Η προστασία των προσωπικών δεδομένων είναι σημαντική προτεραιότητα της SIMPLY RENT A CAR. Διασφαλίζουμε την πλήρη συμμόρφωσή μας με το ισχύον Νομικό Πλαίσιο Προστασίας Δεδομένων, που ορίζεται από το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) και τον εθνικό νόμο 4624/2019. Τα στοιχεία του Υπεύθυνου επεξεργασίας είναι: Μαρία Κατάκη, διεύθυνση: Περιοχή αεροδρομίου, Θεσσαλονίκη, email: [email protected] – τηλέφωνο: 2316.015.916.
Τα προσωπικά δεδομένα σας συλλέγονται, διατηρούνται και κοινοποιούνται σύμφωνα με τις ισχύουσες βασικές αρχές:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με τα υποκείμενα των δεδομένων.
β) συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς.
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιημένα.
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των προσωπικών δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων.
ζ) δεν διαβιβάζονται σε χώρα ή έδαφος εκτός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν η εν λόγω χώρα ή επικράτεια εξασφαλίζει επαρκές επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των Υποκειμένων των δεδομένων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή πρόκειται για διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις ή πληρούν άλλες ειδικές προϋποθέσεις που ορίζει η ισχύουσα νομοθεσία.
- Σκοποί της επεξεργασίας των δεδομένων σας
Η επεξεργασία των δεδομένων των Εργαζομένων της SIMPLY RENT A CAR ανεξαρτήτως της φύσης της (δηλαδή ως διοικητικών υπαλλήλων, πωλητών ή τεχνικών) πραγματοποιείται από την SIMPLY RENT A C AR με τους παρακάτω σκοπούς:
1) Συλλογή και επεξεργασία δεδομένων εργαζομένων με σκοπό την τήρηση καρτέλας πελατών
2) Επεξεργασία δεδομένων πελατών με σκοπό την οικονομική καρτέλα τους.
Οι παραπάνω σκοποί επεξεργασίας βρίσκουν έρεισμα στην παρακάτω νομική βάση:
Η SIMPLY RENT A CAR δεν επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων.
- Κατηγορίες δεδομένων που επεξεργάζεται η SIMPLY RENT A CAR Κατηγορίες δεδομένων των Πελατών:
Επώνυμο, όνομα, ονοματεπώνυμο συζύγου, ονοματεπώνυμο πατρός, ονοματεπώνυμο μητρός, ημερομηνία γέννησης, τόπος γέννησης, υπηκοότητα, στοιχεία ταυτότητας, αριθμός ταυτότητας, ημερομηνία έκδοσης, εκδούσα αρχή, στοιχεία διαβατηρίου αριθμός διαβατηρίου, ημερομηνία έκδοσης. εκδούσα αρχή, στοιχεία άδειας παραμονής αριθμός ημερών έκδοσης, εκδούσα αρχή, διεύθυνση, πόλη νομός Τ.Κ. τηλέφωνο σταθερό, τηλέφωνο κινητό, ηλεκτρονικό ταχυδρομείο, ΑΦΜ, IBAN, ημερομηνίες προσέλευσης και αποχώρησης
Όταν παρέχετε στην SIMPLY RENT A CAR στοιχεία τρίτων προσώπων (στοιχεία των μελών της οικογένειάς σας, συζύγων, παιδιών, προσώπων επικοινωνίας, προσώπων για επαγγελματικές συστάσεις, κτλ.), είτε γραπτώς είτε προφορικώς δια ζώσης είτε τηλεφωνικώς θα πρέπει να ενημερώνετε τα πρόσωπα αυτά για την γνωστοποίηση των στοιχείων τους και να τους παρέχετε αντίγραφο της παρούσας ενημέρωσης.
- Ειδικές κατηγορίες δεδομένων
Η SIMPLY RENT A CAR ενδέχεται να ζητήσει να της γνωστοποιηθούν ειδικές κατηγορίες δεδομένων εφόσον προβλέπεται στο εθνικό ή ενωσιακό δίκαιο.
- Αποδέκτες των δεδομένων σας
Η SIMPLY RENT A CAR διαβιβάζει όσα δεδομένα είναι απαραίτητα για τους σκοπούς της εκάστοτε επεξεργασίας σύμφωνα με όσα ορίζει ο νόμος, στις εξής κατηγορίες αποδεκτών:
– Δημόσιες αρχές: Σώμα Επιθεωρητών Εργασίας (ΣΕΠΕ) και οικείες διευθύνσεις του ΙΚΑ-ΕΤΑΜ σύμφωνα με το Ν. 4415/2016 άρθρο 30
– Ιδιωτικοί φορείς: συνεργαζόμενες Τράπεζες
- Χρονικό διάστημα διατήρησης των δεδομένων σας
Η SIMPLY RENT A CAR διατηρεί τα δεδομένα σας μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας.
8.Διαβίβαση προσωπικών δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς
Η SIMPLY RENT A CAR δεν προβαίνει σε διαβίβαση δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς
9.Αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ
Η SIMPLY RENT A CAR δεν εκτελεί επεξεργασίες που περιλαμβάνουν την λήψη αποφάσεων που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ.
10.Τα Δικαιώματα σας
Έχετε τα παρακάτω δικαιώματα σχετικά με τα προσωπικά σας δεδομένα, Δικαίωμα ενημέρωσης |
Δικαίωμα ενημέρωσης | Έχετε το δικαίωμα να ενημερώνεστε για τη συλλογή και χρήση των προσωπικών σας δεδομένων |
Δικαίωμα πρόσβασης | Έχετε το δικαίωμα να λαμβάνετε από την SIMPLY RENT A CAR επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που σας αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, έχετε το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα σε σύντομη, κατανοητή, διαφανή και εύκολα προσβάσιμη μορφή. |
Δικαίωμα διόρθωσης | Μπορείτε να ζητήσετε από την SIMPLY RENT A CAR να διασφαλίσει ότι χωρίς αδικαιολόγητη καθυστέρηση θα προβεί στη διόρθωση ανακριβών ή ελλιπών Προσωπικών Δεδομένων, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. |
Δικαίωμα διαγραφής | Έχετε το δικαίωμα να ζητήσετε από την SIMPLY RENT A CAR τη διαγραφή των Προσωπικών Δεδομένων που σας αφορούν, χωρίς αδικαιολόγητη καθυστέρηση και η τελευταία υποχρεούται να προβεί στη διαγραφή, υπό τις προϋποθέσεις που ορίζει ο ΓΚΠΔ. Προσοχή: το άρθρο 17 παρ. 17 παρ. 3 στοιχ. β΄ έως ε΄ που διέπει το δικαίωμα διαγραφής ορίζει τα εξής: Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη: (……), β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχεία η) και θ), καθώς και το άρθρο 9 παράγραφος 3, δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. |
Δικαίωμα περιορισμού της επεξεργασίας | Έχετε το δικαίωμα να ζητήσετε από την SIMPLY RENT A CAR να περιορίσει τις δραστηριότητες επεξεργασίας μόνο σε συγκεκριμένους σκοπούς, υπό τις προϋποθέσεις που ορίζει ο νόμος. |
Δικαίωμα εναντίωσης Δικαίωμα στη φορητότητα των δεδομένων | Δικαιούστε να αντιτάσσεστε, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή σας, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που σας αφορούν. Η SIMPLY RENT A CAR δεν θα υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών σας ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Έχετε το δικαίωμα να λαμβάνετε τα δεδομένα προσωπικού χαρακτήρα που την αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζετε τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν: α)η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) και β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα. |
Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ | Έχετε το δικαίωμα να μην υπόκεισθε σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που σας αφορούν ή σας επηρεάζουν σημαντικά με παρόμοιο τρόπο. |
Η SIMPLY RENT A CAR θα ικανοποιήσει το αίτημά σας σύμφωνα με τις προϋποθέσεις που ορίζει ο ΓΚΠΔ. Η δυνατότητα άσκησης ενός δικαιώματος που σας απονέμει ο ΓΚΠΔ, δεν συνεπάγεται πάντα τη δυνατότητα να ικανοποιηθεί πλήρως, ιδίως όταν υπάρχουν άλλες νομικές διατάξεις που το περιορίζουν. Εφόσον δεν είμαστε σε θέση να ικανοποιήσουμε το αίτημά σας, θα σας ενημερώσουμε για τους λόγους.
11.Πώς ασκείτε τα δικαιώματά σας
Η SIMPLY RENT A CAR σέβεται τα δικαιώματα που έχετε στα προσωπικά σας δεδομένα και σας διευκολύνει στην άσκησή τους. Μπορείτε να απευθύνετε οποιοδήποτε αίτημα, ερώτημα ή παράπονο σχετικά με τα προσωπικά δεδομένα σας επικοινωνώντας με τον Υπεύθυνο Επεξεργασίας σύμφωνα με το ΓΚΠΔ [ή/και άλλο αρμόδιο πρόσωπο , π.χ. από τη Διεύθυνση)] τηλεφωνικά στο 2316.015.916 ή μέσω email στο: [email protected].
Θα απαντήσουμε στο αίτημά σας εντός τριάντα (30) ημερών. Στην περίπτωση που απαιτηθεί επέκταση της ανωτέρω προθεσμίας για την διερεύνηση ή/και τη διεκπεραίωση του αιτήματός σας, θα σας ενημερώσουμε σχετικά, εξηγώντας σας τους λόγους για τους οποίους είναι απαραίτητη η επέκταση της προθεσμίας. Σε κάθε περίπτωση, εάν αισθάνεστε ότι έχει παραβιαστεί η προστασία των προσωπικών σας δεδομένων με οποιονδήποτε τρόπο, έχετε το δικαίωμα να υποβάλετε καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr)
Σύμφωνα με τον Κανονισμό 2016/679, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αντίστοιχα, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
Ποια θεωρούνται περιστατικά παραβίασης ασφαλείας:
o Η αποκάλυψη προσωπικών δεδομένων σε μη εξουσιοδοτημένα πρόσωπα,
o Η απώλεια ή κλοπή φορητών συσκευών ή εξοπλισμού που περιέχει προσωπικά, εμπιστευτικά ή ευαίσθητα δεδομένα,
o απώλεια ή κλοπή φυσικού αρχείου,
o παραβίαση της πολιτικής ασφάλειας της εταιρίας,
o μη εξουσιοδοτημένη πρόσβαση και τροποποίηση ή διαγραφή αρχείων,
o διάδοση ιών ή άλλες επιθέσεις ασφάλειας σε συστήματα ή δίκτυα πληροφορικής,
o παραβιάσεις της φυσικής ασφάλειας,
o μη ασφαλής διάθεση απορριμμάτων χαρτιού με προσωπικά δεδομένα,
o να παραμένουν οι Η / Υ χωρίς επιτήρηση,
o δημοσίευση εμπιστευτικών δεδομένων στο διαδίκτυο κατά λάθος και κατά τυχαία αποκάλυψη κωδικών πρόσβασης
o αποστολή εσφαλμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή φαξ που περιέχουν προσωπικά, εμπιστευτικά ή ευαίσθητα δεδομένα κλπ. κλπ.
- Υπεύθυνος για τη διαχείριση περιστατικών παραβίασης δεδομένων
Υπεύθυνος για την αντιμετώπιση περιστατικών παραβίασης είναι o Νομικός Σύμβουλος της Εταιρίας ή ο νόμιμος εκπρόσωπος της SIMPLY RENT A CAR.
- Διαδικασία ανακοίνωσης περιστατικών παραβίασης προσωπικών δεδομένων
Εάν συμβεί ένα περιστατικό παραβίασης προσωπικών δεδομένων και διαπιστωθεί από μέλος του προσωπικού πρέπει να ενημερωθεί άμεσα η Διεύθυνση της SIMPLY RENT A CAR.
Μόλις παραληφθεί η αναφορά, γίνεται αξιολόγηση της σπουδαιότητας του περιστατικού.
- Γνωστοποίηση στην ΑΠΔΠΧ
Εφόσον διαπιστωθεί παραβίαση προσωπικών δεδομένων, σύμφωνα με τα παραπάνω, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην ΑΠΔΠΧ, εκτός εάν αξιολογηθεί, σύμφωνα με τα παραπάνω, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Για τη γνωστοποίηση περιστατικού παραβίασης στην Αρχή, σε συμμόρφωση με τη σχετική υποχρέωση του άρθρου 33 του ΓΚΠΔ ή το άρθρο 63 του ν. 4624/2019, ο υπεύθυνος επεξεργασίας πρέπει να συμπληρώσει ειδική φόρμα και να την υποβάλει στην Αρχή ηλεκτρονικά*, μέσω της διαδικτυακής πύλης της: https://www.dpa.gr/el/syndesi/prosvasi
Μόνο σε εξαιρετική περίπτωση μπορεί η φόρμα να υποβληθεί με άλλο τρόπο (π.χ. με φυσική υποβολή) και σε αυτήν την περίπτωση θα πρέπει να τεκμηριώνεται επαρκώς ο λόγος που δεν προτιμήθηκε η ηλεκτρονική υποβολή.
Η ως άνω ηλεκτρονική υποβολή συνίσταται, συνοπτικά, στα εξής βήματα:
- Σύνδεση του υπευθύνου επεξεργασίας στη διαδικτυακή πύλη της Αρχής ως «φορέα», με χρήση των διαπιστευτηρίων taxisnet (στον ίδιο σύνδεσμο είναι διαθέσιμες οδηγίες για τη σύνδεση και τη χρήση των ηλεκτρονικών υπηρεσιών της Αρχής).
- Συμπλήρωση των πεδίων της ηλεκτρονικής φόρμας που παρέχεται με την επιλογή «Γνωστοποίηση περιστατικού παραβίασης».
- Μεταφόρτωση αρχείου σε μορφή MS Excel (ή συμβατό λογισμικό επεξεργασίας φύλλων δεδομένων), το οποίο διατίθεται με αυτοματισμούς ή μη, συμπλήρωση του εν λόγω αρχείου και επισύναψη στην ως άνω ηλεκτρονική φόρμα.
- Επισύναψη τυχόν εγγράφων που συνδέονται άμεσα με τη γνωστοποίηση του περιστατικού παραβίασης στην ηλεκτρονική φόρμα.
- Υποβολή της ηλεκτρονικής φόρμας μαζί με τα συνημμένα.
Αναλυτικές οδηγίες για τη συμπλήρωση και υποβολή της ηλεκτρονικής φόρμας γνωστοποίηση περιστατικού παραβίασης είναι διαθέσιμες στην εξής διεύθυνση: https://www.dpa.gr/el/syndesi/foreis/gnostopoiisi_peristatikou_paraviasis καθώς και μετά τη σύνδεση στη διαδικτυακή πύλη της Αρχής.
Το αρχείο σε μορφή MS Excel, το οποίο επισυνάπτεται στην ηλεκτρονική φόρμα, χρησιμοποιείται για την υποβολή των απαιτούμενων αναλυτικών πληροφοριών που αφορούν το περιστατικό παραβίασης προσωπικών δεδομένων. Η επιλογή του κατάλληλου τύπου φόρμας του αρχείου προς επισύναψη βασίζεται στο πεδίο εφαρμογής των δραστηριοτήτων του εκάστοτε υπευθύνου επεξεργασίας.
- Γνωστοποίηση στα υποκείμενα των δεδομένων που αφορά η παραβίαση
Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, σύμφωνα με την ως άνω αξιολόγηση, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
Η ανακοίνωση στα υποκείμενα των δεδομένων περιλαμβάνει τα εξής:
α) περιγραφή της φύσης της παραβίασης δεδομένων προσωπικού χαρακτήρα,
β) ανακοίνωση του ονόματος και των στοιχείων επικοινωνίας του υπευθύνου με τον οποίο μπορούν να επικοινωνούν για περισσότερες πληροφορίες,
γ) περιγραφή των ενδεχόμενων συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
δ) περιγραφή των ληφθέντων ή των προτεινόμενων προς λήψη μέτρων από την ΚΑΤΑΚΗΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι Κανονισμός της Ευρωπαϊκής Ένωσης και από τις 25 Μαΐου 2018 εφαρμόζεται σε όλους τους οργανισμούς που συλλέγουν και επεξεργάζονται τα προσωπικά δεδομένα των πολιτών της ΕΕ, χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας καταργώντας υφιστάμενους κανονισμούς και νομοθεσίες. Σύμφωνα με τον Κανονισμό 2016/679 κάθε φυσικό ή νομικό πρόσωπο που επεξεργάζεται προσωπικά δεδομένα έχει την υποχρέωση εφαρμογής του Κανονισμού. Κάθε υπόχρεος φορέας οφείλει να προσαρμόσει τις δραστηριότητες του στο ανανεωμένο και πιο αυστηρό θεσμικό πλαίσιο καθώς σε διαφορετική περίπτωση υφίστανται ιδιαίτερα σημαντικές επιπτώσεις και απειλούνται μεγάλα διοικητικά πρόστιμα.
Πολύ συχνά, οι εταιρίες αναθέτουν σε άλλα, εκτός εταιρίας, φυσικά ή νομικά πρόσωπα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό τους. Τα πρόσωπα αυτά ορίζονται στον ΓΚΠΔ ως “εκτελούντες την επεξεργασία”, ενώ η εταιρία που αναθέτει την επεξεργασία καθορίζοντας τους σκοπούς και τον τρόπο της επεξεργασίας καλείται “υπεύθυνος επεξεργασίας”. Ο εκτελών την επεξεργασία ενεργεί βάσει των οδηγιών και των κατευθύνσεων του υπευθύνου επεξεργασίας καθώς ο τελευταίος, αποφασίζει “γιατί” και “πώς” τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία.
Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασίας. (Σ.Σ.: οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός μιας εταιρίας το κάνουν για να εκπληρώσουν τα καθήκοντα της εταιρίας ως υπεύθυνου επεξεργασίας και δεν είναι οι ίδιοι υπεύθυνοι οι εκτελούντες την επεξεργασία.)
Οι υπεύθυνοι επεξεργασίας βαρύνονται με την υποχρέωση “να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις τον ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων” (άρθρο 28 παρ. 1 ΓΚΠΔ).
Για λόγους σαφήνειας και διαφάνειας, η σχέση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία θα πρέπει να αποτυπώνεται λεπτομερώς σε σύμβαση που καταρτίζεται εγγράφως ή σε ηλεκτρονική μορφή. Η μη σύναψη σχετικής σύμβασης συνιστά αθέτηση της υποχρέωσης του υπεύθυνου επεξεργασίας να τεκμηριώνει τις αμοιβαίες υποχρεώσεις και δύναται να επιφέρει τις οικείες κυρώσεις του ΓΚΠΔ.
Η σύμβαση ανάθεσης επεξεργασίας σε εκτελούντα την επεξεργασία θα πρέπει να περιλαμβάνει τα ακόλουθα:
1) να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας,
2) να προβλέπει ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ε.Ε. ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία,
3) να προβλέπει ότι ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα δεσμεύονται για την τήρηση εμπιστευτικότητας,
4) να προβλέπει ότι ο εκτελών την επεξεργασία λαμβάνει όλα τα απαιτούμενα μέτρα για την ασφάλεια των δεδομένων,
5) να προβλέπει ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία θα πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία και να παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να αντιταχθεί σε αυτές τις αλλαγές. Σε περίπτωση που ο εκτελών την επεξεργασία προσλάβει “υπο-εκτελούντα” την επεξεργασία οφείλει να διασφαλίσει ότι οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση θα δεσμεύουν και τον “υπο-εκτελούντα”. Σε κάθε περίπτωση, ο αρχικώς εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας,
6) να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην απάντηση των αιτημάτων για άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, εναντίωσης),
7) να προβλέπει ότι ο εκτελών την επεξεργασία συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις ασφάλειας των δεδομένων και γνωστοποίησης τυχόν παραβίασης δεδομένων (data breach). Σε κάθε περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα,
8) να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην διενέργεια εκτίμησης αντικτύπου (privacy impact assessment), εφόσον αυτή απαιτείται εν προκειμένω από τον ΓΚΠΔ,
9) να προβλέπει ότι κατ’ επιλογή του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα διαγράψει ή θα επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και θα διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,
10) να προβλέπει ότι ο εκτελών την επεξεργασία υποχρεούται να θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής του προς τις υποχρεώσεις που προβλέπονται από το ΓΚΠΔ και να επιτρέπει και διευκολύνει τυχόν ελέγχους που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.
11) Τέλος, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.
Το ακόλουθο τμήμα αποτελεί ένα πρότυπο οδηγού συμφωνίας με εκτελούντα την επεξεργασία, το οποίο θα πρέπει να χρησιμοποιηθεί ως σημείο εκκίνησης για τη δημιουργία μίας σύμβασης προσαρμοσμένης στις ιδιαίτερες σχετικές ανάγκες.
Η παρούσα πολιτική προστασίας και δήλωση καταλαμβάνει όλα τα υποκείμενα των οποίων τα προσωπικά δεδομένα έχουν συλλεχθεί, σε συμμόρφωση με τις απαιτήσεις της κείμενης νομοθεσίας και του ΓΚΠΠΔ, όπως περιγράφονται στο αρχείο δραστηριοτήτων (GDPR_00). Ο Υπεύθυνος Επεξεργασίας «SIMPLY RENT A CAR» είναι υπεύθυνος να διασφαλίσει ότι η παρούσα Πολιτική θα είναι διαθέσιμη στα υποκείμενα των δεδομένων προτού συλλέξει/επεξεργαστεί τα προσωπικά τους δεδομένα και πως η συγκατάθεσή τους για την επεξεργασία των δεδομένων τους όπου αυτή είναι απαραίτητη ως νόμιμη βάση επεξεργασίας, είναι εξασφαλισμένη. Η συλλογή και η επεξεργασία αφορά σε προσωπικά δεδομένα που περιέρχονται σε γνώση της «SIMPLY RENT A CAR», στο πλαίσιο της άσκησης των προβλεπόμενων δραστηριοτήτων της. Ως συγκατάθεση ορίζεται κάθε ελεύθερη, συγκεκριμένη και σαφής ένδειξη των επιθυμιών του προσώπου, στο οποίο αναφέρονται τα δεδομένα με δήλωση ή με σαφή καταφατική ενέργεια που υποδηλώνει συμφωνία για την επεξεργασία των προσωπικών δεδομένων που το αφορούν. Διασφαλίζουμε την συμμόρφωση με το ισχύον Νομικό Πλαίσιο Προστασίας Δεδομένων, συμπεριλαμβανομένου του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και επεξεργαζόμαστε τα προσωπικά δεδομένα σύμφωνα με τις ισχύουσες βασικές αρχές. Τέλος η «SIMPLY RENT A CAR» δεσμεύεται ότι θα εφαρμόζει επαρκείς διαδικασίες για τη διασφάλιση της ορθής διαχείρισης περιστατικών παραβίασης των κανόνων προστασίας προσωπικών δεδομένων ή/και μη εξουσιοδοτημένης πρόσβασης, συμπεριλαμβανομένης της έγκαιρης κοινοποίησης του περιστατικού στην αρμόδια εποπτική αρχή (ΑΠΔΠΧ), εντός 72 ωρών από τη στιγμή που θα αποκτήσει γνώση του γεγονότος. Εάν η γνωστοποίηση πραγματοποιηθεί μετά την πάροδο 72 ωρών, πρέπει να είναι σε θέση να δικαιολογήσει την καθυστέρηση (βλ. GDPR_07). Περαιτέρω, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των Υποκειμένων των δεδομένων η «SIMPLY RENT A CAR» υποχρεούται να ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα και στο Υποκείμενο των δεδομένων. Σε αυτό το πλαίσιο, διασφαλίζουμε ότι η «SIMPLY RENT A CAR» λαμβάνει και εφαρμόζει αποτελεσματικά και κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζει το απαιτούμενο επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα και τα προσωπικά δεδομένα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με τα υποκείμενα των δεδομένων.
β) συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς.
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιημένα.
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των προσωπικών δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων.
ζ) δεν διαβιβάζονται σε χώρα ή έδαφος εκτός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν η εν λόγω χώρα ή επικράτεια εξασφαλίζει επαρκές επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των Υποκειμένων των δεδομένων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή πρόκειται για διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις ή πληρούν άλλες ειδικές προϋποθέσεις που ορίζει η ισχύουσα νομοθεσία.
Τέλος η «SIMPLY RENT A CAR» δεσμεύεται ότι θα εφαρμόζει επαρκείς διαδικασίες για τη διασφάλιση της ορθής διαχείρισης περιστατικών παραβίασης των κανόνων προστασίας προσωπικών δεδομένων ή/και μη εξουσιοδοτημένης πρόσβασης, συμπεριλαμβανομένης της έγκαιρης κοινοποίησης του περιστατικού στην αρμόδια εποπτική αρχή (ΑΠΔΠΧ), εντός 72 ωρών από τη στιγμή που θα αποκτήσει γνώση του γεγονότος. Εάν η γνωστοποίηση πραγματοποιηθεί μετά την πάροδο 72 ωρών, πρέπει να είναι σε θέση να δικαιολογήσει την καθυστέρηση (βλ. GDPR_07). Περαιτέρω, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των Υποκειμένων των δεδομένων η «SIMPLY RENT A CAR» υποχρεούται να ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα και στο Υποκείμενο των δεδομένων.
Οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία από την «SIMPLY RENT A CAR» είναι οι εξής:
Μητρώα πελατών: Ονοματεπώνυμα πελάτη, διεύθυνση, πόλη, τ.κ., τηλέφωνα επικοινωνίας email, στοιχεία οφειλών και πληρωμών
Τιμολόγιο – Δελτίο ΑΠΥ: Ονοματεπώνυμο πελάτη, διεύθυνση ποσό είσπραξης
Αρχείο εξόδων: Ονοματεπώνυμο, διεύθυνση, ποσό είσπραξης
Αρχείο συμβάσεων πελατών: Ονοματεπώνυμο, τηλέφωνο, ηλεκτρονικό ταχυδρομείο, διεύθυνση, ΑΦΜ, υπογραφή
Επικοινωνία μέσω viber: Ονοματεπώνυμο, τηλεφωνικός αριθμός.
ΖΟΟΜ -TEAMS – SKYPE: Δεδομένα εικόνας και ήχου.
Τηλεφωνικός Κατάλογος: Ονοματεπώνυμο, τηλέφωνο.
Επικοινωνία μέσω email: Ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου.
Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με την «SIMPLY RENT A CAR» και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του οργανισμού (GDPR_08). Επιπλέον όλες οι συμβάσεις με εκτελούντες διασφαλίζουν ότι:
α) οι εκτελούντες ή υποεκτελούντες επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας
γ) λαμβάνει όλα τα απαιτούμενα μέτρα ασφάλειας των δεδομένων
δ) τηρεί τους όρους του παρόντος για την πρόσληψη άλλου εκτελούντος την επεξεργασία
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,
στ) κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα
ζ) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.