ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ως υπεύθυνος για τα προσωπικά δεδομένα, η Grand Hotels Management and Marketing EOOD έχει την υποχρέωση να σας ενημερώσει για το τι να περιμένετε κατά την επεξεργασία των προσωπικών σας δεδομένων.

Διαφάνεια κατά την επεξεργασία των πληροφοριών

I. Δήλωση σχετικά με την πολιτική προστασίας των προσωπικών δεδομένων

1. Με το παρόν έγγραφο, η διοίκηση της Grand Hotels Management and Marketing EOOD διασφαλίζει τη συμμόρφωση προς την ευρωπαϊκή νομοθεσία και των κρατών μελών σχετικά με την επεξεργασία των προσωπικών δεδομένων και την προστασία των “δικαιωμάτων και ελευθεριών” των ατόμων, των οποίων τα προσωπικά δεδομένα συλλέγονται και επεξεργάζονται από την Grand Hotels Management and Marketing EOOD σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (Κανονισμός (ΕΕ) 2016/679).
2. Σύμφωνα με τον Γενικό Κανονισμό, σε αυτήν την πολιτική περιγράφονται και άλλα σχετικά έγγραφα, καθώς και σχετικές διαδικασίες και διαδικασίες.
3. Η παρούσα πολιτική αφορά όλες τις δραστηριότητες επεξεργασίας προσωπικών δεδομένων, συμπεριλαμβανομένων εκείνων που αφορούν προσωπικά δεδομένα πελατών, εργαζομένων, προμηθευτών και συνεργατών, καθώς και οποιαδήποτε άλλα προσωπικά δεδομένα που η οργάνωση της Grand Hotels Management and Marketing EOOD επεξεργάζεται από διάφορες πηγές.
4. Ο Διαχειριστής διατηρεί το Μητρώο/τα Μητρώα των επεξεργασιών. Στις περιπτώσεις όπου η διαχείριση του Μητρώου/Μητρώων έχει ανατεθεί σε υπεύθυνο για τα δεδομένα/υπεύθυνο για την προστασία των προσωπικών δεδομένων, αυτός είναι υπεύθυνος για την καταχώρηση σε αυτό το Μητρώο/Μητρώα οποιαδήποτε αλλαγή στις δραστηριότητες της Grand Hotels Management and Marketing EOOD, καθώς και για όλες τις άλλες πρόσθετες απαιτήσεις, συμπεριλαμβανομένων Αξιολογήσεις των επιπτώσεων στην προστασία των δεδομένων. Αυτό το Μητρώο πρέπει να είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.
5. Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους/εργαζομένους (και ενδιαφερόμενα μέρη) της Grand Hotels Management and Marketing EOOD, καθώς και για τους υποκείμενους επεξεργασίας και τα μέλη του προσωπικού τους. Κάθε παράβαση του Γενικού Κανονισμού θα θεωρείται παράβαση της εργατικής πειθαρχίας, ενώ σε περίπτωση υποψίας για διαπραγμάτευση, το ζήτημα θα υποβάλλεται για εξέταση στις αρμόδιες κρατικές αρχές στον σύντομο δυνατό χρονικό διάστημα.
6. Τρίτα μέρη που εργάζονται με ή για την Grand Hotels Management and Marketing EOOD, συμπεριλαμβανομένων συνεργατών, εξωτερικών προμηθευτών, πελατών και άλλων, και που έχουν ή μπορεί να έχουν πρόσβαση στα προσωπικά δεδομένα του διαχειριστή, πρέπει να ενημερωθούν και να συμμορφωθούν με αυτήν την πολιτική. Ο διαχειριστής υποχρεούται να συνάψει συμφωνία εμπιστευτικότητας δεδομένων με κάθε τρίτο μέρος στο οποίο παρέχει πρόσβαση στα προσωπικά δεδομένα που επεξεργάζεται, παρέχοντας στην Grand Hotels Management and Marketing EOOD το δικαίωμα να πραγματοποιεί ελέγχους για την τήρηση των υποχρεώσεων που επιβάλλονται από τη συμφωνία, εκτός εάν η επεξεργασία απαιτείται από το δίκαιο της ΕΕ ή από το δίκαιο κράτους μέλους.

II. Υποχρεώσεις και ευθύνες σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679

1. Η Grand Hotels Management and Marketing EOOD είναι ο υπεύθυνος για τα δεδομένα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 και φέρει την πλήρη ευθύνη και τους κινδύνους ενδεχόμενης μη συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού, συμπεριλαμβανομένης της ευθύνης για την ανάπτυξη και προώθηση καλών πρακτικών στον τομέα της επεξεργασίας προσωπικών δεδομένων στη Grand Hotels Management and Marketing EOOD.
2. Ο επεξεργαστής προσωπικών δεδομένων είναι κάθε άτομο εκτός του οργανισμού του υπεύθυνου, το οποίο επεξεργάζεται απευθείας τα προσωπικά δεδομένα εξ ονόματος του υπεύθυνου – αποθηκεύει, ψηφιοποιεί, καταλογίζει και έτσι παρακολουθεί όλες τις πληροφορίες.
3. Ο υπεύθυνος προστασίας δεδομένων, αντίστοιχα “Το άτομο που εκτελεί, είτε κατά κατάθεση, είτε βάσει επιφανειακής χαρακτηριστικής, καθήκοντα που σχετίζονται με την προστασία των προσωπικών δεδομένων (υπεύθυνο πρόσωπο/υπεύθυνος για την προστασία των δεδομένων), συμμετέχει στις συνεδριάσεις της διοίκησης του υπεύθυνου, όπου συζητούνται θέματα που αφορούν την προστασία των προσωπικών δεδομένων, και συμβουλεύει τον υπεύθυνο για την απόδειξη της συμμόρφωσης με τη νομοθεσία για την προστασία των δεδομένων και τις καλές πρακτικές.

Αυτή η αναφορά του Υπεύθυνου για την Προστασία των Δεδομένων περιλαμβάνει:

• την ανάπτυξη και την εφαρμογή των απαιτήσεων του Κανονισμού (ΕΕ) 2016/679 όπως απαιτείται από την παρούσα πολιτική·
• τη διαχείριση της ασφάλειας και του κινδύνου όσον αφορά τη συμμόρφωση με την πολιτική.
• Το άτομο προστασίας δεδομένων, που πρέπει να είναι κατάλληλα εκπαιδευμένο και έμπειρο, επιλέγεται από το διοικητικό όργανο του υπεύθυνου (ανάλογα με τη δομή και τη νομική-οργανωτική του μορφή). Το άτομο για την προστασία των δεδομένων έχει το καθήκον να συμβουλεύει και να ενημερώνει τον υπεύθυνο για την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων και άλλων εσωτερικών και ευρωπαϊκών νομοθετικών πράξεων στον τομέα της προστασίας των προσωπικών δεδομένων, σύμφωνα με τις υποχρεώσεις του στο πλαίσιο της σύμβασης και των απαιτήσεων του Γενικού Κανονισμού για την Προστασία των Δεδομένων, συμπεριλαμβανομένης της παρακολούθησης της εφαρμογής αυτής της πολιτικής.
• Το άτομο για την προστασία των δεδομένων έχει επίσης ειδικές υποχρεώσεις σύμφωνα με τον Γενικό Κανονισμό – όλα τα αιτήματα των υποκειμένων δεδομένων κατευθύνονται προς αυτόν σύμφωνα με τη Διαδικασία Διαχείρισης Αιτημάτων από τα Υποκείμενα Δεδομένα και είναι το σημείο επαφής για τους υπαλλήλους του υπεύθυνου που χρειάζονται διευκρινίσεις για οποιονδήποτε τομέα σχετικά με τη συμμόρφωση με την προστασία δεδομένων. Το άτομο για την προστασία των δεδομένων είναι η επαφή και μπροστά στην εποπτευτική αρχή.
• Η συμμόρφωση με το νομοθετικό πλαίσιο προστασίας δεδομένων είναι ευθύνη όλων των υπαλλήλων του υπεύθυνου που επεξεργάζονται προσωπικά δεδομένα.
• Η Πολιτική Εκπαίδευσης της Grand Hotels Management and Marketing ΕΠΕ (Πολιτική Διεξαγωγής Εκπαίδευσης) καθορίζει τις συγκεκριμένες απαιτήσεις για εκπαίδευση και ενημέρωση σχετικά με τους συγκεκριμένους ρόλους των υπαλλήλων της εταιρείας.
  
  

III. Αρχές προστασίας των δεδομένων

Η επεξεργασία προσωπικών δεδομένων πραγματοποιείται σύμφωνα με τις αρχές προστασίας των δεδομένων που περιγράφονται στο άρθρο 5 του Κανονισμού (ΕΕ) 2016/679. Οι πολιτικές και οι διαδικασίες της Grand Hotels Management and Marketing EOOD έχουν ως στόχο να διασφαλίσουν την τήρηση αυτών των αρχών.

1. Τα προσωπικά δεδομένα πρέπει να επεξεργάζονται νόμιμα, συνετά και διαφανώς.

Νόμιμο – να προσδιορίζει νόμιμη βάση πριν επεξεργαστεί προσωπικά δεδομένα. Αυτά είναι τα ούτω καλούμενα “νομικά θεμέλια επεξεργασίας”, όπως για παράδειγμα το “συναίνεση”. Η συγκατάθεση του υποκειμένου είναι μία από τις βάσεις για την επεξεργασία προσωπικών δεδομένων. Αυτή μπορεί επίσης να είναι η εκτέλεση συμβολαίου ή το νόμιμο συμφέρον του διαχειριστή, στις περιπτώσεις όπου δεν είναι απαραίτητη η έκδοση συγκατάθεσης.

Ενδεικτικά – για να είναι η επεξεργασία δίκαιη, ο διαχειριστής δεδομένων πρέπει να παρέχει συγκεκριμένες πληροφορίες στους υποκείμενους δεδομένων, απαραίτητες για κάθε συγκεκριμένη περίπτωση και για κάθε συγκεκριμένο σκοπό, με έναν κατανοητό, συνοπτικό και προσβάσιμο τρόπο για το υποκείμενο δεδομένων. Αυτό ισχύει ανεξάρτητα από το εάν τα προσωπικά δεδομένα έχουν ληφθεί άμεσα από τους υποκείμενους δεδομένων ή από άλλες πηγές.

Διαφανές – Ο Κανονισμός (ΕΕ) 2016/679 θέτει απαιτήσεις για το ποιες πληροφορίες πρέπει να διατίθενται στους υποκείμενους δεδομένων, οι οποίες καλύπτονται από την αρχή της “διαφάνειας”, όπως κανονίζεται στα άρθρα 12, 13 και 14 του GDPR. Σύμφωνα με τις παραπάνω διατάξεις του GDPR, η πληροφορία πρέπει να επικοινωνείται στο υποκείμενο δεδομένων με κατανοητό τρόπο, χρησιμοποιώντας σαφή και κατανοητή γλώσσα, δηλαδή οι δηλώσεις περί απορρήτου που υπογράφονται από τους υποκείμενους δεδομένων πρέπει να είναι λεπτομερείς και συγκεκριμένες, κατανοητές και προσβάσιμες. Οι κανόνες για την ενημέρωση του υποκειμένου δεδομένων από τη Grand Hotels Management and Marketing EOOD καθορίζονται στην αντίστοιχη διαδικασία διαφάνειας, με την ενημέρωση να πραγματοποιείται μέσω ανακοίνωσης για την εμπιστευτική μεταχείριση των προσωπικών δεδομένων.

Η συγκεκριμένη πληροφορία που η εταιρεία παρέχει στον υποκείμενο δεδομένων περιλαμβάνει τουλάχιστον: δεδομένα που ταυτοποιούν τον διαχειριστή και τα στοιχεία επικοινωνίας του διαχειριστή και τα στοιχεία επικοινωνίας του εκπροσώπου της προστασίας των δεδομένων, αν υπάρχει· τους σκοπούς της επεξεργασίας, για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία· τη διάρκεια για την οποία θα διατηρούνται τα προσωπικά δεδομένα· την ύπαρξη των εξής δικαιωμάτων – να ζητήσετε πρόσβαση στα δεδομένα, διόρθωση, διαγραφή (δικαίωμα “να ξεχαστεί”), περιορισμό της επεξεργασίας, καθώς και το δικαίωμα εναντίον των όρων (ή της έλλειψης αυτών) που σχετίζονται με την άσκηση αυτών των δικαιωμάτων· τις κατηγορίες προσωπικών δεδομένων· τους παραλήπτες ή τις κατηγορίες παραληπτών των προσωπικών δεδομένων, όταν αυτό είναι εφαρμόσιμο· όπου είναι εφαρμόσιμο, αν ο διαχειριστής σκοπεύει να μεταφέρει τα προσωπικά δεδομένα σε παραλήπτη σε τρίτη χώρα και το επίπεδο προστασίας των δεδομένων· οποιαδήποτε επιπλέον πληροφορία που απαιτείται για να εξασφαλιστεί η δίκαιη επεξεργασία.

• Τα προσωπικά δεδομένα μπορούν να συλλέγονται μόνο για συγκεκριμένους, ρητά καθορισμένους και νόμιμους σκοπούς.

Τα δεδομένα που έχουν συλλεχθεί για συγκεκριμένους σκοπούς δε χρησιμοποιούνται για σκοπούς που διαφέρουν από αυτούς που έχουν επίσημα ανακοινωθεί ως μέρος του Καταλόγου Δραστηριοτήτων Επεξεργασίας Δεδομένων (άρθρο 30 του ΓΚΠΔ) της Grand Hotels Management and Marketing EOOD. Η Διαδικασία Διαφάνειας κατά την επεξεργασία προσωπικών δεδομένων καθορίζει τους αντίστοιχους κανόνες.

• Τα προσωπικά δεδομένα που συλλέγονται από τον διαχειριστή πρέπει να περιορίζονται σε αυτά που είναι απαραίτητα για τον συγκεκριμένο σκοπό της επεξεργασίας (αρχή της ελαχιστοποίησης των δεδομένων που μπορούν να επεξεργαστούν για τον συγκεκριμένο υποκείμενο).
• Το άτομο που είναι υπεύθυνο για την προστασία των δεδομένων επιβλέπει τη συλλογή μόνο των πληροφοριών που είναι αυστηρά απαραίτητες για τον σκοπό της επεξεργασίας.
• Όλες οι φόρμες συλλογής δεδομένων (ηλεκτρονικές ή σε έντυπη μορφή), συμπεριλαμβανομένων των απαιτήσεων συλλογής δεδομένων στα νέα πληροφοριακά συστήματα, πρέπει να περιλαμβάνουν δήλωση για την δίκαιη επεξεργασία ή σύνδεση με τη Δήλωση Απορρήτου (ειδοποίηση για την εμπιστευτική μεταχείριση προσωπικών δεδομένων) και πρέπει να έχουν εγκριθεί από το αρμόδιο πρόσωπο, εκτός εάν είναι δημόσιες στις.
• Το άτομο για την προστασία των δεδομένων έχει υποχρεώσεις για την πραγματοποίηση περιοδικών ελέγχων τουλάχιστον μία φορά τον χρόνο, προκειμένου να εξασφαλίσει ότι τα συλλεγόμενα δεδομένα παραμένουν κατάλληλα, σχετικά και όχι υπερβολικά.
• Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και ενημερωμένα σε κάθε στιγμή, και πρέπει να γίνονται όλες οι απαραίτητες προσπάθειες για άμεση (εντός των δυνατοτήτων τεχνικών λύσεων) διόρθωση ή διαγραφή.
• Τα δεδομένα που διατηρούνται από τον διαχειριστή δεδομένων πρέπει να ελέγχονται και να ενημερώνονται κατά την ανάγκη. Δεν πρέπει να διατηρούνται δεδομένα όταν υπάρχει πιθανότητα να μην είναι ακριβή.
• Το άτομο για την προστασία δεδομένων/υπεύθυνος προστασίας δεδομένων πρέπει να εξασφαλίζει ότι ολόκληρο το προσωπικό έχει εκπαιδευτεί στη σημασία της συλλογής ακριβών δεδομένων και της διατήρησής τους.
• Επίσης, είναι υποχρέωση του υποκειμένου των δεδομένων να δηλώνει ότι τα δεδομένα που κοινοποιεί για αποθήκευση από την Grand Hotels Management and Marketing EOOD είναι ακριβή και ενημερωμένα. Η συμπλήρωση της φόρμας από το υποκείμενο των δεδομένων, προκειμένου να κατατεθεί στον διαχειριστή, θα περιλαμβάνει δήλωση ότι τα δεδομένα που περιέχει είναι ακριβή μέχρι την ημερομηνία υποβολής.
• Από τους υπαλλήλους, τους πελάτες και όλους τους άλλους απαιτείται να ενημερώνουν την Grand Hotels Management and Marketing EOOD για οποιεσδήποτε αλλαγές στις συνθήκες, προκειμένου να ενημερώνονται οι εγγραφές προσωπικών δεδομένων. Η ευθύνη της Grand Hotels Management and Marketing EOOD είναι να εξασφαλίζει ότι κάθε ειδοποίηση σχετικά με την αλλαγή των συνθηκών καταγράφεται και λαμβάνονται κατάλληλα μέτρα.
• Ο υπεύθυνος προστασίας δεδομένων/υπεύθυνος προστασίας προσωπικών δεδομένων εξασφαλίζει ότι υπάρχουν κατάλληλες διαδικασίες και πολιτικές για τη διατήρηση της ακρίβειας και επίκαιροτητας των προσωπικών δεδομένων, λαμβάνοντας υπόψη τον όγκο των συλλεγόμενων δεδομένων, την ταχύτητα με την οποία μπορεί να αλλάξει, και άλλους σχετικούς παράγοντες.
• Τουλάχιστον μια φορά το χρόνο, ο υπεύθυνος προστασίας δεδομένων/υπεύθυνος προστασίας προσωπικών δεδομένων θα εξετάσει τις προθεσμίες διατήρησης όλων των προσωπικών δεδομένων που επεξεργάζεται η Grand Hotels Management and Marketing EOOD, αναφερόμενος στον κατάλογο των δεδομένων και εντοπίζοντας κάθε δεδομένο που δεν απαιτείται πλέον στο πλαίσιο του καταχωρημένου σκοπού. Αυτά τα δεδομένα καταστρέφονται αξιόπιστα σύμφωνα με τις διαδικασίες και τους κανόνες του διαχειριστή.
• Ο υπεύθυνος προστασίας δεδομένων/υπεύθυνος προστασίας παρακολουθεί την επεξεργασία αιτημάτων διόρθωσης δεδομένων εντός ενός μήνα. Αυτή η προθεσμία μπορεί να επεκταθεί για άλλους δύο μήνες για περίπλοκα αιτήματα. Εάν η Grand Hotels Management and Marketing EOOD αποφασίσει να μη συμμορφωθεί με το αίτημα, το πρόσωπο προστασίας δεδομένων/Υπεύθυνος προστασίας δεδομένων πρέπει να απαντήσει στο υποκείμενο δεδομένων για να εξηγήσει τους λόγους της απόρριψης και να τον ενημερώσει για το δικαίωμά του να υποβάλει ένσταση στον ελεγκτικό φορέα, και να ζητήσει νομική προστασία.
• Ο υπεύθυνος προστασίας δεδομένων/Υπεύθυνος προστασίας δεδομένων πρέπει να ενημερώνει όλα τα τρίτα μέρη στα οποία παρέχονται ανακριβή ή παλαιά προσωπικά δεδομένα ότι η πληροφορία είναι ανακριβής ή παλαιά και δεν πρέπει να χρησιμοποιείται για τη λήψη αποφάσεων σχετικά με τα υποκείμενα δεδομένα, καθώς επίσης και να προωθεί κάθε διόρθωση προσωπικών δεδομένων στα τρίτα μέρη, όπου είναι απαραίτητο.

• Τα προσωπικά δεδομένα πρέπει να αποθηκεύονται σε μορφή που ο υποκείμενος δεδομένων μπορεί να αναγνωρίζεται μόνο όσο είναι απαραίτητο για την επεξεργασία.
• Όταν τα προσωπικά δεδομένα αποθηκεύονται μετά την ημερομηνία επεξεργασίας, πρέπει να αποθηκεύονται με κατάλληλο τρόπο (ελαχιστοποιημένα, κρυπτογραφημένα, ψευδώνυμα) για να προστατευτεί η ταυτότητα του υποκειμένου των δεδομένων σε περίπτωση παραβίασης των δεδομένων.
• Τα προσωπικά δεδομένα φυλάσσονται σύμφωνα με τη Διαδικασία Αποθήκευσης και Καταστροφής Δεδομένων, και μετά τη λήξη της περιόδου αποθήκευσής τους, πρέπει να καταστρέφονται αξιόπιστα, όπως περιγράφεται σε αυτήν τη διαδικασία.
• Το πρόσωπο προστασίας δεδομένων/υπεύθυνο προστασίας δεδομένων πρέπει ειδικά να εγκρίνει κάθε διατήρηση δεδομένων που υπερβαίνει την περίοδο αποθήκευσης, που έχει καθοριστεί στην αντίστοιχη διαδικασία, και πρέπει να εξασφαλίσει ότι η δικαιολογία είναι σαφώς καθορισμένη και σύμφωνη με τις απαιτήσεις του νομικού πλαισίου περί προστασίας δεδομένων. Αυτή η έγκριση πρέπει να είναι γραπτή.
• Τα προσωπικά δεδομένα πρέπει να επεξεργάζονται με τρόπο που εξασφαλίζει κατάλληλη ασφάλεια (άρθρο 24, άρθρο 32 του ΓΚΠΔ)

Το πρόσωπο προστασίας δεδομένων θα πραγματοποιήσει μια αρχική αξιολόγηση επιπτώσεων, όταν αυτό είναι απαραίτητο, λαμβάνοντας υπόψη όλες τις συνθήκες που σχετίζονται με τις επεξεργασίες δεδομένων από την Grand Hotels Management and Marketing EOOD. Σε κάθε περίπτωση παραβίασης της προστασίας προσωπικών δεδομένων, το πρόσωπο προστασίας δεδομένων ως υπεύθυνο πρόσωπο στην επιχείρηση του διαχειριστή πρέπει να πραγματοποιήσει αξιολόγηση του κινδύνου και, εάν υπάρχει υψηλός κίνδυνος, να ειδοποιήσει την αρχή εποπτείας και/ή το υποκείμενο δεδομένων. Κατά την εκτίμηση του κινδύνου σε συγκεκριμένη περίπτωση, το πρόσωπο προστασίας δεδομένων πρέπει να εξετάσει το βαθμό πιθανής ζημιάς ή απώλειας που μπορεί να προκληθεί σε φυσικά πρόσωπα (π.χ. προσωπικό ή πελάτες), σε κάθε πιθανή ζημιά για τη φήμη του διαχειριστή, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών και άλλα. Η εξασφάλιση της ασφάλειας των προσωπικών δεδομένων συνδέεται και με την υλοποίηση κατάλληλων τεχνικών μέτρων, την οποία παρακολουθεί το διακινδυνευτικό πρόσωπο και που μπορεί να περιλαμβάνει τουλάχιστον:

• Προστασία με κωδικό πρόσβασης;
• Αυτόματο κλείδωμα αδρανών σταθμών εργασίας στο δίκτυο;
• Κατάργηση δικαιωμάτων πρόσβασης σε USB και άλλα φορητά μέσα αποθήκευσης (εκτός αν υπάρχει εξασφαλισμένος υποχρεωτικός έλεγχος ιών και καταγραφή μεταφοράς δεδομένων);
• Λογισμικό αντι-ιού και προστατευτικά τείχη;
• Δικαιώματα πρόσβασης βασισμένα σε ρόλους, συμπεριλαμβανομένων των προσωρινών διοικητικών δικαιωμάτων;
• Προστασία συσκευών που εγκαταλείπουν τους χώρους του οργανισμού, όπως φορητοί υπολογιστές ή άλλα.
• Ασφάλεια των τοπικών και ευρυζωνικών δικτύων;
• Τεχνολογίες ενίσχυσης του απορρήτου, όπως η ψευδονυμοποίηση και η ανωνυμοποίηση;
• Εντοπισμός κατάλληλων διεθνών προτύπων ασφάλειας κατάλληλων για την Grand Hotels Management and Marketing EOOD;

Κατά την εκτίμηση των κατάλληλων οργανωτικών μέτρων, ο υπεύθυνος προστασίας δεδομένων θα λάβει υπόψη του τα εξής:

• Τα επίπεδα κατάλληλης εκπαίδευσης στην Grand Hotels Management and Marketing EOOD;
• Τα μέτρα που αντικατοπτρίζουν την αξιοπιστία του προσωπικού (όπως πιστοποιητικές αξιολογήσεις, συστάσεις κ.λπ.);
• Την ενσωμάτωση της προστασίας δεδομένων στις εργασιακές συμβάσεις;
• Τον προσδιορισμό διακυβερνητικών μέτρων για παραβιάσεις σχετικά με την επεξεργασία δεδομένων;
• Τον τακτικό έλεγχο του προσωπικού για τη συμμόρφωση με τα κατάλληλα πρότυπα ασφαλείας;
• Έλεγχος της φυσικής πρόσβασης σε ηλεκτρονικά και χαρτογραφημένα αρχεία;
• Εφαρμογή πολιτικής “καθαρού χώρου εργασίας” – όταν οι εργαζόμενοι εγκαταλείπουν τον χώρο εργασίας, όλα τα εργασιακά έγγραφα πρέπει να αφαιρούνται ή να αποθηκεύονται σε κατάλληλους χώρους περιορισμένης πρόσβασης – ειδικά ντουλάπια, κλειδωμένοι χώροι, καταστροφή περιττών ήδη εγγράφων και ούτω καθεξής;
• Αποθήκευση των χαρτικών βάσεων δεδομένων σε κλειδωμένα τοίχια ντουλάπια;
• Περιορισμός της χρήσης φορητών ηλεκτρονικών συσκευών έξω από τον χώρο εργασίας;
• Περιορισμός της χρήσης προσωπικών συσκευών από τους υπαλλήλους στον χώρο εργασίας;
• Εφαρμογή σαφών κανόνων για τη δημιουργία και χρήση κωδικών πρόσβασης;
• Τακτική δημιουργία αντιγράφων ασφαλείας των προσωπικών δεδομένων και φυσική αποθήκευση των μέσων με αντίγραφα εκτός του γραφείου;
• Επιβολή συμβατικών υποχρεώσεων σε οργανισμούς συμβαλλόμενους να λαμβάνουν κατάλληλα μέτρα ασφαλείας κατά τη μεταφορά δεδομένων έξω από την ΕΕ.

Κατά την εκτίμηση για κατάλληλα μέτρα, λαμβάνονται υπόψη οι εντοπισμένοι κίνδυνοι για τα προσωπικά δεδομένα, καθώς και η δυνατότητα προκαλείνης ζημιάς στα άτομα των οποίων τα δεδομένα υπόκεινται σε επεξεργασία.

• Τήρηση της αρχής της ευθύνης

Ο Κανονισμός (ΕΕ) 2016/679 περιλαμβάνει διατάξεις που προωθούν την ευθύνη και τη διαχείριση, συμπληρώνοντας τις απαιτήσεις για διαφάνεια. Η αρχή της ευθύνης σύμφωνα με το άρθρο 5, παράγραφος 2, απαιτεί από τον διαχειριστή να αποδεικνύει τη συμμόρφωσή του με τις υπόλοιπες αρχές του Γενικού Κανονισμού και δηλώνει ρητά ότι αυτό είναι δική του ευθύνη.

Η Grand Hotels Management and Marketing EOOD αποδεικνύει τη συμμόρφωσή της προς τις αρχές προστασίας δεδομένων μέσω της εφαρμογής πολιτικών προστασίας δεδομένων, της ένταξης σε κώδικες συμπεριφοράς, της υιοθέτησης κατάλληλων τεχνικών και οργανωτικών μέτρων, καθώς και μέσω της υιοθέτησης τεχνικών προστασίας δεδομένων στη σχεδίαση και της προεπιλεγμένης προστασίας δεδομένων, αξιολόγησης των επιπτώσεων στην προστασία των προσωπικών δεδομένων, διαδικασίας ενημέρωσης για παραβίαση των προσωπικών δεδομένων, κ.λπ.

IV. Δικαιώματα των υποκειμένων δεδομένων

1. Σύμφωνα με τον Γενικό Κανονισμό, το υποκείμενο δεδομένο έχει τα εξής δικαιώματα όσον αφορά την επεξεργασία των προσωπικών του δεδομένων:
2. Να λάβει πληροφορίες σχετικά με τα προσωπικά του δεδομένα που υποβάλλονται σε επεξεργασία από το διαχειριστή και για τον σκοπό της επεξεργασίας, συμπεριλαμβανομένου του δικαιώματος πρόσβασης στα δεδομένα, καθώς και πληροφορίες σχετικά με τους παραλήπτες αυτών των δεδομένων και τα τρίτα μέρη στα οποία παρέχονται τα δεδομένα.
3. Να ζητήσει αντίγραφο των προσωπικών του δεδομένων από το διαχειριστή;
4. Να ζητήσει από το διαχειριστή την διόρθωση των προσωπικών του δεδομένων όταν είναι ανακριβή, καθώς και όταν δεν είναι πλέον ενημερωμένα;
5. Να ζητήσει από το διαχειριστή τη διαγραφή των προσωπικών του δεδομένων (δικαίωμα στην “ηλεκτρονική λήθη”);
6. Να ζητήσει από το διαχειριστή τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων, όπου σε αυτήν την περίπτωση τα δεδομένα θα αποθηκεύονται μόνο, αλλά δεν θα υπόκεινται σε επεξεργασία;
7. Να υποβάλει ένσταση κατά της επεξεργασίας των προσωπικών του δεδομένων;
8. Να υποβάλει ένσταση κατά της επεξεργασίας των προσωπικών του δεδομένων που τον αφορούν για σκοπούς άμεσης διαφήμισης.
9. Να υποβάλει παράπονο στην εποπτική αρχή αν πιστεύει ότι παραβιάστηκε κάποια από τις διατάξεις του Γενικού Κανονισμού;
10. Να ζητήσει και να λάβει τα προσωπικά του δεδομένα σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή;
11. Να ανακαλέσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων ανά πάσα στιγμή, με ξεχωριστό αίτημα προς το διαχειριστή;
12. Να μην υπόκειται σε αποφάσεις που λαμβάνονται αυτοματοποιημένα και τον επηρεάζουν σημαντικά, χωρίς δυνατότητα ανθρώπινης παρέμβασης;
13. Να αντιταχθεί στο αυτοματοποιημένο προφιλάρισμα που λαμβάνει χώρα χωρίς τη συγκατάθεσή του;
14. Η Grand Hotels Management and Marketing EOOD παρέχει συνθήκες που εξασφαλίζουν την άσκηση αυτών των δικαιωμάτων από το υποκείμενο δεδομένων:
15. Τα υποκείμενα δεδομένα μπορούν να υποβάλουν αιτήματα για πρόσβαση στα δεδομένα, όπως περιγράφεται στην αντίστοιχη διαδικασία, η οποία περιγράφει επίσης πώς η Grand Hotels Management and Marketing EOOD θα διασφαλίσει ότι η απάντηση στο αίτημα του υποκειμένου δεδομένων συμμορφώνεται με τις απαιτήσεις του Γενικού Κανονισμού.
16. Όταν τα αιτήματα του υποκειμένου δεδομένων είναι προφανώς αβάσιμα ή υπερβολικά, ιδίως λόγω της επαναληπτικότητάς τους, η Grand Hotels Management and Marketing EOOD μπορεί είτε να επιβάλει λογικό τέλος, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή των πληροφοριών, της επικοινωνίας ή της λήψης των απαιτούμενων μέτρων ή να αρνηθεί να ανταποκριθεί στο αίτημα.
17. Οι υποκείμενοι δεδομένων έχουν το δικαίωμα να υποβάλουν αντιρρήσεις στην ΦЕЪРПЛЕЙ ИНТЕРНЕШЪНЪЛ ΑД, σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Η επεξεργασία των αιτημάτων των υποκειμένων δεδομένων και οι αντιρρήσεις που υποβάλλονται από τους υποκείμενους δεδομένων πραγματοποιούνται σύμφωνα με τους καθιερωμένους κανόνες της εταιρείας. Ο εποπτικός φορέας στη Βουλγαρία είναι η Επιτροπή Προστασίας Δεδομένων Προσωπικού, διεύθυνση: πλ. София 1592, bul. „Професор Цветан Лазаров” № 2 (cpdp.bg).

V. Συγκατάθεση

1. Με τον όρο “συγκατάθεση”, η Grand Hotels Management and Marketing EOOD εννοεί κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη έκφραση της θέλησης του υποκειμένου δεδομένων, με δήλωση ή σαφή επιβεβαίωση ενεργειών που εκφράζουν τη συγκατάθεσή του για την επεξεργασία των σχετικών προσωπικών του δεδομένων. Το υποκείμενο δεδομένων μπορεί να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε. Η συγκατάθεση του υποκειμένου δεδομένων απαιτείται πάντοτε όταν δεν υπάρχει εναλλακτική νόμιμη βάση για την επεξεργασία.
2. Η Grand Hotels Management and Marketing EOOD θεωρεί ως “συγκατάθεση” μόνο τις περιπτώσεις όπου το υποκείμενο δεδομένων έχει ενημερωθεί πλήρως για την προγραμματισμένη επεξεργασία και έχει εκφράσει τη συγκατάθεσή του χωρίς να ασκείται πίεση επάνω του. Η συγκατάθεση που δίνεται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν θα αποτελεί έγκυρη βάση για την επεξεργασία προσωπικών δεδομένων.
3. Η συγκατάθεση δεν μπορεί να εξαχθεί από την έλλειψη απάντησης σε ενημέρωση προς το υποκείμενο δεδομένων. Για να θεωρηθεί ότι υπάρχει συγκατάθεση, πρέπει να υπάρχει ενεργή επικοινωνία μεταξύ του διαχειριστή και του υποκειμένου. Ο διαχειριστής απαιτεί και λαμβάνει συγκατάθεση για τις δραστηριότητες επεξεργασίας, όταν απαιτείται συγκατάθεση.
4. Για ειδικές κατηγορίες δεδομένων πρέπει να ληφθεί ρητή γραπτή συγκατάθεση σύμφωνα με τη Διαδικασία Λήψης Συγκατάθεσης για την Επεξεργασία Προσωπικών Δεδομένων των υποκειμένων δεδομένων, εκτός αν υπάρχει εναλλακτική νόμιμη βάση για την επεξεργασία.
5. Η συγκατάθεση του υποκειμένου για την επεξεργασία προσωπικών ή ειδικών κατηγοριών δεδομένων δίνεται – βάσει του αντίστοιχου έγγραφου συγκατάθεσης που παρέχεται από το υποκείμενο δεδομένων στον διαχειριστή για κάθε συγκεκριμένο σκοπό επεξεργασίας. Όταν το υποκείμενο υπογράφει συμβόλαιο, δεν απαιτείται συγκατάθεση, επειδή τα δεδομένα του συλλέγονται σε άλλη νόμιμη βάση.
6. Όταν η Grand Hotels Management and Marketing EOOD επεξεργάζεται προσωπικά δεδομένα παιδιών, λαμβάνει άδεια από τους γονείς ή τους κηδεμόνες. Тο αίτημα αυτό ισχύει για παιδιά κάτω των 16 ετών.

VI. Ασφάλεια Δεδομένων

1. Οι υπάλληλοι του διαχειριστή που, σύμφωνα με τα καθήκοντά τους, έχουν το καθήκον να επεξεργάζονται συγκεκριμένα προσωπικά δεδομένα εξ ονόματος του διαχειριστή, υποχρεούνται να εξασφαλίζουν την ασφάλεια κατά την επεξεργασία και αποθήκευση των δεδομένων από το μέρος τους, συμπεριλαμβανομένου του να διασφαλίζουν ότι δεν θα αποκαλύπτουν τα δεδομένα σε τρίτα μέρη, εκτός εάν η Grand Hotels Management and Marketing EOOD έχει παραχωρήσει τέτοια δικαιώματα σε αυτό το τρίτο μέρος για πρόσβαση στα δεδομένα.
2. Τα προσωπικά δεδομένα ή μέρος αυτών πρέπει να είναι προσβάσιμα μόνο από όσους έχουν το καθήκον να τα επεξεργάζονται/αποθηκεύουν, με την πρόσβαση να παρέχεται μόνο σύμφωνα με τους καθιερωμένους κανόνες ελέγχου πρόσβασης. Όλα τα προσωπικά δεδομένα πρέπει να αποθηκεύονται, για παράδειγμα:
3. σε χώρο με ελεγχόμενη πρόσβαση· και/ή σε κλειδωμένο ντουλάπι ή σε φακέλο· και/ή
4. αν είναι υπολογιστικοποιημένα, προστατευμένα με κωδικό πρόσβασης σύμφωνα με τις εσωτερικές απαιτήσεις που προβλέπονται στα οργανωτικά και τεχνικά μέτρα για τον έλεγχο της πρόσβασης στην πληροφορία (π.χ. κανόνες ελέγχου πρόσβασης); και/ή
5. αποθηκευμένα σε φορητούς υπολογιστικούς μέσους που προστατεύονται σύμφωνα με τα οργανωτικά και τεχνικά μέτρα για τον έλεγχο της πρόσβασης στην πληροφορία.
6. Να δημιουργηθεί ένας οργανισμός που θα εξασφαλίζει ότι οι υπολογιστικές οθόνες και οι τερματικοί δεν μπορούν να παρακολουθούνται από άλλους, εκτός από τους εξουσιοδοτημένους υπαλλήλους/εργαζόμενους της ΦΕЪРПЛЕЙ ΙΝΤΕΡΝЕШЪНЪЛ ΑД. Από όλους τους υπαλλήλους/εργαζόμενους απαιτείται να έχουν εκπαιδευτεί και να αποδεχτούν τις αντίστοιχες συμβατικές ρήτρες/δηλώσεις για την τήρηση των οργανωτικών και τεχνικών μέτρων πρόσβασης, καθώς και τους κανόνες για το κλείδωμα των εργασιακών σταθμών προτού τους παρασχεθεί πρόσβαση σε πληροφορίες οποιασδήποτε μορφής.
7. Τα έγγραφα σε χαρτί δεν πρέπει να αφήνονται εκεί όπου μπορούν να είναι προσβάσιμα από μη εξουσιοδοτημένα άτομα και δεν μπορούν να αφαιρούνται από τα καθορισμένα γραφεία χωρίς ρητή άδεια. Αμέσως μόλις τα χαρτογραφικά έγγραφα δεν είναι πλέον απαραίτητα για την τρέχουσα εργασία της υποστήριξης των πελατών, πρέπει να καταστρέφονται σύμφωνα με τη δημιουργηθείσα διαδικασία/κανόνες και τον κατάλληλο πρωτόκολλο.
8. Τα προσωπικά δεδομένα μπορούν να διαγράφονται ή να καταστραφούν μόνο σύμφωνα με την υιοθετηθείσα διαδικασία. Οι εγγραφές σε χαρτικά μέσα, για τις οποίες έχει λήξει ο χρόνος αποθήκευσης (αρχειοθέτησης), πρέπει να κόβονται και να καταστρέφονται ως “εμπιστευτικά απορρίμματα”. Τα δεδομένα στους σκληρούς δίσκους των περιττών προσωπικών υπολογιστών πρέπει να διαγράφονται ή οι δίσκοι να καταστρέφονται, σύμφωνα με τους καθιερωμένους κανόνες/διαδικασίες.
9. Η επεξεργασία προσωπικών δεδομένων “εκτός γραφείου” αντιπροσωπεύει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή παραβίασης προσωπικών δεδομένων. Το προσωπικό εξουσιοδοτείται ειδικά να επεξεργάζεται τα δεδομένα έξω από τα κτίρια του διαχειριστή.

VII. Αποκάλυψη δεδομένων

1. Η Grand Hotels Management and Marketing EOOD πρέπει να εξασφαλίσει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα τρίτα μέρη, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κρατικών αρχών, ακόμη και ερευνητικών, εάν υπάρχει εύλογη υποψία ότι δεν απαιτούνται σύμφωνα με την εγκαθιδρυμένη διαδικασία. Όλοι οι υπάλληλοι πρέπει να είναι προσεκτικοί όταν τους ζητείται να αποκαλύψουν αποθηκευμένα προσωπικά δεδομένα για άλλο πρόσωπο σε τρίτο μέρος. Είναι σημαντικό να ληφθεί υπόψη εάν η αποκάλυψη των πληροφοριών συνδέεται ή όχι με τις ανάγκες της οργάνωσης. Είναι απαραίτητο να δοθεί ειδική κατάρτιση και περιοδική εκπαίδευση στους υπαλλήλους προκειμένου να αποφευχθεί ο κίνδυνος τέτοιας παραβίασης.
2. Όλα τα αιτήματα από τρίτα μέρη για παροχή δεδομένων πρέπει να υποστηρίζονται από κατάλληλη τεκμηρίωση και όλες οι αποκαλύψεις δεδομένων πρέπει να συντονίζονται με τον επίτροπο προστασίας δεδομένων / υπεύθυνο προστασίας δεδομένων, που θα δώσει την άποψή του.
3. Προσωπικά δεδομένα θα παρέχονται στις αρμόδιες δημόσιες αρχές κατά τη διάρκεια και κατά την άσκηση των επίσημων εξουσιών τους.

VIII. Αποθήκευση και καταστροφή δεδομένων

1. Η Grand Hotels Management and Marketing EOOD δεν αποθηκεύει προσωπικά δεδομένα με τρόπο που επιτρέπει την αναγνώριση των υποκειμένων για περισσότερο χρόνο από ό,τι είναι απαραίτητο, όσον αφορά τους σκοπούς για τους οποίους συλλέγονται τα δεδομένα.
2. Η Grand Hotels Management and Marketing EOOD μπορεί να αποθηκεύει δεδομένα για περισσότερο χρόνο μόνο εάν τα προσωπικά δεδομένα επεξεργάζονται για σκοπούς αρχειοθέτησης, για σκοπούς κοινωνικού ενδιαφέροντος, επιστημονικής ή ιστορικής έρευνας και για στατιστικούς σκοπούς, και μόνο κατά την εκτέλεση κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων.
3. Η περίοδος αποθήκευσης για κάθε κατηγορία προσωπικών δεδομένων αναφέρεται στη Διαδικασία Αποθήκευσης και Καταστροφής Δεδομένων, καθώς και τα κριτήρια που χρησιμοποιούνται για τον καθορισμό αυτής της περιόδου, συμπεριλαμβανομένων οποιωνδήποτε νομικών υποχρεώσεων που απαιτούν από τη Grand Hotels Management and Marketing EOOD να διατηρήσει τα δεδομένα.
4. Η Διαδικασία Αποθήκευσης και Καταστροφής Δεδομένων, καθώς και οι κανόνες για την καταστροφή πληροφοριών σε αχρησιμοποίητα μέσα εγγραφής, εφαρμόζονται σε όλες τις περιπτώσεις.
5. Τα προσωπικά δεδομένα πρέπει να καταστρέφονται, σύμφωνα με την αρχή της εξασφάλισης κατάλληλου επιπέδου ασφάλειας (άρθρο 5, παράγραφος 1) – συμπεριλαμβανομένης προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και προστασία από ακατάλληλη ή τυχαία απώλεια, καταστροφή ή ζημία, με την εφαρμογή κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

IX. Μεταφορά δεδομένων

Κάθε εξαγωγή δεδομένων εκτός της ΕΕ προς χώρες εκτός της ΕΕ (όπως καθορίζονται στον Γενικό Κανονισμό ως “τρίτες χώρες”) είναι παράνομη, εκτός αν υπάρχει κατάλληλο “επίπεδο προστασίας των βασικών δικαιωμάτων των υποκειμένων δεδομένων”.

Η μεταφορά προσωπικών δεδομένων εκτός της ΕΕ είναι απαγορευμένη, εκτός αν εφαρμόζονται μία ή περισσότερες από τις αναφερόμενες εγγυήσεις ή εξαιρέσεις:

1. Απόφαση επαρκούς

Η Ευρωπαϊκή Επιτροπή μπορεί να αξιολογήσει τρίτες χώρες, εδάφη και/ή συγκεκριμένους τομείς σε τρίτες χώρες, για να κρίνει εάν υπάρχει κατάλληλο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Σε αυτές τις περιπτώσεις, δεν απαιτείται άδεια. Οι χώρες που είναι μέλη του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), αλλά όχι της ΕΕ, θεωρούνται ότι πληρούν τις προϋποθέσεις για την απόφαση επαρκούς.

• Υποχρεωτικοί εταιρικοί κανόνες

Η Grand Hotels Management and Marketing EOOD μπορεί να υιοθετήσει εγκεκριμένους υποχρεωτικούς εταιρικούς κανόνες για τη μεταφορά δεδομένων εκτός της ΕΕ, όπου είναι εφαρμόσιμο. Αυτό απαιτεί την υποβολή τους για έγκριση στο αντίστοιχο εποπτικό όργανο.

• Κανονικές συμβατικές ρήτρες

Ο διαχειριστής μπορεί να αποδεχτεί εγκεκριμένες κανονικές συμβατικές ρήτρες για την προστασία των δεδομένων κατά τη μεταφορά δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου. Εάν η Grand Hotels Management and Marketing EOOD αποδεχτεί κανονικές συμβατικές ρήτρες, που έχουν εγκριθεί από το αντίστοιχο εποπτικό όργανο, αυτό αναγνωρίζεται αυτόματα ως επαρκές.

• Εξαιρέσεις

Σε περίπτωση έλλειψης απόφασης για επαρκές, υποχρεωτικοί εταιρικοί κανόνες και/ή συμβατικές ρήτρες, η μεταφορά προσωπικών δεδομένων προς τρίτη χώρα ή διεθνή οργάνωση γίνεται μόνον υπό ένα από τα εξής όρους: το υποκείμενο των δεδομένων έχει εκφράσει ρητή συγκατάθεση για την προτεινόμενη μεταφορά, έχοντας ενημερωθεί για τους δυνητικούς κινδύνους από τέτοιες μεταφορές· η μεταφορά είναι απαραίτητη για την εκτέλεση μιας σύμβασης μεταξύ του υποκειμένου των δεδομένων και του διαχειριστή ή για την εκτέλεση προ-συμβατικών μέτρων που έχουν ληφθεί με αίτημα του υποκειμένου των δεδομένων· η μεταφορά είναι απαραίτητη για τη σύναψη ή εκτέλεση μιας σύμβασης που έχει συναφθεί στο συμφέρον του υποκειμένου των δεδομένων μεταξύ του διαχειριστή και άλλου φυσικού ή νομικού προσώπου· η μεταφορά είναι απαραίτητη για λόγους σημαντικούς δημοσίου συμφέροντος· η μεταφορά είναι απαραίτητη για την καθιέρωση, την άσκηση ή την υπεράσπιση νομικών αξιώσεων· η μεταφορά είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων ατόμων, όταν το υποκείμενο των δεδομένων είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του· η μεταφορά πραγματοποιείται από ένα μητρώο που, σύμφωνα με το δίκαιο της ΕΕ ή το δίκαιο των κρατών μελών, προορίζεται να παρέχει πληροφορίες στο κοινό και είναι προσβάσιμο από το κοινό αρχής γενομένης ή από οποιοδήποτε άτομο που μπορεί να αποδείξει ότι έχει νόμιμο ενδιαφέρον για αυτό, αλλά μόνον εάν οι προϋποθέσεις για την αναφορά, όπως ορίζονται στο δίκαιο της Ένωσης ή το δίκαιο των κρατών μελών, πληρούνται στην συγκεκριμένη περίπτωση.

Χ. Κατάλογος επεξεργασίας δεδομένων (απογραφή δεδομένων)

1. Η εταιρεία Grand Hotels Management and Marketing EOOD έχει δημιουργήσει διαδικασία απογραφής δεδομένων ως μέρος της προσέγγισής της για τη διαχείριση των κινδύνων και των ευκαιριών στη διαδικασία συμμόρφωσης με τον Κανονισμό (ΕΕ) 2016/679. Κατά την απογραφή δεδομένων στην Grand Hotels Management and Marketing EOOD και στη ροή εργασίας δεδομένων, καθορίζονται:
2. οι επιχειρηματικές διαδικασίες που χρησιμοποιούν προσωπικά δεδομένα;
3. οι πηγές προσωπικών δεδομένων;
4. ο αριθμός των υποκειμένων δεδομένων;
5. μια περιγραφή των κατηγοριών προσωπικών δεδομένων και των στοιχείων σε κάθε κατηγορία;
6. οι επεξεργασίες που πραγματοποιούνται;
7. οι σκοποί της επεξεργασίας, για την οποία προορίζονται τα προσωπικά δεδομένα;
8. ο νομικός λόγος για την επεξεργασία;
9. οι παραλήπτες ή κατηγορίες παραληπτών των προσωπικών δεδομένων;
10. τα βασικά συστήματα και οι τόποι αποθήκευσης;
11. όλα τα προσωπικά δεδομένα που υπόκεινται σε μεταφορά εκτός του ΕΟΧ.
12. Οι προθεσμίες για αποθήκευση και διαγραφή.

• Η Grand Hotels Management and Marketing EOOD γνωρίζει τους κινδύνους που σχετίζονται με την επεξεργασία συγκεκριμένων κατηγοριών προσωπικών δεδομένων.
• Η Grand Hotels Management and Marketing EOOD αξιολογεί το επίπεδο κινδύνου για τα άτομα που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων. Όταν είναι υποχρεωτικό, πραγματοποιούνται αξιολογήσεις των επιπτώσεων στην προστασία των δεδομένων σχετικά με την επεξεργασία προσωπικών δεδομένων από τη Grand Hotels Management and Marketing EOOD και σχετικά με την επεξεργασία που πραγματοποιείται από άλλες οργανώσεις εκ μέρους της Grand Hotels Management and Marketing EOOD.
• Η Grand Hotels Management and Marketing EOOD διαχειρίζεται όλους τους κινδύνους που αναγνωρίζονται από την αξιολόγηση των επιπτώσεων, με σκοπό να μειώσει την πιθανότητα μη συμμόρφωσης με αυτούς τους κανόνες. Όταν ο τύπος επεξεργασίας μπορεί να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ειδικά όταν χρησιμοποιούνται νέες τεχνολογίες και λαμβάνονται υπόψη η φύση, το εύρος, το πλαίσιο και οι σκοποί της επεξεργασίας, πριν ξεκινήσει η επεξεργασία, η Grand Hotels Management and Marketing EOOD πραγματοποιεί αξιολόγηση των επιπτώσεων των προβλεπόμενων επεξεργασιών στην προστασία των προσωπικών δεδομένων. Μια γενική αξιολόγηση των επιπτώσεων μπορεί να εξετάσει ένα σύνολο παρόμοιων επεξεργασιών που αντιπροσωπεύουν παρόμοιους υψηλούς κινδύνους.
• Όταν ως αποτέλεσμα της αξιολόγησης των επιπτώσεων είναι σαφές ότι η Grand Hotels Management and Marketing EOOD θα αρχίσει την επεξεργασία προσωπικών δεδομένων που, λόγω υψηλού κινδύνου, θα μπορούσαν να προκαλέσουν βλάβη στα ενδιαφερόμενα πρόσωπα, η απόφαση εάν να συνεχίσει η επεξεργασία ή όχι θα προωθηθεί για επανεξέταση από τον Υπεύθυνο για την Προστασία Δεδομένων / Υπεύθυνο για την Προστασία των Προσωπικών Δεδομένων.
• Εάν ο Υπεύθυνος για την Προστασία των Προσωπικών Δεδομένων / Υπεύθυνος για την Προστασία των Προσωπικών Δεδομένων έχει σοβαρές ανησυχίες όσον αφορά το πιθανό κίνδυνο ή τον κίνδυνο, ή όσον αφορά το ποσό των σχετικών δεδομένων, πρέπει να αναφέρει το ζήτημα στον αρμόδιο εποπτικό αρχηγό.
• Ο Υπεύθυνος για την Προστασία Δεδομένων επανεξετάζει περιοδικά τα αρχικά αποθεματοποιημένα δεδομένα, επανεξετάζει τις καταχωρημένες πληροφορίες στο “Μητρώο Δραστηριοτήτων Επεξεργασίας” σε σχέση με οποιεσδήποτε αλλαγές στις δραστηριότητες της Grand Hotels Management and Marketing EOOD.

ΕΠΙΠΛΕΟΝ ΠΛΗΡΟΦΟΡΙΕΣ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1. Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (ΕΕ) 2016/679 αντικαθιστά την Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων. Έχει άμεση επίδραση και υποθέτει τροποποιήσεις στη νομοθεσία των κρατών μελών στον τομέα της προστασίας των προσωπικών δεδομένων. Σκοπός του είναι να προστατεύει τα “δικαιώματα και τις ελευθερίες” των φυσικών προσώπων και να εξασφαλίζει ότι τα προσωπικά δεδομένα δεν επεξεργάζονται χωρίς τη γνώση τους, και όταν είναι δυνατό, με τη συγκατάθεσή τους.

• Εύρος που προβλέπεται από τον Γενικό Κανονισμό για την Προστασία Δεδομένων

Υλικό εύρος – ο παρόν κανονισμός εφαρμόζεται για την επεξεργασία προσωπικών δεδομένων πλήρως ή εν μέρει με αυτοματοποιημένα μέσα, καθώς και για την επεξεργασία με άλλα μέσα προσωπικών δεδομένων που αποτελούν μέρος ενός μητρώου προσωπικών δεδομένων ή που προορίζονται να αποτελέσουν μέρος ενός μητρώου προσωπικών δεδομένων.

Χωρικό εύρος – οι κανόνες του Γενικού Κανονισμού θα ισχύουν για όλους τους υπευθυνούς επεξεργασίας προσωπικών δεδομένων που έχουν εγκατασταθεί στην ΕΕ και που επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων στο πλαίσιο της δραστηριότητάς τους. Θα ισχύει επίσης για υπεύθυνους εκτός της ΕΕ που επεξεργάζονται προσωπικά δεδομένα για να παρέχουν αγαθά και υπηρεσίες ή εάν παρακολουθούν τη συμπεριφορά των ενδιαφερομένων δεδομένων που διαμένουν στην ΕΕ.

• Έννοιες

“Προσωπικά δεδομένα” – κάθε πληροφορία που σχετίζεται με προσδιορισμένο φυσικό πρόσωπο ή φυσικό πρόσωπο που μπορεί να προσδιοριστεί (“υποκείμενο δεδομένων”); ένα φυσικό πρόσωπο που μπορεί να προσδιοριστεί είναι ένα πρόσωπο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ειδικότερα μέσω αναγνωριστικού, όπως όνομα, αριθμός ταυτότητας, τοποθεσία, online αναγνωριστικό ή με άλλα ένα ή περισσότερα στοιχεία που είναι ειδικά για την ταυτότητα της φυσικής, φυσιολογικής, γενετικής, ψυχικής, νοητικής, οικονομικής, πολιτιστικής ή κοινωνικής ταυτότητας αυτού του φυσικού προσώπου.

“Ειδικές κατηγορίες προσωπικών δεδομένων” – προσωπικά δεδομένα που αποκαλύπτουν την εθνική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συνδεσία σε συνδικαλιστικές οργανώσεις, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την μοναδική αναγνώριση ενός φυσικού προσώπου, δεδομένα υγείας ή δεδομένα σχετικά με τη σεξουαλική ζωή ενός φυσικού προσώπου ή τη σεξουαλική του προτίμηση.

“Επεξεργασία”– σημαίνει κάθε λειτουργία ή σύνολο λειτουργιών που πραγματοποιούνται με προσωπικά δεδομένα ή σύνολο προσωπικών δεδομένων με αυτόματα ή άλλα μέσα, όπως συλλογή, εγγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή αλλαγή, εξαγωγή, συμβουλή, χρήση, αποκάλυψη μέσω μεταφοράς, διανομής ή άλλο τρόπο, με τον οποίο τα δεδομένα γίνονται προσβάσιμα, οργάνωση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.

“Υπεύθυνος” – κάθε φυσικό ή νομικό πρόσωπο, δημόσιο όργανο, υπηρεσία ή άλλο σύνολο, το οποίο καθορίζει μόνο του ή σε συνεργασία με άλλα τους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων· όταν οι σκοποί και τα μέσα για αυτήν την επεξεργασία καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο κράτους μέλους, ο υπεύθυνος ή οι ειδικοί κανόνες για την καθορισμό του μπορεί να καθορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους;

“Υποκείμενο δεδομένων” – κάθε ζωντανό φυσικό πρόσωπο, το οποίο είναι αντικείμενο προσωπικών δεδομένων που φυλάσσονται από τον Υπεύθυνο.

“Συγκατάθεση του υποκειμένου δεδομένων” – κάθε ελεύθερα, συγκεκριμένα, ενημερωμένη και αναμφισβήτητη έκφραση της θέλησης του υποκειμένου δεδομένων, με μέσο κατάλληλο για αυτό, που εκφράζει τη συγκατάθεσή του να επεξεργαστούν τα σχετικά με αυτό προσωπικά δεδομένα.

“Παιδί” – Ο Γενικός Κανονισμός ορίζει το παιδί ως κάθε άτομο κάτω των 16 ετών και, σύμφωνα με το εθνικό δίκαιο, κάθε άτομο κάτω των 18 ετών. Η επεξεργασία προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνον εάν ο γονιός, ο κηδεμόνας ή ο επόπτης έχει παράσχει συγκατάθεσή του. Ο Υπεύθυνος καταβάλλει λογικές προσπάθειες να ελέγξει, σε αυτές τις περιπτώσεις, ότι ο κάτοχος της γονικής ευθύνης για το παιδί έχει παραχωρήσει ή εξουσιοδοτηθεί να παραχωρήσει τη συγκατάθεσή του.

Επικοινωνία με τον Υπεύθυνο Προσωπικών Δεδομένων:

Ιστοσελίδα: www.pulsetherme.bg

E-mail:

Τηλέφωνο: 02 8199 221