SK Group

ΤΗΛΕΦΩΝΗΣΤΕ ΤΩΡΑ: +30 2311 807 000

Πολιτική Προσωπικών Δεδομένων

Επιχείρηση Σ και Κ Εισαγωγική

 

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

 

Αριθμός πολιτικής: ΠΟΛ-1

Όνομα πολιτικής:ΠΟΛ-1-ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ημερομηνία της πολιτικής:10/10/2017

Έκδοση της πολιτικής: 2η έκδοση

Χρονική ισχύ της πολιτικής: μέχρι αναθεωρήσεως

Αποθήκευση/δημοσίευση της πολιτικής:10.10.2018

Κοινοποίηση της πολιτικής: η παρούσα πολιτική αναρτάται στο siteτης εταιρίας και ενημερώνονται όλοι οι υπάλληλοι σχετικά.

Αναθεώρηση πολιτικής: 1

Συντάκτης πολιτικής: Στέφανος Οικονόμου, δικηγόρος, πιστοποιημένος DPO

Έλεγχος Πολιτικής: Σωτήριος Παπαιωάννου

Έγκριση πολιτικής: Βαλασία Παπαιωάννου


 

ΠΕΡΙΕΧΟΜΕΝΑ

ΣΚΟΠΟΣ

ΕΥΡΟΣ

ΣΥΝΤΟΜΕΥΣΕΙΣ

ΟΡΙΣΜΟΙ

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΟΥ ΤΗΡΕΙ Η ΕΠΙΧΕΙΡΗΣΗ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΣΥΓΚΑΤΑΘΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ

ΕΥΑΙΣΘΗΤΑ ΔΕΔΟΜΕΝΑ

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ

ΛΗΨΗ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΤΕΧΝΙΚΩΝ ΜΕΤΡΩΝ

Συμβάσεις της επιχείρησης με τρίτους εκτελούντες επεξεργασία προσωπικών δεδομένων για λογαριασμό της.

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και στο υποκείμενο.

Αρμόδιος για θέματα προστασίας προσωπικών δεδομένων στην επιχείρηση

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΥΠΑΛΛΗΛΩΝ

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΜΗΘΕΥΤΩΝ – ΣΥΝΕΡΓΑΤΩΝ

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΠΕΛΑΤΩΝ

ΚΑΜΕΡΕΣ ΑΣΦΑΛΕΙΑΣ

ΕΚΠΑΙΔΕΥΣΕΙΣ

ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ

ΑΝΑΘΕΩΡΗΣΗ ΤΗΣ ΠΟΛΙΤΙΚΗΣ


 

 

ΣΚΟΠΟΣ

Σκοπός της παρούσας πολιτικής αποτελεί η θέσπιση κανόνων και διαδικασιών καθώς και η υιοθέτηση των απαραίτητων οργανωτικών και τεχνικών μέτρων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων που επεξεργάζεται η επιχείρηση σύμφωνα με τον Κανονισμό ΕΕ 2016/ 679.

ΕΥΡΟΣ

Η παρούσα πολιτική εφαρμόζεται σε όλους τους εργαζομένους της επιχείρησης και σε όλα τα προσωπικά δεδομένα που επεξεργάζεται η επιχείρηση ή τρίτοι εκτελούντες για αυτήν την επεξεργασία.

ΣΥΝΤΟΜΕΥΣΕΙΣ

Π.Δ.:Προσωπικά Δεδομένα ή Δεδομένα Προσωπικού Χαρακτήρα

ΓΚΠΔ: οΓενικόςΚανονισμός Προστασίας Δεδομένων προσωπικού Χαρακτήρα ΕΕ 2016/ 679.

GDPR:GeneralDataProtectionRegulation

AΠΠΔ: Αρχή Προστασίας Προσωπικών Δεδομένων

ΟΡΙΣΜΟΙ

Για την εφαρμογή της παρούσας πολιτικής από την επιχείρηση, οι κάτωθι έννοιες έχουν την ακόλουθη σημασία:

1)   «δεδομένα προσωπικού χαρακτήρα»: σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2)   «επεξεργασία»: σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

3)   «περιορισμός της επεξεργασίας»: είναι η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

4)   «σύστημα αρχειοθέτησης»: είναι κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

5)   «υπεύθυνος επεξεργασίας»: είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η επιχείρηση είναι για την παρούσα πολιτική ο υπεύθυνος επεξεργασίας,

6)   «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

7)   «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες,

8)   «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

9)   «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

10)   «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

11)   «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

12)   «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,

13)   «επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα, για την παρούσα πολιτική ως επιχείρηση νοείται η επιχείρηση της οποίας η επωνυμία αναφέρεται στην πρώτη σελίδα της παρούσας,

14)   «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,

15)   «δεσμευτικοί εταιρικοί κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,

16)   «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51 του ΓΚΠΔ και για την Ελλάδα είναι η Αρχή Προστασίας Προσωπικών Δεδομένων.


 

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΟΥ ΤΗΡΕΙ Η ΕΠΙΧΕΙΡΗΣΗ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1) Συμμόρφωση με τους νόμους:

Η επιχείρηση θα συμμορφώνεται με τον ΓΚΠΔ, το σχετικό νόμο που θα εκδώσει το ελληνικό κράτος καθώς και με τις τυχόν αποφάσεις και υποδείξεις της ΑΠΠΔ.

2) Σεβασμός των δικαιωμάτων των υποκειμένων :

Η επιχείρηση σέβεται τα δικαιώματα των υποκειμένων όπως αυτά αναλύονται παρακάτω και δεσμεύεται στην λήψη όλων των απαραίτητων οργανωτικών και τεχνικών μέτρων για την κατοχύρωση και διευκόλυνση της άσκησης αυτών των δικαιωμάτων.

3/ Νομιμότητα της επεξεργασίας – λογοδοσία:

Η επιχείρηση θα προβαίνει μόνο σε νόμιμη επεξεργασία δεδομένων. Τα προσωπικά δεδομένα που επεξεργάζεται η επιχείρηση ακολουθούν τις εξής αρχές:

α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· («περιορισμός της περιόδου αποθήκευσης»),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

3α/ Η επιχείρηση φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τα παραπάνω («λογοδοσία»). Για τον σκοπό αυτό υιοθέτησε την παρούσα πολιτική και λαμβάνει όλα τα αναγκαία μέτρα τεκμηρίωσης της νόμιμης επεξεργασίας των προσωπικών δεδομένων.

3β.Η επιχείρησηπροβαίνει σε επεξεργασία μόνον εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

 


 

ΣΥΓΚΑΤΑΘΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ

Προϋποθέσεις και διαδικασία για την λήψη συγκατάθεσης του υποκειμένου:

  1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, η επιχείρηση πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα. Για αυτόν τον λόγο η επιχείρηση θα κρατάει αρχείο σε ηλεκτρονική ή έγγραφη μορφή όλων των συγκαταθέσεων που λαμβάνει.
  2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται από την επιχείρηση κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
  3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.
  4. Η επιχείρηση έχει προσαρμόσει σχετικά την πολιτική cookiesγια την πρόσβαση στον ιστότοπό της.
  5. η επιχείρηση έχει προσαρμόσει σχετικά την τηλεφωνική επικοινωνία με πελάτες των οποίων επεξεργάζεται προσωπικά δεδομένα.

 

ΕΥΑΙΣΘΗΤΑ ΔΕΔΟΜΕΝΑ

Η επιχείρηση δεν προβαίνει στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

Κατ’ εξαίρεση η εταιρία προβαίνει στην τήρηση δεδομένων υγείας του προσωπικού της εταιρίας ή ανηλίκων τέκνων το προσωπικού ( πιστοποιητικά ασθένειας για δικαιολόγηση απουσιών ή για άλλες εργασιακές ανάγκες όπως εκτίμηση της ικανότητας προς εργασία, ονόματα και ηλικία ανήλικων τέκνων προσωπικού για το υπολογισμό επιδομάτων κλπ ) που της παρέχουν οι ίδιοι για την ορθή εκτέλεση της σύμβασης εργασίας και η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας σύμφωνα με το άρθρο 9 παρ. 2 εδ. β και η του ΓΚΠΔ.

 

  1. Αν παρόλα αυτά παραστεί ανάγκη να προβεί η επιχείρηση σε επεξεργασία ευαίσθητων προσωπικών δεδομένων τότε αυτό θα λάβει χώρα μόνον εφόσον τηρούνται οι προυποθέσεις του ΓΚΠΔ.

 

ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ

 

ΑΙΤΗΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Η επιχείρηση παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την επεξεργασία που πραγματοποιείται και ικανοποιεί τα αιτήματά του που βασίζονται στα δικαιώματα του υποκειμένου κατόπιν αιτήματος χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Σχετικά αιτήματα μπορούν να υποβάλλονται με ηλεκτρονικό μήνυμα στο εξής μέιλ: info@sk-group.grτης εταιρίας ή/και info@elo.grτου ΥΠΔ της εταιρίας.

Η παραπάνω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.

Η επιχείρηση ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.

Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 του ΓΚΠΔ και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 του ΓΚΠΔ παρέχονται δωρεάν στο υποκείμενο. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η επιχείρηση είτε:

α) θα επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή
β) Θα αρνηθεί να δώσει συνέχεια στο αίτημα.

 

Πληροφορίες που παρέχει η επιχείρηση όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

  1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, η επιχείρηση κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:
α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,
β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση,
γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
δ) εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), του ΓΚΠΔ τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο,
ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,
στ) κατά περίπτωση, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, του ΓΚΠΔ αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν.
  1. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:
α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
β) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
γ) όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
δ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
ε) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,
στ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
  1. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.
  2. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες,

 

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

  1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
α) τους σκοπούς της επεξεργασίας,
β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,
γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
δ) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,
στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
  1. Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση. Η επιχείρηση δεν προβαίνει σε διαβιβάσεις δεδομένων σε τρίτες χώρες.
  2. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.
  3. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

 

Δικαίωμα διόρθωσης

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

 

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

  1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.
  1. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.
  2. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:
α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,
β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,
γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 9 παράγραφος 3 του ΓΚΠΔ,
δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή
ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

 

Δικαίωμα περιορισμού της επεξεργασίας

  1. Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,
γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
  1. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
  2. Το υποκείμενο των δεδομένων το οποίο έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

 

Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

 

Δικαίωμα στη φορητότητα των δεδομένων

  1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει στην επιχείρηση, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:
α) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) του ΓΚΠΔ και
β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.
  1. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
  2. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17 του ΓΚΠΔ. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
  3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

 

Δικαίωμα εναντίωσης

  1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
  2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.
  3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.
  4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
  5. Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.
  6. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1 του ΓΚΠΔ, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.

 

Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

Η εταιρία δεν προβαίνει σε αυτοματοποιημένη ατομική λήψη αποφάσεων, ή/και στην κατάρτιση προφίλ. Σε περίπτωση που στο μέλλον προβεί θα τηρηθούν οι προυποθέσεις του ΓΚΠΔ



ΛΗΨΗ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΤΕΧΝΙΚΩΝ ΜΕΤΡΩΝ

 

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

  1. Η επιχείρηση λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία,εφαρμόζει και θα εφαρμόσει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ελαχιστοποίηση των δεδομένων, η τήρηση τους σε ειδικά κλειδωμένους χώρους, η πρόσβαση σε Η/Υ μόνο με κωδικούς, η υποχρεωτική τήρηση εχεμύθειας από τους υπαλλήλους της και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
  2. Η επιχείρηση λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

 

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΗΝ ΕΠΙΧΕΙΡΗΣΗ ΩΣ <<ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ>> ΓΙΑ ΛΟΓΑΡΙΑΣΜΟ ΑΛΛΩΝ ΕΤΑΙΡΙΩΝ.

 

Η επιχείρηση προβαίνει στην επεξεργασία προσωπικών δεδομένων για λογαριασμό άλλων επιχειρήσεων (π.χ. εταιρίες κινητής τηλεφωνίας, Φυσικό Αέριο) στα πλαίσια μεταξύ τους συμβάσεων για την προώθηση των υπηρεσιών αυτών των εταιριών με τηλεφωνικές κλήσεις ή για την παροχή υπηρεσιών στους πελάτες τους.

Για τον σκοπό αυτό η εταιρία υπογράφει συμβάσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων αυτών των επιχειρήσεων σύμφωνα με τον ΓΚΠΔ.

Η Επιχείρηση δεσμεύεται ότι θα επεξεργάζεται αυτά τα δεδομένα πάντοτε σύμφωνα με τις οδηγίες του Υπεύθυνου επεξεργασίας αλλά δεν θα υπακούσει σε οδηγίες και εντολές που δεν είναι νόμιμες.

Η Επιχείρηση δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια της εταιρίας για λογαριασμό της οποίας προβαίνει σε επεξεργασία δεδομένων της.

Η Επιχείρηση δεσμεύεται ότι ως εκτελών την επεξεργασία θα προβαίνει στην επεξεργασία προσωπικών δεδομένων σύμφωνα με τις σχετικές συμβάσεις που θα υπογράφει με τους Υπεύθυνους Επεξεργασίας που θα καθορίζουν το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας και θα προβλέπουν ειδικότερα ότι ο εκτελών την επεξεργασία:

α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ,
δ) τηρεί τους όρους που αναφέρονται παραπάνω για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,
στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,
ζ) κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο α), η επιχείρηση θα ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

θ)  Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα παραπάνω, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.


 

ΤΗΛΕΦΩΝΙΚΕΣ ΚΛΗΣΕΙΣ ΓΙΑ ΤΗΝ ΠΡΟΩΘΗΣΗ ΠΡΟΙΟΝΤΩΝ ΚΑΙ ΥΠΗΡΕΣΙΩΝ.

 

Η Επιχείρηση προβαίνει σε τηλεφωνικές κλήσεις με μη αυτοματοποιημένο τρόπο σε πελάτες εταιριών που της αναθέτουν την προώθηση των προϊόντων και υπηρεσιών τους.

Η Επιχείρηση θα προβαίνει στα παραπάνω σύμφωνα με τις υπάρχουσες οδηγίες της Αρχής Προστασίας Προσωπικών Δεδομένων και τον Γενικό Κανονισμό Προσωπικών Δεδομένων.

Η Επιχείρηση λαμβάνει φροντίδα ώστε να μην καλεί υποκείμενα που έχουν δηλώσει σύμφωνα με το άρθρο 11 παρ. 2 του ν. 3471/2006 προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται προωθητικές κλήσεις.

Επίσης λαμβάνει φροντίδα ώστε να δημιουργεί αρχείο πελατών με τους οποίους επικοινώνησε και αυτοί δήλωσαν ότι δεν επιθυμούν να τους ξανακαλέσουν ώστε να μην τους καλεί.

Συμβάσεις της επιχείρησης με τρίτους εκτελούντες επεξεργασία προσωπικών δεδομένων για λογαριασμό της ΥΠΟ ΤΗΝ ΕΠΟΠΤΕΙΑ ΤΗΣ.

 

1/ Η επιχείρηση έχει αναθέσει ορισμένες εργασίες – αρμοδιότητες σε τρίτα πρόσωπα που δεν είναι υπάλληλοί της με την μορφή εξωτερικής συνεργασίας. Στα πλαίσια της εκτέλεσης αυτών των εργασιών – αρμοδιοτήτων ο συνεργάτης εκτελεί επεξεργασία προσωπικών δεδομένων της επιχείρησης ή άλλου Υπευθύνου Επεξεργασίας που η Επιχείρηση έχει αναλάβει την εκτέλεση της επεξεργασίας για λογαριασμό της.

2/ Η εταιρία έχει επιλέξει και στο μέλλον θα επιλέγει τις ως άνω επιχειρήσεις αφού έχει λάβει επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων, υπογράφοντας σχετικούς διασφαλιστικούς συμβατικούς όρους.

3/ Σύμφωνα με αυτούς τους σχετικούς διασφαλιστικούς συμβατικούς όρους που η επιχείρηση έχει υπογράψει και θα υπογράφει με όλους τους εκτελούντες επεξεργασία προσωπικών δεδομένων για λογαριασμό της, ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια της επιχείρησης. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στην επιχείρηση να αντιταχθεί σε αυτές τις αλλαγές.

4/ Η επιχείρηση δεσμεύεται ότι οι σχετικοί συμβατικοί όροι που θα υποχρεώνει τους εκτελούντες την επεξεργασία να αποδέχονται θα καθορίζουν το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας και θα προβλέπουν ειδικότερα ότι ο εκτελών την επεξεργασία:

α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ,
δ) τηρεί τους όρους που αναφέρονται παραπάνω για την πρόσληψη άλλου εκτελούντος την επεξεργασία,
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,
στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,
ζ) κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο α), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

θ)  Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα παραπάνω, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.


Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα

 

Γνωστοποίηση παραβίασης δεδομένων Προσωπικού χαρακτήρα στην εποπτική αρχή.

  1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο Αρμόδιος Προστασίας Δεδομένων και ο διορισμένος DPOτης επιχείρησης σύμφωνα με τα παρακάτω, γνωστοποιούν αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
  2. Όταν η επιχείρηση ενεργεί ως εκτελών την επεξεργασία για λογαριασμό άλλης επιχείρησης θα ενημερώνει και τον Αρμόδιο Προστασίας Δεδομένων της άλλης επιχείρησης αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
  3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο:
α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,
β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,
γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
  1. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
  2. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα ώστε η εν λόγω τεκμηρίωση να επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο. Για τον σκοπό αυτό η Επιχείρηση θα τηρεί μητρώο παραβιάσεων με όλα τα παραπάνω απαιτούμενα στοιχεία.

 

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

  1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η επιχείρηση θα ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
  2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ) του ΓΚΠΔ.
  3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,
β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
γ) προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.
  1. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

 

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

 

Η επιχείρηση δεν έχει υποχρέωση εκ του νόμου να ορίσει Υπεύθυνο Προστασίας Δεδομένων επειδή δεν εντάσσεται στις περιπτώσεις που ορίζει ο νόμος.

Παρόλα αυτά η επιχείρηση οικειοθελώς ορίζει τον Στεφανογιάννη Οικονόμου, Δικηγόρο κάτοικο Γλυφάδας, οδός Πανδώρας αρ. 16 ως Υπεύθυνο Προστασίας Προσωπικών Δεδομένων σύμφωνα με τα οριζόμενα στον ΓΚΠΔ.

Τα στοιχεία επικοινωνίας του παραπάνω υπευθύνου προστασίας δεδομένων είναι τα εξής : τηλ. 2107231630 mail info@elo.gr και θα υπάρχουν σε όλες τις ανακοινώσεις της επιχείρησης προς τρίτους προκειμένου να γνωρίζουν που να απευθύνονται για θέματα προστασίας προσωπικών δεδομένων.

H Επιχείρηση έχει προβεί στην γνωστοποίηση του παραπάνω διορισμού στην Αρχή Προστασίας Προσωπικών Δεδομένων.

 

Θέση του υπευθύνου προστασίας δεδομένων

Σύμφωνα με τον ΓΚΠΔ:

  1. Ο Υπεύθυνος Προστασίας Δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
  2. Η επιχείρηση στηρίζει τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 του ΓΚΠΔ και παρακάτω στην παρούσα πολιτική παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
  3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
  4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.
  5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.
  6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

Καθήκοντα του υπευθύνου προστασίας δεδομένων

  1. Ο υπεύθυνος προστασίας δεδομένων έχει τα ακόλουθα καθήκοντα:
α) ενημερώνει και συμβουλεύει την επιχείρηση ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον ΓΚΠΔ και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 του ΓΚΠΔ,
δ) συνεργάζεται με την εποπτική αρχή,
ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του ΓΚΠΔ, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
  1. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

 

ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΥΠΑΛΛΗΛΩΝ

 

Η επιχείρηση προβαίνει στην επεξεργασία των δεδομένων των υπαλλήλων στο βαθμό που αυτό είναι αναγκαίο και απαιτείται για την εκτέλεση της σύμβασης εργασίας.

Η Επιχείρηση έχει ενημερώσει για την εν λόγω επεξεργασία τους υπαλλήλους της.

 

Χρήση τηλεφώνων της εταιρίας.

Η επιχείρηση παρέχει στους υπαλλήλους της την ατομική χρήση σταθερού ή κινητού τηλεφώνου. Η επιχείρηση έχει λάβει τα κατάλληλα μέτρα και έχει δώσει τις κατάλληλες εντολές στην εταιρία τηλεφωνίας με την οποία συνεργάζεται όπως τα τελευταία τρία (3) ψηφία των κλήσεων των υπαλλήλων να μην καταγράφονται για λόγους προστασίας προσωπικών δεδομένων.

Εννοείται ότι ο κανόνας αυτός δεν ισχύει στην περίπτωση που οι υπάλληλοι προβαίνουν σε κλήσεις πελατών για τις ανάγκες της εταιρίας από τα εταιρικά τηλέφωνα που είναι αφιερωμένα για αυτόν τον σκοπό.

 

email

Η χρήση των ηλεκτρονικών μηνυμάτων από εταιρικούς λογαριασμούς επιτρέπεται μόνο για εργασιακούς σκοπούς. Η επιχείρηση δεν ελέγχει το περιεχόμενο των μηνυμάτων που έχουν συγκεκριμένο παραλήπτη και λαμβάνονται στον ατομικό λογαριασμό που έχει παραχωρήσει στον υπάλληλο, χωρίς την πρότερη έγγραφη συγκατάθεσή του.

Απαγορεύεται η χρήση προσωπικών e-mailγια εταιρικούς σκοπούς.

 

Internet

Η επιχείρηση δεν προβαίνει στην προληπτική και γενική συλλογή των δεδομένων χρήσης διαδικτύου των υπαλλήλων. Εξαιρετικά επιτρέπεται η περιορισμένη συλλογή σχετικά με επισκέψεις στο διαδίκτυο για την αποφυγή επισκέψεων σε συγκεκριμένες ιστοσελίδες π.χ. πορνογραφικού περιεχομένου. Αν η επιχείρηση προβαίνει σε τέτοια συλλογή οφείλει να ενημερώσει προγενέστερα τους υπαλλήλους.

 

ΚΑΜΕΡΕΣ ΑΣΦΑΛΕΙΑΣ

Η επιχείρηση έχει εγκαταστήσει κάμερες ασφαλείας για την προστασία των χώρων και της ασφάλεια χώρων και ανθρώπων της επιχείρησης. Οι κάμερες αυτές δεν χρησιμοποιούνται για τη επιτήρηση των εργαζομένων εντός των χώρων αυτών, και  τα δεδομένα που τυχόν συλλέγονται μέσω συστήματος βιντεοεπιτήρησης δεν θα χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.

Οι κάμερες επιτηρούν συγκεκριμένους χώρους της επιχείρησης, όπως την είσοδο αυτής, χώρους φύλαξης χρημάτων, αποθήκες εμπορευμάτων, χώρους των ηλεκτρομηχανολογικών εγκαταστάσεων καιεστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζομένων.

Η γωνία λήψης των καμερών είναι τέτοια ώστε να εστιάζει όσο το δυνατόν λιγότερο στα πρόσωπα των πελατών και των υπαλλήλων και προτιμώνται λήψεις όσο το δυνατόν ευρύτερης οπτικής γωνίας.  Σε κάθε περίπτωση δεν υφίσταται και απαγορεύεται η λειτουργία καμερών στις τουαλέτες και στους χώρους όπου εργάζονται υπάλληλοι του καταστήματος και δεν είναι προσιτοί στο κοινό.

Τα δεδομένα καταγραφής από τις κάμερες διαγράφονται αυτόματα μετά από 15 ημέρες.

 

ΕΚΠΑΙΔΕΥΣΕΙΣ

Η επιχείρηση λαμβάνει μνεία για να ενημερώνει τους υπαλλήλους της για θέματα προστασίας προσωπικών δεδομένων και να εκπαιδεύει τους υπαλλήλους της που ασχολούνται με επεξεργασία προσωπικών δεδομένων στην σύννομη επεξεργασία και τις απαιτήσεις του ΓΚΠΔ.

Η εκπαίδευση θα λαμβάνει χώρα μία φορά κάθε έτος για τους υπαλλήλους που ασχολούνται με την επεξεργασία και μία φορά κάθε δύο έτη για τους υπολοίπους.

Η εκπαίδευση μπορεί να γίνεται με χρήση έντυπου ή οπτικοακουστικού υλικού.

 

ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ – RETENTION PLAN

Η επιχείρηση διατηρεί τα δεδομένα για όσο χρόνο αυτό είναι απαραίτητο για την πραγματοποίηση του σκοπού της επεξεργασίας ή για όσο σκοπό είναι απαραίτητο για την εκτέλεση των νομικών της υποχρεώσεων.

Συγκεκριμένα:

Τα δεδομένα των υπαλλήλων τηρούνται για 20 χρόνια από την αποχώρηση τους από την επιχείρηση εφόσον το ΙΚΑ και άλλες αρμόδιες αρχές έχουν δικαίωμα να προβούν σε ελέγχους για αυτό το χρονικό διάστημα και επειδή οι απαιτήσεις των υπαλλήλων κατά της επιχείρησης από αδικαιολόγητο πλουτισμό παραγράφονται στα 20 χρόνια.

Μετά την λήξη της σύμβαση εργασίας τα δεδομένα φυλάσσονται σε χώρο που δεν είναι προσβάσιμο από κανέναν υπάλληλος της επιχείρησης χωρίς ειδική εξουσιοδότηση.

Τα δεδομένα των υποψήφιων υπαλλήλων τηρούνται για ένα (1) χρόνο από την ημερομηνία που τα υπέβαλλαν εκτός αν προσληφθούν ή δεν υπάρχει ενδιαφέρον για πρόσληψη. Για την τήρηση των δεδομένων τους για παραπάνω χρόνο, η επιχείρηση θα λαμβάνει την σύμφωνη έγγραφη γνώμη τους.

Τα δεδομένα των προμηθευτών/συνεργατών/πελατών τηρούνται για όσο χρόνο είναι απολύτως απαραίτητο για την εκτέλεση των μεταξύ τους συμβάσεων και την απόδειξη των εκατέρωθεν δικαιωμάτων και υποχρεώσεων μέχρι την σχετική παραγραφή τους.

Τα δεδομένα που η επιχείρηση λαμβάνει ως εκτελών την επεξεργασία από τον Υπεύθυνο επεξεργασίας τηρούνται για όσο χρόνο είναι απολύτως απαραίτητο για την εκτέλεση των τυχόν μεταξύ τους συμβάσεων και την απόδειξη των εκατέρωθεν δικαιωμάτων και υποχρεώσεων μέχρι την σχετική παραγραφή τους. Σε κάθε περίπτωση η επιχείρηση διαγράφει ή επιστρέφει τα δεδομένα αυτά σύμφωνα με τις εντολές του Υπεύθυνου Επεργασίας και σύμφωνα με την σχετική σύμβαση για την επεξεργασία αυτών των δεδομένων που έχει υπογραφεί μεταξύ της επιχείρησης ως εκτελούντος την επεξεργασία και του Υπεύθυνου Επεξεργασίας.

 

ΑΝΑΘΕΩΡΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ

Η παρούσα πολιτική θα ελέγχεται τουλάχιστον μία φορά ανά έτος και θα αναθεωρείται αν απαιτείται, ώστε να ανταποκρίνεται στις νομικές επιταγές, στις αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων, στις εξελίξεις στον τομέα των προσωπικών δεδομένων και στις εξελίξεις και δραστηριότητες της επιχείρησης.