Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Περαιτέρω, από την 25.05.2018 ισχύει ο υπ’ αρ. 2016/679 Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (ΕΕ), ο οποίος εισάγει ένα αυστηρότερο πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (εφεξής ο «Γενικός Κανονισμός» ή «ΓΚΠΔ» ή «GDPR»).

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι υψίστης σημασίας για την GIANT STRIDE E.E (εφεξής η «Εταιρεία»). Ως εκ τούτου, η συλλογή και επεξεργασία προσωπικών δεδομένων από την Εταιρεία γίνεται μόνον σύμφωνα με τον Γενικό Κανονισμό και την εν γένει ισχύουσα νομοθεσία, και όπου αυτό απαιτείται σχετικά με λειτουργία των εργασιακών σχέσεων και την επιχειρηματική δραστηριότητα της Εταιρείας. Η Εταιρεία επιτρέπει την πρόσβαση μόνον εξουσιοδοτημένων προσώπων σε αυτά και λαμβάνει αυξημένα μέτρα ασφάλειας των δεδομένων μεταξύ άλλων από απώλεια, εσφαλμένο χειρισμό, μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή αποκάλυψη.

Η παρούσα πολιτική είναι σύμφωνη με τον Γενικό Κανονισμό καθώς και με  γνωμοδοτήσεις- αποφάσεις που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων.

1. ΟΡΙΣΜΟΙ

«Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

«Περιορισμός της Επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον.

«Κατάρτιση Προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

«Ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

«Σύστημα Αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση.

«Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

«Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

«Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

«Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

«Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

«Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

«Δεδομένα Ειδικών Κατηγοριών»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό,

«Κύρια Εγκατάσταση»: α) ο τόπος της κεντρικής διοίκησης του υπευθύνου β) όταν πρόκειται για εκτελούντα την επεξεργασία η εγκατάσταση του εκτελούντος την επεξεργασία στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας.

«Εποπτική Αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51 του Γ.Κ.Π.Δ.

2. ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΣΥΛΛΕΓΟΝΤΑΙ

Η Εταιρεία στο πλαίσιο της επιχειρηματικής δραστηριότητας, και όπου αυτό απαιτείται για τη λειτουργία των εργασιακών σχέσεων και την άσκηση της επιχειρηματικής της δραστηριότητας, δύναται να συλλέγει δεδομένα προσωπικού́ χαρακτήρα τόσο των πελατών – επαγγελματιών (φυσικά πρόσωπα) που κάνουν χρήση των υπηρεσιών – εφαρμογών της, όσο και των εργαζομένων της, καθώς επίσης και των εν γένει συνεργατών της, αλλά́ και λοιπών φυσικών προσώπων με τα οποία συναλλάσσεται στο πλαίσιο της επιχειρηματικής δραστηριότητας της.  Ανάλογα με τη μορφή και τον σκοπό́ επεξεργασίας η Εταιρεία δύναται να συλλέγει και να επεξεργάζεται δεδομένα προσωπικού́ χαρακτήρα, όπως ενδεικτικά́ τα ακόλουθα:

2.1. Κατηγορία υποκειμένων: Πελάτες – Φυσικά Πρόσωπα

Η Εταιρεία ενδέχεται να επεξεργάζεται:

α) Τα δεδομένα που οι ίδιοι έχουν παράσχει για την παροχή των προσφερόμενων υπηρεσιών (ονοματεπώνυμο, πατρώνυμο, τηλέφωνο επικοινωνίας, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση έδρας/κατοικίας, ΑΦΜ, λοιπά επαγγελματικά στοιχεία).

β) Τα δεδομένα που αυτόματα συλλέγονται κατά τη σύνδεση τους και την περιήγησή τους στις εφαρμογές – συστήματα της Εταιρείας (IP διεύθυνση, τύπος συσκευής, πρόγραμμα περιήγησης, ιστοσελίδα ανακατεύθυνσης, ημερομηνία και την ώρα της επίσκεψης), τα οποία συλλέγονται μέσω cookies. Περισσότερες πληροφορίες για την πολιτική λειτουργίας των cookies θα βρείτε εδώ: https://www.giantstride.gr/el/cookies-policy-el/

2.2.  Κατηγορία υποκειμένων: Εργαζόμενοι

Πρόκειται για δεδομένα των εργαζομένων στην Εταιρεία, υπό οποιαδήποτε εργασιακή σχέση, καθώς και δεδομένα πρώην και υποψηφίων εργαζομένων, τα οποία τηρούνται για τους σκοπούς λειτουργίας της εργασιακής σχέσης και της εκπλήρωσης των εργοδοτικών υποχρεώσεων της Εταιρείας εκ της εργασιακής και διοικητικής νομοθεσίας. Αυτά μπορεί να περιλαμβάνουν:

α) Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, έτος γέννησης, τόπος γέννησης, ηλικία κ.λπ.).

β) Στοιχεία ασφάλισης (λ.χ. ΑΜΚΑ και λοιπά στοιχεία μητρώου Φορέα Κοινωνικής Ασφάλισης αν απαιτούνται),

γ) Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική́ διεύθυνση, τηλέφωνο, e-mail κ.λπ.)

δ) Οικονομικά στοιχεία (λ.χ. τραπεζικοί λογαριασμοί, εκκαθαριστικά εφορίας, δήλωση περιουσιακής κατάστασης κ.λπ.).

ε)  Περιουσιακά στοιχεία (λ.χ. δήλωση περιουσιακής κατάστασης).

στ) Στοιχεία οικογενειακής κατάστασης (λ.χ. βεβαιώσεις και πιστοποιητικά́, αριθμός και στοιχεία τέκνων, συζύγου κ.ο.κ.).

ζ) στοιχεία ποινικού μητρώου.

3. ΣΚΟΠΟΙ &  ΝΟΜΙΜΕΣ  ΒΑΣΕΙΣ  ΕΠΕΞΕΡΓΑΣΙΑΣ

3.1. Αναφορικά με τα υποκείμενα: Πελάτες – Φυσικά Πρόσωπα:

Η επεξεργασία των προσωπικών δεδομένων γίνεται για τους εξής σκοπούς:

α) Την εξυπηρέτηση προσυμβατικής ή συμβατικής σχέσης ώστε οι πελάτες να λαμβάνουν τις προσωποποιημένες για εκείνους πληροφορίες και υπηρεσίες, καθώς και για να διεκπεραιώνει η Εταιρεία τα αιτήματα τους.

β) Την πρόσβαση σε διαδικτυακές υπηρεσίες, εφαρμογές και πλατφόρμες, και την διαχείριση των σχετικών ηλεκτρονικών τους λογαριασμών.

γ) Την θεμελίωση οποιασδήποτε νόμιμης νομικής αξίωσης ή υπεράσπισης της Εταιρείας έναντι προσπάθειας απάτης, ενδεχόμενης κυβερνοεπίθεσης ή άλλης παράνομης δραστηριότητας.

δ)  Την δημιουργία ανωνυμοποιημένων στατιστικών για το επίπεδο χρήσης των υπηρεσιών της, ώστε να προβαίνει στις απαραίτητες ενέργειες βελτίωσής τους.

ε) Την εκπλήρωση υποχρεώσεων της Εταιρείας προς τις φορολογικές αρχές.

H επεξεργασία των δεδομένων είναι απαραίτητη για την εκπλήρωση των προαναφερθέντων σκοπών. Εκτός αν ορίζεται διαφορετικά κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα, νόμιμες βάσεις για την επεξεργασία τους είναι μία ή περισσότερες από τις ακόλουθες:  α) η εκτέλεση της σύμβασης παροχής υπηρεσιών της οποίας ο πελάτης ως υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης [άρθρο 6 § 1 περ. β’ Γ.Κ.Π.Δ.],  β) η συμμόρφωση με έννομη υποχρέωση [άρθρο 6 §1 περ. γ’ Γ.Κ.Π.Δ.], γ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία [Άρθρο 6 § 1 περ. στ’ Γ.Κ.Π.Δ.], δ) έχει δοθεί η ρητή συγκατάθεσή του υποκειμένου των δεδομένων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα [Άρθρο 6 § 1 περ. α’ Γ.Κ.Π.Δ.].

3.2. Αναφορικά με τα υποκείμενα: Εργαζόμενοι:

Η επεξεργασία των προσωπικών δεδομένων γίνεται για τους εξής σκοπούς:

α) Τη συλλογή και επεξεργασία των αναγκαίων δεδομένων των εργαζομένων ή/και υποψηφίων εργαζομένων και συνεργατών της Εταιρείας για την δέουσα εξυπηρέτηση υφισταμένων εργασιακών σχέσεων ή σχέσεων συνεργασίας ή την εξέταση ενδεχομένης μελλοντικής συνεργασίας, στις οποίες συμπεριλαμβάνονται και η διενέργεια των απαραίτητων εργασιών για την ασφαλιστική τακτοποίηση των εργαζομένων, για την αναγγελία των εργασιακών σχέσεων στις αρμόδιες αρχές και εν γένει την εκπλήρωση των εργοδοτικών υποχρεώσεων της Εταιρείας στις αρμόδιες αρχές, για τη καταβολή της μισθοδοσίας, για την υπεράσπιση των εργοδοτικών συμφερόντων της Εταιρείας ενώπιον διοικητικών αρχών και δικαστηρίων κ.ο.κ.)

β) Τη συλλογή και επεξεργασία δεδομένων εικόνας με χρήση κλειστού κυκλώματος καμερών (CCTV), καθώς επίσης την συλλογή και επεξεργασία δεδομένων ταυτοποίησής (λ.χ. δελτίο ταυτότητας) μόνο για την πρόσβαση σε συγκεκριμένους χώρους των γραφείων και των εν γένει εγκαταστάσεων της Εταιρείας.

H επεξεργασία των δεδομένων είναι απαραίτητη για την εκπλήρωση των προαναφερθέντων σκοπών. Εκτός αν ορίζεται διαφορετικά κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα, νόμιμες βάσεις για την επεξεργασία τους είναι μία ή περισσότερες από τις ακόλουθες:  α) η εκτέλεση της οποιουδήποτε είδους εργασιακής σύμβασης της οποίας ο εργαζόμενος ως υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου πριν από τη σύναψη σύμβασης [άρθρο 6 § 1 περ. β’ Γ.Κ.Π.Δ.],  β) η συμμόρφωση με έννομη υποχρέωση [άρθρο 6 §1 περ. γ’ Γ.Κ.Π.Δ.], γ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία [Άρθρο 6 § 1 περ. στ’ Γ.Κ.Π.Δ.], δ) έχει δοθεί η ρητή συγκατάθεσή του υποκειμένου των δεδομένων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα [Άρθρο 6 § 1 περ. α’ Γ.Κ.Π.Δ.].

4. ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ

Υπό την ισχύουσα νομοθεσία περί προστασίας των δεδομένων προσωπικού χαρακτήρα και εφόσον πληρούνται οι σχετικές νόμιμες προϋποθέσεις τα ανωτέρω υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα:

α) Δικαίωμα πρόσβασης: Έχουν δικαίωμα να ενημερωθούν εάν η Εταιρεία επεξεργάζεται δεδομένα τους, να έχουν πρόσβαση στα δεδομένα και να λάβουν συμπληρωματικές πληροφορίες σχετικά με την επεξεργασία τους.

β) Δικαίωμα διόρθωσης: Έχουν δικαίωμα να αιτηθούν την επικαιροποίηση, διόρθωση, συμπλήρωση των  προσωπικών τους δεδομένων.

γ) Δικαίωμα διαγραφής: Έχουν δικαίωμα να υποβάλουν αίτημα διαγραφής των προσωπικών τους δεδομένων, το οποίο θα ικανοποιείται υπό την προϋπόθεση ότι δεν συντρέχει άλλη νομική βάση επεξεργασίας (όπως ενδεικτικά υποχρέωση επεξεργασίας προσωπικών δεδομένων που επιβάλλεται από το νόμο, εκκρεμής εκτέλεση σύμβασης κλπ).

δ) Δικαίωμα περιορισμού της επεξεργασίας: Έχουν δικαίωμα να ζητήσουν περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων στις ακόλουθες περιπτώσεις: (α) όταν αμφισβητούν την ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) όταν αντιτίθενται στη διαγραφή προσωπικών δεδομένων και ζητάνε αντί διαγραφής τον περιορισμό χρήσης αυτών, (γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς επεξεργασίας, τους είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) όταν εναντιώνονται στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που αφορούν την Εταιρεία και υπερισχύουν των λόγων για τους οποίους εναντιώνονται στην επεξεργασία.

ε) Δικαίωμα εναντίωσης στην επεξεργασία: Έχουν δικαίωμα να εναντιωθούν ανά πάσα στιγμή στην επεξεργασία των προσωπικών τους δεδομένων όταν αυτή βασίζεται στην νομική βάση (Άρθρο 6 § 1 περ. στ’ του Γενικού Κανονισμού) η οποία θα ικανοποιηθεί εκτός εάν η Εταιρεία καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία τους.

στ) Δικαίωμα στη φορητότητα: Έχουν δικαίωμα να λάβουν χωρίς χρέωση τα προσωπικά τους δεδομένα σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο ή να αιτηθούν, εφόσον είναι τεχνικά εφικτό, να διαβιβάσει η Εταιρεία τα δεδομένα απευθείας σε άλλον υπεύθυνο επεξεργασίας.

Τα ανωτέρω δικαιώματα ασκούνται ενώπιον του Υπεύθυνου Επεξεργασίας, του οποίου τα στοιχεία αναγράφονται κατωτέρω στον όρο 5.1.

ζ) Δικαίωμα ανάκλησης της συγκατάθεσης: Σε περίπτωση που το υποκείμενο δήλωσε τη συγκατάθεσή του για την επεξεργασία συγκεκριμένων δεδομένων προσωπικού χαρακτήρα από την Εταιρεία, έχει το δικαίωμα να ανακαλέσει τη συγκατάθεση ανά πάσα στιγμή, με μελλοντική ισχύ. Η ανάκληση της συγκατάθεσης δεν επηρεάζει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προτού αυτή ανακληθεί. Σε περίπτωση ανάκλησης της συγκατάθεσης, η Εταιρεία δύναται να επεξεργάζεται περαιτέρω τα δεδομένα προσωπικού χαρακτήρα, μόνο σε περιπτώσεις που υφίσταται άλλος νομικός λόγος για την επεξεργασία.

η)  Δικαίωμα προσφυγής στην Αρχή: Αρμόδια αρχή είναι η Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Έχουν το δικαίωμα να προσφύγουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για ζητήματα που αφορούν την επεξεργασία προσωπικών τους δεδομένων. Θα πρέπει να έχει προηγηθεί προσπάθεια εκ μέρους τους να ασκήσουν τα δικαιώματά τους στην Εταιρεία πριν προσφύγουν στην αρμόδια Αρχή. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, μπορούν να επισκέπτονται την ιστοσελίδα της (www.dpa.gr > Τα δικαιώματά μου > Υποβολή καταγγελίας), όπου υπάρχουν αναλυτικές πληροφορίες.

5. ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Η Εταιρεία αποδέχεται τις βασικές Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα (άρθρο 5 ΓΚΠΔ):

α) Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).

β) Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

γ) Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).

δ) Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται.

ε) Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα («περιορισμός της περιόδου αποθήκευσης»).

στ) Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

6. ΑΠΟΔΕΚΤΕΣ ΚΑΙ ΔΙΑΒΙΒΑΣΕΙΣ

6.1. Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων

Υπεύθυνος Επεξεργασίας είναι η ίδια η Εταιρεία, ήτοι η εταιρεία με την επωνυμία GIANT STRIDE E.E. που εδρεύει στον Πειραιά Αττικής, οδός Φιλελλήνων αρ. 1-3, και έχει ΑΦΜ 800853625.

Η Εταιρεία παρέχει υποστήριξη προς όλες τις ερωτήσεις, σχόλια, προβληματισμούς ή καταγγελίες που σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα ή σε περίπτωση που τα υποκείμενα των δεδομένων επιθυμούν να ασκήσουν οποιοδήποτε δικαίωμα σχετικά με την προστασία των δεδομένων τους. Η επικοινωνία με τον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων μπορεί να πραγματοποιηθεί μέσω email στη διεύθυνση [email protected] ή ταχυδρομικά στη διεύθυνση: Φιλελλήνων 1-3, 18536, Πειραιάς.

6.2.  Εκτελούντες την Επεξεργασία Προσωπικών Δεδομένων

α) Ενδέχεται τρίτες εταιρείες πληροφορικής (εκτελούντες την επεξεργασία) με τις οποίες η Εταιρεία συνεργάζεται για την παροχή των υπηρεσιών της, να λαμβάνουν γνώση κάποιων από τα ανωτέρω  δεδομένα των ανωτέρω υποκειμένων. Στην περίπτωση αυτή εφαρμόζονται τα διαλαμβανόμενα στον όρο 8 περ. δ’ της παρούσας.

β) Επίσης, η Εταιρεία ενδέχεται να διαβιβάζει δεδομένα προσωπικού χαρακτήρα στη μητρική της εταιρεία ή σε τρίτους (εκτελούντες την επεξεργασία), αλλά μόνο εάν και στο βαθμό που αυτή η διαβίβαση απαιτείται αυστηρά για τους αναφερθέντες ως άνω σκοπούς.

γ) Η Εταιρεία ενδέχεται να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε δικαστικές, διοικητικές, φορολογικές, τελωνειακές, διαιτητικές αρχές ή άλλες δημόσιες αρχές ρυθμιστικούς φορείς (εκτελούντες την επεξεργασία) εάν αυτό είναι απαραίτητο για τη συμμόρφωση με τη νομοθεσία ή και για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεών της.

δ) Περαιτέρω, η Εταιρεία ενδέχεται να αναθέτει μέρος ή όλη την ως άνω επεξεργασία σε τρίτα μέρη (εκτελούντες την επεξεργασία) συμπεριλαμβανομένων των διευθυντών και υπαλλήλων αυτών: i) σε μέρη τα οποία έχουν συμβληθεί με την Εταιρεία για την προώθηση των υπηρεσιών της εταιρείας, για την παροχή ταχυδρομικών υπηρεσιών, υπηρεσιών μηχανογραφικής υποστήριξης, υπηρεσιών τήρησης αρχείου, υπηρεσιών διεξαγωγής ερευνών, υπηρεσιών πληροφορικής, διαφημιστικών υπηρεσιών, τραπεζικά και πιστωτικά ιδρύματα, εταιρίες ορκωτών λογιστών, ii) σε εταιρείες ενημέρωσης οφειλετών, με σκοπό τη σχετική ενημέρωση του πελάτη.

Σε όλες τις ανωτέρω περιπτώσεις, η Εταιρεία διασφαλίζει μέσω συμβατικών όρων και τακτικών ελέγχων ότι, εάν και εφόσον οι ανωτέρω τρίτοι (εκτελούντες την επεξεργασία) έχουν πρόσβαση σε προσωπικά δεδομένα, τηρείται επαρκώς η νομοθεσία για την προστασία τους.

Ο εκτελών την επεξεργασία των δεδομένων μπορεί να αναθέτει μέρος των εργασιών του σε άλλον εκτελούντα την επεξεργασία υπεργολάβο ή να διορίζει από κοινού εκτελούντα την επεξεργασία μόνον εφόσον έχει λάβει προηγούμενη γραπτή άδεια από την Εταιρεία που είναι ο υπεύθυνος επεξεργασίας των δεδομένων. Στην περίπτωση αυτή εφαρμόζονται τα διαλαμβανόμενα στον όρο 8 περ. δ’ της παρούσας.

6.3.  Υπερεθνικές μεταβιβάσεις δεδομένων:

Οι αποδέκτες των δεδομένων προσωπικού χαρακτήρα ενδέχεται να είναι εγκατεστημένοι εκτός του Ευρωπαϊκού Οικονομικού Χώρου. Σε αυτές τις περιπτώσεις, η Εταιρεία λαμβάνει μέτρα ώστε να εφαρμόζει επαρκείς και κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα με άλλα μέσα, και ιδίως με τη σύναψη σχετικών συμβάσεων με τις οποίες αυτοί οι αποδέκτες αναλαμβάνουν τις υποχρεώσεις που αναλαμβάνει και ο εκτελών την επεξεργασία σύμφωνα με τον ΓΚΠΔ και τους όρους της παρούσας.

Η Εταιρεία διαβεβαιώνει ότι διαβιβάσεις των προσωπικών δεδομένων των ανωτέρω υποκειμένων εκτός ΕΕ είναι εξασφαλισμένες. H Εταιρεία ενδέχεται να χρειάζεται να διαβιβάσει (μέσω πρόσβασης, οπτικοποίησης, αποθήκευσης κλπ) τα προσωπικά δεδομένα σε άλλες δικαιοδοσίες, συμπεριλαμβανομένων κρατών τόσο εντός όσο και εκτός του Ευρωπαϊκού Οικονομικού Χώρου, δηλαδή και σε χώρες οι οποίες θεωρούνται ότι δεν παρέχουν το ίδιο επίπεδο προστασίας, όπως τα κράτη- μέλη της ΕΕ. Στις περιπτώσεις που η Εταιρεία χρειάζεται να διαβιβάσει προσωπικά δεδομένα των ανωτέρω υποκειμένων εκτός ΕΕ, θα διασφαλίζει ότι θα εφαρμόζονται επαρκή μέτρα ασφαλείας, όπως απαιτούνται από την εφαρμοστέα νομοθεσία περί προστασίας Προσωπικών Δεδομένων.

7. ΧΡΟΝΟΣ ΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ

Η Εταιρεία θα τηρεί τα ανωτέρω προσωπικά δεδομένα για όσο διάστημα απαιτείται για την εκπλήρωση των σκοπών που περιγράφονται στην παρούσα πολιτική, εκτός εάν η ισχύουσα νομοθεσία επιτάσσει ή επιτρέπει μεγαλύτερο χρονικό διάστημα. Τα κριτήρια που διέπουν τον καθορισμό του χρόνου τήρησης των δεδομένων περιλαμβάνουν τα εξής:

α) όσο διαρκεί η μεταξύ της Εταιρείας και του πελάτη ή εργαζομένου αντίστοιχη συμβατική σχέση (σύμβαση παροχής υπηρεσιών ή σύμβαση εργασίας και οποιασδήποτε άλλης μορφής συνεργασίας).

β) όσο απαιτείται προκειμένου να βρίσκεται η Εταιρεία σε συμμόρφωση με νόμιμη υποχρέωση που την βαρύνει.

γ) όσο απαιτείται ενόψει της νομικής θέσης που βρίσκεται η Εταιρεία (όπως υπεράσπιση δικαιωμάτων ενώπιον δικαστηρίων, έλεγχοι ρυθμιστικών αρχών κ.λπ.).

8. ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ & ΕΚΠΑΙΔΕΥΣΗ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Η Εταιρεία εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία αυτή κατά τρόπο ώστε να πληρούνται οι απαιτήσεις της ισχύουσας νομοθεσίας και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων – φυσικών προσώπων:

α)  Προστασία δεδομένων προσωπικού χαρακτήρα: Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Εταιρεία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Γενικό Κανονισμό. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας από την Εταιρεία λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

β)  Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33 ΓΚΠΔ): Η Εταιρεία, ως υπεύθυνος επεξεργασίας, θα γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που θα αποκτήσει γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα, στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55 του ΓΚΠΔ, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων- φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, θα συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

γ)  Κατάρτιση προσωπικού: Η Εταιρεία αποδέχεται ότι η προστασία των δεδομένων  προσωπικού χαρακτήρα προϋποθέτει την ευαισθητοποίηση του ανθρώπινου δυναμικού του σχετικά με την προστασία των προσωπικών δεδομένων. Στην κατεύθυνση αυτή, παρέχεται επαρκής πληροφόρηση προς το προσωπικό σχετικά με τα μέτρα ασφαλείας στα πληροφοριακά συστήματα. Οι υπάλληλοι που σχετίζονται με θέματα επεξεργασίας προσωπικών δεδομένων είναι ενημερωμένοι και ευαισθητοποιημένοι σχετικά με θέματα προστασίας προσωπικών δεδομένων και τις ανάλογες υποχρεώσεις τους.

δ) Τήρηση εμπιστευτικότητας: Το προσωπικό, οι συνεργάτες και οι εν γένει προστηθέντες της Εταιρείας, στις περιπτώσεις που καθίστανται εκτελούντες  την επεξεργασία των προσωπικών δεδομένων, η Εταιρεία ως υπεύθυνος επεξεργασίας διασφαλίζει ότι κατανοούν τις ευθύνες και τις υποχρεώσεις που συνδέονται με την επεξεργασία προσωπικών δεδομένων. Οι ρόλοι και οι ευθύνες του προσωπικού γνωστοποιούνται σαφώς. Πριν την ανάληψη των καθηκόντων τους οι εν λόγω γνωρίζουν και αποδέχονται την πολιτική προστασίας δεδομένων της Εταιρείας και υπογράφουν σχετικώς σύμβαση τήρησης εμπιστευτικότητας – εχεμύθειας. Σε περίπτωση που η Εταιρεία χρειαστεί, στα πλαίσια της επιχειρηματικής της δραστηριότητας, να συνεργαστεί με κάποιον τρίτο ο οποίος αναγκαστικά, στο πλαίσιο της συνεργασίας αυτής,  θα λάβει γνώση μέρους των προσωπικών δεδομένων (υπεργολάβος επεξεργασίας), ο τελευταίος θα εκτελέσει συγκεκριμένες δραστηριότητες επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας που είναι η Εταιρεία). Προς τούτο θα συνάπτεται μεταξύ του υπεργολάβου επεξεργασίας και της Εταιρείας σύμβαση, η οποία θα επιβάλλει στον υπεργολάβο επεξεργασίας, στην ουσία, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με αυτές που επιβάλλονται στον εκτελούντα την επεξεργασία σύμφωνα με τους όρους του παρόντος, ώστε να συμμορφώνεται με τον ΓΚΠΔ.

ε) Τα φυσικά έγγραφα, δηλαδή τα αρχεία που αφορούν το προσωπικό και τα οποία απαιτείται να τηρούνται σε έντυπη μορφή λόγω της εργατικής και ασφαλιστικής νομοθεσίας, καθώς και οι συμβάσεις πελατών που καταρτίζονται κατ’ εξαίρεση σε έντυπη και όχι ηλεκτρονική μορφή, φυλάσσονται εντός κλειστών φακέλων σε κλειδωμένα ερμάρια εντός των γραφείων της Giant Stride στον Πειραιά Αττικής. Η πρόσβαση στα ερμάρια αυτά επιτρέπεται αποκλειστικά σε εξουσιοδοτημένο προσωπικό και μόνο για την εκπλήρωση συγκεκριμένων σκοπών. Τα ερμάρια παραμένουν διαρκώς κλειδωμένα, ενισχύοντας την προστασία, την εμπιστευτικότητα και την ακεραιότητα των εγγράφων που τηρούνται.