1. Purpose and scope
Athens Home Services – Housekeeping Jobs is committed to protecting personal data and to avoiding improper use of personal data.
This policy applies to all employees, agents and contractors, including external parties and creates a minimum standard for processing personal data and defines responsibilities therefore.
2. Content
2.1. Legal Basis
This policy is in accordance with the EU General Data Protection Regulation (GDPR) and Greek law 2472/1997 (Government Gazette Bulletin 50/A’/10.4.1997) and Greek law 4624/2019 (Government Gazette Bulletin 137/A’/29.8.2019) on protection of individual from processing of personal data, as amended and in force, as well as any secondary legislation/Opinions/Decisions issued by the Greek Data Protection Authority and any sectoral related legislation ;
2.2. Definitions
Personal data is information that can be related to an individual. Data is considered personal, if the person it concerns can be identified.
Special categories of data (also known as sensitive personal data) is data on:
a) religious, philosophical, political or trade union-related views or activities,
b) health, genetic or biometric information, the intimate sphere or the racial and ethnic origin, data concerning a natural person’s sex life or sexual orientation
c) criminal proceedings and sanctions,
Personality profile is a collection of data that permits an assessment of a person’s characteristics and thus of important aspects of his/her personality.
Example: A personality profile might be a collection of data where various information such as a data subject’s social contacts, political and personal views, financial status, health situation, and other information is combined in order to provide a broad view on the data subject.
Data subject is a natural person to which personal data relates.
Data processing is any activity involving personal data, irrespective of the means applied and the procedure, e.g. the collection, storage, use, revision, disclosure, archiving, viewing and destruction of personal data.
Data file means any stock of personal data that is structured in such a way as to make it possible to deduce the person in question from the data. E.g. any IT tool containing personal data.
Disclosure means making personal data accessible, for example by permitting access, transmission, or publication.
Privacy impact assessment is a systematic process for identifying, evaluating and documenting the risks and impact of personal data processing activities.
Data controller is the legal person who decides on the purpose, content and procedure of processing personal data.
Data processor is a natural or legal person that processes personal data as instructed by the data controller.
2.3. General obligations when processing personal data
2.3.1. Data processing principles
Every person processing personal data shall comply with the following principles.
2.3.1.1. Lawful processing
Personal data may only be processed lawfully. Every data processor shall ensure compliance with this policy and the relevant laws and regulations.
2.3.1.2. Consent
Before personal data may be processed, the data subject must be duly informed, and voluntarily and actively give its consent. Consent can be given explicitly or implicitly, e.g. by providing personal data to the data controller. Consent does not necessarily need to be in writing, however, in order to evidence consent (e.g. towards courts and authorities), written consent or permissible audio recordings are advisable. The data subject may withdraw its consent at any time.
No consent is required in the following cases:
a) if the data subject has made its personal data generally accessible, e.g. information provided in a newspaper or public white or yellow pages, and has not prohibited its processing,
b) for the performance of a contract to which the data subject is party,
c) in order to take steps at the data subject’s request prior to entering into a contract,
d) for compliance with legal obligations of the data controller,
e) in order to protect the vital interests of the data subject or another natural person,
f) for the performance of a task carried out in the public interest or in the exercise of official authority vested in XXX,
g) if the legitimate interests pursued by XXX or a third party prevail over those of the data subject, except where such prevailing interests are overridden by fundamental rights and freedoms of the data subject; In case of doubt, contact XXX’s DPO.
2.3.1.3. Information duty
The data subject requires adequate knowledge of the personal data being collected and its purpose of processing, before giving its consent.
As a minimum, the data subject must be informed about:
a) identity of the data controller, i.e. XXX (in most cases),
b) contact details of the DPO,
c) type of personal data being processed,
d) purpose of the processing,
e) XXX’s legitimate interest in processing the personal data, if applicable,
f) categories of the data recipient if a disclosure is planned,
g) details of a planned cross-border transfer,
h) retention period for the data or the criteria used to set it,
i) whether automated decision taking is applied and its significance of the processing for the data subject,
j) instructions on the data subject’s rights.
2.3.1.4. Purpose of processing
Personal data may only be processed for the purpose indicated at the time of collection, or for the purpose, or provided for by law. See also section 2.3.1.2 regarding consent.
Personal data processing must be carried out in good faith and the data collected, or stored must be necessary to fulfil the purpose of the processing.
Any person processing data is responsible to ensure the processing is lawful and consistent with the purpose for which the data has been collected.
2.3.1.5. Personnel files
The personnel file and personal data regarding XXX’s employees are classified as “confidential” information.
XXX employees can inspect their personnel file and request information about other personal data pertaining to them. A request for information or inspection can be submitted verbally or in writing.
2.3.1.6. Data quality
Any person processing personal data shall ensure that the data is correct and complete.
XXX shall take all reasonable technical and organizational measures to ensure that personal data that is incorrect or incomplete is either corrected or destroyed.
2.3.1.7. Privacy impact assessment
Any person processing personal data shall conduct a privacy impact assessment, whenever the planned processing activity may pose a high risk to the data subject’s rights and freedoms.
The purpose of the impact assessment is to evaluate and mitigate the risks to data privacy. The assessment must be carried out before any high risk processing activities are commenced.
High risk processing activities include:
a) systematic and extensive evaluation of a data subject’s personal aspects. In particular, if the personal data is processed automatically, if the processing includes personality profiling, and if decisions which affect the data subject’s rights and duties are based on this evaluation,
b) processing of sensitive personal data on a large scale,
c) systematic and large scale monitoring of a publicly accessible area, e.g. video monitoring of a public area.
The privacy impact assessment shall be properly documented and carried out with the assistance of the data protection officer. Where the privacy impact assessment results in the conclusion that there is a high risk for data subjects, the supervisory authority must be notified and its view on adequate measures to reduce the risks must be obtained.
2.3.1.8. Disclosure to third parties
Personal data shall only be disclosed to third parties if necessary. Personal data shall be anonymized, if appropriate.
A third party data processor on behalf of XXX e.g. a contractor or service provider, shall contractually agree to process personal data in accordance with this policy. The terms of this policy shall be included by reference in the relevant contracts.
2.3.1.9 Cross-border disclosure of personal data
Personal data may only be disclosed abroad if the foreign law provides for an adequate level of data protection. In case the foreign law does not provide an adequate level of data protection, personal data may only be transferred to such country if either the data subject has explicitly consented to the transfer, or if data protection is provided for by an adequate data transfer agreement.
XXX shall take appropriate personnel, technical and organizational measures to minimize the risk of accidental or intentional breach, destruction, or loss of personal data.
Particularly, XXX shall take safeguards to protect personal data from unauthorized access and processing. Thereby, technological innovations shall be taken into consideration, and security procedures appropriate to the specific features of processing shall be established.
2.3.1.10 Αποθήκευση και διατήρηση δεδομένων
Personal data shall only be stored for as long as it is required to fulfil the purpose for which the data was collected. The particulars of data storage and retention periods are set out in XXX’s Data Retention Policy.
2.3.2 Data subject’s rights
Every data subject has the following rights pursuant to GDPR:
a) The right to be informed,
b) The right of access,
c) The right to rectification,
d) The right to erasure,
e) The right to restrict processing,
f) The right to data portability,
g) The right to object,
h) Rights in relation to automated decision making and profiling.
XXX’s employees shall honour any data subject’s access request and, if required, seek advice from the DPO. For more information on the content of each right please see XXX’s Handling of Data Subjects’ Requests Policy.
2.3.3 Data breach recording
Any infringement of this policy, the relevant data protection laws and regulations constitutes a personal data breach. Exemplary incidents are unlawful destruction, loss, alteration, unauthorized disclosure as well as processing data without consent, or for other purposes than indicated at the moment of collection.
The person who discovers a personal data breach shall take appropriate measures in order to protect the personal data from further impact and report the breach to the DPO without delay.
The DPO systematically documents disclosed breaches and evaluates the reasons for the breaches. Furthermore, the DPO initiates further required measures to remedy the situation and to prevent breaches from recurring. For more information please see XXX Data Breach Management Policy.
2.3.4 Data breach notification
XXX must notify a data breach to the appropriate supervisory authority within 72 hours after becoming aware of it.
Furthermore, if the personal data breach is likely to result in a high risk to the data subject’s rights and freedoms the data subject must be informed without delay. For more information please see XXX Data Breach Management Policy.
2.3.5 Documentation of data files
XXX shall keep a list of all databases and files containing personal data. The list shall include the following minimum information:
a) name and contact details of the data controller and any joint data controller,
b) name and contact details of the DPO,
c) description of database or file,
d) purpose of database or file,
e) description of categories of personal data being processed, e.g. address, health information, etc.,
f) description of categories of data subjects,
g) description of categories of data recipients, to whom the personal data has been or will be disclosed, including recipients in third countries,
h) description of cross-border data transfer,
i) the envisaged time limits for erasure of the different categories of data, where possible,
j) a general description of the technical and organizational security measures, where possible,
k) the details of data transfers outside the EU.
The data files shall be classified according to their need for protection. Data files with a special need for protection, such as collections containing sensitive personal data or personality profiles, must be filed in separate folders, marked accordingly and are subject to a privacy impact assessment as set out in section 2.3.1.7.
2.3.6 Training and raising awareness
Every XXX employee shall be trained in data protection and data security matters. A first training session shall follow upon starting employment with XXX and subsequent trainings shall follow at regular intervals.
2.4 Obligations for developing systems and new business processes
Data protection is an integral part of the technological development and the organizational structure of XXX. Thus, the following principles must be taken into account when current business process or data processing systems are evaluated, or when new ones are introduced.
2.4.1 Privacy impact assessment for new processing activities
A privacy impact assessment must be conducted whenever new data processing technologies or activities are introduced that are likely to result in high risk personal data processing.
The details of the privacy impact assessment are set out in section 2.3.1.7 of this policy.
2.4.2 Privacy by design principles
When new data processing systems are introduced, the responsible person must ensure a high standard of data protection. Particularly, any new systems and processes must comply with the following principles:
a) Technical and organizational measures must be taken to ensure systematic and secure life cycle management of personal data from collection to processing to deletion.
b) Data processing systems must be aimed at collecting as few personal data as necessary to fulfil the purpose for which the data was collected.
c) Where anonymizing the data does not inhibit with the data processing purpose, personal data must be rendered anonymous in a way that the data subject is no longer identifiable.
d) Where personal data cannot be anonymized, security measures appropriate to the nature of the data must be taken, such as pseudonymization, encryption, or access restriction.
e) Access to personal data shall be granted according to the “need-to-know” principle, meaning that personal data shall only be made accessible to those persons who require it to perform their assigned roles and responsibilities.
f) Systematic quality checking of personal data must be part of data life cycle management to ensure high data quality. In particular, processes must be established to detect and correct false or incomplete personal data.
g) Data processing systems must be adequately protected from unauthorized access through technical and organizational measures.
h) Data subjects must be provided with transparent, user-friendly and effective means of control concerning their personal data.
2.4.3 2.4.3 Privacy by default principles
Data processing systems must be setup in a way that the strictest privacy settings apply automatically, i.e. by default.
More extensive processing of personal data is only permitted if the data subject choses or agrees to a lower level of protection, e.g. by manually changing privacy settings on a website, IT tool or similar to a less restrictive option and thus gives its explicit consent to extended processing (“opt-in”).
2.5 Responsibilities
2.5.1 Data controller
The data controller, which is expected to be in most cases XXX, is responsible for the correct processing of personal data and compliance with data protection and data security requirements as set out in this policy or pursuant to applicable law. In particular, for:
a) the observance of the “privacy by design” and “privacy by default” principles when developing new data processing activities,
b) the correct allocation of data subject’s rights,
c) the conducting of privacy impact assessments for personal data processing with assistance of the data protection officer,
d) appoint a data processor,
e) the notification of a personal data breach to the supervisory authority and the data subject (if applicable).
2.5.2 Data processor
The data processor is responsible for processing personal data according to the instructions received from the data controller. Furthermore, the data processor is responsible for notifying the data controller of a data protection breach without undue delay.
The data processor must contractually grant that any eventual sub-contractor instructed to perform the data processing, complies with the same instructions received from the data controller.
2.5.3 Data Protection Office
The Data Protection Office (DPO) is responsible for coordinating data protection. It shall be consisted of representatives from the IT department, the Legal department and the Business Units. The DPO shall:
a) monitor the company’s accordance with applicable data protection laws and regulations,
b) monitor and implement future explanatory materials from the European Union Commission with regard to the execution of the GDPR provisions,
c) support executive management in ensuring legal compliance within data protection,
d) monitor compliance with this policy on a regular basis,
e) maintain the list of databases and the list of breaches of data protection,
f) monitor and assist in privacy impact assessments,
g) be responsible for replying to data subject’s requests for information,
h) be responsible for creating a training concept to raise data protection awareness and advise personnel processing data, in particular XXX employees, of their data processing obligations,
i) act as contact point for supervisory authorities on issues related to the processing of personal data, as well as cooperate with authorities in any other matter.
2.5.4 Executive management
The executive management of XXX is responsible for implementing this policy and shall provide the necessary personnel and financial resources. XXX’s managers are required to enforce the policy in their area of responsibility and ensure that employees, individuals, and entities for which they are responsible, are aware of, understand, and adhere to the requirements of this policy, and are appropriately trained to fully discharge this responsibility.
2.6 Breach of data protection policy
The potential penalties and damages resulting from a data protection infringement are serious for both the person committing the violation and for XXX.
Any violation of this data protection policy may result in disciplinary action up to and including dismissal. Violations of legal or regulatory obligations may be reported to external authorities, and may result in criminal, civil or regulatory penalties.
Late version: 1 October 2019
1. Purpose and scope
Athens Home Services – Housekeeping Jobs is committed to protecting personal data and to avoiding improper use of personal data.
This policy applies to all employees, agents and contractors, including external parties and creates a minimum standard for processing personal data and defines responsibilities therefore.
2. Content 2.1. Legal Basis
2.1.
Νομική βάση
This policy is in accordance with the EU General Data Protection Regulation (GDPR) and Greek law 2472/1997 (Government Gazette Bulletin 50/A’/10.4.1997) and Greek law 4624/2019 (Government Gazette Bulletin 137/A’/29.8.2019) on protection of individual from processing of personal data, as amended and in force, as well as any secondary legislation/Opinions/Decisions issued by the Greek Data Protection Authority and any sectoral related legislation ;
2.2.
Ορισμοί
2.2. Definitions Personal data is information that can be related to an individual. Data is considered personal, if the person it concerns can be identified.
Special categories of data (also known as sensitive personal data) is data on:
a) religious, philosophical, political or trade union-related views or activities,
b) health, genetic or biometric information, the intimate sphere or the racial and ethnic origin, data concerning a natural person’s sex life or sexual orientation
c) criminal proceedings and sanctions,
Personality profile is a collection of data that permits an assessment of a person’s characteristics and thus of important aspects of his/her personality.
Example: A personality profile might be a collection of data where various information such as a data subject’s social contacts, political and personal views, financial status, health situation, and other information is combined in order to provide a broad view on the data subject.
Data subject is a natural person to which personal data relates.
Data processing is any activity involving personal data, irrespective of the means applied and the procedure, e.g. the collection, storage, use, revision, disclosure, archiving, viewing and destruction of personal data.
Data file means any stock of personal data that is structured in such a way as to make it possible to deduce the person in question from the data. E.g. any IT tool containing personal data.
Disclosure means making personal data accessible, for example by permitting access, transmission, or publication.
Privacy impact assessment is a systematic process for identifying, evaluating and documenting the risks and impact of personal data processing activities.
Data controller is the legal person who decides on the purpose, content and procedure of processing personal data.
Data processor is a natural or legal person that processes personal data as instructed by the data controller.
2.3.
Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων
2.3.1. 2.3. General obligations when processing personal data 2.3.1. Data processing principles
Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πρέπει να συμμορφώνεται με τις ακόλουθες αρχές.
2.3.1.1. Νόμιμη επεξεργασία
Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Ο εκτελών την επεξεργασία πρέπει να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς.
2.3.1.2. Συναίνεση – Συγκατάθεση
Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται και να δίνει τη συγκατάθεσή του οικειοθελώς. Η συγκατάθεση μπορεί να δίδεται ρητά ή σιωπηρά, π.χ. με την παροχή προσωπικών δεδομένων στον υπεύθυνο επεξεργασίας δεδομένων. Η συγκατάθεση δεν χρειάζεται απαραίτητα να είναι γραπτή, ωστόσο, προκειμένου να αποδεικνύεται η συναίνεση (π.χ. προς δικαστήρια και αρχές), συνιστάται γραπτή συγκατάθεση ή επιτρεπόμενη καταγραφή κλήσεων. Το υποκείμενο των δεδομένων μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.
Δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:
α) εάν το υποκείμενο των δεδομένων έχει γενικά καταστήσει τα προσωπικά του δεδομένα δημόσια προσβάσιμα, π.χ. πληροφορίες που δίδονται σε εφημερίδα ή τηλεφωνικούς καταλόγους, και δεν έχει απαγορεύσει την επεξεργασία τους,
β) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος,
γ) προκειμένου να ληφθούν μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης,
δ) για τη συμμόρφωση με τις νομικές υποχρεώσεις του υπεύθυνου επεξεργασίας δεδομένων,
ε) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
στ) εάν τα νόμιμα συμφέροντα που επιδιώκει Εταιρεία ή τρίτος υπερισχύουν των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν τα εν λόγω συμφέροντα υπερισχύουν των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων. Σε περίπτωση αμφιβολίας, επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων της Εταιρείας.
2.3.1.3. Υποχρέωση πληροφόρησης
Το υποκείμενο δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και του σκοπού της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του.
Το υποκείμενο δεδομένων πρέπει να ενημερώνεται, τουλάχιστον, σχετικά με:
α) τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. της Εταιρείας (στις περισσότερες περιπτώσεις),
β) τα στοιχεία επικοινωνίας του DPO,
γ) το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
δ) το σκοπό της επεξεργασίας,
ε) το έννομο συμφέρον της Εταιρείας για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
στ) τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
ζ) τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
η) την περίοδο διατήρησης των δεδομένων ή κριτήριων που χρησιμοποιήθηκαν για τον καθορισμό τους,
θ) εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
ι) οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.
2.3.1.4. Σκοπός επεξεργασίας
Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύεται κατά τη στιγμή της συλλογής, ή για το σκοπό που προβλέπεται από το νόμο. Βλέπε, επίσης, την παράγραφο 2.3.1.2 σχετικά με τη συγκατάθεση.
Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται ή αποθηκεύονται πρέπει να είναι απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.
2.3.1.5. Αρχεία προσωπικού
Ο φάκελος προσωπικού και τα προσωπικά δεδομένα που αφορούν τους υπαλλήλους της Εταιρείας ταξινομούνται ως «εμπιστευτικές» πληροφορίες.
Οι υπάλληλοι των εταιρειών της Εταιρείας μπορούν να ελέγξουν τον ατομικό τους φάκελο και να ζητήσουν πληροφορίες σχετικά με άλλα προσωπικά δεδομένα που τους αφορούν. Το αίτημα πληροφόρησης ή ελέγχου μπορεί να υποβληθεί προφορικά ή γραπτώς.
2.3.1.6. Ποιότητα δεδομένων
Κάθε πρόσωπο που επεξεργάζεται προσωπικά δεδομένα πρέπει να διασφαλίζει ότι τα δεδομένα είναι ορθά και πλήρη.
Η Εταιρεία πρέπει να λαμβάνει κάθε τεχνικό και οργανωτικό μέτρο προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, διορθώνονται ή καταστρέφονται.
2.3.1.7. Εκτίμηση αντικτύπου στα προσωπικά δεδομένα
Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα διεξάγει εκτίμηση αντικτύπου στα προσωπικά δεδομένα, κάθε φορά που η προγραμματισμένη δραστηριότητα επεξεργασίας μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριαστούν οι κίνδυνοι για το απόρρητο των δεδομένων. Η αξιολόγηση πρέπει να διενεργείται πριν ξεκινήσουν οι εργασίες επεξεργασίας υψηλού κινδύνου.
Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:
α) συστηματική και εκτενή αξιολόγηση των προσωπικών στοιχείων του υποκειμένου των δεδομένων. Ειδικότερα, εάν τα προσωπικά δεδομένα υποβάλλονται αυτόματα σε επεξεργασία, εάν η επεξεργασία περιλαμβάνει τη διαμόρφωση της προσωπικότητας και εάν οι αποφάσεις που επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην αξιολόγηση αυτή,
β) επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα,
γ) συστηματική και ευρείας κλίμακας παρακολούθηση μίας προσβάσιμης στο κοινό περιοχής, π.χ. παρακολούθηση με βίντεο ενός δημόσιου χώρου.
Η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα πρέπει να τεκμηριώνεται δεόντως και να πραγματοποιείται με τη βοήθεια του υπευθύνου προστασίας δεδομένων. Όταν η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, η εποπτική αρχή πρέπει να ενημερώνεται και να γνωμοδοτεί σχετικά με τα κατάλληλα μέτρα για τη μείωση των κινδύνων.
2.3.1.8. Διαβίβαση σε τρίτους
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως, εφόσον κρίνεται σκόπιμο.
Τρίτος εκτελών την επεξεργασία για λογαριασμό της Εταιρείας, π.χ. ένας εργολάβος ή πάροχος υπηρεσιών, πρέπει να συμφωνήσει συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.
2.3.1.9 Διασυνοριακή αποκάλυψη προσωπικών δεδομένων
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται στο εξωτερικό μόνο εάν ο αλλοδαπός νόμος προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που ο αλλοδαπός νόμος δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε αυτή τη χώρα μόνον εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στη μεταφορά ή εάν η προστασία δεδομένων προβλέπεται από την κατάλληλη συμφωνία περί μεταφοράς δεδομένων.
Η Εταιρεία θα λαμβάνει το κατάλληλο προσωπικό, τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων.
Συγκεκριμένα, η Εταιρεία θα λαμβάνει διασφαλίσεις για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Με τον τρόπο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας.
2.3.1.10 Αποθήκευση και διατήρηση δεδομένων
Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο χρόνο απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα. Τα στοιχεία της αποθήκευσης δεδομένων και των περιόδων διατήρησης καθορίζονται στην Πολιτική Διατήρησης Δεδομένων της Εταιρείας.
2.3.2 Δικαιώματα των υποκειμένων των δεδομένων
Κάθε υποκείμενο δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το ΓΚΠΔ:
α) Το δικαίωμα ενημέρωσης,
β) Το δικαίωμα πρόσβασης,
γ) Το δικαίωμα διόρθωσης,
δ) Το δικαίωμα διαγραφής,
ε) Το δικαίωμα περιορισμού της επεξεργασίας,
στ) Το δικαίωμα στη φορητότητα δεδομένων,
ζ) Το δικαίωμα αντίρρησης,
η) Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.
Οι υπάλληλοι της Εταιρείας οφείλουν να σέβονται το αίτημα πρόσβασης του υποκειμένου των δεδομένων και, εφόσον απαιτείται, να ζητούν τη συμβουλή του DPO. Για περισσότερες πληροφορίες σχετικά με το περιεχόμενο κάθε δικαιώματος, ανατρέξτε στην Πολιτική της Εταιρείας για θέματα χειρισμού των αιτημάτων των υποκειμένων των δεδομένων.
2.3.3 Καταγραφή παραβίασης δεδομένων
Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, απώλεια, αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συναίνεση ή για σκοπούς άλλους από εκείνους που υποδεικνύονται τη στιγμή της συλλογής.
Το πρόσωπο που ανακαλύπτει την παραβίαση προσωπικών δεδομένων λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αναφέρει την παραβίαση στο DPO χωρίς καθυστέρηση.
To DPO συστηματικά καταγράφει τις παραβιάσεις που του αποκαλύφθηκαν και αξιολογεί τους λόγους των παραβιάσεων. Επιπλέον, το DPO λαμβάνει περαιτέρω απαιτούμενα μέτρα για την αποκατάσταση της κατάστασης και την αποτροπή της επανάληψης των παραβιάσεων. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της Εταιρείας.
2.3.4 Ειδοποίηση για παραβίαση δεδομένων
Η Εταιρεία πρέπει να ειδοποιήσει την αρμόδια εποπτική αρχή για την παραβίαση δεδομένων εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση.
Επιπλέον, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται χωρίς καθυστέρηση. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της Εταιρείας.
2.3.5 Τεκμηρίωση των αρχείων δεδομένων
Η Εταιρεία τηρεί κατάλογο όλων των βάσεων δεδομένων και των αρχείων που περιέχουν προσωπικά δεδομένα. Ο κατάλογος περιλαμβάνει τις ακόλουθες ελάχιστες πληροφορίες:
α) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας δεδομένων και κάθε κοινού υπεύθυνου επεξεργασίας δεδομένων,
β) όνομα και στοιχεία επικοινωνίας του DPO,
γ) περιγραφή της βάσης δεδομένων ή του αρχείου,
δ) σκοπός της βάσης δεδομένων ή του αρχείου,
ε) περιγραφή των κατηγοριών επεξεργαζόμενων προσωπικών δεδομένων, π.χ. διεύθυνση, πληροφορίες για την υγεία κ.λπ.,
στ) περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα,
ζ) περιγραφή των κατηγοριών των αποδεκτών δεδομένων, στους οποίους έχουν διαβιβαστεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες,
η) περιγραφή της διασυνοριακής μεταφοράς δεδομένων,
θ) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατόν,
ι) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατόν,
κ) τις λεπτομέρειες μεταφοράς δεδομένων εκτός της ΕΕ.
Τα αρχεία δεδομένων ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές που περιέχουν ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, πρέπει να καταχωρούνται σε ξεχωριστούς φακέλους, να σημειώνονται αντίστοιχα και να υπόκεινται σε εκτίμηση αντικτύπου στα προσωπικά δεδομένα, όπως ορίζεται στην παράγραφο 2.3.1.7.
2.3.6 Κατάρτιση και ευαισθητοποίηση
Κάθε υπάλληλος της Εταιρείας εκπαιδεύεται σε θέματα προστασίας δεδομένων και ασφάλειας δεδομένων. Μια πρώτη εκπαιδευτική συνεδρία θα ακολουθήσει κατά την έναρξη της απασχόλησης εντός της Εταιρείας και οι επακόλουθες εκπαιδεύσεις θα πραγματοποιούνται σε τακτά χρονικά διαστήματα.
2.4 Υποχρεώσεις για την ανάπτυξη συστημάτων και νέων επιχειρηματικών διαδικασιών
Η προστασία δεδομένων αποτελεί αναπόσπαστο μέρος της τεχνολογικής ανάπτυξης και της οργανωτικής δομής της Εταιρείας. Κατά συνέπεια, πρέπει να λαμβάνονται υπόψη οι ακόλουθες αρχές όταν αξιολογούνται οι τρέχουσες επιχειρηματικές διαδικασίες ή τα συστήματα επεξεργασίας δεδομένων ή όταν εισάγονται νέα.
2.4.1 Εκτίμηση του αντικτύπου στα προσωπικά δεδομένα αναφορικά με νέες δραστηριότητες επεξεργασίας
Η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα πρέπει να διεξάγεται κάθε φορά που εισάγονται νέες τεχνολογίες ή δραστηριότητες επεξεργασίας δεδομένων οι οποίες ενδέχεται να οδηγήσουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα υψηλού κινδύνου.
Οι λεπτομέρειες της εκτίμησης του αντικτύπου στα προσωπικά δεδομένα καθορίζονται στην παράγραφο 2.3.1.7 της παρούσας πολιτικής.
2.4.2 Αρχές προστασίας των δεδομένων από τον σχεδιασμό
Όταν εισάγονται νέα συστήματα επεξεργασίας δεδομένων, ο υπεύθυνος πρέπει να εξασφαλίζει υψηλό επίπεδο προστασίας δεδομένων. Ιδιαίτερα, κάθε νέο σύστημα και διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:
α) Πρέπει να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των προσωπικών δεδομένων από τη συλλογή έως την επεξεργασία έως τη διαγραφή.
β) Τα συστήματα επεξεργασίας δεδομένων πρέπει να αποσκοπούν στη συλλογή όσο το δυνατόν λιγότερων προσωπικών δεδομένων για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα.
γ) Όταν η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας δεδομένων, τα προσωπικά δεδομένα πρέπει να καταστούν ανώνυμα κατά τρόπο που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μη μπορεί πλέον να ταυτοποιείται.
δ) Εφόσον τα προσωπικά δεδομένα δεν μπορούν να είναι ανώνυμα, πρέπει να λαμβάνονται μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως η ψευδωνυμία, η κρυπτογράφηση ή ο περιορισμός πρόσβασης.
ε) Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα χορηγείται σύμφωνα με την αρχή «πρέπει-να-γνωρίζω», πράγμα που σημαίνει ότι τα προσωπικά δεδομένα καθίστανται προσβάσιμα μόνο σε εκείνα τα πρόσωπα που την απαιτούν για να εκτελούν καθορισμένους ρόλους και ευθύνες.
στ) Ο συστηματικός έλεγχος ποιότητας των προσωπικών δεδομένων πρέπει να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, πρέπει να δημιουργούνται διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.
ζ) Τα συστήματα επεξεργασίας δεδομένων πρέπει να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.
η) Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά τους δεδομένα.
2.4.3 Αρχές προστασίας δεδομένων εξ ορισμού
Τα συστήματα επεξεργασίας δεδομένων πρέπει να ρυθμίζονται κατά τρόπον ώστε να εφαρμόζονται αυτομάτως οι αυστηρότερες ρυθμίσεις απορρήτου, δηλαδή εξ ορισμού.
Εκτενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέξει ή συμφωνεί με ένα χαμηλότερο επίπεδο προστασίας, π.χ. με τη χειροκίνητη αλλαγή των ρυθμίσεων απορρήτου σε έναν ιστότοπο, ένα εργαλείο πληροφορικής ή σε κάτι παρόμοιο με μια λιγότερο περιοριστική επιλογή και συνεπώς δίνει τη ρητή συγκατάθεσή του στην εκτεταμένη επεξεργασία (“opt-in”).
2.5 Αρμοδιότητες
2.5.1 Υπεύθυνος επεξεργασίας δεδομένων
Ο υπεύθυνος επεξεργασίας δεδομένων, ο οποίος αναμένεται να υπάρχει στις περισσότερες περιπτώσεις της Εταιρείας, είναι υπεύθυνος για την ορθή επεξεργασία των προσωπικών δεδομένων και την τήρηση των απαιτήσεων προστασίας δεδομένων και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία. Συγκεκριμένα, για:
α) την τήρηση των αρχών «προστασία των δεδομένων από τον σχεδιασμό» και «προστασία των δεδομένων εξ ορισμού» κατά την ανάπτυξη νέων δραστηριοτήτων επεξεργασίας δεδομένων,
β) τη σωστή κατανομή των δικαιωμάτων των υποκειμένων των δεδομένων,
γ) διεξαγωγή εκτιμήσεων αντικτύπου για την προστασία των προσωπικών δεδομένων με τη βοήθεια του υπεύθυνου προστασίας δεδομένων,
δ) διορίζει τον εκτελούντα την επεξεργασία,
ε) την κοινοποίηση παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή και στο υποκείμενο των δεδομένων (κατά περίπτωση).
2.5.2 Ο εκτελών της επεξεργασία
Ο εκτελών την επεξεργασία είναι υπεύθυνος για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων. Επιπλέον, ο εκτελών την επεξεργασία είναι υπεύθυνος να ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον υπεύθυνο επεξεργασίας δεδομένων σχετικά με την παραβίαση της προστασίας δεδομένων.
Ο εκτελών την επεξεργασία πρέπει να επιτρέπει συμβατικά σε οποιονδήποτε ενδεχόμενο υπεργολάβο, που λαμβάνει εντολή να εκτελέσει την επεξεργασία δεδομένων, να συμμορφώνεται με τις ίδιες οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων.
2.5.3 Γραφείο Προστασίας Δεδομένων
Το Γραφείο Προστασίας Δεδομένων (DPO) είναι υπεύθυνο για το συντονισμό της προστασίας δεδομένων. Αποτελείται από εκπροσώπους του τμήματος πληροφορικής, της νομικής υπηρεσίας και των επιχειρηματικών μονάδων. To DPO πρέπει:
α) να παρακολουθεί τη συμμόρφωση της Εταιρείας με τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,
β) να παρακολουθεί και να εφαρμόζει μελλοντικά επεξηγηματικά έγγραφα της Επιτροπής της Ευρωπαϊκής Ένωσης σχετικά με την εκτέλεση των διατάξεων του ΓΚΠΔ (GDPR),
γ) να υποστηρίζει την εκτελεστική διοίκηση για τη διασφάλιση της συμμόρφωσης με το νόμο στο πλαίσιο της προστασίας δεδομένων,
δ) να παρακολουθεί τακτικά την τήρηση της πολιτικής αυτής,
ε) να διατηρεί τον κατάλογο βάσεων δεδομένων και τον κατάλογο των παραβιάσεων της προστασίας δεδομένων,
στ) να παρακολουθεί και να βοηθά στην εκτίμηση του αντικτύπου στα προσωπικά δεδομένα,
ζ) να είναι υπεύθυνος για την απάντηση στα αιτήματα πληροφόρησης του υποκειμένου των δεδομένων,§
η) να είναι υπεύθυνος για την διοργάνωση εκδηλώσεων κατάρτισης για την ευαισθητοποίηση αναφορικά με την προστασία των δεδομένων και την παροχή συμβουλών περί επεξεργασίας δεδομένων και υποχρεώσεων προσωπικού, ιδίως στους υπαλλήλους της Εταιρείας,
θ) να ενεργεί ως πρόσωπο επικοινωνίας των εποπτικών αρχών σε θέματα που σχετίζονται με την επεξεργασία προσωπικών δεδομένων, καθώς και να συνεργάζεται με τις αρχές σε οποιοδήποτε άλλο θέμα.
2.5.4 Εκτελεστική διοίκηση
Η εκτελεστική διοίκηση της Εταιρείας είναι υπεύθυνη για την εφαρμογή αυτής της πολιτικής και πρέπει να παρέχει το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Οι managers της Εταιρείας υποχρεούνται να εφαρμόζουν την πολιτική στον τομέα ευθύνης τους και να διασφαλίζουν ότι οι υπάλληλοι, τα άτομα και οι οντότητες για τις οποίες είναι υπεύθυνοι γνωρίζουν, κατανοούν και τηρούν τις απαιτήσεις αυτής της πολιτικής και είναι κατάλληλα εκπαιδευμένοι να εκπληρώσουν πλήρως αυτό το καθήκον τους.
2.6 Παραβίαση της πολιτικής προστασίας δεδομένων
Οι πιθανές κυρώσεις και ζημίες που απορρέουν από την παραβίαση προστασίας δεδομένων είναι σοβαρές τόσο για το πρόσωπο που διαπράττει την παραβίαση όσο και για την Εταιρεία.
Κάθε παραβίαση αυτής της πολιτικής προστασίας δεδομένων μπορεί να οδηγήσει σε πειθαρχικές κυρώσεις έως και την απόλυση. Οι παραβιάσεις νομικών ή κανονιστικών υποχρεώσεων μπορούν να αναφέρονται σε εξωτερικές αρχές και μπορεί να έχουν ως αποτέλεσμα ποινικές, αστικές ή κανονιστικές κυρώσεις.
Τελευταία Έκδοση: 1 Οκτωβρίου 2019
CALL OUR OFFICES
SEND US A MESSAGE
You cannot copy content of this page
Adding {{itemName}} to cart
Added {{itemName}} to cart