Σκοπός του εγγράφου είναι να καθορίσει τις υποχρεώσεις, καθώς και την πολιτική της εταιρίας για την ιδιωτικότητα και την προστασία δεδομένων προσωπικού χαρακτήρα. Η Διοίκηση της OTS, δεσμεύεται για την εκπλήρωση των απαιτήσεων του νέου Γενικού Κανονισμού Προστασίας των Δεδομένων (GDPR) και αναγνωρίζει την προστασία των προσωπικών δεδομένων σαν προτεραιότητα. Η καλλιέργεια περιβάλλοντος ασφάλειας και εμπιστοσύνης, εσωτερικά και εξωτερικά, αποτελεί αρχή της OTS και θα διατεθεί κάθε αναγκαίος πόρος προκειμένου να διασφαλιστεί.
Η πολιτική αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την εταιρία.
Υπεύθυνοι για την τήρηση της παρούσας πολιτικής είναι ο Data Protection Officer και η Ομάδα Χειρισμού Συμβάντων Ασφάλειας Πληροφοριών όπως ορίζεται σε αντίστοιχη διαδικασία της εταιρίας.
Η εταιρία διασφαλίζει τη συμμόρφωση με τις θεμελιώδεις αρχές του Κανονισμού Προστασίας Προσωπικών Δεδομένων τόσο στην επεξεργασία που εκτελείται επί του παρόντος όσο και στο πλαίσιο της εισαγωγής νέων μεθόδων επεξεργασίας, όπως τα νέα πληροφοριακά συστήματα. Συγκεκριμένα, οι αρχές επεξεργασίας με τις οποίες η OTS διασφαλίζει συμμόρφωση αφορούν: Νομιμότητα, αντικειμενικότητα και διαφάνεια, Περιορισμός του σκοπού, Ελαχιστοποίηση των δεδομένων, Ακρίβεια, Περιορισμός της περιόδου αποθήκευσης, Ακεραιότητα και εμπιστευτικότητα, Λογοδοσία.
Τα δικαιώματα των υποκειμένων των δεδομένων υποστηρίζονται από κατάλληλες διαδικασίες που επιτρέπουν την ανάληψη των απαιτούμενων ενεργειών εντός των χρονικών ορίων που ορίζονται στον Γενικό Κανονισμό Προστασίας Δεδομένων. Τα δικαιώματα των υποκειμένων είναι τα παρακάτω:
Είναι πολιτική της εταιρίας να προσδιορίζει την κατάλληλη νομική βάση για κάθε επεξεργασία και να την τεκμηριώνει, σύμφωνα με τον Κανονισμό Προστασίας Προσωπικών Δεδομένων.
H εταιρία υιοθετεί την αρχή της προστασίας των δεδομένων από τον σχεδιασμό και θα διασφαλίσει ότι ο προσδιορισμός και ο σχεδιασμός όλων των νέων ή σημαντικά αλλαγμένων συστημάτων που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα θα υπόκεινται στην κατάλληλη εξέταση των θεμάτων προστασίας της ιδιωτικής ζωής. Όταν οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, θα διενεργείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η χρήση τεχνικών όπως η ελαχιστοποίηση των δεδομένων, η ψευδωνυμοποίηση, η ανωνυμοποίηση και η κρυπτογράφηση, λαμβάνονται υπόψη, όπου αυτό είναι εφικτό και κατάλληλο.
Η εταιρία θα διασφαλίσει ότι όλες οι δραστηριότητες που εισάγει στο πλαίσιο ανάπτυξης συνεργασιών και αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, υπόκεινται σε τεκμηριωμένη σύμβαση που περιλαμβάνει τις συγκεκριμένες πληροφορίες και τους όρους που απαιτούνται από τον Γενικό Κανονισμό Προστασίας Δεδομένων και την κείμενη νομοθεσία. Με κάθε εκτελών την επεξεργασία ή υπεργολάβο, υπογράφεται ιδιωτικό συμφωνητικό κατ’ άρθρο 28 GDPR, το οποίο αναφέρει μεταξύ άλλων τα ακόλουθα: πεδίο εφαρμογής και διάρκεια, σκοπό, τεκμηρίωση μορφών και έκτασης επεξεργασίας, προηγούμενη εξουσιοδότηση σε περίπτωση που χρησιμοποιείται άλλος επεξεργαστής, την παροχή οποιασδήποτε τεκμηρίωσης που αποδεικνύει τη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων και την κείμενη νομοθεσία, άμεση κοινοποίηση οποιασδήποτε παραβίασης των δεδομένων ή συνδρομή προς αυτή την κατεύθυνση. Tα δικαιώματα των εργαζομένων, των συμβαλλομένων και άλλων τρίτων όταν δεν έχουν πλέον άδεια πρόσβασης σε χώρους ή πόρους ή όταν λήξει η σύμβαση εργασίας τους και προσαρμόζουν τα δικαιώματα σε περίπτωση μεταφοράς εργασίας ανακαλούνται ή σε κάθε περίπτωση που χρειάζεται γίνεται επανεκτίμηση και επανέλεγχος των προσβάσεών τους.
Στην περίπτωση που υπάρχουν διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης εξετάζονται προσεκτικά πριν από τη διαβίβαση, ώστε να διασφαλιστεί ότι εμπίπτουν στα όρια που επιβάλλει ο Γενικός Κανονισμός Προστασίας Δεδομένων και η κείμενη νομοθεσία. Αυτό εξαρτάται εν μέρει από την κρίση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια των διασφαλίσεων για τα προσωπικά δεδομένα που ισχύουν στη χώρα υποδοχής και το οποίο μπορεί να αλλάξει με την πάροδο του χρόνου. Οι διαβιβάσεις δεδομένων σε τρίτες χώρες εντός ομίλου, αν και εφόσον υπάρξουν, θα υπόκεινται σε νομικά δεσμευτικές συμφωνίες που αναφέρονται ως δεσμευτικοί εταιρικοί κανόνες και οι οποίοι παρέχουν εκτελεστικά δικαιώματα για τα υποκείμενα των δεδομένων.
Στις περιπτώσεις όπου η εταιρία είναι ο εκτελών την επεξεργασία, έχει σαφή κατανόηση των υποχρεώσεών της όσον αφορά τη διαχείριση δεδομένων προσωπικού χαρακτήρα και την κείμενη νομοθεσία. Υπό τις διατάξεις της πολιτικής, το προσωπικό συμμορφώνεται με τον Γενικό Κανονισμό Προστασίας Δεδομένων και τις πολιτικές και διαδικασίες της OTS.
Όλες οι παραβιάσεις των δεδομένων προσωπικού χαρακτήρα εντοπίζονται και αναφέρονται σύμφωνα με την εγκεκριμένη διαδικασία που περιλαμβάνει το στάδιο ταυτοποίησης της παραβίασης, το στάδιο αξιολόγησης και εκτίμησης της παραβίασης, την κοινοποίηση της παραβίασης και την τεκμηρίωση της παραβίασης. Όταν απαιτείται κοινοποίηση σε υποκείμενα των δεδομένων γίνεται άμεσα και άνευ καθυστέρησης, όχι όμως αργότερα από 72 ώρες από την ταυτοποίηση του γεγονότος. Σε περίπτωση που απαιτείται, η κοινοποίηση μπορεί να γίνεται σε τμηματικά στάδια.
Είναι πολιτική της εταιρίας να διασφαλίζει τη δυνατότητα τήρησης των αρχών ασφαλείας κατά την επεξεργασία, αποθήκευση, πρόσβαση και χρήση των δεδομένων. Το προσωπικό δεσμεύεται από πολιτικές και διαδικασίες που είναι σε εφαρμογή για την εξασφάλιση της ιδιωτικότητας των δεδομένων, η τήρηση αυτών των διαδικασιών αποτελεί νομική υποχρέωση του προσωπικού.
Ο Υπεύθυνος Προστασίας Δεδομένων είναι αρμόδιος για την παρακολούθηση και την εφαρμογή της πολιτικής αυτής.
