη επεξεργασία: πρέπει να προσδιοριστεί μια νόμιμη βάση πριν την επεξεργασία των προσωπικών δεδομένων, όπως για παράδειγμα η συγκατάθεση.
Ακριβώς για να είναι δίκαιη η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει συγκεκριμένα στοιχεία στα υποκείμενα των δεδομένων, εφόσον είναι εφικτό. Αυτό ισχύει είτε τα προσωπικά δεδομένα αποκτήθηκαν απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είτε από άλλες πηγές.
Ο GDPR έχει αυξήσει τις απαιτήσεις σχετικά με τις πληροφορίες που πρέπει να είναι διαθέσιμες στα υποκείμενα των δεδομένων, τα οποία καλύπτονται από την απαίτηση «Διαφάνεια».
Διαφάνεια: ο GDPR περιλαμβάνει κανόνες για την παροχή πληροφοριών σχετικά με τα προσωπικά δεδομένα στα υποκείμενα των δεδομένων στα άρθρα 12, 13 και 14. Αυτοί είναι λεπτομερείς και συγκεκριμένοι, δίνοντας έμφαση στην κατανόηση και την πρόσβαση στις ανακοινώσεις περί απορρήτου. Οι πληροφορίες κοινοποιούνται στο υποκείμενο των δεδομένων σε κατανοητή μορφή με σαφή και απλή γλώσσα.
Οι συγκεκριμένες πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων περιλαμβάνουν τουλάχιστον:
4.1.1 την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, ενδεχομένως, του εκτελούντος την επεξεργασία,
4.1.2 τα στοιχεία επικοινωνίας της εταιρείας,
4.1.3 τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία,
4.1.4 την περίοδο για την οποία αποθηκεύονται τα προσωπικά δεδομένα,
4.1.5 την ύπαρξη δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής ή διαμαρτυρίας στην επεξεργασία και των όρων (ή έλλειψης) σχετικά με την άσκηση αυτών των δικαιωμάτων, όπως το αν θα επηρεαστεί η νομιμότητα της προηγούμενης επεξεργασίας,
4.1.6 τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα,
4.1.7 τους παραλήπτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, κατά περίπτωση
4.1.8 οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για την εξασφάλιση της δίκαιης επεξεργασίας.
4.2 Τα προσωπικά δεδομένα συλλέγονται μόνο για συγκεκριμένους, σαφείς και νόμιμους σκοπούς.Τα δεδομένα που λαμβάνονται για καθορισμένους σκοπούς δεν χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που κοινοποιούνται επίσημα στην εποπτική αρχή στο πλαίσιο του μητρώου επεξεργασίας GDPR του Οργανισμού.
4.3 Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα για την επεξεργασία.
4.3.1 Ο Διαχειριστής είναι υπεύθυνος για τη διασφάλιση ότι η Εταιρεία δεν συλλέγει πληροφορίες που δεν είναι απολύτως απαραίτητες για τον σκοπό για τον οποίο αποκτήθηκαν.
4.3.2 Όλα τα έντυπα συλλογής δεδομένων (ηλεκτρονικά ή έντυπα), συμπεριλαμβανομένων των απαιτήσεων συλλογής δεδομένων σε νέα συστήματα πληροφοριών, περιλαμβάνουν μια δήλωση δίκαιης επεξεργασίας ή σύνδεση με τη δήλωση προστασίας απορρήτου και να έχουν εγκριθεί από τον υπεύθυνο διαχείρισης δεδομένων.
4.3.3 Ο Διαχειριστής θα μεριμνήσει ώστε, σε ετήσια βάση, όλες οι μέθοδοι συλλογής δεδομένων θα επανεξεταστούν από τον εσωτερικό ελεγκτή ή/και εξωτερικούς εμπειρογνώμονες, προκειμένου να διασφαλιστεί ότι τα συλλεγόμενα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβολικά.
4.4 Τα προσωπικά δεδομένα είναι ακριβή και να ενημερώνονται και κάθε προσπάθεια να διαγραφούν ή να διορθωθούν γίνεται χωρίς καθυστέρηση.
4.4.1 Τα δεδομένα που αποθηκεύονται από τον διαχειριστή δεδομένων επανεξετάζονται και να ενημερώνονται όπως απαιτείται. Δεν διατηρούνται δεδομένα εκτός αν είναι εύλογο να υποτεθεί ότι είναι ακριβή.
4.4.2 Ο Διαχειριστής είναι υπεύθυνος για την εξασφάλιση ότι όλο το προσωπικό εκπαιδεύεται στη σημασία της συλλογής συγκεκριμένων δεδομένων και της διατήρησής τους.
4.4.3 Είναι επίσης ευθύνη του υποκειμένου των δεδομένων να διασφαλίσει ότι τα δεδομένα που κατέχει η Εταιρεία είναι ακριβή και ενημερωμένα. Η συμπλήρωση ενός εντύπου εγγραφής ή αίτησης από ένα υποκείμενο των δεδομένων θα περιλαμβάνει δήλωση ότι τα δεδομένα που περιέχονται σε αυτό είναι ακριβή κατά την ημερομηνία υποβολής.
4.4.4 Οι εργαζόμενοι και όλα τα τρίτα μέρη υποχρεώνονται να κοινοποιούν στην Εταιρεία οποιεσδήποτε αλλαγές στις περιστάσεις ώστε να είναι δυνατή η ενημέρωση των προσωπικών τους αρχείων. Είναι ευθύνη της Εταιρείας να διασφαλίζει ότι καταγράφεται οποιαδήποτε κοινοποίηση σχετικά με την αλλαγή περιστάσεων και τις ενέργειες που ακολουθούνται.
4.4.5 Ο Διαχειριστής είναι υπεύθυνος για τη διασφάλιση της ύπαρξης κατάλληλων διαδικασιών και πολιτικών για την ακριβή και έγκαιρη ενημέρωση των προσωπικών δεδομένων, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία μπορεί να αλλάξουν και οποιουσδήποτε άλλους συναφείς παράγοντες.
4.4.6 Τουλάχιστον μία φορά το χρόνο, ο Διαχειριστής εξετάζει τις ημερομηνίες διατήρησης όλων των προσωπικών δεδομένων που επεξεργάζονται από την Εταιρεία, με αναφορά στην απογραφή δεδομένων και θα προσδιορίζει τυχόν δεδομένα που δεν απαιτούνται πλέον στο πλαίσιο του εγγεγραμμένου σκοπού. Αυτά τα δεδομένα θα διαγράφονται / καταστρέφονται με ασφάλεια σύμφωνα με την αντίστοιχη Διαδικασία.
4.4.7 Ο Διαχειριστής είναι υπεύθυνος για την απάντηση σε αιτήματα για διόρθωση από τα υποκείμενα των δεδομένων εντός ενός μηνός. Αυτό μπορεί να επεκταθεί σε δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν ο Οργανισμός αποφασίσει να μην συμμορφωθεί με την αίτηση, ο Διαχειριστής πρέπει να απαντήσει στο υποκείμενο των δεδομένων για να εξηγήσει τη συλλογιστική του και να το ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην εποπτική αρχή και να ζητήσει ένδικα μέσα.
4.4.8 Ο Διαχειριστής είναι υπεύθυνος για τη λήψη των κατάλληλων ρυθμίσεων, σύμφωνα με τις οποίες, σε περίπτωση που οι οργανώσεις τρίτων φορέων ενδέχεται να έχουν περάσει ανακριβή ή παρωχημένα προσωπικά δεδομένα, να τους ενημερώσει ότι οι πληροφορίες είναι ανακριβείς και δεν πρέπει να χρησιμοποιούνται για την ενημέρωση των αποφάσεων σχετικά με τα ενδιαφερόμενα άτομα. Επίσης, είναι υπεύθυνος για τη διαβίβαση οποιασδήποτε διόρθωσης στα προσωπικά δεδομένα σε τρίτα μέρη όπου αυτό απαιτείται.
4.5 Τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται κατά τρόπο ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μπορεί να ταυτοποιηθεί μόνο εφόσον είναι αναγκαίο για την επεξεργασία.
4.5.1 Όταν τα προσωπικά δεδομένα διατηρούνται πέρα από την ημερομηνία επεξεργασίας, ελαχιστοποιούνται / κρυπτογραφούνται / ψευδωνυμοποιούνται προκειμένου να προστατευθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση παραβίασης των δεδομένων.
4.5.2 Τα προσωπικά δεδομένα διατηρούνται σύμφωνα με την αντίστοιχη Διαδικασία (Διατήρησης των Αρχείων) και, μόλις περατωθεί η ημερομηνία κράτησής τους, καταστρέφονται με ασφάλεια σύμφωνα με τη διαδικασία αυτή.
4.5.3 Ο Διαχειριστής εγκρίνει συγκεκριμένα κάθε διατήρηση δεδομένων που υπερβαίνει τις περιόδους διατήρησης που ορίζονται στη Διαδικασία Διατήρησης Αρχείων και διασφαλίζει ότι η αιτιολόγηση είναι σαφώς προσδιορισμένη και ανταποκρίνεται στις απαιτήσεις της νομοθεσία για την προστασία των δεδομένων. Η έγκριση αυτή είναι γραπτά τεκμηριωμένη.
4.6 Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια. Ο Διαχειριστής έχει προβεί σε εκτίμηση επικινδυνότητας λαμβάνοντας υπόψη όλες τις περιστάσεις των πράξεων ελέγχου ή επεξεργασίας της Εταιρείας.
Για τον προσδιορισμό της καταλληλότητας, ο Διαχειριστής έχει εξετάσει την έκταση της πιθανής ζημίας ή απώλειας που μπορεί να προκληθεί σε άτομα (π.χ. προσωπικό ή πελάτες) σε περίπτωση παραβίασης της ασφάλειας, καθώς και τυχόν ζημιές για τη φήμη της Εταιρείας, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών.
Κατά την αξιολόγηση των κατάλληλων τεχνικών μέτρων, ο Διαχειριστής έχει εξετάσει τα ακόλουθα:
Κατά την αξιολόγηση κατάλληλων οργανωτικών μέτρων, ο Διαχειριστής έχει εξετάσει τα ακόλουθα:
Αυτοί οι έλεγχοι έχουν επιλεγεί με βάση τους προσδιορισμένους κινδύνους για τα προσωπικά δεδομένα και τις πιθανότητες βλάβης ή κινδύνου σε άτομα τα δεδομένα των οποίων υπόκεινται σε επεξεργασία.
Η συμμόρφωση της Εταιρείας με αυτή την αρχή περιέχεται στο Σύστημα Διαχείρισης Προσωπικών Πληροφοριών (ΣΔΠΠ).
4.7 Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση και με τις άλλες αρχές του GDPR (λογοδοσία). Ο GDPR περιλαμβάνει διατάξεις που προωθούν την υπευθυνότητα και τη διακυβέρνηση. Αυτά συμπληρώνουν τις απαιτήσεις διαφάνειας του GDPR. Η αρχή της λογοδοσίας στο άρθρο 5 παράγραφος 2 απαιτεί από την Εταιρεία να αποδείξει ότι συμμορφώνεται με τις αρχές του GDPR, με αποκλειστικά δική της ευθύνη.
Η Εταιρεία επιδεικνύει συμμόρφωση με τις αρχές προστασίας δεδομένων, εφαρμόζοντας πολιτικές προστασίας δεδομένων, εφαρμόζοντας κώδικες δεοντολογίας, εφαρμόζοντας τεχνικά και οργανωτικά μέτρα, καθώς και υιοθετώντας τεχνικές όπως η προστασία δεδομένων από σχεδιασμό, οι διαδικασίες γνωστοποίησης παραβίασης και τα σχέδια αντιμετώπισης περιστατικών.
5.1 Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία δεδομένων και τα δεδομένα που έχουν καταγραφεί για αυτά:
5.1.1 Να υποβάλλουν αιτήσεις πρόσβασης σε θέματα σχετικά με τη φύση των πληροφοριών που κατέχονται και το σε οποίους έχουν αποκαλυφθεί.
5.1.2 Να ζητούν να αποφευχθεί η επεξεργασία που ενδέχεται να τους προκαλέσει ζημιά.
5.1.3 Να ζητούν να εμποδίζεται η επεξεργασία για σκοπούς μάρκετινγκ.
5.1.4 Να ζητούν να ενημερωθούν για τη μηχανική της αυτοματοποιημένης διαδικασίας λήψης αποφάσεων που θα τους επηρεάσει σημαντικά.
5.1.5 Να ζητούν να μην παίρνονται σημαντικές αποφάσεις που θα τους επηρεάσουν μόνο με αυτοματοποιημένη διαδικασία.
5.1.6 Να διεκδικήσουν αποζημίωση εάν υποστούν ζημία από οποιαδήποτε παράβαση του GDPR.
5.1.7 Να λαμβάνουν μέτρα για τη διόρθωση, την απαγόρευση, τη διαγραφή, συμπεριλαμβανομένου του δικαιώματος λήθης ή καταστροφής των ανακριβών δεδομένων.
5.1.8 Να ζητούν από την εποπτική αρχή να εκτιμήσει εάν έχει παραβιαστεί οποιαδήποτε διάταξη του GDPR.
5.1.9 Να ζητούν να τους παρασχεθούν προσωπικά δεδομένα με διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και να έχουν το δικαίωμα να διαβιβάζονται αυτά τα δεδομένα σε άλλον επεξεργαστή δεδομένων.
5.1.10 Να μπορούν να αντιταχθούν σε οποιοδήποτε αυτοματοποιημένο προφίλ που εμφανίζεται χωρίς τη συγκατάθεση τους.
5.2 Η Εταιρεία εξασφαλίζει ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να ασκούν τα δικαιώματα αυτά.
5.2.1 Τα υποκείμενα των δεδομένων μπορούν να υποβάλλουν αιτήματα πρόσβασης δεδομένων και η εταιρεία θα εξασφαλίσει ότι η απόκριση στην αίτηση πρόσβασης δεδομένων θα συμμορφώνεται με τις απαιτήσεις του GDPR.
5.2.2 Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλλουν καταγγελίες στην Εταιρεία σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τη διεκπεραίωση ενός αιτήματος από ένα υποκείμενο των δεδομένων και τις προσφυγές από ένα υποκείμενο των δεδομένων σχετικά με τον τρόπο με τον οποίο διεκπεραιώθηκαν οι καταγγελίες σύμφωνα με τη Διαδικασία Καταγγελίας
6.1 Η Εταιρεία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι έχει δοθεί ρητά και ελεύθερα μια συγκεκριμένη, ενημερωμένη και σαφής ένδειξη για τις επιθυμίες του υποκειμένου των δεδομένων. Η σαφής αυτή ένδειξη έχει γίνει γνωστή με δήλωση ή με σαφή καταφατική ενέργεια και δείχνει τη συμφωνία του υποκειμένου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με αυτό. Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συναίνεσή του ανά πάσα στιγμή.
6.2 Η Εταιρεία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι το υποκείμενο των δεδομένων έχει ενημερωθεί πλήρως για την προβλεπόμενη επεξεργασία και έχει υποδείξει τη συμφωνία του, χωρίς να του έχουν ασκηθεί πιέσεις. Η συναίνεση που αποκτάται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία.
6.3 Πρέπει να υπάρξει κάποια ενεργή επικοινωνία μεταξύ των μερών για να αποδειχθεί η ενεργός συναίνεση. Η συναίνεση δεν μπορεί να συναχθεί χωρίς επικοινωνία. Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι έχει ληφθεί συναίνεση για τη διαδικασία επεξεργασίας.
6.4 Για τα ευαίσθητα δεδομένα πρέπει να παρέχεται ρητή γραπτή συγκατάθεση των υποκειμένων των δεδομένων, εκτός εάν υπάρχει εναλλακτική θεμιτή βάση για την επεξεργασία.
6.5 Στις περισσότερες περιπτώσεις, η συγκατάθεση για την επεξεργασία προσωπικών και ευαίσθητων δεδομένων αποκτάται συστηματικά από την Εταιρεία με χρήση τυπικών εγγράφων συγκατάθεσης.
7.1 Όλοι οι εργαζόμενοι είναι υπεύθυνοι για τη διασφάλιση ότι τα προσωπικά δεδομένα που κατέχει η Εταιρεία και για τα οποία είναι υπεύθυνοι, φυλάσσονται με ασφάλεια και δεν αποκαλύπτονται σε καμία περίπτωση σε τρίτους, εκτός εάν ο τρίτος έχει εξουσιοδότηση να λάβει αυτές τις πληροφορίες, πχ σε περίπτωση που έχει συνάψει συμφωνία εμπιστευτικότητας.
7.2 Όλα τα προσωπικά δεδομένα είναι προσβάσιμα μόνο σε όσους τα χρειάζονται για την εργασία τους και η πρόσβαση επιτρέπεται μόνο σύμφωνα με την Πολιτική Ελέγχου Πρόσβασης. Όλα τα προσωπικά δεδομένα αντιμετωπίζονται με την υψηλότερη ασφάλεια και πρέπει τηρούνται:
7.3 Λαμβάνεται μέριμνα ώστε οι οθόνες και οι τερματικοί σταθμοί υπολογιστών να μην είναι ορατοί σε τρίτους πέρα από τους εξουσιοδοτημένους υπαλλήλους του Οργανισμού. Όλοι οι εργαζόμενοι καλούνται να υπογράψουν σύμβαση προτού τους δοθεί πρόσβαση σε οργανωτικές πληροφορίες οποιουδήποτε είδους, οι οποίες περιγράφουν λεπτομερώς τους κανόνες σχετικά με τις ευθύνες τους σε ότι αφορά την προστασία των προσωπικών δεδομένων.
7.4 Τα μη αυτόματα αρχεία δεν επιτρέπεται να παραμένουν σε θέσεις όπου ενδέχεται να έχει πρόσβαση μη εξουσιοδοτημένο προσωπικό και δεν επιτρέπεται να αφαιρεθούν από τις εγκαταστάσεις χωρίς ρητή [γραπτή] εξουσιοδότηση.
7.5 Τα προσωπικά δεδομένα μπορούν να διαγραφούν ή να διατεθούν μόνο σύμφωνα με τη διαδικασία διατήρησης αρχείων.
7.6 Η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός των χώρων της Εταιρείας παρουσιάζει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή ζημίας σε δεδομένα προσωπικού χαρακτήρα. Το προσωπικό είναι εξουσιοδοτημένο ειδικά ώστε να επεξεργάζεται δεδομένα εκτός του χώρου.
8.1 Η Εταιρεία διασφαλίζει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε τρίτα μη εξουσιοδοτημένα πρόσωπα, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κυβερνητικών οργάνων και, υπό ορισμένες συνθήκες, της Αστυνομίας. Όλοι οι εργαζόμενοι είναι προσεκτικοί όταν καλούνται να αποκαλύψουν προσωπικά δεδομένα σε τρίτα πρόσωπα και θα πρέπει να παρακολουθήσουν ειδική εκπαίδευση που τους επιτρέπει να αντιμετωπίσουν αποτελεσματικά τον εν λόγω κίνδυνο. Είναι σημαντικό να υπάρχει κατά νου το κατά πόσον η αποκάλυψη των πληροφοριών είναι σχετική και αναγκαία για τη διεξαγωγή των δραστηριοτήτων του Οργανισμού.
8.2 Όλες οι αιτήσεις παροχής δεδομένων για έναν από αυτούς τους λόγους πρέπει να υποστηρίζονται από κατάλληλη γραφική εργασία και όλες αυτές οι γνωστοποιήσεις πρέπει να εγκρίνονται ειδικά από τον υπεύθυνο προστασίας δεδομένων / ιδιοκτήτη GDPR.
9.1 Η Εταιρεία δεν φυλάσσει τα προσωπικά δεδομένα σε μορφή που να επιτρέπει τον προσδιορισμό των προσώπων στα οποία αναφέρονται τα δεδομένα για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο, σε σχέση με τον σκοπό για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.
9.2 Η Εταιρεία μπορεί να αποθηκεύει δεδομένα για μεγαλύτερα χρονικά διαστήματα εάν τα προσωπικά δεδομένα υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης, για λόγους δημόσιου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την επιφύλαξη της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
9.3 Η περίοδος διατήρησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα θα καθορίζεται στη Διαδικασία Διατήρησης των Καταγγελιών μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου.
9.4 Τα προσωπικά δεδομένα πρέπει να διατίθενται με ασφάλεια σύμφωνα με την έκτη αρχή του GDPR – να επεξεργάζονται κατά τον κατάλληλο τρόπο για να διατηρούν την ασφάλεια τους, προστατεύοντας έτσι τα “δικαιώματα και τις ελευθερίες” των υποκειμένων των δεδομένων.
Όλες οι εξαγωγές δεδομένων από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) προς χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (που αναφέρονται ως «τρίτες χώρες») είναι παράνομες, εκτός εάν υπάρχει κατάλληλο «επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκείμενα δεδομένων».
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ απαγορεύεται εκτός εάν ισχύουν μία ή περισσότερες από τις καθορισμένες διασφαλίσεις ή εξαιρέσεις, όπως αυτές ορίζονται στον GDPR.
Η Εταιρεία δεν πραγματοποιεί μεταφορές προσωπικών δεδομένων προς «τρίτες χώρες».
11.1 Η Εταιρεία έχει καθιερώσει μια διαδικασία απογραφής δεδομένων και ροής δεδομένων ως μέρος της προσέγγισής της για την αντιμετώπιση των κινδύνων και των ευκαιριών στο σύνολο του έργου συμμόρφωσης με τον GDPR. Η απογραφή δεδομένων περιλαμβάνει:
Η Εταιρεία:
11.2 Η Εταιρεία έχει επίγνωση των κινδύνων που συνδέονται με την επεξεργασία των συγκεκριμένων τύπων προσωπικών δεδομένων.
11.2.1 Η Εταιρεία αξιολογεί το επίπεδο κινδύνου για τα άτομα που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων.
11.2.2 Η Εταιρεία διαχειρίζεται τους κινδύνους που εντοπίζονται από την εκτίμηση κινδύνου, προκειμένου να μειωθεί η πιθανότητα μη συμμόρφωσης με την παρούσα πολιτική.
11.2.3 Όταν ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και λαμβανομένης υπ’ όψιν της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πριν από τη διεξαγωγή της επεξεργασίας, προβαίνει σε αξιολόγηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων.
11.2.4 Όταν είναι σαφές ότι η εταιρεία πρόκειται να αρχίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θα μπορούσαν να προκαλέσουν ζημία ή / και αγωνία στα υποκείμενα των δεδομένων, η απόφαση για το αν πρέπει να προχωρήσει η εταιρεία προωθείται για έλεγχο στον διαχειριστή δεδομένων.
11.2.5 Ο Διαχειριστής δεδομένων, αν υπάρχουν σημαντικές ανησυχίες, είτε για την ενδεχόμενη ζημία ή αγωνία είτε για την ποσότητα των δεδομένων, προωθεί το ζήτημα στην εποπτική αρχή.
Ο Διαχειριστής δεδομένων είναι υπεύθυνος για το παρόν έγγραφο και για την εξασφάλιση της αναθεώρησης αυτού σύμφωνα με τις απαιτήσεις αναθεώρησης που αναφέρονται παραπάνω.
Μια τρέχουσα έκδοση αυτού του εγγράφου είναι διαθέσιμη σε όλα τα μέλη του προσωπικού.