Πολιτική Ασφάλειας

1. Σκοπός – Πεδίο Εφαρμογής


Σκοπός της παρούσας Πολιτικής είναι η περιγραφή των οργανωτικών και τεχνικών μέτρων που εφαρμόζονται από την εταιρεία Digital Academy κατά την επεξεργασία δεδομένων με τα οποία προκύπτει συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679) και τις διατάξεις του ν.4624/2019

Η παρούσα Πολιτική εφαρμόζεται στον υλικοτεχνικό εξοπλισμό, στο προσωπικό και στις διαδικασίες και λειτουργίες που πραγματοποιούνται από την εταιρεία κατά την άσκηση όλων των δραστηριοτήτων της οι οποίες σχετίζονται με επεξεργασία δεδομένων.

2. Γενικές Αρχές


2.1 Αρχές της επεξεργασίας

Η εταιρεία λαμβάνει όλα τα απαραίτητα μέτρα ώστε να διασφαλίζεται η τήρηση των κατωτέρω βασικών αρχών της επεξεργασίας:

  • α) Νομιμότητα, αντικειμενικότητα και διαφάνεια Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων σύμφωνα με τα παρακάτω
  • β) Περιορισμός του σκοπού Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς
  • γ) Ελαχιστοποίηση των δεδομένων Τα δεδομένα προσωπικού χαρακτήρα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία
  • δ) Ακρίβεια Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας
  • ε) Περιορισμός της περιόδου αποθήκευσης Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
  • στ) Ακεραιότητα και εμπιστευτικότητα Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά
  • ζ) Λογοδοσία Η εταιρεία φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις ως άνω αρχές.

3. Επεξεργασία – Σκοπός


3.1 Νομιμότητα

Η επεξεργασία προσωπικών δεδομένων από την εταιρεία, ως Υπεύθυνη Επεξεργασίας, πραγματοποιείται βάσει των παρακάτω προϋποθέσεων:

  • α) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  • β) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

Η επεξεργασία προσωπικών δεδομένων από την εταιρεία, ως Εκτελούσα την Επεξεργασία, πραγματοποιείται σύμφωνα με το Ιδιωτικό Συμφωνητικό που συνάττει η εταιρεία από το οποίο προκύπτει η βάση της επεξεργασίας εκ μέρους του Υπεύθυνου Επεξεργασίας.

3.2 Συγκατάθεση υποκειμένου

  • α) Η εταιρεία, ως Εκτελούσα την Επεξεργασία, προβαίνει με απλό και κατανοητό τρόπο στην ενημέρωση του υποκειμένου σχετικά με την επεξεργασία, σύμφωνα με το ιδιωτικό συμφωνητικό που συνάπτει. Η ενημέρωση πραγματοποιείται ηλεκτρονικά μέσω φόρμας η οποία παρουσιάζεται αυτοματοποιημένα κατά την εγκατάσταση της σχετικής εφαρμογής.
  • β) Η ενημέρωση για τους όρους της επεξεργασίας περιλαμβάνεται στο έντυπο ΠΑ1 «Οδηγία ενημέρωσης υποκειμένου». Η συγκατάθεση του υποκειμένου προκύπτει με σαφή τρόπο στην εφαρμογή και σε όλες τις περιπτώσεις διατηρείται.
  • γ) Η ανάκληση της συγκατάθεσης παρέχεται με σαφή και απλό τρόπο στην εφαρμογή της εταιρείας. Αντίστοιχα διατηρείται και η ενέργεια της ανάκλησης εφόσον αυτή προκύπτει με ηλεκτρονικό τρόπο.

3.3 Ειδικές κατηγορίες

Η εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των εργαζομένων της που αφορούν την υγεία. Η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.

4. Δικαιώματα του υποκειμένου


4.1 Γενικές ρυθμίσεις

  • α) Η εταιρεία παρέχει κάθε πληροφορία στο υποκείμενο των δεδομένων η οποία αφορά στα δικαιώματά του επί της επεξεργασίας, όπως ενημέρωση, πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα και εναντίωση. Για το σκοπό αυτό προβλέπεται και διατηρείται το έντυπο ΠΑ1 «Οδηγία ενημέρωσης υποκειμένου» Οι πληροφορίες δίνονται σε έντυπη ή ηλεκτρονική μορφή ως ακολούθως:
    • - Στους εργαζόμενους της εταιρείας, κατά την πρόσληψη με τη σύναψη της σχετικής σύμβασης ή με ανάρτηση σε συγκεκριμένο σημείο στο εσωτερικό δίκτυο της εταιρείας.
    • - Στους οδηγούς ταξί, με τη σύναψη της σχετικής σύμβασης ή μέσω φόρμας κατά την εγκατάσταση της εφαρμογής της εταιρείας.
    • - στους επιβάτες, για την εξυπηρέτηση του ιδιωτικού συμφωνητικού εκτέλεσης της επεξεργασίας, μέσω φόρμας η οποία παρουσιάζεται αυτοματοποιημένα κατά την εγκατάσταση της σχετικής εφαρμογής της εταιρείας.
  • β) Η εταιρεία ανταποκρίνεται στα αιτήματα του υποκειμένου των δεδομένων αναφορικά με δικαιώματά του εντός μηνός από την παραλαβή των αιτημάτων. Σε περίπτωση καθυστέρησης, η εταιρεία αιτιολογεί αυτή την αδυναμία και ενημερώνει, εντός μήνα από την παραλαβή του αιτήματος, το υποκείμενο των δεδομένων για την παράταση της προθεσμίας.
  • γ) Τα υποκείμενα των δεδομένων δύνανται να απευθύνονται στην εταιρεία για ζητήματα που αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, αποστέλλοντας μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση gdpr@taxaki.com
  • δ) Η εταιρεία δύναται να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων, εφόσον έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα. Η εταιρεία μπορεί να αρνηθεί να ενεργήσει επί του αιτήματος εάν δεν είναι σε θέση, αιτιολογημένα, να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων. Η εν λόγω αιτιολόγηση καταγράφεται από την εταιρεία.
  • ε) Η εταιρεία δύναται να μην ενεργήσει επί του αιτήματος του υποκειμένου. Σε αυτή την περίπτωση, και εντός μήνα από την παραλαβή του αιτήματος, ενημερώνει το υποκείμενο των δεδομένων με την αιτιολογία της μη ενέργειας και για τη δυνατότητα του υποκειμένου για υποβολή καταγγελίας σε εποπτική αρχή και άσκηση δικαστικής προσφυγής.
  • στ) Η εταιρεία δύναται, εφόσον τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους,:
    • - να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή
    • - να αρνηθεί να δώσει συνέχεια στο αίτημα.
  • Η αιτιολογία αναφορικά με το προδήλως αβάσιμο ή υπερβολικό καταγράφεται από την εταιρεία.
  • στ) Η εταιρεία διατηρεί συγκεντρωτικά σε αρχείο αιτήματα και απαντήσεις που προκύπτουν από τα ως άνω (β) – (ε) σημεία.

4.2 Ειδικότερες προβλέψεις


  • α) Η εταιρεία συλλέγει τα δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων αποκλειστικά από το ίδιο το υποκείμενο των δεδομένων. Οι πληροφορίες σχετικά με την ενημέρωση του υποκείμενου αναφέρονται στο έντυπο ΠΑ1.
  • β) Η εταιρεία δεν επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνον για τον οποίο συλλέχθηκαν.
  • γ) Η εταιρεία δεν διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα σε Τρίτη Χώρα ή διεθνή οργανισμό.
  • δ) Η εταιρεία προβαίνει σε διόρθωση ανακριβών ή στη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα κατόπιν αιτήματος του υποκειμένου, σύμφωνα με τις προβλέψεις της παραγράφου 5.1
  • ε) Η εταιρεία προβαίνει σε διαγραφή δεδομένων προσωπικού χαρακτήρα, κατόπιν αιτήματος του υποκειμένου σύμφωνα με τις προβλέψεις της παραγράφου 5.1, και εφόσον συντρέχει μία εκ των προϋποθέσεων που αναφέρονται στο έντυπο ΠΑ1.
  • στ) Η εταιρεία προβαίνει σε περιορισμό των δεδομένων προσωπικού χαρακτήρα όταν ισχύει ένα από τα παρακάτω:
    • - η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στην εταιρεία να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
    • - η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ' αυτής, τον περιορισμό της χρήσης τους,
    • - η εταιρεία δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,
    • - το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι της εταιρείας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.
  • ζ) Η εταιρεία δύναται να επεξεργαστεί, πλην της αποθήκευσης, δεδομένα των οποίων η επεξεργασία έχει περιοριστεί μόνο κατόπιν συγκατάθεσης του υποκείμενου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου. Η εταιρεία ενημερώνει το υποκείμενο των δεδομένων πριν την άρση του περιορισμού της επεξεργασίας.
  • η) Η εταιρεία παρέχει, εφόσον υπάρξει αίτημα, τα δεδομένα προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων σε κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο όταν:
    • - η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση,
    • - η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.
  • θ) Η εταιρεία προβαίνει, εφόσον υπάρξει αίτημα από το υποκείμενο των δεδομένων και είναι τεχνικά εφικτό, στη διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας.

5. Υποχρεώσεις της εταιρείας


  • α) Η εταιρεία διασφαλίζει ότι η παρούσα Πολιτική αναθεωρείται και επικαιροποιείται όταν μεταβάλλονται οι συνθήκες όπως το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας ή για οποιοδήποτε άλλο λόγο κρίνεται απαραίτητο.
  • β) Η εφαρμογή των οργανωτικών και τεχνικών μέτρων της παρούσας Πολιτικής εκτείνεται από τον καθορισμό των μέσων επεξεργασίας, τη στιγμή της επεξεργασίας και μέχρι την ενδεχόμενη διαγραφή τους.
  • γ) Η εταιρεία με τα μέτρα της παρούσας Πολιτικής εξασφαλίζει ότι υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.
  • δ) Η εταιρεία έχει τη δυνατότητα να χρησιμοποιήσει εκτελούντες την επεξεργασία υπό την προϋπόθεση ότι παρέχουν επαρκείς διαβεβαιώσεις για ορθή τήρηση και εφαρμογή της παρούσας Πολιτικής.
  • ε) Η δυνατότητα πρόσληψης άλλον εκτελούντα την επεξεργασία από τον εκτελών την επεξεργασία με προηγούμενη ειδική άδεια από τον υπεύθυνο της επεξεργασίας δεν χρησιμοποιείται.
  • στ) Η εταιρεία διατηρεί τα αρχεία ΠΑ3 «Αρχείο δραστηριοτήτων επεξεργασίας» και ΠΑ4 «Αρχείο κατηγοριών δραστηριοτήτων επεξεργασίας».
  • ζ) Τα αρχεία διατηρούνται σε έντυπη ή/και σε ηλεκτρονική μορφή και διατίθενται στην ΑΠΔΠΧ κατόπιν αιτήματός της.

6. Ασφάλεια της επεξεργασίας


  • α) Για τον καθορισμό των απαιτούμενων μέτρων και μηχανισμών ασφάλειας λαμβάνονται υπόψη κυρίως οι κίνδυνοι της τυχαίας ή παράνομης καταστροφής, απώλειας, αλλοίωσης, άνευ αδείας κοινολόγησης ή προσπέλασης δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.
  • β) Η εταιρεία, λαμβάνοντας υπόψη τους υπό σημείου (α) κινδύνους καθώς και τις τεχνολογικές εξελίξεις, το κόστος εφαρμογής και τη φύση της επεξεργασίας, καθορίζει και εφαρμόζει τα απαραίτητα μέτρα ασφάλειας ώστε να ικανοποιούνται όλες οι αρχές της ασφάλειας, όπως η ακεραιότητα, η διαθεσιμότητα, η εμπιστευτικότητα της επεξεργασίας και των συστημάτων αυτής καθώς και η δυνατότητα αποκατάστασης της διαθεσιμότητας και πρόσβασης σε εύθετο χρόνο.
  • γ) Το επίπεδο ασφάλειας αξιολογείται τακτικά μέσω διαδικασιών για την τακτική δοκιμή της αποτελεσματικότητας των οργανωτικών και τεχνικών μέτρων.
  • δ) Τα μέτρα και οι μηχανισμοί ασφάλειας που απαιτούνται ομαδοποιούνται ανάλογα με την κατηγορία τους. Έτσι προκύπτουν οι ακόλουθες επιμέρους Πολιτικές:
    • - Πολιτική Φυσικής Ασφάλειας
    • - Πολιτική Λογικής Πρόσβασης
    • - Πολιτική Ασφάλειας Δικτύου
    • - Πολιτική Συνέχειας συστημάτων επεξεργασίας
    • - Πολιτική εσωτερικού ελέγχου και αξιολόγησης
    • - Πολιτική ασφαλούς αποθήκευσης
    • - Πολιτική προστασίας από κακόβουλο λογισμικό
    • - Πολιτική Αποδεκτής χρήσης.