Στις καθημερινές επιχειρησιακές δραστηριότητές του, η ERGO INTERTECH χρησιμοποιεί μια ποικιλία δεδομένων σχετικά με ταυτοποιήσιμα άτομα, συμπεριλαμβανομένων των δεδομένων σχετικά με:
- Υφιστάμενους, υποψήφιους και πρώην υπαλλήλους
- Πελάτες
- Προμηθευτές-Υπεργολάβους-Συνεργάτες
- Επισκέπτες της ιστοσελίδας www.ergoin.gr
- Άλλα ενδιαφερόμενα μέρη (Αρχές, Δημόσιοι κλπ)
Κατά τη συλλογή και τη χρήση αυτών των δεδομένων, ο οργανισμός υπόκειται σε ποικίλες νομοθετικές ρυθμίσεις που ελέγχουν τον τρόπο διεξαγωγής των δραστηριοτήτων αυτών και στις διασφαλίσεις που πρέπει να εφαρμοστούν για την προστασία του.
Σκοπός αυτής της πολιτικής είναι να καθορίσει τη σχετική νομοθεσία και να περιγράψει τα βήματα της ERGO INTERTECH για να διασφαλίσει ότι συμμορφώνεται με αυτήν.
Αυτός ο έλεγχος ισχύει για όλα τα συστήματα, τους ανθρώπους και τις διαδικασίες που αποτελούν τα στοιχεία του οργανισμού, συμπεριλαμβανομένων των μελών του διοικητικού συμβουλίου, των διευθυντών, των υπαλλήλων, των προμηθευτών και άλλων τρίτων που έχουν πρόσβαση στα συστήματα και λειτουργία της ERGO INTERTECH.
- Ταυτότητα της ERGO INTERTECH
Εάν έχετε απορίες σχετικά με την Πολιτική Απορρήτου της εταιρείας μας, μπορείτε να επικοινωνήσετε μαζί μας χρησιμοποιώντας τα παρακάτω στοιχεία.
ErgoIntertech - Συστήματα Ασφαλείας - Τζικούλης Κώστας & Σια ΟΕ
Ολύνθου 62, Άνω Τούμπα,
Θεσσαλονίκη 54351
Τηλέφωνο: 2310953830
E-mail: dpo@ergoin.gr
Μπορείτε να υποβάλλετε ερωτήσεις σχετικά με την προστασία των προσωπικών δεδομένων, την προστασία της ιδιωτικής ζωής και την ασφάλεια δεδομένων στο dpo@ergoin.gr
- Τι πληροφορίες συλλέγουμε;
Μπορείτε να περιηγηθείτε στον ιστότοπο μας ανώνυμα. Κατά την περιήγησης σας στην ιστοσελίδα συλλέγονται cookies. Δείτε τη Δήλωση Cookies της ERGO INTERTECH σχετικά με τα cookies που χρησιμοποιούμε στο αρχείο “Πολιτική Cookies”.
Σε κάθε άλλη μας επικοινωνία τα δεδομένα που συλλέγουμε είναι τα ελάχιστα και απολύτως απαραίτητα που απαιτούνται για την εκπλήρωση του έργου που μας αναθέσατε και την εκπλήρωση των νόμιμων υποχρεώσεων μας (π.χ. φορολογικά στοιχεία για παραστατικά) ή για την επικοινωνία μαζί σας.
- Πως χρησιμοποιούμε τις πληροφορίες από τα δεδομένα σας;
Οποιαδήποτε από τις πληροφορίες που συλλέγουμε από εσάς μπορεί να χρησιμοποιηθεί για έναν ή περισσότερους από τους ακόλουθους σκοπούς:
- Για να επικοινωνήσουμε μαζί σας.
- Για να επιτρέψετε στην εταιρεία να εκδίδει έγκυρα τιμολόγια και να επεξεργάζεται συναλλαγές (οι πληροφορίες σας δεν θα πωλούνται, θα ανταλλάσσονται, θα μεταφέρονται ή θα παρέχονται σε οποιαδήποτε άλλη εταιρεία για οποιονδήποτε λόγο, χωρίς τη συγκατάθεσή σας, εκτός από το ρητό σκοπό της παράδοσης της ζητούμενης υπηρεσίας )
- Για να στέλνονται περιοδικά μηνύματα ηλεκτρονικού ταχυδρομείου. Η διεύθυνση ηλεκτρονικού ταχυδρομείου που παρέχετε για την επεξεργασία παραγγελιών, μπορεί να χρησιμοποιηθεί για την αποστολή πληροφοριών και ενημερώσεων σχετικά με την παραγγελία σας, πέραν της λήψης περιστασιακών εταιρικών ειδήσεων (εάν γίνονται αποδεκτές), ενημερώσεων, σχετικού προϊόντος ή υπηρεσίας πληροφορίες κ.λπ.
Ανά πάσα στιγμή μπορείτε να καταργήσετε την εγγραφή σας από τη λήψη ενημερωτικών emails.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (GDPR) είναι ένα από τα σημαντικότερα νομοθετήματα που επηρεάζουν τον τρόπο με τον οποίο η ERGO INTERTECH εκτελεί τις δραστηριότητες επεξεργασίας πληροφοριών. Σημαντικά πρόστιμα ισχύουν σε περίπτωση που μια παράβαση θεωρείται ότι έχει συμβεί στο πλαίσιο του GDPR, το οποίο αποσκοπεί στην προστασία των προσωπικών δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Είναι πολιτική της ERGO INTERTECH να διασφαλίσει ότι η συμμόρφωσή της με το GDPR και με άλλες σχετικές νομοθετικές πράξεις είναι σαφής και τεκμηριωμένη ανά πάσα στιγμή.
Οι πιο θεμελιώδεις ορισμοί όσον αφορά αυτήν την πολιτική είναι οι εξής:
- «Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου
- «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή
- «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους
Υπάρχει μια σειρά θεμελιωδών αρχών στις οποίες βασίζεται ο GDPR. Αυτές είναι:
- Τα δεδομένα προσωπικού χαρακτήρα:
- υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
- συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
- είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
- είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»), 4.5.2016 L 119/35 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης EL (1)Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1),
διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς
- αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
- υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία τροποποίηση, απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («προστασία εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας»).
- Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Η ERGO INTERTECH δεσμεύεται ότι συμμορφώνεται με όλες αυτές τις αρχές τόσο στην/στις επεξεργασία/ες που αυτή τη στιγμή εκτελεί, όσο και στο πλαίσιο της εισαγωγής νέων μεθόδων επεξεργασίας, όπως πχ. τα νέα συστήματα Τεχνολογίας Πληροφοριών ή νέες μεθοδολογίες κλπ.
Η ERGO INTERTECH υποστηρίζει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων βάσει του GDPR, που είναι:
- Το δικαίωμα ενημέρωσης
- Το δικαίωμα πρόσβασης
- Το δικαίωμα διόρθωσης
- Το δικαίωμα διαγραφής
- Το δικαίωμα περιορισμού της επεξεργασίας
- Το δικαίωμα στη φορητότητα των δεδομένων
- Το δικαίωμα εναντίωσης
- Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ.
Κάθε ένα από αυτά τα δικαιώματα υποστηρίζεται από τις κατάλληλες διαδικασίες, που ετοιμάζουμε, στη ERGO INTERTECH που επιτρέπουν την ανάληψη των απαιτούμενων ενεργειών εντός των χρονικών ορίων που ορίζονται στον GDPR.
Τα χρονικά πλαίσια αυτά παρουσιάζονται στον Πίνακα 1
Αίτημα Υποκειμένου των Δεδομένων |
Χρονικά Όρια |
Το δικαίωμα ενημέρωσης
|
Όταν συλλέγονται τα δεδομένα (εφόσον παρέχονται από το υποκείμενο των δεδομένων) ή εντός ενός μηνός (εάν δεν παρέχονται από το υποκείμενο των δεδομένων) |
Το δικαίωμα πρόσβασης |
Ένας μήνας |
Το δικαίωμα διόρθωσης |
Ένας μήνας |
Το δικαίωμα διαγραφής |
Χωρίς αδικαιολόγητη καθυστέρηση |
Το δικαίωμα περιορισμού της επεξεργασίας |
Χωρίς αδικαιολόγητη καθυστέρηση |
Το δικαίωμα στη φορητότητα των δεδομένων |
Ένας μήνας |
Το δικαίωμα εναντίωσης |
Μετά την παραλαβή της ένστασης |
Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ. |
Δεν διευκρινίζεται |
Πίνακας1 - Χρονοδιαγράμματα για τα Αιτήματα των Υποκειμένων των Δεδομένων
Εάν δεν υπάρχει Νομική βάση για την επεξεργασία προσωπικών δεδομένων κατά τον GDPR, θα ζητείται ρητή συγκατάθεση από ένα υποκείμενο δεδομένων για τη συλλογή και επεξεργασία των δεδομένων του.
Σε περίπτωση παιδιών ηλικίας κάτω των 15 ετών, θα ζητείται η συγκατάθεση των γονέων ή κηδεμόνων τους. Διαφανείς πληροφορίες σχετικές με τη χρήση των προσωπικών δεδομένων παρέχονται στα υποκείμενα των δεδομένων, τη στιγμή που λαμβάνεται η συγκατάθεση κι εξηγούνται τα δικαιώματά τους όσον αφορά τα δεδομένα
τους, όπως το δικαίωμα ανάκλησης της συγκατάθεσης. Οι πληροφορίες αυτές παρέχονται σε προσιτή μορφή, γραμμένη σε σαφή γλώσσα και δωρεάν.
Εάν τα προσωπικά δεδομένα δεν αποκτώνται απευθείας από το υποκείμενο των δεδομένων, τότε αυτές οι πληροφορίες παρέχονται μέσα σε εύλογο χρονικό διάστημα μετά τη λήψη των δεδομένων και οπωσδήποτε εντός ενός μηνός.
-
- Προστασία Απορρήτου από το Σχεδιασμό και εξ Ορισμού
Η ERGO INTERTECH έχει υιοθετήσει την αρχή της προστασίας απορρήτου από το σχεδιασμό και εξ ορισμού (σύμφωνα με το άρθρο 25 του GDPR) και διασφαλίζει ότι ο σχεδιασμός όλων των νέων ή σημαντικά αλλαγμένων συστημάτων που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, θα υπόκεινται στην κατάλληλη εξέταση των θεμάτων προστασίας απορρήτου, συμπεριλαμβανομένης της ολοκλήρωσης μίας ή περισσοτέρων εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων.
Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων θα περιλαμβάνει:
- Εξέταση του πώς επεξεργάζονται τα προσωπικά δεδομένα και για ποιους σκοπούς
- Αξιολόγηση του κατά πόσον η προτεινόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι τόσο αναγκαία όσο και αναλογική προς τον σκοπό (ούς)
- Εκτίμηση των κινδύνων για τα άτομα κατά την επεξεργασία των προσωπικών δεδομένων
- Ποια τεχνικά και οργανωτικά μέτρα είναι απαραίτητα για την αντιμετώπιση των εντοπισμένων κινδύνων και την απόδειξη της συμμόρφωσης με τη νομοθεσία
Οι εφαρμογές (Πληροφοριακά Συστήματα) ακολουθούν την αρχή της ελαχιστοποίησης των δεδομένων (data minimization), καθώς και της ποιότητας των δεδομένων και περιλαμβάνουν τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της κάθε επεξεργασίας. Επίσης, επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφαλείας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας σύμφωνα με την Πολιτική Διατήρησης και προστασίας Δεδομένων. Η χρήση τεχνικών όπως η ελαχιστοποίηση των δεδομένων, η κρυπτογράφηση και η ψευδωνυμοποίηση θα λαμβάνονται υπόψη όπου είναι εφαρμόσιμο και κατάλληλο.
Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης επανεξετάζονται προσεκτικά πριν από τη πραγματοποίηση της διαβίβασης, ώστε να διασφαλιστεί ότι εμπίπτουν στα όρια που επιβάλλει ο GDPR. Αυτό εξαρτάται εν μέρει από την κρίση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια των διασφαλίσεων για τα προσωπικά δεδομένα που ισχύουν στη χώρα υποδοχής και αυτό μπορεί να αλλάξει με την πάροδο του χρόνου.
Ο καθορισμένος ρόλος του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ - DPO) απαιτείται στο πλαίσιο του GDPR, επειδή η ERGO INTERTECH επεξεργάζεται ιδιαίτερα ευαίσθητους τύπους δεδομένων σε μεγάλη κλίμακα. Ο ΥΠΔ διαθέτει το κατάλληλο επίπεδο γνώσεων και θα ανατεθεί σε έναν κατάλληλο πάροχο υπηρεσιών.
-
- Οι εκτελούντες την επεξεργασία (Προμηθευτές υπηρεσιών)
Η ERGO INTERTECH τηρεί κατάλογο όλων των εκτελούντων την επεξεργασία που χειρίζονται προσωπικά δεδομένα για λογαριασμό του εντός ή εκτός των εγκαταστάσεων του.
Η σχετική ανάθεση εργασιών στους εκτελούντες την επεξεργασία γίνεται υποχρεωτικά εγγράφως
Η πολιτική της ERGO INTERTECH είναι δίκαιη και αναλογική όταν εξετάζονται τα μέτρα που πρέπει να ληφθούν για την ενημέρωση των επηρεαζόμενων μερών σχετικά με τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τον GDPR, όταν γνωστοποιηθεί ότι σημειώθηκε παραβίαση, η οποία ενδέχεται να έχει ως αποτέλεσμα τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, η σχετική Αρχή Προστασίας Δεδομένων (ΑΠΔ) θα ενημερωθεί εντός 72 ωρών. Αυτό θα γίνεται σύμφωνα με τη Διαδικασία Αντιμετώπισης Περιστατικών της Ασφάλειας Πληροφοριών
που καθορίζει τη συνολική διαδικασία αντιμετώπισης περιστατικών ασφάλειας πληροφοριών.
Σύμφωνα με τον GDPR, η αρμόδια Αρχή Προστασίας Δεδομένων έχει την εξουσία να επιβάλλει πρόστιμα ύψους έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20.000.000 ευρώ, όποιο είναι υψηλότερο, για παραβάσεις των κανονισμών.
Οι ακόλουθες ενέργειες λαμβάνονται για να διασφαλιστεί ότι η ERGO INTERTECH συμμορφώνεται ανά πάσα στιγμή με την αρχή της λογοδοσίας του GDPR:
- Η νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σαφής και αδιαμφισβήτητη
- Όλο το προσωπικό που ασχολείται με τη διαχείριση δεδομένων προσωπικού χαρακτήρα κατανοεί τις ευθύνες του για την τήρηση καλής πρακτικής προστασίας δεδομένων
- Η εκπαίδευση στην προστασία των δεδομένων παρέχεται σε όλο το προσωπικό
- Εφαρμόζονται κανόνες σχετικά με τη συγκατάθεση
- Υπάρχουν διαθέσιμες οδηγίες για τα υποκείμενα των δεδομένων που επιθυμούν να ασκήσουν τα δικαιώματά τους όσον αφορά τα προσωπικά δεδομένα και τα αιτήματα αυτά αντιμετωπίζονται αποτελεσματικά
- Διεξάγονται τακτικές ανασκοπήσεις των διαδικασιών που αφορούν δεδομένα προσωπικού χαρακτήρα
- Η προστασία απορρήτου από το σχεδιασμό υιοθετείται για όλα τα νέα ή τροποποιημένα συστήματα και διαδικασίες
- Υπάρχουν έγγραφες δεσμεύσεις με τους εκτελούντες την επεξεργασία
- Καταγράφεται η ακόλουθη τεκμηρίωση των δραστηριοτήτων επεξεργασίας:
- Όνομα οργανισμού και σχετικές λεπτομέρειες
- Σκοπός της επεξεργασίας των προσωπικών δεδομένων
- Κατηγορίες ατόμων και προσωπικών δεδομένων που επεξεργάζονται
- Κατηγορίες παραληπτών προσωπικών δεδομένων
- Συμφωνίες και μηχανισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός της ΕΕ, συμπεριλαμβανομένων λεπτομερειών σχετικά με τους ελέγχους που εφαρμόζονται
- Προγράμματα διατήρησης προσωπικών δεδομένων
- Σχετικοί τεχνικοί και οργανωτικοί έλεγχοι που έχουν τεθεί σε ισχύ
Η πολιτική προστασίας απορρήτου και προσωπικών δεδομένων καθώς και οι ενέργειες αυτές, θα επανεξετάζονται σε ετήσια βάση στο πλαίσιο της διαδικασίας ανασκόπησης της διοίκησης, του συστήματος διαχείρισης της ασφάλειας των πληροφοριών.