Παράδοση κατ'οίκον στα βόρεια προάστια, σύντομα και στην υπόλοιπη Αττική!
1.1. Η «Δ. ΘΑΝΟΠΟΥΛΟΣ Α.Ε.» αποτελεί πρότυπη επιχείρηση με πολύχρονη δραστηριοποίηση στον κλάδο των σουπερμάρκετ. Γνώμονας της Επιχείρησης είναι πάντοτε η τήρηση της ισχύουσας νομοθεσίας και ο σεβασμός των δικαιωμάτων και των έννομων συμφερόντων του προσωπικού και των πελατών της.
1.2. Στo πλαίσιoτης επιχειρηματικής της δραστηριότητας η Επιχείρηση συλλέγει και επεξεργάζεται με την ιδιότητά της ως υπεύθυνη επεξεργασίας προσωπικά δεδομένα για κατηγορίες υποκειμένων δεδομένων, που περιλαμβάνονται, ενδεικτικά, στο Παράρτημα Β της παρούσας Πολιτικής.
2.1. Η Επιχείρηση δεσμεύεται για τη διεξαγωγή της επιχειρηματικής της δραστηριότητας με σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων καθώς και σε συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων.
2.2. Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων («Πολιτική») χαράσσει τις γενικές κατευθυντήριες γραμμές και τη στρατηγική της Επιχείρησης για την προστασία των προσωπικών δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών δεδομένων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ» («ΓΚΠΔ») και τη νομοθεσία για την προστασία των προσωπικών δεδομένων.
2.3. Σκοπός της Πολιτικής είναι να εξειδικεύσει τους κανόνες, με βάση τους οποίους λαμβάνει χώρα η συλλογή και επεξεργασία προσωπικών δεδομένων από την Επιχείρηση, λαμβάνονται οργανωτικά και τεχνικά μέτρα για την ασφάλεια και εμπιστευτικότητά τους, τηρούνται οι υποχρεώσεις λογοδοσίας και καθορίζονται οι σχέσεις της Επιχείρησης με τρίτα μέρη.
2.4. Η τήρηση της παρούσας Πολιτικής συνιστά οργανωτικό μέτρο κατ’ εφαρμογή του άρθρου 32 του ΓΚΠΔ, για την προστασία της ασφάλειας και της εμπιστευτικότητας των προσωπικών δεδομένων, τα οποία η Επιχείρηση συλλέγει και επεξεργάζεται.
3.1. Οι κανόνες της παρούσας Πολιτικής εφαρμόζονται τόσο στην, εν όλω ή εν μέρει, αυτοματοποιημένη και μη επεξεργασία προσωπικών δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης, ανεξαρτήτως αν το σύστημα αυτό είναι μηχανογραφημένο ή μη.
3.2. Η Πολιτική δεν εφαρμόζεται :
4.1. Η παρούσα Πολιτική τυγχάνει υποχρεωτικής εφαρμογής σε κάθε δραστηριότητα επεξεργασίας προσωπικών δεδομένων από το προσωπικό της Επιχείρησης. Η γνώση και εφαρμογή της Πολιτικής, όπως κάθε φορά ισχύει, αποτελεί συμβατική υποχρέωση των εργαζομένων της Επιχείρησης, συνιστώντας αναπόσπαστο τμήμα της σχέσης εξαρτημένης εργασίας.
4.2. Η Πολιτική διέπει την πρόσβαση και χρήση οποιασδήποτε μορφής βάσεων δεδομένων, πληροφοριακών συστημάτων, τεχνικών διεργασιών και διαδικασιών, στο μέτρο που αφορούν τη συλλογή, επεξεργασία, αποθήκευση, διαβίβαση και διαγραφή προσωπικών δεδομένων, τα οποία διαχειρίζεται η Επιχείρηση στο πλαίσιο των επιχειρηματικών της δραστηριοτήτων.
4.3. Η εφαρμογή της Πολιτικής δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη – συνεργάτες, προμηθευτές κ.ά., οι οποίοι επεξεργάζονται με οποιονδήποτε τρόπο προσωπικά δεδομένα εκ μέρους της Επιχείρησης, είτε ως υπεύθυνοι επεξεργασίας είτε ως εκτελούντες την επεξεργασία.
4.4. Η παρούσα Πολιτική καθώς και κάθε τροποποίηση αυτής εγκρίνεται από τη Διοίκηση της Επιχείρησης και ισχύει από τη γνωστοποίησή της, ανεξαρτήτως μέσου, για τα πρόσωπα που υπάγονται στο πεδίο εφαρμογής της.
4.5. Η παρούσα Πολιτική τροποποιείται από την Επιχείρηση κατά τη διακριτική της ευχέρεια, όποτε κρίνεται αναγκαίο, εντός των ορίων του νόμου και του διευθυντικού της δικαιώματος.
4.6. Σε περίπτωση που οποιοσδήποτε από τους όρους της Πολιτικής θεωρηθεί άκυρος, παράνομος ή καταχρηστικός για οποιονδήποτε λόγο, οι λοιποί όροι θα παραμένουν έγκυροι και ισχυροί ως έχουν, στο βαθμό που δεν έρχονται σε αντίθεση με την βούληση της Επιχείρησης, όπως εκφράζεται μέσω της παρούσας.
4.7. Σε περίπτωση αντίθεσης των κανόνων της Πολιτικής με κανόνες άλλων δεσμευτικών κειμένων ή διατάξεων νόμου, κατισχύουν οι κανόνες που προκύπτουν με βάση την ακόλουθη ιεράρχηση :
5.1. Η Διοίκηση λαμβάνει τις αποφάσεις για τη στρατηγική και το πλαίσιο προστασίας προσωπικών δεδομένων της Επιχείρησης.
5.2. Η Διοίκηση της Επιχείρησης διασφαλίζει ότι τόσο οι εργαζόμενοι όσο και ότι τρίτα πρόσωπα, τα οποία έχουν δεσμευθεί συμβατικά για την τήρηση της Πολιτικής, λαμβάνουν γνώση αυτής κατά τη θέση της σε ισχύ και συμμορφώνονται με αυτή.
5.3. Η Διοίκηση είναι επίσης υπεύθυνη για την παρακολούθηση της συμμόρφωσης της Επιχείρησης με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων, καθώς και με την παρούσα Πολιτική. Για την εποπτεία εφαρμογής της Πολιτικής διεξάγει περιοδικούς ελέγχους της Επιχείρησης.
5.4. Σε περίπτωση που παρατηρηθούν επίμονες αρνητικές αποκλίσεις σε σχέση με τα παραπάνω, η Διοίκηση διασφαλίζει ότι θα εντοπίζεται η βασική αιτία για το φαινόμενο αυτό και θα ορίζει το κατάλληλο διορθωτικό σχέδιο δράσης (actionplan).
6.1. Κατά τη συλλογή και επεξεργασία προσωπικών δεδομένων η Επιχείρηση σέβεται και ακολουθεί τις παρακάτω γενικές αρχές :
7.1. Η Επιχείρηση διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας απλών προσωπικών δεδομένων πληροί μία κατ’ ελάχιστο από τις ακόλουθες προϋποθέσεις :
7.2. Η Επιχείρηση διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας ειδικών κατηγοριών δεδομένων πληροί μία κατ’ ελάχιστο από τις ακόλουθες προϋποθέσεις :
7.3. Εφόσον επεξεργάζεται προσωπικά δεδομένα στη βάση υπέρτερων εννόμων συμφερόντων, η Επιχείρηση τηρεί αρχείο, στο οποίο καταγράφει τις σχετικές δραστηριότητες επεξεργασίας προσωπικών δεδομένων και τα αντίστοιχα έννομα συμφέροντα. Για την εκτίμηση του υπέρτερου χαρακτήρα των εννόμων συμφερόντων έναντι των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, η Επιχείρηση προβαίνει σε ανά περίπτωση προσεκτική αξιολόγηση με βάση, μεταξύ άλλων, τα ακόλουθα κριτήρια : (α) τη σχέση των υποκειμένων των δεδομένων με την Επιχείρηση, όπως συντρέχει στις περιπτώσεις που το υποκείμενο των δεδομένων είναι πελάτης της Επιχείρησης ή βρίσκεται στην υπηρεσία του, και (β) τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων κατά το χρόνο και στο πλαίσιο της συλλογής των προσωπικών δεδομένων, δηλαδή το κατά πόσο το υποκείμενο των δεδομένων μπορεί εύλογα να αναμένει την πραγματοποίηση της σχετικής επεξεργασίας. Τέτοιες περιπτώσεις περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων για τους σκοπούς πρόληψης της απάτης ή για σκοπούς άμεσης εμπορικής προώθησης.
7.4. Η Επιχείρηση επεξεργάζεται προσωπικά δεδομένα μόνο για σκοπούς ρητούς, σαφείς, νόμιμους και προσδιορισμένους ήδη κατά το χρόνο συλλογής τους. Επιπλέον, η Επιχείρηση δεν επεξεργάζεται προσωπικά δεδομένα για περαιτέρω σκοπούς, εκτός αν λαμβάνει την πρότερη ενημερωμένη συγκατάθεση του υποκειμένου των δεδομένων. Εφόσον από την ισχύουσα νομοθεσία επιτρέπεται η χρήση για περαιτέρω σκοπούς και χωρίς συγκατάθεση, η Επιχείρηση προβαίνει σε πρότερη ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους περαιτέρω αυτούς σκοπούς επεξεργασίας, όπως και για τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος εναντίωσης, ενώ μεριμνά για την διεξαγωγή της περαιτέρω επεξεργασίας με κατάλληλες εγγυήσεις για την προστασία των προσωπικών δεδομένων.
8.1. Η Επιχείρηση διασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων διεξάγεται με διαφανή τρόπο απέναντι στο υποκείμενο των δεδομένων και ότι παρέχονται στο υποκείμενο πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων σε εύκολα προσβάσιμη, συνοπτική και κατανοητή μορφή, με χρήση σαφούς και απλής διατύπωσης, ιδίως όταν απευθύνεται σε ανηλίκους.
8.2. Όταν τα προσωπικά δεδομένα συλλέγονται από το ίδιο το Υποκείμενο των δεδομένων, η Επιχείρηση παρέχει στο υποκείμενο κατά το στάδιο της συλλογής των δεδομένων τις ακόλουθες κατηγορίες πληροφοριών:
8.3. Όταν τα προσωπικά δεδομένα δεν συλλέγονται από το ίδιο το υποκείμενο των δεδομένων, η Επιχείρηση ενημερώνει το υποκείμενο, εκτός από τις πληροφορίες της προηγούμενης παραγράφου, και για την πηγή από την οποία προέρχονται τα προσωπικά δεδομένα καθώς και εάν τα δεδομένα προήλθαν από δημόσια προσβάσιμες πηγές, όπως επίσης και για τις κατηγορίες των προσωπικών δεδομένων οι οποίες έχουν συλλεγεί. Η εν λόγω ενημέρωση παρέχεται (α) εντός εύλογης προθεσμίας από τη συλλογή των προσωπικών δεδομένων, και το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία, (β) εάν τα προσωπικά δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, ευθύς αμέσως κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή (γ) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, ευθύς αμέσως όταν τα προσωπικά δεδομένα γνωστοποιούνται για πρώτη φορά.
8.4. Στην περίπτωση που τα δεδομένα συλλέγονται από το ίδιο το υποκείμενο, η υποχρέωση ενημέρωσης δεν συντρέχει εφόσον το υποκείμενο των δεδομένων διαθέτει ήδη τις σχετικές πληροφορίες. Στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το Υποκείμενο, η υποχρέωση ενημέρωσης του Υποκειμένου δεν συντρέχει στις ακόλουθες περιπτώσεις: (α) εάν το υποκείμενο των δεδομένων διαθέτει ήδη τις σχετικές πληροφορίες, (β) εάν η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια, (γ) η απόκτηση ή η κοινοποίηση των προσωπικών δεδομένων προβλέπεται ρητώς από την ισχύουσα νομοθεσία και λαμβάνονται τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, ή (δ) εάν τα προσωπικά δεδομένα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης τήρησης επαγγελματικού ή άλλου απορρήτου.
9.1. Όταν η επεξεργασία προσωπικών δεδομένων βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η Επιχείρηση φέρει το βάρος απόδειξης ότι το υποκείμενο πράγματι συγκατατέθηκε για την επεξεργασία των δεδομένων του. Στα πλαίσια αυτά, η Επιχείρηση τηρεί αρχείο, ηλεκτρονικό ή μη, των δηλώσεων συγκατάθεσης, που λαμβάνει.
9.2. Η συγκατάθεση του υποκειμένου των δεδομένων, που λαμβάνεται από την Επιχείρηση, πρέπει να έχει τα ακόλουθα χαρακτηριστικά :
10.1. Με την επιφύλαξη της ισχύουσας νομοθεσίας, η Επιχείρηση παρέχει τα ακόλουθα δικαιώματα σε όλα τα υποκείμενα, για τα οποία διατηρεί δεδομένα και σε σχέση με τα δεδομένα που τηρεί:
10.2. Τα παραπάνω αιτήματα απευθύνονται με ταχυδρομική ή ηλεκτρονική επιστολή στα στοιχεία επικοινωνίας, που αναφέρονται τόσο στις σχετικές έντυπες ενημερώσεις όσο και στον επιχειρηματικό ιστότοπο της Επιχείρησης.
10.3. Η διαδικασία διαχείρισης αιτημάτων των υποκειμένων των δεδομένων έχει ως εξής :
10.4. Η Επιχείρηση ανταποκρίνεται σε κάθε σχετικό αίτημα υποκειμένου των δεδομένων εντός ενός (1) μηνός από την παραλαβή του. Κατόπιν ενημέρωσης του αιτούντος, η εν λόγω προθεσμία δύναται να παρατείνεται κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των υπό επεξεργασία αιτημάτων. Η άσκηση του δικαιώματος στη φορητότητα δε συνεπάγεται τη διαγραφή των υπό φορητότητα προσωπικών δεδομένων από τα αρχεία της Επιχείρησης.
10.5. Η ανταπόκριση της Επιχείρησης στα δικαιώματα των υποκειμένων των δεδομένων παρέχεται δωρεάν. Εντούτοις, εφόσον κάποιο αίτημα προδήλως δεν πληροί τις προϋποθέσεις του νόμου ή είναι υπερβολικό, η Επιχείρηση διατηρεί το δικαίωμα, είτε : (α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, είτε (β) να αρνηθεί να δώσει συνέχεια στο σχετικό αίτημα.
11.1. Η Επιχείρηση δε λαμβάνει κατά κανόνα αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένης της κατάρτισης προφίλ., εκτός αν κρίνεται σκόπιμο για την εκτέλεση των συμβατικών της υποχρεώσεων, τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών και την καλύτερη οργάνωση της επιχειρηματικής της δράσης.
11.2. Στις περιπτώσεις που λαμβάνονται αποφάσεις με αυτοματοποιημένο τρόπο, η Επιχείρηση λαμβάνει τα ακόλουθα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων :
11.3. Επιπλέον, όταν υφίσταται αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, η Επιχείρηση παρέχει στα υποκείμενα των δεδομένων τα ακόλουθα δικαιώματα :
12.1. Η Επιχείρηση διασφαλίζει ότι η προστασία των προσωπικών δεδομένων ενσωματώνεται σε οποιαδήποτε επιχειρηματική της δραστηριότητα που σχετίζεται με προσωπικά δεδομένα, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και καθ’ όλη τη διάρκεια της επεξεργασίας.
12.2. Για το σκοπό αυτό, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, η Επιχείρηση εφαρμόζει κατάλληλα μέτρα προστασίας των προσωπικών δεδομένων και χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας.
12.3. Για τη διασφάλιση της προστασίας των προσωπικών δεδομένων από τον σχεδιασμό και εξ ορισμού η Επιχείρηση εξετάζει την δυνατότητα ενσωμάτωσης κατάλληλων χαρακτηριστικών στο υπό σχεδίαση μέσο ή διαδικασία επεξεργασίας, ώστε αυτά να παρέχουν επαρκή προστασία στα υπό επεξεργασία προσωπικά δεδομένα ήδη από τον σχεδιασμό τους και εξ ορισμού. Εφόσον το νέο μέσο ή διαδικασία επεξεργασίας εγκυμονεί υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η Επιχείρηση εκτελεί εκτίμηση αντικτύπου για την προστασία των δεδομένων, καθορίζει μέσα για το μετριασμό των αναγνωρισμένων κινδύνων και τέλος λαμβάνει και υλοποιεί τις σχετικές αποφάσεις ως προς τον σχεδιασμό του νέου μέσου ή διαδικασίας επεξεργασίας.
13.1. Όταν η επεξεργασία διενεργείται από τρίτο μέρος για λογαριασμό της, η Επιχείρηση χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις της ισχύουσας νομοθεσίας και της παρούσας Πολιτικής και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
13.2. Κάθε σύμβαση της Επιχείρησης με τρίτη επιχείρηση, που εκτελεί επεξεργασία προσωπικών δεδομένων για λογαριασμό της,
καταρτίζεται εγγράφως, μεταξύ άλλων και σε ηλεκτρονική μορφή, και συμπεριλαμβάνει κατ’ ελάχιστο τους ακόλουθους όρους :
13.3. Η Επιχείρηση πραγματοποιεί αξιολογήσεις των εκτελούντων την επεξεργασία με τους οποίους η Επιχείρηση έχει συνάψει σύμβαση, με σκοπό να εξασφαλίζει ότι οι τελευταίοι τηρούν όλες τις σχετικές δεσμεύσεις, όπως αυτές αναγράφονται κάθε φορά στην υπογεγραμμένη σύμβαση σχετικά με την ασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα και συμμορφώνονται με την ισχύουσα νομοθεσία.
14.1. Καθ’ όλο τον κύκλο ζωής τους, δηλαδή από τη συλλογή μέχρι και την, κατά περίπτωση, καταστροφή αυτών, η Επιχείρηση εφαρμόζει τις ακόλουθες αρχές ασφαλείας των προσωπικών δεδομένων, που επεξεργάζεται:
14.2. Αντικείμενο των μέτρων ασφαλείας της Επιχείρησης είναι αφενός το σύνολο των υπό επεξεργασία προσωπικών δεδομένων και αφετέρου το σύνολο του εξοπλισμού και των συστημάτων πληροφορικής και ηλεκτρονικών επικοινωνιών της Επιχείρησης. Σκοπός των μέτρων ασφαλείας της Επιχείρησης είναι η πρόληψη και αποτροπή των κινδύνων για τα θεμελιώδη δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων, που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Το πεδίο εφαρμογής των κανόνων του παρόντος άρθρου καλύπτει όλο το προσωπικό και της Επιχείρησης, ενώ δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη, όπως εκτελούντες επεξεργασία για λογαριασμό της Επιχείρησης.
14.3. Η Επιχείρηση διορίζει Υπεύθυνο Ασφαλείας Δεδομένων (ΥΑΔ), ο οποίος έχει το καθήκον να εποπτεύει και να παρακολουθεί την εφαρμογή των μέτρων ασφαλείας της Επιχείρησης. Ο ΥΑΔ καταρτίζει το Σχέδιο Ασφαλείας της Επιχείρησης, στο οποίο (i) τηρεί αρχείο της τεχνολογικής υποδομής και των συστημάτων επεξεργασίας προσωπικών δεδομένων, των οργανωτικών και τεχνικών μέτρων ασφαλείας καθώς και των μέτρων φυσικής ασφάλειας που εφαρμόζονται από την Επιχείρηση, (ii) καθορίζει το πλάνο υλοποίησης μέτρων ασφαλείας και (iii) περιγράφει τις διαδικασίες επισκόπησης και αναθεώρησης του σχεδίου ασφαλείας.
14.4. H Eπιχείρηση προβαίνει σε περιοδική επανεξέταση και αναθεώρηση των εξουσιοδοτήσεων και δικαιωμάτων πρόσβασης για όλα τα στάδια της εργασιακής πορείας των υπαλλήλων (πρόσληψη, μετακίνηση, αλλαγή καθηκόντων, αποχώρηση, κ.λπ). Τέλος, λαμβάνει ειδικά μέτρα για τη δέσμευση του προσωπικού που επεξεργάζεται προσωπικά δεδομένα ως προς την εμπιστευτικότητα των δεδομένων αυτών. Μετά την αποχώρηση υπαλλήλου η Επιχείρηση προχωρά σε κατάργηση όλων των λογαριασμών πρόσβασης, των εξουσιοδοτήσεων και των κωδικών-συνθηματικών πρόσβασης, κατάργηση των λογαριασμών ηλεκτρονικού ταχυδρομείου και μη ανάθεσή τους σε άλλον ή άλλους υπαλλήλους (μη επαναχρησιμοποίηση τους και σε επιστροφή οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον υπάλληλο και ανήκει στην Επιχείρηση (συμπεριλαμβανομένων υπολογιστών, κλειδιών, ηλεκτρονικών καρτών εισόδου/εξόδου, κ.λπ).
14.5. Η Επιχείρηση λαμβάνει κατάλληλα οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων στους ακόλουθους τομείς :
14.6. Η Επιχείρηση λαμβάνει τεχνικά μέτρα για την ασφάλεια των προσωπικών δεδομένων στους ακόλουθους τομείς :
14.7. Η Επιχείρηση λαμβάνει μέτρα φυσικής ασφαλείας των προσωπικών δεδομένων στους ακόλουθους τομείς :
14.8. Για την επισκόπηση της ορθής εφαρμογής της ασφαλείας δεδομένων και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφαλείας ο ΥΑΔ διεξάγει περιοδικούς εσωτερικούς ελέγχους, κατ’ ελάχιστο μία φορά κατ’ έτος.
15.1. Στα πλαίσια της αρχής της ελαχιστοποίησης του χρόνου διατήρησης των δεδομένων η Επιχείρηση καταρτίζει πλάνο με τους χρόνους διατήρησης για κάθε κατηγορία προσωπικών δεδομένων, που συλλέγει και επεξεργάζεται, το οποίο επισυνάπτεται ως Παράρτημα στην παρούσα Πολιτική.
15.2.Η Επιχείρηση καθορίζει τον χρόνο διατήρησης κάθε κατηγορίας δεδομένων με βάση την αναγκαιότητα της διατήρησης για την εξυπηρέτηση των σχετικών σκοπών επεξεργασίας. Η αναγκαιότητα της διατήρησης περαιτέρω εξειδικεύεται με βάση τους ακόλουθους παράγοντες : (i) τις επιχειρηματικές ή άλλες ανάγκες, (ii) τις ισχύουσες προθεσμίες παραγραφής για τη θεμελίωση, άσκηση ή υποστήριξη σχετικών νομικών αξιώσεων, και (iv) την ύπαρξη τυχόν νομικών περιορισμών για τον ελάχιστο ή μέγιστο χρόνο διατήρησης των συγκεκριμένων δεδομένων.
15.3. Η Επιχείρηση διαθέτει επαρκή αποθηκευτικό χώρο και κατάλληλο σύστημα διατήρησης προσωπικών δεδομένων, τα οποία επιτρέπουν την εύκολη και άμεση αναζήτηση δεδομένων και διαθέτουν κανόνες ελεγχόμενης πρόσβασης και χρήσης, διαφύλαξης της ακεραιότητας των δεδομένων και της ιχνηλασιμότητας της διακίνησής τους. Η Επιχείρηση μεριμνά για την όσο το δυνατόν μεγαλύτερη ομοιομορφία των μέσων και των κανόνων διατήρησης δεδομένων κατά την εσωτερική οργάνωση και λειτουργία της.
15.4. Αμέσως μετά το πέρας της περιόδου διατήρησης τα προσωπικά δεδομένα καταστρέφονται με ευθύνη της Επιχείρησης και χωρίς να είναι δυνατή η ανάκτηση των δεδομένων μετά την καταστροφή με τεχνικά ή άλλα μέσα. Η καταστροφή λαμβάνει χώρα με ασφαλή τρόπο, ώστε να μην είναι δυνατή η αναγνώριση των υποκειμένων των δεδομένων.
15.5. Η καταστροφή έγχαρτου αρχείου λαμβάνει χώρα με τεμαχισμό, πολτοποίηση, ανακύκλωση ή αποτέφρωση. Η καταστροφή ηλεκτρονικού αρχείου, περιλαμβανομένων των των αντιγράφων ασφαλείας (back up), λαμβάνει χώρα με αλλοίωση με τη χρήση ειδικών προγραμμάτων (fileerasers, fileshredders, filepulveritizers) ή μορφοποίηση του υλικού υποστρώματος (format). Για ιδιαίτερα κρίσιμα ηλεκτρονικά δεδομένα η Επιχείρηση δύναται κατά τη διακριτική της ευχέρεια να επιλέγει και την φυσική καταστροφή του ίδιου του υλικού υποστρώματος με θρυματισμό, κονιορτοποίηση ή αποτέφρωση με την επιφύλαξη ειδικών διατάξεων σχετικά με τη διαχείριση ειδικών αποβλήτων και την προστασία του περιβάλλοντος).
15.6. Μετά το πέρας της καταστροφής υπογράφεται γραπτώς πρωτόκολλο καταστροφής από αρμόδιο στέλεχος της Επιχείρησης με τα ακόλουθα στοιχεία : (i) ημερομηνία καταστροφής των δεδομένων, (ii) περιγραφή των δεδομένων που καταστράφηκαν, (iii) Μέθοδος καταστροφής, (iv) ονοματεπώνυμο αρμόδιου υπαλλήλου του υπεύθυνου επεξεργασίας που είναι υπεύθυνος για την καταστροφή, (v) τυχόν εκτελών που αναλαμβάνει την καταστροφή.
16.1. Κάθε εργαζόμενος ή συνεργάτης της Επιχείρησης έχει την υποχρέωση να αναφέρει άμεσα στον Υπεύθυνο Ασφάλειας Δεδομένων («ΥΑΔ») κάθε περιστατικό ασφαλείας, που υποπίπτει στην αντίληψή του. Ο ΥΑΔ επιβεβαιώνει το περιστατικό ασφαλείας και αν αυτό σχετίζεται με προσωπικά δεδομένα, λαμβάνει άμεσα όλες τις αναγκαίες ενέργειες για την ελαχιστοποίηση οποιασδήποτε περαιτέρω επίδρασης της παραβίασης στα προσωπικά δεδομένα της Επιχείρησης (π.χ. προσωρινή διακοπή σύνδεσης του υπό παραβίαση συστήματος πληροφορικής με το διαδίκτυο ή περιορισμός πρόσβασης στο εν λόγω σύστημα σε μικρό αριθμό εργαζομένων, έως ότου να εκτελεστούν οι κατάλληλες ενέργειες για την πλήρη αντιμετώπιση του περιστατικού παραβιάσεως δεδομένων προσωπικού χαρακτήρα).
16.2. Εν συνεχεία, εφόσον η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ανακοινώνει την παραβίαση στην ΑΠΔΠΧ συμπληρώνοντας σχετική φόρμα αμελλητί και, εάν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση της παραβίασης στην ΑΠΔΠΧ. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Σε περίπτωση που δεν καθίσταται δυνατό να παρέχονται ταυτόχρονα, η Επιχείρηση παρέχει τις παραπάνω πληροφορίες σταδιακά και χωρίς αδικαιολόγητη καθυστέρηση.
16.3. Η αξιολόγηση του κινδύνου κάθε παραβίασης δεδομένων από τον ΥΑΔ λαμβάνει χώρα με βάση τα ακόλουθα κριτήρια :
16.4. Όταν προκύπτει από το αποτέλεσμα της αξιολόγησης ότι η παραβίαση προσωπικών δεδομένων ενδέχεται να θέτει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα θιγόμενα υποκείμενα των δεδομένων, εφόσον δεν πληρούνται οι εξαιρέσεις από την υποχρέωση ανακοίνωσης, που προβλέπονται στην ισχύουσα νομοθεσία. Η Επιχείρηση τηρεί αποδεικτικό υλικό για την εν λόγω ανακοίνωση.
16.5. Μετά την ολοκλήρωση της κοινοποίησης στην ΑΠΔΠΧ, ο ΥΑΔ προχωρά στις αναγκαίες ενέργειες για την πλήρη αντιμετώπιση της παραβίασης δεδομένων.
16.6. Σε περίπτωση που λάβει χώρα παραβίαση δεδομένων στο πεδίο ευθύνης της Επιχείρησης, ενώ δρα ως εκτελούσα την επεξεργασία, η Επιχείρηση ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
16.7. Ο ΥΑΔ διατηρεί Αρχείο της Επιχείρησης με τα περιστατικά παραβίασης προσωπικών δεδομένων, όπου καταγράφονται όλες οι λεπτομέρειες σχετικά με το περιστατικό (ημερομηνία, ενέργειες, εμπλεκόμενα μέρη, σχέδιο δράσης κ.α.) και την αξιολόγησή του καθώς και την υποχρέωση ή όχι ενημέρωσης των υποκειμένων ή/και των εποπτικών αρχών.
17.1. Η Επιχείρηση διεξάγει, περιοδικά ή εκτάκτως, εκτίμηση αντικτύπου πριν την εκκίνηση μίας δραστηριότητας επεξεργασίας, κάθε φορά που κρίνει ότι η σχεδιαζόμενη δραστηριότητα επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εκτός και αν η ΑΠΔΠΧ περιλαμβάνεται σε δημοσιευμένη λίστα επεξεργασιών για τις οποίες δεν απαιτείται εκτίμηση αντικτύπου. Σε περιπτώσεις που η συγκέντρωση υψηλού κινδύνου δεν είναι ξεκάθαρη, η εκτίμηση αντικτύπου λαμβάνει χώρα υποχρεωτικά
17.2. Εκτίμηση αντικτύπου δύναται να εκτελείται τόσο για μία συγκεκριμένη όσο και για περισσότερες δραστηριότητες επεξεργασίας, εφόσον αυτές ενέχουν ομοιότητες ως προς τις πράξεις επεξεργασίας και τους κινδύνους.
17.3. Εάν η εκτίμηση αντικτύπου υποδείξει ότι η ερευνώμενη δραστηριότητα επεξεργασίας θα καταλήξει σε υψηλό κίνδυνο παρ’ όλα τα μέτρα μετριασμού του, η Διοίκηση αιτείται προηγούμενη διαβούλευση με την ΑΠΔΠΧ, προτού η Επιχείρηση προχωρήσει σε οποιαδήποτε επεξεργασία.
17.4. Η Επιχείρηση τηρεί αρχείο με το ιστορικό των εκτιμήσεων αντικτύπου, που έχουν εκτελεστεί, το οποίο περιλαμβάνει κάθε σχετική τεκμηρίωση που έλαβε χώρα στα πλαίσια της εκτέλεσης.
18.1. Η Επιχείρηση, είτε απευθείας είτε μέσω εκτελούντων επεξεργασία για λογαριασμό της, ακολουθεί ως κανόνα την αποφυγή της διαβίβασης προσωπικών δεδομένων σε χώρα, η οποία δε διασφαλίζει επαρκές επίπεδο προστασίας σχετικά με την προστασία αυτών, εφόσον η σχετική επεξεργασία δύναται να λαμβάνει χώρα εντός του Ευρωπαϊκού Οικονομικού Χώρου χωρίς εμπορικό αντίκτυπο για την Επιχείρηση.
18.2. Σε περίπτωση που η Επιχείρηση διαβιβάζει δεδομένα σε χώρες, οι οποίες δε διασφαλίζουν επαρκές επίπεδο προστασίας, διασφαλίζει την τήρηση των κατάλληλων εγγυήσεων, που προβλέπονται στον ΓΚΠΔ. Στα πλαίσια αυτά, η Επιχείρηση διαβιβάζει προσωπικά δεδομένα προς τρίτη χώρα ή διεθνή οργανισμό στις εξής περιπτώσεις :
19.1. Η Επιχείρηση διεξάγει περιοδικές δράσεις εκπαίδευσης του προσωπικού και των συνεργατών της, το αντικείμενο εργασίας των οποίων δύναται να εμπλέκει την επεξεργασία προσωπικών δεδομένων, με στόχο την κατανόηση και τον σεβασμό στις γενικές αρχές της παρούσας Πολιτικής κατά την καθημερινή πρακτική των δραστηριοτήτων της Επιχείρησης.
19.2. Η Επιχείρηση καλλιεργεί εταιρική κουλτούρα για την προστασία των προσωπικών δεδομένων, η οποία έχει κατ’ ελάχιστο τα ακόλουθα στοιχεία :