ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑ Γ.Κ.Π.Δ 27.04.2016/679 (GDPR)

A. Γενικές Πληροφορίες

A.1. Εισαγωγικό Πλαίσιο

Η ολοένα και ευκολότερη δημοσιοποίηση εκ μέρους των φυσικών προσώπων  των προσωπικών τους δεδομένων μέσω των ιστοσελίδων κοινωνικής δικτύωσης, λόγω της ραγδαίων και εντόνων τεχνολογικών εξελίξεων και της παγκοσμιοποίησης αλλά και της συνακόλουθης αύξησης των διασυνοριακών ροών δεδομένων προσωπικού χαρακτήρα είχε ως αποτέλεσμα την άμεση ανάγκη προστασίας των δεδομένων αυτών. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Κατόπιν των ανωτέρω και για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων θεσπίσθηκε ο Γενικός Κανονισμός Προσωπικών Δεδομένων (GDPR) 27.04.2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Ευρωπαϊκού Συμβουλίου.

Σκοπός της υιοθεσίας του GDPR ήταν η αποφυγή διαφορών μεταξύ των κρατών μελών στους νόμους προστασίας των δεδομένων προσωπικού χαρακτήρα και η αναμόρφωση τον τρόπου που οι οργανώσεις και όλοι οι εμπλεκόμενοι φορείς προσεγγίζουν τα προσωπικά δεδομένα. Θεμελιώδεις αρχές του Κανονισμού αποτελούν η ενίσχυση των δικαιωμάτων των ευρωπαίων κατοίκων αναφορικά με τα προσωπικά τους δεδομένα και ο έλεγχος των υπευθύνων επεξεργασίας και των εκετελούντων την επεξεργασία, όταν αυτοί τυγχάνουν υπεύθυνοι για την παραβίαση του GPDR.

Ο Kανονισμός (GDPR 2016/679), ο οποίος αντικατέστησε την Οδηγία 95/46/ΕΚ που αφορούσε στην προστασία των δεδομένων και η οποία είχε υιοθετηθεί στην Ελλάδα με το νόμο 2472/1997, τυγχάνει άμεσα εφαρμοστέος  σε όλα τα κράτη μέλη της ΕΕ με ημερομηνία εφαρμογής του νόμου την 25 η Μαΐου 2018.

Η μη συμμόρφωση στις διατάξεις του ανωτέρω Κανονισμού επισύρει σοβαρότατα διοικητικά πρόστιμα από την αρμόδια Εποπτική Αρχή τα οποία δύναται να ανέλθουν, ανάλογα με τις παραβιασθείσες διατάξεις του Κανονισμού έως το ποσό των

 20.000.000 Ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκοσμίου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους αναλόγως  με το ποιο εκ των δύο ποσών τυγχάνει υψηλότερο.

Ο Κανονισμός ισχύει για όλα τα υποκείμενα δεδομένων (πρόσωπα) εντός της ΕΕ, αλλά αφορά και οργανώσεις ευρισκόμενες εκτός της ΕΕ, εφόσον παρακολουθούν ή  επεξεργάζονται προσωπικά δεδομένα κατά τη διάρκεια των συναλλαγών τους.

A.2 Ορισμοί

  • «Υποκείμενο Δεδομένων»: Κάθε φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα επεξεργάζεται η Επιχείρηση ή Εταιρία.
  • «Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
  • Ειδικές κατηγορίες προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή η συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
  • «επεξεργασία» :κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
  • «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
  • «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, από μόνο του ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·,
  • «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
  • «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι.
  • «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
  • «συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
  • «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

A.3. Σκοπός της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα

Η σύννομη επεξεργασία και προστασία των προσωπικών δεδομένων των φυσικών προσώπων – υποκειμένων που επεξεργάζεται η Επιχείρηση ή Εταιρεία. Θεμελιώδης σκοπός της παρούσας πολιτικής είναι η προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων της επεξεργασίας.

A.4. Πεδίο Εφαρμογής της Πολιτικής Προστασίας.

Η παρούσα πολιτική προστασίας ισχύει και αφορά κάθε επεξεργασία προσωπικών δεδομένων που εκτελεί η Επιχείρηση ή Εταιρεία.

Β. Περιγραφή Πολιτικής  Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Β.1. Η Επιχείρηση ή Εταιρεία δεσμεύεται να συμμορφώνεται με όλους τους σχετικούς νόμους της ΕΕ και της Ελλάδας που αφορούν τα προσωπικά δεδομένα και την προστασία των “δικαιωμάτων και των ελευθεριών” των υποκειμένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

Β.2 Η Επιχείρηση ή Εταιρεία έχει αναπτύξει και εφαρμόζει την Πολιτική Προστασίας Δεδομένων καθώς και κάθε άλλη απαραίτητη πολιτική και διαδικασία αναφορικά με την επεξεργασία και την προστασία των προσωπικών δεδομένων.

Β.3 Η Πολιτική Προστασίας Προσωπικών Δεδομένων ισχύει για κάθε επεξεργασία προσωπικών δεδομένων της Επιχείρησης ή Εταιρείας, συμπεριλαμβανομένων των προσωπικών δεδομένων των πελατών, των εργαζομένων, των προμηθευτών, των συνεργατών και οποιωνδήποτε άλλων προσωπικών δεδομένων φυσικών προσώπων τυχόν επεξεργάζεται η Επιχείρηση ή Εταιρεία.

Β.4 Ο Υπεύθυνος επεξεργασίας οφείλει να ενημερώνει τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) για τυχόν αλλαγές στους σκοπούς επεξεργασίας των δεδομένων και ο ΥΠΔ αποτυπώνει τις αλλαγές αυτές στο αρχείο.

Β.5 Η πολιτική προστασίας ισχύει για όλους τους υπαλλήλους και τους συνεργάτες της Επιχείρησης ή Εταιρείας. Κάθε τυχόν παραβίαση των Προσωπικών Δεδομένων που έχει επίπτωση στα υποκείμενα θα αναφερθεί το συντομότερο δυνατόν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Β.6 H Επιχείρηση ή Εταιρεία θα πρέπει να καθορίσει τους στόχους για την προστασία των δεδομένων.

Β.7 Οι Συνεργάτες και τυχόν τρίτα μέρη που συνεργάζονται με ή για την Επιχείρηση ή Εταιρεία και έχουν πρόσβαση σε προσωπικά δεδομένα, θα πρέπει να διαβάσουν, να κατανοήσουν και να συμμορφωθούν πλήρως με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η Επιχείρηση ή Εταιρεία χωρίς την υπογραφή της σχετικής σύμβασης συνεργασίας και εμπιστευτικότητας.

Β.8 Η επικοινωνία με τα υποκείμενα για προωθητικές ενέργειες γίνεται βάσει της πολιτικής επικοινωνίας με υποκείμενα και μέσω ηλεκτρονικών μέσων.

Γ. Ρόλοι και Αρμοδιότητες

Γ.1 Η Επιχείρηση ή Εταιρεία είναι, σύμφωνα με τον Κανονισμό, ο Υπεύθυνος Επεξεργασίας.

Γ.2 Η Επιχείρηση ή Εταιρεία φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση της με τον Κανονισμό.

Γ.3 Η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων είναι ευθύνη όλων των υπαλλήλων της Επιχείρησης ή Εταιρείας που επεξεργάζονται τα προσωπικά δεδομένα.

Δ. Βασικές Αρχές Επεξεργασίας Προσωπικών Δεδομένων

Η επεξεργασία των προσωπικών δεδομένων διεξάγεται σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται στο άρθρο 5 του Κανονισμού. Όλες οι πολιτικές καθώς και οι διαδικασίες  έχουν σχεδιασθεί για να εξασφαλίσουν την πλήρη συμμόρφωση με τις ανωτέρω αρχές.

Ειδικότερα:

Τα δεδομένα προσωπικού χαρακτήρα:

α)  υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (συμμόρφωση με την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας),
β)  συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του Κανονισμού (συμμόρφωση με την αρχή περιορισμού του σκοπού),
γ)  είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (συμμόρφωση με την αρχή της ελαχιστοποίησης των δεδομένων),
δ) δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (συμμόρφωση με την αρχή της ακρίβειας), Η Επιχείρηση ή Εταιρεία είναι υπεύθυνη να εκπαιδεύει το προσωπικό της για τη σημασία της ακρίβειας των δεδομένων  κατά την συλλογή τους και την διαχείριση τους.  Επίσης η Επιχείρηση ή Εταιρεία είναι υπεύθυνη για τη ανάπτυξη των κατάλληλων διαδικασιών και πολιτικών για την ακρίβεια των δεδομένων, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία μπορεί να τροποποιηθούν και οποιαδήποτε άλλους συναφείς παράγοντες. Αντίστοιχα είναι ευθύνη του υποκειμένου των δεδομένων να διασφαλίσει ότι τα δεδομένα που κατέχει η Επιχείρηση ή Εταιρεία είναι ακριβή και ενημερωμένα. Η συμπλήρωση ενός εντύπου εγγραφής ή αίτησης από ένα υποκείμενο των δεδομένων θα περιλαμβάνει δήλωση ότι τα δεδομένα που περιέχονται σε αυτό είναι ακριβή κατά την ημερομηνία υποβολής. Επιπρόσθετα τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες,συνεργάτες) οφείλουν να ενημερώνουν την Επιχείρηση ή Εταιρεία για οποιεσδήποτε αλλαγές στα προσωπικά τους δεδομένα ώστε να είναι δυνατή η ενημέρωση των αντίστοιχων αρχείων. Η Επιχείρηση ή Εταιρεία θα πρέπει να τους παρέχει τις απαραίτητες  οδηγίες για την διαδικασία τροποποίησης των δεδομένων. Τέλος μία φορά ανά έτος, η Επιχείρηση ή Εταιρεία θα εξετάσει τις ημερομηνίες διατήρησης των προσωπικών δεδομένων που επεξεργάζεται και θα προσδιορίσει τυχόν δεδομένα που δεν απαιτούνται πλέον το πλαίσιο του σκοπού επεξεργασίας. Αυτά τα δεδομένα θα διαγραφούν/ καταστραφούν με ασφαλή τρόπο.
ε)  διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 του Κανονισμού και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο ανωτέρω κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων (συμμόρφωση με την αρχή του περιορισμού της περιόδου αποθήκευσης),
στ) στ)υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (συμμόρφωση με την αρχή της ασφάλειας, ακεραιότητας και εμπιστευτικότητας). Ο υπεύθυνος προστασίας δεδομένων θα προβεί σε εκτίμηση επικινδυνότητας λαμβάνοντας υπόψη όλες τις δραστηριότητες της επεξεργασίας της Επιχείρησης ή Εταιρείας.  Για τον προσδιορισμό των κατάλληλων μηχανισμών θα πρέπει επίσης να εξεταστεί η έκταση της πιθανής ζημίας ή απώλειας που μπορεί να προκληθεί σε άτομα (π.χ. προσωπικό ή πελάτες) σε περίπτωση παραβίασης της ασφάλειας, καθώς και τυχόν ζημιές για τη φήμη, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών. Οι ανωτέρω μηχανισμοί ελέγχου προστασίας των προσωπικών δεδομένων αναφέρονται στην δήλωση εφαρμογής.

ζ) Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τα οριζόμενα στον Κανονισμό (συμμόρφωση με την αρχή της λογοδοσίας).

Δ.1. Η Επιχείρηση ή Εταιρεία θα πρέπει να προσδιορίσει την νομιμότητα της επεξεργασίας πριν την επεξεργασία των προσωπικών δεδομένων και θα καταχωρίσει κάθε απαραίτητη πληροφορία στο αρχείο δραστηριοτήτων της επεξεργασίας (Διαδικασία Διαχείρισης της επεξεργασίας των προσωπικών δεδομένων).

Δ.1.2 Ο Κανονισμός περιλαμβάνει κανόνες για την πληροφόρηση των υποκειμένων για την επεξεργασία των προσωπικών τους δεδομένων (άρθρα 12, 13 και 14 του Κανονσιμού). Οι πληροφορίες πρέπει να κοινοποιούνται στο υποκείμενο των δεδομένων σε κατανοητή μορφή με σαφή και απλή γλώσσα. Η διαδικασία επεξεργασίας προσωπικών δεδομένων καθορίζεται στο έγγραφο «Διαχείριση της επεξεργασίας των προσωπικών δεδομένων» και η Ενημέρωση των Υποκειμένων στο έντυπο «Δήλωση Προστασίας των Προσωπικών Δεδομένων».

Δ.1.3 Τα προσωπικά δεδομένα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·

Δ.1.4 Τα δεδομένα που λαμβάνονται για καθορισμένους σκοπούς δεν πρέπει να χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που αναφέρονται στο αρχείο δραστηριοτήτων της επεξεργασίας των προσωπικών δεδομένων (Διαδικασία Διαχείρισης της επεξεργασίας των προσωπικών δεδομένων).

Δ.2.1  Η Επιχείρηση ή Εταιρεία θα πρέπει να  προβαίνει στην συλλογή των απολύτως απαραίτητων πληροφοριών για τον σκοπό της επεξεργασίας (βλέπε Έντυπο GDPR_Αρχείο δραστηριοτήτων της επεξεργασίας).

Δ.2.2 Όλα τα έντυπα συλλογής δεδομένων (ηλεκτρονικά ή σε έντυπα), πρέπει να περιλαμβάνουν την ενημέρωση του Υποκειμένου για την επεξεργασία προσωπικών δεδομένων και να έχουν εγκριθεί από τον υπεύθυνο προστασίας δεδομένων.

Δ.2.3 Η Επιχείρηση ή Εταιρεία θα μεριμνήσει ώστε σε ετήσια βάση όλες οι διαδικασίες καθώς και οι μέθοδοι συλλογής δεδομένων να επανεξεταστούν από τον εσωτερικό ελεγκτή προκειμένου να διασφαλιστεί ότι τα συλλεγόμενα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβολικά (Διαδικασία Εκπόνησης Εκτίμησης Αντικτύπου).

Δ.3.1 Ο υπεύθυνος προστασίας δεδομένων είναι υπεύθυνος για την απάντηση σε αιτήματα για τροποποίηση των προσωπικών δεδομένων από τα υποκείμενα των δεδομένων εντός ενός μηνός. Αυτό μπορεί να επεκταθεί σε δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν η Επιχείρηση ή Εταιρεία αποφασίσει να μην τροποποιήσει τα δεδομένα, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να αιτιολογήσει στο υποκείμενο την απόφαση της Επιχείρησης ή Εταιρείας και να τον ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Δ.3.2 Σε περίπτωση που συνεργάτες της Επιχείρησης ή Εταιρείας τυχόν μεταβιβάσουν ανακριβή ή παρωχημένα προσωπικά δεδομένα, η Επιχείρηση ή Εταιρεία είναι υπεύθυνη για την ενημέρωση των συνεργατών σχετικά με τα υποκείμενα και τα δεδομένα που πρέπει να τροποποιηθούν ώστε να είναι ακριβή και επικαιροποιημένα.

Δ.4.1 Η Επιχείρηση ή Εταιρεία μεριμνεί ώστε τα δεδομένα να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·

Δ.4.2 Όταν τα προσωπικά δεδομένα διατηρούνται πέρα από την ημερομηνία επεξεργασίας, θα ανωνυμοποιηθούν ή θα καταστραφούν προκειμένου να προστατευθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε τυχόν περίπτωση παραβίασης των δεδομένων.

Δ.4.3 Τα προσωπικά δεδομένα θα διατηρηθούν σύμφωνα με τη Διαδικασία Διατήρησης των Αρχείων και, μόλις περατωθεί η ημερομηνία διατήρησής τους, θα πρέπει να καταστραφούν με ασφάλεια σύμφωνα με την Διαδικασία Ασφαλούς Καταστροφής.

Δ.4.4 Ο υπεύθυνος προστασίας δεδομένων θα πρέπει να εγκρίνει συγκεκριμένα κάθε διατήρηση δεδομένων πέρα της περιόδους διατήρησης τους και πρέπει να εξασφαλίζει ότι η αιτιολόγηση είναι σαφώς προσδιορισμένη και σύμφωνα με τις σχετικής απαιτήσεις της Ελληνικής και Ευρωπαϊκής νομοθεσίας. Η ανωτέρω έγκριση θα πρέπει να είναι καταγεγραμμένη.

Τέλος η  Επιχείρηση ή Εταιρεία θα πρέπει να αποδείξει την συμμόρφωση της με τον Κανονισμό, εφαρμόζοντας τις κατάλληλες πολιτικές, λαμβάνοντας τα απαραίτητα τεχνικά και οργανωτικά μέτρα, καθώς και υιοθετώντας τεχνικές όπως η προστασία δεδομένων από σχεδιασμό, διαδικασίες διαχείρισης περιστατικών ασφαλείας κ.λπ. (Κατάλογος Ελεγχόμενων Εγγράφων και Δήλωση Εφαρμοσιμότητας)

Ε. Εκτελούντες την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα

Ε.1 Η Επιχείρηση ή Εταιρεία χρησιμοποιεί εκτελούντες την επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ώστε η επεξεργασία των προσωπικών δεδομένων των υποκειμένων από αυτούς να πληροί τις απαιτήσεις του Κανονισμού και παράλληλα να διασφαλίζεται πλήρως η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

Ε.2 Η επεξεργασία από τον εκτελούντα την επεξεργασία πραγματοποιτείται σύμφωνα με την σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με την Επιχείρηση ή Εταιρεία και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.

Ε.3 Ο εκτελών την επεξεργασία δεν δύναται να προσλάβει άλλον εκτελούντα την επεξεργασία άνευ προηγούμενης ειδικής ή γενικής έγγραφης αδείας της Επιχείρησης ή Εταιρείας.

ΣΤ. Δικαιώματα των υποκειμένων

ΣΤ.1 Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία δεδομένων:

ΣΤ.1.1 Δικαίωμα ενημέρωσης (βάσει των άρθρων 12, 13 και 14 του Κανονισμού). Πληροφορίες που πρέπει να παρέχονται στο υποκείμενο δεδομένων (πχ ταυτότητα του υπεύθυνου επεξεργασίας, σκοπούς και νομική βάση επεξεργασίας κ.α.).

ΣΤ.1.2 Δικαίωμα πρόσβασης (βάσει του άρθρου 14 του Κανονισμού). Λήψη επιβεβαίωσης από την Επιχείρηση ή την Εταιρεία για την επεξεργασία ή μη των δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο. Εάν υφίστανται επεξεργασία τότε δύναται να ασκήσει το δικαίωμα πρόσβασης στα δεδομένα αυτά.

ΣΤ.1.3 Δικαίωμα στη διόρθωση δεδομένων (βάσει του άρθρου 15 του Κανονισμού). Το Υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν είτε τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.

ΣΤ.1.4 Δικαίωμα στη λήθη (βάσει του άρθρου 16). Είναι το δικαίωμα του υποκειμένου των δεδομένων να αιτηθεί τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν για τους αναφερόμενους στον κανονισμό λόγους.

ΣΤ.1.5 Δικαίωμα στον περιορισμό της επεξεργασίας (βάσει του άρθρου 18). Το υποκείμενο δύναται να αιτηθεί τον περιορισμό της επεξεργασίας όταν ισχύει ένας από τους περιοριστικά αναφερόμενους στον κανονισμό λόγους.

ΣΤ.1.6 Δικαίωμα στη φορητότητα των δεδομένων (βάσει του άρθρου 20). Πρόκειται για το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας και να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας.

ΣΤ.1.7 Δικαίωμα αντίρρησης/εναντίωσης (βάσει του άρθρου 21). Το υποκείμενο των δεδομένων δικαιούται να έχει πρόσβαση σε διοικητικές και δικαστικές διαδικασίες προκειμένου είτε να προσβάλλει μη νόμιμες επεξεργασίες είτε να διεκδικήσει την επανόρθωση της τυχόν βλάβης που έχει υποστεί.

ΣΤ.1.8 Δικαίωμα αντίρρησης στις περιπτώσεις profiling (βάσει του άρθρου 22). Δικαίωμα του υποκειμένου να προσβάλλει μη νόμιμες επεξεργασίες σε περιπτώσεις profiling.

ΣΤ.2 Η Επιχείρηση ή Εταιρεία θα πρέπει να εξασφαλίζει ότι τα υποκείμενα των δεδομένων μπορούν να ασκήσουν άπαντα τα ως άνω αναγραφόμενα δικαιώματα.

ΣΤ.2.1 Τα υποκείμενα των δεδομένων (Διαδικασία διαχείρισης αιτημάτων των υποκειμένων) μπορούν να υποβάλλουν:

  • Αιτήματα πρόσβασης δεδομένων.
  • Αιτήματα Τροποποίησης Προσωπικών Δεδομένων
  • Αιτήματα Διαγραφής δεδομένων
  • Αιτήματα Περιορισμού της Επεξεργασίας
  • Αιτήματα φορητότητας των δεδομένων
  • Αιτήματα Αντίρρησης/Εναντίωσης

ΣΤ.2.2 Η εταιρεία θα πρέπει να έχει αναπτύξει την διαδικασία διαχείρισης αιτημάτων των υποκειμένων των δεδομένων κατά τέτοιο τρόπο ώστε να δύναται διαχειριστεί τα αιτήματα τους.

Ζ. Συγκατάθεση των Υποκειμένων.

Ζ.1 Όταν η επεξεργασία βασίζεται σε συγκατάθεση, η Επιχείρηση ή Εταιρεία δύναται να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Ζ.2 Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.

Ζ.3 Η Επιχείρηση ή Εταιρεία κατανοεί τις προϋποθέσεις και την απαραίτητη προϋπόθεση της νομιμότητας της «συγκατάθεσης» που σημαίνει ότι το υποκείμενο των δεδομένων έχει ενημερωθεί πλήρως για την επεξεργασία των προσωπικών δεδομένων (Έντυπο Ενημέρωσης για την Επεξεργασία Προσωπικών Δεδομένων) και ότι έχει δώσει τη συναίνεση του αυτοβούλως και ελεύθερα και χωρίς να του έχει ασκηθεί  οποιοδήποτε είδος πιέσης. Η συναίνεση που αποκτάται υπό την πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία και δεν θα πρέπει να λαμβάνεται υπ’όψιν ως παρέχουσα έννομα αποτελέσματα.

Ζ.4. Η συγκατάθεση προσωπικών δεδομένων ειδικού χαρακτήρα πρέπει να είναι ρητή (Διαδικασία Διαχείρισης της Επεξεργασίας Προσωπικών Δεδομένων, Έντυπο Ρητής Συγκατάθεσης, Έντυπο Ενημέρωσης για την επεξεργασία προσωπικών Δεδομένων) και αναντίρρητη.

Ζ.5 Το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει σε κάθε χρονική στιγμή τη συγκατάθεσή του. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη παρασχεθείσα προ της ανωτέρω ανακλήσεως συγκατάθεση (Διαδικασία Διαχείρισης Αιτήσεων Ατης Συγκατάθεσης).

Ζ.6 Σε περίπτωση παιδιών ηλικίας κάτω των 16 ετών, η συγκατάθεση είναι σύννομη μόνο εάν η συγκατάθεση αυτή παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Ζ.7. Σε περίπτωση ηλεκτρονικής συγλατάθεσης η Επιχείρηση ή Εταιρεία θα υιοθετήσει την πολιτική ηλεκτρονικής συγκατάθεσης.

Η. Εμπιστευτικότητα Δεδομένων Προσωπικού Χαρακτήρα.

Η.1 Η Επιχείρηση ή Εταιρεία πρέπει να διασφαλίζει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα προς τούτο άτομα, συμπεριλαμβανομένων συγγενών, μελών της οικογένειας, φίλων κ.λπ. Όλοι οι υπάλληλοι θα πρέπει να είναι προσεκτικοί όταν καλούνται να αποκαλύψουν προσωπικά δεδομένα που επεξεργάζεται η Επιχείρηση ή Εταιρεία σε τρίτα άτομα και θα πρέπει προτού προβούν σε τέτοια αποκάλυψη να ταυτοποιήσουν το υποκείμενο. Η Επιχείρηση ή Εταιρεία και οι υπάλληλοι αυτής θα πρέπει να γνωρίζουν κατά πόσον η ανωτέρω αποκάλυψη των πληροφοριών είναι σχετική και αναγκαία για τη διεξαγωγή των δραστηριοτήτων της Επιχείρησης ή Εταιρείας.

Η.2. Η Επιχείρηση ή Εταιρεία θα πρέπει να υπογράψει με όλους τους συνεργάτες και το προσωπικό της συμβάσεις εμπιστευτικότητας.

Θ. Διατήρηση και διάθεση προσωπικών δεδομένων

Θ.1 Η Επιχείρηση ή Εταιρεία θα πρέπει να διατηρεί τα προσωπικά δεδομένα σε τέτοια μορφή που να μην επιτρέπει τον προσδιορισμό των υποκειμένων των δεδομένων για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο, σε σχέση με τον (τους) σκοπό (ους) για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.

Θ.2 Η Επιχείρηση ή Εταιρεία μπορεί να αποθηκεύει προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από το χρονικό διάστημα που είναι αναγκαίο για τον (τους) σκοπό (ούς) εάν τα προσωπικά δεδομένα πρόκειται να υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης, για λόγους δημόσιου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

Θ.3 Η περίοδος διατήρησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα θα καθορίζεται στη Έντυπο Διατήρησης των Αρχείων μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου, συμπεριλαμβανομένων τυχόν υποχρεωτικών νομικών υποχρεώσεων της Επιχείρησης ή Εταιρείας.

Θ.4 Η διάθεση δεδομένων θα γίνεται σύμφωνα με τη Διαδικασία Ασφαλούς Διάθεσης.

Ι. Ασφάλεια Δεδομένων Προσωπικού Χαρακτήρα

Δεδομένων των τελευταίαν εξελίξεων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης κινδύνου και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων- υποκειμένων της επεξεργασίας, η Επιχείρηση ή Εταιρεία εφαρμόζει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίσει το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Συνεπώς κατόπιν των ανωτέρω η Επιχείρηση ή Εταιρεία:

Ι.1 Έχει καταγράψει τις δραστηριότητες της επεξεργασίας στο Αρχείο Δραστηριοτήτων της Επεξεργασίας (Διαδικασία Διαχείρισης της επεξεργασίας, Έντυπο Αρχείο Δραστηριοτήτων της Επεξεργασίας).

Ι.2 Έχει προβεί στην εκπόνηση εκτίμησης του Αντίκτυπου (Διαδικασία Εκπόνησης Εκτίμησης του Αντίκτυπου).

Ι.3 Έχει Εφαρμόσει τα κατάλληλα Τεχνικά και Οργανωτικά μέτρα (Έντυπο Δήλωση Εφαρμοσιμότητας) για την προστασία των προσωπικών δεδομένων και την διαχείριση της επικινδυνότητας (Aνάλυση Αποκλίσεων και Πλάνο Συμμόρφωσης) συμπεριλαμβανομένων λ.χ. τεχνολογιών κρυπτογράφησης, προστασίας από ιούς, συστήματα τείχους προστασίας.

Κ. Διαχείριση Περιστατικών Παραβίασης Προσωπικών Δεδομένων

Κ.1 Σε τυχόν περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η Επιχείρηση ή Εταιρεία γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δεν πραγματοποιείται εντός των ως άνω 72 ωρών, τότε αυτή θα πρέπει να συνοδεύεται από αιτιολόγηση για την εν λόγω καθυστέρηση.

Κ.2 Η διαχείριση των περιστατικών ασφαλείας καθώς και η γνωστοποίηση της παραβίασης των    προσωπικών δεδομένων περιγράφονται στην Διαδικασία Διαχείρισης Περιστατικών Ασφαλείας.

Λ. Καταγραφή των Δραστηριοτήτων της Επεξεργασίας και Εκπόνηση της Εκτίμησης του Αντίκτυπου στην ιδιωτικότητα

Λ.1 Η Επιχείρηση ή Εταιρεία καταγράφει κάθε δραστηριότητα της επεξεργασίας των προσωπικών δεδομένων ως τμήμα της διαδικασίας εκπόνησης εκτίμησης του αντίκτυπου στην ιδιωτικότητα σε αρχείο (Αρχείο Δραστηριοτήτων της Επεξεργασίας).

Λ.2. Το ανωτέρω αρχείο δραστηριοτήτων της επεξεργασίας περιλαμβάνει όλες τις κατωτέρω πληροφορίες:

  • τους σκοπούς της επεξεργασίας,
  • την περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
  • τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
  • όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο του Κανονισμού της τεκμηρίωσης των κατάλληλων εγγυήσεων,
  • όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,
  • όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 του Κανονισμού, παράγραφος 1.

Λ. 3. Η Επιχείρηση ή Εταιρεία θα πρέπει να θέσει το αρχείο στη διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αρχής κατόπιν αιτήματος της αρχής αυτής.

Λ.4. Η Επιχείρηση ή Εταιρεία προσδιορίζει και αξιολογεί τους κινδύνους για τα υποκείμενα που συνδέονται με την επεξεργασία των προσωπικών δεδομένων σύμφωνα με την διαδικασία εκπόνησης εκτίμησης του αντίκτυπου στην ιδιωτικότήτα.

Μ. Διαβίβαση Προσωπικών Δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς

Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό αυτής οφείλει να πραγματοποιηθεί σύμφωνα με την Διαδικασία Διαβίβασης Προσωπικών Δεδομένων σε Τρίτη Χώρα.