Privacy Policy GR
ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ
ΕΙΣΑΓΩΓΗ
γ. Αναθεώρηση, επικοινωνία και εφαρμογή πολιτικής 3
ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. 3
α. Νόμιμη, δίκαιη και διαφανής επεξεργασία. 3
β. Συγκεκριμένοι, ρητοί και νόμιμοι σκοποί 3
γ. Επαρκής, σχετική και περιορισμένη επεξεργασία. 4
δ. Ακριβή και ενημερωμένα δεδομένα. 4
ε. Τα δεδομένα διατηρούνται για διάστημα όχι μεγαλύτερο από το αναγκαίο. 4
στ. Επεξεργασία δεδομένων με τρόπο που εξασφαλίζει την ασφάλειά τους 4
ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΑΤΟΜΩΝ ΣΤΑ ΟΠΟΙΑ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ (ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ) 4
ΓΕΝΙΚΕΣ ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. 5
α. Αρχεία δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων 6
β. Ιδιωτικότητα βάσει σχεδίου και εξ ορισμού. 6
γ. Αξιολόγηση επιδράσεων ιδιωτικότητας 6
δ. Διαχωρισμός καθηκόντων (τι χρειάζεται να γνωρίζουν) 7
ε. Διαγραφή προσωπικών δεδομένων 7
ζ. Διαβίβαση προσωπικών δεδομένων σε τρίτους 8
η. Διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς 8
θ. Επεξεργασία προσωπικών δεδομένων ως Επεξεργαστής 9
κ. Διαχείριση αποδεικτικών στοιχείων. 10
ΣΥΝΟΛΟ ΚΑΝΟΝΩΝ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. 10
ΕΥΘΥΝΕΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. 11
ΕΙΣΑΓΩΓΗ
Η παρούσα πολιτική θεσπίζει τις γενικές αρχές που πρέπει να λαμβάνονται υπόψη για την επεξεργασία και προστασία των προσωπικών δεδομένων που διενεργούνται υπό την ευθύνη της ΛΑΡΙΣΑ ΑΝΑΠΤΥΞΗ ΕΜΠΟΡΙΚΩΝ ΚΕΝΤΡΩΝ Α.Ε. (εφεξής η Εταιρεία).
Η Εταιρεία επεξεργάζεται προσωπικά δεδομένα μέσω ενός συνόλου διαφορετικών λειτουργικών και τεχνικών μέσων για την υποστήριξη των δραστηριοτήτων των επιχειρηματικών της διαδικασιών. Η Εταιρεία ενεργεί σε αυστηρή συμμόρφωση με τις αρχές που περιγράφονται στην παρούσα πολιτική, με τον Κανονισμό (EU) 2016/679 (Γενικός Κανονισμός Προστασίας Δεδομένων) και με την ισχύουσα νομοθεσία περί προστασίας δεδομένων, σε όλες τις δραστηριότητες της αρμοδιότητάς της που αφορούν την επεξεργασία προσωπικών δεδομένων.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων αποτελεί μέρος του συνόλου κανονισμών της Εταιρείας περί προστασίας προσωπικών δεδομένων και συμπληρώνεται από τα υπόλοιπα έγγραφα του ιδίου συνόλου κανόνων, που περιλαμβάνουν πρότυπα και διαδικασίες που καθορίζουν την προσέγγιση της Εταιρείας ως προς τη διαχείριση της ασφάλειας και της ιδιωτικότητας των προσωπικών δεδομένων.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων θεσπίζει κατευθυντήριες οδηγίες για την υιοθέτηση πρακτικών ασφάλειας και προστασίας προσωπικών δεδομένων, και έχει τους παρακάτω κύριους στόχους:
Την ευθυγράμμιση της επιχειρηματικής στρατηγικής της Εταιρείας με ισχύοντες νόμους και κανονισμούς που αφορούν στην προστασία και ασφάλεια των προσωπικών δεδομένων.
Την επίδειξη διαφάνειας στους σκοπούς και στις δραστηριότητες επεξεργασίας που διενεργούνται από την Εταιρεία.
Την προώθηση της προστασίας και τη διάθεση μέσων για την άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων (τα άτομα στα οποία αναφέρονται τα προσωπικά δεδομένα).
Τη βελτίωση της αποτελεσματικότητας της προστασίας έναντι παραβίασης των δεδομένων, όπως και των διαδικασιών απόκρισης, κοινοποίησης και επικοινωνίας.
Την προώθηση συνεχών βελτιώσεων των διαδικασιών προστασίας και ασφάλειας προσωπικών δεδομένων.
Τη βελτίωση της εμπιστοσύνης και της άμεσης (στενής) επικοινωνίας μεταξύ όλων των ενδιαφερόμενων μερών.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων έχει αποκλειστική εφαρμογή στις δραστηριότητες επεξεργασίας προσωπικών δεδομένων που εκτελούνται από την Εταιρεία. Για τους σκοπούς της παρούσας πολιτικής, προσωπικά δεδομένα είναι κάθε πληροφορία που έχει σχέση με ένα ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο (υποκείμενο των δεδομένων). Ένα υποκείμενο δεδομένων είναι ένα άτομο το οποίο μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, δηλαδή με αναφορά σε έναν αριθμό ταυτότητας ή σε συγκεκριμένους παράγοντες που αφορούν στην φυσική, φυσιολογική, γενετική, νοητική, οικονομική, πολιτιστική ή κοινωνική του/της ταυτότητα.
Οι αρχές που παρουσιάζονται στην παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων συμπληρώνουν τις διατάξεις περί προστασίας και επεξεργασίας προσωπικών δεδομένων της ισχύουσας νομοθεσίας και πρέπει να περιλαμβάνονται στις συμβάσεις που συνάπτονται από την Εταιρεία.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων πρέπει να ακολουθείται και να εφαρμόζεται από όλους τους υπαλλήλους της Εταιρείας (κατά περίπτωση) σε δραστηριότητες που ενδέχεται να επηρεάσουν, άμεσα ή έμμεσα, την επεξεργασία προσωπικών δεδομένων.
Οι υπάλληλοι της Εταιρείας πρέπει να ενημερωθούν και να συμμορφώνονται με την παρούσα όπως και με τις άλλες πολιτικές, πρότυπα και διαδικασίες, οι οποίες συνιστούν το σύνολο κανόνων της Εταιρείας για την προστασία και ασφάλεια των προσωπικών δεδομένων.
γ. Αναθεώρηση, επικοινωνία και εφαρμογή πολιτικής
Η Πολιτική Προστασίας Προσωπικών Δεδομένων πρέπει να επανεξετάζεται σε ετήσια βάση από το Διοικητικό Συμβούλιο της Εταιρείας, όταν προκύπτει μια σημαντική μεταβολή και όποτε προκύπτουν νομοθετικές αλλαγές, προκειμένου να επικυρώνεται ότι η πολιτική παραμένει ενημερωμένη και σε συμμόρφωση με τους ισχύοντες νόμους και κανονισμούς.
Η παρούσα πολιτική πρέπει να κοινοποιηθεί σε όλους τους υπαλλήλους της Εταιρείας μέσω των πλέον κατάλληλων διαθέσιμων μέσων, δηλαδή μέσω του δικτύου intranet, όπως και μέσω συνεδριών κατάρτισης και ευαισθητοποίησης. Η συμμόρφωση με την παρούσα πολιτική είναι υποχρεωτική για όλους τους υπαλλήλους της Εταιρείας. Η Πολιτική Προστασίας Προσωπικών Δεδομένων είναι διαθέσιμη στο δίκτυο intranet της Sonae Sierra.
Η χρήση και η προστασία των προσωπικών δεδομένων, για τα οποία υπεύθυνη είναι η Εταιρεία, πρέπει να γίνεται σε συμμόρφωση με τις παρακάτω αρχές:
α. Νόμιμη, δίκαιη και διαφανής επεξεργασία
Η Εταιρεία και οι υπάλληλοι αυτής θα πρέπει να χρησιμοποιούν τα προσωπικά δεδομένα μόνο των υποκειμένων για τους οποίους υπάρχει κάποια συγκεκριμένη νόμιμη βάση. Η νόμιμη βάση η οποία υποστηρίζει τις δραστηριότητες επεξεργασίας της Εταιρείας μπορεί να είναι:
Μια συναίνεση που έχει δοθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (υποκείμενο).
Η εκτέλεση μιας σύμβασης στην οποία συμβαλλόμενος είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα (υποκείμενο).
Μια νομική υποχρέωση στην οποία να υπόκειται ο ελεγκτής.
Η προστασία ζωτικών συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα (υποκειμένων).
Η άσκηση καθηκόντων δημοσίου συμφέροντος.
Νόμιμα συμφέροντα της Εταιρείας, εκτός των περιπτώσεων όπου τα συμφέροντα αυτά υποσκελίζονται από τα συμφέρονται ή τα κυριαρχικά δικαιώματα ή τις ελευθερίες των ατόμων στα οποία αναφέρονται τα δεδομένα, και τα οποία άτομα απαιτούν την προστασία των προσωπικών τους δεδομένων.
β. Συγκεκριμένοι, ρητοί και νόμιμοι σκοποί
Η επεξεργασία των προσωπικών δεδομένων, όπως και η συγκέντρωσή τους, πρέπει να περιορίζεται σε συγκεκριμένους, ρητούς και νόμιμους σκοπούς επεξεργασίας.
Η Εταιρεία και οι υπάλληλοι αυτής δεν έχουν δικαίωμα να χρησιμοποιούν προσωπικά δεδομένα για σκοπούς για τους οποίους δεν υπάρχει κάποια αναγνωρισμένη και κατάλληλη νόμιμη βάση.
γ. Επαρκής, σχετική και περιορισμένη επεξεργασία
Κατά τη διάρκεια των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων, όπως και κατά τη διάρκεια συλλογής αυτών, θα πρέπει να ακολουθείται η αρχή της ελαχιστοποίησης δεδομένων. Αυτό σημαίνει ότι η Εταιρεία πρέπει να επεξεργάζεται και να συλλέγει μόνο τα προσωπικά δεδομένα που είναι αυστηρά αναγκαία για τον συγκεκριμένο (επιδιωκόμενο) σκοπό.
Η αρχή της ελαχιστοποίησης πρέπει επίσης να εφαρμόζεται στην κοινή χρήση προσωπικών δεδομένων, όπως και σε άλλες δραστηριότητες επεξεργασίας προσωπικών δεδομένων, όπως για παράδειγμα σε εσωτερικές και εξωτερικές διαβιβάσεις αυτών, κατά τις οποίες θα πρέπει να παρέχονται εγγυήσεις περί της επεξεργασίας αυστηρά και μόνο των αναγκαίων προσωπικών δεδομένων, χωρίς να διακυβεύεται η σωστή εκτέλεση της δραστηριότητας.
δ. Ακριβή και ενημερωμένα δεδομένα
Η Εταιρεία και οι υπάλληλοι αυτής πρέπει να εξασφαλίζουν ότι τα υπό επεξεργασία προσωπικά δεδομένα είναι ακριβή και ενημερωμένα. Για τον σκοπό αυτό, πρέπει να ενεργοποιούνται κατάλληλες και εύλογες διαδικασίες προκειμένου να εξασφαλίζεται η ακρίβεια, αρτιότητα, ορθότητα και επάρκεια των προσωπικών δεδομένων για τους σκοπούς επεξεργασίας, όποτε αυτό είναι αναγκαίο.
ε. Τα δεδομένα διατηρούνται για διάστημα όχι μεγαλύτερο από το αναγκαίο
Η Εταιρεία πρέπει να καθορίζει το χρονικό διάστημα κατά το οποίο τα προσωπικά δεδομένα θα είναι αποθηκευμένα, το οποίο πρέπει να είναι το απόλυτα αναγκαίο για τον κάθε σκοπό.
στ. Επεξεργασία δεδομένων με τρόπο που εξασφαλίζει την ασφάλειά τους
Η Εταιρεία πρέπει να αναπτύξει επαρκή μέτρα ασφάλειας, σε συνδυασμό με τις βέλτιστες εθνικές και διεθνείς πρακτικές, που επιτρέπουν την προστασία των προσωπικών δεδομένων τα οποία υφίστανται επεξεργασία υπό την ευθύνη της. Αυτό περιλαμβάνει την υλοποίηση τεχνολογικών ελέγχων, και τη λήψη διοικητικών, τεχνικών και φυσικών μέτρων και διαδικασιών οι οποίες εξασφαλίζουν την προστασία των προσωπικών δεδομένων, και αποτρέπουν την μη κατάλληλη χρήση, την μη εξουσιοδοτημένη πρόσβαση και την αποκάλυψη, απώλεια, ή την ακατάλληλη ή εξ αμελείας τροποποίηση, ή την μη εξουσιοδοτημένη καταστροφή των προσωπικών δεδομένων.
Η Εταιρεία πρέπει να παρέχει τις αναγκαίες διαδικασίες και τα εργαλεία τα οποία θα επιτρέπουν στα υποκείμενα των δεδομένων που εμπλέκονται στη διαδικασία και για τα οποία είναι υπεύθυνη η Εταιρεία, να ασκούν τα δικαιώματά τους εγκαίρως σύμφωνα με τον Κανονισμό (EU) 2016/679, δηλαδή πιο συγκεκριμένα:
Πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων: η Εταιρεία πρέπει να ενημερώνει το υποκείμενο των δεδομένων για τα δεδομένα που συλλέγονται και είναι σχετικά με τον ίδιο ή την ίδια, τους σκοπούς για τους οποίους τα δεδομένα υφίστανται επεξεργασία όπως και η νομική βάση της επεξεργασίας, την περίοδο αποθήκευσης των προσωπικών δεδομένων ή τα κριτήρια με βάση τα οποία καθορίζεται αυτή η περίοδος, το ποιος είναι υπεύθυνος για την επεξεργασία, και ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων, ποιες κατηγορίες δεδομένων συλλέγονται, ποιοι είναι οι αποδέκτες αυτών των δεδομένων ή ποιες είναι οι κατηγορίες των αποδεκτών, ποια είναι τα δικαιώματα των υποκειμένων των δεδομένων, όπως και εάν υπάρχουν αυτοματοποιημένες διαδικασίες λήψης αποφάσεων.
Πρόσβαση στις πληροφορίες: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να αποκτά πρόσβαση στις πληροφορίες που τον/την αφορούν, πρόσβαση στους σκοπούς της επεξεργασίας, πρόσβαση στις ειδικές κατηγορίες των δεδομένων που χρησιμοποιούνται, καθώς επίσης πρόσβαση στους φορείς στους οποίους κοινοποιούνται τα δεδομένα, και ενημέρωση για τους χρόνους αποθήκευσης.
Διόρθωση: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να διορθώνει οποιοδήποτε προσωπικό του δεδομένο δεν είναι ορθό, όπως και να ενημερώνει οποιοδήποτε στοιχείο έχει τροποποιηθεί.
Διαγραφή: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να ζητήσει τη διαγραφή των προσωπικών του στοιχείων, εφόσον η ταυτότητα του υποκειμένου έχει επιβεβαιωθεί, όπως επίσης να ενημερώνεται το υποκείμενο των δεδομένων όταν τα προσωπικά του δεδομένα έχουν διαγραφεί, εκτός των περιπτώσεων όπου υπάρχει κάποια νομική ή συμβατική απαίτηση για την αποθήκευση των προσωπικών του δεδομένων.
Φορητότητα: η Εταιρεία πρέπει να παρέχει επαρκή μέσα προκειμένου να μεταβιβάζει στο υποκείμενο των δεδομένων ή σε ένα νέο ελεγκτή τα προσωπικά του/της δεδομένα σε μια δομημένη, εύκολη στην ανάγνωση και τυποποιημένη μορφή, εφόσον αυτό είναι τεχνικά εφικτό και το σχετικό κόστος δεν είναι παράλογο.
Περιορισμός πρόσβασης: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να περιορίζει την πρόσβαση στα προσωπικά του/της δεδομένα, εφόσον τα δεδομένα αυτά είναι ανακριβή, ή εφόσον η επεξεργασία αυτών είναι παράνομη και το υποκείμενο των δεδομένων εναντιώνεται στη διαγραφή των προσωπικών του/της δεδομένων.
Αντίταξη στην επεξεργασία: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να αρνηθεί την επεξεργασία για τους σκοπούς του direct marketing, για σκοπούς διαφορετικούς από αυτούς για τους οποίους συγκεντρώθηκαν και/ή υπέστησαν επεξεργασία τα δεδομένα, για νόμιμα συμφέροντα τα οποία επιδιώκει η Εταιρεία, εκτός αν η Εταιρεία έχει αναφέρει επιτακτικούς και νόμιμους λόγους ή συντρέχουν λόγοι νομικών υποχρεώσεων.
Αυτοματοποιημένη διαδικασία λήψης ατομικών αποφάσεων: η Εταιρεία πρέπει να παρέχει επαρκή μέσα που θα επιτρέπουν στο υποκείμενο των δεδομένων να μην υπόκειται σε αποφάσεις που λαμβάνονται αποκλειστικά στη βάση αυτοματοποιημένων διαδικασιών, περιλαμβανομένης της δημιουργίας προφίλ, εκτός των περιπτώσεων στις οποίες παρέχεται η σχετική νόμιμη βάση ή υπογράφεται σχετική σύμβαση.
Προστασία των δικαιωμάτων των παιδιών: η Εταιρεία πρέπει να εξασφαλίζει ότι δεν υφίστανται επεξεργασία τα προσωπικά δεδομένα παιδιών, εκτός αν παρέχεται σχετική συναίνεση από όσους έχουν τη γονική μέριμνα αυτών των παιδιών.
Οι παρακάτω κατευθυντήριες γραμμές μορφοποιούν μια βάση για την προστασία και επεξεργασία προσωπικών δεδομένων που διενεργούνται υπό την ευθύνη της Εταιρείας.
α. Αρχεία δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων
Η Εταιρεία πρέπει να τηρεί αρχεία όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων που διενεργούνται υπ’ ευθύνη της. Κάθε επεξεργασία που διενεργείται πρέπει να βασίζεται σε ένα μητρώο το οποίο περιέχει όλες τις παρακάτω πληροφορίες:
Το όνομα και τα στοιχεία επικοινωνίας του ελεγκτή και, όπου αυτό έχει εφαρμογή, του κοινού ελεγκτή, του εκπροσώπου του ελεγκτή και του Υπεύθυνου Προστασίας Δεδομένων (όπου αυτό έχει εφαρμογή).
Οι σκοποί για την επεξεργασία δεδομένων.
Η νόμιμη βάση η οποία υποστηρίζει την επεξεργασία δεδομένων.
Η περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των κατηγοριών των προσωπικών δεδομένων.
Οι κατηγορίες των αποδεκτών στους οποίους έχουν ή πρόκειται να αποκαλυφθούν τα προσωπικά δεδομένα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή σε διεθνείς οργανισμούς.
Οι περίοδοι αποθήκευσης των προσωπικών δεδομένων ή τα κριτήρια που καθορίζουν αυτές τις περιόδους, σε σχέση με την επεξεργασία.
Η παρουσία ή απουσία αυτοματοποιημένης διαδικασίας λήψης ατομικών αποφάσεων ή αποφάσεων σχετικών με το προφίλ, και το σκεπτικό στο οποία αυτές βασίζονται.
Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας.
Παρομοίως, πρέπει να αποθηκεύονται και να διατηρούνται τα αρχεία των διαδικασιών επεξεργασίας που εκτελούνται από επεξεργαστές υπό την ευθύνη του ελεγκτή.
Αυτά τα αρχεία πρέπει να επισημοποιούνται εγγράφως, σε ηλεκτρονική μορφή ή σε χαρτί. Επιπρόσθετα, αυτά τα αρχεία πρέπει να καθίστανται διαθέσιμα από τον ελεγκτή ή από τον επεξεργαστή προς την επιβλέπουσα αρχή, κατόπιν σχετικής αίτησης.
β. Ιδιωτικότητα βάσει σχεδίου και εξ ορισμού
Η Εταιρεία θα υλοποιήσει, καθ’ όλη τη διάρκεια του κύκλου ζωής των προσωπικών δεδομένων που τηρούνται υπ’ ευθύνη της, στις διαδικασίες προστασίας και επεξεργασίας προσωπικών δεδομένων, βάσει σχεδίου και εξ ορισμού, τεχνικά και οργανωτικά μέτρα τα οποία εξασφαλίζουν ένα επίπεδο ασφάλειας το οποίο θα είναι ανάλογο με τον ενδεχόμενο κίνδυνο, περιλαμβανομένων κατά περίπτωση:
Χρήση ψευδωνύμων και κρυπτογράφηση των προσωπικών δεδομένων.
Την υλοποίηση μέτρων και εργαλείων που θα εξασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα και την αντοχή των υπηρεσιών και των συστημάτων επεξεργασίας.
Την ικανότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε προσωπικά δεδομένα σε έγκαιρο χρόνο, σε περίπτωση που υπάρξει κάποιο φυσικό ή τεχνικό περιστατικό απώλειας.
Την εκτέλεση διαδικασιών για τον τακτικό έλεγχο και την αξιολόγηση της αποτελεσματικότητας των τεχνικών οργανωτικών μέτρων, προκειμένου να εξασφαλίζεται η ασφάλεια κατά την επεξεργασία δεδομένων.
γ. Αξιολόγηση επιδράσεων ιδιωτικότητας
Η Εταιρεία πρέπει να λάβει υπόψη την ανάγκη να εκτελεί αξιολογήσεις επίδρασης πάνω στην προστασία των προσωπικών δεδομένων, πάνω στην ανάπτυξη και/ή τροποποίηση των επιχειρηματικών διαδικασιών και των πληροφοριακών συστημάτων που αφορούν προσωπικά δεδομένα, ανάλογα με το επίπεδο κινδύνου που σχετίζεται με την άσκηση δικαιωμάτων από τα υποκείμενα των προσωπικών δεδομένων, προκειμένου να προσδιορίζονται οι κίνδυνοι και οι αντίστοιχοι έλεγχοι άμβλυνσης.
Όλοι οι Διευθυντές Διαχείρισης Προσωπικών Δεδομένων (κατά περίπτωση) πρέπει να έρχονται σε επαφή με τον Υπεύθυνο Προστασίας Δεδομένων (όπου αυτό έχει εφαρμογή) πριν από την υιοθέτηση νέων διαδικασιών ή συστημάτων πληροφοριών, προκειμένου να επιβεβαιώνεται η ανάγκη τέτοιων αξιολογήσεων.
Η Εταιρεία ενεργώντας ως ελεγκτής είναι υπεύθυνη για την εκτέλεση αξιολογήσεων επίδρασης πάνω στην προστασία προσωπικών δεδομένων.
δ. Διαχωρισμός καθηκόντων (τι χρειάζεται να γνωρίζουν)
Για να διασφαλιστεί ότι τα προσωπικά δεδομένα δεν είναι προσβάσιμα από υπαλλήλους που δεν έχουν τη σχετική νομιμότητα, σε σχέση με τους σκοπούς για τους οποίους αυτά συλλέχθηκαν, η Εταιρεία πρέπει να θεσπίσει και να ακολουθεί μια διαδικασία εκχώρησης πρόσβασης σε πληροφορίες (σε φυσική και λογική μορφή) και σε προσωπικά δεδομένα με βάση την αρχή “τι χρειάζεται να γνωρίζουν”. Αυτή η αρχή αναφέρει ότι κάθε υπάλληλος αποκτά πρόσβαση μόνο στους ρόλους και στις άδειες που του είναι αυστηρά αναγκαίες για την εκτέλεση της εργασίας του.
Τα προφίλ πρόσβασης στα πληροφοριακά συστήματα πρέπει να διαμορφώνονται με τέτοιο τρόπο ώστε να εξασφαλίζεται ότι μόνο εξουσιοδοτημένο προσωπικό μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα που θεωρούνται αναγκαία για συγκεκριμένους σκοπούς.
Αυτή η αρχή πρέπει να εφαρμόζεται ενώ ο χρήστης επεξεργάζεται προσωπικά δεδομένα, από την αρχική αίτηση πρόσβασης, και όταν μεταβάλλεται ένα προφίλ λειτουργίας (π.χ. μεταφορά σε άλλη διεύθυνση/εταιρική μονάδα, όταν εγκαταλείπει την Εταιρεία).
ε. Διαγραφή προσωπικών δεδομένων
Η Εταιρεία πρέπει να εφαρμόζει ασφαλείς μηχανισμούς για τη διαγραφή ή την καταστροφή μη αναγκαίων προσωπικών δεδομένων, η επεξεργασία των οποίων δεν είναι συμβατή με συγκεκριμένους, ρητούς και νόμιμους σκοπούς.
Όμως, η Εταιρεία θα μπορεί να ακολουθεί μια διαδικασία για να αξιολογεί το εάν η επεξεργασία για άλλους σκοπούς είναι συμβατή με τον σκοπό για τον οποίο τα προσωπικά δεδομένα συλλέχθηκαν αρχικά. Τα αποτελέσματα αυτής της αξιολόγησης θα πρέπει να αναφέρονται στον Υπεύθυνο Προστασίας Δεδομένων (εφόσον αυτό εφαρμογή) ο οποίος θα αξιολογεί τη νομιμότητα της επεξεργασίας για άλλους σκοπούς.
Ως εναλλακτική λύση της διαγραφής, σε συγκεκριμένες περιστάσεις που νομιμοποιούνται από τον Υπεύθυνο Προστασίας Δεδομένων (εφόσον αυτό έχει εφαρμογή), θα πρέπει να εξετάζεται το ενδεχόμενο διατήρησης των προσωπικών δεδομένων με τρόπο ο οποίος δεν επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων, δηλαδή με τη χρήση τεχνικών ανωνυμοποίησης.
Η Εταιρεία πρέπει να διενεργεί μια περιοδική διαδικασία επανεξέτασης και διαγραφής των προσωπικών δεδομένων που έχουν συλλεχθεί με ευθύνη της.
Προκειμένου να ελέγχεται η έκθεση σε κινδύνους της προστασίας και επεξεργασίας προσωπικών δεδομένων από επεξεργαστές, θα πρέπει να δημιουργηθούν και να διατηρούνται σε ισχύ ενεργοί μηχανισμοί για τον έλεγχο και την αναθεώρηση των παρεχόμενων υπηρεσιών, δηλαδή συνθήκες και όροι ασφάλειας οι οποίοι εδραιώνονται σε σχετικές συμβάσεις ή άλλες κανονιστικές πράξεις.
Όταν η προστασία και επεξεργασία προσωπικών δεδομένων ανατίθεται σε τρίτους, ο ελεγκτής θα χρησιμοποιεί κατά προτίμηση επεξεργαστές οι οποίοι παρέχουν επαρκείς εγγυήσεις, όπως συμμόρφωση με κώδικες δεοντολογίας και/ή πιστοποιήσεις εγκεκριμένες από την αρμόδια επιβλέπουσα αρχή σε σχέση με τεχνικά και οργανωτικά μέτρα, με τέτοιο τρόπο ώστε η παροχή των υπηρεσιών επεξεργασίας προσωπικών δεδομένων να ικανοποιεί και να συμμορφώνεται με τις απαιτήσεις που ορίζονται στον Γενικό Κανονισμό Προστασίας Δεδομένων, σε ότι αφορά στην ασφάλεια της επεξεργασίας προσωπικών δεδομένων και στην άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων.
Η επεξεργασία που ανατίθεται σε τρίτους πρέπει να διέπεται από μια έγγραφη σύμβαση ή μία νομική πράξη που θα δεσμεύει τον επεξεργαστή έναντι του ελεγκτή, και η οποία θα περιγράφει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, τον τύπο των προσωπικών δεδομένων και τις κατηγορίες των υποκειμένων των δεδομένων, καθώς και τις υποχρεώσεις και τα δικαιώματα του ελεγκτή. Η έγγραφη σύμβαση ή νομική πράξη μεταξύ του ελεγκτή και του επεξεργαστή πρέπει να επιτρέπει στον επεξεργαστή να συμβάλλεται με άλλον επεξεργαστή, εάν αυτό είναι αναγκαίο, ενώ πρέπει επίσης να καθορίζει τις απαιτήσεις που θα διέπουν αυτή τη σχέση.
Η αποκάλυψη ή η πρόσβαση σε προσωπικά δεδομένα θα πρέπει να χορηγείται αποκλειστικά και μόνο σε τρίτους φορείς εφόσον διαπιστώνεται ότι οι αναγκαίοι έλεγχοι είναι σε θέση να εξασφαλίσουν την ασφάλεια της επεξεργασίας προσωπικών δεδομένων, δηλαδή να εξασφαλίσουν ότι οποιοσδήποτε εξουσιοδοτείται να επεξεργαστεί προσωπικά δεδομένα έχει υπογράψει ένα συμφωνητικό εμπιστευτικότητας ή υπόκειται στις δέουσες νομικές υποχρεώσεις εμπιστευτικότητας και ότι η διαχείριση των προσωπικών δεδομένων γίνεται μόνο με βάση έγγραφες οδηγίες του ελεγκτή.
Η έγγραφη σύμβαση ή κανονιστική πράξη θα πρέπει επίσης να προσδιορίζει εάν, μετά την ολοκλήρωση της παρεχόμενης υπηρεσίας, ο επεξεργαστής θα διαγράφει ή θα επιστρέφει στον ελεγκτή όλα τα δεδομένα, διαγράφοντας τα υπάρχοντα αντίγραφα.
Οι επεξεργαστές πρέπει να γνωρίζουν τις υποχρεώσεις τους και να αποδέχονται τις ευθύνες και συνέπειες που απορρέουν από την επεξεργασία προσωπικών δεδομένων, και να είναι ενήμεροι για το ότι η νομική ή συμβατική ευθύνη για την προστασία προσωπικών δεδομένων βαρύνει επίσης τους ίδιους. Οι επεξεργαστές πρέπει να είναι ενήμεροι και να ενεργούν σύμφωνα με την παρούσα πολιτική για την παροχή των υπηρεσιών που έχουν σχέση με την προστασία προσωπικών δεδομένων.
ζ. Διαβίβαση προσωπικών δεδομένων σε τρίτους
Τα προσωπικά δεδομένα, την ευθύνη των οποίων φέρει η Εταιρεία, θα μπορούν να καθίστανται διαθέσιμα σε τρίτους όποτε υπάρχει σχετική ανάγκη ή συμφέρον και η διαβίβαση αυτή είναι νόμιμη.
η. Διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς
Σε περίπτωση διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης (δηλαδή σε τρίτες χώρες ή διεθνείς οργανισμούς εκτός της Ευρωπαϊκής Ένωσης), η Εταιρεία πρέπει να συμμορφώνεται με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, δηλαδή: (i) να διασφαλίζει, πριν τη διαβίβαση, ότι η Τρίτη χώρα, μια περιοχή αυτής ή ένας ή περισσότεροι συγκεκριμένοι τομείς της τρίτης χώρας ή του εμπλεκόμενου διεθνούς οργανισμού, υπόκεινται σε απόφαση επάρκειας που έχει ληφθεί από την Ευρωπαϊκή Ένωση και ότι η απόφαση αυτή παραμένει σε ισχύ κατά την ημερομηνία της σκοπούμενης διαβίβασης προσωπικών δεδομένων, ή εφόσον δεν έχει ληφθεί μια τέτοια απόφαση, (ii) ότι είναι εφικτή η λήψη κατάλληλων εγγυήσεων με την προϋπόθεση ότι τα υποκείμενα των δεδομένων διαθέτουν προστατευόμενα δικαιώματα καθώς και αποτελεσματικά ένδικα διορθωτικά μέτρα.
Εάν η διαβίβαση προσωπικών δεδομένων εμπίπτει στο πεδίο εφαρμογής μιας συμβατικής σχέσης ή μιας νομικής πράξης, η Εταιρεία πρέπει να εξασφαλίσει ότι ο φορέας-αποδέκτης που βρίσκεται σε τρίτη χώρα δεσμεύεται από τους όρους που αναφέρονται στις πρότυπες διατάξεις περί προστασίας δεδομένων που έχουν υιοθετηθεί από την Ευρωπαϊκή Ένωση και/ή έχουν υιοθετηθεί από την αρμόδια επιβλέπουσα αρχή και εγκριθεί από την Ευρωπαϊκή Επιτροπή, και βρίσκονται σε ισχύ κατά την ημερομηνία διαβίβασης των εν λόγω δεδομένων, ή ότι δεσμεύεται από κανόνες που ισχύουν για επιχειρήσεις (εγχειρήματα) που έχουν εγκριθεί από την αρμόδια επιβλέπουσα αρχή.
θ. Επεξεργασία προσωπικών δεδομένων ως Επεξεργαστής
Σε περίπτωση επεξεργασίας προσωπικών δεδομένων για κάποιον τρίτο, η Εταιρεία πρέπει να διασφαλίζει ότι η σύμβαση ή άλλη κανονιστική πράξη που διέπει τη σχέση μεταξύ των συμβαλλομένων συμμορφώνεται με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, και συγκεκριμένα, με τις κύριες απαιτήσεις της, καθώς επίσης, στο μέγιστο δυνατό βαθμό με την παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων και της συνακόλουθες ισχύουσες διαδικασίες και πρότυπα.
Η σύμβαση ή η άλλη κανονιστική πράξη που ρυθμίζει τη σχέση μεταξύ των συμβαλλομένων πρέπει να προσδιορίζει ρητά το αντικείμενο, τη διάρκεια, τη φύση, τους σκοπούς και τις πηγές νομιμότητας της επεξεργασίας που πρόκειται να διενεργηθεί, καθώς επίσης και εάν οι εν λόγω πηγές νομιμότητας έχουν αποτελεσματικά επαληθευτεί. Η ευθύνη της Εταιρείας πρέπει να περιορίζεται στη διαχείριση που έχει σχέση με το εν λόγω αντικείμενο, και στους σκοπούς που αναφέρονται ρητά στη σύμβαση ή στην κανονιστική πράξη.
Πριν από τη σύναψη της σύμβασης ή άλλης κανονιστικής πράξης, η Εταιρεία ως επεξεργαστής, πρέπει να αξιολογήσει τα μέσα και την ικανότητά της να συμμορφώνεται με τα τεχνικά και οργανωτικά μέσα που απαιτούνται, συγκεκριμένα από τον ελεγκτή, λαμβάνοντας κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να εξασφαλίζεται η συμμόρφωση με τις αναλαμβανόμενες υποχρεώσεις, και τουλάχιστον ένα επίπεδο ασφάλειας το οποίο θα είναι επαρκές ως προς τους κινδύνους που σχετίζονται με την επεξεργασία των δεδομένων.
Η Εταιρεία πρέπει να εξασφαλίζει ως επεξεργαστής, τα παρακάτω:
Την υλοποίηση μηχανισμών ασφάλειας που θα εξασφαλίζουν την επαρκή προστασία των προσωπικών δεδομένων που χρησιμοποιούνται στην επεξεργασία.
Την υλοποίηση αποτελεσματικών και γοργών μηχανισμών για την ανίχνευση και κοινοποίηση/αναφορά οποιασδήποτε παραβίασης προσωπικών δεδομένων η επεξεργασία των οποίων ανήκει στη δικαιοδοσία του επεξεργαστή.
Το όνομα του υπεύθυνου επικοινωνίας για ζητήματα που σχετίζονται με την επεξεργασία προσωπικών δεδομένων η οποία ρυθμίζεται από τη σύμβαση.
Την υλοποίηση μηχανισμών καταγραφής για τις διαδικασίες επεξεργασίας δεδομένων που εμπίπτουν εντός της συμβατικής σχέσης.
Την παροχή εμπιστευτικότητας για τα προσωπικά δεδομένα που υφίστανται επεξεργασία από τους υπαλλήλους της ή από τρίτους που έχουν συμβληθεί με την Εταιρεία.
Για τη διαχείριση παραβιάσεων προσωπικών δεδομένων, θα πρέπει να δημιουργηθούν μηχανισμοί ελέγχου προσωπικών δεδομένων έτσι ώστε να μειώνεται η επίδραση των αδυναμιών των πληροφοριακών συστημάτων και των σχετικών διαδικασιών, όπως και της αξιολόγησης, των εσωτερικών αναφορών, της λήψης αποφάσεων, της απόκρισης και της επικοινωνίας των διαδικασιών παραβίασης προσωπικών δεδομένων.
Επιπλέον, θα πρέπει να υλοποιηθεί και να είναι λειτουργική μια οργανωτική δομή που θα υποστηρίζεται από τη σχετική τεχνολογική υποδομή, και θα είναι ικανή να διαχειρίζεται αποτελεσματικά και να αποκρίνεται σε οποιοδήποτε περιστατικό παραβίασης προσωπικών δεδομένων.
Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων (εφόσον υπάρχει τέτοιος) πρέπει να αναφέρει το περιστατικό στον Υπεύθυνο Προστασίας Δεδομένων (εφόσον υπάρχει τέτοιος) και να αξιολογήσει τις επιπτώσεις στα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Όταν η παραβίαση προσωπικών δεδομένων είναι πιθανό να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ο ελεγκτής πρέπει να κοινοποιήσει το περιστατικό στα υποκείμενα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, σε συμμόρφωση με τις διαδικασίες που προβλέπονται για τις παραβιάσεις προσωπικών δεδομένων και έχουν καθοριστεί από την Εταιρεία.
Ο ελεγκτής πρέπει να κοινοποιεί οποιαδήποτε παραβίαση προσωπικών δεδομένων στην αρμόδια επιβλέπουσα αρχή, εντός 72 ωρών από την ώρα που ο ίδιος έλαβε σχετική γνώση, υπό την προϋπόθεση ότι η εν λόγω παραβίαση είναι πιθανό να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Εάν η κοινοποίηση αυτή δεν είναι εφικτό να γίνει εντός 72 ωρών, τότε αυτή θα συνοδεύεται από τους λόγους της καθυστέρησης.
κ. Διαχείριση αποδεικτικών στοιχείων
Ο ελεγκτής πρέπει να εξασφαλίζει τη σχεδίαση και συντήρηση των δραστηριοτήτων επεξεργασίας προκειμένου να καταδεικνύεται η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Επιπρόσθετα, πρέπει να διαμορφωθούν τα πληροφοριακά συστήματα που διαχειρίζονται προσωπικά δεδομένα, όπως είναι οι εφαρμογές, οι βάσεις δεδομένων, τα λειτουργικά συστήματα και τα συστήματα επικοινωνίας έτσι ώστε να παράγουν ημερολόγια δραστηριότητας με επαρκείς πληροφορίες που θα καταδεικνύουν τη συμμόρφωση με τον κανονισμό.
Ο ελεγκτής καθορίζει τις πληροφορίες που θα καταχωρούνται στα ημερολόγια δραστηριότητας, σε συνεννόηση με τα στελέχη που είναι υπεύθυνα για τη διαχείριση και τη διοίκηση των πληροφοριακών συστημάτων. Τα ημερολόγια δραστηριότητας όπως και οι πληροφορίες που περιέχονται σ’ αυτά, πρέπει να προστατεύονται από την μη εξουσιοδοτημένη πρόσβαση ή την αδικαιολόγητη καταστροφή.
Προκειμένου να εξασφαλίσουμε την προστασία των προσωπικών δεδομένων με τρόπο συνεπή, και συγκεκριμένα την προστασία έναντι απειλών που ενδέχεται να θέσουν σε κίνδυνο την εμπιστευτικότητα, την ακεραιότητα και την διαθεσιμότητα των δεδομένων, έχει καταρτιστεί ένα σύνολο κανόνων προκειμένου να προσδιοριστούν οι κατευθυντήριες γραμμές που πρέπει να εφαρμόζονται για την επεξεργασία των προσωπικών δεδομένων. Αυτό το σύνολο κανόνων έχει την ακόλουθη δομή:
Πολιτική Προστασίας Προσωπικών Δεδομένων: Καθορίζει το γενικό πλαίσιο και τη δέσμευση της Εταιρείας στην προστασία των προσωπικών δεδομένων η οποία είναι ευθυγραμμισμένη με το στρατηγικό όραμα που έχει εγκριθεί από το Διοικητικό Συμβούλιο της Εταιρείας. Αυτή αποτελεί μια κοινή βάση για την ενθάρρυνση της υιοθέτησης συνεπών οργανωτικών προτύπων ασφάλειας και αποτελεσματικών πρακτικών για τη διαχείριση της προστασίας προσωπικών δεδομένων, προκειμένου να εκπέμπεται η εμπιστοσύνη σε όλους τους ενδιαφερόμενους φορείς.
Πρότυπα: Καθορίζει τις κατευθυντήριες γραμμές για τις διαδικασίες επεξεργασίας, ασφάλειας και προστασίας όλων των προσωπικών δεδομένων που πρόκειται να υιοθετηθούν από όλα τα τμήματα της Εταιρείας.
Διαδικασίες: Καθορίζει τις δραστηριότητες που είναι αναγκαίες για την επεξεργασία, την ασφάλεια και την προστασία των προσωπικών δεδομένων σε οποιαδήποτε επιχειρηματική διαδικασία, σύμφωνα με την Πολιτική Προστασίας Προσωπικών Δεδομένων και τα σχετικά πρότυπα.
Προκειμένου να εξομαλυνθεί η διαχείριση και λειτουργία της ασφάλειας και επεξεργασίας προσωπικών δεδομένων, έχει καθοριστεί η εσωτερική οργανωτική δομή (μοντέλο διακυβέρνησης), η οποία περιλαμβάνει διαδικασίες προστασίας προσωπικών δεδομένων, διαχείρισης της ιδιωτικότητας, διαχείρισης κινδύνων και εσωτερικών αναφορών έτσι ώστε το Διοικητικό Συμβούλιο να έχει τις αναγκαίες πληροφορίες για να ασκεί μία διακυβέρνηση η οποία ευθυγραμμίζεται με την πραγματικότητα της Εταιρείας, όπως επίσης και ότι οι επιχειρηματικές δραστηριότητες είναι σε συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Στην οργανωτική δομή θα πρέπει να καθορίζονται οι ευθύνες όλων των ενδιαφερομένων μερών που εμπλέκονται στην προστασία και επεξεργασία προσωπικών δεδομένων, δηλαδή εκείνων του Διοικητικού Συμβουλίου, του Υπεύθυνου Προστασίας Δεδομένων και των Υπεύθυνων Επεξεργασίας Προσωπικών Δεδομένων.
Το Διοικητικό Συμβούλιο έχει ως κύριες αρμοδιότητές του την έγκριση της Πολιτικής Προστασίας Προσωπικών Δεδομένων, την έγκριση του μοντέλου διακυβέρνησης, τον διορισμό του (-ων) Υπεύθυνου (-ων) Προστασίας Δεδομένων (εφόσον υπάρχουν τέτοιοι), την ανεξάρτητη αξιολόγηση του συστήματος διαχείρισης της προστασίας δεδομένων καθώς και την αξιολόγηση του επιπέδου συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Το Διοικητικό Συμβούλιο είναι υπεύθυνο για την αξιολόγηση της Πολιτικής Προστασίας Προσωπικών Δεδομένων, προωθώντας και επιδεικνύοντας αφοσίωση στην προστασία προσωπικών δεδομένων, επιβλέποντας και διασφαλίζοντας την ευθυγράμμιση μεταξύ των στόχων της προστασίας προσωπικών δεδομένων και του στρατηγικού οράματος της Εταιρείας, καθιστώντας διαθέσιμους όλους τους αναγκαίους πόρους για την υλοποίηση και διατήρηση των κατάλληλων μέτρων που αφορούν στην επεξεργασία και προστασία των προσωπικών δεδομένων, προωθώντας τη διαρκή βελτίωση, διευκολύνοντας την εκπαίδευση και την ευαισθητοποίηση των υπαλλήλων της Εταιρείας (κατά περίπτωση) αναφορικά με την προστασία και ιδιωτικότητα των δεδομένων, και διασφαλίζοντας, μαζί με τον Υπεύθυνο Προστασίας Δεδομένων την αποτελεσματική λειτουργία των μέτρων και των συστημάτων ελέγχου για την προστασία των προσωπικών δεδομένων.
Ο Υπεύθυνος Προστασίας Δεδομένων (εφόσον υπάρχει τέτοιος), είναι υπεύθυνος για την παροχή κατευθυντήριων οδηγιών σχετικά με την υλοποίηση μέτρων για την επεξεργασία προσωπικών δεδομένων σε συμμόρφωση με τους ισχύοντες κανονισμούς και τη νομοθεσία όπως και για την πιστοποίηση της αποτελεσματικότητάς τους, πιο συγκεκριμένα σε σχέση με τον εντοπισμό κινδύνων που σχετίζονται με την επεξεργασία τους, την αξιολόγησή τους ως προς την προέλευσή τους, τη φύση τους, την πιθανότητα και τη δριμύτητά τους όπως επίσης και με τον εντοπισμό των βέλτιστων πρακτικών που επιτρέπουν τον εξομάλυνσή τους. Ο ίδιος πρέπει να εμπλέκεται με κατάλληλο και έγκαιρο τρόπο, με όλα τα ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων.
Ο Υπεύθυνος Προστασίας Δεδομένων (εφόσον υπάρχει τέτοιος) είναι ο υπεύθυνος επαφών με τις επιβλέπουσες αρχές σε ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων.
Επιπλέον, ο Υπεύθυνος Προστασίας Δεδομένων (εφόσον υπάρχει τέτοιος) είναι υπεύθυνος για την επιτήρηση και τον έλεγχο του επιπέδου συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Η Εταιρεία ως ελεγκτής, πρέπει να διασφαλίζει ότι οι δραστηριότητες επεξεργασίας και προστασίας των προσωπικών δεδομένων είναι καθορισμένες και εκτελούνται σε συμμόρφωση με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Η Εταιρεία πρέπει επίσης να είναι σε θέση να καταδεικνύει τη συμμόρφωση με την παρούσα πολιτική όπως και με άλλα πρότυπα και διαδικασίες, δηλαδή με τις αρχές που ισχύουν για την επεξεργασία προσωπικών δεδομένων και για τη νομιμότητα των διαδικασιών επεξεργασίας.
Η Εταιρεία πρέπει να προσδιορίζει εγγράφως τους Υπεύθυνους Επεξεργασίας Προσωπικών Δεδομένων (κατά περίπτωση), σε σχέση με τις υποχρεώσεις τους που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Οι Υπεύθυνοι Επεξεργασίας Προσωπικών Δεδομένων της Εταιρείας, η οποία ενεργεί ως ελεγκτής, θα διορίζονται από το Διοικητικό Συμβούλιο το οποίο θα λαμβάνει υπόψη του τους σκοπούς της επεξεργασίας προσωπικών δεδομένων.
_____________________________________________________________
Η Πολιτική Προστασίας Προσωπικών Δεδομένων είναι σε ισχύ και εγκρίνεται από το Διοικητικό Συμβούλιο της Εταιρείας την 23η Μαΐου 2018.
Το παρόν κεφάλαιο συγκεντρώνει τους ορισμούς των χρησιμοποιούμενων όρων, προκειμένου να υποστηριχθεί η ανάγνωση και η κατανόηση της Πολιτικής Προστασίας Προσωπικών Δεδομένων.
Διαθεσιμότητα | Δυνατότητα ενός ατόμου ή συστήματος, δεόντως εξουσιοδοτημένου και κατόπιν σχετικής αίτησης, το οποίο μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα. | |
Συμμόρφωση |
Εκπλήρωση των απαιτήσεων που ισχύουν για την Εταιρεία. |
|
Εμπιστευτικότητα |
Χαρακτηριστικό το οποίο εγγυάται ότι μια πληροφορία δεν είναι διαθέσιμη ή δεν αποκαλύπτεται σε μη εξουσιοδοτημένα άτομα, φορείς ή διαδικασίες. |
|
Συναίνεση | Μια ελεύθερα χορηγούμενη, συγκεκριμένη, ενήμερη και ρητή θετική πράξη με την οποία το υποκείμενο δεδομένων αποδέχεται την επεξεργασία των προσωπικών του/της δεδομένων. | |
Συνέπεια | Αποτέλεσμα που προκύπτει από την επέλευση ενός συγκεκριμένου γεγονός, απόφαση ή περίστασης. | |
Διαρκής βελτίωση | Επαναλαμβανόμενη δραστηριότητα για τη βελτίωση της απόδοσης. | |
Έλεγχος | Μέτρο άμβλυνσης κινδύνου (π.χ. πολιτικές, διαδικασίες, δραστηριότητες, μηχανισμοί). | |
Ελεγκτής | Το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, ή άλλος φορέας ο οποίος ατομικά ή από κοινού με άλλους, προσδιορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων∙ όποτε οι σκοποί και τα μέσα μιας τέτοιας επεξεργασίας καθορίζονται από τη νομοθεσία της Ένωσης ή ενός Κράτους Μέλους, ο ελεγκτής ή τα συγκεκριμένα κριτήρια που ισχύουν για τον διορισμό του μπορούν να παρέχονται από τη νομοθεσία της Ένωσης ή του Κράτους Μέλους. | |
Υπάλληλος | Το φυσικό πρόσωπο που εργάζεται για την Εταιρεία, περιλαμβανομένων μεταξύ άλλων, όλων των επαγγελματιών, των εργατών, των εκπαιδευτών, και των συμβούλων. | |
Αποδεικτικό στοιχείο | Αποδεικτικά έγγραφα ή απόδειξη από εμπειρογνώμονα, που σκοπό έχει να καταδείξει μια συγκεκριμένη ενέργεια/πράξη, ενός φορέα, μιας διαδικασίας ή ενός συστήματος. | |
Περιστατικό | Έκτακτο ή ανεπιθύμητο συμβάν ή σειρά συμβάντων τα οποία ενδέχεται να επηρεάσουν αρνητικά την ομαλή πορεία λειτουργιών, και να θέσουν σε κίνδυνο την ακεραιότητα, εμπιστευτικότητα και την επανατακτικότητα προσωπικών δεδομένων. | |
Πληροφοριακά συστήματα |
Αυτόματα ή χειροκίνητα συστήματα τα οποία περιλαμβάνουν ανθρώπους, μηχανές, δίκτυα επικοινωνίας και/ή οργανωμένες μεθόδους για την επεξεργασία προσωπικών δεδομένων. |
|
Ακεραιότητα | Χαρακτηριστικό το οποίο επιτρέπει την επιβεβαίωση/διασφάλιση της ακρίβειας και πληρότητας προσωπικών δεδομένων. | |
Ημερολόγιο | Εγγραφή ενός εγχειρήματος για προσωπικά δεδομένα η οποία επιτρέπει τη συνακόλουθη ταυτοποίηση των δραστηριοτήτων επεξεργασίας που διενεργούνται. | |
Επιτήρηση | Σύνολο ενεργειών επιτήρησης και ελέγχου για την αξιολόγηση και την παρακολούθηση της ολοκλήρωσης μιας διαδικασίας ή δραστηριότητας. | |
Προσωπικά δεδομένα | Πληροφορίες που αφορούν ένα ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο (υποκείμενο δεδομένων). Ένα υποκείμενο δεδομένων θεωρείται αναγνωρίσιμο εφόσον μπορεί να αναγνωριστεί άμεσα ή έμμεσα, πιο συγκεκριμένα με αναφορά σε ένα αναγνωριστικό στοιχείο όπως είναι το όνομα, ένας αριθμός ταυτότητας, στοιχεία διαμονής, ένας online κωδικός αναγνώρισης, ένας ή περισσότεροι παράγοντες που είναι συγκριμένοι για τη φυσική, φυσιολογική, γενετική, νοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. | |
Παραβίαση προσωπικών δεδομένων | Μία παραβίαση της ασφάλειας που οδηγεί σε μια τυχαία ή παράνομη απώλεια, καταστροφή, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που έχουν αποσταλεί, αποθηκευτεί, ή επεξεργαστεί καθ’ οιονδήποτε τρόπο. | |
Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων
Πολιτική |
Ο υπάλληλος της Εταιρείας ο οποίος είναι υπεύθυνος για τη διαχείριση των διαδικασιών που περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων.
Σκοπός και γενική καθοδήγηση όπως έχει εκφραστεί επίσημα από τη διοίκηση. |
|
Επεξεργασία | Μια λειτουργία ή ένα σύνολο λειτουργιών οι οποίες εκτελούνται σε προσωπικά δεδομένα ή σε ομάδες προσωπικών δεδομένων, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως είναι η συλλογή, καταγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, αποκάλυψη μέσω διαβίβασης, διασπορά, ή καθ’ οιονδήποτε τρόπο καθιστάμενη διαθέσιμη, ευθυγράμμιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή. | |
Επεξεργαστής | Ένα φυσικό ή νομικό πρόσωπο, δημόσια αρχή, εκπροσώπηση ή άλλος φορέας ο οποίος επεξεργάζεται προσωπικά δεδομένα εκ μέρους του ελεγκτή. | |
Δημιουργία Προφίλ | Οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που απαρτίζεται από τη χρήση προσωπικών δεδομένων με σκοπό την αξιολόγηση συγκεκριμένων προσωπικών χαρακτηριστικών που αφορούν ένα φυσικό πρόσωπο, και απώτερο στόχο την ανάλυση και την πρόβλεψη χαρακτηριστικών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τον τόπο ή τις κινήσεις, του εν λόγω φυσικού προσώπου. | |
Ψευδονυμοποίηση | Η επεξεργασία προσωπικών δεδομένων με τέτοιο τρόπο που τα προσωπικά στοιχεία δεν μπορούν πλέον να αποδοθούν σε κάποιο συγκεκριμένο υποκείμενο δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών, με την προϋπόθεση ότι αυτές οι πρόσθετες πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για να διασφαλίζεται ότι τα προσωπικά δεδομένα δεν μπορούν να αποδοθούν σε ένα ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο. | |
Αποδέκτες | Ένα φυσικό ή νομικό πρόσωπο, δημόσια αρχή, εκπρόσωπος ή άλλος φορέας στον οποίο αποκαλύπτονται προσωπικά δεδομένα, ανεξάρτητα αν αυτός είναι κάποιο τρίτο πρόσωπο ή όχι. Όμως, οι δημόσιες αρχές οι οποίες ενδέχεται να λάβουν προσωπικά δεδομένα στο πλαίσιο μιας συγκεκριμένης έρευνας σύμφωνα με τη νομοθεσία της Ένωσης ή ενός Κράτους Μέλους, δεν θα λογίζονται ως αποδέκτες. Η επεξεργασία αυτών των δεδομένων από αυτές τις δημόσιες αρχές θα γίνεται σε συμμόρφωση με τους ισχύοντες κανόνες περί προστασίας δεδομένων και σύμφωνα με τους σκοπούς της επεξεργασίας. | |
Εκπρόσωπος | Σημαίνει ένα φυσικό ή νομικό πρόσωπο εδραιωμένο στην Ένωση το οποίο έχει διοριστεί από τον ελεγκτή ή τον επεξεργαστή εγγράφως, και εκπροσωπεί τον ελεγκτή ή τον επεξεργαστή σε σχέση με τις αντίστοιχες υποχρεώσεις τους [έχει εφαρμογή σε περιπτώσεις όπου ο ελεγκτής δεν έχει εδραιωθεί σε μία από τις χώρες μέλη της Ευρωπαϊκής Ένωσης]. | |
Ευθύνη | Καθήκον ανάληψης ελέγχου μιας συγκεκριμένης πράξης και των συνεπειών της. | |
Περιορισμός Επεξεργασίας | Η ένθεση ενός σήματος σε αποθηκευμένα προσωπικά δεδομένα με σκοπό τον περιορισμό της επεξεργασίας τους στο μέλλον. | |
Αναθεώρηση | Διαδικασία επιβεβαίωσης της συνάφειας και της επάρκειας ενός δεδομένου αντικειμένου (π.χ. εγγράφου, διαδικασίας, κινδύνου, συστήματος). | |
Επιβλέπουσα Αρχή | Μία ανεξάρτητη δημόσια αρχή, η οποία είναι θεσπισμένη από ένα Κράτος Μέλος, και η οποία είναι υπεύθυνη για την παρακολούθηση της εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, προκειμένου να προστατεύονται τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων σε σχέση με την επεξεργασία, όπως επίσης να διευκολύνεται η ελεύθερη μετακίνηση αυτών των δεδομένων εντός της Ένωσης. | |
Τρίτοι | Ένα φυσικό ή νομικό πρόσωπο, δημόσια αρχή, αντιπροσωπεία ή φορέας εκτός του υποκειμένου των δεδομένων, του ελεγκτή, του επεξεργαστή και των ατόμων που, υπό την άμεση εποπτεία του ελεγκτή ή του επεξεργαστή, εξουσιοδοτούνται να επεξεργάζονται προσωπικά δεδομένα. | |
Αδυναμία | Αδυναμία σε ένα περιουσιακό στοιχείο ή στοιχείο ελέγχου, η οποία μπορεί να γίνει προϊόν εκμετάλλευσης από μία ή περισσότερες απειλές. |