Πολιτική Προστασίας Προσωπικών Δεδομένων Βρεφονηπιακού Σταθμού «ΖΩΓΡΑΦΙΣΤΑ ΧΑΜΟΓΕΛΑ»
Γενικά
Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων (εφεξής «η Πολιτική») εφαρμόζεται σε όλες τις εσωτερικές διαδικασίες του Βρεφονηπιακού Σταθμού με τον διακριτικό τίτλο «ΖΩΓΡΑΦΙΣΤΑ ΧΑΜΟΓΕΛΑ» (εφεξής η «η Εταιρεία»), οι οποίες και αφορούν σε επεξεργασίες προσωπικών δεδομένων υπαλλήλων, πελατών και προμηθευτών της Εταιρείας και οι οποίες εκτελούνται για λογαριασμό της Εταιρείας, στις περιπτώσεις δηλαδή που η Εταιρεία είναι ο Υπεύθυνος Επεξεργασίας των προσωπικών δεδομένων. Στην παρούσα Πολιτική καθορίζονται το πλαίσιο και οι προδιαγραφές οι οποίες πρέπει να πληρούνται προκειμένου να είναι θεμιτή η επεξεργασία προσωπικών δεδομένων από τους υπάλληλους της Εταιρείας.
Ορισμοί
Για τους σκοπούς της παρούσας πολιτικής:
1) «Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
3) «Περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
4) «Κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
5) «Ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,
6) «Σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
7) «Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
8) «Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
9) «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
10) «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
11) «Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
12) «Παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
13) «Γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,
14) «Βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,
15) «Δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του,
16) «Εκπρόσωπος»: φυσικό ή νομικό πρόσωπο, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους,
Κανόνες επεξεργασίας
Όλοι οι υπάλληλοι της Εταιρείας οφείλουν να προβαίνουν σε επεξεργασία προσωπικών δεδομένων μόνο σύμφωνα με τους ακόλουθους έντεκα (11) κανόνες. Σε διαφορετική περίπτωση υπέχουν πειθαρχική ευθύνη έναντι του νομικού προσώπου της Εταιρείας. Η Εταιρεία μεριμνά για την γνωστοποίηση της παρούσας Πολιτικής γενικότερα και των κατωτέρω κανόνων ειδικότερα σε όλους ανεξαιρέτως τους υπαλλήλους της.
1ος Κανόνας: Νομότυπη επεξεργασία
Η επεξεργασία που εκτελείται για λογαριασμό της Εταιρείας γίνεται πάντοτε σε συμμόρφωση με το εκάστοτε ισχύον νομικό πλαίσιο για τους νόμιμους σκοπούς.
2ος Κανόνας: Διαφανής επεξεργασία
Η επεξεργασία που συνίσταται σε συλλογή προσωπικών δεδομένων υπαλλήλων, πελατών και προμηθευτών και στο μέτρο που δεν επιβάλλεται από σχετική νομική υποχρέωση της Εταιρείας θα πρέπει να συνοδεύεται από αντίστοιχη ενημέρωση των υποκειμένων των δεδομένων τόσο ως προς τη μέθοδο συλλογής των δεδομένων τους, όσο και ως προς την επεξεργασία που θα λάβει χώρα και θα έχει ως αντικείμενο τα δεδομένα αυτά.
3ος Κανόνας: Σκοπός επεξεργασίας
Ο όγκος των προσωπικών δεδομένων που συλλέγονται θα πρέπει να τελεί σε σχέση αναλογίας με τον σκοπό της συλλογής αυτής. Ο σκοπός της επεξεργασίας θα καθίσταται γνωστός στο υποκείμενο των δεδομένων πριν τη συλλογή τους, όπως και οποιαδήποτε τυχόν μεταβολή στο σκοπό αυτό. Σε περίπτωση μεταβολής του σκοπού, θα αναζητείται και η έγγραφη συγκατάθεση του υποκειμένου των δεδομένων όπου αυτή είναι απαραίτητη.
4ος Κανόνας: Έγκυρα και επικαιροποιημένα δεδομένα
Τα προσωπικά δεδομένα που βρίσκονται στην κατοχή της Εταιρείας θα πρέπει να είναι επαρκώς ενημερωμένα και ορθά. Αυτό σημαίνει πως απαιτείται τακτική επικοινωνία με τα υποκείμενα των δεδομένων, προκειμένου η Εταιρεία να ενημερώνεται για οποιαδήποτε σχετική αλλαγή.
5ος Κανόνας: Χρονικά περιορισμένη επεξεργασία
Η διατήρηση των προσωπικών δεδομένων θα πρέπει να βρίσκεται σε αναλογία με τον σκοπό της επεξεργασίας τους. Η διατήρησή τους δε θα πρέπει να ξεπερνά τη χρονική διάρκεια για την οποία είναι απαραίτητη σύμφωνα με το σκοπό για τον οποίο συλλέχθηκαν, ή τη σχετική εκ νόμου προβλεπόμενη υποχρέωση της Εταιρείας (π.χ. φορολογικά στοιχεία).
6ος Κανόνας: Δικαίωμα πρόσβασης
Η Εταιρεία καταλαμβάνει κάθε δυνατή προσπάθεια, ώστε να τα αιτήματα και τα παράπονα των υποκειμένων των δεδομένων να ικανοποιούνται άμεσα επιδεικνύοντας το δέοντα σεβασμό στα δικαιώματα που η ισχύουσα νομοθεσία επιφυλάσσει στα υποκείμενα των δεδομένων και ειδικότερα στα δικαιώματα πρόσβασης και εναντίωσης στην επεξεργασία.
7ος Κανόνας: Κατάλληλα τεχνικά και οργανωτικά μέτρα
Η Εταιρεία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων και εγγυάται ότι δεν τυγχάνουν αθέμιτης επεξεργασίας από πρόσωπα που δεν έχουν σχετική εξουσιοδότηση προς τούτο.
8ος Κανόνας: Πάροχοι υπηρεσιών και τρίτα μέρη που προσφέρουν κατάλληλα εχέγγυα προστασίας
Όλες οι συμβάσεις παροχής υπηρεσιών που έχει συνάψει η Εταιρεία με προμηθευτές, παρόχους υπηρεσιών ή τρίτους, περιλαμβάνουν τις κατάλληλες συμβατικές ρήτρες που διασφαλίζουν ότι τα προσωπικά δεδομένα που διαβιβάζει η Εταιρεία, στα πλαίσια των έννομων σχέσεων που ρυθμίζουν οι συμβάσεις αυτές, απολαμβάνουν τουλάχιστον ίσης προστασίας που αυτή που η ίδια επιφυλάσσει για τα προσωπικά δεδομένα για τα οποία είναι υπεύθυνος επεξεργασίας.
9ος Κανόνας: Ευαίσθητα Δεδομένα
Η Εταιρεία θα συλλέγει και θα επεξεργάζεται ευαίσθητα δεδομένα, μόνον εφόσον έχει διασφαλίσει τη γραπτή συγκατάθεση του υποκειμένου των δεδομένων και μόνον υπό την προϋπόθεση ότι το υποκείμενο έχει ενημερωθεί επαρκώς για τον σκοπό και τη μέθοδο της επεξεργασίας των δεδομένων του.
10ος Κανόνας: Προώθηση προϊόντων/υπηρεσιών
Η Εταιρεία χορηγεί στους πελάτες της το δικαίωμα opt-out από την αποστολή προωθητικών μηνυμάτων δεσμεύεται να απέχει από αποστολή τέτοιων μηνυμάτων σε περίπτωση που έχει ασκηθεί το σχετικό δικαίωμα.
11ος Κανόνας: Αποκάλυψη και Πρόσβαση στις Προσωπικές Πληροφορίες
Η Εταιρεία συλλέγει και αποθηκεύει προσωπικές πληροφορίες σε καθεστώς εμπιστευτικότητας και όλοι οι υπάλληλοι και εξωτερικοί συνεργάτες πρέπει να σέβονται την εμπιστευτικότητα τέτοιου είδους πληροφοριών. Αποκαλύψεις σε εσωτερικούς και εξωτερικούς παραλήπτες μπορούν να γίνουν στις εξής περιπτώσεις: (1) για την εκτέλεση της σύμβασης εργασίας (2) με τη συναίνεση ή εξουσιοδότηση του υποκειμένου (3) για την εξυπηρέτηση των εννόμων συμφερόντων της Εταιρείας, στις περιπτώσεις που δεν δημιουργείται κίνδυνος για τα δικαιώματα των υποκειμένων (4) όταν αυτό επιτρέπεται ή επιβάλλεται δια νόμου ή νομικής διαδικασίας (5) στην περίπτωση διερεύνησης εγκληματικής συμπεριφοράς, ή (6) σε μια «έκτακτη περίσταση», όπως για παράδειγμα σε περίπτωση διακινδύνευσης της ζωής ή των ζωτικών συμφερόντων ενός φυσικού προσώπου.
Leave a Reply