Προστασία Προσωπικών Δεδομένων

Ακολούθως παρουσιάζονται οι βασικές αρχές του Γενικού κανονισμού για τα Προσωπικά Δεδομένα (ΓΚΠΔ - GDPR), όπως αυτός εφαρμόζεται από τη think.gr AE

Εισαγωγή

1.1 Ιστορική διαδρομή του γενικού κανονισμού για την προστασία των δεδομένων («GDPR»)

Ο γενικός κανονισμός για την προστασία των δεδομένων του 2016 αντικαθιστά την οδηγία της ΕΕ για την προστασία των δεδομένων του 1995 και αντικαθιστά τις νομοθεσίες των επιμέρους κρατών μελών που αναπτύχθηκαν σύμφωνα με την οδηγία 95/46 / ΕΚ για την προστασία των δεδομένων. Σκοπός του είναι να προστατεύσει τα "δικαιώματα και τις ελευθερίες" των φυσικών προσώπων (δηλαδή τα εν ζωή άτομα) και να διασφαλίσει ότι τα προσωπικά δεδομένα τους δεν θα υποστούν επεξεργασία χωρίς να το γνωρίζουν και, όπου είναι δυνατόν, ότι αυτά θα επεξεργάζονται με τη συγκατάθεσή τους.

 

1.2 Ορισμοί που χρησιμοποιούνται από τον οργανισμό (σύμφωνα με τον κανονισμό GDPR)

Ουσιαστικό πεδίο εφαρμογής (άρθρο 2): ο GDPR εφαρμόζεται στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 

Εδαφικό πεδίο εφαρμογής (άρθρο 3) : ο GDPR θα εφαρμόζεται σε όλους τους υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ (Ευρωπαϊκή Ένωση) και επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων στο πλαίσιο της ίδιας εγκατάστασης. Θα ισχύει επίσης για τους υπεύθυνους επεξεργασίας εκτός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα προκειμένου να προσφέρουν αγαθά και υπηρεσίες ή να παρακολουθούν τη συμπεριφορά των υποκειμένων των δεδομένων που διαμένουν στην ΕΕ.

 

1.3 Ορισμοί του άρθρου 4

Εγκατάσταση: η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην ΕΕ  είναι ο τόπος στον οποίο ο υπεύθυνος της επεξεργασίας λαμβάνει τις βασικές αποφάσεις ως προς τον σκοπό και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων. Η κύρια εγκατάσταση ενός μεταποιητή στην ΕΕ είναι το διοικητικό του κέντρο. Εάν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός της ΕΕ, θα πρέπει να διορίσει έναν εκπρόσωπο με δικαιοδοσία να ενεργεί για λογαριασμό του εκτελούντος την επεξεργασία και να τον αντιπροσωπεύει στις εποπτικές αρχές. 

Προσωπικά δεδομένα: οποιαδήποτε πληροφορία σχετικά με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένα»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο, του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. 

Ειδικές κατηγορίες προσωπικών δεδομένων: προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε  συνδικαλιστικές οργανώσεις και επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα για τον μοναδικό εντοπισμό φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό ενός φυσικού προσώπου.

Υπεύθυνος επεξεργασίας:  το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο οργανισμός ή άλλος φορέας ο οποίος, από μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών.

Υποκείμενο των δεδομένων: κάθε εν ζωή άτομο που αποτελεί το αντικείμενο προσωπικών δεδομένων που κατέχει ο οργανισμός.

Επεξεργασία: κάθε εργασία ή σύνολο εργασιών που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με τη χρήση αυτοματοποιημένων μέσων είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, διαμόρφωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, κοινολόγηση με διαβίβαση, διάδοσης ή άλλης διάθεσης, ευθυγράμμισης ή συνδυασμού, περιορισμού, διαγραφής ή καταστροφής.

Κατάρτιση προφίλ: είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών στοιχείων που σχετίζονται με ένα φυσικό πρόσωπο ή στην ανάλυση ή την πρόβλεψη της απόδοσης του ατόμου στην εργασία, την οικονομική του κατάσταση, την τοποθεσία του, την υγεία του, τις προσωπικές του προτιμήσεις, την αξιοπιστία ή τη συμπεριφορά του. Ο ορισμός αυτός συνδέεται με το δικαίωμα του υποκειμένου των δεδομένων να αντιτίθεται στη διαμόρφωση προφίλ και το δικαίωμα ενημέρωσης σχετικά με την ύπαρξη χαρακτηριστικών στοιχείων ή  μέτρων που βασίζονται στον προσδιορισμό του προφίλ και των προβλεπόμενων επιπτώσεων της ανάλυσης του στο άτομο.

Παραβίαση προσωπικών δεδομένων: παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή τυγχάνουν άλλης επεξεργασίας. Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει τις παραβιάσεις προσωπικών δεδομένων στην εποπτική αρχή όταν η παραβίαση ενδέχεται να επηρεάσει αρνητικά τα προσωπικά δεδομένα ή το απόρρητο του υποκειμένου των δεδομένων.

Συγκατάθεση του υποκειμένου των δεδομένων: σημαίνει κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής ένδειξη των επιθυμιών του υποκειμένου των δεδομένων με την οποία αυτός, με δήλωση ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Παιδί : ο GDPR ορίζει ένα παιδί ως άτομο κάτω από την ηλικία των 16 ετών, αν και αυτό μπορεί να μειωθεί σε 13 από το δίκαιο των κρατών μελών. Στην Ελλάδα, ανήλικα θεωρούνται τα παιδιά κάτω των 15 ετών. Η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνο αν έχει ληφθεί συναίνεση των γονέων ή των ασκούντων την γονική μέριμνα. Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι ο κάτοχος γονικής μέριμνας σχετικά με το παιδί παρέχει ή επιτρέπει τη συγκατάθεσή του.

Τρίτος: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή φορέας εκτός από το υποκείμενο των δεδομένων τον υπεύθυνο επεξεργασίας, τον εκτελών την επεξεργασία και πρόσωπα τα οποία υπό την άμεση εξουσία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία έχουν εξουσιοδοτηθεί να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. 

Σύστημα αρχειοθέτησης:  κάθε δομημένο σύνολο προσωπικών δεδομένων, τα οποία είναι προσβάσιμα σύμφωνα με συγκεκριμένα κριτήρια, κεντρικά, αποκεντρωμένα ή διασκορπισμένα σε λειτουργική ή γεωγραφική βάση. 

2. Δήλωση πολιτικής

2.1.Η διοίκηση της Εταιρίας, που βρίσκεται στην οδό Αργοναυτών, αριθμό 15 στο Βόλο, δεσμεύονται να συμμορφώνονται με όλους τους σχετικούς νόμους της ΕΕ και των κρατών μελών όσον αφορά τα προσωπικά δεδομένα και την προστασία των "δικαιωμάτων και ελευθεριών" και όλες οι διεργασίες της εταιρίας να συμμορφώνονται με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).

2.2 Η συμμόρφωση με το GDPR περιγράφεται στην παρούσα πολιτική και σε άλλες σχετικές πολιτικές όπως στην Πολιτική Ασφάλειας Πληροφοριών  μαζί με τις σχετικές τους διαδικασίες.

2.3 Τα όσα προβλέπει ο GDPR και η παρούσα πολιτική ισχύουν για όλες τις λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα της Εταιρίας, συμπεριλαμβανομένων εκείνων που εκτελούνται σε προσωπικά δεδομένα εργαζομένων, προμηθευτών, υπεργολάβων και συνεργατών και οποιωνδήποτε άλλων προσωπικών δεδομένων που επεξεργάζεται ο οργανισμός από οποιαδήποτε πηγή.

2.4 Η Εταιρία έχει καθορίσει στόχους για την προστασία των δεδομένων προσωπικού χαρακτήρα και την εξασφάλιση της ιδιωτικότητας οι οποίοι περιλαμβάνονται στην αντίστοιχη διαδικασία.

2.5 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για την επανεξέταση του αρχείου επεξεργασίας ετησίως υπό το πρίσμα οποιωνδήποτε αλλαγών στις δραστηριότητες (της Εταιρίας και σε οποιεσδήποτε πρόσθετες απαιτήσεις προσδιορίζονται μέσω της αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα. Το αρχείο αυτό είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.

2.6 Η πολιτική αυτή ισχύει για όλους τους εργαζομένους καθώς και όλα τα υπόλοιπα ενδιαφερόμενα μέρη της  Εταιρίας, όπως τους πελάτες, τους προμηθευτές, τους συνεργάτες και τους υπεργολάβους. Οποιαδήποτε παραβίαση του GDPR θα αντιμετωπιστεί σύμφωνα με την πειθαρχική πολιτική της Εταιρίας και μπορεί επίσης να αποτελεί ποινικό αδίκημα, οπότε το θέμα θα αναφερθεί το συντομότερο δυνατόν στις αρμόδιες αρχές.

2.7 Οι Συνεργάτες και τυχόν τρίτα μέρη που συνεργάζονται με την Εταιρία και που έχουν ή ενδέχεται να έχουν πρόσβαση σε προσωπικά δεδομένα, αναμένεται να έχουν διαβάσει, κατανοήσει και συμμορφωθεί με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που κατέχονται από την Εταιρία, χωρίς να έχει αρχικά συνάψει συμφωνία εμπιστευτικότητας δεδομένων. Η Εταιρία έχει δικαίωμα να ελέγχει τη συμμόρφωση με τη συμφωνία.

 Δήλωση ΠολιτικήςΓια να υποστηρίξει τη συμμόρφωση με τον GDPR, η Διοίκηση ενέκρινε και υποστήριξε την ανάπτυξη, υλοποίηση, συντήρηση και συνεχή βελτίωση ενός τεκμηριωμένου συστήματος διαχείρισης προσωπικών πληροφοριών (ΣΔΠΠ) για την Εταιρία.Όλοι οι εργαζόμενοι της Εταιρίας καθώς και οι εξωτερικοί συνεργάτες που έχουν πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται από την Εταιρία αναμένεται να συμμορφωθούν με αυτήν την πολιτική και με το ΣΔΠΠ που εφαρμόζει αυτήν την πολιτική. Όλοι οι εργαζόμενοι της Εταιρίας θα λάβουν την κατάλληλη εκπαίδευση. Οι συνέπειες της παραβίασης αυτής της πολιτικής ορίζονται στην Πειθαρχική Πολιτική της Εταιρίας και σε συμβάσεις και συμφωνίες με τρίτους.Κατά τον προσδιορισμό του πεδίου εφαρμογής της για τη συμμόρφωση με το τον GDPR, η Εταιρία λαμβάνει υπόψη:Ø  οποιαδήποτε εξωτερικά και εσωτερικά ζητήματα που σχετίζονται με τον σκοπό της Εταιρίας και επηρεάζουν την ικανότητά της να επιτύχει τα επιδιωκόμενα αποτελέσματα του ΣΔΠΠ της.Ø  Ειδικές ανάγκες και προσδοκίες των ενδιαφερομένων μερών που σχετίζονται με την εφαρμογή του ΣΔΠΠ.Ø  Οργανωτικούς στόχους και υποχρεώσεις.Ø  Τα αποδεκτά επίπεδα κινδύνου της Εταιρίας καιØ  Τις τυχόν ισχύουσες κανονιστικές  ή/και συμβατικές υποχρεώσεις.Οι στόχοι της Εταιρίας ως προς τη συμμόρφωση με τον GDPR είναι οι εξής:1.    Να είναι συνεπείς με αυτήν την πολιτική2.    Να  είναι μετρήσιμοι3.    Να λαμβάνουν υπόψη τις απαιτήσεις του GDPR  και τα αποτελέσματα από την αξιολόγηση και αντιμετώπιση των κινδύνων4.    Να παρακολουθούνται5.    Να ενημερώνονται κατά περίπτωση6.    Να κοινοποιούνταιΠροκειμένου να επιτευχθούν αυτοί οι στόχοι, η Εταιρία έχει καθορίσει:·         τι θα γίνει·         ποιοι πόροι θα απαιτηθούν·         ποιος θα είναι υπεύθυνος υλοποίησης·         πότε θα ολοκληρωθεί η υλοποίηση·         πώς θα αξιολογηθούν τα αποτελέσματα  

 3. Ευθύνες και ρόλοι στο πλαίσιο του κανονισμού για την προστασία των δεδομένων

3.1 Η Εταιρία αποτελεί εκτελών την επεξεργασία δεδομένων στο πλαίσιο του GDPR κατά κύριο λόγο, εκτός από την σπάνια περίπτωση συνεργασίας με ιδιώτες κατά την οποία αποτελεί υπεύθυνο επεξεργασίας στο πλαίσιο του GDPR.

3.2 Η ανώτατη διοίκηση και όλοι όσοι διαδραματίζουν διευθυντικό ή εποπτικό ρόλο στο σύνολο των διεργασιών της εταιρίας  είναι υπεύθυνοι για την ανάπτυξη και την ενθάρρυνση πρακτικών ορθής διαχείρισης πληροφοριών σε αυτήν. Οι ευθύνες καθορίζονται στις ατομικές περιγραφές θέσεων εργασίας.

3.3 Ο Υπεύθυνος Προστασίας Δεδομένων αναλαμβάνει τη διαχείριση των προσωπικών δεδομένων στην Εταιρία και διασφαλίζει ότι μπορεί να αποδειχθεί η συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων και τις ορθές πρακτικές. Αυτή η λογοδοσία περιλαμβάνει:

3.3.1 Ανάπτυξη και εφαρμογή του GDPR όπως απαιτείται από αυτήν την πολιτική  και

3.3.2 Διαχείριση της ασφάλειας και της επικινδυνότητας σε σχέση με τη συμμόρφωση με την πολιτική.

3.4 Ο Υπεύθυνος Διαχείρισης Δεδομένων, ο οποίος έχει επιλεχθεί από το Διοικητικό Συμβούλιο ως κατάλληλα ειδικευμένος και έμπειρος, έχει οριστεί να αναλαμβάνει καθημερινά την ευθύνη για την συμμόρφωση της Εταιρίας  με την πολιτική αυτή και, ειδικότερα, έχει την  άμεση ευθύνη να διασφαλίζει ότι η Εταιρία συμμορφώνεται με τον GDPR, στο σύνολο των διεργασιών της.

3.5 Ο Υπεύθυνος Διαχείρισης Δεδομένων αποτελεί το πρόσωπο στο οποίο πρέπει να απευθύνονται τόσο οι εργαζόμενοι όσο και τα τρίτα μέρη που ζητούν διευκρινίσεις σχετικά με οποιαδήποτε πτυχή της συμμόρφωσης με την προστασία δεδομένων προσωπικού χαρακτήρα.

3.6 Η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων είναι ευθύνη όλων των εργαζομένων της εταιρίας που επεξεργάζονται τα προσωπικά δεδομένα.

3.7 Η Πολιτική Εκπαίδευσης καθορίζει συγκεκριμένες απαιτήσεις κατάρτισης και ευαισθητοποίησης σε σχέση με τους συγκεκριμένους ρόλους των εργαζομένων. 

4. Αρχές προστασίας δεδομένων

Όλες οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα διεξάγονται σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται στο άρθρο 5 του GDPR. Οι πολιτικές και οι διαδικασίες της Εταιρίας έχουν σχεδιαστεί για να διασφαλίζουν τη συμμόρφωση με τις αρχές αυτές.

4.1 Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια).Σύννομη επεξεργασία: πρέπει να προσδιοριστεί  μια νόμιμη βάση πριν την επεξεργασία των προσωπικών δεδομένων, όπως για παράδειγμα η συγκατάθεση.Ακριβώς  για να είναι δίκαιη η επεξεργασία, ο υπεύθυνος επεξεργασίας πρέπει να διαθέτει συγκεκριμένα στοιχεία στα υποκείμενα των δεδομένων, εφ `όσον είναι εφικτό. Αυτό ισχύει είτε τα προσωπικά δεδομένα αποκτήθηκαν απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είτε από άλλες πηγές.Ο GDPR έχει αυξήσει τις απαιτήσεις σχετικά με τις πληροφορίες που πρέπει να είναι διαθέσιμες στα υποκείμενα των δεδομένων, τα οποία καλύπτονται από την απαίτηση «Διαφάνεια».

Διαφάνεια: ο GDPR περιλαμβάνει κανόνες για την παροχή πληροφοριών σχετικά με τα προσωπικά δεδομένα στα υποκείμενα των δεδομένων στα άρθρα 12, 13 και 14. Αυτοί είναι λεπτομερείς και συγκεκριμένοι, δίνοντας έμφαση στην κατανόηση και την πρόσβαση στις ανακοινώσεις περί απορρήτου. Οι πληροφορίες πρέπει να κοινοποιούνται στο υποκείμενο των δεδομένων σε κατανοητή μορφή με σαφή και απλή γλώσσα.Οι συγκεκριμένες πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων πρέπει να περιλαμβάνουν τουλάχιστον:

4.1.1 την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, ενδεχομένως, του εκτελούντος την επεξεργασία,4.1.2 τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων,

4.1.3 τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία,

4.1.4 την περίοδο για την οποία αποθηκεύονται τα προσωπικά δεδομένα,

4.1.5 την ύπαρξη δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής ή διαμαρτυρίας στην επεξεργασία και των όρων (ή έλλειψης) σχετικά με την άσκηση αυτών των δικαιωμάτων, όπως το αν θα επηρεαστεί η νομιμότητα της προηγούμενης επεξεργασίας,

4.1.6 τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα,

4.1.7 τους παραλήπτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, κατά περίπτωση

4.1.8 οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για την εξασφάλιση της δίκαιης επεξεργασίας.

4.2 Τα προσωπικά δεδομένα συλλέγονται μόνο για συγκεκριμένους, σαφείς και νόμιμους σκοπούς.Τα δεδομένα που λαμβάνονται για καθορισμένους σκοπούς δεν πρέπει να χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που κοινοποιούνται επίσημα στην εποπτική αρχή στο πλαίσιο του μητρώου επεξεργασίας GDPR του Οργανισμού.

4.3 Τα δεδομένα προσωπικού χαρακτήρα είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα για την επεξεργασία.

4.3.1 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για τη διασφάλιση ότι η Εταιρία δεν συλλέγει πληροφορίες που δεν είναι απολύτως απαραίτητες για τον σκοπό για τον οποίο αποκτήθηκαν.

4.3.2 Όλα τα έντυπα συλλογής δεδομένων (ηλεκτρονικά ή έντυπα), συμπεριλαμβανομένων των απαιτήσεων συλλογής δεδομένων σε νέα συστήματα πληροφοριών, περιλαμβάνουν μια δήλωση δίκαιης επεξεργασίας ή σύνδεση με τη δήλωση προστασίας απορρήτου και έχουν εγκριθεί από τον υπεύθυνο προστασίας δεδομένων.

4.3.3 Ο Υπεύθυνος Προστασίας Δεδομένων θα μεριμνήσει ώστε, σε ετήσια βάση, όλες οι μέθοδοι συλλογής δεδομένων θα επανεξεταστούν από τον εσωτερικό ελεγκτή ή/και εξωτερικούς εμπειρογνώμονες, προκειμένου να διασφαλιστεί ότι τα συλλεγόμενα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβολικά.

4.4 Τα προσωπικά δεδομένα είναι ακριβή και ενημερώνονται και κάθε προσπάθεια να διαγραφούν ή να διορθωθούν γίνεται χωρίς καθυστέρηση.

4.4.1 Τα δεδομένα που αποθηκεύονται από τον υπεύθυνο επεξεργασίας δεδομένων επανεξετάζονται και ενημερώνονται όπως απαιτείται. Δεν  διατηρούνται δεδομένα εκτός αν είναι εύλογο να υποτεθεί ότι είναι ακριβή.

4.4.2 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για την εξασφάλιση ότι όλο το προσωπικό εκπαιδεύεται στη σημασία της συλλογής συγκεκριμένων δεδομένων και της διατήρησής τους.

4.4.3 Είναι ευθύνη του υποκειμένου των δεδομένων να διασφαλίσει ότι τα δεδομένα που κατέχει η Εταιρία είναι ακριβή και ενημερωμένα. Η συμπλήρωση ενός εντύπου εγγραφής ή αίτησης από ένα υποκείμενο των δεδομένων θα προϋποθέτει ότι τα δεδομένα που περιέχονται σε αυτό είναι ακριβή κατά την ημερομηνία υποβολής.

4.4.4 Οι εργαζόμενοι και όλα τα τρίτα μέρη υποχρεώνονται να κοινοποιούν στην  Εταιρία  οποιεσδήποτε αλλαγές στις περιστάσεις ώστε να είναι δυνατή η ενημέρωση των προσωπικών τους αρχείων. Είναι ευθύνη της Εταιρίας να διασφαλίζει ότι καταγράφεται οποιαδήποτε κοινοποίηση σχετικά με την αλλαγή περιστάσεων και τις ενέργειες που ακολουθούνται.

4.4.5 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για τη διασφάλιση της ύπαρξης κατάλληλων διαδικασιών και πολιτικών για την ακριβή και ενημερωμένη ενημέρωση των προσωπικών δεδομένων, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία μπορεί να αλλάξουν  και οποιουσδήποτε άλλους συναφείς παράγοντες.

4.4.6  Τουλάχιστον μία φορά το χρόνο, ο Υπεύθυνος Προστασίας Δεδομένων θα εξετάζει τις ημερομηνίες διατήρησης όλων των προσωπικών δεδομένων που επεξεργάζονται από την Εταιρία, με αναφορά στην απογραφή δεδομένων και θα προσδιορίζει τυχόν δεδομένα που δεν απαιτούνται πλέον το πλαίσιο του εγγεγραμμένου σκοπού. Αυτά τα δεδομένα θα διαγράφονται / καταστρέφονται με ασφάλεια σύμφωνα με την αντίστοιχη Διαδικασία.

4.4.7 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για την απάντηση σε αιτήματα για διόρθωση από τα υποκείμενα των δεδομένων εντός ενός μηνός. Αυτό μπορεί να επεκταθεί σε δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν ο Οργανισμός αποφασίσει να μην συμμορφωθεί με την αίτηση, ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να απαντήσει στο υποκείμενο των δεδομένων για να εξηγήσει τη συλλογιστική του και να το ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην εποπτική αρχή και να ζητήσει ένδικα μέσα.

4.4.8 Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για τη λήψη των κατάλληλων ρυθμίσεων, σύμφωνα με τις οποίες, σε περίπτωση που οι οργανώσεις τρίτων φορέων ενδέχεται να έχουν περάσει ανακριβή ή παρωχημένα προσωπικά δεδομένα, να τους ενημερώσει ότι οι πληροφορίες είναι ανακριβείς  και δεν πρέπει να χρησιμοποιούνται για την ενημέρωση των αποφάσεων σχετικά με τα ενδιαφερόμενα άτομα. Επίσης, είναι υπεύθυνος για τη διαβίβαση οποιασδήποτε διόρθωσης στα προσωπικά δεδομένα σε τρίτα μέρη όπου αυτό απαιτείται. 

4.5 Τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται κατά τρόπο ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μπορεί να ταυτοποιηθεί μόνο εφόσον είναι αναγκαίο για την επεξεργασία.

4.5.1 Όταν τα προσωπικά δεδομένα διατηρούνται πέρα ​​από την ημερομηνία επεξεργασίας, θα ελαχιστοποιηθούν/ κρυπτογραφηθούν / ψευδονυμοποιηθούν προκειμένου να προστατευθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση παραβίασης των δεδομένων.

4.5.2 Τα προσωπικά δεδομένα θα διατηρηθούν σύμφωνα με τη Διαδικασία Διατήρησης των Αρχείων και, μόλις περατωθεί η ημερομηνία κράτησής τους, θα πρέπει να καταστραφούν με ασφάλεια σύμφωνα με τη διαδικασία αυτή.

4.5.3 Ο Υπεύθυνος Προστασίας Δεδομένων εγκρίνει συγκεκριμένα κάθε διατήρηση δεδομένων που υπερβαίνει τις περιόδους διατήρησης που ορίζονται στη Διαδικασία Διατήρησης Αρχείων και διασφαλίζει ότι η αιτιολόγηση είναι σαφώς προσδιορισμένη και ανταποκρίνεται στις απαιτήσεις της νομοθεσία για την προστασία των δεδομένων. Η έγκριση αυτή είναι γραπτά τεκμηριωμένη.

4.6 Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια. Ο Υπεύθυνος Προστασίας Δεδομένων προβαίνει σε εκτίμηση επικινδυνότητας λαμβάνοντας υπόψη όλες τις περιστάσεις των πράξεων ελέγχου ή επεξεργασίας της Εταιρίας. Για τον προσδιορισμό της καταλληλότητας, ο Υπεύθυνος Προστασίας Δεδομένων θα πρέπει επίσης να εξετάσει την έκταση της πιθανής ζημίας ή απώλειας που μπορεί να προκληθεί σε άτομα (π.χ. προσωπικό ή πελάτες) σε περίπτωση παραβίασης της ασφάλειας, καθώς και τυχόν ζημιές για τη φήμη της Εταιρίας, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών.

Κατά την αξιολόγηση των κατάλληλων τεχνικών μέτρων, ο Υπεύθυνος Προστασίας Δεδομένων θα εξετάσει τα ακόλουθα:

  • Προστασία με κωδικό πρόσβασης
  • Αυτόματο κλείδωμα υπολογιστών.
  • Αφαίρεση δικαιωμάτων πρόσβασης για USB και άλλα μέσα μνήμης.
  • Λογισμικό ελέγχου ιών και τείχη προστασίας.
  • Δικαιώματα πρόσβασης βασισμένα σε ρόλους, συμπεριλαμβανομένων εκείνων που εκχωρούνται σε έκτακτο προσωπικό.
  • Κρυπτογράφηση συσκευών που εγκαταλείπουν τις εγκαταστάσεις των οργανισμών, όπως φορητοί υπολογιστές.• Ασφάλεια τοπικών και ευρύτερων δικτύων.
  • Τεχνολογίες για την προστασία της ιδιωτικής ζωής όπως η ψευδωνυμοποίηση και η ανωνυμία.
  • Προσδιορισμός κατάλληλων διεθνών προτύπων ασφαλείας σχετικών με το όνομα του οργανισμού. Κατά την αξιολόγηση κατάλληλων οργανωτικών μέτρων, ο Υπεύθυνος Προστασίας Δεδομένων θα εξετάσει τα ακόλουθα:
  • Τα κατάλληλα επίπεδα εκπαίδευσης σε όλο τον οργανισμό.
  • Μέτρα που λαμβάνουν υπόψη την αξιοπιστία των εργαζομένων (όπως οι αναφορές κλπ.).
  • Τη συμπερίληψη της προστασίας δεδομένων στις συμβάσεις εργασίας.
  • Τον εντοπισμό μέτρων πειθαρχικής δράσης για παραβιάσεις δεδομένων.
  • Την παρακολούθηση του προσωπικού για τη συμμόρφωση με τα σχετικά πρότυπα ασφαλείας.
  • Του ελέγχους φυσικής πρόσβασης σε ηλεκτρονικά και έντυπα μέσα.
  • Την αποθήκευση των έντυπων δεδομένων σε ντουλάπια που να μπορούν να κλειδωθούν.
  • Τον περιορισμό της χρήσης φορητών ηλεκτρονικών συσκευών εκτός του χώρου εργασίας.
  • Τον περιορισμό της χρήσης των προσωπικών συσκευών των εργαζομένων που χρησιμοποιούνται στο χώρο εργασίας.
  • Την υιοθέτηση σαφών κανόνων σχετικά με τους κωδικούς πρόσβασης.
  • Τη δημιουργία τακτικών αντιγράφων ασφαλείας των προσωπικών δεδομένων και αποθήκευση των μέσων μαζικής επικοινωνίας εκτός δικτύου.

Αυτοί οι έλεγχοι έχουν επιλεγεί με βάση τους προσδιορισμένους κινδύνους για τα προσωπικά δεδομένα και τις πιθανότητες βλάβης ή κινδύνου σε άτομα τα δεδομένα των οποίων υπόκεινται σε επεξεργασία.Η συμμόρφωση της Εταιρίας με αυτή την αρχή περιέχεται στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ).

4.7 Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση και με τις άλλες αρχές του GDPR (λογοδοσία). Ο GDPR περιλαμβάνει διατάξεις που προωθούν την υπευθυνότητα και τη διακυβέρνηση. Αυτά συμπληρώνουν τις απαιτήσεις διαφάνειας του GDPR. Η αρχή της λογοδοσίας στο άρθρο 5 παράγραφος 2 απαιτεί από την Εταιρία να αποδείξει ότι συμμορφώνεται με τις αρχές του GDPR, με αποκλειστικά δική της ευθύνη.Η Εταιρία επιδεικνύει συμμόρφωση με τις αρχές προστασίας δεδομένων, εφαρμόζοντας πολιτικές προστασίας δεδομένων, εφαρμόζοντας κώδικες δεοντολογίας, εφαρμόζοντας τεχνικά και οργανωτικά μέτρα, καθώς και υιοθετώντας τεχνικές όπως η προστασία δεδομένων από σχεδιασμό, οι διαδικασίες γνωστοποίησης παραβίασης και τα σχέδια αντιμετώπισης περιστατικών.   

5. Δικαιώματα των υποκειμένων των δεδομένων

5.1 Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία δεδομένων και τα δεδομένα που έχουν καταγραφεί για αυτά:

5.1.1 Να υποβάλλουν αιτήσεις πρόσβασης σε θέματα σχετικά με τη φύση των πληροφοριών που κατέχονται και το σε οποίους έχουν αποκαλυφθεί.

5.1.2 Να ζητούν να αποφευχθεί η επεξεργασία που ενδέχεται να τους προκαλέσει ζημιά.

5.1.3 Να ζητούν να εμποδίζεται η επεξεργασία για σκοπούς μάρκετινγκ.

5.1.4 Να ζητούν να ενημερωθούν για τη μηχανική της αυτοματοποιημένης διαδικασίας λήψης αποφάσεων που θα τους επηρεάσει σημαντικά.

5.1.5 Να ζητούν να μην παίρνονται σημαντικές αποφάσεις που θα τους επηρεάσουν μόνο με αυτοματοποιημένη διαδικασία.

5.1.6 Να διεκδικήσουν αποζημίωση εάν υποστούν ζημία από οποιαδήποτε παράβαση του GDPR.

5.1.7 Να λαμβάνουν μέτρα για τη διόρθωση, την απαγόρευση, τη διαγραφή, συμπεριλαμβανομένου του δικαιώματος λήθης ή καταστροφής των ανακριβών δεδομένων.

5.1.8 Να ζητούν από την εποπτική αρχή να εκτιμήσει εάν έχει παραβιαστεί οποιαδήποτε διάταξη του GDPR.

5.1.9 Να ζητούν να τους παρασχεθούν προσωπικά δεδομένα με διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και να έχουν το δικαίωμα να διαβιβάζονται αυτά τα δεδομένα σε άλλον επεξεργαστή δεδομένων.

5.1.10 Να μπορούν να αντιταχθούν σε οποιοδήποτε αυτοματοποιημένο προφίλ που εμφανίζεται χωρίς τη συγκατάθεση τους.

5.2 Η Εταιρία εξασφαλίζει ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να ασκούν τα δικαιώματα αυτά.

5.2.1 Τα υποκείμενα των δεδομένων μπορούν να υποβάλλουν αιτήματα πρόσβασης δεδομένων και η εταιρία θα εξασφαλίσει ότι η απόκριση στην αίτηση πρόσβασης δεδομένων θα συμμορφώνεται με τις απαιτήσεις του GDPR.

5.2.2 Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλλουν καταγγελίες στην Εταιρία σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τη διεκπεραίωση ενός αιτήματος από ένα υποκείμενο των δεδομένων και τις προσφυγές από ένα υποκείμενο των δεδομένων σχετικά με τον τρόπο με τον οποίο διεκπεραιώθηκαν οι καταγγελίες σύμφωνα με τη Διαδικασία Καταγγελίας. 

6. Συναίνεση

6.1 Η Εταιρία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι έχει δοθεί ρητά και ελεύθερα μια συγκεκριμένη, ενημερωμένη και σαφής ένδειξη για τις επιθυμίες του υποκειμένου των δεδομένων. Η σαφής αυτή ένδειξη έχει γίνει γνωστή με δήλωση ή με σαφή καταφατική ενέργεια και δείχνει τη συμφωνία του υποκειμένου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με αυτό. Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συναίνεσή του ανά πάσα στιγμή.

6.2 Η Εταιρία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι το υποκείμενο των δεδομένων έχει ενημερωθεί πλήρως για την προβλεπόμενη επεξεργασία και έχει υποδείξει τη συμφωνία του,  χωρίς να του έχουν ασκηθεί πιέσεις. Η συναίνεση που αποκτάται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία.

6.3 Πρέπει να υπάρξει κάποια ενεργή επικοινωνία μεταξύ των μερών για να αποδειχθεί η ενεργός συναίνεση. Η συναίνεση δεν μπορεί να συναχθεί χωρίς  επικοινωνία. Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι έχει ληφθεί συναίνεση για τη διαδικασία επεξεργασίας.

6.4 Για τα ευαίσθητα δεδομένα πρέπει να παρέχεται ρητή γραπτή συγκατάθεση των υποκειμένων των δεδομένων, εκτός εάν υπάρχει εναλλακτική θεμιτή βάση για την επεξεργασία.

6.5 Στις περισσότερες περιπτώσεις, η συγκατάθεση για την επεξεργασία προσωπικών και ευαίσθητων δεδομένων αποκτάται συστηματικά από την Εταιρία με την αποδοχή της παρούσας πολιτικής.  

7. Ασφάλεια δεδομένων

7.1 Όλοι οι εργαζόμενοι είναι υπεύθυνοι για τη διασφάλιση ότι τα προσωπικά δεδομένα που κατέχει η Εταιρία και για τα οποία είναι υπεύθυνοι, φυλάσσονται με ασφάλεια και δεν αποκαλύπτονται σε καμία περίπτωση σε τρίτους, εκτός εάν ο τρίτος έχει εξουσιοδότηση να λάβει αυτές τις πληροφορίες, πχ σε περίπτωση που έχει συνάψει συμφωνία εμπιστευτικότητας.

7.2 Όλα τα προσωπικά δεδομένα είναι προσβάσιμα μόνο σε όσους τα χρειάζονται για την εργασία τους και η πρόσβαση επιτρέπεται μόνο σύμφωνα με την Πολιτική Ελέγχου Πρόσβασης. Όλα τα προσωπικά δεδομένα αντιμετωπίζονται με την υψηλότερη ασφάλεια και τηρούνται:

  • σε κλειδωμένο δωμάτιο με ελεγχόμενη πρόσβαση και / ή
  • σε ένα συρτάρι ή σε ένα ερμάριο αρχειοθέτησης και / ή
  • εάν είναι μηχανογραφημένα, προστατευμένα με κωδικό πρόσβασης σύμφωνα με τις εταιρικές απαιτήσεις της Πολιτικής Ελέγχου Πρόσβασης και/ ή
  • αποθηκευμένα σε (αφαιρούμενα) μέσα υπολογιστή που είναι κρυπτογραφημένα σύμφωνα με την Ασφαλής Απόρριψη μέσων αποθήκευσης.

7.3 Λαμβάνεται μέριμνα ώστε οι οθόνες και οι τερματικοί σταθμοί υπολογιστών να μην είναι ορατοί σε τρίτους πέρα από τους εξουσιοδοτημένους εργαζόμενους της Εταιρίας. Όλοι οι εργαζόμενοι καλούνται να υπογράψουν σύμβαση προτού τους δοθεί πρόσβαση σε οργανωτικές πληροφορίες οποιουδήποτε είδους, οι οποίες περιγράφουν λεπτομερώς τους κανόνες σχετικά με τις υπευθυνότητες τους σε ότι αφορά την προστασία των προσωπικών δεδομένων.

7.4 Τα μη αυτόματα αρχεία δεν παραμένουν σε θέσεις όπου ενδέχεται να έχει πρόσβαση μη εξουσιοδοτημένο προσωπικό και δεν επιτρέπεται να αφαιρεθούν από τις εγκαταστάσεις χωρίς ρητή [γραπτή] εξουσιοδότηση.

7.5 Τα προσωπικά δεδομένα μπορούν να διαγραφούν ή να διατεθούν μόνο σύμφωνα με τη διαδικασία διατήρησης αρχείων. Οι σκληροί δίσκοι των προς απόσυρση υπολογιστών αφαιρούνται και να καταστρέφονται αμέσως, πριν από την απόρριψή τους.

7.6 Η ​​επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός των χώρων της Εταιρίας παρουσιάζει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή ζημίας σε δεδομένα προσωπικού χαρακτήρα. Το προσωπικό απαγορεύεται να επεξεργάζεται δεδομένα εκτός του χώρου της Εταιρίας. 

8. Γνωστοποίηση δεδομένων

8.1 Η Εταιρία διασφαλίζει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε τρίτα μη εξουσιοδοτημένα πρόσωπα, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κυβερνητικών οργάνων και, υπό ορισμένες συνθήκες, της Αστυνομίας. Όλοι οι εργαζόμενοι θα πρέπει να είναι προσεκτικοί όταν καλούνται να αποκαλύψουν προσωπικά δεδομένα σε τρίτα πρόσωπα και παρακολουθούν ειδική εκπαίδευση που τους επιτρέπει να αντιμετωπίσουν αποτελεσματικά τον εν λόγω κίνδυνο. Είναι σημαντικό να υπάρχει κατά νου το κατά πόσον η αποκάλυψη των πληροφοριών είναι σχετική και αναγκαία για τη διεξαγωγή των δραστηριοτήτων της Εταιρίας.

8.2 Όλες οι αιτήσεις παροχής δεδομένων για έναν από αυτούς τους λόγους υποστηρίζονται από κατάλληλη γραφική εργασία και όλες αυτές οι γνωστοποιήσεις εγκρίνονται ειδικά από τον υπεύθυνο προστασίας δεδομένων.

9. Διατήρηση και διάθεση δεδομένων

9.1 Η Εταιρία δεν φυλάσσει τα προσωπικά δεδομένα σε μορφή που να επιτρέπει τον προσδιορισμό των προσώπων στα οποία αναφέρονται τα δεδομένα για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο, σε σχέση με τον σκοπό για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.

9.2 Η Εταιρία μπορεί να αποθηκεύει δεδομένα για μεγαλύτερα χρονικά διαστήματα εάν τα προσωπικά δεδομένα υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης για λόγους δημόσιου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την επιφύλαξη της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

9.3 Η περίοδος διατήρησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα καθορίζεται στη Διαδικασία Διατήρησης μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου.

9.4 Τα προσωπικά δεδομένα διατίθενται με ασφάλεια σύμφωνα με την έκτη αρχή του GDPR - επεξεργάζονται κατά τον κατάλληλο τρόπο για να διατηρούν την ασφάλεια τους, προστατεύοντας έτσι τα "δικαιώματα και τις ελευθερίες" των υποκειμένων των δεδομένων.

9.5  Η Εταιρία αποθηκεύει για λογαριασμό των πελατών της πολλές κατηγορίες προσωπικών δεδομένων στα πλαίσια της υποστήριξης των πληροφοριακών συστημάτων και των εφαρμογών που έχει αναπτύξει για αυτούς. Επίσης, η Εταιρία επεξεργάζεται προσωπικά δεδομένα για λογαριασμό των πελατών της, για τους οποίους έχει αναπτύξει πληροφοριακά συστήματα ή/και εφαρμογές. Η Εταιρία έχει μεριμνήσει μέσω συμβάσεων και συμφωνητικών που έχει υπογράψει με τους πελάτες της για τη συγκατάθεση της αποθήκευσης των προσωπικών δεδομένων των υποκειμένων των δεδομένων. Για να προχωρήσει η Εταιρία στην επεξεργασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων, έχει πάρει γραπτή διαβεβαίωση από τους πελάτες της – μέσω των ιδιωτικών συμφωνητικών ή/και των συμβάσεων που συνοδεύουν τη σύμβαση συνεργασίας - ότι έχουν λάβει τη συγκατάθεσή των υποκειμένων των δεδομένων.Η Εταιρία, πέραν της αποθήκευσης των δεδομένων των πληροφοριακών συστημάτων των πελατών της, δεν προχωράει σε καμία άλλη επεξεργασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων για λογαριασμό της, παρά μόνο για λογαριασμό των πελατών της, όπως ορίζεται και στις μεταξύ τους συμβάσεις εργασίας και προστασίας των προσωπικών δεδομένων.  

10. Μεταφορές δεδομένων

Όλες οι εξαγωγές δεδομένων από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) προς χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (που αναφέρονται ως «τρίτες χώρες») είναι παράνομες, εκτός εάν υπάρχει κατάλληλο «επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκείμενα δεδομένων ".Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ απαγορεύεται εκτός εάν ισχύουν μία ή περισσότερες από τις καθορισμένες διασφαλίσεις ή εξαιρέσεις, όπως αυτές ορίζονται στον GDPR.Η Εταιρία δεν πραγματοποιεί μεταφορές προσωπικών δεδομένων  προς «τρίτες χώρες». 

11. Απογραφή δεδομένων

11.1 Η Εταιρία έχει καθιερώσει μια διαδικασία απογραφής δεδομένων και ροής δεδομένων ως μέρος της προσέγγισής της για την αντιμετώπιση των κινδύνων και των ευκαιριών στο σύνολο του έργου συμμόρφωσης με τον GDPR. Η απογραφή δεδομένων περιλαμβάνει:

  • Τις επιχειρηματικές διαδικασίες που χρησιμοποιούν προσωπικά δεδομένα.
  • Τις πηγές των προσωπικών δεδομένων.
  • Τον όγκο των προσώπων στα οποία αναφέρονται τα δεδομένα.
  • Την περιγραφή κάθε στοιχείου προσωπικών δεδομένων.
  • Τη δραστηριότητα της επεξεργασίας. 

Η Εταιρία οφείλει να: 

  • διατηρεί την απογραφή των κατηγοριών δεδομένων των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα,
  • τεκμηριώνει τον σκοπό για τον οποίο χρησιμοποιείται κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα,
  • προσδιορίζει τους παραλήπτες και τους δυνητικούς παραλήπτες των προσωπικών δεδομένων,
  • προσδιορίζει τον δικό της ρόλο σε όλη τη ροή δεδομένων
  • παραθέτει τα βασικά συστήματα και αποθετήρια που χρησιμοποιεί
  • εξασφαλίζει όλες τις απαιτήσεις διατήρησης και διάθεσης των δεδομένων.

11.2 Η Εταιρία έχει επίγνωση των κινδύνων που συνδέονται με την επεξεργασία των συγκεκριμένων τύπων προσωπικών δεδομένων.

11.2.1 Η Εταιρία αξιολογεί το επίπεδο κινδύνου για τα άτομα που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων.

11.2.2 Η Εταιρία διαχειρίζεται τους κινδύνους που εντοπίζονται από την εκτίμηση κινδύνου, προκειμένου να μειωθεί η πιθανότητα μη συμμόρφωσης με την παρούσα πολιτική.

11.2.3 Όταν ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πριν από τη διεξαγωγή της επεξεργασίας, προβαίνει σε αξιολόγηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων.

11.2.4 Όταν είναι σαφές ότι η εταιρία πρόκειται να αρχίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θα μπορούσαν να προκαλέσουν ζημία ή / και αγωνία στα υποκείμενα των δεδομένων, η απόφαση για το αν πρέπει να προχωρήσει η εταιρία πρέπει να προωθηθεί για έλεγχο στον υπεύθυνο προστασίας δεδομένων.

11.2.5 Ο Υπεύθυνος Προστασίας Δεδομένων, αν υπάρχουν σημαντικές ανησυχίες, είτε για την ενδεχόμενη ζημία ή αγωνία είτε για την ποσότητα των δεδομένων, προωθεί το ζήτημα στην εποπτική αρχή. 

Για οποιοδήποτε θέμα προκύπτει σχετικά με τη διαχείριση των προσωπικών δεδομένων μπορείτε να επικοινωνείτε με τον αρμόδιο υπεύθυνο στο dpo@think.gr.

Image gallery