ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Η Πολιτική αυτή έχει σκοπό την συμμόρφωση της ΒΟΥΤΣΑΔΑΚΗΣ ΑΒΕΤΕ (εφεξής η «Εταιρεία») με την κείμενη νομοθεσία (Γενικός Κανονισμός Προσωπικών Δεδομένων 2016/679 ΕΕ - GDPR), το ρυθμιστικό πλαίσιο και τις βέλτιστες πρακτικές για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από ή για λογαριασμό της Εταιρείας.
Η πιστή εφαρμογή της αποβλέπει:
- Στην προστασία της φήμης και του κύρους της Εταιρείας με τη λήψη όλων των απαραίτητων μέτρων δέουσας επιμέλειας για την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα που διαχειρίζεται
- Στην αποφυγή επιβολήςκυρώσεων, προστίμων και ποινικών διώξεων από τις αρμόδιες εποπτικές αρχές που μπορεί να προκύψουν από την ακούσια παράλειψη συμμόρφωσης προς το νομοθετικό πλαίσιο
- Στην προστασία της Εταιρείας από ανυπόστατες καταγγελίες των υποκειμένων των δεδομένων για τα οποία λειτουργεί ως υπεύθυνος επεξεργασίας
- Στη συμμόρφωση του προσωπικού της Εταιρείας με τις επιταγές του νομικού και ρυθμιστικού πλαισίου και την αναθεώρηση του τρόπου λειτουργίας όλων των Μονάδων της ως προς τη Διαχείριση Δεδομένων Προσωπικού Χαρακτήρα.
0. Πεδίο Εφαρμογής
Η παρούσα Πολιτική ισχύει έναντι όλων των φυσικών πρόσωπων, τα δεδομένα των οποίων επεξεργάζεται η Εταιρεία, συμπεριλαμβανομένων, αλλά χωρίς να περιορίζεται σε πελάτες, υποψήφιους, τωρινούς και πρώην εργαζόμενους και τους εξαρτωμένους τους, συνεταίρους, μετόχους, συνεργάτες και άλλους ενδιαφερόμενους.
1. Βασικές Έννοιες – Ορισμοί
3.1. Δεδομένα Προσωπικού Χαρακτήρα
Όλα τα δεδομένα για ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, συμπεριλαμβανομένων των δεδομένων που αναγνωρίζουν το άτομο ή που θα μπορούσαν να χρησιμοποιηθούν για να το αναγνωρίσουν, εντοπίσουν, παρακολουθήσουν ή επικοινωνήσουν μαζί του. Ενδεικτικά και όχι περιοριστικά, τα Προσωπικά Δεδομένα περιλαμβάνουν πληροφορίες άμεσης ή έμμεσης αναγνώρισης όπως όνομα, αριθμό Ταυτότητας, Διεύθυνση Εργασίας, Διεύθυνση κατοικίας,email, Τηλέφωνο, ημερομηνία γέννησης, κλπ.
3.2. Υπεύθυνος επεξεργασίας
Το φυσικό ή νομικό πρόσωπο, η υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για τους σκοπούς της παρούσας, υπεύθυνος επεξεργασίας είναι η Εταιρεία.
3.3. Εκτελών την επεξεργασία
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
3.4. Αποδέκτες
Το φυσικό ή νομικό πρόσωπο, η υπηρεσία ή άλλος φορέας, στα οποία κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα.
3.5. Επεξεργασία
Η διεξαγωγή οποιασδήποτε διεργασίας ή σειράς διεργασιών σε δεδομένα σχετικά με ανθρώπους, με ή χωρίς αυτοματοποιημένα μέσα, συμπεριλαμβανομένης, αλλά χωρίς να περιορίζεται σε, συλλογή, καταγραφή, οργάνωση, αποθήκευση, πρόσβαση, προσαρμογή, μετατροπή, ανάκτηση, συμβουλευτική χρήση, αξιολόγηση, ανάλυση, αναφορά, διανομή, αποκάλυψη, διασπορά, μετάδοση, διάθεση, στοίχιση, συνδυασμό, παρεμπόδιση, διαγραφή, σβήσιμο ή καταστροφή.
3.6. Ευαίσθητα Προσωπικά Δεδομένα
Οποιοσδήποτε τύπος δεδομένων που περιέχει εγγενή κίνδυνο πρόκλησης πιθανής βλάβης σε άτομα, συμπεριλαμβανομένων αλλά χωρίς να περιορίζονται σε δεδομένα που σχετίζονται με υγεία, φυλή, εθνική καταγωγή, θρησκεία, πολιτικές ή φιλοσοφικές πεποιθήσεις, ποινικό μητρώο, πληροφορίες ακριβούς γεωγραφικής τοποθεσίας, αριθμοί τραπεζικών ή άλλης οικονομικής φύσης λογαριασμών, αριθμοί μητρώου που εκδίδονται από το κράτος, ανήλικα άτομα, σεξουαλική ζωή, σχέσεις με εργατικά συνδικάτα, ασφάλεια, κοινωνική ασφάλεια και άλλες εργοδοτικές ή κρατικές παροχές.
3.7. Τρίτο Πρόσωπο
Οποιοσδήποτε οργανισμός που δε συνδέεται με συμβατική σχέση με την Εταιρείαή άτομο που δεν εργάζεται στην Εταιρεία
3.8. Παραβίαση ασφάλειας δεδομένων
Οποιαδήποτε παραβίαση ασφαλείας, η οποία οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή επιτρέπει αθέμιτη πρόσβαση σε προσωπικά δεδομένα τρίτου που μεταβιβάσθηκαν, αποθηκεύθηκαν ή έτυχαν επεξεργασίας με οποιονδήποτε τρόπο.
2. Γενικές Αρχές
Η διαχείριση των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με τις ακόλουθες αρχές:
4.1. Αρχή Αναγκαιότητας
Η επεξεργασία Προσωπικών Δεδομένων πραγματοποιείται, αφού προηγηθεί ο καθορισμός και η καταγραφή του ειδικού, σύννομου επιχειρησιακού σκοπού για τον οποίο αυτή είναι απαραίτητη.
4.2. Διαφάνεια
Η επεξεργασία γίνεται με τρόπους και για σκοπούς που είναι πάντα διαφανείς. Προς εκπλήρωση αυτής της υποχρέωσης, η Εταιρεία λαμβάνει όλα τα αναγκαία μέτρα για την ενημέρωση των υποκειμένων των δεδομένων που επεξεργάζεται.
4.3. Νομιμότητα
Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιείται με τρόπο που δεν είναι άδικος για τα υποκείμενα των δεδομένων και πάντα υπό την αίρεση ότι υπάρχει μια από τις ακόλουθες νομικές βάσεις επεξεργασίας:
Υπάρχει συγκατάθεση του υποκειμένου των δεδομένων
- Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης
- Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση της Εταιρείας ως υπευθύνου επεξεργασίας
- Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
- Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία.
4.4. Ποιότητα Δεδομένων
Τα προσωπικά δεδομένα τηρούνται ακριβή, ολόκληρα, ενήμερα και πάντα σε συμφωνία με την επιθυμητή και συμπεφωνημένη χρήση τους.
4.5. Ασφάλεια
Η Εταιρεία, ως υπεύθυνος επεξεργασίας, τηρεί όλα τα αναγκαία μέτρα και ενσωματώνει τις δικλείδες ασφαλείας για την προστασία των προσωπικών και των ευαίσθητων δεδομένων που επεξεργάζεται από τυχόν απώλεια, μη εγκεκριμένη πρόσβαση, εσφαλμένη χρήση, απώλεια ή καταστροφή.
3. Ενημέρωση Υποκειμένων
Η Εταιρεία λαμβάνει όλα τα αναγκαία μέτρα ώστε να ενημερώνει, με κάθε διαθέσιμο μέσο (ηλεκτρονικό, δια αλληλογραφίας, δια του Τύπου), τα υποκείμενα, ότι η επεξεργασία των προσωπικών τους δεδομένων πραγματοποιείται σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας δεδομένων (Γενικός Κανονισμός Προσωπικών Δεδομένων) και την Πολιτική Απορρήτου της Εταιρεία. Συγκεκριμένα, η ενημέρωση περιλαμβάνει πληροφορίες για:
- Τις κατηγορίες των προσωπικών δεδομένων που τελούν υπό την επεξεργασία της
- Τους σκοπούς και τρόπους επεξεργασίας
- Τους αποδέκτες των προσωπικών δεδομένων
- Τα δικαιώματα τους, ως υποκείμενα των δεδομένων, όπως απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων.
4. Διαχείριση Αιτημάτων Υποκείμενων των Δεδομένων
Η Εταιρεία υποχρεούται να απαντά έγκαιρα (εντός 30 ημερολογιακών ημερών) στα Αιτήματα των Υποκειμένων των Δεδομένων(ΑΥΔ) που τελούν υπό την επεξεργασία της. Ενδεικτικά αναφέρονται τα εξής αιτήματα:
- Αίτημα πρόσβασης
- Αίτημα διόρθωσης
- Αίτημα εναντίωσης
- Αίτημα διαγραφής
- Αίτημα φορητότητας
Η απάντηση προς τα ΑΥΔ δίνεται σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας ξεκάθαρη και απλή γλώσσα, με γραπτό ή άλλο (συμπεριλαμβανομένου του ψηφιακού) μέσο.
5. Διαχείριση Παραβιάσεων Ασφάλειας Δεδομένων (Data Breach Management)
Σε περίπτωση παραβίασης της ασφάλειας των δεδομένων, η Εταιρεία αναλαμβάνει όλα τα αναγκαία μέτρα και τηρεί τις διαδικασίες για:
- την αναγνώριση και κατηγοριοποίηση της παραβίασης
- την περιστολή της ζημίας
- την ανάκτηση των δεδομένων (όπου αυτό είναι τεχνικά εφικτό)
- την εκτίμηση της ζημίας, που συνίσταται στον υπολογισμό των πιθανών δυσμενών επιπτώσεων που θα έχει η παραβίαση ασφάλειας για τα υποκείμενα των δεδομένων.
Ο Υπεύθυνος Επεξεργασίας είναι αρμόδιος για την ενημέρωση της ΑΠΔΠΧεντός 72 ωρών από τη διαπίστωση της Παραβίασης Ασφαλείας, εάν αυτό κριθεί απαραίτητο.
6. Διακράτηση, Αναθεώρηση και Καταστροφή Εγγράφων και Αρχείων
Τα έγγραφα και αρχεία που περιέχουν τα αντίστοιχα δικαιώματα και υποχρεώσεις της Εταιρείας και του Πελάτη, όπως αυτά προβλέπονται στις Συμβάσεις Παροχής Υπηρεσιών ή στους όρους υπό τους οποίους η Εταιρεία παρέχει υπηρεσίες στον Πελάτη, διατηρούνται τουλάχιστον καθ’ όλη τη διάρκεια της σχέσης με τον πελάτη. Η μορφή που μπορεί να έχουν αυτά τα έγγραφα και αρχεία, ενδεικτικά (και όχι περιοριστικά απαριθμούμενα), είναι:
- Βιβλία συναντήσεων και ημερολόγια
- Οπτικές εγγραφές
- Συμβόλαια και Παραλλαγές Συμβολαίων
- Ψηφιακά αρχεία
- E-mails
- Χειρόγραφες σημειώσεις
- Τιμολόγια
- Αλληλογραφία
- Αρχεία διεργασιών συμπεριλαμβανομένων αρχείων χρηστών ή πελατών
- Αντικείμενα ελέγχων
- Καταγεγραμμένες τηλεφωνικές συνομιλίες
9.1. Αρχές διακράτησης εγγράφων
Τα αρχεία διατηρούνται σε μέσο που επιτρέπει την αποθήκευση των πληροφοριών με τρόπο προσβάσιμο για μελλοντική εξέταση
9.2. Χρόνος τήρησης
Τα αρχεία/ έγγραφα που περιγράφηκαν ανωτέρω θα τηρούνται για όσο χρονικό διάστημα ορίζει η ισχύουσα νομοθεσία, εθνική και κοινοτική ή η συνήθης πρακτική.
9.3. Καταστροφή Εγγράφων και Αρχείων
Η καταστροφή των εγγράφων πρέπει να είναι αποτελεσματική, μόνιμη και να πραγματοποιείται με τα ενδεδειγμένα, κατά περίπτωση, μέσα (π.χ. ανακύκλωση, καταστροφέας εγγράφων, αποτέφρωση,κλπ).
Η Εταιρεία ακολουθεί συγκεκριμένη πρακτική καταστροφής εγγράφων και αρχείων εξασφαλίζοντας, σε κάθε περίπτωση, ότι τηρούνται τα ακόλουθα:
- Αξιολόγηση της φύσης και του περιεχομένου του εγγράφου
- Περίοδος διακράτησης εγγράφων προς εκπλήρωση των υποχρεώσεων της Εταιρείας, όπως αυτές απορρέουν από την εθνική και κοινοτική νομοθεσία ή τη συνήθη πρακτική
- Συμμόρφωση με υποχρεώσεις του Γενικού Κανονισμού Προσωπικών Δεδομένων
- Διακράτηση εγγράφων που χρησιμεύουν ως αποδεικτικά μέσα ενώπιον Δικαστικών Αρχών
- Αναγραφή ημερομηνίας, μεθόδου και έγκρισης καταστροφής, όπου αυτό κρίνεται απαραίτητο
- Τήρηση του πρωτοκόλλου καταστροφής εγγράφων/ αρχείων.