MENU
Social
info@rektis.eu
MENU
ΠΑΝΩ
ΣΤΗΝ ΑΡΧΗ

Πολιτική Απορρήτου

  • ΙΣΤΟΡΙΚΟΤΗΤΑ ΕΓΓΡΑΦΟΥ

    ΕΚΔΟΣΗ

    ΗΜΕΡΟΜΗΝΙΑ

    ΠΕΡΙΓΡΑΦΗ ΤΡΟΠΟΠΟΙΗΣΕΩΝ

    1.0

    10/09/2020

    Αρχική Έκδοση

     

    ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

    REKTIS

    ΓΕΝΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ ΕΓΓΡΑΦΟΥ

    Τίτλος

    Πολιτική Προστασίας Προσωπικών Δεδομένων

    Σύνοψη

    Η παρούσα πολιτική εκθέτει το πλαίσιο συμμόρφωσης της επιχεiρησης REKTIS με το ισχύον δίκαιο προστασίας προσωπικών δεδομένων

    ΕΙΣΑΓΩΓΗ

    H REKTIS και η ιδρύτριά της Αικατερίνη Σταυροπούλου, αναγνωρίζει και σέβεται την σημασία των δεδομένων προσωπικού χαρακτήρα τα οποία χειρίζεται στο πλαίσιο των δραστηριοτήτων της, και για το λόγο αυτό έχει προσαρμόσει απόλυτα την πολιτική της στις απαιτήσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (εφεξής ΓΚΠΔ) 2016/679/ΕΚ, στην εγχώρια νομοθεσία και στις υποχρεώσεις του σύγχρονου επιχειρείν.

    Με την παρούσα δήλωση η REKTIS επιθυμεί να ενημερώσει όσους έρχονται σε επαφή με αυτήν τηλεφωνικώς είτε μέσω ηλεκτρονικού ταχυδρομείου ή μέσω του ιστοτόπου με ποια ιδιότητα, για ποιο σκοπό και με ποια νόμιμη βάση επεξεργάζεται τα προσωπικά τους δεδομένα, δηλαδή πληροφορίες που τους αφορούν και μπορούν να χρησιμεύσουν στην άμεση ή έμμεση ταυτοποίηση των υποκειμένων και ειδικότερα: τις κατηγορίες των δεδομένων, τις πηγές των δεδομένων, τα κριτήρια προσδιορισμού της χρονικής περιόδου τήρησης των δεδομένων, τα δικαιώματα που τους παρέχει ο Κανονισμός αναφορικά με τα προσωπικά τους δεδομένα και τέλος, τις πολιτικές και τα λοιπά μέτρα προστασίας που λαμβάνονται καθώς και τις εγγυήσεις ασφάλειας των προσωπικών δεδομένων που τους παρέχονται από την επιχείρηση

    Η REKTIS, αποτελεί μια πρωτοπόρα επιχείρηση στον τομέα της επιλογής προσωπικού, η οποία μέσω της μεθόδου της αναλυτικής γραφολογίας, συμβάλλει στη διαμόρφωση της τελικής κρίσης κατά την αναζήτηση του κατάλληλου υποψηφίου για την εκάστοτε θέση εργασίας. Οι παρεχόμενες υπηρεσίες της, λαμβάνουν χώρα μέσω μελέτης – ανάλυσης γραπτών κειμένων υποκειμένων, που διαγωνίζονται ή επιλέγονται για την κατάληψη μιας θέσης εργασίας σε μία επιχείρηση.

    Η γραφή ως εξωτερίκευση της μοναδικότητας του κάθε ανθρώπου, αποτελεί μοναδικό και ανεπανάληπτο αποτύπωμα της προσωπικότητας του γράφοντα, το οποίο διαμορφώνεται, σταθεροποιείται ή μεταλλάσσεται ανάλογα με την ηλικία, την ψυχοδιανοητική και φυσική κατάσταση, τις εμπειρίες, τις συνθήκες καθώς και τον βαθμό ωρίμανσης, προσαρμογής και κοινωνικοποίησής του. Η γραφολογία μέσω της εφαρμογής επιστημονικών, σταθερών και διεθνών κανόνων και τεχνικών διαθέτει τα εργαλεία αποκωδικοποίησης και ερμηνείας των γραφικών συμβόλων που συνθέτουν τη γραφή κάθε ανθρώπου, αντιστοιχώντας τα με εξατομικευμένο τρόπο στα στοιχεία της προσωπικότητάς του. Μέσω της γραφή του υποκειμένου αποκαλύπτονται στοιχεία της προσωπικότητας του, τα οποία αποτελούν ιδιαίτερα και μοναδικά γνωρίσματα, ενώ σαφώς εντάσσονται στην ειδική κατηγορία προσωπικών δεδομένων. Εξ’ αυτού του λόγου και σύμφωνα με το α. 9 του ΓΚΠΔ, η Επιχείρηση, έχοντας πλήρη επίγνωση της ιδιαιτερότητας των προσωπικών δεδομένων που επεξεργάζεται, έχει φροντίσει για την απόλυτη προστασία τους και την πιστή εφαρμογή των νόμων και των ευρωπαϊκών διατάξεων.

    Η γραφολογική εξέταση που πραγματοποιείται και η αντίστοιχη έκθεση που συντάσσεται από την REKTIS και την ειδική δικαστική και αναλυτική γραφολόγο Αικατερίνη Σταυροπούλου, για την επιλογή του κατάλληλου υποψηφίου, περιορίζεται αυστηρά στην αξιολόγηση της καταλληλότητας του εργαζόμενου ή του υποκειμένου για μία συγκεκριμένη θέση εργασίας, παρούσα ή μελλοντική, με βάση τα ζητούμενα χαρακτηριστικά που θέτει η εντολέας επιχείρηση, χωρίς να πλήττονται και να αποκαλύπτονται σε καμία περίπτωση οι προσωπικές κλίσεις και όψεις της προσωπικότητάς του που δεν είναι πρόσφορες, συναφείς και αναγκαίες για τους επιδιωκόμενους σκοπούς.

    Η Rektis προσφέρει τις υπηρεσίες της υπακούοντας στον Ευρωπαϊκό Κώδικα Δεοντολογίας της Ευρωπαϊκής Δεοντολογικής Ένωσης Γραφολόγων (Association Déontologique Européenne de Graphologues, ADEG). http://adeg-europe.eu/

    Η νομιμοποιητική βάση όλων των επεξεργασιών που συντελεί η REKTIS, ποικίλει, λόγω της φύσης των υπηρεσιών της, λειτουργώντας, άλλοτε ως υπεύθυνος επεξεργασίας και άλλοτε ως εκτελών την επεξεργασία.

    1. ΑΝΤΙΚΕΙΜΕΝΟ

    1.1.        Η REKTIS, δεσμεύεται για τη διεξαγωγή της δραστηριότητας με σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων καθώς και σε συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων.

    1.2.        Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων («Πολιτική») χαράσσει τις γενικές κατευθυντήριες γραμμές και τη στρατηγική της επιχείρησης για την προστασία των προσωπικών δεδομένων σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών δεδομένων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ» («ΓΚΠΔ») και τη νομοθεσία για την προστασία των προσωπικών δεδομένων.

    1.3.        Σκοπός της Πολιτικής είναι να εξειδικεύσει τους κανόνες, με βάση τους οποίους, λαμβάνει χώρα η συλλογή και επεξεργασία προσωπικών δεδομένων από την επιχείρηση, λαμβάνει οργανωτικά και τεχνικά μέτρα για την ασφάλεια και εμπιστευτικότητά τους, τηρεί τις υποχρεώσεις λογοδοσίας και καθορίζει τις σχέσεις της με τρίτα μέρη και τους εντολείς.

    1.4.        Η τήρηση της παρούσας Πολιτικής συνιστά οργανωτικό μέτρο κατ’ εφαρμογή του άρθρου 32 του ΓΚΠΔ, για την προστασία της ασφάλειας και της εμπιστευτικότητας των προσωπικών δεδομένων, τα οποία η επιχείρηση συλλέγει και επεξεργάζεται.

    1.5.        Οι κανόνες της παρούσας Πολιτικής εφαρμόζονται κατά την επεξεργασία προσωπικών δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης, ανεξαρτήτως αν το σύστημα αυτό είναι μηχανογραφημένο ή μη.

    1.6.        Η Πολιτική δεν εφαρμόζεται :

    - στην επεξεργασία προσωπικών δεδομένων που δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ,

    - στην επεξεργασία ανώνυμων δεδομένων, δηλαδή πληροφοριών που δεν σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, καθώς και στην επεξεργασία προσωπικών δεδομένων που έχουν καταστεί ανώνυμα, κατά τρόπο τέτοιον ώστε η ταυτότητα του Υποκειμένου των δεδομένων να μην μπορεί πλέον να εξακριβωθεί,

    - στην επεξεργασία προσωπικών δεδομένων θανόντων.

    - στην επεξεργασία προσωπικών δεδομένων νομικών προσώπων

     

    1. ΙΣΧΥΣ

    2.1.        Η παρούσα Πολιτική τυγχάνει υποχρεωτικής εφαρμογής σε κάθε δραστηριότητα επεξεργασίας προσωπικών δεδομένων από το προσωπικό της επιχείρησης. Η γνώση και εφαρμογή της Πολιτικής, όπως κάθε φορά ισχύει, αποτελεί συμβατική υποχρέωση των εργαζομένων της, συνιστώντας αναπόσπαστο τμήμα της σχέσης εργασίας του προσωπικού (είτε κάθε συνεργαζόμενου προσώπου το οποίο παρέχει υπό οποιαδήποτε ιδιότητα υπηρεσίες συναφείς με τις δραστηριότητες της επιχείρησης)

    2.2.        Η Πολιτική διέπει την πρόσβαση και χρήση οποιασδήποτε μορφής βάσεων δεδομένων, πληροφοριακών συστημάτων, τεχνικών διεργασιών και διαδικασιών, στο μέτρο που αφορούν τη συλλογή, επεξεργασία, αποθήκευση, διαβίβαση και διαγραφή προσωπικών δεδομένων, τα οποία διαχειρίζεται η επιχείρηση στο πλαίσιο των δραστηριοτήτων του και των εντολών του.

    2.3.        Η εφαρμογή της Πολιτικής δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη – συνεργάτες, προμηθευτές κ.ά., οι οποίοι επεξεργάζονται με οποιονδήποτε τρόπο προσωπικά δεδομένα εκ μέρους της επιχείρησης είτε ως υπεύθυνοι επεξεργασίας είτε ως εκτελούντες την επεξεργασία είτε ως από κοινού υπεύθυνοι επεξεργασίας.

    2.4.        Η παρούσα Πολιτική τροποποιείται από την επιχείρηση κατά τη διακριτική της ευχέρεια, όποτε κρίνεται αναγκαίο, εντός των ορίων του νόμου.

    2.5.        Σε περίπτωση που οποιοσδήποτε από τους όρους της Πολιτικής θεωρηθεί άκυρος, παράνομος ή καταχρηστικός για οποιονδήποτε λόγο, οι λοιποί όροι θα παραμένουν έγκυροι και ισχυροί ως έχουν.

    1. ΑΡΧΕΣ

    3.1.        Κατά τη συλλογή και επεξεργασία προσωπικών δεδομένων η Επιχείρηση σέβεται και ακολουθεί τις παρακάτω γενικές αρχές :

    - Υποβάλλει τα προσωπικά δεδομένα σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).

    - Συλλέγει τα προσωπικά δεδομένα, κυρίως από τους εντολείς της για καθορισμένους, ρητούς, νόμιμους σκοπούς και προσδιορισμένους ήδη κατά το χρόνο συλλογής τους και δεν τα υποβάλλει σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·.

    - Διασφαλίζει ότι τα προσωπικά δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).

    - Διασφαλίζει ότι τα προσωπικά δεδομένα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται, ενώ λαμβάνει εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση ανακριβών προσωπικών δεδομένων («ακρίβεια»).

    - Διασφαλίζει ότι τα προσωπικά δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων («ελαχιστοποίηση του χρόνου διατήρησης»).

    - Διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των προσωπικών δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

    - Διαμορφώνει τις διαδικασίες και τα τεχνικά και οργανωτικά της συστήματα κατά τέτοιο τρόπο ώστε να δύναται να αποδεικνύει, ανά πάσα στιγμή, τόσο ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») όσο και ενώπιον των υπευθύνων επεξεργασίας, των δικαστηρίων και των αρμόδιων αρχών, ότι συμμορφώνεται πλήρως με τις υποχρεώσεις της που απορρέουν από την ισχύουσα νομοθεσία για την προστασία προσωπικών δεδομένων («λογοδοσία»).

    1. ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

    4.1.        Η Επιχείρηση διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας προσωπικών δεδομένων πληροί μία τουλάχιστον από τις ακόλουθες προϋποθέσεις :

    4.1.1 Η ΕΠΙΧΕΙΡΗΣΗ ΩΣ ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

    Η Επιχείρηση στα πλαίσια των δραστηριοτήτων της ενεργεί ως υπεύθυνος επεξεργασίας των προσωπικών δεδομένων των υπαλλήλων, των προμηθευτών της και των εκτελούντων επεξεργασίας τους οποίους χρησιμοποιεί ορίζοντας δηλαδή τους σκοπούς επεξεργασίας των προσωπικών τους δεδομένων, υπό τις προβλεπόμενες νομιμοποιητικές βάσεις:

    • Βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων (πλην των περιπτώσεων άσκησης των εργοδοτικών δικαιωμάτων).
    • Αφορά εκτέλεση σύμβασης, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος.
    • Είναι απαραίτητη για τη συμμόρφωση της επιχείρησης με έννομη υποχρέωση.
    • Είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της επιχείρησης ή του υποκειμένου των δεδομένων στον τομέα του υπαλληλικού κώδικα και των νόμων που αφορούν στην υπαλληλική σχέση και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
    • Αφορά προσωπικά δεδομένα, τα οποία έχουν προδήλως δημοσιοποιηθεί από το Υποκείμενο των Δεδομένων ή τον ορισμένο δια δικαστικής απόφασης δικαστικό συμπαραστάτη του ή/και τον έχοντα την επιμέλεια του υποκειμένου ή τον Εισαγγελέα.
    • Είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

    Η Επιχείρηση, διασφαλίζει ότι κάθε διεξαγόμενη δραστηριότητα επεξεργασίας ειδικών κατηγοριών δεδομένων πληροί μία τουλάχιστον από τις ακόλουθες προϋποθέσεις :

    - Είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της επιχείρησης ή του υποκειμένου των δεδομένων στον τομέα του υπαλληλικού κώδικα και των νόμων που αφορούν στην υπαλληλική σχέση και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.

    - Είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.

    - Αφορά προσωπικά δεδομένα, τα οποία έχουν προδήλως δημοσιοποιηθεί από το Υποκείμενο των Δεδομένων

    - Είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

    Η Επιχείρηση, επεξεργάζεται προσωπικά δεδομένα μόνο για σκοπούς ρητούς, σαφείς, νόμιμους και προσδιορισμένους ήδη κατά το χρόνο συλλογής τους, σύμφωνα με τους σκοπούς λειτουργίας της. Επιπλέον, δεν επεξεργάζεται προσωπικά δεδομένα για περαιτέρω σκοπούς μη προβλεπόμενους από τον Νόμο, εκτός αν λαμβάνει την πρότερη ενημερωμένη συγκατάθεση του υποκειμένου των δεδομένων. Εφόσον από την ισχύουσα νομοθεσία επιτρέπεται η χρήση για περαιτέρω σκοπούς και χωρίς συγκατάθεση, η Επιχείρηση προβαίνει σε πρότερη ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους περαιτέρω αυτούς σκοπούς επεξεργασίας, όπως και για τα δικαιώματά του, συμπεριλαμβανομένου του δικαιώματος εναντίωσης, ενώ μεριμνά για την διεξαγωγή της περαιτέρω επεξεργασίας με κατάλληλες εγγυήσεις για την προστασία των προσωπικών δεδομένων.

    Σημειώνεται ότι οι υπάλληλοι της Επιχείρησης δεν είναι υπεύθυνοι επεξεργασίας, αλλά “πρόσωπα που ενεργούν υπό την εποπτεία του υπεύθυνου επεξεργασίας”, κατά την έννοια του άρθρου 29 του ΓΚΠΔ. Αυτό σημαίνει ότι αυτά τα πρόσωπα επεξεργάζονται τα εν λόγω δεδομένα μόνο κατ' εντολή του υπεύθυνου επεξεργασίας καθώς και στο πλαίσιο των αρμοδιοτήτων τους που προβλέπονται από τον νόμο, έχοντας υπογράψει προς τούτο σύμβαση εχεμύθειας.

     

    4.1.2. Η ΕΠΙΧΕΙΡΗΣΗ ΩΣ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

    Η Επιχείρηση εξ’ ορισμού, λειτουργεί, σε σχέση με τις συνεργαζόμενες επιχειρήσεις – υπευθύνους επεξεργασίας, ως εκτελών την επεξεργασία για λογαριασμό τους κατ’ άρθρο 28 ΓΚΠΔ. Ειδικότερα:

    1. δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, η Επιχείρηση ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
    2. Η επεξεργασία από την Επιχείρηση διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι η Επιχείρηση:

    α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών – guidelines του υπευθύνου επεξεργασίας.

    β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

    γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 ΓΚΠΔ,

    δ) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

    ε) λαμβάνει υπόψη την φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στον ΓΚΠΔ δικαιωμάτων του υποκειμένου των δεδομένων,

    στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη την φύση της επεξεργασίας και τις πληροφορίες που διαθέτει η επιχείρηση

    ζ) κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα. Σε κάθε περίπτωση η Επιχείρηση, με ένα ολοκληρωμένο σύστημα διαχείρισης, διασφαλίζει την πληρέστερη ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται για λογαριασμό των υπευθύνων επεξεργασίας, χωρίς να διατηρεί στις εγκαταστάσεις ή οπουδήποτε αλλού, φυσικό αρχείο στο οποίο να περιλαμβάνονται προσωπικά δεδομένα υποκειμένων που της έχουν παραδοθεί στα πλαίσια της εντολής από τους υπευθύνους επεξεργασίας. Η ψηφιακή αποθήκευση των προσωπικών δεδομένων, εξάλλου προστατεύεται με όλα τα τεχνικά μέσα που προβλέπονται (ανωνυμοποίηση – κρυπτογράφηση – κωδικοί κλπ)

    η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

    Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

    1. Όταν η επιχείρηση προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, η επιχείρηση παραμένει πλήρως υπόλογη έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.
    1. ΔΙΑΦΑΝΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

    5.1.        Η Επιχείρηση διασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων, που λαμβάνει χώρα, υπό την ιδιότητά της ως εκτελών την επεξεργασία, διεξάγεται με διαφανή τρόπο απέναντι στο υποκείμενο των δεδομένων, πάντοτε με την ρητή συγκατάθεσή του, την οποία έχει χορηγήσει στον υπεύθυνο επεξεργασίας και ότι παρέχονται στο υποκείμενο πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων σε εύκολα προσβάσιμη, συνοπτική και κατανοητή μορφή, με χρήση σαφούς και απλής διατύπωσης. Κατά τον ίδιο τρόπο διεξάγεται και η επεξεργασία των προσωπικών δεδομένων των υποκειμένων, υπό την ιδιότητά της ως υπεύθυνης επεξεργασίας.

    5.2.        Τα προσωπικά δεδομένα συλλέγονται από την επιχείρηση ως υπεύθυνης επεξεργασίας, κατά βάση, από το ίδιο το υποκείμενο και η επιχείρηση παρέχει στο υποκείμενο κατά το στάδιο της συλλογής των δεδομένων τις ακόλουθες κατηγορίες πληροφοριών:

    - τα στοιχεία επικοινωνίας του Υπευθύνου Επεξεργασίας

    - τους σκοπούς της επεξεργασίας καθώς και τη νομική βάση για την επεξεργασία,

    - εάν η επεξεργασία εξυπηρετεί έννομα συμφέροντα, τα έννομα συμφέροντα που επιδιώκονται,

    - τυχόν αποδέκτες ή κατηγορίες αποδεκτών των προσωπικών δεδομένων,

    - τον χρόνο διατήρησης των δεδομένων ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

    - τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους,

    - το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

    - σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

    5.3. Τα προσωπικά δεδομένα επεξεργάζονται από την επιχείρηση ως εκτελούντος την επεξεργασία, κατόπιν συλλογής τους και διαβίβασης στην REKTIS από τον υπεύθυνο επεξεργασίας, ο οποίος έχει λάβει απαραίτητα την ρητή συγκατάθεση του υποκειμένου και το έχει ενημερώσει για τους σκοπούς της επεξεργασίας, ήτοι α) την συλλογή ειδικών κατηγοριών δεδομένων, για την αξιολόγηση της καταλληλότητας του υποκειμένου ως εργαζόμενου ή υποψηφίου για μία συγκεκριμένη θέση ή εργασία, παρούσα ή μελλοντική και β) μόνο για την ειδική περίπτωση, που άπτεται των υπηρεσιών της REKTIS, δηλαδή για την ανάλυση συγκεκριμένων πτυχών της προσωπικότητας του εργαζομένου για τη συγκεκριμένη θέση εργασίας. Και στις δυο περιπτώσεις η επεξεργασία των προσωπικών δεδομένων των υποκειμένων δεν δύναται να οδηγήσει σε συμπεράσματα που αφορούν τη ψυχική υγεία του εργαζομένου/υποψηφίου, παρά μόνο να αναδείξει στοιχεία της προσωπικότητάς του που σχετίζονται με την επαγγελματική του δραστηριότητα και την προς κατάληψη θέση εργασίας, χωρίς μετά ταύτα να πλήττονται και να αποκαλύπτονται από την Επιχείρηση σε καμία περίπτωση οι προσωπικές κλίσεις και όψεις της προσωπικότητάς του που δεν είναι πρόσφορες, συναφείς και αναγκαίες για τους επιδιωκόμενους σκοπούς. Κατά το ανωτέρω στάδιο ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο κατά το στάδιο της συλλογής των δεδομένων τις ακόλουθες κατηγορίες πληροφοριών, άνευ των οποίων δεν δύναται η Επιχείρηση να προχωρήσει σε περαιτέρω επεξεργασία:

    - τα στοιχεία επικοινωνίας του Υπευθύνου Επεξεργασίας και του εκτελούντος της επεξεργασία

    - τους σκοπούς της επεξεργασίας καθώς και τη νομική βάση για την επεξεργασία

    - εάν η επεξεργασία εξυπηρετεί έννομα συμφέροντα, τα έννομα συμφέροντα που επιδιώκονται,

    - τυχόν αποδέκτες ή κατηγορίες αποδεκτών των προσωπικών δεδομένων,

    - τον χρόνο διατήρησης των δεδομένων ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

    - τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους,

    - το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

    - σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

    1. ΣΥΓΚΑΤΑΘΕΣΗ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

    6.1.        Όταν η επεξεργασία προσωπικών δεδομένων εκ μέρους της Επιχείρησης ως υπεύθυνης επεξεργασίας, βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η Επιχείρηση φέρει το βάρος απόδειξης ότι το υποκείμενο πράγματι συγκατατέθηκε για την επεξεργασία των δεδομένων του. Στα πλαίσια αυτά, η Επιχείρηση τηρεί αρχείο, ηλεκτρονικό ή μη, των δηλώσεων συγκατάθεσης, που λαμβάνει.

    6.2. Η επεξεργασία προσωπικών δεδομένων εκ μέρους της Επιχείρησης ως εκτελούντος την επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας, βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων αποκλειστικά προς την υπεύθυνη επεξεργασίας, ενώ η Επιχείρηση έχοντας ενημερώσει τον υπεύθυνο επεξεργασίας, περί της πλήρους συμμόρφωσής της προς τον ΓΚΠΔ και τους εθνικούς νόμους οφείλει να τηρεί αρχείο, ηλεκτρονικό ή μη, των δηλώσεων συγκατάθεσης, που της αποστέλλονται από τον υπεύθυνο επεξεργασίας, ορίζοντας παράλληλα και τον χρόνο διατήρησής τους.

    Γενικά και αναφορικά με την νομιμότητα της επεξεργασίας των ειδικών κατηγοριών των προσωπικών δεδομένων των υποκειμένων – υποψηφίων προς κάλυψη μιας θέσης εργασίας στην οντότητα του υπευθύνου επεξεργασίας, θα πρέπει να πληροί τουλάχιστον τα κάτωθι κριτήρια, ώστε η Επιχείρηση, ως εκτελών την επεξεργασία, να δύναται να εκτελέσει τις συμφωνηθείσες υπηρεσίες της.

    - Πρότερη : Να λαμβάνεται πριν από κάθε επεξεργασία.

    - Εν πλήρη επιγνώσει : Κατά την λήψη της συγκατάθεσης να παρέχεται η νόμιμη ενημέρωση στο υποκείμενο των δεδομένων, συμπεριλαμβανομένης της πληροφορίας για το δικαίωμα του υποκειμένου να ανακαλεί την συγκατάθεση ανά πάσα στιγμή καθώς και τις συνέπειες τυχόν ανάκλησης.

    - Ευκόλως Κατανοητή : Το αίτημα για συγκατάθεση καθώς και η σχετική ενημέρωση να διατυπώνονται σε κατανοητή και εύκολα προσβάσιμη μορφή, με χρήση σαφούς και απλής διατύπωσης.

    - Ρητή : Η συγκατάθεση να παρέχεται με δήλωση, που να εμπεριέχει σαφή θετική ενέργεια (η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια του υποκειμένου δεν θα λογίζονται ως νόμιμη συγκατάθεση).

    - Συγκεκριμένη : Όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται για περισσότερες πράξεις / σκοπούς επεξεργασίας, να ζητείται και να δίδεται συγκατάθεση ξεχωριστά για κάθε μία από τις πράξεις αυτές.

    - Σαφώς Διακριτή : Να υποβάλλεται κατά τρόπο τέτοιο ώστε να είναι σαφώς διακριτή από άλλα θέματα.

    - Ελεύθερη : Η συγκατάθεση να είναι αποτέλεσμα αληθινής ή ελεύθερης επιλογής του υποκειμένου των δεδομένων, δηλαδή να δίνεται σε περιστάσεις όπου το υποκείμενο να είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί. Η λήψη συγκατάθεσης, που δίνεται στα πλαίσια εκτέλεσης σύμβασης, δεν πρέπει να τίθεται ως προϋπόθεση για την αποδοχή όρων ή προϋποθέσεων για την εκτέλεση της σύμβασης ή παροχής υπηρεσιών σχετιζόμενων με αυτή.

    - Καταγεγραμμένη : Να παρέχεται είτε με γραπτή δήλωση (και μέσω ηλεκτρονικών, ή ψηφιακών μέσων εφόσον εξασφαλίζεται η ταυτοποίηση) είτε με προφορική δήλωση, που ηχογραφείται.

    - Ελευθέρως Ανακλητή : Η ανάκληση της συγκατάθεσης να είναι ανά πάσα στιγμή διαθέσιμη στο υποκείμενο των δεδομένων με τον ίδιο εύκολο, απλό και αποτελεσματικό τρόπο με τον οποίο δόθηκε η συγκατάθεση.

    - Αποτελεσματικότητα Ανάκλησης : Να έχουν υλοποιηθεί κατάλληλα μέτρα ώστε, σε περίπτωση ανάκλησης της συγκατάθεσης, να λαμβάνει χώρα σε πραγματικό χρόνο η παύση της επεξεργασίας των προσωπικών δεδομένων και τα σχετικά συστήματα να ανταποκρίνονται άμεσα σε αυτή.

    1. ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

    Η Επιχείρηση, κατόπιν υπογραφής σχετικής σύμβασης με τον υπεύθυνο επεξεργασίας, λαμβάνει σε φυσικό αρχείο από τον τελευταίο α) την σύμβαση ανάθεσης του έργου, β) την ειδική εντολή του υπευθύνου επεξεργασίας με τα προς εξέταση στοιχεία της προσωπικότητας που επιθυμεί να πληροί το υποκείμενο – υποψήφιος μιας θέσης εργασίας, γ) το πρωτότυπο χειρόγραφο έγγραφο του υποκειμένου επί του οποίου θα πραγματοποιείται η γραφολογική εκτίμηση, συνοδευόμενου δ) από την έγγραφη συγκατάθεσή του.

    Διατηρεί σε ψηφιακό αρχείο 1. Την σύμβαση με τον υπεύθυνο επεξεργασίας 2. Την ειδική εντολή 3. Αντίγραφο του χειρόγραφου εγγράφου του υποκειμένου συνοδευόμενου από την έγγραφη συγκατάθεσή του (πλήρως ανωνυμοποιημένο) 3. την τελική κρίση της επιχείρησης επί του χειρόγραφου εγγράφου (πλήρως ανωνυμοποιημένης) και 4. την τελική υπόδειξη επί πλειόνων εγγράφων πολλών υποκειμένων, περί του καταλληλότερου υποψηφίου (πλήρως ανωνυμοποιημένης). Επί όλων των ανωτέρω εγγράφων και κάθε άλλου πιθανού εγγράφου το οποίο δεν μνημονεύεται στην παρούσα, η Επιχείρηση αποδίδει μοναδικό αριθμό καταχώρισης (πρωτόκολλο), τον οποίο αποστέλλει στον υπεύθυνο επεξεργασίας.

    Κατόπιν ολοκλήρωσης του έργου που έχει αναλάβει η Επιχείρηση, με σύμβαση, από τον υπεύθυνο επεξεργασίας, ουδέν έγγραφο (του υποκειμένου) διατηρεί σε φυσικό αρχείο (περιπτώσεις 3,4 αμέσως ανωτέρω), καθότι αυτά στην πρωτότυπη μορφή τους επιστρέφονται στον υπεύθυνο επεξεργασίας. Εξάλλου τα υπό στοιχεία 1 και 2 έγγραφα η επιχείρηση διατηρεί τόσο σε φυσικό όσο και σε ψηφιακό αρχείο, πλήρως ανωνυμοποιημένα σε ό,τι αφορά τα προσωπικά δεδομένα των υποκειμένων. Η ταυτοποίηση των προσωπικών δεδομένων θα γίνεται με τον μοναδικό αριθμό καταχώρισης. Μ’ αυτόν τον μοναδικό αριθμό, το υποκείμενο θα δύναται να ασκεί τα δικαιώματά του. Η Επιχείρηση θα διατηρεί αποκλειστικά σε ψηφιακό αρχείο και για συγκεκριμένο χρονικό διάστημα τα ως άνω έγγραφα, πλήρως ανωνυμοποιημένα και κρυπτογραφημένα.

    Τα ανωτέρω έγγραφα η επιχείρηση διατηρεί πλήρως ανωνυμοποιημένα για χρονικό διάστημα 5 ετών κατ’ άρθρο 250 ΑΚ.

    7.1.        Με την επιφύλαξη της ισχύουσας νομοθεσίας, η Επιχείρηση παρέχει τα ακόλουθα δικαιώματα σε όλα τα υποκείμενα, για τα οποία διατηρεί δεδομένα και σε σχέση με τα δεδομένα που τηρεί, ενημερώνοντας προς τούτο και τον υπεύθυνο επεξεργασίας

    7.2.        Τα παραπάνω αιτήματα απευθύνονται με ταχυδρομική ή ηλεκτρονική επιστολή στα στοιχεία επικοινωνίας, που αναφέρονται τόσο στις σχετικές έντυπες ενημερώσεις όσο και στον ιστότοπο της Επιχείρησης και απαντώνται από αυτή, εντός ενός (1) μήνα από την παραλαβή τους, κατόπιν ενημέρωσης και του υπευθύνου επεξεργασίας. Κατόπιν ενημέρωσης του αιτούντος, η εν λόγω προθεσμία δύναται να παρατείνεται κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των υπό επεξεργασία αιτημάτων.

    7.3.        Η ανταπόκριση της Επιχείρησης στα δικαιώματα των υποκειμένων των δεδομένων παρέχεται δωρεάν.

    1. ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΛΗΨΗ ΑΠΟΦΑΣΕΩΝ

    8.1.        Η Επιχείρηση δεν λαμβάνει αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένης της κατάρτισης προφίλ. Κάθε επεξεργασία προσωπικών δεδομένων εκ μέρους της Επιχείρησης, υπαγορεύεται από το νόμο και τη σχέση εντολής.

    8.2.        Σε περίπτωση που μελλοντικά ληφθούν αποφάσεις με αυτοματοποιημένο τρόπο και πάντοτε και αποκλειστικά σε ό,τι αφορά τους λήπτες των παρεχόμενων υπηρεσιών του, η Επιχείρηση οφείλει να λάβει τα ακόλουθα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων :

    - Επιλέγει κατάλληλες λύσεις αυτοματοποίησης, ώστε να δίνουν κατά κανόνα ορθά αποτελέσματα σε σχέση με το εκάστοτε αξιολογούμενο χαρακτηριστικό.

    - Παρέχει γενικές πληροφορίες για τη λογική, τη σημασία και τις προβλεπόμενες συνέπειες της αυτοματοποιημένης επεξεργασίας στο πλαίσιο της αρχής της διαφάνειας, και (β) εξασφαλίζει, κατόπιν άσκησης δικαιώματος αντίρρησης, τη δυνατότητα ανθρώπινης παρέμβασης κατά τη λήψη της τελικής απόφασης.

    - Εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, για να διορθώνει τις ανακρίβειες και να ελαχιστοποιεί τον κίνδυνο σφαλμάτων.

    - Αποτρέπει τις δυσμενείς διακρίσεις σε βάρος των υποκειμένων των δεδομένων.

    - Διασφαλίζει την ασφαλή αποθήκευση και πρόσβαση στα προσωπικά δεδομένα με τρόπο ανάλογο του κινδύνου για τα συμφέροντα και τα δικαιώματα των υποκειμένων των δεδομένων.

    - Διασφαλίζει ότι οι αποφάσεις που λαμβάνονται αυτοματοποιημένα δεν αφορούν παιδιά.

    - Διασφαλίζει ότι οι αποφάσεις, που λαμβάνονται, δεν βασίζονται σε ειδικές κατηγορίες δεδομένων, εκτός εάν υφίσταται ρητή συγκατάθεση.

    8.3.        Επιπλέον, όταν υφίσταται αυτοματοποιημένη λήψη αποφάσεων και η απόφαση αυτή παράγει έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, εξαιρουμένης ρητώς της κατάρτισης προφίλ, η Επιχείρηση παρέχει στα υποκείμενα των δεδομένων τα ακόλουθα δικαιώματα :

    - Δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης.

    - Δικαίωμα αμφισβήτησης της αυτοματοποιημένα λαμβανόμενης απόφασης.

    - Δικαίωμα έκφρασης της άποψής τους.

    - Δικαίωμα αντίταξης ανά πάσα στιγμή στην εν λόγω επεξεργασία προσωπικών δεδομένων, όταν η αυτοματοποιημένη λήψη αποφάσεων εξυπηρετεί σκοπούς απευθείας εμπορικής προώθησης.

    1. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ

    9.1.        Η Επιχείρηση διασφαλίζει ότι η προστασία των προσωπικών δεδομένων ενσωματώνεται σε οποιαδήποτε δραστηριότητα που σχετίζεται με προσωπικά δεδομένα, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και καθ’ όλη τη διάρκεια της επεξεργασίας.

    9.2.        Για το σκοπό αυτό, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και την φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους σοβαρούς κινδύνους επέλευσης οποιαδήποτε παραβίασης των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων από την επεξεργασία, η Επιχείρηση εφαρμόζει κατάλληλα μέτρα προστασίας των προσωπικών δεδομένων και χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας.

    9.3.        Για τη διασφάλιση της προστασίας των προσωπικών δεδομένων από τον σχεδιασμό και εξ ορισμού η Επιχείρηση εξετάζει τη δυνατότητα ενσωμάτωσης κατάλληλων χαρακτηριστικών στο υπό σχεδίαση μέσο ή διαδικασία επεξεργασίας, ώστε αυτά να παρέχουν επαρκή προστασία στα υπό επεξεργασία προσωπικά δεδομένα ήδη από τον σχεδιασμό τους και εξ ορισμού. Εφόσον το νέο μέσο ή διαδικασία επεξεργασίας εγκυμονεί υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η Επιχείρηση εκτελεί εκτίμηση αντικτύπου για την προστασία των δεδομένων, καθορίζει μέσα για το μετριασμό των αναγνωρισμένων κινδύνων και τέλος λαμβάνει και υλοποιεί τις σχετικές αποφάσεις ως προς τον σχεδιασμό του νέου μέσου ή διαδικασίας επεξεργασίας.

    1. ΔΙΑΧΕΙΡΙΣΗ ΕΚΤΕΛΟΥΝΤΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

    10.1.       Όταν η επεξεργασία διενεργείται από τρίτο μέρος για λογαριασμό της Επιχείρησης (ως υπεύθυνης επεξεργασίας), αυτή, χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις της ισχύουσας νομοθεσίας και της παρούσας Πολιτικής και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Εξάλλου, κάθε ανάληψη έργου, διέπεται από τη κείμενη νομοθεσία και απαραίτητη προϋπόθεση για να συμβληθεί κάποιο τρίτο μέρος με την Επιχείρηση, είναι η προαπόδειξη της συμμόρφωσής του με το ΓΚΠΔ, παραδίδοντας αντίστοιχο, σχέδιο πολιτικής προστασίας, βεβαίωση συμμόρφωσης με το ΓΚΠΔ και περιγραφή των τεχνικών και οργανωτικών μέτρων που εφαρμόζει, ενώ στη περίπτωση κατά την οποία υποχρεούται και σε ορισμό ΥΠΔ, την παράδοση και αναφορά των στοιχείων του

    10.2.       Κάθε σύμβαση της Επιχείρησης με τρίτο φυσικό και νομικό πρόσωπο ή κοινοπραξία, που εκτελεί επεξεργασία προσωπικών δεδομένων για λογαριασμό της, καταρτίζεται εγγράφως, μεταξύ άλλων και σε ηλεκτρονική μορφή, και συμπεριλαμβάνει τουλάχιστον τους ακόλουθους όρους :

    - Τον καθορισμό του αντικειμένου και της διάρκειας της επεξεργασίας, της φύσης και του σκοπού της επεξεργασίας, του είδους των προσωπικών δεδομένων, των κατηγοριών των υποκειμένων των δεδομένων και των υποχρεώσεων και δικαιωμάτων του υπευθύνου επεξεργασίας.

    - Την υποχρέωση επεξεργασίας μόνο βάσει καταγεγραμμένων εντολών της Επιχείρηση.

    - Τη δέσμευση τήρησης εμπιστευτικότητας του προσωπικού και των συνεργατών του εκτελούντος την επεξεργασία.

    - Τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας και εμπιστευτικότητας των δεδομένων.

    - Την συνδρομή στην ανταπόκριση σε αιτήματα άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων.

    - Την υποχρέωση ενημέρωσης της Επιχείρησης για το παράνομο κάποιας εντολής του.

    - Την υποχρέωση, κατόπιν αιτήματος της Επιχείρησης, για τη διαγραφή ή επιστροφή όλων των προσωπικών δεδομένων μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και τη διαγραφή τυχόν αντιγράφων αυτών.

    - Τη θέση στη διάθεση της Επιχείρησης κάθε απαραίτητης πληροφορίας προς απόδειξη της συμμόρφωσης του εκτελούντος επεξεργασία προς τις συμβατικές του υποχρεώσεις.

    - Τη δέσμευση τυχόν βοηθών εκτέλεσης με τις ίδιες υποχρεώσεις προστασίας των προσωπικών δεδομένων που προβλέπονται στη σύμβαση του εκτελούντος επεξεργασία με την Επιχείρηση.

    10.3.       Η Επιχείρηση πραγματοποιεί αξιολογήσεις των εκτελούντων την επεξεργασία με τους οποίους έχει συνάψει σύμβαση (ακόμη και προφορική), με σκοπό να εξασφαλίζει ότι οι τελευταίοι τηρούν όλες τις σχετικές δεσμεύσεις, όπως αυτές αναγράφονται κάθε φορά στην υπογεγραμμένη σύμβαση σχετικά με την ασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα και συμμορφώνονται με την ισχύουσα νομοθεσία.

    1. ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

    11.1.       Καθ’ όλο τον κύκλο ζωής τους, δηλαδή από τη συλλογή μέχρι και την, κατά περίπτωση, καταστροφή αυτών, η Επιχείρηση εφαρμόζει τις ακόλουθες αρχές ασφαλείας των προσωπικών δεδομένων, που επεξεργάζεται:

    - Εμπιστευτικότητα: Τα δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.

    - Ακεραιότητα: Τα δεδομένα είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.

    - Διαθεσιμότητα: Τα δεδομένα είναι στη διάθεση των χρηστών, όποτε απαιτείται η χρήση τους.

    11.2.       Αντικείμενο των μέτρων ασφαλείας της Επιχείρησης είναι αφενός το σύνολο των υπό επεξεργασία προσωπικών δεδομένων και αφετέρου το σύνολο του εξοπλισμού και των συστημάτων πληροφορικής και ηλεκτρονικών επικοινωνιών της Επιχείρησης. Σκοπός των μέτρων ασφαλείας της Επιχείρησης είναι η πρόληψη και αποτροπή των κινδύνων για τα θεμελιώδη δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων, που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Το πεδίο εφαρμογής των κανόνων του παρόντος άρθρου καλύπτει όλο το προσωπικό και την Επιχείρηση, ενώ δύναται να επεκτείνεται κατόπιν συμφωνίας σε τρίτα μέρη, όπως εκτελούντες επεξεργασία για λογαριασμό της Επιχείρησης.

    11.3.       Η Επιχείρηση προβαίνει σε περιοδική επανεξέταση και αναθεώρηση των εξουσιοδοτήσεων και δικαιωμάτων πρόσβασης για όλα τα στάδια της εργασιακής πορείας των υπαλλήλων (πρόσληψη, μετακίνηση, αλλαγή καθηκόντων, αποχώρηση, κ.λ.π.). Τέλος, λαμβάνει ειδικά μέτρα για τη δέσμευση του προσωπικού που επεξεργάζεται προσωπικά δεδομένα ως προς την εμπιστευτικότητα των δεδομένων αυτών. Μετά την αποχώρηση υπαλλήλου η Επιχείρηση προχωρά σε κατάργηση όλων των λογαριασμών πρόσβασης, των εξουσιοδοτήσεων και των κωδικών-συνθηματικών πρόσβασης, κατάργηση των λογαριασμών ηλεκτρονικού ταχυδρομείου και μη ανάθεσή τους σε άλλον ή άλλους υπαλλήλους (μη επαναχρησιμοποίηση τους και σε επιστροφή οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον υπάλληλο και ανήκει στην Επιχείρηση (συμπεριλαμβανομένων υπολογιστών, κλειδιών, ηλεκτρονικών καρτών εισόδου/εξόδου, κ.λ.π.).

    11.4.       Η Επιχείρηση λαμβάνει κατάλληλα οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων στους ακόλουθους τομείς :

    - Κατάλληλη διαχείριση ειδικών κατηγοριών δεδομένων.

    - Κατάλληλη διαχείριση εκτελούντων την επεξεργασία.

    - Τήρηση χρόνων διατήρησης δεδομένων και αποθηκευτικών μέσων.

    - Τήρηση διαδικασίας διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων.

    - Εκπαίδευση προσωπικού.

    - Δοκιμή, εκτίμηση και διαρκή αξιολόγηση της αποτελεσματικότητας των μέτρων.

    11.5.       Η Επιχείρηση λαμβάνει τα ακόλουθα τεχνικά μέτρα για την ασφάλεια των προσωπικών δεδομένων:

    - Ψευδωνυμοποίηση και κρυπτογράφηση.

    - Διασφάλιση απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας.

    - Αποκατάσταση της διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.

    - Έλεγχος πρόσβασης, διαχείριση ταυτοτήτων και προσβάσεων.

    -  Αντίγραφα ασφαλείας.

    - Διαμόρφωση υπολογιστών.

    - Αρχεία καταγραφής ενεργειών χρηστών και συμβάντων ασφαλείας.

    - Ασφάλεια επικοινωνιών.

    - Αποσπώμενα μέσα αποθήκευσης.

    - Ασφάλεια λογισμικού.

    - Διαχείριση αλλαγών.

    11.6.       Η Επιχείρηση λαμβάνει μέτρα φυσικής ασφαλείας των προσωπικών δεδομένων στους ακόλουθους τομείς :

    - Έλεγχος φυσικής πρόσβασης.

    - Ελαχιστοποίηση έγχαρτων αρχείων δεδομένων.

    - Περιβαλλοντική ασφάλεια.

    - Έκθεση εγγράφων.

    - Προστασία φορητών μέσων αποθήκευσης.

    - Μεταφορά φακέλων.

    - Εναλλακτικές εγκαταστάσεις.

    1. ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ

    12.1.       Στα πλαίσια της αρχής της ελαχιστοποίησης του χρόνου διατήρησης των δεδομένων η Επιχείρηση καταρτίζει πλάνο με τους χρόνους διατήρησης για κάθε κατηγορία προσωπικών δεδομένων, που συλλέγει και επεξεργάζεται, το οποίο επισυνάπτεται ως Παράρτημα στην παρούσα Πολιτική.

    12.2.       Η Επιχείρηση καθορίζει τον χρόνο διατήρησης κάθε κατηγορίας δεδομένων με βάση την αναγκαιότητα της διατήρησης για την εξυπηρέτηση των σχετικών σκοπών επεξεργασίας. Η αναγκαιότητα της διατήρησης περαιτέρω εξειδικεύεται με βάση τους ακόλουθους παράγοντες : (i) τις επιχειρησιακές ή άλλες ανάγκες, (ii) τις ισχύουσες προθεσμίες παραγραφής για τη θεμελίωση, άσκηση ή υποστήριξη σχετικών νομικών αξιώσεων, και (iv) την ύπαρξη τυχόν νομικών περιορισμών για τον ελάχιστο ή μέγιστο χρόνο διατήρησης των συγκεκριμένων δεδομένων.

    12.3.       Η Επιχείρηση διαθέτει επαρκή αποθηκευτικό χώρο και κατάλληλο σύστημα διατήρησης προσωπικών δεδομένων, τα οποία επιτρέπουν την εύκολη και άμεση αναζήτηση δεδομένων και διαθέτουν κανόνες ελεγχόμενης πρόσβασης και χρήσης, διαφύλαξης της ακεραιότητας των δεδομένων και της ιχνηλασιμότητας της διακίνησής τους. Η Επιχείρηση μεριμνά για την όσο το δυνατόν μεγαλύτερη ομοιομορφία των μέσων και των κανόνων διατήρησης δεδομένων κατά την εσωτερική οργάνωση και λειτουργία της.

    12.4.       Αμέσως μετά το πέρας της περιόδου διατήρησης τα προσωπικά δεδομένα καταστρέφονται με ευθύνη της Επιχείρησης και χωρίς να είναι δυνατή η ανάκτηση των δεδομένων μετά την καταστροφή με τεχνικά ή άλλα μέσα. Η καταστροφή λαμβάνει χώρα με ασφαλή τρόπο, ώστε να μην είναι δυνατή η αναγνώριση των υποκειμένων των δεδομένων.

    12.5.       Η καταστροφή έγχαρτου αρχείου λαμβάνει χώρα με τεμαχισμό, πολτοποίηση, ανακύκλωση ή αποτέφρωση. Η καταστροφή ηλεκτρονικού αρχείου, περιλαμβανομένων των αντιγράφων ασφαλείας (back up), λαμβάνει χώρα με αλλοίωση με τη χρήση ειδικών προγραμμάτων (file erasers, file shredders, file pulveritizers) ή μορφοποίηση του υλικού υποστρώματος (format). Για ιδιαίτερα κρίσιμα ηλεκτρονικά δεδομένα η Επιχείρηση δύναται κατά τη διακριτική της ευχέρεια να επιλέγει και την φυσική καταστροφή του ίδιου του υλικού υποστρώματος με θρυμματισμό, κονιορτοποίηση ή αποτέφρωση με την επιφύλαξη ειδικών διατάξεων σχετικά με τη διαχείριση ειδικών αποβλήτων και την προστασία του περιβάλλοντος).

    1. ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ

    13.1.       Κάθε υπάλληλος ή συνεργάτης της Επιχείρηση αναφέρει άμεσα κάθε περιστατικό ασφαλείας, που υποπίπτει στην αντίληψή του. Η Επιχείρηση επιβεβαιώνει το περιστατικό ασφαλείας και αν αυτό σχετίζεται με προσωπικά δεδομένα, λαμβάνει άμεσα όλες τις αναγκαίες ενέργειες για την ελαχιστοποίηση οποιασδήποτε περαιτέρω επίδρασης της παραβίασης στα προσωπικά δεδομένα της Επιχείρησης (π.χ. προσωρινή διακοπή σύνδεσης του υπό παραβίαση συστήματος πληροφορικής με το διαδίκτυο ή περιορισμός πρόσβασης στο εν λόγω σύστημα σε μικρό αριθμό υπαλλήλων, έως ότου να εκτελεστούν οι κατάλληλες ενέργειες για την πλήρη αντιμετώπιση του περιστατικού παραβιάσεως.

    Εν συνεχεία, εφόσον η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ενημερώνει τα υποκείμενα και τους υπευθύνους επεξεργασίας και ανακοινώνει εφόσον απαιτηθεί την παραβίαση στην ΑΠΔΠΧ συμπληρώνοντας σχετική φόρμα αμελλητί και, εάν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση της παραβίασης.

    13.2.       Η αξιολόγηση του κινδύνου κάθε παραβίασης δεδομένων λαμβάνει χώρα με βάση τα ακόλουθα κριτήρια :

    - Τον τύπο της παραβίασης.

    - Το είδος, διαβάθμιση και όγκο των παραβιασθέντων δεδομένων.

    - Το βαθμό ευχέρειας ταυτοποίησης των υποκειμένων των δεδομένων.

    - Την πιθανότητα επέλευσης βλάβης στα υποκείμενα των δεδομένων.

    - Την σπουδαιότητα της πιθανής βλάβης για τα υποκείμενα των δεδομένων.

    - Τα πιθανά ειδικά χαρακτηριστικά του υποκειμένου των δεδομένων.

    - Τον αριθμό των υποκειμένων των δεδομένων, που επηρεάστηκαν από την παραβίαση.

    - Τα παραβιασθέντα μέτρα ασφαλείας δεδομένων.

    13.3.       Όταν προκύπτει από το αποτέλεσμα της αξιολόγησης ότι η παραβίαση προσωπικών δεδομένων ενδέχεται να θέτει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Επιχείρηση ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα θιγόμενα υποκείμενα των δεδομένων, εφόσον δεν πληρούνται οι εξαιρέσεις από την υποχρέωση ανακοίνωσης, που προβλέπονται στην ισχύουσα νομοθεσία. Η Επιχείρηση τηρεί αποδεικτικό υλικό για την εν λόγω ανακοίνωση.

    13.4.       Μετά την ολοκλήρωση της κοινοποίησης στην ΑΠΔΠΧ, η Επιχείρηση προχωρά στις αναγκαίες ενέργειες για την πλήρη αντιμετώπιση της παραβίασης δεδομένων.

    13.5.       Σε περίπτωση που λάβει χώρα παραβίαση δεδομένων στο πεδίο ευθύνης της Επιχείρησης, ενώ δρα ως εκτελών την επεξεργασία, ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

    1. ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

    14.1.       Η Επιχείρηση, είτε απευθείας είτε μέσω εκτελούντων επεξεργασία για λογαριασμό του, ακολουθεί ως κανόνα την αποφυγή της διαβίβασης προσωπικών δεδομένων σε χώρα, η οποία δε διασφαλίζει επαρκές επίπεδο προστασίας σχετικά με την προστασία αυτών, εφόσον η σχετική επεξεργασία δύναται να λαμβάνει χώρα εντός του Ευρωπαϊκού Οικονομικού Χώρου χωρίς αντίκτυπο για την Επιχείρηση.

    14.2.       Σε περίπτωση που η Επιχείρηση διαβιβάζει δεδομένα σε χώρες, οι οποίες δε διασφαλίζουν επαρκές επίπεδο προστασίας, διασφαλίζει την τήρηση των κατάλληλων εγγυήσεων, που προβλέπονται στον ΓΚΠΔ. Στα πλαίσια αυτά, η Επιχείρηση διαβιβάζει προσωπικά δεδομένα προς τρίτη χώρα ή διεθνή οργανισμό στις εξής περιπτώσεις :

    - εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει, δυνάμει σχετικής απόφασης, ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα ή τον εν λόγω διεθνή οργανισμό, ή

    - εφόσον το απαιτεί η σχετική εντολή που έχει λάβει από τον εντολέα – υποκείμενο ή προς υποστήριξη υπόθεσης του εντολέα του

    - εφόσον ο τρίτος αποδέκτης των δεδομένων (i) έχει παράσχει κατάλληλες εγγυήσεις σύμφωνα με τα οριζόμενα στο άρθρο 46 του ΓΚΠΔ, περιλαμβανομένων των δεσμευτικών εταιρικών κανόνων του άρθρου 47 του ΓΚΠΔ, και (ii) υφίστανται αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων, ή

    - εφόσον πληρούνται οι προϋποθέσεις του άρθρου 49 του ΓΚΠΔ.

    1. ΕΚΠΑΙΔΕΥΣΗ ΚΑΙ ΕΥΑΙΣΘΗΤΟΠΟΙΗΣΗ

    15.1.       Η Επιχείρηση διεξάγει περιοδικές δράσεις εκπαίδευσης του προσωπικού και των συνεργατών του, το αντικείμενο εργασίας των οποίων δύναται να εμπλέκεται στην επεξεργασία προσωπικών δεδομένων, με στόχο την κατανόηση και τον σεβασμό στις γενικές αρχές της παρούσας Πολιτικής κατά την καθημερινή πρακτική των δραστηριοτήτων της.

    15.2.       Η Επιχείρηση καλλιεργεί κουλτούρα για την προστασία των προσωπικών δεδομένων, η οποία έχει κατ’ ελάχιστο τα ακόλουθα στοιχεία :

    - Ευαισθητοποίηση και υπευθυνότητα αναφορικά με την ανάγκη για τον σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων.

    Η παρούσα πολιτική προστασίας, υπογράφεται από την Αικατερίνη Σταυροπούλου

    ΛΑΡΙΣΑ 10-9-2020

    Για την REKTIS

ΕΠΙΚΟΙΝΩΝΗΣΤΕ ΜΑΖΙ ΜΑΣ
Ν. ΜΑΝΔΗΛΑΡΑ 32, ΛΑΡΙΣΑ, 41222
+30 2410 669075 +30 2410 628806