ΠΟΛΙΤΙΚΗ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ, ΜΑΙΟΣ 2018
1 Σκοπός και πεδίο εφαρμογής
Η Εταιρεία με την επωνυμία «EΛΛHNIKA EKΛEKTA EΛAIA A.E.», που εδρεύει στο Μαρούσι Αττικής επί των οδών Αλαμάνας αρ. 1 και (εφεξής «Εταιρεία»), υπό την ιδιότητα της ως Υπεύθυνης Επεξεργασίας δεδομένων προσωπικού χαρακτήρα, θεσπίζει και υιοθετεί την παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με σκοπό να προστατεύει τα προσωπικά δεδομένα και να αποφεύγει την μη ορθή χρήση αυτών.
Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους, αντιπροσώπους, εκτελούντες την επεξεργασία των προσωπικών δεδομένων για λογαριασμό της Εταιρείας, καθώς και για τους προμηθευτές της Εταιρείας, συμπεριλαμβανομένων και των εξωτερικών συνεργατών, τους παρόχους, τα μέλη του Διοικητικού της Συμβουλίου και τους Μετόχους της και δημιουργεί ένα ελάχιστο πρότυπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς επίσης ορίζει εφεξής και τις αρμοδιότητές τους.
2 Περιεχόμενο
2.1 Νομική βάση
Η παρούσα πολιτική είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων του Ευρωπαϊκού Κοινοβουλίου (ΓΚΠΔ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως τροποποιήθηκε και ισχύει, καθώς και με κάθε δευτερογενές δίκαιο/γνωμοδοτήσεις/ αποφάσεις που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Δεδομένων και οποιαδήποτε σχετική νομοθεσία.
2.2 Ορισμοί
«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα.
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
«Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
«Υποκείμενο Δεδομένων» κάθε ταυτοποιήσιμο φυσικό πρόσωπο, το οποίο διαμένει εντός της Ευρωπαϊκής Ένωσης και για το οποίο ο Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων διατηρεί Προσωπικά Δεδομένα.
«Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
«Κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
«Αρχείο δεδομένων»: κάθε απόθεμα προσωπικών δεδομένων που είναι διαρθρωμένο κατά τρόπο που να επιτρέπει την ταυτοποίηση του εν λόγω προσώπου από τα δεδομένα. Π.χ. οποιοδήποτε εργαλείο πληροφορικής που περιέχει προσωπικά δεδομένα.
«Διαβίβαση»: η πρόσβαση στα προσωπικά δεδομένα, για παράδειγμα επιτρέποντας πρόσβαση, μετάδοση ή δημοσίευση.
«Η εκτίμηση αντικτύπου στα προσωπικά δεδομένα» είναι μια συστηματική διαδικασία για τον εντοπισμό, την αξιολόγηση και την τεκμηρίωση των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.)
Ως «Τρίτη Χώρα» ορίζεται κάθε χώρα που δεν παρέχει επαρκή προστασία των Δεδομένων προσωπικού χαρακτήρα, όπως αυτή προβλέπεται στον Κανονισμό
2.3 Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων
2.3.1 Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Η Εταιρεία διασφαλίζει ότι κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα συμμορφώνεται με τις ακόλουθες αρχές.
2.3.1.1 Νόμιμη επεξεργασία
Η Εταιρεία συλλέγει και υποβάλει τα προσωπικά δεδομένα σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Ο εκτελών την επεξεργασία πρέπει να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
2.3.1.2 Συναίνεση – Συγκατάθεση
Η Εταιρεία διασφαλίζει ότι, πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων ενημερώνεται και δίνει τη συγκατάθεσή του οικειοθελώς. Η συγκατάθεση μπορεί να δίδεται ρητά ή σιωπηρά, π.χ. με την παροχή προσωπικών δεδομένων στον Υπεύθυνο Επεξεργασίας Δεδομένων. Η συγκατάθεση δεν χρειάζεται απαραίτητα να είναι γραπτή, ωστόσο, προκειμένου να αποδεικνύεται η συναίνεση (π.χ. προς δικαστήρια και αρχές), συνιστάται γραπτή συγκατάθεση ή επιτρεπόμενη καταγραφή κλήσεων. Το υποκείμενο των δεδομένων μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.
Δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:
α) εάν το υποκείμενο των δεδομένων έχει γενικά καταστήσει τα προσωπικά του δεδομένα δημόσια προσβάσιμα, π.χ. πληροφορίες που δίδονται σε εφημερίδα ή τηλεφωνικούς καταλόγους, και δεν έχει απαγορεύσει την επεξεργασία τους,
β) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος,
γ) προκειμένου να ληφθούν μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης,
δ) για τη συμμόρφωση με τις νομικές υποχρεώσεις του υπεύθυνου επεξεργασίας δεδομένων,
ε) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
στ) εάν τα νόμιμα συμφέροντα που επιδιώκει η Εταιρεία ή τρίτος υπερισχύουν των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν τα εν λόγω συμφέροντα υπερισχύουν των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
(Σε περίπτωση αμφιβολίας, επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων της Εταιρείας).
2.3.1.3 Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων
Η Εταιρεία ενδέχεται να συλλέγει και επεξεργάζεται δεδομένα ευαίσθητα δεδομένα, με σκοπό την ομαλή λειτουργία της ως νομικό πρόσωπο, αλλά και προκειμένου να συμμορφωθεί με κάθε άλλη εφαρμοστέα νομοθεσία Ευρωπαϊκή και Ελληνική νομοθεσία.
Στις περιπτώσεις αυτές η Εταιρεία θα ζητήσει τη συγκατάθεση των υποκειμένων για την επεξεργασία. Κατ’ εξαίρεση δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:
α) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της Εταιρεία ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας πάντα τις κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
β) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
γ) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,
δ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
ε) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
στ) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του δικαίου της Ε.Ε ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3 ή
ζ) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
2.3.1.4 Υποχρέωση πληροφόρησης
Δεδομένου ότι το υποκείμενο δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και τους σκοπούς της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του, η Εταιρεία θα φροντίζει να ενημερώνει, όπου αυτό είναι εφικτό, το υποκείμενο των δεδομένων, τουλάχιστον, σχετικά με:
- τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. της Εταιρείας,
- τα στοιχεία επικοινωνίας του DPO, ή αν δεν υπάρχει DPO, του υπευθύνου του τμήματος για την προστασία των προσωπικών δικαιωμάτων,
- το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
- το σκοπό της επεξεργασίας,
- το έννομο συμφέρον της Εταιρείας για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
- τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
- τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
- την περίοδο διατήρησης των δεδομένων ή κριτήριων που χρησιμοποιήθηκαν για τον καθορισμό τους,
- εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
- οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.
2.3.1.5 Σκοπός επεξεργασίας
Η Εταιρεία διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύονται κατά τη στιγμή της συλλογής, ή για τους σκοπούς που προβλέπονται από το νόμο. Η επεξεργασία των προσωπικών δεδομένων γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται και αποθηκεύονται είναι τα απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους. Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.
Η Εταιρεία επεξεργάζεται προσωπικά δεδομένα προσωπικού, πελατών, προμηθευτών, παρόχων υπηρεσιών, εξωτερικών συνεργατών, εκτελούντων την επεξεργασία των προσωπικών δεδομένων για λογαριασμό της, μετόχων, καθώς και μελών Διοικητικού Συμβουλίου, για την λειτουργία και διευκόλυνση της επιχειρηματικής της δραστηριότητας, σύμφωνα με τη νομοθεσία που τη διέπει, την άδεια λειτουργίας της και το καταστατικό της.
2.3.1.6 Αρχεία προσωπικού
Η Εταιρεία συλλέγει και επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων και στελεχών της. Ο φάκελος προσωπικού και τα προσωπικά δεδομένα που τους αφορούν ταξινομούνται ως «εμπιστευτικές πληροφορίες». Οι υπάλληλοι και τα στελέχη της Εταιρείας έχουν ενημερωθεί εγγράφως σχετικά με τον τρόπο με τον οποίο η Εταιρεία επεξεργάζεται τα προσωπικά τους δεδομένα, καθώς και για τα δικαιώματα που έχουν και τον τρόπο άσκησής τους.
2.3.1.7 Ποιότητα δεδομένων
Η Εταιρεία έχει ενημερώσει το προσωπικό που επεξεργάζεται τα προσωπικά δεδομένα ότι πρέπει να διασφαλίζει ότι τα δεδομένα είναι ακριβή (ορθά και πλήρη) και, όταν είναι αναγκαίο, να προβαίνει σε επικαιροποίηση αυτών. Η Εταιρεία λαμβάνει κάθε εύλογο μέτρο (τεχνικό και οργανωτικό) προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, σε σχέση με τους σκοπούς της επεξεργασίας, διορθώνονται ή καταστρέφονται.
2.3.1.8 Εκτίμηση αντικτύπου στα προσωπικά δεδομένα
Η Εταιρεία διεξάγει εκτίμηση αντικτύπου στα προσωπικά δεδομένα, κάθε φορά που η προγραμματισμένη δραστηριότητα επεξεργασίας μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Ο σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριαστούν οι κίνδυνοι για το απόρρητο των δεδομένων. Η αξιολόγηση διενεργείται πριν ξεκινήσουν οι εργασίες επεξεργασίας υψηλού κινδύνου.
Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:
- συστηματική και εκτενή αξιολόγηση των προσωπικών στοιχείων του υποκειμένου των δεδομένων. Ειδικότερα, εάν τα προσωπικά δεδομένα υποβάλλονται αυτόματα σε επεξεργασία, εάν η επεξεργασία περιλαμβάνει τη διαμόρφωση της προσωπικότητας και εάν οι αποφάσεις που επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην αξιολόγηση αυτή,
- επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα,
- συστηματική και ευρείας κλίμακας παρακολούθηση μίας προσβάσιμης στο κοινό περιοχής, π.χ. παρακολούθηση με βίντεο ενός δημόσιου χώρου.
Η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα τεκμηριώνεται δεόντως και πραγματοποιείται με τη βοήθεια του Υπευθύνου Προστασίας Δεδομένων. Όταν η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, η Εταιρεία ενημερώνει την εποπτική αρχή ώστε να γνωμοδοτεί σχετικά με τα κατάλληλα μέτρα για τη μείωση των κινδύνων.
2.3.1.9 Διαβίβαση σε τρίτους
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο, οπότε η Εταιρεία γνωστοποιεί στα υποκείμενα των δεδομένων τις κατηγορίες πιθανών αποδεκτών των προσωπικών τους δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως ή ψευδονυμοποιημένα, εφόσον κρίνεται σκόπιμο και είναι εφικτό.
Τρίτος εκτελών την επεξεργασία για λογαριασμό της Εταιρείας, π.χ. ένας εργολάβος ή πάροχος υπηρεσιών, πρέπει να συμφωνήσει συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική και να λαμβάνει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των προσωπικών δεδομένων των υποκειμένων σύμφωνα με την ισχύουσα νομοθεσία. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.
2.3.1.10 Διασυνοριακή αποκάλυψη προσωπικών δεδομένων
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε Τρίτη Χώρα μόνο εάν η νομοθεσία της Τρίτης Χώρας προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που η νομοθεσία της Τρίτης Χώρας δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε αυτή τη χώρα μόνον εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στη μεταφορά ή εάν η προστασία δεδομένων προβλέπεται από την κατάλληλη συμφωνία περί μεταφοράς δεδομένων. Επίσης, η Εταιρεία ενδέχεται να διαβιβάσει προσωπικά δεδομένα σε αρμόδιες εθνικές αρχές προκειμένου να προωθηθούν μέσω αυτών στις αντίστοιχες αρχές τρίτων χωρών, στο πλαίσιο εκπλήρωσης υποχρεώσεών της εκ του νόμου.
Η Εταιρεία προσλαμβάνει το κατάλληλο προσωπικό, και λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων.
Συγκεκριμένα, η Εταιρεία θα λαμβάνει διασφαλίσεις για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Με τον τρόπο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας.
2.3.1.11 Ασφάλεια δεδομένων
Η Εταιρεία εφαρμόζει τα κατάλληλα, τεχνικά και οργανωτικά, μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας δεδομένων προσωπικού χαρακτήρα.
Συγκεκριμένα, η Εταιρεία λαμβάνει διασφαλίσεις για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Με τον τρόπο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας
2.3.1.12 Αποθήκευση και διατήρηση δεδομένων
Η Εταιρεία διατηρεί τα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για το χρονικό διάστημα, το οποίο είναι απολύτως απαραίτητο για την εξυπηρέτηση των σκοπών, για τους οποίους έχουν συλλεχθεί και πάντως σε καμία περίπτωση για διάστημα μεγαλύτερο της εικοσαετίας. Η διατήρηση των εγγράφων είναι σε συμμόρφωση με την ισχύουσα νομοθεσία, καθώς και με τη νομοθεσία περί προσωπικών δεδομένων. Οι περίοδοι διατήρησης έχουν οριστεί σύμφωνα με: (α) τις εκ του νόμου απορρέουσες υποχρεώσεις για τη διατήρηση δεδομένων για συγκεκριμένο χρονικό διάστημα, (β) τα χρονικά όρια της παραγραφής σύμφωνα με την εκάστοτε ισχύουσα νομοθεσία, (γ) πιθανές αντιδικίες, καθώς και (δ) κατευθυντήριες γραμμές που εκδίδονται από τις οικείες αρχές προστασίας δεδομένων καθώς και από άλλες εποπτικές αρχές. Καταστρέφει τα δεδομένα, τα οποία δεν χρειάζεται πλέον να τηρεί σύμφωνα με τα χρονικά όρια που έχουν οριστεί, με ασφάλεια. Σε περίπτωση που χρησιμοποιεί δεδομένα για στατιστικούς ή ερευνητικούς σκοπούς, διασφαλίζει ότι τα δεδομένα είναι ανώνυμα, έτσι ώστε να μην μπορεί το υποκείμενο να προσδιοριστεί με ή από αυτά με κανένα τρόπο.
2.3.2 Δικαιώματα των υποκειμένων των δεδομένων
Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα σύμφωνα με το ΓΚΠΔ:
- Το δικαίωμα ενημέρωσης,
- Το δικαίωμα πρόσβασης,
- Το δικαίωμα διόρθωσης,
- Το δικαίωμα διαγραφής,
- Το δικαίωμα περιορισμού της επεξεργασίας,
- Το δικαίωμα στη φορητότητα δεδομένων,
- Το δικαίωμα αντίρρησης,
- Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.
Οι υπάλληλοι της Εταιρείας οφείλουν να σέβονται το αίτημα πρόσβασης του υποκειμένου των δεδομένων και, εφόσον απαιτείται, να ζητούν τη συμβουλή του υπευθύνου του τμήματος για την προστασία των προσωπικών δικαιωμάτων.
Τα αιτήματα των πελατών προκειμένου να ασκήσουν τα δικαιώματα τους, υποβάλλονται γραπτώς στον υπεύθυνο για την προστασία προσωπικών δικαιωμάτων στην ηλεκτρονική διεύθυνση: mail@hfo.gr ή εγγράφως στα γραφεία της Εταιρείας μας Αλαμάνας αρ. 1 και Δελφών, 15125 Μαρούσι, υπόψιν υπεύθυνου προστασίας προσωπικών δεδομένων.
2.3.3 Καταγραφή παραβίασης δεδομένων
Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, η απώλεια, η αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συναίνεση ή για σκοπούς άλλους από εκείνους που υποδεικνύονται τη στιγμή της συλλογής.
Το πρόσωπο που ανακαλύπτει την παραβίαση προσωπικών δεδομένων λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αναφέρει την παραβίαση στο DPO χωρίς καθυστέρηση. Ο DPO συστηματικά καταγράφει τις παραβιάσεις που του αποκαλύφθηκαν και αξιολογεί τους λόγους των παραβιάσεων. Επιπλέον, ο DPO λαμβάνει πάντα σε συνεννόηση με την Εταιρεία, περαιτέρω απαιτούμενα μέτρα για την αποκατάσταση της παραβίασης και την αποτροπή της επανάληψης των παραβιάσεων.
2.3.4 Ειδοποίηση για την παραβίαση των δεδομένων
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η Εταιρεία γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Επιπλέον, η Εταιρεία οφείλει να ενημερώσει χωρίς καθυστέρηση το υποκείμενο των δεδομένων, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.
2.3.5 Τεκμηρίωση των αρχείων δεδομένων
Η Εταιρεία τηρεί κατάλογο όλων των βάσεων δεδομένων και των αρχείων που περιέχουν προσωπικά δεδομένα. Ο κατάλογος περιλαμβάνει τις ακόλουθες ελάχιστες πληροφορίες:
α) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας δεδομένων και κάθε κοινού υπεύθυνου επεξεργασίας δεδομένων,
β) όνομα και στοιχεία επικοινωνίας του υπευθύνου για την προστασία προσωπικών δεδομένων,
γ) περιγραφή της βάσης δεδομένων ή του αρχείου,
δ) σκοπός της βάσης δεδομένων ή του αρχείου,
ε) περιγραφή των κατηγοριών επεξεργαζόμενων προσωπικών δεδομένων,
στ) περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα,
ζ) περιγραφή των κατηγοριών των αποδεκτών δεδομένων, στους οποίους έχουν διαβιβαστεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες,
η) περιγραφή της διασυνοριακής μεταφοράς δεδομένων,
θ) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατόν,
ι) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατόν,
(κ) τις λεπτομέρειες μεταφοράς δεδομένων εκτός της Ε.Ε.
Τα αρχεία δεδομένων ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές που περιέχουν ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, πρέπει να καταχωρούνται σε ξεχωριστούς φακέλους, να σημειώνονται αντίστοιχα και να υπόκεινται σε εκτίμηση αντικτύπου στα προσωπικά δεδομένα, όπως ορίζεται στην παράγραφο 2.3.1.8.
2.3.6 Κατάρτιση και ευαισθητοποίηση
Η Εταιρεία φροντίζει ώστε κάθε υπάλληλος και στέλεχός της να εκπαιδεύεται και να ενημερώνεται σε θέματα προστασίας και ασφάλειας δεδομένων προσωπικού χαρακτήρα σύμφωνα με το ισχύον νομοθετικό και κανονιστικό πλαίσιο καθώς και από τις πολιτικές και διαδικασίες που υιοθετεί. Μια πρώτη εκπαιδευτική συνεδρία θα ακολουθήσει κατά την έναρξη της απασχόλησης εντός της Εταιρείας και οι επακόλουθες εκπαιδεύσεις θα πραγματοποιούνται σε τακτά χρονικά διαστήματα.
2.4 Υποχρεώσεις για την ανάπτυξη συστημάτων και νέων επιχειρηματικών διαδικασιών
Η προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί αναπόσπαστο μέρος της τεχνολογικής ανάπτυξης και της οργανωτικής δομής της Εταιρείας. Κατά συνέπεια, όταν η Εταιρεία αξιολογεί τις τρέχουσες επιχειρηματικές διαδικασίες ή τα συστήματα επεξεργασίας δεδομένων ή όταν εισάγονται νέα, λαμβάνονται υπόψη οι ακόλουθες αρχές.
2.4.1 Εκτίμηση του αντικτύπου στα προσωπικά δεδομένα αναφορικά με νέες δραστηριότητες επεξεργασίας
Η εκτίμηση του αντικτύπου στα προσωπικάδεδομένα πρέπει να διεξάγεται κάθε φορά που εισάγονται νέες τεχνολογίες ή δραστηριότητες επεξεργασίας δεδομένων οι οποίες ενδέχεται να οδηγήσουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα υψηλού κινδύνου.
Οι λεπτομέρειες της εκτίμησης του αντικτύπου στα προσωπικάδεδομένα καθορίζονται στην παράγραφο 2.3.1.8 της παρούσας πολιτικής.
2.4.2 Αρχές προστασίας των δεδομένων από τον σχεδιασμό
Όταν εισάγονται νέα συστήματα επεξεργασίας δεδομένων, η Εταιρεία εξασφαλίζει υψηλό επίπεδο προστασίας δεδομένων. Ιδιαίτερα, κάθε νέο σύστημα και διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:
α) Πρέπει να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των προσωπικών δεδομένων από τη συλλογή έως την επεξεργασία έως τη διαγραφή.
β) Τα συστήματα επεξεργασίας δεδομένων πρέπει να αποσκοπούν στη συλλογή όσο το δυνατόν λιγότερων προσωπικών δεδομένων για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα.
γ) Όταν η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας δεδομένων, τα προσωπικά δεδομένα πρέπει να καταστούν ανώνυμα κατά τρόπο που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μη μπορεί πλέον να ταυτοποιείται.
δ) Εφόσον τα προσωπικά δεδομένα δεν μπορούν να είναι ανώνυμα, πρέπει να λαμβάνονται μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως η ψευδωνυμία, η κρυπτογράφηση ή ο περιορισμός πρόσβασης.
ε) Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα χορηγείται σύμφωνα με την αρχή «πρέπει-να-γνωρίζω», πράγμα που σημαίνει ότι τα προσωπικά δεδομένα καθίστανται προσβάσιμα μόνο σε εκείνα τα πρόσωπα που την απαιτούν για να εκτελούν καθορισμένους ρόλους και ευθύνες.
στ) Ο συστηματικός έλεγχος ποιότητας των προσωπικών δεδομένων πρέπει να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, πρέπει να δημιουργούνται διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.
ζ) Τα συστήματα επεξεργασίας δεδομένων πρέπει να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.
η) Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά τους δεδομένα.
2.4.3 Αρχές προστασίας δεδομένων εξ ορισμού
Η Εταιρεία εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
Εκτενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέξει ή συμφωνεί με ένα χαμηλότερο επίπεδο προστασίας, π.χ. με τη χειροκίνητη αλλαγή των ρυθμίσεων απορρήτου σε έναν ιστότοπο, ένα εργαλείο πληροφορικής ή σε κάτι παρόμοιο με μια λιγότερο περιοριστική επιλογή και συνεπώς δίνει τη ρητή συγκατάθεσή του στην εκτεταμένη επεξεργασία (“opt-in”).
2.5 Υπεύθυνος Επεξεργασίας Δεδομένων
Ο Υπεύθυνος Επεξεργασίας Δεδομένων, καθορίζει με διαφανή τρόπο τους σκοπούς και τα μέσα της επεξεργασίας. είναι υπεύθυνος για την ορθή επεξεργασία των προσωπικών δεδομένων και την τήρηση των απαιτήσεων προστασίας και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία.
2.6 Ο Εκτελών την Επεξεργασία
Ο Εκτελών την Επεξεργασία είναι υπεύθυνος για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων. Επιπλέον, ο εκτελών την επεξεργασία είναι υπεύθυνος να ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον υπεύθυνο επεξεργασίας δεδομένων σχετικά με την παραβίαση της προστασίας δεδομένων.
Ο εκτελών την επεξεργασία πρέπει να επιτρέπει συμβατικά σε οποιονδήποτε ενδεχόμενο υπεργολάβο, που λαμβάνει εντολή να εκτελέσει την επεξεργασία δεδομένων, να συμμορφώνεται με τις ίδιες οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων.
2.7 Υπεύθυνος Προστασίας Δεδομένων
Η Εταιρεία έχει ορίσει υπεύθυνο προστασίας δεδομένων, ο οποίος είναι υπεύθυνος για το συντονισμό της προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων:
α) παρακολουθεί τη συμμόρφωση της Εταιρείας με τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,
β) παρακολουθεί και να εφαρμόζει μελλοντικά επεξηγηματικά έγγραφα της Επιτροπής της Ευρωπαϊκής Ένωσης σχετικά με την εκτέλεση των διατάξεων του ΓΚΠΔ (GDPR),
γ) υποστηρίζει την εκτελεστική διοίκηση για τη διασφάλιση της συμμόρφωσης με το νόμο στο πλαίσιο της προστασίας δεδομένων,
δ) παρακολουθεί τακτικά την τήρηση της πολιτικής αυτής,
ε) διατηρεί τον κατάλογο βάσεων δεδομένων και τον κατάλογο των παραβιάσεων της προστασίας δεδομένων,
στ) παρακολουθεί και να βοηθά στην εκτίμηση του αντικτύπου στα προσωπικά δεδομένα,
ζ) είναι υπεύθυνος για την απάντηση στα αιτήματα πληροφόρησης του υποκειμένου των δεδομένων,
η) είναι υπεύθυνος για την διοργάνωση εκδηλώσεων κατάρτισης για την ευαισθητοποίηση αναφορικά με την προστασία των δεδομένων και την παροχή συμβουλών περί επεξεργασίας δεδομένων και υποχρεώσεων προσωπικού, ιδίως στους υπαλλήλους της Εταιρείας,
θ) ενεργεί ως πρόσωπο επικοινωνίας των εποπτικών αρχών σε θέματα που σχετίζονται με την επεξεργασία προσωπικών δεδομένων, καθώς και να συνεργάζεται με τις αρχές σε οποιοδήποτε άλλο θέμα.
2.8 Εκτελεστική Διοίκηση
Η Εκτελεστική Διοίκηση της Εταιρείας είναι υπεύθυνη για την εφαρμογή αυτής της πολιτικής και πρέπει να παρέχει το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Η Εκτελεστική Διοίκηση υποχρεούται να εφαρμόζει την πολιτική στον τομέα ευθύνης της και να διασφαλίζει ότι οι υπάλληλοι, τα στελέχη της και οι οντότητες για τις οποίες είναι υπεύθυνοι γνωρίζουν, κατανοούν και τηρούν τις απαιτήσεις αυτής της πολιτικής και είναι κατάλληλα εκπαιδευμένοι να εκπληρώσουν πλήρως αυτό το καθήκον τους.
2.9 Παραβίαση της πολιτικής προστασίας δεδομένων
Οι πιθανές κυρώσεις και ζημίες που απορρέουν από την παραβίαση προστασίας δεδομένων είναι σοβαρές τόσο για το πρόσωπο που διαπράττει την παραβίαση όσο και για την Εταιρεία. Κάθε παραβίαση αυτής της πολιτικής προστασίας δεδομένων μπορεί να οδηγήσει σε πειθαρχικές κυρώσεις έως και την απόλυση. Οι παραβιάσεις νομικών ή κανονιστικών υποχρεώσεων μπορούν να αναφέρονται σε εξωτερικές αρχές και μπορεί να έχουν ως αποτέλεσμα ποινικές, αστικές ή κανονιστικές κυρώσεις.