Πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα
1. Σκοπός
Σκοπός της παρούσας Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Πολιτική») είναι να ρυθμίζει τον τρόπο με τον οποίο η HYPERMORPH ΕΕ (εφεξής HYPERMORPH ή «Εταιρεία») σέβεται και προστατεύει τα δεδομένα προσωπικού χαρακτήρα, τα οποία τηρεί και επεξεργάζεται στα πλαίσια των δραστηριοτήτων της.
Ειδικότερα, η παρούσα Πολιτική στοχεύει στην κατανόηση από τα στελέχη και από το προσωπικό της HYPERMORPH (ανεξαρτήτως καθεστώτος απασχόλησης), των βασικών εννοιών και του πλαισίου ευθυνών που συνεπάγεται η διαχείριση προσωπικών δεδομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων 679/2016/ΕΕ (εφεξής «ΓΚΠΔ»), την εθνική νομοθεσία (Ν. 4624/19), τις γνωμοδοτήσεις, αποφάσεις και πράξεις της Εθνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») και στην υιοθέτηση σύννομων και ορθών πρακτικών διαχείρισης προσωπικών δεδομένων, με βάση τις διατάξεις της παρούσας Πολιτικής.
Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέχει επιπρόσθετα θέση ενημέρωσης των υποκειμένων των δεδομένων στα οποία κοινοποιείται σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ και αποτελείται από το σύνολο των επιμέρους Πολιτικών της HYPERMORPH που αφορούν:
- Τις υποχρεώσεις, τους ρόλους και τις ευθύνες των στελεχών, του προσωπικού και του Υπευθύνου Προστασίας Δεδομένων της HYPERMORPH.
- Την ασφαλή διαχείριση προσωπικών δεδομένων.
- Την πολιτική διατήρησης και καταστροφής αρχείων.
- Την ορθή λήψη, διαχείριση και ανάκληση των συγκαταθέσεων.
- Τη διαχείριση αιτημάτων των υποκειμένων των δεδομένων για την άσκηση δικαιωμάτων των υποκειμένων των δεδομένων.
- Τη διαχείριση περιστατικών παραβίασης δεδομένων.
- Τη χρήση επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας.
- Την πολιτική καθαρού γραφείου και οθόνης.
Τα στελέχη και το προσωπικό της HYPERMORPH λαμβάνουν γνώση της Πολιτικής και δεσμεύονται να τη μελετήσουν, να θέσουν στον/στην Υπεύθυνο Προστασίας Δεδομένων και στη Διοίκηση τυχόν απορίες τους και να τηρούν απαρέγκλιτα τις διατάξεις της Πολιτικής, καθ’ όλο το διάστημα της συνεργασίας τους/απασχόλησής τους στην HYPERMORPH, ανεξαρτήτως καθεστώτος.
2. Πεδίο εφαρμογής
Στις διατάξεις της παρούσας Πολιτικής οφείλει να συμμορφώνεται πλήρως η Διοίκηση, τα στελέχη και το Προσωπικό της HYPERMORPH, ανεξαρτήτως βαθμού, καθεστώτος ή ειδικότητας, που απασχολείται επί του παρόντος με συμβάσεις εργασίας ορισμένου ή αορίστου χρόνου, πλήρως ή μερικώς απασχολούμενο προσωπικό, καθώς και εξωτερικοί συνεργάτες (με συμβάσεις εργασίας ή συμβάσεις έργου), που παρέχουν υπηρεσίες προς την HYPERMORPH, υπό τον όρο ότι απασχολούνται στις εγκαταστάσεις της και προβαίνουν σε επεξεργασία προσωπικών που τηρούνται από την HYPERMORPH στα πλαίσια της άσκησης των καθηκόντων τους.
Στην τήρηση της παρούσας Πολιτικής δεσμεύεται επίσης:
-
ο/η Υπεύθυνος/η Προστασίας Δεδομένων (Data Protection Officer- εφεξής χάριν συντομίας “DPO”), της HYPERMORPH, για όσο χρονικό διάστημα κατέχει τη θέση αυτή,
- τυχόν πρακτικώς ασκούμενοι ανεξαρτήτως ειδικότητας, καθ’ όλη τη διάρκεια της πρακτικής τους άσκησης στην HYPERMORPH,
- κατά περίπτωση οι εκτελούντες επεξεργασία για λογαριασμό της HYPERMORPH.
Η HYPERMORPH δεσμεύεται να γνωστοποιεί την παρούσα Πολιτική σε κάθε παρόν ή νέο στέλεχος, εργαζόμενο, συνεργάτη, πρακτικώς ασκούμενο, εκτελούντα επεξεργασία, σύμφωνα με τα παραπάνω και να διασφαλίζει με πρόσφορο μέσο τη γνώση και τη δέσμευση αυτών για την ορθή τήρηση της Πολιτικής και των πρακτικών που περιγράφονται εντός της ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
3. Βασικοί Ορισμοί - Αρχές νόμιμης επεξεργασίας
3.1. Εισαγωγή
Η HYPERMORPH έχει δεσμευθεί να σέβεται και να προστατεύει τα προσωπικά δεδομένα, τα οποία συλλέγει και επεξεργάζεται στα πλαίσια των δραστηριοτήτων της, συμμορφούμενη πλήρως με τις υποχρεώσεις που απορρέουν από το Ευρωπαϊκό και το εσωτερικό Κανονιστικό Πλαίσιο για την προστασία προσωπικών δεδομένων. Για τους σκοπούς της ορθής εφαρμογής της Πολιτικής, η HYPERMORPH ενημερώνει τους υπόχρεους για την τήρηση της Πολιτικής για τους παρακάτω ορισμούς σύμφωνα με τη νομοθεσία:
«Δεδομένα προσωπικού χαρακτήρα» (εφεξής «προσωπικά δεδομένα») είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.
«Ευαίσθητα δεδομένα» ή «δεδομένα ειδικών κατηγοριών», είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια, στη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό, στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις / σωματεία προσώπων, καθώς και στα σχετικά με ποινικές διώξεις ή καταδίκες,. Επίσης περιλαμβάνονται τα γενετικά και τα βιομετρικά δεδομένα, με σκοπό την αδιαμφισβήτητη ταυτοποίηση ενός προσώπου.
«Δεδομένα υγείας» είναι οι πληροφορίες που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
«Υποκείμενο των δεδομένων» είναι το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα μπορεί να προσδιορισθεί άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
«Υπεύθυνος επεξεργασίας», το φυσικό ή νομικό πρόσωπο που καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
«Εκτελών την επεξεργασία» είναι κάθε φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου επεξεργασίας.
«Επεξεργασία προσωπικών δεδομένων» είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
«Κατάρτιση προφίλ» είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση/πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις ενός φυσικού προσώπου.
«Σύστημα αρχειοθέτησης» είναι κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.
«Παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή κακόβουλη καταστροφή, απώλεια, αλλαγή, τη μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλον τρόπο σε επεξεργασία.
3.2. Αρχές νόμιμης επεξεργασίας προσωπικών δεδομένων
Κάθε επεξεργασία προσωπικών δεδομένων από την HYPERMORPH θα πρέπει να υπακούει στις ακόλουθες αρχές, προκειμένου να θεωρείται νόμιμη και να πληροί τις απαιτήσεις του ΓΚΠΔ και του εθνικού νομοθετικού πλαισίου για την προστασία δεδομένων:
Τα δεδομένα προσωπικού χαρακτήρα
- υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
- συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
- σύμφωνα με το άρθρο 25 του ν. 4624/19 η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον είναι απαραίτητη: α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα· ή β) για τη δίωξη ποινικών αδικημάτων· ή γ) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά. Σύμφωνα με την παρ. 2 του ως άνω άρθρου 25 αυτό ισχύει και για τα ευαίσθητα δεδομένα, εφόσον πληρούνται οι προϋποθέσεις του άρθρου 9 παρ. 2 ΓΚΠΔ και του άρθρου 22 του ν. 4624/19.
- είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
- είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
- διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
- υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Επιπλέον, σχεδιάζονται και εφαρμόζονται εκείνα τα μέτρα και οι πολιτικές που διασφαλίζουν, κατ’ ουσίαν, τη συμμόρφωση με τον Κανονισμό στο σύνολό του και, επιπροσθέτως, διασφαλίζουν ότι η HYPERMORPH, ως υπεύθυνος επεξεργασίας, είναι σε θέση να αποδεικνύει τη συμμόρφωση ενώπιον τόσο των εποπτικών αρχών, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όσο και των δικαστηρίων («λογοδοσία»).
4. Νόμιμες βάσεις επεξεργασίας προσωπικών δεδομένων
Οποιαδήποτε επεξεργασία προσωπικών δεδομένων από την HYPERMORPH στα πλαίσια των σκοπών και της δραστηριότητάς της θα πρέπει να εδράζεται σε νόμιμη βάση επεξεργασίας.
Οι νόμιμες βάσεις επεξεργασίας σύμφωνα με το ΓΚΠΔ είναι οι εξής:
- Η συγκατάθεση του υποκειμένου των δεδομένων για έναν ή περισσότερους σκοπούς.
- Η εκτέλεση σύμβασης, της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος, ή η λήψη μέτρων κατ’ αίτηση του υποκειμένου των δεδομένων στο προσυμβατικό στάδιο.
- Η συμμόρφωση με έννομη υποχρέωση του υπευθύνου της επεξεργασίας.
- Η διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.
- Η εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας του Υπευθύνου της Επεξεργασίας.
- Η εκπλήρωση έννομων συμφερόντων του Υπευθύνου Επεξεργασίας, υπό τον όρο ότι δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των προσωπικών του δεδομένων.
Στην περίπτωση της συγκατάθεσης του υποκειμένου των δεδομένων, προκειμένου η συγκατάθεση να είναι νόμιμη πρέπει να παρέχεται με σαφή θετική ενέργεια του υποκειμένου των δεδομένων, η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση ένδειξη της συμφωνίας του υποκειμένου υπέρ της επεξεργασίας των δεδομένων που το αφορούν.
Στην περίπτωση των εργαζομένων στην Εταιρεία, η συγκατάθεση δεν αποτελεί πρόσφορη και κατάλληλη βάση επεξεργασίας και γίνεται χρήση της μόνο σε εξαιρετικές περιπτώσεις. Σύμφωνα με το άρθρο 27 του ν. 4624/19 στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως: α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7 παράγραφος 3 του ΓΚΠΔ.
Οι νόμιμες βάσεις επεξεργασίας ευαίσθητων προσωπικών δεδομένων είναι οι εξής:
- η συγκατάθεση του υποκειμένου για έναν ή περισσότερους συγκεκριμένους σκοπούς·
- η εκτέλεση των υποχρεώσεων και η άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο, παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων·
- η προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί·
- η επεξεργασία στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων·
- η επεξεργασία προδήλως δημοσιοποιημένων προσωπικών δεδομένων·
- η θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα·
- η επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων·
- η επεξεργασία για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας·
- η επεξεργασία για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας·
- η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
Σύμφωνα με το άρθρο 22 του ν. 4624/19 κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από ιδιωτικούς φορείς, όπως η HYPERMORPH, επιτρέπεται, εφόσον είναι απαραίτητη: α) για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων· β) για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του· ή (γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας.
5. Υποχρεώσεις – Ρόλοι – Ευθύνες.
Η τήρηση και επεξεργασία προσωπικών δεδομένων από τη HYPERMORPH συνεπάγεται υποχρεώσεις και ευθύνες για τη διοίκηση, τα στελέχη, τον/την Υπεύθυνο/η Προστασίας Δεδομένων (“DPO”), το προσωπικό και τους συνεργάτες της, αναλόγως της θέσης και των καθηκόντων τους.
5.1. Υποχρεώσεις Διοίκησης
Η Διοίκηση της Εταιρείας, με τη συμβουλευτική καθοδήγηση του/της DPO, έχει τις εξής υποχρεώσεις:
- Καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων.
- Δίνει εντολές και κατευθύνσεις στο προσωπικό, τους συνεργάτες, καθώς και σε τυχόν εκτελούντες επεξεργασία για λογαριασμό της HYPERMORPH.
- Διασφαλίζει τη νομιμότητα της επεξεργασίας των δεδομένων και την τήρηση των ορθών διαδικασιών και πρακτικών επεξεργασίας δεδομένων από όλα τα στελέχη, το προσωπικό και τους συνεργάτες της HYPERMORPH.
- Διασφαλίζει την ορθή συμβατική δέσμευση και την επίβλεψη των μέτρων ασφαλείας τυχόν εκτελούντων την επεξεργασία.
- Διασφαλίζει την τήρηση της ασφάλειας, του απορρήτου και της εμπιστευτικότητας των προσωπικών δεδομένων από όλα τα στελέχη, το προσωπικό και τους συνεργάτες μέσω των απαραίτητων δεσμεύσεων.
- Διασφαλίζει την ορθή τήρηση της παρούσας Πολιτικής.
- Διασφαλίζει την εκπαίδευση και την επιμόρφωση του Προσωπικού αναφορικά με τις υποχρεώσεις του.
- Φέρει εν γένει και οφείλει να αποδείξει τη συμμόρφωση της HYPERMORPH με τις προϋποθέσεις του ΓΚΠΔ ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, των δικαστηρίων ή/και κάθε άλλης Εποπτικής Αρχής.
5.2. Ρόλος και Υποχρεώσεις Υπευθύνου Προστασίας Δεδομένων
Ο/Η Υπεύθυνος/η Προστασίας Δεδομένων (DPO) της HYPERMORPH είναι αρμόδιος/α για την παρακολούθηση της συμμόρφωσης της HYPERMORPH με τον ΓΚΠΔ και τη νομοθεσία περί προστασίας προσωπικών δεδομένων. Διορίζεται επί τη βάσει των επαγγελματικών προσόντων και μπορεί να είναι μέλος του προσωπικού ή να παρέχει τις υπηρεσίες του βάσει σύμβασης παροχής υπηρεσιών (φυσικό ή νομικό πρόσωπο). Ενεργεί ως το κεντρικό σημείο επικοινωνίας για κάθε ζήτημα που άπτεται της προστασίας δεδομένων προσωπικού χαρακτήρα και δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων από τη Διοίκηση. Δεν απολύεται ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του. Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο της HYPERMORPH και έχει τα εξής καθήκοντα:
- Ενημερώνει και συμβουλεύει τη HYPERMORPH και το προσωπικό, συνεργάτες, εκτελούντες επεξεργασία αυτής αναφορικά με τις υποχρεώσεις τους που απορρέουν από τον ΓΚΠΔ και από άλλες εθνικές ή κοινοτικές διατάξεις σχετικά με την προστασία δεδομένων.
- Παρακολουθεί τη συμμόρφωση με τον ΓΚΠΔ και με τις εθνικές ή κοινοτικές διατάξεις σχετικά με την προστασία δεδομένων και με την παρούσα Πολιτική.
- Προβαίνει σε ελέγχους αναφορικά με τη συμμόρφωση του προσωπικού, των συνεργατών και τυχόν εκτελούντων της HYPERMORPH με τον ΓΚΠΔ, την εθνική νομοθεσία και την παρούσα Πολιτική.
- Παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (άρθρο 35 ΓΚΠΔ) και παρακολουθεί την υλοποίησή της.
- Συνεργάζεται με την ΑΠΔΠΧ για οποιοδήποτε ζήτημα προστασίας προσωπικών δεδομένων της HYPERMORPH και ενεργεί ως σημείο επικοινωνίας με αυτήν για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του ΓΚΠΔ και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
- Αναλαμβάνει το συντονισμό και διαχείριση των αποκρίσεων σε περιστατικά ασφάλειας που σχετίζονται με δεδομένα προσωπικού χαρακτήρα (π.χ. μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη).
- Ενημερώνεται για τα αιτήματα των υποκειμένων για την άσκηση δικαιωμάτων και αναλαμβάνει τη διαχείριση της απόκρισης σε αυτά.
Υπεύθυνος Προστασίας Δεδομένων της HYPERMORPH ορίζεται ο ΝΕΡΟΥΤΣΟΣ ΝΙΚΟΛΑΟΣ
Στοιχεία Επικοινωνίας DPO:
Email: info@hypermorph.net
Tηλέφωνο: 2104131605
Ταχυδρομική Διεύθυνση: Τζων Κέννεντυ 223 κ Ανοίξεως 83, Χαϊδάρι, Τ.Κ. 12361
5.3. Υποχρεώσεις προσωπικού
Το προσωπικό και οι συνεργάτες της HYPERMORPH οφείλουν να τηρούν τις εντολές της HYPERMORPH και τις οδηγίες του/της DPO, ως προς την ορθή τήρηση και επεξεργασία των προσωπικών δεδομένων, στο πλαίσιο της άσκησης των καθηκόντων τους, περιλαμβανομένων και των δεδομένων ειδικών κατηγοριών, τα οποία επεξεργάζονται στα πλαίσια των καθηκόντων τους. Ειδικότερα οι εργαζόμενοι που απασχολούνται από την HYPERMORPH, ανεξαρτήτως καθεστώτος εργασίας, υπέχουν τις εξής υποχρεώσεις:
1. Να τηρούν τον εμπιστευτικό χαρακτήρα των προσωπικών δεδομένων τα οποία περιέρχονται σε γνώση τους και τα οποία επεξεργάζονται στο πλαίσιο της άσκησης των καθηκόντων τους ή επ΄ ευκαιρία αυτής και να μην προβαίνουν σε κοινοποίηση, διαβίβαση ή καθ’ οιονδήποτε άλλον τρόπο αποκάλυψη αυτών σε τρίτους, παρά μόνον εφόσον αυτό καθίσταται απολύτως απαραίτητο στο πλαίσιο της άσκησης των καθηκόντων τους ή απαιτείται από διάταξη νόμου. Ως «τρίτος» νοείται κάθε φυσικό ή νομικό πρόσωπο, περιλαμβανομένων –ενδεικτικά και όχι περιοριστικά-, των εξωτερικών συνεργατών και προμηθευτών της HYPERMORPH, καθώς και προσώπων του οικογενειακού, φιλικού και κοινωνικού περιβάλλοντος του εργαζομένου. Ως τρίτος νοείται και μέλος του προσωπικού της Εταιρείας, εφόσον η άσκηση των καθηκόντων ή της εργασίας που τους έχει ανατεθεί δεν προϋποθέτει ή/και απαιτεί την κοινοποίηση και γνώση των ως άνω δεδομένων.
2. Να χρησιμοποιούν και να διαχειρίζονται τα προσωπικά δεδομένα αποκλειστικά για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία από την HYPERMORPH τηρώντας τις εντολές αυτής και λαμβάνοντας υπόψη τις υποδείξεις του Υπευθύνου Προστασίας Δεδομένων (DPO).
3. Να μην προβαίνουν σε αθέμιτη ή μη εξουσιοδοτημένη πρόσβαση, επέμβαση, συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, χρήση, διάδοση και κάθε άλλης μορφής διάθεση, συσχετισμό, συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας ή και περιλαμβάνονται σε ηλεκτρονικό ή φυσικό αρχείο της HYPERMORPH.
4. Να συμμορφώνονται και να ακολουθούν τις εντολές, υποδείξεις και οδηγίες που έχουν λάβει ειδικά από την HYPERMORPH, ή γνωρίζουν λόγω της φύσης των καθηκόντων τους αναφορικά με τα μέτρα φυσικής, οργανωτικής και τεχνικής ασφάλειας για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των προσωπικών δεδομένων.
5. Το προσωπικό υποχρεούται να ανακοινώσει στην HYPERMORPH οποιαδήποτε παραβίαση των κανόνων και οδηγιών επεξεργασίας προσωπικών δεδομένων ή παραβίαση της ασφάλειας αυτών υποπέσει στην αντίληψή του. Ειδικότερα οφείλει να ενημερώνει εγκαίρως, την Εταιρεία και τον/την Υπεύθυνο/η Προστασίας Δεδομένων (DPO) αυτής για οποιαδήποτε παραβίαση προσωπικών δεδομένων υποπέσει στην αντίληψή του, περιλαμβανομένων των ενεργειών που απαριθμούνται στον όρο 3 του παρόντος, καθώς και για οποιαδήποτε παραβίαση της ασφάλειας του φυσικού ή/και του ηλεκτρονικού αρχείου των προσωπικών δεδομένων εν γένει, η οποία συνεπάγεται ή μπορεί να οδηγήσει σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα ηλεκτρονικά ή φυσικά αρχεία της HYPERMORPH.
6. Να επικοινωνούν με τον/την Υπεύθυνο/η Προστασίας Δεδομένων (DPO) της HYPERMORPH για οποιαδήποτε δική τους απορία αναφορικά με την προστασία προσωπικών δεδομένων και για οποιοδήποτε ζήτημα προσωπικών δεδομένων τεθεί υπόψιν τους ή υποπέσει στην αντίληψή τους στο πλαίσιο της άσκησης των καθηκόντων τους ή/και εν γένει κατά τις ώρες παραμονής τους στους χώρους και εγκαταστάσεις της HYPERMORPH, περιλαμβανομένων αιτημάτων των πελατών της να ασκήσουν τα δικαιώματα που τους αναγνωρίζει ο ΓΚΠΔ (ενημέρωση, πρόσβαση, διόρθωση, εναντίωση, διαγραφή, περιορισμός της επεξεργασίας, φορητότητα, εναντίωση στο profiling, καταγγελία στην Εποπτική Αρχή), παραπόνων αναφορικά με την προστασία των προσωπικών τους δεδομένων, παραλείψεων και μη τήρησης των τεχνικών και οργανωτικών μέτρων ασφαλείας των προσωπικών δεδομένων και των όρων της παρούσας Πολιτικής, κ.λπ.
7. Να παρέχουν εν γένει κάθε βοήθεια στη HYPERMORPH προκειμένου να προστατεύσει τον απόρρητο χαρακτήρα, την ασφάλεια και την εμπιστευτικότητα των προσωπικών δεδομένων τα οποία οι ίδιοι ή τρίτοι, άμεσα ή έμμεσα, αποκάλυψαν ή άλλως διέθεσαν σε μη εξουσιοδοτημένο χρήστη ή κάτοχο και να συνεργάζονται με την HYPERMORPH, ώστε αυτή να ανακτήσει την κατοχή των προσωπικών δεδομένων και να εμποδίσει περαιτέρω μη εξουσιοδοτημένη χρήση ή αποκάλυψη ή καθ’ οιονδήποτε άλλο τρόπο παραβίαση της ασφάλειας των προσωπικών δεδομένων που τηρεί η Εταιρεία.
8. Σε περίπτωση που κάποιος εργαζόμενος νόμιμα κληθεί να αποκαλύψει προσωπικά δεδομένα, πέραν όσων απαιτούνται στο πλαίσιο της άσκησης των καθηκόντων του, ο εργαζόμενος θα παράσχει άμεσα στη HYPERMORPH έγγραφη ειδοποίηση πριν την εν λόγω αποκάλυψη, προκειμένου να της επιτραπεί να ασκήσει όλα τα νόμιμα δικαιώματά της ενώπιον όλων των αρχών ή/και δικαστηρίων, εκτός εάν η ειδοποίηση αυτή απαγορεύεται από τον νόμο.
9. Σε περίπτωση λήξης της συνεργασίας με την HYPERMORPH, με πρωτοβουλία οιουδήποτε εκ των συμβαλλομένων μερών, οι εργαζόμενοι αναγνωρίζουν ότι δεν έχουν κανένα δικαίωμα επεξεργασίας των προσωπικών δεδομένων που τηρεί η Εταιρεία και κανένα δικαίωμα πρόσβασης στα φυσικά και ηλεκτρονικά αρχεία προσωπικών δεδομένων της HYPERMORPH, περιλαμβανομένης και της εταιρικής ηλεκτρονικής αλληλογραφίας, και ως εκ τούτου, υποχρεούνται:
α) Να παραδώσουν αμέσως στη HYPERMORPH τυχόν ηλεκτρονικά αρχεία ή έγγραφα που περιέχουν προσωπικά δεδομένα, τα οποία βρίσκονται στην κατοχή τους ή σε τρίτους και κάθε φυσικό αρχείο που περιέχει προσωπικά δεδομένα και να διαγράψουν από κάθε ηλεκτρονική συσκευή που διατηρούν στην κατοχή τους μετά τη λήξη της συνεργασίας τους με τη HYPERMORPH (κινητό τηλέφωνο, φορητό υπολογιστή, φορητές συσκευές αποθήκευσης κ.λπ.) οποιοδήποτε αρχείο προσωπικών δεδομένωνστο οποίο είχαν φυσική ή ηλεκτρονική πρόσβαση κατά τη διάρκεια της συνεργασίας τους με την HYPERMORPH.
β) Να μην απομακρύνουν από τις εγκαταστάσεις της HYPERMORPH, χωρίς να εξουσιοδοτηθούν ή να τους δοθούν οδηγίες από το νόμιμο εκπρόσωπο ή τον/την Υπεύθυνο/η Προστασίας Δεδομένων (DPO) της Εταιρείας ή εξουσιοδοτημένο πρόσωπο σχετικώς, οιοδήποτε έγγραφο, αντικείμενο ή αρχείο που περιέχει προσωπικά δεδομένα, ή φωτοτυπία ή οποιαδήποτε άλλη αναπαραγωγή αυτού.
γ) Να απέχουν από κάθε κακόβουλη ενέργεια, όπως καταστροφή, διαγραφή, αναπαραγωγή, αντιγραφή, κοινοποίηση, δημοσιοποίηση, διάδοση κ.ο.κ. προσωπικών δεδομένων, τα οποία περιλαμβάνονται σε φυσικό ή/και ηλεκτρονικό αρχείο της HYPERMORPH και να απέχουν από κάθε παραβίαση καθ’ οιονδήποτε τρόπο της ασφάλειας, της εμπιστευτικότητας και του απόρρητου χαρακτήρα των προσωπικών δεδομένων της HYPERMORPH.
δ) Να τηρούν όλες τις παραπάνω υποχρεώσεις μετά το πέρας της συνεργασίας τους με τη HYPERMORPH για αόριστη χρονική περίοδο.
6. Ασφαλής Διαχείριση Προσωπικών Δεδομένων
H HYPERMORPH δεσμεύεται να διαχειρίζεται με ασφάλεια τα προσωπικά δεδομένα, τα οποία τηρεί και των οποίων προβαίνει σε επεξεργασία. Η δέσμευση αυτή αφορά τη Διοίκηση, το προσωπικό, τους συνεργάτες ανεξαρτήτως καθεστώτος, καθώς και τυχόν εκτελούντες επεξεργασία για λογαριασμό της HYPERMORPH.
Η υποχρέωση ασφαλούς διαχείρισης προσωπικών δεδομένων εκτείνεται:
- Σε φυσικά αρχεία προσωπικών δεδομένων, όπως είναι, ενδεικτικά και όχι περιοριστικά, κάθε έντυπο σε φυσική (έγχαρτη) μορφή που περιέχει προσωπικά δεδομένα, οι φάκελοι του προσωπικού, τα βιογραφικά σημειώματα, κ.ά.
- Σε ηλεκτρονικά αρχεία και βάσεις δεδομένων κάθε είδους.
- Σε φωτογραφίες, μαγνητοφωνήσεις και εν γένει οπτικοακουστικό υλικό που τυχόν χρησιμοποιείται για σκοπούς επιτήρησης των εγκαταστάσεων ή για σκοπούς παρακολούθησης της ποιότητας υπηρεσιών που προσφέρει η Εταιρεία στου πελάτες της (π.χ. helpdesk).
Η ασφαλής τήρηση και επεξεργασία προσωπικών δεδομένων περιλαμβάνει τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας και την υιοθέτηση ορθών πρακτικών διαχείρισης προσωπικών δεδομένων. Ειδικότερα:
- Τα φυσικά αρχεία προσωπικών δεδομένων θα πρέπει να τηρούνται σε προστατευμένους και κλειδωμένους χώρους (κλειδωμένα ντουλάπια, κλειδωμένα συρτάρια κ.λπ.).
- Η περαιτέρω επεξεργασία των προσωπικών δεδομένων επιτρέπεται για στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, υπό τον όρο της λήψης των απαραίτητων μέτρων προστασίας των δεδομένων τους, περιλαμβανομένων και τεχνικών ανωνυμοποίησης των δεδομένων.
- Τα ηλεκτρονικά αρχεία, η διαχείριση ηλεκτρονικού ταχυδρομείου και τυχόν απομακρυσμένη πρόσβαση στα ηλεκτρονικά συστήματα της HYPERMORPH από το προσωπικό της γίνεται σύμφωνα με τους όρους και τις διαδικασίες που περιγράφονται στην Πολιτική Ασφαλείας της HYPERMORPH.
- Η ανάθεση επεξεργασίας δεδομένων σε τρίτους εκτελούντες γίνεται με τις απαραίτητες συμβατικές δεσμεύσεις και ελέγχεται ανά τακτά χρονικά διαστήματα η λήψη των απαραίτητων μέτρων ασφαλείας από αυτούς, σύμφωνα με τους συμβατικούς όρους και τις απαιτήσεις του ΓΚΠΔ.
- Η HYPERMORPH τηρεί Αρχείο Δραστηριοτήτων Επεξεργασίας. Αρμόδιος/α για τη συμπλήρωση και επικαιροποίηση του Αρχείου είναι ο/η DPO.
- Σε περίπτωση τυχόν παραβίασης των δεδομένων το προσωπικό και τα στελέχη της HYPERMORPH ακολουθούν τη διαδικασία διαχείρισης περιστατικών παραβίασης που περιγράφεται στην παρούσα Πολιτική.
- Η HYPERMORPH δια του/της Υπευθύνου Προστασίας Δεδομένων της τηρεί φάκελο των απαραίτητων νομικών εγγράφων συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ (έντυπα συγκατάθεσης, συμβάσεις ανάθεσης επεξεργασίας, ρήτρες και συμφωνίες εμπιστευτικότητας), καθώς και με τις Πολιτικές και Διαδικασίες της ως προς την ορθή διαχείριση των προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις του ΓΚΠΔ.
7. Πολιτική Διατήρησης και Καταστροφής αρχείων
7.1. Πεδίο εφαρμογής: Η Πολιτική Διατήρησης και Καταστροφής Αρχείων ισχύει για όλα τα φυσικά αρχεία που τηρούνται στα πλαίσια της λειτουργίας και δραστηριότητας της HYPERMORPH, συμπεριλαμβανομένων των πρωτότυπων εγγράφων και των αντιγράφων. Ισχύει επίσης για τα ηλεκτρονικά αρχεία της HYPERMORPH. Η Πολιτική αυτή δεσμεύει τη Διοίκηση, τα στελέχη, το προσωπικό και τους εξωτερικούς συνεργάτες ή/και εκτελούντες επεξεργασία της HYPERMORPH, στο βαθμό που αναλαμβάνουν τη διαχείριση και αποθήκευση αρχείων της HYPERMORPH, τα οποία (αρχεία) περιέχουν προσωπικά δεδομένα.
7.2. Αρμοδιότητες: Η HYPERMORPH ορίζει το χρόνο τήρησης των φυσικών και ηλεκτρονικών αρχείων προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις της αρχής του περιορισμού της περιόδου αποθήκευσης που επιβάλλει ο ΓΚΠΔ, τις προβλέψεις της εκάστοτε ισχύουσας εθνικής νομοθεσίας για το χρόνο τήρησης αρχείων ανά κατηγορία και τις σχετικές υποδείξεις του/της DPO.
Η Διοίκηση της HYPERMORPH μπορεί να δώσει εντολή παράτασης του χρόνου διατήρησης ενός αρχείου για λόγους νομικούς, λογιστικούς - ελεγκτικούς και φορολογικούς, ή άλλους λόγους. Στην περίπτωση αυτή, ο/η DPO αναλαμβάνει τη γνωστοποίηση της ύπαρξης και του περιεχομένου της εντολής διατήρησης του αρχείου προς το προσωπικό που επεξεργάζεται το σχετικό αρχείο και τη λήψη μέτρων διασφάλισης ότι το εν λόγω αρχείο δεν θα καταστραφεί/διαλυθεί από το προσωπικό.
Ο/Η DPΟ αναλαμβάνει την επίβλεψη της ορθής τήρησης της Πολιτικής Διατήρησης και Καταστροφής αρχείων της HYPERMORPH, προβαίνοντας στις ακόλουθες ενέργειες:
- Είναι αρμόδιος/α για την τήρηση και τροποποίηση του Χρονοδιαγράμματος Διατήρησης Αρχείων, όποτε κρίνεται απαραίτητο για τη συμμόρφωση με τις εκάστοτε νομοθετικές απαιτήσεις (νομικές, λογιστικές-ελεγκτικές, φορολογικές, απαιτήσεις τήρησης ιατρικών αρχείων).
- Συμπληρώνει το Χρονοδιάγραμμα Διατήρησης Αρχείων με νέες κατηγορίες εγγράφων και αρχείων της HYPERMORPH.
- Παρακολουθεί τη συμμόρφωση της HYPERMORPH με αυτήν την Πολιτική.
- Προτείνει μεθόδους ασφαλούς καταστροφής φυσικών αρχείων (π.χ. καταστροφέας εγγράφων) και οριστικής διαγραφής ηλεκτρονικών αρχείων.
Όλα τα μέλη του προσωπικού είναι υπεύθυνα για:
- Τη δημιουργία και τη διατήρηση αρχείων τα οποία σχετίζονται με το αντικείμενο της εργασίας τους.
- Την αποθήκευση των αρχείων σε εγκεκριμένα αποθηκευτικά μέσα.
- Τη συμμόρφωση με την πολιτική και τις διαδικασίες διαχείρισης αρχείων της HYPERMORPH.
- Την καταστροφή/διαγραφή των αρχείων που έχουν φτάσει στο τέλος της περιόδου διατήρησής τους με τις ενδεδειγμένες μεθόδους.
8. Λήψη, διαχείριση, ανάκληση συγκαταθέσεων
Η HYPERMORPH, με τις σχετικές υποδείξεις και του DPO, μεριμνά για την εξασφάλιση της ορθής λήψης της συγκατάθεσης των υποκειμένων των δεδομένων, στις περιπτώσεις κατά τις οποίες η νόμιμη βάση επεξεργασίας των δεδομένων είναι η συγκατάθεση του υποκειμένου των δεδομένων. Ειδικότερα, η HYPERMORPH προβαίνει στις απαιτούμενες ενέργειες προκειμένου:
- Να ενημερώνει πλήρως τα υποκείμενα σύμφωνα με τις απαιτήσεις των άρθρων 13 και 14 του Κανονισμού, πριν από τη λήψη της συγκατάθεσης, με απλή, συνοπτική και κατανοητή γλώσσα και σε εύκολα προσβάσιμη μορφή.
- Να λαμβάνει τη συγκατάθεση του υποκειμένου εγγράφως ή σε ηλεκτρονική μορφή. Σε περίπτωση συγκατάθεσης του υποκειμένου των δεδομένων με θετική ενέργεια (π.χ. αποστολή βιογραφικού σημειώματος), να λαμβάνει μέριμνα για την ενημέρωση των υποκειμένων των δεδομένων ότι συγκεκριμένη ενέργεια αυτών συνεπάγεται τη συγκατάθεσή τους στην επεξεργασία των δεδομένων τους, το χρόνο τήρησης αυτών καθώς και το δικαίωμα ανάκλησης της συγκατάθεσής τους.
- Να τηρεί αρχείο των συγκαταθέσεων των υποκειμένων των δεδομένων.
- Να εξασφαλίζει ότι η συγκατάθεση του υποκειμένου είναι ελεύθερη, συγκεκριμένη ανά σκοπό επεξεργασίας και δίδεται εν πλήρη επιγνώσει του υποκειμένου των δεδομένων.
- Να εξασφαλίζει στα υποκείμενα τον τρόπο ελεύθερης, άμεσης και εύκολης ανάκλησης της συγκατάθεσής τους (π.χ. μέσω αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου στον/στην DPO), ενημερώνοντας τα υποκείμενα ότι η ανάκληση της συγκατάθεσής τους δεν αίρει τη νομιμότητα της μέχρι του σημείου της ανακλήσεως επεξεργασίας των δεδομένων τους.
- Να προβαίνει σε διαγραφή των δεδομένων του υποκειμένου σε περίπτωση ανάκλησης της συγκατάθεσης, εκτός εάν η τήρηση αυτών καθίσταται απαραίτητη σε συμμόρφωση με υποχρεώσεις της HYPERMORPH που απορρέουν από τη νομοθεσία ή για την προάσπιση έννομων συμφερόντων της.
9. Διαχείριση αιτημάτων άσκησης δικαιώματος υποκειμένων των δεδομένων
9.1. Υποχρεώσεις HYPERMORPH ως προς την άσκηση δικαιωμάτων:
Τα υποκείμενα των δεδομένων έχουν τα εξής δικαιώματα αναφορικά με τα προσωπικά δεδομένα τους:
- το δικαίωμα πρόσβασης, για να πληροφορηθούν τα υποκείμενα ποια δεδομένα τους επεξεργάζεται ο Υπεύθυνος Επεξεργασίας, για ποιο σκοπό και τους αποδέκτες αυτών,
- το δικαίωμα διόρθωσης, για να διορθωθούν τυχόν ελλείψεις ή ανακρίβειες των δεδομένων,
- το δικαίωμα διαγραφής («δικαίωμα στη λήθη»), για να διαγραφούν τα προσωπικά δεδομένα των υποκειμένων από τα αρχεία του Υπευθύνου Επεξεργασίας, εφόσον όμως η επεξεργασία τους δεν είναι πλέον απαραίτητη ή η διατήρηση των δεδομένων δεν απαιτείται για τη συμμόρφωση του Υπευθύνου Επεξεργασίας με τις έννομες υποχρεώσεις της ή για την προάσπιση των έννομων συμφερόντων του ενώπιον των Δικαστηρίων,
- το δικαίωμα περιορισμού της επεξεργασίας, σε περίπτωση αμφισβήτησης της ακρίβειας των δεδομένων από το υποκείμενο,
- το δικαίωμα φορητότητας, για να λάβει το υποκείμενο τα δεδομένα σε δομημένο και κοινώς χρησιμοποιούμενο μορφότυπο,
- το δικαίωμα εναντίωσης, σε περίπτωση που το υποκείμενο δεν επιθυμεί τη χρήση των δεδομένων του για σκοπούς απευθείας εμπορικής προώθησης.
- το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).
Η HYPERMORPH υποχρεούται να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, εκτός από τις περιπτώσεις κατά τις οποίες δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων. Κατά την εξέταση των αιτημάτων άσκησης δικαιωμάτων θα πρέπει να εξετάζεται εάν συντρέχει τυχόν εξαίρεση που επιβάλλεται από την εθνική νομοθεσία, ιδίως τον ν. 4624/19.
Η HYPERMORPH οφείλει να ανταποκριθεί σε κάθε σχετικό αίτημα εντός εύλογου χρονικού διαστήματος από την παραλαβή του, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.
Ο/Η DPO της HYPERMORPH αναλαμβάνει τη διαχείριση των αιτημάτων άσκησης δικαιώματος των υποκειμένων των δεδομένων, προβαίνοντας στις ακόλουθες ενέργειες:
- Αιτείται στοιχεία διακρίβωσης της ταυτότητας του υποκειμένου των δεδομένων σε περίπτωση που αυτή δεν είναι σαφής (π.χ. φωτοτυπία ταυτότητας, αριθμό διαβατηρίου, στοιχεία επικοινωνίας με αυτό).
- Σε περίπτωση άσκησης δικαιώματος μέσω αντιπροσώπου, ο/η DPΟ προβαίνει στις απαραίτητες ενέργειες διαπίστωσης της νομικής ή φυσικής αδυναμίας του φυσικού προσώπου να ασκήσει αυτοπροσώπως το δικαίωμα και εισηγείται αντίστοιχα στη Διοίκηση την αναγκαιότητα ανταπόκρισης στο αίτημα του αντιπροσώπου.
- Αναλαμβάνει την ενημέρωση του υποκειμένου των δεδομένων με κάθε πρόσφορο μέσο, περιλαμβανομένης και της ενημέρωσης με ηλεκτρονικά μέσα, σε περίπτωση που απαιτείται χρονικό διάστημα πέραν του μηνός για την ικανοποίηση του δικαιώματος και ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της καθυστέρησης.
- Σε περίπτωση που η Διοίκηση της HYPERMORPH αποφασίσει να μην ενεργήσει επί αιτήματος υποκειμένου των δεδομένων για ικανοποίηση δικαιώματος, ο/η DPO ενημερώνει το υποκείμενο εντός μηνός από την παραλαβή του αιτήματος για τους λόγους μη ενέργειας και για τη δυνατότητα καταγγελίας στην ΑΠΔΠΧ και άσκησης δικαστικής προσφυγής.
- Ενημερώνει και αναλαμβάνει την είσπραξη εύλογου τέλους της HYPERMORPH για την εκτέλεση της ζητούμενης από το υποκείμενο ενέργειας, σε περιπτώσεις προδήλως αβάσιμων ή υπερβολικών και επαναλαμβανόμενων αιτημάτων.
- Ενημερώνει το υποκείμενο περί της μη ικανοποίησης αιτήματος το οποίο η HYPERMORPH θεωρεί προδήλως αβάσιμο ή υπερβολικό.
9.2. Διαδικασία ικανοποίησης δικαιωμάτων: Οι παραπάνω ενέργειες και υποχρεώσεις της HYPERMORPH ισχύουν για την άσκηση αιτήματος για οποιοδήποτε δικαίωμα. Η HYPERMORPH διαχειρίζεται αιτήματα για την ικανοποίηση εκάστου δικαιώματος ως εξής:
9.2.1. Δικαίωμα πρόσβασης:
Η HYPERMORPH παρέχει επιβεβαίωση στα υποκείμενα των δεδομένων για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υφίστανται επεξεργασία και, σε θετική περίπτωση, ακολουθεί την εξής διαδικασία ικανοποίησης του δικαιώματος πρόσβασης στα εν λόγω δεδομένα και στις πληροφορίες της επεξεργασίας:
- Αξιολόγηση Αιτήματος: Αφού εξακριβωθεί η ταυτότητα του υποκειμένου που υποβάλει το σχετικό αίτημα από τον/την DPO, σύμφωνα με τα όσα ορίζονται παραπάνω, αξιολογείται η εγκυρότητά του αιτήματος. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η HYPERMORPH ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του/της DPO.
- Εφόσον το αίτημα αξιολογηθεί ως έγκυρο, η HYPERMORPH παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο.
- Για επιπλέον αντίγραφα που μπορεί να ζητηθούν, η HYPERMORPH μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Σε περίπτωση μη επιβολής τέλους, η Εταιρεία ολοκληρώνει τη διεκπεραίωση του αιτήματος, μετά την αξιολόγηση της εγκυρότητάς του.
- Η ικανοποίηση του δικαιώματος πρόσβασης από τη HYPERMORPH λαμβάνει χώρα υπό τον όρο ότι δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
Σε περιπτώσεις που παρέχεται η δυνατότητα αυτοματοποιημένης πρόσβασης στα δεδομένα του υποκειμένου δεν απαιτείται η παραπάνω διαδικασία.
Η άσκηση του δικαιώματος πρόσβασης δεν συνεπάγεται τη χωρίς περιορισμούς χρήση και επεξεργασία των δεδομένων από το υποκείμενο ή από άλλο νομικό ή φυσικό πρόσωπο. Η παραπάνω χρήση και επεξεργασία των δεδομένων δύναται να περιορίζεται με βάση τη σύμβαση που έχει συνάψει το υποκείμενο με την Εταιρεία, ή με βάση τους όρους χρήσης με τους οποίους έχει ρητώς συμφωνήσει το υποκείμενο, ή με βάση τα νόμιμα δικαιώματα της HYPERMORPH (π.χ. τα δικαιώματα πνευματικής ιδιοκτησίας) στις περιπτώσεις που τα δεδομένα δεν έχουν δοθεί εξ ολοκλήρου από το υποκείμενο, αλλά έχουν παραχθεί με ενέργειες της HYPERMORPH όπως η επεξεργασία των δεδομένων ή συσχέτισή τους με άλλα δεδομένα, κ.λπ.
9.2.2. Δικαίωμα διόρθωσης:
Η HYPERMORPH προβαίνει χωρίς αδικαιολόγητη καθυστέρηση σε διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, εφόσον το υποκείμενο των δεδομένων το απαιτήσει ή εφόσον διαπιστώσει καθ’ οιονδήποτε άλλο τρόπο ανακρίβεια των δεδομένων. Επιπρόσθετα, το υποκείμενο των δεδομένων έχει δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.
9.2.3. Δικαίωμα διαγραφής («δικαίωμα στη λήθη»):
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τη HYPERMORPH τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και η HYPERMORPH υποχρεούται να διαγράψει αυτά, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ασκώντας το δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, περιλαμβανομένης της κατάρτισης προφίλ,
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση στην οποία υπόκειται η HYPERMORPH,
στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1 του ΓΚΠΔ.
Η HYPERMORPH δύναται να αρνηθεί την ικανοποίηση του δικαιώματος στις περιπτώσεις όπου η επεξεργασία είναι απαραίτητη:
α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,
β) για την τήρηση νομικής υποχρέωσης της HYPERMORPH που επιβάλλει την επεξεργασία ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στη HYPERMORPH.
γ) για λόγους δημόσιου συμφέροντος,
δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, εφόσον το δικαίωμα στη λήθη είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή
ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της HYPERMORPH.
Η εγκυρότητά του αιτήματος αξιολογείται από τον/την DPO, με βάση και τις ανωτέρω εξαιρέσεις. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο ή εφόσον συντρέχει νόμιμος λόγος μη ικανοποίησης αυτού, η HYPERMORPH ενημερώνει εντός μηνός το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του/της DPO.
Εφόσον η HYPERMORPH έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σε διαγραφή, οφείλει λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής να λάβει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων για να ενημερώσει τους υπεύθυνους επεξεργασίας που επεξεργάζονται τα αντίστοιχα δεδομένα ότι το υποκείμενο ζήτησε τη διαγραφή από αυτούς τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων. Η εν λόγω ενημέρωση λαμβάνει χώρα μέσω του/της DPO.
9.2.4. Δικαίωμα περιορισμού της επεξεργασίας:
Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τη HYPERMORPH τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:
α) η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται, για χρονικό διάστημα που επιτρέπει στη HYPERMORPH να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ' αυτής, τον περιορισμό της χρήσης τους,
γ) η HYPERMORPH δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το δικαίωμα εναντίωσης, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
- Κατόπιν της λήψης του σχετικού αιτήματος, αξιολογείται η εγκυρότητά του αιτήματος από τον/την DPO. Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η HYPERMORPH μέσω του DPO ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημά του με αιτιολογημένη απόφασή της.
- Εφόσον το αίτημα κριθεί έγκυρο, υιοθετείται κατά περίπτωση η κατάλληλη μέθοδος περιορισμού (π.χ. προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο σύστημα επεξεργασίας, αφαίρεση προσβασιμότητας των επιλεγμένων προσωπικών δεδομένων προσωπικού χαρακτήρα από τους χρήστες, προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα κ.λπ.).
- Σε περίπτωση αυτοματοποιημένης αρχειοθέτησης ο περιορισμός της επεξεργασίας θα πρέπει κατ’ αρχήν να διασφαλίζεται με τεχνικά μέσα, κατά τρόπο ώστε τα δεδομένα να μην υπόκεινται σε πράξη περαιτέρω επεξεργασίας και να μην μπορούν να αλλάξουν. Σε κάθε περίπτωση, το γεγονός ότι η επεξεργασία δεδομένων είναι περιορισμένη θα πρέπει να αναγράφεται στο σύστημα. Τα ανωτέρω προτείνονται κατά περίπτωση από τον/την DPO.
- Εφόσον η επεξεργασία έχει περιοριστεί σύμφωνα με τα ως άνω, τα εν λόγω δεδομένα εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημοσίου συμφέροντος.
- Επιπρόσθετα, το υποκείμενο των δεδομένων που έχει εξασφαλίσει τον περιορισμό της επεξεργασίας σύμφωνα με τα ανωτέρω, ενημερώνεται από τον/την DPO πριν από την άρση του περιορισμού επεξεργασίας.
- Στη συνέχεια, η HYPERMORPH ανακοινώνει κάθε περιορισμό επεξεργασίας που διενεργείται σύμφωνα με τα παραπάνω σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός αν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων, η HYPERMORPH το ενημερώνει μέσω του/της DPO για τους εν λόγω αποδέκτες.
9.2.5. Δικαίωμα στη φορητότητα των δεδομένων:
Η HYPERMORPH έχει την υποχρέωση, εφόσον το ζητήσει το υποκείμενο των δεδομένων, να του παρέχει τα προσωπικά δεδομένα που το αφορούν και τα οποία το ίδιο το υποκείμενο έχει παράσχει, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από υπολογιστές μορφότυπο, καθώς και να ικανοποιεί το δικαίωμα του υποκειμένου να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση όταν πληρούνται οι κάτωθι προϋποθέσεις:
α) η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή είναι αναγκαία για την εκτέλεση σύμβασης της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος και
β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.
Το υποκείμενο των δεδομένων δύναται κατά την άσκηση του δικαιώματός του να ζητά την απευθείας διαβίβαση των δεδομένων του από τον έναν υπεύθυνο επεξεργασία σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. H διαδικασία ικανοποίησης του δικαιώματος έχει ως εξής:
- Κατόπιν της λήψης του σχετικού αιτήματος, o/η DPO ενημερώνεται σχετικά με το αίτημα φορητότητας που υπεβλήθη την συγκεκριμένη ημερομηνία.
- Εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η HYPERMORPH ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του/της DPO.
- Κατά την αξιολόγηση του αιτήματος λαμβάνονται υπόψη τα δεδομένα που περιλαμβάνονται στο αίτημα, καθώς τα δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του δικαιώματος στην φορητότητα, τα οποία πρέπει να είναι:
- Προσωπικά δεδομένα που αφορούν το υποκείμενο των δεδομένων. Συνεπώς, δεδομένα που έχουν ανωνυμοποιηθεί δεν αφορούν το συγκεκριμένο δικαίωμα.
- Προσωπικά δεδομένα που το υποκείμενο έχει παράσχει στον υπεύθυνο επεξεργασίας. Πρόκειται για δεδομένα τα οποία ενεργητικά και συνειδητά έχει παράσχει το υποκείμενο (πχ. διεύθυνση e-mail, όνομα χρήστη, ηλικία κ.λπ.), αλλά και για παρατηρούμενα δεδομένα (observed data) που έχουν παρασχεθεί από το υποκείμενο μέσα από τη χρήση της υπηρεσίας ή της συσκευής (πχ. το ιστορικό αναζητήσεων, δεδομένα θέσης και κίνησης). Συνεπώς, σε αυτές τις κατηγορίες δεν περιλαμβάνονται τα «συναγόμενα δεδομένα» (inferred data) και τα «παράγωγα δεδομένα» (derived data), στα οποία συμπεριλαμβάνονται δεδομένα προσωπικού χαρακτήρα που δημιουργούνται από τον υπεύθυνο επεξεργασίας με βάση τα δεδομένα που παρέχει το υποκείμενο των δεδομένων. Ακολούθως, δεδομένα που προέρχονται από τη δραστηριότητα ή από την παρατήρηση της συμπεριφοράς ενός ατόμου περιλαμβάνονται στο εν λόγω δικαίωμα, δεν περιλαμβάνονται όμως δεδομένα που προκύπτουν από τη μετέπειτα ανάλυση της εν λόγω συμπεριφοράς, ούτε δεδομένα που η HYPERMORPH έχει συλλέξει από άλλες πηγές με νόμιμο τρόπο.
Το συγκεκριμένο δικαίωμα δεν αποσκοπεί στην ανάκτηση και διαβίβαση δεδομένων που περιέχουν δεδομένα προσωπικού χαρακτήρα άλλων (μη συναινούντων) υποκειμένων σε νέο υπεύθυνο επεξεργασίας.
Η HYPERMORPH ανταποκρίνεται στο αίτημα φορητότητας του υποκειμένου χρησιμοποιώντας διαλειτουργικό μορφότυπο και χορηγώντας στο υποκείμενο ένα αντίγραφο ή διαβιβάζοντας τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας. Η διαλειτουργικότητα του μορφότυπου διευκολύνεται όταν αυτός είναι δομημένος, κοινώς χρησιμοποιούμενος και αναγνώσιμος από μηχανήματα. Ωστόσο, αυτές οι απαιτήσεις δεν δημιουργούν υποχρέωση στην HYPERMORPH να υιοθετεί ή διατηρεί συστήματα επεξεργασίας που είναι συμβατά από τεχνική άποψη.
Εφόσον δεν υπάρχουν τεχνολογικοί περιορισμοί ή άλλοι νομοθετικοί περιορισμοί, η HYPERMORPH δύναται να παρέχει τα δεδομένα σε μορφή όπως SQL.
9.2.7. Δικαίωμα εναντίωσης:
Η HYPERMORPH έχει την υποχρέωση να μην υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εφόσον το υποκείμενο των δεδομένων αντιτάσσεται ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν υφίστανται επιτακτικοί και νόμιμοι λόγοι, οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων προκειμένου να συνεχίσει την επεξεργασία ή υφίστανται λόγοι θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων.
Εναπόκειται στη συνέχεια στη HYPERMORPH να αποδείξει, μέσω του/της DPO, ότι υφίστανται επιτακτικοί και νόμιμοι λόγοι, οι οποίοι υπερισχύουν των συμφερόντων, δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων προκειμένου να συνεχίσει την επεξεργασία ή για λόγους θεμελίωσης, άσκησης ή υποστήριξης νομικών αξιώσεων.
Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση, είτε πρόκειται για αρχική, είτε για περαιτέρω επεξεργασία.
Σε αυτή την περίπτωση που τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.
Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το υποκείμενο των δεδομένων για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του δικαιούται να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, εκτός αν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημοσίου συμφέροντος.
Κατόπιν της λήψης του σχετικού αιτήματος και εφόσον το αίτημα δεν αξιολογηθεί ως έγκυρο, η HYPERMORPH ενημερώνει το υποκείμενο για την άρνηση συνέχειας στο αίτημα του με αιτιολογημένη απόφασή της, μέσω του/της DPO.
Εφόσον το αίτημα αξιολογηθεί ως έγκυρο, η HYPERMORPH απέχει από την επεξεργασία των δεδομένων του υποκειμένου για την οποία ασκήθηκε το δικαίωμα και να ενημερώσει σχετικά το υποκείμενο των δεδομένων.
10. Πολιτική Διαχείρισης Περιστατικών Παραβίασης
Η HYPERMORPH συντάσσει και θέτει σε εφαρμογή Πολιτική Διαχείρισης Περιστατικών Παραβίασης, η οποία αποτελεί παράρτημα της παρούσας Πολιτικής Προστασίας Προσωπικών Δεδομένων.
11. Πολιτική χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας
Η HYPERMORPH συντάσσει, θέτει σε εφαρμογή και γνωστοποιεί στα μέλη του προσωπικού και τους συνεργάτες της Πολιτική Χρήσης Επικοινωνιακών Μέσων και Μέσων Ηλεκτρονικής Επεξεργασίας. Η Πολιτική Χρήσης Επικοινωνιακών Μέσων και Μέσων Ηλεκτρονικής Επεξεργασίας αποτελεί Παράρτημα της παρούσας Πολιτικής Προστασίας Προσωπικών Δεδομένων.
12. Πολιτική καθαρού γραφείου και οθόνης
Οι εργαζόμενοι θα πρέπει να αφήσουν το χώρο εργασίας τους (γραφείο, εξοπλισμός, έγγραφα, πληροφορίες, κ.λπ.) σε μια ασφαλή κατάσταση όταν φεύγουν από το χώρο εργασίας τους κατά τη διάρκεια της ημέρας, καθώς και στο τέλος της κάθε εργάσιμης ημέρας, προκειμένου να διαφυλάσσεται η ασφάλεια και η εμπιστευτικότητα των πληροφοριών που διαχειρίζονται στα πλαίσια της άσκησης των καθηκόντων τους, περιλαμβανομένων και των προσωπικών δεδομένων.
Μετά το πέρας της εργάσιμης ημέρας, όλοι οι εργαζόμενοι πρέπει να καθαρίζουν τα γραφεία τους και το χώρο εργασίας τους εν γένει και να ασφαλίσουν τόσο τον εξοπλισμό όσο και οποιαδήποτε έγγραφα σχετίζονται με την εργασία τους. Τα έγγραφα θα πρέπει να τοποθετούνται στον κατάλληλο χώρο (ντουλάπι ή συρτάρι αρχειοθέτησης). Όλα τα έγγραφα που περιέχουν προσωπικά δεδομένα θα πρέπει να τοποθετούνται σε ένα προφυλαγμένο και, ει δυνατόν, κλειδωμένο αρχείο. Οι ακόλουθες κατευθυντήριες γραμμές θα πρέπει να τηρούνται από όλους τους εργαζόμενους ανεξαιρέτως:
- Οι εργαζόμενοι θα πρέπει να αφιερώνουν χρόνο κάθε μέρα για να καθαρίσουν τα έγγραφα από το γραφείο τους.
- Ο χρήστης θα πρέπει να αποσυνδέεται από τον υπολογιστή, όταν ο χώρος εργασίας είναι αφύλακτος, καθώς και όταν ο χρήστης αποχωρεί από το χώρο εργασίας.
- Οι εργαζόμενοι οφείλουν να αφαιρέσουν όλες τις εμπιστευτικές πληροφορίες, περιλαμβανομένων και των προσωπικών δεδομένων, από το γραφείο τους και να τις τηρούν σε ένα ντουλάπι ή συρτάρι ή αρχείο, όταν ο σταθμός εργασίας τους είναι αφύλακτος και στο τέλος της εργάσιμης ημέρας.
- Όλα τα εμπιστευτικά και για εσωτερική χρήση έγγραφα, περιλαμβανομένων και όσων περιέχουν προσωπικά δεδομένα, θα αποθηκεύονται σε συρτάρια ή ντουλάπια και θα πρέπει να είναι πάντα κλειδωμένα, εφόσον υπάρχει η αντίστοιχη υποδομή.
- Όλα τα ντουλάπια που περιέχουν εμπιστευτικά αρχεία ή πληροφορίες εσωτερικής χρήσης όταν δεν χρησιμοποιούνται ή όταν είναι αφύλακτα θα πρέπει να ασφαλίζονται και να κλειδώνονται. Η πρόσβαση σε αυτά θα πρέπει να δικαιολογείται από τη θέση και τα καθήκοντα του εργαζομένου.
- Απαγορεύεται η δημόσια ανάρτηση κωδικών πρόσβασης πάνω ή κάτω από έναν υπολογιστή, σε πίνακες ανακοινώσεων ή σε οποιαδήποτε άλλη προσβάσιμη τοποθεσία.
- Τα αντίγραφα των εγγράφων που περιέχουν εμπιστευτικές ή εσωτερικής χρήσης πληροφορίες από εκτυπωτές και συσκευές φαξ θα πρέπει να αφαιρούνται αμέσως και να καταστρέφονται με ασφαλείς μεθόδους καταστροφής (π.χ. καταστροφέας εγγράφων).
- Τα ντουλάπια του γραφείου και της ντουλάπας αρχειοθέτησης στο τέλος της ημέρας ή αν οι εργαζόμενοι απουσιάζουν για μεγάλο χρονικό διάστημα από το χώρο εργασίας κατά τη διάρκεια της ημέρας θα πρέπει να κλειδώνουν.
- Συσκευές μαζικής αποθήκευσης, όπως CD-ROM, DVD, USB, κλπ., θα πρέπει να θεωρούνται ευαίσθητες και εμπιστευτικές και να τηρούνται ασφαλώς σε κλειδωμένα συρτάρια στο τέλος της ημέρας ή αν οι εργαζόμενοι φύγουν από το χώρο εργασίας κατά τη διάρκεια της ημέρας.
- Όλα τα απορρίμματα χαρτιού, εκθέσεις και κορδέλες εκτυπωτή θα πρέπει να καταστρέφονται με τη χρήση του ειδικού εξοπλισμού (καταστροφέας εγγράφων).
Πιο συγκεκριμένες, αναλυτικότερες ή συμπληρωματικές διαδικασίες δύναται να προβλέπονται στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών.
13. Επικαιροποίηση - τροποποίηση της Πολιτικής
Η HYPERMORPH διατηρεί δικαίωμα τροποποίησης της παρούσας Πολιτικής όποτε ήθελε κριθεί απαραίτητο, αναλόγως με τις ανάγκες και πρακτικές που υιοθετεί και με τις απαιτήσεις της νομοθεσίας, ως εκάστοτε ισχύει.
Ο/Η DPO δύναται να εισηγείται την ανάγκη τροποποίησης μέρους ή του συνόλου της Πολιτικής και να προτείνει την αντίστοιχη διατύπωση σε περίπτωση που θεωρεί ότι χρειάζεται επικαιροποίηση. Η Διοίκηση της HYPERMORPH λαμβάνει απόφαση για την επικαιροποίηση της Πολιτικής και ο/η DPO αναλαμβάνει την ενημέρωση, με κάθε πρόσφορο τρόπο (π.χ. με την αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου), του προσωπικού για τις τροποποιήσεις και παρακολουθεί τη συμμόρφωση του Προσωπικού προς αυτές.