ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY POLICY) ΤΗΣ ΕΤΑΙΡΕΙΑΣ EDRINK ΙΔΙΩΤΙΚΗ ΚΕΦΑΙΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ
Ενημέρωση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (GDPR)
Η Εταιρεία με την επωνυμία ««EDRINK ΙΚΕ, όπως νόμιμα εκπροσωπείται, με έδρα την Αθήνα, επί της οδού Αριστοτέλους 11-13, με ΑΦΜ 802281720 και αριθμό ΓΕΜΗ 173565201000, email επικοινωνίας support@edrink.gr, ως Υπεύθυνη Επεξεργασίας Δεδομένων Προσωπικού χαρακτήρα, εφεξής καλούμενη η «Εταιρεία», στο πλαίσιο του Γενικού Κανονισμού Προστασίας των Δεδομένων (ΕΕ) 2016/679 που τέθηκε σε ισχύ από την 25/05/2018, στο εξής ο «ΓΚΠΔ», όπως εκάστοτε ισχύει, σας παρέχει με το παρόν την ακόλουθη ενημέρωση για την επεξεργασία των δεδομένων σας προσωπικού χαρακτήρα και τα δικαιώματά σας ως υποκειμένου της επεξεργασίας. Ο νέος Κανονισμός αντικαθιστά το υφιστάμενο νομικό πλαίσιο για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Από την παραπάνω ημερομηνία κάθε αναφορά στις διατάξεις του Ν. 2472/1997, νοείται ότι αναφέρεται στις διατάξεις του νέου «ΓΚΠΔ», καθώς και κάθε νομοθετήματος που θα αντικαταστήσει το υπάρχον εθνικό νομοθετικό πλαίσιο. Επίσης από 01-09-2019 έχει ισχύ ο νέος Ν. 4624/2019, ο οποίος κατήργησε πλήρως τον προϊσχύοντα Ν. 2472/97.
Η παρούσα ενημέρωση απευθύνεται σε φυσικά πρόσωπα που διενεργούν οποιαδήποτε συναλλαγή με την Εταιρεία, όπως ενδεικτικά σε πελάτες, προμηθευτές, στους εργαζόμενους και στους εν δυνάμει εργαζόμενους της Εταιρείας και σε κάθε φυσικό πρόσωπο που υπό οποιαδήποτε ιδιότητα έχει συναλλακτικές σχέσεις με την Εταιρεία.
Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα συνίσταται στη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, διαβίβαση, περιορισμό ή διαγραφή των δεδομένων προσωπικού χαρακτήρα που έχουν περιέλθει ή θα περιέλθουν σε γνώση της Εταιρείας, είτε στο πλαίσιο των συναλλακτικών σας σχέσεων με αυτήν είτε στο πλαίσιο πληροφόρησης που λαμβάνει η Εταιρεία από τρίτο φυσικό ή νομικό πρόσωπο ή φορέα του δημοσίου τομέα κατά την άσκηση νομίμου δικαιώματός αυτού ή της ίδιας της Εταιρείας.
Η Εταιρεία σε συμμόρφωση με το ισχύον νομοθετικό πλαίσιο έχει προβεί σε όλες τις ενέργειες που απαιτούνται, εφαρμόζοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη νόμιμη τήρηση, την επεξεργασία και την ασφαλή φύλαξη του αρχείου δεδομένων προσωπικού χαρακτήρα δεσμευόμενη να διασφαλίζει και να προστατεύει με κάθε τρόπο την επεξεργασία των προσωπικών σας δεδομένων από απώλεια ή διαρροή, αλλοίωση, διαβίβαση ή την με οποιονδήποτε άλλο τρόπο αθέμιτη επεξεργασία τους.
1. Κατηγορίες Δεδομένων που επεξεργάζεται η Εταιρεία
Η Εταιρεία επεξεργάζεται δεδομένα σας προσωπικού χαρακτήρα τα οποία έχετε υποβάλει ή πρόκειται να υποβάλετε στην Εταιρεία εσείς ατομικά και τα οποία είναι απαραίτητα για την έναρξη, τη διατήρηση και την εκτέλεση των συναλλακτικών σας σχέσεων με την Εταιρεία, υφιστάμενων ή μελλοντικών ανάλογα με τις παρεχόμενες υπηρεσίες και τις εκάστοτε ισχύουσες διαδικασίες και πολιτικές της. Τα δεδομένα προσωπικού σας χαρακτήρα που παρέχετε στην Εταιρεία πρέπει να είναι πλήρη και ακριβή και να επικαιροποιούνται με δική σας επιμέλεια άμεσα, σε κάθε περίπτωση μεταβολής τους ή όποτε άλλοτε κρίνεται απαραίτητο από την Εταιρεία για τη διατήρηση των συναλλακτικών σας σχέσεων ή σε εκπλήρωση υποχρέωσης της Εταιρείας που απορρέει από το νόμο και τις εκάστοτε ισχύουσες κανονιστικές διατάξεις.
Η Εταιρεία επεξεργάζεται επίσης δεδομένα προσωπικού σας χαρακτήρα που λαμβάνει ή περιέρχονται σε γνώση της από τρίτο φυσικό ή νομικό πρόσωπο ή φορέα του δημοσίου και τα οποία είναι απαραίτητα είτε για την επίτευξη των εννόμων συμφερόντων της ίδιας της Εταιρείας ή τρίτου προσώπου, είτε για την εκπλήρωση καθηκόντων της που εκτελούνται προς το δημόσιο συμφέρον (π.χ, φορολογικοί και ασφαλιστικοί φορείς).
Για την έναρξη και τη διατήρηση της συναλλακτικής σχέσης της με τους πελάτες της η Εταιρεία συλλέγει και επεξεργάζεται τα ακόλουθα κατ’ ελάχιστο δεδομένα προσωπικού χαρακτήρα από εσάς: Ονοματεπώνυμο, διεύθυνση κατοικίας και τηλέφωνο (σταθερό ή/και κινητό) και δεδομένα εικόνας, για όσους επισκέπτονται φυσικό κατάστημα της εταιρίας. Από εργαζόμενους και υποψήφιους εργαζόμενους, η Εταιρεία συλλέγει και διακρατά απαραίτητα για τη σύμβαση εργασίας και την τήρηση της ασφαλιστικής νομοθεσίας σχέση, ήτοι ονοματεπώνυμο, πατρώνυμο, αριθμό φορολογικού μητρώου, διεύθυνση κατοικίας, τηλέφωνο επικοινωνίας, e-mail, αριθμό μητρώου κοινωνικής ασφάλισης, στοιχεία επαγγελματικής κατάρτισης, τα ελάχιστα δεδομένα υγείας για το χώρο της εστίασης και δεδομένα της εικόνας του.
2. Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
Η Εταιρεία δεν επεξεργάζεται δεδομένα σας προσωπικού χαρακτήρα όπως δεδομένα που σχετίζονται με τη φυλετική ή εθνοτική σας καταγωγή, τα πολιτικά σας φρονήματα, τις θρησκευτικές ή φιλοσοφικές σας πεποιθήσεις ή τη συμμετοχή σας σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την ταυτοποίηση σας ως υποκείμενο της επεξεργασίας καθώς και δεδομένα υγείας ή δεδομένα που αφορούν την σεξουαλική σας ζωή ή τον γενετήσιο προσανατολισμό.
3. Δεδομένα που αφορούν παιδιά
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκων εκτελείται με την προϋπόθεση της προηγούμενης συγκατάθεσης των γονέων ή των ασκούντων τη γονική μέριμνα αυτών, εκτός αν άλλως ορίζεται από το νόμο. Για τους σκοπούς της παρούσας, ανήλικα θεωρούνται τα άτομα που δεν έχουν συμπληρώσει το 18ο έτος της ηλικίας τους. Σε κάθε περίπτωση η Εταιρεία λαμβάνει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα για την ασφαλή τήρηση και επεξεργασία των δεδομένων προσωπικού χαρακτήρα που ανήκουν στην παραπάνω ειδική κατηγορία.
4. Νομιμότητα επεξεργασίας
Η Εταιρεία επεξεργάζεται νόμιμα δεδομένα προσωπικού χαρακτήρα εφόσον η επεξεργασία:
Είναι απαραίτητη για την εξυπηρέτηση, υποστήριξη και παρακολούθηση των συναλλακτικών σας σχέσεων με την Εταιρεία και την ορθή εκτέλεση των μεταξύ μας συμβάσεων.
Είναι απαραίτητη για τη συμμόρφωση της Εταιρείας με έννομη υποχρέωσή της ή για την επιδίωξη των εννόμων συμφερόντων της που απορρέουν από τις συναλλακτικές σας σχέσεις με την Εταιρεία ή από άλλα δικαιώματά της που απορρέουν από το νόμο.
Είναι απαραίτητη για την εκπλήρωση καθήκοντός της που εκτελείται προς το δημόσιο συμφέρον στο πλαίσιο του εκάστοτε ισχύοντος νομοθετικού και κανονιστικού πλαισίου.
Βασίζεται στην προηγούμενη ρητή συναίνεσή σας, εφόσον η επεξεργασία δεν θεμελιώνεται σε κάποια από τις ανωτέρω αναφερόμενες νόμιμες βάσεις επεξεργασίας.
5. Ανάκληση συγκατάθεσης
Έχετε δικαίωμα να ανακαλέσετε οποτεδήποτε τη συγκατάθεσή σας, όπου αυτή απαιτείται, χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε σε αυτήν μέχρι και την ανάκλησή της. Η ανάκληση της συγκατάθεσης σας μπορεί να υποβληθεί εγγράφως στο email της εταιρίας (support@edrink.gr)
6. Σκοποί επεξεργασίας
Η επεξεργασία των προσωπικών σας δεδομένων αφορά:
Αναφορικά με τους πελάτες:
Την εξυπηρέτηση, υποστήριξη και παρακολούθηση των παρεχόμενων από την Εταιρεία υπηρεσιών, την ορθή εκτέλεση των μεταξύ σας συμβάσεων, την εκπλήρωση των υποχρεώσεων της Εταιρείας ως υπεύθυνης ή εκτελούσας την επεξεργασία και την άσκηση των νόμιμων και συμβατικών της δικαιωμάτων.
Την προάσπιση των εννόμων συμφερόντων της Εταιρείας που συνέχονται ενδεικτικά με: α) τη διεκδίκηση των νομίμων αξιώσεών της ενώπιον των αρμοδίων δικαστικών αρχών ή άλλων φορέων εξωδικαστικής / εναλλακτικής επίλυσης διαφορών, β) τη φυσική ασφάλεια και προστασία προσώπων και περιουσίας γ) τη συμμόρφωση της εταιρίας με τις φορολογικές και νομικές της υποχρεώσεις (π.χ. έκδοση τιμολογίων και αποδείξεων).
Αναφορικά με τους εργαζόμενους και μελλοντικούς εργαζόμενους:
Την εκπλήρωση από πλευράς της εταιρίας των συμβατικών υποχρεώσεων της σύμβασης εργασίας απέναντι σας και απέναντι σε Δημόσιου Φορείς (π.χ. καταβολή εισφορών).
Την αξιολόγηση και επιλογή του κατάλληλου εκπαιδευτικού προσωπικού.
7. Αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ
Η Εταιρεία προβαίνει σε λήψη αποφάσεων που βασίζονται αποκλειστικά σε αυτοματοποιημένες διαδικασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αποκλειστικά και μόνο για την προσφορά των κατάλληλων κουπονιών ανάλογα με το προφίλ του χρήστη της εφαρμογής/ιστοσελίδας.
8. Χρόνος τήρησης δεδομένων
Η Εταιρεία διατηρεί τα δεδομένα σας προσωπικού χαρακτήρα για όσο χρονικό διάστημα προβλέπεται ανά περίπτωση, από το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο. Σε περίπτωση που οποιοδήποτε αίτημα εργασίας σας με την Εταιρεία δεν γίνει αποδεκτό και δεν ολοκληρωθεί η κατάρτιση σύμβασης τα δεδομένα θα τηρούνται για χρονικό διάστημα ενός (1) έτους. Σε περίπτωση δικαστικής αντιδικίας τα προσωπικά δεδομένα που σας αφορούν θα τηρούνται σε κάθε περίπτωση μέχρι τη λήξη της εκκρεμοδικίας.
9. Ποιοι είναι οι αποδέκτες των δεδομένων προσωπικού χαρακτήρα
Πρόσβαση στα προσωπικά σας δεδομένα έχουν οι υπάλληλοι της Εταιρείας, εντός του πεδίου των αρμοδιοτήτων τους. Η Εταιρεία δεν διαβιβάζει ή γνωστοποιεί προσωπικά σας δεδομένα σε τρίτους, εκτός εάν πρόκειται για:
Επιχειρήσεις (εσωτερικού και εξωτερικού) προς τις οποίες έχει αναθέσει, μερικά ή ολικά την για λογαριασμό της εκτέλεση της επεξεργασίας των δεδομένων σας προσωπικού χαρακτήρα και οι οποίες έχουν αναλάβει έναντι της Εταιρείας δέσμευση τήρησης εμπιστευτικότητας ήτοι διαβίβαση που επιβάλλεται για την έναρξη μίας συναλλακτικής σχέσης ή την εκτέλεση σύμβασης (π.χ. διαβίβαση σε συνεργαζόμενο δικηγόρο, στον συνεργαζόμενο λογιστή της Εταιρείας, και σε περίπτωση αντιδικίας σε δικαστικούς επιμελητές).
Η Εταιρεία έχει νομίμως διασφαλίσει ότι οι εκτελούντες για λογαριασμό της την επεξεργασία πληρούν τις προϋποθέσεις και παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων, ώστε η επεξεργασία των προσωπικών σας δεδομένων να διασφαλίζει την προστασία των δικαιωμάτων τους.
10. Δικαιώματα υποκειμένου
- Η Εταιρεία μεριμνά και λαμβάνει τα κατάλληλα μέτρα ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκήσουν τα δικαιώματα που τους αναγνωρίζει η εθνική και ενωσιακή νομοθεσία αναφορικά με τη συλλογή και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν. Τα δικαιώματα αυτά είναι τα ακόλουθα:
- Το Δικαίωμα πρόσβασης στα δεδομένα.
- Το Δικαίωμα διόρθωσης των δεδομένων.
- Το Δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη»).
- Το Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων
- Το Δικαίωμα στη φορητότητα των δεδομένων
- Το Δικαίωμα αντίρρησης στην επεξεργασία των δεδομένων
- Στο πλαίσιο αυτό, η Εταιρεία οφείλει να ενημερώνει τα υποκείμενα των δεδομένων για τα ανωτέρω δικαιώματά τους και να διευκολύνει την άσκησή τους. Συγκεκριμένα, οφείλει να τα ενημερώνει για τη διαδικασία που μπορούν να ακολουθήσουν, προκειμένου να ασκήσουν αυτά, ήτοι να προσδιορίσουν τα στοιχεία που οφείλουν να αναφέρουν στην αίτησή τους, το πρόσωπο στο οποίο θα την απευθύνουν, την προθεσμία εντός της οποίας θα ενημερωθούν για την έκβαση του αιτήματός τους, καθώς και τη δυνατότητα να προσφύγουν στην εποπτική αρχή (ΑΠΔΠΧ).
- Η Εταιρεία μπορεί να αρνηθεί να ικανοποιήσει εν όλω η εν μέρει σχετικό αίτημα που λαμβάνει από το υποκείμενο δεδομένων, μόνο όταν αυτή η δυνατότητα προβλέπεται από τον Κανονισμό ή την εθνική νομοθεσία. Η Εταιρεία παρέχει στο υποκείμενο των δεδομένων πληροφορίες για τις πράξεις επεξεργασίας κατόπιν του σχετικού αιτήματος που του υποβλήθηκε εντός ενός (1) μηνός από την παραλαβή του αιτήματος και την ταυτοποίηση του υποκειμένου. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, αν το αίτημα είναι πολύπλοκο ή υπάρχει μεγάλος αριθμός αιτημάτων. Σε αυτή την περίπτωση, η Εταιρεία υποχρεούται, εντός μηνός από την παραλαβή του αιτήματος, να ενημερώσει το υποκείμενο των δεδομένων για την καθυστέρηση, καθώς και για τους λόγους αυτής. Εντός του παραπάνω χρονικού διαστήματος ενημερώνει και το υποκείμενο των δεδομένων για τυχόν άρνηση του να ικανοποιήσει, εν όλω ή εν μέρει, το υποβληθέν αίτημα, καθώς και για τους λόγους της άρνησης.
- Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό.
11. Υπεύθυνος Προστασίας Δεδομένων (DPO) – Νομικός Σύμβουλος
Η εταιρία δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Οfficer, εφεξής DPO). Η επικοινωνία για ζητήματα δεδομένων προσωπικού χαρακτήρα θα γίνεται απευθείας σε επικοινωνία με την εταιρία – υπεύθυνο επεξεργασίας, στα στοιχεία επικοινωνίας, που αναγράφονται στην αρχή της παρούσας.
Η εταιρία έχει αναθέσει σε εξωτερικό συνεργάτη, νομικό σύμβουλο, το έργο της συμμόρφωσης και παροχής οδηγιών σχετικά με την εφαρμογή του Κανονισμού δυνάμει σχετικής σύμβασης παροχής υπηρεσιών. Η εταιρία έχει εξασφαλίσει, ότι έχει αποδεδειγμένη εμπειρία και γνώσεις σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, ιδίως αναφορικά με το εφαρμοστέο δίκαιο, τα οργανωτικά-τεχνικά ζητήματα και τις ορθές πρακτικές που συνάδουν με την προστασία των εν λόγω δεδομένων.
Σε κάθε περίπτωση, ο νομικός σύμβουλος αποτελεί ανεξάρτητο συμβουλευτικό όργανο, που μπορεί παράλληλα να ασκεί και άλλα καθήκοντα, αλλά αυτά δεν μπορούν να δημιουργούν σύγκρουση συμφερόντων ή αρμοδιοτήτων. Τέτοια σύγκρουση δημιουργείται, ιδίως όταν τα υπόλοιπα καθήκοντα τον υποχρεώνουν ή του επιτρέπουν να ορίσει ο ίδιος τα μέσα και τους σκοπούς μίας η περισσοτέρων επεξεργασιών δεδομένων προσωπικού χαρακτήρα.
Ο νομικός σύμβουλος αναλαμβάνει κατ’ ελάχιστον τα ακόλουθα καθήκοντα και αρμοδιότητες, τα οποία μπορούν να εξειδικευθούν περαιτέρω μετά από συμφωνία με τη Διοίκηση της εταιρίας:
(α) Ενημερώνει και συμβουλεύει τη διοίκηση της εταιρίας αλλά και τους υπαλλήλους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τις υποχρεώσεις τους που απορρέουν από τη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα.
(β) Παρακολουθεί τη συμμόρφωση της εταιρίας με τη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα και με κάθε πολιτική της εταιρίας, που αφορά άμεσα ή έμμεσα στην προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων. Προς τούτο προβαίνει κατ’ ελάχιστον στις παρακάτω ενέργειες:
1) Έχει παραδώσει αρχείο μορφών επεξεργασίας (Αρχείο Δραστηριοτήτων) που περιέχει όλες τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα, στις οποίες προβαίνει ή εμπλέκεται καθ’ οιονδήποτε τρόπο η εταιρία.
2) Προβαίνει σε περιοδικό έλεγχο των δραστηριοτήτων της εταιρίας, προκειμένου να διαπιστώσει αν και σε ποιο βαθμό τηρούνται η ως άνω νομοθεσία και πολίτικες, μετά από αίτημα της Διοίκησης της εταιρίας, ιδίως δε σε περιπτώσεις τροποποίησης των ανωτέρω αρχείων.
3) Προτείνει λύσεις, διαδικασίες και καλές πρακτικές που συμβάλουν στην διατήρηση υψηλού επιπέδου συμμόρφωσης της εταιρίας, με την ως άνω νομοθεσία και τις πολιτικές.
4) Παρέχει συμβουλές αναφορικά με την ανάγκη διενέργειας εκτίμησης αντικτύπου (DPIA), για την προετοιμασία της και διεξάγει την υλοποίησή της.
5) Διατηρεί επικοινωνία με τους προϊσταμένους των τμημάτων της εταιρίας για κάθε ζήτημα που άπτεται της προστασίας δεδομένων προσωπικού χαρακτήρα.
6) Επικουρεί την εταιρία σε ζητήματα ενημέρωσης και εκπαίδευσης των υπαλλήλων, αλλά και των συνεργατών της, αναφορικά με ζητήματα δεδομένων προσωπικού χαρακτήρα, την υφιστάμενη νομοθεσία, τις απαιτήσεις συμμόρφωσης, τις καλές πρακτικές κ.ο.κ.
Κατά την άσκηση των καθηκόντων του, ο νομικός σύμβουλος υποχρεούται να ενεργεί με ευσυνειδησία και επαγγελματισμό, να τηρεί τη νομοθεσία και τους κανονισμούς και τις πολιτικές της εταιρίας και ιδίως την υποχρέωση εχεμύθειας προς την εταιρία.
12. Τρόπος άσκησης των δικαιωμάτων σας και υποβολή καταγγελίας
Κάθε αίτημά σας αναφορικά με τα προσωπικά σας δεδομένα και την άσκηση των δικαιωμάτων σας πρέπει να απευθύνεται εγγράφως στο email της εταιρείας support@edrink.gr
Άρνηση της Εταιρείας ή αναιτιολόγητη καθυστέρηση ως προς την ικανοποίηση των αιτημάτων σας κατά την άσκηση των δικαιωμάτων σας, σας παρέχει το δικαίωμα να προσφύγετε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ως καθ’ ύλην αρμόδια εποπτική αρχή για την εφαρμογή ΓΚΠΔ. Σε κάθε περίπτωση διατηρείτε το δικαίωμα να υποβάλλετε καταγγελία στην αρμόδια εποπτική αρχή εφόσον θεωρείτε ότι η επεξεργασία των δεδομένων σας προσωπικού χαρακτήρα γίνεται κατά παράβαση της εκάστοτε ισχύουσας νομοθεσίας. Για περισσότερες πληροφορίες μπορείτε να επισκεφθείτε την ιστοσελίδα www.dpa.gr.
13. Δικαίωμα Προσφυγής στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Τα υποκείμενα των δεδομένων έχουν δικαίωμα να προσφύγουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») για ζητήματα που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, αναλυτικές πληροφορίες παρέχονται στην ιστοσελίδα της ΑΠΔΠΧ (http://www.dpa.gr 🡪 Τα δικαιώματα μου 🡪 Υποβολή καταγγελίας).
14. Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)
- Όταν ένα είδος επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η εταιρία διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα («εκτίμηση αντικτύπου»). Η εκτίμηση αντικτύπου είναι μια διαδικασία σχεδιασμένη να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση κινδύνων, με την αξιολόγηση και τον καθορισμό μέτρων για την αντιμετώπισή τους. Δεν απαιτείται για κάθε μορφή επεξεργασίας, αλλά μόνον στις περιπτώσεις κατά τις οποίες μια μορφή επεξεργασίας θεωρείται υψηλού κινδύνου (high risk). Στο πλαίσιο της εκτίμησης αντικτύπου συνεκτιμώνται η φύση, η έκταση, το γενικότερο πλαίσιο και οι σκοποί της επεξεργασίας προκειμένου να αξιολογηθεί κατά πόσο είναι πιθανό να επέλθει ένας κίνδυνος, καθώς και η σοβαρότητα αυτού για τα δικαιώματα και τις ελευθερίες των υποκειμένων. Το μοντέλο διεξαγωγής της έκθεσης εκτίμησης αντικτύπου είναι το προτεινόμενο από τη γαλλική εποπτική αρχή (CNIL), το οποίο είναι παγκοσμίως αποδεκτό.
- Η εταιρία μπορεί να αποφασίσει τη διενέργεια εκτίμησης αντικτύπου για επεξεργασία, ακόμα και αν αυτή δε θεωρείται υποχρεωτική από την υφιστάμενη νομοθεσία. Επιπλέον, δεν είναι υποχρεωμένη να συντάσσει ξεχωριστή εκτίμηση αντικτύπου για κάθε μορφή επεξεργασίας, αλλά μπορεί να συμπεριλάβει σε μία εκτίμηση αντικτύπου ένα σύνολο παρόμοιων πράξεων επεξεργασίας, οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
- Ο Κανονισμός καθορίζει το πλαίσιο εντός του οποίου απαιτείται η διενέργεια εκτίμησης αντικτύπου. Ειδικότερα, η διενέργειά της επιβάλλεται σε όλες τις περιπτώσεις κατά τις οποίες η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Ως τέτοιες δε ενδεικτικά νοούνται:
- Περιπτώσεις συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία (συμπεριλαμβανομένης της κατάρτισης προφίλ) και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα τα οποία επηρεάζουν το φυσικό πρόσωπο – υποκείμενο των δεδομένων.
- Περιπτώσεις μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων (ευαίσθητα δεδομένα π.χ. ιατρικά δεδομένα) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
- Περιπτώσεις συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα (λ.χ. χρήση καμερών, δεδομένα GPRS κλπ).
- Η σχετική ευθύνη και αποφασιστική αρμοδιότητα για τη διενέργεια ή μη εκτίμησης αντικτύπου ανήκει στην εταιρία, εντούτοις, ο σύμβουλος παρέχει συμβουλές και καθοδήγηση αναφορικά με τα παρακάτω ζητήματα:
- Την ανάγκη ή τη σκοπιμότητα διενέργειας της εν λόγω εκτίμησης.
- Την βέλτιστη μεθοδολογία διενέργειας της εν λόγω εκτίμησης.
- Τα τεχνικά και οργανωτικά μέτρα, καθώς και κάθε άλλη εγγύηση, τα οποία πρέπει να προβλέψει η εταιρία προκειμένου να ελαχιστοποιηθούν οι κίνδυνοι για τα δικαιώματα και τα συμφέροντα των υποκειμένων δεδομένων.
- Αξιολόγηση ήδη διενεργηθείσας εκτίμησης σχετικά με την προστασία δεδομένων και των συμπερασμάτων αυτής, ιδίως αναφορικά με τη συμμόρφωση της εταιρίας με τις απαιτήσεις της υφιστάμενης νομοθεσίας.
- Η εταιρία κατά τη διενέργεια της εκτίμησης αντικτύπου, οφείλει να καθορίζει τις κατάλληλες διαδικασίες και μεθοδολογίες που ανταποκρίνονται καλύτερα στις απαιτήσεις του. Η εκτίμηση αντικτύπου πρέπει να περιέχει κατ’ ελάχιστον, τα ακόλουθα στοιχεία:
- Συστηματική περιγραφή των πράξεων επεξεργασίας.
- Εκτίμηση της αναγκαιότητας και της αναλογικότητας.
- Συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών επεξεργασίας.
- Εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
- Αναφορά των προβλεπόμενων μέτρων αντιμετώπισης των ως άνω κινδύνων.
- Κατά την εκτίμηση του αντικτύπου μιας πράξης επεξεργασίας θα πρέπει να λαμβάνεται υπόψη η συμμόρφωση με υφιστάμενο κώδικα δεοντολογίας, οι τυχόν πιστοποιήσεις, καθώς και οι δεσμευτικοί εταιρικοί κανόνες, καθώς μπορεί να αποτελέσουν απόδειξη ότι η εταιρία έχει επιλέξει και λάβει τα κατάλληλα μέτρα συμμόρφωσης.
- Η μέθοδος εκτίμησης αντικτύπου πραγματοποιείται από την εταιρία, με τη συμμετοχή πολλών ενδιαφερόμενων μερών του οργανισμού και περιστρέφεται γύρω από τέσσερις άξονες:
- Καθορισμός του πλαισίου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
- Προσδιορισμός των υφιστάμενων και σχεδιαζόμενων ελέγχων.
- Αξιολόγηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων.
- Λήψη απόφασης για τη συμμόρφωση ή μη με τις αρχές προστασίας και επανεξέταση.
- Όταν, μετά τη διενέργεια της εκτίμησης αντικτύπου, η εταιρία διαπιστώνει ότι τα μέτρα μετριασμού/αποφυγής/μεταφοράς του κινδύνου δεν είναι επαρκή για τη μείωση των κινδύνων σε αποδεκτό επίπεδο, θα πρέπει να απευθύνεται στην ΑΠΔΠΧ για διαβούλευση.
- Πιο αναλυτικά, σε κάθε περίπτωση σχεδιασμού μορφής επεξεργασίας που ενέχει υψηλό κίνδυνο, η εταιρία ακολουθεί τα κάτωθι βήματα:
(α) Επιλέγει μια μεθοδολογία εκτίμησης αντικτύπου που πληροί τις προϋποθέσεις του νόμου. Συγκεκριμένα η μεθοδολογία είναι η προτεινόμενη από τη Γαλλική Αρχή Προστασίας Δεδομένων CNIL
(β) Υποβάλει την έκθεση της εκτίμησης αντικτύπου στην αρμόδια εποπτική Αρχή (εάν χρειάζεται- εάν απαιτείται από την εθνική νομοθεσία. Στο παρόν χρονικό σημείο αυτό δεν απαιτείται).
(γ) Ζητά τη γνώμη της εποπτικής αρχής στην περίπτωση που δεν υπάρχουν ή δεν μπορούν να εφαρμοστούν επαρκή μέτρα για τον μετριασμό του υψηλού ρίσκου (όταν το εναπομείναν ρίσκο – residual risk- είναι πολύ υψηλό).
(δ) Επανεξετάζει σε τακτά χρονικά διαστήματα την εκτίμηση αντικτύπου και την επεξεργασία που αυτή αφορά, τουλάχιστον όταν μεταβάλλεται ο κίνδυνος της πράξης επεξεργασίας. Επανεξετάζει επίσης την εκτίμηση αντικτύπου εάν μεταβληθεί ο τρόπος και η διαδικασία επεξεργασίας.
(ε) Είναι σε θέση να τεκμηριώνει τις ληφθείσες αποφάσεις.
15. Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα
Ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» ορίζεται εκ του Κανονισμού η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινοποίηση, γνωστοποίηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν με οποιοδήποτε τρόπο σε επεξεργασία από την εταιρία
Η εταιρία εφαρμόζει συγκεκριμένη διαδικασία χειρισμού περιστατικών παραβίασης της ασφαλείας των προσωπικών δεδομένων.
Μια παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί να συμβεί σε πολλές περιστάσεις, κάποιες εκ των οποίων ενδεικτικά είναι:
- Απώλεια, καταστροφή ή κλοπή δεδομένων ή έγγραφων ή εξοπλισμού στα οποία περιέχονται ή είναι αποθηκευμένα.
- Απόκτηση δικαιώματος πρόσβασης με οποιονδήποτε τρόπο σε δεδομένα προσωπικού χαρακτήρα από πρόσωπα που δεν έχουν εξουδιοτηθεί/ αδειοδοτηθεί αρμοδίως εντός της εταιρίας.
- Αποκάλυψη πληροφοριών σε τρίτους (εκτός της εταιρίας) που δεν έχουν εξουσιοδοτηθεί/ αδειοδοτηθεί αρμοδίως.
- Κυβερνοεπίθεση.
- Αποστολή αλληλογραφίας ή e-mail σε λανθασμένους παραλήπτες.
- Για το χαρακτηρισμό ενός περιστατικού ως παραβίαση δεδομένων προσωπικού χαρακτήρα δεν έχει σημασία εάν αυτό έλαβε χώρα συνέπεια δόλου, αμέλειας, πράξης, παραλείψεως, τυχαίου ή απρόβλεπτου γεγονότος.
- Στην περίπτωση κατά την οποία η εταιρία ή οποιοσδήποτε εργαζόμενος ή συνεργάτης της αντιληφθεί ή υποψιασθεί πως μπορεί να έχει λάβει χώρα κάποια παραβίαση δεδομένων προσωπικού χαρακτήρα ενημερώνει χωρίς καθυστέρηση τον προϊστάμενο του τμήματος στο οποίο έγινε η παραβίαση και εκείνος με τη σειρά του έρχεται σε επαφή με τον σύμβουλο.
- Η εταιρία, ακολούθως, εκτιμά την αναγγελία, διεξάγοντας περαιτέρω έρευνα, ιδίως ως προς την ανάγκη υποχρεωτικής γνωστοποίησης του συμβάντος στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα (ΑΠΔΠΧ) ή/και τα υποκείμενα των δεδομένων και υποβάλει προτάσεις για τις ακολουθητέες ενέργειες.
- Η γνωστοποίηση προς την εποπτική αρχή (ΑΠΔΠΧ) περιλαμβάνει τα ακόλουθα στοιχεία:
- Περιγραφή της φύσης της παραβίασης, των κατηγοριών των δεδομένων και των υποκειμένων. (Τα στοιχεία αντλούνται από το Αρχείο Δραστηριοτήτων της εταιρίας)
- Ανακοίνωση του ονόματος και στοιχείων επικοινωνίας του υπεύθυνου επεξεργασίας (Δ ΤΡΙΑΝΤΑΦΥΛΛΟΥ ΜΕΠΕ)
- Περιγραφή των στοιχείων επικοινωνίας του υπεύθυνου προστασίας δεδομένων (DPO).
- Περιγραφή των συνεπειών παραβίασης κατόπιν εκτιμήσεως της εταιρίας.
- Περιγραφή των ληφθέντων/προτεινόμενων μέτρων για την αντιμετώπιση της παραβίασης. (Πρωτόκολλο Παραβίασης)
- Σε κάθε περίπτωση και εφόσον η γνωστοποίηση στην αρμόδια αρχή (ΑΠΔΠΧ) προστασίας δεδομένων είναι υποχρεωτική, η εταιρία την πραγματοποιεί εντός 72 ωρών από τότε που πρώτα έγινε αντιληπτή από αυτή η παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως προκύπτει άλλωστε εκ του νόμου και του Κανονισμού. Σε περίπτωση που η γνωστοποίηση πραγματοποιείται αφού περάσουν οι 72 ώρες, συνοδεύεται από αιτιολόγηση της καθυστέρησης.
- Εάν η παραβίαση προσωπικών δεδομένων ενδέχεται να θέσει σε υψηλό κίνδυνο (ενδεικτικά εάν πρόκειται για ευαίσθητα δεδομένα ή απλά δεδομένα που η διαρροή μπορεί να προκαλέσει μεγάλη ζημία π.χ. διαρροή ΑΦΜ, διαρροή οικονομικών στοιχείων του υποκειμένου) τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η εταιρία οφείλει να ανακοινώσει αμελλητί την εν λόγω παραβίαση, όχι μόνο στην εποπτική αρχή (ΑΠΔΠΧ), αλλά και στο υποκείμενο των δεδομένων.
- Σε περίπτωση που η εταιρία επεξεργάζεται δεδομένα ως εκτελών την επεξεργασία, ειδοποιεί χωρίς καθυστέρηση τον υπεύθυνο επεξεργασίας και δε προβαίνει σε γνωστοποιήσεις.
- Η εταιρία λαμβάνει κάθε δυνατό μέτρο, ώστε να πληροφορείται εγκαίρως τυχόν παραβιάσεις αρχείου, στο οποίο η ίδια είναι υπεύθυνος επεξεργασίας, αλλά η επεξεργασίας γίνεται από τρίτο, εκτελούντα την επεξεργασία (π.χ. εταιρία Security)
16. Εκπαίδευση Προσωπικού
Η εταιρία μεριμνά ώστε το προσωπικό που εμπλέκεται στη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα να είναι επαρκώς ενημερωμένο και εκπαιδευμένο, λαμβάνοντας υπόψη τις συμβουλές και τις προτάσεις του DPO αλλά και εν γένει τις διαθέσιμους μεθόδους εκπαίδευσης και ενημέρωσης, προκειμένου να επιλεγούν οι πιο κατάλληλες ανά περίσταση, ήτοι:
- Να καθορίσει τους σκοπούς της εκπαίδευσης και ευαισθητοποίησης του προσωπικού της.
- Να εντοπίσει το κατάλληλο εκπαιδευτικό κοινό μεταξύ των εργαζόμενων της.
- Να ολοκληρώσει ενημερωτικές εισηγήσεις εκπαίδευσης στο δίκαιο των προσωπικών δεδομένων, τόσο σε επίπεδο προϊσταμένων τμημάτων, όσο και σε επίπεδο εργαζόμενων. Επισημαίνεται σε έκαστη ομάδα εργασίας, το ανάλογο με τα καθήκοντα της πλάνο δράσης, ώστε το προσωπικό να παραμένει ενημερωμένο και ευαισθητοποιημένο.
- Να φροντίσει να χορηγήσει έντυπα με τεχνικές οδηγίες στους υπαλλήλους της. Τα έντυπα συντάσσονται με μέριμνα των προϊσταμένων τμημάτων και συμπληρώνονται από τον DPO.
- Να μεριμνά για την τακτική αξιολόγηση και επικαιροποίηση της εκπαιδευτικής καμπάνιας, υπό τις οδηγίες του DPO.
Η EDRINK ΙΚΕ με βάση την εκάστοτε ισχύουσα πολιτική της για την προστασία δεδομένων και στο πλαίσιο του εκάστοτε ισχύοντος νομοθετικού και κανονιστικού πλαισίου ενδέχεται να αναθεωρεί ή τροποποιεί την παρούσα ενημέρωση, η οποία επικαιροποιημένη θα βρίσκεται πάντοτε διαθέσιμη στην ιστοσελίδα της Εταιρείας (www.edrink.gr).