ΔΕΣΜΕΥΤΙΚΟΙ ΕΤΑΙΡΙΚΟΙ ΚΑΝΟΝΕΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΟΜΙΛΟΥ ΧΑΪΤΟΓΛΟΥ ΚΑΙ ΣΥΝΔΕΔΕΜΕΝΩΝ ΕΤΑΙΡΕΙΩΝ

1. Σκοπός

1.1. Νομική Φύση των Δεσμευτικών Εταιρικών Κανόνων Προστασίας Δεδομένων

Οι BCR είναι δεσμευτικοί κανόνες σχετικοί με την επεξεργασία προσωπικών δεδομένων από όλες τις εταιρίες του Ομίλου Χαΐτογλου και των συνδεδεμένων με τον Όμιλο εταιρειών που τους έχουν υιοθετήσει με νομικά δεσμευτική ισχύ.

2. Πεδίο Εφαρμογής

Η παρούσα Πολιτική ισχύει για τις ακόλουθες εταιρείες του Ομίλου:

• Την εταιρεία με την Επωνυμία «ΑΦΟΙ ΧΑΪΤΟΓΛΟΥ Ανώνυμος Βιομηχανική και Εμπορική Εταιρία» που εδρεύει στο Καλοχώρι Θεσσαλονίκης, με ΑΦΜ 094132463, όπως νομίμως εκπροσωπείται

• Την εταιρεία με την επωνυμία «BOLERO ΖΑΧΑΡΩΔΗ ΘΡΑΚΗΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ», που εδρεύει στην Βιομηχανική περιοχή Κομοτηνής, με ΑΦΜ 094450987, όπως νομίμως εκπροσωπείται

• Την εταιρεία με την επωνυμία «ΧΑΙΤΟΓΛΟΥ-ΧΑΡΤΕΛ ΑΒΕΕ ΧΑΡΤΟΥ ΧΑΡΤΟΚΙΒΩΤΙΩΝ» και τον διακριτικό τίτλο «ΧΑΡΤΕΛ ΑΒΕΕ», που εδρεύει στο Καλοχώρι Θεσσαλονίκης, με ΑΦΜ 094484757, όπως νομίμως εκπροσωπείται

• Την εταιρεία με την επωνυμία «ΜΑΚΕΔΟΝΙΚΗ ΕΤΑΙΡΙΑ ΖΑΧΑΡΟΕΙΔΩΝ ΚΑΙ ΑΜΥΛΟΕΙΔΩΝ ΠΡΟΙΟΝΤΩΝ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» και τον διακριτικό τίτλο «Μ.Ε.Ζ.Α.Π. Α.Β.Ε.Ε.», που εδρεύει στο Καλοχώρι Θεσσαλονίκης, με ΑΦΜ 093227779, όπως νομίμως εκπροσωπείται

Καθώς και τις ακόλουθες συνδεδεμένες με τον Όμιλο εταιρείες:

• Την εταιρεία με την επωνυμία «ΧΑΪΤΟΓΛΟΥ ΑΕ ΓΡΑΦΙΚΩΝ ΤΕΧΝΩΝ», που εδρεύει στο Καλοχώρι Θεσσαλονίκης, με ΑΦΜ 800477117, όπως νομίμως εκπροσωπείται

• Την εταιρεία με την επωνυμία «ΑΦΟΙ ΧΑΙΤΟΓΛΟΥ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΕΡΕΥΝΑΣ ΑΓΟΡΑΣ ΚΑΙ ΠΡΟΩΘΗΣΗΣ ΕΙΔΩΝ ΔΙΑΤΡΟΦΗΣ Α.Ε.» και τον διακριτικό τίτλο «ΑΦΟΙ ΧΑΙΤΟΓΛΟΥ – ΠΩΛΗΣΕΙΣ – MARKETING», που εδρεύει στην Αττική, Κηφισιά, Οδός Χαρ. Τρικούπη αρ. 197, με ΑΦΜ 094396708, όπως νομίμως εκπροσωπείται

(εφεξής καλούμενες όλες οι παραπάνω χάριν συντομίας «Εταιρίες»).

Οι BCR ισχύουν σε κάθε είδους επεξεργασία όλων των ειδών των προσωπικών δεδομένων μεταξύ των παραπάνω εταιρειών, ανεξάρτητα από το πού συλλέγονται τα δεδομένα. Τα προσωπικά δεδομένα χρησιμοποιούνται από τις παραπάνω εταιρείες κυρίως για τους ακόλουθους σκοπούς:

Διαχείριση των δεδομένων των εργαζομένων κατά την σύναψη και την εκτέλεση της σύμβασης εργασίας τους και την παροχή προϊόντων και υπηρεσιών που προσφέρονται στους εργαζομένους από τις «Εταιρείες» ή τρίτα μέρη.

Έναρξη, εκτέλεση και επεξεργασία συμβάσεων με εταιρικούς πελάτες, καθώς και για σκοπούς διαφήμισης και έρευνας αγοράς με στόχο την ενημέρωση των πελατών και των ενδιαφερομένων τρίτων μερών σχετικά με τα προϊόντα και τις υπηρεσίες που προσφέρονται από τις «Εταιρείες» ή τρίτα μέρη.

Σύναψη και υλοποίηση συμφωνιών με τους παρόχους υπηρεσιών προς τις «Εταιρείες» ως μέρος της παροχής υπηρεσιών.

Σύναψη κατάλληλων συμφωνιών με άλλα τρίτα μέρη, κυρίως με μετόχους, συνεργάτες ή επισκέπτες, και συμμόρφωση με νομικές δεσμεύσεις.

Τα προσωπικά δεδομένα χρησιμοποιούνται για την εξυπηρέτηση των σκοπών -τωρινών ή μελλοντικών – των «Εταιρειών», όπως αυτοί περιγράφονται αναλυτικά στα καταστατικά των «Εταιρειών».

Οι διαβιβάσεις εντός των «Εταιρειών» είναι απαραίτητες για τη διοίκηση του προσωπικού, την εξυπηρέτηση των λειτουργικών τους αναγκών και την επιχειρησιακή τους συνέχεια.

3. Σχέση με άλλες νομικές διατάξεις

Οι διατάξεις έχουν σκοπό την εξασφάλιση υψηλού και τυποποιημένου επιπέδου προστασίας των προσωπικών δεδομένων σε όλες τις «Εταιρείες». Ως εκ τούτου, κανονισμοί, διαδικασίες κτλ, που ισχύουν στις «Εταιρείες» και υπερβαίνουν τις αρχές που προβλέπονται από τους BCR ή που θέτουν επιπλέον περιορισμούς κατά την επεξεργασία των προσωπικών δεδομένων, εξακολουθούν να ισχύουν ως έχουν.

Η εφαρμογή της κοινοτικής ή εθνικής νομοθεσίας, που θεσπίστηκε για λόγους εθνικής ασφάλειας, εθνικής άμυνας ή δημόσιας ασφάλειας, ή για την πρόληψη και τη διερεύνηση εγκλημάτων και τη δίωξη εγκληματιών, και η οποία απαιτεί τη διαβίβαση δεδομένων σε τρίτα μέρη, δε θίγεται από τις διατάξεις των BCR. Εάν μια εταιρεία διαπιστώσει ότι διατάξεις των BCR αντιβαίνουν τον Γενικό Κανονισμό Προστασίας Δεδομένων ή την εθνική νομοθεσία περί προστασίας προσωπικών δεδομένων τότε ενημερώνεται αμελλητί ο Υπεύθυνος Ασφαλείας της κάθε εταιρείας.

4. Λήξη ισχύος και καταγγελία

Οι BCR παύουν να είναι δεσμευτικοί για μια εταιρεία εάν αυτή τους καταγγείλει. Ωστόσο, η λήξη ισχύος ή η καταγγελία των ΒCR δεν απαλλάσσει την εταιρεία από τις υποχρεώσεις που απορρέουν από αυτούς και αφορούν τη χρήση των δεδομένων που έχουν ήδη διαβιβαστεί. Περαιτέρω διαβίβαση προσωπικών δεδομένων από ή προς την εν λόγω εταιρεία μπορεί να πραγματοποιηθεί μόνο εάν παρέχονται άλλες κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις απαιτήσεις της ευρωπαϊκής νομοθεσίας.

5. Δημοσιότητα

H παρούσα Πολιτική είναι αναρτημένη στην ιστοσελίδα κάθε Εταιρείας και ελεύθερα προσβάσιμη από όλο το απασχολούμενο προσωπικό της Εταιρείας, συνεργάτες και πελάτες. Οι «Εταιρείες» παρέχουν κάθε πληροφορία, σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων. Οι πληροφορίες αυτές καθίστανται διαθέσιμες στο κοινό σε κατάλληλη μορφή.

6. Διαφάνεια στην Επεξεργασία Δεδομένων

Δικαίωμα Ενημέρωσης

Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον τρόπο χρήσης των προσωπικών τους δεδομένων σύμφωνα με την ισχύουσα νομοθεσία και τους παρακάτω όρους:

Οι «Εταιρείες» ενημερώνουν επαρκώς τα υποκείμενα των δεδομένων για τα εξής στοιχεία:

• Την ταυτότητα του εκτελούντος την επεξεργασία (ή των εκτελούντων την επεξεργασία) και τα στοιχεία επικοινωνίας του (τους).

• Την προβλεπόμενη χρήση και τον σκοπό χρήσης των δεδομένων και συγκεκριμένα ποια δεδομένα καταγράφονται και / ή είναι αντικείμενο επεξεργασίας/ ή χρησιμοποιούνται, για ποιο σκοπό και για ποιο χρονικό διάστημα.

• Εάν προσωπικά δεδομένα διαβιβάζονται σε τρίτα μέρη, το υποκείμενο των δεδομένων ενημερώνεται για τον αποδέκτη, το εύρος και τον σκοπό της διαβίβασης.

• Τα δικαιώματα του υποκειμένου σχετικά με τη χρήση των δεδομένων του.

Ανεξάρτητα από το μέσο παροχής της ενημέρωσης, οι σχετικές πληροφορίες θα πρέπει να παρέχονται στο υποκείμενο των δεδομένων σε σαφή και κατανοητή μορφή.

Η ενημέρωση είναι διαθέσιμη στα υποκείμενα των δεδομένων, όταν τα δεδομένα συλλέγονται για πρώτη φορά και ακολούθως, οποτεδήποτε αυτή ζητηθεί.

7. Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα

Τα προσωπικά δεδομένα υπόκεινται σε επεξεργασία μόνον υπό τους ακόλουθους όρους και δεν πρέπει να τύχουν επεξεργασίας για σκοπούς άλλους από εκείνους για τους οποίους συλλέχθηκαν αρχικά.

Η επεξεργασία των συλλεγόμενων δεδομένων για άλλους σκοπούς, επιτρέπεται μόνο εάν:

• Η ισχύουσα νομοθεσία σαφώς επιτρέπει την χρήση των προσωπικών δεδομένων για τον συγκεκριμένο σκοπό.

• Το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για τη επεξεργασία των δεδομένων του.

• Είναι απαραίτητη η επεξεργασία των δεδομένων με τον τρόπο αυτό, ώστε η εταιρεία να εκπληρώσει τις συμβατικές υποχρεώσεις της προς το υποκείμενο των δεδομένων ή για να υλοποιήσει μέτρα για την έναρξη ή εκτέλεση σύμβασης που έχει ζητηθεί από το υποκείμενο των δεδομένων.

• Τα δεδομένα χρησιμοποιούνται για να εκπληρωθεί νομική υποχρέωση της εταιρείας.

• Είναι απαραίτητη η επεξεργασία των δεδομένων για τη διασφάλιση ζωτικών συμφερόντων του υποκειμένου των δεδομένων.

• Είναι απαραίτητη η επεξεργασία των δεδομένων για να ολοκληρωθεί ένα έργο δημοσίου συμφέροντος ή έργο που αποτελεί μέρος άσκησης δημόσιας εξουσίας και η εταιρεία ή το τρίτο μέρος στο οποίο μεταφέρονται τα δεδομένα έχει επιφορτιστεί με την εκτέλεσή του συγκεκριμένου έργου.

• Είναι απαραίτητη η επεξεργασία των δεδομένων, για τη διαφύλαξη των νόμιμων συμφερόντων της εταιρείας ή του τρίτου μέρους στο οποίο πραγματοποιείται η διαβίβαση των δεδομένων, υπό την προϋπόθεση ότι τα συμφέροντα του υποκειμένου των δεδομένων δεν υπερτερούν προφανώς των συμφερόντων της εταιρείας.

8. Κοινοί κανόνες που εφαρμόζονται στην επεξεργασία και στις διαβιβάσεις εντός Ομίλου και συνδεδεμένων εταιρειών

8.1. Για την Επεξεργασία και τις Διαβιβάσεις των Προσωπικών Δεδομένων όπως περιγράφονται στο παρόν, οι «Εταιρείες» και οι υπάλληλοί τους συμφωνούν να εφαρμόζουν τους ακόλουθους κανόνες.

Περιορισμός σκοπού:

– Τα Προσωπικά Δεδομένα που παρατίθενται λεπτομερώς στο Παράρτημα θα υποβάλλονται σε Επεξεργασία και θα διαβιβάζονται μεταξύ των «Εταιρειών» για καθορισμένους, σχετικούς και νόμιμους λόγους, σύμφωνα με τους σκοπούς που καθορίζονται στο Παράρτημα. Τα Προσωπικά Δεδομένα που έχουν υποβληθεί σε Επεξεργασία και έχουν Διαβιβαστεί δεν θα υποβάλλονται σε περαιτέρω Επεξεργασία κατά τρόπο μη συμβατό με αυτούς τους σκοπούς.

– οι «Εταιρείες» θα περιορίζουν την Επεξεργασία των Προσωπικών Δεδομένων που παρατίθενται λεπτομερώς στο Παράρτημα σε ό,τι είναι απαραίτητο και ανάλογο λαμβάνοντας υπόψη τον/τους επιδιωκόμενο/ους σκοπό/ούς.

– οι «Εταιρείες» θα χρησιμοποιήσουν τα λογικά μέσα προκειμένου τα Προσωπικά Δεδομένα να τηρούνται ακριβή, πλήρη, ενημερωμένα και αξιόπιστα για την προοριζόμενη χρήση τους.

– οι «Εταιρείες» θα διατηρούν τα Προσωπικά Δεδομένα μόνο για όσο χρονικό διάστημα απαιτείται για την ικανοποίηση των νόμιμων επιχειρηματικών σκοπών για τους οποίους τα Προσωπικά Δεδομένα συγκεντρώθηκαν και σε συμμόρφωση με τις πολιτικές διατήρησης δεδομένων των συνδεδεμένων εταιριών, εκτός αν απαιτείται διαφορετικά από την ισχύουσα νομοθεσία ή τους κανονισμούς.

– τα προϊόντα και οι υπηρεσίες δεν πρέπει να παρέχονται υπό την προϋπόθεση ότι το υποκείμενο των δεδομένων συναινεί στην επεξεργασία των προσωπικών του δεδομένων για σκοπούς άλλους από αυτούς που προβλέπονται κατά την σύναψη σύμβασης.

9. Νομική βάση για την Επεξεργασία των Προσωπικών Δεδομένων:

Η Επεξεργασία των Προσωπικών Δεδομένων θα βασίζεται τουλάχιστον σε μία από τις ακόλουθες νομικές βάσεις:

• Σαφής συγκατάθεση του Υποκειμένου των δεδομένων, ή

• η Επεξεργασία είναι αναγκαία για την εκτέλεση μιας σύμβασης στην οποία συμμετέχει το Υποκείμενο των δεδομένων ή προκειμένου να ληφθούν μέτρα κατόπιν αίτησης του Υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης, ή

• η Επεξεργασία είναι αναγκαία για τη συμμόρφωση με μια νομική υποχρέωση στην οποία υπόκειται κάποια από τις «Εταιρείες», ή

• η Επεξεργασία είναι αναγκαία για τη διασφάλιση θεμάτων ζωτικής σημασίας του Υποκειμένου των δεδομένων, ή

• η Επεξεργασία είναι αναγκαία για την εκτέλεση ενός έργου που πραγματοποιείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον Υπεύθυνο Επεξεργασίας ή στο τρίτο μέρος στο οποίο γνωστοποιούνται τα Προσωπικά Δεδομένα, ή

• η Επεξεργασία είναι αναγκαία για τους σκοπούς των νόμιμων συμφερόντων που επιδιώκονται από τις «Εταιρείες», εκτός εάν τα συμφέροντα αυτά υπερισχύουν των συμφερόντων των θεμελιωδών δικαιωμάτων και ελευθεριών του Υποκειμένου των δεδομένων.

10. Συγκατάθεση του υποκειμένου των δεδομένων

Το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του εφόσον:

• Η συγκατάθεση έχει δοθεί ρητά, οικειοθελώς και κατόπιν ενημέρωσης του υποκειμένου, με τρόπο τέτοιο ώστε το υποκείμενο των δεδομένων να γνωρίζει τον σκοπό της συγκατάθεσης. Το κείμενο της δήλωσης συγκατάθεσης είναι ακριβές και ενημερώνει τα υποκείμενα των δεδομένων για το δικαίωμά τους να αποσύρουν τη συγκατάθεσή τους οποιαδήποτε στιγμή. Σε περίπτωση που η άρση της συγκατάθεσης συνεπάγεται την μη εκπλήρωση των συμβατικών υποχρεώσεων, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται σχετικά.

• Η συγκατάθεση έχει ληφθεί σε μορφή κατάλληλη για την περίσταση (εγγράφως). Σε εξαιρετικές περιπτώσεις, μπορεί να ληφθεί και προφορική συγκατάθεση, εάν καταγραφούν επαρκώς το γεγονός της παροχής συγκατάθεσης, καθώς και οι ειδικές περιστάσεις, που καθιστούν την προφορική συγκατάθεση επαρκή.

11. Αυτοματοποιημένη Χρήση Προσωπικών Δεδομένων

Οι αποφάσεις που αξιολογούν επιμέρους πτυχές ενός ατόμου και οι οποίες ενδέχεται να επιφέρουν νομικές συνέπειες ή σημαντικό αρνητικό αντίκτυπο, δεν πρέπει να βασίζονται αποκλειστικά σε αυτοματοποιημένη χρήση προσωπικών δεδομένων. Αυτό περιλαμβάνει, ιδίως, αποφάσεις σχετικά με την φερεγγυότητα, επαγγελματική καταλληλότητα ή την κατάσταση της υγείας του υποκειμένου των δεδομένων.

Εάν, σε μεμονωμένες περιπτώσεις, υπάρχει αντικειμενική ανάγκη για αυτοματοποιημένη χρήση προσωπικών δεδομένων, το υποκείμενο των δεδομένων ενημερώνεται χωρίς καθυστέρηση για το αποτέλεσμα της αυτοματοποιημένης επεξεργασίας, και του δίνεται η δυνατότητα να υποβάλει τις παρατηρήσεις του εντός της κατάλληλης χρονικής περιόδου. Τα σχόλια του υποκειμένου των δεδομένων, λαμβάνονται υπόψη πριν την τελική απόφαση.

12. Χρήση Προσωπικών Δεδομένων με Σκοπό την Απευθείας Προώθηση Προϊόντων/ Υπηρεσιών

Σε περίπτωση που δεδομένα χρησιμοποιούνται για σκοπούς απευθείας εμπορικής προώθησης προϊόντων/υπηρεσιών, τα υποκείμενα των δεδομένων πρέπει να:

• Ενημερώνονται για τον τρόπο με τον οποίο τα δεδομένα θα χρησιμοποιηθούν για την προώθηση προϊόντων/υπηρεσιών

• Ενημερώνονται για το δικαίωμά τους να προβάλλουν αντιρρήσεις στην χρήση των δεδομένων τους για τους σκοπούς αυτούς.

• Τους δίνονται τα κατάλληλα εργαλεία για την άσκηση του δικαιώματός τους αυτού. Συγκεκριμένα, θα πρέπει να λαμβάνουν πληροφορίες για την εταιρεία, στην οποία μπορούν να υποβάλλουν το αίτημα αντίρρησής τους.

13. Ειδικές Κατηγορίες Προσωπικών Δεδομένων (ευαίσθητα προσωπικά δεδομένα)

Η χρήση ειδικών κατηγοριών προσωπικών δεδομένων επιτρέπεται μόνο εάν αυτή προβλέπεται από την ισχύουσα νομοθεσία ή εφόσον το υποκείμενο έχει δώσει εκ των προτέρων τη ρητή συγκατάθεσή του. Επίσης, επιτρέπεται η επεξεργασία τους σε περίπτωση που αυτή είναι απαραίτητη για την εκπλήρωση υποχρεώσεων, που πηγάζουν από την εργατική νομοθεσία, υπό την προϋπόθεση ότι αυτό επιτρέπεται από το εκάστοτε ισχύον εθνικό δίκαιο και λαμβάνονται κατάλληλα μέτρα προστασίας τους.

Πριν από την έναρξη της συλλογής, επεξεργασίας ή χρήσης ευαίσθητων προσωπικών δεδομένων, η εταιρεία ενημερώνει σχετικά τον Υπεύθυνο Ασφαλείας. Κατά την αξιολόγηση της αποδεκτής χρήσης των δεδομένων, ιδιαίτερη προσοχή πρέπει να δοθεί στη φύση, το εύρος, το σκοπό, την αναγκαιότητα και τη νομική βάση της χρήσης των ευαίσθητων προσωπικών δεδομένων.

14. Νομική βάση για την Επεξεργασία ευαίσθητων δεδομένων:

Η Επεξεργασία των ευαίσθητων δεδομένων θα βασίζεται τουλάχιστον σε μία από τις ακόλουθες νομικές βάσεις:

• ρητή συγκατάθεση του Υποκειμένου των δεδομένων, ή

• αναγκαιότητα για τους σκοπούς της πραγματοποίησης των υποχρεώσεων και των συγκεκριμένων δικαιωμάτων της κάθε εταιρείας στον τομέα του εργατικού δικαίου στο βαθμό που εγκρίνεται από την εθνική νομοθεσία που προβλέπει τα επαρκή μέτρα προστασίας, ή

• η Επεξεργασία είναι αναγκαία για την προστασία ζωτικής σημασίας συμφερόντων του Υποκειμένου των δεδομένων ή άλλου προσώπου στις περιπτώσεις όπου το Υποκείμενο των δεδομένων είναι σωματικά ή νομικά μη ικανό να δώσει την συγκατάθεσή του, ή

• η Επεξεργασία αφορά σε ευαίσθητα δεδομένα που έχουν δημοσιευτεί προδήλως από το Υποκείμενο των δεδομένων, ή

• η Επεξεργασία των ευαίσθητων δεδομένων είναι αναγκαία για την θέσπιση, άσκηση ή την υπεράσπιση νομικών αξιώσεων, ή

• η Επεξεργασία των ευαίσθητων δεδομένων απαιτείται για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής φροντίδας ή θεραπείας ή διαχείρισης των υπηρεσιών υγείας, και όπου γίνεται Επεξεργασία των εν λόγω ευαίσθητων δεδομένων από έναν επαγγελματία υγείας που υπόκειται βάσει του εθνικού δικαίου ή των κανόνων που θεσπίζονται από εθνικούς αρμόδιους φορείς στην υποχρέωση επαγγελματικού απορρήτου ή από άλλο πρόσωπο το οποίο ομοίως υπόκειται σε αντίστοιχη υποχρέωση τήρησης του απορρήτου, ή

• η Επεξεργασία των ευαίσθητων δεδομένων απαιτείται για λόγους ουσιαστικού δημόσιου ενδιαφέροντος που προβλέπονται είτε από την εθνική νομοθεσία είτε από απόφαση της εποπτικής αρχής.

15. Περιορισμένη πρόσβαση σε Προσωπικά Δεδομένα

Η Επεξεργασία των Προσωπικών Δεδομένων θα περιορίζεται μόνο σε εκείνους τους υπαλλήλους της κάθε εταιρίας των οποίων ο ρόλος εργασίας/-ων) και η/οι ευθύνη/-ες καθιστούν αναγκαία αυτήν την δραστηριότητα.

16. Ελαχιστοποίηση Χρήσης, Αποφυγή Χρήσης, Χρήση Ανώνυμων και Ψευδώνυμων Δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τον σκοπό χρήσης τους (ελαχιστοποίηση χρήσης δεδομένων – data minimization). Τα δεδομένα υποβάλλονται σε επεξεργασία μόνον στα πληροφοριακά συστήματα που είναι απαραίτητο για την εκπλήρωση του σκοπού χρήσης των δεδομένων (αποφυγή χρήσης δεδομένων – data avoidance).

Όπου αυτό είναι εφικτό και οικονομικά εύλογο, χρησιμοποιούνται διαδικασίες για τη διαγραφή στοιχείων ταυτοποίησης των υποκειμένων των δεδομένων (χρήση ανώνυμων δεδομένων – anonymization) ή αντικατάστασή τους με άλλα χαρακτηριστικά (χρήση ψευδώνυμων δεδομένων – aliasing).

17. Διαβίβαση Προσωπικών Δεδομένων

17.1. Φύση και Σκοπός της Διαβίβασης Προσωπικών Δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται μόνον εφόσον ο αποδέκτης των δεδομένων αναλαμβάνει την ευθύνη για τα δεδομένα που λαμβάνει ή όταν ο αποδέκτης χρησιμοποιεί τα δεδομένα αποκλειστικά σύμφωνα με τις οδηγίες και τις απαιτήσεις του αποστολέα (συμφωνία ανάθεσης επεξεργασίας δεδομένων – commissioned data processing agreement).

Τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να διαβιβάζονται μόνο για τους σκοπούς που περιγράφονται στο παρόν στο πλαίσιο των επιχειρηματικών δραστηριοτήτων της εταιρείας ή εξαιτίας σχετικής νομικής υποχρέωσης ή μετά από τη συγκατάθεση των υποκειμένων των δεδομένων.

17.2. Διαβίβαση Δεδομένων σε τρίτες χώρες

Η δραστηριότητα επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα διενεργείται αποκλειστικά εντός των εδαφικών ορίων ενός Κράτους-Μέλους της Ευρωπαϊκής Ένωσης (Ε.Ε.) ή άλλου (Κράτους) που έχει υπογράψει τη Συνθήκη για τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Κάθε διαβίβαση δεδομένων σε Τρίτη χώρα απαιτεί την εκ των προτέρων γραπτή συγκατάθεση του Υποκειμένου και υπόκειται σε συμμόρφωση με τις ειδικές προϋποθέσεις που καθορίζονται στο Κεφάλαιο 5 του GDPR.

Κατά τη διαβίβασή προσωπικών δεδομένων σε τρίτο μέρος εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας τους με βάση τις απαιτήσεις των εταιρειών και τα ευρέως αποδεκτά τεχνικά και οργανωτικά πρότυπα.

18. Επεξεργασία των Δεδομένων από Εκτελούντες την επεξεργασία εκτός των «Εταιρειών» και υπεργολαβίες

Όταν μία από τις «Εταιρείες» αναθέτει σε τρίτο μέρος (εκτελών την επεξεργασία) την παροχή υπηρεσιών για λογαριασμό της και σύμφωνα με τις οδηγίες της, τότε συμπληρωματικά στη σύμβαση παροχής υπηρεσιών που καθορίζει το αντικείμενο της υπηρεσίας, η σύμβαση πρέπει να αναφέρεται στις υποχρεώσεις του αναφορικά με την επεξεργασία των προσωπικών δεδομένων που αναλαμβάνει. Οι εν λόγω υποχρεώσεις πρέπει να περιλαμβάνουν τις οδηγίες σχετικά με τον τύπο και τον τρόπο της επεξεργασίας των προσωπικών δεδομένων, τον σκοπό της επεξεργασίας και τα τεχνικά και οργανωτικά μέτρα που απαιτούνται για την προστασία τους.

Ο εκτελών την επεξεργασία δεν πρέπει να χρησιμοποιεί τα προσωπικά δεδομένα (που του έχουν διαβιβαστεί για την εκτέλεση της σύμβασης) για σκοπούς δικούς του ή άλλων τρίτων μερών, χωρίς την προηγούμενη συγκατάθεση της εταιρίας.

Ο Εκτελών την επεξεργασία πρέπει να ενημερώνει την εταιρία εκ των προτέρων σε περίπτωση που σχεδιάζει να χρησιμοποιήσει υπεργολάβους, προκειμένου να εκπληρώσει τις συμβατικές του υποχρεώσεις. Η κάθε εταιρία πρέπει να έχει το δικαίωμα να αρνηθεί την χρήση υπεργολάβων. Σε περίπτωση υπεργολαβίας, ο Εκτελών την επεξεργασία οφείλει να υποχρεώνει τον υπεργολάβο του να συμμορφώνονται με τις απαιτήσεις, που έχουν συμφωνηθεί στην σύμβαση μεταξύ του Εκτελούντα και της κάθε εταιρίας

Οι Εκτελούντες την επεξεργασία πρέπει να επιλέγονται βάσει της ικανότητάς τους να πληρούν τις προαναφερθείσες απαιτήσεις.

19. Ασφάλεια και Εμπιστευτικότητα

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και όπου είναι αναγκαίο να τηρούνται ενημερωμένα .

Ανάλογα με τον σκοπό για τον οποίο χρησιμοποιούνται τα δεδομένα, λαμβάνονται τα κατάλληλα μέτρα ώστε να διασφαλίζεται ότι κάθε λανθασμένη ή ελλιπής πληροφορία διαγράφεται, εμποδίζεται η χρήση της ή, αν είναι απαραίτητο, διορθώνεται.

20. Ασφάλεια Δεδομένων – Τεχνικά και Οργανωτικά Μέτρα

Η εταιρεία προβλέπει στις εταιρικές διαδικασίες τα κατάλληλα τεχνικά και οργανωτικά μέτρα και τα εφαρμόζει στα συστήματα πληροφορικής και τις πλατφόρμες, οι οποίες χρησιμοποιούνται για τη συλλογή, επεξεργασία ή χρήση δεδομένων με σκοπό την προστασία τους.

Τα μέτρα αυτά πρέπει να περιλαμβάνουν:

• μέτρα για την αποτροπή πρόσβασης μη εξουσιοδοτημένων ατόμων στα συστήματα επεξεργασίας δεδομένων (έλεγχος άδειας εισόδου).

• μέτρα που εξασφαλίζουν ότι τα συστήματα επεξεργασίας δεδομένων δεν μπορούν να χρησιμοποιηθούν από μη εξουσιοδοτημένα πρόσωπα (έλεγχος άρνησης πρόσβασης).

• μέτρα που εξασφαλίζουν ότι τα πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν τα συστήματα επεξεργασίας δεδομένων έχουν πρόσβαση αποκλειστικά και μόνο στα δεδομένα για τα οποία έχουν εξουσιοδοτηθεί και ότι τα προσωπικά δεδομένα δεν μπορούν, κατά τη διάρκεια της επεξεργασίας ή της χρήσης ή μετά από την καταγραφή τους, να διαβαστούν, να αντιγραφούν, να αλλαχθούν ή να διαγραφούν από μη εξουσιοδοτημένα πρόσωπα (έλεγχος πρόσβασης στα δεδομένα).

• μέτρα που εξασφαλίζουν ότι, κατά τη διάρκεια της ηλεκτρονικής διαβίβασης ή κατά τη διάρκεια της μεταφοράς ή της καταγραφής των δεδομένων, τα προσωπικά δεδομένα δεν μπορούν να διαβαστούν, αντιγραφούν, αλλαχθούν ή αφαιρεθούν από μη εξουσιοδοτημένα πρόσωπα, και ότι είναι δυνατό να ελεγχθούν και να εξακριβωθούν οι εκτελούντες την επεξεργασία, στους οποίους έχουν μεταβιβαστεί προσωπικά δεδομένα μέσω εξοπλισμού μετάδοσης δεδομένων (έλεγχος διαβίβασης δεδομένων).

• μέτρα που διασφαλίζουν ότι είναι δυνατό αναδρομικά να εξεταστεί και να εξακριβωθεί εάν και από ποιόν εισήχθησαν, τροποποιήθηκαν ή διαγράφηκαν προσωπικά δεδομένα στα συστήματα επεξεργασίας δεδομένων (έλεγχος εισόδου δεδομένων).

• μέτρα που διασφαλίζουν ότι τα προσωπικά δεδομένα που επεξεργάζονται τρίτα μέρη/ανάδοχοι τυγχάνουν επεξεργασίας μόνο σύμφωνα με τις οδηγίες του πελάτη (έλεγχος αναδόχου).

• μέτρα που διασφαλίζουν ότι τα προσωπικά δεδομένα προστατεύονται από τυχαία καταστροφή ή απώλεια (έλεγχος διαθεσιμότητας).

• μέτρα που διασφαλίζουν ότι τα δεδομένα που έχουν συλλεχθεί για διαφορετικούς σκοπούς μπορούν να υποβληθούν σε επεξεργασία ξεχωριστά (κανόνας διαχωρισμού).

21. Δικαιώματα του Υποκειμένου

21.1. Δικαίωμα Ενημέρωσης

Τα υποκείμενα των δεδομένων έχουν δικαίωμα να επικοινωνούν οποιαδήποτε στιγμή με οποιαδήποτε εταιρία επεξεργάζεται τα δεδομένα τους και να ζητούν τις παρακάτω πληροφορίες:

• ποια προσωπικά του δεδομένα διατηρεί η εν λόγω εταιρεία καθώς και την προέλευση και τους αποδέκτες αυτών

• το σκοπό χρήσης

• τα πρόσωπα και τους υπεύθυνους επεξεργασίας, στους οποίους τα δεδομένα διαβιβάζονται τακτικά, ιδίως εάν τα δεδομένα διαβιβάζονται στο εξωτερικό

• τις διατάξεις των παρόντων BCR

Οι σχετικές πληροφορίες θα πρέπει να καθίστανται διαθέσιμες στον αιτούντα σε κατανοητή μορφή και εντός εύλογου χρονικού διαστήματος. Αυτό επιτυγχάνεται εν γένει με έντυπη ή ηλεκτρονική επικοινωνία. Η παροχή αντιγράφου των BCR στον αιτούντα θεωρείται επαρκής ενημέρωση σχετικά με τις απαιτήσεις που προβλέπονται από το κείμενο αυτό.

21.2. Δικαίωμα Αντίρρησης, Δικαίωμα Διαγραφής ή Αποκλεισμού των Δεδομένων/ Δικαίωμα Διόρθωσης και δικαίωμα υποβολής καταγγελίας στην Αρμόδια Αρχή.

Το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει οποτεδήποτε αντιρρήσεις για την χρήση των προσωπικών του δεδομένων, αν τα δεδομένα αυτά χρησιμοποιούνται για σκοπούς που δεν επιβάλλονται από την νομοθεσία.

Το δικαίωμα αντίρρησης ισχύει ακόμα και αν το υποκείμενο παρείχε σε προηγούμενη περίπτωση τη συγκατάθεσή του για την χρήση των δεδομένων του.

Νόμιμα αιτήματα διαγραφής ή αποκλεισμού χρήσης των προσωπικών δεδομένων πρέπει να ικανοποιούνται άμεσα. Ως νόμιμα θεωρούνται ιδίως τα αιτήματα, που αφορούν στην διαγραφή των δεδομένων, εάν η νομική βάση της επεξεργασίας των προσωπικών δεδομένων έπαυσε να ισχύει. Εάν το υποκείμενο των δεδομένων έχει το δικαίωμα να διαγραφούν τα δεδομένα του, αλλά η διαγραφή τους δεν είναι δυνατή, τότε τα δεδομένα πρέπει να προστατεύονται από μη επιτρεπόμενη χρήση αποκλείοντας την πρόσβαση. Οι περίοδοι διατήρησης των προσωπικών δεδομένων, που προβλέπονται από την εθνική νομοθεσία κάθε εταιρίας, πρέπει να τηρούνται.

Τα υποκείμενα των δεδομένων μπορούν να ζητήσουν από την εταιρεία να διορθώσει τα προσωπικά δεδομένα που διατηρεί ανά πάσα στιγμή, εφόσον τα δεδομένα αυτά είναι ελλιπή ή / και ανακριβή.

Το υποκείμενο των δεδομένων ενημερώνεται σε περίπτωση που η ανάκληση της συναίνεσής του ή η διαγραφή των προσωπικών του δεδομένων οδηγεί σε μη εκπλήρωση συμβατικών υποχρεώσεων.

Το υποκείμενο των δεδομένων μπορεί οποτεδήποτε να υποβάλει καταγγελία κατά οποιασδήποτε από τις «Εταιρείες» αν υποψιάζεται ότι κάποια από αυτές δεν επεξεργάζεται τα προσωπικά του δεδομένα σύμφωνα με την νομοθεσία ή τις διατάξεις των εν λόγω BCR. Οι τεκμηριωμένες καταγγελίες θα εξετάζονται εντός εύλογου χρονικού διαστήματος και το υποκείμενο των δεδομένων θα ενημερώνεται σχετικά.

Αν η καταγγελία αφορά περισσότερες από τις «Εταιρείες», ο Υπεύθυνος Ασφαλείας της Εταιρείας, που σχετίζεται περισσότερο με το θέμα, συντονίζει όλη τη σχετική επικοινωνία με το υποκείμενο των δεδομένων.

Πρέπει να υπάρχουν κατάλληλα κανάλια επικοινωνίας για την αναφορά περιστατικών περί προστασίας προσωπικών δεδομένων (π.χ. ειδικός λογαριασμός ηλεκτρονικού ταχυδρομείου).

Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, μπορείτε να επισκεφθείτε την ιστοσελίδα της (www.dpa.gr)

21.3. Τρόπος Άσκησης των Δικαιωμάτων των Υποκειμένων

Τα υποκείμενα των προσωπικών δεδομένων δεν θα υφίστανται διακριτική μεταχείριση, εξαιτίας του γεγονότος ότι έκαναν χρήση των προαναφερομένων δικαιωμάτων. Ο τρόπος επικοινωνίας με το υποκείμενο των δεδομένων, π.χ. τηλεφωνικά, ηλεκτρονικά ή εγγράφως, πρέπει να επιλέγεται, όπου αυτό είναι εφικτό, ανάλογα με το αίτημα του υποκειμένου των δεδομένων.

21.4. Αντίγραφο των BCR

Αντίγραφο των BCR σε έντυπη μορφή παρέχεται σε οποιονδήποτε το αιτηθεί.

22. Διοικητική Οργάνωση

22.1. Αρμοδιότητα για την Επεξεργασία Δεδομένων

Η κάθε εταιρεία υποχρεούται να διασφαλίζει τη συμμόρφωση με την νομοθεσία για την προστασία των δεδομένων και με τους παρόντες BCR και να ορίσει στην κάθε εταιρεία Υπεύθυνο Ασφάλειας Δεδομένων.

22.2. Εσωτερική Διαδικασία Διαχείρισης Παραπόνων

Οποιοδήποτε Υποκείμενο των δεδομένων που πιστεύει ότι τα Προσωπικά Δεδομένα του/της στο Παράρτημα μπορεί να έχουν υποβληθεί σε Επεξεργασία κατά παράβαση των εν λόγω BCR από οποιαδήποτε εταιρεία, μπορεί να υποβάλλει τα ερωτήματά και παράπονα του/της στην διεύθυνση ηλ. ταχυδρομείου: info@haifoods.com .

Οποιαδήποτε από τις εταιρείες δεχθεί καταγγελία, δεσμεύεται να διερευνήσει και να έρθει σε επαφή με συναδέλφους από σχετικά τμήματα, όπως απαιτείται για να αντιμετωπιστεί η καταγγελία και θα παρέχει μία ουσιαστική απάντηση στο άτομο που κατήγγειλε το συντομότερο λογικά δυνατό, αλλά όχι αργότερα από ένα (1) μήνα από την λήψη της καταγγελίας.

Εάν, λόγω της πολυπλοκότητας της καταγγελίας δεν μπορεί να παρασχεθεί μία ουσιαστική απάντηση εντός ενός (1) μηνός, θα ενημερώσει τον καταγγέλλοντα και θα παρέχει μια λογική εκτίμηση (που δεν θα υπερβαίνει τους δύο [2] μήνες) του χρονικού πλαισίου εντός του οποίου θα πρέπει να δοθεί απάντηση.

Αν η καταγγελία είναι βάσιμη, θα εξασφαλιστούν όλα τα απαραίτητα βήματα που θα ληφθούν ως αποτέλεσμα, συμπεριλαμβανομένων των κατάλληλων κυρώσεων για τους υπαλλήλους, σύμφωνα με τους τοπικούς κανόνες.

Ανεξάρτητα από την εσωτερική διαδικασία διαχείρισης παραπόνων, τα Υποκείμενα των δεδομένων θα πρέπει ανά πάσα στιγμή να έχουν το δικαίωμα να ζητήσουν συμβουλές και να κάνουν καταγγελία προς την Αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων ή/και να εγείρουν αξίωση στο αρμόδιο δικαστήριο.

23. Καθήκον Ενημέρωσης σε Περίπτωση Παραβίασης

Η εταιρεία πρέπει να ενημερώνει άμεσα τον Υπεύθυνο Ασφαλείας για κάθε παραβίαση ή σαφή ένδειξη παραβίασης των κανονισμών προστασίας προσωπικών δεδομένων και κυρίως των παρόντων BCR, ιδίως σε περιπτώσεις όπου το περιστατικό ενδέχεται να έχει επιπτώσεις στο κοινό ή/και επηρεάζει περισσότερες από μία «Εταιρείες» ή/και συνεπάγεται οικονομική της ζημία.

24. Δέσμευση και Εκπαίδευση Εργαζομένων

Οι εταιρείες υποχρεώνουν τους υπαλλήλους τους να τηρούν την εμπιστευτικότητα των προσωπικών δεδομένων και το απόρρητο των τηλεπικοινωνιών με την σύναψη της σύμβασης εργασίας. Οι εργαζόμενοι λαμβάνουν επαρκή εκπαίδευση σε θέματα προστασίας προσωπικών δεδομένων. Η εταιρεία πρέπει να διαθέτει σχετικές διαδικασίες και να παρέχει τους πόρους για το σκοπό αυτό.

Οι εργαζόμενοι λαμβάνουν εκπαίδευση αναφορικά με τις βασικές αρχές της προστασίας των προσωπικών δεδομένων τουλάχιστον ανά διετία. Η εταιρεία αναπτύσσει ειδικά προγράμματα εκπαιδεύσεων για τους εργαζομένους της. Ο Υπεύθυνος Ασφαλείας κάθε εταιρείας τηρεί αρχείο με τις εκπαιδεύσεις, που έχουν πραγματοποιηθεί σε ετήσια βάση.

25. Συνεργασία με τις Εποπτικές Αρχές

Οι εταιρείες οφείλουν να συνεργάζονται, με την εποπτική Αρχή στην οποία υπάγονται οι ίδιες ή με την αρμόδια Αρχή στην οποία υπάγεται η εταιρεία που διαβιβάζει τα δεδομένα και ιδίως οφείλει να απαντάει σε ερωτήματα και να ακολουθεί τις συστάσεις τους.

26. Υπεύθυνος Επικοινωνίας για Ερωτήματα

Ο Υπεύθυνος Ασφαλείας της κάθε εταιρείας είναι αρμόδιος για το χειρισμό ερωτημάτων σχετικά με τους BCR. Η επικοινωνία με τον Υπεύθυνο Ασφαλείας της κάθε εταιρείας γίνεται σε εργάσιμες ώρες με την αποστολή email στη διεύθυνση info@haifoods.com .

27. ΕΥΘΥΝΗ

27.1. Αποζημίωση

Κάθε φυσικό πρόσωπο, που έχει υποστεί ζημία ως αποτέλεσμα παραβίασης μίας ή περισσοτέρων ρυθμίσεων των BCR από κάποια από τις «Εταιρείες», λόγω των μεταξύ τους διαβιβάσεων των προσωπικών του δεδομένων, δικαιούται αποζημίωσης.

Σε περίπτωση που κάποια από τις «Εταιρείες» καταβάλλει αποζημίωση έχει το δικαίωμα να στραφεί αναγωγικά κατά της εταιρείας, που είναι υπεύθυνη για την ζημία ή που συνεργάστηκε με τον τρίτο, που την προκάλεσε.

Το υποκείμενο των δεδομένων δικαιούται να διεκδικήσει αποζημίωση αρχικά από την εταιρεία που διαβίβασε τα δεδομένα. Εάν αυτή εταιρία δεν ευθύνεται de jure ή de facto (με βάση την ισχύουσα νομοθεσία ή με βάση τα πραγματικά περιστατικά), το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει αποζημίωση από την εταιρεία που ήταν αποδέκτης των δεδομένων. Η εταιρεία -αποδέκτης των δεδομένων σε περίπτωση παραβίασης δεν δικαιούται να αντικρούσει την ευθύνη της επικαλούμενη την ευθύνη της εταιρίας που διαβίβασε τα δεδομένα.

Το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια εποπτική Αρχή ή στην εποπτική Αρχή που είναι αρμόδια ανά πάσα στιγμή.

27.2. Βάρος Απόδειξης

Το βάρος απόδειξης αναφορικά με την ορθή χρήση των δεδομένων του υποκειμένου εναπόκειται στην υπεύθυνη εταιρεία.

28. Αρμοδιότητα Δικαστηρίων

Το υποκείμενο των δεδομένων μπορεί να επιλέξει να διεκδικήσει αποζημίωση στα αρμόδια ελληνικά δικαστήρια.

Εναλλακτικά και εφόσον το Υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του σε Κράτος- Μέλος της Ε.Ε. ή του ΕΟΧ, αρμοδιότητα δύνανται να έχουν και τα δικαστήρια του κράτους αυτού.

Το δικαίωμα του υποκειμένου των δεδομένων να υποβάλει καταγγελία στην αρμόδια εποπτική Αρχή ή να προσφύγει στα αρμόδια δικαστήρια δεν επηρεάζεται από την ανωτέρω περιγραφόμενη διαδικασία.

29. ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

29.1. Τροποποίηση

Ο Υπεύθυνος Ασφαλείας της κάθε Εταιρείας εξετάζει τους BCR ανά τακτά χρονικά διαστήματα και τουλάχιστον μία φορά το χρόνο, με σκοπό την εναρμόνισή τους με την ισχύουσα νομοθεσία, και προβαίνει σε όλες τις αναγκαίες τροποποιήσεις.

Οι Υπεύθυνοι Ασφαλείας των Εταιριών είναι υποχρεωμένοι να εξετάσουν αν οι τροποποιήσεις των BCR επηρεάζουν την υποχρέωση συμμόρφωσης με την ισχύουσα νομοθεσία ή αν έρχονται σε αντίθεση με τις εθνικές νομικές διατάξεις.

29.2. Δικονομικά Θέματα / Ρήτρα Διαχωρισμού (Severability Clause)

Εάν μεμονωμένες διατάξεις των BCR είναι ή καταστούν άκυρες, αυτές θεωρείται ότι έχουν αντικατασταθεί από άλλες διατάξεις, που προσεγγίζουν όσο το δυνατό περισσότερο το αληθινό πνεύμα των BCR και των άκυρων διατάξεων. Σε περιπτώσεις αμφιβολιών ή ελλείψει σχετικών διατάξεων εφαρμόζεται η ισχύουσα νομοθεσία περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης.

ΠΑΡΑΡΤΗΜΑ

ΔΙΑΒΙΒΑΣΕΙΣ ΜΕΤΑΞΥ ΤΩΝ ΣΥΝΔΕΔΕΜΕΝΩΝ ΕΤΑΙΡΙΩΝ

Κατηγορίες προσωπικών δεδομένων:

Δεδομένα εργαζομένων των ως άνω εταιριών:

Αφορά τους εργαζομένους σε κάθε εταιρία (συμπεριλαμβανομένων των πρώην εργαζομένων), καθώς επίσης και τους υποψήφιους που υποβάλλουν αίτηση για θέση εργασίας ή αποστέλλουν το βιογραφικό τους για τη κάλυψη μελλοντικών αναγκών σε ανθρώπινο δυναμικό. Τέλος, ενδέχεται να ζητούνται και δεδομένα συγγενικών προσώπων των εργαζομένων (π.χ. συζύγου, τέκνων).

Συναφή δεδομένα: στοιχεία επικοινωνίας (π.χ. ονοματεπώνυμο, διευθύνσεις οικίας και εργασίας/τηλεφωνικοί αριθμοί/ηλεκτρονικές διευθύνσεις, αριθμοί επαγγελματικού φαξ, στοιχεία επικοινωνίας επείγουσας ανάγκης), στοιχεία δελτίου ταυτότητας ή διαβατηρίου, προσωπικά χαρακτηριστικά (π.χ., φύλο, ημερομηνία γέννησης, τόπος γέννησης, οικογενειακή κατάσταση, σύνθεση οικογένειας, εθνικότητα), αριθμός κοινωνικής ασφάλισης, μορφωτικό επίπεδο, προϋπηρεσία, τομείς εξειδίκευσης, επαγγελματικά στοιχεία (π.χ., τίτλος εργασίας, θέση, τόπος εργασίας), απόδοση υπαλλήλου, μισθός, επιδόματα, αποζημίωση, πληροφορίες που σχετίζονται με πληρωμές (π.χ., αριθμός τραπεζικού λογαριασμού), φωτογραφίες, οπτικές εγγραφές, ποινικό μητρώο, πιστοποιητικό υγείας, ιατρικές γνωματεύσεις περί ασθενειών, εκκαθαριστικό σημείωμα φόρου εισοδήματος

Δεδομένα εξωτερικών συνεργατών και προμηθευτών (και των τυχόν αντιπροσώπων/εργαζομένων τους:

Αφορά συνεργάτες , οι οποίοι δεν είναι εργαζόμενοι σε κάποια από τις «Εταιρίες» αλλά παρέχουν υπηρεσίες στο πλαίσιο σύμβασης ή παρόμοιας συμφωνίας σε κάποια από τις συνδεδεμένες εταιρίες.

Συναφή δεδομένα: στοιχεία επικοινωνίας (π.χ. ονοματεπώνυμο, επαγγελματικές διευθύνσεις, αριθμοί τηλεφώνου και φαξ, ηλεκτρονικές διευθύνσεις), πληροφορίες που σχετίζονται με πληρωμές (συμπεριλαμβανομένων των στοιχείων του τραπεζικού λογαριασμού), ΑΦΜ και λοιπά στοιχεία τιμολόγησης

Δεδομένα Πελατών:

Αφορά πελάτες κάθε Εταιρείας καθώς και το καταναλωτικό κοινό στο οποίο οι «Εταιρείες» απευθύνουν τις υπηρεσίες/προϊόντα τους.

Συναφή δεδομένα: δεδομένα ταυτοποίησης, στοιχεία επικοινωνίας (π.χ. ονοματεπώνυμο, διευθύνσεις οικίας και εργασίας/τηλεφωνικοί αριθμοί/ηλεκτρονικές διευθύνσεις, αριθμοί φαξ), πληροφορίες που σχετίζονται με πληρωμές (π.χ., αριθμός τραπεζικού λογαριασμού, αριθμός πιστωτικής κάρτας)