Πολιτική Προστασίας- Draft

1.Σκοπός και πεδίο εφαρμογής

H ΕΡΤ AE δεσμεύεται να προστατεύει τα προσωπικά δεδομένα και να αποφεύγει την κακή χρήση των προσωπικών δεδομένων.

Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους, αντιπροσώπους και εργολάβους της Εταιρείας, συμπεριλαμβανομένων και των εξωτερικών συνεργατών, και δημιουργεί ένα ελάχιστο πρότυπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς επίσης ορίζει εφεξής και τις αρμοδιότητές τους.

2. Περιεχόμενο

2.1 Νομική Βάση

Η πολιτική αυτή είναι σύμφωνη με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ («Γενικός Κανονισμός για την Προστασία Δεδομένων», εφεξής καλούμενος χάριν συντομίας «Γενικός Κανονισμός») καθώς και οποιονδήποτε εκτελεστικό νόμο του Γενικού Κανονισμού τεθεί σε ισχύ στην ελληνική επικράτεια, καθώς και με κάθε δευτερογενές δίκαιο / γνωμοδοτήσεις / αποφάσεις που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και οποιαδήποτε σχετική νομοθεσία.
2.2.Ορισμοί
Τα δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Ως επεξεργασία δεδομένων προσωπικού χαρακτήρα ορίζεται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Ως Υπεύθυνος Επεξεργασίας κατά τον Γενικό Κανονισμό νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Εν προκειμένω, υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που επεξεργαζόμαστε εντός των ορίων των καθηκόντων, είναι η ΕΡΤ Α.Ε..

Ειδικές κατηγορίες δεδομένων: Σε αυτές εμπίπτουν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Παρότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία εμπίπτουν στις ανωτέρω κατηγορίες καταρχήν απαγορεύεται, υπό συγκεκριμένες προϋποθέσεις επιτρέπεται, επί παραδείγματι όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ή όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
Κατάρτιση προφίλ είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
Ως αρχείο δεδομένων νοείται κάθε απόθεμα προσωπικών δεδομένων που είναι διαρθρωμένο κατά τρόπο που να επιτρέπει την ταυτοποίηση του εν λόγω προσώπου από τα δεδομένα. Π.χ. οποιοδήποτε εργαλείο πληροφορικής που περιέχει προσωπικά δεδομένα.
Ως διαβίβαση νοείται η πρόσβαση στα προσωπικά δεδομένα, για παράδειγμα επιτρέποντας πρόσβαση, μετάδοση ή δημοσίευση.
Η εκτίμηση αντικτύπου στα προσωπικά δεδομένα είναι μια συστηματική διαδικασία για τον εντοπισμό, την αξιολόγηση και την τεκμηρίωση των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ο εκτελών την επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας δεδομένων.

2.3 Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων

2.3.1. Αρχές επεξεργασίας δεδομένων

Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πρέπει να συμμορφώνεται με τις ακόλουθες αρχές.

2.3.1.1. Νόμιμη επεξεργασία

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Η επεξεργασία είναι νόμιμη μόνο όταν συντρέχει τουλάχιστον μία από τις υπό 2.3.1.2. προϋποθέσεις.
2.3.1.2.Προυποθέσεις νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Σύμφωνα με τον Γενικό Κανονισμό, η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει δώσει συγκατάθεση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

2.3.1.3. Υποχρέωση πληροφόρησης

Το υποκείμενο δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και του σκοπού της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του.
Το υποκείμενο δεδομένων πρέπει να ενημερώνεται, τουλάχιστον, σχετικά με:
α) τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. της Εταιρείας (στις περισσότερες περιπτώσεις),
β) τα στοιχεία επικοινωνίας του DPO,
γ) το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
δ) το σκοπό της επεξεργασίας,
ε) το έννομο συμφέρον της Εταιρείας για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
στ) τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
ζ) τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
η) την περίοδο διατήρησης των δεδομένων ή κριτήριων που χρησιμοποιήθηκαν για τον καθορισμό τους,
θ) εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
ι) οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.

2.3.1.4. Σκοπός επεξεργασίας

Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύεται κατά τη στιγμή της συλλογής, ή για το σκοπό που προβλέπεται από το νόμο. Βλέπε, επίσης, την παράγραφο 2.3.1.2 σχετικά με τη συγκατάθεση.
Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται ή αποθηκεύονται πρέπει να είναι απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.

2.3.1.5. Αρχεία προσωπικού

Ο φάκελος προσωπικού και τα προσωπικά δεδομένα που αφορούν τους υπαλλήλους της Εταιρείας ταξινομούνται ως «εμπιστευτικές» πληροφορίες.

Οι υπάλληλοι των εταιρειών της Εταιρείας μπορούν να ελέγξουν τον ατομικό τους φάκελο και να ζητήσουν πληροφορίες σχετικά με άλλα προσωπικά δεδομένα που τους αφορούν. Το αίτημα πληροφόρησης ή ελέγχου μπορεί να υποβληθεί ηλεκτρονικά σε αυτόν τον ιστότοπο, προφορικά ή γραπτώς στον Υπεύθυνο Προστασίας Δεδομένων.

2.3.1.6. Ποιότητα δεδομένων

Κάθε πρόσωπο που επεξεργάζεται προσωπικά δεδομένα πρέπει να διασφαλίζει ότι τα δεδομένα είναι ορθά και πλήρη.

Η Εταιρεία πρέπει να λαμβάνει κάθε τεχνικό και οργανωτικό μέτρο προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, διορθώνονται ή καταστρέφονται.

2.3.1.7. Εκτίμηση αντικτύπου στα προσωπικά δεδομένα

Η Εταιρεία οφείλει να διεξάγει εκτίμηση αντικτύπου στα προσωπικά δεδομένα, κάθε φορά που η προγραμματισμένη δραστηριότητα επεξεργασίας μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.

Σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριαστούν οι κίνδυνοι για το απόρρητο των δεδομένων. Η αξιολόγηση πρέπει να διενεργείται πριν ξεκινήσουν οι εργασίες επεξεργασίας υψηλού κινδύνου.

Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:

α) συστηματική και εκτενή αξιολόγηση των προσωπικών στοιχείων του υποκειμένου των δεδομένων. Ειδικότερα, εάν τα προσωπικά δεδομένα υποβάλλονται αυτόματα σε επεξεργασία, εάν η επεξεργασία περιλαμβάνει τη διαμόρφωση της προσωπικότητας και εάν οι αποφάσεις που επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην αξιολόγηση αυτή,

β) επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα,

γ) συστηματική και ευρείας κλίμακας παρακολούθηση μίας προσβάσιμης στο κοινό περιοχής, π.χ. παρακολούθηση με βίντεο ενός δημόσιου χώρου.

Η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα πρέπει να τεκμηριώνεται δεόντως και να πραγματοποιείται με τη βοήθεια του υπευθύνου προστασίας δεδομένων. Όταν η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, η εποπτική αρχή πρέπει να ενημερώνεται και να γνωμοδοτεί σχετικά με τα κατάλληλα μέτρα για τη μείωση των κινδύνων.

2.3.1.8. Διαβίβαση σε τρίτους

Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως, εφόσον κρίνεται σκόπιμο.

Τρίτος εκτελών την επεξεργασία για λογαριασμό της Εταιρείας, π.χ. ένας εργολάβος ή πάροχος υπηρεσιών, πρέπει να συμφωνήσει συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις

2.3.1.9 Διασυνοριακή αποκάλυψη προσωπικών δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται στο εξωτερικό μόνο εάν ο αλλοδαπός νόμος προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που ο αλλοδαπός νόμος δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε αυτή τη χώρα μόνον εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στη μεταφορά ή εάν η προστασία δεδομένων προβλέπεται από την κατάλληλη συμφωνία περί μεταφοράς δεδομένων.

Η Εταιρεία θα λαμβάνει το κατάλληλο προσωπικό, τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων.

Συγκεκριμένα, η Εταιρεία θα λαμβάνει διασφαλίσεις για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Με τον τρόπο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας.

2.3.1.10 Αποθήκευση και διατήρηση δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο χρόνο απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα. Τα στοιχεία της αποθήκευσης δεδομένων και των περιόδων διατήρησης καθορίζονται στην Πολιτική Διατήρησης Δεδομένων της Εταιρείας.

2.3.2 Δικαιώματα των υποκειμένων των δεδομένων

Κάθε υποκείμενο δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το ΓΚΠΔ:

α) Το δικαίωμα ενημέρωσης,

β) Το δικαίωμα πρόσβασης,

γ) Το δικαίωμα διόρθωσης,

δ) Το δικαίωμα διαγραφής,

ε) Το δικαίωμα περιορισμού της επεξεργασίας,

στ) Το δικαίωμα στη φορητότητα δεδομένων,

ζ) Το δικαίωμα αντίρρησης,

η) Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.

Θ) Δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε περίπτωση υπόνοιας παραβίασης των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Οι υπάλληλοι της Εταιρείας οφείλουν να σέβονται το αίτημα πρόσβασης του υποκειμένου των δεδομένων, να τα συνδράμουν στην άσκηση όλων των ανωτέρω δικαιωμάτων τους, σύμφωνα με τις οικείες πολιτικές και διαδικασίες της Εταιρείας μας και, εφόσον απαιτείται, να ζητούν τη συμβουλή του DPO. Για περισσότερες πληροφορίες σχετικά με το περιεχόμενο κάθε δικαιώματος, ανατρέξτε στην Πολιτική της Εταιρείας για θέματα χειρισμού των αιτημάτων των υποκειμένων των δεδομένων.

2.3.3 Καταγραφή παραβίασης δεδομένων

Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, απώλεια, αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συναίνεση ή για σκοπούς άλλους από εκείνους που υποδεικνύονται τη στιγμή της συλλογής.

Το πρόσωπο που ανακαλύπτει την παραβίαση προσωπικών δεδομένων λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αναφέρει την παραβίαση στον DPO χωρίς καθυστέρηση.

Ο DPO συστηματικά καταγράφει τις παραβιάσεις που του αποκαλύφθηκαν και αξιολογεί τους λόγους των παραβιάσεων. Επιπλέον, ο DPO λαμβάνει περαιτέρω απαιτούμενα μέτρα για την αποκατάσταση της κατάστασης και την αποτροπή της επανάληψης των παραβιάσεων. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της Εταιρείας.

2.3.4 Ειδοποίηση για παραβίαση δεδομένων

Η Εταιρεία πρέπει να ειδοποιήσει την αρμόδια εποπτική αρχή για την παραβίαση δεδομένων εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση. Ως εκ τούτου, οφείλετε να αναφέρετε άμεσα στον Προϊστάμενό σας και τον DPO οποιοδήποτε συμβάν σας δημιουργεί βεβαιότητα ή έστω υπόνοια παραβίασης δεδομένων προσωπικού χαρακτήρα, προκειμένου εκείνος να το διαβιβάσει στον Υπεύθυνο Προστασίας Δεδομένων της Εταιρείας.

Επιπλέον, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται χωρίς καθυστέρηση. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της Εταιρείας.

2.3.5 Τεκμηρίωση των αρχείων δεδομένων

Η Εταιρεία τηρεί κατάλογο όλων των βάσεων δεδομένων και των αρχείων που περιέχουν προσωπικά δεδομένα. Ο κατάλογος περιλαμβάνει τις ακόλουθες ελάχιστες πληροφορίες:

α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,

β) τους σκοπούς της επεξεργασίας, τη νονιμοποιητική βάση επεξεργασίας και την απόδειξη συγκατάθεσης όπου χρειάζεται ως νόμιμη βάση,

γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,

δ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,

ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού,

στ) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,

ζ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας

Τα αρχεία δεδομένων ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές που περιέχουν ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, πρέπει να καταχωρούνται σε ξεχωριστούς φακέλους, να σημειώνονται αντίστοιχα και να υπόκεινται σε εκτίμηση αντικτύπου στα προσωπικά δεδομένα, όπως ορίζεται στην παράγραφο 2.3.1.7.

Σημειώνεται ότι η τήρηση αρχείων δεδομένων προσωπικού χαρακτήρα δεν αποτελεί απλώς μορφή εσωτερικής τεκμηρίωσης των δραστηριοτήτων επεξεργασίας, αλλά βασική υποχρέωση της Εταιρείας μας η οποία προκύπτει ευθέως από τον Γενικό Κανονισμό. Ως εκ τούτου, είναι απαραίτητο να συμβάλλετε, σε συνεργασία με τους προϊσταμένους σας, στην ενημέρωση των αρχείων, σε περίπτωση κατά την οποία προκύπτει κατά καιρούς η ανάγκη ή νομική υποχρέωση προσθήκης νέων μορφών επεξεργασίας ή αφαίρεσης υφισταμένων μορφών επεξεργασίας, εφόσον παύσει να υφίσταται ανάγκη συγκεκριμένης επεξεργασίας.

2.3.6 Κατάρτιση και ευαισθητοποίηση

Κάθε υπάλληλος της Εταιρείας εκπαιδεύεται σε θέματα προστασίας δεδομένων και ασφάλειας δεδομένων. Μια πρώτη εκπαιδευτική συνεδρία θα ακολουθήσει κατά την έναρξη της απασχόλησης εντός της Εταιρείας και οι επακόλουθες εκπαιδεύσεις θα πραγματοποιούνται σε τακτά χρονικά διαστήματα.

Επισημαίνεται ότι, λόγω του μεγέθους της Εταιρείας μας, αλλά και των σκοπών που επιτελεί, είναι απαραίτητη η συμβολή όλων μας στην επίτευξη του μέγιστου βαθμού συμμόρφωσης. Ο σκοπός αυτός αναδεικνύει τη σπουδαιότητα της εκπαιδευτικής διαδικασίας ως προς την προστασία δεδομένων προσωπικού χαρακτήρα. Ως εκ τούτου, καλείστε να επιδείξετε τη μέγιστη επαγγελματική ευαισθησία και σημασία στην εκπαίδευση που πρόκειται να ακολουθήσετε.

2.4 Υποχρεώσεις για την ανάπτυξη συστημάτων και νέων επιχειρηματικών διαδικασιών

Η προστασία δεδομένων αποτελεί αναπόσπαστο μέρος της τεχνολογικής ανάπτυξης και της οργανωτικής δομής της Εταιρείας. Κατά συνέπεια, πρέπει να λαμβάνονται υπόψη οι ακόλουθες αρχές όταν αξιολογούνται οι τρέχουσες επιχειρηματικές διαδικασίες ή τα συστήματα επεξεργασίας δεδομένων ή όταν εισάγονται νέα.

2.4.1 Εκτίμηση του αντικτύπου στα προσωπικά δεδομένα αναφορικά με νέες δραστηριότητες επεξεργασίας

Η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα πρέπει να διεξάγεται κάθε φορά που εισάγονται νέες τεχνολογίες ή δραστηριότητες επεξεργασίας δεδομένων οι οποίες ενδέχεται να οδηγήσουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα υψηλού κινδύνου.

Οι λεπτομέρειες της εκτίμησης του αντικτύπου στα προσωπικά δεδομένα καθορίζονται στην παράγραφο 2.3.1.7 της παρούσας πολιτικής.

2.4.2 Αρχές προστασίας των δεδομένων από τον σχεδιασμό

Όταν εισάγονται νέα συστήματα επεξεργασίας δεδομένων, ο υπεύθυνος πρέπει να εξασφαλίζει υψηλό επίπεδο προστασίας δεδομένων. Ιδιαίτερα, κάθε νέο σύστημα και διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:

α) Πρέπει να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των προσωπικών δεδομένων από τη συλλογή έως την επεξεργασία έως τη διαγραφή.

β) Τα συστήματα επεξεργασίας δεδομένων πρέπει να αποσκοπούν στη συλλογή όσο το δυνατόν λιγότερων προσωπικών δεδομένων για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα.

γ) Όταν η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας δεδομένων, τα προσωπικά δεδομένα πρέπει να καταστούν ανώνυμα κατά τρόπο που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μη μπορεί πλέον να ταυτοποιείται.

δ) Εφόσον τα προσωπικά δεδομένα δεν μπορούν να είναι ανώνυμα, πρέπει να λαμβάνονται μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως η ψευδωνυμία, η κρυπτογράφηση ή ο περιορισμός πρόσβασης.

ε) Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα χορηγείται σύμφωνα με την αρχή «πρέπει-να-γνωρίζω», πράγμα που σημαίνει ότι τα προσωπικά δεδομένα καθίστανται προσβάσιμα μόνο σε εκείνα τα πρόσωπα που την απαιτούν για να εκτελούν καθορισμένους ρόλους και ευθύνες.

στ) Ο συστηματικός έλεγχος ποιότητας των προσωπικών δεδομένων πρέπει να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, πρέπει να δημιουργούνται διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.

ζ) Τα συστήματα επεξεργασίας δεδομένων πρέπει να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.

η) Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά τους δεδομένα.

2.4.3 Αρχές προστασίας δεδομένων εξ ορισμού

Τα συστήματα επεξεργασίας δεδομένων πρέπει να ρυθμίζονται κατά τρόπον ώστε να εφαρμόζονται αυτομάτως οι αυστηρότερες ρυθμίσεις απορρήτου, δηλαδή εξ ορισμού.

Εκτενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέξει ή συμφωνεί με ένα χαμηλότερο επίπεδο προστασίας, π.χ. με τη χειροκίνητη αλλαγή των ρυθμίσεων απορρήτου σε έναν ιστότοπο, ένα εργαλείο πληροφορικής ή σε κάτι παρόμοιο με μια λιγότερο περιοριστική επιλογή και συνεπώς δίνει τη ρητή συγκατάθεσή του στην εκτεταμένη επεξεργασία ("opt-in").

2.5 Αρμοδιότητες

2.5.1 Υπεύθυνος Προστασίας Δεδομένων

Κομβικής σημασίας για τη διαρκή συμμόρφωση της Εταιρείας μας στις επιταγές του Γενικού Κανονισμού και στη νομοθεσία εν γένει σε σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα, και την ουσιαστική επίτευξη του μέγιστου βαθμού προστασίας του συνόλου των δεδομένων που η Εταιρεία μας επεξεργάζεται, είναι ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer - DPO).

Ο Υπεύθυνος Προστασίας Δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο, ήτοι στο Διοικητικό Συμβούλιο, της Εταιρείας μας, τα δε υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους.

Ο Υπεύθυνος Προστασίας Δεδομένων έχει μεταξύ άλλων τα ακόλουθα καθήκοντα:

α) ενημερώνει και συμβουλεύει την Εταιρεία μας και τους Εργαζομένους της σε σχέση με τις υποχρεώσεις τους που απορρέουν από τον Γενικό Κανονισμό και από άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή της εθνικής νομοθεσίας σχετικά με την προστασία δεδομένων,

β) παρακολουθεί τη συμμόρφωση με τον Γενικό Κανονισμό, με άλλες διατάξεις της Ένωσης ή της εθνικής νομοθεσίας σχετικά με την προστασία δεδομένων και με τις πολιτικές της Εταιρείας μας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των Εργαζομένων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της,

δ) συνεργάζεται με την εποπτική αρχή, ήτοι την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, μεταξύ άλλων όταν εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.

Υπεύθυνος Προστασίας Δεδομένων της Εταιρείας μας είναι ο κ. Βασιλόπουλος Βασίλειος [email protected]

Είναι δικαίωμα αλλά και υποχρέωσή σας να έχετε επικοινωνία με τον Υπεύθυνο Προστασίας Δεδομένων και τους συνεργάτες του για οποιαδήποτε απορία σας σχετικά με την εφαρμογή του Γενικού Κανονισμού, της παρούσας πολιτικής και κάθε συναφούς διαδικασίας της Εταιρείας μας η οποία κατατείνει στην προστασία των δεδομένων προσωπικού χαρακτήρα.

2.5.2 Εκτελεστική διοίκηση

Η εκτελεστική διοίκηση της Εταιρείας είναι υπεύθυνη για την εφαρμογή αυτής της πολιτικής και πρέπει να παρέχει το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Οι managers της Εταιρείας υποχρεούνται να εφαρμόζουν την πολιτική στον τομέα ευθύνης τους και να διασφαλίζουν ότι οι υπάλληλοι, τα άτομα και οι οντότητες για τις οποίες είναι υπεύθυνοι γνωρίζουν, κατανοούν και τηρούν τις απαιτήσεις αυτής της πολιτικής και είναι κατάλληλα εκπαιδευμένοι να εκπληρώσουν πλήρως αυτό το καθήκον τους.

2.6 Παραβίαση της πολιτικής προστασίας δεδομένων

Οι πιθανές κυρώσεις και ζημίες που απορρέουν από την παραβίαση προστασίας δεδομένων είναι σοβαρές τόσο για το πρόσωπο που διαπράττει την παραβίαση όσο και για την Εταιρεία.

Κάθε παραβίαση αυτής της πολιτικής προστασίας δεδομένων μπορεί να οδηγήσει σε πειθαρχικές κυρώσεις. Οι παραβιάσεις νομικών ή κανονιστικών υποχρεώσεων μπορούν να αναφέρονται σε εξωτερικές αρχές και μπορεί να έχουν ως αποτέλεσμα ποινικές, αστικές ή κανονιστικές κυρώσεις.