Menu
Η εταιρεία INGROUP δεσμεύεται όσον αφορά την προστασία των προσωπικών δεδομένων και την αποφυγή της κακής χρήσης των προσωπικών δεδομένων.
Η παρούσα πολιτική ισχύει για όλους τους υπαλλήλους, τους αντιπροσώπους και τους εργολάβους της εταιρείας, καθώς και τρίτους, και θέτει ένα ελάχιστο πρότυπο για την επεξεργασία προσωπικών δεδομένων εντός της Εταιρείας και ως εκ τούτου καθορίζει τις αρμοδιότητες.
Η παρούσα πολιτική είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (ΓΚΠΔ) και τον ελληνικό Νόμο 2472/1997 (ΦΕΚ 50/Α/10.4.1997) για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, όπως τροποποιημένος ισχύει, καθώς και με την παράγωγη νομοθεσία/Γνωμοδοτήσεις/Αποφάσεις που εκδίδονται από την Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων και με οποιαδήποτε σχετική κλαδική νομοθεσία.
Ως προσωπικά δεδομένα νοούνται τα στοιχεία που μπορούν να σχετίζονται με ένα άτομο. Τα δεδομένα θεωρούνται προσωπικά, αν το πρόσωπο, το οποίο αφορούν, μπορεί να ταυτοποιηθεί.
Ως ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (επίσης γνωστές ως ευαίσθητα δεδομένα προσωπικού χαρακτήρα) νοούνται δεδομένα σχετικά με:
α) τις θρησκευτικές, φιλοσοφικές ή πολιτικές συνδικαλιστικές πεποιθήσεις ή δραστηριότητες,
β) καθώς και γενετικά ή βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, την προσωπική ζωή ή τη φυλετική ή εθνοτική καταγωγή, τη σεξουαλική ζωή του φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του,
γ) διώξεις ποινικών αδικημάτων και κυρώσεις.
Ως προφίλ προσωπικότητας νοείται η συλλογή δεδομένων που επιτρέπει την εκτίμηση των χαρακτηριστικών ενός ατόμου και συνεπώς σημαντικών πτυχών της προσωπικότητάς του.
Παράδειγμα: Το προφίλ προσωπικότητας μπορεί να συνίσταται σε συλλογή δεδομένων όπου συνδυάζονται διάφορες πληροφορίες, όπως οι κοινωνικές επαφές, οι πολιτικές και προσωπικές απόψεις, η οικονομική κατάσταση, η κατάσταση της υγείας και άλλες πληροφορίες του υποκειμένου των δεδομένων, προκειμένου να καταρτιστεί μια ευρεία εικόνα για το υποκείμενο των δεδομένων.
Ως υποκείμενο των δεδομένων νοείται το φυσικό πρόσωπο στο οποίο αναφέρονται τα προσωπικά δεδομένα.
Ως επεξεργασία δεδομένων νοείται οποιαδήποτε δραστηριότητα αφορά δεδομένα προσωπικού χαρακτήρα, ανεξαρτήτως των μέσων που εφαρμόζονται και της διαδικασίας, όπως π.χ. η συλλογή, η αποθήκευση, η χρήση, η αναθεώρηση, η αποκάλυψη, η αρχειοθέτηση, η προβολή και η καταστροφή δεδομένων προσωπικού χαρακτήρα.
Ως αρχείο δεδομένων νοείται κάθε απόθεμα δεδομένων προσωπικού χαρακτήρα που είναι διαρθρωμένο κατά τρόπο που να επιτρέπει την εξαγωγή του εν λόγω προσώπου από τα δεδομένα. Π.χ. οποιοδήποτε εργαλείο πληροφορικής που περιέχει προσωπικά δεδομένα.
Ως κοινολόγηση νοείται η πρόσβαση στα προσωπικά δεδομένα, για παράδειγμα επιτρέποντας πρόσβαση, διαβίβαση ή δημοσίευση.
Η εκτίμηση του αντικτύπου στην ιδιωτική ζωή είναι μια συστηματική διαδικασία εντοπισμού, αξιολόγησης και τεκμηρίωσης των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ως Υπεύθυνος Επεξεργασίας νοείται το νομικό πρόσωπο που αποφασίζει για το σκοπό, το περιεχόμενο και τη διαδικασία επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ως Εκτελών την Επεξεργασία νοείται το φυσικό ή νομικό πρόσωπο που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας.
Ως Υπεύθυνος Προστασίας Δεδομένων νοείται ο υπεύθυνος για τον συντονισμό της προστασίας των προσωπικών δεδομένων εντός της εταιρείας INGROUP. Ο Υπεύθυνος Προστασίας Δεδομένων παρέχει συμβουλές σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα και παρακολουθεί τη συμμόρφωση των εργαζομένων σχετικά με την πολιτική προστασίας δεδομένων της εταιρείας.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα οφείλει να συμμορφώνεται με τις ακόλουθες αρχές.
Τα προσωπικά δεδομένα μπορούν να υποβάλλονται μόνο σε σύννομη επεξεργασία. Ο Εκτελών την Επεξεργασία οφείλει να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς.
Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται προσηκόντως και να έχει συναινέσει ενεργά και με τη θέλησή του. Η συγκατάθεση μπορεί να δοθεί ρητά ή σιωπηρά, π.χ. με την παροχή δεδομένων προσωπικού χαρακτήρα στον Υπεύθυνο Επεξεργασίας. Παρόλο που δεν απαιτείται η χορήγηση έγγραφης συγκατάθεσης, κρίνεται σκόπιμο να υπάρχει έγγραφη συγκατάθεση και επιτρεπόμενες ηχογραφήσεις ώστε να αποδεικνύεται η χορήγηση της συγκατάθεσης (π.χ. προς τα δικαστήριο και τις αρχές). Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συγκατάθεση του ανά πάσα στιγμή.
Δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:
α) εάν το υποκείμενο των δεδομένων έχει καταστήσει τα προσωπικά του δεδομένα δημόσια προσβάσιμα, π.χ. πληροφορίες που παρέχονται σε εφημερίδα ή σε δημόσιους τηλεφωνικούς καταλόγους, και δεν έχει απαγορεύσει την επεξεργασία τους,
β) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενος,
γ) προκειμένου να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
δ) για τη συμμόρφωση με τις εκ του νόμου υποχρεώσεις του Υπεύθυνου Επεξεργασίας,
ε) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
στ) για την εκτέλεση καθήκοντος που εκτελείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην INGROUP,
ζ) αν τα νόμιμα συμφέροντα που επιδιώκει η INGROUP ή κάποιος τρίτος υπερισχύουν έναντι αυτών του υποκειμένου των δεδομένων, εκτός εάν τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερέχουν των εν λόγω συμφερόντων που υπερισχύουν. Σε περίπτωση αμφιβολίας, επικοινωνήστε με τον Υπεύθυνο Επεξεργασίας της INGROUP.
Το υποκείμενο των δεδομένων χρειάζεται επαρκή γνώση των συλλεγόμενων προσωπικών δεδομένων και του σκοπού της σχετικής επεξεργασίας πριν να συναινέσει.
Το υποκείμενο των δεδομένων πρέπει να ενημερώνεται τουλάχιστον σχετικά με:
α) την ταυτότητα του Υπεύθυνου Επεξεργασίας (στις περισσότερες περιπτώσεις),
β) τα στοιχεία επικοινωνίας του Υπεύθυνου Επεξεργασίας,
γ) το είδος των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία,
δ) τον σκοπό της επεξεργασίας,
ε) το νόμιμο συμφέρον της INGROUP για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
στ) τις κατηγορίες του αποδέκτη των δεδομένων εάν πρόκειται να γίνει κοινολόγηση,
ζ) λεπτομέρειες τυχόν προβλεπόμενης διασυνοριακής διαβίβασης,
η) την περίοδο διατήρησης των δεδομένων ή τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της,
θ) εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και η σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
ι) οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.
Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο για τον σκοπό, ο οποίος δηλώνεται κατά τη στιγμή της συλλογής, ή για το σκοπό που προβλέπεται από το νόμο. Δείτε επίσης την ενότητα 2.3.1.2 όσον αφορά τη συγκατάθεση.
Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται ή αποθηκεύονται πρέπει να είναι απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο για να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και σύμφωνη με τον σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.
Τα αρχεία του προσωπικού και τα προσωπικά δεδομένα σχετικά με τους υπαλλήλους της INGROUP κατατάσσονται ως “εμπιστευτικές” πληροφορίες.
Οι υπάλληλοι της INGROUP μπορούν να ελέγξουν το προσωπικό τους αρχείο και να ζητήσουν πληροφορίες σχετικά με άλλα προσωπικά δεδομένα που τους αφορούν. Η αίτηση πληροφόρησης ή ελέγχου μπορεί να υποβληθεί προφορικά ή γραπτώς.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα οφείλει να διασφαλίζει ότι τα δεδομένα είναι σωστά και πλήρη.
Η INGROUP οφείλει να λαμβάνει όλα τα εύλογα τεχνικά και οργανωτικά μέτρα για να εξασφαλίζεται ότι τα προσωπικά δεδομένα που είναι λανθασμένα ή ελλιπή θα διορθώνονται ή θα καταστρέφονται.
Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα οφείλει να διεξάγει εκτίμηση του αντικτύπου στην ιδιωτική ζωή, κάθε φορά που η προγραμματισμένη επεξεργασία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριαστούν οι κίνδυνοι για την ιδιωτικότητα των δεδομένων. Η εκτίμηση πρέπει να διενεργείται πριν ξεκινήσουν οι δραστηριότητες επεξεργασίας υψηλού κινδύνου.
Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:
α) συστηματική και εκτενή αξιολόγηση των προσωπικών στοιχείων του υποκειμένου των δεδομένων. Ειδικότερα, εάν τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία αυτόματα, εάν η επεξεργασία περιλαμβάνει τη δημιουργία προφίλ προσωπικότητας και εάν οι αποφάσεις που επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην εκτίμηση αυτή,
β) επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα,
γ) συστηματική και ευρείας κλίμακας παρακολούθηση ενός δημόσια προσβάσιμου χώρου, π.χ. χρήση τηλεοπτικού συστήματος παρακολούθησης ενός δημόσιου χώρου.
Η εκτίμηση του αντικτύπου στην ιδιωτική ζωή πρέπει να τεκμηριώνεται προσηκόντως και να πραγματοποιείται με τη συνδρομή του Υπευθύνου Προστασίας Δεδομένων. Όταν η εκτίμηση του αντικτύπου στην ιδιωτική ζωή οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, πρέπει να ενημερώνεται η εποπτική αρχή και να λαμβάνεται η άποψή της σχετικά με τα κατάλληλα μέτρα για τη μείωση των κινδύνων.
Τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται σε τρίτους μόνον εφόσον είναι απαραίτητο. Τα δεδομένα προσωπικού χαρακτήρα καθίστανται ανώνυμα, κατά περίπτωση.
Ο Εκτελών την Επεξεργασία για λογαριασμό της INGROUP, π.χ. εργολάβος ή πάροχος υπηρεσιών, οφείλει να συμφωνεί συμβατικά να επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με την παρούσα πολιτική. Οι όροι της παρούσας πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.
Τα δεδομένα προσωπικού χαρακτήρα μπορούν να κοινοποιηθούν στο εξωτερικό μόνο εάν ο αλλοδαπός νόμος προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που ο αλλοδαπός νόμος δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν σε αυτή τη χώρα μόνον εάν το υποκείμενο των δεδομένων έχει συναινέσει ρητά στη διαβίβαση ή εάν η προστασία δεδομένων προβλέπεται από τη σχετική σύμβαση διαβίβασης δεδομένων.
Η INGROUP θα λάβει το κατάλληλο προσωπικό, τα τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας των προσωπικών δεδομένων.
Συγκεκριμένα, η INGROUP θα λάβει μέτρα προστασίας για την προστασία προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Για το λόγο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας.
Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται μόνο εφόσον απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα. Τα στοιχεία της αποθήκευσης και των περιόδων αποθήκευσης των δεδομένων παρατίθενται στην Πολιτική Διατήρησης Δεδομένων της INGROUP.
Το κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ):
α) Το δικαίωμα ενημέρωσης,
β) Το δικαίωμα πρόσβασης,
γ) Το δικαίωμα της διόρθωσης,
δ) Το δικαίωμα διαγραφής,
ε) Το δικαίωμα περιορισμού της επεξεργασίας,
στ) Το δικαίωμα στη φορητότητα δεδομένων,
ζ) Το δικαίωμα εναντίωσης,
η) Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.
Οι υπάλληλοι της INGROUP θα σέβονται το αίτημα πρόσβασης του υποκειμένου των δεδομένων και, εφόσον απαιτείται, θα ζητούν συμβουλές από τον ΥΠΔ. Για περισσότερες πληροφορίες σχετικά με το περιεχόμενο κάθε δικαιώματος, ανατρέξτε στην Πολιτική Χειρισμού Αιτημάτων των Υποκειμένων Δεδομένων της INGROUP.
Κάθε παραβίαση της παρούσας πολιτικής καθώς και των σχετικών νόμων και κανονισμών περί προστασίας δεδομένων συνιστούν παραβίαση δεδομένων προσωπικού χαρακτήρα. Παραδείγματα τέτοιων συμβάντων αποτελούν η παράνομη καταστροφή, η απώλεια, η αλλοίωση, η μη εξουσιοδοτημένη κοινολόγηση καθώς και η επεξεργασία δεδομένων χωρίς συγκατάθεση ή για σκοπούς άλλους από εκείνους που δηλώνονται κατά τη συλλογή.
Όποιος ανακαλύπτει παραβίαση δεδομένων προσωπικού χαρακτήρα οφείλει να λάβει τα κατάλληλα μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από περαιτέρω επιπτώσεις και να αναφέρει την παραβίαση στον ΥΠΔ χωρίς καθυστέρηση.
Ο ΥΠΔ τεκμηριώνει συστηματικά τις παραβιάσεις που έχουν κοινολογηθεί και αξιολογεί τους λόγους των παραβιάσεων. Επιπλέον, ο ΥΠΔ κινεί περαιτέρω τα απαιτούμενα μέτρα για την αποκατάσταση της κατάστασης και την αποτροπή επαναλαμβανόμενων παραβιάσεων. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της INGROUP.
Η INGROUP οφείλει να κοινοποιεί την παραβίαση δεδομένων στην αρμόδια εποπτική αρχή εντός 72 ωρών από τη στιγμή που θα λάβει γνώση αυτής.
Επί πλέον, σε περίπτωση που είναι πιθανό η παραβίαση των δεδομένων προσωπικού χαρακτήρα να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, το υποκείμενο των δεδομένων πρέπει να ενημερωθεί χωρίς καθυστέρηση. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική Διαχείρισης Παραβιάσεων Δεδομένων της INGROUP.
Η INGROUP θα τηρεί κατάλογο όλων των βάσεων δεδομένων και αρχείων που περιέχουν δεδομένα προσωπικού χαρακτήρα. Ο κατάλογος θα περιλαμβάνει κατ΄ ελάχιστον τις ακόλουθες πληροφορίες:
α) το ονοματεπώνυμο και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας δεδομένων και κάθε από κοινού υπεύθυνου επεξεργασίας δεδομένων,
β) το όνομα και τα στοιχεία επικοινωνίας του ΥΠΔ,
γ) περιγραφή της βάσης δεδομένων ή του αρχείου,
δ) τον σκοπό της βάσης δεδομένων ή του αρχείου,
ε) περιγραφή των κατηγοριών των δεδομένων προσωπικού χαρακτήρα που υφίστανται επεξεργασία, π.χ. διεύθυνση, πληροφορίες σχετικά με την υγεία κλπ,
στ) περιγραφή των κατηγοριών των υποκειμένων των δεδομένων,
ζ) περιγραφή των κατηγοριών των αποδεκτών των δεδομένων, στους οποίους έχουν κοινολογηθεί ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες,
η) περιγραφή της διασυνοριακής διαβίβασης των δεδομένων,
θ) οι προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατόν,
ι) μια γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατόν,
ια) οι λεπτομέρειες διαβίβασης των δεδομένων εκτός της ΕΕ.
Τα αρχεία δεδομένων ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές που περιέχουν ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, πρέπει να κατατίθενται σε χωριστούς φακέλους, να επισημαίνονται ανάλογα και να υπόκεινται σε εκτίμηση αντικτύπου στην ιδιωτική ζωή, όπως ορίζεται στην ενότητα 2.3.1.7.
Κάθε υπάλληλος της INGROUP που διαχειρίζεται προσωπικά δεδομένα εκπαιδεύεται σε θέματα προστασίας δεδομένων και ασφάλειας δεδομένων. Μετά την έναρξη της απασχόλησης στην INGROUP ακολουθεί μία πρώτη ενημέρωση και στη συνέχεια ακολουθούν σχετικές εκπαιδεύσεις σε τακτά χρονικά διαστήματα.
Η προστασία των δεδομένων αποτελεί αναπόσπαστο μέρος της τεχνολογικής ανάπτυξης και της οργανωτικής δομής της INGROUP. Κατά συνέπεια, κατά την αξιολόγηση των τρεχουσών επιχειρηματικών διαδικασιών και των συστημάτων επεξεργασίας δεδομένων ή την εισαγωγή νέων πρέπει να λαμβάνονται υπόψη οι ακόλουθες αρχές.
Η εκτίμηση αντικτύπου στην ιδιωτική ζωή πρέπει να διεξάγεται κάθε φορά που εισάγονται νέες τεχνολογίες ή δραστηριότητες επεξεργασίας δεδομένων που ενδέχεται να οδηγήσουν σε επεξεργασία προσωπικών δεδομένων υψηλού κινδύνου.
Οι λεπτομέρειες της εκτίμησης του αντικτύπου στην ιδιωτική ζωή παρατίθενται στην ενότητα 2.3.1.7 της παρούσας πολιτικής.
Όταν εισάγονται νέα συστήματα επεξεργασίας δεδομένων, ο υπεύθυνος πρέπει να διασφαλίζει υψηλό επίπεδο προστασίας δεδομένων. Συγκεκριμένα, κάθε νέο σύστημα και κάθε διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:
α) Πρέπει να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των δεδομένων προσωπικού χαρακτήρα από τη συλλογή έως την επεξεργασία και έως τη διαγραφή.
β) Τα συστήματα επεξεργασίας δεδομένων πρέπει να αποσκοπούν στη συγκέντρωση όσο το δυνατόν λιγότερων δεδομένων προσωπικού χαρακτήρα για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα.
γ) Εφόσον η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας των δεδομένων, τα δεδομένα προσωπικού χαρακτήρα πρέπει να καθίστανται ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην μπορεί πλέον να ταυτοποιηθεί.
δ) Σε περίπτωση που τα προσωπικά δεδομένα δεν μπορούν να καταστούν ανώνυμα, πρέπει να ληφθούν μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως ψευδωνυμοποίηση, κρυπτογράφηση ή περιορισμό πρόσβασης.
ε) Η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα χορηγείται σύμφωνα με την αρχή της «ανάγκης γνώσης», το οποίο σημαίνει ότι τα δεδομένα προσωπικού χαρακτήρα καθίστανται προσβάσιμα μόνο σε εκείνα τα πρόσωπα που την χρειάζονται για την εκτέλεση των ρόλων και αρμοδιοτήτων που τους έχουν ανατεθεί.
στ) Ο συστηματικός έλεγχος ποιότητας των δεδομένων προσωπικού χαρακτήρα πρέπει να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, πρέπει να θεσπιστούν διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.
ζ) Τα συστήματα επεξεργασίας δεδομένων πρέπει να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.
η) Τα υποκείμενα των δεδομένων πρέπει έχουν στη διάθεσή τους διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά τους δεδομένα.
Τα συστήματα επεξεργασίας δεδομένων πρέπει να ρυθμίζονται κατά τρόπο ώστε οι αυστηρότερες ρυθμίσεις απορρήτου να ισχύουν αυτόματα, δηλαδή από προεπιλογή.
Εκτεταμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέγει ή συμφωνεί σε χαμηλότερο επίπεδο προστασίας, π.χ. μεταβάλλοντας το ίδιο τις ρυθμίσεις απορρήτου σε έναν ιστότοπο, ένα εργαλείο πληροφορικής ή παρόμοιο με μια λιγότερο περιοριστική επιλογή και, συνεπώς, συναινεί σε εκτεταμένη επεξεργασία (“opt-in”).
Ο Υπεύθυνος Επεξεργασίας, ο οποίος αναμένεται να είναι στις περισσότερες περιπτώσεις η INGROUP, είναι υπεύθυνος για την ορθή επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την τήρηση των απαιτήσεων προστασίας δεδομένων και ασφάλειας δεδομένων, όπως ορίζονται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία. Συγκεκριμένα:
α) για την τήρηση των αρχών της «προστασίας του ιδιωτικού βίου βάσει σχεδιασμού» και της «προστασίας της ιδιωτικής ζωής από προεπιλογή» κατά την ανάπτυξη νέων δραστηριοτήτων επεξεργασίας δεδομένων,
β) για τη σωστή κατανομή των δικαιωμάτων του υποκειμένου των δεδομένων,
γ) για τη διεξαγωγή της εκτίμηση αντικτύπου στην ιδιωτική ζωή για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα με τη βοήθεια του υπευθύνου προστασίας δεδομένων,
δ) για τον ορισμό του εκτελούντος την επεξεργασία,
ε) για τη γνωστοποίηση παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή και στο υποκείμενο των δεδομένων (κατά περίπτωση).
Ο Εκτελών την Επεξεργασία είναι υπεύθυνος για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας. Επιπλέον, ο Εκτελών την Επεξεργασία είναι υπεύθυνος για την ενημέρωση του Υπευθύνου Επεξεργασίας σχετικά με την παραβίαση της προστασίας δεδομένων χωρίς αδικαιολόγητη καθυστέρηση.
Ο Εκτελών την Επεξεργασία πρέπει να δεσμεύεται συμβατικά ότι οποιοσδήποτε τυχόν υπεργολάβος λάβει εντολή να εκτελέσει την επεξεργασία δεδομένων, θα συμμορφώνεται με τις ίδιες οδηγίες που λαμβάνονται από τον Υπεύθυνο Επεξεργασίας.
Ο Υπεύθυνος Προστασίας Δεδομένων είναι υπεύθυνος για τον συντονισμό της προστασίας των προσωπικών δεδομένων. Συγκεκριμένα:
α) παρακολουθεί ανεξάρτητα τη συμμόρφωση της εταιρείας με τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,
β) παρακολουθεί ανεξάρτητα και εφαρμόζει μελλοντικά επεξηγηματικά έγγραφα από την Επιτροπή της Ευρωπαϊκής Ένωσης σχετικά με την εκτέλεση των διατάξεων του ΓΚΠΔ,
γ) υποστηρίζει την εκτελεστική διαχείριση στη διασφάλιση της συμμόρφωσης με την προστασία δεδομένων,
δ) παρακολουθεί ανεξάρτητα την τήρηση της παρούσας πολιτικής σε τακτική βάση,
ε) διατηρεί τον κατάλογο των βάσεων δεδομένων και τον κατάλογο των παραβιάσεων της προστασίας δεδομένων,
στ) παρακολουθεί και συνεπικουρεί την εκτίμηση του αντικτύπου στην ιδιωτική ζωή,
ζ) είναι υπεύθυνος για να απαντά στα αιτήματα για πληροφόρηση των υποκειμένων των δεδομένων,
η) είναι υπεύθυνος για τη δημιουργία εκπαιδευτικής άποψης για την ευαισθητοποίηση όσον αφορά την προστασία των δεδομένων και την παροχή συμβουλών στο προσωπικό που επεξεργάζεται δεδομένα, ιδιαίτερα στους υπαλλήλους της INGROUP, σχετικά με τις υποχρεώσεις τους ως προς την επεξεργασία,
θ) ενεργεί ως σημείο επαφής των εποπτικών αρχών σε θέματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και συνεργάζεται με τις αρχές σε οποιοδήποτε άλλο θέμα,
Ο Υπεύθυνος Προστασίας Δεδομένων υποβάλλει τακτικά έκθεση στην εκτελεστική διαχείριση σχετικά με το έργο του και την κατάσταση της προστασίας των προσωπικών δεδομένων
Η εκτελεστική διαχείριση της INGROUP είναι υπεύθυνη για την εφαρμογή της παρούσας πολιτικής και διαθέτει το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Οι διευθυντές της INGROUP υποχρεούνται να εφαρμόζουν την πολιτική στον τομέα ευθύνης τους και να διασφαλίζουν ότι οι εργαζόμενοι, τα άτομα και οι οντότητες για τις οποίες είναι υπεύθυνοι γνωρίζουν, κατανοούν και συμμορφώνονται με τις απαιτήσεις της παρούσας πολιτικής και διαθέτουν την κατάλληλη εκπαίδευση για να εκπληρώσουν πλήρως αυτή την αρμοδιότητα.
Οι πιθανές κυρώσεις και οι ζημίες που προκύπτουν από την παραβίαση της προστασίας δεδομένων είναι σοβαρές τόσο για το πρόσωπο που διαπράττει την παραβίαση όσο και για την INGROUP.
Κάθε παραβίαση της παρούσας πολιτικής προστασίας δεδομένων μπορεί να οδηγήσει σε πειθαρχικές ενέργειες έως και απόλυση. Οι παραβιάσεις των εκ του νόμου ή κανονιστικών υποχρεώσεων μπορούν να αναφέρονται σε εξωτερικές αρχές και μπορεί να έχουν ως αποτέλεσμα ποινικές, αστικές ή κανονιστικές κυρώσεις.
