Πολιτική Προστασίας Προσωπικών Δεδομένων
Το παρόν έγγραφο περιγράφει την πολιτική για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, των δεδομένων των ποινικών καταδίκων/παραβάσεων και τη συμμόρφωση με τις ισχύουσες κανονιστικές απαιτήσεις.
Ορισμοί
Για την εφαρμογή αυτής της πολιτικής, πρέπει να διευκρινιστούν οι παρακάτω όροι:
Ως «προσωπικά δεδομένα» νοούνται οι πληροφορίες που αφορούν ένα ζωντανό φυσικό πρόσωπο (και οι ατομικές επιχειρήσεις),το οποίο δύναται να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε ένα αναγνωριστικό στοιχείο όπως σε όνομα, αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Ειδικές κατηγορίες προσωπικών δεδομένων, είναι προσωπικά δεδομένα που περιλαμβάνουν πληροφορίες σχετικά με (α) τη φυλετική ή εθνοτική καταγωγή του υποκειμένου των δεδομένων, (β) τα πολιτικά του φρονήματα, (γ) τις θρησκευτικές πεποιθήσεις του ή άλλες παρόμοιες πεποιθήσεις , δ) την συμμετοχή του σε συνδικαλιστική οργάνωση, ε) τη σωματική ή ψυχική του υγεία ή κατάσταση, στ) τη σεξουαλική ζωή του, ζ) τη διάπραξη ή την φερόμενη διάπραξη από αυτόν οποιουδήποτε αδικήματος ή η) οποιαδήποτε διαδικασία για οποιαδήποτε αξιόποινη πράξη που διαπράχθηκε ή φέρεται να έχει διαπραχθεί από αυτόν, τον τερματισμό της εν λόγω διαδικασίας ή την επιβληθείσα ποινή οποιουδήποτε δικαστηρίου.
Επεξεργασία δεδομένων, σε σχέση με πληροφορίες ή δεδομένα, σημαίνει συλλογή, καταγραφή ή κατοχή των πληροφοριών ή των δεδομένων ή διεξαγωγή οποιασδήποτε πράξης ή σειράς πράξεων στις πληροφορίες ή τα δεδομένα, συμπεριλαμβανομένων: α) της οργάνωσης, της προσαρμογής ή της τροποποίησης των πληροφοριών ή των δεδομένων, (β) της ανάκτησης, διαβούλευσης ή χρήσης των πληροφοριών ή των δεδομένων, (γ) της κοινολόγησης των πληροφοριών ή των δεδομένων με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης ή (δ) της συσχέτισης, του συνδυασμού, του αποκλεισμού, της διαγραφής ή καταστροφής των πληροφοριών ή των δεδομένων .
Υποκείμενο Δεδομένων, είναι το φυσικό πρόσωπο (και οι ατομικές επιχειρήσεις), το οποίο αποτελεί το Υποκείμενο των προσωπικών δεδομένων.
Ως Υπεύθυνος Επεξεργασίας δεδομένων, νοείται ένα νομικό πρόσωπο το οποίο (είτε μόνο του είτε από κοινού ή από κοινού με άλλους Υπευθύνους Επεξεργασίας) καθορίζει τους σκοπούς για τους οποίους και τον τρόπο με τον οποίο υποβάλλονται ή πρόκειται να υποβληθούν σε επεξεργασία δεδομένα προσωπικού χαρακτήρα.
Εκτελών την επεξεργασία, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, νοείται κάθε φυσικό ή νομικό πρόσωπο εκτός από τον υπεύθυνο επεξεργασίας δεδομένων το οποίο επεξεργάζεται τα δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας Δεδομένων.
Ως τρίτο μέρος, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, νοείται κάθε πρόσωπο εκτός από: α) το Υποκείμενο των δεδομένων, β) τον Υπεύθυνο Επεξεργασίας Δεδομένων, ή γ) κάθε Εκτελούντα την επεξεργασία δεδομένων ή άλλο πρόσωπο εξουσιοδοτημένο να επεξεργάζεται δεδομένα για τον Υπεύθυνο Επεξεργασίας δεδομένων ή τον Εκτελούντα την επεξεργασία.
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Διασφαλίζουμε την πλήρη συμμόρφωση με το ισχύον Νομικό Πλαίσιο Προστασίας Δεδομένων, συμπεριλαμβανομένου του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και επεξεργαζόμαστε τα προσωπικά δεδομένα σύμφωνα με τις ισχύουσες βασικές αρχές. Σε αυτό το πλαίσιο, διασφαλίζουμε ότι τα προσωπικά δεδομένα:
- Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με τα υποκείμενα των δεδομένων.
Οι νόμιμες βάσεις για την επεξεργασία περιγράφονται παρακάτω. Διασφαλίζουμε ότι μία από αυτές εφαρμόζεται όταν επεξεργαζόμαστε προσωπικά δεδομένα:
Συναίνεση: το άτομο έχει παράσχει σαφή και αδιαμφισβήτητη συναίνεση, επιτρέποντάς μας να επεξεργαστούμε τα προσωπικά δεδομένα για συγκεκριμένο σκοπό.
Σύμβαση: η επεξεργασία είναι απαραίτητη για την εκτέλεση μίας σύμβασης μεταξύ ημών και του φυσικού προσώπου ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.
Νομική υποχρέωση: η επεξεργασία είναι απαραίτητη για να συμμορφωθούμε με το νόμο (μη συμπεριλαμβανομένων των συμβατικών υποχρεώσεων).
Ζωτικά συμφέροντα: η επεξεργασία είναι απαραίτητη για την προστασία της ζωής κάποιου ή άλλων ζωτικών συμφερόντων.
Δημόσιο συμφέρον: η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον.
Έννομα συμφέροντα: η επεξεργασία είναι απαραίτητη για την επιδίωξη των έννομων συμφερόντων ή των έννομων συμφερόντων τρίτου, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον του υποκειμένου των δεδομένων.
- Συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης για λόγους γενικού συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς.
- Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και όχι υπέρμετρα σε σχέση με το σκοπό ή τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Συγκεκριμένα για τις περιόδους διατήρησης, ανατρέξτε στην «Πολιτική Διατήρησης και Καταστροφής Δεδομένων».
- Ακριβή και, όταν είναι αναγκαίο, επικαιροποιημένα. Πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι τα δεδομένα που είναι ανακριβή, λαμβανομένων υπόψη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση.
- Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτούνται από το ισχύον κανονιστικό πλαίσιο προστασίας δεδομένων, προκειμένου να διαφυλαχθούν τα δικαιώματα και οι ελευθερίες των ατόμων.
- Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των προσωπικών δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων.
- Δεν διαβιβάζονται σε χώρα ή έδαφος εκτός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν η εν λόγω χώρα ή επικράτεια εξασφαλίζει επαρκές επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των Υποκειμένων των δεδομένων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Ειδικές κατηγορίες προσωπικών δεδομένων
Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων
Οι Ειδικές Κατηγορίες Προσωπικών Δεδομένων, όπως περιγράφονται στους ανωτέρω ορισμούς, ενέχουν σημαντικότερους κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες ενός φυσικού προσώπου, εάν δεν τυγχάνουν νόμιμης επεξεργασίας ή/και δεν προστατεύονται επαρκώς. Για παράδειγμα, η μη εξουσιοδοτημένη χρήση τέτοιων δεδομένων θα μπορούσε να οδηγήσει σε κίνδυνο παράνομων διακρίσεων. Υπάρχουν ορισμένες προϋποθέσεις που πρέπει να πληρούνται προκειμένου να επιτρέπεται η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων, όπως για παράδειγμα:
- Το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς
- Η επεξεργασία είναι απαραίτητη για την εκπλήρωση των υποχρεώσεων και την άσκηση των συγκεκριμένων δικαιωμάτων της Εταιρείας στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από νόμο ή συλλογική σύμβαση, η οποία παρέχει επίσης κατάλληλες εγγυήσεις
- Η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, όταν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί
- Η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων
- Η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό την δικαιοδοτική τους ιδιότητα
- Η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος
- Η επεξεργασία είναι απαραίτητη για τους σκοπούς της προληπτικής ή επαγγελματικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασίας του εργαζομένου, την ιατρική διάγνωση, την παροχή υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας
- Η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία από σοβαρές διασυνοριακές απειλές κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων.
Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις ή συναφή μέτρα ασφαλείας πραγματοποιείται μόνο υπό τον έλεγχο επίσημης αρχής ή όταν η επεξεργασία επιτρέπεται από το νόμο, προβλέποντας επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
Παιδιά
Τα παιδιά χρήζουν ειδικής προστασίας κατά τη συλλογή και επεξεργασία των προσωπικών τους δεδομένων, επειδή ενδέχεται να μην έχουν επίγνωση των σχετικών κινδύνων. Η συμμόρφωση με τις αρχές προστασίας των δεδομένων και ιδίως με τη νομιμότητα πρέπει να αποτελεί κεντρικό άξονα της επεξεργασίας των προσωπικών δεδομένων των παιδιών.
Τα παιδιά έχουν τα ίδια δικαιώματα με τους ενήλικες αναφορικά με τα προσωπικά τους δεδομένα. Αυτά περιλαμβάνουν το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα, το δικαίωμα διόρθωσης και διαγραφής αυτών, ή το δικαίωμα να αντιταχθούν στην επεξεργασία των προσωπικών τους δικαιωμάτων.
Το δικαίωμα διαγραφής των προσωπικών δεδομένων ενός φυσικού προσώπου έχει ιδιαίτερη σημασία αν παρασχέθηκε η συγκατάθεσή του για την επεξεργασία αυτών όταν ήταν παιδί.
Δεν προβαίνουμε σε επεξεργασία προσωπικών δεδομένων παιδιών ούτε δεχόμαστε προς επεξεργασία δεδομένα ανηλίκων
Ατομικά Δικαιώματα
Δικαιώματα των Υποκειμένων των Προσωπικών Δεδομένων | |
Δικαίωμα ενημέρωσης | Το Υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τη συλλογή και χρήση των προσωπικών του δεδομένων |
Δικαίωμα πρόσβασης | Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα σε σύντομη, κατανοητή, διαφανή και εύκολα προσβάσιμη μορφή . |
Δικαίωμα διόρθωσης | Το Υποκείμενο Δεδομένων μπορεί να ζητήσει και ο Υπεύθυνος Επεξεργασίας θα διασφαλίσει ότι χωρίς αδικαιολόγητη καθυστέρηση θα προβεί στη διόρθωση ανακριβών ή ελλιπών Προσωπικών Δεδομένων, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. |
Δικαίωμα διαγραφής | Το Υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον Υπεύθυνο της Επεξεργασίας τη διαγραφή των Προσωπικών Δεδομένων που τον αφορούν, χωρίς αδικαιολόγητη καθυστέρηση και ο Υπεύθυνος της επεξεργασίας υποχρεούται να προβεί στη διαγραφή, υπό τις προϋποθέσεις που ορίζει ο νόμος. |
Δικαίωμα περιορισμού
της επεξεργασίας |
Το Υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον Υπεύθυνο της επεξεργασίας να περιορίσει τις δραστηριότητες επεξεργασίας του μόνο σε συγκεκριμένους σκοπούς, υπό τις προϋποθέσεις που ορίζει ο νόμος. |
Δικαίωμα εναντίωσης | Το Υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. |
Δικαίωμα στη φορητότητα
των δεδομένων |
Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει στον Υπεύθυνο της επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. |
Δικαίωμα απόκτησης ανθρώπινης παρέμβασης | Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. |
Σεβόμαστε τα προαναφερθέντα δικαιώματα και διευκολύνουμε τα υποκείμενα των δεδομένων στην άσκησή τους, δημιουργώντας σχετικές αιτήσεις. Για λεπτομέρειες σχετικά με την υποβολή των αιτημάτων των υποκειμένων των δεδομένων, παρακαλούμε ανατρέξτε στη «Διαδικασία Διαχείρισης Αιτημάτων Υποκειμένων Προσωπικών Δεδομένων».
Λογοδοσία και διακυβέρνηση
Σύμφωνα με την αρχή της λογοδοσίας, έχουμε υιοθετήσει πολιτικές και μέτρα προκειμένου να επιτύχουμε συμμόρφωση με όλες τις ισχύουσες υποχρεώσεις προστασίας δεδομένων, αλλά και να διασφαλίσουμε ότι η συμμόρφωση μπορεί να αποδειχθεί επαρκώς. Για το σκοπό αυτό:
- Εφαρμόζουμε κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσουμε και να αποδείξουμε τη συμμόρφωση.
- Έχουμε υιοθετήσει και εφαρμόσει ένα Πλαίσιο Προστασίας Δεδομένων, συμπεριλαμβανομένης της παρούσας Πολιτικής Προστασίας Δεδομένων, των Διαδικασιών διαχείρισης αιτημάτων υποκειμένων δεδομένων και διαχείρισης τυχόν πραγματικών ή πιθανών παραβιάσεων δεδομένων, της Πολιτικής Ασφάλειας Πληροφοριών, της εκπαίδευσης του προσωπικού, των εσωτερικών ελέγχων των δραστηριοτήτων επεξεργασίας και της τακτικής επανεξέτασης των εσωτερικών πολιτικών και διαδικασιών που εμπεριέχουν επεξεργασία δεδομένων προσωπικού χαρακτήρα.
- Διατηρούμε σχετική τεκμηρίωση σχετικά με τις δραστηριότητες επεξεργασίας σε οργανωμένο και συνεχώς ενημερωμένο αρχείο δραστηριοτήτων επεξεργασίας.
- Έχουμε ορίσει Υπεύθυνο Προστασίας Δεδομένων ή έχουμε εξουσιοδοτήσει κατάλληλο πρόσωπο ως υπεύθυνο για την προστασία των προσωπικών δεδομένων.
- Εφαρμόζουμε μέτρα και πολιτικές που πληρούν τις αρχές της προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.
- Εξασφαλίζουμε την ελαχιστοποίηση των δεδομένων και, όπου ενδείκνυται, εφαρμόζουμε μέτρα όπως ψευδωνυμοποίηση ή κρυπτογράφηση, δημιουργώντας και βελτιώνοντας συνεχώς τα χαρακτηριστικά ασφαλείας.
- Διενεργούμε Εκτίμηση Αντικτύπου σχετικά με την προστασία δεδομένων, όπου ενδείκνυται.
Συμβάσεις
Κάθε τρίτος που ενεργεί ως Εκτελών την Επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτείται να συμβληθεί μέσω γραπτής σύμβασης με εμάς. Η σύμβαση είναι σημαντική ώστε τα δύο μέρη να κατανοήσουν τις ευθύνες και τις υποχρεώσεις τους.
Όταν ενεργούμε ως Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων, ευθυνόμαστε για τη συμμόρφωσή της με το ισχύον νομικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα και πρέπει να ορίσουμε μόνο Εκτελούντες την Επεξεργασία που μπορούν να παρέχουν «επαρκείς εγγυήσεις» ότι θα τηρηθούν οι απαιτήσεις του ισχύοντος νομικού πλαισίου και ότι τα δικαιώματα των υποκειμένων των δεδομένων προστατεύονται. Η συνεργασία με έναν Εκτελούντα την Επεξεργασία που συμμορφώνεται με εγκεκριμένο κώδικα δεοντολογίας ή με εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να συμβάλει στο μέλλον στην ικανοποίηση αυτής της απαίτησης – αν και προς το παρόν δεν υπάρχουν τέτοια συστήματα που να πιστοποιούν τη συμμόρφωση με το νομικό πλαίσιο προστασίας δεδομένων (π.χ. συμμόρφωση με τον ΓΚΠΔ).
Ωστόσο, θα λαμβάνονται υπόψη οι πιστοποιήσεις που επαληθεύουν τη συμμόρφωση με συγκεκριμένες απαιτήσεις τεχνικής ή ενημερωτικής ασφάλειας, οι οποίες είναι σημαντικές για την αξιολόγηση των οργανωτικών και τεχνικών μέτρων ενός Εκτελούντος την Επεξεργασία και οι οποίες αποσκοπούν στην εξασφάλιση της ασφάλειας των υπό επεξεργασία προσωπικών δεδομένων. Οι Εκτελούντες την Επεξεργασία πρέπει να ενεργούν μόνο βάσει των καταγεγραμμένων εντολών μας. Ωστόσο, παραμένουν άμεσα υπεύθυνοι έναντι των αρχών για μια σειρά υποχρεώσεων και ενδέχεται να υπόκεινται σε πρόστιμα ή άλλες κυρώσεις εάν δεν συμμορφώνονται.
Διεθνείς διαβιβάσεις
Το ισχύον νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων επιβάλλει περιορισμούς στη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (Ε.Ο.Χ.), σε τρίτες χώρες ή σε διεθνείς οργανισμούς. Αυτοί οι περιορισμοί ισχύουν προκειμένου να μην υπονομευθεί το επίπεδο προστασίας των ατόμων το οποίο παρέχεται από το ευρωπαϊκό και το τοπικό πλαίσιο. Τα προσωπικά δεδομένα μπορούν να μεταφερθούν εκτός του Ε.Ο.Χ., εφόσον ο οργανισμός που λαμβάνει τα προσωπικά δεδομένα έχει παράσχει κατάλληλες εγγυήσεις. Πρέπει να υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.
Όταν μια δραστηριότητα επεξεργασίας ή μια συμφωνία με τρίτο περιλαμβάνει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, ο ιδιοκτήτης της επιχείρησης ζητά τη συμβουλή του Υπεύθυνου Προστασίας Δεδομένων ή άλλου κατάλληλου προσώπου, που έχουμε εξουσιοδοτήσει ως υπεύθυνο για την προστασία των προσωπικών δεδομένων, σχετικά με την διαβίβαση και τις απαιτούμενες εγγυήσεις.
Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού
Προστασία των δεδομένων ήδη από το σχεδιασμό σημαίνει ότι κάθε δραστηριότητά μας που εμπεριέχει επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται σύμφωνα με την προστασία δεδομένων και την προστασία της ιδιωτικής ζωής σε κάθε βήμα. Στην πράξη, αυτό σημαίνει ότι σε οποιοδήποτε τμήμα που επεξεργαζόμαστε δεδομένα προσωπικού χαρακτήρα πρέπει να διασφαλίζουμε ότι η προστασία της ιδιωτικής ζωής ενσωματώνεται σε ένα σύστημα καθ ‘όλη τη διάρκεια του κύκλου ζωής του συστήματος ή της διαδικασίας.
Η Προστασία Δεδομένων εξ ορισμού σημαίνει ότι μόλις αναπτυχθεί ένα προϊόν ή μια υπηρεσία, οι ρυθμίσεις απορρήτου θα πρέπει να ισχύουν εξ ορισμού, χωρίς καμία χειροκίνητη εισαγωγή από τον τελικό χρήστη. Επιπλέον, τα προσωπικά δεδομένα που παρέχει ο χρήστης για να επιτρέψουν τη βέλτιστη χρήση ενός προϊόντος θα πρέπει να διατηρούνται μόνο για το χρονικό διάστημα που απαιτείται για την παροχή του προϊόντος ή της υπηρεσίας. Εάν αποκαλυφθούν περισσότερες πληροφορίες από ό, τι είναι αναγκαίες για την παροχή της υπηρεσίας, έχει παραβιαστεί η «προστασία απορρήτου εξ ορισμού».
Σύμφωνα με τον ΓΚΠΔ, θεσπίζεται γενική υποχρέωση εφαρμογής τεχνικών και οργανωτικών μέτρων για να αποδειχθεί ότι η προστασία των δεδομένων έχει εξεταστεί και ενσωματωθεί σε κάθε δραστηριότητα επεξεργασίας.
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)
Η Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων είναι μια διαδικασία που μας βοηθά να εντοπίσουμε και να ελαχιστοποιήσουμε τους κινδύνους προστασίας δεδομένων ενός έργου. Μια DPIA πρέπει να εκτελείται για ορισμένα είδη επεξεργασίας που απαριθμούνται στον κατάλογο ή οποιαδήποτε άλλη επεξεργασία που ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων. Ο υπεύθυνος προστασίας δεδομένων ή ο κατάλληλα εξουσιοδοτημένος εκπρόσωπός μας θα πρέπει πάντα να παρέχει συμβουλές για την εκτίμηση του πιθανού αντικτύπου και του επιπέδου κινδύνου που ενέχεται σε νέες ή τροποποιημένες δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ως βέλτιστη πρακτική, μπορούμε επίσης να επιλέξουμε να εκτελέσουμε μια DPIA για οποιοδήποτε σημαντικό έργο το οποίο εμπεριέχει επεξεργασία προσωπικών δεδομένων.
Η DPIA τεκμηριώνεται δεόντως και εκτελείται με τη συνδρομή του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) ή κατάλληλα εξουσιοδοτημένου εκπροσώπου μας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Όταν τα αποτελέσματα της Εκτίμησης αντικτύπου υποδεικνύουν ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, πρέπει να κοινοποιείται στην εποπτική αρχή και να λαμβάνεται η άποψή της σχετικά με τα κατάλληλα μέτρα για τη μείωση των κινδύνων.
Παραβιάσεις προσωπικών δεδομένων
Η παραβίαση προσωπικών δεδομένων μπορεί να οριστεί ευρέως ως ένα συμβάν το οποίο αφορά την ασφάλεια και έχει επηρεάσει την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα των προσωπικών δεδομένων. Αυτό περιλαμβάνει περιστατικά που είναι αποτέλεσμα τόσο τυχαίων όσο και σκόπιμων ενεργειών ή παραλείψεων. Με λίγα λόγια, θα υπάρξει παραβίαση προσωπικών δεδομένων όποτε χάνονται, καταστρέφονται, αλλοιώνονται ή αποκαλύπτονται παράνομα τυχόν προσωπικά δεδομένα, όταν κάποιος αποκτά πρόσβαση στα δεδομένα ή τα διαβιβάζει χωρίς τη δέουσα εξουσιοδότηση ή όταν τα δεδομένα δεν είναι διαθέσιμα, για παράδειγμα, όταν έχουν κρυπτογραφηθεί με ransomware ή έχουν χαθεί ή καταστραφεί τυχαία.
Εάν η παραβίαση των δεδομένων ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, θα την γνωστοποιήσουμε στην αρμόδια εποπτική αρχή εντός 72 ωρών από τη στιγμή που θα λάβουμε γνώση της παραβίασης όπου αυτό είναι εφικτό. Εάν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τα πρόσωπα αυτά πρέπει επίσης να ενημερώνονται χωρίς αδικαιολόγητη καθυστέρηση. Καταγράφεται η ύπαρξη τυχόν παραβιάσεων δεδομένων προσωπικού χαρακτήρα σε αρχείο που διατηρούμε, ανεξάρτητα από το αν τελικά απαιτείται γνωστοποίηση προς την ΑΠΔΠΧ ή/και προς τα υποκείμενα των δεδομένων.
Οργάνωση Προστασίας Προσωπικών Δεδομένων
Για την επιτυχή προστασία των προσωπικών δεδομένων πρέπει να καθοριστούν πρόσθετοι ρόλοι και ευθύνες. Οι ρόλοι και οι ευθύνες περιγράφονται κατωτέρω.
Υπεύθυνος επεξεργασίας δεδομένων
Ο Υπεύθυνος Επεξεργασίας, όπως αναφέρθηκε ανωτέρω, ορίζει τον σκοπό και τα μέσα επεξεργασίας και είναι υπεύθυνος για την κατάλληλη επεξεργασία δεδομένων προσωπικού χαρακτήρα και την τήρηση των απαιτήσεων προστασίας και ασφάλειας δεδομένων. Ο Υπεύθυνος Επεξεργασίας δεδομένων είναι υπεύθυνος για:
- Την εφαρμογή της τρέχουσας πολιτικής.
- Την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας για την προστασία προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή πρόσβαση.
- Την εφαρμογή της αρχής της προστασίας ήδη από το σχεδιασμό και την αρχή της προστασίας εξ ορισμού, δηλαδή την εξέταση των ανωτέρω μέτρων, τόσο κατά τη φάση σχεδιασμού των δραστηριοτήτων επεξεργασίας όσο και κατά τη φάση υλοποίησης κάθε νέου προϊόντος ή υπηρεσίας.
- Την επιλογή Εκτελούντων την Επεξεργασία και τρίτων οι οποίοι ενεργούν μόνο βάσει των καταγεγραμμένων οδηγιών του Υπεύθυνου Επεξεργασίας.
- Την γνωστοποίηση στην εποπτική αρχή και στο υποκείμενο των δεδομένων (κατά περίπτωση) για την παραβίαση προσωπικών δεδομένων σύμφωνα με τη σχετική διαδικασία.
- Την εφαρμογή όλων των απαραίτητων μέσων για την αποτελεσματική άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και
- Την διεξαγωγή της εκτίμησης αντικτύπου με τη συνδρομή του Υπεύθυνου Προστασίας Δεδομένων.
Εκτελών την Επεξεργασία
Ο Εκτελών την Επεξεργασία είναι υπεύθυνος για:
- Να ενεργεί μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας
- Να επιβάλλει δεσμεύσεις τήρησης εμπιστευτικότητας σε όλο το προσωπικό που επεξεργάζεται τα σχετικά δεδομένα
- Να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται
- Να συμμορφώνεται με τους κανόνες σχετικά με το διορισμό τρίτων
- Να εφαρμόζει μέτρα για να επικουρεί τον υπεύθυνο της επεξεργασίας στην συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων
- Να συνδράμει τον Υπεύθυνο επεξεργασίας να λάβει έγκριση από τις εποπτικές αρχές όπου απαιτείται
- Να επιστρέψει ή να καταστρέψει τα προσωπικά δεδομένα στο τέλος της σχέσης κατ’ επιλογή του υπεύθυνου της επεξεργασίας (εκτός εάν απαιτείται από τη νομοθεσία της ΕΕ ή των κρατών μελών) και
- Να παρέχει στον ελεγκτή όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ.
Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ)
Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) είναι ανεξάρτητος, ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα, διαθέτει εμπειρία στον τομέα της προστασίας δεδομένων, διαθέτει επαρκείς πόρους και λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο.
Ο Υπεύθυνος Προστασίας Δεδομένων ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα είναι υπεύθυνος:
- Να ενημερώνει και να συμβουλεύει εμάς και τους υπαλλήλους μας σχετικά με τις υποχρεώσεις συμμόρφωσης με το ισχύον νομικό πλαίσιο για την προστασία δεδομένων προσωπικού χαρακτήρα της ΕΕ και των κρατών μελών.
- Να παρακολουθεί τη συμμόρφωση με το εφαρμοστέο νομικό πλαίσιο προστασίας δεδομένων και με τις πολιτικές προστασίας των δεδομένων μας, συμπεριλαμβανομένης της διαχείρισης των εσωτερικών δραστηριοτήτων προστασίας δεδομένων και την ευαισθητοποίηση σχετικά με θέματα προστασίας δεδομένων, την κατάρτιση του προσωπικού και τη διενέργεια εσωτερικών ελέγχων.
- Να συνδράμει και να παρακολουθεί τις εκτιμήσεις αντικτύπου για την προστασία των δεδομένων.
- Να συνεργάζεται με την εποπτική αρχή.
- Να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή και για τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.).
Κατά την εκτέλεση των καθηκόντων του, ο ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα οφείλει να λαμβάνει υπόψη τον κίνδυνο που συνδέεται με την υφιστάμενη επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο ΥΠΔ πρέπει να δώσει προτεραιότητα και να επικεντρωθεί στις δραστηριότητες που ενέχουν μεγαλύτερο κίνδυνο, όπως για παράδειγμα όταν επεξεργάζονται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα ή όπου οι πιθανές επιπτώσεις για τα άτομα ενδέχεται να είναι επιζήμιες.
Διασφαλίζουμε ότι ο ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα:
- Συμμετέχει στενά και σε εύθετο χρόνο σε όλα τα θέματα προστασίας δεδομένων και αναφέρεται στο ανώτερο διοικητικό επίπεδο, λειτουργεί ανεξάρτητα, δεν απολύεται και δεν υφίσταται κυρώσεις για την εκτέλεση των καθηκόντων του·
- Διαθέτει επαρκείς πόρους (επαρκής χρόνος, χρηματοδότηση, υποδομή και, ενδεχομένως, προσωπικό) για την εκπλήρωση των υποχρεώσεων του ισχύοντος νομικού πλαισίου προστασίας δεδομένων και για τη διατήρηση του απαιτούμενου επιπέδου εμπειρογνωσίας.
- Έχει την απαιτούμενη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε δραστηριότητες επεξεργασίας.
- Παρέχει συμβουλές κατά την διενέργεια μίας εκτίμησης αντικτύπου.
Τέλος, ο ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν φέρει προσωπική ευθύνη για τη συμμόρφωση έναντι της προστασίας δεδομένων. Ως Υπεύθυνος Επεξεργασίας ή Εκτελών την επεξεργασία παραμένει στην ευθύνη μας να συμμορφωθούμε με το εφαρμοστέο νομικό πλαίσιο προστασίας δεδομένων. Εντούτοις, ο ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα διαδραματίζει σαφώς καθοριστικό ρόλο στη συμβολή στην εκπλήρωση των υποχρεώσεων προστασίας των δεδομένων της μας.
Παρακολούθηση συμμόρφωσης
Όπως αναφέρθηκε ανωτέρω, ένα από τα καθήκοντα του ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα είναι η παρακολούθηση της συμμόρφωσης με το εφαρμοστέο νομικό πλαίσιο για την προστασία των δεδομένων και με τις εσωτερικές πολιτικές.
Για το σκοπό αυτό, όλο το προσωπικό φέρει την ευθύνη του να ενημερώνει τον ΥΠΔ ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα ή να ζητά συμβουλές όταν είναι απαραίτητο για τυχόν αλλαγές ή εισαγωγή νέων δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα (συμπεριλαμβανομένων εκείνων που εκτελούνται από τους Εκτελούντες την Επεξεργασία) προκειμένου να διασφαλιστεί η σωστή αξιολόγηση και ενημέρωση του Αρχείου Επεξεργασίας.
Επίσης πρέπει να εκτελούνται οι ακόλουθες περιοδικές εργασίες:
Εργασίες | Περίοδος επανεξέτασης |
Επεξεργασίες που καταχωρούνται στο αρχείο δραστηριοτήτων. Αυτό σημαίνει ότι θα πρέπει να γίνονται συναντήσεις με αρμόδια τμήματα, προκειμένου να επικυρώνεται η τρέχουσα κατάσταση ή να επικαιροποιείται όταν απαιτείται. | 1 έτος |
Αναθεώρηση των εκτιμήσεων αντικτύπου προστασίας δεδομένων (DPIA) που έχουν διενεργηθεί | 1-2 έτη
ή κατά την τροποποίηση των σχετικών δραστηριοτήτων επεξεργασίας |
Έλεγχος συμμόρφωσης των Εκτελούντων την Επεξεργασία τρίτων μερών σε δραστηριότητες υψηλού κινδύνου | 1 έτος |
Έλεγχος της συμμόρφωσης των Εκτελούντων την Επεξεργασία τρίτων μερών σε δραστηριότητες μη υψηλού κινδύνου | 1-2 έτη |
Πολιτικές, έντυπα συγκατάθεσης, ειδοποιήσεις περί απορρήτου, διαδικασίες, μεθοδολογίες και κάθε άλλη σχετική τεκμηρίωση που χρησιμοποιείται για τη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ | 1 έτος
ή κατά την πραγματοποίηση ουσιωδών μεταβολών |
Έλεγχος ασφάλειας των πληροφοριακών συστημάτων | 2 έτη |
Διενέργεια προσομοίωσης διαχείρισης παραβίασης δεδομένων | 2 έτη |
Η μη συμμόρφωση με την πολιτική προστασίας δεδομένων μπορεί να οδηγήσει σε πειθαρχικές ενέργειες συμπεριλαμβανομένης και της απόλυσης. Οι παραβιάσεις νομικών ή κανονιστικών υποχρεώσεων μπορούν να γνωστοποιούνται σε εξωτερικές αρχές και μπορεί να έχουν ως αποτέλεσμα ποινικές, αστικές ή διοικητικές κυρώσεις.
Αναθεώρηση εγγράφου
Η παρούσα πολιτική και όλα τα έγγραφα που σχετίζονται με αυτήν, επανεξετάζονται και αναθεωρούνται περιοδικά, όπου απαιτείται, από τον υπεύθυνο προστασίας δεδομένων ή άλλο εξουσιοδοτημένο πρόσωπο για την προστασία των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με την «Πολιτική Προστασίας Δεδομένων».