KARAKANAS Group

ΠΟΛΙΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)

(Σύμφωνα με τον ΚΑΝΟΝΙΣΜΟ της ΕΕ 2016/679)

Έκδοση : 1

Βόλος, 24/1/2023

 

  1. I. ΟΡΙΣΜΟΙ

1.Επιχείρηση

Karakanas Group

2.Δεδομένα Προσωπικού Χαρακτήρα

Κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί. Περιλαμβάνει τόσο τα απλά προσωπικά δεδομένα (ήτοι δεδομένα που αφορούν το ονοματεπώνυμο, ηλικία, οικογενειακή κατάσταση, Διεύθυνση κατοικίας, Διεύθυνση ηλεκτρονικού ταχυδρομείου (email), Στοιχεία τραπεζικού λογαριασμού, Διεύθυνση IP του ηλεκτρονικού υπολογιστή, αριθμοί τηλεφώνου/ φαξ, Δεδομένα Πληρωμής π.χ. τραπεζικοί λογαριασμοί, χρεωστικές/ πιστωτικές και λοιπές τραπεζικές κάρτες, ΑΔΤ ή διαβατήριο, ΑΦΜ, ΑΜΚΑ, μόρφωση, επάγγελμα, τόπο γέννησης ή σε συνοδευτικά αυτής έγγραφα/ δικαιολογητικά ή σχετίζονται με αυτήν κλπ) όσο και τα ευαίσθητα (ήτοι δεδομένα που αφορούν την φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, υγεία (σωματική ή ψυχική), κοινωνική πρόνοια, ερωτική ζωή, τα σχετικά με ποινικές διώξεις ή καταδίκες, φυλετική ή εθνική προέλευση, βιομετρικά και γενετικά δεδομένα ή δεδομένα που αφορούν την σεξουαλική ζωή του φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του και γενικά τα στοιχεία που χαρακτηρίζουν την υπόσταση του προσώπου από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.

  1. Υποκείμενο προσωπικών δεδομένων

Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

4.Επεξεργασία

Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, στα δεδομένα προσωπικού χαρακτήρα ή σε σύνολο δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε μορφής διάθεση, συσχέτιση, συνδυασμός, περιορισμός, διαγραφή, καταστροφή.

  1. Υπεύθυνος Επεξεργασίας

Το φυσικό η νομικό πρόσωπο πού μόνο του ή από κοινού με άλλα καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας των προσωπικών δεδομένων.

  1. Τρίτος

Οποιοδήποτε πρόσωπο που είναι εξουσιοδοτημένο να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, πέρα από τον υπεύθυνο επεξεργασίας, και τα πρόσωπα υπό την άμεση εποπτεία του.

  1. Αρχείο δεδομένων ή σύστημα αρχειοθέτησης

Κάθε διαρθρωμένο σύνολο δεδομένων το οποίο είναι προσβάσιμο με γνώμονα συγκεκριμένα κριτήρια.

  1. Συγκατάθεση

Κάθε ένδειξη βούλησης, ελεύθερης, συγκεκριμένης, ρητής και εν πλήρη επίγνωση με την οποία το υποκείμενο των δεδομένων συμφωνεί να αποτελέσουν τα δεδομένα του αντικείμενο επεξεργασίας.

  1. Κατάρτιση προφίλ

Οποιαδήποτε μορφή επεξεργασίας δεδομένων που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών πτυχών του υποκείμενου για την ανάλυση της απόδοσής του στην εργασία, την οικονομική του κατάσταση, την υγεία, τις προσωπικές του προτιμήσεις, τα ενδιαφέροντά του, την αξιοπιστία του, την συμπεριφορά του, τις μετακινήσεις του.

  1. Παραβίαση δεδομένων

Κάθε παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα.

  1. Προηγούμενη διαβούλευση με εποπτική αρχή

Ο υπεύθυνος επεξεργασίας ζητάει τη γνώμη της εποπτικής αρχής, πριν από τυχόν επεξεργασία σε περίπτωση που θεωρεί ότι μπορεί να προκληθεί υψηλός κίνδυνος.

 

 ΙΙ. ΣΥΛΛΟΓΗ- ΔΙΑΤΗΡΗΣΗ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ

Τα Προσωπικά Δεδομένα που συλλέγει η επιχείρησή μας είναι απλά (ήτοι δεδομένα που αφορούν το ονοματεπώνυμο, ΑΦΜ, επάγγελμα)

Η επιχείρηση προβαίνει σε Επεξεργασία των προσωπικών δεδομένων τα οποία συλλέγει με την καταχώριση με εγγραφές στα εμπορικά και φορολογικά βιβλία της εταιρείας και ηλεκτρονικά στους ηλεκτρονικούς υπολογιστές της εταιρείας και κατά περίπτωση σε περίπτωση μεταβολών τα ανακτά από τον Η/Υ και τα μεταβάλει και τέλος τα διαγράφει ή τα καταστρέφει. Κοινολογεί δε αυτά κατά περίπτωση, προς τις Αρχές (ασφαλιστικά ταμεία, ΔΟΥ, Επιθεώρηση Εργασίας, των υπαλλήλων κλπ) ή για σκοπούς προώθησης των πωλήσεων, (διαφημιστικές, προωθητικές ενέργειες) ή για λόγους κοινωνικής ευπρέπειας.

Υπεύθυνος επεξεργασίας είναι η ίδια η επιχείρηση

Υπάρχουν και Τρίτα φυσικά πρόσωπα τα οποία εκτελούν την επεξεργασία υπό την άμεση εποπτεία του Υπευθύνου Επεξεργασίας (πχ υπάλληλοι ) οι οποίοι είναι εξουσιοδοτημένοι από τον υπεύθυνο της επεξεργασίας.

ΙΙΙ. ΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ

1.Η επιχείρηση λαμβάνει την έγγραφη Συγκατάθεση των υποκειμένων για την επεξεργασία των δεδομένων που τα αφορούν με ειδικό έντυπο

2.Τηρεί τα προσωπικά αυτά δεδομένα έγχαρτα ή/και ηλεκτρονικά.

  1. Η επιχείρηση τηρεί ηλεκτρονικά αρχείο σε τοπικό server, τον οποίο διαθέτει και είναι εγκαταστημένος στα γραφεία της έδρας της στον οποίο αποθηκεύει τινά εκ των δεδομένων αυτών. Καθένας από τους Η/Υ έχει ειδικό κωδικό πρόσβασης, ο οποίος κατά καιρούς μεταβάλλεται, τον οποίο γνωρίζει και χειρίζεται ο υπεύθυνος επεξεργασίας ή /και ο κατ’ ιδίαν εξουσιοδοτημένος υπάλληλος που εργάζεται υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας, υπάρχει απαγόρευση κάθε είδους επεξεργασίας από μη εξουσιοδοτημένους χρήστες, ενώ επιτρέπεται υπό προσωπική ευθύνη του κάθε υπεύθυνου επεξεργασίας ή/και των κατ’ ιδίαν εξουσιοδοτημένων υπάλληλων η αποθήκευση δεδομένων σε USB, τα οποία είναι κλειδωμένα, σε απόλυτα αναγκαίες περιπτώσεις σχετικά με τους Η/Υ (PC, laptops, tablets, smartphone) που κατέχει και χρησιμοποιεί η εταιρεία μας, τα προγράμματά των και την προστασία των.

Όλα τα δεδομένα που τηρούνται ηλεκτρονικά αποθηκεύονται και σε εφεδρικά αντίγραφα (back-up) ( εξωτερικό σκληρό δίσκο , ο οποίος φυλάσσεται στο προσωπικό μου γραφείο που κλειδώνει και εγώ μόνον χρησιμοποιώ το κλειδί). Οι ηλεκτρονικές αυτές συσκευές στις οποίες υπάρχουν προσωπικά δεδομένα δεν είναι εκτεθειμένες σε σημεία όπου έχει πρόσβαση το κοινό, ούτε είναι δυνατή η θέαση της οθόνης τους από οποιονδήποτε άλλον εκτός από τον εξουσιοδοτημένο χρήστη του υπολογιστή.

  1. Η επιχείρηση τηρεί έγχαρτο αρχείο των πελατών, προμηθευτών, υπαλλήλων (και δη έντυπα αναγκών, αιτήσεις πρός ασφάλιση, βιβλιάρια υγείας , ιατρικές βεβαιώσεις, δικογραφίες ατυχημάτων κλπ , στοιχεία προμηθευτών, υπαλλήλων κλπ) μέσα σε φακέλους εγκλείστους, το οποίο έχει αποθηκευμένο στον χώρο της διευθύνσεως των γραφείων της σε ερμάρια/ντουλάπες ή κούτες, οι οποίες ασφαλίζουν με κλειδαριές στα οποία πρόσβαση έχει μόνον ο νόμιμος εκπρόσωπος της επιχείρησης/υπεύθυνος επεξεργασίας, ενώ η επιχείρηση διαθέτει σύστημα παρακολουθησης καμερων και πυρασφάλεια.

 

  1. ΛΟΙΠΟΙ ΟΡΟΙ

1.Υπεύθυνος Επεξεργασίας: Καρακάνας Παναγιώτης

1.1 Σε περίπτωση που ζητηθούν από το Υποκείμενο Δεδομένων πληροφορίες για τα τηρούμενα και επεξεργαζόμενα δεδομένα του, παρέχει στο υποκείμενο, γραπτώς ή με άλλα μέσα, μεταξύ των οποίων περιλαμβάνεται και τα ηλεκτρονικά μέσα, κάθε πληροφορία που θα του ζητηθεί, χρησιμοποιώντας συνοπτική διαφανή, εύκολα προσβάσιμη μορφή και σαφή και απλή διατύπωση. Οι πληροφορίες αυτές οι οποίες παρέχονται δωρεάν, δίδονται χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του

1.2. Ενημερώνει το υποκείμενο, με κοινοποίηση προς αυτό για: την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας ή του εξουσιοδοτημένου από αυτά προσώπου, τα νόμιμα συμφέροντα του υπευθύνου επεξεργασίας, ως δικαιολογητική βάση της επεξεργασίας, τις κατηγορίες των προσωπικών δεδομένων που τυγχάνουν επεξεργασίας, τους αποδέκτες ή κατηγορίες αποδεκτών των προσωπικών δεδομένων, την ανακοίνωση της μεταφοράς των δεδομένων σε τρίτες χώρες, τη περίοδο διατήρησης των αρχείων των δεδομένων, τα δικαιώματα των υποκειμένων στην πρόσβαση, διόρθωση, διαγραφή, περιορισμό της επεξεργασίας και εναντίωσης σε αυτή, το δικαίωμα υποβολής καταγγελίας σε εποπτεύουσα αρχή και το δικαίωμα του υποκειμένου που έχει παράσχει τη

συναίνεσή του/συγκατάθεσή του για επεξεργασία, να ανακαλέσει αυτήν οποτεδήποτε.

1.3.σε περίπτωση υποβολής αιτήματος διακοπής συγκέντρωσης/οριστικής διαγραφής δεδομένων ή αιτήματος χρήσης του δικαιώματος λήθης από το οποιοδήποτε υποκείμενο, προβαίνει με επιμέλεια του υπευθύνου επεξεργασίας και δη του νομίμου εκπροσώπου της, στην άμεση διακοπή συγκέντρωσης προσωπικών αυτών δεδομένων και οριστική διαγραφή των όσων έχουν συλλεγεί, με την παράδοσή, με απόδειξη παραλαβής, αυτών στα υποκείμενα, με την υλική καταστροφή των (καύση ή μέσω καταστροφέα εγγράφων κλπ), ή ολική διαγραφή από τους Η/Υ (permanent delete).

1.4. δικαιούται να προβαίνει στην επεξεργασία όσων δεδομένων απαιτούν δημόσιες αρχές και οι δημόσιοι φορείς στα πλαίσια των αρμοδιοτήτων της (καταστάσεις προσωπικού, αναρτημένες στα γραφεία της έδρας, ενέργειες ενώπιον δικαστηρίων, της ΔΕΙΑ/Εποπτικής Αρχής στην Τράπεζα της Ελλάδος, φορολογικών Αρχών, Ασφαλιστικά Ταμεία κλπ).

1.5. δεν είναι υποχρεωμένη στον ορισμό Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) με δεδομένο ότι τα δεδομένα τα οποία συλλέγει και επεξεργάζεται δεν είναιογκώδη (big data).

1.6. τηρεί αρχείο με τον Κώδικα Δεοντολογίας και την Πολιτική Ασφαλείας Προσωπικών Δεδομένων και τις δραστηριότητες επεξεργασία των δεδομένων.

1.7. σε περίπτωση παραβίασης της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα ή υπονοιών για παραβίαση της ασφάλειας θα απευθυνθεί άμεσα στον υπεύθυνο πιστοποιημένο ανάλογα συνεργάτη της προς έλεγχο και προστασία των Η/Υ καθώς και σε εξειδικευμένους πιστοποιημένους ανάλογα συμβούλους της για την διαπίστωση του τρόπου παραβίασης και κάλυψη του υπάρχοντος κενού που δημιουργήθηκε.

2.Ως τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα θεωρείται ενδεικτικά : η απώλεια συσκευών οι οποίες έχουν αποθηκευμένα δεδομένα(πχ εξωτερικός σκληρός δίσκος, Η/Υ, lap top, tablet, usb flash, smart phone κλπ), μη εξουσιοδοτημένη/παράνομη πρόσβαση και επιθέσεις με διάφορα τεχνολογικά μέσα, όπως επιθέσεις με ιούς worms, Trojans, ransom ware, μέσω των οποίων μπορεί να κλαπούν δεδομένα να μολυνθούν να κλειδωθούν, να υπερφορτωθούν τα συστήματα συναγερμών, εσωτερικές παραβιάσεις από προσωπικό ή πρώην προσωπικό, ανεπαρκή μέσα προστασίας, παραλείψεις ή αμέλεια.

  1. Ο Υπεύθυνος Επεξεργασίας λαμβάνει μέτρα ειδοποίησης για απόπειρα πρόσβασης σε δεδομένα, πιθανότητα πρόσβασης, αποδείξεις παραβίασης, σίγουρηπαραβίαση.

4.Ο Υπεύθυνος Επεξεργασίας δημιουργεί ομάδα υποστήριξης για την αντιμετώπιση των περιπτώσεων παραβίασης, όπως πχ από υπηρεσίες πληροφορικής, νομικής υποστήριξης, επικοινωνίας-ενημέρωσης δημοσίων σχέσεων, τυχόν ασφαλιστική κάλυψη κινδύνων παραβίασης και προβαίνει στην δημιουργία ημερολογίου συμβάντων για καταγραφή παραβίασης και αντιμετώπισής της, στο οποίο καταγράφεται κάθε συμβάν και περιστατικό παραβίασης, πως αντιμετωπίστηκε, ποιοι έδρασαν και πως, τι χρειάζεται για να βελτιωθεί το σύστημα και σε ποια περιοχή του, ώστε να αντιμετωπιστούν στο μέλλον αποτελεσματικότερα, τυχόν απειλές και παραβιάσεις.

5.Σε περίπτωση ύπαρξης ή υπονοιών ύπαρξης παραβίασης περιστατικών παραβίασης ο Υπεύθυνος Επεξεργασίας, μέσω της ομάδας που έχει δημιουργήσει για την αντιμετώπιση περιστατικών, προβαίνει σε αποσαφήνιση του συμβάντος, σε ενέργειες αντιμετώπισης, όπως απομόνωση των συστημάτων που παραβιάστηκαν, εντοπισμό και εξάλειψη και αιτίων παραβίασης και εφαρμογή βελτιώσεων για επαναφορά των συστημάτων σε παραγωγική κατάσταση, προβαίνοντας και σε αναλύσεις των επιπτώσεων που μπορεί να έχει η παραβίαση των συστημάτων.

  1. σε περίπτωση κατά την οποία κρίνει ο υπεύθυνος επεξεργασίας ότι από την κάθε είδους επεξεργασία μπορεί να προκληθεί υψηλός κίνδυνος, ζητάει άμεσα τη γνώμη της εποπτικής αρχής, πριν από τυχόν επεξεργασία.
  2. σε περίπτωση κατά την οποία έχει υπάρξει παραβίαση δεδομένων προσωπικού χαρακτήρα, που ενδέχεται, κατά την κρίση της να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων, ανακοινώνει αμελλητί, εγγράφως, με αποστολή συστημένης επιστολής, την παραβίαση των δεδομένων προσωπικού χαρακτήρα, στο υποκείμενο των δεδομένων.

8.Η επιχείρηση προβαίνει σε συνεχή ενημέρωση και εκπαίδευση του προσωπικού για εξασφάλιση της απαιτούμενης προσοχής, εγρήγορσης και αντιμετώπισης περιστατικών παραβίασης δεδομένων, με κάθε δημιουργικό τρόπο και με τη βοήθεια των ηλεκτρονικών δικτύων μέσω των οποίων μπορεί να δίνονται σύντομες συμβουλές, να παρουσιάζονται βίντεο, να συμπληρώνονται ερωτηματολόγια κλπ

  1. Σε περίπτωση Παραβιάσεων Συστημάτων ο Υπεύθυνος επεξεργασίας ενημερώνει, εντός 72 ωρών, από τον εντοπισμό του συμβάντος της παραβίασης τις αρμόδιες αρχές

 

Υπεύθυνος Επεξεργασίας

 

Παναγιώτης Καρακάνας