Πολιτική Απορρήτου

1. Η ΑΠΟΣΤΟΛΗ ΜΑΣ

Η Ιδιωτική Κεφαλαιουχική Εταιρεία με την επωνυμία «ΚΑΛΕΣ ΙΣΤΟΡΙΕΣ ΙΚΕ» (στο εξής, η «Εταιρεία») αντιμετωπίζει με ευθύνη και ως πρωταρχικής σημασίας το ζήτημα των προσωπικών δεδομένων που συλλέγονται ή/και υποβάλλονται σε επεξεργασία από την Εταιρεία και καταβάλλει κάθε δυνατή προσπάθεια με στόχο τη διαρκή και πλήρη συμμόρφωση της Εταιρείας με το ισχύον εθνικό και ευρωπαϊκό νομικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων και την άσκηση των δραστηριοτήτων της σύμφωνα με τις διεθνώς αναγνωρισμένες βέλτιστες πρακτικές και το υψηλότερο επίπεδο τεχνολογικής στάθμης, ήδη κατά το σχεδιασμό των συστημάτων της και εξ ορισμού.

Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων καθορίζει τον τρόπο συμπεριφοράς του προσωπικού της Εταιρείας και των τρίτων που η Εταιρεία χρησιμοποιεί αναφορικά με την επεξεργασία των προσωπικών δεδομένων, ήτοι τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλης μορφής διάθεση, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή προσωπικών δεδομένων τόσο του προσωπικού της Εταιρείας όσο και τρίτων προσώπων με τα οποία η Εταιρεία επικοινωνεί ή/και συναλλάσσεται στο πλαίσιο των δραστηριοτήτων της.

Η Εταιρεία, ενεργώντας ως υπεύθυνη επεξεργασίας, αντιμετωπίζει με το δέοντα σεβασμό την προστασία των προσωπικών δεδομένων ως αναφαίρετων και αδιαμφισβήτητων ανθρωπίνων δικαιωμάτων και είναι απολύτως προσανατολισμένη στη διασφάλιση της συμμόρφωσής της με τις απαιτήσεις του εθνικού και ευρωπαϊκού νομικού και κανονιστικού πλαισίου, καθώς και τις διατάξεις της παρούσας πολιτικής αναφορικά με την προστασία των προσωπικών δεδομένων. Ενδεχόμενη μη συμμόρφωση με την παρούσα πολιτική μπορεί να διακινδυνεύσει τη φήμη και την ομαλή λειτουργία της Εταιρείας.

Η Εταιρεία δεσμεύεται ότι θα μεριμνά για τη συνεχή, απρόσκοπτη και αποτελεσματική εφαρμογή της παρούσας πολιτικής τόσο από το προσωπικό της όσο και από τα τρίτα μέρη που χρησιμοποιεί στο πλαίσιο των δραστηριοτήτων της. Ενδεχόμενη παραβίαση των όρων της παρούσας πολιτικής θα λαμβάνεται σοβαρά υπόψη και θα εξετάζεται άμεσα η λήψη πειθαρχικών ή/και άλλων νομικών κυρώσεων.

2. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

Η παρούσα πολιτική αφορά την Εταιρεία, η οποία επεξεργάζεται προσωπικά δεδομένα στο πλαίσιο και για το σκοπό των δραστηριοτήτων της και εφαρμόζεται από τα μέλη της Διοίκησης, τα στελέχη και τους εργαζομένους της και δεσμεύει κάθε φυσικό ή νομικό πρόσωπο που παρέχει στην Εταιρεία υπηρεσίες που άπτονται της επεξεργασίας προσωπικών δεδομένων.

Το πεδίο εφαρμογής της παρούσας πολιτικής εκτείνεται σε κάθε είδους επεξεργασία προσωπικών δεδομένων είτε σε ηλεκτρονική μορφή (συμπεριλαμβανομένων ηλεκτρονικής αλληλογραφίας και εγγράφων που έχουν δημιουργηθεί με τη χρήση λογισμικού επεξεργασίας κειμένου) είτε σε φυσικό αρχείο το οποίο επιτρέπει άμεση πρόσβαση σε πληροφορίες που σχετίζονται με φυσικά πρόσωπα.

Στόχος της παρούσας πολιτικής είναι να καθιερώσει ένα κοινό και ομοιόμορφο πλαίσιο για την επεξεργασία και προστασία προσωπικών δεδομένων από την Εταιρεία, σύμφωνα και με την ισχύουσα εθνική και ενωσιακή νομοθεσία.

Η παρούσα πολιτική δεν υποκαθιστά το νομικό και κανονιστικό πλαίσιο για τα προσωπικά δεδομένα. Σε κάθε περίπτωση, κάθε ενδιαφερόμενος θα πρέπει να απευθύνεται στον Εκπρόσωπο της Εταιρείας, αρμόδιο για θέματα προσωπικών δεδομένων για περαιτέρω ενημέρωση και διευκρινίσεις.

3. ΟΡΙΣΜΟΙ

Προσωπικό: το προσωπικό της Εταιρείας, τακτικό ή/και έκτακτο, που απασχολείται στην Εταιρεία με σχέση εξαρτημένης εργασίας, αορίστου ή/και ορισμένου χρόνου, πλήρους ή/και μερικής απασχόλησης. Για τους σκοπούς της παρούσας πολιτικής, το προσωπικό περιλαμβάνει εργαζομένους με σύμβαση εργασίας, εργαζομένους με σύμβαση δανεισμού, στελέχη διευθυντικού επιπέδου και συμβούλους Διοίκησης.

Προμηθευτές: σύμβουλοι, ειδικοί συνεργάτες και άλλοι επαγγελματίες που προσφέρουν τις υπηρεσίες ή/και τα προϊόντα τους στην Εταιρεία, συμπεριλαμβανομένων, μεταξύ άλλων, εξωτερικών νομικών συμβούλων, προμηθευτών ηλεκτρονικών συστημάτων, τραπεζών και ασφαλιστικών εταιρειών, παρόχων υποστήριξης και συντήρησης εξοπλισμού και λογισμικού, εταιρειών παροχής λογιστικών υπηρεσιών.

Προσωπικά Δεδομένα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο και του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως ονοματεπώνυμο, τηλέφωνο, ηλεκτρονική διεύθυνση επικοινωνίας, αριθμό ταυτότητας, αριθμό φορολογικού μητρώου (ΑΦΜ), δεδομένα θέσης εργασίας.

Ειδικές Κατηγορίες Προσωπικών Δεδομένων («Ευαίσθητα Προσωπικά Δεδομένα»): δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν στην υγεία ή στη σεξουαλική ζωή ή στο γενετήσιο προσανατολισμό του φυσικού προσώπου.

Υποκείμενο των Δεδομένων: το ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο στο οποίο αναφέρονται τα Προσωπικά Δεδομένα ή/και τα Ευαίσθητα Προσωπικά Δεδομένα.

Επεξεργασία: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Υπεύθυνος Επεξεργασίας: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, ξεχωριστά ή από κοινού, καθορίζουν τους σκοπούς και τον τρόπο της Επεξεργασίας Προσωπικών Δεδομένων. Για τους σκοπούς της παρούσας πολιτικής, ως Υπεύθυνος Επεξεργασίας νοείται η Εταιρεία.

Εκτελών την Επεξεργασία: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται Προσωπικά Δεδομένα για λογαριασμό του Υπεύθυνου Επεξεργασίας.

Συγκατάθεση: κάθε ένδειξη βουλήσεως του Υποκειμένου των Δεδομένων, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το Υποκείμενο των Δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα Προσωπικά Δεδομένα που το αφορούν.

Παραβίαση Προσωπικών Δεδομένων:

η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση σε Προσωπικά Δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε Επεξεργασία.

4. ΕΦΑΡΜΟΓΗ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

4.1. Εκπρόσωπος της εταιρείας για ζητήματα Προστασίας Δεδομένων

4.1.1.
Για τη διασφάλιση της συμμόρφωσης της Εταιρείας με το εθνικό και ευρωπαϊκό κανονιστικό πλαίσιο προστασίας Προσωπικών Δεδομένων και για τον αποτελεσματικότερο έλεγχο τήρησης της παρούσας πολιτικής, η Εταιρεία έχει ορίσει Εκπρόσωπο για ζητήματα Προστασίας Δεδομένων.

4.1.2.
Η Εταιρεία και κάθε Υποκείμενο Δεδομένων έχουν άμεση και γρήγορη πρόσβαση στον Εκπρόσωπο για ζητήματα Προστασίας Δεδομένων και μπορούν να επικοινωνούν απευθείας μαζί του για κάθε ζήτημα σχετικό με την Επεξεργασία Προσωπικών Δεδομένων.

4.1.3.
Οι αρμοδιότητες του Εκπροσώπου για ζητήματα Προστασίας Δεδομένων περιλαμβάνουν τουλάχιστον τα ακόλουθα καθήκοντα:

– ενημερώνει και συμβουλεύει την Εταιρεία και το Προσωπικό σχετικά με τις υποχρεώσεις τους που απορρέουν από το εθνικό και ευρωπαϊκό κανονιστικό πλαίσιο για την προστασία Προσωπικών Δεδομένων και τις συνέπειες μη συμμόρφωσής τους με αυτές.

– παρακολουθεί τη συμμόρφωση της Εταιρείας με το εθνικό και ευρωπαϊκό κανονιστικό πλαίσιο για την προστασία Προσωπικών Δεδομένων, καθώς και με τις διατάξεις της παρούσας πολιτικής.

– παρέχει συμβουλές για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία Προσωπικών Δεδομένων (DPIA), όπου και εφόσον απαιτείται.

– συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής η «Αρχή») και ενεργεί ως σημείο επικοινωνίας ανάμεσα στην Εταιρεία και την Αρχή.

– καθορίζει την ανάγκη κοινοποίησης στην Αρχή δραστηριοτήτων της Εταιρείας σχετικών με την Επεξεργασία Προσωπικών Δεδομένων και αναλαμβάνει τη διευθέτηση και οργάνωση των σχετικών κοινοποιήσεων.

4.2. Κοινοποίηση και Εφαρμογή της Πολιτικής Προστασίας Προσωπικών Δεδομένων

4.2.1.
Η παρούσα πολιτική διανέμεται και είναι προσβάσιμη από όλο το Προσωπικό.

4.2.2.
Η παρούσα πολιτική παραλαμβάνεται από το Προσωπικό και σε έντυπη μορφή, εφόσον αυτό είναι δυνατό, λαμβανομένων υπόψη του αριθμού προσωπικού της Εταιρείας και των υλικοτεχνικών δομών της. Κάθε παραλαβή βεβαιώνεται με την υπογραφή σχετικού εγγράφου βεβαίωσης παραλαβής.

4.2.3.
Η Εταιρεία συλλογικά μεριμνά ώστε να γίνονται όλες οι απαραίτητες ενέργειες, συμπεριλαμβανομένων εκπαιδευτικών δράσεων, οργάνωσης εκπαιδευτικών προγραμμάτων και σεμιναρίων σε τακτά χρονικά διαστήματα, προκειμένου να διασφαλιστεί ότι το Προσωπικό της Εταιρείας γνωρίζει και συμμορφώνεται με το περιεχόμενο της παρούσας πολιτικής.

4.2.4.
Η Εταιρεία και το Προσωπικό αυτής οφείλουν να διασφαλίζουν ότι τυχόν τρίτα μέρη που επεξεργάζονται δεδομένα για λογαριασμό της Εταιρείας (π.χ. Προμηθευτές) γνωρίζουν και συμμορφώνονται με το περιεχόμενο της παρούσας πολιτικής και το νομικό και κανονιστικό πλαίσιο προστασίας των Προσωπικών Δεδομένων εν γένει. Διαβεβαίωση της συμμόρφωσης των τρίτων μερών θα πρέπει να διασφαλιστεί με κάθε τρόπο πριν τη χορήγηση από την Εταιρεία πρόσβασης σε Προσωπικά Δεδομένα, η επεξεργασία των οποίων βρίσκεται υπό την ευθύνη και τον έλεγχο της Εταιρείας (π.χ. Προσωπικά Δεδομένα Προσωπικού, Προσωπικά Δεδομένα Προμηθευτών).

4.3. Προστασία Δεδομένων από το Σχεδιασμό

4.3.1.
Προκειμένου να διασφαλιστεί ότι έχουν ενσωματωθεί και τηρούνται όλες οι απαιτήσεις για την προστασία Προσωπικών Δεδομένων κατά το σχεδιασμό νέων συστημάτων ή/και διαδικασιών, καθώς και κατά την αναθεώρηση και αναπροσαρμογή των υφιστάμενων συστημάτων ή/και διαδικασιών, προβλέπεται διαδικασία έγκρισης για κάθε ένα από τα συστήματα ή/και τις διαδικασίες.

4.3.2.
Η Εταιρεία πρέπει να διασφαλίζει ότι διενεργείται εκτίμηση αντικτύπου σχετικά με την προστασία Προσωπικών Δεδομένων (DPIA) για κάθε ένα από τα καινούργια ή/και αναθεωρημένα συστήματα και διαδικασίες.

4.4. Έλεγχος συμμόρφωσης με την Πολιτική Προστασίας Προσωπικών Δεδομένων

Για τη διασφάλιση της συμμόρφωσης της Εταιρείας και του Προσωπικού της με τις διατάξεις και τις απαιτήσεις της παρούσας πολιτικής, ο Εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων αναλαμβάνει τη διενέργεια ετήσιου ελέγχου συμμόρφωσης, ο οποίος θα θέτει προς αξιολόγηση, μεταξύ άλλων, τα παρακάτω ζητήματα:

– τη συμμόρφωση με την παρούσα πολιτική, συμπεριλαμβανομένων της ανάθεσης ευθυνών, της ενημέρωσης, ευαισθητοποίησης και εκπαίδευσης του Προσωπικού.

– την αποτελεσματικότητα των επιχειρησιακών πρακτικών που σχετίζονται με τα Προσωπικά Δεδομένα, συμπεριλαμβανομένων της άσκησης δικαιωμάτων των Υποκειμένων των Δεδομένων, των διαβιβάσεων Προσωπικών Δεδομένων, της διαχείρισης περιστατικών Παραβίασης Προσωπικών Δεδομένων και της αντιμετώπισης παραπόνων σχετικά με Προσωπικά Δεδομένα.

– το επίπεδο κατανόησης της παρούσας πολιτικής και τυχόν επιμέρους πολιτικών που σχετίζονται με Προσωπικά Δεδομένα.

– την επικαιροποίηση της παρούσας πολιτικής και τυχόν επιμέρους πολιτικών που σχετίζονται με Προσωπικά Δεδομένα.

– την ακριβή καταγραφή των Προσωπικών Δεδομένων που συλλέγονται και αποθηκεύονται εντός της Εταιρείας και την τήρηση του αρχείου δραστηριοτήτων επεξεργασίας της Εταιρείας.

– τη συμμόρφωση των δραστηριοτήτων των Εκτελούντων την Επεξεργασία με τις διατάξεις της παρούσας πολιτικής.

– την επάρκεια των διαδικασιών αντιμετώπισης ελλιπούς συμμόρφωσης με την παρούσα πολιτική και περιστατικών Παραβίασης Προσωπικών Δεδομένων.

Στο τέλος κάθε ετήσιου ελέγχου, ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων, αναλαμβάνει το σχεδιασμό προγράμματος και την κατάρτιση χρονοδιαγράμματος για τη διόρθωση και αποκατάσταση των αποκλίσεων που διαπιστώθηκαν κατά την αξιολόγηση των ευρημάτων του ελέγχου. Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων υποβάλλει τις εκθέσεις του στο νόμιμο εκπρόσωπο/ διαχειριστή της Εταιρείας.

5. ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Η Εταιρεία υιοθετεί και ενεργεί με γνώμονα τις ακόλουθες αρχές κατά την Επεξεργασία Προσωπικών Δεδομένων:

Νομιμότητα, Αντικειμενικότητα, Διαφάνεια

Τα Προσωπικά Δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το Υποκείμενο των Δεδομένων. Η Εταιρεία ενημερώνει τα Υποκείμενα Δεδομένων με πληρότητα και διαφάνεια για την Επεξεργασία των Προσωπικών τους Δεδομένων, υποβάλλει τα Προσωπικά Δεδομένα αποκλειστικά στο είδος της Επεξεργασίας για το οποίο έχει ενημερώσει το Υποκείμενό τους και αποκλειστικά για τους σκοπούς Επεξεργασίας που κατατάσσονται ως νόμιμοι σύμφωνα με την εθνική και ευρωπαϊκή νομοθεσία.

Περιορισμός του σκοπού

Η Εταιρεία συλλέγει Προσωπικά Δεδομένα για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν τα υποβάλλει σε περαιτέρω Επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, πάντα σύμφωνα με το πλαίσιο της ισχύουσας νομοθεσίας.

Ελαχιστοποίηση των Δεδομένων

Τα Προσωπικά Δεδομένα είναι κατάλληλα, συναφή σε σχέση με τη δραστηριότητα και την εύρυθμη λειτουργία της Εταιρείας και περιορίζονται στο αναγκαίο μέτρο για τους σκοπούς για τους οποίους υποβάλλονται σε Επεξεργασία. Η Εταιρεία δεν συλλέγει και δεν αποθηκεύει Προσωπικά Δεδομένα πέραν των απολύτως απαιτούμενων.

Ακρίβεια

Η Εταιρεία μεριμνά ώστε τα Προσωπικά Δεδομένα που επεξεργάζεται να είναι ακριβή και επικαιροποιημένα. Η Εταιρεία λαμβάνει όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση Προσωπικών Δεδομένων, τα οποία είναι ανακριβή, σε σχέση πάντα με τους σκοπούς της Επεξεργασίας στην οποία προβαίνει.

Περιορισμός της περιόδου αποθήκευσης

Η Εταιρεία διατηρεί τα Προσωπικά Δεδομένα υπό μορφή που επιτρέπει την ταυτοποίηση των Υποκειμένων των Δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της Επεξεργασίας τους, ανάλογα με την κατηγορία τους και τη χρήση τους. Η Εταιρεία θα διατηρεί τα Προσωπικά Δεδομένα για μεγαλύτερο χρονικό διάστημα μόνο εφόσον τα Προσωπικά Δεδομένα υποβάλλονται σε Επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά ή οργανωτικά μέτρα που απαιτεί η εθνική και ευρωπαϊκή νομοθεσία για τη διασφάλιση των δικαιωμάτων και ελευθεριών των Υποκειμένων των Δεδομένων.

Ακεραιότητα και Εμπιστευτικότητα

Η Εταιρεία επεξεργάζεται τα Προσωπικά Δεδομένα κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, σύμφωνα πάντα με τα διαθέσιμα τεχνικά μέσα και τις οικονομικές δυνατότητες της Εταιρείας, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη Επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.

6. ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΤΑ ΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΕΠΙΚΟΙΝΩΝΙΕΣ

6.1. Προστασία κατά τη χρήση ηλεκτρονικού ταχυδρομείου

6.1.1.
Σύμφωνα με τη σχετική Πολιτική χρήσης Ηλεκτρονικού Ταχυδρομείου, η Εταιρία παρέχει σε όλους τους εργαζομένους τη δυνατότητα χρήσης του Ηλεκτρονικού Ταχυδρομείου ως μέσο επικοινωνίας με τους συναδέλφους και τους πελάτες για την ταχύτερη διεκπεραίωση των εργασιών τους και τη διαφύλαξη τόσο της ασφάλειας της πληροφοριακής υποδομής και των εταιρικών πληροφοριών που διακινούνται όσο και της εικόνας της Εταιρίας προς τους πελάτες.

6.1.2.
Για την πρόσβαση στο ηλεκτρονικό ταχυδρομείο απαιτείται ένα μοναδικό όνομα χρήστη και ένας κωδικός πρόσβασης που παρέχεται στους εργαζομένους για επαγγελματικούς σκοπούς και μόνο από τον αρμόδιο για ζητήματα IT της Εταιρείας.

6.1.3.
Κατά τη διάθεση και χρήση των κωδικών πρόσβασης των χρηστών πρέπει να τηρούνται οι κάτωθι ρυθμίσεις.

– Κάθε χρήστης έχει την υποχρέωση για εμπιστευτική χρήση των κωδικών πρόσβασης

– Κάθε χρήστης μπορεί να χρησιμοποιήσει μόνο τον παραχωρηθέντα σε αυτόν ατομικό κωδικό πρόσβασης.

– Κάθε χρήστης πρέπει να έχει τη δυνατότητα επιλογής του δικού του κωδικού πρόσβασης.

– Ο προσωρινός κωδικός πρόσβασης για την αρχική δήλωση σε ένα σύστημα, πρέπει να είναι ασφαλής.

– Οι προσωρινοί κωδικοί πρόσβασης πρέπει να κοινοποιούνται στον χρήστη με έναν ασφαλή τρόπο και αφού έχει ελεγχθεί προηγουμένως η ταυτότητα του χρήστη.

– Το σύστημα διαχείρισης κωδικών πρόσβασης πρέπει να απαιτήσει από τον χρήστη την αλλαγή του κωδικού πρόσβασης κατά την αρχική δήλωση σε ένα σύστημα.

– Το σύστημα διαχείρισης κωδικών πρόσβασης πρέπει να απαιτήσει από τον χρήστη την επιλογή ασφαλών κωδικών πρόσβασης.

– Το σύστημα διαχείρισης κωδικών πρόσβασης πρέπει να απαιτήσει από τους χρήστες να αλλάζουν τους κωδικούς τους ανά τακτά χρονικά διαστήματα.

– Η επαναφορά κωδικών πρόσβασης κατόπιν απαίτησης του χρήστη πραγματοποιείται από τους υφιστάμενους, εφόσον υπάρχουν, μηχανισμούς του συστήματος. Εφόσον ένα σύστημα δεν διαθέτει λειτουργία αυτοεξυπηρέτησης, ισχύουν τα προαναφερθέντα σημεία για την χορήγηση ενός μοναδικού κωδικού πρόσβασης.

6.1.4.
Υποχρεώσεις των χρηστών.

Οι χρήστες πρέπει να εφαρμόζουν κατά την επιλογή και χρήση των κωδικών πρόσβασης δοκιμασμένες και ασφαλείς διαδικασίες :

– Οι κωδικοί πρόσβασης δεν επιτρέπεται να είναι ορατοί σε άλλα άτομα.

– Οι κωδικοί πρόσβασης δεν επιτρέπεται να αναγράφονται σε δημόσια θέα.

– Οι κωδικοί πρόσβασης πρέπει να καταχωρούνται κατά τη δήλωση καλυμμένοι.

– Κωδικοί πρόσβασης που έχουν δημιουργηθεί από τον χρήστη δεν πρέπει να διαδίδονται με κανένα τρόπο (τόσο προφορικά όσο και γραπτά ή σε ηλεκτρονική μορφή κλπ.).

– Οι κωδικοί πρόσβασης πρέπει να αλλάζονται εφόσον υπάρχει μια ένδειξη, ότι οι κωδικοί ή το σύστημα θα μπορούσαν να τεθούν σε κίνδυνο- σε αυτή την περίπτωση πρέπει να δηλωθεί ένα περιστατικό ασφαλείας.

6.2. Προστασία κατά τη χρήση φορητών συσκευών μεταφοράς δεδομένων

6.2.1.
Οι φορητές συσκευές δεδομένων περιλαμβάνουν όλα τα είδη των φορητών μέσων και συσκευών, τα οποία χρησιμοποιούνται για την αποθήκευση των δεδομένων (ενδεικτικά smartphones, tablet, laptop).

6.2.2.
Μη ελεγμένες/ εγκεκριμένες εξωτερικές ή ατομικές φορητές συσκευές δεδομένων δεν επιτρέπεται να συνδεθούν στα συστήματα της Εταιρείας ή να έχουν πρόσβαση σε προσωπικά δεδομένα για τα οποία Υπεύθυνη Επεξεργασίας είναι η Εταιρεία.

6.2.3.
Ιδιαίτερη προσοχή πρέπει να δοθεί εφόσον οι φορητές συσκευές δεδομένων χρησιμοποιούνται σε αυτοκίνητα ή άλλα μεταφορικά μέσα, σε δημόσιους χώρους, σε δωμάτια ξενοδοχείων, σε αίθουσες συσκέψεων, σε κέντρα συνεδριάσεων ή σε άλλες μη προστατευόμενες ζώνες εκτός των χώρων της Εταιρείας.

6.2.4.
Οι φορητές συσκευές δεδομένων δεν επιτρέπεται να μένουν αφύλακτες και πρέπει να κλειδώνονται για την προστασία τους. Κατά τη χρήση φορητών συσκευών δεδομένων σε δημόσιους χώρους, πρέπει να διασφαλιστεί από τον χρήστη ότι αυτές δεν θα χρησιμοποιηθούν από μη αρμόδια προς αυτό άτομα και να επιδεικνύεται η δέουσα προσοχή και επιμέλεια προς αποφυγή κλοπής της συσκευής.

7. ΣΥΛΛΟΓΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

7.1. Συλλογή Προσωπικών Δεδομένων και ενημέρωση του Υποκειμένου

Η Εταιρεία συλλέγει Προσωπικά Δεδομένα είτε απευθείας από το Υποκείμενο των Δεδομένων είτε από άλλη πηγή με νόμιμο τρόπο και παρέχει στο Υποκείμενο όλες τις απαραίτητες πληροφορίες σε σχέση με την Επεξεργασία των Προσωπικών του Δεδομένων, είτε κατά το χρόνο της συλλογής των Δεδομένων αυτών σε περίπτωση που τα Προσωπικά Δεδομένα λαμβάνονται από το ίδιο το Υποκείμενο είτε εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης, σε περίπτωση που τα Προσωπικά Δεδομένα λαμβάνονται από άλλη πηγή. Εάν τα Προσωπικά Δεδομένα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το Υποκείμενο των Δεδομένων ενημερώνεται, όταν τα Προσωπικά Δεδομένα κοινολογούνται για πρώτη φορά στον εν λόγω αποδέκτη.

7.2. Συγκατάθεση του Υποκειμένου των Δεδομένων

7.2.1.
Όταν η Επεξεργασία βασίζεται σε Συγκατάθεση, Η Εταιρεία είναι σε θέση να αποδείξει ότι το Υποκείμενο των Δεδομένων έδωσε τη Συγκατάθεσή του για την Επεξεργασία των Προσωπικών του Δεδομένων.

7.2.2.
Εάν το Υποκείμενο των Δεδομένων παρέχει τη Συγκατάθεσή του στο πλαίσιο γραπτής δήλωσης, η οποία αφορά και σε άλλα θέματα, το αίτημα για Συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα υπόλοιπα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.

7.2.3.
Η Εταιρεία ενημερώνει το Υποκείμενο των Δεδομένων πριν την παροχή Συγκατάθεσης για τα δικαιώματά του, συμπεριλαμβανομένου και του δικαιώματος ανάκλησης αυτής ανά πάσα στιγμή. Η ανάκληση της Συγκατάθεσης δεν θίγει τη νομιμότητα της Επεξεργασίας που βασίστηκε στη Συγκατάθεση προ της ανάκλησής της.

7.3. Ενημέρωση Υποκειμένου των Δεδομένων

7.3.1.
Κατά τη συλλογή Προσωπικών Δεδομένων, H Εταιρεία ενημερώνει το Υποκείμενο των Δεδομένων σχετικά με:

– την ιδιότητα της ίδιας ως Υπευθύνου Επεξεργασίας

– το σκοπό και τη νομική βάση της Επεξεργασίας των Προσωπικών Δεδομένων

– τα έννομα συμφέροντα που επιδιώκονται από την Εταιρεία

– τους πιθανούς αποδέκτες ή κατηγορίες αποδεκτών των Προσωπικών Δεδομένων

– την τυχόν πρόθεση της Εταιρείας να διαβιβάσει Προσωπικά Δεδομένα σε τρίτες χώρες ή/και διεθνείς οργανισμούς

– το χρονικό διάστημα και τη νομική βάση διατήρησης των Προσωπικών Δεδομένων

– τα δικαιώματά του σχετικά με τα Προσωπικά του Δεδομένα (π.χ. δικαίωμα διόρθωσης/διαγραφής, δικαίωμα φορητότητας, κτλ.)

– το δικαίωμα ανάκλησης συγκατάθεσης, εφόσον η συλλογή και Επεξεργασία των Προσωπικών Δεδομένων γίνεται κατόπιν παροχής συγκατάθεσης

– το δικαίωμα υποβολής καταγγελίας στην Αρχή ή σε κάθε άλλη αρμόδια εποπτική αρχή

– σε περίπτωση που τα Προσωπικά Δεδομένα δεν έχουν ληφθεί από το ίδιο, την πηγή απόκτησής τους

– την τυχόν ύπαρξη μηχανισμού αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ

7.3.2.
Η ενημέρωση του Υποκειμένου των Δεδομένων δεν κρίνεται αναγκαία στις περιπτώσεις που το Υποκείμενο των Δεδομένων διαθέτει ήδη τις παραπάνω πληροφορίες ή όπου η παροχή πληροφοριών θεωρείται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια πιθανή να βλάψει τους σκοπούς της Επεξεργασίας ή υπάρχει δέσμευση επαγγελματικού απορρήτου ή η απόκτηση ή κοινολόγηση προβλέπεται ρητώς από την εθνική ή/και ευρωπαϊκή νομοθεσία για την προστασία των εννόμων συμφερόντων του Υποκειμένου των Δεδομένων.

8. ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

8.1. Σκοποί Επεξεργασίας

Η Εταιρεία χρησιμοποιεί και επεξεργάζεται τα Προσωπικά Δεδομένα που αποκτά, μεταξύ άλλων, για τους παρακάτω σκοπούς:

– τη διοικητική οργάνωση και λειτουργία της Εταιρείας

– την υποστήριξη των δραστηριοτήτων της Εταιρείας

– την εξυπηρέτηση των χρηστών/ μελών της εταιρικής ιστοσελίδας

– τη συναλλακτική ή/και εμπορική δραστηριότητα της Εταιρείας με Προμηθευτές

Η Εταιρεία επεξεργάζεται τα Προσωπικά Δεδομένα που βρίσκονται στην κατοχή της πάντα σύμφωνα με το ισχύον κανονιστικό πλαίσιο και τις εκάστοτε συμβατικές της υποχρεώσεις απέναντι στα Υποκείμενα των Δεδομένων. Ειδικότερα, η Εταιρεία δεσμεύεται ότι δεν επεξεργάζεται Προσωπικά Δεδομένα εάν δεν ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

– το Υποκείμενο των Δεδομένων έχει συναινέσει στην Επεξεργασία των Προσωπικών Δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς

– η Επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το Υποκείμενο των Δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του Υποκειμένου των Δεδομένων πριν από τη σύναψη σύμβασης

– η Επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση της Εταιρείας

– η Επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του Υποκειμένου των Δεδομένων ή άλλου φυσικού προσώπου

– η Επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Εταιρεία

– η Επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του Υποκειμένου των Δεδομένων που επιβάλλουν την προστασία των Προσωπικών Δεδομένων, ιδίως εάν το Υποκείμενο των Δεδομένων είναι ανήλικο.

Σε ορισμένες περιπτώσεις, τα Προσωπικά Δεδομένα ενδέχεται να υποβληθούν σε Επεξεργασία για σκοπό διαφορετικό από τον αρχικό. Σε κάθε τέτοια περίπτωση, η νομική βάση του νέου σκοπού Επεξεργασίας, θα πρέπει να εξεταστεί και να εγκριθεί από την Εταιρεία.

Σε περιπτώσεις που η Επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα Προσωπικά Δεδομένα δεν βασίζεται στη Συγκατάθεση του Υποκειμένου των Δεδομένων ή στο ευρωπαϊκό δίκαιο ή το εθνικό δίκαιο, η Εταιρεία, προκειμένου να εξακριβωθεί κατά πόσο η Επεξεργασία για άλλο σκοπό είναι συμβατή με το σκοπό για τον οποίο συλλέγονται αρχικώς τα Προσωπικά Δεδομένα, λαμβάνει υπόψη, μεταξύ άλλων:

– τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα Προσωπικά Δεδομένα και των σκοπών της επιδιωκόμενης περαιτέρω Επεξεργασίας.

– το πλαίσιο εντός του οποίου συλλέχθηκαν τα Προσωπικά Δεδομένα, ιδίως όσον αφορά τη σχέση μεταξύ των Υποκειμένων των Δεδομένων και της Εταιρείας.

– τη φύση των Προσωπικών Δεδομένων, ιδίως για τις Ειδικές Κατηγορίες Προσωπικών Δεδομένων που υποβάλλονται σε Επεξεργασία, ή κατά πόσο Προσωπικά Δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε Επεξεργασία.

– τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω Επεξεργασίας για τα Υποκείμενα των Δεδομένων.

– την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδονυμοποίηση.

8.2. Ειδικές Κατηγορίες Προσωπικών Δεδομένων («Ευαίσθητα Προσωπικά Δεδομένα»)

Στο πλαίσιο της διοικητικής της λειτουργίας και των δραστηριοτήτων της, η Εταιρεία επεξεργάζεται Ειδικές Κατηγορίες Προσωπικών Δεδομένων πάντα υπό τις ακόλουθες προϋποθέσεις:

– τα Υποκείμενα των Δεδομένων έχουν παράσχει ρητή Συγκατάθεση για την Επεξεργασία των εν λόγω Προσωπικών Δεδομένων τους

– η Επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της Εταιρείας ή του Υποκειμένου των Δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας και στον τομέα της διερεύνησης εργατικών και άλλων ατυχημάτων στους χώρους εργασίας

– η Επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του Υποκειμένου των Δεδομένων ή άλλου φυσικού προσώπου, εάν το Υποκείμενο των Δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί

– η Επεξεργασία αφορά Προσωπικά Δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το Υποκείμενο των Δεδομένων

– η Επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα

– η Επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει της εθνικής ή/και ευρωπαϊκής νομοθεσίας

– η Επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του Προσωπικού, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της εθνικής ή/και ευρωπαϊκής νομοθεσίας.

Σε περιπτώσεις Επεξεργασίας Προσωπικών Δεδομένων Ειδικών Κατηγοριών, η Εταιρεία οφείλει να εφαρμόζει ενισχυμένα μέτρα προστασίας ώστε να διαφυλάσσονται τα συμφέροντα των Υποκειμένων των σχετικών Προσωπικών Δεδομένων.

9. ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

9.1. Γενικά

Η Εταιρεία μεριμνά για την απρόσκοπτη άσκηση των δικαιωμάτων των Υποκειμένων των Δεδομένων σχετικά με τα Προσωπικά τους Δεδομένα. Ειδικότερα, κάθε Υποκείμενο Δεδομένων απολαμβάνει τα παρακάτω δικαιώματα:

– πρόσβασης στα Προσωπικά του Δεδομένα

– διόρθωσης των Προσωπικών του Δεδομένων

– διαγραφής των Προσωπικών του Δεδομένων

– περιορισμού της Επεξεργασίας Προσωπικών Δεδομένων

– φορητότητας των Προσωπικών του Δεδομένων, όπου τυγχάνει πρακτικής εφαρμογής

– εναντίωσης στην Επεξεργασία των Προσωπικών του Δεδομένων

– ένστασης στην αυτοματοποιημένη λήψη αποφάσεων και δημιουργία προφίλ

Η Εταιρεία θεσπίζει και εφαρμόζει διαδικασίες για την ικανοποίηση των δικαιωμάτων αυτών και την προσεκτική εξέταση κάθε αιτήματος που υποβάλλεται από το Υποκείμενο των Δεδομένων και αφορά στην άσκηση ενός εκ των παραπάνω δικαιωμάτων του.

9.2. Δικαίωμα πρόσβασης

Η Εταιρεία παρέχει στο Υποκείμενο των Δεδομένων το δικαίωμα να λαμβάνει επιβεβαίωση για το κατά πόσο τα Προσωπικά του Δεδομένα υφίστανται Επεξεργασία και, εφόσον συμβαίνει αυτό, το δικαίωμα πρόσβασης στα Προσωπικά του Δεδομένα και στις ακόλουθες πληροφορίες:

– το σκοπό της Επεξεργασίας

– τις σχετικές κατηγορίες Προσωπικών του Δεδομένων

– τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα Προσωπικά τους Δεδομένα

– το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα Προσωπικά του Δεδομένα ή τα κριτήρια με τα οποία αυτό καθορίζεται

– την ύπαρξη δικαιώματος υποβολής αιτήματος για διόρθωση, διαγραφή ή περιορισμό Επεξεργασίας των Προσωπικών του Δεδομένων

– το δικαίωμα υποβολής καταγγελίας στην Αρχή ή σε άλλη αρμόδια εποπτική αρχή

– κάθε άλλη διαθέσιμη πληροφορία σχετικά με την προέλευση των Προσωπικών του Δεδομένων, σε περίπτωση που δεν έχουν παρασχεθεί από το ίδιο το Υποκείμενο αυτών

– την ύπαρξη αυτοματοποιημένης λήψης απόφασης

– τις κατάλληλες εγγυήσεις που αφορούν στη διαβίβαση των Προσωπικών του Δεδομένων σε τρίτες χώρες ή/και διεθνείς οργανισμούς

Το Υποκείμενο των Δεδομένων δύναται να ζητήσει να λάβει αντίγραφο του συνόλου των Προσωπικών του Δεδομένων που υποβάλλονται σε Επεξεργασία.

9.3. Δικαίωμα διόρθωσης

Η Εταιρεία παρέχει στο Υποκείμενο των Δεδομένων το δικαίωμα να ζητήσει τη διόρθωση ανακριβών Προσωπικών του Δεδομένων, καθώς και τη συμπλήρωση ελλιπών πληροφοριών που αφορούν σε Προσωπικά του Δεδομένα.

9.4. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Η Εταιρεία παρέχει στο Υποκείμενο των Δεδομένων το δικαίωμα να ζητήσει τη διαγραφή Προσωπικών Δεδομένων που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και η Εταιρεία υποχρεούται να διαγράψει τα Προσωπικά Δεδομένα χωρίς αδικαιολόγητη καθυστέρηση, εφόσον συντρέχει κάποιος από τους παρακάτω λόγους:

– τα Προσωπικά Δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε Επεξεργασία

– το Υποκείμενο των Δεδομένων ανακαλεί τη Συγκατάθεσή του, η οποία είχε αποτελέσει τη νομική βάση για την Επεξεργασία των Προσωπικών Δεδομένων

– το Υποκείμενο των Δεδομένων αντιτίθεται στην Επεξεργασία των Προσωπικών του Δεδομένων και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την Επεξεργασία

– τα Προσωπικά Δεδομένα υποβλήθηκαν σε παράνομη Επεξεργασία

– η εθνική ή/και ευρωπαϊκή νομοθεσία επιβάλλει τη διαγραφή

– τα Προσωπικά Δεδομένα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών.

Ωστόσο, η Εταιρεία διατηρεί το δικαίωμα να αρνηθεί τη διαγραφή Προσωπικών Δεδομένων, εφόσον η Επεξεργασία τους είναι απαραίτητη:

– για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση

– για την τήρηση νομικής υποχρέωσης που επιβάλλει την Επεξεργασία βάσει του ευρωπαϊκού δικαίου ή του εθνικού δικαίου ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Εταιρεία

– για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας

– για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς ιστορικής ή επιστημονικής έρευνας ή για στατιστικούς σκοπούς

– για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων

9.5. Δικαίωμα περιορισμού της Επεξεργασίας

Η Εταιρεία αποδέχεται το αίτημα του Υποκειμένου των Δεδομένων για περιορισμό της Επεξεργασίας των Προσωπικών του Δεδομένων, όταν ισχύει ένα από τα ακόλουθα:

– η ακρίβεια των Προσωπικών Δεδομένων αμφισβητείται από το Υποκείμενο των Δεδομένων, για χρονικό διάστημα που επιτρέπει στην Εταιρεία να επαληθεύσει την ακρίβεια των Προσωπικών αυτών Δεδομένων

– η Επεξεργασία είναι παράνομη και το Υποκείμενο των Δεδομένων αντιτάσσεται στη διαγραφή των Προσωπικών Δεδομένων και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους

– η Εταιρεία δεν χρειάζεται πλέον τα Προσωπικά Δεδομένα για τους σκοπούς της Επεξεργασίας, αλλά τα Δεδομένα αυτά απαιτούνται από το Υποκείμενο των Δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων

– το Υποκείμενο των Δεδομένων έχει αντιρρήσεις για την Επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι της Εταιρείας υπερισχύουν έναντι των λόγων του Υποκειμένου των Δεδομένων.

Σε περιπτώσεις που η Επεξεργασία έχει περιοριστεί σύμφωνα με τα παραπάνω, τα Προσωπικά Δεδομένα στα οποία αφορά, εκτός της αποθήκευσης, υφίστανται Επεξεργασία μόνο με τη Συγκατάθεση του Υποκειμένου των Δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημοσίου συμφέροντος.

Σε κάθε περίπτωση, η Εταιρεία οφείλει να ενημερώνει το Υποκείμενο των Δεδομένων πριν την άρση του περιορισμού της Επεξεργασίας.

9.6. Δικαίωμα στη φορητότητα

Η Εταιρεία, εφόσον αυτό τυγχάνει πρακτικής εφαρμογής, παρέχει το δικαίωμα στο Υποκείμενο των Δεδομένων να λαμβάνει τα Προσωπικά του Δεδομένα, τα οποία έχει παράσχει στην Εταιρεία, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω Δεδομένα σε άλλον Υπεύθυνο Επεξεργασίας.

Κατά την άσκηση του δικαιώματος στη φορητότητα, το Υποκείμενο των Δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των Προσωπικών του Δεδομένων από έναν Υπεύθυνο Επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

9.7. Δικαίωμα εναντίωσης

Το Υποκείμενο των Δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην Επεξεργασία των Προσωπικών του Δεδομένων, εκτός εάν η Εταιρεία καταδείξει επιτακτικούς και νόμιμους λόγους για την Επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του Υποκειμένου των Δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

9.8. Άσκηση και ικανοποίηση δικαιωμάτων

Κάθε αίτημα του Υποκειμένου των Δεδομένων σχετικά με την άσκηση κάποιων εκ των παραπάνω δικαιωμάτων του πρέπει να υποβάλλεται εγγράφως στον εκπρόσωπο της Εταιρείας, αρμόδιο για θέματα προστασίας Προσωπικών Δεδομένων, ο οποίος το καταγράφει αμέσως και αναλαμβάνει να απαντήσει εντός τριάντα (30) ημερών από την παραλαβή του γραπτού αιτήματος. Προϋπόθεση της εξέτασης του αιτήματος και της απάντησης είναι η εξακρίβωση της ταυτότητας του αιτούντος ως του Υποκειμένου των Δεδομένων ή/και η ύπαρξη έννομου συμφέροντος.

Σε περίπτωση που η απάντηση εντός τριάντα (30) ημερών δεν καθίσταται εφικτή, ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων οφείλει να ενημερώσει τον αιτούντα σε κάθε περίπτωση σχετικά με την πρόοδο του αιτήματός του και την εκτιμώμενη ημερομηνία απάντησης.

10. ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

10.1. Εισαγωγικά

Η Εταιρεία λαμβάνει όλα τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την αντιμετώπιση περιστατικών Παραβίασης Προσωπικών Δεδομένων, προκειμένου να αποτρέπονται περιστατικά σωματικής, υλικής ή μη υλικής βλάβης για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των Προσωπικών τους Δεδομένων ή περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδονυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των Προσωπικών Δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο.

10.2. Γνωστοποίηση στην εποπτική αρχή

Σε περίπτωση Παραβίασης Προσωπικών Δεδομένων, η Εταιρεία γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την Παραβίαση των Προσωπικών Δεδομένων στην αρμόδια εποπτική αρχή, εκτός εάν η Παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

10.3. Ανακοίνωση στο Υποκείμενο των Δεδομένων

Όταν η Παραβίαση Προσωπικών Δεδομένων ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Εταιρεία ανακοινώνει αμελλητί την Παραβίαση στο Υποκείμενο των Δεδομένων, περιγράφοντας με σαφήνεια τη φύση της Παραβίασης και παραθέτοντας το όνομα και τα στοιχεία επικοινωνίας του εκπροσώπου της Εταιρείας, αρμοδίου για θέματα προστασίας Προσωπικών Δεδομένων, τις ενδεχόμενες συνέπειες της Παραβίασης των Προσωπικών Δεδομένων, καθώς και τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον Υπεύθυνο Επεξεργασίας για την αντιμετώπιση της Παραβίασης.

Η ανακοίνωση στο Υποκείμενο των Δεδομένων δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

– η Εταιρεία εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την Παραβίαση Προσωπικά Δεδομένα, κυρίως μέτρα που καθιστούν μη κατανοητά τα Προσωπικά Δεδομένα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση

– η Εταιρεία έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των Υποκειμένων των Δεδομένων

– η ανακοίνωση συνεπάγεται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα Υποκείμενα των Δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

11. ΔΙΑΒΙΒΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

11.1. Διαβίβαση σε τρίτα μέρη

Η Εταιρεία διαβιβάζει ή παραχωρεί πρόσβαση σε Προσωπικά Δεδομένα σε τρίτα μέρη (π.χ. Προμηθευτές, νομικούς συμβούλους, τρίτα μέρη με τα οποία συναλλάσσεται για σκοπούς εμπορικούς), εφόσον διασφαλίζει ότι τα τρίτα μέρη λαμβάνουν τα Προσωπικά Δεδομένα νόμιμα, εντός του σκοπού της δραστηριότητας που έχουν συμφωνήσει με την εταιρεία και παρέχουν την κατάλληλη προστασία.

Όταν η διαβίβαση Προσωπικών Δεδομένων γίνεται από την Εταιρεία προς τρίτα μέρη, τα οποία ενεργούν ως Υπεύθυνοι Επεξεργασίας, η Εταιρεία θα πρέπει, σε συνεργασία με τον εκπρόσωπο της Εταιρείας, αρμόδιο για θέματα προστασίας Προσωπικών Δεδομένων, να συνάπτει σύμβαση με το εκάστοτε τρίτο μέρος, προβλέποντας τις υποχρεώσεις κάθε μέρους αναφορικά με τη διαβίβαση Προσωπικών Δεδομένων.

Όταν η διαβίβαση Προσωπικών Δεδομένων γίνεται από την Εταιρεία προς τρίτα μέρη, τα οποία ενεργούν ως Εκτελούντες την Επεξεργασία, η Εταιρεία θα πρέπει, σε συνεργασία με τον εκπρόσωπο της Εταιρείας, αρμόδιο για θέματα προστασίας Προσωπικών Δεδομένων, να συνάπτει συμφωνητικό Επεξεργασίας με το τρίτο μέρος, το οποίο θα διασφαλίζει επαρκές επίπεδο προστασίας αναφορικά με την Επεξεργασία των Προσωπικών Δεδομένων. Το συμφωνητικό θα πρέπει να δεσμεύει τον Εκτελούντα την Επεξεργασία να προστατεύει τα Προσωπικά Δεδομένα που έχει στη διάθεσή του, να τηρεί τις αρχές της εμπιστευτικότητας και της εχεμύθειας και να προβαίνει στην Επεξεργασία τους μόνο με γνώμονα τις οδηγίες και τις εντολές της Εταιρείας που ενεργεί ως Υπεύθυνος Επεξεργασίας.

Σε περίπτωση εξωτερικής ανάθεσης υπηρεσιών από την Εταιρεία προς τρίτο μέρος (π.χ. υπηρεσίες cloud), θα πρέπει να ορίζεται ρητώς κατά πόσο το τρίτο μέρος θα ενεργεί ως Εκτελών την Επεξεργασία και κατά πόσο η Επεξεργασία θα περιλαμβάνει διαβίβαση σε Τρίτες Χώρες. Σε κάθε περίπτωση και σε συνεργασία με τον εκπρόσωπο της Εταιρείας, αρμόδιο για θέματα προστασίας Προσωπικών Δεδομένων, η Εταιρεία θα συνάπτει συμφωνητικό παροχής υπηρεσιών με το τρίτο μέρος, το οποίο θα προβλέπει ρητώς τους όρους, τις προϋποθέσεις και τις υποχρεώσεις των μερών σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων.

Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων αναλαμβάνει να διεξάγει τακτικούς ελέγχους προκειμένου να διασφαλίσει την τήρηση των υποχρεώσεων των τρίτων μερών αναφορικά με την Επεξεργασία Προσωπικών Δεδομένων, καθώς και την κατάλληλη εφαρμογή όλων των απαραίτητων τεχνικών και οργανωτικών μέτρων.

12. ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ

12.1. Διαχείριση Παραπόνων

Τα Υποκείμενα των Δεδομένων δικαιούνται να απευθύνουν τα παράπονά τους στον εκπρόσωπο της Εταιρείας, υπεύθυνο επί θεμάτων προστασίας Προσωπικών Δεδομένων, υποβάλλοντας γραπτή δήλωση παραπόνων. Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων υποχρεούται, με τη λήψη γνώσης της δήλωσης, να εξετάσει το εκάστοτε παράπονο και να προχωρήσει σε ενδελεχή έρευνα, κρίνοντας κατά τη διακριτική του ευχέρεια τη βασιμότητα του περιεχομένου της δήλωσης. Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων καλείται να ενημερώσει το Υποκείμενο των Δεδομένων σχετικά με την εξέλιξη και το αποτέλεσμα του παραπόνου του εντός τριάντα (30) ημερών από τη λήψη γνώσης της δήλωσης παραπόνου.

12.2. Αναφορά Παραβίασης

Κάθε Υποκείμενο Δεδομένων υποχρεούται να αναφέρει άμεσα στον εκπρόσωπο της Εταιρείας, υπεύθυνο επί θεμάτων προστασίας Προσωπικών Δεδομένων, κάθε περιστατικό παραβίασης Προσωπικών Δεδομένων που υπέπεσε στην αντίληψή του ακολουθώντας τη διαδικασία αναφοράς που περιγράφεται στην αντίστοιχη διαδικασία διαχείρισης περιστατικών ασφαλείας.

Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων, υποχρεούται να ελέγξει κάθε περιστατικό που έχει αναφερθεί προκειμένου να επιβεβαιώσει αν υπήρξε Παραβίαση. Σε περίπτωση διαπίστωσης Παραβίασης, ακολουθείται η ανωτέρω διαδικασία αντιμετώπισης της Παραβίασης, ως ειδικότερη.

12.3. Δημοσίευση

Η παρούσα πολιτική διανέμεται στο Προσωπικό της Εταιρείας.

Αντίγραφο της παρούσας πολιτικής παραλαμβάνεται από το Προσωπικό και σε έντυπη μορφή. Κάθε παραλαβή βεβαιώνεται με την υπογραφή του σχετικού εγγράφου βεβαίωσης παραλαβής.

12.4. Έναρξη ισχύος

Η παρούσα πολιτική ισχύει από την έγκρισή της από το νόμιμο εκπρόσωπο της Εταιρείας.

12.5. Επικαιροποίηση πολιτικής

Ο εκπρόσωπος της Εταιρείας, υπεύθυνος επί θεμάτων προστασίας Προσωπικών Δεδομένων, οφείλει να τροποποιεί ή/και αναθεωρεί τις διατάξεις της πολιτικής προκειμένου να διασφαλίζεται η συνεχής επικαιροποίησή της. Κάθε τροποποιημένη εκδοχή της πολιτικής κοινοποιείται στο Προσωπικό της Εταιρείας.