ΠΟΛΙΤΙΚΗ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

                           

Ι.   ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ

  1. Εισαγωγή

Για την «επιχείρησή» μας με την επωνυμία  «IAMOS TRAVEL», με έδρα την  Αθήνα, οδός Γ΄ Σεπτεμβρίου 11, ΑΦΜ 072093679, email: [email protected], τηλ: 2105200023, website: https://www.iamostravel.gr, (εφεξής τουριστικό γραφείο ή επιχείρηση), η προστασία των προσωπικών δεδομένων σας έχει πρωταρχική σημασία, υπό οποιαδήποτε ιδιότητα επικοινωνείτε ή συνεργάζεσθε μαζί μας, όπως ενδεικτικά υποψήφιοι ή ενεργοί πελάτες, επισκέπτες ιστοσελίδας, υποψήφιοι εργαζόμενοι ή εργαζόμενοι, προμηθευτές, ιδιώτες, συνεργαζόμενοι τρίτοι, επισκέπτες, κλπ. Παρακαλούμε να διαβάσετε προσεκτικά αυτούς τους όρους και τη σχετική Πολιτική Ιδιωτικότητας, Ασφάλειας και Προστασίας Προσωπικών Δεδομένων της «επιχείρησης». Με τη χρήση της ιστοσελίδας μας και την υπογραφή σχετικής δήλωσης συγκατάθεσης, αποδέχεστε ανεπιφύλακτα τις πρακτικές που περιγράφονται στην παρούσα της οποίας οι όροι διέπουν εφεξής τη μεταξύ μας συμβατική σχέση και ενσωματώνονται στους όρους χρήσης της κάθε  υπηρεσίας μας.

 

2.  Τι είναι τα προσωπικά δεδομένα σας.

Στα προσωπικά δεδομένα σας ανήκει κάθε πληροφορία σε χαρτί ή ηλεκτρονικό μέσο που μπορεί να οδηγήσει, είτε απευθείας είτε συνδυαστικά με άλλες, στη μοναδική σας αναγνώριση ή στον εντοπισμό σας ως φυσικό πρόσωπο. Στην κατηγορία αυτή ανήκουν, κατά περίπτωση, στοιχεία όπως   ονοματεπώνυμο, ΑΦΜ, αριθμός μητρώου κοινωνικής ασφάλισης (ΑΜΚΑ), φυσικές ή ηλεκτρονικές διευθύνσεις, αριθμοί σταθερών και κινητών τηλεφώνων σας, καλούντες και καλούμενοι τηλεφωνικοί αριθμοί, παραλήπτες μηνυμάτων SMS/MMS, στοιχεία τραπεζικών/χρεωστικών/ προπληρωμένων καρτών σας, διευθύνσεις ηλεκτρονικού ταχυδρομείου σας, αναγνωριστικά στοιχεία εξοπλισμού ή τερματικών συσκευών σας, υπολογιστή, έξυπνου κινητού, tablet, ιστορικό διαδικτυακών αναζητήσεών σας (log files, cookies κλπ), και οποιαδήποτε άλλη πληροφορία επιτρέπει τη μοναδική ταυτοποίησή σας κατά τις διατάξεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ 2016/679), του νόμου 4624/2019, της εκάστοτε ισχύουσας ελληνικής νομοθεσίας καθώς και των αποφάσεων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

 

3.  Η φύση των εργασιών της «επιχείρησης»

Σας ενημερώνουμε, ότι η «επιχείρησή» μας συνεργάζεται με φυσικά πρόσωπα τα οποία επιθυμούν τα ταξιδέψουν σε διαφόρους προορισμούς που καθορίζει το τουριστικό γραφείο (εφεξής «πελάτες»). Ως Τουριστικό Γραφείο αποτελούμε νόμιμα οργανωμένη επιχείρηση, η οποία διαθέτει τα μέσα και τις υπηρεσίες, έτσι ώστε να αναλάβει τη μεταφορά και την διαμονή μεμονωμένων ατόμων ή ομάδα ατόμων εντός και εντός της χώρας.

 

 4.   Το «σύστημα αρχειοθέτησης», («αρχείο») της επιχείρησης

Ο παρών ΓΚΠΔ εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης (άρθρο 2 παρ. 1 ΓΚΠΔ).

Α.  Η «επιχείρηση» εφόσον επεξεργαστεί προσωπικά δεδομένα τα αποθηκεύει σε ψηφιακή ή έντυπη μορφή. Εν συνεχεία τα  κρυπτογραφεί με τρόπο  που διασφαλίζεται η υψηλή προστασία των εμπεριεχόμενων δεδομένων. Για την προστασία των αρχείων αυτών λαμβάνονται όλα τα απαιτούμενα μέτρα, ώστε να είναι απροσπέλαστα και οι πληροφορίες να παραμένουν εμπιστευτικές και ασφαλείς.

Β.  Ως προς τους εργαζόμενους, προμηθευτές και, ενδεχομένως, άλλα τρίτα φυσικά πρόσωπα που συναλλάσσονται ή θα συναλλαχθούν με την «επιχείρηση», οι πληροφορίες που συλλέγονται αποθηκεύονται σε σύστημα αυτοματοποιημένης αλλά και μη  αυτοματοποιημένης επεξεργασίας έχοντας λάβει η «επιχείρηση» όλα τα απαιτούμενα μέτρα προστασίας και ασφάλειας των δεδομένων τους.

 

5. Υποκείμενα των οποίων δύναται να γίνει επεξεργασία των δεδομένων τους

Η «επιχείρηση» μπορεί να επεξεργάζεται απαραίτητες πληροφορίες ήτοι :

  • Προσωπικά στοιχεία φυσικών προσώπων που συναλλάσσονται με το γραφείο μας ως πελάτες ή ως υποψήφιοι πελάτες.
  • Προσωπικά δεδομένα των εργαζομένων στο γραφείο μας.
  • Προσωπικά δεδομένα των προμηθευτών της «επιχείρησης».
  • Προσωπικά δεδομένα άλλων φυσικών προσώπων με τα οποία ενδεχομένως συναλλαχθεί η «επιχείρηση»
  • Προσωπικά δεδομένα εικόνας, χωρίς καταγραφή, των πελατών, εργαζομένων, συναλλασσομένων, επισκεπτών κλπ.

 

6. Τα προσωπικά δεδομένα που μπορεί να επεξεργάζεται η «επιχείρηση», οι  σκοποί επεξεργασίας και οι νομικές βάσεις της επεξεργασίας

Η επιχείρηση συλλέγει δεδομένα προσωπικού χαρακτήρα τόσο σε έντυπη μορφή, όσο και σε ηλεκτρονική μορφή.

Α.  αα) Η «επιχείρηση» δύναται να συλλέγει και να επεξεργάζεται προσωπικά δεδομένα υποψηφίων πελατών για τους κάτωθι σύννομους σκοπούς (άρθρο 6  ΓΚΠΔ) :

  1. Να εκτελεί προγράμματα εκδρομών, εντός και εκτός της ελληνικής επικράτειας. Τα προγράμματα αυτά, που μπορεί να είναι μονοήμερα, ή πολυήμερα, πραγματοποιούνται με θαλάσσια, χερσαία ή εναέρια μέσα μεταφοράς, ιδιόκτητα ή μισθωμένα. Η οργάνωση και η εποπτεία των προγραμμάτων αυτών, γίνεται με ευθύνη του ίδιου του γραφείου.
  2. Μεσολαβεί για την εξασφάλιση διαμονής των πελατών σύμφωνα με τις επιθυμίες τους.
  3. Αναλαμβάνει την ημιδιατροφή ή πλήρη διατροφή, επίσης κατά τις επιθυμίες του.
  4. Εκδίδει εισιτήρια για κάθε μεταφορικό μέσο.
  5. Μεσολαβεί για την ενοικίαση αυτοκινήτων, αεροσκαφών, σκαφών αναψυχής και άλλων μεταφορικών μέσων..
  6. Παρέχει σειρά χρήσιμων πληροφοριών για δρομολόγια αφίξεων και αναχωρήσεων, τιμές εισιτηρίων, κ.α.
  7. Παρέχει ταξιδιωτική ασφάλεια για τον ταξιδιώτη και τις αποσκευές του, σε συνεργασία με αξιόπιστη ασφαλιστική εταιρία.
  8. Διαθέτει έντυπα, ταξιδιωτικό υλικό και χάρτες, που αφορούν την χώρα ή τις χώρες που θέλει να επισκεφθεί ο πελάτης.

 

Τα προσωπικά δεδομένα, που μπορεί να επεξεργάζεται η «επιχείρηση» κατά την επικοινωνία της με τον πελάτη, είναι τα απολύτως απαραίτητα όπως :

  • Ονοματεπώνυμο, Πατρώνυμο, αριθμό κινητού τηλεφώνου, Email.

Τα ανωτέρω προσωπικά δεδομένα των πελατών επεξεργάζεται η «επιχείρηση» με τη ρητή συγκατάθεσή τους, (άρθρο 6 παρ. 1 α ΓΚΠΔ) ή με τη νομική βάση εκτέλεσης της σύμβασης, (άρθρο 6 παρ. 1 β ΓΚΠΔ) που εφαρμόζεται  και σε προσυμβατικό στάδιο ή με τη βάση της εξυπηρέτησης νόμιμου συμφέροντος της «επιχέιρησης» (άρθρο 6 παρ. 1 στ ΓΚΠΔ).

Β. Η «επιχείρηση» ως Υπεύθυνος Επεξεργασίας μπορεί να συλλέγει και να επεξεργάζεται, προσωπικά στοιχεία των εργαζόμενων της, εφόσον διαθέτει εργαζόμενους ή προτίθεται να προσλάβει τα οποία  είναι τα εξής  :

  • Ονοματεπώνυμο και στοιχεία επικοινωνίας του εργαζόμενου (τηλέφωνο, email, διεύθυνση).
  • Επαγγελματικά προσόντα του (τίτλοι σπουδών, δημοσιεύσεις, σεμινάρια, εμπειρία κλπ).
  • Βιογραφικό σημείωμα, το οποίο ενδέχεται να περιέχει πληροφορίες που χορηγεί ο εργαζόμενος, διάφορες από τα επαγγελματικά του προσόντα (π.χ. ενδιαφέροντα, δραστηριότητες κλπ).
  • Στοιχεία που απαιτούνται για την επικείμενη πρόσληψη π.χ. ΑΜΚΑ, ΑΦΜ, αριθμός δελτίου ταυτότητας/διαβατηρίου κλπ.
  • Στοιχεία απαραίτητα για την άσκηση από πλευράς του υποκειμένου των νόμιμων δικαιωμάτων του.
  • Στοιχεία της εικόνας του υποκειμένου (εικόνα προσώπου). Στοιχεία απαραίτητα για την διασφάλιση της ακεραιότητας της υγείας του προσωπικού κατά τη διάρκεια απασχόλησης του.

Οι σκοποί επεξεργασίας των ως άνω δεδομένων των εργαζομένων της «επιχείρησης» είναι οι κάτωθι :

  • Η αναγγελία πρόσληψής του εργαζόμενου.
  • Η μισθοδοσία του εργαζόμενου.
  • Η αξιολόγησή του.
  • Η ασφάλιση του εργαζόμενου στον αρμόδιο ασφαλιστικό φορέα.
  • Η καταβολή εργοδοτικών εισφορών.
  •  Η τήρηση φακέλου του εργαζόμενου και η λογιστική τακτοποίηση.

Τα ανωτέρω προσωπικά δεδομένα των εργαζομένων επεξεργάζεται η «επιχείρηση»  με τη νομική βάση εκτέλεσης της σύμβασης, ( άρθρο 6 παρ. 1 β ΓΚΠΔ και άρθρο 27 παρ. 1 ν.4624/2019) ή με τη νομική βάση της συμμόρφωσης με νομική υποχρέωση του υπευθύνου επεξεργασίας (άρθρο 6 παρ. 1 γ ΓΚΠΔ - αναγγελία πρόσληψης εργαζομένου στον ΟΑΕΔ, καταβολή εργοδοτικών εισφορών κλπ) ή με τη συγκατάθεση των εργαζομένων, η οποία μπορεί να ανακληθεί οποτεδήποτε, (άρθρο 6 παρ. 1 α ΓΚΠΔ και άρθρο 27 παρ. 2 ν.4624/2019). Εφόσον η «επιχείρηση»  επεξεργάζεται ευαίσθητα δεδομένα των εργαζομένων προβαίνει στην επεξεργασία με εφαρμογή του άρθρου 9 παρ. 2 β ή ε ΓΚΠΔ.

 Γ.  Η «επιχείρηση», ως υπεύθυνος επεξεργασίας, μπορεί να επεξεργάζεται προσωπικά δεδομένα των προμηθευτών της ή/και των εξωτερικών συνεργατών. Τα στοιχεία αυτά είναι τα συνήθη στοιχεία που εμπεριέχονται στα τιμολόγια πώλησης ή παροχής υπηρεσιών όπως  :

  • Το ονοματεπώνυμο του προμηθευτή ή εξωτερικού συνεργάτη, ενδεχομένως το πατρώνυμο, η πλήρης διεύθυνση, ο αριθμός τηλεφώνου, (κινητό –σταθερό), Ο ΑΦΜ, ΔΟΥ,  η ηλεκτρονική διεύθυνση.

Ο σκοπός επεξεργασίας των ως άνω προσωπικών δεδομένων των προμηθευτών ή/και  εξωτερικών συνεργατών της «επιχείρησης» είναι :

  • Η αγορά υλικοτεχνικής υποδομής, αναλώσιμων προιόντων αλλά και κάθε αναγκαίου προιόντος για την διεκπεραίωση των εργασιών της «επιχείρησης».
  • Η αγορά της υπηρεσίας του εξωτερικού συνεργάτη.
  • Η λογιστική τακτοποίηση και  τήρηση φακέλου τους.
  • Η πληρωμή και εξόφληση του αντιτίμου των ως άνω προιόντων και υπηρεσιών που αγοράζει η «εταιρία» προς εξυπηρέτηση των αναγκών της.
  • Η μηχανογραφική υποστήριξη,
  • Η διαχείριση της εταιρικής ιστοσελίδας,
  • Η συντήρηση του εξοπλισμού,
  • Οι λοιπές συνεργασίες με συμβούλους.

Τα ανωτέρω προσωπικά δεδομένα των προμηθευτών ή/και εξωτερικών συνεργατών επεξεργάζεται η «επιχείρηση» με τη  ρητή συγκατάθεσή τους, (άρθρο 6 παρ. 1 α ΓΚΠΔ) ή με τη νομική βάση εκτέλεσης σύμβασης, (άρθρο 6 παρ. 1 β ΓΚΠΔ)  ή με τη νομική βάση της συμμόρφωσης με νομική υποχρέωση του υπευθύνου επεξεργασίας (άρθρο 6 παρ. 1 γ ΓΚΠΔ).

Δ.   Η «επιχείρηση» ως Υπεύθυνος Επεξεργασίας δύναται να λαμβάνει εικόνα χωρίς καταγραφή (χωρίς τήρηση αρχείου) μέσω συστημάτων επιτήρησης (CCTV), όπου αυτά εφαρμόζονται, τηρώντας τις προδιαγραφές και προθεσμίες που προβλέπει η εθνική και ενωσιακή νομοθεσία για την τήρηση δεδομένων ήχου και εικόνας. Ο σκοπός επεξεργασίας των ως άνω  δεδομένων εικόνας  είναι η ασφάλεια των προσώπων και των εγκαταστάσεων της επιχείρησης. Η νομική βάση σύμφωνα με την οποία εκτελείται η επεξεργασία είναι ότι είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, (άρθρο 6 παρ. 1 δ ΓΚΠΔ) ή είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας (άρθρο 6 παρ. 1 στ ΓΚΠΔ).  

7.    Αποδέκτες προσωπικών δεδομένων

Α.   Για την επεξεργασία των προσωπικών δεδομένων ενός εκάστου πελάτη, αποδέκτης  είναι μόνο ένας εκ των εργαζομένων της «επιχείρησης» για τον σκοπό της ελαχιστοποίησης της επεξεργασίας. Σε έσχατη περίπτωση και εφόσον συντρέχει σοβαρός λόγος η επεξεργασία των δεδομένων ορισμένου φυσικού προσώπου μπορεί να γίνει από άλλον εργαζόμενο.

Β.  Για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων της «επιχείρησης», αυτή ανά περίπτωση, ενδέχεται να ανακοινώνει προσωπικά δεδομένα σε αποδέκτες, όπως :

  • Ο Εξωτερικός συνεργάτης – λογιστής ή εταιρία λογιστών.
  • Αποκλειστικά και μόνο για ζητήματα που άπτονται της εργασίας του, ο εξωτερικός συνεργάτης – δικηγόρος ή εταιρία δικηγόρων, εφόσον κριθεί αναγκαίο.
  • Ο Ενιαίος Φορέας Κοινωνικής Ασφάλισης (ΕΦΚΑ)
  • Η Αρμόδια Δ.Ο.Υ.
  • Το Σώμα Επιθεώρησης Εργασίας.
  • Ο  Οργανισμός Απασχόλησης Εργατικού Δυναμικού.
  • Ενδεχομένως κάποια άλλη δημόσια υπηρεσία εφόσον προβλέπεται από νόμο.

Η «επιχείρηση» παραμένει υπεύθυνη για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων της και ορίζει τα επιμέρους στοιχεία της επεξεργασίας, προβαίνει, δε, σε ειδική συμφωνία με τους τρίτους στους οποίους αναθέτει εκτέλεση δραστηριοτήτων επεξεργασίας, προκειμένου να διασφαλίζεται, ότι η επεξεργασία διενεργείται σύμφωνα με το ισχύον νομικό πλαίσιο και ότι κάθε φυσικό πρόσωπο μπορεί ελεύθερα και ανεμπόδιστα να ασκήσει τα δικαιώματα που του απονέμει το νομικό πλαίσιο.

Γ.  Για την  επεξεργασία των προσωπικών δεδομένων των προμηθευτών της ή/και των εξωτερικών συνεργατών η «επιχείρηση», ανά περίπτωση, ενδέχεται να ανακοινώνει προσωπικά δεδομένα σε αποδέκτες, όπως :

  • Ο Εξωτερικός συνεργάτης της  – λογιστής ή εταιρία λογιστών,
  • Αποκλειστικά και μόνο για ζητήματα που άπτονται της εργασίας του, ο εξωτερικός συνεργάτης της – δικηγόρος ή εταιρία δικηγόρων εφόσον κριθεί αναγκαίο.
  • Ενδεχομένως σε όποια  δημόσια υπηρεσία προβλέπεται από νόμο.

Δ.    Αποδέκτης των δεδομένων εικόνας χωρίς καταγραφή, των καμερών, είναι ο Υπεύθυνος επεξεργασίας.

 

8. Χρονικό διάστημα αποθήκευσης και διαγραφής προσωπικών δεδομένων

Τα δεδομένα πρέπει να τηρούνται για συγκεκριμένο χρονικό διάστημα ενόψει του επιδιωκόμενου κάθε φορά σκοπού επεξεργασίας. Ο χρόνος διαγραφής των προσωπικών δεδομένων των φυσικών προσώπων ποικίλει ανάλογα με το κατ’ ιδίαν νομοθετικό καθεστώς που εφαρμόζεται σε κάθε κατηγορία δεδομένων του αρχείου (υγείας, φορολογικά, οικονομικά, εργασιακά κλπ).

Η «επιχείρηση» αποθηκεύει και επεξεργάζεται δεδομένα για προκαθορισμένες χρονικές περιόδους. Εν συνεχεία τα δεδομένα διαγράφονται είτε μέσω αυτοματοποιημένης διαδικασίας διαγραφής, ή από τον αρμόδιο υπάλληλο της «επιχείρησης» για τη διαγραφή τους. Ειδικότερα :

 

Α.  Η «επιχείρηση» διακρατά σε φυσική μορφή (έντυπη) τα στοιχεία των φυσικών προσώπων που προέβησαν σε αγορά υπηρεσίας του πελάτη για 5 έτη (όση και η παραγραφή της αξίωσης). Άλλως και σε περίπτωση δικαστικής διένεξης του αγοραστή με τον υπεύθυνο επεξεργασίας, διατηρεί τα στοιχεία αυτά μέχρις τελεσιδικίας λόγω ενδεχόμενης εμπλοκής της «επιχείρησης» στη δικαστική αυτή διένεξη. Εν συνεχεία τα στοιχεία  καταστρέφονται.

 

 Β.   Η «επιχείρηση»  διαγράφει – καταστρέφει προσωπικά δεδομένα των εργαζομένων της όπως  :

  1. Δεδομένα που αφορούν τη σύμβαση εργασίας των εργαζόμενων, 2 έτη μετά τη λήξη της σύμβασης (άρθρο 7 ν. 3762/2009, ΠΔ 156/1994 και άρθρο 1 ν. 2639/1998).
  2. Δεδομένα που αφορούν υποψήφιους εργαζόμενους που τελικώς δεν επιλέχθηκαν, εντός 6 μηνών από την απόρριψη της αίτησης για εργασία (Γνωμοδότηση 4/2013 της ΑΠΔΠΧ, Απόφαση 101/2016 ΑΠΔ).

3.    Κάθε δεδομένο που χρησιμοποιείται σε δικαστική διαμάχη διατηρείται μέχρι το πέρας της εκκρεμοδικίας και της διαδικασίας εκτέλεσης σε περίπτωση που ασκηθεί ένδικο βοήθημα από ή κατά της «επιχείρησης», άλλως για χρόνο ίσο με την παραγραφή της απαίτησης.

 Γ.   Τα προσωπικά δεδομένα των προμηθευτών ή/και των εξωτερικών συνεργατών διατηρούνται για όσο χρόνο διαρκεί η συνεργασία τους με την «επιχείρηση» και σε κάθε περίπτωση για 5 έτη (όση και η παραγραφή εμπορικών αξιώσεων). Εφόσον λήξει η συνεργασία καταστρέφονται. Διατηρούνται δεδομένα μόνο στην περίπτωση δικαστικής διένεξης, και για χρονικό διάστημα μέχρις τελεσιδικίας της επίδικης υπόθεσης.

Εφόσον τα ως άνω δεδομένα μπορεί να αποτελούν και φορολογικά στοιχεία  (λογιστικά αρχεία, φορολογικοί ηλεκτρονικοί μηχανισμοί, φορολογικές μνήμες και αρχεία που δημιουργούν φορολογικοί μηχανισμοί), α) 5 έτη τουλάχιστον από τη λήξη του φορολογικού έτους που υπάρχει η υποχρέωση υποβολής δήλωσης, ή β) μέχρι να παραγραφεί το δικαίωμα έκδοσης από τη φορολογική διοίκηση πράξης προσδιορισμού φόρου, ή  γ) μέχρι να τελεσιδικήσει η απαίτηση της φορολογικής διοίκησης σε συνέχεια διενέργειας φορολογικού ελέγχου ή έως ότου αποσβεστεί ολοσχερώς η απαίτηση λόγω εξόφλησης [(ΠΟΛ. 1026/12-2-2018, άρθρο 13 παρ. 2 ν. 4174/2013 (ΚΦΔ) άρθρο 7 ν. 4308/2014 (ΕΛΠ)].

Δ.   Αποθηκευμένες ηχογραφημένες συνομιλίες με φυσικά πρόσωπα του αρχείου για το σκοπό της απόδειξης συμφωνίας αγοράς υπηρεσίας διατηρούνται για  12 μήνες από την ημερομηνία επικοινωνίας και συμφωνίας και εν συνεχεία καταστρέφονται., (άρθρο 6 ν. 3917/2011, όπως αντικαταστάθηκε με το άρθρο 96 ν. 4139/2013).

Ε.  Ως προς τη λήψη εικόνας μέσω καμερών (CCTV) εφόσον η «επιχείρηση» δεν βιντεοσκοπεί, δεν διαθέτει και αρχείο εικόνων. Επομένως δεν διαθέτει  υλικό διαγραφής.

II. Η ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΕΦΑΡΜΟΖΕΙ Η ΕΤΑΙΡΙΑ ΜΑΣ

1.  Ασφάλεια προσωπικών δεδομένων

Η «επιχείρηση» εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα με στόχο την ασφαλή επεξεργασία των προσωπικών δεδομένων και την αποτροπή τυχαίας απώλειας ή καταστροφής και μη εξουσιοδοτημένης ή/και παράνομης πρόσβασης σε αυτά, χρήσης, τροποποίησης ή αποκάλυψής τους. Για τη διασφάλιση του κατάλληλου επιπέδου ασφαλείας έναντι των κινδύνων και για την επιλογή των κατάλληλων τεχνικών και οργανωτικών μέτρων, η «επιχείρηση» λαμβάνει υπόψη της τις τελευταίες τεχνολογικές και άλλες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και αφενός μεν πόσο μεγάλη είναι η πιθανότητα και ο κίνδυνος να λάβουν χώρα περιστατικά τυχαίας απώλειας ή καταστροφής και μη εξουσιοδοτημένης ή/και παράνομης πρόσβασης σε προσωπικά δεδομένα, χρήσης, τροποποίησης ή αποκάλυψής τους, αφετέρου δε πόσο σοβαρές θα είναι οι συνέπειες για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Κάθε παραβίαση της παρούσας Πολιτικής, καθώς και του εκάστοτε ισχύοντος για τα προσωπικά δεδομένα και την προστασία τους νομοθετικού και κανονιστικού πλαισίου, και, εν γένει, κάθε παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, συνιστά παραβίαση των δεδομένων προσωπικού χαρακτήρα. 

 

Για την αντιμετώπιση ενδεχόμενων περιπτώσεων παραβίασης δεδομένων, η «επιχείρηση» έχει υιοθετήσει και εφαρμόζει πολιτική αντιμετώπισης και διαχείρισης παραβιάσεων δεδομένων προσωπικού χαρακτήρα.

 

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η «επιχείρηση» γνωστοποιεί αμελλητί και, εφόσον είναι εφικτό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εκτός εάν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων.

 

Επιπλέον, σε περίπτωση παραβίασης των δεδομένων, η «επιχείρηση» ενημερώνει αμέσως τον Υπεύθυνο επεξεργασίας ο οποίος λαμβάνει, Υ. Ε καταγράφει τις παραβιάσεις δεδομένων που σημειώνονται, αξιολογεί τις αιτίες που τις προκάλεσαν και τεκμηριώνει κάθε παραβίαση.

 

Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η «επιχείρηση» ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα σε αυτούς, κατά τα ειδικότερα οριζόμενα στον ΓΚΠΔ.

H «επιχείρηση»  δεν διαβιβάζει τα προσωπικά δεδομένα που επεξεργάζεται σε τρίτους εκτός Ευρωπαϊκής Ένωσης ή/και διεθνείς οργανισμούς.

Η «επιχείρηση» δεσμεύεται να διατηρεί την εμπιστευτικότητα των δεδομένων σας και να τα χρησιμοποιεί αποκλειστικά σύμφωνα με τις επιταγές του Γενικού Κανονισμού ΓΚΠΔ 679/2016 και του Ν. 4624/2019. Κάθε μέλος του προσωπικού που εργάζεται αναλαμβάνει τις ίδιες υποχρεώσεις τήρησης της εμπιστευτικότητας.

Η «επιχείρηση»  δεσμεύεται, ότι δε θα διαβιβάσει σε κανένα τρίτο τα δεδομένα σας, χωρίς την ελεύθερη και ρητή σας συγκατάθεση και χωρίς την προηγούμενη ενημέρωση σας. Εξαιρετικές περιπτώσεις π.χ. καταστάσεις ζωής/θανάτου οδηγούν σε κάμψη της ανωτέρω υποχρέωσης δήλωσης. Το ίδιο συμβαίνει και σε περιπτώσεις που η διαβίβαση είναι υποχρεωτική από την Κείμενη Ελληνική Νομοθεσία. Σε κάθε περίπτωση η «επιχείρηση»  θα διαβιβάζει δεδομένα σας μόνο σε συμμόρφωση με την κείμενη νομοθεσία, την πολιτική προστασίας δεδομένων της και τις επιταγές της ΑΠΔΠΧ.

 

2.   Νομοθετικό και κανονιστικό πλαίσιο

 

Η «επιχείρηση»  εφαρμόζει την παρούσα Πολιτική, υπό την ιδιότητά της στο πλαίσιο συμμόρφωσής της με τις διατάξεις του Γενικού Κανονισμού Προστασίας των Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»), της Οδηγίας 2016/680/ΕΕ, όπως αυτή ενσωματώθηκε  στην ελληνική νομοθεσία  μέσω του ν. 4624/2019, του ν. 3471/2006, του ν. 2472/1997 όσον ισχύει σήμερα, καθώς και του εκάστοτε ισχύοντος κανονιστικού πλαισίου, συμπεριλαμβανομένων των εκδιδόμενων από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αποφάσεων, εγκυκλίων, απόψεων και εν γένει πράξεων.

 

 

  1. Ορισμοί

 

Για τους σκοπούς της παρούσης, οι παρακάτω έννοιες νοούνται ως εξής:

 

Δεδομένα Προσωπικού Χαρακτήρα : Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

 

Επεξεργασία : Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

 

Ψευδωνυμοποίηση : Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

 

Σύστημα αρχειοθέτησης : κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

 

Υπεύθυνος Επεξεργασίας : Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

 

Εκτελών την Επεξεργασία : Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

 

Αποδέκτης : το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

 

Συγκατάθεση του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

 

Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα : Δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

 

Κρυπτογράφηση : Είναι ο τεχνικός μετασχηματισμός δεδομένων σε μορφή που είναι αδύνατον να διαβαστεί χωρίς τη γνώση ενός «κλειδιού» ήτοι της σωστής ακολουθίας δυαδικών ψηφίων (bits), η οποία χρησιμοποιείται σε συνδυασμό με ένα κατάλληλο αλγόριθμο συνάρτησης κατακερματισμού (hash -function).

 

Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα : Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

 

 4.  Αρχές επεξεργασίας προσωπικών δεδομένων

 

Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πελατών και η βασιζόμενη σε αυτή επεξεργασία δεδομένων προσωπικού χαρακτήρα, στην οποία η «επιχείρηση»  προβαίνει, στηρίζεται στις παρακάτω αρχές :

  • Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας. Σύμφωνα με την αρχή αυτή τα δεδομένα θα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Η διαφάνεια απαιτεί η ενημέρωση του υποκειμένου να είναι συνοπτική, εύκολα προσβάσιμη, κατανοητή, με σαφή και απλή διατύπωση.
  • Η αρχή του περιορισμού του σκοπού, σύμφωνα με την οποία, τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς.
  • Η αρχή της αναλογικότητας «ελαχιστοποίηση των δεδομένων», σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι πρόσφορα, συναφή και αναγκαία για τους επιδιωκόμενους σκοπούς επεξεργασίας.
  • Η αρχή της ακρίβειας των δεδομένων, σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι ακριβή, να επικαιροποιούνται και να λαμβάνονται τα κατάλληλα μέτρα για την άμεση διόρθωση ή διαγραφή ανακριβών σε σχέση με τους επιδιωκόμενους σκοπούς επεξεργασίας δεδομένων.
  • Η αρχή της «ακεραιότητας και εμπιστευτικότητας», σύμφωνα με την οποία τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά τους.
  • Η αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας «περιορισμός της περιόδου αποθήκευσης», σύμφωνα με την οποία τα δεδομένα πρέπει να τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για την επίτευξη των σκοπών της επεξεργασίας.
  • Η αρχή της λογοδοσίας του υπευθύνου επεξεργασίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή με τον Κανονισμό ενώπιον των εποπτικών αρχών και των δικαστηρίων.

 

Η «επιχείρηση»  ελέγχει, επανεξετάζει και επικαιροποιεί σε τακτά χρονικά διαστήματα και, σε κάθε περίπτωση, όποτε τούτο κρίνει αναγκαίο, την παρούσα Πολιτική, λαμβάνοντας υπόψη το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο.  

 

                                                        

                                                                                   5. Δικαιώματα των υποκειμένων των προσωπικών δεδομένων Δικαίωμα ενημέρωσης

      Έχετε δικαίωμα πληροφόρησης για την επεξεργασία την οποία θα τύχουν τα προσωπικά δεδομένα σας. Έτσι ο Υπεύθυνος Επεξεργασίας οφείλει να σας παράσχει κάθε πληροφορία που αναφέρεται στα άρθρα 12, 13, 14, 15 έως 22, και 34 ΓΚΠΔ.

      • Δικαίωμα πρόσβασης:

      Έχετε δικαίωμα να έχετε επίγνωση και να επαληθεύετε τη νομιμότητα της επεξεργασίας. Έτσι λοιπόν, έχετε δικαίωμα να έχετε πρόσβαση στα δεδομένα και να λάβετε συμπληρωματικές πληροφορίες σχετικά με την επεξεργασία τους.

      • Δικαίωμα διόρθωσης:

      Έχετε δικαίωμα να μελετήσετε, να διορθώσετε, να επικαιροποιήσετε ή να τροποποιήσετε τα προσωπικά σας δεδομένα ερχόμενοι σε επαφή με τον Υπεύθυνο Επεξεργασίας στα παραπάνω στοιχεία επικοινωνίας.

      • Δικαίωμα διαγραφής:

      Έχετε δικαίωμα να υποβάλετε αίτημα διαγραφής των προσωπικών σας δεδομένων όταν τα επεξεργαζόμαστε με βάση την συγκατάθεσή σας ή με προκειμένου να προστατεύσουμε τα έννομα συμφέροντα μας. Σε όλες τις υπόλοιπες περιπτώσεις (όπως ενδεικτικά όταν υπάρχει σύμβαση, υποχρέωση επεξεργασίας προσωπικών δεδομένων που επιβάλλεται από το νόμο, δημόσιο συμφέρον), το εν λόγω δικαίωμα υπόκειται σε συγκεκριμένους περιορισμούς ή δεν υφίσταται ανάλογα με την περίπτωση.

      • Δικαίωμα περιορισμού της επεξεργασίας:

      Έχετε δικαίωμα να ζητήσετε περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων στις ακόλουθες περιπτώσεις: (α) όταν αμφισβητείται την ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) όταν αντιτίθεστε στη διαγραφή προσωπικών δεδομένων και ζητάτε αντί διαγραφής τον περιορισμό χρήσης αυτών, (γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς επεξεργασίας, σας είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) όταν εναντιώνεστε στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που μας αφορούν και υπερισχύουν των λόγων για τους οποίους εναντιώνεστε στην επεξεργασία.

      • Δικαίωμα εναντίωσης στην επεξεργασία:

      Έχετε δικαίωμα να εναντιωθείτε ανά πάσα στιγμή στην επεξεργασία των προσωπικών σας δεδομένων στις περιπτώσεις που, όπως περιγράφεται παραπάνω, αυτή είναι απαραίτητη για σκοπούς εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος  επεξεργασίας, καθώς επίσης και στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης και κατάρτισης καταναλωτικού προφίλ.

      • Δικαίωμα στη φορητότητα:

      Έχετε δικαίωμα να λάβετε χωρίς χρέωση τα προσωπικά σας δεδομένα σε μορφή που θα σας επιτρέπει να έχετε πρόσβαση σε αυτά, να τα χρησιμοποιήσετε και να τα επεξεργαστείτε με τις κοινώς διαδεδομένες μεθόδους επεξεργασίας. Επίσης, έχετε δικαίωμα να μας ζητήσετε, εφόσον είναι τεχνικά εφικτό, να διαβιβάσουμε τα δεδομένα και απευθείας σε άλλον υπεύθυνο επεξεργασίας. Το δικαίωμα σας αυτό υπάρχει για τα δεδομένα που μας έχετε παράσχει εσείς και η επεξεργασία τους διενεργείται με αυτοματοποιημένα μέσα με βάση της συγκατάθεσή σας ή σε εκτέλεση σχετικής σύμβασης.

      Για να ασκήσετε οποιοδήποτε από τα παραπάνω δικαιώματά σας μπορείτε να απευθύνεστε στην «εταιρία»  στο e-mail: [email protected]

      • Δικαίωμα καταγγελίας στην ΑΠΔΠΧ
      • Έχετε δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr): Τηλεφωνικό Κέντρο: +30 210 6475600, Fax: +30 210 6475628, Ηλεκτρονικό Ταχυδρομείο: [email protected].

      6.  Ειδικές κατηγορίες προσωπικών δεδομένων

      Η «επιχείρηση»  δύναται να συλλέγει και να επεξεργάζεται δεδομένα που ανήκουν σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»), όπως δεδομένα που αφορούν στην υγεία, προκειμένου να ανταποκριθεί στις έννομες υποχρεώσεις της, υπό την ιδιότητα της Υπεύθυνης Επεξεργασίας (λχ. ως εργοδότης). Εφόσον η εν λόγω επεξεργασία απαιτεί συγκατάθεση, η «επιχείρηση» έχει φροντίσει να λάβει την ελεύθερη συγκατάθεση του υποκειμένου.

      7.  Δεδομένα ανηλίκων

      Επί της αρχής, δεν αποτελεί πολιτική της «επιχείρησης»  να αναζητεί ή λαμβάνει προσωπικά δεδομένα ανηλίκων (δηλ. από πρόσωπα που δεν έχουν συμπληρώσει το 18ο έτος της ηλικίας τους), είτε άμεσα είτε έμμεσα μέσω τρίτων, πλην των περιπτώσεων που αφορούν σε αναγκαία στοιχεία ασφάλισης και δεδομένα υγείας που είναι αναγκαία για την απολαβή νόμιμων ωφελημάτων των εργαζόμενων- γονέων αυτών (λ.χ. γονικές άδειες, επιδόματα και λοιπά ωφελήματα κ.λπ.).

      Ωστόσο, δεδομένου, ότι είναι αδύνατο να ελέγχεται πάντοτε η ηλικία των προσώπων που εισέρχονται ή χρησιμοποιούν τον ιστότοπο της «επιχείρησης», συστήνεται σε γονείς και κηδεμόνες ανηλίκων να επικοινωνήσουν άμεσα με την το γραφείο μας, εάν διαπιστώσουν οποιαδήποτε μη εξουσιοδοτημένη κοινοποίηση δεδομένων εκ μέρους των ανηλίκων για τους οποίους είναι υπεύθυνοι, προκειμένου να ασκήσουν αντίστοιχα τα δικαιώματα που τους παρέχονται, εφόσον αυτό είναι εφικτό και επιτρεπτό από τη νομοθεσία.

      8.  Διαδικτυακές  τεχνολογίες

      Η «επιχείρηση»  δύναται να συλλέγει μόνο τις απαραίτητες πληροφορίες που σχετίζονται με την εκπλήρωση των σκοπών επεξεργασίας και την εν γένει επισκεψιμότητα στον ιστότοπο της, όπως ενδεικτικά είναι η διεύθυνση διαδικτυακού πρωτοκόλλου (διεύθυνση IP) και είδος περιηγητή (browser) που χρησιμοποιεί ο επισκέπτης, cookies, αόρατα pixel και web beacons για τη λήψη πληροφοριών σχετικά με την περιήγηση σε αυτά.

      Η  «επιχείρηση» επί του παρόντος δεν χρησιμοποιεί  cookies. Πλην όμως δύναται στο μέλλον να χρησιμοποιήσει. Για την επεξεργασία δεδομένων μέσω χρήσης cookies θα σας ενημερώσει στον κατάλληλο χρόνο με επικαιροποιημένες τις παρούσες πολιτικές.

      9. Η χρήση της ιστοσελίδας της «επιχείρησης»

      Η «επιχείρηση»  ενδέχεται να προωθεί διαφημιστικά, μέσω της ιστοσελίδας της, τις υπηρεσίες της σε μέσα κοινωνικής δικτύωσης όπως το facebook  ή η google κλπ. Εφόσον δεχθεί τηλεφωνήματα ή μηνύματα  ανταπόκρισης από υποψήφιους αγοραστές των προιόντων ή / και υπηρεσιών των πελατών, δύναται να συλλέξει και επεξεργαστεί προσωπικά δεδομένα των υποψηφίων αγοραστών πάντα με τη ρητή συγκατάθεσή τους.

      Η «επιχείρηση» διατηρεί το δικαίωμα να τροποποιεί, προσθέτει, μεταβάλλει το περιεχόμενο ή τις υπηρεσίες του διαδικτυακού τόπου, καθώς και τους όρους χρήσης αυτού, οποτεδήποτε το κρίνει αναγκαίο, χωρίς προηγούμενη προειδοποίηση, με μόνη την ανακοίνωσή τους μέσω του διαδικτυακού της τόπου.

      10.  Αποποίηση ευθύνης για ιστότοπους τρίτων

      Στον ιστότοπο της «επιχείρησης» ενδέχεται να παρέχονται  ή να παρασχεθούν στο μέλλον σύνδεσμοι, οι οποίοι ανακατευθύνουν περαιτέρω τον χρήστη σε ιστότοπους τρίτων. Η «επιχείρηση» δεν ελέγχει τους εν λόγω ιστότοπους τρίτων και δεν ευθύνεται για το περιεχόμενο που αναρτάται σε αυτούς ή σε περαιτέρω συνδέσμους που εμφανίζονται σε αυτούς. Η «επιχείρηση»  δεν ευθύνεται για τις πρακτικές ιδιωτικού απορρήτου τρίτων ή για το περιεχόμενο των ιστότοπων τρίτων.

      11.  Διαβίβαση / πρόσβαση δεδομένων

      Η «επιχείρηση»  δύναται να διαβιβάζει δεδομένα σε τρίτα πρόσωπα ή/και να επιτρέπει την πρόσβασή τους σε αυτά (νομικά ή φυσικά πρόσωπα) που λειτουργούν ως εκτελούντες ή/και υπό-εκτελούντες την επεξεργασία, για την υποστήριξη της λειτουργίας της (λ.χ. εξειδικευμένη τεχνική συνδρομή και υποστήριξη για την ανάπτυξη εφαρμογών, επεξεργασία δεδομένων κυκλώματος CCTV από εταιρία Security κλπ) και την εξυπηρέτηση των σκοπών της.

      Η «επιχείρηση» δύναται να διαβιβάζει τα ανωτέρω δεδομένα σε τρίτους ή/και να επιτρέπει διαβαθμισμένη πρόσβαση από τρίτους σε αυτά, όταν αυτό προβλέπεται από την υφιστάμενη νομοθεσία, σύμφωνα με τις εγγυήσεις που προβλέπονται από αυτήν. Στις περιπτώσεις αυτές, οφείλει να ενημερώνει επαρκώς τα υποκείμενα των δεδομένων προτού προβεί στην εν λόγω διαβίβαση, εφόσον απαιτείται για τα ελάχιστα απαραίτητα εκ του νόμου στοιχεία, ήτοι την ταυτότητα του υπευθύνου επεξεργασίας, το σκοπό συλλογής των δεδομένων, την ταυτότητα του αποδέκτη και τα δικαιώματα του υποκειμένου.

      Η «επιχείρηση»  δεν διαβιβάζει δεδομένα εκτός Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Σε περίπτωση κατά την οποία πραγματοποιηθεί διαβίβαση σε χώρα εκτός Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), η «επιχείρηση» οφείλει να ελέγχει εάν:

      Η Επιτροπή έχει εκδώσει σχετική απόφαση επάρκειας για την τρίτη χώρα προς την οποία θα γίνει η διαβίβαση.

      Τηρούνται οι κατάλληλες εγγυήσεις σύμφωνα με τον Κανονισμό για τη διαβίβαση των δεδομένων αυτών.

      Σε περίπτωση που δεν πληρούνται οι ανωτέρω προϋποθέσεις, η διαβίβαση προς τρίτη χώρα εκτός ΕΕ ή ΕΟΧ απαγορεύεται και η «επιχείρηση»  δεν μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα προς αυτή, εκτός εάν ισχύει κάποια από τις ειδικές παρεκκλίσεις που προβλέπει ο Κανονισμός  (λ.χ. ρητή συγκατάθεση του υποκειμένου και ενημέρωση του αναφορικά με τους κινδύνους που ενέχει η διαβίβαση, η διαβίβαση είναι απαραίτητη για εκτέλεση σύμβασης κατόπιν αιτήματος του υποκειμένου, υπάρχουν λόγοι δημοσίου συμφέροντος, είναι αναγκαία για στήριξη νομικών αξιώσεων και ζωτικών συμφερόντων των υποκειμένων κ.ο.κ.). 12.  Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ ή DPO) 

      Η «εταιρία» δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Οfficer, εφεξής DPO).

      13. Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)

      Όταν ένα είδος επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η «εταιρία» διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα («εκτίμηση αντικτύπου»). Η εκτίμηση αντικτύπου είναι μια διαδικασία σχεδιασμένη να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση κινδύνων, με την αξιολόγηση και τον καθορισμό μέτρων για την αντιμετώπισή τους. Δεν απαιτείται για κάθε μορφή επεξεργασίας, αλλά μόνον στις περιπτώσεις κατά τις οποίες μια μορφή επεξεργασίας θεωρείται υψηλού κινδύνου (high risk). Στο πλαίσιο της εκτίμησης αντικτύπου συνεκτιμώνται η φύση, η έκταση, το γενικότερο πλαίσιο και οι σκοποί της επεξεργασίας προκειμένου να αξιολογηθεί κατά πόσο είναι πιθανό να επέλθει ένας κίνδυνος, καθώς και η σοβαρότητα αυτού για τα δικαιώματα και τις ελευθερίες των υποκειμένων.

      Η «επιχείρηση μπορεί να αποφασίσει τη διενέργεια εκτίμησης αντικτύπου για επεξεργασία, ακόμα και αν αυτή δεν θεωρείται υποχρεωτική από την υφιστάμενη νομοθεσία.            

      14.   Εκπαίδευση προσωπικού

      Η «επιχείρηση», εάν διαθέτει προσωπικό, φροντίζει για την πλήρη ενημέρωση και εκπαίδευση του συνόλου του προσωπικού της (εργαζομένων και στελεχών) ως προς όλα τα σχετιζόμενα με την προστασία των δεδομένων προσωπικού χαρακτήρα πελατών της ζητήματα και τη συμμόρφωση του προσωπικού με τις σχετικές απορρέουσες από τον ΓΚΠΔ, το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο, καθώς και από τις πολιτικές/διαδικασίες που η «εταιρία» έχει υιοθετήσει υποχρεώσεις. Η αρχική ενημέρωση – εκπαίδευση λαμβάνει χώρα κατά την πρόσληψη του εργαζομένου ή τη με οποιονδήποτε τρόπο έναρξη της μεταξύ αυτού και της «επιχείρησης» εργασιακής σχέσης/συνεργασίας, ενώ καθ’ όλη τη διάρκεια της εργασιακής σχέσης/συνεργασίας, η «επιχείρηση» φροντίζει και για την τακτική επιμόρφωση / επανεκπαίδευση όλου του προσωπικού.

       

      15.  Τεχνικά και οργανωτικά μέτρα προστασίας δεδομένων

      Α. Τα δεδομένα των φυσικών προσώπων που τυγχάνουν επεξεργασίας είναι προστατευμένα εντός του  χώρου της επιχείρησης της «επιχείρησης». Έχουν ληφθεί προς τούτο άπαντα τα προβλεπόμενα μέτρα ασφαλείας υπό του ΓΚΠΔ και των συναφών νόμων. Έτσι έχει διασφαλιστεί η περίπτωση αντιμετώπισης φυσικών καταστροφών όπως η πυρκαγιά. Ως προς την περίπτωση πυρκαγιάς ο χώρος εργασίας είναι προστατευμένος με τα ανάλογα  πυροσβεστικά μέσα όπως (πυροσβεστήρες κλπ). Τεχνικός ασφαλείας έχει οριστεί. Ακόμη και η παραβίαση του καταστήματος από κακόβουλους εισβολείς (κλέφτες κλπ) κρίνεται εξαιρετικά δύσκολη εφόσον για να εισέλθουν στο χώρο της επιχείρησης της «εταιρίας» θα πρέπει να παραβιάσουν δύο εξώπορτες ασφαλείας.

       

      Β.  Το ψηφιακό αρχείο της «επιχείρησης» προστατεύεται επαρκώς από κυβερνοεπιθέσεις με antivirus, συστήματα ανίχνευσης εισβολών, λογισμικά προστασίας από ιούς κλπ. Περαιτέρω τα συστήματα εσωτερικής επικοινωνίας προστατεύονται με  Firewall  στο κομμάτι του ίντερνετ. Τα δεδομένα επίσης είναι κρυπτογραφημένα με κλειδί ισχυρής ασφαλείας για περαιτέρω προστασία. Το εν λόγω σύστημα διαθέτει κωδικούς ασφαλείας και εξουσιοδοτήσεις.

      .Κάθε χρήστης υπολογιστή στην επιχείρηση έχει δικό του User-ID (μόνιμο αναγνωριστικό για έναν μεμονωμένο χρήστη), με διαπιστευτήρια ελέγχου ταυτότητας (κωδικό εισόδου), με ημερομηνία και ώρα ώστε να γίνει από τον διαχειριστή η ιχνηλάτηση κινήσεων ανά πάσα στιγμή.

      Άπαντες έχουν δεσμευτεί έναντι της «επιχείρησης» με ρήτρες εμπιστευτικότητας με σκοπό τη μη διαβίβαση προσωπικών στοιχείων και πληροφοριών σε τρίτα γενικώς πρόσωπα.

      Γ.  Η «επιχείρηση»  διατηρεί αρχεία προσωπικών δεδομένων και σε έντυπη μορφή. Τα αρχεία αυτά βρίσκονται εντός της επιχείρησης μέσα σε ερμάρια κλειστά και σφραγισμένα.

      Η «επιχείρηση» διατηρεί το δικαίωμα να τροποποιεί τα διαλαμβανόμενα μέτρα ασφαλείας κατά την κρίση της, με στόχο πάντα να διασφαλίζεται η μέγιστη δυνατή ασφάλεια στην επεξεργασία των δεδομένων.

       

      16.  Τήρηση του άρθρου 11 του ν. 3471/2006

      Η «επιχείρηση»  τηρεί ρητώς τις διατάξεις σχετικά με την εφαρμογή του άρθρου 11 του ν. 3471/2006, όπως αυτό τροποποιήθηκε με τις διατάξεις του άρθρου 16 παρ. 1 και 2 ν. 3917/2011, (μη ζητηθείσες επικοινωνίες), σχετικά με το ζήτημα των τηλεφωνικών κλήσεων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς. 

       

      17.  Επικοινωνία για ερωτήσεις ή σχόλια

       Εάν έχετε ερωτήσεις ή σχόλια σχετικά με την παρούσα Πολιτική Ιδιωτικότητας,  Ασφάλειας και Προστασίας προσωπικών δεδομένων ή εάν θεωρείτε ότι δεν έχουμε ακολουθήσει τις αρχές που ορίζονται σε αυτή, παρακαλούμε να μας στείλετε email στην ηλεκτρονική διεύθυνση iamostravel@gmail.com.

      18. Επικαιροποίηση της πολιτικής προστασίας προσωπικών δεδομένων  

      Η «επιχείρηση» δύναται να τροποποιεί την παρούσα Πολιτική Ιδιωτικότητας, Προστασίας και Ασφάλειας για λόγους συμμόρφωσης με κανονιστικές μεταβολές ή προκειμένου να ανταποκριθεί στις ανάγκες της λειτουργίας της και τις νομικές της υποχρεώσεις. Επικαιροποιημένες εκδόσεις της παρούσας Πολιτικής ιδωτικότητας, Προστασίας και Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα θα αναρτώνται στον ιστότοπο της «επιχείρησης»  με ένδειξη ημερομηνίας, ώστε να καθίσταται γνωστό ποια είναι η πλέον πρόσφατα επικαιροποιημένη έκδοση.

      19. Ισχύς της Πολιτικής, Ιδιωτικότητας, Ασφάλειας και Προστασίας Προσωπικών Δεδομένων

      Η Πολιτική αυτή έχει αναρτηθεί σε έντυπη μορφή στον πίνακα ανακοινώσεων, εντός του καταστήματός της «επιχείρησης», προς ενημέρωση παντός ενδιαφερόμενου φυσικού προσώπου (πελατών, εργαζομένων, προμηθευτών, κλπ) από 1-1-2024.

       

      Η παρούσα Πολιτική εφόσον ανακοινώθηκε στην επίσημη ιστοσελίδα της «επιχείρησης» https://www.iamostravel.gr, συνιστά εκ των ων ουκ άνευ ενημέρωση (άρθρα 12 κι 13 και 15 – 22 ΓΚΠΔ), σύμφωνα με την αρχή της διαφάνειας (άρθρο 5 παρ. 1 α ΓΚΠΔ),  όλων των φυσικών προσώπων των οποίων προσωπικά δεδομένα επεξεργάζεται είτε ως υπεύθυνος επεξεργασίας, είτε ως εκτελούσα.

       

      Η παρούσα Πολιτική υπόκειται σε περιοδική βελτίωση και αναθεώρηση.