Προσωπικά Δεδομένα
ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
ΤΗΣ ΕΤΑΙΡΕΙΑΣ “EURIMAC ΑΕ”
1. Εισαγωγή
Στο πλαίσιο της λειτουργίας της και για την επίτευξη των επιχειρηματικών της στόχων η EURIMAC S.A. συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα αυτά αφορούν τους πελάτες, τους προμηθευτές, τον κύκλο των επαφών, τους εργαζομένους, αλλά και τρίτα πρόσωπα με τα οποία η εταιρία συνδέεται ή επικοινωνεί.
Στο παρόν έγγραφο το οποίο είναι συμπληρωματικό της Πολιτικής Προστασίας Απορρήτου της εταιρείας και των συμβάσεων και παραρτημάτων που έχουν συναφθεί μεταξύ της εταιρείας και των εργαζομένων ή/και συνεργατών περιγράφονται τα μέτρα που υιοθετεί η εταιρία για τη συλλογή, αποθήκευση, χρήση και διάθεση των δεδομένων προσωπικού χαρακτήρα, έτσι ώστε να εξασφαλίζεται η συμμόρφωση προς το νόμο και τα πρότυπα της εταιρίας.
2. Χρήσιμοι Όροι
Προσωπικά Δεδομένα
Ως προσωπικό δεδομένο ορίζεται κάθε πληροφορία που συνδέεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο δεδομένων») • ένα φυσικό πρόσωπο θεωρείται ταυτοποιήσιμο, εφόσον μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε ένα αναγνωριστικό όπως το ονοματεπώνυμο, ο αριθμός ταυτότητας, τα δεδομένα θέσης, τα επιγραμμικά αναγνωριστικά είτε ένα ή περισσότερα στοιχεία που προσδιορίζουν τη φυσική, ψυχολογική, γενετική, διανοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του φυσικού προσώπου.
Επεξεργασία
Ως επεξεργασία ορίζεται οποιαδήποτε πράξη ή σειρά πράξεων επί δεδομένων προσωπικού χαρακτήρα, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Υπεύθυνος Επεξεργασίας
Ως υπεύθυνος επεξεργασίας ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Εκτελών την Επεξεργασία
Ως Εκτελών την Επεξεργασία ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Συγκατάθεση
Ως συγκατάθεση του υποκειμένου των δεδομένων ορίζεται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, με ρητή δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
3. Στόχοι
Μέσω του παρόντος διασφαλίζονται :
• Η συμμόρφωση προς το νόμο, τα πρότυπα της EURIMAC S.A. και τις βέλτιστες πρακτικές.
• Η προστασία των δεδομένων του προσωπικού, των πελατών και συνεργατών της εταιρίας.
• Η διαφάνεια ως προς τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
• Η διαχείριση και μείωση των κινδύνων από ένα πιθανό περιστατικό ασφαλείας.
4. Δίκαιο Προστασίας Δεδομένων
Κατά το χρόνο θέσης σε εφαρμογή της παρούσας, η προστασία των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται από το Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός ΕΕ 679/2016) .
Το συγκεκριμένο σύστημα κανόνων ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα i)στο πλαίσιο των δραστηριοτήτων ενός Υπεύθυνου ή Εκτελούντος την επεξεργασία εντός της Ένωσης, ανεξαρτήτως από το αν η επεξεργασία λαμβάνει χώρα εντός της Ένωσης ii) των υποκειμένων της Ένωσης από υπεύθυνους ή εκτελούντες την επεξεργασία εγκατεστημένους εκτός της Ένωσης, στις περιπτώσεις που οι δραστηριότητες επεξεργασίας σχετίζονται: α) με την προσφορά προϊόντων ή υπηρεσιών, ανεξάρτητα από το αν απαιτείται η πραγματοποίηση πληρωμής από το υποκείμενο των δεδομένων, β) την παρακολούθηση της συμπεριφοράς στο βαθμό που η συμπεριφορά εκδηλώνεται εντός της Ένωσης.
Για την εφαρμογή της παραπάνω νομοθεσίας θα πρέπει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα να είναι, εν όλω ή εν μέρει, αυτοματοποιημένη, ή- σε περιπτώσεις μη αυτοματοποιημένης επεξεργασίας- τα δεδομένα να περιλαμβάνονται ή να πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Για τη συμμόρφωση προς τη νομοθεσία, θα πρέπει να συλλέγουμε και να χρησιμοποιούμε τα δεδομένα με σωστό και δίκαιο τρόπο, να τα αποθηκεύουμε με ασφάλεια και να μην τα κοινολογούμε παράνομα.
Βασικό σημείο κατανόησης του δικαίου της Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα αποτελούν οι επτά (7) αρχές, ως απόρροια των οποίων προκύπτουν οι υποχρεώσεις των υπεύθυνων ή εκτελούντων την επεξεργασία. Για λόγους διευκόλυνσης, οι υποχρεώσεις του υπεύθυνου επεξεργασίας καταγράφονται ως ακολούθως:
Ο υπεύθυνος επεξεργασίας οφείλει:
1. Να φροντίζει, ώστε τα δεδομένα:
• Να υπόκεινται σε επεξεργασία κατά θεμιτό και νόμιμο τρόπο
• Να τηρούνται μόνο για συγκεκριμένους, νόμιμους σκοπούς
• Να είναι συναφή, πρόσφορα για την επίτευξη του σκοπού της επεξεργασίας και όχι περισσότερα από τα ελάχιστα απαιτούμενα
• Να είναι ακριβή και να επικαιροποιούνται
• Να τηρούνται για το ελάχιστο χρονικό διάστημα βάσει του σκοπού επεξεργασίας
• Να υπόκεινται σε επεξεργασία σύμφωνη με τα δικαιώματα των υποκειμένων των δεδομένων
• Να προστατεύονται με κατάλληλο τρόπο
2. Να ορίζει υπεύθυνο προστασίας δεδομένων (DPO), εφόσον απαιτείται
3. Να είναι ανά πάσα στιγμή σε θέση να αποδείξει συμμόρφωση
4. Να γνωστοποιεί τις παραβιάσεις των δεδομένων προσωπικού χαρακτήρα τόσο στην Εποπτική Αρχή όσο και στα υποκείμενα (εφόσον απαιτείται)
5. Πρόσωπα, κίνδυνοι και ευθύνες Πεδίο
Στην παρούσα πολιτική υπόκεινται:
• Η διοίκηση
• Το σύνολο του προσωπικού
• Όλοι οι συνεργάτες, προμηθευτές ή τρίτα πρόσωπα που εργάζονται για λογαριασμό της εταιρίας
Εφαρμόζεται για κάθε πληροφορία- δεδομένο που τηρεί η εταιρία, εφόσον το δεδομένο αυτό μπορεί να οδηγήσει σε άμεση ή έμμεση ταυτοποίηση ενός φυσικού προσώπου. Ενδεικτικά, προσωπικά δεδομένα αποτελούν:
• Ονοματεπώνυμα
• Διευθύνσεις
• Διευθύνσεις ηλεκτρονικού ταχυδρομείου
• Αριθμοί Τηλεφώνου
• Ονόματα Χρήστη – Κωδικοί
• …αλλά και οποιαδήποτε άλλη πληροφορία συνδέεται με ένα φυσικό πρόσωπο και οδηγεί στην ταυτοποίησή του.
Κίνδυνοι
Η μη συμμόρφωση προς το ισχύον νομικό πλαίσιο και την παρούσα πολιτική δημιουργεί σοβαρούς κινδύνους τόσο για τα υποκείμενα των δεδομένων όσο και για την εταιρία. Ειδικότερα:
• Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
• Απειλή για τη Φήμη. Η ανακοίνωση περιστατικών παραβιάσεων θα αποτελέσει πλήγμα για την αξιοπιστία της EURIMAC S.A.
• Κίνδυνοι για τα οικονομικά μεγέθη της εταιρίας: O Γενικός Κανονισμός Προστασίας Δεδομένων προβλέπει την επιβολή προστίμων που μπορούν να ανέλθουν σε 20 εκατομμύρια € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών.
Ευθύνες
Όλοι οι εργαζόμενοι, αλλά και οι τρίτοι που εργάζονται για τη EURIMAC S.A. είναι υπεύθυνοι για τη συλλογή, αποθήκευση, χρήση, διάθεση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα με τον κατάλληλο και ενδεδειγμένο τρόπο.
Ειδικότερα, θα πρέπει να διασφαλίζεται ότι η οποιασδήποτε μορφής επεξεργασία δεδομένων είναι σύμφωνη προς την παρούσα πολιτική και τις αρχές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
Ωστόσο, διευκρινίζεται πως υπάρχουν ορισμένοι ρόλοι-θέσεις εντός της εταιρίας με αυξημένες ευθύνες. Πιο συγκεκριμένα:
H διοίκηση είναι υπεύθυνη:
• να ελέγχει και να διασφαλίζει την εκπλήρωση των υποχρεώσεων της EURIMAC S.A. ως υπεύθυνου ή/και εκτελούντος την επεξεργασία,
• να παρέχει οικονομικούς πόρους, ώστε να είναι δυνατή η λήψη των κατάλληλων μέτρων για την προστασία των δεδομένων,
• να αποφασίζει για τον ορισμό του υπεύθυνου Προστασίας Δεδομένων, τον οποίο εν συνεχεία θα συμβουλεύεται,
• να συντονίζει τα οργανωτικά μέτρα προστασίας των δεδομένων προσωπικού χαρακτήρα,
• Ο Υπεύθυνος Προστασίας Δεδομένων (DPO), εφόσον απαιτείται να οριστεί, είναι υπεύθυνος:
• Να συλλέγει πληροφορίες με σκοπό τον προσδιορισμό δραστηριοτήτων επεξεργασίας
• να αναλύει και να ελέγχει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας.
• να ενημερώνει τη διοίκηση, να παρέχει συμβουλές και να εκδίδει συστάσεις υπόψιν της.
• να αποφασίζει για το αν πρέπει ή όχι να διενεργηθεί εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων.
• να επιλέγει τη μεθοδολογία που θα ακολουθηθεί κατά τη διενέργεια της εκτίμησης αντικτύπου.
• να αποφασίζει για το εάν πρέπει να διενεργήσει την εκτίμηση αντικτύπου εσωτερικά ή να την αναθέσει σε εξωτερικό συνεργάτη.
• να λαμβάνει εγγυήσεις (περιλαμβανομένων των τεχνικών και οργανωτικών μέτρων) για τον μετριασμό των κινδύνων για τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.
• να αξιολογεί εάν διενεργήθηκε σωστά ή όχι η εκτίμηση αντικτύπου και εάν τα συμπεράσματά της (σχετικά με το εάν θα δοθεί ή όχι συνέχεια στην επεξεργασία και τι εγγυήσεις θα εφαρμοστούν) είναι σύμφωνα με τον ΓΚΠΔ .
• να απαντά στα αιτήματα των υποκειμένων για άσκηση των δικαιωμάτων τους (με υποστήριξη από το προσωπικό της εταιρίας, εφόσον απαιτείται).
• να παρέχει συμβουλές και να λύνει τις απορίες των εργαζομένων αναφορικά με ζητήματα προστασίας που ανακύπτουν.
• να παρέχει, εφόσον απαιτείται, διευκρινίσεις και κατευθυντήριες γραμμές στους προμηθευτές-συνεργάτες της εταιρίας, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό της.
• να παρακολουθεί τις εξελίξεις στον τομέα της προστασίας των δεδομένων και να μεταφέρει τη σχετική πληροφόρηση στην εταιρία.
• να συμβάλλει μέσω της ενημέρωσης και της εκπαίδευσης στη δημιουργία μίας κουλτούρας προστασίας των δεδομένων.
• να συνεργάζεται με την εποπτική αρχή και να ενεργεί ως σημείο επικοινωνίας με αυτή.
• Ο Υπεύθυνος Πληροφοριακών Συστημάτων και Εφαρμογών (ΙΤ) οφείλει:
• Να επικοινωνεί με τον εξωτερικό συνεργάτη, ο οποίος έχει αναλάβει την ασφάλεια των πληροφοριακών συστημάτων και των πληροφοριών της εταιρίας.
• να διευκολύνει τον εξωτερικό συνεργάτη παρέχοντας του τις απαραίτητες πληροφορίες
• να διασφαλίζει την άμεση εφαρμογή των προτεινόμενων μέτρων ασφαλείας
• να απαντά στα ερωτήματα που αφορούν στην ασφάλεια (μετά από επικοινωνία με τον εξωτερικό συνεργάτη, εφόσον απαιτείται)
• να επικοινωνεί με το συνεργάτη, ο οποίος έχει αναλάβει την υλοποίηση και συντήρηση της ιστοσελίδας της εταιρίας
6. Γενικές Κατευθυντήριες Γραμμές
• Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα επιτρέπεται μόνο εφόσον είναι αναγκαία για την ολοκλήρωση κάποιας εργασίας και αποκλειστικά για το πρόσωπο που είναι υπεύθυνο για τη συγκεκριμένη εργασία.
• Δεν επιτρέπεται η ανεπίσημη/άτυπη ανταλλαγή δεδομένων. Σε περίπτωση που απαιτείται πρόσβαση σε εμπιστευτικές πληροφορίες, οι εργαζόμενοι οφείλουν να τη ζητούν από τον προϊστάμενό τους.
• Η εταιρία ενημερώνει και εκπαιδεύει τους εργαζομένους της πάνω στα ζητήματα επεξεργασίας των δεδομένων, με βάση τα καθήκοντα και τη θέση τους.
• Οι εργαζόμενοι οφείλουν να μεριμνούν για την ασφάλεια των δεδομένων λαμβάνοντας επαρκείς προφυλάξεις και ακολουθώντας τις κατευθυντήριες γραμμές που περιγράφονται στο παρόν έντυπο.
• Ως βασικό μέτρο προφύλαξης συνίσταται η χρήση ισχυρών κωδικών, οι οποίοι απαγορεύεται να γνωστοποιούνται. Η δημιουργία και χρήση κωδικών θα πρέπει να γίνεται βάσει της αντίστοιχης πολιτικής.
• Τα δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να κοινολογούνται σε μη εξουσιοδοτημένα πρόσωπα εντός ή εκτός της εταιρίας.
• Τα δεδομένα θα πρέπει να επικαιροποιούνται τακτικά κι εφόσον δεν είναι πλέον απαραίτητα για κάποιον από τους επιχειρηματικούς σκοπούς να διαγράφονται ή να απορρίπτονται με την τήρηση της προβλεπόμενης διαδικασίας.
• Οι εργαζόμενοι θα πρέπει να ζητούν βοήθεια είτε από τον προϊστάμενό τους είτε από τον υπεύθυνο προστασίας δεδομένων (εφόσον έχει οριστεί), στην περίπτωση που έχουν οποιαδήποτε απορία σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα.
7. Συλλογή Δεδομένων
Οι επιχειρηματικές λειτουργίες της εταιρίας μας βασίζονται σε μεγάλο βαθμό στην επεξεργασία προσωπικών δεδομένων.
Πριν από τη συλλογή των δεδομένων ορίζουμε με σαφήνεια τους σκοπούς για τους οποίους επεξεργαζόμαστε τα δεδομένα και εντοπίζουμε με τη βοήθεια του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) τη νομική βάση επεξεργασίας. Επιπλέον, σε κάθε περίπτωση λαμβάνεται μέριμνα, ώστε τα δεδομένα που συλλέγονται για την εκτέλεση κάθε επιχειρηματικής λειτουργίας να είναι τα ελάχιστα απαιτούμενα βάσει του αντίστοιχου σκοπού.
Οι σκοποί επεξεργασίας, η νομική βάση, οι κατηγορίες των δεδομένων και των υποκειμένων καταγράφονται λεπτομερώς στο Αρχείο Τήρησης Επεξεργασιών.
8. Αποθήκευση Δεδομένων
Tο παρόν σύνολο κανόνων περιγράφει συνοπτικά τον τρόπο ασφαλούς αποθήκευσης των δεδομένων. Οι διαδικασίες και τα μέτρα ασφαλείας για την τήρηση των δεδομένων περιγράφονται στην αντίστοιχη Πολιτική, την οποία οφείλει να συμβουλεύεται το σύνολο του προσωπικού της εταιρίας. Οι όποιες απορίες αναφορικά με την αποθήκευση είναι δυνατόν να επιλύονται από τον Υπεύθυνο Πληροφοριακών Συστημάτων και Εφαρμογών (ΙΤ) και τον Υπεύθυνο Προστασίας Δεδομένων (εφόσον έχει οριστεί). Η EURIMAC S.A. αποθηκεύει τα δεδομένα που συλλέγει κατά τρόπο που αναλυτικά περιγράφεται στο Αρχείο Τήρησης Επεξεργασιών.
Όταν τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε φυσικό αρχείο, αυτό θα πρέπει να τηρείται σε ασφαλές μέρος, όπου δεν μπορούν να έχουν πρόσβαση μη εξουσιοδοτημένα πρόσωπα.
Παρακάτω δίνονται κατευθυντήριες γραμμές, οι οποίες αφορούν και στις περιπτώσεις εκτύπωσης δεδομένων, τα οποία τηρούνται και σε ηλεκτρονική μορφή:
• Τα έγγραφα – φυσικά αρχεία τηρούνται σε ντουλάπι ή ερμάριο με κλειδαριά.
• Οι εργαζόμενοι οφείλουν να διασφαλίζουν ότι ενόσω χρησιμοποιούν τα έγγραφα, δεν τα αφήνουν σε κοινή θέα, πχ εκτεθειμένα επάνω στο γραφείο τους, πάνω στον κοινόχρηστο εκτυπωτή/φωτοτυπικό μηχάνημα (“clean desk policy”).
• Οι εκτυπώσεις σχίζονται προσεκτικά και απορρίπτονται με ασφάλεια, εφόσον σταματήσουν να είναι χρήσιμες για την εκτέλεση κάποιας εργασίας.
Όταν τα δεδομένα αποθηκεύονται ηλεκτρονικά, θα πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, τυχαία διαγραφή και κακόβουλες επιθέσεις:
• Τα δεδομένα προστατεύονται με ισχυρούς κωδικούς, για τους οποίους ισχύουν τα προβλεπόμενα στη σχετική Πολιτική.
• Εφόσον χρειαστεί αποθήκευση σε αφαιρούμενα μέσα αποθήκευσης (βλ. usb memory stick), αυτά θα πρέπει να φυλάσσονται κλειδωμένα σε ασφαλές μέρος.
• Τα δεδομένα αποθηκεύονται τοπικά στον ERP Server και στους Υπολογιστές των υπαλλήλων της εταιρίας, ενώ δεν επιτρέπεται η αποθήκευσή τους στο νέφος.
• Οι servers που χρησιμοποιεί η εταιρία δεν επιτρέπεται να είναι άμεσα προσβάσιμοι στους εργαζομένους ή σε πρόσωπα που επισκέπτονται την εταιρία.
• Τόσο οι servers όσο και οι υπολογιστές που περιέχουν δεδομένα προσωπικού χαρακτήρα θα πρέπει να προστατεύονται με εγκεκριμένο λογισμικό ασφαλείας και firewall. Περαιτέρω, τα μέτρα ασφαλείας των πληροφοριακών συστημάτων της εταιρίας περιγράφονται στην «Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων».
• Θα πρέπει να δημιουργούνται συστηματικά εφεδρικά αντίγραφα των αρχείων βάσει των προβλεπόμενων στην αντίστοιχη πολιτική. Επιπλέον, διευκρινίζεται πως για την τήρηση και διαγραφή των εφεδρικών αρχείων θα πρέπει να εφαρμόζεται το σύνολο κανόνων που ισχύουν για τις αντίστοιχες διαδικασίες στα πρωτότυπα αρχεία.
• Η αποθήκευση δεδομένων στις φορητές συσκευές των υπαλλήλων, επιτρέπεται υπό τον όρο ότι αφενός είναι απαραίτητη για την εκτέλεση των εργασιών (π.χ. αποθήκευση στοιχείων επικοινωνίας πελάτη στο κινητό τηλέφωνο του πωλητή που τον εξυπηρετεί) και αφετέρου γίνεται σε εταιρική φορητή συσκευή, η οποία διαθέτει κωδικό και χρησιμοποιείται αποκλειστικά από τον εργαζόμενο.
9. Επεξεργασία Δεδομένων στις καθημερινές εργασίες
Η EURIMAC S.A. συλλέγει και τηρεί δεδομένα, τα οποία επεξεργάζεται για να εξασφαλίζει την εύρυθμη λειτουργία της και τη βέλτιστη παροχή των προϊόντων της. Η επεξεργασία των δεδομένων κατά την εκτέλεση των καθημερινών εργασιών της επιχείρησης δημιουργεί μία σειρά κινδύνων, όπως κυρίως η απώλεια, η φθορά και η κλοπή. Για τη μείωση ακόμη και εξάλειψη των κινδύνων, πρέπει να εφαρμόζονται τα ακόλουθα μέτρα:
• Ενόσω διαρκεί η οποιασδήποτε μορφής επεξεργασία δεδομένων, οι εργαζόμενοι διασφαλίζουν πως οι οθόνες είναι κλειδωμένες, όταν οι υπολογιστές δε χρησιμοποιούνται.
• Τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να ανταλλάσσονται ατύπως. Απαγορεύεται οποιαδήποτε προφορική κοινολόγηση δεδομένων. Ενδοεταιρικά, η ανταλλαγή δεδομένων γίνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου (emails), για την αποστολή των οποίων πρέπει να τηρούνται ρητά οι διαδικασίες που προβλέπονται στην αντίστοιχη Πολιτική.
• Απαγορεύεται η διαβίβαση δεδομένων σε μη εξουσιοδοτημένους τρίτους (εκτός της εταιρίας) αποδέκτες.
• Οι εργαζόμενοι δεν μπορούν να τηρούν αντίγραφα δεδομένων προσωπικού χαρακτήρα στους υπολογιστές τους ή σε άλλα μέσα αποθήκευσης. Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να πραγματοποιείται πάνω στο αρχείο που τηρεί η εταιρία και πάντα με τη χρήση των εργαλείων που αυτή προσφέρει.
10. Κοινολόγηση Δεδομένων Προσωπικού Χαρακτήρα
Σε αρκετές περιπτώσεις ο νόμος, το καταστατικό της εταιρίας αλλά και οι επιχειρηματικές πρακτικές επιβάλλουν τη διάθεση- διαβίβαση προσωπικών δεδομένων.
Η εταιρία μας διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε φορολογικές αρχές, ασφαλιστικούς φορείς και ταμεία, όπως επιβάλλουν οι διατάξεις του φορολογικού, εργατικού δικαίου, καθώς και του δικαίου κοινωνικής ασφάλισης.
Σε ορισμένες περιπτώσεις, είναι πιθανό να αναθέτουμε εργασίες σε τρίτους, οι οποίοι επεξεργάζονται για λογαριασμό μας τα δεδομένα που τους παρέχουμε. Στις περιπτώσεις αυτές, η εταιρία μας οφείλει να διασφαλίζει πως οι συνεργάτες της- εκτελούντες την επεξεργασία αφενός παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και αφετέρου επεξεργάζονται δεδομένα μόνο κατ’ εντολή της EURIMAC S.A. Η συνεργασία με κάθε τρίτο που επεξεργάζεται δεδομένα για λογαριασμό μας θα πρέπει να ρυθμίζεται λεπτομερώς μέσω γραπτής σύμβασης στην οποία προβλέπονται ρητά οι υποχρεώσεις του, αλλά και το αντικείμενο, η διάρκεια, η φύση και ο σκοπός της επεξεργασίας, το είδος των δεδομένων και οι κατηγορίες των υποκειμένων των δεδομένων.
Η EURIMAC S.A. διαβιβάζει δεδομένα προσωπικού χαρακτήρα αποκλειστικά εντός EE. Σε περίπτωση που η λειτουργία της επιχείρησης και η επίτευξη των επιχειρηματικών στόχων επιβάλλουν τη διαβίβαση δεδομένων σε χώρα εκτός ΕΕ ή σε διεθνή οργανισμό, η διοίκηση οφείλει να καταρτίσει μελέτη υπό την καθοδήγηση του Υπευθύνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) εξετάζοντας με προσοχή το νομικό πλαίσιο και, εν συνεχεία, να τροποποιήσει την παρούσα Πολιτική.
11. Λογοδοσία
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ 679/2016) εισάγει μία νέα αρχή, αυτή της λογοδοσίας. Βάσει της συγκεκριμένης αρχής, η εταιρία μας οφείλει όχι μόνο να συμμορφώνεται προς τις απαιτήσεις του δικαίου προστασίας δεδομένων, αλλά και να είναι ανά πάσα στιγμή σε θέση να αποδείξει τη συμμόρφωση.
Προς την κατεύθυνση αυτή:
• Διενεργούμε μελέτη εκτίμησης αντικτύπου για το σύνολο των επεξεργασιών, που απαιτείται. Η εκτίμηση αντικτύπου πραγματοποιείται υπό την καθοδήγηση του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) και εγκρίνεται από τη διοίκηση. Οι διαδικασίες επεξεργασίας είναι δυνατόν να τροποποιούνται βάσει των αποτελεσμάτων της εκτίμησης. Για την εκτίμηση αντικτύπου ακολουθείται η διαδικασία που προβλέπεται στο σχετικό έντυπο, η οποία πρέπει να ανασχεδιάζεται κάθε 3 χρόνια.
• Με την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, η EURIMAC S.A. κατήρτισε με τη βοήθεια εξωτερικού συνεργάτη αρχείο όλων των επεξεργασιών στις οποίες υποβάλλονται τα δεδομένα. Το αρχείο αυτό τηρείται από τη Διοίκηση και θα πρέπει να επικαιροποιείται συνεχώς κατόπιν οποιασδήποτε αλλαγής.
• Το προσωπικό της εταιρίας θα πρέπει να είναι επαρκώς ενημερωμένο και να λαμβάνει εκπαίδευση πάνω στα ζητήματα της προστασίας των δεδομένων προσωπικού χαρακτήρα. Προς την κατεύθυνση αυτή διανέμεται εκπαιδευτικό υλικό. Παράλληλα, η Διοίκηση διασφαλίζει την παροχή εξειδικευμένης εκπαίδευσης στους εργαζομένους, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα και συμβουλεύει ανά πάσα στιγμή τα μέλη του προσωπικού που ζητούν βοήθεια.
• Θα πρέπει να παρέχεται στα υποκείμενα ένα σημείο επικοινωνίας, στο οποίο θα απευθύνουν τα αιτήματα άσκησης των δικαιωμάτων τους. Η EURIMAC S.A. παρέχει τη διεύθυνση ηλεκτρονικού ταχυδρομείου (διεύθυνση email) υπαλλήλου, ο οποίος απαντά στα αιτήματα των υποκειμένων με βάση τα οριζόμενα στην παρούσα πολιτική.
• Ειδικά σχετικά με το δικαίωμα των υποκειμένων στην ενημέρωση, η εταιρία οφείλει να έχει αναρτημένη στην επίσημη ιστοσελίδα της μία «Ειδοποίηση Απορρήτου» (privacy notice), η οποία συντάσσεται σε συνεργασία με τον Υπεύθυνο Προστασίας Δεδομένων (εφόσον έχει οριστεί) και επικαιροποιείται συνεχώς κατόπιν οποιασδήποτε αλλαγής (παραπομπή-link). Το κείμενο μπορεί να τροποποιείται μετά από σχετική εισήγηση του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) και εφόσον αυτή (η εισήγηση ) εγκριθεί από τη διοίκηση. Σε κάθε περίπτωση, βέβαια, το κείμενο θα πρέπει κατ’ ελάχιστον να περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρίας μας και του υπεύθυνου προστασίας δεδομένων (DPO) εφόσον έχει οριστεί, τους σκοπούς και τη νομική βάση επεξεργασίας των δεδομένων, καθώς και πληροφορίες για την ύπαρξη και τον τρόπο άσκησης των δικαιωμάτων των υποκειμένων.
12. Αιτήματα Υποκειμένων
Η EURIMAC S.A. σέβεται απόλυτα το προσωπικό, τους πελάτες, τους προμηθευτές και όλους όσοι επικοινωνούν μαζί της. Ως εκ τούτου, η εταιρία μας δίνει μεγάλη σημασία στη διευκόλυνση των προσώπων στην άσκηση των δικαιωμάτων που προβλέπει η νομοθεσία της προστασίας δεδομένων προσωπικού χαρακτήρα, τα οποία συνοψίζονται ως ακολούθως:
Δικαίωμα πρόσβασης: Τα υποκείμενα διατηρούν το δικαίωμα να ενημερώνονται αναφορικά με τα δεδομένα τα οποία έχει στη διάθεσή της η εταιρία, καθώς και τον τρόπο που τα επεξεργάζεται. Εφόσον το επιθυμούν, μπορούν να λαμβάνουν αντίγραφα.
Δικαίωμα διόρθωσης: Μπορεί να απαιτείται η διόρθωση, η συμπλήρωση ελλιπών δεδομένων ή η επικαιροποίησή τους.
Δικαίωμα διαγραφής: Τα υποκείμενα μπορούν να ζητήσουν τη διαγραφή των δεδομένων τους, εφόσον η EURIMAC S.A. δεν τα τηρεί για κάποιο συγκεκριμένο, νόμιμο και δηλωμένο σκοπό.
Δικαίωμα περιορισμού: Μπορεί, υπό προϋποθέσεις, να απαιτηθεί η προσωρινή αναστολή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου.
Δικαίωμα εναντίωσης: Παρέχεται στα υποκείμενα η δυνατότητα να αντιταχθούν στην επεξεργασία υπό προϋποθέσεις, ιδίως για σκοπούς απευθείας εμπορικής προώθησης.
O Κανονισμός προβλέπει ως έκφανση του δικαιώματος εναντίωσης, την αντίταξη του υποκειμένου στις αυτοματοποιημένες αποφάσεις, συμπεριλαμβανομένης της κατάρτισης προφίλ. Επισημαίνεται πως η εταιρία μας δε λαμβάνει καμίας μορφής αυτοματοποιημένες αποφάσεις.
Διευκρινίζεται, επιπλέον, πως τα υποκείμενα των δεδομένων διατηρούν το δικαίωμα στη φορητότητα. Μπορούν, δηλαδή, είτε να ζητούν και να λαμβάνουν τα δεδομένά τους σε μηχαναγνώσιμη μορφή για να τα μεταφέρουν σε άλλον υπεύθυνο είτε να ζητούν τη διαβίβαση από έναν υπεύθυνο σε έναν άλλο. Το συγκεκριμένο δικαίωμα ασκείται υπό προϋποθέσεις, λαμβάνοντας υπόψη τη φύση των παρεχόμενων από τον υπεύθυνο υπηρεσιών.
Τα αιτήματα των υποκειμένων απευθύνονται μέσω ηλεκτρονικού ταχυδρομείου στον υπεύθυνο προστασίας προσωπικών δεδομένων (εφόσον έχει οριστεί) ή σε υπάλληλο επιφορτισμένο με το συγκεκριμένο καθήκον, ο οποίος οφείλει να αποκρίνεται επικουρούμενος (εφόσον χρειάζεται) από μέλη του προσωπικού.
Η EURIMAC S.A. δεσμεύεται να ικανοποιεί ανεξαιρέτως τα δικαιώματα των υποκειμένων εντός ενός μήνα από την υποβολή του σχετικού αιτήματος. Σε εξαιρετικές περιπτώσεις κι εφόσον τα αιτήματα αναμένεται να δημιουργήσουν δυσανάλογα μεγάλο βάρος για την εταιρία μας, ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) συντάσσει αιτιολογημένη γραπτή εισήγηση, την οποία απευθύνει στη διοίκηση. Στην εισήγηση, ο υπεύθυνος προστασίας αιτιολογεί λεπτομερώς την πρόθεση απόρριψης του αιτήματος που έχει υποβληθεί. Εφόσον η διοίκηση εγκρίνει τη σχετική εισήγηση, ο υπεύθυνος προστασίας επικοινωνεί με το υποκείμενο για να του ανακοινώσει την απόφαση και τους λόγους για τους οποίους, η εταιρία αρνείται να ικανοποιήσει το δικαίωμά του.
13. Γνωστοποίηση Παραβιάσεων
Στην περίπτωση που διαπιστωθεί κάποιο περιστατικό ασφαλείας, το οποίο ενδέχεται να επηρεάσει τα δικαιώματα και τις ελευθερίες των υποκειμένων, θα πρέπει να τηρείται η ακόλουθη διαδικασία:
• Tο πρόσωπο το οποίο διαπιστώνει ή μαθαίνει για την παραβίαση ενημερώνει αμέσως τον υπεύθυνο προστασίας δεδομένων (εφόσον έχει οριστεί) και τη διοίκηση.
• Η διοίκηση, ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί), ο It Manager και ο εξωτερικός συνεργάτης που έχει αναλάβει την ασφάλεια των πληροφοριακών συστημάτων και των πληροφοριών της EURIMAC S.A. (οι δύο τελευταίοι παρίστανται, εφόσον αυτό υπαγορεύεται από τη φύση της παραβίασης) καταγράφουν λεπτομερώς τη μορφή και τη φύση της παραβίασης, την ημερομηνία, τα μέσα και την πηγή της γνώσης, καθώς και το πρόσωπο που έλαβε τη σχετική ειδοποίηση για την παραβίαση, τις ενδεχόμενες συνέπειες από την παραβίαση και τα μέτρα που πρόκειται να ληφθούν για το μετριασμό των επιπτώσεων.
• Ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) ή η Διοίκηση της EURIMAC S.A. αναλαμβάνουν να ενημερώσουν την εποπτική αρχή εντός 72 ωρών.
• Σε εξαιρετικές περιπτώσεις και μόνο εφόσον συντρέχει σπουδαίος λόγος, η διοίκηση ή/και ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) αποφασίζουν από κοινού τη γνωστοποίηση της παραβίασης μετά από 72 ώρες από τη σχετική γνώση και συντάσσουν αιτιολογημένη έκθεση.
Η ΜΑΚΒΕΛ σέβεται απόλυτα τα δεδομένα σας προσωπικού χαρακτήρα και διασφαλίζει ότι η ιστοσελίδα της είναι σύννομη προς τις διατάξεις του Νόμου 2472/1997 περί «Προστασίας ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» και του Νόμου 3471/2006 περί «Προστασίας προσωπικών Δεδομένων και ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες». Σε κάθε περίπτωση, η ΜΑΚΒΕΛ επιβεβαιώνει ότι τυχόν συλλογή, επεξεργασία ή/και αποθήκευση των προσωπικών σας δεδομένων γίνεται σύμφωνα με το νόμο και μόνον κατόπιν δικής σας ρητής ειδικής συναίνεσης και αποκλειστικά και μόνον για τους σκοπούς και στο μέτρο που απαιτείται για τη λειτουργία της ιστοσελίδας και την παροχή των επιμέρους υπηρεσιών που έχετε ζητήσει σύμφωνα με τα κατωτέρω. Η Εταιρεία επιβεβαιώνει ότι δεν πρόκειται να χρησιμοποιήσει τα προσωπικά σας στοιχεία για χρήση μη ειδικώς εξουσιοδοτημένη από εσάς, ούτε να αποστείλει ή γνωστοποιήσει σε τρίτους (φυσικά ή νομικά πρόσωπα) μη συνδεδεμένους με την ΜΑΚΒΕΛ τα εν λόγω στοιχεία σας χωρίς τη δική σας ρητή και ειδική συναίνεση προς τούτο, με εξαίρεση τις περιπτώσεις όπου η γνωστοποίηση είναι απαραίτητη ή υποχρεωτική με βάση το νόμο.
Αν και η πλοήγηση στην ιστοσελίδα είναι εφικτή και χωρίς την αποκάλυψη των προσωπικών σας στοιχείων, μπορείτε να επωφεληθείτε από περισσότερες υπηρεσίες εφόσον αποδεχθείτε να αποκαλύψετε ορισμένα στοιχεία προσωπικού χαρακτήρα ανάλογα με την εκάστοτε υπηρεσία που σας ενδιαφέρει. Παραδείγματος χάρη, για την αλληλογραφία με την ΜΑΚΒΕΛ θα πρέπει επίσης να μας γνωστοποιήσετε τα στοιχεία επικοινωνίας σας (π.χ. για την λήψη ενημερωτικού/προωθητικού υλικού) κ.ά.
Επίσης, κατά την πλοήγησή σας στην ιστοσελίδα η ΜΑΚΒΕΛ δύναται να συλλέγει πληροφορίες από το λειτουργικό σύστημα του υπολογιστή σας, τον φυλλομετρητή σας (browser) και τη διεύθυνση του παρόχου διαδικτύου (IP) για την μέτρηση της επισκεψιμότητας, επί σκοπώ βελτίωσης των διαδικτυακών υπηρεσιών της.
Ανήλικοι επισκέπτες της ιστοσελίδας δύναται να έχουν πρόσβαση σε αυτή και τις υπηρεσίες της μόνο με τη συγκατάθεση και υπό την επίβλεψη των γονέων ή των κηδεμόνων τους.
