Πολιτική Προστασίας Προσωπικών Δεδομένων ISS

Transcript

1 Πολιτική Προστασίας Προσωπικών Δεδομένων ISS 0

2 ΔΗΛΩΣΗ ΠΟΛΙΤΙΚΗΣ Η ISS είναι ένας από τους μεγαλύτερους εργοδότες στην Ελλάδα που παρέχει υπηρεσίες σε δεκάδες πελάτες και ως εκ τούτου επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε καθημερινή βάση. Ως υπεύθυνος εργοδότης και πάροχος υπηρεσιών, η ISS αναλαμβάνει την υποχρέωση να επεξεργάζεται πολύ σοβαρά δεδομένα σε προκαθορισμένο ή/ και τακτικό χρόνο και με ασφαλή τρόπο. Η προστασία της ακεραιότητας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων μας, των πελατών και των χρηστών αυτών είναι υψίστης σημασίας για την ISS. Η παρούσα Πολιτική καθορίζει τον τρόπο με τον οποίο η ISS επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα και τα μέτρα συμμόρφωσης που εφαρμόζονται για να διασφαλιστεί ότι η επεξεργασία των δεδομένων των πελατών θα πραγματοποιείται κατά τρόπο τακτικό και ασφαλή. Ο σκοπός της Πολιτικής είναι να ευθυγραμμίσει σε ολόκληρο τον Όμιλο ISS Ελλάδας τις υποχρεωτικές ελάχιστες απαιτήσεις για τις διεργασίες και τις διαδικασίες που πρέπει να εφαρμόζονται κατά τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η πολιτική περιγράφει επίσης ορισμένες διαδικασίες που επιτρέπουν στην ISS να συμμορφώνεται με κανονιστικές υποχρεώσεις. Η συμμόρφωση με την Πολιτική είναι υποχρεωτική. Το παρόν έγγραφο δεν προτίθεται και δεν μπορεί να απαντήσει σε όλες τις ερωτήσεις που τυχόν προκύψουν. Ως εκ τούτου, παρακαλείσθε να απευθυνθείτε στον τοπικό νομικό σύμβουλο ή το Νομικό Τμήμα του Ομίλου (Τηλ: ή στο με ερωτήσεις ή προτάσεις για τη βελτίωση της εφαρμογής της Πολιτικής. 1

3 0 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 1 ΕΙΣΑΓΩΓΗ Θεμελιώδεις κανόνες Έλεγχος και διακυβέρνηση Πώς να διαβάσετε και να χρησιμοποιήσετε αυτήν την Πολιτική και τα εργαλεία που παρέχονται Ορισμοί της παρούσας Πολιτικής Ερωτήσεις - Αναθεώρηση της Πολιτικής ΠΡΟΣΤΑΣIΑ ΔΕΔΟΜEΝΩΝ ΑΡΧΕΣ Συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των δεδομένων Νομιμότητα της επεξεργασίας των δεδομένων Σκοπός της επεξεργασίας δεδομένων Διαφάνεια για την επεξεργασία δεδομένων Ποιότητα δεδομένων και αναλογικότητα Μεταφορά δεδομένων προσωπικού χαρακτήρα και χρήση υπεργολάβων επεξεργασίας ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ Πολιτική ISS Πώς λειτουργούμε Ελάχιστες απαιτήσεις ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Πολιτική ISS Πώς λειτουργούμε Ελάχιστες απαιτήσεις Διαθέσιμα εργαλεία ΕΚΠΑΙΔΕΥΣΗ ΚΑΙ ΕΝΗΜΕΡΩΣΗ Πολιτική ISS Πώς λειτουργούμε ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΚΑΙ ΕΛΕΓΧΟΣ Πολιτική ISS Πώς λειτουργούμε Εσωτερικός έλεγχος Πελάτης με αίτημα ελέγχου για την ISS Έλεγχος των προμηθευτών της ISS Ελάχιστες απαιτήσεις Έκδοση του εγγράφου Τελευταία ενημέρωση: Μάιος 2018 Έκδοση του εγγράφου Έκδοση 1 Εγκρίθηκε από: Ομάδα Διοίκησης Αρμόδιος για την επιτήρηση: Νομικό Τμήμα Ομίλου Επόμενη αναθεώρηση/ενημέρωση: Ιούνιος 2019

4 1 ΕΙΣΑΓΩΓΗ 1.1 Θεμελιώδεις κανόνες Η ISS παρέχει υπηρεσίες στους πελάτες της σε πολλές περιοχές της Ελλάδας. Είναι σημαντικό για την ISS η επεξεργασία δεδομένων προσωπικού χαρακτήρα να πραγματοποιείται σύμφωνα με τα υψηλότερα πρότυπα. Για να διασφαλιστεί ένα σταθερά υψηλό πρότυπο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η ISS ακολουθεί τις εξής βασικές αρχές: (α) Δικαιοσύνη και ορθές πρακτικές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα Η ISS διασφαλίζει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται κατά τρόπο ασφαλή και τακτικό, σύμφωνα με τις ορθές πρακτικές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Σε σχέση με τη γενική αρχή της δικαιοσύνης, η ISS δεν θα επεξεργάζεται δεδομένα σε ένα ευρύτερο πεδίο από αυτό που απαιτεί ο σκοπός. (β) Προβαίνουμε σε επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο για συγκεκριμένο σκοπό Η ISS θα επεξεργάζεται μόνο τα δεδομένα προσωπικού χαρακτήρα για τον/τους σκοπό(-ούς) για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα. (γ) Διαφάνεια Η ISS διασφαλίζει ότι κατά τη συλλογή δεδομένων από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα θα τους δίνονται οι πληροφορίες που απαιτούνται από τον νόμο. Περαιτέρω, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι πελάτες της ISS έχουν ανά πάσα στιγμή το δικαίωμα να ζητούν πληροφορίες σχετικά με τα δεδομένα προσωπικού χαρακτήρα που έχει συλλέξει η ISS και τον τρόπο επεξεργασίας αυτών των δεδομένων. (δ) Εμπιστευτικότητα Οποιαδήποτε δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η ISS θεωρούνται εμπιστευτικές πληροφορίες. Για να διασφαλιστεί η εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, η ISS θα εκπαιδεύει τους εργαζομένους της σχετικά με τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και θα τους ενημερώνει για τον εμπιστευτικό χαρακτήρα των δεδομένων προσωπικού χαρακτήρα. 4

5 (ε) Μεταφορά δεδομένων σε άλλες χώρες Η ISS θα μεταφέρει δεδομένα προσωπικού χαρακτήρα εκτός της χώρας προέλευσής τους μόνο σύμφωνα με την τοπική νομοθεσία και άλλους κανονισμούς, όπως οι κανόνες προστασίας δεδομένων ΕΕ/ΕΟΧ. Η ISS θα διασφαλίζει ότι όλες οι απαιτούμενες συμφωνίες μεταφοράς είναι σε ισχύ με τους υπεργολάβους επεξεργασίας αυτών των δεδομένων προσωπικού χαρακτήρα. (στ) Διατήρηση και διαγραφή των δεδομένων προσωπικού χαρακτήρα Η ISS θα αποθηκεύει και θα χρησιμοποιεί μόνο δεδομένα προσωπικού χαρακτήρα για όσο χρονικό διάστημα είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέγονται τα δεδομένα προσωπικού χαρακτήρα. Η ISS εφαρμόζει διαδικασίες διατήρησης για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα διαγράφονται με τον σωστό τρόπο. 1.2 Έλεγχος και διακυβέρνηση Για την εξασφάλιση της συμμόρφωσης με τους κανόνες προστασίας δεδομένων, η ISS έχει ορίσει Υπεύθυνο προστασίας δεδομένων Ομίλου (ΥΠΔ Ομίλου). Ο Υπεύθυνος προστασίας δεδομένων Ομίλου (ΥΠΔ Ομίλου) επιβλέπει τη συνολική συμμόρφωση με τους κανόνες προστασίας δεδομένων, προβαίνει σε εκπαίδευση των τοπικών ΥΠΔ και χειρίζεται όλα τα ερωτήματα σχετικά με την παρούσα Πολιτική και την εφαρμογή της. Τα επικοινωνίας του ΥΠΔ Ομίλου είναι: 1.3 Πώς να διαβάσετε και να χρησιμοποιήσετε αυτήν την Πολιτική και τα εργαλεία που παρέχονται Κάθε τμήμα της Πολιτικής διαρθρώνεται ως εξής: Πολιτική της ISS: Σύντομη περιγραφή και υπόβαθρο της σχετικής ενότητας της παρούσας Πολιτικής. Πώς λειτουργούμε: Μια περιγραφή των γενικών απαιτήσεων και των κατευθυντήριων οδηγιών και του τρόπου εφαρμογής της παρούσας πολιτικής. Ελάχιστες απαιτήσεις συμμόρφωσης: Οι ελάχιστες απαιτήσεις σε κάθε τμήμα της Πολιτικής που πρέπει να εφαρμόζονται και να τηρούνται συνεχώς. Διαθέσιμα εργαλεία: Μια περιγραφή των εργαλείων και προτύπων που είναι διαθέσιμα για την υλοποίηση των απαιτήσεων της παρούσας πολιτικής. Επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων ή με το νομικό τμήμα για να αποκτήσετε πρόσβαση σε αυτόν τον ιστότοπο, εάν ισχύει. 5

6 1.4 Ορισμοί της παρούσας Πολιτικής Δεσμευτικοί Εταιρικοί Κανόνες (ΔΕΚ): Για να επιτραπεί η απρόσκοπτη μεταφορά δεδομένων προσωπικού χαρακτήρα μεταξύ των εταιρειών μας, η ISS έχει υπογράψει παγκοσμίως ένα σύνολο Δεσμευτικών Εταιρικών Κανόνων που έχουν εγκριθεί από τις Αρχές Προστασίας Δεδομένων στην Ευρωπαϊκή Ένωση. Ένας κατάλογος των χωρών της ISS που έχουν υπογράψει τους ΔΕΚ διατίθεται στο Διοίκηση χώρας: Ο Διευθύνων Σύμβουλος και όλοι οι επικεφαλής τμημάτων που αναφέρονται απευθείας σε αυτόν, όπως, ενδεικτικά, ο Οικονομικός Διευθυντής, ο Διευθυντής Ανθρωπίνων Πόρων, ο Εμπορικός Διευθυντής, και οι Διευθυντές επιχειρησιακού τομέα. Ελεγκτής δεδομένων: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο οργανισμός ή άλλος φορέας ο οποίος, από μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Π.χ. Η ISS κανονικά θα θεωρείται ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων μας. Χάρτης δεδομένων: Κάθε οντότητα της ISS είναι υπεύθυνη για τη διατήρηση μιας λίστας με τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται, τον τρόπο και τον τόπο επεξεργασίας και τα άτομα με πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα. Ο χάρτης δεδομένων επιτηρείται από τον Υπεύθυνο Προστασίας Δεδομένων. Εκτελών την επεξεργασία: Ως ο εκτελών την επεξεργασία των δεδομένων νοείται ένα φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας δεδομένων. Π.χ. Οι προμηθευτές της ISS θα θεωρούνται κανονικά εκτελούντες την επεξεργασία των δεδομένων όταν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα των εργαζομένων της ISS. Όταν η ISS επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των εργαζομένων των πελατών μας, η ISS θα είναι ο εκτελών την επεξεργασία των δεδομένων. Συμφωνία επεξεργασίας δεδομένων: Οι δραστηριότητες του εκτελούντος την επεξεργασία δεδομένων πρέπει να διέπονται από δεσμευτική συμφωνία μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία των δεδομένων. Η εν λόγω σύμβαση πρέπει να καλύπτει τη διάρκεια και το σκοπό της επεξεργασίας, τους τύπους των δεδομένων προσωπικού χαρακτήρα της επεξεργασίας και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία μόνο με τεκμηριωμένες οδηγίες από τον υπεύθυνο επεξεργασίας. Ο εκτελών την επεξεργασία των δεδομένων έχει την υποχρέωση να ενημερώνει τον υπεύθυνο επεξεργασίας εάν πιστεύει ότι μια οδηγία επεξεργασίας πληροφοριών του υπεύθυνου επεξεργασίας παραβιάζει τον ΓΚΠΔ ή άλλον εφαρμοστέο τοπικό νόμο. Πρόσωπο στο οποίο αναφέρονται τα δεδομένα: Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι ένα αναγνωρίσιμο φυσικό πρόσωπο το οποίο μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, με αναφορά σε ένα αναγνωριστικό όπως όνομα, αριθμός εγγράφου ταυτοποίησης, δεδομένα τοποθεσίας, ηλεκτρονικό αναγνωριστικό για έναν ή περισσότερους παράγοντες που είναι συγκεκριμένοι για τη φυσική, φυσιολογική, γενετική, πνευματική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου. Αναφορά Εκτίμησης Επιπτώσεων στην Προστασία Δεδομένων ή ΕΕΠΔ: Μια αναφορά εκτίμησης των επιπτώσεων στην ιδιωτική ζωή στοχεύει στον εντοπισμό και την καταγραφή των ουσιαστικών στοιχείων οποιουδήποτε προτεινόμενου συστήματος που περιέχει σημαντικές ποσότητες προσωπικών πληροφοριών ή ειδικών κατηγοριών δεδομένων και τον καθορισμό του τρόπου με τον οποίο μπορούν να αντιμετωπιστούν οι κίνδυνοι για την προστασία της ιδιωτικής ζωής που συσχετίζονται με το σύστημα. EEA: Ο Ευρωπαϊκός Οικονομικός Χώρος (ΕΟΧ) ενοποιεί τα κράτη μέλη της ΕΕ και τα τρία κράτη (Ισλανδία, Λιχτενστάιν και Νορβηγία) σε μια εσωτερική αγορά που διέπεται από τους ίδιους βασικούς κανόνες. Τα κράτη μέλη της ΕΕ είναι: Αυστρία, Βέλγιο, Βουλγαρία, Κροατία, 6

7 Δημοκρατία της Κύπρου, Δημοκρατία της Τσεχίας, Δανία, Εσθονία, Φινλανδία, Γαλλία, Γερμανία, Ελλάδα, Ουγγαρία, Ιρλανδία, Ιταλία, Λετονία, Λιθουανία, Λουξεμβούργο, Μάλτα, Ολλανδία, Πολωνία, Πορτογαλία, Ρουμανία, Σλοβακία, Σλοβενία, Ισπανία, Σουηδία και Ηνωμένο Βασίλειο. ΓΚΠΔ: Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) είναι η κοινή αναφορά στον Κανονισμό 2016/679 της ΕΕ που αντικαθιστά την οδηγία για την προστασία των δεδομένων και τους τοπικούς νόμους για την προστασία των δεδομένων στην ΕΕ. Ο ΓΚΠΔ εκδόθηκε στις 27 Απριλίου Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018, σε αντίθεση με μια οδηγία, δεν απαιτεί από τις εθνικές κυβερνήσεις να εγκρίνουν οποιαδήποτε νομοθετική πράξη και, συνεπώς, είναι άμεσα δεσμευτικός και εφαρμοστέος. ΥΠΔ Ομίλου: Ο Υπεύθυνος προστασίας δεδομένων του Ομίλου της ISS. Ο Υπεύθυνος προστασίας δεδομένων του Ομίλου επιβλέπει τη συνολική συμμόρφωση με τους κανόνες προστασίας δεδομένων και παρέχει συμβουλές σχετικά με όλα τα θέματα που αφορούν την παρούσα Πολιτική και την εφαρμογή της. Πολιτική Ασφάλειας Πληροφοριών: είναι η Πολιτική Ασφάλειας Πληροφοριών της ISS που περιλαμβάνει όλες τις επιμέρους πολιτικές. Πολιτικές του Ομίλου ISS: Πολιτικές και κατευθυντήριες οδηγίες που εκδίδονται και ενημερώνονται από τον Όμιλο ISS σε περιοδικά διαστήματα Προσωπικά δεδομένα:: κάθε πληροφορία σχετικά με αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο («Πρόσωπο στο οποίο αναφέρονται τα δεδομένα»). Ειδική κατηγορία: είναι δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή μέλη συνδικαλιστικών οργανώσεων, γενετικά δεδομένα, βιομετρικά δεδομένα για τον μοναδικό εντοπισμό ενός προσώπου στο οποίο αναφέρονται τα δεδομένα, δεδομένα σχετικά με την υγεία ή τη σεξουαλική ζωή ή το σεξουαλικό προσανατολισμό ενός φυσικού προσώπου. Εκτός από αυτές τις κατηγορίες ενδέχεται να υπάρχουν και άλλες τοπικές απαιτήσεις για συγκεκριμένους τύπους δεδομένων που θα προσδιορίζονται ως Ειδική Κατηγορία. Αν αμφιβάλλετε για τέτοιες τοπικές απαιτήσεις, παρακαλείσθε να απευθυνθείτε στον υπεύθυνο προστασίας δεδομένων του Ομίλου. Υπεργολάβος επεξεργασίας: είναι ένας προμηθευτής ενός υπεύθυνου επεξεργασίας, ο οποίος έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που λαμβάνονται από τον υπεύθυνο επεξεργασίας. 1.5 Ερωτήσεις - Αναθεώρηση της Πολιτικής Όλες οι ερωτήσεις που μπορεί να έχετε σε σχέση με την παρούσα Πολιτική ή σε σχέση με ένα συγκεκριμένο θέμα ή συναλλαγή θα πρέπει να απευθύνονται στον ΥΠΔ του Ομίλου (Τηλ: ή στο dpo@issgr.com). Εάν έχετε αμφιβολίες, να ζητάτε πάντα διευκρινίσεις ή οδηγίες πριν προχωρήσετε. Η Πολιτική αναθεωρείται τουλάχιστον μία φορά τον χρόνο. 7

8 2 ΠΡΟΣΤΑΣIΑ ΔΕΔΟΜEΝΩΝ ΑΡΧΕΣ 2.1 Συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των δεδομένων Προκειμένου να συμμορφωθεί με τους ισχύοντες κανόνες προστασίας δεδομένων, η ISS πρέπει να μπορεί να τεκμηριώνει και να αποδεικνύει ότι τηρούνται οι ακόλουθες έξι αρχές Νομιμότητα της επεξεργασίας των δεδομένων Πολιτική ISS Κάθε φορά που η ISS συλλέγει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, αυτό πρέπει να γίνεται σύμφωνα με τις σχετικές νομικές διατάξεις. Πώς λειτουργούμε Η ISS έχει εφαρμόσει διεργασίες και διαδικασίες για να διασφαλίσει ότι το προσωπικό της ISS που εργάζεται πάνω σε δεδομένα προσωπικού χαρακτήρα γνωρίζει ότι τα δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο εάν η ISS έχει νομική βάση για να το πράξει. Κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκ μέρους των πελατών μας, η ISS πρέπει πάντοτε να διασφαλίζει ότι η ISS έχει λάβει οδηγίες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιείται μόνο σύμφωνα με τις οδηγίες. Ελάχιστες απαιτήσεις Όσον αφορά τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι παρακάτω ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο αν εκπληρώνεται τουλάχιστον μία από τις παρακάτω προϋποθέσεις: i. το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του, ii. η επεξεργασία δεδομένων είναι απαραίτητη για την εκτέλεση μιας σύμβασης στην οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι συμβαλλόμενο μέρος π.χ. μια σύμβαση απασχόλησης, iii. είναι απαραίτητο για την προστασία των νόμιμων συμφερόντων του υπεύθυνου επεξεργασίας (ISS) και το εν λόγω έννομο συμφέρον δεν αντικαθίσταται από τα συμφέροντα του προσώπου στο οποίο αναφέρονται τα δεδομένα, iv. η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με το εφαρμοστέο δίκαιο στο οποίο υπόκειται η ISS, v. η επεξεργασία επιτρέπεται σύμφωνα με το εφαρμοστέο δίκαιο ή vi. η επεξεργασία πραγματοποιείται από την ISS για λογαριασμό ενός πελάτη με βάση μια συμφωνία επεξεργασίας δεδομένων. 8

9 2.1.2 Σκοπός της επεξεργασίας δεδομένων Πολιτική ISS Η ISS δεν θα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους αρχικά συλλέχθηκαν τα δεδομένα, εκτός εάν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν δώσει τη συγκατάθεσή τους ή στο βαθμό που επιτρέπεται από την εφαρμοστέα νομοθεσία. Πώς λειτουργούμε Η ISS υποχρεούται να συμμορφώνεται με τον(-ους) αρχικό(-ούς) σκοπό(-ούς) για τη συλλογή δεδομένων κατά την περαιτέρω επεξεργασία ή χρήση των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της λήψης δεδομένων προσωπικού χαρακτήρα από άλλη οντότητα της ISS. Ο σκοπός της επεξεργασίας δεδομένων μπορεί να αλλάξει μόνο με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή στο βαθμό που επιτρέπεται από την εφαρμοστέα νομοθεσία. Ελάχιστες απαιτήσεις Όσον αφορά το σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι παρακάτω ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Κάθε οντότητα της ISS θα δημιουργεί και θα διατηρεί έναν τοπικό Χάρτη Δεδομένων, ο οποίος θα είναι διαθέσιμος στον ΥΠΔ Ομίλου. ii. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πραγματοποιείται αποκλειστικά για συγκεκριμένους, σαφείς και σύννομους σκοπούς. iii. Ο σκοπός για τον οποίο υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα πρέπει να τεκμηριώνεται από την ISS κατά την έναρξη της συλλογής των δεδομένων. iv. Σε καμία περίπτωση δεν πρέπει να πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα με τρόπο που να μη συνάδει με τους σύννομους σκοπούς για τους οποίους συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα Διαφάνεια για την επεξεργασία δεδομένων Πολιτική ISS Η ISS θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με διαφανή τρόπο και θα ανταποκρίνεται σε αίτημα για πληροφορίες από άτομα στα οποία αναφέρονται τα δεδομένα. Πώς λειτουργούμε Όταν η ISS επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως υπεύθυνος επεξεργασίας, η ISS θα διασφαλίζει ότι στα άτομα στα οποία αναφέρονται τα δεδομένα παρέχονται οι πληροφορίες που απαιτούνται δυνάμει της εφαρμοστέας νομοθεσίας. Εάν το ζητήσει πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η ISS θα επιβεβαιώνει αν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιείται από την ISS και σε τέτοια περίπτωση θα παρέχει πληροφορίες σχετικά με τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί επεξεργασία ως απαιτείται δυνάμει της εφαρμοστέας νομοθεσίας. 9

10 Η ISS εξασφαλίζει ότι τα άτομα στα οποία αναφέρονται τα δεδομένα θα κατευθύνονται σε ένα κοινό σημείο επαφής που θα είναι υπεύθυνο για την παροχή των παραπάνω πληροφοριών. Τέτοιο κοινό σημείο επαφής είναι ο ΥΠΔ Ομίλου. Ελάχιστες απαιτήσεις Όσον αφορά τη διαφάνεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι εξής ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Κάθε οντότητα της ISS θα ενημερώνει τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, τους πελάτες και τις τοπικές αρχές για ένα ενιαίο σημείο επαφής που θα κατευθύνει στις πληροφορίες που δικαιούνται δυνάμει της εφαρμοστέας νομοθεσίας Ποιότητα δεδομένων και αναλογικότητα Πολιτική ISS Η ISS θα διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η ISS ως υπεύθυνος επεξεργασίας είναι ακριβή, επαρκή, συναφή και περιορισμένα σε ό, τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους πραγματοποιείται η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πώς λειτουργούμε Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στην ISS διέπεται από την αρχή της αναλογικότητας. Αυτό σημαίνει ότι η ISS θα πραγματοποιεί συλλογή, επεξεργασία και χρήση μόνο των δεδομένων προσωπικού χαρακτήρα που απαιτούνται για το συγκεκριμένο σκοπό της επεξεργασίας. Παρόλο που ενδέχεται να είναι δυνατή η συλλογή δεδομένων προσωπικού χαρακτήρα από την ISS σε σχέση με ό, τι είναι αυστηρά απαραίτητο για τον σχετικό σκοπό, η ISS δεν θα συλλέγει και δεν θα επεξεργάζεται τέτοια δεδομένα. Η ISS μπορεί να καταστήσει ανώνυμα ή να δώσει ψευδώνυμα σε δεδομένα προσωπικού χαρακτήρα, περίπτωση στην οποία τα δεδομένα αυτά δεν θα είναι κατάλληλα για σκοπούς προστασίας δεδομένων. Η ISS θα διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι σωστά και ενημερώνονται. Θα λαμβάνονται κατάλληλα μέτρα για τη διασφάλιση του ότι ανακριβή ή ελλιπή δεδομένα προσωπικού χαρακτήρα διορθώνονται, αποκλείονται ή διαγράφονται. 10

11 Ελάχιστες απαιτήσεις Όσον αφορά την ποιότητα των δεδομένων και την αναλογικότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι ακόλουθες ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Η ISS θα διασφαλίζει ότι θα συλλέγονται και θα τεκμηριώνονται μόνο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τον σκοπό της επεξεργασίας στον τοπικό χάρτη δεδομένων. ii. Η ISS δεν συλλέγει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εάν η ISS γνωρίζει ή υποπτεύεται ότι τα δεδομένα προσωπικού χαρακτήρα δεν είναι σωστά και θα ορίζει διαδικασίες για να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα ενημερώνονται συνεχώς Μεταφορά δεδομένων προσωπικού χαρακτήρα και χρήση υπεργολάβων επεξεργασίας Πολιτική ISS Μια βασική πτυχή της προστασίας των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της διατήρησης επαρκούς επιπέδου προστασίας όταν μεταφέρονται δεδομένα προσωπικού χαρακτήρα μεταξύ οντοτήτων της ISS ή από την ISS σε τρίτους. Η ISS θα εξασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα μεταφέρονται μόνο μεταξύ οντοτήτων της ISS ή τρίτων, υπό τον όρο ότι υπάρχει νομική βάση για τη μεταφορά. Πώς λειτουργούμε Μεταφορά δεδομένων προσωπικού χαρακτήρα μεταξύ οντοτήτων της ISS Όταν η ISS ενεργεί ως υπεύθυνος επεξεργασίας, μπορεί να μεταφέρει δεδομένα προσωπικού χαρακτήρα σε έναν υπεργολάβο επεξεργασίας της ISS, στο βαθμό που μια οντότητα της ISS είναι υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα της μεταφοράς. Μεταφορά δεδομένων προσωπικού χαρακτήρα από την ISS σε τρίτο μέρος στον ΕΟΧ Κατά τη μεταφορά δεδομένων προσωπικού χαρακτήρα από την ISS σε τρίτο μέρος εγκατεστημένο στον ΕΟΧ ή στην Ελβετία, η ISS θα εξασφαλίζει ότι τα μέρη έχουν συνάψει συμφωνία επεξεργασίας δεδομένων και ότι εκπληρώνεται μία από τις ακόλουθες προϋποθέσεις: (α) (β) Το πρότυπο της Σύμβασης επεξεργασίας δεδομένων της ISS έχει χρησιμοποιηθεί μεταξύ της ISS και της αποδέκτριας οντότητας τρίτου μέρους ή Η λίστα ελέγχου της Σύμβασης επεξεργασίας δεδομένων έχει τηρηθεί και έχουν διευθετηθεί όλα τα απαιτούμενα θέματα. 11

12 Μεταφορά δεδομένων προσωπικού χαρακτήρα από την ISS σε τρίτο μέρος εγκατεστημένο εκτός του ΕΟΧ Κατά τη μεταφορά δεδομένων προσωπικού χαρακτήρα από την ISS σε τρίτο μέρος που βρίσκεται εκτός του ΕΟΧ, η ISS θα εξασφαλίζει ότι εκπληρώνεται μία από τις ακόλουθες προϋποθέσεις: (α) (β) Έχει συναφθεί τυποποιημένη σύμβαση ΕΕ (τυποποιημένες συμβατικές ρήτρες για εκτελούντες την επεξεργασία των δεδομένων 2010/87/ΕΕ ή τυποποιημένες συμβατικές ρήτρες μεταξύ υπεύθυνων επεξεργασίας 2001/497/ΕΚ ή 2004/915/ΕΚ) μεταξύ της ISS και του αποδέκτη τρίτου μέρους ή η μεταφορά επιτρέπεται σύμφωνα με την εφαρμοστέα νομοθεσία. Χρήση εκτελούντος την επεξεργασία των δεδομένων ή/και υπεργολάβου επεξεργασίας Εάν η ISS, ενεργώντας ως υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία των δεδομένων, αναθέτει σε οντότητα τρίτου μέρους την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η ISS θα διασφαλίζει ότι θα τηρούνται οι ακόλουθες απαιτήσεις: (α) (β) (γ) (δ) ο εκτελών την επεξεργασία αξιολογείται επιμελώς και επιλέγεται από την ISS βάσει της ικανότητας του εκτελούντος την επεξεργασία δεδομένων να διασφαλίζει την υλοποίηση και τη διατήρηση απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας που απαιτούνται για τη συμμόρφωση με την εφαρμοστέα νομοθεσία σε σχέση με την επεξεργασία των δεδομένων, η ISS θα διασφαλίζει και θα επαληθεύει τακτικά ότι ο εκτελών την επεξεργασία δεδομένων εξακολουθεί να συμμορφώνεται πλήρως με τις συμφωνηθείσες τεχνικές και οργανωτικές απαιτήσεις ασφαλείας, Η ISS θα διασφαλίζει ότι η εκτέλεση της ανατεθειμένης επεξεργασίας δεδομένων ρυθμίζεται σε γραπτή Σύμβαση εκτελούντος την επεξεργασία των δεδομένων στην οποία τα δικαιώματα και οι υποχρεώσεις του εκτελούντος την επεξεργασία των δεδομένων καθορίζονται σαφώς, και η ISS θα διασφαλίζει ότι ο εκτελών την επεξεργασία των δεδομένων δεσμεύεται με σύμβαση για την επεξεργασία των δεδομένων που λαμβάνονται από ή συλλέγονται για λογαριασμό της ISS μόνο σύμφωνα με τη σύμβαση και τις οδηγίες της ISS. Ελάχιστες απαιτήσεις Όσον αφορά τη μεταφορά των δεδομένων προσωπικού χαρακτήρα και τη χρήση υπεργολάβων επεξεργασίας για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, οι ακόλουθες ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Η μεταφορά δεδομένων προσωπικού χαρακτήρα μεταξύ οντοτήτων της ISS θα πραγματοποιείται μόνο εάν και οι δύο οντότητες έχουν υπογράψει τους ΔΕΚ ή τις τυποποιημένες συμβατικές ρήτρες της ΕΕ, εάν ισχύουν. ii. Η μεταφορά δεδομένων προσωπικού χαρακτήρα από την ISS σε τρίτους επιτρέπεται μόνο εάν η μεταφορά πραγματοποιείται για νόμιμους σκοπούς σύμφωνα με την ισχύουσα νομοθεσία και σύμφωνα με τυχόν συμβατικούς περιορισμούς. iii. Όποτε η ISS δεσμεύει τρίτο μέρος που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό της ISS, πρέπει να συνάπτεται σύμβαση επεξεργασίας δεδομένων μεταξύ της ISS και του εκτελούντος την επεξεργασία των δεδομένων τρίτου μέρους. iv. Η μεταφορά δεδομένων προσωπικού χαρακτήρα από οντότητες της ISS που βρίσκονται στον ΕΟΧ σε τρίτους εγκατεστημένους εκτός του ΕΟΧ πρέπει να πραγματοποιείται μόνο εάν οι τυποποιημένες συμβατικές ρήτρες της ΕΕ συνάπτονται μεταξύ των μερών πριν από την έναρξη της μεταφοράς. 12

13 v. Όλες οι παραπάνω μεταφορές πρέπει να τεκμηριώνονται στον τοπικό χάρτη δεδομένων Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα Πολιτική ISS Κατά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως ποινικό μητρώο, τεστ προσωπικότητας, πειθαρχικές κυρώσεις και λόγοι αυτών, πληροφορίες υγείας και συμβάντα που σχετίζονται με την εργασία πρέπει να λαμβάνονται συγκεκριμένες προφυλάξεις. Πώς λειτουργούμε Εάν απαιτείται από την ISS να επεξεργαστεί ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, πρέπει να λαμβάνεται ρητή συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν η επεξεργασία αυτή επιτρέπεται ρητά από την εφαρμοστέα νομοθεσία. Πρέπει να συμβουλεύεστε πάντα τον Υπεύθυνο Προστασίας Δεδομένων του Ομίλου, πριν επεξεργαστείτε τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα και αυτή η επεξεργασία πρέπει να συμπεριλαμβάνεται στον τοπικό χάρτη δεδομένων. Εάν εκτιμάται ότι η επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σχετίζεται με υψηλό κίνδυνο για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, πρέπει να διεξάγεται Εκτίμηση Επιπτώσεων στην Προστασία Δεδομένων («ΕΕΠΔ»). Ελάχιστες απαιτήσεις Όσον αφορά τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, οι παρακάτω ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Πριν από τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αξιολογείτε πάντοτε εάν οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από την ISS. ii. Εάν οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα συλλέγονται και υποβάλλονται σε επεξεργασία από την ISS, πρέπει να συμβουλευτείτε τον υπεύθυνο προστασίας δεδομένων του Ομίλου για να αξιολογήσετε το απαιτούμενο επίπεδο συγκατάθεσης, οποιεσδήποτε απαιτήσεις ειδοποίησης και ο κίνδυνος για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να λαμβάνεται σοβαρά υπόψη. iii. Οποιαδήποτε επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα πρέπει να ενημερώνεται αμέσως στον τοπικό χάρτη δεδομένων. 13

14 3 ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ 3.1 Πολιτική ISS Η ISS εξασφαλίζει την ύπαρξη τεχνικών και οργανωτικών μέτρων ασφαλείας για την προστασία δεδομένων προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, απώλεια ή αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη, κατάχρηση ή άλλη επεξεργασία κατά παράβαση της εφαρμοστέας νομοθεσίας. Λαμβάνοντας υπόψη το κόστος υλοποίησης, τα εν λόγω μέτρα θα διασφαλίζουν ένα επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευτούν. Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα θα υπόκεινται σε ειδικά μέτρα ασφάλειας και προστασίας. 3.2 Πώς λειτουργούμε Για να ανταποκριθεί στις απαιτήσεις αυτές, η ISS υιοθέτησε μια Πολιτική Ασφάλειας Πληροφοριών, καθιέρωσε και τεκμηρίωσε έναν οργανισμό ασφάλειας τεχνολογίας πληροφοριών και ενσωμάτωσε ασφάλεια δεδομένων στις διαδικασίες του οργανισμού της ISS. Μόνο το προσωπικό που είναι εξουσιοδοτημένο και έχει ενημερωθεί κατάλληλα σύμφωνα με τις απαιτήσεις προστασίας δεδομένων δύναται να συλλέγει, επεξεργάζεται ή να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα. Η εξουσιοδότηση πρόσβασης του κάθε εργαζομένου θα περιορίζεται σύμφωνα με τη φύση και την έκταση του συγκεκριμένου τομέα δραστηριότητας του εργαζομένου. Ο εργαζόμενος δε επιτρέπεται να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα για ιδιωτικούς σκοπούς, με τη μεταφορά ή άλλως τη διάθεση των δεδομένων προσωπικού χαρακτήρα σε μη εξουσιοδοτημένα άτομα. Μη εξουσιοδοτημένα άτομα σε αυτό το πλαίσιο περιλαμβάνουν για παράδειγμα άλλους εργαζομένους της ISS, στο βαθμό που δεν απαιτούν τα δεδομένα προσωπικού χαρακτήρα για να ολοκληρώσουν τα εξειδικευμένα καθήκοντά τους. Η υποχρέωση εμπιστευτικότητας συνεχίζει και μετά το τέλος της απασχόλησης του εν λόγω εργαζομένου. Τα ειδικά μέτρα που χρησιμοποιούνται για τη διασφάλιση επαρκούς προστασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνουν ελέγχους εισαγωγής, ελέγχους πρόσβασης στο σύστημα, ελέγχους πρόσβασης στα δεδομένα, ελέγχους διαβίβασης, ελέγχους εισόδου, ελέγχους εργασίας, ελέγχους διαθεσιμότητας και ελέγχους διαχωρισμού. Όλοι οι υπολογιστές και οι φορητές συσκευές προστατεύονται με κωδικό πρόσβασης. Το εσωτερικό δίκτυο της ISS διαθέτει ένα σύστημα τείχους προστασίας για την προστασία του εσωτερικού περιεχομένου της εταιρείας από μη εξουσιοδοτημένη εξωτερική πρόσβαση. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα στο δίκτυο της εταιρείας είναι κατά κανόνα κρυπτογραφημένη, στο βαθμό που η φύση και ο προοριζόμενος σκοπός των δεδομένων προσωπικού χαρακτήρα το απαιτεί. 14

15 3.3 Ελάχιστες απαιτήσεις Όσον αφορά την ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι ακόλουθες ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνει μόνο σύμφωνα με την Πολιτική Ασφάλειας Πληροφοριών της ISS. ii. Η ISS έχει ορίσει έναν υπεύθυνο επικοινωνίας για την υλοποίηση και συμμόρφωση με την Πολιτική Ασφάλειας Πληροφοριών της ISS. 15

16 4 ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 4.1 Πολιτική ISS Σε περίπτωση που η ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα έχει διακυβευτεί ή είναι πιθανόν να διακυβευτεί, ή εάν με οποιονδήποτε άλλο τρόπο υπήρξε μη εξουσιοδοτημένη ή τυχαία κοινοποίηση δεδομένων προσωπικού χαρακτήρα ή πρόσβαση σε αυτά, ο ΥΠΔ του Ομίλου πρέπει να ενημερώνεται αμέσως. Η ISS έχει εφαρμόσει ένα ειδικό πρωτόκολλο, το Πρωτόκολλο για την παραβίαση δεδομένων, για το πώς το ISS χειρίζεται μια παραβίαση προστασίας δεδομένων προκειμένου να μετριάσει τυχόν δυσμενείς επιπτώσεις στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, στους πελάτες μας και την επιχείρησή μας, όλα με σκοπό τη συμμόρφωση με τις ισχύουσες απαιτήσεις ειδοποίησης, τη νομοθεσία ή/και τις συμβατικές μας υποχρεώσεις έναντι των πελατών μας. 4.2 Πώς λειτουργούμε Εάν οποιοσδήποτε εργαζόμενος της ISS αντιληφθεί ότι υπάρχει μη εξουσιοδοτημένη κοινοποίηση δεδομένων προσωπικού χαρακτήρα ή ότι η ασφάλεια γύρω από δεδομένα προσωπικού χαρακτήρα έχει παραβιαστεί ή ενδέχεται να διακυβευτεί, π.χ. λόγω παραβίασης της ασφάλειας, πρέπει να επικοινωνήσει αμέσως με τον ΥΠΔ του Ομίλου. Οι ακόλουθες πληροφορίες πρέπει να παρέχονται με τη χρήση του εντύπου παραβίασης προστασίας δεδομένων: (α) ποια οντότητα της ISS αντιμετωπίζει την παραβίαση της προστασίας δεδομένων, (β) περίληψη του περιστατικού που προκάλεσε την παραβίαση της προστασίας δεδομένων, (γ) ημερομηνία και ώρα της παραβίασης της προστασίας δεδομένων, (δ) το είδος των δεδομένων προσωπικού χαρακτήρα που έχει διακυβευτεί, και (ε) ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα που αφορά η παραβίαση προστασίας δεδομένων. Αφού λάβει πληροφορίες για παραβίαση της προστασίας δεδομένων, ο ΥΠΔ του Ομίλου μεριμνά για την τήρηση της ακόλουθης διαδικασίας: 16

17 Προκειμένου να διασφαλιστεί ότι τα συναφή τμήματα εντός κάθε οντότητας της ISS έχουν τις απαραίτητες γνώσεις και την πείρα ώστε να αντιδράσουν σωστά στην παραβίαση της προστασίας δεδομένων, ο τοπικός ΥΠΔ συντονίζει τουλάχιστον κάθε δύο χρόνια την άσκηση παραβίασης δεδομένων. 4.3 Ελάχιστες απαιτήσεις Όσον αφορά τα περιστατικά προστασίας δεδομένων, οι ακόλουθες ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Όλοι οι διαχειριστές των τμημάτων IT, HR και των νομικών τμημάτων πρέπει να έχουν λάβει την κατάλληλη εκπαίδευση. ii. Το πρωτόκολλο παραβίασης της προστασίας δεδομένων, συμπεριλαμβανομένου του παραρτήματος 2 (στοιχεία επικοινωνίας), πρέπει να είναι διαθέσιμο σε τοπικό επίπεδο σε όλα τα μέλη IT, HR και νομικά τμήματα. iii. Ο τοπικός ΥΠΔ διεξάγει τουλάχιστον μία φορά αν δύο χρόνια άσκηση παραβίασης δεδομένων και αναφέρει το αποτέλεσμά της. 4.4 Διαθέσιμα εργαλεία Τα εργαλεία είναι διαθέσιμα σε: Πρωτόκολλο παραβίασης προστασίας δεδομένων Φόρμα παραβίασης προστασίας δεδομένων Προσάρτημα 1 του πρωτοκόλλου για την παραβίαση προστασίας δεδομένων περιέχει τα στοιχεία επικοινωνίας όλων των στελεχών και διαχειριστών προστασίας δεδομένων της ISS 17

18 5 ΕΚΠΑΙΔΕΥΣΗ ΚΑΙ ΕΝΗΜΕΡΩΣΗ 5.1 Πολιτική ISS Στο πλαίσιο του προγράμματος συμμόρφωσης της ISS για την προστασία των δεδομένων και στο πλαίσιο της εφαρμογής δεσμευτικών εταιρικών κανόνων, η ISS έχει θεσπίσει πρόγραμμα εκπαίδευσης για τους διευθυντές της ISS και σχετικούς εργαζομένους, κατά περίπτωση. 5.2 Πώς λειτουργούμε Το πρόγραμμα εκπαίδευσης θα αποτελείται από:) την ατομική εκπαίδευση με στόχο επιλεγμένα τμήματα εντός της ISS, όπως τμήμα Ανθρωπίνων Πόρων, Προμήθειες, Νομικό, Εμπορικό και Οικονομικό τμήμα. Το εκπαιδευτικό υλικό επιτηρείται και ενημερώνεται από τον υπεύθυνο προστασίας δεδομένων του Ομίλου. 18

19 6 ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΚΑΙ ΕΛΕΓΧΟΣ 6.1 Πολιτική ISS Οι αρχές προστασίας δεδομένων αυτής της Πολιτικής είναι πολύτιμη συμβολή στην επιχείρησή μας με συνετό και αξιόπιστο τρόπο. Ωστόσο, δεν μπορούν να σταθούν μόνες τους. Η παρακολούθηση και ο έλεγχος της συμμόρφωσης με την παρούσα πολιτική είναι σημαντική και απαραίτητη για την τεκμηρίωση της λογοδοσίας και για τη διασφάλιση της ενδεδειγμένης χαρτογράφησης και παρακολούθησης των ενδεχόμενων κενών. 6.2 Πώς λειτουργούμε Η εφαρμογή και λειτουργία των διεργασιών και των διαδικασιών για τη διασφάλιση συμμόρφωσης με τις απαιτήσεις προστασίας δεδομένων πρέπει να γίνεται με τρόπο που να επιτρέπει η παρακολούθηση και ο έλεγχος να διεξάγονται με τον κατάλληλο τρόπο. Αυτό σημαίνει ότι οι διεργασίες και οι διαδικασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να τεκμηριώνονται και οποιεσδήποτε αλλαγές στις διεργασίες και τις διαδικασίες πρέπει να ενημερώνονται στον τοπικό Χάρτη Δεδομένων Εσωτερικός έλεγχος Ο ΥΠΔ παραβλέπει τις τυχόν δραστηριότητες εσωτερικού ελέγχου και παρέχει συμβουλές για να διασφαλίσει ότι οι ελεγκτικές δραστηριότητες διευθετούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα της ISS, συμπεριλαμβανομένων των μεθόδων εξασφάλισης διορθωτικών και προληπτικών ενεργειών. Οι οντότητες της ISS ενδέχεται να ελέγχονται σε περιοδικά διαστήματα και ο έλεγχος αυτός θα περιλαμβάνει έλεγχο της συμμόρφωσης με τους ισχύοντες νόμους περί προστασίας δεδομένων και την παρούσα Πολιτική. Ο έλεγχος μπορεί να διεξάγεται από τον εσωτερικό έλεγχο, από άλλους εσωτερικούς ειδικούς ή από εξωτερικούς ελεγκτές. Ο υπεύθυνος προστασίας δεδομένων του Ομίλου είναι υπεύθυνος για την προσαγωγή τυχόν παρατυπιών στο αποτέλεσμα ενός ελέγχου, στην προσοχή του Οικονομικού Διευθυντή και του Διευθύνοντος Συμβούλου του Ομίλου, οι οποίοι δεσμεύονται να διασφαλίσουν ότι οι διορθωτικές κινήσεις για την άρση της μη συμμόρφωσης θα διενεργούνται το συντομότερο δυνατό Πελάτης με αίτημα ελέγχου για την ISS Οι πελάτες της ISS μπορούν, σύμφωνα με το εφαρμοστέο δίκαιο ή σύμφωνα με σύμβαση μεταξύ των μερών, να διενεργούν λογιστικούς ελέγχους ή να ζητούν έλεγχο μιας οντότητας της ISS που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του πελάτη. Η ISS θα βοηθήσει τους πελάτες της με την εκτέλεση ελέγχων ώστε να διασφαλίσει ότι οι πελάτες της ISS μπορούν να έχουν εμπιστοσύνη στο ότι η ISS συμμορφώνεται με τους ισχύοντες νόμους περί προστασίας δεδομένων και τις συμφωνημένες συμβατικές υποχρεώσεις. 19

20 6.2.3 Έλεγχος των προμηθευτών της ISS Για να διασφαλιστεί η συμμόρφωση με την ισχύουσα νομοθεσία προστασίας δεδομένων, η ISS θα ελέγχει σε τακτική βάση την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τους προμηθευτές της για λογαριασμό της ISS. Οι έλεγχοι μπορούν να διενεργούνται φυσικά στις εγκαταστάσεις των προμηθευτών ή με έλεγχο των εκθέσεων ελέγχου που διεξάγονται από ανεξάρτητα τρίτα μέρη εξ ονόματος του προμηθευτή. 6.3 Ελάχιστες απαιτήσεις Όσον αφορά την παρακολούθηση και τον έλεγχο, οι ακόλουθες ελάχιστες απαιτήσεις συμμόρφωσης ισχύουν: i. Η διοίκηση της χώρας πρέπει να διασφαλίζει ότι οι διεργασίες και οι διαδικασίες που αφορούν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα τεκμηριώνονται στον τοπικό Χάρτη Δεδομένων, ii. Οποιεσδήποτε αλλαγές στις διεργασίες και τις διαδικασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να ενημερώνονται τακτικά στον τοπικό Χάρτη Δεδομένων. iii. Ο υπεύθυνος προστασίας δεδομένων του Ομίλου πρέπει να εξετάζει το αποτέλεσμα των ελέγχων προστασίας δεδομένων και να θέτει τα θέματα μη συμμόρφωσης στην προσοχή του Οικονομικού Διευθυντή και του Διευθύνοντος Συμβούλου. iv. Η ISS πρέπει να ελέγχει τους προτιμώμενους προμηθευτές της σε τακτική βάση. 20

21 Ειλικρίνεια Σεβόμαστε Επιχειρηματικότητα Δρούμε Οι αξίες του ISS Υπευθυνότητα Νοιαζόμαστε Ποιότητα Παραδίδουμε ISS Μάιος