Ενημέρωση για την επεξεργασία προσωπικών δεδομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων Ε.Ε. 2016/679 της εταιρείας ασφαλιστικής διαμεσολάβησης Life Plan insurance

 


ΕΙΣΑΓΩΓΗ


Η εταιρεία Life Plan insurance (εφεξής χάριν συντομίας «Η Εταιρεία»), είναι υπεύθυνη, δια του νόμιμου εκπροσώπου της, Γαβαλάκη Δημήτρη, για τη συλλογή και επεξεργασία των προσωπικών σας δεδομένων στα πλαίσια επίτευξης του σκοπού της ασφαλιστικής διαμεσολάβησης όπως αυτός περιγράφεται από την κείμενη νομοθεσία, ταυτόχρονα ως υπεύθυνος επεξεργασίας αλλά και ως εκτελών για λογαριασμό των ασφαλιστικών εταιριών που εκπροσωπεί.

Η «Εταιρεία» συμβάλλεται με τον ασφαλιστικό σας διαμεσολαβητή ο οποίος κατά την εκτέλεση του έργου του λειτουργεί ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων και ταυτόχρονα ως ο εκτελών την επεξεργασία προσωπικών δεδομένων για τις ασφαλιστικές εταιρίες με τις οποίες συμβάλλεται είτε απευθείας , έχοντας το συντονισμό των συμβάσεων αυτών η «Εταιρεία», είτε μέσω σύμβασης έργου με την «Εταιρεία».

Στην «Εταιρεία» εργάζονται φυσικά πρόσωπα, υπάλληλοί της, τα οποία εκτελούν την επεξεργασία νομίμως εξουσιοδοτημένα από τον υπεύθυνο επεξεργασίας (νόμιμο εκπρόσωπο της Εταιρείας) και υπό την άμεση εποπτεία αυτού και τα οποία παρέχουν τα εχέγγυα και επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του κανονισμού Ε.Ε. 2016/679 και να διασφαλίζεται η προστασία των δικαιωμάτων σας, έχουν, δε, δεσμευτεί ως προς την τήρηση της εμπιστευτικότητας και έχουν ήδη εξοικειωθεί με τις διατάξεις περί Προστασίας των Προσωπικών Δεδομένων, σχετικές με το ρόλο και τις αρμοδιότητές τους.

Στην «Εταιρεία» διαβιβάζονται από τον ασφαλιστικό σας διαμεσολαβητή τα απολύτως αναγκαία προσωπικά δεδομένα για τους σκοπούς της ασφαλιστικής διαμεσολάβησης, όπως τα απαραίτητα για την εκπόνηση προσφοράς ασφάλισης με βάση τις απαιτήσεις σας, όσο και τα απολύτως αναγκαία για τη σύναψη της ασφαλιστικής σας σύμβασης και την εκτέλεση αυτής όπως αυτά αποτυπώνονται στα σχετικά έντυπα των ασφαλιστικών εταιριών και στις διαδικασίες υποβολής συνοδευτικών στοιχείων.

Ο παρόν κανονισμός, περιέχει οδηγίες για το σκοπό, τον τρόπο και την εν γένει επεξεργασία των προσωπικών σας δεδομένων (συλλογή, καταχώριση, διατήρηση, οργάνωση, εξαγωγή, διαβίβαση, διαγραφή κ.α.), όπως επίσης και τα απορρέοντα, εκ του Κανονισμού και κάθε συναφή Νόμου, δικαιώματά σας ως φυσικά πρόσωπα των οποίων τα προσωπικά δεδομένα υπόκεινται σε επεξεργασία (υποκείμενα επεξεργασίας).

Σε περίπτωση που έχετε απορίες σε σχέση με την παρούσα γνωστοποίηση ή χρειάζεστε περαιτέρω ενημέρωση, ή επιθυμείτε να διατυπώσετε τις αντιρρήσεις σας, μπορείτε να απευθυνθείτε στο νόμιμο εκπρόσωπο της Εταιρείας και υπεύθυνο επεξεργασίας των προσωπικών δεδομένων, κο Γαβαλάκη Δημήτριο, του οποίου τα στοιχεία επικοινωνίας είναι τα κάτωθι:

Τηλέφωνο: 210 6720470 και e-mail: gavalakis@lifeplan.gr .

Σε περίπτωση, που ακόμα και μετά την επικοινωνία σας με τον νόμιμο εκπρόσωπο της Εταιρείας εξακολουθείτε να έχετε απορίες σχετικά με τα ανωτέρω, καθώς και για οποιοδήποτε άλλο ζήτημα που αφορά τη συμμόρφωση της εταιρείας μας με τον Γ.Κ.Π.Δ και την εφαρμογή του, παρέχεται σε εσάς η δυνατότητα να απευθυνθείτε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ως αρμόδια εποπτική αρχή, τα στοιχεία επικοινωνίας της οποίας είναι τα εξής:

Ταχυδρομική διεύθυνση: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα

Τηλεφωνικό κέντρο: 210 6475600

Fax: 210 6475628

e-mail: contact@dpa.gr


ΟΡΙΣΜΟΙ


    1. «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («Υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε αναγνωριστικό ταυτότητας σε απ’ ευθείας σύνδεση (on- line ID) ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
    2. «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα»: δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό
    3. «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
    4. «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
    5. «υποκείμενο προσωπικών δεδομένων»: Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα
    6. «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο Υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
    7. «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο  δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
    8. «Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, που, μόνο ή από κοινού με άλλα, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
    9. «Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα  προσωπικού χαρακτήρα για λογαριασμό των Υπευθύνων Επεξεργασίας, όπως αυτοί ορίζονται στην περ. (7) της παρούσας παραγράφου.προκειμένου  να ρυθμίζουν  τις σχέσεις τους  με τους διαμεσολαβητές  με την ιδιότητά τους ως Εκτελούντων την Επεξεργασία·
    10. «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες Aρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες·
    11. «τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια Αρχή, υπηρεσία ή φορέας, με εξαίρεση το Υποκείμενο των δεδομένων, τον Υπεύθυνο Επεξεργασίας, τον Εκτελούντα την Επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα·
    12. «συγκατάθεση» του Υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το Υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·
    13. «αρχείο δεδομένων ή σύστημα αρχειοθέτησης»: Κάθε διαρθρωμένο σύνολο δεδομένων το οποίο είναι προσβάσιμο με γνώμονα  συγκεκριμένα κριτήρια
    14. «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·
    15. «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

ΣΚΟΠΟΣ – ΝΟΜΙΚΗ ΒΑΣΗ


Η «Εταιρεία» επεξεργάζεται τα προσωπικά σας δεδομένα προκειμένου να είναι δυνατή η προετοιμασία, η εξέταση και η υλοποίηση της αιτούμενης ασφάλισης από τις αναγνωρισμένες ασφαλιστικές εταιρείες στην Ελλάδα και στο εξωτερικό, με τις οποίες συνεργάζεται η «Eταιρεία», όπως επίσης προκειμένου να παράσχει την συνδρομή της στην περίπτωση επέλευσης του κινδύνου προς τον σκοπό της ασφαλιστικής αποζημίωσης, αλλά και προκειμένου να συνδράμει τον λήπτη της ασφάλισης καθ’ όλη τη διάρκεια ισχύος της ασφαλιστικής του σύμβασης, αλλά και μετά την καθ’ οιονδήποτε τρόπο λήξη της, την εν γένει εξυπηρέτηση, παρακολούθηση και υποστήριξη της συμβατικής σχέσης που έχει δημιουργηθεί,  σύμφωνα με τους όρους που περιέχονται σε αυτήν. Για τον λόγο αυτό συλλέγει τα προσωπικά σας δεδομένα, όταν εσείς αιτηθείτε εγγράφως την προετοιμασία, την εξέταση και την υλοποίηση της ασφαλιστικής συμβάσεως και τα διαβιβάζει προς εξέταση, σε κλειστό φάκελο ή μέσω των ηλεκτρονικών τους συστημάτων στις ασφαλιστικές επιχειρήσεις στις οποίες απευθύνονται τα ανάλογα αιτήματα (αποδέκτης).

Επιπλέον, η «Εταιρεία» δύναται να χρησιμοποιήσει τα προσωπικά σας δεδομένα προκειμένου να παράσχει αποδεικτικά στοιχεία στην περίπτωση αντιδικίας μεταξύ ημών ή στην περίπτωση αναμενόμενης αντιδικίας και να διασφαλίσει με αυτόν τον τρόπο τα συμφέροντά της ασκώντας κάθε νόμιμο δικαίωμά της.

Επιπροσθέτως, η «Εταιρεία» επεξεργάζεται τα δεδομένα σας, κάνοντας ενδεχομένως χρήση κάθε αναγκαίου μέσου αυτοματοποιημένου ή μη, στα πλαίσια συμμόρφωσής της με τις υποχρεώσεις που της επιβάλλονται από το ισχύον νομικό και κανονιστικό πλαίσιο και ιδίως για σκοπούς σχετικούς με την πρόληψη και καταστολή νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδότηση της τρομοκρατίας, την προσφορά τίτλων αξιών σε φυσικά πρόσωπα, Αμερικανούς πολίτες ή κατοίκους, καθώς και την εφαρμογή της ελληνικής φορολογικής νομοθεσίας, της ευρωπαϊκής και ελληνικής νομοθεσίας για την υποχρεωτική αυτόματη ανταλλαγή πληροφοριών στον φορολογικό τομέα (ν. 4170/2013, ν.4428/2016 Συμφωνία ΟΟΣΑ, ν.4493/2017 Μνημόνιο Συνεργασίας μεταξύ Ελλάδας και ΗΠΑ).

Η «Εταιρεία», ενδέχεται να χρησιμοποιήσει τα προσωπικά σας δεδομένα προκειμένου να μπορεί να επικοινωνεί μαζί σας με κάθε πρόσφορο μέσο που της έχετε γνωστοποιήσει (τηλεφωνική επικοινωνία, αποστολή γραπτών μηνυμάτων, αποστολή e-mail, μέσω ταχυδρομείου κ.α.) για να επαληθεύσει τις οδηγίες που της έχετε δώσει, να αναλύει, αξιολογεί και να βελτιώνει τις υπηρεσίες της προς εσάς, να σας παρέσχει πληροφορίες προώθησης πωλήσεων (εφόσον έχετε παράσχει τη συγκατάθεσή σας προς τούτο) και για να σας ενημερώνει για αλλαγές στα ασφαλιστικά προϊόντα και υπηρεσίες των συνεργαζόμενων ασφαλιστικών εταιρειών.

Τυχόν άρνησή σας για χορήγηση των προσωπικών σας δεδομένων, πληροφοριών, στοιχείων ή εγγράφων που απαιτούνται για τους ανωτέρω σκοπούς θα έχει ως αποτέλεσμα την μη δυνατότητα εξέτασης του αιτήματος σας για σύναψη της ασφαλιστικής σύμβασης ή για παροχή κάλυψης/αποζημίωσης από την συνεργαζόμενη ασφαλιστική εταιρεία καθώς και άρνηση εκπλήρωσης οποιασδήποτε υποχρέωσης της «Εταιρείας» απορρέει από την συναφθείσα ασφαλιστική σύμβαση. Στο πλαίσιο αυτό σας υπενθυμίζουμε ότι οφείλετε να ειδοποιήσετε χωρίς καθυστέρηση την «Εταιρεία» για οποιαδήποτε αλλαγή επέλθει στα προσωπικά σας δεδομένα. Την πληροφορία αυτή η «Εταιρεία» θα την χρησιμοποιήσει περαιτέρω για να επικαιροποιήσει, ως οφείλει σύμφωνα με τη σχετική νομοθεσία τα προσωπικά σας δεδομένα που τηρεί.

Τα δεδομένα προσωπικού χαρακτήρα, συλλέγονται για τους ως άνω καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, περιορίζονται, δε, στο αναγκαίο, για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, μέτρο («ελαχιστοποίηση των δεδομένων»).


ΤΡΟΠΟΙ ΠΡΟΣΤΑΣΙΑΣ


1. Η επιχείρηση λαμβάνει την έγγραφη συγκατάθεση των υποκειμένων για την επεξεργασία των δεδομένων που τα αφορούν με ειδικό έντυπο που υπογράφεται από εσάς με τη συνδρομή του ασφαλιστικού σας διαμεσολαβητή και διαβιβάζεται από αυτόν στην ‘’Εταιρεία’’.

2. Η ‘’Εταιρεία’’ έχει αναθέσει στους συνεργαζόμενους με αυτή ασφαλιστικούς διαεσολαβητές  την υποχρέωση να λαμβάνουν και να εφαρμόζουν αποτελεσματικά και κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζουν την προστασία των αρχών που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον Κανονισμό Προστασίας Προσωπικών Δεδομένων.  

3. Η «Εταιρεία» έχει  διασφαλίσει ότι :

α) υφίστανται  επεξεργασία  μόνο  τα  απολύτως  απαραίτητα  για  τον  εκάστοτε σκοπό δεδομένα,

β) τα δεδομένα τυγχάνουν επεξεργασίας μόνο στον αναγκαίο βαθμό,

γ) τα δεδομένα αποθηκεύονται μόνο για τον αναγκαίο χρόνο και

δ) τα  δεδομένα  δεν  καθίστανται  αυτομάτως  προσβάσιμα  σε  αόριστο  αριθμό φυσικών προσώπων χωρίς την παρέμβαση φυσικού προσώπου.

4. Η «Εταιρεία»:

α) Διενεργεί, κάθε έτος, αξιολόγησης κινδύνου σε επίπεδο ασφάλειας πληροφοριών,

β) Διενεργεί ετήσιο έλεγχο ασφαλείας προκειμένου να εντοπίζονται τυχόν κενά ή αδυναμίες σε επίπεδο πληροφοριακών συστημάτων και εφαρμογών και εφαρμογή σαφούς πλάνου διορθώσεων

γ) Διενεργεί τακτικούς ελέγχους της πρόσβασης σε συστήματα και εφαρμογές από συγκεκριμένα πρόσωπα και εφαρμογή κατάλληλων οργανωτικών και τεχνολογικών μέτρων ώστε η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα των Υποκειμένων να περιορίζεται μόνο στα πρόσωπα τα οποία είναι αναγκαίο να γνωρίζουν και να επεξεργάζονται τα εκάστοτε δεδομένα,

δ) Υιοθετεί  πολιτικές , πρότυπα και διαδικασίες για την ασφάλεια των δεδομένων κατά τη μεταφορά, επεξεργασία και αποθήκευσή τους,


ΧΡΟΝΟΣ ΔΙΑΤΗΡΗΣΗΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ


Η «Εταιρεία» θα τηρεί και θα επεξεργάζεται τα προσωπικά σας δεδομένα για όσο διάστημα διαρκεί η συναφθείσα σύμβαση με την εκάστοτε ασφαλιστική επιχείρηση, τόσο σε έγχαρτη όσο και σε ηλεκτρονική μορφή και σε κάθε περίπτωση μέχρι να θεωρηθεί ο σκοπός της επεξεργασίας περαιωμένος.Σε περίπτωση που η ως άνω σύμβαση διακοπεί ή λήξει με οποιονδήποτε τρόπο, θα τηρούμε τα δεδομένα σας για όσο χρόνο απαιτείται μέχρι να επέλθει η παραγραφή των σχετικών αξιώσεων και σε κάθε περίπτωση για όσο χρόνο απαιτείται από την φορολογική νομοθεσία, το εκάστοτε ισχύον νομικό και κανονιστικό πλαίσιο και τους εγκεκριμένους κώδικες δεοντολογίας. Σε περίπτωση μη υλοποίησης της ασφαλιστικής σας σύμβασης τα προσωπικά σας δεδομένα τα οποία ήταν αναγκαία για την εκπόνηση προσφοράς ασφάλισης θα τηρούνται για 3 έτη.

Επίσης, η «Εταιρεία» θα τηρεί και θα επεξεργάζεται τα προσωπικά σας δεδομένα μέχρι πέντε (5) έτη σε περίπτωση απόρριψης της αίτησής σας και μη σύναψης της ασφαλιστικής σύμβασης με την ασφαλιστική επιχείρηση. Επισημαίνεται ότι εάν εκκρεμεί μεταξύ μας δικαστική διένεξη πέραν των ως άνω χρόνων επεξεργασίας θα τηρούμε τα δεδομένα σας μέχρι την περαίωση της δικαστικής υπόθεσης με αμετάκλητη δικαστική απόφαση ή μέχρι τον –σε οποιοδήποτε χρονικό σημείο- εξωδικαστικό συμβιβασμό μεταξύ ημών.

Σε περίπτωση που συνεχίζουμε να χρησιμοποιούμε δεδομένα για στατιστικούς ή ερευνητικούς ή άλλους σκοπούς, διασφαλίζουμε ότι τα δεδομένα αυτά είναι ανώνυμα, έτσι ώστε να μην είναι δυνατή η ταυτοποίηση ενός φυσικού προσώπου από αυτά.


ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΣΑΣ


Δικαίωμα ενημέρωσης

1. Έχετε το δικαίωμα να λαμβάνετε, ανά πάσα στιγμή, επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το κατά πόσο υφίστανται επεξεργασία τα δεδομένα προσωπικού χαρακτήρα που σας αφορούν, με κάθε πρόσφορο τρόπο (λ.χ. μέσω ηλεκτρονικού ταχυδρομείου, μέσω συστημένης επιστολής). Πιο συγκεκριμένα έχετε δικαίωμα πρόσβασης στις ακόλουθες πληροφορίες:

α) στις κατηγορίες των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας,

β) στους σκοπούς της επεξεργασίας,

γ) στους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν ή πρόκειται να κοινοποιηθούν τα δεδομένα,

δ) στο χρονικό διάστημα αποθήκευσης των δεδομένων ή αν αυτό είναι αδύνατο να προσδιοριστεί, στα κριτήρια δυνάμει των οποίων καθορίζεται το εν λόγω διάστημα,

2. Ο Υπεύθυνος Επεξεργασίας υποχρεούται να παράσχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα των δεδομένων που ενδέχεται να ζητηθούν από εσάς, ο Υπεύθυνος Επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου αντίτιμου το οποίο προορίζεται αποκλειστικά για την κάλυψη του κόστους χορήγησης του αντιγράφου.

3. Το αίτημα για πρόσβαση σε δεδομένα προσωπικού χαρακτήρα υποβάλλεται γραπτώς είτε σε έντυπη είτε σε ηλεκτρονική μορφή. Εάν υποβάλλετε το αίτημα με ηλεκτρονικά μέσα, εξασφαλίζεται η ταυτοποίηση του προσώπου και, στη συνέχεια, η παροχή της ενημέρωσης σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως από τον υπεύθυνο επεξεργασίας, εκτός εάν ζητήσετε κάτι διαφορετικό.

4. Ο υπεύθυνος επεξεργασίας δεσμεύεται ότι θα παρέχει τις αιτούμενες πληροφορίες χωρίς καθυστέρηση και, πάντως, εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί, το ανώτερο, κατά δύο μήνες εφόσον αυτό απαιτείται, ενόψει της πολυπλοκότητας του αιτήματος και του αριθμού των εκκρεμών λοιπών αιτημάτων. Ο υπεύθυνος επεξεργασίας οφείλει να σας ενημερώσει για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.

Δικαίωμα διόρθωσης

1. Έχετε το δικαίωμα να απαιτήσετε από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών ή ανεπίκαιρων δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επίσης, το Υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

2. Ο υπεύθυνος επεξεργασίας οφείλει να ανταποκριθεί χωρίς αδικαιολόγητη καθυστέρηση στα παραπάνω αιτήματα διόρθωσης ή συμπλήρωσης προβαίνοντας άμεσα σε όλες τις αναγκαίες ενέργειες.

3. Ο υπεύθυνος επεξεργασίας αναλαμβάνει την υποχρέωση να ανακοινώνει κάθε διόρθωση δεδομένων προσωπικού χαρακτήρα σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας αναλαμβάνει την υποχρέωση να σας ενημερώνει σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το εσάς.

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Έχετε το δικαίωμα να ζητήσετε από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ο Υπεύθυνος Επεξεργασίας, λαμβάνοντας υπόψη τους κείμενους κανόνες για το δικαίωμα της λήθης όπως αυτοί έχουν διαμορφωθεί, υποχρεούται να διαγράψει τα δεδομένα χωρίς αδικαιολόγητη καθυστέρηση, εφόσον συντρέχει κάποιος από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα των οποίων ζητείται η διαγραφή δεν είναι πλέον απαραίτητα για την επιδίωξη των σκοπών για τους οποίους είχαν συλλεγεί ή υποβληθεί σε επεξεργασία.

β) εάν ανακαλέσετε έγκυρα τη συγκατάθεσή σας για την συγκεκριμένη επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία. Στην περίπτωση που ανακαλείται η συγκατάθεση ως προς δεδομένα προσωπικού χαρακτήρα η επεξεργασία των οποίων είναι απολύτως αναγκαία για την εκτέλεση των σκοπών της ασφαλιστικής διαμεσολάβησης και της ασφαλιστικής σύμβασης που έχει συναφθεί με τη διαμεσολάβηση της ‘’Εταιρείας’’, η ανάκληση συνεπάγεται το δικαίωμα του Υπευθύνου Επεξεργασίας να καταγγείλει την τελευταία, εφόσον το Υποκείμενο των δεδομένων έχει ενημερωθεί για το εν λόγω δικαίωμα πριν από την παροχή της συγκατάθεσής του.

γ) τα δεδομένα προσωπικού χαρακτήρα των οποίων ζητείται η διαγραφή παρανόμως υποβλήθηκαν σε επεξεργασία.

δ) συντρέχει νομική υποχρέωση του υπεύθυνου επεξεργασίας από το ενωσιακό ή το εθνικό δίκαιο για τη διαγραφή των δεδομένων.

2.Ο Υπεύθυνος Επεξεργασίας δεν υποχρεούται να διαγράψει τα δεδομένα, εφόσον η επεξεργασία είναι απαραίτητη:

α) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του ενωσιακού ή εθνικού δικαίου

β) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων του Υπευθύνου Επεξεργασίας ή για την απόκρουση υφιστάμενων ή δυνητικών νομικών αξιώσεων σας ή τρίτων στρεφόμενων κατά του Υπευθύνου Επεξεργασίας.

3. Όταν ο Υπεύθυνος Επεξεργασίας έχει υποχρέωση να διαγράψει δεδομένα τα οποία έχει ήδη δημοσιοποιήσει, δεσμεύεται να λαμβάνει εύλογα μέτρα, περιλαμβανομένων των αναγκαίων τεχνικών μέτρων, για να ενημερώσει τους υπόλοιπους υπευθύνους επεξεργασίας που επεξεργάζονται τα εν λόγω δεδομένα, συμπεριλαμβανομένων και των εκτελούντων την επεξεργασία ώστε οι τελευταίοι, με τη σειρά τους, να διαγράψουν τυχόν συνδέσμους ή αντίγραφα ή αναπαραγωγές των κρίσιμων δεδομένων προσωπικού χαρακτήρα. Ο Υπεύθυνος Επεξεργασίας δεσμεύεται να σας ενημερώνει σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από εσάς.

Δικαίωμα περιορισμού της επεξεργασίας

1. Έχετε το δικαίωμα να ζητήσετε από τον υπεύθυνο της επεξεργασίας τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν στις ακόλουθες περιπτώσεις:

α) στην περίπτωση που η ακρίβεια των δεδομένων αμφισβητείται από το Υποκείμενο και για όσο χρονικό διάστημα απαιτείται προκειμένου ο Υπεύθυνος Επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων.

β) στην περίπτωση που η επεξεργασία είναι παράνομη και δεν επιθυμείτε τη διαγραφή των δεδομένων σας κατά το άρθρο 23 του παρόντος Κώδικα, ζητώντας, αντί της διαγραφής των δεδομένων, τον περιορισμό της χρήσης τους.

γ) στην περίπτωση που ο Υπεύθυνος Επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το Υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, λαμβάνοντας υπόψη και τους εκάστοτε ισχύοντες κανόνες σχετικά με την παραγραφή αξιώσεων, καθώς και τους χρονικούς περιορισμούς τήρησης των αρχείων σύμφωνα με το άρθρο 16 του παρόντος Κώδικα.

δ) στην περίπτωση που έχετε αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 26 παράγραφος 1 του παρόντος Κώδικα και για όσο χρονικό διάστημα απαιτείται προκειμένου ο υπεύθυνος της επεξεργασίας να επαληθεύσει κατά πόσον ο σκοπός ή οι σκοποί της επεξεργασίας υπερισχύουν των εννόμων συμφερόντων σας.

2.O περιορισμός της επεξεργασίας μπορεί να επιτευχθεί στην πράξη με τις εξής ενδεικτικές μεθόδους:
i.προσωρινή μετακίνηση των δεδομένων σε άλλο σύστημα επεξεργασίας,
ii.αφαίρεση της πρόσβασης των χρηστών στα συγκεκριμένα δεδομένα,
iii.προσωρινή αφαίρεση δημοσιευμένων δεδομένων από ιστοσελίδα

3.Σε περίπτωση που έχετε εξασφαλίσει, δυνάμει της παραγράφου 1, τον περιορισμό της επεξεργασίας των δεδομένων που σας αφορούν, ενημερώνεστε από τον υπεύθυνο επεξεργασίας πριν από την τυχόν άρση του περιορισμού επεξεργασίας για κάποιο νόμιμο λόγο.

Δικαίωμα στη φορητότητα των δεδομένων

1. Έχετε το δικαίωμα να λαμβάνετε τα δεδομένα προσωπικού χαρακτήρα που σας αφορούν και τα οποία έχετε παράσχει σε υπεύθυνο επεξεργασίας.

2. Έχετε επίσης το δικαίωμα να διαβιβάζετε τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας, ή ακόμα και να ζητάτε την απευθείας διαβίβαση των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλον, εφόσον είναι τεχνικά εφικτό. Το δικαίωμα αυτό υφίσταται όταν συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις:

α) η επεξεργασία βασίζεται σε συγκατάθεση σας ή σε σύμβαση στην οποία είστε αντισυμβαλλόμενο μέρος.

β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

3.Η άσκηση του δικαιώματος του παρόντος άρθρου δεν πρέπει να επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων προσώπων. Ενδεικτικά, το δικαίωμα φορητότητας τελεί υπό την επιφύλαξη δικαιωμάτων πνευματικής ιδιοκτησίας, εμπορικού και βιομηχανικού απορρήτου. Διευκρινίζεται ότι η προστιθέμενη αξία, ως αποτέλεσμα οποιουδήποτε είδους επεξεργασίας των δεδομένων, δεν περιλαμβάνεται στο δικαίωμα φορητότητας.


ΔΙΑΔΙΚΑΣΙΕΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΑΡΑΒΙΑΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ


  • Γνωστοποίηση στην ΑΠΔΠΧ

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι ήσσονος σημασίας και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η προρρηθείσα γνωστοποίηση δύναται να υπερβαίνει τις 72 ώρες εφόσον συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

Η γνωστοποίηση κατ’ ελάχιστο:

α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

  • Γνωστοποίηση στο Υποκείμενο των δεδομένων.

Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες σας, ο υπεύθυνος επεξεργασίας σας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα σας.

Στην ανακοίνωση προς εσάς περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται και στην ανακοίνωση προς την εποπτική Αρχή.

Η ανακοίνωση προς εσάς της παραβίασης των προσωπικών σας δεδομένων δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,

β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

γ) προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

  • Λήψη μέτρων
  1. Σε περίπτωση παραβίασης της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα ή υπονοιών για παραβίαση της ασφάλειας  θα απευθυνθεί άμεσα στον υπεύθυνο πιστοποιημένο ανάλογα συνεργάτη της προς έλεγχο και προστασία των Η/Υ καθώς και σε εξειδικευμένους  πιστοποιημένους ανάλογα συμβούλους της για την διαπίστωση του τρόπου παραβίασης και κάλυψη του υπάρχοντος κενού που δημιουργήθηκε.
  2. Ως τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα θεωρείται ενδεικτικά : η απώλεια  συσκευών οι οποίες έχουν αποθηκευμένα δεδομένα(πχ εξωτερικός σκληρός δίσκος, Η/Υ, lap top, tablet, usb flash, smart phone κλπ), μη εξουσιοδοτημένη/παράνομη πρόσβαση και επιθέσεις με διάφορα τεχνολογικά μέσα, όπως επιθέσεις με ιούς worms, Trojans, ransom ware, μέσω των οποίων μπορεί να κλαπούν δεδομένα να μολυνθούν να κλειδωθούν, να υπερφορτωθούν τα συστήματα συναγερμών, εσωτερικές παραβιάσεις από προσωπικό ή πρώην προσωπικό, ανεπαρκή μέσα προστασίας, παραλείψεις ή αμέλεια.
  3. Ο Υπεύθυνος Επεξεργασίας  λαμβάνει μέτρα ειδοποίησης για απόπειρα πρόσβασης σε  δεδομένα, πιθανότητα πρόσβασης, αποδείξεις παραβίασης, σίγουρη παραβίαση.
  4. Ο Υπεύθυνος Επεξεργασίας δημιουργεί ομάδα υποστήριξης για την αντιμετώπιση των περιπτώσεων παραβίασης, όπως πχ από υπηρεσίες πληροφορικής, νομικής υποστήριξης, επικοινωνίας-ενημέρωσης δημοσίων σχέσεων, τυχόν ασφαλιστική κάλυψη κινδύνων παραβίασης και προβαίνει στην  δημιουργία ημερολογίου συμβάντων για καταγραφή παραβίασης και αντιμετώπισής της, στο οποίο καταγράφεται κάθε συμβάν και περιστατικό παραβίασης, πως αντιμετωπίστηκε, ποιοι έδρασαν και πως, τι χρειάζεται για να βελτιωθεί το σύστημα και σε ποια περιοχή του, ώστε να αντιμετωπιστούν στο μέλλον αποτελεσματικότερα, τυχόν απειλές και παραβιάσεις.
  5. Σε περίπτωση ύπαρξης ή υπονοιών ύπαρξης παραβίασης περιστατικών παραβίασης ο Υπεύθυνος Επεξεργασίας, μέσω της ομάδας που έχει δημιουργήσει για την αντιμετώπιση περιστατικών, προβαίνει σε αποσαφήνιση του συμβάντος, σε ενέργειες αντιμετώπισης, όπως απομόνωση των συστημάτων που παραβιάστηκαν, εντοπισμό και εξάλειψη και αιτίων παραβίασης και εφαρμογή βελτιώσεων για επαναφορά των συστημάτων σε παραγωγική κατάσταση, προβαίνοντας και σε αναλύσεις των επιπτώσεων  που μπορεί να έχει η παραβίαση των συστημάτων.
  6. Σε περίπτωση κατά την οποία κρίνει ο  υπεύθυνος επεξεργασίας ότι από την κάθε είδους  επεξεργασία μπορεί να προκληθεί υψηλός κίνδυνος,  ζητάει άμεσα τη γνώμη της εποπτικής αρχής, πριν από τυχόν επεξεργασία.
  7. Σε περίπτωση κατά την οποία έχει υπάρξει παραβίαση δεδομένων προσωπικού χαρακτήρα, που ενδέχεται, κατά την κρίση της  να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων, ανακοινώνει αμελλητί, εγγράφως, με αποστολή συστημένης επιστολής,  την παραβίαση των δεδομένων προσωπικού χαρακτήρα, στο υποκείμενο των δεδομένων.
  8. Η επιχείρηση προβαίνει σε συνεχή ενημέρωση και εκπαίδευση του προσωπικού για εξασφάλιση της απαιτούμενης προσοχής, εγρήγορσης και αντιμετώπισης περιστατικών παραβίασης δεδομένων, με κάθε δημιουργικό τρόπο και με τη βοήθεια των ηλεκτρονικών δικτύων μέσω των οποίων μπορεί να δίνονται σύντομες συμβουλές, να παρουσιάζονται βίντεο, να συμπληρώνονται ερωτηματολόγια κλπ

ΠΑΡΑΡΤΗΜΑΤΑ