1 Σκοπός και πεδίο εφαρμογής
Η « Β. ΚΟΠΤΣΑ ΚΑΙ ΣΙΑ Ε.Ε.», (εφεξής «Εταιρεία»), υπό την ιδιότητα της ως Υπεύθυνης Επεξεργασίας δεδομένων προσωπικού χαρακτήρα, θεσπίζει και υιοθετεί την παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με σκοπό να προστατεύει τα προσωπικά δεδομένων και να αποφεύγει την μη ορθή χρήση αυτών.
Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους, αντιπροσώπους, εκτελούντες την επεξεργασία των προσωπικών δεδομένων για λογαριασμό της Εταιρείας, καθώς και για τους προμηθευτές της Εταιρείας, συμπεριλαμβανομένων και των εξωτερικών συνεργατών, τους παρόχους, τους ασθενείς και δημιουργεί ένα ελάχιστο πρότυπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς επίσης ορίζει εφεξής και τις αρμοδιότητές τους.
2 Περιεχόμενο
2.1 Νομική βάση
Η παρούσα πολιτική είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων του Ευρωπαϊκού Κοινοβουλίου (ΓΚΠΔ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως τροποποιήθηκε και ισχύει, καθώς και με κάθε δευτερογενές δίκαιο/γνωμοδοτήσεις/ αποφάσεις που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Δεδομένων και οποιαδήποτε σχετική νομοθεσία.
Όπου στο παρόν απαντώνται οι όροι (i) «Εκτελών την Επεξεργασία» (ii) «Εμπιστευτικότητα», (iii) «Επεξεργασία, (iv) «Μέτρα Ασφαλείας», (v) «Παραβίαση Προσωπικών Δεδομένων», (vi) «Προσωπικά Δεδομένα», «υποκείμενο των δεδομένων», (vii) «Υπεύθυνος Επεξεργασίας», αυτοί θα έχουν την έννοια που τους δίδεται από τον ανωτέρω Κανονισμό.
2.2 Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων
2.2.1 Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Η Εταιρεία διασφαλίζει ότι κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα συμμορφώνεται με τις ακόλουθες αρχές.
2.2.1.1 Νόμιμη επεξεργασία
Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
2.2.1.2 Συναίνεση – Συγκατάθεση
Η Εταιρεία διασφαλίζει ότι, πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων ενημερώνεται και δίνει τη συγκατάθεσή του οικειοθελώς. Η συγκατάθεση μπορεί να δίδεται ρητά ή σιωπηρά, π.χ. με την παροχή προσωπικών δεδομένων στον Υπεύθυνο Επεξεργασίας Δεδομένων.
2.2.1.3 Υποχρέωση πληροφόρησης
Δεδομένου ότι το υποκείμενο δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και τους σκοπούς της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του, η Εταιρεία θα φροντίζει να ενημερώνει, όπου αυτό είναι εφικτό, το υποκείμενο των δεδομένων, τουλάχιστον, σχετικά με:
• τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. της Εταιρείας,
• το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
• το σκοπό της επεξεργασίας,
• το έννομο συμφέρον της Εταιρείας για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
• τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
• τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
• την περίοδο διατήρησης των δεδομένων ή κριτήριων που χρησιμοποιήθηκαν για τον καθορισμό τους,
• εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
• οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.
2.2.1.4 Σκοπός επεξεργασίας
Η Εταιρεία διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύονται κατά τη στιγμή της συλλογής, ή για τους σκοπούς που προβλέπονται από το νόμο. Η επεξεργασία των προσωπικών δεδομένων γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται και αποθηκεύονται είναι τα απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους. Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.
Η Εταιρεία επεξεργάζεται προσωπικά δεδομένα προσωπικού, πελατών, προμηθευτών, παρόχων υπηρεσιών, εξωτερικών συνεργατών, ασθενών, εκτελούντων την επεξεργασία των προσωπικών δεδομένων για λογαριασμό της, καθώς και μελών Διοικητικού Συμβουλίου, για την λειτουργία και διευκόλυνση της επιχειρηματικής της δραστηριότητας, σύμφωνα με τη νομοθεσία που τη διέπει, την άδεια λειτουργίας της και το καταστατικό της.
2.2.1.5 Αρχεία προσωπικού
Η Εταιρεία συλλέγει και επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων και στελεχών της. Ο φάκελος προσωπικού και τα προσωπικά δεδομένα που τους αφορούν ταξινομούνται ως «εμπιστευτικές πληροφορίες». Οι υπάλληλοι και τα στελέχη της Εταιρείας έχουν ενημερωθεί εγγράφως σχετικά με τον τρόπο με τον οποίο η Εταιρεία επεξεργάζεται τα προσωπικά τους δεδομένα, καθώς και για τα δικαιώματα που έχουν και τον τρόπο άσκησής τους.
2.2.1.6 Ποιότητα δεδομένων
Η Εταιρεία έχει ενημερώσει το προσωπικό που επεξεργάζεται τα προσωπικά δεδομένα ότι πρέπει να διασφαλίζει ότι τα δεδομένα είναι ακριβή (ορθά και πλήρη) και, όταν είναι αναγκαίο, να προβαίνει σε επικαιροποίηση αυτών. Η Εταιρεία λαμβάνει κάθε εύλογο μέτρο (τεχνικό και οργανωτικό) προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, σε σχέση με τους σκοπούς της επεξεργασίας, διορθώνονται ή καταστρέφονται.
2.2.1.7 Διαβίβαση σε τρίτους
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο, οπότε η Εταιρεία γνωστοποιεί στα υποκείμενα των δεδομένων τις κατηγορίες πιθανών αποδεκτών των προσωπικών τους δεδομένων.
2.2.1.8 Διασυνοριακή αποκάλυψη προσωπικών δεδομένων
Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε Τρίτη Χώρα μόνο εάν η νομοθεσία της Τρίτης Χώρας προβλέπει επαρκές επίπεδο προστασίας των δεδομένων.
2.2.1.9 Αποθήκευση και διατήρηση δεδομένων
Η Εταιρεία διατηρεί τα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για το χρονικό διάστημα, το οποίο είναι απολύτως απαραίτητο για την εξυπηρέτηση των σκοπών, για τους οποίους έχουν συλλεχθεί και πάντως σε καμία περίπτωση για διάστημα μεγαλύτερο της εικοσαετίας. Καταστρέφει τα δεδομένα, τα οποία δεν χρειάζεται πλέον να τηρεί σύμφωνα με τα χρονικά όρια που έχουν οριστεί, με ασφάλεια.
2.2.2 Δικαιώματα των υποκειμένων των δεδομένων
Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα σύμφωνα με το ΓΚΠΔ:
• Το δικαίωμα ενημέρωσης,
• Το δικαίωμα πρόσβασης,
• Το δικαίωμα διόρθωσης,
• Το δικαίωμα διαγραφής,
• Το δικαίωμα περιορισμού της επεξεργασίας,
• Το δικαίωμα στη φορητότητα δεδομένων,
• Το δικαίωμα αντίρρησης,
• Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.
Τα αιτήματα των υποκειμένων ως άνω προκειμένου να ασκήσουν τα δικαιώματα τους, υποβάλλονται γραπτώς στην ηλεκτρονική διεύθυνση:https://shine2b.gr ή εγγράφως στα γραφεία της Εταιρείας.
2.2.3 Καταγραφή παραβίασης δεδομένων
Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Το πρόσωπο που ανακαλύπτει την παραβίαση προσωπικών δεδομένων λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αναφέρει την παραβίαση στην εταιρεία χωρίς καθυστέρηση.
2.2.4 Ειδοποίηση για την παραβίαση των δεδομένων
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η Εταιρεία γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
2.2.5 Κατάρτιση και ευαισθητοποίηση
Η Εταιρεία φροντίζει ώστε κάθε υπάλληλος και στέλεχός της να εκπαιδεύεται και να ενημερώνεται σε θέματα προστασίας και ασφάλειας δεδομένων προσωπικού χαρακτήρα σύμφωνα με το ισχύον νομοθετικό και κανονιστικό πλαίσιο καθώς και από τις πολιτικές και διαδικασίες που υιοθετεί..
2.3 Υπεύθυνος Επεξεργασίας Δεδομένων
Ο Υπεύθυνος Επεξεργασίας Δεδομένων, καθορίζει με διαφανή τρόπο τους σκοπούς και τα μέσα της επεξεργασίας. είναι υπεύθυνος για την ορθή επεξεργασία των προσωπικών δεδομένων και την τήρηση των απαιτήσεων προστασίας και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία.
2.4 Ο Εκτελών την Επεξεργασία
Ο Εκτελών την Επεξεργασία είναι υπεύθυνος για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων. Επιπλέον, ο εκτελών την επεξεργασία είναι υπεύθυνος να ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον υπεύθυνο επεξεργασίας δεδομένων σχετικά με την παραβίαση της προστασίας δεδομένων.