ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
(PRIVACY POLICY)
1. Αντικείμενο της πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα
Η επιχείρηση της Ελισσάβετ Ψαρρά, εδρεύει στα Ελευθέρια – Κορδελιό Θεσσαλονίκης επί της οδού Α. Παπανδρέου 59 εγγυάται τον σεβασμό του ιδιωτικού απορρήτου των φυσικών προσώπων που συναλλάσσονται μαζί της, καθώς και την προστασία των προσωπικών τους δεδομένων, είτε αυτά τηρούνται σε ψηφιακή είτε σε έντυπη μορφή, εντός ή εκτός των εγκαταστάσεών της. Για το λόγο αυτό, στο πλαίσιο του ισχύοντος εθνικού και ενωσιακού νομικού πλαισίου που διέπει την προστασία των προσωπικών δεδομένων, ιδίως του Γενικού Κανονισμού της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων 2016/679 EE (εφεξής «Κανονισμός») και του Νόμου 4624/2019, η επιχείρηση κοινοποιεί την παρούσα νόμιμη, εύλογη και διαφανή πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα, με σκοπό να παρέχει στα φυσικά πρόσωπα («υποκείμενα των δεδομένων») επαρκή ενημέρωση για τα δεδομένα προσωπικού χαρακτήρα, τα οποία συλλέγει και επεξεργάζεται κατά την παροχή των υπηρεσιών της προς το κοινό.
Η παρούσα πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα ισχύει και εφαρμόζεται σε όλες τις εγκαταστάσεις ή/και ψηφιακά περιβάλλοντα και εφαρμογές, τα οποία αναπτύσσει και υποστηρίζει η επιχείρηση. ή/και ανήκουν στην επιχείρηση. και σχετίζονται με τη δραστηριότητα αυτής (ενδεικτικά: (www. https://optikapsarraelsa.gr/)
Τα πλήρη στοιχεία της επιχείρησης είναι:
Ψαρρά Ελισσάβετ που εδρεύει στα Ελευθέρια – Κορδελιό Θεσσαλονίκης, επί της οδού Α. Παπανδρέου αρ. 59
Email: elsa.opto@yahoo.gr
Τηλέφωνο επικοινωνίας: 2310770216
Αντικείμενο της παρούσας Πολιτικής αποτελεί ο καθορισμός των βασικών αρχών και κανόνων, σύμφωνα με τους οποίους η επιχείρηση συλλέγει, αποθηκεύει και εν γένει επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται από την εθνική και ενωσιακή νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα και ειδικότερα τον Κανονισμό.
2. Ορισμοί
Για τους σκοπούς της παρούσης, οι παρακάτω έννοιες νοούνται ως εξής:
Δεδομένα Προσωπικού Χαρακτήρα | Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. |
Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα | Δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. |
Επεξεργασία | Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. |
Ανωνυμοποίηση | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων. |
Ψευδωνυμοποίηση | Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. |
Υπεύθυνος Επεξεργασίας | Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. |
Εκτελών την Επεξεργασία | Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. |
Συγκατάθεση | Του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. |
Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα | Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. |
Ισχύουσα Νομοθεσία | Οι διατάξεις της εκάστοτε υφιστάμενης Ελληνικής, Ενωσιακής ή άλλης Νομοθεσίας στην οποία υπάγεται η επιχείρηση και ορίζουν, άμεσα ή έμμεσα, ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά: ο Νόμος 4624/2019 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως ισχύει ο Νόμος 3471/2006 για την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του ν. 2472/1997, όπως ισχύει,η Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) όπως έχει τροποποιηθεί,ο Γενικός Κανονισμός 2016/679 (ΕΕ) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, ΓΚΠΔ) |
3. Γενικές Αρχές Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα
Η επιχείρηση κατά τη διενέργεια κάθε επεξεργασίας δεδομένων, φροντίζει να τηρεί τις γενικές αρχές που θεσπίζει ο Κανονισμός για τη σύννομη επεξεργασία Δεδομένων:
(i) Νομιμότητα, αντικειμενικότητα, διαφάνεια: Η επιχείρηση φροντίζει να συλλέγει και να επεξεργάζεται νόμιμα τα δεδομένα αυτά, με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Η δε συγκατάθεση του υποκειμένου, όταν απαιτείται, λαμβάνεται πάντα ελεύθερα.
(ii) Περιορισμός του σκοπού: Η επιχείρηση φροντίζει ώστε τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς (ΣτΕ 1616/2012).
(iii) Ελαχιστοποίηση των δεδομένων: Η επιχείρηση συλλέγει μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι κατάλληλα, συναφή και περιορισμένα στα απολύτως αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και δε συλλέγει περισσότερα δεδομένα.
(iv) Ακρίβεια: Η επιχείρηση καταβάλει τις απαραίτητες προσπάθειες, ώστε τα δεδομένα προσωπικού χαρακτήρα που διατηρεί και επεξεργάζεται να είναι πάντα ακριβή και επικαιροποιημένα. Σε κάθε περίπτωση, το υποκείμενο μπορεί να αιτηθεί ανά πάσα στιγμή διόρθωση των δεδομένων του από την εταιρία.
(v) Περιορισμός της περιόδου αποθήκευσης: Η επιχείρηση δεν διατηρεί τα δεδομένα προσωπικού χαρακτήρα που συλλέγει για χρονικό διάστημα μεγαλύτερο από ό,τι επιβάλουν οι σκοποί, δυνάμει των οποίων συνελέγησαν και τέθηκαν σε επεξεργασία. Συγκεκριμένα, αναλόγως την επεξεργασία, τα δεδομένα υφίστανται διαγραφή μετά από την πάροδο προκαθορισμένου χρονικού διαστήματος. Η εταιρία έχει καταγεγραμμένο το χρονικό διάστημα αυτό στο αρχείο δραστηριοτήτων της και οι χρόνοι είναι πάντα σύμφωνοι με τις Οδηγίες του Ευρωπαϊκού Συμβουλίου, το νόμο και τις συστάσεις των Ευρωπαϊκών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Εντούτοις, είναι δυνατόν να τα διατηρήσει και για μεγαλύτερο χρονικό διάστημα εάν η επεξεργασία των δεδομένων αυτών είναι απαραίτητη:
- για την τήρηση νομικής υποχρέωσης που επιβάλλει την διενεργούμενη επεξεργασία βάσει διάταξης νόμου. Οι χρόνοι διακράτησης και σε αυτή την περίπτωση είναι προκαθορισμένοι από την εταιρία.
- για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον. Οι χρόνοι διακράτησης και σε αυτή την περίπτωση είναι προκαθορισμένοι από την εταιρία.
- για λόγους δημοσίου συμφέροντος. Οι χρόνοι διακράτησης και σε αυτή την περίπτωση είναι προκαθορισμένοι από την εταιρία.
- για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Στην περίπτωση αντιδικίας με το υποκείμενο των δεδομένων, η επιχείρηση διακρατά τα δεδομένα μέχρι και το πέρας της διαδικασίας αναγκαστικής εκτέλεσης, άλλως το πέρας της προθεσμίας αυτής και σε κάθε περίπτωση μέχρι και την έκδοση αμετάκλητης δικαστικής απόφασης.
(vi) Ακεραιότητα και εμπιστευτικότητα: Η επιχείρηση μεριμνά ώστε τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, μεταξύ άλλων, την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Τα οργανωτικά μέτρα αυτά περιγράφονται συνοπτικά κατωτέρω στο κεφάλαιο 19 «Διαλαμβανόμενα τεχνικά και οργανωτικά μέτρα».
4. Σκοποί και Νόμιμες Βάσεις Επεξεργασίας
Η επιχείρηση , στο πλαίσιο της λειτουργίας της συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για τους κάτωθι σκοπούς με τις αντίστοιχες νόμιμες βάσεις επεξεργασίας:
Α/Α | ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ | ΝΟΜΙΜΕΣ ΒΑΣΕΙΣ | |
1 | Η εκτέλεση συμβατικών υποχρεώσεων της εταιρίας αναφορικά με πελάτες, προμηθευτές, τρίτους. | Συμμόρφωση με έννομη υποχρέωση [αρθ. 6§1 περ. γ) ΓΚΠΔ] ή/καιΕκτέλεση σύμβασης [αρθ. 6 §1 περ. β) ΓΚΠΔ], όπου υφίσταται | |
2 | Η εκπλήρωση νομικών υποχρεώσεων της εταιρίας αναφορικά με το Κράτος (π.χ. καταβολή φόρων, εισφορών, παροχή εξηγήσεων για νόμιμες υποχρεώσεις της εταιρίας). | Συμμόρφωση με έννομη υποχρέωση [αρθ. 6 §1 περ. γ) ΓΚΠΔ] ή/και Εκτέλεση καθήκοντος προς το δημόσιο συμφέρον [αρθ. 6 §1 περ. ε) ΓΚΠΔ] | |
3 | Η εκτέλεση των νόμιμων και συμβατικών υποχρεώσεων με το υφιστάμενο προσωπικό της εταιρίας (π.χ. καταβολή μισθοδοσίας, ασφαλιστικών εισφορών κλπ) | Συμμόρφωση με έννομη υποχρέωση [αρθ. 6§1 περ. γ) ΓΚΠΔ] ή/καιΕκτέλεση σύμβασης [αρθ. 6 §1 περ. β) ΓΚΠΔ], όπου υφίσταται ή/καιΕκτέλεση καθήκοντος προς το δημόσιο συμφέρον [αρθ. 6 §1 περ. ε) ΓΚΠΔ] | |
4 | Δικαστική επιδίωξη απαιτήσεων | – Εξυπηρέτηση ζωτικών συμφερόντων εταιρείας (αρθ. 6§1 περ. δ ΓΚΠΔ) | |
6 | Τη συλλογή και επεξεργασία δεδομένων εικόνας με χρήση κλειστού κυκλώματος καμερών (CCTV), για λόγους ασφάλειας | – Εξυπηρέτηση ζωτικών συμφερόντων εταιρείας (αρθ. 6§1 περ. δ) | |
Για κάθε άλλη μορφή επεξεργασίας, η επιχείρηση ζητά ειδική και ρητή συγκατάθεση των υποκειμένων πριν την έναρξη της επεξεργασίας, εφόσον απαιτείται.
5. Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα που συλλέγονται
Η επιχείρηση στο πλαίσιο των ως άνω δραστηριοτήτων της και της συνήθους λειτουργίας, δύναται να συλλέγει δεδομένα προσωπικού χαρακτήρα τόσο ιδιωτών ή επαγγελματιών που κάνουν χρήση των υπηρεσιών – προϊόντων της, όσο και των εργαζομένων της, καθώς επίσης και των εν γένει συνεργατών της, αλλά και λοιπών φυσικών προσώπων με τα οποία συναλλάσσεται στο πλαίσιο των δραστηριοτήτων της.
Ανάλογα με τη μορφή και τον σκοπό επεξεργασίας ανά τμήμα, η επιχείρηση δύναται να συλλέγει και να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως ενδεικτικά τα ακόλουθα:
ΚΑΤΗΓΟΡΙΕΣ ΥΠΟΚΕΙΜΕΝΩΝ | ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ |
ΠΕΛΑΤΕΣ | Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο κ.λπ.),Στοιχεία επικοινωνίας (λ.χ. τηλέφωνο, Email κ.λπ.),Ιατρικά δεδομένα (συνταγές οφθαλμιάτρου, κ.λπ.)Στοιχεία εικόνας (λ.χ. λήψεις προσώπου από το σύστημα CCTV) |
ΕΠΙΣΚΕΠΤΕΣ ΕΔΡΑΣ | Στοιχεία εικόνας (λ.χ. λήψεις από σύστημα CCTV) |
ΠΡΟΜΗΘΕΥΤΕΣ | Στοιχεία ταυτότητας (λ.χ. ονοματεπώνυμο, πατρώνυμο κ.λπ.),Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική διεύθυνση, τηλέφωνο, e-mail, fax κ.λπ.),Οικονομικά στοιχεία (λ.χ. τραπεζικοί λογαριασμοί, αριθμός φορολογικού μητρώου κ.λπ.),Στοιχεία εικόνας (λ.χ. λήψεις συστήματος CCTV) |
ΕΡΓΑΖΟΜΕΝΟΙ | Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο, πατρώνυμο κ.λπ.),Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική διεύθυνση, τηλέφωνο, Email, fax κ.λπ.),Οικονομικά στοιχεία (λ.χ. τραπεζικοί λογαριασμοί, αριθμός φορολογικού μητρώου, μισθόςκ.λπ.),Στοιχεία εικόνας (λ.χ. λήψεις ή φωτογραφίες προσώπου μέσω συστήματος CCTV)Επαγγελματικά στοιχεία (λ.χ. ιδιότητα, στοιχεία επαγγελματικής εμπειρίας, στοιχεία βιογραφικού σημειώματος)Οικογενειακά στοιχεία (λ.χ. αριθμός τέκνων, οικογενειακή κατάσταση) |
Ενδέχεται σε εξαιρετικές περιπτώσεις τα δεδομένα αυτά να μην ανήκουν πάντοτε σε άμεσα συναλλασσόμενους με την επιχείρηση αλλά και σε τρίτους (λ.χ. μέλη της οικογένειας εργαζομένου. που επωφελούνται από την υπαγωγή σε υποχρεωτική ασφάλιση του ταμείου του γονέα ως προστατευόμενο μέλος).
Δεδομένα εικόνας: Η επιχείρηση δύναται να συλλέγει, αποθηκεύει και επεξεργάζεται δεδομένα εικόνας μέσω συστημάτων βιντεοεπιτήρησης (CCTV), όπου αυτά εφαρμόζονται, για το σκοπό της προστασίας της ασφάλειας των εγκαταστάσεών της, τηρώντας τις προδιαγραφές και προθεσμίες που προβλέπει η εθνική και ενωσιακή νομοθεσία για την τήρηση δεδομένων ήχου και εικόνας.
Η επιχείρηση δύναται να συλλέγει δεδομένα προσωπικού χαρακτήρα τόσο σε έγχαρτη μορφή, όσο και σε ηλεκτρονική μορφή μέσω διαδικτυακών/ψηφιακών πλατφόρμων και εφαρμογών (λ.χ. μέσω ηλεκτρονικού ταχυδρομείου e-mail).
6. Χρόνος Διακράτησης Δεδομένων Προσωπικού Χαρακτήρα
Η επιχείρηση αποθηκεύει και επεξεργάζεται δεδομένα για προκαθορισμένες χρονικές περιόδους. Εν συνεχεία τα δεδομένα διαγράφονται είτε μέσω αυτοματοποιημένης διαδικασίας διαγραφής, ή από τον αρμόδιο ανά τμήμα της εταιρίας υπάλληλο για τη διαγραφή τους.
Η εταιρία διακρατά τα δεδομένα που συλλέγει για πέντε έτη από τη συλλογή τους ή σε περίπτωση σύμβασης από τη λήξη της σύμβασης. Εξαιρούνται οι κάτωθι περιπτώσεις:
- Δεδομένα που έχουν συλλεγεί μέσω συστήματος CCTV, μέσα σε 15 ημέρες από την καταγραφή.
- Δεδομένα που αφορούν τη σύμβαση εργασίας των εργαζόμενων, 20 έτη από τη λήξη της σύμβασης.
- Δεδομένα που αφορούν φορολογικά στοιχεία και συμμόρφωση με τη σχετική νομοθεσία, 20 έτη από την έκδοση τους.
- Κάθε δεδομένο που χρησιμοποιείται σε δικαστική διαμάχη της εταιρίας, μέχρι το πέρας της εκκρεμοδικίας και της διαδικασίας εκτέλεσης σε περίπτωση που ασκηθεί ένδικο βοήθημα από ή κατά της εταιρείας, άλλως για χρόνο ίσο με την παραγραφή της απαίτησης της εταιρίας.
7. Ειδικές Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα
Η επιχείρηση δύναται να συλλέγει και να επεξεργάζεται δεδομένα που ανήκουν σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»), όπως δεδομένα που αφορούν στην υγεία, προκειμένου να ανταποκριθεί στις έννομες υποχρεώσεις της, υπό την ιδιότητα της Υπεύθυνης Επεξεργασίας (λχ. ως εργοδότης). Εφόσον η εν λόγω επεξεργασία απαιτεί συγκατάθεση, η επιχείρηση, έχει φροντίσει να λάβει ελεύθερη συγκατάθεση του υποκειμένου.
8. Δεδομένα ανηλίκων
Επί της αρχής, δεν αποτελεί πολιτική της επιχείρησης να αναζητεί ή λαμβάνει απευθείας τα προσωπικά δεδομένα ανηλίκων (δηλ. από πρόσωπα που δεν έχουν συμπληρώσει το 18ο έτος της ηλικίας τους), είτε άμεσα είτε έμμεσα μέσω τρίτων, πλην των περιπτώσεων που αφορούν σε αναγκαία στοιχεία ασφάλισης και δεδομένα υγείας που είναι αναγκαία για την απολαβή νόμιμων ωφελημάτων των εργαζόμενων – γονέων αυτών (λ.χ. γονικές άδειες, επιδόματα και λοιπά ωφελήματα κ.λπ.).
Ωστόσο, δεδομένου ότι είναι αδύνατο να ελέγχεται πάντοτε η ηλικία των προσώπων που εισέρχονται ή χρησιμοποιούν τους ιστότοπους και τις επιγραμμικές εφαρμογές της επιχείρηση, συστήνεται σε γονείς και κηδεμόνες ανηλίκων να επικοινωνήσουν άμεσα με την εταιρία, εάν διαπιστώσουν οποιαδήποτε μη εξουσιοδοτημένη κοινοποίηση δεδομένων εκ μέρους των ανηλίκων για τους οποίους είναι υπεύθυνοι, προκειμένου να ασκήσουν αντίστοιχα τα δικαιώματα που τους παρέχονται, εφόσον αυτό είναι εφικτό και επιτρεπτό από τη νομοθεσία.
9. Διαδικτυακές Τεχνολογίες
Η επιχείρηση συλλέγει μόνο τις απαραίτητες πληροφορίες που σχετίζονται με την εκπλήρωση των σκοπών επεξεργασίας και την εν γένει επισκεψιμότητα στον ιστότοπο της, όπως ενδεικτικά είναι η διεύθυνση διαδικτυακού πρωτοκόλλου (διεύθυνση IP) και είδος περιηγητή (browser) που χρησιμοποιεί ο επισκέπτης, cookies, αόρατα pixel και web beacons για τη λήψη πληροφοριών σχετικά με την περιήγηση σε αυτά. Περαιτέρω, σχετικές πληροφορίες αποτυπώνονται στην Πολιτική Cookies της επιχείρησης.
Κατά τη διαχείριση των αιτημάτων από τις ηλεκτρονικές μας φόρμες, ζητείται η συμπλήρωση προσωπικών δεδομένων, τα οποία περιορίζονται στα απολύτως απαραίτητα για τη διαχείριση και εξυπηρέτηση της συμβατικής σχέσης με την εταιρία.
10. Αποποίηση Ευθύνης για Ιστότοπους Τρίτων
Στον ιστότοπο της επιχείρησης, ενδέχεται να παρέχονται ή να παρασχεθούν στο μέλλον σύνδεσμοι, οι οποίοι ανακατευθύνουν περαιτέρω τον χρήστη σε ιστότοπους τρίτων. Η επιχείρηση δεν ελέγχει τους εν λόγω ιστότοπους τρίτων και δεν ευθύνεται για το περιεχόμενο που αναρτάται σε αυτούς ή σε περαιτέρω συνδέσμους που εμφανίζονται σε αυτούς. Η επιχείρηση δεν ευθύνεται για τις πρακτικές ιδιωτικού απορρήτου τρίτων ή για το περιεχόμενο των ιστότοπων τρίτων.
11. Διαβίβαση / Πρόσβαση Δεδομένων
Η επιχείρηση δύναται να διαβιβάζει δεδομένα σε τρίτα πρόσωπα ή/και να επιτρέπει την πρόσβασή τους σε αυτά (νομικά ή φυσικά πρόσωπα) που λειτουργούν ως εκτελούντες ή/και υπό-εκτελούντες την επεξεργασία, για την υποστήριξη της λειτουργίας της (λ.χ. εξειδικευμένη τεχνική συνδρομή και υποστήριξη για την ανάπτυξη εφαρμογών, επεξεργασία δεδομένων κυκλώματος CCTV από εταιρία Security κλπ) και την εξυπηρέτηση των σκοπών της.
Η επιχείρηση δύναται να διαβιβάζει τα ανωτέρω δεδομένα σε τρίτους ή/και να επιτρέπει διαβαθμισμένη πρόσβαση από τρίτους σε αυτά, όταν αυτό προβλέπεται από την υφιστάμενη νομοθεσία, σύμφωνα με τις εγγυήσεις που προβλέπονται από αυτήν. Στις περιπτώσεις αυτές, οφείλει να ενημερώνει επαρκώς τα υποκείμενα των δεδομένων προτού προβεί στην εν λόγω διαβίβαση, εφόσον απαιτείται για τα ελάχιστα απαραίτητα εκ του νόμου στοιχεία, ήτοι την ταυτότητα του υπευθύνου επεξεργασίας, το σκοπό συλλογής των δεδομένων, την ταυτότητα του αποδέκτη και τα δικαιώματα του υποκειμένου.
Η επιχείρηση δε διαβιβάζει δεδομένα εκτός Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Σε περίπτωση κατά την οποία πραγματοποιηθεί διαβίβαση σε χώρα εκτός Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), η επιχείρηση οφείλει να ελέγχει εάν:
Η Επιτροπή έχει εκδώσει σχετική απόφαση επάρκειας για την τρίτη χώρα προς την οποία θα γίνει η διαβίβαση.
Τηρούνται οι κατάλληλες εγγυήσεις σύμφωνα με τον Κανονισμό για τη διαβίβαση των δεδομένων αυτών.
Σε περίπτωση που δεν πληρούνται οι ανωτέρω προϋποθέσεις, η διαβίβαση προς τρίτη χώρα εκτός ΕΕ ή ΕΟΧ απαγορεύεται και η επιχείρηση δεν μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα προς αυτή, εκτός εάν ισχύει κάποια από τις ειδικές παρεκκλίσεις που προβλέπει ο Κανονισμός (λ.χ. ρητή συγκατάθεση του υποκειμένου και ενημέρωση του αναφορικά με τους κινδύνους που ενέχει η διαβίβαση, η διαβίβαση είναι απαραίτητη για εκτέλεση σύμβασης κατόπιν αιτήματος του υποκειμένου, υπάρχουν λόγοι δημοσίου συμφέροντος, είναι αναγκαία για στήριξη νομικών αξιώσεων και ζωτικών συμφερόντων των υποκειμένων κ.ο.κ.).
12. Χρονικό Διάστημα Διατήρησης Δεδομένων
Τα προσωπικά δεδομένα που συλλέγονται από την επιχείρηση διατηρούνται για προκαθορισμένο και περιορισμένο χρονικό διάστημα, ανάλογα με τον σκοπό της επεξεργασίας, μετά το παρέλευση του οποίου τα δεδομένα διαγράφονται από τα αρχεία της, εκτός εάν προβλέπεται ή επιτρέπεται από την ισχύουσα νομοθεσία διαφορετική περίοδος διατήρησης. Οι προκαθορισμένοι χρόνοι διακράτησης έκαστης κατηγορίας δεδομένων αποτυπώνονται στο Αρχείο Δραστηριοτήτων της εταιρίας, ως έχει νομική υποχρέωση και είναι διαθέσιμα στην αρμόδια εποπτική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε περίπτωση ελέγχου.
13. Δικαιώματα Υποκειμένων Δεδομένων Προσωπικού Χαρακτήρα
Η επιχείρηση μεριμνά και λαμβάνει τα κατάλληλα μέτρα ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκήσουν τα δικαιώματα που τους αναγνωρίζει η εθνική και ενωσιακή νομοθεσία αναφορικά με τη συλλογή και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν. Τα δικαιώματα αυτά είναι τα ακόλουθα:
- Το Δικαίωμα πρόσβασης στα δεδομένα.
- Το Δικαίωμα διόρθωσης των δεδομένων.
- Το Δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη»).
- Το Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων
- Το Δικαίωμα στη φορητότητα των δεδομένων
- Το Δικαίωμα αντίρρησης στην επεξεργασία των δεδομένων
Στο πλαίσιο αυτό, η επιχείρηση οφείλει να ενημερώνει τα υποκείμενα των δεδομένων για τα ανωτέρω δικαιώματά τους και να διευκολύνει την άσκησή τους. Συγκεκριμένα, οφείλει να τα ενημερώνει για τη διαδικασία που μπορούν να ακολουθήσουν, προκειμένου να ασκήσουν αυτά, ήτοι να προσδιορίσουν τα στοιχεία που οφείλουν να αναφέρουν στην αίτησή τους, το πρόσωπο στο οποίο θα την απευθύνουν, την προθεσμία εντός της οποίας θα ενημερωθούν για την έκβαση του αιτήματός τους, καθώς και τη δυνατότητα να προσφύγουν στην εποπτική αρχή (ΑΠΔΠΧ).
Η ΕΠΙΧΕΊΡΗΣΗ μπορεί να αρνηθεί να ικανοποιήσει εν όλω η εν μέρει σχετικό αίτημα που λαμβάνει από το υποκείμενο δεδομένων, μόνο όταν αυτή η δυνατότητα προβλέπεται από τον Κανονισμό ή την εθνική νομοθεσία. Η ΕΠΙΧΕΊΡΗΣΗ παρέχει στο υποκείμενο των δεδομένων πληροφορίες για τις πράξεις επεξεργασίας κατόπιν του σχετικού αιτήματος που του υποβλήθηκε εντός ενός (1) μηνός από την παραλαβή του αιτήματος και την ταυτοποίηση του υποκειμένου. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, αν το αίτημα είναι πολύπλοκο ή υπάρχει μεγάλος αριθμός αιτημάτων. Σε αυτή την περίπτωση, η ΕΠΙΧΕΊΡΗΣΗ υποχρεούται, εντός μηνός από την παραλαβή του αιτήματος, να ενημερώσει το υποκείμενο των δεδομένων για την καθυστέρηση, καθώς και για τους λόγους αυτής. Εντός του παραπάνω χρονικού διαστήματος ενημερώνει και το υποκείμενο των δεδομένων για τυχόν άρνηση του να ικανοποιήσει, εν όλω ή εν μέρει, το υποβληθέν αίτημα, καθώς και για τους λόγους της άρνησης.
Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.
Εάν το αίτημα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμο ή υπερβολικό, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του, η ΕΠΙΧΕΊΡΗΣΗ μπορεί να εξαρτήσει την ικανοποίηση του από την καταβολή εύλογου τέλους ή να αρνηθεί να ανταποκριθεί στο αίτημα.
Σε περίπτωση που η ΕΠΙΧΕΊΡΗΣΗ επεξεργαστεί κατά περίπτωση στο μέλλον δεδομένα προσωπικού χαρακτήρα ως εκτελούσα την επεξεργασία, τότε θα διαβιβάζει άμεσα τα σχετικά αιτήματα στον υπεύθυνο επεξεργασίας, ο οποίος είναι αρμόδιος για την εξέταση και την ικανοποίηση τους.
14. Υπεύθυνος Προστασίας Δεδομένων (DPO) – Νομικός Σύμβουλος
Η επιχείρηση δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Οfficer, εφεξής DPO). Η επικοινωνία για ζητήματα δεδομένων προσωπικού χαρακτήρα θα γίνεται απευθείας σε επικοινωνία με την εταιρία – υπεύθυνο επεξεργασίας, στα στοιχεία επικοινωνίας, που αναγράφονται στην αρχή της παρούσας:
Η επιχείρηση έχει αναθέσει σε εξωτερικό συνεργάτη, νομικό σύμβουλο, το έργο της συμμόρφωσης και παροχής οδηγιών σχετικά με την εφαρμογή του Κανονισμού δυνάμει σχετικής σύμβασης παροχής υπηρεσιών. Η επιχείρηση έχει εξασφαλίσει, ότι έχει αποδεδειγμένη εμπειρία και γνώσεις σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, ιδίως αναφορικά με το εφαρμοστέο δίκαιο, τα οργανωτικά-τεχνικά ζητήματα και τις ορθές πρακτικές που συνάδουν με την προστασία των εν λόγω δεδομένων.
Σε κάθε περίπτωση, ο νομικός σύμβουλος αποτελεί ανεξάρτητο συμβουλευτικό όργανο, που μπορεί παράλληλα να ασκεί και άλλα καθήκοντα, αλλά αυτά δεν μπορούν να δημιουργούν σύγκρουση συμφερόντων ή αρμοδιοτήτων. Τέτοια σύγκρουση δημιουργείται, ιδίως όταν τα υπόλοιπα καθήκοντα τον υποχρεώνουν ή του επιτρέπουν να ορίσει ο ίδιος τα μέσα και τους σκοπούς μίας η περισσοτέρων επεξεργασιών δεδομένων προσωπικού χαρακτήρα.
(α) Ενημερώνει και συμβουλεύει τη διοίκηση της επιχείρηση αλλά και τους υπαλλήλους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τις υποχρεώσεις τους που απορρέουν από τη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα.
(β) Παρακολουθεί τη συμμόρφωση της επιχείρηση με τη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα και με κάθε πολιτική της επιχείρησης, που αφορά άμεσα ή έμμεσα στην προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων. Προς τούτο προβαίνει κατ’ ελάχιστον στις παρακάτω ενέργειες:
1) Έχει παραδώσει αρχείο μορφών επεξεργασίας (Αρχείο Δραστηριοτήτων) που περιέχει όλες τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα, στις οποίες προβαίνει ή εμπλέκεται καθ’ οιονδήποτε τρόπο η επιχείρηση, καθώς και αρχείο παραβιάσεων δεδομένου προσωπικού χαρακτήρα (Αρχείο Παραβιάσεων).
2) Προβαίνει σε περιοδικό έλεγχο των δραστηριοτήτων της επιχείρησης, προκειμένου να διαπιστώσει αν και σε ποιο βαθμό τηρούνται η ως άνω νομοθεσία και πολίτικες, μετά από αίτημα της Διοίκησης της εταιρίας, ιδίως δε σε περιπτώσεις τροποποίησης των ανωτέρω αρχείων.
3) Προτείνει λύσεις, διαδικασίες και καλές πρακτικές που συμβάλουν στην διατήρηση υψηλού επιπέδου συμμόρφωσης της επιχείρησης, με την ως άνω νομοθεσία και τις πολιτικές.
4) Παρέχει συμβουλές αναφορικά με την ανάγκη διενέργειας εκτίμησης αντικτύπου (DPIA), για την προετοιμασία της και διεξάγει την υλοποίησή της.
5) Διατηρεί επικοινωνία με τους προϊσταμένους των τμημάτων της εταιρίας για κάθε ζήτημα που άπτεται της προστασίας δεδομένων προσωπικού χαρακτήρα.
6) Επικουρεί την επιχείρηση σε ζητήματα ενημέρωσης και εκπαίδευσης των υπαλλήλων, αλλά και των συνεργατών της, αναφορικά με ζητήματα δεδομένων προσωπικού χαρακτήρα, την υφιστάμενη νομοθεσία, τις απαιτήσεις συμμόρφωσης, τις καλές πρακτικές κ.ο.κ.
7) Αξιολογεί τους κινδύνους (risks) που μπορεί να δημιουργούν για την επιχείρηση και για τα δικαιώματα και τα συμφέροντα υποκείμενων των δεδομένων οι διάφορες μορφές επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στις οποίες προχωρεί.
Κατά την άσκηση των καθηκόντων του, ο νομικός σύμβουλος υποχρεούται να ενεργεί με ευσυνειδησία και επαγγελματισμό, να τηρεί τη νομοθεσία και τους κανονισμούς και τις πολιτικές της επιχείρησης και ιδίως την υποχρέωση εχεμύθειας προς την εταιρία.
15. Δικαίωμα Προσφυγής στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Τα υποκείμενα των δεδομένων έχουν δικαίωμα να προσφύγουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») για ζητήματα που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, αναλυτικές πληροφορίες παρέχονται στην ιστοσελίδα της ΑΠΔΠΧ (http://www.dpa.gr à Τα δικαιώματα μου à Υποβολή καταγγελίας).
16. Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)
Όταν ένα είδος επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η επιχείρηση διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα («εκτίμηση αντικτύπου»). Η εκτίμηση αντικτύπου είναι μια διαδικασία σχεδιασμένη να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση κινδύνων, με την αξιολόγηση και τον καθορισμό μέτρων για την αντιμετώπισή τους. Δεν απαιτείται για κάθε μορφή επεξεργασίας, αλλά μόνον στις περιπτώσεις κατά τις οποίες μια μορφή επεξεργασίας θεωρείται υψηλού κινδύνου (high risk). Στο πλαίσιο της εκτίμησης αντικτύπου συνεκτιμώνται η φύση, η έκταση, το γενικότερο πλαίσιο και οι σκοποί της επεξεργασίας προκειμένου να αξιολογηθεί κατά πόσο είναι πιθανό να επέλθει ένας κίνδυνος, καθώς και η σοβαρότητα αυτού για τα δικαιώματα και τις ελευθερίες των υποκειμένων. Το μοντέλο διεξαγωγής της έκθεσης εκτίμησης αντικτύπου είναι το προτεινόμενο από τη γαλλική εποπτική αρχή (CNIL), το οποίο είναι παγκοσμίως αποδεκτό.
Η επιχείρηση μπορεί να αποφασίσει τη διενέργεια εκτίμησης αντικτύπου για επεξεργασία, ακόμα και αν αυτή δε θεωρείται υποχρεωτική από την υφιστάμενη νομοθεσία. Επιπλέον, δεν είναι υποχρεωμένη να συντάσσει ξεχωριστή εκτίμηση αντικτύπου για κάθε μορφή επεξεργασίας, αλλά μπορεί να συμπεριλάβει σε μία εκτίμηση αντικτύπου ένα σύνολο παρόμοιων πράξεων επεξεργασίας, οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
Ο Κανονισμός καθορίζει το πλαίσιο εντός του οποίου απαιτείται η διενέργεια εκτίμησης αντικτύπου. Ειδικότερα, η διενέργειά της επιβάλλεται σε όλες τις περιπτώσεις κατά τις οποίες η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Ως τέτοιες δε ενδεικτικά νοούνται:
- Περιπτώσεις συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία (συμπεριλαμβανομένης της κατάρτισης προφίλ) και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα τα οποία επηρεάζουν το φυσικό πρόσωπο – υποκείμενο των δεδομένων.
- Περιπτώσεις μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα π.χ. ιατρικά δεδομένα) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
- Περιπτώσεις συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα (λ.χ. χρήση καμερών κλπ).
Η σχετική ευθύνη και αποφασιστική αρμοδιότητα για τη διενέργεια ή μη εκτίμησης αντικτύπου ανήκει στην επιχείρηση, εντούτοις, ο DPO παρέχει συμβουλές και καθοδήγηση αναφορικά με τα παρακάτω ζητήματα:
- Την ανάγκη ή τη σκοπιμότητα διενέργειας της εν λόγω εκτίμησης.
- Την βέλτιστη μεθοδολογία διενέργειας της εν λόγω εκτίμησης.
- Τα τεχνικά και οργανωτικά μέτρα, καθώς και κάθε άλλη εγγύηση, τα οποία πρέπει να προβλέψει η επιχείρηση προκειμένου να ελαχιστοποιηθούν οι κίνδυνοι για τα δικαιώματα και τα συμφέροντα των υποκειμένων δεδομένων.
- Αξιολόγηση ήδη διενεργηθείσας εκτίμησης σχετικά με την προστασία δεδομένων και των συμπερασμάτων αυτής, ιδίως αναφορικά με τη συμμόρφωση της επιχείρησης με τις απαιτήσεις της υφιστάμενης νομοθεσίας.
Η επιχείρηση κατά τη διενέργεια της εκτίμησης αντικτύπου, οφείλει να καθορίζει τις κατάλληλες διαδικασίες και μεθοδολογίες που ανταποκρίνονται καλύτερα στις απαιτήσεις του. Η εκτίμηση αντικτύπου πρέπει να περιέχει κατ’ ελάχιστον, τα ακόλουθα στοιχεία:
- Συστηματική περιγραφή των πράξεων επεξεργασίας.
- Εκτίμηση της αναγκαιότητας και της αναλογικότητας.
- Συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών επεξεργασίας.
- Εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
- Αναφορά των προβλεπόμενων μέτρων αντιμετώπισης των ως άνω κινδύνων.
Κατά την εκτίμηση του αντικτύπου μιας πράξης επεξεργασίας θα πρέπει να λαμβάνεται υπόψη η συμμόρφωση με υφιστάμενο κώδικα δεοντολογίας, οι τυχόν πιστοποιήσεις, καθώς και οι δεσμευτικοί εταιρικοί κανόνες, καθώς μπορεί να αποτελέσουν απόδειξη ότι η επιχείρηση έχει επιλέξει και λάβει τα κατάλληλα μέτρα συμμόρφωσης.
Η μέθοδος εκτίμησης αντικτύπου πραγματοποιείται από την επιχείρηση, με τη συμμετοχή πολλών ενδιαφερόμενων μερών του οργανισμού και περιστρέφεται γύρω από τέσσερις άξονες:
- Καθορισμός του πλαισίου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
- Προσδιορισμός των υφιστάμενων και σχεδιαζόμενων ελέγχων.
- Αξιολόγηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων.
- Λήψη απόφασης για τη συμμόρφωση ή μη με τις αρχές προστασίας και επανεξέταση.
Όταν, μετά τη διενέργεια της εκτίμησης αντικτύπου, η επιχείρηση διαπιστώνει ότι τα μέτρα μετριασμού/αποφυγής/μεταφοράς του κινδύνου δεν είναι επαρκή για τη μείωση των κινδύνων σε αποδεκτό επίπεδο, θα πρέπει να απευθύνεται στην ΑΠΔΠΧ για διαβούλευση.
Πιο αναλυτικά, σε κάθε περίπτωση σχεδιασμού μορφής επεξεργασίας που ενέχει υψηλό κίνδυνο, η επιχείρηση ακολουθεί τα κάτωθι βήματα:
(α) Eπιλέγει μια μεθοδολογία εκτίμησης αντικτύπου που πληροί τις προϋποθέσεις του νόμου. Συγκεκριμένα η μεθοδολογία είναι η προτεινόμενη από τη Γαλλική Αρχή Προστασίας Δεδομένων CNIL
(β) Υποβάλει την έκθεση της εκτίμησης αντικτύπου στην αρμόδια εποπτική Αρχή (εάν χρειάζεται- εάν απαιτείται από την εθνική νομοθεσία. Στο παρόν χρονικό σημείο αυτό δεν απαιτείται).
(γ) Ζητά τη γνώμη της εποπτικής αρχής στην περίπτωση που δεν υπάρχουν ή δεν μπορούν να εφαρμοστούν επαρκή μέτρα για τον μετριασμό του υψηλού ρίσκου (όταν το εναπομείναν ρίσκο – residual risk- είναι πολύ υψηλό).
(δ) Επανεξετάζει σε τακτά χρονικά διαστήματα την εκτίμηση αντικτύπου και την επεξεργασία που αυτή αφορά, τουλάχιστον όταν μεταβάλλεται ο κίνδυνος της πράξης επεξεργασίας. Επανεξετάζει επίσης την εκτίμηση αντικτύπου εάν μεταβληθεί ο τρόπος και η διαδικασία επεξεργασίας.
(ε) Είναι σε θέση να τεκμηριώνει τις ληφθείσες αποφάσεις.
17. Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα
Ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» ορίζεται εκ του Κανονισμού η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινοποίηση, γνωστοποίηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν με οποιοδήποτε τρόπο σε επεξεργασία από την επιχείρηση.
Η επιχείρηση εφαρμόζει συγκεκριμένη διαδικασία χειρισμού περιστατικών παραβίασης της ασφαλείας των προσωπικών δεδομένων.
Μια παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί να συμβεί σε πολλές περιστάσεις, κάποιες εκ των οποίων ενδεικτικά είναι:
- Απώλεια, καταστροφή ή κλοπή δεδομένων ή έγγραφων ή εξοπλισμού στα οποία περιέχονται ή είναι αποθηκευμένα.
- Απόκτηση δικαιώματος πρόσβασης με οποιονδήποτε τρόπο σε δεδομένα προσωπικού χαρακτήρα από πρόσωπα που δεν έχουν εξουδιοτηθεί/ αδειοδοτηθεί αρμοδίως εντός της εταιρίας.
- Αποκάλυψη πληροφοριών σε τρίτους (εκτός της εταιρίας) που δεν έχουν εξουσιοδοτηθεί/ αδειοδοτηθεί αρμοδίως.
- Κυβερνοεπίθεση.
- Αποστολή αλληλογραφίας ή e-mail σε λανθασμένους παραλήπτες.
Για το χαρακτηρισμό ενός περιστατικού ως παραβίαση δεδομένων προσωπικού χαρακτήρα δεν έχει σημασία εάν αυτό έλαβε χώρα συνέπεια δόλου, αμέλειας, πράξης, παραλείψεως, τυχαίου ή απρόβλεπτου γεγονότος.
Στην περίπτωση κατά την οποία η επιχείρηση ή οποιοσδήποτε εργαζόμενος ή συνεργάτης της αντιληφθεί ή υποψιασθεί πως μπορεί να έχει λάβει χώρα κάποια παραβίαση δεδομένων προσωπικού χαρακτήρα ενημερώνει χωρίς καθυστέρηση τον προϊστάμενο του τμήματος στο οποίο έγινε η παραβίαση και εκείνος με τη σειρά του έρχεται σε επαφή με τον υπεύθυνο επεξεργασίας. Το περιστατικό επίσης καταγράφεται με όλα τα προσδιοριστικά του στοιχεία στο Μητρώο Παραβιάσεων που τηρεί η επιχείρηση.
Η επιχείρηση, ακολούθως, εκτιμά την αναγγελία, διεξάγοντας περαιτέρω έρευνα, ιδίως ως προς την ανάγκη υποχρεωτικής γνωστοποίησης του συμβάντος στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα (ΑΠΔΠΧ) ή/και τα υποκείμενα των δεδομένων και υποβάλει προτάσεις για τις ακολουθητέες ενέργειες.
Η γνωστοποίηση προς την εποπτική αρχή (ΑΠΔΠΧ) περιλαμβάνει τα ακόλουθα στοιχεία:
- Περιγραφή της φύσης της παραβίασης, των κατηγοριών των δεδομένων και των υποκειμένων. (Τα στοιχεία αντλούνται από το Αρχείο Δραστηριοτήτων της επιχείρησης)
- Ανακοίνωση του ονόματος και στοιχείων επικοινωνίας του υπεύθυνου επεξεργασίας (Ψαρρά Ελισσάβετ)
- Περιγραφή των στοιχείων επικοινωνίας του υπεύθυνου προστασίας δεδομένων (DPO) – εάν αυτός έχει οριστεί κατά τον κρίσιμο χρόνο.
- Περιγραφή των συνεπειών παραβίασης κατόπιν εκτιμήσεως της εταιρίας.
- Περιγραφή των ληφθέντων/προτεινόμενων μέτρων για την αντιμετώπιση της παραβίασης. (Πρωτόκολλο Παραβίασης)
Σε κάθε περίπτωση και εφόσον η γνωστοποίηση στην αρμόδια αρχή (ΑΠΔΠΧ) προστασίας δεδομένων είναι υποχρεωτική, η επιχείρηση την πραγματοποιεί εντός 72 ωρών από τότε που πρώτα έγινε αντιληπτή από αυτή η παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως προκύπτει άλλωστε εκ του νόμου και του Κανονισμού. Σε περίπτωση που η γνωστοποίηση πραγματοποιείται αφού περάσουν οι 72 ώρες, συνοδεύεται από αιτιολόγηση της καθυστέρησης.
Εάν η παραβίαση προσωπικών δεδομένων ενδέχεται να θέσει σε υψηλό κίνδυνο (ενδεικτικά εάν πρόκειται για ευαίσθητα δεδομένα ή απλά δεδομένα που η διαρροή μπορεί να προκαλέσει μεγάλη ζημία π.χ. διαρροή ΑΦΜ, διαρροή οικονομικών στοιχείων του υποκειμένου) τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η επιχείρηση οφείλει να ανακοινώσει αμελλητί την εν λόγω παραβίαση, όχι μόνο στην εποπτική αρχή (ΑΠΔΠΧ), αλλά και στο υποκείμενο των δεδομένων.
Σε περίπτωση που η επιχείρηση επεξεργάζεται δεδομένα ως εκτελών την επεξεργασία, ειδοποιεί χωρίς καθυστέρηση τον υπεύθυνο επεξεργασίας και δε προβαίνει σε γνωστοποιήσεις.
Η επιχείρηση λαμβάνει κάθε δυνατό μέτρο, ώστε να πληροφορείται εγκαίρως τυχόν παραβιάσεις αρχείου, στο οποίο η ίδια είναι υπεύθυνος επεξεργασίας, αλλά η επεξεργασίας γίνεται από τρίτο, εκτελούντα την επεξεργασία.
Περίληψη του περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει τα γεγονότα και τα στοιχεία που στοιχειοθετούν την παραβίαση, τις συνέπειες της και τις ενέργειες στις οποίες προέβη η επιχείρηση καταχωρούνται στο αρχείο παραβιάσεων δεδομένων προσωπικού χαρακτήρα που τηρεί η επιχείρησης.
18. Εκπαίδευση Προσωπικού
Η επιχείρηση μεριμνά ώστε το προσωπικό που εμπλέκεται στη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα να είναι επαρκώς ενημερωμένο και εκπαιδευμένο, λαμβάνοντας υπόψη τις συμβουλές και τις προτάσεις του νομικού συμβούλου αλλά και εν γένει τις διαθέσιμους μεθόδους εκπαίδευσης και ενημέρωσης, προκειμένου να επιλεγούν οι πιο κατάλληλες ανά περίσταση, ήτοι:
- Να καθορίσει τους σκοπούς της εκπαίδευσης και ευαισθητοποίησης του προσωπικού της.
- Να εντοπίσει το κατάλληλο εκπαιδευτικό κοινό μεταξύ των εργαζόμενων της.
- Να ολοκληρώσει ενημερωτικές εισηγήσεις εκπαίδευσης στο δίκαιο των προσωπικών δεδομένων, τόσο σε επίπεδο προϊσταμένων τμημάτων, όσο και σε επίπεδο εργαζόμενων. Επισημαίνεται σε έκαστη ομάδα εργασίας, το ανάλογο με τα καθήκοντα της πλάνο δράσης, ώστε το προσωπικό να παραμένει ενημερωμένο και ευαισθητοποιημένο.
- Να φροντίσει να χορηγήσει έντυπα με τεχνικές οδηγίες στους υπαλλήλους της.
- Να μεριμνά για την τακτική αξιολόγηση και επικαιροποίηση της εκπαιδευτικής καμπάνιας.
19. Διαλαμβανόμενα Τεχνικά και Οργανωτικά μέτρα Προστασίας Δεδομένων
H επιχείρηση έχει λάβει τα κάτωθι μέτρα ασφαλείας για την προστασία των δεδομένων που επεξεργάζεται:
1. Λήψη μέτρων για ασφάλεια του πληροφοριακού συστήματος και των δεδομένων που διακρατούνται σε αυτό:
- Ένα από τα βασικά συστήματα διαφύλαξης , διαχείρισης και προστασίας όλων το ηλεκτρονικών και προσωπικών δεδομένων της εταιρείας είναι η πρόσβαση μόνο ελάχιστων εξουσιοδοτημένων προσώπων σε υπολογιστές που έχουν πρόσβαση στο Αρχείο της εταιρείας και οι εν λόγω υπολογιστές προστατεύονται με κωδικό ασφαλείας.
- Σε όλους τους Η/Υ οι θύρες Usb είναι κλειδωμένες και ξεκλειδώνουν μόνο με κωδικό που γνωρίζει η διοίκηση της επιχείρησης .
- Η επιχείρηση πραγματοποιεί καθημερινό back up του αρχείου, ώστε να ελαχιστοποιηθεί η περίπτωση απώλειας δεδομένων.
- Για την πρόσβαση στο διαδίκτυο (Internet) χρησιμοποιείται Firewall – Proxy Server και όλα τα απαραίτητα συστήματα διαφύλαξης του δικτύου μας από ανεπιθύμητα προγράμματα (antivirus, antimalware κλπ).
2. Συνεχής επιμόρφωση και ευαισθητοποίηση του προσωπικού σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, με διοργάνωση ενημερωτικών ημερίδων και σεμιναρίων αλλά και με την έκδοση συμβουλευτικών εντύπων με οδηγίες από τους προϊστάμενους των τμημάτων, σε συνεννόηση με νομικό σύμβουλο.
3. Τήρηση όλων των απαραίτητων εγγράφων (Αρχείο Δραστηριοτήτων, Μητρώο Παραβιάσεων κλπ) σχετικά με την προστασία δεδομένων.
4. Διενέργεια εκτιμήσεων επεξεργασίας για κάθε επεξεργασία που εμπεριέχει υψηλούς κινδύνους, ώστε να διασφαλίζεται η ασφάλεια των δεδομένων και ιδίως της επεξεργασίας δεδομένων μέσω συστήματος CCTV
5. Στο φυσικό αρχείο πλέον υπάρχει διαβαθμισμένη πρόσβαση και αυτό τηρείται σε κλειδωμένους φωριαμούς.
Η επιχείρηση διατηρεί το δικαίωμα να τροποποιεί τα διαλαμβανόμενα μέτρα ασφαλείας κατά την κρίση της, με στόχο πάντα να διασφαλίζεται η μέγιστη δυνατή ασφάλεια στην επεξεργασία των δεδομένων.
20. Επικαιροποίηση της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η επιχείρηση δύναται να τροποποιεί την παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά καιρούς για λόγους συμμόρφωσης με κανονιστικές μεταβολές ή προκειμένου να ανταποκριθεί στις ανάγκες της λειτουργίας της και τις νομικές της υποχρεώσεις. Επικαιροποιημένες εκδόσεις της παρούσας Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα θα αναρτώνται στον ιστότοπο της επιχείρησης (www.optikapsarraelsa.gr) με ένδειξη ημερομηνίας, ώστε να καθίσταται γνωστό ποια είναι η πλέον πρόσφατα επικαιροποιημένη έκδοση.
Ημερομηνία τελευταίας επικαιροποίησης 22-10-2021