Προστασία δεδομένων
1. ΑΝΤΙΚΕΙΜΕΝΟ
1.1. Η «Δ. ΘΑΝΟΠΟΥΛΟΣ Α.Ε.» αποτελεί πρότυπη επιχείρηση με πολύχρονη δραστηριοποίηση στον κλάδο των σουπερμάρκετ. Γνώμονας της Επιχείρησης είναι πάντοτε η τήρηση της ισχύουσας νομοθεσίας και ο σεβασμός των δικαιωμάτων και των έννομων συμφερόντων του προσωπικού και των πελατών της.
1.2. Στo πλαίσιo της επιχειρηματικής της δραστηριότητας η Επιχείρηση συλλέγει και επεξεργάζεται με την ιδιότητά της ως υπεύθυνη επεξεργασίας προσωπικά δεδομένα για κατηγορίες υποκειμένων δεδομένων, που περιλαμβάνονται, ενδεικτικά, στο Παράρτημα Β της παρούσας Πολιτικής.
2. ΣΚΟΠΟΣ
2.1. Η Επιχείρηση δεσμεύεται για τη διεξαγωγή της επιχειρηματικής της δραστηριότητας με σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων καθώς και σε συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων.
2.2. Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων («Πολιτική») χαράσσει τις γενικές κατευθυντήριες γραμμές και τη στρατηγική της Επιχείρησης για την προστασία των προσωπικών δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών δεδομένων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ» («ΓΚΠΔ») και τη νομοθεσία για την προστασία των προσωπικών δεδομένων.
2.3. Σκοπός της Πολιτικής είναι να εξειδικεύσει τους κανόνες, με βάση τους οποίους λαμβάνει χώρα η συλλογή και επεξεργασία προσωπικών δεδομένων από την Επιχείρηση, λαμβάνονται οργανωτικά και τεχνικά μέτρα για την ασφάλεια και εμπιστευτικότητά τους, τηρούνται οι υποχρεώσεις λογοδοσίας και καθορίζονται οι σχέσεις της Επιχείρησης με τρίτα μέρη.
2.4. Η τήρηση της παρούσας Πολιτικής συνιστά οργανωτικό μέτρο κατ’ εφαρμογή του άρθρου 32 του ΓΚΠΔ, για την προστασία της ασφάλειας και της εμπιστευτικότητας των προσωπικών δεδομένων, τα οποία η Επιχείρηση συλλέγει και επεξεργάζεται.
3. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ
3.1. Οι κανόνες της παρούσας Πολιτικής εφαρμόζονται τόσο στην, εν όλω ή εν μέρει, αυτοματοποιημένη και μη επεξεργασία προσωπικών δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης, ανεξαρτήτως αν το σύστημα αυτό είναι μηχανογραφημένο ή μη.
3.2. Η Πολιτική δεν εφαρμόζεται :
- στην επεξεργασία προσωπικών δεδομένων που δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ,
- στην επεξεργασία προσωπικών δεδομένων από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας, χωρίς σύνδεση με την εργασία ή την παροχή υπηρεσιών στην Επιχείρηση,
- στην επεξεργασία ανώνυμων δεδομένων, δηλαδή πληροφοριών που δεν σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, καθώς και στην επεξεργασία προσωπικών δεδομένων που έχουν καταστεί ανώνυμα, κατά τρόπο τέτοιον ώστε η ταυτότητα του Υποκειμένου των δεδομένων να μην μπορεί πλέον να εξακριβωθεί,
- στην επεξεργασία προσωπικών δεδομένων θανόντων.
4. ΙΣΧΥΣ
4.1. Η παρούσα Πολιτική τυγχάνει υποχρεωτικής εφαρμογής σε κάθε δραστηριότητα επεξεργασίας προσωπικών δεδομένων από το προσωπικό της Επιχείρησης. Η γνώση και εφαρμογή της Πολιτικής, όπως κάθε φορά ισχύει, αποτελεί συμβατική υποχρέωση των εργαζομένων της Επιχείρησης, συνιστώντας αναπόσπαστο τμήμα της σχέσης εξαρτημένης εργασίας.
4.2. Η Πολιτική διέπει την πρόσβαση και χρήση οποιασδήποτε μορφής βάσεων δεδομένων, πληροφοριακών συστημάτων, τεχνικών διεργασιών και διαδικασιών, στο μέτρο που αφορούν τη συλλογή, επεξεργασία, αποθήκευση, διαβίβαση και διαγραφή προσωπικών δεδομένων, τα οποία διαχειρίζεται η Επιχείρηση στο πλαίσιο των επιχειρηματικών της δραστηριοτήτων.
4.3. Η εφαρμογή της Πολιτικής δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη – συνεργάτες, προμηθευτές κ.ά., οι οποίοι επεξεργάζονται με οποιονδήποτε τρόπο προσωπικά δεδομένα εκ μέρους της Επιχείρησης, είτε ως υπεύθυνοι επεξεργασίας είτε ως εκτελούντες την επεξεργασία.
4.4. Η παρούσα Πολιτική καθώς και κάθε τροποποίηση αυτής εγκρίνεται από τη Διοίκηση της Επιχείρησης και ισχύει από τη γνωστοποίησή της, ανεξαρτήτως μέσου, για τα πρόσωπα που υπάγονται στο πεδίο εφαρμογής της.
4.5. Η παρούσα Πολιτική τροποποιείται από την Επιχείρηση κατά τη διακριτική της ευχέρεια, όποτε κρίνεται αναγκαίο, εντός των ορίων του νόμου και του διευθυντικού της δικαιώματος.
4.6. Σε περίπτωση που οποιοσδήποτε από τους όρους της Πολιτικής θεωρηθεί άκυρος, παράνομος ή καταχρηστικός για οποιονδήποτε λόγο, οι λοιποί όροι θα παραμένουν έγκυροι και ισχυροί ως έχουν, στο βαθμό που δεν έρχονται σε αντίθεση με την βούληση της Επιχείρησης, όπως εκφράζεται μέσω της παρούσας.
4.7. Σε περίπτωση αντίθεσης των κανόνων της Πολιτικής με κανόνες άλλων δεσμευτικών κειμένων ή διατάξεων νόμου, κατισχύουν οι κανόνες που προκύπτουν με βάση την ακόλουθη ιεράρχηση :
- Διατάξεις νόμων.
- Κανονιστικές πράξεις αρμοδίων εποπτικών αρχών.
- Ατομικές διοικητικές πράξεις αρμοδίων εποπτικών αρχών, που δεσμεύουν την Επιχείρηση.
- Κώδικες Δεοντολογίας.
- Συμβάσεις με τα υπόχρεα πρόσωπα της Πολιτικής.
- Η παρούσα πολιτική προστασίας προσωπικών δεδομένων της Επιχείρησης.
- Κανονισμός εργασίας, λοιπές εταιρικές πολιτικές και διαδικασίες.
5. ΕΠΟΠΤΕΙΑ
5.1. Η Διοίκηση λαμβάνει τις αποφάσεις για τη στρατηγική και το πλαίσιο προστασίας προσωπικών δεδομένων της Επιχείρησης.
5.2. Η Διοίκηση της Επιχείρησης διασφαλίζει ότι τόσο οι εργαζόμενοι όσο και ότι τρίτα πρόσωπα, τα οποία έχουν δεσμευθεί συμβατικά για την τήρηση της Πολιτικής, λαμβάνουν γνώση αυτής κατά τη θέση της σε ισχύ και συμμορφώνονται με αυτή.
5.3. Η Διοίκηση είναι επίσης υπεύθυνη για την παρακολούθηση της συμμόρφωσης της Επιχείρησης με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων, καθώς και με την παρούσα Πολιτική. Για την εποπτεία εφαρμογής της Πολιτικής διεξάγει περιοδικούς ελέγχους της Επιχείρησης.
5.4. Σε περίπτωση που παρατηρηθούν επίμονες αρνητικές αποκλίσεις σε σχέση με τα παραπάνω, η Διοίκηση διασφαλίζει ότι θα εντοπίζεται η βασική αιτία για το φαινόμενο αυτό και θα ορίζει το κατάλληλο διορθωτικό σχέδιο δράσης (action plan).
6. ΑΡΧΕΣ
6.1. Κατά τη συλλογή και επεξεργασία προσωπικών δεδομένων η Επιχείρηση σέβεται και ακολουθεί τις παρακάτω γενικές αρχές :
- Υποβάλλει τα προσωπικά δεδομένα σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
- Συλλέγει τα προσωπικά δεδομένα για καθορισμένους, ρητούς, νόμιμους σκοπούς και προσδιορισμένους ήδη κατά το χρόνο συλλογής τους και δεν τα υποβάλλει σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς («περιορισμός του σκοπού»).
- Διασφαλίζει ότι τα προσωπικά δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).
- Διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται, ενώ λαμβάνει εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση ανακριβών προσωπικών δεδομένων («ακρίβεια»).
- Διασφαλίζει ότι τα προσωπικά δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων, εκτός αν αυτά υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς και εφόσον εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («ελαχιστοποίηση του χρόνου διατήρησης»).
- Διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των προσωπικών δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
- Διαμορφώνει τις διαδικασίες και τα τεχνικά και οργανωτικά της συστήματα κατά τέτοιο τρόπο ώστε να δύναται να αποδεικνύει, ανά πάσα στιγμή, τόσο ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») όσο και ενώπιον των δικαστηρίων, ότι συμμορφώνεται πλήρως με τις υποχρεώσεις της που απορρέουν από την ισχύουσα νομοθεσία για την προστασία προσωπικών δεδομένων («λογοδοσία»).
7. ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
7.1. Η Επιχείρηση διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας απλών προσωπικών δεδομένων πληροί μία κατ’ ελάχιστο από τις ακόλουθες προϋποθέσεις :
- Βασίζεται στη συγκατάθεση του υποκειμένου των Δεδομένων.
- Αφορά εκτέλεση σύμβασης, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή είναι απαραίτητη για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων κατά το προσυμβατικό στάδιο.
- Είναι απαραίτητη για την συμμόρφωση της Επιχείρησης με έννομη υποχρέωση.
- Είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.
- Είναι απαραίτητη για την εκπλήρωση καθήκοντος της Επιχείρησης, που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που της έχει ανατεθεί
- Είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Επιχείρηση ή τρίτος και τα έννομα αυτά συμφέροντα υπερισχύουν των θεμελιωδών δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
7.2. Η Επιχείρηση διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας ειδικών κατηγοριών δεδομένων πληροί μία κατ’ ελάχιστο από τις ακόλουθες προϋποθέσεις :
- Βασίζεται στη ρητή συγκατάθεση του Υποκειμένου των Δεδομένων.
- Είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της Επιχείρησης ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
- Είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.
- Αφορά προσωπικά δεδομένα, τα οποία έχουν προδήλως δημοσιοποιηθεί από το Υποκείμενο των Δεδομένων.
- Είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
- Είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
- Είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών, εφόσον τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου.
- Είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας.
- Είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς.
7.3. Εφόσον επεξεργάζεται προσωπικά δεδομένα στη βάση υπέρτερων εννόμων συμφερόντων, η Επιχείρηση τηρεί αρχείο, στο οποίο καταγράφει τις σχετικές δραστηριότητες επεξεργασίας προσωπικών δεδομένων και τα αντίστοιχα έννομα συμφέροντα. Για την εκτίμηση του υπέρτερου χαρακτήρα των εννόμων συμφερόντων έναντι των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, η Επιχείρηση προβαίνει σε ανά περίπτωση προσεκτική αξιολόγηση με βάση, μεταξύ άλλων, τα ακόλουθα κριτήρια : (α) τη σχέση των υποκειμένων των δεδομένων με την Επιχείρηση, όπως συντρέχει στις περιπτώσεις που το υποκείμενο των δεδομένων είναι πελάτης της Επιχείρησης ή βρίσκεται στην υπηρεσία του, και (β) τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων κατά το χρόνο και στο πλαίσιο της συλλογής των προσωπικών δεδομένων, δηλαδή το κατά πόσο το υποκείμενο των δεδομένων μπορεί εύλογα να αναμένει την πραγματοποίηση της σχετικής επεξεργασίας. Τέτοιες περιπτώσεις περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων για τους σκοπούς πρόληψης της απάτης ή για σκοπούς άμεσης εμπορικής προώθησης.
7.4. Η Επιχείρηση επεξεργάζεται προσωπικά δεδομένα μόνο για σκοπούς ρητούς, σαφείς, νόμιμους και προσδιορισμένους ήδη κατά το χρόνο συλλογής τους. Επιπλέον, η Επιχείρηση δεν επεξεργάζεται προσωπικά δεδομένα για περαιτέρω σκοπούς, εκτός αν λαμβάνει την πρότερη ενημερωμένη συγκατάθεση του υποκειμένου των δεδομένων. Εφόσον από την ισχύουσα νομοθεσία επιτρέπεται η χρήση για περαιτέρω σκοπούς και χωρίς συγκατάθεση, η Επιχείρηση προβαίνει σε πρότερη ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους περαιτέρω αυτούς σκοπούς επεξεργασίας, όπως και για τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος εναντίωσης, ενώ μεριμνά για την διεξαγωγή της περαιτέρω επεξεργασίας με κατάλληλες εγγυήσεις για την προστασία των προσωπικών δεδομένων.
8. ΔΙΑΦΑΝΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
8.1. Η Επιχείρηση διασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων διεξάγεται με διαφανή τρόπο απέναντι στο υποκείμενο των δεδομένων και ότι παρέχονται στο υποκείμενο πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων σε εύκολα προσβάσιμη, συνοπτική και κατανοητή μορφή, με χρήση σαφούς και απλής διατύπωσης, ιδίως όταν απευθύνεται σε ανηλίκους.
8.2. Όταν τα προσωπικά δεδομένα συλλέγονται από το ίδιο το Υποκείμενο των δεδομένων, η Επιχείρηση παρέχει στο υποκείμενο κατά το στάδιο της συλλογής των δεδομένων τις ακόλουθες κατηγορίες πληροφοριών:
- την ταυτότητα και τα στοιχεία επικοινωνίας του Υπευθύνου Επεξεργασίας,
- τους σκοπούς της επεξεργασίας καθώς και τη νομική βάση για την επεξεργασία,
- εάν η επεξεργασία εξυπηρετεί έννομα συμφέροντα, τα έννομα συμφέροντα που επιδιώκονται,
- τυχόν αποδέκτες ή κατηγορίες αποδεκτών των προσωπικών δεδομένων,
- τυχόν διαβιβάσεις σε τρίτη χώρα ή διεθνή οργανισμό
- τον χρόνο διατήρησης των δεδομένων ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
- τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους,
- όταν η επεξεργασία βασίζεται στην παροχή συγκατάθεσης, το δικαίωμα ανάκλησης της συγκατάθεσής οποτεδήποτε, καθώς και τις συνέπειες τέτοιας ανάκλησης,
- το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
- κατά πόσο η παροχή προσωπικών δεδομένων αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη μελλοντική σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παράσχει τα προσωπικά δεδομένα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,
- την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
8.3. Όταν τα προσωπικά δεδομένα δεν συλλέγονται από το ίδιο το υποκείμενο των δεδομένων, η Επιχείρηση ενημερώνει το υποκείμενο, εκτός από τις πληροφορίες της προηγούμενης παραγράφου, και για την πηγή από την οποία προέρχονται τα προσωπικά δεδομένα καθώς και εάν τα δεδομένα προήλθαν από δημόσια προσβάσιμες πηγές, όπως επίσης και για τις κατηγορίες των προσωπικών δεδομένων οι οποίες έχουν συλλεγεί. Η εν λόγω ενημέρωση παρέχεται (α) εντός εύλογης προθεσμίας από τη συλλογή των προσωπικών δεδομένων, και το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία, (β) εάν τα προσωπικά δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, ευθύς αμέσως κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή (γ) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, ευθύς αμέσως όταν τα προσωπικά δεδομένα γνωστοποιούνται για πρώτη φορά.
8.4. Στην περίπτωση που τα δεδομένα συλλέγονται από το ίδιο το υποκείμενο, η υποχρέωση ενημέρωσης δεν συντρέχει εφόσον το υποκείμενο των δεδομένων διαθέτει ήδη τις σχετικές πληροφορίες. Στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το Υποκείμενο, η υποχρέωση ενημέρωσης του Υποκειμένου δεν συντρέχει στις ακόλουθες περιπτώσεις: (α) εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις σχετικές πληροφορίες, (β) εάν η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια, (γ) η απόκτηση ή η κοινοποίηση των προσωπικών δεδομένων προβλέπεται ρητώς από την ισχύουσα νομοθεσία και λαμβάνονται τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, ή (δ) εάν τα προσωπικά δεδομένα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης τήρησης επαγγελματικού ή άλλου απορρήτου.
9. ΣΥΓΚΑΤΑΘΕΣΗ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
9.1. Όταν η επεξεργασία προσωπικών δεδομένων βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η Επιχείρηση φέρει το βάρος απόδειξης ότι το υποκείμενο πράγματι συγκατατέθηκε για την επεξεργασία των δεδομένων του. Στα πλαίσια αυτά, η Επιχείρηση τηρεί αρχείο, ηλεκτρονικό ή μη, των δηλώσεων συγκατάθεσης, που λαμβάνει.
9.2. Η συγκατάθεση του υποκειμένου των δεδομένων, που λαμβάνεται από την Επιχείρηση, πρέπει να έχει τα ακόλουθα χαρακτηριστικά :
- Πρότερη : Να λαμβάνεται πριν από κάθε επεξεργασία.
- Εν πλήρη επιγνώσει : Κατά την λήψη της συγκατάθεσης να παρέχεται η νόμιμη ενημέρωση στο υποκείμενο των δεδομένων, συμπεριλαμβανομένης της πληροφορίας για το δικαίωμα του υποκειμένου να ανακαλεί την συγκατάθεση ανά πάσα στιγμή καθώς και τις συνέπειες τυχόν ανάκλησης.
- Ευκόλως Κατανοητή : Το αίτημα για συγκατάθεση καθώς και η σχετική ενημέρωση να διατυπώνονται σε κατανοητή και εύκολα προσβάσιμη μορφή, με χρήση σαφούς και απλής διατύπωσης.
- Ρητή : Η συγκατάθεση να παρέχεται με δήλωση, που να εμπεριέχει σαφή θετική ενέργεια (η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια του υποκειμένου δεν θα λογίζονται ως νόμιμη συγκατάθεση).
- Συγκεκριμένη : Όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται για περισσότερες πράξεις / σκοπούς επεξεργασίας, να ζητείται και να δίδεται συγκατάθεση ξεχωριστά για κάθε μία από τις πράξεις αυτές.
- Σαφώς Διακριτή : Να υποβάλλεται κατά τρόπο τέτοιο ώστε να είναι σαφώς διακριτή από άλλα θέματα.
- Ελεύθερη : Η συγκατάθεση να είναι αποτέλεσμα αληθινής ή ελεύθερης επιλογής του υποκειμένου των δεδομένων, δηλαδή να δίνεται σε περιστάσεις όπου το υποκείμενο να είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί. Όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και της Επιχείρησης, όπως στην περίπτωση των εργαζομένων της Επιχείρησης, η συγκατάθεση πρέπει να θεωρείται μόνο κατ’ εξαίρεση ελεύθερη, εφόσον η μη λήψη ή η ανάκλησή της αποδεδειγμένα δεν έχουν συνέπειες για το υποκείμενο των δεδομένων. Η λήψη συγκατάθεσης, που δίνεται στα πλαίσια εκτέλεσης σύμβασης, δεν πρέπει να τίθεται ως προϋπόθεση για την αποδοχή όρων ή προϋποθέσεων για την εκτέλεση της σύμβασης ή παροχής υπηρεσιών σχετιζόμενων με αυτή.
- Καταγεγραμμένη : Να παρέχεται είτε με γραπτή δήλωση (και μέσω ηλεκτρονικών, ή ψηφιακών μέσων εφόσον εξασφαλίζεται η ταυτοποίηση) είτε με προφορική δήλωση, που ηχογραφείται.
- Ελευθέρως Ανακλητή : Η ανάκληση της συγκατάθεσης να είναι ανά πάσα στιγμή διαθέσιμη στο υποκείμενο των δεδομένων με τον ίδιο εύκολο, απλό και αποτελεσματικό τρόπο με τον οποίο δόθηκε η συγκατάθεση. Ως προς τις συνέπειες της ανάκλησης για προσωπικά δεδομένα η επεξεργασία των οποίων είναι απολύτως αναγκαία για την εκτέλεση σύμβασης, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται ότι η ανάκληση παρέχει στην Επιχείρηση το δικαίωμα να καταγγέλλει τη σχετική σύμβαση. Εάν η ανάκληση της συγκατάθεσης λαμβάνει χώρα κατά το προσυμβατικό στάδιο, η Επιχείρηση έχει το δικαίωμα να αρνείται την σύναψη σύμβασης.
- Αποτελεσματικότητα Ανάκλησης : Να έχουν υλοποιηθεί κατάλληλα μέτρα ώστε, σε περίπτωση ανάκλησης της συγκατάθεσης, να λαμβάνει χώρα σε πραγματικό χρόνο η παύση της επεξεργασίας των προσωπικών δεδομένων και τα σχετικά συστήματα να ανταποκρίνονται άμεσα σε αυτή.
10. ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
10.1. Με την επιφύλαξη της ισχύουσας νομοθεσίας, η Επιχείρηση παρέχει τα ακόλουθα δικαιώματα σε όλα τα υποκείμενα, για τα οποία διατηρεί δεδομένα και σε σχέση με τα δεδομένα που τηρεί:
- Να αιτούνται την πρόσβαση στα προσωπικά τους δεδομένα καθώς και στις σχετικές με την επεξεργασία πληροφορίες, καθώς και να λαμβάνουν αντίγραφο αυτών (δικαίωμα πρόσβασης).
- Να αιτούνται τη διόρθωση ή / και συμπλήρωση τυχόν ανακριβειών και ελλείψεων των προσωπικών τους δεδομένων, κατόπιν προσκόμισης των αναγκαίων αποδεικτικών μέσων (δικαίωμα διόρθωσης).
- Να αιτούνται τη διαγραφή των προσωπικών τους δεδομένων (δικαίωμα διαγραφής).
- Να αιτούνται τον περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων στις περιπτώσεις που ορίζει ρητά ο νόμος (δικαίωμα περιορισμού).
- Να αιτούνται την φορητότητα των προσωπικών τους δεδομένων σε άλλον υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο (δικαίωμα φορητότητας).
- Να εναντιώνονται στην επεξεργασία των προσωπικών τους δεδομένων, στις περιπτώσεις που ορίζει ρητά ο νόμος (δικαίωμα εναντίωσης).
- Να μην υποβάλλονται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που τους αφορούν ή τους επηρεάζει σημαντικά με παρόμοιο τρόπο (δικαίωμα εναντίωσης στην αυτοματοποιημένη λήψη αποφάσεων).
- Να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εφόσον κρίνουν ότι υφίστανται προσβολή των δικαιωμάτων τους από πράξεις ή / και παραλείψεις της Επιχείρησης («δικαίωμα υποβολής καταγγελίας στην Αρχή»).
10.2. Τα παραπάνω αιτήματα απευθύνονται με ταχυδρομική ή ηλεκτρονική επιστολή στα στοιχεία επικοινωνίας, που αναφέρονται τόσο στις σχετικές έντυπες ενημερώσεις όσο και στον επιχειρηματικό ιστότοπο της Επιχείρησης.
10.3. Η διαδικασία διαχείρισης αιτημάτων των υποκειμένων των δεδομένων έχει ως εξής :
- Υποδοχή Αιτήματος : Όλα τα αιτήματα που λαμβάνονται προωθούνται στην Διοίκηση της Επιχείρησης.
- Ταυτοποίηση Αιτούντος : Πριν την επεξεργασία του εκάστοτε αιτήματος, εκτελείται ταυτοποίηση του αιτούντος για την εξακρίβωση της ορθότητας των παρεχόμενων στοιχείων και της πλήρωσης της ιδιότητας του αιτούντος ως υποκειμένου δεδομένων και εφόσον υπάρχουν αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα, ζητούνται πρόσθετες πληροφορίες.
- Επιβεβαίωση Παραλαβής : Η Επιχείρηση ενημερώνει το υποκείμενο των δεδομένων για την παραλαβή του αιτήματός του.
- Αξιολόγηση και Υλοποίηση Αιτήματος : Η Διοίκηση συνεκτιμά όλα τα πραγματικά περιστατικά και διατάξεις νόμου, που σχετίζονται με την επεξεργασία του αιτήματος και αποφασίζει για την υλοποίηση ή μη του αιτήματος. Εφόσον αποφασιστεί ότι το αίτημα υλοποιείται, αποστέλλει σχετική εντολή υλοποίησης στα επιμέρους τμήματα, διαφορετικά, καταρτίζει τεκμηριωμένη αιτιολογία για τη μη υλοποίηση και αποστέλλει επιστολή απάντησης στο υποκείμενο των δεδομένων.
10.4. Η Επιχείρηση ανταποκρίνεται σε κάθε σχετικό αίτημα υποκειμένου των δεδομένων εντός ενός (1) μηνός από την παραλαβή του. Κατόπιν ενημέρωσης του αιτούντος, η εν λόγω προθεσμία δύναται να παρατείνεται κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των υπό επεξεργασία αιτημάτων. Η άσκηση του δικαιώματος στη φορητότητα δε συνεπάγεται τη διαγραφή των υπό φορητότητα προσωπικών δεδομένων από τα αρχεία της Επιχείρησης.
10.5. Η ανταπόκριση της Επιχείρησης στα δικαιώματα των υποκειμένων των δεδομένων παρέχεται δωρεάν. Εντούτοις, εφόσον κάποιο αίτημα προδήλως δεν πληροί τις προϋποθέσεις του νόμου ή είναι υπερβολικό, η Επιχείρηση διατηρεί το δικαίωμα, είτε : (α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, είτε (β) να αρνηθεί να δώσει συνέχεια στο σχετικό αίτημα.
11. ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΛΗΨΗ ΑΠΟΦΑΣΕΩΝ
11.1. Η Επιχείρηση δε λαμβάνει κατά κανόνα αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένης της κατάρτισης προφίλ., εκτός αν κρίνεται σκόπιμο για την εκτέλεση των συμβατικών της υποχρεώσεων, τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών και την καλύτερη οργάνωση της επιχειρηματικής της δράσης.
11.2. Στις περιπτώσεις που λαμβάνονται αποφάσεις με αυτοματοποιημένο τρόπο, η Επιχείρηση λαμβάνει τα ακόλουθα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων :
- Επιλέγει κατάλληλες λύσεις αυτοματοποίησης, ώστε να δίνουν κατά κανόνα ορθά αποτελέσματα σε σχέση με το εκάστοτε αξιολογούμενο χαρακτηριστικό.
- Παρέχει γενικές πληροφορίες για τη λογική, τη σημασία και τις προβλεπόμενες συνέπειες της αυτοματοποιημένης επεξεργασίας στο πλαίσιο της αρχής της διαφάνειας, και (β) εξασφαλίζει, κατόπιν άσκησης δικαιώματος αντίρρησης, τη δυνατότητα ανθρώπινης παρέμβασης κατά τη λήψη της τελικής απόφασης.
- Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, για να διορθώνει τις ανακρίβειες και να ελαχιστοποιεί τον κίνδυνο σφαλμάτων.
- Αποτρέπει τις δυσμενείς διακρίσεις σε βάρος των υποκειμένων των δεδομένων.
- Διασφαλίζει ασφαλή αποθήκευση και πρόσβαση στα προσωπικά δεδομένα με τρόπο ανάλογο του κινδύνου για τα συμφέροντα και τα δικαιώματα των υποκειμένων των δεδομένων.
- Διασφαλίζει ότι οι αποφάσεις που λαμβάνονται αυτοματοποιημένα δεν αφορούν παιδιά.
- Διασφαλίζει ότι οι αποφάσεις, που λαμβάνονται, δεν βασίζονται σε ειδικές κατηγορίες δεδομένων, εκτός εάν υφίσταται ρητή συγκατάθεση ή η κατάρτιση προφίλ είναι δημοσίου συμφέροντος.
11.3. Επιπλέον, όταν υφίσταται αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, η Επιχείρηση παρέχει στα υποκείμενα των δεδομένων τα ακόλουθα δικαιώματα :
- Δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης.
- Δικαίωμα αμφισβήτησης της αυτοματοποιημένα λαμβανόμενης απόφασης.
- Δικαίωμα έκφρασης της άποψής τους.
- Δικαίωμα αντίταξης ανά πάσα στιγμή στην εν λόγω επεξεργασία προσωπικών δεδομένων, όταν η αυτοματοποιημένη λήψη αποφάσεων εξυπηρετεί σκοπούς απευθείας εμπορικής προώθησης.
12. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ
12.1. Η Επιχείρηση διασφαλίζει ότι η προστασία των προσωπικών δεδομένων ενσωματώνεται σε οποιαδήποτε επιχειρηματική της δραστηριότητα που σχετίζεται με προσωπικά δεδομένα, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και καθ’ όλη τη διάρκεια της επεξεργασίας.
12.2. Για το σκοπό αυτό, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, η Επιχείρηση εφαρμόζει κατάλληλα μέτρα προστασίας των προσωπικών δεδομένων και χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας.
12.3. Για τη διασφάλιση της προστασίας των προσωπικών δεδομένων από τον σχεδιασμό και εξ ορισμού η Επιχείρηση εξετάζει την δυνατότητα ενσωμάτωσης κατάλληλων χαρακτηριστικών στο υπό σχεδίαση μέσο ή διαδικασία επεξεργασίας, ώστε αυτά να παρέχουν επαρκή προστασία στα υπό επεξεργασία προσωπικά δεδομένα ήδη από τον σχεδιασμό τους και εξ ορισμού. Εφόσον το νέο μέσο ή διαδικασία επεξεργασίας εγκυμονεί υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η Επιχείρηση εκτελεί εκτίμηση αντικτύπου για την προστασία των δεδομένων, καθορίζει μέσα για το μετριασμό των αναγνωρισμένων κινδύνων και τέλος λαμβάνει και υλοποιεί τις σχετικές αποφάσεις ως προς τον σχεδιασμό του νέου μέσου ή διαδικασίας επεξεργασίας.
13. ΔΙΑΧΕΙΡΙΣΗ ΕΚΤΕΛΟΥΝΤΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
13.1. Όταν η επεξεργασία διενεργείται από τρίτο μέρος για λογαριασμό της, η Επιχείρηση χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις της ισχύουσας νομοθεσίας και της παρούσας Πολιτικής και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
13.2. Κάθε σύμβαση της Επιχείρησης με τρίτη επιχείρηση, που εκτελεί επεξεργασία προσωπικών δεδομένων για λογαριασμό της, καταρτίζεται εγγράφως, μεταξύ άλλων και σε ηλεκτρονική μορφή, και συμπεριλαμβάνει κατ’ ελάχιστο τους ακόλουθους όρους :
- Τον καθορισμό του αντικειμένου και της διάρκειας της επεξεργασίας, της φύσης και του σκοπού της επεξεργασίας, του είδους των προσωπικών δεδομένων, των κατηγοριών των υποκειμένων των δεδομένων και των υποχρεώσεων και δικαιωμάτων του υπευθύνου επεξεργασίας.
- Την υποχρέωση επεξεργασίας μόνο βάσει καταγεγραμμένων εντολών της Επιχείρησης, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό.
- Τη δέσμευση τήρησης εμπιστευτικότητας του προσωπικού και των συνεργατών του εκτελούντος την επεξεργασία.
- Τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας και εμπιστευτικότητας των δεδομένων.
- Την συνδρομή στην ανταπόκριση σε αιτήματα άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων.
- Τη συνδρομή στην κατάρτιση εκτιμήσεων αντικτύπου.
- Τη συνδρομή στη διασφάλιση της συμμόρφωσης της Επιχείρησης προς τις υποχρεώσεις περί παραβίασης δεδομένων.
- Την υποχρέωση ενημέρωσης της Επιχείρησης για το παρανόμο κάποιας εντολής της.
- Την υποχρέωση, κατόπιν αιτήματος της Επιχείρησης, για τη διαγραφή ή επιστροφή όλων των προσωπικών δεδομένων μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και τη διαγραφή τυχόν αντιγράφων αυτών
- Τη θέση στη διάθεση της Επιχείρησης κάθε απαραίτητης πληροφορίας προς απόδειξη της συμμόρφωσης του εκτελούντος επεξεργασία προς τις συμβατικές του υποχρεώσεις
- Τη διεξαγωγή και διευκόλυνση ελέγχων, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από την Επιχείρηση ή από άλλον ελεγκτή εντεταλμένο από αυτή.
- Την υποχρέωση λήψης άδειας, γενικής ή ειδικής, για την περαιτέρω ανάθεση της επεξεργασίας σε τρίτους βοηθούς εκτέλεσης.
- Τη δέσμευση τυχόν βοηθών εκτέλεσης με τις ίδιες υποχρεώσεις προστασίας των προσωπικών δεδομένων που προβλέπονται στη σύμβαση του εκτελούντος επεξεργασία με την Επιχείρηση.
13.3. Η Επιχείρηση πραγματοποιεί αξιολογήσεις των εκτελούντων την επεξεργασία με τους οποίους η Επιχείρηση έχει συνάψει σύμβαση, με σκοπό να εξασφαλίζει ότι οι τελευταίοι τηρούν όλες τις σχετικές δεσμεύσεις, όπως αυτές αναγράφονται κάθε φορά στην υπογεγραμμένη σύμβαση σχετικά με την ασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα και συμμορφώνονται με την ισχύουσα νομοθεσία.
14. ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ
14.1. Καθ’ όλο τον κύκλο ζωής τους, δηλαδή από τη συλλογή μέχρι και την, κατά περίπτωση, καταστροφή αυτών, η Επιχείρηση εφαρμόζει τις ακόλουθες αρχές ασφαλείας των προσωπικών δεδομένων, που επεξεργάζεται:
- Εμπιστευτικότητα: Τα δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.
- Ακεραιότητα: Τα δεδομένα είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.
- Διαθεσιμότητα: Τα δεδομένα είναι στη διάθεση των χρηστών, όποτε απαιτείται η χρήση τους.
14.2. Αντικείμενο των μέτρων ασφαλείας της Επιχείρησης είναι αφενός το σύνολο των υπό επεξεργασία προσωπικών δεδομένων και αφετέρου το σύνολο του εξοπλισμού και των συστημάτων πληροφορικής και ηλεκτρονικών επικοινωνιών της Επιχείρησης. Σκοπός των μέτρων ασφαλείας της Επιχείρησης είναι η πρόληψη και αποτροπή των κινδύνων για τα θεμελιώδη δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων, που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Το πεδίο εφαρμογής των κανόνων του παρόντος άρθρου καλύπτει όλο το προσωπικό και της Επιχείρησης, ενώ δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη, όπως εκτελούντες επεξεργασία για λογαριασμό της Επιχείρησης.
14.3. Η Επιχείρηση διορίζει Υπεύθυνο Ασφαλείας Δεδομένων (ΥΑΔ), ο οποίος έχει το καθήκον να εποπτεύει και να παρακολουθεί την εφαρμογή των μέτρων ασφαλείας της Επιχείρησης. Ο ΥΑΔ καταρτίζει το Σχέδιο Ασφαλείας της Επιχείρησης, στο οποίο (i) τηρεί αρχείο της τεχνολογικής υποδομής και των συστημάτων επεξεργασίας προσωπικών δεδομένων, των οργανωτικών και τεχνικών μέτρων ασφαλείας καθώς και των μέτρων φυσικής ασφάλειας που εφαρμόζονται από την Επιχείρηση, (ii) καθορίζει το πλάνο υλοποίησης μέτρων ασφαλείας και (iii) περιγράφει τις διαδικασίες επισκόπησης και αναθεώρησης του σχεδίου ασφαλείας.
14.4. H Eπιχείρηση προβαίνει σε περιοδική επανεξέταση και αναθεώρηση των εξουσιοδοτήσεων και δικαιωμάτων πρόσβασης για όλα τα στάδια της εργασιακής πορείας των υπαλλήλων (πρόσληψη, μετακίνηση, αλλαγή καθηκόντων, αποχώρηση, κ.λπ). Τέλος, λαμβάνει ειδικά μέτρα για τη δέσμευση του προσωπικού που επεξεργάζεται προσωπικά δεδομένα ως προς την εμπιστευτικότητα των δεδομένων αυτών. Μετά την αποχώρηση υπαλλήλου η Επιχείρηση προχωρά σε κατάργηση όλων των λογαριασμών πρόσβασης, των εξουσιοδοτήσεων και των κωδικών-συνθηματικών πρόσβασης, κατάργηση των λογαριασμών ηλεκτρονικού ταχυδρομείου και μη ανάθεσή τους σε άλλον ή άλλους υπαλλήλους (μη επαναχρησιμοποίηση τους και σε επιστροφή οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον υπάλληλο και ανήκει στην Επιχείρηση (συμπεριλαμβανομένων υπολογιστών, κλειδιών, ηλεκτρονικών καρτών εισόδου/εξόδου, κ.λπ).
14.5. Η Επιχείρηση λαμβάνει κατάλληλα οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων στους ακόλουθους τομείς :
- Διορισμός Υπευθύνου Ασφαλείας Δεδομένων.
- Κατάλληλη διαχείριση πληροφοριακών αγαθών.
- Κατάλληλη διαχείριση εκτελούντων την επεξεργασία.
- Τήρηση χρόνων διατήρησης δεδομένων και αποθηκευτικών μέσων.
- Τήρηση διαδικασίας διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων.
- Εκπαίδευση προσωπικού.
- Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.
14.6. Η Επιχείρηση λαμβάνει τεχνικά μέτρα για την ασφάλεια των προσωπικών δεδομένων στους ακόλουθους τομείς :
- Ψευδωνυμοποίηση και κρυπτογράφηση.
- Διασφάλιση απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας.
- Αποκατάσταση διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
- Έλεγχος πρόσβασης, διαχείριση ταυτοτήτων και προσβάσεων, αυθεντικοποίηση και παροχή δικαιώματος πρόσβασης στα προσωπικά δεδομένα σε εξουσιοδοτημένους χρήστες με βάση τους ρόλους και τις αρμοδιότητές τους.
- Αντίγραφα ασφαλείας.
- Διαμόρφωση υπολογιστών.
- Αρχεία καταγραφής ενεργειών χρηστών και συμβάντων ασφαλείας.
- Ασφάλεια επικοινωνιών.
- Αποσπώμενα μέσα αποθήκευσης.
- Ασφάλεια λογισμικού
- Διαχείριση αλλαγών
14.7. Η Επιχείρηση λαμβάνει μέτρα φυσικής ασφαλείας των προσωπικών δεδομένων στους ακόλουθους τομείς :
- Έλεγχος φυσικής πρόσβασης.
- Ελαχιστοποίηση έγχαρτων αρχείων δεδομένων.
- Περιβαλλοντική ασφάλεια.
- Έκθεση εγγράφων.
- Προστασία φορητών μέσων αποθήκευσης.
- Μεταφορά φακέλων.
- Εναλλακτικές εγκαταστάσεις.
14.8. Για την επισκόπηση της ορθής εφαρμογής της ασφαλείας δεδομένων και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφαλείας ο ΥΑΔ διεξάγει περιοδικούς εσωτερικούς ελέγχους, κατ’ ελάχιστο μία φορά κατ’ έτος.
15. ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ
15.1. Στα πλαίσια της αρχής της ελαχιστοποίησης του χρόνου διατήρησης των δεδομένων η Επιχείρηση καταρτίζει πλάνο με τους χρόνους διατήρησης για κάθε κατηγορία προσωπικών δεδομένων, που συλλέγει και επεξεργάζεται, το οποίο επισυνάπτεται ως Παράρτημα στην παρούσα Πολιτική.
15.2. Η Επιχείρηση καθορίζει τον χρόνο διατήρησης κάθε κατηγορίας δεδομένων με βάση την αναγκαιότητα της διατήρησης για την εξυπηρέτηση των σχετικών σκοπών επεξεργασίας. Η αναγκαιότητα της διατήρησης περαιτέρω εξειδικεύεται με βάση τους ακόλουθους παράγοντες : (i) τις επιχειρηματικές ή άλλες ανάγκες, (ii) τις ισχύουσες προθεσμίες παραγραφής για τη θεμελίωση, άσκηση ή υποστήριξη σχετικών νομικών αξιώσεων, και (iv) την ύπαρξη τυχόν νομικών περιορισμών για τον ελάχιστο ή μέγιστο χρόνο διατήρησης των συγκεκριμένων δεδομένων.
15.3. Η Επιχείρηση διαθέτει επαρκή αποθηκευτικό χώρο και κατάλληλο σύστημα διατήρησης προσωπικών δεδομένων, τα οποία επιτρέπουν την εύκολη και άμεση αναζήτηση δεδομένων και διαθέτουν κανόνες ελεγχόμενης πρόσβασης και χρήσης, διαφύλαξης της ακεραιότητας των δεδομένων και της ιχνηλασιμότητας της διακίνησής τους. Η Επιχείρηση μεριμνά για την όσο το δυνατόν μεγαλύτερη ομοιομορφία των μέσων και των κανόνων διατήρησης δεδομένων κατά την εσωτερική οργάνωση και λειτουργία της.
15.4. Αμέσως μετά το πέρας της περιόδου διατήρησης τα προσωπικά δεδομένα καταστρέφονται με ευθύνη της Επιχείρησης και χωρίς να είναι δυνατή η ανάκτηση των δεδομένων μετά την καταστροφή με τεχνικά ή άλλα μέσα. Η καταστροφή λαμβάνει χώρα με ασφαλή τρόπο, ώστε να μην είναι δυνατή η αναγνώριση των υποκειμένων των δεδομένων.
15.5. Η καταστροφή έγχαρτου αρχείου λαμβάνει χώρα με τεμαχισμό, πολτοποίηση, ανακύκλωση ή αποτέφρωση. Η καταστροφή ηλεκτρονικού αρχείου, περιλαμβανομένων των των αντιγράφων ασφαλείας (back up), λαμβάνει χώρα με αλλοίωση με τη χρήση ειδικών προγραμμάτων (file erasers, file shredders, file pulveritizers) ή μορφοποίηση του υλικού υποστρώματος (format). Για ιδιαίτερα κρίσιμα ηλεκτρονικά δεδομένα η Επιχείρηση δύναται κατά τη διακριτική της ευχέρεια να επιλέγει και την φυσική καταστροφή του ίδιου του υλικού υποστρώματος με θρυματισμό, κονιορτοποίηση ή αποτέφρωση με την επιφύλαξη ειδικών διατάξεων σχετικά με τη διαχείριση ειδικών αποβλήτων και την προστασία του περιβάλλοντος).
15.6. Μετά το πέρας της καταστροφής υπογράφεται γραπτώς πρωτόκολλο καταστροφής από αρμόδιο στέλεχος της Επιχείρησης με τα ακόλουθα στοιχεία : (i) ημερομηνία καταστροφής των δεδομένων, (ii) περιγραφή των δεδομένων που καταστράφηκαν, (iii) Μέθοδος καταστροφής, (iv) ονοματεπώνυμο αρμόδιου υπαλλήλου του υπεύθυνου επεξεργασίας που είναι υπεύθυνος για την καταστροφή, (v) τυχόν εκτελών που αναλαμβάνει την καταστροφή.
16. ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΏΝ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ
16.1. Κάθε εργαζόμενος ή συνεργάτης της Επιχείρησης έχει την υποχρέωση να αναφέρει άμεσα στον Υπεύθυνο Ασφάλειας Δεδομένων («ΥΑΔ») κάθε περιστατικό ασφαλείας, που υποπίπτει στην αντίληψή του. Ο ΥΑΔ επιβεβαιώνει το περιστατικό ασφαλείας και αν αυτό σχετίζεται με προσωπικά δεδομένα, λαμβάνει άμεσα όλες τις αναγκαίες ενέργειες για την ελαχιστοποίηση οποιασδήποτε περαιτέρω επίδρασης της παραβίασης στα προσωπικά δεδομένα της Επιχείρησης (π.χ. προσωρινή διακοπή σύνδεσης του υπό παραβίαση συστήματος πληροφορικής με το διαδίκτυο ή περιορισμός πρόσβασης στο εν λόγω σύστημα σε μικρό αριθμό εργαζομένων, έως ότου να εκτελεστούν οι κατάλληλες ενέργειες για την πλήρη αντιμετώπιση του περιστατικού παραβιάσεως δεδομένων προσωπικού χαρακτήρα).
16.2. Εν συνεχεία, εφόσον η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ανακοινώνει την παραβίαση στην ΑΠΔΠΧ συμπληρώνοντας σχετική φόρμα αμελλητί και, εάν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση της παραβίασης στην ΑΠΔΠΧ. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Σε περίπτωση που δεν καθίσταται δυνατό να παρέχονται ταυτόχρονα, η Επιχείρηση παρέχει τις παραπάνω πληροφορίες σταδιακά και χωρίς αδικαιολόγητη καθυστέρηση.
16.3. Η αξιολόγηση του κινδύνου κάθε παραβίασης δεδομένων από τον ΥΑΔ λαμβάνει χώρα με βάση τα ακόλουθα κριτήρια :
- Τον τύπο της παραβίασης.
- Το είδος, διαβάθμιση και όγκο των παραβιασθέντων δεδομένων.
- Το βαθμό ευχέρειας ταυτοποίησης των υποκειμένων των δεδομένων.
- Την πιθανότητα επέλευσης βλάβης στα υποκείμενα των δεδομένων.
- Την σπουδαιότητα της πιθανής βλάβης για τα υποκείμενα των δεδομένων.
- Τα πιθανά ειδικά χαρακτηριστικά του υποκειμένου των δεδομένων.
- Τον αριθμό των υποκειμένων των δεδομένων, που επηρεάστηκαν από την παραβίαση.
- Τα παραβιασθέντα μέτρα ασφαλείας δεδομένων.
16.4. Όταν προκύπτει από το αποτέλεσμα της αξιολόγησης ότι η παραβίαση προσωπικών δεδομένων ενδέχεται να θέτει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα θιγόμενα υποκείμενα των δεδομένων, εφόσον δεν πληρούνται οι εξαιρέσεις από την υποχρέωση ανακοίνωσης, που προβλέπονται στην ισχύουσα νομοθεσία. Η Επιχείρηση τηρεί αποδεικτικό υλικό για την εν λόγω ανακοίνωση.
16.5. Μετά την ολοκλήρωση της κοινοποίησης στην ΑΠΔΠΧ, ο ΥΑΔ προχωρά στις αναγκαίες ενέργειες για την πλήρη αντιμετώπιση της παραβίασης δεδομένων.
16.6. Σε περίπτωση που λάβει χώρα παραβίαση δεδομένων στο πεδίο ευθύνης της Επιχείρησης, ενώ δρα ως εκτελούσα την επεξεργασία, η Επιχείρηση ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
16.7. Ο ΥΑΔ διατηρεί Αρχείο της Επιχείρησης με τα περιστατικά παραβίασης προσωπικών δεδομένων, όπου καταγράφονται όλες οι λεπτομέρειες σχετικά με το περιστατικό (ημερομηνία, ενέργειες, εμπλεκόμενα μέρη, σχέδιο δράσης κ.α.) και την αξιολόγησή του καθώς και την υποχρέωση ή όχι ενημέρωσης των υποκειμένων ή/και των εποπτικών αρχών.
17. ΕΚΤΙΜΗΣΕΙΣ ΑΝΤΙΚΤΥΠΟΥ
17.1. Η Επιχείρηση διεξάγει, περιοδικά ή εκτάκτως, εκτίμηση αντικτύπου πριν την εκκίνηση μίας δραστηριότητας επεξεργασίας, κάθε φορά που κρίνει ότι η σχεδιαζόμενη δραστηριότητα επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εκτός και αν η ΑΠΔΠΧ περιλαμβάνεται σε δημοσιευμένη λίστα επεξεργασιών για τις οποίες δεν απαιτείται εκτίμηση αντικτύπου. Σε περιπτώσεις που η συγκέντρωση υψηλού κινδύνου δεν είναι ξεκάθαρη, η εκτίμηση αντικτύπου λαμβάνει χώρα υποχρεωτικά
17.2. Εκτίμηση αντικτύπου δύναται να εκτελείται τόσο για μία συγκεκριμένη όσο και για περισσότερες δραστηριότητες επεξεργασίας, εφόσον αυτές ενέχουν ομοιότητες ως προς τις πράξεις επεξεργασίας και τους κινδύνους.
17.3. Εάν η εκτίμηση αντικτύπου υποδείξει ότι η ερευνώμενη δραστηριότητα επεξεργασίας θα καταλήξει σε υψηλό κίνδυνο παρ’ όλα τα μέτρα μετριασμού του, η Διοίκηση αιτείται προηγούμενη διαβούλευση με την ΑΠΔΠΧ, προτού η Επιχείρηση προχωρήσει σε οποιαδήποτε επεξεργασία.
17.4. Η Επιχείρηση τηρεί αρχείο με το ιστορικό των εκτιμήσεων αντικτύπου, που έχουν εκτελεστεί, το οποίο περιλαμβάνει κάθε σχετική τεκμηρίωση που έλαβε χώρα στα πλαίσια της εκτέλεσης.
18. ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
18.1. Η Επιχείρηση, είτε απευθείας είτε μέσω εκτελούντων επεξεργασία για λογαριασμό της, ακολουθεί ως κανόνα την αποφυγή της διαβίβασης προσωπικών δεδομένων σε χώρα, η οποία δε διασφαλίζει επαρκές επίπεδο προστασίας σχετικά με την προστασία αυτών, εφόσον η σχετική επεξεργασία δύναται να λαμβάνει χώρα εντός του Ευρωπαϊκού Οικονομικού Χώρου χωρίς εμπορικό αντίκτυπο για την Επιχείρηση.
18.2. Σε περίπτωση που η Επιχείρηση διαβιβάζει δεδομένα σε χώρες, οι οποίες δε διασφαλίζουν επαρκές επίπεδο προστασίας, διασφαλίζει την τήρηση των κατάλληλων εγγυήσεων, που προβλέπονται στον ΓΚΠΔ. Στα πλαίσια αυτά, η Επιχείρηση διαβιβάζει προσωπικά δεδομένα προς τρίτη χώρα ή διεθνή οργανισμό στις εξής περιπτώσεις :
- εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει, δυνάμει σχετικής απόφασης, ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα ή τον εν λόγω διεθνή οργανισμό, ή
- εφόσον ο τρίτος αποδέκτης των δεδομένων (i) έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με τα οριζόμενα στο άρθρο 46 του ΓΚΠΔ, περιλαμβανομένων των δεσμευτικών εταιρικών κανόνων του άρθρου 47 του ΓΚΠΔ, και (ii) υφίστανται αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων, ή
- εφόσον πληρούνται οι προϋποθέσεις του άρθρου 49 του ΓΚΠΔ.
19. ΕΚΠΑΙΔΕΥΣΗ ΚΑΙ ΕΥΑΙΣΘΗΤΟΠΟΙΗΣΗ
19.1. Η Επιχείρηση διεξάγει περιοδικές δράσεις εκπαίδευσης του προσωπικού και των συνεργατών της, το αντικείμενο εργασίας των οποίων δύναται να εμπλέκει την επεξεργασία προσωπικών δεδομένων, με στόχο την κατανόηση και τον σεβασμό στις γενικές αρχές της παρούσας Πολιτικής κατά την καθημερινή πρακτική των δραστηριοτήτων της Επιχείρησης.
19.2. Η Επιχείρηση καλλιεργεί εταιρική κουλτούρα για την προστασία των προσωπικών δεδομένων, η οποία έχει κατ’ ελάχιστο τα ακόλουθα στοιχεία :
- Ευαισθητοποίηση και υπευθυνότητα αναφορικά με την ανάγκη για τον σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων.
- Κατανόηση του πλαισίου κανόνων προστασίας προσωπικών δεδομένων της Επιχείρησης.
- Θετική ενεργοποίηση για την συμμόρφωση της Επιχείρησης με τους κανόνες της παρούσας Πολιτικής.
- Διαρκής επαγρύπνηση για την ανίχνευση κινδύνων ως προς τα δικαιώματα των υποκειμένων των δεδομένων καθώς και για την πρόληψη και καταστολή παραβιάσεων προσωπικών δεδομένων.