1. ΟΡΙΣΜΟΙ
Δεδομένα Προσωπικού Χαρακτήρα (Προσωπικά Δεδομένα): κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («Υποκείμενο των Δεδομένων»). Tο ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Επεξεργασία Προσωπικών Δεδομένων: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Υπεύθυνος Επεξεργασίας: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνο ή από κοινού με άλλα, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Εκτελών την Επεξεργασία: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Τρίτος: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
2. ΒΟΥΛΗΣΗ ΚΑΙ ΔΕΣΜΕΥΣΗ ΤΗΣ ΑΝΩΤΕΡΗΣ ΔΙΟΙΚΗΣΗΣ
Η Σωληνουργεία Κορίνθου Α.Ε. δεσμεύεται ως προς την προστασία των προσωπικών δεδομένων που επεξεργάζεται στo πλαίσιo των επιχειρηματικών διεργασιών και λειτουργιών της, τη συμμόρφωσή της με τη διεθνή και εγχώρια νομοθεσία, όπως και με τις βέλτιστες πρακτικές στην επεξεργασία προσωπικών δεδομένων.
Η παρούσα πολιτική έχει εφαρμογή σε όλα τα προσωπικά δεδομένα που επεξεργάζεται το προσωπικό της Σωληνουργεία Κορίνθου Α.Ε., όπως επίσης οι εξωτερικοί συνεργάτες, συνδεδεμένοι και άλλοι τρίτοι οι οποίοι ενεργούν εκ μέρους της Εταιρίας. Εφαρμόζεται στην Εταιρία όταν εκτελεί δραστηριότητες Υπεύθυνου Επεξεργασίας, Εκτελούντος την Επεξεργασία ή και τα δύο.
Σύμφωνα με τον 2016/679 Γενικό Κανονισμό Προσωπικών Δεδομένων («ΓΚΠΔ») της ΕΕ, η διοίκηση της Σωληνουργεία Κορίνθου Α.Ε. έχει εισάγει ένα πλαίσιο για την ασφαλή επεξεργασία προσωπικών δεδομένων, με σκοπό τη συμμόρφωση με τις ακόλουθες αρχές:
- Τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
- Τα προσωπικά δεδομένα επεξεργάζονται μόνο σε περιπτώσεις που είναι απαραίτητο, όπως για την τήρηση νομικών και θεσμικών υποχρεώσεων ή άλλους σύννομους εταιρικούς σκοπούς.
- Η επεξεργασία προσωπικών δεδομένων περιορίζεται στα αναγκαία για αυτούς τους σκοπούς δεδομένα και όχι περισσότερα.
- Η επεξεργασία προσωπικών δεδομένων περιλαμβάνει ακριβή προσωπικά δεδομένα.
- Τα προσωπικά δεδομένα επεξεργάζονται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και όχι επιπλέον αυτών.
- Τα προσωπικά δεδομένα είναι ασφαλή έναντι μη εξουσιοδοτημένης επεξεργασίας, απώλειας, φθοράς ή καταστροφής, με τη χρησιμοποίηση κατάλληλων μέτρων.
- Η Εταιρία ανταποκρίνεται στα καθορισμένα δικαιώματα των υποκειμένων προσωπικών δεδομένων.
Η παρούσα πολιτική, τα σχετικά εργαλεία και λοιπή τεκμηρίωση συνολικά αναφέρονται ως Σύστημα Προστασίας Προσωπικών Δεδομένων (Data Protection Management System ή DPMS). Το DPMS περιλαμβάνει ενδεικτικά Αρχεία Δραστηριοτήτων Επεξεργασίας, Μελέτες Εκτίμησης Αντικτύπου, αναφορές ανάδειξης κενών (‘Gap Analysis’), πολιτικές και διαδικασίες, όπως και τεχνολογικά μέσα προστασίας δεδομένων και στο σύνολό τους πληρούν την αρχή της λογοδοσίας του ΓΚΠΔ. Σε αυτό το πλαίσιο, κάθε επεξεργασία προσωπικών δεδομένων πρέπει να τελεί υπό την αιγίδα του DPMS.
3. ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΦΑΡΜΟΓΗ
Η τήρηση του ΓΚΠΔ, όπως και άλλων σχετικών νομικών υποχρεώσεων πρέπει να είναι ενταγμένες στις επιχειρηματικές δραστηριότητες της Εταιρίας.
Η Εταιρία οφείλει να διασφαλίσει ότι η διαχείριση των προσωπικών δεδομένων, σύμφωνα με τις προαναφερθείσες αρχές αποτελεί μέρος των επιχειρηματικών διεργασιών. Το προσωπικό της, το οποίο εμπλέκεται στην επεξεργασία προσωπικών δεδομένων, πρέπει να ενημερώνεται ως πως τις αρχές διαχείρισης αυτών.
4. ΑΡΜΟΔΙΟΤΗΤΕΣ
Η προστασία των προσωπικών δεδομένων αποτελεί ευθύνη του συνόλου του προσωπικού, των εξωτερικών συνεργατών, συνδεδεμένων και άλλων τρίτων οι οποίοι ενεργούν εκ μέρους της Σωληνουργεία Κορίνθου Α.Ε. Με σκοπό την προσήκουσα ένταξη των απαιτήσεων για την προστασία των προσωπικών δεδομένων ως μέρος των εν γένει δραστηριοτήτων της Εταιρίας, είναι αναγκαία η ανάθεση σχετικών καθηκόντων προστασίας δεδομένων. Η Σωληνουργεία Κορίνθου Α.Ε. πρέπει να ορίσει έναν Συντονιστή Προστασίας Δεδομένων (Data Protection Coordinator – DPC), ο οποίος θα συνεργάζεται με τον Υπεύθυνο Προστασίας Δεδομένων της Steelmet (Data Protection Officer – DPO).
Τα καθήκοντα του DPC περιλαμβάνουν:
- Παροχή κατευθύνσεων προς συμμόρφωση με την πολιτική
- Αναθεώρηση της πολιτικής
- Μέριμνα για την εκτέλεση αξιολόγησης κινδύνου σε δραστηριότητες με επεξεργασία προσωπικών δεδομένων
- Σημείο επικοινωνίας με τα υποκείμενα προσωπικών δεδομένων και τις εποπτικές αρχές
- Συμβουλές προς την υλοποίηση μέτρων προστασίας προσωπικών δεδομένων
- Διεξαγωγή εκπαιδεύσεων αναφορικά με την προστασία προσωπικών δεδομένων
- Συνεργασία με τις επιχειρηματικές και ελεγκτικές μονάδες για την προστασία προσωπικών δεδομένων
- Αξιολόγηση μεταβολών στο νομικό, θεσμικό και τεχνολογικό πλαίσιο προστασίας προσωπικών δεδομένων και εφαρμογή κατάλληλων αλλαγών
- Επισκόπηση του DPMS και πρόταση διορθωτικών ενεργειών, όπου απαιτείται
- Υποβολή προτάσεων για αλλαγές στο DPMS, είτε λόγω αλλαγών στο εφαρμοστέο θεσμικό πλαίσιο είτε για την επαύξηση του επιπέδου συμμόρφωσης της Εταιρίας αναφορικά με την προστασία των προσωπικών δεδομένων
- Παροχή συμβουλών για την αποτελεσματική διαχείριση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα
5. ΑΠΟΤΥΠΩΣΗ ΚΑΙ ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Η Εταιρία πρέπει να διατηρεί Αρχείο Δραστηριοτήτων Επεξεργασίας (Record of Processing Activities - RPA) για τις δραστηριότητες όπου λαμβάνει χώρα επεξεργασία προσωπικών δεδομένων.
Απαγορεύεται η επεξεργασία προσωπικών δεδομένων εκτός του εύρους και των δραστηριοτήτων που είναι αποτυπωμένες στο RPA.
Το RPA πρέπει να περιέχει κατ’ ελάχιστον τα ακόλουθα για έκαστη δραστηριότητα:
- Εάν η Eταιρία είναι Υπεύθυνος Επεξεργασίας, Εκτελών την Επεξεργασία ή Από Κοινού Υπεύθυνος Επεξεργασίας
- Τους σκοπούς της επεξεργασίας
- Τη νόμιμη βάση για την επεξεργασία
- Τις κατηγορίες προσωπικών δεδομένων που τυγχάνουν επεξεργασίας
- Τις κατηγορίες Υποκειμένων Προσωπικών Δεδομένων
- Τις κατηγορίες παραληπτών προσωπικών δεδομένων
- Τυχόν μεταφορές προσωπικών δεδομένων σε άλλες χώρες
- Τις χρονικές ανάγκες τήρησης των κατηγοριών προσωπικών δεδομένων
Το RPA πρέπει να ενημερώνεται σε κάθε περίπτωση αλλαγής στις εκεί αποτυπωμένες δραστηριότητες και στα προσωπικά δεδομένα που χρησιμοποιούνται, με επιμέλεια του αρμοδίου επικεφαλής επιχειρηματικής μονάδας.
Για τις δραστηριότητες όπου η αρχική εκτίμηση καταδεικνύει πιθανό υψηλό κίνδυνο έναντι Υποκειμένων Προσωπικών Δεδομένων, λόγω των εν λόγω δραστηριοτήτων και των προσωπικών δεδομένων που τυγχάνουν επεξεργασίας, πρέπει να λαμβάνει χώρα μελέτη εκτίμησης αντικτύπου (Data Protection Impact Assessment - DPIA). Αντίστοιχη μελέτη πρέπει να εκτελείται και κατά τον σχεδιασμό ή μεταβολή πληροφοριακών συστημάτων ή εάν προκύπτουν αλλαγές σε υφιστάμενες δραστηριότητες χαμηλού κινδύνου, όπου η αλλαγή να υποδηλώνει πιθανή μεταβολή του εν λόγω κινδύνου σε υψηλό.
Η DPIA πρέπει να περιέχει κατ’ ελάχιστον τα ακόλουθα:
- Περιγραφή της δραστηριότητας και των σκοπών της
- Αξιολόγηση της ανάγκης επεξεργασίας προσωπικών δεδομένων για τους σκοπούς της δραστηριότητας
- Αξιολόγηση των κινδύνων έναντι υποκειμένων προσωπικών δεδομένων
- Μέτρα που έχουν προδιαγραφεί για την αντιμετώπιση των κινδύνων
Για κάθε διαπιστωμένο κίνδυνο, οι αρμόδιοι επικεφαλής επιχειρηματικών μονάδων πρέπει να ταυτοποιούνται και να εξετάζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για υλοποίηση. Η αξιολόγηση κινδύνων και η διαδικασία/ πορεία για την αντιμετώπισή τους πρέπει να είναι τεκμηριωμένες.
6. ΣΥΝΝΟΜΗ ΚΑΙ ΘΕΜΙΤΗ ΕΠΕΞΕΡΓΑΣΙΑ ΜΕ ΔΙΑΦΑΝΗ ΤΡΟΠΟ
Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με τα υποκείμενα των εν λόγω δεδομένων.
Η Σωληνουργεία Κορίνθου Α.Ε. οφείλει να επεξεργάζεται προσωπικά δεδομένα τηρώντας την απαίτηση της νομιμότητας της επεξεργασίας, όπως αυτή προδιαγράφεται στο Άρθρο 6 του ΓΚΠΔ και να αποφεύγει την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων («ευαίσθητα» προσωπικά δεδομένα), εκτός εάν επιτρέπεται από τις περιπτώσεις που ορίζει το Άρθρο 9 του ΓΚΠΔ.
Σε κάθε χρονική στιγμή, πρέπει να παρέχεται στα υποκείμενα προσωπικών δεδομένων η δυνατότητα πληροφόρησης για την επεξεργασία των εν λόγω δεδομένων τους. Η πληροφόρηση σχετικά με την εν λόγω επεξεργασία πρέπει να είναι σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή. Πρέπει να περιλαμβάνει τους σχετικούς σκοπούς επεξεργασίας, τα δεδομένα που επεξεργάζονται, αποδέκτες, τα κριτήρια για τον χρόνο διατήρησης των δεδομένων, τυχόν μεταφορές τους εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), όπως και τα δικαιώματα των υποκειμένων αναφορικά με την ανωτέρω επεξεργασία, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή. Η ενημέρωση των υποκειμένων προσωπικών δεδομένων πρέπει να λαμβάνει χώρα πριν τη σχετική επεξεργασία.
7. ΕΠΕΞΕΡΓΑΣΙΑ ΓΙΑ ΚΑΘΟΡΙΣΜΕΝΟΥΣ ΣΥΝΝΟΜΟΥΣ ΣΚΟΠΟΥΣ
Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μόνο όταν αυτό είναι απολύτως απαραίτητο για νομικούς, κανονιστικούς ή άλλους νόμιμους εταιρικούς σκοπούς.
Οι σκοποί πρέπει να είναι καθορισμένοι και η επεξεργασία δε θα αποκλίνει από αυτούς (περιορισμός του σκοπού), εκτός εάν ο νέος σκοπός είναι σύμφωνος με την αρχή της νομιμότητας (π.χ. υπάρχει νομική υποχρέωση ή λήφθηκε συγκατάθεση, έλαβε χώρα ενημέρωση των υποκειμένων κλπ.)
Όταν είναι αναγκαία η συγκατάθεση για επεξεργασία προσωπικών δεδομένων, αυτή πρέπει να δίδεται ελεύθερα, να αποτυπώνεται ότι δόθηκε και να υπάρχει η δυνατότητα ανάκλησής της από το υποκείμενο προσωπικών δεδομένων.
Ο διαμοιρασμός προσωπικών δεδομένων για ένα σύννομο σκοπό πρέπει να περιλαμβάνει σαφώς καθορισμένους περιορισμούς στη χρήση τους και τις προκύπτουσες ευθύνες για την προστασία τους. Η χρήση διαμοιραζόμενων προσωπικών δεδομένων από τον παραλήπτη τους πρέπει να είναι σύμφωνη με τον καθορισμένο σκοπό και τη σχετική ενημέρωση που δόθηκε αρχικά στο υποκείμενο προσωπικών δεδομένων.
8. ΕΠΑΡΚΕΙΑ ΔΕΔΟΜΕΝΩΝ
Η επεξεργασία προσωπικών δεδομένων περιορίζεται μόνο στα δεδομένα που είναι αναγκαία για τους καθορισμένους σκοπούς επεξεργασίας και όχι περισσότερα, όπως προβλέπεται από τις ισχύουσες νομικές ή κανονιστικές απαιτήσεις ή άδειες.
Τα προσωπικά δεδομένα που συλλέγονται πρέπει να είναι επαρκή για τον καθορισμένο σκοπό αλλά όχι υπερβάλλοντα. Η χρήση τους για δραστηριότητες επεξεργασίας πρέπει να διασφαλίζει ότι χρησιμοποιούνται τα ελάχιστα απαιτητά προσωπικά δεδομένα για τον επιδιωκόμενο σκοπό. Σε περιπτώσεις όπου η δραστηριότητα μπορεί να εκτελεστεί δίχως προσωπικά δεδομένα, τότε τα δεδομένα πρέπει να ανωνυμοποιούνται ή να διαγράφονται ως σύνολο εφόσον υπάρχει εναλλακτικός τρόπος για την επίτευξη του καθορισμένου σκοπού.
9. ΑΚΡΙΒΕΙΑ ΔΕΔΟΜΕΝΩΝ
Η επεξεργασία πρέπει να περιλαμβάνει ακριβή προσωπικά δεδομένα.
Η ακεραιότητα των προσωπικών δεδομένων πρέπει να διασφαλίζεται. Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και επικαιροποιημένα. Τα υποκείμενα προσωπικών δεδομένων πρέπει –όπου εφικτό- να έχουν τη δυνατότητα επικαιροποίησης των προσωπικών τους δεδομένων.
10. ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ
Τα προσωπικά δεδομένα πρέπει να υπόκεινται σε επεξεργασία μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και όχι περαιτέρω.
Πρέπει να καθορίζεται περίοδος διατήρησης για τα προσωπικά δεδομένα, βασισμένη σε συγκεκριμένα κριτήρια. Τα εν λόγω κριτήρια πρέπει κυρίως να συμπεριλαμβάνουν νομικές υποχρεώσεις που επιτάσσουν τη διατήρηση δεδομένων για ορισμένο χρονικό διάστημα. Με το πέρας της καθορισμένης περιόδου διατήρησης, τα προσωπικά δεδομένα πρέπει να απαλείφονται με με επίπεδο ασφάλειας ανάλογο προς την ευαισθησία των προσωπικών δεδομένων. .
11. ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ
Τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία πρέπει να είναι προστατευμένα από μη εξουσιοδοτημένη επεξεργασία, απώλεια, φθορά ή καταστροφή με τη χρήση κατάλληλων μέτρων.
Για την ασφάλεια των προσωπικών δεδομένων πρέπει να υλοποιούνται τεχνικά και οργανωτικά μέτρα. Η επιλογή των εν λόγω μέτρων πρέπει να βασίζεται σε αξιολόγηση των κινδύνων των δραστηριοτήτων επεξεργασίας, των συστημάτων που χρησιμοποιούνται, εκτίμηση κόστους και της τεχνολογικής δυνατότητας υλοποίησης. Ο σκοπός των εν λόγω μέτρων πρέπει να είναι η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των προσωπικών δεδομένων και της ανάλογης ανθεκτικότητας των συστημάτων που χρησιμοποιούνται για την επεξεργασία τους.
Μέτρα πρέπει να λαμβάνονται στα περιβάλλοντα παραγωγής, δοκιμών και ανάπτυξης πληροφοριακών συστημάτων, στα συστήματα λήψης & μέσα τήρησης αντιγράφων ασφαλείας, όπως και για τις μορφές διαχείρισης προσωπικών δεδομένων μη ηλεκτρονικής υφής (π.χ. με την υλοποίηση μηχανισμών φυσικής ασφάλειας για την έγχαρτη ύλη). Ασφάλεια πρέπει να εφαρμόζεται και για την αποθήκευση προσωπικών δεδομένων και για την αναμετάδοσή της για οιαδήποτε χρήση.
Τα οργανωτικά μέτρα πρέπει να περιλαμβάνουν διαδικασίες έγκαιρης διαχείρισης και αναφοράς περιστατικών ασφάλειας με τους ακόλουθους στόχους:
- Την ανάκτηση δεδομένων και συστημάτων στην κανονική κατάσταση λειτουργίας τους
- Τη διερεύνηση της πηγαίας αιτίας που προκάλεσε το περιστατικό
- Την εκτίμηση του αντίκτυπου και τη σχετική θεσμική αναφορά εφόσον απαιτείται
Σε περίπτωση περιστατικού το οποίο ενδέχεται να επηρεάσεις υποκείμενο προσωπικών δεδομένων, λόγω των προσωπικών δεδομένων που εμπλέκονται στο περιστατικό, η εποπτική αρχή πρέπει να ενημερώνεται εντός 72 ωρών. Σε περίπτωση όπου ο κίνδυνος αυτός θεωρείται υψηλός, πρέπει να υπάρξει έγκαιρος σχεδιασμός για την πληροφόρηση των εν λόγω υποκειμένων προσωπικών δεδομένων επίσης. Ο DPC της Εταιρίας πρέπει να ενημερώνεται σε όλες τις περιπτώσεις και καθ’ όλες τις φάσεις ενός περιστατικού ασφάλειας το οποίο συνιστά Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα.
Κατάλληλοι έλεγχοι πρέπει να λαμβάνουν χώρα πριν τη διάθεση προσωπικών δεδομένων σε τρίτους για οποιονδήποτε νόμιμο λόγο, ώστε να διασφαλίζεται ότι οι αποδέκτες θα σέβονται τα υποκείμενα και προστατεύουν τα προσωπικά δεδομένα τους. Ειδικά στην περίπτωση υπεργολάβων που ενεργούν ως Εκτελούντες την Επεξεργασία, κατάλληλες διασφαλίσεις ως προς αυτήν την επεξεργασία πρέπει να παρέχονται μέσω κατάλληλης σύμβασης Υπευθύνου και Εκτελούντος την Επεξεργασία προσωπικών δεδομένων («Data Processing Agreement»). Επίσης πρέπει να διασφαλίζεται ότι τυχόν αιτούντες απόδοσης προσωπικών δεδομένων έχουν πρώτα πιστοποιηθεί ως εξουσιοδοτημένοι παραλήπτες αυτών.
12. ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΑΙΩΜΑΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Τα καθορισμένα δικαιώματα των υποκειμένων προσωπικών δεδομένων πρέπει να διασφαλίζονται.
Ο ΓΚΠΔ παρέχει στα υποκείμενα προσωπικών δεδομένων συγκεκριμένα δικαιώματα, στα οποία θα πρέπει να ανταποκρίνεται η Εταιρία. Με τη λήψη έγγραφου αιτήματος άσκησης σχετικού δικαιώματος από υποκείμενο προσωπικών δεδομένων, απαιτείται από την Εταιρία να ταυτοποιήσει τον αιτούντα και εν συνεχεία να αποκριθεί στο αίτημα χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός ενός (1) μηνός. Σε περίπτωση όπου το αίτημα δε δύναται να ικανοποιηθεί εντός του προκαθορισμένου χρονικού ορίου, το υποκείμενο προσωπικών δεδομένων πρέπει να ενημερώνεται εγκαίρως και το αίτημα να ικανοποιείται εντός δύο (2) ακόμη μηνών.
Τα δικαιώματα των υποκειμένων προσωπικών δεδομένων είναι τα ακόλουθα:
- Δικαίωμα Πληροφόρησης
- Δικαίωμα Πρόσβασης
- Δικαίωμα Διόρθωσης
- Δικαίωμα Διαγραφής
- Δικαίωμα Περιορισμού της Επεξεργασίας
- Δικαίωμα στη Φορητότητα των Δεδομένων
- Δικαίωμα Εναντίωσης
- Δικαίωμα έναντι της Αυτοματοποιημένης Ατομικής Λήψης Αποφάσεων
Επίσης τα υποκείμενα προσωπικών δεδομένων έχουν το δικαίωμα ανάκλησης πρότερα δοθείσας συγκατάθεσής τους στην επεξεργασία προσωπικών δεδομένων.
Παρόλο που υφίστανται περιπτώσεις όπου ένα αίτημα άσκησης δικαιώματος από υποκείμενο προσωπικών δεδομένων μπορεί να μην εκπληρωθεί (π.χ. σε περίπτωση υπέρτερων νομικών υποχρεώσεων της Εταιρίας ), όλα τα αιτήματα πρέπει να τυγχάνουν απάντησης.
Το σύνολο των δικαιωμάτων, συμπεριλαμβανομένου και του δικαιώματος καταγγελίας σε εποπτική αρχή πρέπει να επικοινωνείται εκ των προτέρων στο υποκείμενο προσωπικών δεδομένων, πριν τη λήψη (εφόσον εφικτό) και την επεξεργασία των προσωπικών δεδομένων του – Βλ. Κεφάλαιο «Σύννομη και Θεμιτή Επεξεργασία με Διαφανή Τρόπο».
14. ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ
H προστασία των προσωπικών δεδομένων πρέπει να διασφαλίζεται σε κάθε δραστηριότητα επεξεργασίας, από τη σύλληψή της ως επιχειρηματική έννοια και τον σχεδιασμό της έως και την υλοποίηση και εκτέλεσή της.
H προστασία των προσωπικών δεδομένων πρέπει να συνιστά μέρος του σχεδιασμού, προμήθειας, ανάπτυξης, μεταβολής οποιασδήποτε (τεχνολογικής) λύσης ή/ και οποιασδήποτε λειτουργικής δραστηριότητας. Πρέπει να συνιστά μέρος των κριτηρίων για την επιλογή προμηθευτών και τρίτων συνεργατών, για τη διαχείριση έργων, όπως και για μελέτες αξιολόγησης κινδύνων.