1. Εισαγωγή
1.1 Ιστορικό του γενικού κανονισμού για την προστασία των δεδομένων («GDPR»)
Ο γενικός κανονισμός για την προστασία δεδομένων 2016 αντικαθιστά την οδηγία της ΕΕ για την προστασία των δεδομένων του 1995 και αντικαθιστά τις νομοθεσίες των επιμέρους κρατών μελών που αναπτύχθηκαν σύμφωνα με την οδηγία 95/46 / ΕΚ για την προστασία των δεδομένων. Σκοπός του είναι να προστατεύσει τα “δικαιώματα και τις ελευθερίες” των φυσικών προσώπων (δηλαδή τα ζωντανά άτομα) και να διασφαλίσει ότι τα προσωπικά δεδομένα δεν θα υποβάλλονται σε επεξεργασία χωρίς να γνωρίζουν και, όπου είναι δυνατόν, θα επεξεργάζονται με τη συγκατάθεσή τους.
1.2 Ορισμοί που χρησιμοποιούνται από την οργάνωση (που προέρχονται από το GDPR)
(Άρθρο 2) – το GDPR ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα εν όλω ή εν μέρει με αυτοματοποιημένα μέσα (δηλ. Με υπολογιστή) και για τη μεταποίηση, εκτός από αυτοματοποιημένα μέσα προσωπικών δεδομένων (δηλ. Αρχεία εγγράφων) που αποτελούν μέρος μιας κατάθεσης συστήματος ή προορίζονται να αποτελέσουν μέρος ενός συστήματος αρχειοθέτησης.
Εδαφικό πεδίο εφαρμογής (άρθρο 3) – το GDPR θα εφαρμόζεται σε όλους τους υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ (Ευρωπαϊκή Ένωση) και επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων στο πλαίσιο της ίδιας εγκατάστασης. Θα ισχύει επίσης για τους ελεγκτές εκτός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα προκειμένου να προσφέρουν αγαθά και υπηρεσίες ή να παρακολουθούν τη συμπεριφορά των υποκειμένων των δεδομένων που διαμένουν στην ΕΕ.
1.3 Ορισμοί του άρθρου 4
Εγκατάσταση – η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην ΕΕ θα είναι ο τόπος στον οποίο ο υπεύθυνος της επεξεργασίας λαμβάνει τις βασικές αποφάσεις ως προς τον σκοπό και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων. Η κύρια εγκατάσταση ενός μεταποιητή στην ΕΕ θα είναι το διοικητικό του κέντρο. Εάν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός της ΕΕ, θα πρέπει να διορίσει αντιπρόσωπο στη δικαιοδοσία στην οποία ο υπεύθυνος επεξεργασίας ενεργεί για λογαριασμό του ελεγκτή και να ασχολείται με τις εποπτικές αρχές.
Προσωπικά δεδομένα – οποιαδήποτε πληροφορία σχετικά με αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο («πρόσωπο στο οποίο αναφέρονται τα δεδομένα»). ένα αναγνωρίσιμο φυσικό πρόσωπο είναι ένα πρόσωπο το οποίο μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε ένα αναγνωριστικό όπως ένα όνομα, ένας αναγνωριστικός αριθμός, δεδομένα θέσης, ένα ηλεκτρονικό αναγνωριστικό ή ένας ή περισσότεροι παράγοντες που είναι συγκεκριμένοι για τις φυσικές, φυσιολογικές, γενετική, πνευματική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου.
Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα – προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή μέλη συνδικαλιστικών οργανώσεων και επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα για τον μοναδικό προσδιορισμό φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό ενός φυσικού προσώπου.
Ελεγκτής δεδομένων – το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο οργανισμός ή άλλος φορέας ο οποίος, από μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλεφθούν από το δίκαιο της Ένωσης ή των κρατών μελών.
Υποκείμενο των δεδομένων – κάθε ζωντανό άτομο που αποτελεί αντικείμενο προσωπικών δεδομένων που κατέχει ένας οργανισμός.
Επεξεργασία – κάθε πράξη ή σύνολο πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε αυτοματοποιημένα είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, διαμόρφωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, γνωστοποίηση μέσω μετάδοσης, διάδοσης ή άλλης διάθεσης, ευθυγράμμισης ή συνδυασμού, περιορισμού, διαγραφής ή καταστροφής.
Προφίλ – είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών στοιχείων που σχετίζονται με ένα φυσικό πρόσωπο ή στην ανάλυση ή την πρόβλεψη της απόδοσης του ατόμου στην εργασία, την οικονομική κατάσταση, την τοποθεσία, την υγεία, τις προσωπικές προτιμήσεις, την αξιοπιστία ή τη συμπεριφορά. Ο ορισμός αυτός συνδέεται με το δικαίωμα του υποκειμένου των δεδομένων να αντιτίθεται στη διαμόρφωση προφίλ και το δικαίωμα ενημέρωσης σχετικά με την ύπαρξη χαρακτηριστικών στοιχείων, των μέτρων που βασίζονται στον προσδιορισμό του προφίλ και των προβλεπόμενων επιπτώσεων της ανάλυσης στο άτομο.
Παραβίαση προσωπικών δεδομένων – παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή τυγχάνουν άλλης επεξεργασίας. Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει τις παραβιάσεις προσωπικών δεδομένων στην εποπτική αρχή και όταν η παραβίαση ενδέχεται να επηρεάσει αρνητικά τα προσωπικά δεδομένα ή το απόρρητο του υποκειμένου των δεδομένων.
Συγκατάθεση του υποκειμένου των δεδομένων – σημαίνει κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής ένδειξη των επιθυμιών του υποκειμένου των δεδομένων με την οποία αυτός, με δήλωση ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Παιδί – το GDPR ορίζει ένα παιδί ως άτομο κάτω από την ηλικία των 16 ετών, αν και αυτό μπορεί να μειωθεί σε 13 από το δίκαιο των κρατών μελών. Η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνον εάν έχει ληφθεί η γονική ή θεματοφυλακή. Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι η γονική μέριμνα για το παιδί δίδεται ή εγκρίνεται από τον κάτοχο γονικής μέριμνας.
Τρίτος – φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή φορέας εκτός από το υποκείμενο των δεδομένων, υπεύθυνος επεξεργασίας, μεταποιητής και πρόσωπα τα οποία υπό την άμεση εξουσία του υπεύθυνου επεξεργασίας ή του μεταποιητή έχουν εξουσιοδοτηθεί να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.
Σύστημα αρχειοθέτησης – κάθε δομημένο σύνολο προσωπικών δεδομένων που είναι προσβάσιμα σύμφωνα με συγκεκριμένα κριτήρια, είτε συγκεντρωτικά, είτε αποκεντρωμένα είτε διασκορπισμένα σε λειτουργική ή γεωγραφική βάση.
2. Δήλωση πολιτικής
2.1 Το Διοικητικό Συμβούλιο και η διοίκηση της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ, με έδρα την Νέα Φιλαδέλφεια Αττικής δεσμεύονται να συμμορφωθούν με όλες τις σχετικές διατάξεις της ΕΕ και των νομοθεσιών των κρατών μελών όσον αφορά τα δεδομένα προσωπικού χαρακτήρα και την προστασία του “Δικαιώματα και ελευθερίες” των ατόμων των οποίων η πληροφορία Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ
συλλέγει και επεξεργάζεται σύμφωνα με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).
2.2 Η συμμόρφωση με τον Κανονισμό Προστασίας Δεδομένων Προσωπικού Χαρακτήρα GDPR περιγράφεται από αυτήν την πολιτική και άλλες συναφείς πολιτικές, όπως η Πολιτική Ασφάλειας Πληροφοριών 5.2, μαζί με τις σχετικές διαδικασίες και διαδικασίες.
2.3 Ο Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα GDPR και αυτή η πολιτική ισχύουν για όλες τις λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ, συμπεριλαμβανομένων εκείνων που εκτελούνται σε προσωπικά δεδομένα των πελατών, των εργαζομένων, των προμηθευτών και των συνεργατών τους και κάθε άλλου προσωπικού χαρακτήρα που επεξεργάζεται ο οργανισμός από οποιαδήποτε πηγή .
2.4 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ έχει θεσπίσει στόχους για την προστασία των δεδομένων και την ιδιωτική ζωή, οι οποίοι περιλαμβάνονται στο PIMS και στο GDPR Record Objectives 4.11.
2.5 Ο κατόχος της GDPR είναι υπεύθυνος για την αναθεώρηση του μητρώου επεξεργασίας ετησίως υπό το πρίσμα τυχόν αλλαγών στις δραστηριότητες της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ (όπως καθορίζονται από τις αλλαγές στο μητρώο απογραφής δεδομένων και την ανασκόπηση της διαχείρισης) καθώς και σε τυχόν πρόσθετες απαιτήσεις που προσδιορίζονται μέσω των επιπτώσεων στην προστασία δεδομένων εκτιμήσεις. Το μητρώο αυτό πρέπει να είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.
2.6 Αυτή η πολιτική ισχύει για όλους τους Υπαλλήλους / Προσωπικό και τα ενδιαφερόμενα μέρη της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ όπως οι εξωτερικοί προμηθευτές. Οποιαδήποτε παράβαση του GDPR θα αντιμετωπιστεί βάσει της πειθαρχικής πολιτικής της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και μπορεί επίσης να είναι ποινικό αδίκημα, οπότε το θέμα θα αναφερθεί το συντομότερο δυνατόν στις αρμόδιες αρχές.
2.7 Οι Συνεργάτες και τυχόν τρίτα μέρη που εργάζονται με ή για την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και έχουν ή ενδέχεται να έχουν πρόσβαση σε προσωπικά δεδομένα θα πρέπει να έχουν διαβάσει, κατανοήσει και να συμμορφωθούν με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα που έχει στην κατοχή της η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ χωρίς να έχει αρχικά συνάψει συμφωνία εμπιστευτικότητας δεδομένων, η οποία επιβάλλει τις υποχρεώσεις του τρίτου μέρους και επιτρέπει στη η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ να ελέγξει τη συμμόρφωση με τη συμφωνία.
3. Ευθύνες και ρόλοι στο πλαίσιο του κανονισμού για την προστασία των γενικών δεδομένων
3.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ είναι ελεγκτής (controler) δεδομένων και / ή επεξεργαστής (processor) δεδομένων σύμφωνα με το Κανονισμό Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα GDPR.
3.2 Η Διοίκηση και όλοι όσοι ασκούν διευθυντικά ή εποπτικά καθήκοντα στην εταιρεία Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ είναι υπεύθυνοι για την ανάπτυξη και την ενθάρρυνση καλών πρακτικών διαχείρισης πληροφοριών στην Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ. Οι ευθύνες καθορίζονται στις ατομικές περιγραφές θέσεων εργασίας.
3.3 Ο κατόχους της GDPR, η περιγραφή και οι αρμοδιότητές του (4.3B), θα πρέπει να είναι μέλος της ανώτερης διοικητικής ομάδας, λογοδοτεί στο Διοικητικό Συμβούλιο της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ για τη διαχείριση των προσωπικών δεδομένων εντός της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και για την εξασφάλιση της συμμόρφωσης με τα δεδομένα, τη νομοθεσία περί προστασίας και την ορθή πρακτική. Αυτή η λογοδοσία περιλαμβάνει:
3.3.1 Ανάπτυξη και εφαρμογή του GDPR όπως απαιτείται από αυτήν την πολιτική · και
3.3.2 Διαχείριση ασφάλειας και κινδύνων σε σχέση με την τήρηση της πολιτικής.
3.4 Ο κατόχους (owner) της GDPR, ο οποίος θεωρεί ότι το Διοικητικό Συμβούλιο έχει τα κατάλληλα προσόντα και την εμπειρία του, έχει αναλάβει την ευθύνη της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ για την τήρηση αυτής της πολιτικής σε καθημερινή βάση και, ειδικότερα, έχει άμεση ευθύνη να διασφαλίσει ότι η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ συμμορφώνεται με το GDPR, όπως συμβαίνει και με άλλους διαχειριστές όσον αφορά την επεξεργασία δεδομένων που πραγματοποιείται εντός της περιοχής ευθύνης τους.
3.5 Ο κάτοχος (owner) GDPR έχει συγκεκριμένες αρμοδιότητες σε σχέση με διαδικασίες όπως η διαδικασία αίτησης πρόσβασης (2.2) και είναι ο πρώτος υπεύθυνος για τους υπαλλήλους / προσωπικό που ζητούν διευκρινίσεις σχετικά με οποιαδήποτε πτυχή της συμμόρφωσης στην προστασία δεδομένων.
3.6 Η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων είναι ευθύνη όλων των υπαλλήλων / στελεχών της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ που επεξεργάζονται τα προσωπικά δεδομένα.
3.7 Η Πολιτική Κατάρτισης GDPR της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ (1.1) καθορίζει συγκεκριμένες απαιτήσεις κατάρτισης και ευαισθητοποίησης σε σχέση με τους συγκεκριμένους ρόλους και τους Υπαλλήλους / Προσωπικό της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ γενικά.
3.8 Οι υπάλληλοι της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ είναι υπεύθυνοι για την επακριβή ενημέρωσή τους συμπεριλαμβανομένων των επικυρωμένων αναθεωρήσεων σχετικά με τα προσωπικά τους δεδομένα και την παροχή τους στην Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ.
4. Αρχές προστασίας δεδομένων
Όλες οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα πρέπει να διεξάγονται σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται στο άρθρο 5 του GDPR. Οι πολιτικές και οι διαδικασίες της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ αποσκοπούν στην εξασφάλιση της συμμόρφωσης με τις αρχές.
4.1 Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία.
4.1.2 Τα στοιχεία επικοινωνίας του κατόχου (owner ) GDPR.
4.1.3 Tους σκοπούς της επεξεργασίας για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για τη μεταποίηση.
4.1.4 Tην περίοδο για την οποία αποθηκεύονται τα προσωπικά δεδομένα
4.1.5 την ύπαρξη δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής ή διαμαρτυρίας στη μεταποίηση και των όρων (ή έλλειψης) σχετικά με την άσκηση αυτών των δικαιωμάτων, όπως το αν θα επηρεαστεί η νομιμότητα της προηγούμενης επεξεργασίας ·
4.1.6 τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα
4.1.7 οι παραλήπτες ή οι κατηγορίες αποδεκτών των προσωπικών δεδομένων, κατά περίπτωση.
4.1.8 ενδεχομένως, ότι ο ελεγκτής προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα και το επίπεδο προστασίας που παρέχεται στα δεδομένα ·
4.1.9 οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για την εξασφάλιση δίκαιης επεξεργασίας.
4.2 Τα προσωπικά δεδομένα μπορούν να συλλέγονται μόνο για συγκεκριμένους, σαφείς και νόμιμους σκοπούς. Τα δεδομένα που λαμβάνονται για συγκεκριμένους σκοπούς δεν πρέπει να χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που κοινοποιούνται επίσημα στην εποπτική αρχή και ως μέρος του μητρώου επεξεργασίας GDPR της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ. (2.1) καθορίζει τις σχετικές διαδικασίες.
4.3 Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα.
4.3.1 Ο κάτοχος GDPR είναι υπεύθυνος για τη διασφάλιση ότι η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ δεν συλλέγει πληροφορίες που δεν είναι απολύτως απαραίτητες για το σκοπό για τον οποίο αποκτήθηκε.
4.3.2 Όλα τα έντυπα συλλογής δεδομένων (ηλεκτρονικά ή σε έντυπη μορφή), συμπεριλαμβανομένων των απαιτήσεων συλλογής δεδομένων σε νέα συστήματα πληροφοριών, πρέπει να περιλαμβάνουν δήλωση ορθής επεξεργασίας ή σύνδεσμο με τη δήλωση προστασίας προσωπικών δεδομένων και να έχουν εγκριθεί από τον κάτοχο GDPR.
4.3.3 Ο κάτοχος GDPR θα διασφαλίσει ότι θα επανεξετάζονται σε ετήσια βάση όλες οι μέθοδοι συλλογής δεδομένων ώστε να διασφαλίζεται ότι τα συλλεγόμενα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβολικά (Διαδικασία αξιολόγησης αντικτύπου προστασίας 2.4 και εργαλείο DPIA 4.4).
4.4 Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και να ενημερώνονται με κάθε προσπάθεια να διαγραφούν ή να διορθωθούν χωρίς καθυστέρηση
4.4.1 Τα δεδομένα που αποθηκεύονται από τον υπεύθυνο επεξεργασίας δεδομένων πρέπει να επανεξετάζονται και να αναπροσαρμόζονται ανάλογα με τις ανάγκες. Δεν πρέπει να διατηρούνται δεδομένα εκτός αν είναι εύλογο να υποτεθεί ότι είναι ακριβή.
4.4.2 Ο κάτοχος GDPR είναι υπεύθυνος για την εξασφάλιση ότι όλο το προσωπικό εκπαιδεύεται στη σημασία της συλλογής σημαντικών προσωπικών δεδομένων και της διατήρησής τους.
4.4.3 Είναι επίσης ευθύνη του υποκειμένου των δεδομένων να διασφαλίσει ότι τα δεδομένα που κατέχει η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ είναι ακριβή και ενημερωμένα. Η συμπλήρωση ενός εντύπου εγγραφής ή αίτησης από ένα υποκείμενο των δεδομένων θα περιλαμβάνει δήλωση ότι τα δεδομένα που περιέχονται σε αυτό είναι ακριβή κατά την ημερομηνία υποβολής.
4.4.4 Οι εργαζόμενοι / Προσωπικό / Πελάτες / άλλοι] θα πρέπει να υποχρεούνται να ειδοποιούν την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ για οποιεσδήποτε αλλαγές, ώστε να είναι δυνατή η ενημέρωση των προσωπικών αρχείων. Είναι ευθύνη της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ να διασφαλίσει ότι οι αλλαγές προσωπικών δεδομένων καταγράφονται και θα ενεργεί οποιαδήποτε κοινοποίηση σχετικά με την αλλαγή περιστάσεων.
4.4.5 Ο κάτοχος (owner) GDPR είναι υπεύθυνος για τη διασφάλιση της ύπαρξης κατάλληλων διαδικασιών και πολιτικών για την ακριβή και ενημερωμένη ενημέρωση των προσωπικών δεδομένων, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία μπορεί να αλλάξει και τυχόν άλλους συναφείς παράγοντες.
4.4.6 Τουλάχιστο σε ετήσια βάση, ο κάτοχος GDPR θα εξετάσει τις ημερομηνίες διατήρησης όλων των προσωπικών δεδομένων που επεξεργάστηκε η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ, με αναφορά στην απογραφή δεδομένων, και θα προσδιορίσει τυχόν δεδομένα που δεν απαιτούνται πλέον στο πλαίσιο της τον καταχωρισμένο σκοπό. Αυτά τα δεδομένα θα διαγραφούν / καταστραφούν με ασφάλεια σύμφωνα με τη Διαδικασία ασφαλούς απόρριψης μέσων αποθήκευσης 11.2.7.
4.4.7 Ο κάτοχος GDPR είναι υπεύθυνος για την απάντηση σε αιτήματα για διόρθωση από τα υποκείμενα των δεδομένων εντός ενός μηνός (Διαδικασία Αίτησης Πρόσβασης Προσωπικού
2.2). Αυτό μπορεί να επεκταθεί σε δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ αποφασίσει να μην συμμορφωθεί με την αίτηση, ο κάτοχος GDPR πρέπει να απαντήσει στο υποκείμενο των δεδομένων για να εξηγήσει τη συλλογιστική του και να του ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην εποπτική αρχή και να ζητήσει ένδικα μέσα.
4.4.8 Ο κάτοχος GDPR είναι υπεύθυνος για τη λήψη των κατάλληλων ρυθμίσεων, ώστε σε περίπτωση που τρίτων φορέων μπορεί να έχουν περάσει ανακριβή ή παρωχημένα προσωπικά δεδομένα, να τους ενημερώσει ότι οι πληροφορίες είναι ανακριβείς ή / και ξεπερασμένες και δεν είναι να χρησιμοποιείται για την ενημέρωση των αποφάσεων σχετικά με τα ενδιαφερόμενα άτομα · και για τη διαβίβαση οποιασδήποτε διόρθωσης στα προσωπικά δεδομένα στο τρίτο μέρος όπου αυτό απαιτείται.
4.5 Τα δεδομένα προσωπικού χαρακτήρα πρέπει να φυλάσσονται κατά τρόπο ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μπορεί να ταυτοποιηθεί μόνο εφόσον είναι αναγκαίο για την επεξεργασία.
4.5.1 Όταν τα προσωπικά δεδομένα διατηρούνται πέρα από την ημερομηνία επεξεργασίας, θα ελαχιστοποιηθούν και θα κρυπτογραφηθούν για την προστασία της ταυτότητας του υποκειμένου των δεδομένων σε περίπτωση παραβίασης των δεδομένων.
4.5.2 Τα προσωπικά δεδομένα θα διατηρηθούν σύμφωνα με τη Διαδικασία Διατήρησης των Αρχείων 2.3 και, μόλις περατωθεί η ημερομηνία διατήρησής τους, θα πρέπει να καταστραφούν με ασφάλεια σύμφωνα με τη διαδικασία αυτή.
4.5.3 Ο κάτοχος GDPR πρέπει να εγκρίνει συγκεκριμένα κάθε διατήρηση δεδομένων που υπερβαίνει τις περιόδους διατήρησης που καθορίζονται στη Διαδικασία Διατήρησης των Καταγγελιών 2.3 και πρέπει να διασφαλίζει ότι η αιτιολόγηση είναι σαφώς προσδιορισμένη και σύμφωνα με τις απαιτήσεις της νομοθεσίας περί προστασίας δεδομένων. Η έγκριση αυτή πρέπει να είναι γραμμένη.
4.6 Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια. Ο κάτοχος GDPR θα διενεργήσει εκτίμηση επικινδυνότητας, λαμβάνοντας υπόψη όλες τις περιστάσεις των ελέγχων ή επεξεργασιών της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ.
Κατά τον καθορισμό της καταλληλότητας, ο κάτοχος GDPR πρέπει επίσης να εξετάσει την έκταση της ενδεχόμενης ζημίας ή απώλειας που μπορεί να προκληθεί σε άτομα (π.χ. προσωπικό ή πελάτες) σε περίπτωση παραβίασης της ασφάλειας, το αποτέλεσμα οποιασδήποτε παραβίασης της ασφάλειας στην ίδια την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ, βλάβη της φήμης, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών.
Κατά την αξιολόγηση των κατάλληλων τεχνικών μέτρων, ο κάτοχος GDPR θα εξετάσει τα ακόλουθα:
- Προστασία με κωδικό πρόσβασης – Διαδικασία ασφάλειας φορητού υπολογιστή και υπολογιστή 6.2.1.
- Αυτόματη ασφάλιση ασυνεχών ακροδεκτών. (6.2.1)
- Αφαίρεση δικαιωμάτων πρόσβασης για USB και άλλα μέσα μνήμης (9.1.2 & Ασφαλής απόρριψη μέσων αποθήκευσης 11.2.7).
- Λογισμικό ελέγχου ιού και τείχη προστασίας (6.2.1)
- Δικαιώματα πρόσβασης βάσει ρόλων, συμπεριλαμβανομένων εκείνων που εκχωρούνται σε έκτακτο προσωπικό (9.1.2).
- Κρυπτογράφηση συσκευών που εγκαταλείπουν τις εγκαταστάσεις των οργανισμών, όπως φορητοί υπολογιστές (6.2.1).
- Ασφάλεια των τοπικών και ευρύτερων δικτύων (6.2.1).
Προσδιορισμός κατάλληλων διεθνών προτύπων ασφαλείας σχετικά με την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ.
Κατά την αξιολόγηση των κατάλληλων οργανωτικών μέτρων ο κάτοχος GDPR θα εξετάσει τα ακόλουθα:
- Τα κατάλληλα επίπεδα εκπαίδευσης σε όλη την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ.
- Μέτρα που λαμβάνουν υπόψη την αξιοπιστία των εργαζομένων (όπως είναι οι αναφορές κ.λπ.).
- Η συμπερίληψη της προστασίας δεδομένων στις συμβάσεις εργασίας.
- Προσδιορισμός μέτρων πειθαρχικής δράσης για παραβιάσεις δεδομένων.
- Παρακολούθηση του προσωπικού για τη συμμόρφωση με τα σχετικά πρότυπα ασφαλείας.
- Έλεγχοι φυσικής πρόσβασης σε ηλεκτρονικά και έντυπα
- Υιοθέτηση πολιτικής γραφείου
- Αποθήκευση έντυπων αρχείων και δεδομένων σε κλειδωμένα αντιπυρικά ντουλάπια
- Περιορισμός της χρήσης φορητών ηλεκτρονικών συσκευών εκτός του χώρου εργασίας.
- Περιορισμός της χρήσης των προσωπικών συσκευών του εργαζομένου που χρησιμοποιούνται στο χώρο εργασίας.
- Υιοθέτηση σαφών κανόνων σχετικά με τους κωδικούς πρόσβασης.
- Δημιουργία τακτικών αντιγράφων ασφαλείας των προσωπικών δεδομένων και αποθήκευση αρχείων σε ψηφιακά μέσα εκτός εταιρικού δικτύου.
- Η επιβολή συμβατικών υποχρεώσεων στους οργανισμούς εισαγωγής να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας κατά τη μεταφορά δεδομένων εκτός του ΕΟΧ.
Αυτοί οι έλεγχοι έχουν επιλεγεί με βάση τους προσδιορισμένους κινδύνους για τα προσωπικά δεδομένα και τις πιθανότητες βλάβης ή κινδύνου σε άτομα τα δεδομένα των οποίων υπόκεινται σε επεξεργασία.
Η συμμόρφωση της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ με αυτήν την αρχή περιέχεται στην πολιτική διαχείρισης της ασφάλειας πληροφοριών, η οποία έχει αναπτυχθεί σύμφωνα με το πρότυπο ISO / IEC 27001: 2013 και την πολιτική ασφάλειας των πληροφοριών (5.2)
4.7 Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές του GDPR (λογοδοσία)
Το GDPR περιλαμβάνει διατάξεις που προωθούν την υπευθυνότητα και τη διακυβέρνηση. Αυτά συμπληρώνουν τις απαιτήσεις διαφάνειας του GDPR. Η αρχή της λογοδοσίας στο άρθρο 5 παράγραφος 2 απαιτεί από εσάς να αποδείξετε ότι συμμορφώνεστε με τις αρχές και δηλώνετε ρητά ότι αυτή είναι δική σας ευθύνη.
Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ συμμορφώνεται τις αρχές προστασίας δεδομένων, εφαρμόζοντας πολιτικές προστασίας δεδομένων, εφαρμόζοντας κώδικες δεοντολογίας, τεχνικά και οργανωτικά μέτρα και υιοθετώντας τεχνικές όπως η προστασία δεδομένων από το σχεδιασμό, οι ΑΠΚΑ, σχέδια.
5. Δικαιώματα των υποκειμένων των δεδομένων
5.1 Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία δεδομένων και τα δεδομένα που έχουν καταγραφεί :
5.1.1 Να υποβάλλουν αιτήσεις πρόσβασης σε θέματα σχετικά με τη φύση των πληροφοριών που κατέχονται και στους οποίους έχουν αποκαλυφθεί.
5.1.2 Για να αποφευχθεί η επεξεργασία που ενδέχεται να προκαλέσει ζημιά ή αγωνία.
5.1.3 Να εμποδίζεται η επεξεργασία για σκοπούς άμεσου μάρκετινγκ.
5.1.4 Να ενημερωθούν για τη μηχανική της αυτοματοποιημένης διαδικασίας λήψης αποφάσεων που θα τους επηρεάσει σημαντικά.
5.1.5 Να μην έχουν σημαντικές αποφάσεις που θα τους επηρεάσουν μόνο με αυτοματοποιημένη διαδικασία.
5.1.6 Να διεκδικήσουν αποζημίωση εάν υποστούν ζημία από οποιαδήποτε παράβαση του GDPR.
5.1.7 Να λάβει μέτρα για τη διόρθωση, την απαγόρευση, τη διαγραφή, συμπεριλαμβανομένου του δικαιώματος να ξεχάσει ή να καταστρέψει ανακριβή δεδομένα.
5.1.8 Να ζητήσει από την εποπτική αρχή να εκτιμήσει εάν έχει παραβιαστεί οποιαδήποτε διάταξη του GDPR.
5.1.9 Να τους παρασχεθούν προσωπικά δεδομένα με διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και το δικαίωμα να διαβιβάζονται αυτά τα δεδομένα σε άλλο ελεγκτή.
5.1.10 Να αντιταχθεί σε οποιοδήποτε αυτοματοποιημένο προφίλ που εμφανίζεται χωρίς συγκατάθεση.
5.2 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ διασφαλίζει ότι τα υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματα αυτά:
5.2.1 Τα υποκείμενα των δεδομένων μπορούν να κάνουν αιτήματα πρόσβασης σε δεδομένα όπως περιγράφεται στο Θέμα
Διαδικασία αίτησης πρόσβασης 2.2 Αυτή η διαδικασία περιγράφει επίσης τον τρόπο με τον οποίο η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ θα εξασφαλίσει ότι η απόκριση της στην αίτηση πρόσβασης δεδομένων θα είναι σύμφωνη με τις απαιτήσεις του GDPR.
5.2.2 Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν το δικαίωμα να υποβάλουν καταγγελία στη Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τη διεκπεραίωση ενός αιτήματος από ένα υποκείμενο των δεδομένων και τις προσφυγές από ένα υποκείμενο των δεδομένων σχετικά με τον τρόπο αντιμετώπισης των καταγγελιών σύμφωνα με τη Διαδικασία Καταγγελίας 2.9.
6. Συναίνεση
6.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ αντιλαμβάνεται ότι η «συγκατάθεση» σημαίνει ότι έχει δοθεί ρητώς και ελεύθερα και μια συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη ένδειξη για τις επιθυμίες του υποκειμένου των δεδομένων ότι, με δήλωση ή με σαφή καταφατική ενέργεια, σημαίνει συμφωνία για την επεξεργασία προσωπικών δεδομένα που σχετίζονται με αυτόν. Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συναίνεσή του ανά πάσα στιγμή.
6.2 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ κατανοεί τη «συγκατάθεση» ότι σημαίνει ότι το υποκείμενο των δεδομένων έχει ενημερωθεί πλήρως για την προβλεπόμενη επεξεργασία και έχει υποδείξει τη συμφωνία τους, ενώ σε μια κατάλληλη κατάσταση του νου για να το πράξει και χωρίς να ασκεί πιέσεις επ ‘αυτών. Η συναίνεση που αποκτάται υπό την πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία.
6.3 Πρέπει να υπάρξει κάποια ενεργή επικοινωνία μεταξύ των μερών για να αποδειχθεί η ενεργός συναίνεση. Η συναίνεση δεν μπορεί να συναχθεί από τη μη απάντηση σε μια επικοινωνία. Ο ελεγκτής πρέπει να είναι σε θέση να αποδείξει ότι έχει ληφθεί συναίνεση για τη διαδικασία επεξεργασίας.
6.4 Για τα ευαίσθητα δεδομένα, πρέπει να παρέχεται ρητή γραπτή συγκατάθεση (διαδικασία συναίνεσης 2.7) των υποκειμένων των δεδομένων, εκτός εάν υπάρχει εναλλακτική θεμιτή βάση για τη μεταποίηση.
6.5 Στις περισσότερες περιπτώσεις, η συγκατάθεση για την επεξεργασία προσωπικών και ευαίσθητων δεδομένων αποκτάται συστηματικά από την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ χρησιμοποιώντας πρότυπα έγγραφα συγκατάθεσης, π.χ. όταν ένας νέος πελάτης υπογράφει σύμβαση ή κατά τη διάρκεια της εισαγωγής για συμμετέχοντες σε προγράμματα.
7. Ασφάλεια δεδομένων
7.1 Όλοι οι υπάλληλοι / υπάλληλοι είναι υπεύθυνοι για τη διασφάλιση ότι τα προσωπικά δεδομένα που κατέχει η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και για τα οποία είναι υπεύθυνα διατηρούνται με ασφάλεια και δεν αποκαλύπτονται σε καμία περίπτωση σε τρίτους, εκτός εάν η συγκεκριμένη τρίτη εταιρεία έχει εξουσιοδοτηθεί ειδικά από την Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ για να λάβει τις πληροφορίες αυτές και έχει συνάψει συμφωνία εμπιστευτικότητας.
7.2 Όλα τα προσωπικά δεδομένα πρέπει να είναι προσβάσιμα μόνο σε όσους την χρειάζονται και η πρόσβαση επιτρέπεται μόνο σύμφωνα με την Πολιτική Ελέγχου Πρόσβασης (9.1.1) Όλα τα προσωπικά δεδομένα πρέπει να αντιμετωπίζονται με την υψηλότερη ασφάλεια και πρέπει να τηρούνται:
- Σε κλειδωμένο δωμάτιο με ελεγχόμενη πρόσβαση · και / ή
- Σε ένα συρταρωτό συρτάρι ή κιβώτιο αρχειοθέτησης. και / ή
· Εάν είναι μηχανογραφημένη, προστατευμένη με κωδικό πρόσβασης σύμφωνα με τις εταιρικές απαιτήσεις της Πολιτικής Ελέγχου Πρόσβασης (9.1.1). και / ή
· Αποθηκευμένα σε (αφαιρούμενα) μέσα υπολογιστή τα οποία είναι κρυπτογραφημένα σύμφωνα με την Ασφαλής Απόρριψη μέσων αποθήκευσης 11.2.7
7.3 Πρέπει να προσέχετε
8. Γνωστοποίηση δεδομένων
8.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ πρέπει να διασφαλίσει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένους τρίτους, συμπεριλαμβανομένων των μελών της οικογένειας, των φίλων, των κρατικών φορέων και, υπό ορισμένες συνθήκες, της Αστυνομίας. Όλοι οι υπάλληλοι / υπάλληλοι θα πρέπει να είναι προσεκτικοί όταν καλούνται να αποκαλύψουν προσωπικά δεδομένα που διατηρούνται σε άλλο άτομο σε τρίτο μέρος. Είναι σημαντικό να έχουμε κατά νου κατά πόσον η αποκάλυψη των πληροφοριών είναι σχετική και αναγκαία για τη συμπεριφορά των επιχειρήσεων της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ .
8.2 Όλες οι αιτήσεις παροχής στοιχείων για έναν από αυτούς τους λόγους πρέπει να υποστηρίζονται από κατάλληλη γραφική εργασία και όλες αυτές οι γνωστοποιήσεις πρέπει να εξουσιοδοτούνται ειδικά από τον κάτοχο GDPR.
9. Διατήρηση και διάθεση δεδομένων
9.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ δεν φυλάσσει τα προσωπικά δεδομένα σε μορφή που επιτρέπει την αναγνώριση των προσώπων στα οποία αναφέρονται τα δεδομένα για μεγαλύτερο χρονικό διάστημα από αυτό που είναι απαραίτητο, σε σχέση με τον (τους) σκοπό (τους) για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.
9.2 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ μπορεί να αποθηκεύσει δεδομένα για μεγαλύτερα χρονικά διαστήματα εάν τα προσωπικά δεδομένα θα υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης για λόγους κοινής ωφέλειας, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την επιφύλαξη της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και ελευθερίες του υποκειμένου των δεδομένων.
9.3 Η περίοδος διατήρησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα θα καθορίζεται στη διαδικασία διατήρησης αρχείων (2.3) μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου, συμπεριλαμβανομένων τυχόν υποχρεωτικών υποχρεώσεων της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ να διατηρεί τα δεδομένα.
9.4 Η διαδικασία διατήρησης δεδομένων και διάθεσης δεδομένων της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ (Διαδικασία Απομάκρυνσης Αποθήκευσης (11.2.7) θα ισχύει σε όλες τις περιπτώσεις.
9.5 Τα προσωπικά δεδομένα πρέπει να διατίθενται με ασφάλεια σύμφωνα με την έκτη αρχή του GDPR – να επεξεργάζονται κατά τον κατάλληλο τρόπο για να διατηρούν την ασφάλεια, προστατεύοντας έτσι τα “δικαιώματα και τις ελευθερίες” των υποκειμένων των δεδομένων. Κάθε διάθεση δεδομένων θα γίνει σύμφωνα με τη διαδικασία ασφαλούς απόρριψης (11..2.7).
10. Μεταφορές δεδομένων
10.1 Όλες οι εξαγωγές δεδομένων από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) προς χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (που αναφέρονται στο ΓΕΔΑ ως «τρίτες χώρες») είναι παράνομες, εκτός εάν υπάρχει κατάλληλο «επίπεδο προστασίας των θεμελιωδών δικαιωμάτων του υποκείμενα δεδομένων “.
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ απαγορεύεται εκτός εάν ισχύουν μία ή περισσότερες από τις καθορισμένες διασφαλίσεις ή εξαιρέσεις:
10.1.1 Μια απόφαση επάρκειας
Η Ευρωπαϊκή Επιτροπή μπορεί και αξιολογεί τις τρίτες χώρες, την επικράτεια ή / και τους ειδικούς τομείς εντός των τρίτων χωρών, προκειμένου να αξιολογήσει εάν υπάρχει κατάλληλο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Σε αυτές τις περιπτώσεις δεν απαιτείται έγκριση.
Οι χώρες που είναι μέλη του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), αλλά όχι της ΕΕ, γίνονται δεκτές ότι πληρούν τις προϋποθέσεις για μια απόφαση επάρκειας.
Κατάλογος των χωρών που ανταποκρίνονται σήμερα στις απαιτήσεις επάρκειας της Επιτροπής δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm
10.1.2 Ασπίδα προστασίας προσωπικών δεδομένων
Εάν η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ επιθυμεί να μεταφέρει δεδομένα προσωπικού χαρακτήρα από την ΕΕ σε έναν οργανισμό στις Ηνωμένες Πολιτείες, θα πρέπει να ελέγξει ότι ο οργανισμός έχει εγγραφεί στο πλαίσιο του Privacy Shield στο Υπουργείο Εμπορίου των ΗΠΑ. Η υποχρέωση που ισχύει για τις εταιρείες βάσει του Privacy Shield περιλαμβάνεται στις «Αρχές Προστασίας Προσωπικών Δεδομένων». Το DOC των ΗΠΑ είναι υπεύθυνο για τη διαχείριση και τη διαχείριση της Ασφάλειας Προστασίας Προσωπικών Δεδομένων και για την εξασφάλιση της συμμόρφωσης των εταιρειών με τις δεσμεύσεις τους. Προκειμένου να είναι σε θέση να πιστοποιήσουν, οι εταιρείες πρέπει να διαθέτουν πολιτική απορρήτου σύμφωνα με τις αρχές περί προστασίας της ιδιωτικής ζωής, π.χ. τη χρήση, την αποθήκευση και περαιτέρω μεταφορά των προσωπικών δεδομένων σύμφωνα με ένα ισχυρό σύνολο κανόνων προστασίας δεδομένων και διασφαλίσεων. Η προστασία που παρέχεται στα προσωπικά δεδομένα ισχύει ανεξάρτητα από το αν τα προσωπικά δεδομένα σχετίζονται με κάτοικο της ΕΕ ή όχι. Οι οργανισμοί πρέπει να ανανεώνουν την “ιδιότητα μέλους” τους στην Ασπίδα Προστασίας Προσωπικών Δεδομένων σε ετήσια βάση. Εάν δεν το κάνουν, δεν μπορούν πλέον να λαμβάνουν και να χρησιμοποιούν προσωπικά δεδομένα από την ΕΕ στο πλαίσιο αυτό.
Αξιολόγηση της επάρκειας από τον υπεύθυνο επεξεργασίας δεδομένων
Κατά την αξιολόγηση της επάρκειας, ο ελεγκτής εξαγωγής πρέπει να λάβει υπόψη τους ακόλουθους παράγοντες:
- Τη φύση των πληροφοριών που μεταφέρονται
- Τη χώρα ή την επικράτεια προέλευσης και τελικού προορισμού των πληροφοριών
- Πώς θα χρησιμοποιηθούν οι πληροφορίες και για πόσο καιρό
- Τους νόμους και τις πρακτικές της χώρας του εκδοχέα, συμπεριλαμβανομένων των σχετικών κωδίκων πρακτικής και των διεθνών υποχρεώσεων · και
- Τα μέτρα ασφάλειας που πρέπει να ληφθούν όσον αφορά τα δεδομένα στο εξωτερικό.
10.1.3 Δεσμευτικοί εταιρικοί κανόνες
Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ μπορεί να υιοθετήσει εγκεκριμένους δεσμευτικούς εταιρικούς κανόνες για τη μεταφορά δεδομένων εκτός της ΕΕ. Αυτό απαιτεί την υποβολή στην αρμόδια εποπτική αρχή της έγκρισης των κανόνων που η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ επιδιώκει να επικαλεστεί.
10.1.4 Ρήτρες πρότυπων συμβάσεων
Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ μπορεί να εγκρίνει εγκεκριμένες πρότυπες συμβατικές ρήτρες για τη διαβίβαση δεδομένων εκτός του ΕΟΧ.
10.1.5 Εξαιρέσεις
Εφόσον δεν ληφθεί απόφαση επάρκειας, η ιδιότητα του μέλους του Privacy Shield, οι δεσμευτικοί εταιρικοί κανόνες ή / και οι πρότυπες συμβατικές ρήτρες, η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο με έναν από τους ακόλουθους όρους:
- Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στην προτεινόμενη μεταφορά αφού ενημερωθεί σχετικά με τους ενδεχόμενους κινδύνους αυτών των μεταφορών για το υποκείμενο των δεδομένων λόγω της έλλειψης απόφασης επάρκειας και των κατάλληλων διασφαλίσεων
- Η μεταφορά είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας ή για την εφαρμογή των προσυμβατικών μέτρων που λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα
- Η μεταφορά είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης που συνάπτεται προς το συμφέρον του υποκειμένου των δεδομένων μεταξύ του υπεύθυνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου
- Η μεταφορά είναι απαραίτητη για σημαντικούς λόγους δημόσιου ενδιαφέροντος
- Η μεταφορά είναι απαραίτητη για τη σύσταση, άσκηση ή υπεράσπιση νομικών αξιώσεων · και / ή
- Η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλων προσώπων, όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του.
11. Μητρώο στοιχείων ενεργητικού / απογραφή δεδομένων
11.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ έχει καθιερώσει μια διαδικασία απογραφής δεδομένων και ροής δεδομένων ως μέρος της προσέγγισής της για την αντιμετώπιση των κινδύνων και των ευκαιριών σε όλο το έργο συμμόρφωσης με το GDPR.
Η απογραφή δεδομένων και η ροή δεδομένων της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ καθορίζει (2.4 & 4.4):
- τις επιχειρησιακές διαδικασίες που χρησιμοποιούν προσωπικά δεδομένα.
- τη πηγή των προσωπικών δεδομένων.
- τον όγκο των προσώπων στα οποία αναφέρονται τα δεδομένα
- τη περιγραφή κάθε στοιχείου προσωπικών δεδομένων
- τη δραστηριότητα επεξεργασίας
- τη διατήρηση της απογραφής των κατηγοριών δεδομένων των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα
- τη τεκμηρίωση του σκοπού για τον οποίο χρησιμοποιείται κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα
- τους παραλήπτες και τους πιθανούς αποδέκτες των προσωπικών δεδομένων
- το ρόλο της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ σε όλη τη ροή δεδομένων
- τα βασικά συστήματα και αποθετήρια
- τις οποιεσδήποτε μεταφορές δεδομένων. και
- όλες οι απαιτήσεις διατήρησης και διάθεσης.
11.2 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ γνωρίζει τους κινδύνους που σχετίζονται με την επεξεργασία συγκεκριμένων τύπων προσωπικών δεδομένων.
11.2.1 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ αξιολογεί το επίπεδο κινδύνου για τα άτομα που σχετίζεται με την επεξεργασία των προσωπικών τους δεδομένων. Οι αξιολογήσεις επιπτώσεων για την προστασία δεδομένων DPIAs (Data Protection Impact Assessment) (DPIA 2.4 και 4.4) διεξάγονται σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τη Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και σε σχέση με την επεξεργασία που έχουν αναλάβει άλλοι οργανισμοί για λογαριασμό της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ.
11.2.2 Η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ θα διαχειρίζεται τους κινδύνους που εντοπίζονται από την εκτίμηση επικινδυνότητας, προκειμένου να μειωθεί η πιθανότητα μη συμμόρφωσης με αυτήν την πολιτική.
11.2.3 Όταν ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και λαμβανομένης υπόψη της φύσης, του πεδίου, του πλαισίου και των σκοπών της επεξεργασίας, ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ , πριν από τη διεκπεραίωση, να προβεί σε αξιολόγηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων. Μια ενιαία DPIA μπορεί να απευθύνει μια σειρά παρόμοιων διαδικασιών επεξεργασίας που παρουσιάζουν παρόμοιους υψηλού κινδύνου.
11.2.4 Όταν, ως αποτέλεσμα της, είναι σαφές ότι η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ πρόκειται να αρχίσει την επεξεργασία προσωπικών δεδομένων που θα μπορούσαν να προκαλέσουν ζημία ή / και αγωνία στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, η απόφαση για το αν η Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ πρέπει να κλιμακωθεί για έλεγχο στον κατόχου GDPR.
11.2.5 Ο κάτοχος GDPR, αν υπάρχουν σημαντικές ανησυχίες, είτε για την ενδεχόμενη βλάβη ή αγωνία είτε για την ποσότητα των δεδομένων, κλιμακώνει το ζήτημα στην εποπτική αρχή.
11.2.6 Επιλέγονται και εφαρμόζονται κατάλληλοι έλεγχοι για τη μείωση του βαθμού κινδύνου που συνδέεται με την επεξεργασία των μεμονωμένων δεδομένων σε αποδεκτό επίπεδο, με βάση τα τεκμηριωμένα κριτήρια αποδοχής κινδύνου της Μ.Δ. ΚΑΛΑΠΟΔΗΣ ΑΒΕΕ και τις απαιτήσεις του GDPR.