ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ - ΠΟΛΥΤΙΚΗ ΑΠΟΡΡΗΤΟΥ
ΑΝΑΠΤΥΞΙΑΚΗΣ ΕΤΑΙΡΕΙΑΣ
ΕΠΑΡΧΙΩΝ ΛΑΡΝΑΚΑΣ - ΑΜΜΟΧΩΣΤΟΥ
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ
ΚΕΦΑΛΑΙΟ 1: ΕΙΣΑΓΩΓΗ, ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΚΑΙ ΒΑΣΙΚΕΣ ΑΡΧΕΣ
ΑΡΘΡΟ 1 – ΕΙΣΑΓΩΓΗ..............................................................................................................................
ΑΡΘΡΟ 2 – ΣΚΟΠΟΣ................................................................................................................................
ΑΡΘΡΟ 3 – ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ.............................................................................................................
ΑΡΘΡΟ 4 – ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ......................................................................................................
ΑΡΘΡΟ 5 – ΒΑΣΙΚΕΣ ΑΡΧΕΣ.....................................................................................................................
ΚΕΦΑΛΑΙΟ 2: ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ, ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ
ΑΡΘΡΟ 6 – ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ..........................................................................
ΑΡΘΡΟ 7 – ΕΝΗΜΕΡΩΣΗ ΥΠΟΚΕΙΜΕΝΟΥ...............................................................................................
ΑΡΘΡΟ 8 – ΣΤΟΙΧΕΙΑ ΠΟΥ ΠΕΡΙΛΑΜΒΑΝΟΝΤΑΙ ΣΤΗ ΔΗΛΩΣΗ
ΕΝΗΜΕΡΩΣΗΣ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ........................................................................................................
ΑΡΘΡΟ 9 – ΝΟΜΙΚΗ ΒΑΣΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ......................................................................
ΑΡΘΡΟ 10 – ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ................................................................................................
ΑΡΘΡΟ 11 – ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ...................................................................................
ΑΡΘΡΟ 12 – ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ ..................................................................................
ΚΕΦΑΛΑΙΟ 3: ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΑΡΘΡΟ 13 – ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ «HΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ» ΚΑΙ «ΕΞ ΟΡΙΣΜΟΥ»....................
ΑΡΘΡΟ 14 – ΟΡΓΑΝΩΤΙΚΑ ΚΑΙ ΤΕΧΝΙΚΑ ΜΕΤΡΑ....................................................................................
ΑΡΘΡΟ 15 – ΑΡΧΕΙΑ (ΜΗΤΡΩΑ) ΔΙΕΡΓΑΣΙΩΝ........................................................................................
ΑΡΘΡΟ 16 – ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ .......................................................
ΑΡΘΡΟ 17 – ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ........................................................................
ΑΡΘΡΟ 18 – ΜΗΤΡΩΟ ΚΑΤΑΓΡΑΦΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΠΑΡΑΒΙΑΣΗΣ......................................................
ΑΡΘΡΟ 19 – ΑΝΑΚΟΙΝΩΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ.......................................................................
ΚΕΦΑΛΑΙΟ 4: ΔΙΑΧΕΙΡΙΣΗ ΕΚΕΤΕΛΟΥΝΤΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ...........................................................
ΑΡΘΡΟ 20 – ΡΗΤΡΕΣ ΣΥΜΒΑΣΕΩΝ........................................................................................................
ΚΕΦΑΛΑΙΟ 5: ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ
ΟΡΓΑΝΙΣΜΟΥΣ ....................................................................................................................................
ΑΡΘΡΟ 21 – ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ
ΟΡΓΑΝΙΣΜΟΥΣ......................................................................................................................................
ΠΑΡΑΡΤΗΜΑ.......................................................................................................................................
ΕΝΝΟΙΕΣ & ΟΡΙΣΜΟΙ ...........................................................................................................................
ΚΕΦΑΛΑΙΟ 1: ΕΙΣΑΓΩΓΗ, ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΚΑΙ ΒΑΣΙΚΕΣ ΑΡΧΕΣ
ΑΡΘΡΟ 1 – ΕΙΣΑΓΩΓΗ
H Αναπτυξιακή Εταιρεία Επαρχιών Λάρνακας – Αμμοχώστου (εφεξής «ΑΝΕΤΕΛ») συλλέγει και επεξεργάζεται προσωπικά δεδομένα ή δεδομένα προσωπικού χαρακτήρα στο πλαίσιο:
• των δραστηριοτήτων της οι οποίες, μεταξύ άλλων, αφορούν:
- Την δημιουργία προϋποθέσεων και τη προώθηση διαδικασιών στρατηγικού και επιχειρησιακού προγραμματισμού και σχεδιασμού καθώς επίσης και την ανάληψη ουσιαστικού ρόλου στήριξης και υλοποίησης αναπτυξιακών προγραμμάτων, έργων και πρωτοβουλιών μέσα από συμμετοχικές διαδικασίες που θα αξιοποιούν στο μέγιστο όλες τις τοπικές δυνάμεις και εκφράζονται και μέσα από την Τοπική Αυτοδιοίκηση αλλά και τους λοιπούς τοπικούς φορείς ή ευρύτερους φορείς, οργανισμούς, παραγωγικές τάξεις και κοινωνικές ομάδες. Στόχος είναι η βελτίωση της λειτουργίας και αποτελεσματικότητας των παραπάνω καθώς και η γενικότερη υποστήριξη της αναπτυξιακής διαδικασίας.
- Τη συμβολή στην αναβάθμιση και αξιοποίηση του φυσικού περιβάλλοντος και στην διατήρηση των οικολογικών ισορροπιών μέσα από το σχεδιασμό και υλοποίηση προγραμμάτων και έργων προστασίας περιβάλλοντος, την ορθολογική διαχείριση και αξιοποίηση φυσικών πόρων, την διαρκή πληροφόρηση και ευαισθητοποίηση του κοινού και την διασφάλιση της συμβατότητας κάθε αναπτυξιακού προγράμματος και έργου με την προστασία της φύσης και την αειφόρο ανάπτυξη.
- Την προώθηση και στήριξη εναλλακτικών και ήπιων μορφών τουρισμού συμβατών με την προστασία και ανάδειξη της ισορροπίας του ανθρωπογεωγραφικού περιβάλλοντος.
- Την μέριμνα για τη μελέτη - κατασκευή- βελτίωση – επέκταση – διαχείριση και αξιοποίηση της τεχνικής, κοινωνικής – πολιτιστικής και αναπτυξιακής υποδομής της ευρύτερης περιοχής καθώς και άλλων περιοχών και η εκπόνηση μελετών και κατασκευή έργων με παράλληλη διασφάλιση της συμβατότητας κάθε έργου και προγράμματος με την προστασία της φύσης.
- Την δημιουργία, συμμετοχή και ανάπτυξη δικτύων, μέσων, μηχανισμών και διαδικασιών συνεχούς βελτίωσης της ενημέρωσης - πληροφόρησης – επικοινωνίας – συνεργασίας των πολιτών, των δημόσιων φορέων, των αναπτυξιακών οργανισμών κάθε είδους, των παραγωγικών τάξεων, των εκμεταλλεύσεων, των επιχειρήσεων κ.α. μεταξύ τους αλλά και με το ευρύτερο Ευρωπαϊκό Περιφερειακό, Εθνικό και Τοπικό περιβάλλον, με το σχεδιασμό σχετικών προγραμμάτων και τη δημιουργία υποδομών και δικτύων και σύγχρονης επικοινωνίας και διάχυσης της πληροφορίας.
- Την ανάληψη, εκπόνηση, εκτέλεση, παρακολούθηση, αξιολόγηση για το ίδιο λογαριασμό, για λογαριασμό των μετόχων της ή και τρίτων νομικών ή φυσικών προσώπων, προτάσεων, προγραμμάτων, έργων, εργασιών και μελετών πάσης φύσεως (π.χ. στρατηγικού και επιχειρησιακού σχεδιασμού, κλαδικών μελετών, σύνταξη επενδυτικών σχεδίων, διερεύνηση επενδυτικών δυνατοτήτων και πηγών χρηματοδότησης κ.α.)
- Την ανάληψη, εκπόνηση, εκτέλεση, παρακολούθηση, αξιολόγηση για λογαριασμό όλων των πιο πάνω αναφερομένων προσώπων κάθε κατηγορίας Κοινοτικών και Εθνικών προγραμμάτων (ολοκληρωμένων και μη) και η αξιοποίηση και διαχείριση των χρηματοδοτήσεων που έχουν σχέση με αυτά.
- Τη συνεχή και ουσιαστική συμβολή στην προώθηση της απασχόλησης και καταπολέμησης της ανεργίας των κατοίκων των παραγωγικών τάξεων και συντελεστών, των αγροτών, των γυναικών, της νεολαίας κ.α. με την ανάληψη ή προώθηση κάθε λογής πρωτοβουλιών και το σχεδιασμό και υλοποίηση προγραμμάτων και συναφών ενεργειών έρευνας αγοράς εργασίας, επιμόρφωσης, επαγγελματικής κατάρτισης, εξειδίκευσης και συνολικής συνοδευτικής υποστήριξης.
- Τη παροχή επαγγελματικού επιπέδου συγκεκριμένων και εξειδικευμένων υπηρεσιών ( βάσει των νόμιμων και ισχυόντων προδιαγραφών και κατευθύνσεων των αρμόδιων Ευρωπαϊκών και Εθνικών φορέων) κοινωνικής υποστήριξης και προώθησης της απασχόλησης προς πληθυσμιακές ομάδες και κατηγορίες που για αντικειμενικούς ή υποκειμενικούς λόγους είναι ήδη αποκλειόμενες ή απειλούνται σοβαρά με αποκλεισμό από την αγορά εργασίας.
- Τη σύσταση ή τη συμμετοχή σε Κέντρα Επαγγελματικής Κατάρτισης (συνεχιζόμενης επαγγελματικής κατάρτισης και καταπολέμησης του κοινωνικού αποκλεισμού, σύμφωνα με τις εκάστοτε νόμιμες προδιαγραφές, προϋποθέσεις και πιστοποιήσεις).
- Την ενίσχυση και προώθηση της κοινωνικής αλληλεγγύης (προγράμματα βοήθειας, κοινωνικό κεφάλαιο κ.α.)
- Τη προώθηση πρωτοβουλιών για την ανάπτυξη πνεύματος συνεργασίας και αλληλεγγύης, με στόχο την διατήρηση της ιστορικής -πολιτιστικής κληρονομιάς και την εξασφάλιση της συνέχειας της με στήριξη της σημερινής παραγωγής και πολιτιστικής δημιουργίας.
• της άσκησης των λειτουργιών της π.χ. δεδομένα εργαζομένων με σχέση εξαρτημένης εργασίας, έμμισθης εντολής ή άλλως απασχολούμενους και προσώπων τα οποία διατηρούν σχέση συνεργασίας με την Εταιρεία υπό οποιουσδήποτε όρους.
Η επεξεργασία των εν λόγω δεδομένων, η οποία αποτελεί απαραίτητη προϋπόθεση για την ομαλή εκτέλεση των εργασιών της καθώς και για την υποστήριξη και παρακολούθηση των πάσης φύσεως σχέσεων της Εταιρείας με τα υποκείμενα των δεδομένων, πραγματοποιείται σύμφωνα με τις απαιτήσεις του υφιστάμενου νομοθετικού και κανονιστικού πλαισίου για την προστασία δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός Προστασίας Δεδομένων - ΓΚΠΔ και σχετική κυπριακή νομοθεσία).
ΑΡΘΡΟ 2 – ΣΚΟΠΟΣ
Η παρούσα Πολιτική θέτει τις βασικές αρχές για την αποτελεσματική διαχείριση και προστασία των δεδομένων προσωπικού χαρακτήρα στην Εταιρεία καθώς και τη διατήρηση του απορρήτου των δεδομένων αυτών και περιγράφει τις κατευθύνσεις και τους στόχους της Εταιρείας σχετικά με τα οργανωτικά και τεχνικά μέτρα.
ΑΡΘΡΟ 3 – ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ
Η παρούσα Πολιτική βρίσκει εφαρμογή στην Εταιρεία, δυνάμενη να επεκταθεί σε τρίτα μέρη, συνεργάτες, προμηθευτές κ.ά., οι οποίοι παραλαμβάνουν, διαβιβάζουν, συλλέγουν, αποκτούν πρόσβαση ή επεξεργάζονται με οποιονδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα εκ μέρους της Εταιρείας , είτε ως από κοινού υπεύθυνοι επεξεργασίας, είτε ως εκτελούντες την επεξεργασία (data processor).
Η εν λόγω Πολιτική αφορά οποιαδήποτε μορφή δεδομένων, συστημάτων, διεργασιών και διαδικασιών που αφορούν στη συλλογή, αποθήκευση, χρήση ή μεταφορά δεδομένων προσωπικού χαρακτήρα, τα οποία διαχειρίζεται η Εταιρεία στο πλαίσιο των δραστηριοτήτων της.
Δεν έχει εφαρμογή μόνο στις περιπτώσεις κατά τις οποίες η Εταιρεία λειτουργεί ως εκτελών την επεξεργασία.
ΑΡΘΡΟ 4 – ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
Ως προσωπικό δεδομένο ορίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
ΑΡΘΡΟ 5 – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
H προστασία των προσωπικών δεδομένων στην Εταιρεία διέπεται από τις ακόλουθες βασικές αρχές:
Νομιμότητα, αντικειμενικότητα και διαφάνεια
Τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται σύννομα και θεμιτά, με σεβασμό στο δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων. Τα δεδομένα υποβάλλονται σε επεξεργασία για την εκπλήρωση νόμιμων και θεμιτών σκοπών με διαφανή τρόπο και μόνο εφόσον έχει εξασφαλισθεί η νομιμότητα της επεξεργασίας μέσω των νομικών βάσεων που περιγράφονται στον ΓΚΠΔ και στο άρθρο 9 του παρόντος.
Περιορισμός του σκοπού
Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς που γνωστοποιούνται στο υποκείμενο και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους δηλωθέντες σκοπούς.
Ελαχιστοποίηση δεδομένων
Συλλέγονται μόνο τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι απαραίτητα και συναφή προς το σκοπό της επεξεργασίας για τον οποίο συλλέχθηκαν.
Ακρίβεια
Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται πρέπει να είναι ακριβή και τα υποκείμενα να είναι σε θέση να τα επικαιροποιήσουν, εάν υπάρξει σχετικό αίτημα.
Περιορισμός της περιόδου διατήρησης
Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων για το κατάλληλο ενόψει του σκοπού επεξεργασίας χρονικό διάστημα, όπως αυτό προβλέπεται στο θεσμικό και λειτουργικό πλαίσιο της Εταιρείας.
Ακεραιότητα και εμπιστευτικότητα
Η Εταιρεία λαμβάνει επαρκή οργανωτικά και τεχνικά μέτρα για την προστασία της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα, τόσο σε ψηφιακή όσο και σε φυσική μορφή.
Λογοδοσία
Η Εταιρεία είναι σε θέση να αποδείξει τη συμμόρφωσή της έναντι των υποχρεώσεων που τίθενται από τον ΓΚΠΔ μέσω της συνεχούς παρακολούθησης και βελτίωσης του πλαισίου προστασίας προσωπικών δεδομένων.
ΚΕΦΑΛΑΙΟ 2: ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ, ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ
ΑΡΘΡΟ 6 – ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Η επεξεργασία προσωπικών δεδομένων περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή.
ΑΡΘΡΟ 7 – ΕΝΗΜΕΡΩΣΗ ΥΠΟΚΕΙΜΕΝΟΥ
Η Εταιρεία διασφαλίζει ότι τα υποκείμενα στα οποία αναφέρονται τα δεδομένα έχουν στη διάθεσή τους επαρκείς πληροφορίες σχετικά με την επεξεργασία και χρήση των δεδομένων τους από την Εταιρεία και δίδουν τη συναίνεσή τους, εφόσον απαιτείται.
Στην περίπτωση που τα δεδομένα λαμβάνονται από το ίδιο το υποκείμενο και όχι από τρίτους, θα πρέπει να παρέχεται σε αυτό κατά τη στιγμή της συλλογής των δεδομένων κατάλληλη δήλωση ενημέρωσης, στην οποία συμπεριλαμβάνονται εύλογες πληροφορίες σχετικά με την επεξεργασία των δεδομένων. Σε περίπτωση που τα δεδομένα λαμβάνονται από τρίτους, η Εταιρεία οφείλει να ενημερώσει το υποκείμενο, το αργότερο εντός ενός (1) μήνα από τη συλλογή, ή, εάν τα δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά τη διάρκεια της πρώτης επικοινωνίας με αυτό, ή, εάν προβλέπεται γνωστοποίηση σε άλλο αποδέκτη, το αργότερο όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά.
ΑΡΘΡΟ 8 – ΣΤΟΙΧΕΙΑ ΠΟΥ ΠΕΡΙΛΑΜΒΑΝΟΝΤΑΙ ΣΤΗ ΔΗΛΩΣΗ ΕΝΗΜΕΡΩΣΗΣ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ
Οι ακόλουθες πληροφορίες περιλαμβάνονται στη δήλωση ενημέρωσης υποκειμένου προκειμένου να διασφαλιστεί η δίκαιη και διαφανής επεξεργασία των προσωπικών του δεδομένων:
- η ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας,
- τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων,
- οι σκοποί επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα,
- οι σχετικές κατηγορίες προσωπικών δεδομένων,
- η νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα,
- η ύπαρξη του δικαιώματος του υποκειμένου να ανακαλέσει τη συγκατάθεσή του, εφόσον η επεξεργασία των δεδομένων του βασίζεται σε αυτή,
- οι αποδέκτες ή οι κατηγορίες αποδεκτών των προσωπικών δεδομένων, εάν υπάρχουν,
- πληροφορίες σχετικά με διαβιβάσεις δεδομένων προς τρίτες χώρες,
- η χρονική περίοδος για την οποία τυγχάνουν επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα, καθώς και το χρονικό διάστημα κατά το οποίο θα αποθηκευτούν,
- το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή καθώς και επαρκείς πληροφορίες για τα δικαιώματα των υποκειμένων και τον τρόπο άσκησης των δικαιωμάτων τους σύμφωνα με τις διατάξεις του ΓΚΠΔ,
- πληροφορίες σχετικά με την ύπαρξη ή μη αυτοματοποιημένης λήψης αποφάσεων,
- η ύπαρξη δικαιώματος υποβολής αιτήματος στον Υπεύθυνο Επεξεργασίας για πρόσβαση, διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα, περιορισμό της επεξεργασίας τους, αντίταξη στην επεξεργασία τους, καθώς και για τη φορητότητά τους,
και
- η πηγή από την οποία αντλούνται τα δεδομένα προσωπικού χαρακτήρα στην περίπτωση που αυτά δεν συλλέγονται από το υποκείμενο των δεδομένων.
ΑΡΘΡΟ 9 – ΝΟΜΙΚΗ ΒΑΣΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα οφείλει να στηρίζεται σε μια από τις παρακάτω νομικές βάσεις:
- Συναίνεση του υποκειμένου: τα υποκείμενα παρέχουν τη συναίνεσή τους για έναν ή περισσότερους σκοπούς επεξεργασίας,
-Συμβατική σχέση: εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή με σκοπό τη λήψη μέτρων κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
- Έννομη υποχρέωση: συμμόρφωση με νομική υποχρέωση του Υπευθύνου Επεξεργασίας,
- Διαφύλαξη ζωτικού συμφέροντος φυσικού προσώπου: αφορά σε συμφέρον του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
- Καθήκον δημόσιου συμφέροντος/ άσκηση δημόσιας εξουσίας από τον υπεύθυνο επεξεργασίας: εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
- Έννομο συμφέρον: αφορά σε έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι του συμφέροντος αυτού υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
ΑΡΘΡΟ 10 – ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ
Στην περίπτωση που απαιτείται συναίνεση του υποκειμένου, η Εταιρεία μεριμνά προκειμένου να λαμβάνει τη συναίνεσή του κατά τη στιγμή της συλλογής των δεδομένων και πριν από οποιαδήποτε επεξεργασία τους. Σε περίπτωση που προκύψει νέος σκοπός επεξεργασίας για τα εν λόγω δεδομένα, η Εταιρεία οφείλει να λαμβάνει εκ νέου συναίνεση από το υποκείμενο των δεδομένων.
Η Εταιρεία διασφαλίζει ότι:
- η συναίνεση ζητείται με τρόπο εύκολα προσβάσιμο και κατανοητό, διατυπωμένη σε σαφή και απλή γλώσσα,
- η συναίνεση υποβάλλεται κατά τρόπο σαφώς διακριτό από άλλα θέματα στα οποία το υποκείμενο επίσης ενδεχομένως συναινεί,
- η συναίνεση παρέχεται ελεύθερα, ρητά και με καταφατικό τρόπο από το υποκείμενο των δεδομένων,
- ο τύπος δια του οποίου ζητείται η συναίνεση δεν είναι προεπιλεγμένος / προσυμπληρωμένος,
- η συναίνεση παρέχεται για συγκεκριμένους σκοπούς συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
- όπου η συναίνεση παρέχεται από το υποκείμενο με ηλεκτρονικά ή άλλως αυτοματοποιημένα μέσα, αποθηκεύεται αυτόματα σε ασφαλές περιβάλλον,
- η λήψη ή η ανάκληση συναίνεσης αποθηκεύεται και συνοδεύεται από τις παρακάτω πληροφορίες: όνομα υποκειμένου, ημερομηνία και τρόπος δήλωσης/ανάκλησης συναίνεσης, η δήλωση συναίνεσης που κοινολογήθηκε στο υποκείμενο,
- τα υποκείμενα ενημερώνονται ότι μπορούν να τροποποιήσουν ή να αποσύρουν τη συναίνεσή τους ανά πάσα στιγμή, χωρίς, ωστόσο, να θίγεται η επεξεργασία που έχει γίνει πριν την ανάκληση της συναίνεσης,
- η ανάκληση της συναίνεσης είναι στην πράξη εξίσου εύκολη με την παροχή της,
- τα κατάλληλα οργανωτικά και τεχνικά μέτρα έχουν υλοποιηθεί ώστε να επιτρέπεται η παύση της επεξεργασίας των προσωπικών δεδομένων σε περίπτωση ανάκλησης της συναίνεσης, και
- τα αποδεικτικά δήλωσης/ανάκλησης συναίνεσης είναι εύκολα προσβάσιμα.
ΑΡΘΡΟ 11 – ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ
Η Εταιρεία διασφαλίζει την ύπαρξη μίας καθορισμένης διαδικασίας βάσει της οποίας χειρίζεται και ανταποκρίνεται στα αιτήματα των υποκειμένων των δεδομένων σύμφωνα με τους κανόνες διαφανούς ενημέρωσης, ανακοίνωσης και ρυθμίσεων για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων. Όλα τα υποκείμενα για τα οποία η Εταιρεία διατηρεί δεδομένα προσωπικού χαρακτήρα δικαιούνται να:
- αιτηθούν πληροφορίες για ή/και πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν,
- αιτηθούν τη διαγραφή τους,
- αιτηθούν τη διόρθωσή τους,
- αιτηθούν τον περιορισμό της επεξεργασίας τους,
- υλοποιήσουν τη φορητότητα των δεδομένων τους, στο βαθμό που οι ίδιοι τα έχουν διαθέσει στην Εταιρεία, και
- αντιταχθούν στην επεξεργασία τους.
ΑΡΘΡΟ 12 – ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ
Η Εταιρεία συλλέγει, αποθηκεύει, χρησιμοποιεί, κοινολογεί ή επεξεργάζεται με διαφορετικό τρόπο τις «Ειδικές κατηγορίες δεδομένων» (ευαίσθητα δεδομένα) μόνον εφόσον συντρέχει μία από τις ακόλουθες περιπτώσεις:
- το υποκείμενο έχει παράσχει ρητή συγκατάθεση για την επεξεργασία των πληροφοριών,
- η επεξεργασία είναι απαραίτητη για την εκπλήρωση των υποχρεώσεων που απορρέουν από το εργατικό δίκαιο,
- η επεξεργασία είναι απαραίτητη για την προστασία του υποκειμένου (ή άλλου προσώπου), όταν το υποκείμενο είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του.
Η επεξεργασία αφορά σε πληροφορίες που έχουν δημοσιοποιηθεί από το υποκείμενο ή είναι απαραίτητη για νομικές αξιώσεις ή είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος. Οι περιπτώσεις επεξεργασίας προσωπικών δεδομένων, οι οποίες δεν καλύπτονται από τις διατάξεις του ΓΚΠΔ (όπως ποινικές καταδίκες ή αδικήματα, αιτήματα δημοσίων αρχών για άρση τραπεζικού απορρήτου, συλλογή ποινικού μητρώου εργαζομένων κατά την πρόσληψή τους) καλύπτονται από ειδικότερες νομοθεσίες.
ΚΕΦΑΛΑΙΟ 3: ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΑΡΘΡΟ 13 – ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ «HΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ» ΚΑΙ «ΕΞ ΟΡΙΣΜΟΥ»
Η Εταιρεία εφαρμόζει τη βασική αρχή της προστασίας των δεδομένων ήδη από το σχεδιασμό (by design), ενσωματώνοντας τις αρχές προστασίας δεδομένων σε κάθε νέο έργο στο οποίο εμπλέκεται επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η Εταιρεία, επίσης εφαρμόζει, όποτε χρειαστεί, τη βασική αρχή της προστασίας των δεδομένων εξ ορισμού (by default), διασφαλίζοντας ότι τα δεδομένα προσωπικού χαρακτήρα τυγχάνουν επεξεργασίας ανάλογης του σκοπού τους, για περίοδο που είναι απολύτως αναγκαία και, σε κάθε περίπτωση, δεν είναι προσβάσιμα σε απεριόριστο αριθμό προσώπων.
ΑΡΘΡΟ 14 – ΟΡΓΑΝΩΤΙΚΑ ΚΑΙ ΤΕΧΝΙΚΑ ΜΕΤΡΑ
Η Εταιρεία αξιολογεί εκτενώς τα υπάρχοντα μέτρα ασφαλείας και ορίζει τα κατ’ ελάχιστον οργανωτικά και τεχνικά μέτρα, ώστε να προστατεύεται η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η σύννομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, έχει διαμορφώσει ένα Πλαίσιο Αρχών και ένα Οργανωτικό Πλαίσιο της Πολιτικής Ασφαλείας Πληροφοριακών Συστημάτων, καθώς και ένα σύνολο επιμέρους πολιτικών και διαδικασιών για τη διασφάλιση των βέλτιστων πρακτικών σε θέματα ασφάλειας των προσωπικών δεδομένων.
Επιπλέον, η Εταιρεία έχει αναπτύξει ένα πρόγραμμα εκπαίδευσης και ευαισθητοποίησης του προσωπικού της με σκοπό την εξασφάλιση της συνεχούς ενημέρωσης, όχι μόνο για θέματα ασφάλειας, αλλά γενικότερα για θέματα προστασίας των προσωπικών δεδομένων.
ΑΡΘΡΟ 15 – ΑΡΧΕΙΑ (ΜΗΤΡΩΑ) ΔΙΕΡΓΑΣΙΩΝ
Η Εταιρεία τηρεί, σε ηλεκτρονική μορφή, αρχείο (μητρώο) των διεργασιών για τις οποίες είναι υπεύθυνη.
Το αρχείο αυτό περιλαμβάνει κατ’ ελάχιστον τις ακόλουθες πληροφορίες, στις περιπτώσεις που η Εταιρεία λειτουργεί ως υπεύθυνος επεξεργασίας:
-το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπεύθυνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του Υπευθύνου Προστασίας Δεδομένων,
-τους σκοπούς της επεξεργασίας,
-περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
-τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
-τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και τεκμηρίωση των κατάλληλων εγγυήσεων, όπου συντρέχει περίπτωση,
-την προβλεπόμενη περίοδο διατήρησης των διάφορων κατηγοριών δεδομένων, όπου είναι δυνατό,
-γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας, όπου είναι δυνατό.
Το εν λόγω αρχείο θα πρέπει να περιλαμβάνει κατ’ ελάχιστον τις ακόλουθες πληροφορίες, στις περιπτώσεις που η Εταιρεία λειτουργεί ως εκτελών την επεξεργασία:
-το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων,
-τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας,
-τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και τεκμηρίωση των κατάλληλων εγγυήσεων, όπου συντρέχει περίπτωση,
-γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας, όπου είναι δυνατό.
ΑΡΘΡΟ 16 – ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Η Εταιρεία διενεργεί εκτίμηση αντικτύπου βάσει συγκεκριμένων κριτηρίων κάθε φορά που ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εκτός εάν ορίζεται διαφορετικά. Τα παρακάτω κριτήρια λαμβάνονται υπόψη έτσι ώστε να αναγνωριστούν οι πράξεις επεξεργασίας που απαιτούν εκτίμηση αντικτύπου, λόγω των εγγενών τους υψηλών κινδύνων:
-αξιολόγηση ή βαθμολόγηση, περιλαμβανομένης της κατάρτισης προφίλ και προβλέψεων,
-λήψη αυτοματοποιημένων αποφάσεων που παράγουν έννομα αποτελέσματα ή σημαντικά αποτελέσματα κατά ανάλογο τρόπο: όπως αποκλεισμό ή διακρίσεις σε βάρος φυσικών προσώπων,
-συστηματική παρακολούθηση, περιλαμβανομένων των δεδομένων που συλλέγονται μέσω δικτύων ή συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου,
-ευαίσθητα δεδομένα ή δεδομένα εξαιρετικά προσωπικού χαρακτήρα,
-δεδομένα μεγάλης κλίμακας επεξεργασίας,
-αντιστοίχιση ή συνδυασμός συνόλων δεδομένων,
-δεδομένα που αφορούν ευάλωτα υποκείμενα δεδομένων, όπως παιδιά, ευάλωτα τμήματα του πληθυσμού που χρήζουν ειδικής προστασίας (ψυχικά νοσούντες, αιτούντες άσυλο, ηλικιωμένοι, ασθενείς κ.ο.κ.),
-καινοτόμος χρήση ή εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων, και
-όταν η επεξεργασία αυτή καθαυτή εμποδίζει τα υποκείμενα των δεδομένων να ασκήσουν κάποιο δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή σύμβαση.
ΑΡΘΡΟ 17 – ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Παραβίαση δεδομένων προσωπικού χαρακτήρα συνιστά ένα περιστατικό το οποίο σχετίζεται με την ακούσια ή παράνομη καταστροφή, απώλεια, παραμετροποίηση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που μεταφέρονται, αποθηκεύονται ή τυγχάνουν επεξεργασίας με κάποιο άλλο τρόπο από την Εταιρεία.
Η Εταιρεία διαθέτει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την έγκαιρη αναγνώριση καθώς και την αποτελεσματική διαχείριση τέτοιων περιστατικών. Κατά την αξιολόγηση του κινδύνου, λαμβάνονται υπόψη τα ακόλουθα κριτήρια:
-το είδος της παραβίασης,
-η φύση, ευαισθησία και ο όγκος των δεδομένων προσωπικού χαρακτήρα που επηρεάζονται,
-η ευκολία αναγνώρισης του υποκειμένου των δεδομένων,
-η σοβαρότητα των συνεπειών για το υποκείμενο των δεδομένων,
-τα ειδικά χαρακτηριστικά του υποκειμένου των δεδομένων, και
-ο αριθμός των υποκειμένων που αφορούν τα δεδομένα.
ΑΡΘΡΟ 18 – ΜΗΤΡΩΟ ΚΑΤΑΓΡΑΦΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΠΑΡΑΒΙΑΣΗΣ
Όλα τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα τηρούνται σε κατάλληλο αρχείο καταγραφής των περιστατικών. Στο αρχείο αυτό καταγράφονται όλες οι λεπτομέρειες σχετικά με το περιστατικό (ημερομηνία, ενέργειες, εμπλεκόμενα μέρη, σχέδιο δράσης κ.ά.), καθώς και λεπτομέρειες σχετικά με την αξιολόγηση του περιστατικού και την ενημέρωση των υποκειμένων ή/και των εποπτικών αρχών.
ΑΡΘΡΟ 19 – ΑΝΑΚΟΙΝΩΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ
Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων, η Εταιρεία, μέσω του Υπεύθυνου Προστασίας Δεδομένων, οφείλει να κοινοποιήσει την παραβίαση αυτή στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός εβδομήντα δύο (72) ωρών από την ενημέρωση πραγμάτωσής της και σύμφωνα με την προβλεπόμενη διαδικασία. Σε περίπτωση που η κοινοποίηση προς την εποπτική αρχή δεν γίνει εντός αυτού του συγκεκριμένου χρονικού διαστήματος, η Εταιρεία θα πρέπει να αποδεικνύει τους λόγους της καθυστέρησης.
Όταν η παραβίαση προσωπικών δεδομένων είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων, η Εταιρεία οφείλει επίσης να γνωστοποιεί χωρίς καθυστέρηση την παραβίαση των προσωπικών δεδομένων στο υποκείμενο των δεδομένων.
ΚΕΦΑΛΑΙΟ 4: ΔΙΑΧΕΙΡΙΣΗ ΕΚΕΤΕΛΟΥΝΤΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ
ΑΡΘΡΟ 20 – ΡΗΤΡΕΣ ΣΥΜΒΑΣΕΩΝ
Σε κάθε περίπτωση κατά την οποία η Εταιρεία ενεργεί ως υπεύθυνος επεξεργασίας και εκφράζει την πρόθεση να προχωρήσει σε συμφωνία με τρίτο μέρος το οποίο θα ενεργεί ως εκτελών την επεξεργασία, διασφαλίζει την ύπαρξη κατάλληλων μέτρων απορρήτου και ασφάλειας δεδομένων, τα οποία εφαρμόζονται στο περιβάλλον του εκτελούντος την επεξεργασία. Η Εταιρεία διατηρεί την ευθύνη προστασίας των δεδομένων αυτών.
Κάθε συνεργασία διέπεται από έγγραφη σύμβαση, η οποία περιλαμβάνει επαρκείς ρήτρες για την κάλυψη απαιτήσεων, όπως υποχρεώσεις ασφάλειας και εμπιστευτικότητας, απαιτήσεις όσον αφορά την εξασφάλιση της ακεραιότητας των πληροφοριών, καθώς και υποχρεώσεις σχετικά με τη χρήση και την αποκάλυψη πληροφοριών. Ο εκτελών την επεξεργασία δεσμεύεται εγγράφως ως προς τη μη κοινολόγηση, υπογράφοντας είτε αυτοτελή σύμβαση (Non disclosure agreement), είτε σχετικό όρο στο πλαίσιο οποιασδήποτε σύμβασης συνεργασίας με την Εταιρεία, ώστε να αποτρέπονται ο εκτελών την επεξεργασία και οι εργαζόμενοι σε αυτόν από το να χρησιμοποιούν ή να αποκαλύπτουν τις πληροφορίες της Εταιρείας .
ΚΕΦΑΛΑΙΟ 5: ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
ΑΡΘΡΟ 21 – ΔΙΑΒΙΒΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΟΥΣ
Η Εταιρεία εξασφαλίζει ότι δεν μεταφέρονται δεδομένα προσωπικού χαρακτήρα σε χώρες οι οποίες δεν διασφαλίζουν επαρκές επίπεδο προστασίας σχετικά με την προστασία αυτών. Σε περίπτωση που η Εταιρεία θεωρεί αναγκαία τη διαβίβαση δεδομένων σε χώρες οι οποίες δεν διασφαλίζουν επαρκές επίπεδο προστασίας, εξασφαλίζει ότι παρέχονται κατάλληλες εγγυήσεις, όπως μέσω δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας δεδομένων, εγκεκριμένου Κώδικα Δεοντολογίας.
Τυχόν διαβίβαση δεδομένων από την Εταιρεία στο πλαίσιο των αρμοδιοτήτων της ως ανάδοχος ή συνεργάτης κρατικής υπηρεσίας ή άλλης υπηρεσίας της Ευρωπαϊκής Ένωσης (ΕΕ), της Ευρωπαϊκής Επιτροπής ή άλλου οργάνου της ΕΕ, εκτελείται σύμφωνα με τις διατάξεις του ΓΚΠΔ.
ΠΑΡΑΡΤΗΜΑ
ΕΝΝΟΙΕΣ & ΟΡΙΣΜΟΙ
ΓΚΠΔ
Γενικός Κανονισμός για την Προστασία Δεδομένων (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου).
Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»)
Δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και τα γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Εκτελών την επεξεργασία
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
Διαδικασία αξιολόγησης των κινδύνων που σχετίζεται με τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, που εν συνεχεία καθορίζει τα κατάλληλα μέτρα για την αντιμετώπισή τους.
Επεξεργασία δεδομένων
Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Εποπτική αρχή
Ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος. Στην Κύπρο η εν λόγω αρχή ονομάζεται Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΓΕΠΔΠΧ)).
Κοινολόγηση
Η γνωστοποίηση, κοινοποίηση, ανακοίνωση, δημοσιοποίηση ή οποιαδήποτε άλλη ενέργεια καθιστά δυνατή την αποκάλυψη των εν λόγω δεδομένων σε αποδέκτες.
Μητρώο διεργασιών
Ηλεκτρονικό αρχείο με το σύνολο των διεργασιών της Εταιρείας που αφορούν σε προσωπικά δεδομένα ανά Υπηρεσιακή Μονάδα.
Παραβίαση δεδομένων προσωπικού χαρακτήρα
Περιστατικό που αφορά σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
Συναίνεση
Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Τρίτα μέρη
Οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας είναι εξουσιοδοτημένος να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα της Εταιρείας .
Εξαίρεση αποτελούν το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία, καθώς και τα πρόσωπα τα οποία είναι υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Υπεύθυνος Επεξεργασίας
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ ή DPO)
Το πρόσωπο στο οποίο έχει ανατεθεί από την Εταιρεία ο αντίστοιχος περιγραφόμενος από τον ΓΚΠΔ ρόλος.
Υποκείμενο των δεδομένων
Οποιοδήποτε φυσικό πρόσωπο είναι υποκείμενο των δεδομένων προσωπικού χαρακτήρα που διατηρούνται στην Εταιρεία.