Skip to main content

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ της εταιρείας ΑΡΓΥΡΙΟΥ που εδρεύει στην Αθήνα, Λ. Βουλιαγμένης 4, 16777 Ελληνικό καλουμένη εφεξής «η Εταιρεία»

1. EIΣΑΓΩΓΗ - ΟΡΙΣΜΟΙ

1.2 Σκοπός της παρούσας Πολιτικής Προστασίας Δεδομένων είναι η συμμόρφωση προς τον Γενικό Κανονισμό Προστασίας Δεδομένων (European General Data Protection Regulation (EU) 2016/679 ("GDPR" ή «ο Κανονισμός) σε κάθε περίπτωση επεξεργασίας δεδομένων φυσικών προσώπων .

«Προσωπικά Δεδομένα» σημαίνει πληροφορίες που είναι σχετικές με ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή φυσικό πρόσωπο κα υπάρχουν είτε σε ηλεκτρονική μορφή σε Η/Υ ή σε άλλη ηλεκτρονική ή αυτόματη μορφή επεξεργασίας ή σε αρχείο αποθήκευσης εγγράφων.

"Επεξεργασία" σημαίνει συλλογή, αποθήκευση, ανάλυση, χρήση, αποκάλυψη, αρχειοθέτηση, διαγραφή ή το να μην γίνεται καμία ενέργεια επί των Προσωπικών Δεδομένων.

1.3 Η Εταιρεία Επεξεργάζεται Προσωπικά Δεδομένα πελατών, προμηθευτών, καθώς και των υπαλλήλων της, συνεργατών και άλλων φυσικών προσώπων (εφεξής τα «Υποκείμενα Δεδομένων») στο πλαίσιο της επιχειρηματικής της δραστηριότητας.

2. ΑΡΧΕΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Η εταιρεία επεξεργάζεται προσωπικά δεδομένα σύμφωνα με την παρούσα πολιτική και σύμφωνα με τις ακόλουθες αρχές:

-έχει προηγηθεί γνωστοποίησή της στους εργαζομένους και τα άλλα Υποκείμενα Δεδομένων τόσο για την επεξεργασία, όσο και για τα δικαιώματά τους.

-Τα δεδομένα υπόκεινται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο και με βάση την αρχή της αναλογικότητας προς τον σκοπό της επεξεργασίας.

-Τα Δεδομένα θα πρέπει να είναι ακριβή, ενημερωμένα, ασφαλή και να μην διατηρούνται για διάστημα μεγαλύτερο από αυτό που απαιτείται.

Για την επεξεργασία ευαίσθητων δεδομένων και την διαβίβαση δεδομένων εκτός ΕΕ ισχύουν τα όσα αναφέρονται στην παρούσα.

2.1 Η Εταιρεία θα Επεξεργάζεται μόνο Προσωπικά Δεδομένα με τρόπο θεμιτό και για ορισμένους και σαφείς σκοπούς του έννομου συμφέροντος της ιδίας και άλλων προσώπων με τα οποία αυτή συνεργάζεται στο πλαίσιο της επιχειρηματικής της δραστηριότητας, σε εκτέλεση σύμβασης με το Υποκείμενο, ή η Επεξεργασία δεν επηρεάζει, ή επηρεάζει ελάχιστα την σφαίρα της ιδιωτικότητας των Υποκειμένων Δεδομένων που αφορά. Η επεξεργασία μπορεί επίσης είτε να βασίζεται στη συναίνεση του υποκειμένου, είτε να είναι σύμφωνη με τον Νόμο ή να γίνεται σε εκπλήρωση νόμιμης υποχρέωσης.

2.2 Η Εταιρεία δεν θα Επεξεργαστεί Προσωπικά Δεδομένα τα οποία είναι άσχετα ή ακατάλληλα ή ξεπερνούν αυτό που είναι αναγκαίο με δεδομένο το σκοπό της Επεξεργασίας παρά μόνο με τη Συναίνεση του Υποκειμένου Δεδομένων. Η Εταιρεία επικαιροποιεί τα Προσωπικά Δεδομένα που δεν ισχύουν πλέον.

3. ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

3.1 Η Εταιρεία επεξεργάζεται ευαίσθητα προσωπικά δεδομένα, μόνο υπό τους όρους που ορίζει εκάστοτε ο Νόμος. Ευαίσθητα Προσωπικά Δεδομένα είναι αυτά που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή ιδιότητα μέλους εργατικού σωματίου, γενετικά και βιομετρικά δεδομένα, δεδομένα υγείας ενός ζώντος ατόμου, της ερωτικής ζωής ή της σεξουαλικής προτίμησης και ποινικές καταδίκες του Υποκειμένου.

3.2 Οταν από την επεξεργασία των ευαίσθητων προσωπικών δεδομένων μπορεί να προκληθεί στο Υποκείμενο Δεδομένων εκτεταμένη βλάβη, θα πρέπει να λαμβάνονται ιδιαίτερα μέτρα, όπως ανωνυμοποίηση. Η Εταιρεία επεξεργάζεται ευαίσθητα δεδομένα αν

3.2.1 Το Υποκείμενο Δεδομένων έχει δώσει τη δική του ρητή συναίνεση, ή

3.2.2 Η Επεξεργασία είναι αναγκαία για την εκπλήρωση υποχρεώσεων ή άσκηση συγκεκριμένων δικαιωμάτων βάσει της εργατικής νομοθεσίας και της νομοθεσίας κοινωνικής ασφάλισης, ή

3.2.3 Τα Ευαίσθητα Προσωπικά Δεδομένα έχουν καταστεί σκοπίμως δημόσια από το ίδιο το Υποκείμενο Δεδομένων ή

3.2.4 Η Επεξεργασία είναι σύμφωνη με τον Νόμο ή είναι αναγκαία για να προστατέψει τα «ζωτικά συμφέροντα» Υποκειμένου Δεδομένων (ή άλλου προσώπου) και το Υποκείμενο Δεδομένων είναι φυσικά και πνευματικά ανίκανο να δώσει Συναίνεση,

4. ΕΝΗΜΕΡΩΣΗ

4.1 Η Εταιρεία ενημερώνει τα Υποκείμενα Δεδομένων, σχετικά με την επεξεργασία των δεδομένων τους. Η ενημέρωση πραγματοποιείται πριν ξεκινήσει η Επεξεργασία των Προσωπικών τους Δεδομένων (ή, εάν γίνει αργότερα, το συντομότερο δυνατό από τη στιγμή που η Πολιτική αυτή ενεργοποιηθεί). Οι πληροφορίες παρέχονται εγγράφως, περιεκτικά, με διαφάνεια, κατανοητά και σε εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και λιτή γλώσσα.

4.2 Σημειώνονται τα ακόλουθα:

4.2.1 Τα Υποκείμενα δεδομένων που έχουν υπαλληλική σχέση με την Εταιρεία έχουν ενημερωθεί για την Επεξεργασία των Προσωπικών τους Δεδομένων από την εταιρεία, καθώς και για το δικαίωμα πρόσβασης στα Προσωπικά Δεδομένα τους, ή το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ενημερώνονται επίσης για κάθε τυχόν νέο σύστημα επεξεργασίας που προστίθεται ή αντικαθιστά το προηγούμενο, στο βαθμό που αλλάζει το είδος, ή η έκταση της επεξεργασίας.

4.2.2 Η Εταιρεία συλλέγει προσωπικά δεδομένα των υπαλλήλων της απ’ευθείας από τους ίδιους. Σε περίπτωση συλλογής δεδομένων από τρίτους, τότε θα πρέπει να ενημερώνονται οι υπάλληλοι, εκτός κι είναι προφανές γι αυτούς. Ομοίως, οι υπάλληλοι ενημερώνονται πότε η συλλογή Προσωπικών Δεδομένων γίνεται σε εντελώς προαιρετική βάση και όχι σε εκτέλεση του σκοπού εξυπηρέτησης της υπαλληλικής σχέσης.

4.2.3 Για την ενημέρωση κάθε τρίτου φυσικού προσώπου (πχ πελατών, προμηθευτών, επισκεπτών), μη υπαλλήλων της Εταιρείας, η Εταιρεία διατηρεί στην ιστοσελίδα της σχετική ανάρτηση, που περιλαμβάνει πληροφορίες για την Επεξεργασία –μη ευαίσθητων- Προσωπικών Δεδομένων.

4.2.4 Σε περίπτωση που Υποκείμενο Δεδομένων ζητήσει πληροφορίες για την επεξεργασία των δεδομένων του από την Εταιρεία, η Εταιρεία διατηρεί το δικαίωμα να αρνηθεί να παράσχει τις εν λόγω πληροφορίες για τις περιπτώσεις που αναφέρει ο Νόμος, ή αν δεν απαιτείται η γνωστοποίηση από τον Νόμο.

5. ΣΥΝΑΙΝΕΣΗ

5.1 Οταν βάση για την επεξεργασία Προσωπικών Δεδομένων είναι η συναίνεση του Υποκειμένου Δεδομένων, (πχ λόγω επεξεργασίας ευαίσθητων δεδομένων, ή διαβίβασης δεδομένων εκτός ΕΕ) απαιτείται ελεύθερα δοθείσα, σαφής εκδήλωση συμφωνίας του Υποκειμένου Δεδομένων, κατόπιν ενημέρωσής του, με την οποία το Υποκείμενο, με μία δήλωση ή με μία ρητή καταφατική ενέργεια (όπως τικάροντας ένα κουτί), συμφωνεί στην επεξεργασία των Προσωπικών Δεδομένων του. Εάν δεν δοθεί καμία απάντηση δεν μπορεί να τεκμαίρεται εξ αυτού συναίνεση.

5.2 Η συναίνεση μπορεί να αποσυρθεί οποιαδήποτε στιγμή. H συναίνεση δεν είναι βάση για την επεξεργασία των Προσωπικών Δεδομένων υπαλλήλων, εκτός αν η Επεξεργασία είναι εντελώς προαιρετική. Κατά κανόνα, βάση για την σύννομη Επεξεργασία Προσωπικών Δεδομένων για σκοπούς διαχείρισης του προσωπικού της Εταιρείας θα είναι η εκπλήρωση υποχρέωσης εκ του νόμου, η εκτέλεση σύμβασης εργασίας, η νόμιμη διαχείριση ανθρωπίνων πόρων, επαγγελματικά συμφέροντα και δεν θα πρέπει να είναι η συναίνεση του Υποκειμένου Δεδομένων.

5.3 Ρητή συναίνεση θα απαιτείται όταν σκοπός της Συλλογής και Επεξεργασίας είναι Ευαίσθητα Προσωπικά Δεδομένα, εάν δεν υπάρχει εναλλακτική νομική βάση.

5.3.1 Η συναίνεση ζητείται με τρόπο κατανοητό, χρησιμοποιώντας σαφή και κατανοητή γλώσσα, εξηγώντας στο Υποκείμενο Δεδομένων ότι είναι ελεύθερο να παραχωρεί την αιτούμενη συναίνεση χωρίς να υποστεί οποιαδήποτε αρνητική συνέπεια, και ότι μπορεί να αποσυρθεί οποιαδήποτε στιγμή, κατόπιν ενημέρωσης με έναν άμεσο τρόπο.

5.3.2 Εάν η Συναίνεση έχει δοθεί εγγράφως και το αντίστοιχο έγγραφο περιέχει και άλλα σημεία, πρέπει να είναι σίγουρο ότι η Συναίνεση είναι ξεκάθαρα διακεκριμένη από τα άλλα σημεία και

5.3.3 να είναι σίγουρο ότι η Εταιρεία μπορεί ανά πάσα στιγμή να τεκμηριώσει την συναίνεση που έχει δοθεί.

5.4 Όπου απαιτείται ρητή συναίνεση, η Εταιρεία θα παρέχει στο Υποκείμενο όλες τις πληροφορίες που απαιτεί ο Κανονισμός στο άρθρο 13 και που τίθενται στο Παράρτημα 1 και το Υποκείμενο Δεδομένων θα πρέπει τότε να κάνει μία ρητή γραπτή δήλωση (ή να συμφωνήσει ρητά σε ένα σαφές έγγραφο δήλωσης που θα του παράσχει η Εταιρεία) συμφωνώντας ότι η Επεξεργασία μπορεί να προχωρήσει.

5.5 H Εταιρεία θα επιβεβαιώνει ότι οι αρχές που τίθενται παραπάνω έχουν τηρηθεί και σε κάθε περίπτωση Διεθνούς Διαβίβασης Προσωπικών Δεδομένων.

6. ΔΙΑΤΗΡΗΣΗ ΚΑΙ ΚΑΤΑΣΤΡΟΦΗ

Η Εταιρεία πρέπει να γνωρίζει και, σε ορισμένες περιπτώσεις που ορίζει ο νόμος, οφείλει να διατηρεί αρχείο των δραστηριοτήτων επεξεργασίας. Το Αρχείο Επεξεργασίας περιέχει τα στοιχεία που αναφέρονται στο Παράρτημα 2 .

Η Εταιρεία θα διαγράφει ή ανωνυμοποιεί ή περιορίζει/καταργεί την επεξεργασία Προσωπικών Δεδομένων όταν δεν υπάρχει πλέον ανάγκη, σύμφωνα με τον εφαρμοστέο νόμο ή σχετική πολιτική διατήρησης της εταιρείας. Εφόσον φυλάγονται αρχεία που περιέχουν Προσωπικά Δεδομένα σύμφωνα με τον εφαρμοστέο νόμο και με την παρούσα πολιτική, οι υπάλληλοι που είναι υπεύθυνοι για αυτά θα πρέπει να τα ελέγχουν συχνά και να διαγράφουν Προσωπικά Δεδομένα (ή αρχεία που περιέχουν αυτά) που δεν είναι πλέον απαραίτητα, για παράδειγμα διαγράφοντας ηλεκτρονικές διευθύνσεις από φακέλους ηλεκτρονικής αλληλογραφίας.

7. ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΣΥΜΒΑΣΕΙΣ ΤΡΙΤΩΝ

7.1 Η Εταιρεία φροντίζει να έχει υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας για να προστατεύσει όλα τα Προσωπικά Δεδομένα που επεξεργάζεται σύμφωνα με τις πολιτικές ασφαλείας της.

7.2 Όπου η Εταιρεία αναθέτει την Επεξεργασία Προσωπικών Δεδομένων σε οποιοδήποτε τρίτο μέρος πάροχο υπηρεσιών θα:

7.2.1 διεξάγει ελέγχους των τεχνικούς στην τεχνική και οργανωτική μέτρων ασφαλείας που ο πάροχος υπηρεσιών θα έχει υιοθετήσει για την προστασία αυτών των Προσωπικών Δεδομένων,

7.2.2 εξασφαλίζει ότι τα ανωτέρω μέτρα ρυθμίζονται από μία γραπτή συμφωνία που θέτει υποχρεώσεις στον πάροχο υπηρεσιών της παρούσας Πολιτικής και

7.2.3 λαμβάνει εύλογα μέτρα (για παράδειγμα ασκώντας δικαίωμα ελέγχου και/ή κάνοντας έρευνα για τον πάροχο υπηρεσιών) για να επιβεβαιώσει ότι τα μέτρα ασφαλείας που απαιτούνται από τον πάροχο υπηρεσιών έχουν υιοθετηθεί στο πέρασμα του χρόνου κατά τη διάρκεια ισχύος της σχετικής συμφωνίας επεξεργασίας.

7.3 Οι συμβάσεις με τρίτα μέρη παρόχους υπηρεσιών συμπεριλαμβάνουν ειδικούς όρους συμπεριλαμβανομένου δικαιώματος ελέγχου.

7.4 Η Εταιρεία είναι υποχρεωμένη να αναφέρει ορισμένες παραβιάσεις της ασφάλειας που επηρεάζουν τα Προσωπικά Δεδομένα στις αρμόδιες αρχές προστασίας δεδομένων και σε ορισμένες περιπτώσεις είναι υποχρεωμένη να ενημερώνει τα επηρεαζόμενα Υποκείμενα Δεδομένων. Υπάλληλος που πληροφορείται ή υποπτεύεται τέτοια παραβίαση πρέπει να την αναφέρει απευθείας στον Συντονιστή Προσωπικών Δεδομένων της Εταιρείας, ώστε να μπορέσει η Εταιρεία να συμμορφωθεί με τις νόμιμες υποχρεώσεις της και, γενικά, να ερευνήσει και να ανταποκριθεί στην εν λόγω παραβίαση. Για τα θέματα βιντεοεπιτήρησης τηρούνται τα οριζόμενα στο Παράρτημα 3 της παρούσας.

8. ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΔΕΔΟΜΕΝΩΝ

8.1 Το Υποκείμενο Δεδομένων έχει το δικαίωμα:

8.1.1 να λαμβάνει ένα αντίγραφο Προσωπικών Δεδομένων που διατηρεί η Εταιρεία για το Υποκείμενο αυτό, με ορισμένες σχετικές πληροφορίες

8.1.2 να ζητά από τη Εταιρεία, χωρίς αναίτια καθυστέρηση, να επικαιροποιεί ή να διορθώνει οποιοδήποτε ανακριβές Προσωπικό Δεδομένο, ή να συμπληρώνει Προσωπικά Δεδομένα που είναι ελλιπή, αναφορικά με αυτό

8.1.3 να απαιτεί από τη Εταιρεία να παύει να επεξεργάζεται τα Προσωπικά του Δεδομένα για Σκοπούς απευθείας προώθησης και

8.1.4 να αντιτίθεται στην επεξεργασία των Προσωπικών του Δεδομένων

8.2 Τα Υποκείμενα Δεδομένων έχουν δικαίωμα μεταξύ άλλων:

8.2.1 να απαιτούν από τη Εταιρεία, χωρίς αναίτια καθυστέρηση, να διαγράφει τα Προσωπικά τους Δεδομένα

8.2.2 να «περιορίζουν» προσωρινά ή μόνιμα (π.χ. αναστολή) την Επεξεργασία των Προσωπικών τους Δεδομένων, έτσι ώστε να μπορεί μόνο να συνεχιστεί υποκείμενη σε πολύ αυστηρούς περιορισμούς και

8.2.3 να απαιτούν τα Προσωπικά Δεδομένα τα οποία έχουν παράσχει στη Εταιρεία και τα οποία έτυχαν Επεξεργασίας με βάση τη Συναίνεση τους ή κατά την εκτέλεση μίας σύμβασης με αυτά, να είναι «προσβάσιμα» σε αυτά ή σε έναν εναλλακτικό πάροχο υπηρεσιών.

8.3 Εάν η Εταιρεία λάβει μία επικοινωνία από οποιοδήποτε Υποκείμενο Δεδομένων, με την οποία ζητά την άσκηση οποιουδήποτε από αυτά τα δικαιώματα, θα πρέπει να διαχειρίζεται αυτή την επικοινωνία σύμφωνα με συγκεκριμένη διαδικασία «Αιτήματος Πρόσβασης Υποκειμένου».

9. ΑΥΤΟΜΑΤΗ ΑΠΟΦΑΣΗ - ΛΗΨΗ ΜΕΤΡΩΝ (συμπεριλαμβανομένου profiling) ΔΙΕΘΝΗΣ ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ

9.1 Η Εταιρεία μπορεί να διαβιβάζει Προσωπικά Δεδομένα εκτός της ΕΕ μόνο:

9.1.1 Όπου η Διαβίβαση γίνεται σε χώρα ή άλλη περιοχή που αξιολογείται από την Ευρωπαϊκή Επιτροπή ότι εξασφαλίζει επαρκές επίπεδο προστασίας Προσωπικών Δεδομένων

9.1.2 Όπου τα Υποκείμενα Δεδομένων έχουν δώσει τη σαφή τους Συναίνεση για να λάβει χώρα η Διαβίβαση ή

9.1.3 Όπου η Διαβίβαση είναι σύμφωνη με τον Νόμο.

9.2 Η Εταιρεία δεν θα προβαίνει σε αυτόματη Επεξεργασία Προσωπικών Δεδομένων για να λάβει αποφάσεις που παράγουν έννομες συνέπειες που αφορούν Υποκείμενα Δεδομένων, αποκλειστικά από την εν λόγω αυτόματη επεξεργασία, παρά μόνο υπό τους όρους και προϋποθέσεις του GDPR και άλλων εφαρμοστέων νόμων.

10. ΥΠΟΧΡΕΩΣΗ ΤΗΡΗΣΗΣ ΤΗΣ ΠΑΡΟΥΣΑΣ ΠΟΛΙΤΙΚΗΣ

Όλα τα πρόσωπα, φυσικά ή νομικά που Επεξεργάζονται Προσωπικά Δεδομένα για λογαριασμό ή εξ ονόματος της Εταιρείας, συμπεριλαμβανομένων των συνεργατών και υπαλλήλων της, πρέπει να συμμορφώνονται με την πολιτική και να αναφέρουν κάθε υφιστάμενη ή πιθανή παραβίασή του στον Υπεύθυνο Προστασίας Δεδομένων της Εταιρείας. Η μη συμμόρφωση με την παρούσα πολιτική αποτελεί σοβαρή παράβαση που επιφέρει κάθε είδους νόμιμες κυρώσεις, (ακόμη και απόλυση).

Παράλληλα κάθε υπάλληλος και κάθε υπεύθυνος τμήματος της Εταιρείας ενημερώνει τον Συντονιστή Προστασίας Δεδομένων για κάθε νέα επεξεργασία Προσωπικών Δεδομένων, ώστε να είναι το αρχείο επεξεργασιών πάντοτε ενημερωμένο.

11. O ΣΥΝΤΟΝΙΣΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Η Εταιρεία έχει διορίσει τον συντονιστή προστασίας δεδομένων («Συντονιστής Προστασίας Δεδομένων»), για να επιβλέπει την τήρηση του Κανονισμού και να απαντά σε ερωτήσεις/αιτήματα/καταγγελίες υποκειμένων δεδομένων.

Ο Συντονιστής Προστασίας Δεδομένων μπορεί να τηρεί και τα αρχεία που απαιτούνται για την απόδειξη συμμόρφωσης της εταιρείας προς τον κανονισμό (αρχείο επεξεργασιών, έντυπα συναίνεσης, καταγραφή ΑΠΥ, κλπ)

12. ΣΥΝΕΡΓΑΣΙΑ ΜΕ ΤΙΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Η εταιρεία είναι υποχρεωμένη να συνεργάζεται με τις αρμόδια Αρχή Προστασίας Δεδομένων κατά την εκτέλεση των εργασιών τους. Κάθε επικοινωνία που λαμβάνεται από μία αρμόδια αρχή προστασίας δεδομένων θα πρέπει να διαβιβάζεται στον Συντονιστή Προστασίας Δεδομένων όσο πιο σύντομα είναι πρακτικά δυνατόν.

ΠΑΡΑΡΤΗΜΑ 1

Οι πληροφορίες που παρέχονται στα υποκείμενα δεδομένων Σύμφωνα με το άρθρο 13 του Κανονισμού, οι πληροφορίες που αναφέρονται στην παρούσα Πολιτική είναι:

1. η ταυτότητα και λεπτομέρειες επικοινωνίας των συνεργατών της Εταιρείας που ελέγχουν την Επεξεργασία των σχετικών Προσωπικών Δεδομένων

2. τα στοιχεία επικοινωνίας του ή Υπευθύνου Προστασίας Δεδομένων του συνεργάτη της Εταιρείας, όπου υπάρχει

3. τους σκοπούς για τους οποίους ο συνεργάτης της Εταιρείας σκοπεύει να Επεξεργαστεί τα Προσωπικά Δεδομένα

4. τη νομική βάση για την Επεξεργασία (για παράδειγμα, έννομο συμφέρον, συναίνεση)

5. το έννομο συμφέρον που επιδιώκει η Εταιρεία ή άλλο πρόσωπο στο οποίο έχει αναθέσει η Εταιρεία να εξηγήσει την Επεξεργασία, όπου η Επεξεργασία βασίζεται στη βάση του έννομου συμφέροντος,.

6. όπου η Εταιρεία δεν συλλέγει τα Προσωπικά Δεδομένα απευθείας από το Υποκείμενο Δικαιωμάτων αλλά από τρίτο μέρος, οι κατηγορίες των Προσωπικών Δεδομένων που έχουν συλλεγεί και οι πηγές από τις οποίες έχουν συλλεγεί αυτά

7. οποιοσδήποτε επιθυμητός παραλήπτης ή κατηγορία παραλήπτη των Προσωπικών Δεδομένων (αυτό σημαίνει παραλήπτης εκτός της Εταιρεία, όπως τρίτο μέρος πάροχος υπηρεσιών )

8. τυχόν πρόθεση της εταιρείας να Διαβιβάσει τα Προσωπικά Δεδομένα σε μία χώρα ή περιοχή εκτός της Ευρωπαϊκής Περιοχής, μαζί με πληροφορίες όπως:

8.1.1 εάν η εν λόγω χώρα έχει αποφασιστεί από την Ευρωπαϊκή Επιτροπή ότι εξασφαλίζει επαρκές επίπεδο προστασίας για τα Προσωπικά Δεδομένα και

8.2 άλλως η Εταιρεία αποδεικνύει ότι έχει υιοθετήσει επαρκή μέτρα προστασίας για τα Προσωπικά Δεδομένα που Διαβιβάζονται σε αυτή τη χώρα ή σε περιοχή, (πχ συμφωνητικό διαβίβασης δεδομένων με τις συμβατικές ρήτρες που έχει εγκρίνει η Ευρωπαϊκή Επιτροπή), η φύση αυτών των μέτρων προστασίας και ένα αντίγραφο αυτών μπορούν να ζητηθούν από τον Συντονιστή Προστασίας Δικαιωμάτων

9. η περίοδος για την οποία τα Προσωπικά Δεδομένα μπορούν να είναι αποθηκευμένα, ή αν αυτό είναι δυνατόν, τα κριτήρια που συνηθίζονται για αποφασιστεί αυτή η περίοδος

10. η ύπαρξη του νόμιμου δικαιώματος να ζητήσει από τη Εταιρεία πρόσβαση και διόρθωση ή διαγραφή της Επεξεργασίας των δεδομένων των Υποκείμενων ή να προβάλει αντιρρήσεις στην Επεξεργασία καθώς και το δικαίωμα στη φορητότητα των δεδομένων και ότι αυτά τα δικαιώματα μπορούν να ασκηθούν μέσω της επικοινωνίας με τον Συντονιστή ή τον Υπεύθυνο Προστασίας Δεδομένων.

11. ότι τα Υποκείμενα Δεδομένων μπορούν, εάν φυσικά το επιθυμούν, να υποβάλουν καταγγελία κατά της Επεξεργασία των Προσωπικών Δεδομένων τους από τη Εταιρεία στην αρμόδια αρχή προστασίας δεδομένων

12. όπου η Εταιρεία συλλέγει τα Προσωπικά Δεδομένα απευθείας από τα Υποκείμενα Δεδομένων, είτε η παροχή των αιτούμενων Προσωπικών Δεδομένων προκύπτει από νομοθετική ή συμβατική υποχρέωση, ή μία απαραίτητη προϋπόθεση για να συνάψει μία σύμβαση και εάν το Υποκείμενο Δεδομένων είναι υποχρεωμένο να παράσχει τα Προσωπικά Δεδομένα και τις πιθανές επιπτώσεις σε περίπτωση αδυναμίας παροχής και

13. λεπτομερείς πληροφορίες σχετικά με οποιεσδήποτε τεχνικές αυτόματης λήψης αποφάσεων που πιθανόν να χρησιμοποιούνται και, όπου είναι εφαρμοστέο, τα δικαιώματα των ατόμων να υποβάλουν ένσταση στην υιοθέτηση οποιασδήποτε αυτοματοποιημένης απόφασης τα επηρεάζει.

ΠΑΡΑΡΤΗΜΑ 2

ΑΡΧΕΙΑ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΚΑΤΑΧΩΡΗΣΕΙΣ

Α. Αρχεία Δραστηριοτήτων

1. Η Εταιρεία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνη. Το αρχείο αυτό περιλαμβάνει τις ακόλουθες πληροφορίες:

α) το όνομα ή τον τίτλο και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων

β) τους σκοπούς της επεξεργασίας

γ) τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς

δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα

ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ στ) όπου συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό

ζ) αναφορά της νομικής βάσης της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα

η) εφόσον είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα

θ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που λαμβάνει η Εταιρεία για την τήρηση του νόμου

2. Η Εταιρεία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργεί η ίδια ή μέσω τρίτων εκτελούντων την επεξεργασία το οποίο και περιλαμβάνει τα ακόλουθα:

α) το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων

β) τις κατηγορίες επεξεργασίας που διεξάγεται για λογαριασμό κάθε υπεύθυνου επεξεργασίας

γ) κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας

δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που υιοθετεί η εταιρεία

3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς μεταξύ άλλων σε ηλεκτρονική μορφή.

Β. Καταχωρήσεις

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τηρούν καταχωρίσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήματα αυτοματοποιημένης επεξεργασίας: συλλογή, μεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαμβανομένων των διαβιβάσεων, συνδυασμό και διαγραφή.

2. Οι καταχωρίσεις της αναζήτησης πληροφοριών και της αποκάλυψης αυτών πρέπει να γίνονται κατά τρόπο, ώστε να είναι δυνατός ο προσδιορισμός της αιτιολόγησης, της ημερομηνίας και της ώρας που έλαβαν χώρα οι πράξεις που αναφέρονται στην παράγραφο 1 και, στο βαθμό του εφικτού, η ταυτοποίηση των προσώπων που συμμετέχουν σε αυτές και ιδίως του προσώπου που αναζήτησε πληροφορίες ή αποκάλυψε δεδομένα προσωπικού χαρακτήρα, καθώς και η ταυτότητα των αποδεκτών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

3. Ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη τις απαιτήσεις των παραγράφων 1 και 2 ήδη κατά τον σχεδιασμό των επεξεργασιών και των αντίστοιχων συστημάτων και διαδικασιών.

4. Με την επιφύλαξη δικονομικών κανόνων, οι καταχωρίσεις αυτές επιτρέπεται να χρησιμοποιηθούν αποκλειστικά για την επαλήθευση της νομιμότητας της επεξεργασίας, την άσκηση εσωτερικού ελέγχου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα επεξεργασία, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο ποινικών διαδικασιών.

5. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τις καταχωρήσεις στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος αυτής

ΠΑΡΑΡΤΗΜΑ 3

ΚΑΝΟΝΕΣ ΓΙΑ ΒΙΝΤΕΟΕΠΙΤΗΡΗΣΗ

Συστήματα που είναι μόνιμα εγκατεστημένα σε έναν χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήματα και έχουν τη δυνατότητα λήψης ή/και μετάδοσης σήματος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισμένο αριθμό οθονών προβολής ή/και μηχανημάτων καταγραφής από την εταιρεία ή για λογαριασμό της εταιρείας διέπονται από τους κατωτέρω κανόνες.

1. Τα δεδομένα δεν πρέπει να τηρούνται για μεγαλύτερο χρονικό διάστημα από όσο απαιτείται ενόψει του επιδιωκόμενου κάθε φορά σκοπού επεξεργασίας. Εφόσον από τη λήψη δεδομένων ήχου και εικόνας που αποθηκεύονται ή τη λήψη που γίνεται σε πραγματικό χρόνο δεν προκύπτει επέλευση συμβάντος που εμπίπτει στον επιδιωκόμενο σκοπό, τα δεδομένα πρέπει να καταστρέφονται το αργότερο μέσα σε δεκαπέντε (15) ημερολογιακές ημέρες, με την επιφύλαξη ειδικότερων διατάξεων της κείμενης νομοθεσίας που ισχύουν για συγκεκριμένες κατηγορίες υπεύθυνων επεξεργασίας. Σε περίπτωση συμβάντος που αφορά τον σκοπό της επεξεργασίας, η Εταιρεία επιτρέπεται να τηρεί τις λήψεις, στις οποίες έχει καταγραφεί το συγκεκριμένο συμβάν σε χωριστό αρχείο για τρεις (3) μήνες. Μετά την πάροδο του ανωτέρω χρονικού διαστήματος η Εταιρεία μπορεί να τηρεί τα δεδομένα για μεγαλύτερο συγκεκριμένο χρονικό διάστημα μόνο σε εξαιρετικές περιπτώσεις όπου το συμβάν χρήζει περαιτέρω διερεύνησης. Στην περίπτωση αυτή η Εταιρεία έχει την υποχρέωση να ενημερώσει την Αρχή για το αναγκαίο χρονικό διάστημα τήρησης των εν λόγω λήψεων .

2. Η διαβίβαση σε τρίτους δεδομένων που προέρχονται από σύστημα βιντεοεπιτήρησης επιτρέπεται στις εξής περιπτώσεις: α) Κατόπιν προηγούμενης συγκατάθεσης του υποκειμένου των δεδομένων. β) Κατ’ εξαίρεση, η διαβίβαση επιτρέπεται και χωρίς συγκατάθεση μετά από ειδικά αιτιολογημένη αίτηση τρίτου, όταν τα δεδομένα είναι αναγκαίο να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή μιας αξιόποινης πράξης και μπορούν να συνεισφέρουν στη διερεύνηση των πραγματικών περιστατικών ή στην αναγνώριση των δραστών. Δεν θεωρείται διαβίβαση σε τρίτους η διαβίβαση των δεδομένων προσωπικού χαρακτήρα στις αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές που οι τελευταίες ζητούν νομίμως κατά την άσκηση των καθηκόντων τους.

3. Η Εταιρεία οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για το απόρρητο και την ασφάλεια των δεδομένων καθώς και για την προστασία τους από κάθε μορφή παράνομης ή αθέμιτης επεξεργασίας, όπως τον έλεγχο της πρόσβασης ή την ασφαλή διαβίβαση.

4. Πριν ένα πρόσωπο εισέλθει στην εμβέλεια του συστήματος βιντεοεπιτήρησης, η Εταιρεία οφείλει να το ενημερώνει, με τον κατά περίπτωση πρόσφορο, εμφανή και κατανοητό τρόπο, ότι πρόκειται να εισέλθει σε χώρο όπου βρίσκεται σε λειτουργία κλειστό κύκλωμα τηλεόρασης και να παραθέτει πληροφορίες για τον σκοπό επεξεργασίας, τη φύση του συστήματος που χρησιμοποιείται, τους χώρους εγκατάστασης και την εμβέλεια και το χρονικό διάστημα τήρησης των δεδομένων.

5. Με την επιφύλαξη των διατάξεων του άρθρου 15 του Κανονισμού, όταν ασκείται το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε δεδομένα εικόνας και ήχου που τηρεί ο υπεύθυνος επεξεργασίας – αυτός έχει υποχρέωση να χορηγεί εντός δεκαπέντε (15) ημερών από την υποβολή της σχετικής αίτησης αντίγραφο του τμήματος της εγγραφής σήματος εικόνας όπου έχει καταγραφεί το υποκείμενο των δεδομένων ή έντυπη σειρά στιγμιότυπων από τις καταγεγραμμένες εικόνες ή, αναλόγως, να ενημερώσει εγγράφως το ενδιαφερόμενο πρόσωπο μέσα στην ίδια χρονική διορία είτε ότι δεν απεικονίζεται είτε ότι το σχετικό τμήμα της εγγραφής δεν διατηρείται πλέον. Εναλλακτικά, εφόσον συμφωνεί και το υποκείμενο των δεδομένων, η Εταιρεία μπορεί απλώς να επιδείξει, άμεσα, το ανωτέρω τμήμα. Προς το σκοπό αυτό το υποκείμενο των δεδομένων οφείλει να υποδείξει την ακριβή ώρα και τον τόπο που ευρέθη στην εμβέλεια των καμερών.

6. Όταν χορηγεί αντίγραφο εικόνας, η Εταιρεία οφείλει να καλύπτει την εικόνα τρίτων προσώπων με κάθε ενδεικνυόμενο τεχνικό μέσο, εφόσον ενδέχεται να παραβιάζεται το δικαίωμά τους στην ιδιωτική ζωή, εκτός αν πρόκειται για απλή επίδειξη.

7. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος τηλεόρασης δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.

8. Διαβίβαση δεδομένων βιντεοεπιτήρησης εκτός ΕΕ δύναται να πραγματοποιηθεί μόνο υπό τους όρους του Νόμου.