Ο κανονισμός (ΕΕ) 679/2016 θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Επίσης, ο κανονισμός αυτός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Η εταιρία σε εφαρμογή του Κανονισμού (ΕΕ) 679/2016 σε ορισμένες περιπτώσεις ενεργεί ως Υπεύθυνος Επεξεργασίας ενώ σε άλλες ως Εκτελών Επεξεργασία, σύμφωνα με τους σχετικούς ορισμούς στο Άρθρο 4 του εν λόγω Κανονισμού.
Η εταιρία σε εφαρμογή του Κανονισμού (ΕΕ) 679/2016 έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων, ο οποίος έχει όλες τις αρμοδιότητες και υπευθυνότητες που ορίζει ο εν λόγω Κανονισμός και ο ορισμός αυτός έχει γνωστοποιηθεί στην Εποπτική Αρχή.
Η συλλογή προσωπικών δεδομένων πραγματοποιείται σύμφωνα με καθορισμένες αρχές, σύμφωνα με το άρθρο 5 του Κανονισμού (ΕΕ) 679/2016. Ειδικότερα Προσωπικά Δεδομένα (ΠΔ):
α) Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
β) Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.
γ) Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).
δ) Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
ε) Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των ΠΔ μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας τους.
στ) Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Αποτελεί υποχρέωση και δέσμευση της εταιρίας η πιστή εφαρμογή των παρακάτω προϋποθέσεων, σύμφωνα με το άρθρο 6 του Κανονισμού (ΕΕ) 679/2016, κατά την επεξεργασία ΠΔ:
α) Το Υποκείμενο των ΠΔ έχει συναινέσει στην επεξεργασία τους για έναν ή περισσότερους συγκεκριμένους σκοπούς.
β) Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το Υποκείμενο είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του Υποκειμένου πριν από τη σύναψη σύμβασης.
γ) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση της εταιρίας.
δ) Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του Υποκειμένου ή άλλου φυσικού προσώπου.
ε) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην εταιρία.
στ) Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η εταιρία ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του Υποκειμένου που επιβάλλουν την προστασία των ΠΔ, ιδίως εάν το Υποκείμενο των ΠΔ είναι παιδί.
Συγκατάθεση από το Υποκείμενο ΠΔ για την επεξεργασία τους δεν απαιτείται για δεδομένα που αφορούν και απαιτούνται για την διεκπεραίωση νόμιμων ενεργειών. Συγκατάθεση απαιτείται κατά κανόνα για δεδομένα που δεν προκύπτουν από απαιτούμενες νόμιμες διαδικασίες.
Η εταιρία ως Υπεύθυνος Επεξεργασίας πραγματοποιεί συλλογή και επεξεργασία καθορισμένων προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις του Κανονισμού (ΕΕ) 679/2016 και τις σχετικές συμφωνίες με τους Υπεύθυνους Επεξεργασίας, ενώ τηρεί επίσης τα προβλεπόμενα Αρχεία Δραστηριοτήτων Επεξεργασίας βάσει του εν λόγω Κανονισμού.
Η εταιρία δεσμεύεται στην προστασία και στη διασφάλιση των δικαιωμάτων των Υποκειμένων βάσει των άρθρων 12-23 του Κανονισμού (ΕΕ) 679/2016. Κατά αυτό τον τρόπο, Υποκείμενα έχουν τη δυνατότητα να καταθέσουν κατάλληλα αιτιολογημένο αίτημα στην εταιρία, βάσει του Κανονισμού 679/2016 για την άσκηση των δικαιωμάτων τους που αναφέρονται στα άρθρα 12-23 του εν λόγω κανονισμού.
Για συμβάντα διαρροής Προσωπικών Δεδομένων προβλέπεται η άμεση ενημέρωση της Αρχής Προστασίας Προσωπικών Δεδομένων, σύμφωνα με τον κανονισμό (ΕΕ) 679/2016.
Η εταιρία στο πλαίσιο ασφάλειας των πληροφοριών και ειδικότερα προστασίας των προσωπικών δεδομένων, εφαρμόζει καθορισμένα μέτρα οργανωτικά & τεχνικά. Ειδικότερα εφαρμόζει:
• Οργανωτικά μέτρα με τη μορφή διαδικασιών, εξουσιοδοτήσεων και ανάθεσης ρόλων
• Μέτρα φυσικής ασφάλειας έναντι φυσικών αλλά και περιβαλλοντικών κινδύνων
• Μέτρα ασφάλειας λογικής πρόσβασης στα Πληροφοριακά & Επικοινωνιακά Συστήματα, τα οποία διαχειρίζονται και επεξεργάζονται πληροφορίες
• Μέτρα ασφάλειας επικοινωνίας εσωτερικά και εξωτερικά
• Μέτρα ασφάλειας λειτουργίας όσον αφορά εφεδρεία, χρήση κινητών μέσων, αντιμετώπισης κακόβουλων επιθέσεων, εγκατάστασης και αλλαγών λογισμικού και διαδικασιών
• Μέτρα ασφάλειας προμηθειών υλικών, προϊόντων και υπηρεσιών
Στο πλαίσιο εφαρμογής του συστήματος διαχείρισης ασφάλειας πληροφοριών η εταιρία σε εφαρμογή των σχετικών απαιτήσεων προτύπων αλλά και της νομοθεσίας εφαρμόζει κατάλληλες μεθοδολογίες διαχείρισης κινδύνων, η οποία περιλαμβάνει:
• Τον εντοπισμό και την ανάλυση κινδύνων
• Την αξιολόγηση κινδύνων
• Την αντιμετώπιση κινδύνων
• Την παρακολούθηση, την ανασκόπηση και τον έλεγχο των επιδόσεων του συστήματος διαχείρισης ασφάλειας πληροφοριών.
Στο πλαίσιο διαχείρισης διακινδύνευσης, πραγματοποιείται αξιολόγηση διακινδύνευσης των βασικών στόχων που αφορούν την προστασία & ασφάλεια των πληροφοριών και ειδικότερα των προσωπικών δεδομένων ως προς την ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα τους.
Κατά τον εντοπισμό, την ανάλυση και αξιολόγηση κινδύνων λαμβάνονται υπόψη κάθε μορφής δεδομένα, μεταξύ των οποίων καταγραφές συμβάντων, αποτελέσματα τεχνικών ελέγχων και δοκιμών προσδιορισμού ευπαθειών.
Η εταιρία μεριμνά για την αξιολόγηση και ανασκόπηση των επιδόσεων των διαδικασιών, πολιτικών και μέτρων που λαμβάνει για την προστασία των προσωπικών δεδομένων με σκοπό τη συνεχή βελτίωση στην προστασία και ασφάλεια τους.
Ειδικότερα, όσον αφορά την ασφάλεια πληροφοριών, μεταξύ των οποίων και των Προσωπικών Δεδομένων, η εταιρία θέτει συγκεκριμένους στόχους – ποσοτικούς κατά το δυνατό – που αφορούν τα επιμέρους επίπεδα διακινδύνευσης και τη μείωση τους μέσω της υλοποίησης καθορισμένων ενεργειών αντιμετώπισης κινδύνων.