УСЕТИ

Опознай

Ως υπεύθυνος για τα προσωπικά δεδομένα, η Grand Hotels Management and Marketing EOOD έχει την υποχρέωση να σας ενημερώσει για το τι να περιμένετε κατά την επεξεργασία των προσωπικών σας δεδομένων.

Διαφάνεια κατά την επεξεργασία των πληροφοριών

I. Δήλωση σχετικά με την πολιτική προστασίας των προσωπικών δεδομένων

  1. Με το παρόν έγγραφο, η διοίκηση της Grand Hotels Management and Marketing EOOD διασφαλίζει τη συμμόρφωση προς την ευρωπαϊκή νομοθεσία και των κρατών μελών σχετικά με την επεξεργασία των προσωπικών δεδομένων και την προστασία των “δικαιωμάτων και ελευθεριών” των ατόμων, των οποίων τα προσωπικά δεδομένα συλλέγονται και επεξεργάζονται από την Grand Hotels Management and Marketing EOOD σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (Κανονισμός (ΕΕ) 2016/679).
  2. Σύμφωνα με τον Γενικό Κανονισμό, σε αυτήν την πολιτική περιγράφονται και άλλα σχετικά έγγραφα, καθώς και σχετικές διαδικασίες και διαδικασίες.
  3. Η παρούσα πολιτική αφορά όλες τις δραστηριότητες επεξεργασίας προσωπικών δεδομένων, συμπεριλαμβανομένων εκείνων που αφορούν προσωπικά δεδομένα πελατών, εργαζομένων, προμηθευτών και συνεργατών, καθώς και οποιαδήποτε άλλα προσωπικά δεδομένα που η οργάνωση της Grand Hotels Management and Marketing EOOD επεξεργάζεται από διάφορες πηγές.
  4. Ο Διαχειριστής διατηρεί το Μητρώο/τα Μητρώα των επεξεργασιών. Στις περιπτώσεις όπου η διαχείριση του Μητρώου/Μητρώων έχει ανατεθεί σε υπεύθυνο για τα δεδομένα/υπεύθυνο για την προστασία των προσωπικών δεδομένων, αυτός είναι υπεύθυνος για την καταχώρηση σε αυτό το Μητρώο/Μητρώα οποιαδήποτε αλλαγή στις δραστηριότητες της Grand Hotels Management and Marketing EOOD, καθώς και για όλες τις άλλες πρόσθετες απαιτήσεις, συμπεριλαμβανομένων Αξιολογήσεις των επιπτώσεων στην προστασία των δεδομένων. Αυτό το Μητρώο πρέπει να είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.
  5. Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους/εργαζομένους (και ενδιαφερόμενα μέρη) της Grand Hotels Management and Marketing EOOD, καθώς και για τους υποκείμενους επεξεργασίας και τα μέλη του προσωπικού τους. Κάθε παράβαση του Γενικού Κανονισμού θα θεωρείται παράβαση της εργατικής πειθαρχίας, ενώ σε περίπτωση υποψίας για διαπραγμάτευση, το ζήτημα θα υποβάλλεται για εξέταση στις αρμόδιες κρατικές αρχές στον σύντομο δυνατό χρονικό διάστημα.
  6. Τρίτα μέρη που εργάζονται με ή για την Grand Hotels Management and Marketing EOOD, συμπεριλαμβανομένων συνεργατών, εξωτερικών προμηθευτών, πελατών και άλλων, και που έχουν ή μπορεί να έχουν πρόσβαση στα προσωπικά δεδομένα του διαχειριστή, πρέπει να ενημερωθούν και να συμμορφωθούν με αυτήν την πολιτική. Ο διαχειριστής υποχρεούται να συνάψει συμφωνία εμπιστευτικότητας δεδομένων με κάθε τρίτο μέρος στο οποίο παρέχει πρόσβαση στα προσωπικά δεδομένα που επεξεργάζεται, παρέχοντας στην Grand Hotels Management and Marketing EOOD το δικαίωμα να πραγματοποιεί ελέγχους για την τήρηση των υποχρεώσεων που επιβάλλονται από τη συμφωνία, εκτός εάν η επεξεργασία απαιτείται από το δίκαιο της ΕΕ ή από το δίκαιο κράτους μέλους.

II. Υποχρεώσεις και ευθύνες σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679

  1. Η Grand Hotels Management and Marketing EOOD είναι ο υπεύθυνος για τα δεδομένα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 και φέρει την πλήρη ευθύνη και τους κινδύνους ενδεχόμενης μη συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού, συμπεριλαμβανομένης της ευθύνης για την ανάπτυξη και προώθηση καλών πρακτικών στον τομέα της επεξεργασίας προσωπικών δεδομένων στη Grand Hotels Management and Marketing EOOD.
  2. Ο επεξεργαστής προσωπικών δεδομένων είναι κάθε άτομο εκτός του οργανισμού του υπεύθυνου, το οποίο επεξεργάζεται απευθείας τα προσωπικά δεδομένα εξ ονόματος του υπεύθυνου – αποθηκεύει, ψηφιοποιεί, καταλογίζει και έτσι παρακολουθεί όλες τις πληροφορίες.
  3. Ο υπεύθυνος προστασίας δεδομένων, αντίστοιχα “Το άτομο που εκτελεί, είτε κατά κατάθεση, είτε βάσει επιφανειακής χαρακτηριστικής, καθήκοντα που σχετίζονται με την προστασία των προσωπικών δεδομένων (υπεύθυνο πρόσωπο/υπεύθυνος για την προστασία των δεδομένων), συμμετέχει στις συνεδριάσεις της διοίκησης του υπεύθυνου, όπου συζητούνται θέματα που αφορούν την προστασία των προσωπικών δεδομένων, και συμβουλεύει τον υπεύθυνο για την απόδειξη της συμμόρφωσης με τη νομοθεσία για την προστασία των δεδομένων και τις καλές πρακτικές.

Αυτή η αναφορά του Υπεύθυνου για την Προστασία των Δεδομένων περιλαμβάνει:

III. Αρχές προστασίας των δεδομένων

Η επεξεργασία προσωπικών δεδομένων πραγματοποιείται σύμφωνα με τις αρχές προστασίας των δεδομένων που περιγράφονται στο άρθρο 5 του Κανονισμού (ΕΕ) 2016/679. Οι πολιτικές και οι διαδικασίες της Grand Hotels Management and Marketing EOOD έχουν ως στόχο να διασφαλίσουν την τήρηση αυτών των αρχών.

  1. Τα προσωπικά δεδομένα πρέπει να επεξεργάζονται νόμιμα, συνετά και διαφανώς.

Νόμιμο – να προσδιορίζει νόμιμη βάση πριν επεξεργαστεί προσωπικά δεδομένα. Αυτά είναι τα ούτω καλούμενα “νομικά θεμέλια επεξεργασίας”, όπως για παράδειγμα το “συναίνεση”. Η συγκατάθεση του υποκειμένου είναι μία από τις βάσεις για την επεξεργασία προσωπικών δεδομένων. Αυτή μπορεί επίσης να είναι η εκτέλεση συμβολαίου ή το νόμιμο συμφέρον του διαχειριστή, στις περιπτώσεις όπου δεν είναι απαραίτητη η έκδοση συγκατάθεσης.

Ενδεικτικά – για να είναι η επεξεργασία δίκαιη, ο διαχειριστής δεδομένων πρέπει να παρέχει συγκεκριμένες πληροφορίες στους υποκείμενους δεδομένων, απαραίτητες για κάθε συγκεκριμένη περίπτωση και για κάθε συγκεκριμένο σκοπό, με έναν κατανοητό, συνοπτικό και προσβάσιμο τρόπο για το υποκείμενο δεδομένων. Αυτό ισχύει ανεξάρτητα από το εάν τα προσωπικά δεδομένα έχουν ληφθεί άμεσα από τους υποκείμενους δεδομένων ή από άλλες πηγές.

Διαφανές – Ο Κανονισμός (ΕΕ) 2016/679 θέτει απαιτήσεις για το ποιες πληροφορίες πρέπει να διατίθενται στους υποκείμενους δεδομένων, οι οποίες καλύπτονται από την αρχή της “διαφάνειας”, όπως κανονίζεται στα άρθρα 12, 13 και 14 του GDPR. Σύμφωνα με τις παραπάνω διατάξεις του GDPR, η πληροφορία πρέπει να επικοινωνείται στο υποκείμενο δεδομένων με κατανοητό τρόπο, χρησιμοποιώντας σαφή και κατανοητή γλώσσα, δηλαδή οι δηλώσεις περί απορρήτου που υπογράφονται από τους υποκείμενους δεδομένων πρέπει να είναι λεπτομερείς και συγκεκριμένες, κατανοητές και προσβάσιμες. Οι κανόνες για την ενημέρωση του υποκειμένου δεδομένων από τη Grand Hotels Management and Marketing EOOD καθορίζονται στην αντίστοιχη διαδικασία διαφάνειας, με την ενημέρωση να πραγματοποιείται μέσω ανακοίνωσης για την εμπιστευτική μεταχείριση των προσωπικών δεδομένων.

Η συγκεκριμένη πληροφορία που η εταιρεία παρέχει στον υποκείμενο δεδομένων περιλαμβάνει τουλάχιστον: δεδομένα που ταυτοποιούν τον διαχειριστή και τα στοιχεία επικοινωνίας του διαχειριστή και τα στοιχεία επικοινωνίας του εκπροσώπου της προστασίας των δεδομένων, αν υπάρχει· τους σκοπούς της επεξεργασίας, για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία· τη διάρκεια για την οποία θα διατηρούνται τα προσωπικά δεδομένα· την ύπαρξη των εξής δικαιωμάτων – να ζητήσετε πρόσβαση στα δεδομένα, διόρθωση, διαγραφή (δικαίωμα “να ξεχαστεί”), περιορισμό της επεξεργασίας, καθώς και το δικαίωμα εναντίον των όρων (ή της έλλειψης αυτών) που σχετίζονται με την άσκηση αυτών των δικαιωμάτων· τις κατηγορίες προσωπικών δεδομένων· τους παραλήπτες ή τις κατηγορίες παραληπτών των προσωπικών δεδομένων, όταν αυτό είναι εφαρμόσιμο· όπου είναι εφαρμόσιμο, αν ο διαχειριστής σκοπεύει να μεταφέρει τα προσωπικά δεδομένα σε παραλήπτη σε τρίτη χώρα και το επίπεδο προστασίας των δεδομένων· οποιαδήποτε επιπλέον πληροφορία που απαιτείται για να εξασφαλιστεί η δίκαιη επεξεργασία.

Τα δεδομένα που έχουν συλλεχθεί για συγκεκριμένους σκοπούς δε χρησιμοποιούνται για σκοπούς που διαφέρουν από αυτούς που έχουν επίσημα ανακοινωθεί ως μέρος του Καταλόγου Δραστηριοτήτων Επεξεργασίας Δεδομένων (άρθρο 30 του ΓΚΠΔ) της Grand Hotels Management and Marketing EOOD. Η Διαδικασία Διαφάνειας κατά την επεξεργασία προσωπικών δεδομένων καθορίζει τους αντίστοιχους κανόνες.

Το πρόσωπο προστασίας δεδομένων θα πραγματοποιήσει μια αρχική αξιολόγηση επιπτώσεων, όταν αυτό είναι απαραίτητο, λαμβάνοντας υπόψη όλες τις συνθήκες που σχετίζονται με τις επεξεργασίες δεδομένων από την Grand Hotels Management and Marketing EOOD. Σε κάθε περίπτωση παραβίασης της προστασίας προσωπικών δεδομένων, το πρόσωπο προστασίας δεδομένων ως υπεύθυνο πρόσωπο στην επιχείρηση του διαχειριστή πρέπει να πραγματοποιήσει αξιολόγηση του κινδύνου και, εάν υπάρχει υψηλός κίνδυνος, να ειδοποιήσει την αρχή εποπτείας και/ή το υποκείμενο δεδομένων. Κατά την εκτίμηση του κινδύνου σε συγκεκριμένη περίπτωση, το πρόσωπο προστασίας δεδομένων πρέπει να εξετάσει το βαθμό πιθανής ζημιάς ή απώλειας που μπορεί να προκληθεί σε φυσικά πρόσωπα (π.χ. προσωπικό ή πελάτες), σε κάθε πιθανή ζημιά για τη φήμη του διαχειριστή, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών και άλλα. Η εξασφάλιση της ασφάλειας των προσωπικών δεδομένων συνδέεται και με την υλοποίηση κατάλληλων τεχνικών μέτρων, την οποία παρακολουθεί το διακινδυνευτικό πρόσωπο και που μπορεί να περιλαμβάνει τουλάχιστον:

Κατά την εκτίμηση των κατάλληλων οργανωτικών μέτρων, ο υπεύθυνος προστασίας δεδομένων θα λάβει υπόψη του τα εξής:

Κατά την εκτίμηση για κατάλληλα μέτρα, λαμβάνονται υπόψη οι εντοπισμένοι κίνδυνοι για τα προσωπικά δεδομένα, καθώς και η δυνατότητα προκαλείνης ζημιάς στα άτομα των οποίων τα δεδομένα υπόκεινται σε επεξεργασία.

Ο Κανονισμός (ΕΕ) 2016/679 περιλαμβάνει διατάξεις που προωθούν την ευθύνη και τη διαχείριση, συμπληρώνοντας τις απαιτήσεις για διαφάνεια. Η αρχή της ευθύνης σύμφωνα με το άρθρο 5, παράγραφος 2, απαιτεί από τον διαχειριστή να αποδεικνύει τη συμμόρφωσή του με τις υπόλοιπες αρχές του Γενικού Κανονισμού και δηλώνει ρητά ότι αυτό είναι δική του ευθύνη.

Η Grand Hotels Management and Marketing EOOD αποδεικνύει τη συμμόρφωσή της προς τις αρχές προστασίας δεδομένων μέσω της εφαρμογής πολιτικών προστασίας δεδομένων, της ένταξης σε κώδικες συμπεριφοράς, της υιοθέτησης κατάλληλων τεχνικών και οργανωτικών μέτρων, καθώς και μέσω της υιοθέτησης τεχνικών προστασίας δεδομένων στη σχεδίαση και της προεπιλεγμένης προστασίας δεδομένων, αξιολόγησης των επιπτώσεων στην προστασία των προσωπικών δεδομένων, διαδικασίας ενημέρωσης για παραβίαση των προσωπικών δεδομένων, κ.λπ.

IV. Δικαιώματα των υποκειμένων δεδομένων

  1. Σύμφωνα με τον Γενικό Κανονισμό, το υποκείμενο δεδομένο έχει τα εξής δικαιώματα όσον αφορά την επεξεργασία των προσωπικών του δεδομένων:
  2. Να λάβει πληροφορίες σχετικά με τα προσωπικά του δεδομένα που υποβάλλονται σε επεξεργασία από το διαχειριστή και για τον σκοπό της επεξεργασίας, συμπεριλαμβανομένου του δικαιώματος πρόσβασης στα δεδομένα, καθώς και πληροφορίες σχετικά με τους παραλήπτες αυτών των δεδομένων και τα τρίτα μέρη στα οποία παρέχονται τα δεδομένα.
  3. Να ζητήσει αντίγραφο των προσωπικών του δεδομένων από το διαχειριστή;
  4. Να ζητήσει από το διαχειριστή την διόρθωση των προσωπικών του δεδομένων όταν είναι ανακριβή, καθώς και όταν δεν είναι πλέον ενημερωμένα;
  5. Να ζητήσει από το διαχειριστή τη διαγραφή των προσωπικών του δεδομένων (δικαίωμα στην “ηλεκτρονική λήθη”);
  6. Να ζητήσει από το διαχειριστή τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων, όπου σε αυτήν την περίπτωση τα δεδομένα θα αποθηκεύονται μόνο, αλλά δεν θα υπόκεινται σε επεξεργασία;
  7. Να υποβάλει ένσταση κατά της επεξεργασίας των προσωπικών του δεδομένων;
  8. Να υποβάλει ένσταση κατά της επεξεργασίας των προσωπικών του δεδομένων που τον αφορούν για σκοπούς άμεσης διαφήμισης.
  9. Να υποβάλει παράπονο στην εποπτική αρχή αν πιστεύει ότι παραβιάστηκε κάποια από τις διατάξεις του Γενικού Κανονισμού;
  10. Να ζητήσει και να λάβει τα προσωπικά του δεδομένα σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή;
  11. Να ανακαλέσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων ανά πάσα στιγμή, με ξεχωριστό αίτημα προς το διαχειριστή;
  12. Να μην υπόκειται σε αποφάσεις που λαμβάνονται αυτοματοποιημένα και τον επηρεάζουν σημαντικά, χωρίς δυνατότητα ανθρώπινης παρέμβασης;
  13. Να αντιταχθεί στο αυτοματοποιημένο προφιλάρισμα που λαμβάνει χώρα χωρίς τη συγκατάθεσή του;
  14. Η Grand Hotels Management and Marketing EOOD παρέχει συνθήκες που εξασφαλίζουν την άσκηση αυτών των δικαιωμάτων από το υποκείμενο δεδομένων:
  15. Τα υποκείμενα δεδομένα μπορούν να υποβάλουν αιτήματα για πρόσβαση στα δεδομένα, όπως περιγράφεται στην αντίστοιχη διαδικασία, η οποία περιγράφει επίσης πώς η Grand Hotels Management and Marketing EOOD θα διασφαλίσει ότι η απάντηση στο αίτημα του υποκειμένου δεδομένων συμμορφώνεται με τις απαιτήσεις του Γενικού Κανονισμού.
  16. Όταν τα αιτήματα του υποκειμένου δεδομένων είναι προφανώς αβάσιμα ή υπερβολικά, ιδίως λόγω της επαναληπτικότητάς τους, η Grand Hotels Management and Marketing EOOD μπορεί είτε να επιβάλει λογικό τέλος, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή των πληροφοριών, της επικοινωνίας ή της λήψης των απαιτούμενων μέτρων ή να αρνηθεί να ανταποκριθεί στο αίτημα.
  17. Οι υποκείμενοι δεδομένων έχουν το δικαίωμα να υποβάλουν αντιρρήσεις στην ΦЕЪРПЛЕЙ ИНТЕРНЕШЪНЪЛ ΑД, σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Η επεξεργασία των αιτημάτων των υποκειμένων δεδομένων και οι αντιρρήσεις που υποβάλλονται από τους υποκείμενους δεδομένων πραγματοποιούνται σύμφωνα με τους καθιερωμένους κανόνες της εταιρείας. Ο εποπτικός φορέας στη Βουλγαρία είναι η Επιτροπή Προστασίας Δεδομένων Προσωπικού, διεύθυνση: πλ. София 1592, bul. „Професор Цветан Лазаров” № 2 (cpdp.bg).

V. Συγκατάθεση

  1. Με τον όρο “συγκατάθεση”, η Grand Hotels Management and Marketing EOOD εννοεί κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη έκφραση της θέλησης του υποκειμένου δεδομένων, με δήλωση ή σαφή επιβεβαίωση ενεργειών που εκφράζουν τη συγκατάθεσή του για την επεξεργασία των σχετικών προσωπικών του δεδομένων. Το υποκείμενο δεδομένων μπορεί να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε. Η συγκατάθεση του υποκειμένου δεδομένων απαιτείται πάντοτε όταν δεν υπάρχει εναλλακτική νόμιμη βάση για την επεξεργασία.
  2. Η Grand Hotels Management and Marketing EOOD θεωρεί ως “συγκατάθεση” μόνο τις περιπτώσεις όπου το υποκείμενο δεδομένων έχει ενημερωθεί πλήρως για την προγραμματισμένη επεξεργασία και έχει εκφράσει τη συγκατάθεσή του χωρίς να ασκείται πίεση επάνω του. Η συγκατάθεση που δίνεται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν θα αποτελεί έγκυρη βάση για την επεξεργασία προσωπικών δεδομένων.
  3. Η συγκατάθεση δεν μπορεί να εξαχθεί από την έλλειψη απάντησης σε ενημέρωση προς το υποκείμενο δεδομένων. Για να θεωρηθεί ότι υπάρχει συγκατάθεση, πρέπει να υπάρχει ενεργή επικοινωνία μεταξύ του διαχειριστή και του υποκειμένου. Ο διαχειριστής απαιτεί και λαμβάνει συγκατάθεση για τις δραστηριότητες επεξεργασίας, όταν απαιτείται συγκατάθεση.
  4. Για ειδικές κατηγορίες δεδομένων πρέπει να ληφθεί ρητή γραπτή συγκατάθεση σύμφωνα με τη Διαδικασία Λήψης Συγκατάθεσης για την Επεξεργασία Προσωπικών Δεδομένων των υποκειμένων δεδομένων, εκτός αν υπάρχει εναλλακτική νόμιμη βάση για την επεξεργασία.
  5. Η συγκατάθεση του υποκειμένου για την επεξεργασία προσωπικών ή ειδικών κατηγοριών δεδομένων δίνεται – βάσει του αντίστοιχου έγγραφου συγκατάθεσης που παρέχεται από το υποκείμενο δεδομένων στον διαχειριστή για κάθε συγκεκριμένο σκοπό επεξεργασίας. Όταν το υποκείμενο υπογράφει συμβόλαιο, δεν απαιτείται συγκατάθεση, επειδή τα δεδομένα του συλλέγονται σε άλλη νόμιμη βάση.
  6. Όταν η Grand Hotels Management and Marketing EOOD επεξεργάζεται προσωπικά δεδομένα παιδιών, λαμβάνει άδεια από τους γονείς ή τους κηδεμόνες. Тο αίτημα αυτό ισχύει για παιδιά κάτω των 16 ετών.

VI. Ασφάλεια Δεδομένων

  1. Οι υπάλληλοι του διαχειριστή που, σύμφωνα με τα καθήκοντά τους, έχουν το καθήκον να επεξεργάζονται συγκεκριμένα προσωπικά δεδομένα εξ ονόματος του διαχειριστή, υποχρεούνται να εξασφαλίζουν την ασφάλεια κατά την επεξεργασία και αποθήκευση των δεδομένων από το μέρος τους, συμπεριλαμβανομένου του να διασφαλίζουν ότι δεν θα αποκαλύπτουν τα δεδομένα σε τρίτα μέρη, εκτός εάν η Grand Hotels Management and Marketing EOOD έχει παραχωρήσει τέτοια δικαιώματα σε αυτό το τρίτο μέρος για πρόσβαση στα δεδομένα.
  2. Τα προσωπικά δεδομένα ή μέρος αυτών πρέπει να είναι προσβάσιμα μόνο από όσους έχουν το καθήκον να τα επεξεργάζονται/αποθηκεύουν, με την πρόσβαση να παρέχεται μόνο σύμφωνα με τους καθιερωμένους κανόνες ελέγχου πρόσβασης. Όλα τα προσωπικά δεδομένα πρέπει να αποθηκεύονται, για παράδειγμα:
  3. σε χώρο με ελεγχόμενη πρόσβαση· και/ή σε κλειδωμένο ντουλάπι ή σε φακέλο· και/ή
  4. αν είναι υπολογιστικοποιημένα, προστατευμένα με κωδικό πρόσβασης σύμφωνα με τις εσωτερικές απαιτήσεις που προβλέπονται στα οργανωτικά και τεχνικά μέτρα για τον έλεγχο της πρόσβασης στην πληροφορία (π.χ. κανόνες ελέγχου πρόσβασης); και/ή
  5. αποθηκευμένα σε φορητούς υπολογιστικούς μέσους που προστατεύονται σύμφωνα με τα οργανωτικά και τεχνικά μέτρα για τον έλεγχο της πρόσβασης στην πληροφορία.
  6. Να δημιουργηθεί ένας οργανισμός που θα εξασφαλίζει ότι οι υπολογιστικές οθόνες και οι τερματικοί δεν μπορούν να παρακολουθούνται από άλλους, εκτός από τους εξουσιοδοτημένους υπαλλήλους/εργαζόμενους της ΦΕЪРПЛЕЙ ΙΝΤΕΡΝЕШЪНЪЛ ΑД. Από όλους τους υπαλλήλους/εργαζόμενους απαιτείται να έχουν εκπαιδευτεί και να αποδεχτούν τις αντίστοιχες συμβατικές ρήτρες/δηλώσεις για την τήρηση των οργανωτικών και τεχνικών μέτρων πρόσβασης, καθώς και τους κανόνες για το κλείδωμα των εργασιακών σταθμών προτού τους παρασχεθεί πρόσβαση σε πληροφορίες οποιασδήποτε μορφής.
  7. Τα έγγραφα σε χαρτί δεν πρέπει να αφήνονται εκεί όπου μπορούν να είναι προσβάσιμα από μη εξουσιοδοτημένα άτομα και δεν μπορούν να αφαιρούνται από τα καθορισμένα γραφεία χωρίς ρητή άδεια. Αμέσως μόλις τα χαρτογραφικά έγγραφα δεν είναι πλέον απαραίτητα για την τρέχουσα εργασία της υποστήριξης των πελατών, πρέπει να καταστρέφονται σύμφωνα με τη δημιουργηθείσα διαδικασία/κανόνες και τον κατάλληλο πρωτόκολλο.
  8. Τα προσωπικά δεδομένα μπορούν να διαγράφονται ή να καταστραφούν μόνο σύμφωνα με την υιοθετηθείσα διαδικασία. Οι εγγραφές σε χαρτικά μέσα, για τις οποίες έχει λήξει ο χρόνος αποθήκευσης (αρχειοθέτησης), πρέπει να κόβονται και να καταστρέφονται ως “εμπιστευτικά απορρίμματα”. Τα δεδομένα στους σκληρούς δίσκους των περιττών προσωπικών υπολογιστών πρέπει να διαγράφονται ή οι δίσκοι να καταστρέφονται, σύμφωνα με τους καθιερωμένους κανόνες/διαδικασίες.
  9. Η επεξεργασία προσωπικών δεδομένων “εκτός γραφείου” αντιπροσωπεύει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή παραβίασης προσωπικών δεδομένων. Το προσωπικό εξουσιοδοτείται ειδικά να επεξεργάζεται τα δεδομένα έξω από τα κτίρια του διαχειριστή.

VII. Αποκάλυψη δεδομένων

  1. Η Grand Hotels Management and Marketing EOOD πρέπει να εξασφαλίσει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα τρίτα μέρη, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κρατικών αρχών, ακόμη και ερευνητικών, εάν υπάρχει εύλογη υποψία ότι δεν απαιτούνται σύμφωνα με την εγκαθιδρυμένη διαδικασία. Όλοι οι υπάλληλοι πρέπει να είναι προσεκτικοί όταν τους ζητείται να αποκαλύψουν αποθηκευμένα προσωπικά δεδομένα για άλλο πρόσωπο σε τρίτο μέρος. Είναι σημαντικό να ληφθεί υπόψη εάν η αποκάλυψη των πληροφοριών συνδέεται ή όχι με τις ανάγκες της οργάνωσης. Είναι απαραίτητο να δοθεί ειδική κατάρτιση και περιοδική εκπαίδευση στους υπαλλήλους προκειμένου να αποφευχθεί ο κίνδυνος τέτοιας παραβίασης.
  2. Όλα τα αιτήματα από τρίτα μέρη για παροχή δεδομένων πρέπει να υποστηρίζονται από κατάλληλη τεκμηρίωση και όλες οι αποκαλύψεις δεδομένων πρέπει να συντονίζονται με τον επίτροπο προστασίας δεδομένων / υπεύθυνο προστασίας δεδομένων, που θα δώσει την άποψή του.
  3. Προσωπικά δεδομένα θα παρέχονται στις αρμόδιες δημόσιες αρχές κατά τη διάρκεια και κατά την άσκηση των επίσημων εξουσιών τους.

VIII. Αποθήκευση και καταστροφή δεδομένων

  1. Η Grand Hotels Management and Marketing EOOD δεν αποθηκεύει προσωπικά δεδομένα με τρόπο που επιτρέπει την αναγνώριση των υποκειμένων για περισσότερο χρόνο από ό,τι είναι απαραίτητο, όσον αφορά τους σκοπούς για τους οποίους συλλέγονται τα δεδομένα.
  2. Η Grand Hotels Management and Marketing EOOD μπορεί να αποθηκεύει δεδομένα για περισσότερο χρόνο μόνο εάν τα προσωπικά δεδομένα επεξεργάζονται για σκοπούς αρχειοθέτησης, για σκοπούς κοινωνικού ενδιαφέροντος, επιστημονικής ή ιστορικής έρευνας και για στατιστικούς σκοπούς, και μόνο κατά την εκτέλεση κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
  3. Η περίοδος αποθήκευσης για κάθε κατηγορία προσωπικών δεδομένων αναφέρεται στη Διαδικασία Αποθήκευσης και Καταστροφής Δεδομένων, καθώς και τα κριτήρια που χρησιμοποιούνται για τον καθορισμό αυτής της περιόδου, συμπεριλαμβανομένων οποιωνδήποτε νομικών υποχρεώσεων που απαιτούν από τη Grand Hotels Management and Marketing EOOD να διατηρήσει τα δεδομένα.
  4. Η Διαδικασία Αποθήκευσης και Καταστροφής Δεδομένων, καθώς και οι κανόνες για την καταστροφή πληροφοριών σε αχρησιμοποίητα μέσα εγγραφής, εφαρμόζονται σε όλες τις περιπτώσεις.
  5. Τα προσωπικά δεδομένα πρέπει να καταστρέφονται, σύμφωνα με την αρχή της εξασφάλισης κατάλληλου επιπέδου ασφάλειας (άρθρο 5, παράγραφος 1) – συμπεριλαμβανομένης προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και προστασία από ακατάλληλη ή τυχαία απώλεια, καταστροφή ή ζημία, με την εφαρμογή κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

IX. Μεταφορά δεδομένων

Κάθε εξαγωγή δεδομένων εκτός της ΕΕ προς χώρες εκτός της ΕΕ (όπως καθορίζονται στον Γενικό Κανονισμό ως “τρίτες χώρες”) είναι παράνομη, εκτός αν υπάρχει κατάλληλο “επίπεδο προστασίας των βασικών δικαιωμάτων των υποκειμένων δεδομένων”.

Η μεταφορά προσωπικών δεδομένων εκτός της ΕΕ είναι απαγορευμένη, εκτός αν εφαρμόζονται μία ή περισσότερες από τις αναφερόμενες εγγυήσεις ή εξαιρέσεις:

  1. Απόφαση επαρκούς

Η Ευρωπαϊκή Επιτροπή μπορεί να αξιολογήσει τρίτες χώρες, εδάφη και/ή συγκεκριμένους τομείς σε τρίτες χώρες, για να κρίνει εάν υπάρχει κατάλληλο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Σε αυτές τις περιπτώσεις, δεν απαιτείται άδεια. Οι χώρες που είναι μέλη του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), αλλά όχι της ΕΕ, θεωρούνται ότι πληρούν τις προϋποθέσεις για την απόφαση επαρκούς.

Η Grand Hotels Management and Marketing EOOD μπορεί να υιοθετήσει εγκεκριμένους υποχρεωτικούς εταιρικούς κανόνες για τη μεταφορά δεδομένων εκτός της ΕΕ, όπου είναι εφαρμόσιμο. Αυτό απαιτεί την υποβολή τους για έγκριση στο αντίστοιχο εποπτικό όργανο.

Ο διαχειριστής μπορεί να αποδεχτεί εγκεκριμένες κανονικές συμβατικές ρήτρες για την προστασία των δεδομένων κατά τη μεταφορά δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου. Εάν η Grand Hotels Management and Marketing EOOD αποδεχτεί κανονικές συμβατικές ρήτρες, που έχουν εγκριθεί από το αντίστοιχο εποπτικό όργανο, αυτό αναγνωρίζεται αυτόματα ως επαρκές.

Σε περίπτωση έλλειψης απόφασης για επαρκές, υποχρεωτικοί εταιρικοί κανόνες και/ή συμβατικές ρήτρες, η μεταφορά προσωπικών δεδομένων προς τρίτη χώρα ή διεθνή οργάνωση γίνεται μόνον υπό ένα από τα εξής όρους: το υποκείμενο των δεδομένων έχει εκφράσει ρητή συγκατάθεση για την προτεινόμενη μεταφορά, έχοντας ενημερωθεί για τους δυνητικούς κινδύνους από τέτοιες μεταφορές· η μεταφορά είναι απαραίτητη για την εκτέλεση μιας σύμβασης μεταξύ του υποκειμένου των δεδομένων και του διαχειριστή ή για την εκτέλεση προ-συμβατικών μέτρων που έχουν ληφθεί με αίτημα του υποκειμένου των δεδομένων· η μεταφορά είναι απαραίτητη για τη σύναψη ή εκτέλεση μιας σύμβασης που έχει συναφθεί στο συμφέρον του υποκειμένου των δεδομένων μεταξύ του διαχειριστή και άλλου φυσικού ή νομικού προσώπου· η μεταφορά είναι απαραίτητη για λόγους σημαντικούς δημοσίου συμφέροντος· η μεταφορά είναι απαραίτητη για την καθιέρωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων· η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων ατόμων, όταν το υποκείμενο των δεδομένων είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του· η μεταφορά πραγματοποιείται από ένα μητρώο που, σύμφωνα με το δίκαιο της ΕΕ ή το δίκαιο των κρατών μελών, προορίζεται να παρέχει πληροφορίες στο κοινό και είναι προσβάσιμο από το κοινό αρχής γενομένης ή από οποιοδήποτε άτομο που μπορεί να αποδείξει ότι έχει νόμιμο ενδιαφέρον για αυτό, αλλά μόνον εάν οι προϋποθέσεις για την αναφορά, όπως ορίζονται στο δίκαιο της Ένωσης ή το δίκαιο των κρατών μελών, πληρούνται στην συγκεκριμένη περίπτωση.

Χ. Κατάλογος επεξεργασίας δεδομένων (απογραφή δεδομένων)

  1. Η εταιρεία Grand Hotels Management and Marketing EOOD έχει δημιουργήσει διαδικασία απογραφής δεδομένων ως μέρος της προσέγγισής της για τη διαχείριση των κινδύνων και των ευκαιριών στη διαδικασία συμμόρφωσης με τον Κανονισμό (ΕΕ) 2016/679. Κατά την απογραφή δεδομένων στην Grand Hotels Management and Marketing EOOD και στη ροή εργασίας δεδομένων, καθορίζονται:
  2. οι επιχειρηματικές διαδικασίες που χρησιμοποιούν προσωπικά δεδομένα;
  3. οι πηγές προσωπικών δεδομένων;
  4. ο αριθμός των υποκειμένων δεδομένων;
  5. μια περιγραφή των κατηγοριών προσωπικών δεδομένων και των στοιχείων σε κάθε κατηγορία;
  6. οι επεξεργασίες που πραγματοποιούνται;
  7. οι σκοποί της επεξεργασίας, για την οποία προορίζονται τα προσωπικά δεδομένα;
  8. ο νομικός λόγος για την επεξεργασία;
  9. οι παραλήπτες ή κατηγορίες παραληπτών των προσωπικών δεδομένων;
  10. τα βασικά συστήματα και οι τόποι αποθήκευσης;
  11. όλα τα προσωπικά δεδομένα που υπόκεινται σε μεταφορά εκτός του ΕΟΧ.
  12. Οι προθεσμίες για αποθήκευση και διαγραφή.

ΕΠΙΠΛΕΟΝ ΠΛΗΡΟΦΟΡΙΕΣ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

  1. Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (ΕΕ) 2016/679 αντικαθιστά την Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων. Έχει άμεση επίδραση και υποθέτει τροποποιήσεις στη νομοθεσία των κρατών μελών στον τομέα της προστασίας των προσωπικών δεδομένων. Σκοπός του είναι να προστατεύει τα “δικαιώματα και τις ελευθερίες” των φυσικών προσώπων και να εξασφαλίζει ότι τα προσωπικά δεδομένα δεν επεξεργάζονται χωρίς τη γνώση τους, και όταν είναι δυνατό, με τη συγκατάθεσή τους.

Υλικό εύρος – ο παρόν κανονισμός εφαρμόζεται για την επεξεργασία προσωπικών δεδομένων πλήρως ή εν μέρει με αυτοματοποιημένα μέσα, καθώς και για την επεξεργασία με άλλα μέσα προσωπικών δεδομένων που αποτελούν μέρος ενός μητρώου προσωπικών δεδομένων ή που προορίζονται να αποτελέσουν μέρος ενός μητρώου προσωπικών δεδομένων.

Χωρικό εύρος – οι κανόνες του Γενικού Κανονισμού θα ισχύουν για όλους τους υπευθυνούς επεξεργασίας προσωπικών δεδομένων που έχουν εγκατασταθεί στην ΕΕ και που επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων στο πλαίσιο της δραστηριότητάς τους. Θα ισχύει επίσης για υπεύθυνους εκτός της ΕΕ που επεξεργάζονται προσωπικά δεδομένα για να παρέχουν αγαθά και υπηρεσίες ή εάν παρακολουθούν τη συμπεριφορά των ενδιαφερομένων δεδομένων που διαμένουν στην ΕΕ.

“Προσωπικά δεδομένα” – κάθε πληροφορία που σχετίζεται με προσδιορισμένο φυσικό πρόσωπο ή φυσικό πρόσωπο που μπορεί να προσδιοριστεί (“υποκείμενο δεδομένων”); ένα φυσικό πρόσωπο που μπορεί να προσδιοριστεί είναι ένα πρόσωπο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ειδικότερα μέσω αναγνωριστικού, όπως όνομα, αριθμός ταυτότητας, τοποθεσία, online αναγνωριστικό ή με άλλα ένα ή περισσότερα στοιχεία που είναι ειδικά για την ταυτότητα της φυσικής, φυσιολογικής, γενετικής, ψυχικής, νοητικής, οικονομικής, πολιτιστικής ή κοινωνικής ταυτότητας αυτού του φυσικού προσώπου.

“Ειδικές κατηγορίες προσωπικών δεδομένων” – προσωπικά δεδομένα που αποκαλύπτουν την εθνική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συνδεσία σε συνδικαλιστικές οργανώσεις, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την μοναδική αναγνώριση ενός φυσικού προσώπου, δεδομένα υγείας ή δεδομένα σχετικά με τη σεξουαλική ζωή ενός φυσικού προσώπου ή τη σεξουαλική του προτίμηση.

“Επεξεργασία”– σημαίνει κάθε λειτουργία ή σύνολο λειτουργιών που πραγματοποιούνται με προσωπικά δεδομένα ή σύνολο προσωπικών δεδομένων με αυτόματα ή άλλα μέσα, όπως συλλογή, εγγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή αλλαγή, εξαγωγή, συμβουλή, χρήση, αποκάλυψη μέσω μεταφοράς, διανομής ή άλλο τρόπο, με τον οποίο τα δεδομένα γίνονται προσβάσιμα, οργάνωση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.

“Υπεύθυνος” – κάθε φυσικό ή νομικό πρόσωπο, δημόσιο όργανο, υπηρεσία ή άλλο σύνολο, το οποίο καθορίζει μόνο του ή σε συνεργασία με άλλα τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων· όταν οι σκοποί και τα μέσα για αυτήν την επεξεργασία καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο κράτους μέλους, ο υπεύθυνος ή οι ειδικοί κανόνες για την καθορισμό του μπορεί να καθορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους;

“Υποκείμενο δεδομένων” – κάθε ζωντανό φυσικό πρόσωπο, το οποίο είναι αντικείμενο προσωπικών δεδομένων που φυλάσσονται από τον Υπεύθυνο.

“Συγκατάθεση του υποκειμένου δεδομένων” – κάθε ελεύθερα, συγκεκριμένα, ενημερωμένη και αναμφισβήτητη έκφραση της θέλησης του υποκειμένου δεδομένων, με μέσο κατάλληλο για αυτό, που εκφράζει τη συγκατάθεσή του να επεξεργαστούν τα σχετικά με αυτό προσωπικά δεδομένα.

“Παιδί” – Ο Γενικός Κανονισμός ορίζει το παιδί ως κάθε άτομο κάτω των 16 ετών και, σύμφωνα με το εθνικό δίκαιο, κάθε άτομο κάτω των 18 ετών. Η επεξεργασία προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνον εάν ο γονιός, ο κηδεμόνας ή ο επόπτης έχει παράσχει συγκατάθεσή του. Ο Υπεύθυνος καταβάλλει λογικές προσπάθειες να ελέγξει, σε αυτές τις περιπτώσεις, ότι ο κάτοχος της γονικής ευθύνης για το παιδί έχει παραχωρήσει ή εξουσιοδοτηθεί να παραχωρήσει τη συγκατάθεσή του.

Επικοινωνία με τον Υπεύθυνο Προσωπικών Δεδομένων:

Ιστοσελίδα: www.pulsetherme.bg

E-mail:

Τηλέφωνο: 02 8199 221