PRIVACY AND PROTECTION POLICY REGARDING THE PERSONAL DATA
ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
ΤΗΣ ΕΤΑΙΡΕΙΑΣ “EURIMAC ΑΕ”
1. Εισαγωγή
Στο πλαίσιο της λειτουργίας της και για την επίτευξη των επιχειρηματικών της στόχων η EURIMAC S.A. συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα αυτά αφορούν τους πελάτες, τους προμηθευτές, τον κύκλο των επαφών, τους εργαζομένους, αλλά και τρίτα πρόσωπα με τα οποία η εταιρία συνδέεται ή επικοινωνεί.
Στο παρόν έγγραφο το οποίο είναι συμπληρωματικό της Πολιτικής Προστασίας Απορρήτου της εταιρείας και των συμβάσεων και παραρτημάτων που έχουν συναφθεί μεταξύ της εταιρείας και των εργαζομένων ή/και συνεργατών περιγράφονται τα μέτρα που υιοθετεί η εταιρία για τη συλλογή, αποθήκευση, χρήση και διάθεση των δεδομένων προσωπικού χαρακτήρα, έτσι ώστε να εξασφαλίζεται η συμμόρφωση προς το νόμο και τα πρότυπα της εταιρίας.
2. Χρήσιμοι Όροι
Προσωπικά Δεδομένα
Ως προσωπικό δεδομένο ορίζεται κάθε πληροφορία που συνδέεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο δεδομένων») • ένα φυσικό πρόσωπο θεωρείται ταυτοποιήσιμο, εφόσον μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε ένα αναγνωριστικό όπως το ονοματεπώνυμο, ο αριθμός ταυτότητας, τα δεδομένα θέσης, τα επιγραμμικά αναγνωριστικά είτε ένα ή περισσότερα στοιχεία που προσδιορίζουν τη φυσική, ψυχολογική, γενετική, διανοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του φυσικού προσώπου.
Επεξεργασία
Ως επεξεργασία ορίζεται οποιαδήποτε πράξη ή σειρά πράξεων επί δεδομένων προσωπικού χαρακτήρα, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Υπεύθυνος Επεξεργασίας
Ως υπεύθυνος επεξεργασίας ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
Εκτελών την Επεξεργασία
Ως Εκτελών την Επεξεργασία ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Συγκατάθεση
Ως συγκατάθεση του υποκειμένου των δεδομένων ορίζεται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, με ρητή δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
3. Στόχοι
Μέσω του παρόντος διασφαλίζονται :
• Η συμμόρφωση προς το νόμο, τα πρότυπα της EURIMAC S.A. και τις βέλτιστες πρακτικές.
• Η προστασία των δεδομένων του προσωπικού, των πελατών και συνεργατών της εταιρίας.
• Η διαφάνεια ως προς τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
• Η διαχείριση και μείωση των κινδύνων από ένα πιθανό περιστατικό ασφαλείας.
4. Δίκαιο Προστασίας Δεδομένων
Κατά το χρόνο θέσης σε εφαρμογή της παρούσας, η προστασία των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται από το Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός ΕΕ 679/2016) .
Το συγκεκριμένο σύστημα κανόνων ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα i)στο πλαίσιο των δραστηριοτήτων ενός Υπεύθυνου ή Εκτελούντος την επεξεργασία εντός της Ένωσης, ανεξαρτήτως από το αν η επεξεργασία λαμβάνει χώρα εντός της Ένωσης ii) των υποκειμένων της Ένωσης από υπεύθυνους ή εκτελούντες την επεξεργασία εγκατεστημένους εκτός της Ένωσης, στις περιπτώσεις που οι δραστηριότητες επεξεργασίας σχετίζονται: α) με την προσφορά προϊόντων ή υπηρεσιών, ανεξάρτητα από το αν απαιτείται η πραγματοποίηση πληρωμής από το υποκείμενο των δεδομένων, β) την παρακολούθηση της συμπεριφοράς στο βαθμό που η συμπεριφορά εκδηλώνεται εντός της Ένωσης.
Για την εφαρμογή της παραπάνω νομοθεσίας θα πρέπει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα να είναι, εν όλω ή εν μέρει, αυτοματοποιημένη, ή- σε περιπτώσεις μη αυτοματοποιημένης επεξεργασίας- τα δεδομένα να περιλαμβάνονται ή να πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Για τη συμμόρφωση προς τη νομοθεσία, θα πρέπει να συλλέγουμε και να χρησιμοποιούμε τα δεδομένα με σωστό και δίκαιο τρόπο, να τα αποθηκεύουμε με ασφάλεια και να μην τα κοινολογούμε παράνομα.
Βασικό σημείο κατανόησης του δικαίου της Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα αποτελούν οι επτά (7) αρχές, ως απόρροια των οποίων προκύπτουν οι υποχρεώσεις των υπεύθυνων ή εκτελούντων την επεξεργασία. Για λόγους διευκόλυνσης, οι υποχρεώσεις του υπεύθυνου επεξεργασίας καταγράφονται ως ακολούθως:
Ο υπεύθυνος επεξεργασίας οφείλει:
1. Να φροντίζει, ώστε τα δεδομένα:
• Να υπόκεινται σε επεξεργασία κατά θεμιτό και νόμιμο τρόπο
• Να τηρούνται μόνο για συγκεκριμένους, νόμιμους σκοπούς
• Να είναι συναφή, πρόσφορα για την επίτευξη του σκοπού της επεξεργασίας και όχι περισσότερα από τα ελάχιστα απαιτούμενα
• Να είναι ακριβή και να επικαιροποιούνται
• Να τηρούνται για το ελάχιστο χρονικό διάστημα βάσει του σκοπού επεξεργασίας
• Να υπόκεινται σε επεξεργασία σύμφωνη με τα δικαιώματα των υποκειμένων των δεδομένων
• Να προστατεύονται με κατάλληλο τρόπο
2. Να ορίζει υπεύθυνο προστασίας δεδομένων (DPO), εφόσον απαιτείται
3. Να είναι ανά πάσα στιγμή σε θέση να αποδείξει συμμόρφωση
4. Να γνωστοποιεί τις παραβιάσεις των δεδομένων προσωπικού χαρακτήρα τόσο στην Εποπτική Αρχή όσο και στα υποκείμενα (εφόσον απαιτείται)
5. Πρόσωπα, κίνδυνοι και ευθύνες Πεδίο
Στην παρούσα πολιτική υπόκεινται:
• Η διοίκηση
• Το σύνολο του προσωπικού
• Όλοι οι συνεργάτες, προμηθευτές ή τρίτα πρόσωπα που εργάζονται για λογαριασμό της εταιρίας
Εφαρμόζεται για κάθε πληροφορία- δεδομένο που τηρεί η εταιρία, εφόσον το δεδομένο αυτό μπορεί να οδηγήσει σε άμεση ή έμμεση ταυτοποίηση ενός φυσικού προσώπου. Ενδεικτικά, προσωπικά δεδομένα αποτελούν:
• Ονοματεπώνυμα
• Διευθύνσεις
• Διευθύνσεις ηλεκτρονικού ταχυδρομείου
• Αριθμοί Τηλεφώνου
• Ονόματα Χρήστη – Κωδικοί
• …αλλά και οποιαδήποτε άλλη πληροφορία συνδέεται με ένα φυσικό πρόσωπο και οδηγεί στην ταυτοποίησή του.
Κίνδυνοι
Η μη συμμόρφωση προς το ισχύον νομικό πλαίσιο και την παρούσα πολιτική δημιουργεί σοβαρούς κινδύνους τόσο για τα υποκείμενα των δεδομένων όσο και για την εταιρία. Ειδικότερα:
• Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
• Απειλή για τη Φήμη. Η ανακοίνωση περιστατικών παραβιάσεων θα αποτελέσει πλήγμα για την αξιοπιστία της EURIMAC S.A.
• Κίνδυνοι για τα οικονομικά μεγέθη της εταιρίας: O Γενικός Κανονισμός Προστασίας Δεδομένων προβλέπει την επιβολή προστίμων που μπορούν να ανέλθουν σε 20 εκατομμύρια € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών.
Ευθύνες
Όλοι οι εργαζόμενοι, αλλά και οι τρίτοι που εργάζονται για τη EURIMAC S.A. είναι υπεύθυνοι για τη συλλογή, αποθήκευση, χρήση, διάθεση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα με τον κατάλληλο και ενδεδειγμένο τρόπο.
Ειδικότερα, θα πρέπει να διασφαλίζεται ότι η οποιασδήποτε μορφής επεξεργασία δεδομένων είναι σύμφωνη προς την παρούσα πολιτική και τις αρχές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
Ωστόσο, διευκρινίζεται πως υπάρχουν ορισμένοι ρόλοι-θέσεις εντός της εταιρίας με αυξημένες ευθύνες. Πιο συγκεκριμένα:
H διοίκηση είναι υπεύθυνη:
• να ελέγχει και να διασφαλίζει την εκπλήρωση των υποχρεώσεων της EURIMAC S.A. ως υπεύθυνου ή/και εκτελούντος την επεξεργασία,
• να παρέχει οικονομικούς πόρους, ώστε να είναι δυνατή η λήψη των κατάλληλων μέτρων για την προστασία των δεδομένων,
• να αποφασίζει για τον ορισμό του υπεύθυνου Προστασίας Δεδομένων, τον οποίο εν συνεχεία θα συμβουλεύεται,
• να συντονίζει τα οργανωτικά μέτρα προστασίας των δεδομένων προσωπικού χαρακτήρα,
• Ο Υπεύθυνος Προστασίας Δεδομένων (DPO), εφόσον απαιτείται να οριστεί, είναι υπεύθυνος:
• Να συλλέγει πληροφορίες με σκοπό τον προσδιορισμό δραστηριοτήτων επεξεργασίας
• να αναλύει και να ελέγχει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας.
• να ενημερώνει τη διοίκηση, να παρέχει συμβουλές και να εκδίδει συστάσεις υπόψιν της.
• να αποφασίζει για το αν πρέπει ή όχι να διενεργηθεί εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων.
• να επιλέγει τη μεθοδολογία που θα ακολουθηθεί κατά τη διενέργεια της εκτίμησης αντικτύπου.
• να αποφασίζει για το εάν πρέπει να διενεργήσει την εκτίμηση αντικτύπου εσωτερικά ή να την αναθέσει σε εξωτερικό συνεργάτη.
• να λαμβάνει εγγυήσεις (περιλαμβανομένων των τεχνικών και οργανωτικών μέτρων) για τον μετριασμό των κινδύνων για τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.
• να αξιολογεί εάν διενεργήθηκε σωστά ή όχι η εκτίμηση αντικτύπου και εάν τα συμπεράσματά της (σχετικά με το εάν θα δοθεί ή όχι συνέχεια στην επεξεργασία και τι εγγυήσεις θα εφαρμοστούν) είναι σύμφωνα με τον ΓΚΠΔ .
• να απαντά στα αιτήματα των υποκειμένων για άσκηση των δικαιωμάτων τους (με υποστήριξη από το προσωπικό της εταιρίας, εφόσον απαιτείται).
• να παρέχει συμβουλές και να λύνει τις απορίες των εργαζομένων αναφορικά με ζητήματα προστασίας που ανακύπτουν.
• να παρέχει, εφόσον απαιτείται, διευκρινίσεις και κατευθυντήριες γραμμές στους προμηθευτές-συνεργάτες της εταιρίας, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό της.
• να παρακολουθεί τις εξελίξεις στον τομέα της προστασίας των δεδομένων και να μεταφέρει τη σχετική πληροφόρηση στην εταιρία.
• να συμβάλλει μέσω της ενημέρωσης και της εκπαίδευσης στη δημιουργία μίας κουλτούρας προστασίας των δεδομένων.
• να συνεργάζεται με την εποπτική αρχή και να ενεργεί ως σημείο επικοινωνίας με αυτή.
• Ο Υπεύθυνος Πληροφοριακών Συστημάτων και Εφαρμογών (ΙΤ) οφείλει:
• Να επικοινωνεί με τον εξωτερικό συνεργάτη, ο οποίος έχει αναλάβει την ασφάλεια των πληροφοριακών συστημάτων και των πληροφοριών της εταιρίας.
• να διευκολύνει τον εξωτερικό συνεργάτη παρέχοντας του τις απαραίτητες πληροφορίες
• να διασφαλίζει την άμεση εφαρμογή των προτεινόμενων μέτρων ασφαλείας
• να απαντά στα ερωτήματα που αφορούν στην ασφάλεια (μετά από επικοινωνία με τον εξωτερικό συνεργάτη, εφόσον απαιτείται)
• να επικοινωνεί με το συνεργάτη, ο οποίος έχει αναλάβει την υλοποίηση και συντήρηση της ιστοσελίδας της εταιρίας
6. Γενικές Κατευθυντήριες Γραμμές
• Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα επιτρέπεται μόνο εφόσον είναι αναγκαία για την ολοκλήρωση κάποιας εργασίας και αποκλειστικά για το πρόσωπο που είναι υπεύθυνο για τη συγκεκριμένη εργασία.
• Δεν επιτρέπεται η ανεπίσημη/άτυπη ανταλλαγή δεδομένων. Σε περίπτωση που απαιτείται πρόσβαση σε εμπιστευτικές πληροφορίες, οι εργαζόμενοι οφείλουν να τη ζητούν από τον προϊστάμενό τους.
• Η εταιρία ενημερώνει και εκπαιδεύει τους εργαζομένους της πάνω στα ζητήματα επεξεργασίας των δεδομένων, με βάση τα καθήκοντα και τη θέση τους.
• Οι εργαζόμενοι οφείλουν να μεριμνούν για την ασφάλεια των δεδομένων λαμβάνοντας επαρκείς προφυλάξεις και ακολουθώντας τις κατευθυντήριες γραμμές που περιγράφονται στο παρόν έντυπο.
• Ως βασικό μέτρο προφύλαξης συνίσταται η χρήση ισχυρών κωδικών, οι οποίοι απαγορεύεται να γνωστοποιούνται. Η δημιουργία και χρήση κωδικών θα πρέπει να γίνεται βάσει της αντίστοιχης πολιτικής.
• Τα δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να κοινολογούνται σε μη εξουσιοδοτημένα πρόσωπα εντός ή εκτός της εταιρίας.
• Τα δεδομένα θα πρέπει να επικαιροποιούνται τακτικά κι εφόσον δεν είναι πλέον απαραίτητα για κάποιον από τους επιχειρηματικούς σκοπούς να διαγράφονται ή να απορρίπτονται με την τήρηση της προβλεπόμενης διαδικασίας.
• Οι εργαζόμενοι θα πρέπει να ζητούν βοήθεια είτε από τον προϊστάμενό τους είτε από τον υπεύθυνο προστασίας δεδομένων (εφόσον έχει οριστεί), στην περίπτωση που έχουν οποιαδήποτε απορία σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα.
7. Συλλογή Δεδομένων
Οι επιχειρηματικές λειτουργίες της εταιρίας μας βασίζονται σε μεγάλο βαθμό στην επεξεργασία προσωπικών δεδομένων.
Πριν από τη συλλογή των δεδομένων ορίζουμε με σαφήνεια τους σκοπούς για τους οποίους επεξεργαζόμαστε τα δεδομένα και εντοπίζουμε με τη βοήθεια του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) τη νομική βάση επεξεργασίας. Επιπλέον, σε κάθε περίπτωση λαμβάνεται μέριμνα, ώστε τα δεδομένα που συλλέγονται για την εκτέλεση κάθε επιχειρηματικής λειτουργίας να είναι τα ελάχιστα απαιτούμενα βάσει του αντίστοιχου σκοπού.
Οι σκοποί επεξεργασίας, η νομική βάση, οι κατηγορίες των δεδομένων και των υποκειμένων καταγράφονται λεπτομερώς στο Αρχείο Τήρησης Επεξεργασιών.
8. Αποθήκευση Δεδομένων
Tο παρόν σύνολο κανόνων περιγράφει συνοπτικά τον τρόπο ασφαλούς αποθήκευσης των δεδομένων. Οι διαδικασίες και τα μέτρα ασφαλείας για την τήρηση των δεδομένων περιγράφονται στην αντίστοιχη Πολιτική, την οποία οφείλει να συμβουλεύεται το σύνολο του προσωπικού της εταιρίας. Οι όποιες απορίες αναφορικά με την αποθήκευση είναι δυνατόν να επιλύονται από τον Υπεύθυνο Πληροφοριακών Συστημάτων και Εφαρμογών (ΙΤ) και τον Υπεύθυνο Προστασίας Δεδομένων (εφόσον έχει οριστεί). Η EURIMAC S.A. αποθηκεύει τα δεδομένα που συλλέγει κατά τρόπο που αναλυτικά περιγράφεται στο Αρχείο Τήρησης Επεξεργασιών.
Όταν τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε φυσικό αρχείο, αυτό θα πρέπει να τηρείται σε ασφαλές μέρος, όπου δεν μπορούν να έχουν πρόσβαση μη εξουσιοδοτημένα πρόσωπα.
Παρακάτω δίνονται κατευθυντήριες γραμμές, οι οποίες αφορούν και στις περιπτώσεις εκτύπωσης δεδομένων, τα οποία τηρούνται και σε ηλεκτρονική μορφή:
• Τα έγγραφα – φυσικά αρχεία τηρούνται σε ντουλάπι ή ερμάριο με κλειδαριά.
• Οι εργαζόμενοι οφείλουν να διασφαλίζουν ότι ενόσω χρησιμοποιούν τα έγγραφα, δεν τα αφήνουν σε κοινή θέα, πχ εκτεθειμένα επάνω στο γραφείο τους, πάνω στον κοινόχρηστο εκτυπωτή/φωτοτυπικό μηχάνημα (“clean desk policy”).
• Οι εκτυπώσεις σχίζονται προσεκτικά και απορρίπτονται με ασφάλεια, εφόσον σταματήσουν να είναι χρήσιμες για την εκτέλεση κάποιας εργασίας.
Όταν τα δεδομένα αποθηκεύονται ηλεκτρονικά, θα πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, τυχαία διαγραφή και κακόβουλες επιθέσεις:
• Τα δεδομένα προστατεύονται με ισχυρούς κωδικούς, για τους οποίους ισχύουν τα προβλεπόμενα στη σχετική Πολιτική.
• Εφόσον χρειαστεί αποθήκευση σε αφαιρούμενα μέσα αποθήκευσης (βλ. usb memory stick), αυτά θα πρέπει να φυλάσσονται κλειδωμένα σε ασφαλές μέρος.
• Τα δεδομένα αποθηκεύονται τοπικά στον ERP Server και στους Υπολογιστές των υπαλλήλων της εταιρίας, ενώ δεν επιτρέπεται η αποθήκευσή τους στο νέφος.
• Οι servers που χρησιμοποιεί η εταιρία δεν επιτρέπεται να είναι άμεσα προσβάσιμοι στους εργαζομένους ή σε πρόσωπα που επισκέπτονται την εταιρία.
• Τόσο οι servers όσο και οι υπολογιστές που περιέχουν δεδομένα προσωπικού χαρακτήρα θα πρέπει να προστατεύονται με εγκεκριμένο λογισμικό ασφαλείας και firewall. Περαιτέρω, τα μέτρα ασφαλείας των πληροφοριακών συστημάτων της εταιρίας περιγράφονται στην «Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων».
• Θα πρέπει να δημιουργούνται συστηματικά εφεδρικά αντίγραφα των αρχείων βάσει των προβλεπόμενων στην αντίστοιχη πολιτική. Επιπλέον, διευκρινίζεται πως για την τήρηση και διαγραφή των εφεδρικών αρχείων θα πρέπει να εφαρμόζεται το σύνολο κανόνων που ισχύουν για τις αντίστοιχες διαδικασίες στα πρωτότυπα αρχεία.
• Η αποθήκευση δεδομένων στις φορητές συσκευές των υπαλλήλων, επιτρέπεται υπό τον όρο ότι αφενός είναι απαραίτητη για την εκτέλεση των εργασιών (π.χ. αποθήκευση στοιχείων επικοινωνίας πελάτη στο κινητό τηλέφωνο του πωλητή που τον εξυπηρετεί) και αφετέρου γίνεται σε εταιρική φορητή συσκευή, η οποία διαθέτει κωδικό και χρησιμοποιείται αποκλειστικά από τον εργαζόμενο.
9. Επεξεργασία Δεδομένων στις καθημερινές εργασίες
Η EURIMAC S.A. συλλέγει και τηρεί δεδομένα, τα οποία επεξεργάζεται για να εξασφαλίζει την εύρυθμη λειτουργία της και τη βέλτιστη παροχή των προϊόντων της. Η επεξεργασία των δεδομένων κατά την εκτέλεση των καθημερινών εργασιών της επιχείρησης δημιουργεί μία σειρά κινδύνων, όπως κυρίως η απώλεια, η φθορά και η κλοπή. Για τη μείωση ακόμη και εξάλειψη των κινδύνων, πρέπει να εφαρμόζονται τα ακόλουθα μέτρα:
• Ενόσω διαρκεί η οποιασδήποτε μορφής επεξεργασία δεδομένων, οι εργαζόμενοι διασφαλίζουν πως οι οθόνες είναι κλειδωμένες, όταν οι υπολογιστές δε χρησιμοποιούνται.
• Τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να ανταλλάσσονται ατύπως. Απαγορεύεται οποιαδήποτε προφορική κοινολόγηση δεδομένων. Ενδοεταιρικά, η ανταλλαγή δεδομένων γίνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου (emails), για την αποστολή των οποίων πρέπει να τηρούνται ρητά οι διαδικασίες που προβλέπονται στην αντίστοιχη Πολιτική.
• Απαγορεύεται η διαβίβαση δεδομένων σε μη εξουσιοδοτημένους τρίτους (εκτός της εταιρίας) αποδέκτες.
• Οι εργαζόμενοι δεν μπορούν να τηρούν αντίγραφα δεδομένων προσωπικού χαρακτήρα στους υπολογιστές τους ή σε άλλα μέσα αποθήκευσης. Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να πραγματοποιείται πάνω στο αρχείο που τηρεί η εταιρία και πάντα με τη χρήση των εργαλείων που αυτή προσφέρει.
10. Κοινολόγηση Δεδομένων Προσωπικού Χαρακτήρα
Σε αρκετές περιπτώσεις ο νόμος, το καταστατικό της εταιρίας αλλά και οι επιχειρηματικές πρακτικές επιβάλλουν τη διάθεση- διαβίβαση προσωπικών δεδομένων.
Η εταιρία μας διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε φορολογικές αρχές, ασφαλιστικούς φορείς και ταμεία, όπως επιβάλλουν οι διατάξεις του φορολογικού, εργατικού δικαίου, καθώς και του δικαίου κοινωνικής ασφάλισης.
Σε ορισμένες περιπτώσεις, είναι πιθανό να αναθέτουμε εργασίες σε τρίτους, οι οποίοι επεξεργάζονται για λογαριασμό μας τα δεδομένα που τους παρέχουμε. Στις περιπτώσεις αυτές, η εταιρία μας οφείλει να διασφαλίζει πως οι συνεργάτες της- εκτελούντες την επεξεργασία αφενός παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και αφετέρου επεξεργάζονται δεδομένα μόνο κατ’ εντολή της EURIMAC S.A. Η συνεργασία με κάθε τρίτο που επεξεργάζεται δεδομένα για λογαριασμό μας θα πρέπει να ρυθμίζεται λεπτομερώς μέσω γραπτής σύμβασης στην οποία προβλέπονται ρητά οι υποχρεώσεις του, αλλά και το αντικείμενο, η διάρκεια, η φύση και ο σκοπός της επεξεργασίας, το είδος των δεδομένων και οι κατηγορίες των υποκειμένων των δεδομένων.
Η EURIMAC S.A. διαβιβάζει δεδομένα προσωπικού χαρακτήρα αποκλειστικά εντός EE. Σε περίπτωση που η λειτουργία της επιχείρησης και η επίτευξη των επιχειρηματικών στόχων επιβάλλουν τη διαβίβαση δεδομένων σε χώρα εκτός ΕΕ ή σε διεθνή οργανισμό, η διοίκηση οφείλει να καταρτίσει μελέτη υπό την καθοδήγηση του Υπευθύνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) εξετάζοντας με προσοχή το νομικό πλαίσιο και, εν συνεχεία, να τροποποιήσει την παρούσα Πολιτική.
11. Λογοδοσία
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ 679/2016) εισάγει μία νέα αρχή, αυτή της λογοδοσίας. Βάσει της συγκεκριμένης αρχής, η εταιρία μας οφείλει όχι μόνο να συμμορφώνεται προς τις απαιτήσεις του δικαίου προστασίας δεδομένων, αλλά και να είναι ανά πάσα στιγμή σε θέση να αποδείξει τη συμμόρφωση.
Προς την κατεύθυνση αυτή:
• Διενεργούμε μελέτη εκτίμησης αντικτύπου για το σύνολο των επεξεργασιών, που απαιτείται. Η εκτίμηση αντικτύπου πραγματοποιείται υπό την καθοδήγηση του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) και εγκρίνεται από τη διοίκηση. Οι διαδικασίες επεξεργασίας είναι δυνατόν να τροποποιούνται βάσει των αποτελεσμάτων της εκτίμησης. Για την εκτίμηση αντικτύπου ακολουθείται η διαδικασία που προβλέπεται στο σχετικό έντυπο, η οποία πρέπει να ανασχεδιάζεται κάθε 3 χρόνια.
• Με την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, η EURIMAC S.A. κατήρτισε με τη βοήθεια εξωτερικού συνεργάτη αρχείο όλων των επεξεργασιών στις οποίες υποβάλλονται τα δεδομένα. Το αρχείο αυτό τηρείται από τη Διοίκηση και θα πρέπει να επικαιροποιείται συνεχώς κατόπιν οποιασδήποτε αλλαγής.
• Το προσωπικό της εταιρίας θα πρέπει να είναι επαρκώς ενημερωμένο και να λαμβάνει εκπαίδευση πάνω στα ζητήματα της προστασίας των δεδομένων προσωπικού χαρακτήρα. Προς την κατεύθυνση αυτή διανέμεται εκπαιδευτικό υλικό. Παράλληλα, η Διοίκηση διασφαλίζει την παροχή εξειδικευμένης εκπαίδευσης στους εργαζομένους, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα και συμβουλεύει ανά πάσα στιγμή τα μέλη του προσωπικού που ζητούν βοήθεια.
• Θα πρέπει να παρέχεται στα υποκείμενα ένα σημείο επικοινωνίας, στο οποίο θα απευθύνουν τα αιτήματα άσκησης των δικαιωμάτων τους. Η EURIMAC S.A. παρέχει τη διεύθυνση ηλεκτρονικού ταχυδρομείου (διεύθυνση email) υπαλλήλου, ο οποίος απαντά στα αιτήματα των υποκειμένων με βάση τα οριζόμενα στην παρούσα πολιτική.
• Ειδικά σχετικά με το δικαίωμα των υποκειμένων στην ενημέρωση, η εταιρία οφείλει να έχει αναρτημένη στην επίσημη ιστοσελίδα της μία «Ειδοποίηση Απορρήτου» (privacy notice), η οποία συντάσσεται σε συνεργασία με τον Υπεύθυνο Προστασίας Δεδομένων (εφόσον έχει οριστεί) και επικαιροποιείται συνεχώς κατόπιν οποιασδήποτε αλλαγής (παραπομπή-link). Το κείμενο μπορεί να τροποποιείται μετά από σχετική εισήγηση του Υπεύθυνου Προστασίας Δεδομένων (εφόσον έχει οριστεί) και εφόσον αυτή (η εισήγηση ) εγκριθεί από τη διοίκηση. Σε κάθε περίπτωση, βέβαια, το κείμενο θα πρέπει κατ’ ελάχιστον να περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρίας μας και του υπεύθυνου προστασίας δεδομένων (DPO) εφόσον έχει οριστεί, τους σκοπούς και τη νομική βάση επεξεργασίας των δεδομένων, καθώς και πληροφορίες για την ύπαρξη και τον τρόπο άσκησης των δικαιωμάτων των υποκειμένων.
12. Αιτήματα Υποκειμένων
Η EURIMAC S.A. σέβεται απόλυτα το προσωπικό, τους πελάτες, τους προμηθευτές και όλους όσοι επικοινωνούν μαζί της. Ως εκ τούτου, η εταιρία μας δίνει μεγάλη σημασία στη διευκόλυνση των προσώπων στην άσκηση των δικαιωμάτων που προβλέπει η νομοθεσία της προστασίας δεδομένων προσωπικού χαρακτήρα, τα οποία συνοψίζονται ως ακολούθως:
Δικαίωμα πρόσβασης: Τα υποκείμενα διατηρούν το δικαίωμα να ενημερώνονται αναφορικά με τα δεδομένα τα οποία έχει στη διάθεσή της η εταιρία, καθώς και τον τρόπο που τα επεξεργάζεται. Εφόσον το επιθυμούν, μπορούν να λαμβάνουν αντίγραφα.
Δικαίωμα διόρθωσης: Μπορεί να απαιτείται η διόρθωση, η συμπλήρωση ελλιπών δεδομένων ή η επικαιροποίησή τους.
Δικαίωμα διαγραφής: Τα υποκείμενα μπορούν να ζητήσουν τη διαγραφή των δεδομένων τους, εφόσον η EURIMAC S.A. δεν τα τηρεί για κάποιο συγκεκριμένο, νόμιμο και δηλωμένο σκοπό.
Δικαίωμα περιορισμού: Μπορεί, υπό προϋποθέσεις, να απαιτηθεί η προσωρινή αναστολή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου.
Δικαίωμα εναντίωσης: Παρέχεται στα υποκείμενα η δυνατότητα να αντιταχθούν στην επεξεργασία υπό προϋποθέσεις, ιδίως για σκοπούς απευθείας εμπορικής προώθησης.
O Κανονισμός προβλέπει ως έκφανση του δικαιώματος εναντίωσης, την αντίταξη του υποκειμένου στις αυτοματοποιημένες αποφάσεις, συμπεριλαμβανομένης της κατάρτισης προφίλ. Επισημαίνεται πως η εταιρία μας δε λαμβάνει καμίας μορφής αυτοματοποιημένες αποφάσεις.
Διευκρινίζεται, επιπλέον, πως τα υποκείμενα των δεδομένων διατηρούν το δικαίωμα στη φορητότητα. Μπορούν, δηλαδή, είτε να ζητούν και να λαμβάνουν τα δεδομένά τους σε μηχαναγνώσιμη μορφή για να τα μεταφέρουν σε άλλον υπεύθυνο είτε να ζητούν τη διαβίβαση από έναν υπεύθυνο σε έναν άλλο. Το συγκεκριμένο δικαίωμα ασκείται υπό προϋποθέσεις, λαμβάνοντας υπόψη τη φύση των παρεχόμενων από τον υπεύθυνο υπηρεσιών.
Τα αιτήματα των υποκειμένων απευθύνονται μέσω ηλεκτρονικού ταχυδρομείου στον υπεύθυνο προστασίας προσωπικών δεδομένων (εφόσον έχει οριστεί) ή σε υπάλληλο επιφορτισμένο με το συγκεκριμένο καθήκον, ο οποίος οφείλει να αποκρίνεται επικουρούμενος (εφόσον χρειάζεται) από μέλη του προσωπικού.
Η EURIMAC S.A. δεσμεύεται να ικανοποιεί ανεξαιρέτως τα δικαιώματα των υποκειμένων εντός ενός μήνα από την υποβολή του σχετικού αιτήματος. Σε εξαιρετικές περιπτώσεις κι εφόσον τα αιτήματα αναμένεται να δημιουργήσουν δυσανάλογα μεγάλο βάρος για την εταιρία μας, ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) συντάσσει αιτιολογημένη γραπτή εισήγηση, την οποία απευθύνει στη διοίκηση. Στην εισήγηση, ο υπεύθυνος προστασίας αιτιολογεί λεπτομερώς την πρόθεση απόρριψης του αιτήματος που έχει υποβληθεί. Εφόσον η διοίκηση εγκρίνει τη σχετική εισήγηση, ο υπεύθυνος προστασίας επικοινωνεί με το υποκείμενο για να του ανακοινώσει την απόφαση και τους λόγους για τους οποίους, η εταιρία αρνείται να ικανοποιήσει το δικαίωμά του.
13. Γνωστοποίηση Παραβιάσεων
Στην περίπτωση που διαπιστωθεί κάποιο περιστατικό ασφαλείας, το οποίο ενδέχεται να επηρεάσει τα δικαιώματα και τις ελευθερίες των υποκειμένων, θα πρέπει να τηρείται η ακόλουθη διαδικασία:
• Tο πρόσωπο το οποίο διαπιστώνει ή μαθαίνει για την παραβίαση ενημερώνει αμέσως τον υπεύθυνο προστασίας δεδομένων (εφόσον έχει οριστεί) και τη διοίκηση.
• Η διοίκηση, ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί), ο It Manager και ο εξωτερικός συνεργάτης που έχει αναλάβει την ασφάλεια των πληροφοριακών συστημάτων και των πληροφοριών της EURIMAC S.A. (οι δύο τελευταίοι παρίστανται, εφόσον αυτό υπαγορεύεται από τη φύση της παραβίασης) καταγράφουν λεπτομερώς τη μορφή και τη φύση της παραβίασης, την ημερομηνία, τα μέσα και την πηγή της γνώσης, καθώς και το πρόσωπο που έλαβε τη σχετική ειδοποίηση για την παραβίαση, τις ενδεχόμενες συνέπειες από την παραβίαση και τα μέτρα που πρόκειται να ληφθούν για το μετριασμό των επιπτώσεων.
• Ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) ή η Διοίκηση της EURIMAC S.A. αναλαμβάνουν να ενημερώσουν την εποπτική αρχή εντός 72 ωρών.
• Σε εξαιρετικές περιπτώσεις και μόνο εφόσον συντρέχει σπουδαίος λόγος, η διοίκηση ή/και ο υπεύθυνος προστασίας δεδομένων (εφόσον έχει οριστεί) αποφασίζουν από κοινού τη γνωστοποίηση της παραβίασης μετά από 72 ώρες από τη σχετική γνώση και συντάσσουν αιτιολογημένη έκθεση.
Ι. General Principles regarding the Personal Data
1.Who is accountable for your data? – Where shall you address to for the exercise of your rights?
1.1. Controller of your Data is the SA company under the name “EURIMAC EUROPEAN RICE AND PASTA COMPANY SOCIETE ANONYME”, under the distinctive title “EURIMAC S.A.”, seated in Kilkis Industrial Area, as legally represented, with the following telephone number +30 2341072164 and e-mail address info@eurimac.gr (“the Company”).
1.2.The above Controller Company has appointed a Data Protection Officer with contact e-mail dpo@eurimac.gr. You can address all requests for exercising all of your rights (hereinunder 3.1 – 3.7.) to the abovementioned email address of the Data Protection Officer.
2. Company’s general principles regarding the transparency of information
2.1. Any piece of information that is provided with the present and any other more thorough information that may be requested in the future, as provided in order for your specific right to be informed, is provided free of charge, subject to the requirement not to be repeated, excessive or manifestly unjustified (see under 2.3).
2.2. For each of the rights (hereinunder 3.1-3.7) that you exercise, the Company will reply within one (1) month from the receipt of the request or in the case of objective difficulties, complexity of the request or a multitude of requests, the Company shall respond, within a maximum deadline of three (3) months in total, either by satisfying your request or by justifiably refusing to perform what you have requested for legitimate reasons expressly specified in General Data Protection Regulation EE/2016/679.
2.3. In the event that the Company considers that one of your rights is being exercised in a manner that is manifestly unjustified or the request is excessive or is unjustifiably recurrent, the Company is entitled to charge you with a reasonable fee in order to provide further information (which in principle is free of charge) or to refuse to respond to the request.
2.4. In case the Company has reasonable doubts as for your identity when you submit a request for exercising one of your rights, it may ask you to provide further information, necessary for verifying your identity, before the processing of your request
2.5. In the event that the Company delays beyond a reasonable period of time to respond to your request, and in any other occasion that you consider that any of your rights is being violated, or the Company doesn’t comply with its obligations regarding the retention of your data, you have the right to submit a complaint to the supervisory authority (Hellenic Data Protection Authority, Athens, Kifisias 1-3, P.C. 115 23, Athens, contact@dpa.org, +30-210 6475600).
2.6.You reserve the right to withdraw at any time your previously given (in any) consent by submitting a relative written request to the Data Protection Officer’s email dpo@eurimac.gr. (see above 1.2)
3. What are your rights in relation to the Personal Data that you provided to us ?
3.1 Right to be informed
You have the right to request information in relation to the personal data which we have received from you and we maintain for one or more purposes, as they are described below under II.A to II.C. The present text constitutes in its entirety a manual of basic awareness and understanding of the philosophy of the regulatory framework that runs through the protection of your personal data. Following your request for the exercise of your right to be informed you shall receive updated, and more thoroughly explained information, and clarifications on this (see how in 1.2)
3.2 Right to access
You have the right to request from our Company access to your data that we maintain and confirmation as to whether it is being processed, and more specifically, information about the purposes of the processing, the categories of personal data, the recipients or the categories of recipients, the time period for which the data will be stored and processed, the right to lodge a complaint with the Hellenic Data Protection Authority, any available information about the origin of the data (in case the data has not been obtained from you), whether automated decision – making (including profiling) takes place and the related methodology, safety measures implemented when transfers to third countries are being carried out, and a copy of the personal data being kept and processed. (see how in 1.2)
3.3 Right to rectification
You have the right to request from our Company rectification of your data, in case any of the data that we have the right to process has been altered or incorrectly submitted. (see how in 1.2)
3.4 Right to erasure
You have the right to request from our Company the complete or partial erasure of your data that we are entitled to store and process, either because they are no longer necessary for the purposes for which they were collected, either because you withdraw your consent, or because your data were collected for a purpose that you consider illegal. Our Company, within a reasonable period of time (no more than one month, and under circumstances, if there is difficulty, no more than three months in total) shall reply to you by confirming the complete or partial erasure of your data or the inability to erase some data, if their maintenance is required by law, or the performance of a task of public interest, or the freedom of expression, or the defense against legal claims. In such a case, you have the right, to lodge a complaint with the Hellenic Data Protection Authority, and/or seek an effective judicial remedy. (see how in 1.2)
3.5 Right to restriction
You have the right to request from our Company to restrict the processing of your data, in terms of quantity, time or in relation to the purpose of their processing, and more specifically (a) either because you contest the accuracy of your data and for as long as the Company is in the process of verifying its accuracy, (b) either because you consider the processing to be illegal, and instead of the erasure of the data you opt for its restriction, (c) either because its use from the Company is no longer needed, however, you don’t wish its erasure since their preservation shall be needed for a claim before court, (d) or, in case you have objections to the processing of the data and until it is verified that your rights as a Data Subject are overriding the Company’s legitimate grounds for processing (see how in 1.2).
3.6 Right to portability
You have the right to receive the personal data you have provided to us, in a structured, commonly used and machine-readable format, as well as the right to transfer them further without objection, given that the processing is being carried out on the grounds of your consent or in case where the processing is being carried out by automated means. In the context of the exercise of this right, you may also request direct transfer from the Company to the third entity without your own intervention.
The present right is exercised, subject to the conditions of erasure, as described above (under 3.4) and its exercise shall not adversely affect the rights and freedoms of others.
3.7 Right to object
3.7.1. You have the right to object to the use of your personal data for the purpose of direct marketing purposes and especially to profiling related to this direct marketing. (see how in 1.2
3.7.2. There is no such right regarding the Employees/Potential Employees and the visitors of our Company’s establishments, because this data is not transferred to the Marketing Department and they do not undergo such treatment.
4. Is there any possibility that we transfer your data somewhere else?
There is no provision that your data shall be transferred to any organization other than the Company itself, with the exception of (a) the service providers for our Company’s electronic systems and networks – and for the sole purpose of the performance of the contract to support our Company and (b) the competent tax authorities considering our mandatory obligation to comply with the tax legislation insofar as it is required.
5. Safeguards
We assure you that the Company shall take any technical and organizational data protection measures necessary and shall make only the optimum, minimum and absolutely necessary use and processing of your Data, as defined by the law, and strictly and exclusively for the purpose for which you have provided them to us.
ΙΙ. Specific clauses, regarding the individual categories of Data Subjects, that apply in parallel to and additionally to the above general provisions of the Policy
(A) CUSTOMERS – SUPPLIERS and POTENTIAL CUSTOMERS – SUPPLIER
A.1. Purpose – Legitimate Basis
(a) during the pre – contractual phase and especially in case of filling in an electronic contact form on our website, or direct sending e-mail, or communication by telephone, or filling in a hardcopy document (if in this way you provide us with your full name/e-mail address or/and telephone number or/and address or/and profession or/and our products that you are interested in) or contacting us in the context of a trade fair, the purpose of the processing is the evaluation of a possible transaction with the Company and legitimate basis the service of the Company’s legitimate interest to pursue its commercial purposes, responding to the requested communication to investigate the possible transaction with you.
(b) In case that a transaction with the Company is realized, the Data that you have provided us with during the pre-contractual phase (as well as all that you shall provide us with in the framework of our transaction) shall be processed for the purpose of implementing the contract between us and of our compliance with tax legislation. In this case, legitimate basis of the processing is the performance of the contract between us and our compliance with the legislation [Article 6(1)(b) and (c) of the Regulation on the protection of personal data].
It is noted that the abovementioned also apply for the Data of your executives/employees that you provide our Company with for the purpose of evaluating the possibility of concluding a contract or/and implementing the -possible- contract between us
A.2. Data Retention Period.
We shall keep the above under A.1.(a) Data for five (5) years and afterwards we shall erase them. The above under A.1.(b) Data, shall be reserved for as long as it is necessary according to tax legislation.
(Β) VISITORS OF OUR COMPANY’S ESTABLISHMENTS
B.1. Purpose: In order to ensure the safety of the individuals (indicatively, customers, employees, external partners, potential employees) that enter our Company’s various facilities, as well as, the Company’s property and interests, a Close Circuit TeleVision (CCTV) operates and continuously records the movements at the necessary for this purpose areas of the Company’s establishments. The retention of the above Data (visitor’s image) is being carried out for the protection of the Company’s legitimate interests, which identify with the security of the individuals and the material objects (indicatively, buildings, equipment) in the Company’s establishments.
B.2. Legitimate basis of the Processing: Legitimate basis of the processing of your Data is the Company’s legitimate interest to ensure the safety of the individuals that enter its establishments, as well as, the buildings and its equipment in general, in accordance with Article 6(1)(f) of the Regulation on the protection of personal data
B.3. Data Retention Period: In order to fulfil the purpose regarding the safety and protection of both the individuals at the Company’s establishments (e.g. employees, visitors), as well as it equipment in general (e.g. buildings, electronic systems etc.) we consider it reasonable and necessary to keep your relevant Data for a period of fifteen (15) days. After fifteen (15) days from the day of your entrance to our Company’s establishments, the relevant file with the entirety of your data shall be erased.
(C) POTENTIAL EMPLOYEES
C.1. Purpose: The evaluation of your possible recruitment by the Company.
C.2. Legitimate Basis of the Processing: Legitimate basis for processing the Data you have provided to us, in the process of the evaluation of your possible recruitment by the Company, is your consent in accordance with Article 6(1)(a) of the Regulation on the protection of personal data
C.3. Data Retention Period: In order to fulfil the above- mentioned purpose related to assessing possible candidates for recruitment in our Company, we consider it reasonable and necessary to keep your relevant Data for a period of six (6) months. After six (6) months from the time we have received your CV, the relevant file with the entirety of your information shall be erased.
C.4. It is noted that the management of your Personal Data resulting from the Questionnaires/Assessments while assessing the possibility of your recruitment, is regulated by the Privacy Policy that constitutes an integral part of the Informed Consent document that you are asked to sign before their completion.