Ασφάλεια Προσωπικών Δεδομένων

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 
 
1. ΣΚΟΠΟΣ 
Η πολιτική αυτή αποσκοπεί στην ενημέρωση του προσωπικού και των συνεργατών όσο αφορά τον Γενικό Κανονισμό (ΕΕ) 2016/679 για την Προστασία των Δεδομένων (ΓΚΠΔ) και την σχετική νομοθεσία, και πιο συγκεκριμένα τον σκοπό επεξεργασίας, τον τρόπο επεξεργασίας, τις υποχρεώσεις μας, καθώς επίσης και τα δικαιώματα των υποκειμένων επεξεργασίας. 
 
2. ΕΡΜΗΝΕΙΕΣ ΒΑΣΙΚΩΝ ΟΡΩΝ 
• «Δεδομένα προσωπικού χαρακτήρα» ή «προσωπικά δεδομένα» είναι οποιαδήποτε πληροφορία σχετίζεται με φυσικό πρόσωπο που βρίσκεται στη ζωή και μπορεί να ταυτοποιηθεί, για παράδειγμα: ονοματεπώνυμο, διεύθυνση ή/και αριθμός ταυτότητας. 
• «Εκτελών την επεξεργασία» σημαίνει το φυσικό ή νομικό πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου της επεξεργασίας. 
• «Επεξεργασία» είναι η κάθε πράξη που πραγματοποιείται σε προσωπικά δεδομένα όπως η συλλογή, η καταχώρηση, η αποθήκευση, η μεταβολή, η χρήση, η κοινοποίηση, η διαγραφή ακόμη και η καταστροφή. 
• «Ευαίσθητα προσωπικά δεδομένα» είναι μία κατηγορία των προσωπικών δεδομένα που αφορούν – μεταξύ άλλων – την φυλετική ή εθνική καταγωγή, γενετικά δεδομένα, βιομετρικά δεδομένα, προβλήματα υγείας ή ψυχικές ασθένειες και σεξουαλική ζωή των υποκειμένων επεξεργασίας. 
• «Παραβίαση δεδομένων προσωπικού χαρακτήρα» μπορεί να είναι η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή ή η άνευ άδειας κοινοποίηση ή πρόσβαση. 
• «Συγκατάθεση» είναι η ρητή, συγκεκριμένη, ελεύθερη και με πλήρη επίγνωση δήλωση του υποκειμένου των δεδομένων ότι συμφωνεί στην επεξεργασία. 
• «Υπεύθυνος επεξεργασίας» σημαίνει το φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας. 
• «Υποκείμενο επεξεργασίας» σημαίνει το φυσικό πρόσωπο στο οποίο ανήκουν τα προσωπικά δεδομένα. 
 
3. ΟΙ 6 ΑΡΧΕΣ ΤΟΥ ΓΚΠΔ (GDPR) 
Ο Κανονισμός καθορίζει 6 αρχές προστασίας δεδομένων που χρειάζεται να ακολουθούμε όταν συλλέγουμε, επεξεργαζόμαστε και αποθηκεύουμε προσωπικά δεδομένα.  Είναι ευθύνη του υπεύθυνου επεξεργασίας να συμμορφώνεται με αυτές τις αρχές και να είναι σε θέση να το αποδείξει. 
 
i. Η Αρχή της Νομιμότητας:  Η επεξεργασία πρέπει να είναι νόμιμη, θεμιτή και διαφανής.  Πρέπει να ακολουθούνται πιστά οι κανόνες για συλλογή των δεδομένων και η Πολιτική Προστασίας Προσωπικών Δεδομένων του Γραφείου μας να αποκαλύπτει πλήρως ποια δεδομένα συλλέγουμε και για πιο σκοπό. 
ii .Η Αρχή του Περιορισμού του Σκοπού:  Δεν επιτρέπεται η οποιαδήποτε άλλη επεξεργασία πέραν από τον σκοπό που ξεκάθαρα καθορίζεται και πέραν από την χρονική διάρκεια που χρειάζεται για να ολοκληρώσει αυτό τον σκοπό. 
iii. Η Αρχή της Ελαχιστοποίησης των Δεδομένων:  Επιτρέπεται η επεξεργασία μόνο των δεδομένων που είναι αναγκαία για την επίτευξη του καθορισμένου σκοπού.  Αυτή η αρχή αποσκοπεί σε δύο οφέλη.  Πρώτον, σε περίπτωση παραβίασης περιορίζονται τα δεδομένα που αποκαλύπτονται σε μη εξουσιοδοτημένα πρόσωπα και δεύτερον, γίνεται πιο εύκολη η ακρίβεια και ενημέρωση των δεδομένων. 
iv. Η Αρχή της Ακρίβειας:  Η ακρίβεια των δεδομένων είναι αναπόσπαστο κομμάτι της προστασίας των δεδομένων. Ο Κανονισμός λέει ότι «πρέπει να παρθεί κάθε εύλογο μέτρο» για να διαγραφούν ή να διορθωθούν δεδομένα που είναι ανακριβή ή ελλιπή. 
v. Η Αρχή του Περιορισμού της Περιόδου Αποθήκευσης:  Όταν πλέον τα δεδομένα δεν χρειάζονται πρέπει να καταστρέφονται.  Δεν μπορούν να αποθηκεύονται επ’ αόριστο.  Η διάρκεια αποθήκευσης τους πρέπει να δικαιολογείται.   
vi. Η Αρχή της Ακεραιότητας και Εμπιστευτικότητας:  Πρέπει να υπάρχει εγγύηση για την ασφάλεια των δεδομένων.  Οφείλουμε να παίρνουμε τα κατάλληλα τεχνολογικά και οργανωτικά μέτρα για την διαφύλαξη των δεδομένων από παράνομη ή μη εξουσιοδοτημένη χρήση, απώλεια ή καταστροφή. 
 
4.ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΔΕΔΟΜΕΝΩΝ 
Ο κάθε ένας από εμάς οφείλει να τηρεί την Σύμβαση Εμπιστευτικότητας που έχει υπογράψει.  Πέραν τούτου, πιο κάτω αναφέρονται μία μη εξαντλητική λίστα από μέτρα ασφαλείας που πρέπει να λαμβάνονται: 
• Δεν συλλέγουμε ούτε επεξεργαζόμαστε δεδομένα εκτός από αυτά που χρειαζόμαστε και αναφέρουμε στην Πολιτική Προστασίας Προσωπικών Δεδομένων. 
• Εξασφαλίζουμε την υπογραφή των υποκειμένων επεξεργασίας (νέοι και παλαιοί πελάτες) στο Έντυπο Συγκατάθεσης. 
• Δεν αποκαλύπτουμε προσωπικά δεδομένα χωρίς να εξακριβώνουμε την ταυτότητα του ατόμου που τα δίνουμε.  Ιδιαίτερη προσοχή στο τηλέφωνο. 
• Βεβαιωνόμαστε ότι οι Η/Υ, τα προγράμματα software και ο server είναι επαρκώς προστατευμένοι από υιούς και άλλων ειδών απειλές. 
• Δεν αφήνουμε εκτεθειμένα έντυπα που περιέχουν προσωπικά δεδομένα με τέτοιο τρόπο που να μπορεί ένα μη εξουσιοδοτημένο πρόσωπο να τα διαβάσει.  Πριν φύγουμε από το Γραφείο, φροντίζουμε να τα φυλάσσουμε σε ασφαλές χώρο. 
• Ο κάθε συνάδελφος δεν είναι απαραίτητα «εξουσιοδοτημένο πρόσωπο» για να γνωρίζει και να επεξεργάζεται τα ίδια δεδομένα με εσάς. 
• Δεν πετάμε έντυπο που περιέχει προσωπικά δεδομένα στον κάλαθο χωρίς προηγουμένως να το καταστρέψουμε στο shredder.  
• Δεν συζητούμε θέματα που αφορούν πελάτες με τρίτους.  Ενδεχομένως, άθελα μας,  να «φωτογραφίσουμε» τον πελάτη αποκαλύπτοντας πληροφορίες προσωπικού χαρακτήρα. 
• Δεν αφήνουμε αφύλακτα έγγραφα στο όχημα μας για μεγάλο χρονικό διάστημα.  Τα παίρνουμε μαζί μας και αν χρειαστεί να τα αφήσουμε για λίγο, φροντίζουμε η πρόσοψη τους να είναι κάτω για να μην διαβάζονται από το παράθυρο. 
• Δεν μεταφέρουμε έγγραφα (ηλεκτρονικώς ή αλλιώς) εκτός Γραφείου χωρίς την ρητή συγκατάθεση του εργοδότη μας. 
• Είμαστε ενήμεροι για το Αρχείο Δραστηριοτήτων και τηρούμε τους περιορισμούς που αναγράφονται εκεί.  Σε περίπτωση που χρειάζεται μία αλλαγή π.χ. μία νέα δραστηριότητα επεξεργασίας, ενημερώνουμε άμεσα τον εργοδότη μας και τον Υπεύθυνο Προστασίας Δεδομένων. 
• Σε περίπτωση που το υποκείμενο επεξεργασίας ζητήσει να ασκήσει τα δικαιώματα του που αναφέρονται στην Πολιτική Προστασίας Προσωπικών Δεδομένων και πιο κάτω, να προωθήσουμε το (γραπτό) αίτημα του στον Υπεύθυνο Προστασίας Δεδομένων για να μας καθοδηγήσει. 
• Σε περίπτωση παραβίασης πρέπει να ενημερώσουμε άμεσα και χωρίς καθυστέρηση τον εργοδότη μας και τον Υπεύθυνο Προστασίας Δεδομένων.  Τυχόν παράλειψη ενδεχομένως να σημαίνει διάπραξη ποινικού αδικήματος. 
 
5. ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ 
Τα υποκείμενα επεξεργασίας δεν είναι μόνο οι πελάτες του γραφείου.  Μπορεί να είναι και υποψήφιοι πελάτες, συνεργάτες, εργοδοτούμενοι κλπ.  Βάσει του Κανονισμού έχουν τα πιο κάτω δικαιώματα: 
• Δικαίωμα πρόσβασης.  Δικαιούνται να γνωρίζουν ποια δεδομένα τους κρατούμε και να ελέγχουν ότι τα επεξεργαζόμαστε νόμιμα. 
• Δικαίωμα διόρθωσης (αποκατάστασης).  Δικαιούνται να απαιτήσουν να διορθώσουμε οποιαδήποτε ελλιπή και ανακριβή δεδομένα που κρατούμε μέσα σε 30 ημέρες. 
• Δικαίωμα διαγραφής.  Δικαιούνται να μας ζητήσουν να διαγράψουμε τα δεδομένα τους, όπου δεν υπάρχει καλός λόγος για μας να συνεχίσουμε να τα επεξεργαζόμαστε, μέσα σε 30 ημέρες. 
• Δικαίωμα άρνησης. Δικαιούνται να μας ζητήσουν να σταματήσουμε πλέον να επεξεργαζόμαστε τα δεδομένα τους, εκτός αν μπορέσουμε να καταδείξουμε επιτακτικούς έννομους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών τους. 
• Δικαίωμα περιορισμού.  Μπορούν να μας ζητήσουν να περιορίσουμε τους σκοπούς για τους οποίου γίνεται η επεξεργασία. 
• Δικαίωμα ενημέρωσης.  Μπορούν να μας ζητήσουν αντίγραφο των δεδομένων τους σε απλή, διαφανή και κατανοητή μορφή, δωρεάν. 
• Δικαίωμα φορητότητας.  Μπορούν να μας ζητήσουν να διαβιβάσουμε τα δεδομένα τους κατευθείαν σε άλλο γραφείο που θα μας υποδείξουν. 
• Δικαίωμα απόσυρσης της συγκατάθεσης που μας έδωσαν κατά οποιοδήποτε χρόνο.   
• Δικαίωμα υποβολής καταγγελίας.  Έχουν επίσης το δικαίωμα να υποβάλουν καταγγελία στο Γραφείο του Επιτρόπου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα. 

6. ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DPO) 
Σύμφωνα με τον Κανονισμού οφείλουμε να διορίσουμε Υπεύθυνο Προστασίας Δεδομένων, να δημοσιεύσουμε τα στοιχεία του και να τα κοινοποιήσουμε στο Γραφείο του Επιτρόπου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα. 

Τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων είναι να μας ενημερώνει και να μας συμβουλεύει, να παρακολουθεί την συμμόρφωση μας με τον Κανονισμό και να συνεργάζεται με το Γραφείο του Επιτρόπου.  Όλοι οφείλουμε να στηρίζουμε το έργο του.