Δήλωση απορρήτου

 

  1. Εισαγωγή

Κατά την καθημερινή εκτέλεση των επιχειρηματικών δραστηριοτήτων της, η ΣΥΝ.ΚΑ κάνει χρήση πληθώρας δεδομένων που σχετίζονται με αναγνωρίσιμα πρόσωπα, συμπεριλαμβανομένων δεδομένων σχετικά με:

  • Τωρινούς, πρώην και υποψήφιους εργαζομένους
  • Πελάτες
  • Χρήστες της ιστοσελίδας
  • Συνδρομητές
  • Άλλα ενδιαφερόμενα μέρη

Με την συλλογή και χρήση αυτών των δεδομένων, η εταιρία υπόκειται σε πληθώρα νομικών ελέγχων για τον τρόπο με τον οποίο διεξάγονται οι δραστηριότητες αυτές, καθώς και τις εγγυήσεις που πρέπει να εφαρμόζονται για την προστασία τους.

Ο σκοπός της παρούσας πολιτικής είναι να καταρτίσει όλη την σχετιζόμενη νομοθεσία και να περιγράψει τα μέτρα που η ΣΥΝ.ΚΑ λαμβάνει, για να εγγυηθεί την εναρμόνιση με την νομοθεσία.

Οι έλεγχοι αυτοί εφαρμόζονται σε όλα τα συστήματα, πρόσωπα, και διαδικασίες που στοιχειοθετούν τα συστήματα πληροφοριών της εταιρίας, συμπεριλαμβανομένου του διοικητικού συμβουλίου, των διευθυντών, του προσωπικού, των προμηθευτών, και λοιπών τρίτων μερών με πρόσβαση στα συστήματα της ΣΥΝ.ΚΑ.

Οι ακόλουθες πολιτικές και διαδικασίες περιέχουν πληροφορίες χρήσιμες για την παρούσα πολιτική:

  • Διαδικασία Εκτίμησης Αντικτύπου Προστασίας Δεδομένων
  • Διαδικασία Ανάλυσης Προσωπικών Δεδομένων
  • Διαδικασία Εκτίμησης Έννομου Συμφέροντος
  • Διαδικασία Διαχείρισης Συμβάντων Ασφάλειας Πληροφοριών
  • Ρόλοι και Αρμοδιότητες στον ΓΚΠΔ
  • Πολιτική Τήρησης και Προστασίας Αρχείων
  1. Αναφορές

Το παρόν έγγραφο καθορίζει τις ευθύνες και την πολιτική της επιχείρησης για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ κατέστη νόμος εντός της Ευρωπαϊκής Ένωσης από τον Μάιο του 2018. Εφαρμόζεται σε κάθε οργανισμό που επεξεργάζεται δεδομένα σχετικά με τους πολίτες της ΕΕ, και όχι μόνο σε οργανισμούς που εδρεύουν εντός της ΕΕ.

Χρειάζεται πλήρης κατανόηση της νομοθεσίας, και ειδικά των διατάξεων που ισχύουν για την επιχείρηση και έχουν επιπτώσεις στην δραστηριότητα αυτής.

Ο κίνδυνος μη συμμόρφωσης με τη νομοθεσία για την προστασία των δεδομένων θα πρέπει να αξιολογείται και να διαχειρίζεται στο πλαίσιο του προγράμματος διαχείρισης κινδύνων. Οι συνέπειες της μη συμμόρφωσης με το νόμο μπορεί να περιλαμβάνουν βαριά πρόστιμα, επομένως αυτός πρέπει να αποτελεί βασικό τομέα εστίασης για τον οργανισμό.

Η παρούσα πολιτική αφορά τα ακόλουθα μέρη του ΓΚΠΔ:

  • Κεφάλαιο ΙΙ – Αρχές
  • Κεφάλαιο IV – Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία, άρθρα 24 έως 31

 

3 Πολιτική Προστασίας Δεδομένων

3.1 Γενικός Κανονισμός για την Προστασία Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων 2016 (ΓΚΠΔ - GDPR) είναι ένα εκ των σημαντικότερων νομοθετημάτων που επηρεάζει τον τρόπο κατά τον οποίο η ΣΥΝ.ΚΑ εκτελεί τις δραστηριότητες της στην επεξεργασία πληροφοριών. Περιπτώσεις παραβιάσεων του GDPR επιφέρουν σημαντικά πρόστιμα, καθώς πρόκειται για σημαντική κοινοτική νομοθεσία της Ευρωπαϊκής Ένωσης με σκοπό την προστασία των προσωπικών δεδομένων των πολιτών της. Η πλήρης εναρμόνιση, με τρόπο ξεκάθαρο και εξακριβώσιμο, τόσο με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, όσο και με κάθε άλλη σχετική νομοθεσία, αποτελεί πολιτική της ΣΥΝ.ΚΑ.

3.2 Ορισμοί

Συνολικά, 26 ορισμοί απαριθμούνται στο κείμενο του GDPR και δεν υπάρχει λόγος να αναπαραχθούν όλοι εδώ. Οι σημαντικότεροι ορισμοί σε σχέση με την παρούσα πολιτική, είναι οι ακόλουθοι:

Ως «δεδομένα προσωπικού χαρακτήρα», ορίζονται:

κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου

«επεξεργασία»:

κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή

«υπεύθυνος επεξεργασίας»:

το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

3.3 Αρχές που διέπουν την Επεξεργασία Προσωπικών Δεδομένων

Υπάρχει μια σειρά θεμελιωδών αρχών πάνω στις οποίες βασίζεται ο ΓΚΠΔ.

Αυτοί είναι οι εξής:

  1. Τα δεδομένα προσωπικού χαρακτήρα:

α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),

β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),

γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),

δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)

  1. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).

Η ΣΥΝ.ΚΑ θα διασφαλίσει την εναρμόνιση με όλες τις παραπάνω αρχές, τόσο στις επεξεργασίες που ήδη διενεργούνται, όσο και κατά την εισαγωγή νέων μεθόδων επεξεργασίας, όπως πχ κατά την αγορά νέων συστημάτων τεχνολογίας πληροφοριών.

3.4 Δικαιώματα του Ατόμου

Το υποκείμενο των δεδομένων απολαμβάνει μια σειρά δικαιωμάτων, βάση του ΓΚΠΔ. Αυτά είναι:

  1. Δικαίωμα ενημέρωσης
  2. Δικαίωμα πρόσβασης
  3. Δικαίωμα διόρθωσης
  4. Δικαίωμα διαγραφής
  5. Δικαίωμα περιορισμού της επεξεργασίας
  6. Δικαίωμα στην φορητότητα των δεδομένων
  7. Δικαίωμα εναντίωσης
  8. Δικαιώματα που διέπουν την αυτοματοποιημένη λήψη αποφάσεων και κατάρτισης προφίλ.

Κάθε ένα εκ των παραπάνω υποστηρίζονται από τις αρμόδιες διαδικασίες της ΣΥΝ.ΚΑ, που επιτρέπουν να αναλαμβάνεται η απαιτούμενη δράση εντός των χρονικών περιθωρίων που ορίζει ο ΓΚΠΔ.

Τα χρονικά περιθώρια αυτά αναγράφονται παρακάτω

Αιτήματα του υποκειμένου των δεδομένων & Χρονικό περιθώριο

Χρονικά περιθώρια για την διεκπεραίωση αιτημάτων:

Δικαίωμα ενημέρωσης:Κατά την συλλογή των δεδομένων (αν παρέχονται από το υποκείμενο των δεδομένων) ή εντός ενός μήνα (αν δεν παρέχονται από το υποκείμενο των δεδομένων)

Δικαίωμα πρόσβασης: Ένας μήνας

Δικαίωμα διόρθωσης: Ένας μήνας

Δικαίωμα διαγραφής : Αμελλητί

Δικαίωμα περιορισμού της επεξεργασίας: Αμελλητί

Δικαίωμα στην φορητότητα των δεδομένων :Ένας μήνας

Δικαίωμα εναντίωσης: Με την λήψη του αιτήματος

Δικαιώματα που διέπουν την αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ: Δεν ορίζεται

3.5 Νομιμότητα της Επεξεργασίας

Υπάρχουν έξι εναλλακτικές προϋποθέσεις για να κριθεί μια περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα ως σύννομη, βάση του ΓΚΠΔ. Αποτελεί πολιτική της ΣΥΝ.ΚΑ να αναγνωρίζεται κάθε φορά η σχετική νομική βάση που αιτιολογεί την επεξεργασία και να προχωράει στην τεκμηρίωσή της, σύμφωνα πάντα με τον κανονισμό. Οι επιλογές περιγράφονται περιληπτικά παρακάτω.

3.5.1. Συναίνεση

Εκτός και αν κριθεί απαραίτητο, για λόγους που υποδεικνύονται στον ΓΚΠΔ, η ΣΥΝ.ΚΑ πάντοτε θα λαμβάνει ρητή συναίνεση από το υποκείμενο των δεδομένων, για την συλλογή και επεξεργασία των δεδομένων τους. Στην περίπτωση ανηλίκων κάτω των 16 ετών (ή την ηλικία που ορίζει η εθνική νομοθεσία σε κάποια κράτη μέλη της ΕΕ), θα λαμβάνεται γονική συναίνεση. Διαφανής πληροφορίες για την χρήση, από μέρους μας, των προσωπικών δεδομένων, θα δίνεται στα υποκείμενα των δεδομένων την στιγμή της λήψης της συναίνεσης, καθώς και θα γίνεται σαφή αναφορά και επεξήγηση των δικαιωμάτων που τα υποκείμενα των δεδομένων απολαμβάνουν πάνω στα δεδομένα τους, όπως το δικαίωμα άρσης της συναίνεσης. Αυτές οι πληροφορίες θα δίνονται σε προσβάσιμη μορφή, γραμμένα σε σαφή και ευκατανόητη γλώσσα, και χωρίς χρέωση.

Αν τα προσωπικά δεδομένα δεν συλλέγονται απευθείας από το υποκείμενο των δεδομένων, τότε αυτές οι πληροφορίες θα δίνονται στο υποκείμενο των δεδομένων εντός εύλογου χρόνου από την συλλογή των προσωπικών δεδομένων, και οπωσδήποτε εντός διαστήματος ενός μήνα.

​​​​​​​3.5.2. Εκτέλεση Σύμβασης

Όταν τα προσωπικά δεδομένα συλλέγονται και επεξεργάζονται στα πλαίσια εκτέλεσης σύμβασης με το υποκείμενο των δεδομένων, δεν απαιτείται ρητή συναίνεση. Αυτό μπορεί να ισχύει συχνά όταν η εκτέλεση σύμβασης δεν δύναται να ολοκληρωθεί χωρίς τα προσωπικά δεδομένα που ζητούνται, π.χ. η αποστολή και παράδοση ενός προϊόντος δεν μπορεί να διεκπεραιωθεί χωρίς την διεύθυνση παράδοσης του πελάτη.

​​​​​​​3.5.2.Έννομη Υποχρέωση

Αν υπάρχει έννομη υποχρέωση για την συλλογή και επεξεργασία των προσωπικών δεδομένων, τότε πάλι δεν απαιτείται ρητή συναίνεση του υποκειμένου των δεδομένων. Αυτό μπορεί να ισχύει συχνά, σε περιπτώσεις δεδομένων που αφορούν την εργασία και την φορολόγηση, για παράδειγμα, και για πολλά ζητήματα που αφορούν τον δημόσιο τομέα.

​​​​​​​​​​​​​​3.5.4. Ζωτικά Συμφέροντα του Υποκειμένου των Δεδομένων

Σε περιπτώσεις όπου τα προσωπικά δεδομένα κρίνονται απαραίτητα για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων, ή ενός άλλου φυσικού προσώπου, τότε αυτό μπορεί να χρησιμοποιηθεί ως νομική βάση της επεξεργασίας. Η ΣΥΝ.ΚΑ θα διατηρήσει εύλογα, δεόντως τεκμηριωμένα στοιχεία σε τέτοιες περιπτώσεις. Για παράδειγμα, τα ζωτικά συμφέροντα μπορεί να αποτελέσουν την νομική βάση της επεξεργασίας σε περιπτώσεις υπηρεσιών κοινωνικής φροντίδας, ειδικά στον δημόσιο τομέα.

​​​​​​​​​​​​​​3.5.5.Δημόσιο Συμφέρον

Αν η ΣΥΝ.ΚΑ κληθεί να εκτελέσει μια εργασία η οποία κριθεί πως εκτελείται προς το δημόσιο συμφέρον, ή στα πλαίσια άσκησης δημόσιας εξουσίας, τότε δεν θα χρειαστεί η ρητή συναίνεση του υποκειμένου των δεδομένων. Η εκτίμηση του δημοσίου συμφέροντος ή της άσκησης δημόσιας εξουσίας, θα πρέπει να τεκμηριωθεί δεόντως και να καταρτιστεί.

​​​​​​​​​​​​​​3.5.6.Έννομο Συμφέρον

Αν η επεξεργασία συγκεκριμένων προσωπικών δεδομένων εξυπηρετεί τα έννομα συμφέροντα της [Επωνυμία Εταιρίας], και κριθεί πως δεν περιορίζει ή επηρεάζει σημαντικά τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, αυτό μπορεί να οριστεί ως η νομική βάση για την επεξεργασία. Πάλι, η επιλογή αυτή θα πρέπει να τεκμηριωθεί δεόντως και να καταρτιστεί.

3.6 Προστασία της Ιδιωτικής Ζωής εκ κατασκευής

Η ΣΥΝ.ΚΑ υιοθέτησε την αρχή της προστασίας της ιδιωτικής ζωής εκ κατασκευής (“privacy by design”) και θα διασφαλίσει πως ο σχεδιασμός και ορισμός κάθε καινούργιου ή σημαντικά τροποποιημένου συστήματος που θα συλλέγει ή θα επεξεργάζεται προσωπικά δεδομένα, θα λαμβάνει δεόντως υπόψη τα θέματα προστασίας της ιδιωτικής ζωής, συμπεριλαμβανομένης της ολοκλήρωσης μίας ή περισσοτέρων εκτιμήσεων αντικτύπου της προστασίας δεδομένων.

Η εκτίμηση του αντικτύπου της προστασίας δεδομένων θα περιλαμβάνει:

  • Εξέταση των τρόπων επεξεργασίας των προσωπικών δεδομένων, καθώς και των σκοπών της επεξεργασίας
  • Εκτίμηση της αναγκαιότητας καθώς και της αναλογικότητας της προτεινόμενης επεξεργασίας των προσωπικών δεδομένων ως προς τον σκοπό/τους σκοπούς της επεξεργασίας
  • Εκτίμηση των ρίσκων προς τα πρόσωπα που απορρέουν από την επεξεργασία των προσωπικών δεδομένων
  • Τι έλεγχοι είναι αναγκαίοι για να αποτραπούν τα αναγνωρισμένα ρίσκα και για να καταδειχθεί η εναρμόνιση με την νομοθεσία

Η χρήση τεχνικών όπως ελαχιστοποίηση των δεδομένων και χρήση ψευδωνύμων θα ληφθούν υπόψιν, όπου χρειαστεί και ενδείκνυται.

3.7.Συμβάσεις που περιλαμβάνουν την Επεξεργασία Προσωπικών Δεδομένων

Η ΣΥΝ.ΚΑ θα διασφαλίσει πως όλες οι σχέσεις στις οποίες εισέρχεται, οι οποίες περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα καταρτίζονται με συμβάσεις στις οποίες θα περιλαμβάνονται οι συγκεκριμένες πληροφορίες και όροι που απαιτεί ο ΓΚΠΔ. Για περισσότερες πληροφορίες, δείτε το ΓΚΠΔ Πολιτική Συμφωνίας Υπεύθυνου-Εκτελούντος.

3.8 Διεθνείς διαβιβάσεις Προσωπικών Δεδομένων

Διαβιβάσεις προσωπικών δεδομένων εκτός της Ευρωπαϊκής Ένωσης θα πρέπει να εξετάζονται προσεκτικά προτού λάβει χώρα η διαβίβαση, ώστε να διασφαλίζεται η τήρηση των ορίων που θέτει ο ΓΚΠΔ. Αυτό εξαρτάται μερικώς από την κρίση της Ευρωπαϊκής Επιτροπής ως προς την επάρκεια των εγγυήσεων που ισχύουν για τα προσωπικά δεδομένα στην χώρα υποδοχής των δεδομένων, και αυτό δύναται να αλλάζει διαχρονικά.

Ενδοεταιρικές διεθνείς διαβιβάσεις δεδομένων θα υπόκεινται σε νομικά δεσμευτικές συμφωνίες, γνωστές ως Δεσμευτικοί Εταιρικοί Κανόνες (ΔΕΚ) οι οποίοι παρέχουν νομικώς επιβεβλημένα δικαιώματα για τα υποκείμενα των δεδομένων.

3.9 Υπεύθυνος Προστασίας Δεδομένων

Η παρουσία ενός Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ), με σαφώς καθορισμένο ρόλο στην εταιρία, απαιτείται από τον ΓΚΠΔ για τους οργανισμούς που είναι δημόσιες αρχές, ή εκτελούν παρακολουθήσεις μεγάλης κλίμακας, ή επεξεργάζονται σε μεγάλη κλίμακα δεδομένα ιδιαιτέρως ευαίσθητων τύπων δεδομένων. Ο ΥΠΔ απαιτείται να κατέχει ένα ικανοποιητικό επίπεδο γνώσης και μπορεί να είναι εργαζόμενος εντός του οργανισμού, ή εξωτερικός συνεργάτης.

Βάση των παραπάνω κριτηρίων, η ΣΥΝ.ΚΑ χρειάζεται/δεν χρειάζεται έναν Υπεύθυνο Προστασίας Δεδομένων.

3.10 Κοινοποίηση Παραβίασης

Πολιτική της ΣΥΝ.ΚΑ είναι, κατά την εξέταση πιθανών ενεργειών σε περιπτώσεις παραβιάσεων δεδομένων προσωπικού χαρακτήρα, η διαδικασία να αντιμετωπίζεται με δίκαιο και αναλογικό τρόπο. Σε πλήρη εναρμόνιση με τον ΓΚΠΔ, όπου αναγνωριστεί παραβίαση η οποία ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες ατόμων, θα ειδοποιηθούν οι σχετικές ρυθμιστικές αρχές εντός 72 ωρών. Η διαχείριση του συμβάντος θα γίνει σύμφωνα με την Διαδικασία Διαχείρισης Συμβάντων Ασφάλειας Πληροφοριών της εταιρίας μας, η οποία ορίζει την συνολική διαδικασία που πρέπει να ακολουθηθεί για την διαχείριση συμβάντων ασφάλειας πληροφοριών.

Σύμφωνα με τον ΓΚΠ, η αρμόδια ρυθμιστική αρχή έχει την εξουσιοδότηση να επιβάλλει πρόστιμο έως και τέσσερα τοις εκατό του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους ή είκοσι εκατομμυρίων Ευρώ, ανάλογα με το ποιο είναι υψηλότερο, για παραβάσεις των κανονισμών.

3.11 Συμμόρφωση με τον ΓΚΠΔ

  • Οι ακόλουθες ενέργειες λαμβάνονται για να διασφαλίσουν ότι η ΣΥΝ.ΚΑ συμμορφώνεται ανά πάσα στιγμή με την αρχή της λογοδοσίας του ΓΚΠΔ:
  • Η νομική βάση για την επεξεργασία των προσωπικών δεδομένων είναι σαφής και χωρίς αμφισημίες
  • Έχει διοριστεί Υπεύθυνος Προστασίας Δεδομένων (αν χρειάζεται) με συγκεκριμένη ευθύνη πάνω στην προστασία των δεδομένων στην εταιρία
  • Όλο το προσωπικό που εμπλέκεται στον χειρισμό προσωπικών δεδομένων κατανοεί τις υποχρεώσεις τήρησης ορθών πρακτικών για την προστασία των δεδομένων
  • Όλο το προσωπικό έχει λάβει εκπαίδευση στην προστασία δεδομένων
  • Οι κανόνες αναφορικά με την συναίνεση ακολουθούνται
  • Υπάρχουν διαθέσιμες οδοί για τα υποκείμενα των δεδομένων, ώστε αυτά να ασκήσουν τα δικαιώματά τους πάνω στα προσωπικά δεδομένα, και τα αιτήματα των υποκειμένων αντιμετωπίζονται αποτελεσματικά
  • Οι διαδικασίες που αφορούν προσωπικά δεδομένα επανεξετάζονται σε τακτικά διαστήματα
  • Για όλα τα νέα ή τροποποιημένα συστήματα, καθώς και τις διαδικασίες, υιοθετείτε η αρχή της προστασίας της ιδιωτικής ζωής εκ κατασκευής
  • Καταγράφονται οι ακόλουθες τεκμηριώσεις επεξεργαστικών δραστηριοτήτων:
    • Όνομα οργανισμού ή εταιρίας και σχετικές λεπτομέρειες
    • Σκοποί της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
    • Κατηγορίες ατόμων και προσωπικών δεδομένων που επεξεργάζονται
    • Κατηγορίες αποδεκτών προσωπικών δεδομένων
    • Συμφωνίες και μηχανισμοί για διαβιβάσεις προσωπικών δεδομένων σε χώρες εκτός-ΕΕ, συμπεριλαμβανομένων και λεπτομερειών για τους ελέγχους σε λειτουργία
    • Χρονοδιάγραμμα τήρησης προσωπικών δεδομένων
    • Σχετικοί τεχνικοί και οργανωτικοί έλεγχοι σε λειτουργία

 

Οι δράσεις αυτές επανεξετάζονται σε τακτικά διαστήματα, στα πλαίσια της διοικητικής διαδικασίας σχετικά με την προστασία των δεδομένων.

Αρχική
Powered by Worklife Recruit (ex SmartCV)