Για πληροφορίες σχετικά με τον Covid-19 αλλά και για όλα τα μέτρα προστασίας κάντε κλικ εδώ
ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Η Επιχείρηση, ΜΑΡΚΟΠΟΥΛΟΣ ΗΛ. ΝΙΚΟΛΑΟΣ, CAMPING “ΜΕΘΩΝΗ” , (εφεξής καλούμενη ως : «η Επιχείρηση ») η οποία βρίσκεται στην θέση 24006 Μεθώνη, Μεσσηνίας, προκειμένου να ανταποκριθεί στις ανάγκες της λειτουργίας Camping, συλλέγει και επεξεργάζεται τα προσωπικά δεδομένα των κάτωθι υποκειμένων δικαιωμάτων Α.)τα προσωπικά δεδομένα του προσωπικού, Β.) τα προσωπικά δεδομένων των πελατών του Camping και Γ.) τα προσωπικά δεδομένων των τρίτων εξωτερικών συνεργατών του Camping (στο εξής καλούμενα ως : «υποκείμενο/α των δεδομένων») σύμφωνα με την ισχύουσα νομοθεσία όπως τροποποιήθηκε ή/και αντικαταστάθηκε κατά διαστήματα, τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 (εφεξής “Γενικός Κανονισμός για την Προστασία των Δεδομένων” ή “GDPR”), ( εφεξής καλούμενος ως «ΓΚΠΔ») ο οποίος είναι σε ισχύ από τις 25 Μαΐου 2018, καθώς και οποιεσδήποτε άλλες νομικές ή / και κανονιστικές απαιτήσεις.
Σκοπός της παρούσας πολιτικής η οποία αποτελεί την πολιτική προστασίας των δεδομένων που επεξεργάζεται η «Επιχείρηση » είναι
α.)να παρέχει στο κάθε ως άνω αναφερόμενο κάθε κατηγορίας «υποκείμενο των δεδομένων» τις πληροφορίες σχετικά με την επεξεργασία των προσωπικών του δεδομένων από την «Επιχείρηση » και
β.)να ενημερώσει «το υποκείμενο των δεδομένων» σχετικά με τα δικαιώματα του αναφορικά με την προστασία των προσωπικών δεδομένων, βάσει του ισχύοντος νομοθετικού και κανονιστικού πλαισίου.
Τα στοιχεία επικοινωνίας του «Υπεύθυνου Προστασίας Δεδομένων» της «Επιχείρησης είναι:
Όνομα: Νικόλαος
Επώνυμο: Μαρκόπουλος
Τηλέφωνο: 27230 31188
Ηλεκτρονική Διεύθυνση: info@campingmethoni.gr
Διεύθυνση: Camping Methoni, 24006 Μεθώνη, Μεσσηνίας
Υπεύθυνος για την επεξεργασία των δεδομένων: Μαρκόπουλος Νικόλαος
Εάν έχετε οποιεσδήποτε ερωτήσεις ή επιθυμείτε να γνωρίσετε περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο «η Επιχείρηση» χρησιμοποιεί τα προσωπικά σας δεδομένα, μπορείτε να επικοινωνείτε στα παραπάνω στοιχεία επικοινωνίας με τον τρόπο που ορίζεται στην παρούσα πολιτική.
Α. Σύντομη εισαγωγή στον ΓΚΠΔ Ο διατάξεις του ΓΚΠΔ εφαρμόζονται υποχρεωτικά στην «Επιχείρηση» και συνεπώς οι σχετικές δραστηριότητες της «Επιχείρησης » πρέπει να συμμορφώνονται με τις απαιτήσεις του ΓΚΠΔ.
Α.1. ) Ορισμοί
α) Ως «Δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, δηλ του «υποκειμένου των δεδομένων»
β) «Επεξεργασία»: είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
γ) «Yπεύθυνος επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο το οποίο, από μόνο του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλεφθούν από το δίκαιο της Ένωσης ή των κρατών μελών. Μια οντότητα που αποφασίζει για το «γιατί» και το «πώς» της επεξεργασίας των δεδομένων θεωρείται «υπεύθυνος επεξεργασίας»..
(το πρόσωπο που αποφασίζει για το «γιατί» και το «πώς» της επεξεργασίας δεδομένων) Όταν στο κείμενο αναφέρεται η λέξη «υπεύθυνος επεξεργασίας», εννοείται το πρόσωπο που επεξεργάζεται τα δεδομένα (είτε ο «υπεύθυνος επεξεργασίας» είτε o εκπρόσωπος του «υπεύθυνου επεξεργασίας» (υπάλληλοι)
ε) «Εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του «υπεύθυνου επεξεργασίας». Εάν ένας «υπεύθυνος επεξεργασίας» απασχολεί κάποιον τρίτο (π.χ. φορέα παροχής υπηρεσιών) για την επεξεργασία των προσωπικών δεδομένων για λογαριασμό του «υπεύθυνου επεξεργασίας», αυτός ο τρίτος θα χαρακτηριστεί ως «εκτελών την επεξεργασία».
Είναι δυνατόν να υπάρχουν περισσότεροι «υπεύθυνοι επεξεργασίας» και «εκτελούντες την επεξεργασία» που εμπλέκονται στην ίδια δραστηριότητα επεξεργασίας δεδομένων.
στ) «Υποκείμενο των δεδομένων» σύμφωνα με την παρούσα πολιτική είναι το προσωπικό της «Επιχείρησης»( εφεξής καλούμενο «προσωπικό» ή «υποκείμενο δεδομένων»), οι πελάτες της «Επιχείρησης» ( εφεξής καλούμενοι «πελάτης» ή «υποκείμενο δεδομένων») και οι εξωτερικοί συνεργάτες της Επιχείρησης (εφεξής καλούμενοι ως «τρίτος» ή «υποκείμενο δεδομένων»)
Όπου στο κείμενο αναφέρονται οι λέξεις στον ενικό αριθμό, εννοείται ότι ισχύει και στον πληθυντικό αριθμό.
Α.2.) Βασικές αρχές της Προστασίας των Δεδομένων
Τα προσωπικά δεδομένα του κάθε «υποκειμένου δεδομένων» υποβάλλονται σε επεξεργασία σύμφωνα με τις παρακάτω αρχές:
(1) Υποβάλλονται σε σύννομη, θεμιτή και διαφανή επεξεργασία «νομιμότητα, αντικειμενικότητα και διαφάνεια»
(1.1)Το «υποκείμενο δεδομένων» πρέπει να γνωρίζει
ότι τα δεδομένα του βρίσκονται υπό νόμιμη επεξεργασία για ποιο σκοπό υποβάλλονται σε επεξεργασία πώς να ασκήσει τα δικαιώματά του σε σχέση με τα δεδομένα του. ότι δεν υφίσταται υποχρέωση «της Επιχείρησης» να ενημερώνει το «υποκείμενο των δεδομένων» για οτιδήποτε είναι προφανές με βάση τα συναλλακτικά ήθη : ένα τυπικό παράδειγμα είναι κάρτες στοιχείων που επιδίδει με την συγκατάθεσή του το υποκείμενο των δεδομένων.
(2) Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς. Περαιτέρω επεξεργασία με σκοπό αρχειοθέτησης για λόγους δημοσίου συμφέροντος, δεν θεωρείται ασυμβίβαστη με τους αρχικούς σκοπούς («περιορισμός του σκοπού»).
(3) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)
(4) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όποτε απαιτείται, να ενημερώνονται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
(5) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση τους με τα «υποκείμενα των δεδομένων» μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον
-υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον,
-για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον α.)εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του «υποκειμένου των δεδομένων» («περιορισμός της περιόδου αποθήκευσης») β.) επικαιροποιούνται ανά τακτά χρονικά ώστε τοιουτοτρόπως να διασφαλίζεται η ακρίβειά τους.
(6) Υποβάλλονται σε επεξεργασία κατά τρόπο ώστε να είναι εγγυημένη η ασφάλεια και η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Β. Προσωπικά δεδομένα που διατηρεί η «επιχειρηση » για «το προσωπικό» Τα Προσωπικά Δεδομένα που διατηρεί η «Επιχείρηση» για «το προσωπικό», περιλαμβάνουν όχι μόνο εκείνα που απαιτεί ο νόμος για τη σύναψη συμφωνιών αλλά και ορισμένα άλλα που απαιτούνται και χρησιμοποιούνται στον κλάδο για την επίτευξη υψηλού επιπέδου υπηρεσιών.
Για τον παραπάνω λόγο, το είδος των δεδομένων που διατηρούνται και ο σκοπός της επεξεργασίας δεδομένων, εξαρτώνται από τις απαιτήσεις που ζητούνται κάθε φορά από τη νομοθεσία και την νομοθεσία που διέπει τις δραστηριότητες του συγκεκριμένου κλάδου. Χωρίς επεξεργασία δεδομένων η «Επιχείρηση », δεν μπορεί να συνάψει ή να εκτελέσει τους όρους μιας σύμβασης με το «υποκείμενο των δεδομένων».
Ενδεικτικά και όχι αποκλειστικά, τα δεδομένα που επεξεργάζεται η «Επιχείρηση » αφορούν τα εξής:
όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση, αριθμός τηλεφώνου, ειδικότητα, οικογενειακή κατάσταση, επαγγελματικό ιστορικό, τραπεζικοί λογαριασμοί, αριθμός κοινωνικής ασφάλισης ΑΜΚΑ, αριθμός φορολογικού μητρώου, εκπαίδευση, ονοματεπώνυμο γονέων, στοιχεία ταυτoποίησης (π.χ. υπογραφή), ηλικία, αριθμός παιδιών, βιογραφικό σημείωμα, δεδομένα εκ των κλειστών κυκλωμάτων παρακολούθησης (CCTV).
Ειδικές κατηγορίες προσωπικών δεδομένων περιλαμβάνονται επίσης στα δεδομένα που συλλέγει και διατηρεί «ο Ερωδιός ». Ενδεικτικά και όχι αποκλειστικά τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: ιατρικό ιστορικό, ιατρικά πιστοποιητικά, θρησκεία, φωτογραφίες, εθνικότητα.
Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές στο χρονικό στάδιο της συλλογής των προσωπικών δεδομένων.
B1.) Σκοπός επεξεργασίας H «Eπιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «του προσωπικού» για έναν ή περισσότερους από τους παρακάτω λόγους:
Σύμβαση Εργασίας Ενδεικτικά και χωρίς περιορισμό, για :
1. Αξιολόγηση των ικανοτήτων του υποψηφίου για την κάλυψη των αναγκών θέσεων εργασίας
2. Προετοιμασία / υπογραφή της σύμβασης
3. Προετοιμασία για μελλοντικές ανάγκες κάλυψης προσωπικού.
4. Αναγνώριση και ταυτοποίηση του προσωπικού.
5. Σεβασμός της «Επιχείρησης » στο διαφορετικό πολιτισμικό και θρησκευτικό υπόβαθρο.
6. Διευκόλυνση της επικοινωνίας
7. Συμμόρφωση με τις απαιτήσεις της εγχώριας και ευρωπαϊκής νομοθεσίας.
Συμμόρφωση με νομικές υποχρεώσεις. Ενδεικτικά και χωρίς περιορισμό, με την:
1. Eγχώρια νομοθεσία
Ευρωπαϊκή νομοθεσία. 2. Υποστήριξη νομικών διαδικασιών
3. Εκτέλεση καθήκοντος προς το δημόσιο συμφέρον
4. Εφόσον νόμιμα ζητηθούν δεδομένα από δημόσιες αρχές
Για λόγους προστασίας των νόμιμων συμφερόντων. Ενδεικτικά και χωρίς περιορισμό, για την:
1. Ασφάλεια και προστασία «της Επιχείρησης»
2. Ασφάλεια και προστασία των εγκαταστάσεων
3. Ασφάλεια και προστασία του συνόλου του προσωπικού
Με βάση τη συναίνεση του προσωπικού Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Β.2.) Για πόσο χρονικό διάστημα η «Επιχείρηση» διατηρεί τα δεδομένα «του προσωπικού»
Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται για 5 χρόνια μετά την απόλυση «του προσωπικού».
Στην περίπτωση που ένας υποψήφιος για την θέση «του προσωπικού» δεν είναι αποδεκτός, τα προσωπικά δεδομένα αυτού θα καταστρέφονται άμεσα χωρίς να μένουν ίχνη.
Η« Επιχείρηση» μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο. Α.) για λόγους διασφάλισης νομικών και οικονομικών δικαιωμάτων της .
Β.) για ενδεχόμενη μελλοντική απασχόληση του «υποκειμένου των δεδομένων». Στην περίπτωση αυτή το « υποκείμενο των δεδομένων» θα πρέπει να έχει συναινέσει στη διατήρηση των προσωπικών του δεδομένων για το χρονικό διάστημα διατήρησης των δεδομένων του.
Στις ανωτέρω περιπτώσεις «η Επιχείρηση», έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων και στην δεύτερη περίπτωση ότι τα τηρούμενα προσωπικά δεδομένα επικαιροποιούνται κατά τακτά χρονικά διαστήματα ώστε να είναι διασφαλισμένη η ακρίβεια αυτών.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, θα πρέπει να διαγραφούν,- στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και να καταστραφούν όσα τηρούνται σε ένχαρτη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων»
Β.3.) Με ποιους μοιράζεται η «Επιχείρηση » τα προσωπικά δεδομένα «του προσωπικού».
Καμία πληροφορία σχετικά με τα δεδομένα προσωπικού χαρακτήρα των «υποκειμένων δεδομένων» δεν αποκαλύπτεται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον νομικό πλαίσιο και όταν απαιτείται για την εκπλήρωση των σκοπών της απασχόλησης.
Οι περιπτώσεις αυτές είναι :
α.) Όταν η « Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν η γνωστοποίηση απαιτείται για λόγους συμμόρφωσης με το νομικό πλαίσιο που διέπει την λειτουργία της «Επιχείρηση» ( Δημόσιες αρχές κ.λπ.)
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει (με λογιστικές εταιρείες, με it εταιρείες, εταιρείες κινητής τηλεφωνίας, με ταξιδιωτικούς Πράκτορες, κ.λπ.)
β) Όταν για λόγους νόμιμου συμφέροντος της «Επιχείρησης» απαιτείται η αποκάλυψη πληροφοριών (σε δικηγόρους συμβούλους κλπ.).
γ) Όταν η γνωστοποίηση γίνεται κατόπιν αιτήσεώς του υποκειμένου των δεδομένων ή με τη συναίνεσή αυτού ή για την ικανοποίηση των συμβατικών υποχρεώσεων του υποκειμένου των δεδομένων.
δ.) Όταν το «υποκείμενο των δεδομένων», μας ζητάει να μοιραστούμε τα δεδομένα αυτού με τρίτους.
Γ.) Προσωπικά δεδομένα που διατηρεί «η Επιχείρηση» για «τους πελάτες » Τα Προσωπικά Δεδομένα που διατηρεί «η Επιχείρηση» για «τους πελάτες», περιλαμβάνουν εκείνα που απαιτεί ο νόμος για τη παροχή υπηρεσιών εστίασης αλλά και όλα όσα απαιτούνται για την επίτευξη υψηλού επιπέδου υπηρεσιών.
Για τον παραπάνω λόγο, το είδος των δεδομένων που διατηρούνται και ο σκοπός της επεξεργασίας δεδομένων, εξαρτώνται από τις απαιτήσεις που απαιτούνται κάθε φορά από τη νομοθεσία που διέπει τις δραστηριότητες του συγκεκριμένου κλάδου αλλά και τις ειδικές απαιτήσεις των πελατών.
Χωρίς επεξεργασία δεδομένων «η Επιχείρηση», δεν μπορεί να συνάψει ή να εκτελέσει την παροχή υπηρεσιών εστίασης προς το «υποκείμενο των δεδομένων».
Ενδεικτικά και όχι αποκλειστικά, τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση, αριθμός τηλεφώνου, Aριθμός Δελτίου Ταυτότητας ή Αριθμός Διαβατηρίου, αριθμός παιδιών, αριθμός αυτοκινήτου, δεδομένα εκ των κλειστών κυκλωμάτων παρακολούθησης (CCTV).
Ειδικές κατηγορίες προσωπικών δεδομένων περιλαμβάνονται επίσης στα δεδομένα που συλλέγει και διατηρεί «η Επιχείρηση». Ενδεικτικά και όχι αποκλειστικά τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: την εθνικότητα των πελατών.
Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές στο χρονικό στάδιο της συλλογής των προσωπικών δεδομένων.
Γ.1.) Σκοπός επεξεργασίας
«Η Επιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «των πελατών » για έναν ή περισσότερους από τους παρακάτω λόγους:
-Για την παροχή των υπηρεσιών εστίασης.
– Για την κάλυψη και ικανοποίηση των απαιτήσεων του πελάτη για την παροχή των υπηρεσιών εστίασης.
– Προετοιμασία για την παροχή της υπηρεσιών εστίασης προς τον πελάτη.
– Προετοιμασία για την ικανοποίηση μελλοντικών αναγκών εστίασης του πελάτη.
-Αναγνώριση και ταυτοποίηση των πελατών.
-Σεβασμός και προστασία της «Επιχείρησης» στο διαφορετικό πολιτισμικό και θρησκευτικό υπόβαθρο του πελάτη.
-Διευκόλυνση της επικοινωνίας
Για τη συμμόρφωση νομικές υποχρέωσεις σύμφωνα με την:
-Eγχώρια νομοθεσία.
-Ευρωπαϊκή νομοθεσία.
-Για την υποστήριξη νομικών διαδικασιών
Για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον.
Εφόσον νόμιμα ζητηθούν δεδομένα από τις δημόσιες αρχές.
Για λόγους προστασίας των νόμιμων συμφερόντων. Ενδεικτικά και χωρίς περιορισμό, για την:
-Ασφάλεια και προστασία «της Επιχείρησης».
-Ασφάλεια και προστασία των εγκαταστάσεων.
-Ασφάλεια και προστασία του πελάτη.
Με βάση τη συναίνεση του πελάτη Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Γ.2. Για πόσο χρονικό διάστημα «η Επιχείρηση» διατηρεί τα δεδομένα «του πελάτη» Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται ένα έτος. Στην περίπτωση που ένας πελάτης δεν είναι αποδεκτός, τα προσωπικά δεδομένα αυτού καταστρέφονται άμεσα χωρίς να μένουν ίχνη.
«Η Επιχείρηση» μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο για λόγους εξασφάλισης των νομικών και οικονομικών συμφερόντων της. Στην ανωτέρω περίπτωση «η Επιχείρηση», έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων του πελάτη.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, διαγράφονται -στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και καταστρέφονται όσα τηρούνται σε έντυπη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων»
Γ.3.) Με ποιους μοιράζεται η «Επιχείρηση » τα προσωπικά δεδομένα «των πελατών » Καμία πληροφορία σχετικά με τα δεδομένα προσωπικού χαρακτήρα των «πελατών» δεν αποκαλύπτεται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον νομικό πλαίσιο και όταν απαιτείται για την εκπλήρωση των σκοπών της απασχόλησης. Οι περιπτώσεις αυτές είναι :
α.) Όταν «η Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν η γνωστοποίηση απαιτείται για λόγους συμμόρφωσης με το νομικό πλαίσιο που διέπει την «Επιχείρηση» ( Δημόσιες αρχές κ.λπ.)
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει (με λογιστικές εταιρείες, με it εταιρείες, εταιρείες κινητής τηλεφωνίας, με ταξιδιωτικούς Πράκτορες, κ.λπ.)
β) Όταν για λόγους νόμιμου συμφέροντος της «Επιχείρησης» απαιτείται η αποκάλυψη πληροφοριών (σε δικηγόρους συμβούλους κλπ.).
γ) Όταν η γνωστοποίηση γίνεται κατόπιν αιτήσεώς του υποκειμένου των δεδομένων ή με τη συναίνεσή αυτού ή για την ικανοποίηση των συμβατικών υποχρεώσεων του υποκειμένου των δεδομένων .
δ.) Όταν ο «πελάτης », μας ζητήσει να μοιραστούμε τα δεδομένα αυτού με τρίτους.
Δ. Προσωπικά δεδομένα που διατηρεί «η Επιχείρηση» για « τρίτους» Τα Προσωπικά Δεδομένα που διατηρεί «η Επιχείρηση» για τους εξωτερικούς συνεργάτες της « τρίτους» περιλαμβάνουν όχι μόνο εκείνα τα δεδομένα που απαιτεί ο νόμος για τη σύναψη συμβάσεων αλλά και ορισμένα άλλα που απαιτούνται και χρησιμοποιούνται στον κλάδο για την επίτευξη υψηλού επιπέδου υπηρεσιών. Ενδεικτικά τα δεδομένα αυτά είναι -Όνομα, Επώνυμο, Όνομα Γονέων, διεύθυνση, αριθμός AΦΜ
Χωρίς επεξεργασία δεδομένων, «η Επιχείρηση» δεν μπορεί να συνάψει ή να εκτελέσει τους όρους μιας σύμβασης με το «υποκείμενο των δεδομένων». Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές κατά το χρονικό σημείο της συλλογής αυτών.
Δ.1.) Σκοπός επεξεργασίας
«Η Επιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «τρίτων» για έναν ή περισσότερους από τους παρακάτω λόγους:
Για την εκτέλεση σύμβασης στην οποία «το υποκείμενο των δεδομένων» εκπροσωπεί μια άλλη νομική οντότητα ή είναι το ίδιο συμβαλλόμενο μέρος.
Για τη συμμόρφωση σε νομική υποχρέωση.
Για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
Με βάση τη συγκατάθεση «του τρίτου».
Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Δ.2.) Για πόσο χρονικό διάστημα η «Επιχείρηση» διατηρεί τα προσωπικά δεδομένα «τρίτων».
Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται για 5 χρόνια μετά τη λήξη των συμβάσεων συνεργασίας.
«Η Επιχείρηση » μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο
Α.) για λόγους εξασφάλισης των νομικών και οικονομικών της συμφερόντων.
Β.) για ενδεχόμενη μελλοντική συνεργασία με το έτερο συμβαλλόμενο μέρος. Στην περίπτωση αυτή θα πρέπει το « υποκείμενο των δεδομένων» να έχει συναινέσει στη διατήρηση των προσωπικών του δεδομένων.
Στις ανωτέρω περιπτώσεις «η Επιχείρηση », έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων και στην δεύτερη περίπτωση ότι τα διατηρούμενα προσωπικά δεδομένα επικαιροποιούνται κατά τακτά χρονικά διαστήματα ώστε να είναι διασφαλισμένη η ακρίβεια αυτών.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, θα πρέπει να διαγραφούν,- στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και να καταστραφούν όσα τηρούνται σε έντυπη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων».
Δ.3.) Με ποιους «η Επιχείρηση» μοιράζεται τα προσωπικά δεδομένα «τρίτων» Τα προσωπικά δεδομένα του « υποκειμένου των δεδομένων» δεν αποκαλύπτονται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον κατά καιρούς νομικό και κανονιστικό πλαίσιο.
Οι περιπτώσεις αυτές είναι :
α.) Όταν «η Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν απαιτείται γνωστοποίηση για λόγους συμμόρφωσης με το νομικό και κανονιστικό πλαίσιο που διέπει την λειτουργία της επιχείρησης.
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει
γ) Όταν είναι νόμιμο συμφέρον «της Επιχείρησης» να αποκαλύψει πληροφορίες (π.χ. για να προστατεύσει το συμφέρον της(σε αξιώσεις κ.λπ.).
δ) Σε περίπτωση που γίνεται γνωστοποίηση στο «υποκείμενο των δεδομένων» με αίτημα ή με τη συγκατάθεσή του ή για την εκπλήρωση των συμβατικών υποχρεώσεων «της Επιχείρησης» απέναντι στο «υποκείμενο των δεδομένων».
ε.) Όπου το «υποκείμενο δεδομένων» ζητά από την «Επιχείρηση», να μοιράζεται τα δεδομένα του με άλλες εταιρείες ή μεμονωμένα άτομα.
Ε. Kαταγραφή Προσωπικών Δεδομένων στα Αρχεία Δραστηριοτήτων
Ο «υπεύθυνος επεξεργασίας» σε κάθε τμήμα «της Επιχείρησης» διατηρεί σε έντυπη μορφή καθώς και ηλεκτρονικά τα αρχεία των δραστηριοτήτων επεξεργασίας της «Επιχείρησης».
Σε αυτά τα αρχεία τεκμηριώνεται ποια προσωπικά δεδομένα υπάρχουν, από που προέρχονται και με ποιους μοιράζονται, πού φυλάσσονται, σε τι μορφή διατηρούνται, ποιος είναι ο λόγος και η νόμιμη βάση για την κατοχή τους, αν υπάρχει συγκατάθεση για τη διατήρησή τους.
Από τα Αρχεία Δραστηριοτήτων συνάγονται συμπεράσματα σχετικά με το εάν τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, τους σκοπούς επεξεργασίας (οτι συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο που δεν συμβιβάζεται με τους σκοπούς αυτούς), αν είναι ελαχιστοποιημένα (αν είναι επαρκή, σχετικά και περιορισμένα σε ό, τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, αν είναι ακριβή, όπου είναι απαραίτητο αν είναι ενημερωμένα, αν διατηρούνται για μεγαλύτερο χρονικό διάστημα από αυτό που είναι απαραίτητο, σε σχέση με τα δικαιώματα «των υποκειμένων των δεδομένων», καθώς και σε περίπτωση μεταφοράς σε άλλες χώρες εάν υπάρχει επαρκής προστασία.
Ο «υπεύθυνος επεξεργασίας» διασφαλίζει σε κάθε περίπτωση τη συμμόρφωση της επεξεργασίας με τις προαναφερόμενες αρχές.
ΣΤ. Μεταφορά Δεδομένων
«Η Επιχείρηση» μπορεί να μεταφέρει προσωπικά δεδομένα των υποκειμένων δεδομένων εντός και εκτός της Ευρωπαϊκής Ένωσης στις ακόλουθες περιπτώσεις
-Όταν το «υποκείμενο των δεδομένων» έχει συναινέσει ρητώς, στην προτεινόμενη μεταφορά,
-Όταν η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης,
-Όταν η μεταφορά αυτή είναι απαραίτητη για την έγερση, άσκηση, υποστήριξη νομικών αξιώσεων ή υπεράσπιση των δικαιωμάτων «της Επιχείρησης»
-Όταν υπάρχει υποχρέωση βάσει διατάξεων της Ελληνικής Νομοθεσίας ή διεθνούς σύμβασης.
-Όταν η Ευρωπαϊκή Επιτροπή έχει εκδώσει κατ’ εξουσιοδότηση πράξεις για την επαρκή προστασία των προσωπικών δεδομένων στη συγκεκριμένη χώρα ή σε διεθνή οργανισμό.
-Όταν η μεταφορά είναι απαραίτητη για λόγους δημοσίου συμφέροντος,
– Όταν η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του «υποκειμένου των δεδομένων» ή άλλων προσώπων, όταν το «υποκείμενο των δεδομένων» είναι φυσικά ή νομικά ανίκανο να δώσει συγκατάθεση.
Ζ. Κύρια δικαιώματα του «υποκειμένου των δεδομένων»
Τα ακόλουθα είναι τα κύρια δικαιώματα που έχει το «υποκείμενο των δεδομένων» σύμφωνα με τις διατάξεις του ΓΚΠΔ καθώς και κάθε άλλη σχετική νομοθεσία αναφορικά με την προστασία των δεδομένων:
1. Πληροφορίες και δικαίωμα πρόσβασης σε προσωπικά δεδομένα «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει πρόσβαση στα προσωπικά του δεδομένα.
Αυτό επιτρέπει «στο υποκείμενο των δεδομένων» να διορθώσει ελλιπή ή ανακριβή δεδομένα που διατηρούμε για αυτό, και ίσως χρειαστεί να επαληθεύσουμε την ακρίβεια των νέων δεδομένων που μας παρέχει Τα αιτήματα πρόσβασης «του υποκειμένου των δεδομένων» πρέπει να είναι γραπτά.
Τυποποιημένες φόρμες οι οποίες θα διατηρούνται και στους χώρους των εγκαταστάσεων μας θα παρέχονται «στο υποκείμενο των δεδομένων», θα δίνουν την δυνατότητα στα «υποκείμενα των δεδομένων» ώστε να ασκήσουν τα δικαιώματά τους .
Όταν ο Υπεύθυνος Προστασίας Δεδομένων δεν γνωρίζει προσωπικά «το υποκείμενο των δεδομένων», θα πρέπει να ακολουθηθεί η διαδικασία που θα έχει ήδη εκπονηθεί για τον έλεγχο της ταυτότητας πριν από την παράδοση οποιωνδήποτε πληροφοριών.
2. Δικαίωμα διόρθωσης «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση των προσωπικών δεδομένων που διατηρούνται από «την Επιχείρηση». Με αυτό το δικαίωμα «το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση οποιωνδήποτε ελλιπών ή ανακριβών δεδομένων και «η Επιχείρηση» μπορεί να χρειαστεί να επαληθεύσει την ακρίβεια των νέων δεδομένων που παρέχονται.
3. Δικαίωμα διαγραφής
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να διαγράψει τα προσωπικά δεδομένα που διατηρούνται από «την Επιχείρηση» όταν δεν υπάρχει κανένας βάσιμος λόγος για «την Επιχείρηση» να συνεχίσει την επεξεργασία τους. Σε τέτοιες περιπτώσεις, «η Επιχείρηση» μπορεί να δικαιούται να διατηρεί τα δεδομένα εάν εξακολουθεί να έχει νόμιμους λόγους να επεξεργάζεται τα προσωπικά δεδομένα
4. Δικαίωμα περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει από τον «υπεύθυνο επεξεργασίας» τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από «το υποκείμενο των δεδομένων», για συγκεκριμένη χρονική περίοδο που επιτρέπει στον «υπεύθυνο επεξεργασίας» να επαληθεύει την ακρίβεια των προσωπικών δεδομένων ·
β) η επεξεργασία είναι παράνομη και «το υποκείμενο των δεδομένων» αντιτίθεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί αντί αυτού τον περιορισμό της χρήσης τους ·
γ) ο «υπεύθυνος επεξεργασίας» δεν χρειάζεται πλέον τα προσωπικά δεδομένα για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από το «υποκείμενο των δεδομένων» για την έγερση, άσκηση ή υπεράσπιση νομικών αξιώσεων ·
δ) «το υποκείμενο των δεδομένων» έχει αντιταχθεί στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ.
5. Δικαίωμα στη φορητότητα των δεδομένων
«Το υποκείμενο των δεδομένων» μπορεί να ζητήσει να μεταφερθούν τα προσωπικά του δεδομένα στα ίδια ή σε νέο πάροχο (να διαβιβάζονται απευθείας σε άλλο οργανισμό, εφόσον είναι τεχνικά εφικτό) σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και στο βαθμό που αυτό δεν θα υπονομεύσει τα δικαιώματα των άλλων. Η αίτηση πρέπει να υποβληθεί εντός ενός μηνός (με παρατάσεις για ορισμένες περιπτώσεις) και κάθε πρόθεση μη συμμόρφωσης πρέπει να αιτιολογείται σε αυτό.
Πρέπει να εξεταστεί η περίπτωση που τα δεδομένα σχετίζονται με περισσότερα από ένα «υποκείμενο δεδομένων» και τον τρόπο αντιμετώπισης των δυσκολιών που αυτό δημιουργεί.
«Η Επιχείρηση» έχει αναπτύξει δυνατότητες μορφοποίησης για να ικανοποιηθούν αιτήματα πρόσβασης για την παροχή φορητών δεδομένων.
6. Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων «Η Επιχείρηση» δεν λαμβάνει αποφάσεις βάσει αυτοματοποιημένης επεξεργασίας.
7. Δικαίωμα απόσυρσης συναίνεσης «Το υποκείμενο των δεδομένων» μπορεί ανά πάσα στιγμή και χωρίς χρέωση να ανακαλέσει οποιαδήποτε συναίνεση παρείχε προηγουμένως σχετικά με την επεξεργασία των Προσωπικών του Δεδομένων.
Αυτό δεν θα επηρεάσει τη νομιμότητα της επεξεργασίας πριν την ανάκληση της συναίνεσης.
8. Δικαίωμα υποβολής καταγγελίας
«Το υποκείμενο των δεδομένων» έχει δικαίωμα να υποβάλει στον Υπεύθυνο Προστασίας της «Επιχείρησης» καταγγελία σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά του στοιχεία ή στην Αρχή Προστασίας Δεδομένων, ιδίως στο κράτος μέλος της συνήθους διαμονής, του τόπου εργασίας του ή του τόπου της εικαζόμενης παράβασης, εάν «το υποκείμενο των δεδομένων» θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν παραβιάζει τον παρόντα κανονισμό.
Η. Υποχρεώσεις αναφορικά με τον τρόπο επεξεργασίας των προσωπικών δεδομένων
Η.1.) Περιορισμός της φυσικής πρόσβασης του προσωπικού της «Επιχείρησης» στην επεξεργασία δεδομένων προσωπικου πελατων και τριτων .
Ακεραιότητα/ Εμπιστευτικότητα
Σύμφωνα με την αρχή της ακεραιότητας / εμπιστευτικότητας, τα δεδομένα τόσο του προσωπικού όσο των πελατών αλλά και των τρίτων, υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζεται η ασφάλεια αυτών και χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα να είναι εξασφαλισμένα από παράνομη επεξεργασία από τυχαία απώλεια, καταστροφή ή ζημία ή από χρήση από μη εξουσιοδοτημένα άτομα. Τα δεδομένα δεν μοιράζονται άτυπα με τα άλλα τμήματα.
Τα προσωπικά δεδομένα που μεταφέρονται στις εγκαταστάσεις «της Επιχείρησης» και αντιστρόφως διαβιβάζονται μόνο στους αρμόδιους υπαλλήλους και στα αρμόδια τμήματα και όχι σε μη ελεγχόμενη ομάδα προσωπικού ή σε οποιονδήποτε άλλον παραλήπτη ή σε τμήματα της « Επιχείρησης» που οι αρμοδιότητες τους δεν σχετίζονται με την επεξεργασία των δεδομένων .
Τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένους ανθρώπους, είτε εντός «της Επιχείρησης» είτε εξωτερικά.
Οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα υπόκεινται σε υποχρέωση εμπιστευτικότητας (π.χ. μέσω ρήτρας στη σύμβαση εργασίας) και επίσης θα πρέπει να υπογράφεται συμφωνία τήρησης απορρήτου με τρίτους για την προστασία ιδιωτικών ή εμπιστευτικών πληροφοριών ώστε να μην δημοσιοποιηθούν ή να γίνουν ευρέως γνωστές.
Για κάθε επίπεδο εμπιστευτικότητας, έχουν καθοριστεί μέτρα ασφαλείας που πρέπει να ακολουθηθούν, όπως πρόσβαση με ειδικό κωδικό , έλεγχος εισόδου κλπ. Αυτή η αρχή μπορεί να είναι καμφθεί στην περίπτωση πληροφοριών που παρουσιάζουν χαμηλό κίνδυνο: για παράδειγμα, κατάλογος επαφών τηλεφώνων προσωπικού ,επαγγελματικές κάρτες.
Το προσωπικό «της Επιχείρησης» εκπαιδεύεται περιοδικά για να κατανοεί τις ευθύνες κατά τη διαχείριση των δεδομένων.
Η.2.)Οδηγίες ασφαλείας / προστασίας αποθήκευσης για έντυπα και ηλεκτρονικά αρχεία.
Επικοινωνία με δεδομένα και ευαίσθητα δεδομένα
Τα έντυπα αρχεία τα οποία περιέχουν προσωπικά δεδομένα, ασφαλίζονται σε κλειδωμένα ντουλάπια.
Έχουν θεσπιστεί
-Κατάλληλα μέτρα ψηφιακής ασφάλειας / οργάνωσης για τον έλεγχο της πρόσβασης στο ηλεκτρονικό σύστημα αρχειοθέτησης.
-Διαδικασίες δημιουργίας αντιγράφων ασφαλείας (τόσο για δεδομένα όσο και για τη διαθεσιμότητα βασικού προσωπικού) και σχεδιασμός έκτακτης ανάγκης.
-Χρησιμοποιούνται ισχυροί κωδικοί πρόσβασης
-Οι κωδικοί πρόσβασης δεν είναι γνωστοποιημένοι.
-Η ελεύθερη πρόσβαση στον διακομιστή απαγορεύεται.
-Η πόρτα του server είναι κλειδωμένη και έχουν δημιουργηθεί μέτρα ψηφιακής ασφαλείας από «την Επιχείρηση».
Εφαρμόζεται πολιτική “τακτοποιήστε και κλειδώσετε”, η οποία σημαίνει πρακτική του “να διατηρείτε το γραφείο καθαρό” και “την οθόνη του υπολογιστή κλειδωμένη” όταν ο «υπεύθυνος επεξεργασίας» είναι μακριά από το γραφείο του.
Οι εργαζόμενοι διατηρούν όλα τα δεδομένα ασφαλή, λαμβάνοντας λογικές προφυλάξεις και ακολουθώντας τις παρακάτω οδηγίες.
-Χρησιμοποιούνται εργαλεία κρυπτογράφησης χρησιμοποιούνται όταν ο «υπεύθυνος επεξεργασίας» μεταδίδει ευαίσθητα δεδομένα μέσω ηλεκτρονικού ταχυδρομείου.
-Κάνουν χρήση των εφαρμοζόμενων τεχνικών και οργανωτικών μέτρων για να διασφαλιστεί ότι τα μέτρα συμμόρφωσης των δεδομένων εξετάζονται και ενσωματώνονται στις δραστηριότητες επεξεργασίας δεδομένων (προστασία της ιδιωτικής ζωής εκ του σχεδιασμού) (π.χ. λογαριασμοί ηλεκτρονικού ταχυδρομείου:
Χρήση επίσημων διευθύνσεων ηλεκτρονικού ταχυδρομείου – όχι ανεπίσημες, ιδιωτικές ή οποιοιδήποτε άλλοι μη ασφαλείς λογαριασμοί ηλεκτρονικών διευθύνσεων ή προγράμματα που δεν έχουν αδειοδοτηθεί).
Για τις ηλεκτρονικές υπηρεσίες, υπάρχει αυτοματοποιημένος τρόπος για τις ειδοποιήσεις και τις πολιτικές προστασίας προσωπικών δεδομένων, ώστε να διασφαλίζεται ότι τα άτομα ενημερώνονται για το δικαίωμά τους να εναντιωθούν, σαφώς και ξεχωριστά, στο σημείο της «πρώτης επικοινωνίας».
Ο «υπεύθυνος επεξεργασίας» σέβεται και χειρίζεται τα προσωπικά δεδομένα όλων με τον ίδιο σεβασμό που θα ήθελε για τον εαυτό του.
Για το λόγο αυτό, έχουν εφαρμοστεί τα εξής:
(α) Ελαχιστοποίηση της αναφοράς δεδομένων προσωπικού χαρακτήρα μέσω ηλεκτρονικού ταχυδρομείου ή σε έντυπα ( όσο λιγότερα προσωπικά δεδομένα δημιουργούνται και διανέμονται, τόσο ευκολότερα προστατεύονται. Θα πρέπει να αποστέλλονται μόνο οι πληροφορίες που είναι απαραίτητες για το χειρισμό της υπόθεσης.)
(β) Ασφάλεια στον κυβερνοχώρο –ά.) τα συστήματα ηλεκτρονικών υπολογιστών λειτουργούν με νομιμες άδειες β.) χρησιμοποιούνται μέτρα ασφαλείας όπως προστασία με κωδικό πρόσβασης, κρυπτογράφηση, χρήση ασφαλών διακομιστών ηλεκτρονικού ταχυδρομείου κατά την μεταφορά προσωπικών δεδομένωνκ.λπ.
(γ) Κρυπτογράφηση -Ανωνυμοποίηση – Έχει εφαρμοστεί η χρήση αναγνωριστικών στοιχείων για άτομα, αντί για ονόματα και ημερομηνίες γέννησης. Αυτό ισχύει όχι μόνο για τα μηνύματα ηλεκτρονικού ταχυδρομείου, αλλά και, όπου είναι δυνατόν, για κάθε είδους έγγραφο.
Εάν δεν υπάρχει εναλλακτική λύση για τη χρήση ενός ονόματος, συνιστάται να αναγράφεται με όσο το δυνατόν λιγότερα αναγνωριστικά στοιχεία.
(δ) Πριν γίνει χρήση της επιλογής “απάντηση σε όλους”, πρεέπει να ελέγχεται ότι είναι σκόπιμο να λάβουν γνώση όλοι όσοι βρίσκονται στη λίστα κοινοποίησης του μηνύματος.
(στ) Θα πρέπει να λαμβάνονται ειδικές προφυλάξεις όταν οι πληροφορίες επεξεργάζονται από το σπίτι, από προσωπικά κινητά τηλέφωνα κλπ.
(ζ) Συνηθισμένες καταστάσεις που αξίζει να ληφθεί αυστηρή προσοχή αποτελεί εάν προσωπικά δεδομένα μεταφέρονται μέσω τηλεφώνου.
Θα πρέπει να ληφθεί υπόψη ότι η αρχή μπορεί να καμφθεί στην περίπτωση πληροφοριών που παρουσιάζουν χαμηλό κίνδυνο: για παράδειγμα, ένας κατάλογος επιχειρηματικών επαφών μπορεί να είναι γενικά διαθέσιμος, ακόμα κι αν αυτό σημαίνει ότι πρόσωπα που δεν τον χρειάζονται αυστηρά έχουν πρόσβαση..
-Όταν απαιτείται η πρόσβαση σε δεδομένα ή ευαίσθητα δεδομένα μεταξύ του τμήματος προσωπικού «της Επιχείρησης» πρέπει να αποσταλεί αίτηση στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων προκειμένου να ληφθεί σχετική άδεια.
Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων θα αποφασίζει κατά περίπτωση αν είναι σκόπιμη η αιτούμενη πρόσβαση.
Θ. Επικοινωνία «Επιχείρησης»
με τα «υποκείμενα των δικαιωμάτων» για τα δικαιώματα και τις υποχρεώσεις αυτών.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων «της Επιχείρησης» είναι διαθέσιμη στην ιστοσελίδα της «Επιχείρησης» .
Οιαδήποτε τροποποίηση θα δημοσιεύεται σε αυτήν .
Αποτελεί σύσταση «της Επιχείρησης» προς τα «υποκείμενα των δεδομένων» να επισκέπτονται περιοδικά το δικτυακό τόπο της «Επιχείρησης» για να ενημερώνονται για τον τρόπο με τον οποίο «η Επιχείρηση» αφενός προστατεύει και επεξεργάζεται τα δεδομένα τους σύμφωνα με τον ΓΚΠΔ.
Σκοπός της παρούσας πολιτικής η οποία αποτελεί την πολιτική προστασίας των δεδομένων που επεξεργάζεται η «Επιχείρηση » είναι
α.)να παρέχει στο κάθε ως άνω αναφερόμενο κάθε κατηγορίας «υποκείμενο των δεδομένων» τις πληροφορίες σχετικά με την επεξεργασία των προσωπικών του δεδομένων από την «Επιχείρηση » και
β.)να ενημερώσει «το υποκείμενο των δεδομένων» σχετικά με τα δικαιώματα του αναφορικά με την προστασία των προσωπικών δεδομένων, βάσει του ισχύοντος νομοθετικού και κανονιστικού πλαισίου.
Τα στοιχεία επικοινωνίας του «Υπεύθυνου Προστασίας Δεδομένων» της «Επιχείρησης είναι:
Όνομα: Νικόλαος
Επώνυμο: Μαρκόπουλος
Τηλέφωνο: 27230 31188
Ηλεκτρονική Διεύθυνση: info@campingmethoni.gr
Διεύθυνση: Camping Methoni, 24006 Μεθώνη, Μεσσηνίας
Υπεύθυνος για την επεξεργασία των δεδομένων: Μαρκόπουλος Νικόλαος
Εάν έχετε οποιεσδήποτε ερωτήσεις ή επιθυμείτε να γνωρίσετε περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο «η Επιχείρηση» χρησιμοποιεί τα προσωπικά σας δεδομένα, μπορείτε να επικοινωνείτε στα παραπάνω στοιχεία επικοινωνίας με τον τρόπο που ορίζεται στην παρούσα πολιτική.
Α. Σύντομη εισαγωγή στον ΓΚΠΔ Ο διατάξεις του ΓΚΠΔ εφαρμόζονται υποχρεωτικά στην «Επιχείρηση» και συνεπώς οι σχετικές δραστηριότητες της «Επιχείρησης » πρέπει να συμμορφώνονται με τις απαιτήσεις του ΓΚΠΔ.
Α.1. ) Ορισμοί
α) Ως «Δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, δηλ του «υποκειμένου των δεδομένων»
β) «Επεξεργασία»: είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
γ) «Yπεύθυνος επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο το οποίο, από μόνο του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλεφθούν από το δίκαιο της Ένωσης ή των κρατών μελών. Μια οντότητα που αποφασίζει για το «γιατί» και το «πώς» της επεξεργασίας των δεδομένων θεωρείται «υπεύθυνος επεξεργασίας»..
(το πρόσωπο που αποφασίζει για το «γιατί» και το «πώς» της επεξεργασίας δεδομένων) Όταν στο κείμενο αναφέρεται η λέξη «υπεύθυνος επεξεργασίας», εννοείται το πρόσωπο που επεξεργάζεται τα δεδομένα (είτε ο «υπεύθυνος επεξεργασίας» είτε o εκπρόσωπος του «υπεύθυνου επεξεργασίας» (υπάλληλοι)
ε) «Εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του «υπεύθυνου επεξεργασίας». Εάν ένας «υπεύθυνος επεξεργασίας» απασχολεί κάποιον τρίτο (π.χ. φορέα παροχής υπηρεσιών) για την επεξεργασία των προσωπικών δεδομένων για λογαριασμό του «υπεύθυνου επεξεργασίας», αυτός ο τρίτος θα χαρακτηριστεί ως «εκτελών την επεξεργασία».
Είναι δυνατόν να υπάρχουν περισσότεροι «υπεύθυνοι επεξεργασίας» και «εκτελούντες την επεξεργασία» που εμπλέκονται στην ίδια δραστηριότητα επεξεργασίας δεδομένων.
στ) «Υποκείμενο των δεδομένων» σύμφωνα με την παρούσα πολιτική είναι το προσωπικό της «Επιχείρησης»( εφεξής καλούμενο «προσωπικό» ή «υποκείμενο δεδομένων»), οι πελάτες της «Επιχείρησης» ( εφεξής καλούμενοι «πελάτης» ή «υποκείμενο δεδομένων») και οι εξωτερικοί συνεργάτες της Επιχείρησης (εφεξής καλούμενοι ως «τρίτος» ή «υποκείμενο δεδομένων»)
Όπου στο κείμενο αναφέρονται οι λέξεις στον ενικό αριθμό, εννοείται ότι ισχύει και στον πληθυντικό αριθμό.
Α.2.) Βασικές αρχές της Προστασίας των Δεδομένων
Τα προσωπικά δεδομένα του κάθε «υποκειμένου δεδομένων» υποβάλλονται σε επεξεργασία σύμφωνα με τις παρακάτω αρχές:
(1) Υποβάλλονται σε σύννομη, θεμιτή και διαφανή επεξεργασία «νομιμότητα, αντικειμενικότητα και διαφάνεια»
(1.1)Το «υποκείμενο δεδομένων» πρέπει να γνωρίζει
ότι τα δεδομένα του βρίσκονται υπό νόμιμη επεξεργασία για ποιο σκοπό υποβάλλονται σε επεξεργασία πώς να ασκήσει τα δικαιώματά του σε σχέση με τα δεδομένα του. ότι δεν υφίσταται υποχρέωση «της Επιχείρησης» να ενημερώνει το «υποκείμενο των δεδομένων» για οτιδήποτε είναι προφανές με βάση τα συναλλακτικά ήθη : ένα τυπικό παράδειγμα είναι κάρτες στοιχείων που επιδίδει με την συγκατάθεσή του το υποκείμενο των δεδομένων.
(2) Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς. Περαιτέρω επεξεργασία με σκοπό αρχειοθέτησης για λόγους δημοσίου συμφέροντος, δεν θεωρείται ασυμβίβαστη με τους αρχικούς σκοπούς («περιορισμός του σκοπού»).
(3) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)
(4) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όποτε απαιτείται, να ενημερώνονται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
(5) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση τους με τα «υποκείμενα των δεδομένων» μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον
-υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον,
-για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον α.)εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του «υποκειμένου των δεδομένων» («περιορισμός της περιόδου αποθήκευσης») β.) επικαιροποιούνται ανά τακτά χρονικά ώστε τοιουτοτρόπως να διασφαλίζεται η ακρίβειά τους.
(6) Υποβάλλονται σε επεξεργασία κατά τρόπο ώστε να είναι εγγυημένη η ασφάλεια και η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Β. Προσωπικά δεδομένα που διατηρεί η «επιχειρηση » για «το προσωπικό» Τα Προσωπικά Δεδομένα που διατηρεί η «Επιχείρηση» για «το προσωπικό», περιλαμβάνουν όχι μόνο εκείνα που απαιτεί ο νόμος για τη σύναψη συμφωνιών αλλά και ορισμένα άλλα που απαιτούνται και χρησιμοποιούνται στον κλάδο για την επίτευξη υψηλού επιπέδου υπηρεσιών.
Για τον παραπάνω λόγο, το είδος των δεδομένων που διατηρούνται και ο σκοπός της επεξεργασίας δεδομένων, εξαρτώνται από τις απαιτήσεις που ζητούνται κάθε φορά από τη νομοθεσία και την νομοθεσία που διέπει τις δραστηριότητες του συγκεκριμένου κλάδου. Χωρίς επεξεργασία δεδομένων η «Επιχείρηση », δεν μπορεί να συνάψει ή να εκτελέσει τους όρους μιας σύμβασης με το «υποκείμενο των δεδομένων».
Ενδεικτικά και όχι αποκλειστικά, τα δεδομένα που επεξεργάζεται η «Επιχείρηση » αφορούν τα εξής:
όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση, αριθμός τηλεφώνου, ειδικότητα, οικογενειακή κατάσταση, επαγγελματικό ιστορικό, τραπεζικοί λογαριασμοί, αριθμός κοινωνικής ασφάλισης ΑΜΚΑ, αριθμός φορολογικού μητρώου, εκπαίδευση, ονοματεπώνυμο γονέων, στοιχεία ταυτoποίησης (π.χ. υπογραφή), ηλικία, αριθμός παιδιών, βιογραφικό σημείωμα, δεδομένα εκ των κλειστών κυκλωμάτων παρακολούθησης (CCTV).
Ειδικές κατηγορίες προσωπικών δεδομένων περιλαμβάνονται επίσης στα δεδομένα που συλλέγει και διατηρεί «ο Ερωδιός ». Ενδεικτικά και όχι αποκλειστικά τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: ιατρικό ιστορικό, ιατρικά πιστοποιητικά, θρησκεία, φωτογραφίες, εθνικότητα.
Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές στο χρονικό στάδιο της συλλογής των προσωπικών δεδομένων.
B1.) Σκοπός επεξεργασίας H «Eπιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «του προσωπικού» για έναν ή περισσότερους από τους παρακάτω λόγους:
Σύμβαση Εργασίας Ενδεικτικά και χωρίς περιορισμό, για :
1. Αξιολόγηση των ικανοτήτων του υποψηφίου για την κάλυψη των αναγκών θέσεων εργασίας
2. Προετοιμασία / υπογραφή της σύμβασης
3. Προετοιμασία για μελλοντικές ανάγκες κάλυψης προσωπικού.
4. Αναγνώριση και ταυτοποίηση του προσωπικού.
5. Σεβασμός της «Επιχείρησης » στο διαφορετικό πολιτισμικό και θρησκευτικό υπόβαθρο.
6. Διευκόλυνση της επικοινωνίας
7. Συμμόρφωση με τις απαιτήσεις της εγχώριας και ευρωπαϊκής νομοθεσίας.
Συμμόρφωση με νομικές υποχρεώσεις. Ενδεικτικά και χωρίς περιορισμό, με την:
1. Eγχώρια νομοθεσία
Ευρωπαϊκή νομοθεσία. 2. Υποστήριξη νομικών διαδικασιών
3. Εκτέλεση καθήκοντος προς το δημόσιο συμφέρον
4. Εφόσον νόμιμα ζητηθούν δεδομένα από δημόσιες αρχές
Για λόγους προστασίας των νόμιμων συμφερόντων. Ενδεικτικά και χωρίς περιορισμό, για την:
1. Ασφάλεια και προστασία «της Επιχείρησης»
2. Ασφάλεια και προστασία των εγκαταστάσεων
3. Ασφάλεια και προστασία του συνόλου του προσωπικού
Με βάση τη συναίνεση του προσωπικού Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Β.2.) Για πόσο χρονικό διάστημα η «Επιχείρηση» διατηρεί τα δεδομένα «του προσωπικού»
Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται για 5 χρόνια μετά την απόλυση «του προσωπικού».
Στην περίπτωση που ένας υποψήφιος για την θέση «του προσωπικού» δεν είναι αποδεκτός, τα προσωπικά δεδομένα αυτού θα καταστρέφονται άμεσα χωρίς να μένουν ίχνη.
Η« Επιχείρηση» μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο. Α.) για λόγους διασφάλισης νομικών και οικονομικών δικαιωμάτων της .
Β.) για ενδεχόμενη μελλοντική απασχόληση του «υποκειμένου των δεδομένων». Στην περίπτωση αυτή το « υποκείμενο των δεδομένων» θα πρέπει να έχει συναινέσει στη διατήρηση των προσωπικών του δεδομένων για το χρονικό διάστημα διατήρησης των δεδομένων του.
Στις ανωτέρω περιπτώσεις «η Επιχείρηση», έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων και στην δεύτερη περίπτωση ότι τα τηρούμενα προσωπικά δεδομένα επικαιροποιούνται κατά τακτά χρονικά διαστήματα ώστε να είναι διασφαλισμένη η ακρίβεια αυτών.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, θα πρέπει να διαγραφούν,- στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και να καταστραφούν όσα τηρούνται σε ένχαρτη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων»
Β.3.) Με ποιους μοιράζεται η «Επιχείρηση » τα προσωπικά δεδομένα «του προσωπικού».
Καμία πληροφορία σχετικά με τα δεδομένα προσωπικού χαρακτήρα των «υποκειμένων δεδομένων» δεν αποκαλύπτεται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον νομικό πλαίσιο και όταν απαιτείται για την εκπλήρωση των σκοπών της απασχόλησης.
Οι περιπτώσεις αυτές είναι :
α.) Όταν η « Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν η γνωστοποίηση απαιτείται για λόγους συμμόρφωσης με το νομικό πλαίσιο που διέπει την λειτουργία της «Επιχείρηση» ( Δημόσιες αρχές κ.λπ.)
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει (με λογιστικές εταιρείες, με it εταιρείες, εταιρείες κινητής τηλεφωνίας, με ταξιδιωτικούς Πράκτορες, κ.λπ.)
β) Όταν για λόγους νόμιμου συμφέροντος της «Επιχείρησης» απαιτείται η αποκάλυψη πληροφοριών (σε δικηγόρους συμβούλους κλπ.).
γ) Όταν η γνωστοποίηση γίνεται κατόπιν αιτήσεώς του υποκειμένου των δεδομένων ή με τη συναίνεσή αυτού ή για την ικανοποίηση των συμβατικών υποχρεώσεων του υποκειμένου των δεδομένων.
δ.) Όταν το «υποκείμενο των δεδομένων», μας ζητάει να μοιραστούμε τα δεδομένα αυτού με τρίτους.
Γ.) Προσωπικά δεδομένα που διατηρεί «η Επιχείρηση» για «τους πελάτες » Τα Προσωπικά Δεδομένα που διατηρεί «η Επιχείρηση» για «τους πελάτες», περιλαμβάνουν εκείνα που απαιτεί ο νόμος για τη παροχή υπηρεσιών εστίασης αλλά και όλα όσα απαιτούνται για την επίτευξη υψηλού επιπέδου υπηρεσιών.
Για τον παραπάνω λόγο, το είδος των δεδομένων που διατηρούνται και ο σκοπός της επεξεργασίας δεδομένων, εξαρτώνται από τις απαιτήσεις που απαιτούνται κάθε φορά από τη νομοθεσία που διέπει τις δραστηριότητες του συγκεκριμένου κλάδου αλλά και τις ειδικές απαιτήσεις των πελατών.
Χωρίς επεξεργασία δεδομένων «η Επιχείρηση», δεν μπορεί να συνάψει ή να εκτελέσει την παροχή υπηρεσιών εστίασης προς το «υποκείμενο των δεδομένων».
Ενδεικτικά και όχι αποκλειστικά, τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση, αριθμός τηλεφώνου, Aριθμός Δελτίου Ταυτότητας ή Αριθμός Διαβατηρίου, αριθμός παιδιών, αριθμός αυτοκινήτου, δεδομένα εκ των κλειστών κυκλωμάτων παρακολούθησης (CCTV).
Ειδικές κατηγορίες προσωπικών δεδομένων περιλαμβάνονται επίσης στα δεδομένα που συλλέγει και διατηρεί «η Επιχείρηση». Ενδεικτικά και όχι αποκλειστικά τα δεδομένα που επεξεργάζεται η «Επιχείρηση» αφορούν: την εθνικότητα των πελατών.
Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές στο χρονικό στάδιο της συλλογής των προσωπικών δεδομένων.
Γ.1.) Σκοπός επεξεργασίας
«Η Επιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «των πελατών » για έναν ή περισσότερους από τους παρακάτω λόγους:
-Για την παροχή των υπηρεσιών εστίασης.
– Για την κάλυψη και ικανοποίηση των απαιτήσεων του πελάτη για την παροχή των υπηρεσιών εστίασης.
– Προετοιμασία για την παροχή της υπηρεσιών εστίασης προς τον πελάτη.
– Προετοιμασία για την ικανοποίηση μελλοντικών αναγκών εστίασης του πελάτη.
-Αναγνώριση και ταυτοποίηση των πελατών.
-Σεβασμός και προστασία της «Επιχείρησης» στο διαφορετικό πολιτισμικό και θρησκευτικό υπόβαθρο του πελάτη.
-Διευκόλυνση της επικοινωνίας
Για τη συμμόρφωση νομικές υποχρέωσεις σύμφωνα με την:
-Eγχώρια νομοθεσία.
-Ευρωπαϊκή νομοθεσία.
-Για την υποστήριξη νομικών διαδικασιών
Για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον.
Εφόσον νόμιμα ζητηθούν δεδομένα από τις δημόσιες αρχές.
Για λόγους προστασίας των νόμιμων συμφερόντων. Ενδεικτικά και χωρίς περιορισμό, για την:
-Ασφάλεια και προστασία «της Επιχείρησης».
-Ασφάλεια και προστασία των εγκαταστάσεων.
-Ασφάλεια και προστασία του πελάτη.
Με βάση τη συναίνεση του πελάτη Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Γ.2. Για πόσο χρονικό διάστημα «η Επιχείρηση» διατηρεί τα δεδομένα «του πελάτη» Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται ένα έτος. Στην περίπτωση που ένας πελάτης δεν είναι αποδεκτός, τα προσωπικά δεδομένα αυτού καταστρέφονται άμεσα χωρίς να μένουν ίχνη.
«Η Επιχείρηση» μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο για λόγους εξασφάλισης των νομικών και οικονομικών συμφερόντων της. Στην ανωτέρω περίπτωση «η Επιχείρηση», έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων του πελάτη.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, διαγράφονται -στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και καταστρέφονται όσα τηρούνται σε έντυπη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων»
Γ.3.) Με ποιους μοιράζεται η «Επιχείρηση » τα προσωπικά δεδομένα «των πελατών » Καμία πληροφορία σχετικά με τα δεδομένα προσωπικού χαρακτήρα των «πελατών» δεν αποκαλύπτεται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον νομικό πλαίσιο και όταν απαιτείται για την εκπλήρωση των σκοπών της απασχόλησης. Οι περιπτώσεις αυτές είναι :
α.) Όταν «η Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν η γνωστοποίηση απαιτείται για λόγους συμμόρφωσης με το νομικό πλαίσιο που διέπει την «Επιχείρηση» ( Δημόσιες αρχές κ.λπ.)
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει (με λογιστικές εταιρείες, με it εταιρείες, εταιρείες κινητής τηλεφωνίας, με ταξιδιωτικούς Πράκτορες, κ.λπ.)
β) Όταν για λόγους νόμιμου συμφέροντος της «Επιχείρησης» απαιτείται η αποκάλυψη πληροφοριών (σε δικηγόρους συμβούλους κλπ.).
γ) Όταν η γνωστοποίηση γίνεται κατόπιν αιτήσεώς του υποκειμένου των δεδομένων ή με τη συναίνεσή αυτού ή για την ικανοποίηση των συμβατικών υποχρεώσεων του υποκειμένου των δεδομένων .
δ.) Όταν ο «πελάτης », μας ζητήσει να μοιραστούμε τα δεδομένα αυτού με τρίτους.
Δ. Προσωπικά δεδομένα που διατηρεί «η Επιχείρηση» για « τρίτους» Τα Προσωπικά Δεδομένα που διατηρεί «η Επιχείρηση» για τους εξωτερικούς συνεργάτες της « τρίτους» περιλαμβάνουν όχι μόνο εκείνα τα δεδομένα που απαιτεί ο νόμος για τη σύναψη συμβάσεων αλλά και ορισμένα άλλα που απαιτούνται και χρησιμοποιούνται στον κλάδο για την επίτευξη υψηλού επιπέδου υπηρεσιών. Ενδεικτικά τα δεδομένα αυτά είναι -Όνομα, Επώνυμο, Όνομα Γονέων, διεύθυνση, αριθμός AΦΜ
Χωρίς επεξεργασία δεδομένων, «η Επιχείρηση» δεν μπορεί να συνάψει ή να εκτελέσει τους όρους μιας σύμβασης με το «υποκείμενο των δεδομένων». Όπου η συλλογή στοιχείων είναι προαιρετική, αυτό γίνεται σαφές κατά το χρονικό σημείο της συλλογής αυτών.
Δ.1.) Σκοπός επεξεργασίας
«Η Επιχείρηση» επεξεργάζεται τα προσωπικά δεδομένα «τρίτων» για έναν ή περισσότερους από τους παρακάτω λόγους:
Για την εκτέλεση σύμβασης στην οποία «το υποκείμενο των δεδομένων» εκπροσωπεί μια άλλη νομική οντότητα ή είναι το ίδιο συμβαλλόμενο μέρος.
Για τη συμμόρφωση σε νομική υποχρέωση.
Για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
Με βάση τη συγκατάθεση «του τρίτου».
Οποιαδήποτε τέτοια χορηγηθείσα συναίνεση, μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας μαζί μας.
Δ.2.) Για πόσο χρονικό διάστημα η «Επιχείρηση» διατηρεί τα προσωπικά δεδομένα «τρίτων».
Τα έντυπα και τα ηλεκτρονικά αρχεία διατηρούνται για 5 χρόνια μετά τη λήξη των συμβάσεων συνεργασίας.
«Η Επιχείρηση » μπορεί να διατηρεί προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από την εν λόγω περίοδο
Α.) για λόγους εξασφάλισης των νομικών και οικονομικών της συμφερόντων.
Β.) για ενδεχόμενη μελλοντική συνεργασία με το έτερο συμβαλλόμενο μέρος. Στην περίπτωση αυτή θα πρέπει το « υποκείμενο των δεδομένων» να έχει συναινέσει στη διατήρηση των προσωπικών του δεδομένων.
Στις ανωτέρω περιπτώσεις «η Επιχείρηση », έχει διασφαλίσει ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διατήρηση με κάθε ασφάλεια των προσωπικών δεδομένων και στην δεύτερη περίπτωση ότι τα διατηρούμενα προσωπικά δεδομένα επικαιροποιούνται κατά τακτά χρονικά διαστήματα ώστε να είναι διασφαλισμένη η ακρίβεια αυτών.
Σε κάθε περίπτωση όταν δεν υπάρχει πλέον λόγος διατήρησης των δεδομένων, τα δεδομένα, θα πρέπει να διαγραφούν,- στο μέτρο που τεχνολογικά τούτο είναι εφικτό- και να καταστραφούν όσα τηρούνται σε έντυπη μορφή, με τον δέοντα τρόπο ώστε να μην παραμείνουν υπολείμματα τα οποία να οδηγήσουν σε ταυτοποίηση του «υποκειμένου των δεδομένων».
Δ.3.) Με ποιους «η Επιχείρηση» μοιράζεται τα προσωπικά δεδομένα «τρίτων» Τα προσωπικά δεδομένα του « υποκειμένου των δεδομένων» δεν αποκαλύπτονται σε κανέναν, εκτός από τις περιπτώσεις που επιτρέπεται από το ισχύον κατά καιρούς νομικό και κανονιστικό πλαίσιο.
Οι περιπτώσεις αυτές είναι :
α.) Όταν «η Επιχείρηση» (ή οποιοσδήποτε τρίτος που ενεργεί για λογαριασμό της «Επιχείρησης») υποχρεούται νομίμως να το πράξει ή όταν απαιτείται γνωστοποίηση για λόγους συμμόρφωσης με το νομικό και κανονιστικό πλαίσιο που διέπει την λειτουργία της επιχείρησης.
β.) Όταν «η Επιχείρηση» έχει συμβατική υποχρέωση να το πράξει
γ) Όταν είναι νόμιμο συμφέρον «της Επιχείρησης» να αποκαλύψει πληροφορίες (π.χ. για να προστατεύσει το συμφέρον της(σε αξιώσεις κ.λπ.).
δ) Σε περίπτωση που γίνεται γνωστοποίηση στο «υποκείμενο των δεδομένων» με αίτημα ή με τη συγκατάθεσή του ή για την εκπλήρωση των συμβατικών υποχρεώσεων «της Επιχείρησης» απέναντι στο «υποκείμενο των δεδομένων».
ε.) Όπου το «υποκείμενο δεδομένων» ζητά από την «Επιχείρηση», να μοιράζεται τα δεδομένα του με άλλες εταιρείες ή μεμονωμένα άτομα.
Ε. Kαταγραφή Προσωπικών Δεδομένων στα Αρχεία Δραστηριοτήτων
Ο «υπεύθυνος επεξεργασίας» σε κάθε τμήμα «της Επιχείρησης» διατηρεί σε έντυπη μορφή καθώς και ηλεκτρονικά τα αρχεία των δραστηριοτήτων επεξεργασίας της «Επιχείρησης».
Σε αυτά τα αρχεία τεκμηριώνεται ποια προσωπικά δεδομένα υπάρχουν, από που προέρχονται και με ποιους μοιράζονται, πού φυλάσσονται, σε τι μορφή διατηρούνται, ποιος είναι ο λόγος και η νόμιμη βάση για την κατοχή τους, αν υπάρχει συγκατάθεση για τη διατήρησή τους.
Από τα Αρχεία Δραστηριοτήτων συνάγονται συμπεράσματα σχετικά με το εάν τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, τους σκοπούς επεξεργασίας (οτι συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο που δεν συμβιβάζεται με τους σκοπούς αυτούς), αν είναι ελαχιστοποιημένα (αν είναι επαρκή, σχετικά και περιορισμένα σε ό, τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, αν είναι ακριβή, όπου είναι απαραίτητο αν είναι ενημερωμένα, αν διατηρούνται για μεγαλύτερο χρονικό διάστημα από αυτό που είναι απαραίτητο, σε σχέση με τα δικαιώματα «των υποκειμένων των δεδομένων», καθώς και σε περίπτωση μεταφοράς σε άλλες χώρες εάν υπάρχει επαρκής προστασία.
Ο «υπεύθυνος επεξεργασίας» διασφαλίζει σε κάθε περίπτωση τη συμμόρφωση της επεξεργασίας με τις προαναφερόμενες αρχές.
ΣΤ. Μεταφορά Δεδομένων
«Η Επιχείρηση» μπορεί να μεταφέρει προσωπικά δεδομένα των υποκειμένων δεδομένων εντός και εκτός της Ευρωπαϊκής Ένωσης στις ακόλουθες περιπτώσεις
-Όταν το «υποκείμενο των δεδομένων» έχει συναινέσει ρητώς, στην προτεινόμενη μεταφορά,
-Όταν η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης,
-Όταν η μεταφορά αυτή είναι απαραίτητη για την έγερση, άσκηση, υποστήριξη νομικών αξιώσεων ή υπεράσπιση των δικαιωμάτων «της Επιχείρησης»
-Όταν υπάρχει υποχρέωση βάσει διατάξεων της Ελληνικής Νομοθεσίας ή διεθνούς σύμβασης.
-Όταν η Ευρωπαϊκή Επιτροπή έχει εκδώσει κατ’ εξουσιοδότηση πράξεις για την επαρκή προστασία των προσωπικών δεδομένων στη συγκεκριμένη χώρα ή σε διεθνή οργανισμό.
-Όταν η μεταφορά είναι απαραίτητη για λόγους δημοσίου συμφέροντος,
– Όταν η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του «υποκειμένου των δεδομένων» ή άλλων προσώπων, όταν το «υποκείμενο των δεδομένων» είναι φυσικά ή νομικά ανίκανο να δώσει συγκατάθεση.
Ζ. Κύρια δικαιώματα του «υποκειμένου των δεδομένων»
Τα ακόλουθα είναι τα κύρια δικαιώματα που έχει το «υποκείμενο των δεδομένων» σύμφωνα με τις διατάξεις του ΓΚΠΔ καθώς και κάθε άλλη σχετική νομοθεσία αναφορικά με την προστασία των δεδομένων:
1. Πληροφορίες και δικαίωμα πρόσβασης σε προσωπικά δεδομένα «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει πρόσβαση στα προσωπικά του δεδομένα.
Αυτό επιτρέπει «στο υποκείμενο των δεδομένων» να διορθώσει ελλιπή ή ανακριβή δεδομένα που διατηρούμε για αυτό, και ίσως χρειαστεί να επαληθεύσουμε την ακρίβεια των νέων δεδομένων που μας παρέχει Τα αιτήματα πρόσβασης «του υποκειμένου των δεδομένων» πρέπει να είναι γραπτά.
Τυποποιημένες φόρμες οι οποίες θα διατηρούνται και στους χώρους των εγκαταστάσεων μας θα παρέχονται «στο υποκείμενο των δεδομένων», θα δίνουν την δυνατότητα στα «υποκείμενα των δεδομένων» ώστε να ασκήσουν τα δικαιώματά τους .
Όταν ο Υπεύθυνος Προστασίας Δεδομένων δεν γνωρίζει προσωπικά «το υποκείμενο των δεδομένων», θα πρέπει να ακολουθηθεί η διαδικασία που θα έχει ήδη εκπονηθεί για τον έλεγχο της ταυτότητας πριν από την παράδοση οποιωνδήποτε πληροφοριών.
2. Δικαίωμα διόρθωσης «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση των προσωπικών δεδομένων που διατηρούνται από «την Επιχείρηση». Με αυτό το δικαίωμα «το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει τη διόρθωση οποιωνδήποτε ελλιπών ή ανακριβών δεδομένων και «η Επιχείρηση» μπορεί να χρειαστεί να επαληθεύσει την ακρίβεια των νέων δεδομένων που παρέχονται.
3. Δικαίωμα διαγραφής
«Το υποκείμενο των δεδομένων» έχει το δικαίωμα να διαγράψει τα προσωπικά δεδομένα που διατηρούνται από «την Επιχείρηση» όταν δεν υπάρχει κανένας βάσιμος λόγος για «την Επιχείρηση» να συνεχίσει την επεξεργασία τους. Σε τέτοιες περιπτώσεις, «η Επιχείρηση» μπορεί να δικαιούται να διατηρεί τα δεδομένα εάν εξακολουθεί να έχει νόμιμους λόγους να επεξεργάζεται τα προσωπικά δεδομένα
4. Δικαίωμα περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα «Το υποκείμενο των δεδομένων» έχει το δικαίωμα να ζητήσει από τον «υπεύθυνο επεξεργασίας» τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από «το υποκείμενο των δεδομένων», για συγκεκριμένη χρονική περίοδο που επιτρέπει στον «υπεύθυνο επεξεργασίας» να επαληθεύει την ακρίβεια των προσωπικών δεδομένων ·
β) η επεξεργασία είναι παράνομη και «το υποκείμενο των δεδομένων» αντιτίθεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί αντί αυτού τον περιορισμό της χρήσης τους ·
γ) ο «υπεύθυνος επεξεργασίας» δεν χρειάζεται πλέον τα προσωπικά δεδομένα για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από το «υποκείμενο των δεδομένων» για την έγερση, άσκηση ή υπεράσπιση νομικών αξιώσεων ·
δ) «το υποκείμενο των δεδομένων» έχει αντιταχθεί στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ.
5. Δικαίωμα στη φορητότητα των δεδομένων
«Το υποκείμενο των δεδομένων» μπορεί να ζητήσει να μεταφερθούν τα προσωπικά του δεδομένα στα ίδια ή σε νέο πάροχο (να διαβιβάζονται απευθείας σε άλλο οργανισμό, εφόσον είναι τεχνικά εφικτό) σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και στο βαθμό που αυτό δεν θα υπονομεύσει τα δικαιώματα των άλλων. Η αίτηση πρέπει να υποβληθεί εντός ενός μηνός (με παρατάσεις για ορισμένες περιπτώσεις) και κάθε πρόθεση μη συμμόρφωσης πρέπει να αιτιολογείται σε αυτό.
Πρέπει να εξεταστεί η περίπτωση που τα δεδομένα σχετίζονται με περισσότερα από ένα «υποκείμενο δεδομένων» και τον τρόπο αντιμετώπισης των δυσκολιών που αυτό δημιουργεί.
«Η Επιχείρηση» έχει αναπτύξει δυνατότητες μορφοποίησης για να ικανοποιηθούν αιτήματα πρόσβασης για την παροχή φορητών δεδομένων.
6. Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων «Η Επιχείρηση» δεν λαμβάνει αποφάσεις βάσει αυτοματοποιημένης επεξεργασίας.
7. Δικαίωμα απόσυρσης συναίνεσης «Το υποκείμενο των δεδομένων» μπορεί ανά πάσα στιγμή και χωρίς χρέωση να ανακαλέσει οποιαδήποτε συναίνεση παρείχε προηγουμένως σχετικά με την επεξεργασία των Προσωπικών του Δεδομένων.
Αυτό δεν θα επηρεάσει τη νομιμότητα της επεξεργασίας πριν την ανάκληση της συναίνεσης.
8. Δικαίωμα υποβολής καταγγελίας
«Το υποκείμενο των δεδομένων» έχει δικαίωμα να υποβάλει στον Υπεύθυνο Προστασίας της «Επιχείρησης» καταγγελία σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά του στοιχεία ή στην Αρχή Προστασίας Δεδομένων, ιδίως στο κράτος μέλος της συνήθους διαμονής, του τόπου εργασίας του ή του τόπου της εικαζόμενης παράβασης, εάν «το υποκείμενο των δεδομένων» θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που τον αφορούν παραβιάζει τον παρόντα κανονισμό.
Η. Υποχρεώσεις αναφορικά με τον τρόπο επεξεργασίας των προσωπικών δεδομένων
Η.1.) Περιορισμός της φυσικής πρόσβασης του προσωπικού της «Επιχείρησης» στην επεξεργασία δεδομένων προσωπικου πελατων και τριτων .
Ακεραιότητα/ Εμπιστευτικότητα
Σύμφωνα με την αρχή της ακεραιότητας / εμπιστευτικότητας, τα δεδομένα τόσο του προσωπικού όσο των πελατών αλλά και των τρίτων, υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζεται η ασφάλεια αυτών και χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα να είναι εξασφαλισμένα από παράνομη επεξεργασία από τυχαία απώλεια, καταστροφή ή ζημία ή από χρήση από μη εξουσιοδοτημένα άτομα. Τα δεδομένα δεν μοιράζονται άτυπα με τα άλλα τμήματα.
Τα προσωπικά δεδομένα που μεταφέρονται στις εγκαταστάσεις «της Επιχείρησης» και αντιστρόφως διαβιβάζονται μόνο στους αρμόδιους υπαλλήλους και στα αρμόδια τμήματα και όχι σε μη ελεγχόμενη ομάδα προσωπικού ή σε οποιονδήποτε άλλον παραλήπτη ή σε τμήματα της « Επιχείρησης» που οι αρμοδιότητες τους δεν σχετίζονται με την επεξεργασία των δεδομένων .
Τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένους ανθρώπους, είτε εντός «της Επιχείρησης» είτε εξωτερικά.
Οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα υπόκεινται σε υποχρέωση εμπιστευτικότητας (π.χ. μέσω ρήτρας στη σύμβαση εργασίας) και επίσης θα πρέπει να υπογράφεται συμφωνία τήρησης απορρήτου με τρίτους για την προστασία ιδιωτικών ή εμπιστευτικών πληροφοριών ώστε να μην δημοσιοποιηθούν ή να γίνουν ευρέως γνωστές.
Για κάθε επίπεδο εμπιστευτικότητας, έχουν καθοριστεί μέτρα ασφαλείας που πρέπει να ακολουθηθούν, όπως πρόσβαση με ειδικό κωδικό , έλεγχος εισόδου κλπ. Αυτή η αρχή μπορεί να είναι καμφθεί στην περίπτωση πληροφοριών που παρουσιάζουν χαμηλό κίνδυνο: για παράδειγμα, κατάλογος επαφών τηλεφώνων προσωπικού ,επαγγελματικές κάρτες.
Το προσωπικό «της Επιχείρησης» εκπαιδεύεται περιοδικά για να κατανοεί τις ευθύνες κατά τη διαχείριση των δεδομένων.
Η.2.)Οδηγίες ασφαλείας / προστασίας αποθήκευσης για έντυπα και ηλεκτρονικά αρχεία.
Επικοινωνία με δεδομένα και ευαίσθητα δεδομένα
Τα έντυπα αρχεία τα οποία περιέχουν προσωπικά δεδομένα, ασφαλίζονται σε κλειδωμένα ντουλάπια.
Έχουν θεσπιστεί
-Κατάλληλα μέτρα ψηφιακής ασφάλειας / οργάνωσης για τον έλεγχο της πρόσβασης στο ηλεκτρονικό σύστημα αρχειοθέτησης.
-Διαδικασίες δημιουργίας αντιγράφων ασφαλείας (τόσο για δεδομένα όσο και για τη διαθεσιμότητα βασικού προσωπικού) και σχεδιασμός έκτακτης ανάγκης.
-Χρησιμοποιούνται ισχυροί κωδικοί πρόσβασης
-Οι κωδικοί πρόσβασης δεν είναι γνωστοποιημένοι.
-Η ελεύθερη πρόσβαση στον διακομιστή απαγορεύεται.
-Η πόρτα του server είναι κλειδωμένη και έχουν δημιουργηθεί μέτρα ψηφιακής ασφαλείας από «την Επιχείρηση».
Εφαρμόζεται πολιτική “τακτοποιήστε και κλειδώσετε”, η οποία σημαίνει πρακτική του “να διατηρείτε το γραφείο καθαρό” και “την οθόνη του υπολογιστή κλειδωμένη” όταν ο «υπεύθυνος επεξεργασίας» είναι μακριά από το γραφείο του.
Οι εργαζόμενοι διατηρούν όλα τα δεδομένα ασφαλή, λαμβάνοντας λογικές προφυλάξεις και ακολουθώντας τις παρακάτω οδηγίες.
-Χρησιμοποιούνται εργαλεία κρυπτογράφησης χρησιμοποιούνται όταν ο «υπεύθυνος επεξεργασίας» μεταδίδει ευαίσθητα δεδομένα μέσω ηλεκτρονικού ταχυδρομείου.
-Κάνουν χρήση των εφαρμοζόμενων τεχνικών και οργανωτικών μέτρων για να διασφαλιστεί ότι τα μέτρα συμμόρφωσης των δεδομένων εξετάζονται και ενσωματώνονται στις δραστηριότητες επεξεργασίας δεδομένων (προστασία της ιδιωτικής ζωής εκ του σχεδιασμού) (π.χ. λογαριασμοί ηλεκτρονικού ταχυδρομείου:
Χρήση επίσημων διευθύνσεων ηλεκτρονικού ταχυδρομείου – όχι ανεπίσημες, ιδιωτικές ή οποιοιδήποτε άλλοι μη ασφαλείς λογαριασμοί ηλεκτρονικών διευθύνσεων ή προγράμματα που δεν έχουν αδειοδοτηθεί).
Για τις ηλεκτρονικές υπηρεσίες, υπάρχει αυτοματοποιημένος τρόπος για τις ειδοποιήσεις και τις πολιτικές προστασίας προσωπικών δεδομένων, ώστε να διασφαλίζεται ότι τα άτομα ενημερώνονται για το δικαίωμά τους να εναντιωθούν, σαφώς και ξεχωριστά, στο σημείο της «πρώτης επικοινωνίας».
Ο «υπεύθυνος επεξεργασίας» σέβεται και χειρίζεται τα προσωπικά δεδομένα όλων με τον ίδιο σεβασμό που θα ήθελε για τον εαυτό του.
Για το λόγο αυτό, έχουν εφαρμοστεί τα εξής:
(α) Ελαχιστοποίηση της αναφοράς δεδομένων προσωπικού χαρακτήρα μέσω ηλεκτρονικού ταχυδρομείου ή σε έντυπα ( όσο λιγότερα προσωπικά δεδομένα δημιουργούνται και διανέμονται, τόσο ευκολότερα προστατεύονται. Θα πρέπει να αποστέλλονται μόνο οι πληροφορίες που είναι απαραίτητες για το χειρισμό της υπόθεσης.)
(β) Ασφάλεια στον κυβερνοχώρο –ά.) τα συστήματα ηλεκτρονικών υπολογιστών λειτουργούν με νομιμες άδειες β.) χρησιμοποιούνται μέτρα ασφαλείας όπως προστασία με κωδικό πρόσβασης, κρυπτογράφηση, χρήση ασφαλών διακομιστών ηλεκτρονικού ταχυδρομείου κατά την μεταφορά προσωπικών δεδομένωνκ.λπ.
(γ) Κρυπτογράφηση -Ανωνυμοποίηση – Έχει εφαρμοστεί η χρήση αναγνωριστικών στοιχείων για άτομα, αντί για ονόματα και ημερομηνίες γέννησης. Αυτό ισχύει όχι μόνο για τα μηνύματα ηλεκτρονικού ταχυδρομείου, αλλά και, όπου είναι δυνατόν, για κάθε είδους έγγραφο.
Εάν δεν υπάρχει εναλλακτική λύση για τη χρήση ενός ονόματος, συνιστάται να αναγράφεται με όσο το δυνατόν λιγότερα αναγνωριστικά στοιχεία.
(δ) Πριν γίνει χρήση της επιλογής “απάντηση σε όλους”, πρεέπει να ελέγχεται ότι είναι σκόπιμο να λάβουν γνώση όλοι όσοι βρίσκονται στη λίστα κοινοποίησης του μηνύματος.
(στ) Θα πρέπει να λαμβάνονται ειδικές προφυλάξεις όταν οι πληροφορίες επεξεργάζονται από το σπίτι, από προσωπικά κινητά τηλέφωνα κλπ.
(ζ) Συνηθισμένες καταστάσεις που αξίζει να ληφθεί αυστηρή προσοχή αποτελεί εάν προσωπικά δεδομένα μεταφέρονται μέσω τηλεφώνου.
Θα πρέπει να ληφθεί υπόψη ότι η αρχή μπορεί να καμφθεί στην περίπτωση πληροφοριών που παρουσιάζουν χαμηλό κίνδυνο: για παράδειγμα, ένας κατάλογος επιχειρηματικών επαφών μπορεί να είναι γενικά διαθέσιμος, ακόμα κι αν αυτό σημαίνει ότι πρόσωπα που δεν τον χρειάζονται αυστηρά έχουν πρόσβαση..
-Όταν απαιτείται η πρόσβαση σε δεδομένα ή ευαίσθητα δεδομένα μεταξύ του τμήματος προσωπικού «της Επιχείρησης» πρέπει να αποσταλεί αίτηση στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων προκειμένου να ληφθεί σχετική άδεια.
Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων θα αποφασίζει κατά περίπτωση αν είναι σκόπιμη η αιτούμενη πρόσβαση.
Θ. Επικοινωνία «Επιχείρησης»
με τα «υποκείμενα των δικαιωμάτων» για τα δικαιώματα και τις υποχρεώσεις αυτών.
Η Πολιτική Προστασίας Προσωπικών Δεδομένων «της Επιχείρησης» είναι διαθέσιμη στην ιστοσελίδα της «Επιχείρησης» .
Οιαδήποτε τροποποίηση θα δημοσιεύεται σε αυτήν .
Αποτελεί σύσταση «της Επιχείρησης» προς τα «υποκείμενα των δεδομένων» να επισκέπτονται περιοδικά το δικτυακό τόπο της «Επιχείρησης» για να ενημερώνονται για τον τρόπο με τον οποίο «η Επιχείρηση» αφενός προστατεύει και επεξεργάζεται τα δεδομένα τους σύμφωνα με τον ΓΚΠΔ.
